ZSPU.440.71.2019 (II)

Na podstawie art. 138 § 1 pkt 1 ustawy z dnia 14 czerwca 1960 r. Kodeks postępowania administracyjnego (Dz. U. z 2018 r. poz. 2096 ze zm.) oraz art. 160 ust. 1 i 2 ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych (Dz.U. z 2018 r. poz. 1000 ze zm.) w zw. z art. 12 pkt 2, art. 22 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. z 2016 r. poz. 922 ze zm.) po przeprowadzeniu postępowania administracyjnego w sprawie wniosku Pani E.G. oraz Pana A.G., obojga zam. w O., o ponowne rozpatrzenie sprawy ich skargi dotyczącej przetwarzania ich danych osobowych przez E. Sp. z o.o., z siedzibą w B. oraz Bank P. S.A., z siedzibą w W. rozstrzygniętej decyzją Generalnego Inspektora Ochrony Danych Osobowych z dnia 8 grudnia 2017 r. (znak: DOLiS/DEC-1489/17) Prezes Urzędu Ochrony Danych Osobowych

utrzymuje w mocy zaskarżoną.

Uzasadnienie

Do Biura Generalnego Inspektora Ochrony Danych Osobowych (obecnie: Urząd Ochrony Danych Osobowych) wpłynęła skarga Pani E.G. oraz Pana A.G. zam. w O., zwanych dalej Skarżącymi, dotycząca przetwarzania ich danych osobowych przez E. Sp. z o.o. z siedzibą w B., zwaną dalej Spółką, oraz Bank P. S.A. z siedzibą w W., zwany dalej Bankiem.

W treści pisma Skarżący wskazali: „W imieniu własnym składamy skargę na naruszenie przez E. przepisów ustawy (…) o ochronie danych osobowych, a w szczególności art. 23 ust. 1 pkt. 1-5 i ust. 2 cyt. ustawy poprzez udostępnienie bez naszej zgody naszych danych osobowych Bankowi (…). E. (…) jako zarządca Wspólnoty Mieszkaniowej (…) w O. jest administratorem naszych danych osobowych jako członków w/w wspólnoty. Administrator, jak wynika z oświadczenia (…) pracownika administratora, założył w Banku (…) indywidualny rachunek bankowy o nr (…) w celu dokonania wpłat z tytułu tzw. <<podatku śmieciowego>> należnego od naszego lokalu nr (…) przy ul. (…) w O. Z oświadczenia pracownika wynika, iż jest to konto przeznaczone do dokonywania opłat jedynie przez nas jako członków wspólnoty. Innym członkom wspólnoty założono odrębne konta w celu przekazywania <<podatku śmieciowego>>. Oczywiste jest zatem, iż w celu założenia przeznaczonego dla nas konta administrator danych osobowych przekazał bankowi nasze dane osobowe tj. imię i nazwisko oraz adres zamieszkania. (…) Nie udzielaliśmy administratorowi zgody na udostępnianie danych osobowych innemu podmiotowi tj. Bankowi (…). Nie zachodzi także, żadna z pozostałych przesłanek do udostępnienia danych przewidzianych przepisami ustawy. Zwracaliśmy się zarówno do Banku (…) oraz do E. (…) z prośbą o udzielenie informacji czy i w jakim zakresie zostały udostępnione nasze dane osobowe. Oba podmioty zaprzeczyły faktowi udostępnienia danych. Stanowiska te jednak są sprzeczne z oświadczeniem pracownik E., który wskazał, iż założono indywidualne konto bankowe na nasze nazwisko”.

W pismach z dnia […] stycznia 2016 roku Skarżący wskazali, że wnoszą o: „(…) przywrócenie stanu zgodnego z prawem w świetle art. 18 Ustawy, a więc likwidacji założonego bez mojej wiedzy i zgody rachunku indywidualnego dla wpłat <<podatku śmieciowego>> (…) Wyciągnięcie stosownych konsekwencji zgodnych z obowiązującymi przepisami wobec osób, które zakładały ten rachunek”.

W toku postępowania przeprowadzonego w niniejszej sprawie Generalny Inspektor Ochrony Danych Osobowych (obecnie: Prezes Urzędu Ochrony Danych Osobowych) ustalił następujący stan faktyczny:

  1. Administratorem danych osobowych będących przedmiotem skargi jest Wspólnota Mieszkaniowa S. w O.
  2. Spółka przetwarza dane osobowe Skarżących na podstawie umowy nr […] o zarządzanie nieruchomością wspólną położoną w O., zawartej dnia […] grudnia 2011 r. w O. pomiędzy ww. Wspólnotą Mieszkaniową reprezentowaną przez Zarząd Wspólnoty, a Spółką. Przedmiot umowy, określony w § 3 pkt 2 i 3, uprawnia zarządzającego do reprezentowania wspólnoty i zaciągania w jej imieniu zobowiązań (podpisywania umów) zapewniających nieruchomości m.in. dostawę mediów, w tym odprowadzenie ścieków i wywóz śmieci, utrzymanie porządku i czystości, jak również „reprezentowanie wspólnoty wobec banku przy zawieraniu umowy na prowadzenie rachunku bankowego, a także do dysponowania środkami finansowymi zgromadzonymi na rachunku bankowym Wspólnoty, z przeznaczeniem na pokrycie zobowiązań Wspólnoty”.
  3. Spółka w wyjaśnieniach złożonych przed Generalnym Inspektorem poinformowała ponadto, że: „Znowelizowany art. 2 ust. 3 ustawy o utrzymaniu w czystości i porządku w gminach z 13 września 1996 roku nałożył na wspólnotę mieszkaniową i właścicieli lokali obowiązek ponoszenia opłat za gospodarowanie odpadami komunalnymi i przekazywanie ich na rzecz gminy (…) Pani E.G. na podstawie art. 6m ust. 1 c ustawy (…) o utrzymaniu czystości i porządku w gminach (…) złożyła oświadczenie z klauzulą o przetwarzaniu danych”.
  4. Spółka wyjaśniła również: „W celu realizacji ustawowego obowiązku nałożonego na wspólnoty mieszkaniowe ich członków, E. jako zarządca nieruchomości utworzył w ramach posiadanego już przez wspólnotę mieszkaniową rachunku bankowego w Banku (…), jeden dodatkowy, pomocniczy rachunek bankowy dla obsługi wpłat tytułem opłat za odbieranie odpadów komunalnych. Powyższy rachunek jest rachunkiem pomocniczym, który posiada status płatności masowych (…) W prowadzonej ze skarżącymi, za pośrednictwem reprezentującej ich kancelarii prawniczej w O. korespondencji, zarządca nieruchomości w sposób szczegółowy i wyczerpujący omówił i wyjaśnił zasady funkcjonowania utworzonych przez niego dla poszczególnych właścicieli lokali (płatników) indywidualnych rachunków bankowych. W treści pisma zarządca podkreślił i wskazał m.in., że utworzenie przez niego tzw. rachunków wirtualnych nie wymagało utworzenia odrębnych rachunków bankowych dla poszczególnych właścicieli lokali, a co za tym idzie przekazywania bankowi danych osobowych ich właścicieli”.
  5. W dalszych wyjaśnieniach Spółka wskazała: „W ramach odbytego w dniu […].02.2016 r zebrania właścicieli lokali tworzących wspólnotę mieszkaniową w O., właściciele lokali podjęli uchwałę w sprawie <<Indywidualnych kont księgowych właścicieli do wpłat opłat za lokal>>. Podjęta, większościowa uchwała wspólnoty mieszkaniowej była konsekwencją wdrożenia usługi płatności masowych”.
  6. Bank w wyjaśnieniach złożonych przed Generalnym Inspektorem wyjaśnił, że: „E. (…) jako zarządca Wspólnoty Mieszkaniowej S. na podstawie zawartej z Bankiem umowy założył rachunek dedykowany do obsługi płatności masowych. Do tego rachunku Bank uruchomił rachunki wirtualne, które dedykowane są poszczególnym członkom wspólnot mieszkaniowych, jednak w procesie tym nie były i nie są przekazywane jakiekolwiek dane osobowe członków wspólnot, więc z tytułu realizacji umowy zawartej z E.”.

 W dniu 8 grudnia 2017 r. Generalny Inspektor Ochrony Danych Osobowych (obecnie: Prezes Urzędu Ochrony Danych Osobowych) wydał decyzję administracyjną (znak: DOLiS/DEC-1489/17), mocą której odmówił uwzględnienia wniosku Skarżących.

Następnie, w terminie, do organu wpłynęło pismo Skarżących z dnia […] grudnia 2017 r. , stanowiące wniosek o ponowne rozpatrzenie niniejszej sprawy. W treści ww. wniosku Skarżący podnieśli cyt.: „(…) Prowadzący sprawę w naszej ocenie w ogóle nie zapoznał się z załączonymi do skargi dokumentami i nie dokonał ich merytorycznej oceny dla ustalenia rzeczywistego stanu rzeczy. Dziwnym także, w świetle wskazanym wyżej dokumentów, pozostaje fakt zarzucania nam – składającym skargę – iż na poparcie naszych argumentów nie mamy żadnych dowodów, a są to tylko przypuszczenia. (…). Przecież przez ponad rok czasu zmuszeni byliśmy dokonywać wpłat na założony bezprawnie rachunek bankowy, a z tym wiązały się dla nas dodatkowe koszty związane z jego prowadzeniem przez bank, który nic nigdy nie robi >za darmo<. Jak sprawdziłem w innych bankach (…), na założenie indywidualnych rachunków bankowych wymagana jest zgoda osoby, której tenże rachunek ma dotyczyć, a zgody takiej żadne z nas nigdy nie wyrażało (…)”. Na koniec Skarżący dodali cyt.: „(…) ciekawą sprawą jest w naszej ocenie także i to, że na skutek naszej skargi do GIODO E. zlikwidował wszystkie rachunku dotyczące >podatku śmieciowego< i obecnie właściciele lokali dokonują opłat tylko na jeden rachunek bankowy (…)”.

Po ponownym zapoznaniu się z całością zgromadzonego w sprawie materiału dowodowego, Prezes Urzędu Ochrony Danych Osobowych zważył, co następuje.

Na wstępie wskazać należy, iż z dniem 25 maja 2018 r., wraz z wejściem w życie ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych (Dz. U. z 2018 r. poz. 1000 ze zm.), Biuro Generalnego Inspektora Ochrony Danych Osobowych stało się Urzędem Ochrony Danych Osobowych (art. 167 ust. 1 tej ustawy). Postępowania prowadzone przez Generalnego Inspektora Ochrony Danych Osobowych, wszczęte i niezakończone przed 25 maja 2018 r. prowadzone są przez Prezesa Urzędu Ochrony Danych Osobowych, na podstawie ustawy z 29 sierpnia 1997 r. o ochronie danych osobowych (Dz.U. z 2016 r. poz. 922 ze zm.) zgodnie z zasadami określonymi w Kodeksie postępowania administracyjnego (Dz. U. z 2018 r. poz. 2096 ze zm.). Wszelkie czynności podjęte przez Generalnego Inspektora Ochrony Danych Osobowych przed 25 maja 2018 r. pozostają skuteczne (art. 160 ust. 1-3 ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych).

Zgodnie z art. 18 ust. 1 ustawy z 29 sierpnia 1997 r. o ochronie danych osobowych, Generalny Inspektor w przypadku naruszenia przepisów o ochronie danych osobowych z urzędu lub na wniosek osoby zainteresowanej, w drodze decyzji administracyjnej, nakazuje przywrócenie stanu zgodnego z prawem, a w szczególności: 1) usunięcie uchybień, 2) uzupełnienie, uaktualnienie, sprostowanie, udostępnienie lub nieudostępnienie danych osobowych, 3) zastosowanie dodatkowych środków zabezpieczających zgromadzone dane osobowe, 4) wstrzymanie przekazywania danych osobowych do państwa trzeciego, 5) zabezpieczenie danych lub przekazanie ich innym podmiotom, 6) usunięcie danych osobowych.

Stosownie do art. 57 ust. 1 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz.U.UE.L.2016.119.1 i Dz.U.UE.L.2018.127.2), zwanego dalej RODO, bez uszczerbku dla innych zadań określonych na mocy niniejszego rozporządzenia każdy organ nadzorczy na swoim terytorium monitoruje i egzekwuje stosowanie niniejszego rozporządzenia (lit. a) oraz rozpatruje skargi wniesione przez osobę, której dane dotyczą, lub przez podmiot, organizację lub zrzeszenie zgodnie z art. 80, w odpowiednim zakresie prowadzi postępowania w przedmiocie tych skarg i w rozsądnym terminie informuje skarżącego o postępach i wynikach tych postępowań, w szczególności jeżeli niezbędne jest dalsze prowadzenie postępowań lub koordynacja działań z innym organem nadzorczym (lit. f).

Odnosząc się ponownie do zarzutu Skarżących dotyczącego udostępnienia ich danych osobowych przez Spółkę na rzecz Banku, wskazać należy, iż zarzut ten nie znalazł potwierdzenia w materiale dowodowym sprawy. Wskazać bowiem należy, iż Spółka w wyjaśnieniach skierowanych do organu oświadczyła, iż utworzenie tzw. rachunków wirtualnych do bieżącego rachunku bankowego Wspólnoty Mieszkaniowej w O. nie wymagało utworzenia odrębnych rachunków bankowych dla poszczególnych właścicieli lokali, a co za tym idzie przekazywania Bankowi danych osobowych ich właścicieli. Podobnie Bank w ww. piśmie z dnia […] maja 2016 r. skierowanym do organu oświadczył, iż Spółka jako zarządca ww. Wspólnoty na podstawie umowy z Bankiem założyła rachunek dedykowany do obsługi płatności masowych, do którego to rachunku Bank uruchomił rachunki wirtualne dedykowane poszczególnym członkom ww. Wspólnoty. Jednakże, jak podkreślił Bank, w procesie tym nie były przekazywane jakiekolwiek dane osobowe członków ww. Wspólnoty, dlatego też Bank nie pozyskał i nie przetwarza danych osobowych Skarżących.

Tym samym ponownie wskazać należy, że niniejszej sprawie nie ma podstaw do uznania, iż doszło do udostępnienia przez Spółkę na rzecz Banku danych osobowych Skarżących w sposób opisany w skardze. Zauważyć należy, iż Skarżący oparli swą skargę jedynie na podejrzeniach i nie przedstawili organowi żadnych dowodów na potwierdzenie okoliczności przedstawionych w skardze. Przedłożenie przez nich pism otrzymanych ze Wspólnoty o indywidualnym numerze rachunku bankowego dla wpłat „podatku śmieciowego” nie jest bowiem dowodem na potwierdzenie udostepnienia ich danych osobowych przez Spółkę na rzecz Banku, lecz wyłącznie dowodem, iż istotnie doszło w sprawie do uruchomienia dodatkowych rachunków wirtualnych dedykowanym poszczególnym członkom Wspólnoty. Ta jednak okoliczność była w sprawie bezsporna.

Skarżący w ww. wniosku o ponowne rozpatrzenie niniejszej sprawy nie podnieśli żadnych nowych okoliczności, które mogłyby mieć wpływ na wzruszenie zaskarżonej decyzji przez organ. Natomiast zarzut likwidacji przez Spółkę indywidualnych rachunków bankowych pozostaje bez znaczenia dla zaskarżonego rozstrzygnięcia niniejszej sprawy, bowiem w toku postępowania pierwszoinstancyjnego ustalono, iż dla otwarcia tych rachunków nie udostępniono danych osobowych członków Wspólnoty, w tym i danych Skarżących. Raz jeszcze podkreślić należy, iż Bank oświadczył, że w związku z kwestionowanym procesem otwarcia indywidualnych rachunków bankowych przez Spółkę, nie pozyskał i nie przetwarza żadnych danych osobowych Skarżących. Wobec powołanych oświadczeń zarówno Spółki, jak i Banku, trudno uznać, by w sprawie doszło do kwestionowanego przez Skarżących udostępnienia ich danych osobowych.

Tym samym w sprawie brak było podstaw do zastosowania przez organ art. 18 ust. 1 ustawy z 29 sierpnia 1997 r. o ochronie danych osobowych ze względu na brak dowodów potwierdzających, że doszło do naruszenia przepisów tej ustawy.

Dlatego też zaskarżona ww. decyzja z dnia 8 grudnia 2017 r. zostaje utrzymana w mocy jako odpowiadająca prawu.

W tym stanie faktycznym i prawnym Prezes Urzędu Ochrony Danych Osobowych rozstrzygnął, jak na wstępie.

Decyzja jest ostateczna. Na podstawie art. 160 ust. 1 i 2 ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych (Dz.U. z 2018 r. poz. 1000) w zw. z  art. 21 ust. 2 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. z 2016 r. poz. 922 ze zm.) w zw. z art. 13 § 2, art. 53 § 1 oraz art. 54 ustawy z dnia 30 sierpnia 2002 r. Prawo o postępowaniu przed sądami administracyjnymi (Dz. U. z 2017 poz. 1369 ze zm.), stronie niezadowolonej z niniejszej decyzji przysługuje prawo wniesienia skargi do Wojewódzkiego Sądu Administracyjnego w Warszawie w terminie 30 dni od dnia doręczenia jej stronie. Skargę wnosi się za pośrednictwem Prezesa Urzędu Ochrony Danych Osobowych (adres: Urząd Ochrony Danych Osobowych, ul. Stawki 2, 00-193 Warszawa). Wpis od skargi wynosi 200 złotych. Strona ma prawo ubiegania się o prawo pomocy, w tym zwolnienia od kosztów sądowych.

Podmiot udostępniający: Zespół ds. Sektora Publicznego
Wytworzył informację:
user dr Edyta Bielak–Jomaa
date 2019-04-16
Wprowadził informację:
user Anna Zajda
date 2019-04-17 14:25:29
Ostatnio modyfikował:
user Edyta Madziar
date 2019-07-09 14:18:35