Decyzja

Na podstawie art. 104 § 1 ustawy z dnia 14 czerwca 1960 r. Kodeks postępowania administracyjnego (Dz. U. z 2018 r. poz. 2096, 2019 r. poz. 1133), art. 160 ust. 1 i 2 ustawy o ochronie danych osobowych z dnia 10 maja 2018 roku (Dz. U. z 2019 r., poz. 1781) oraz art. 12 pkt 2, art. 22, art. 31 ustawy z dnia 29 sierpnia 1997 o ochronie danych osobowych (Dz. U. z 2016 r. poz. 922 ze zm.  oraz z 2018 r. poz. 138), art. 28, art. 57 ust.1 lit. a i f Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (Dz. Urz. UE L 119 z 04.05.2016, str. 1 oraz Dz. Urz. UE L 127 z 23.05.2018, str. 2), po przeprowadzeniu postępowania administracyjnego w sprawie skargi Pana M. Ł. na nieprawidłowości w procesie przetwarzania jego danych osobowych przez R. Spółka Akcyjna (obecnie: B. Spółka Akcyjna) oraz D., Prezes Urzędu Ochrony Danych Osobowych

odmawia uwzględnienia wniosku.

UZASADNIENIE

Do Prezesa Urzędu Ochrony Danych Osobowych (poprzednio Generalnego Inspektora Ochrony Danych Osobowych, zwanej dalej: GIODO) wpłynęła skarga Pana M. Ł. (zwanego dalej: Skarżącym) na nieprawidłowości w procesie przetwarzania jego danych osobowych przez R. Spółka Akcyjna (zwanego dalej: Bankiem) oraz D. (zwanej dalej: Spółką).

W treści skargi Skarżący wskazał na cyt. „niedochowanie staranności w przechowywaniu jego danych osobowych” przez Bank oraz Spółkę oraz udostępnienie jego danych osobowych osobom nieupoważnionym przez Spółkę.

Skarżący wniósł o cyt. „usunięcie danych osobowych jakie znalazły się w posiadaniu firmy D. oraz wyjaśnienie jakie dane znalazły się w posiadaniu osób lub firm trzecich na skutek nieprawidłowego doręczenia przesyłki zawierającej dane osobowe”.

W toku postępowania administracyjnego przeprowadzonego w niniejszej sprawie Prezes Urzędu Ochrony Danych Osobowych (dalej: „Prezes UODO”) ustalił, co następuje.

1. Bank wyjaśnił, że pozyskał dane osobowe Skarżącego w związku z zawarciem przez niego umów o konto osobiste, konto lokacyjne oraz trzy konta walutowe z […] stycznia 2011 roku. Bank przetwarzał dane osobowe Skarżącego na podstawie art. 23 ust.1 pkt 3 ustawy z dnia 29 sierpnia 1997 roku o ochronie danych osobowych (Dz. U. z 2016 r. poz. 922 oraz z 2018 r. poz. 138), zwanej dalej: „ustawą z 1997 roku”.

2. Na podstawie umowy powierzenia z dnia […] kwietnia 2007 roku (zwanej dalej: umową) między Bankiem a Spółką, Bank udostępnił Spółce dane osobowe Skarżącego celem realizacji usługi doręczenia umowy o kartę kredytową. W treści skargi Skarżący wskazał, że w dniu [...] sierpnia 2014 roku przesyłka (nr […]) zawierająca ww. umowę została przesłana przez Bank na adres domowy Skarżącego i pozostawiona za jego zgodą w punkcie odbioru przesyłek Spółki lecz cyt. „nie została mu wydana z powodu odmowy podpisania dokumentów bez możliwości ich wcześniejszego przeczytania”. W dniu […] sierpnia 2014 roku przesyłka została doręczona ponownie w miejscu pracy. Jak wskazał Skarżący przesyłka nie była już zamknięta  cyt. „bezpiecznie lecz tylko zaklejona taśmą klejącą” co umożliwiło dostęp do dokumentacji w niej zawartej osobom nieupoważnionym. Skarżący ponownie odmówił przyjęcia przesyłki.

3. Bank wyjaśnił, że informację o naruszeniu powziął z kopii skargi otrzymanej z GIODO i niezwłocznie przeprowadził postępowanie wyjaśniające, które potwierdzało niezgodności z umową działań Spółki przy doręczeniu przesyłki Skarżącemu. Z wyjaśnień Spółki złożonych w piśmie z […] sierpnia 2014 roku wynika, że „przy realizacji usługi doręczenia (…) dokumentów do odbiorcy wyżej wymienionej przesyłki doszło do zaniedbań ze strony naszego pracownika. Wskutek tego proces doręczenia nie został wykonany zgodnie z ustaloną procedurą spisaną w umowie pomiędzy R. a D.”. Spółka w celu zminimalizowania w przyszłości ryzyka wystąpienia podobnych naruszeń ponownie przeszkoliła pracowników w zakresie procedur oraz instrukcji doręczania przesyłek Banku.

4. Z wyjaśnień Spółki zawartych w piśmie […] listopada 2014 roku wynika, że Skarżący nigdy nie wystąpił z wnioskiem o usunięcie jego danych osobowych.

5. Spółka w piśmie z […] maja 2017 roku ponownie złożyła wyjaśnienia do Biura GIODO, do których załączono sprostowanie oświadczenia złożonego w 2014 roku. Z ich treści wynika, że niezgodność z umową działań Spółki dotyczyła cyt. „nieścisłości dotyczących terminu doręczeń przesyłek klienta R. S.A. i wypełniania formularzy identyfikacyjnych odbiorców”. Spółka oświadczyła, że nie doszło do udostępnienia danych osobowych Skarżącego osobom nieupoważnionym.

W tym stanie faktycznym Prezes UODO zważył, co następuje.

Z dniem 25 maja 2018 r. w życie weszły przepisy ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych (Dz.U. 2019 poz. poz. 1781), zwanej dalej „u.o.d.o.”.

W myśl art. 160 ust. 1-3 ustawy, postępowania prowadzone przez Generalnego Inspektora Ochrony Danych Osobowych, wszczęte i niezakończone przed dniem wejścia w życie niniejszej ustawy, prowadzone są przez Prezesa Urzędu Ochrony Danych Osobowych na podstawie ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz.U. z 2016 r. poz. 922 ze zm. oraz z 2018 r. poz. 138), zgodnie z zasadami określonymi w ustawie z dnia 14 czerwca 1960 r. Kodeks postępowania administracyjnego (Dz. U. z 2018 r. poz. 2096, z 2019 r. poz. 1133) zwanej dalej „Kpa”. Jednocześnie, czynności dokonane w postępowaniach, wszczętych i niezakończonych przed dniem wejścia w życie przepisów u.o.d.o., pozostają skuteczne.

Od dnia 25 maja 2018 r. zastosowanie ma również rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (Dz. Urz. UE L 119 z 04.05.2016, str. 1 ze zm.), zwane dalej „Rozporządzeniem 2016/679”.

Uwzględniając powyższe stwierdzić zatem należy, iż niniejsze postępowanie, wszczęte i niezakończone przed dniem 25 maja 2018 r., prowadzone jest na podstawie ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (w zakresie dotyczącym przepisów regulujących procedurę administracyjną) oraz na podstawie Rozporządzenia 2016/679 (w zakresie rozstrzygającym o legalności procesu przetwarzania danych osobowych). Wynikający w przepisów prawa sposób prowadzenia postępowań w sprawach rozpoczętych i nie zakończonych przed dniem wejścia w życie nowych regulacji z zakresu ochrony danych osobowych koreluje z ugruntowanym stanowiskiem doktryny, zgodnie z którym „organ administracji publicznej ocenia stan faktyczny sprawy według chwili wydania decyzji administracyjnej. Reguła ta odnosi się także do oceny stanu prawnego sprawy, co oznacza, że organ administracji publicznej wydaje decyzję administracyjną na podstawie przepisów prawa obowiązujących w chwili jej wydania” (Komentarz do ustawy z dnia 14 czerwca 1960 r. Kodeks postępowania administracyjnego (Dz. U. 00.98.1071) M. Jaśkowska, A. Wróbel, Lex., el/2012).

W wyroku z dnia 7 maja 2008 r. w sprawie o sygn. akt I OSK 761/07 Naczelny Sąd Administracyjny stwierdził, iż „badając […] legalność przetwarzania danych osobowych, GIODO ma obowiązek ustalenia, czy na datę wydawania rozstrzygnięcia w sprawie dane konkretnego podmiotu są przetwarzane oraz czy czynione to jest w sposób zgodny z prawem”.

W czasie, gdy miało miejsce zdarzenie opisane przez Skarżących, obowiązywała ustawa z 1997 roku. Po 25 maja 2018 roku zastosowanie mają przepisy Rozporządzenia 2016/679. Przepisem o zasadniczym znaczeniu dla oceny legalności procesu przetwarzania danych osobowych był art. 23 ust. 1 ustawy z 1997 roku (odpowiednio art. 6 ust.1 Rozporządzenia 2016/679). Zgodnie wyżej wymienionym przepisem przetwarzanie danych osobowych jest zgodne z prawem wówczas, gdy administrator danych spełnia jeden z warunków wymienionych w tym artykule, tj. gdy:

1. osoba, której dane dotyczą, wyraziła na to zgodę, chyba że chodzi o usunięcie dotyczących jej danych (odpowiednio art. 6 ust.1 lit. a Rozporządzenia 2016/679),
2. jest to niezbędne dla zrealizowania uprawnienia lub spełnienia obowiązku wynikającego z przepisu prawa (odpowiednio art. 6 ust.1lit. c Rozporządzenia 2016/679),
3. jest to konieczne do realizacji umowy, gdy osoba, której dane dotyczą jest jej stroną lub gdy jest to niezbędne do podjęcia działań przed zawarciem umowy na żądanie osoby, której dane dotyczą (odpowiednio art. 6 ust.1 lit. b Rozporządzenia 2016/679),
4. jest to niezbędne do wykonania określonych prawem zadań realizowanych dla dobra publicznego (odpowiednio art. 6 ust.1 lit. e Rozporządzenia 2016/679),
5. jest to niezbędne dla wypełnienia prawnie usprawiedliwionych celów realizowanych przez administratorów danych albo odbiorców danych, a przetwarzanie nie narusza praw i wolności osoby, której dane dotyczą (odpowiednio art. 6 ust.1 lit. f Rozporządzenia 2016/679).

Należy dodać, że przesłanki te odnoszą się do wszelkich form przetwarzania danych wymienionych w art. 7 ust. 2 ustawy z 1997 roku. Warunki te są także względem siebie równoprawne, co oznacza, że dla legalności procesu przetwarzania danych wystarczające jest spełnienie jednego z nich. Przesłanki te odnoszą się do wszelkich form przetwarzania danych wymienionych w art. 4 pkt 2 Rozporządzenia 2016/679, w tym w szczególności do ich udostępnienia. Warunki te są także względem siebie równoprawne, co oznacza, że dla legalności procesu przetwarzania danych wystarczające jest spełnienie jednej z nich.

Postępowanie prowadzone przez Prezesa Urzędu jest ukierunkowane na wydanie decyzji administracyjnej na podstawie art. 18 ust. 1 ustawy z 1997 roku. Według tego przepisu w przypadku naruszenia przepisów o ochronie danych osobowych Prezes Urzędu z urzędu lub na wniosek osoby zainteresowanej, w drodze decyzji administracyjnej nakazuje przywrócenie stanu zgodnego z prawem, a w szczególności: 1) usunięcie uchybień, 2) uzupełnienie, uaktualnienie, sprostowanie, udostępnienie lub nieudostępnienie danych osobowych, 3) zastosowanie dodatkowych środków zabezpieczających zgromadzone dane osobowe, 4) wstrzymanie przekazywania danych osobowych do państwa trzeciego, 5) zabezpieczenie danych lub przekazanie ich innym podmiotom, 6) usunięcie danych osobowych.

Stosownie do art. 57 ust. 1 Rozporządzenia 2016/679 „bez uszczerbku dla innych zadań określonych na mocy niniejszego rozporządzenia każdy organ nadzorczy na swoim terytorium monitoruje i egzekwuje stosowanie niniejszego rozporządzenia oraz  rozpatruje skargi wniesione przez osobę, której dane dotyczą, lub przez podmiot, organizację lub zrzeszenie zgodnie z art. 80, w odpowiednim zakresie prowadzi postępowania w przedmiocie tych skarg i w rozsądnym terminie informuje skarżącego o postępach i wynikach tych postępowań, w szczególności jeżeli niezbędne jest dalsze prowadzenie postępowań lub koordynacja działań z innym organem nadzorczym „ (lit. a i f).

Odnosząc powyższe do okoliczności niniejszej sprawy należy wskazać, że podstawą legalizującą przetwarzanie danych osobowych Skarżącego przez Bank był art. 23 ust. 3 ustawy z 1997 roku. Bank powierzył przetwarzanie danych osobowych Skarżącego Spółce na podstawie umowy między Spółką a Bankiem w celu i zakresie wskazanym w umowie zgodnie z art. 31 ustawy z 1997 roku (obecnie art. 28 RODO).

Skarżący zarzucił Spółce oraz Bankowi cyt. „niedochowanie staranności w przechowywaniu jego danych osobowych”, co zostało potwierdzone w zebranym w sprawie materiale dowodowym. Bank na podstawie obowiązującej go ze Spółką umowy przeprowadził postępowanie wyjaśniające, które wykazało niezgodności z procedurą przewidzianą w umowie w trakcie dostarczania przesyłki do Skarżącego. Należy jednak wskazać, że stwierdzone naruszenie ochrony danych osobowych miało charakter jednorazowy, a obecnie stan naruszenia nie jest kontynuowany. Brak jest podstaw by przyjąć, że takie zdarzenie powtórzy się w przyszłości. Wobec powyższego nie zaistniała podstawa do wydania decyzji nakazującej przywrócenie stanu zgodnego z prawem przez Prezesa UODO, o której mowa w art. 18 ustawy z 1997 roku. Zasadnym jest wydanie decyzji odmawiającej spełnienia żądania osoby, której dane dotyczą.

W tym stanie faktycznym i prawnym Prezes UODO rozstrzygnął, jak w sentencji.

Na podstawie art. 127 § 3 Kpa od niniejszej decyzji stronie przysługuje prawo do wniesienia wniosku o ponowne rozpatrzenie sprawy w terminie 14 dni od dnia doręczenia decyzji stronie. Jeżeli strona nie chce skorzystać z prawa do złożenia wniosku o ponowne rozpatrzenie sprawy, ma prawo do wniesienia skargi na decyzję do Wojewódzkiego Sądu Administracyjnego w Warszawie w terminie 30 dni od dnia doręczenia jej stronie. Skargę wnosi się za pośrednictwem Prezesa Urzędu Ochrony Danych Osobowych (adres: ul. Stawki 2, 00-193 Warszawa). Wpis od skargi wynosi 200 złotych. Strona ma prawo ubiegania się o prawo pomocy, w tym zwolnienie od kosztów sądowych.