Decyzja

Na podstawie art. 104 § 1 ustawy z dnia 14 czerwca 1960 r. Kodeks postępowania administracyjnego (Dz. U. z 2020 r., poz. 256), art. 160 ust. 1 i 2 ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych (Dz. U. z 2019 r., poz. 1781) w związku z art. 12 pkt 2 i art. 22 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. z 2016 r., poz. 922  ze zm.) w związku z art. 6 ust. 1 lit. c) i lit. f), art. 28, oraz art. 57 ust. 1 lit. a) i lit. f) Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (Dz. Urz. UE L 119 z 04.05.2016, str. 1 oraz Dz. Urz. UE L 127 z 23.05.2018, str. 2) oraz art. 6a ust. 1 pkt 1 lit. l), art. 104 ust. 2 pkt 2 lit. a) i art. 105a ust. 1 ustawy z dnia 29 sierpnia 1997 r. Prawo bankowe (Dz. U. z 2019 r.,  poz. 2357), po przeprowadzeniu postępowania administracyjnego w sprawie skargi Pana W. P. na udostępnienie jego danych osobowych przez Bank H. S.A. na rzecz D. S.A., a także  na rzecz Kancelarii Prawniczej M. Sp. k., Prezes Urzędu Ochrony Danych Osobowych

odmawia uwzględnienia wniosku.

UZASADNIENIE

Do Prezesa Urzędu Ochrony Danych Osobowych (dawniej: Generalnego Inspektora Ochrony Danych Osobowych) wpłynęła skarga Pana W. P., zwanego dalej: „Skarżącym”, na udostępnienie jego danych osobowych przez Bank H. S.A., zwany dalej: „Bankiem”, na rzecz D. S.A., zwanej dalej także: „D.” oraz na rzecz Kancelarii Prawniczej M. Sp. k., zwanej dalej także: „Kancelarią”.

W treści skargi Skarżący wskazał, że Bank – z którym wyżej wymieniony związany jest umową o kartę kredytową – złamał zasady ochrony danych osobowych, przekazując innym podmiotom dane osobowe Skarżącego bez jego zgody. Skarżący zakwestionował w szczególności legalność udostępnienia dotyczących go informacji stanowiących tajemnicę bankową firmom: D. S.A. oraz Kancelarii Prawniczej M. Sp. k., które to zgodnie ze stanem wiedzy Skarżącego zostały umocowane przez Bank do windykacji wierzytelności powstałej w związku z brakiem terminowej spłaty wymagalnego zobowiązania finansowego na rachunek karty. Zdaniem Skarżącego, bezprawne działanie Banku, w którego następstwie pracownicy wyżej wymienionych firm windykacyjnych uciążliwie nękali go telefonicznie oraz nachodzili w miejscu zamieszkania, naraziło go na utratę zdrowia, a nawet życia.

W związku z podniesionymi zarzutami, Skarżący wniósł do Prezesa Urzędu Ochrony Danych Osobowych o zbadanie legalności przetwarzania jego danych osobowych przez Bank,  w szczególności zaś w zakresie ich udostepnienia na rzecz D. S.A. oraz Kancelarii.

W celu ustalenia okoliczności faktycznych istotnych dla rozstrzygnięcia niniejszej sprawy, Prezes Urzędu Ochrony Danych Osobowych wszczął postępowanie administracyjne. Na podstawie zebranego w sprawie materiału dowodowego ustalił następujący stan faktyczny:

1. Bank pozyskał dane osobowe Skarżącego w związku ze złożonym przez niego wnioskiem  o wydanie Karty Kredytowej […] z dnia […] października 2003 r. oraz umowy o korzystanie z w/w Karty.
2. Dane osobowe Skarżącego pozyskane zostały na podstawie art. 23 ust. 1 pkt 2 i 3 ustawy  z dnia 29 sierpnia 1997 r. o ochronie danych osobowych w związku z art. 105a ust. 1 ustawy z dnia 29 sierpnia 1997 r. Prawo bankowe, w celu podjęcia przez Bank niezbędnych działań związanych z zawarciem oraz obsługą wyżej wymienionej umowy, w tym  również w celu oceny zdolności kredytowej i analizy ryzyka kredytowego.
3. Zakres przetwarzanych przez Bank danych osobowych Skarżącego obejmował: imię, nazwisko, nazwisko panieńskie matki, datę urodzenia, obywatelstwo, numer PESEL, serię i numer dokumentu tożsamości, stan cywilny, wykształcenie, adres zamieszkania, numer telefonu, miejsce zatrudnienia, zajmowane stanowiska, staż pracy, wykonywany zawód, formę zatrudnienia, wysokość osiąganego dochodu oraz okres zatrudnienia u aktualnego na dzień złożenia wniosku o kredyt pracodawcy.
4. Skarżący dopuścił się zwłoki w spłacie zobowiązań wynikających z umowy o Kartę Kredytową […], wobec czego Bank wypowiedział ją z dniem […] października 2013 r. i zlecił egzekucję zaległych należności firmie windykacyjnej D. S.A.
5. Udostępnienie przez Bank na rzecz D. danych osobowych Skarżącego nastąpiło  w dniu […] października 2013 r., na podstawie zawartych w dniu […] maja 2010 r. umów:  […] – przedmiotem których było dochodzenie roszczeń pieniężnych, wynikających  z dokonywanych przez Bank czynności bankowych w ramach przesądowego, polubownego postępowania windykacyjnego dotyczącego klientów będących konsumentami (§2 pkt 1 umowy […]). Podstawę udostępnienia danych osobowych Skarżącego stanowił  art. 6a ust. 1 pkt 1 lit. l) ustawy z dnia 29 sierpnia 1997 r. Prawo bankowe oraz art. 31 ust. 1 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych, w oparciu o które Bank, działając jako administrator danych powierzył D. przetwarzanie danych osobowych Skarżącego wyłącznie w zakresie i celu przewidzianym wyżej wymienionymi umowami. Zakres przekazanych informacji o Skarżącym został ograniczony do danych niezbędnych do prawidłowego dochodzenia wierzytelności i obejmował: imię, nazwisko, numer ewidencyjny PESEL, dane adresowe i telefoniczne.
6. W związku z bezskutecznością działań D., Bank wycofał w dniu […] lipca 2014 r. udzielone firmie zlecenie windykacyjne dotyczące długu Skarżącego. Zgodnie  z postanowieniami umów szczegółowych […], D. zobowiązany był dokonać zniszczenia danych papierowych dotyczących klientów Banku w terminie 30 dni  od ostatniego dnia miesiąca, w którym zakończono obsługę sprawy (§ 4 pkt 6.) Nadto, po upływie 6 miesięcy od ostatniego dnia miesiąca, w którym nastąpił zwrot sprawy, D. był zobowiązany do całkowitego usunięcia danych klienta, zachowanych w wersji elektronicznej (§ 4 pkt 7.) W związku z powyższym, wraz z końcem stycznia 2015 r. D. usunął całkowicie wszelkie dane osobowe dotyczące Skarżącego i w chwili obecnej nie przetwarza ich w żadnej formie.
7. Dane osobowe Skarżącego oraz obsługę jego zobowiązań, Bank przekazał następnie w dniu […] listopada 2014 r. Kancelarii Prawniczej M. Sp. k. Przekazanie nastąpiło  na podstawie umowy […] z dnia […] czerwca 2015 r., której przedmiotem było świadczenie przez Kancelarię na rzecz Banku obsługi prawnej polegającej m.in. na sporządzaniu i przesyłaniu do dłużników (w sprawach kierowanych  do postępowania nakazowego lub w innych sprawach uzgodnionych z Bankiem) wezwań do dobrowolnej zapłaty należności czy prowadzeniu negocjacji z dłużnikami, podpisywaniu  z nimi ugód, planów spłat oraz nadzorowaniu realizacji ich postanowień. Podstawę prawną przekazania danych osobowych Skarżącego Kancelarii, podobnie jak i w przypadku D., stanowił art. 6a ust. 1 pkt 1 lit. l) ustawy z dnia 29 sierpnia 1997 r. Prawo bankowe oraz  art. 31 ust. 1 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych. Kancelaria, działając jako podmiot przetwarzający, upoważniona została przez Bank do przetwarzania danych osobowych Skarżącego wyłącznie w zakresie i celu przewidzianym umową (§ 9 pkt 1). Zakres udostępnionych Kancelarii danych obejmował: imię i nazwisko Skarżącego, numer PESEL, numer dowodu osobistego, datę urodzenia, dane teleadresowe, miejsce zatrudnienia oraz dane związane z prowadzoną sprawą (tj. historię zadłużenia, rodzaje  i podstawy roszczenia, wysokość zobowiązania, sygnatury akt, daty związane  z roszczeniem, numer i dane dotyczące umowy zawartej przez Skarżącego z Bankiem H. S.A.
8. Umową przelewu wierzytelności z dnia […] listopada 2018 r., zawartą pomiędzy Bankiem  a H., Bank dokonał sprzedaży wierzytelności wynikającej z umowy Karty Kredytowej […] z dnia […] października 2003 r. W związku z powyższym, Bank przetwarza aktualnie dane osobowe Skarżącego, wynikające z ww. umowy na podstawie art. 6 ust. 1 lit. f) Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE oraz art. 118 ustawy z dnia 23 kwietnia 1964 r. Kodeks cywilny, w celach wynikających z prawnie uzasadnionych interesów realizowanych przez administratora, tj. w celu dochodzenia oraz obrony przed roszczeniami Skarżącego.
9. Kancelaria Prawnicza M. Sp. k. przetwarza obecnie dane osobowe Skarżącego, zgromadzone w związku z dochodzeniem na rzecz Banku H. S.A. zwrotu wierzytelności wynikającej z Umowy o Kartę Kredytową […] na podstawie art. 6 ust. 1 lit. c) Rozporządzenia 2016/679 w związku z art. 5c ust. 1 pkt 2 lit. c) ustawy z dnia z dnia 6 lipca 1982 r. o radcach prawnych w celu realizacji spoczywającego na Kancelarii obowiązku prawnego przechowywania danych osobowych, przetwarzanych przez radców prawnych w ramach wykonywania zawodu, przez okres 10 lat od końca roku, w którym zakończyło się postępowanie, w którym dane osobowe zostały zgromadzone. Dane osobowe Skarżącego przechowywane są przez kancelarię wyłącznie w postaci archiwalnej w formie elektronicznej, Kancelaria nie dokonuje na nich żadnych innych operacji przetwarzania.

W tym stanie faktycznym, Prezes Urzędu Ochrony Danych Osobowych (zwany dalej także: „Prezesem UODO”) zważył, co następuje.

Z dniem 25 maja 2018 r. w życie weszły przepisy ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych (Dz. U. z 2019 r., poz. 1781), zwanej dalej „u.o.d.o.”.

W myśl art. 160 ust. 1-3 u.o.d.o., postępowania prowadzone przez Generalnego Inspektora Ochrony Danych Osobowych, wszczęte i niezakończone przed dniem wejścia w życie niniejszej ustawy, prowadzone są przez Prezesa Urzędu Ochrony Danych Osobowych na podstawie ustawy  z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. z 2016 r. poz. 922 ze zm.), zwanej dalej także „ustawą 1997”, zgodnie z zasadami określonymi w ustawie z dnia 14 czerwca 1960 r. Kodeks postępowania administracyjnego (Dz. U. z 2020 r., poz. 256). Jednocześnie, czynności dokonane w postępowaniach, wszczętych i niezakończonych przed dniem wejścia w życie przepisów u.o.d.o., pozostają skuteczne.

Od dnia 25 maja 2018 r. zastosowanie ma również Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (Dz. Urz. UE L 119 z 04.05.2016, str. 1  ze zm. oraz Dz. Urz. UE L 127 z 23.05.2018, str. 2), zwane dalej „Rozporządzeniem 2016/679”.

Stosownie do art. 57 ust. 1 Rozporządzenia 2016/679, bez uszczerbku dla innych zadań określonych na jego mocy, każdy organ nadzorczy na swoim terytorium monitoruje i egzekwuje stosowanie tego rozporządzenia (lit. a) oraz rozpatruje skargi wniesione przez osobę, której dane dotyczą, lub przez umocowany przez nią – zgodnie z art. 80 Rozporządzeniem 2016/679 – podmiot, organizację lub zrzeszenie, w odpowiednim zakresie prowadzi postępowania  w przedmiocie tych skarg i w rozsądnym terminie informuje skarżącego o postępach i wynikach tych postępowań (lit. f).

Uwzględniając powyższe stwierdzić zatem należy, iż niniejsze postępowanie, wszczęte i niezakończone przed dniem 25 maja 2018 r., prowadzone jest na podstawie ustawy  z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (w zakresie dotyczącym przepisów regulujących procedurę administracyjną) oraz na podstawie Rozporządzenia 2016/679 (w zakresie rozstrzygającym o legalności procesu przetwarzania danych osobowych). Wynikający  z przepisów prawa sposób prowadzenia postępowań w sprawach rozpoczętych i niezakończonych przed dniem wejścia w życie nowych regulacji z zakresu ochrony danych osobowych koreluje  z ugruntowanym stanowiskiem doktryny, zgodnie z którym „organ administracji publicznej ocenia stan faktyczny sprawy według chwili wydania decyzji administracyjnej. Reguła ta odnosi się także do oceny stanu prawnego sprawy, co oznacza, że organ administracji publicznej wydaje decyzję administracyjną na podstawie przepisów prawa obowiązujących w chwili jej wydania” (Komentarz do ustawy z dnia 14 czerwca 1960 r. Kodeks postępowania administracyjnego  (Dz. U. 00.98.1071), M. Jaśkowska, A. Wróbel, Lex., el/2012).

W świetle przepisów Rozporządzenia 2016/679, przetwarzanie danych osobowych jest  zgodne z prawem, gdy spełniona zostanie którakolwiek z przesłanek wymienionych w art. 6 ust. 1 Rozporządzenia 2016/679 (stanowiącym odpowiednik obowiązującego do dnia 25 maja 2018 r.  art. 23 ust. 1 ustawy 1997), tj. gdy:

1. osoba, której dane dotyczą wyraziła zgodę na przetwarzanie swoich danych osobowych  w jednym lub większej liczbie określonych celów (analogicznie w art. 23 ust.1 pkt 1 ustawy 1997);
2. przetwarzanie jest niezbędne do wykonania umowy, której stroną jest osoba, której dane dotyczą, lub do podjęcia działań na żądanie osoby, której dane dotyczą, przed zawarciem umowy (analogicznie w art. 23 ust. 1 pkt 3 ustawy 1997);
3. przetwarzanie jest niezbędne do wypełnienia obowiązku prawnego ciążącego na administratorze (analogicznie w art. 23 ust. 1 pkt 2 ustawy 1997);
   przetwarzanie jest niezbędne do ochrony żywotnych interesów osoby, której dane dotyczą,  lub innej osoby fizycznej;
4. przetwarzanie jest niezbędne do wykonania zadania realizowanego w interesie publicznym  lub w ramach sprawowania władzy publicznej powierzonej administratorowi (analogicznie w art. 23 ust. 1 pkt 4 ustawy 1997) bądź wreszcie;
5. przetwarzanie jest niezbędne do celów wynikających z prawnie uzasadnionych interesów realizowanych przez administratora lub przez stronę trzecią, z wyjątkiem sytuacji, w których nadrzędny charakter wobec tych interesów mają interesy lub podstawowe prawa i wolności osoby, której dane dotyczą, wymagające ochrony danych osobowych, w szczególności gdy osoba, której dane dotyczą, jest dzieckiem (analogicznie w art. 23 ust. 1 pkt 5 ustawy 1997).

Przesłanki te odnoszą się do wszelkich form przetwarzania danych, w tym również  do ich udostępnienia. Warunki te są także względem siebie równoprawne, co oznacza, że dla legalności procesu przetwarzania danych wystarczające jest spełnienie jednego z nich.

Odnosząc się natomiast do przedmiotu niniejszej sprawy należy wyjaśnić, że aktem prawnym zawierającym szczegółowe regulacje dotyczące procesu przetwarzania danych osobowych klientów banków jest przede wszystkim ustawa z dnia 29 sierpnia 1997 r. – Prawo bankowe (Dz. U. z 2019 r. poz. 2357), zwana dalej: „Prawem bankowym”.

Zgodnie z brzmieniem art. 105a ust. 1 ww. aktu prawnego, przetwarzanie przez banki informacji stanowiących tajemnicę bankową w zakresie dotyczącym osób fizycznych może być wykonywane, z zastrzeżeniem art. 104, art. 105 i art. 106-106d, w celu oceny zdolności kredytowej i analizy ryzyka kredytowego. Pozyskiwanie informacji, o których mowa w wyżej przytoczonym przepisie prawa, służyć ma wypełnianiu przez banki, jako instytucje zaufania publicznego, ich ustawowych obowiązków związanych z koniecznością dokładania szczególnej staranności  w zakresie zapewnienia bezpieczeństwa przechowywanych środków pieniężnych, a także koniecznością należytego badania zdolności kredytowej, od której istnienia bank uzależnia udzielenie kredytu. Badanie zdolności kredytowej, na którą składa się zdolność do spłaty zobowiązań i wiarygodność kredytowa, jest niezwykle istotnym elementem działalności banku, służącym zmniejszeniu ryzyka udzielania trudnych kredytów.

Jednocześnie w myśl art.  104 ust. 1 Prawa bankowego bank, osoby w nim zatrudnione oraz osoby, za których pośrednictwem bank wykonuje czynności bankowe, są obowiązane zachować tajemnicę bankową, która obejmuje wszystkie informacje dotyczące czynności bankowej, uzyskane w czasie negocjacji, w trakcie zawierania i realizacji umowy, na podstawie której bank tę czynność wykonuje. Obowiązek, o którym mowa w ust. 1, nie dotyczy przypadków, w których następuje ujawnienie informacji objętych tajemnicą bankową przedsiębiorcom lub przedsiębiorcom zagranicznym, którym bank, zgodnie z art. 6a ust. 1 powierzył wykonywanie, stale lub okresowo, czynności związanych z działalnością bankową – w zakresie niezbędnym do należytego wykonywania tych czynności (art. 104 ust. 2 pkt 2 lit. a) Prawa bankowego). Wyjaśnienia w tym kontekście wymaga, iż zgodnie z uprawnieniem przyznanym przez ustawodawcę bank może, w drodze umowy zawartej na piśmie, powierzyć przedsiębiorcy lub przedsiębiorcy zagranicznemu, wykonywanie w imieniu i na rzecz banku pośrednictwa w zakresie czynności bankowych, polegającego m.in. na windykacji należności banku (art. 6a ust. 1 pkt 1  lit. l Prawa bankowego).

Odnosząc powyższe rozważania do ustalonych w toku postępowania istotnych okoliczności sprawy wskazać należy, że Bank pozyskał dane osobowe Skarżącego w związku z zawarciem umowy o Kartę Kredytową […] z dnia […] października 2003 r. Tym samym podstawę przetwarzania danych Skarżącego przez Bank stanowił w dacie z złożenia skargi art. 23 ust. 1 pkt 2 i 3 obowiązującej uprzednio ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych. Bank przetwarzał dane osobowe Skarżącego w oparciu o przepisy prawa, legitymując się przesłanką niezbędności przetwarzania do wypełnienia obowiązku prawnego ciążącego na administratorze (oceny zdolności kredytowej i analizy ryzyka kredytowego) oraz wykonania umowy, której stroną był Skarżący.

Obecnie natomiast – wobec faktu sprzedaży przez Bank wierzytelności wynikającej  z umowy Karty Kredytowej […] z dnia […] października 2003 r. na rzecz H.,  Bank przetwarza dane osobowe Skarżącego wynikające z ww. umowy na podstawie art. 6 ust. 1 lit. f) Rozporządzenia 2016/679 z dnia 27 kwietnia 2016 r. oraz art. 118 ustawy z dnia 23 kwietnia 1964 r. Kodeks cywilny, wyłącznie w celach wynikających z prawnie uzasadnionych interesów realizowanych przez administratora, tj. w celu dochodzenia oraz obrony przed roszczeniami Skarżącego.

Odnosząc się natomiast do podnoszonego przez Skarżącego zarzutu bezprawnego udostępnienia jego danych osobowych na rzecz D. oraz Kancelarii wyjaśnić należy, iż powierzenie przetwarzania danych osobowych nastąpiło zgodnie z przepisami o ochronie danych osobowych, w oparciu o normę wynikającą z art. 31 ustawy 1997. Zezwalała ona bowiem administratorowi danych (którym w niniejszej sprawie był Bank) na powierzenie innemu podmiotowi, w drodze umowy zawartej na piśmie, przetwarzania danych (art. 31 ust. 1) zastrzegając jedynie, że podmiot, któremu dane powierzono mógł je przetwarzać wyłącznie w zakresie i celu przewidzianym w umowie (art. 31 ust. 1 i 2 ustawy 1997). Z kolei od dnia  25 maja 2018 r. powierzenie przetwarzania danych znajduje umocowanie w art.  28 Rozporządzenia 2016/679, w myśl którego administrator może powierzyć innemu podmiotowi w drodze zawartej umowy, bądź innego instrumentu prawego, które podlegają prawu Unii lub prawu państwa członkowskiego i wiążą podmiot przetwarzający i administratora, określają przedmiot i czas trwania przetwarzania, charakter i cel przetwarzania, rodzaj danych osobowych oraz kategorie osób, których dane dotyczą, obowiązki i prawa administratora. Podmiot przetwarzający zobowiązany jest przy tym zapewnić wystarczające gwarancje wdrożenia odpowiednich środków technicznych i organizacyjnych, by przetwarzanie spełniało wymogi Rozporządzenia 2016/679 i chroniło prawa osób, których dane dotyczą.

Jak wynika z ustalonego stanu faktycznego, Bank korzystając z uprawnienia przewidzianego w cytowanym już uprzednio art. 6a ust. 1 pkt 1 lit. l Prawa bankowego oraz w oparciu o normę art. 31 ustawy 1997, powierzył D. oraz Kancelarii wykonywanie w imieniu i na rzecz Banku pośrednictwa w zakresie czynności bankowych, polegających na windykacji wierzytelności przysługującej Bankowi względem Skarżącego. Zasady pośrednictwa, jak również przekazania danych osobowych klientów Banku, strony unormowały poprzez zawarcie stosownych umów  – w zakresie współpracy Banku z D. były to: umowa […], umowa […] oraz umowa […] zawarte w dniu […] maja 2010 r., natomiast w zakresie współpracy Banku z Kancelarią umowa o świadczenie pomocy prawnej z dnia […] czerwca 2015 r. W ocenie Prezesa Urzędu Ochrony Danych Osobowych wyżej wymienione kontrakty, zarówno z uwagi na ich formę, jak i treść odpowiadały wymogom określonym w art. 31 ustawy 1997, dlatego też działania wskazanych firm windykacyjnych, związane z przetwarzaniem danych osobowych Skarżącego należy uznać za uprawnione. Zarówno D., jak i Kancelaria, działając z wyraźnego upoważnienia Banku, przetwarzały dane osobowe Skarżącego wyłącznie w zakresie i celu określonym zawartymi z Bankiem umowami w celu dochodzenia wymagalnych należności.

Jednocześnie należy wskazać, iż na dzień wydania niniejszej decyzji D. nie przetwarza już danych osobowych Skarżącego, które (stosownie do zapisów wiążących ją umów) zobowiązana była trwale usunąć w związku z wycofaniem przez Bank zlecenia windykacyjnego dotyczącego długu Skarżącego. Kancelaria z kolei przetwarza obecnie dane osobowe Skarżącego na podstawie art. 6 ust. 1 lit. c) Rozporządzenia 2016/679 w związku z art. 5c ust. 1 pkt 2 lit. c) ustawy z dnia z dnia 6 lipca 1982 r. o radcach prawnych w celu realizacji spoczywającego na Kancelarii obowiązku prawnego przechowywania danych osobowych, przetwarzanych przez radców prawnych w ramach wykonywania zawodu, przez okres 10 lat od końca roku, w którym zakończyło się postępowanie, w którym dane osobowe zostały zgromadzone. Dane osobowe Skarżącego przechowywane są przez kancelarię wyłącznie w postaci archiwalnej, Kancelaria nie dokonuje na niż żadnych innych operacji przetwarzania.

Konkludując powyższe, w ocenie Prezesa UODO nie ma podstaw do stwierdzenia, iż dane osobowe Skarżącego zostały udostępnione przez Bank na rzecz D. bądź Kancelarii w sposób niezgodny z przepisami o ochronie danych, zatem nie zaistniała w sprawie przesłanka niezbędna do wydania decyzji nakazującej przywrócenie stanu zgodnego z prawem.

Prezes UODO wskazuje natomiast, iż ewentualną regulacją na gruncie, której Skarżący może poszukiwać ochrony prawnej oraz dochodzić swych roszczeń jest ustawa z dnia 23 kwietnia 1964 r. Kodeks cywilny (Dz. U. z 2019 r., poz. 1145) zwana dalej „k.c.”. Stosownie bowiem  do treści art. 23 k.c. niezależnie od ochrony przewidzianej w innych przepisach, dobra osobiste człowieka, w tym również prawo do prywatności, pozostają pod ochroną prawa cywilnego. Przepis z art. 24 k.c. gwarantuje osobie, której dobro osobiste zostało zagrożone, uprawnienie  do wystąpienia z żądaniem zaniechania działania naruszającego dobro osobiste, a w razie już dokonanego naruszenia żądania, ażeby osoba, która dopuściła się naruszenia, dopełniła czynności potrzebnych do usunięcia jego skutków. Jednocześnie w myśl art. 448 k.c., w razie naruszenia dobra osobistego sąd może przyznać temu, czyje dobro zostało naruszone odpowiednią sumę tytułem zadośćuczynienia za doznaną krzywdę lub na jego żądanie zasądzić odpowiednią sumę pieniężną na wskazany przez niego cel społeczny, niezależnie od innych środków potrzebnych  do usunięcia skutków naruszenia. Dlatego też, jeżeli w ocenie Skarżącego doszło do naruszenia jego dóbr osobistych poprzez udostępnienie jego danych osobowych firmom podejmującym w imieniu Banku działania windykacyjne, których intensyfikacja miała doprowadzić do pogorszenia stanu zdrowia Skarżącego, może on dochodzić swoich roszczeń z tego tytułu w drodze powództwa cywilnego wytoczonego przed właściwy miejscowo sąd powszechny.

W tym stanie faktycznym i prawnym Prezes Urzędu Ochrony Danych Osobowych rozstrzygnął, jak na wstępie.

Na podstawie art. 127 § 3 k.p.a. od decyzji przysługuje stronie prawo do wniesienia wniosku o ponowne rozpatrzenie sprawy w terminie 14 dni od dnia jej doręczenia stronie. Jeżeli strona nie chce skorzystać z prawa do złożenia wniosku o ponowne rozpatrzenie sprawy, ma prawo do wniesienia skargi na decyzję do Wojewódzkiego Sądu Administracyjnego w Warszawie w terminie 30 dni od dnia doręczenia jej stronie. Skargę wnosi się za pośrednictwem Prezesa Urzędu Ochrony Danych Osobowych (adres: ul. Stawki 2, 00-193 Warszawa).

Wpis od skargi wynosi 200 złotych. Strona ma prawo ubiegania się o prawo pomocy, w tym zwolnienie od kosztów sądowych.