Decyzja

Na podstawie art. 104 § 1 ustawy z dnia 14 czerwca 1960 r. Kodeks postępowania administracyjnego (Dz. U. z 2018 r. poz. 2096 ze zm.), art. 160 ust. 1 i 2 ustawy o ochronie danych osobowych z dnia 10 maja 2018 roku (Dz. U. z 2019, poz. 1781) oraz art. 12 pkt 2, art. 22  ustawy z dnia 29 sierpnia 1997 o ochronie danych osobowych (Dz. U. z 2016 r. poz. 922 ze zm.  oraz z 2018 r. poz. 138), w związku z art. 6 ust. 1 lit. c, f  Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (Dz. Urz. UE L 119 z 04.05.2016, str. 1 oraz Dz. Urz. UE L 127 z 23.05.2018, str. 2), w związku art. 105 a 4, 5 ustawy z dnia 29 sierpnia 1997 r. Prawo bankowe (Dz. U. z 2018 r. poz. 2187 z późn. zm.) po przeprowadzeniu postępowania administracyjnego w sprawie skargi I. F. na przetwarzanie jej danych osobowych bez podstawy prawnej przez G. S.A. A. S.A. T. S.A. reprezentujące D., B. S.A., Prezes Urzędu Ochrony Danych Osobowych

odmawia uwzględnienia wniosku.

UZASADNIENIE

Do Prezesa Urzędu Ochrony Danych Osobowych (poprzednio Generalnego Inspektora Ochrony Danych Osobowych) wpłynęła skarga Pani I. F., zwana dalej „Skarżącą” na uchybienia w procesie przetwarzanie jej danych osobowych przez G. S.A., zwany dalej również „G.”, A. S.A, zwany dalej również „A.”, D., zwany dalej również: „F.”, w tym na ich udostępnienie B. S.A., zwanym dalej: „B.”.

Skarżąca wskazała w treści skargi, że G., A. oraz F. prowadzą wobec niej czynności celem wyegzekwowania spłaty kredytu konsumpcyjnego gotówkowego, który został zaciągnięty przez nieznaną osobę posługującą się jej skradzionym dowodem osobistym. Ponadto zarzuciła ww. podmiotom, że bezpodstawnie przetwarzają jej dane osobowe  i udostępniają je do B.  

W związku z powyższym Skarżąca  wniosła cyt. „o podjęcie postępowania w niniejszej sprawie przez Generalnego Inspektora Danych Osobowych […] przeciwko osobom winnym dopuszczenia się uchybień i naruszenia obowiązujących przepisów prawa w procesie przetwarzania moich danych osobowych oraz wykreślenie mnie przez G. S.A. […], A. S.A. oraz D. z wszelkich list dłużników w tym z B. […]”.

W celu ustalenia okoliczności przedmiotowej sprawy Prezes Urzędu Ochrony Danych Osobowych wszczął postępowanie wyjaśniające. Na podstawie zebranego w sprawie materiału dowodowego ustalono następujący stan faktyczny:

1. Skarżąca zawiadomiła o podejrzeniu popełnienia przestępstwa w dniu […] marca 2014 roku Komisariat Policji III w G. w sprawie podrobienia jej podpisów na umowach kredytowych: A. S.A. z dnia […] stycznia 2006 roku (nr [….]) i C. S.A. tj. o przestępstwo z art. 270 § 1 ustawy z dnia 6 czerwca 1997 roku Kodeks Karny (Dz.U. 2019, poz. 1950,2128, z 2020 r. poz. 568), zwany dalej: Kodeks karny. Postępowanie prowadzone przez Prokuraturę Rejonową G. W. (sygn. […]) zakończyło się umorzeniem postępowania wskutek niewykrycia sprawcy.

2. Z wyjaśnień G. S.A. złożonych w piśmie z dnia […] grudnia 2017 roku wynika, że pozyskał dane osobowe Skarżącej w związku z zawarciem przez nią w dniu […] stycznia 2006 roku umowy kredytu gotówkowego konsumpcyjnego nr […], NRB […] i przetwarzał dane osobowe Skarżącej na podstawie art. 5 i 6 ustawy z dnia 29 sierpnia 1997 roku Prawo bankowe (Dz. U. z 2019 r., poz. 2357, z 2020 r., poz. 284 ze zm.), zwanej dalej: „Prawo bankowe”. Ponadto A. w ww. piśmie tym oświadczył, że przetwarzał dane osobowe Skarżącej na podstawie art. 23 ust. 1 pkt 2 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych, zwanej dalej „ustawą z 1997 roku” w związku z art. 105a ust. 3 Prawa bankowego po uprzednim poinformowaniu Skarżącej o zamiarze przetwarzania jej danych osobowych bez zgody w okresie 5 lat od wygaśnięcia zobowiązania kredytowego A. wskazał w wyjaśnieniach, że po cyt. „zakończeniu korzystania przez Skarżącą z produktu bankowego” przetwarzał jej dane osobowe na podstawie art. 23 ust. 1 pkt 2 ustawy z 1997 roku w związku z art. 74 ust. 2 pkt 8 ustawy z dnia 29 września 1994 roku o rachunkowości (Dz.U. z 2019, poz. 351 ze zm.), zwanej dalej: "u.o.r." przez okres 5 lat, w związku z art. 8 a ust. 2 ustawy z dnia 16 listopada 2000 roku o przeciwdziałaniu praniu pieniędzy i finansowaniu terroryzmu (Dz.U. z 2016 r., poz. 299 ze zm.) – obecnie art. 49 ust. 1 ustawy  z dnia 1 marca 2018 roku o przeciwdziałaniu prania brudnych pieniędzy oraz finansowaniu terroryzmu (Dz.U. z 2018 r., poz. 723), zwanej dalej: „ustawą o przeciwdziałaniu prania brudnych pieniędzy oraz finansowaniu terroryzmu”, w związku z art. 118 ustawy z dnia 23 kwietnia 1964 roku Kodeks cywilny (Dz.U. z 2019 r., poz. 1145 ze zm.), zwanej dalej: „Kodeks cywilny” oraz ustawy z dnia 14 lipca 1983 roku o narodowym zasobie archiwalnym i archiwach (Dz.U. z 2020 r., poz. 164), zwanej dalej: „ustawą o narodowym zasobie archiwalnym i archiwach”.

3. W piśmie z dnia […] grudnia 2017 roku A. wyjaśnił, że na podstawie umowy sprzedaży wierzytelności z dnia […] września 2011 roku F. nabył zobowiązanie Skarżącej i stał się wierzycielem (cesja wierzytelności). Zakres pozyskanych danych osobowych obejmował: nazwiska i imiona, imiona rodziców, data urodzenia, miejsce urodzenia, adres zamieszkania lub pobytu, PESEL, NIP, miejsce pracy, seria i numer dowodu osobistego, numer telefonu, adres mailowy, adres do korespondencji, nr dokumentów księgowych, umów, z których wynika zadłużenie, składniki zadłużenia (salda, odsetki, inne składniki zadłużenia). Ponadto w piśmie z dnia […] grudnia 2019 roku D. poinformował, że przetwarzanie danych osobowych osób zadłużonych stanowi prawnie uzasadniony interes F. i znajduje uzasadnienie w art. 193 ustawy z dnia 27 maja 2004 roku o funduszach inwestycyjnych i zarządzaniu alternatywnymi funduszami inwestycyjnymi (Dz.U. z 2004 roku nr 146 poz. 1546 ze zm.), zwanej dalej: ”u.f.i”. Obecnie F. przetwarza dane osobowe Skarżącej na podstawie art. 74 ust. 2 pkt. 4 u.o.r. – tj. jako dowód  księgowy dotyczący środków trwałych w budowie, pożyczek, kredytów oraz umów handlowych, roszczeń dochodzonych w postępowaniu cywilnym lub objętych postępowaniem karnym albo podatkowym - przez 5 lat od początku roku następującego po roku obrotowym, w którym operacje, transakcje i postępowanie zostały ostatecznie zakończone, spłacone, rozliczone lub przedawnione.

4. B. wyjaśnił w piśmie z dnia […] grudnia 2017 roku, że dane osobowe Skarżącej zostały przekazane przez A. w dniu […] stycznia 2012 roku zgodnie z art. 105 ust. 4 ustawy Prawa bankowego na podstawie łączącej strony umowy. Obecnie B. przetwarza dane osobowe Skarżącej na podstawie art. 105 a ust. 4 Prawa bankowego, tj. do celów stosowania metod wewnętrznych i innych modeli, o których mowa w części trzeciej rozporządzenia nr 575/2013, w zakresie zapytań kredytowych, monitorujących oraz zarządzania klientem.

5. Pismem z dnia […] grudnia 2017 roku G. wskazał, ze przedmiotem jej działalności jest doprowadzenie do zaspokojenia wierzytelności przysługujących Funduszowi, co stanowiło usprawiedliwiony cel do przetwarzania danych osobowych Skarżącej na podstawie art. 23 ust. 1 pkt 5 w zw. z art. 23 ust. 4 pkt. 2 ustawy z 1997 roku. G. ponadto wyjaśnił, że dane osobowe Skarżącej zostały jej przekazane w związku z realizacja umowy zlecenia z dnia [...] września 2015 roku na zarządzanie całością portfela inwestycyjnego Funduszu. Jednocześnie G. w piśmie  z […] grudnia 2017 roku wskazał, że po otrzymaniu dokumentów świadczących, że Skarżąca nie jest zobowiązana do zapłaty dochodzonej należności, wstrzymała wszelkie działania windykacyjne  i pismem z dnia […] września 2017 roku poinformował o tym fakcie Skarżącą. G. oświadczył, że aktualnie nie przetwarza jej danych osobowych.

6. Pismem z dnia […] listopada 2019 roku D. wyjaśnił, że na podstawie decyzji zgromadzenia inwestorów F. oraz zawartej w dniu […] października 2017 roku umowy o przejęcie zarządzania F. nastąpiła zmiana towarzystwa zarządzającego na S. S.A., zwanym dalej: „S.”. Po przejęciu zarządzania F. dane osobowe Skarżącej zostały powierzone G. na podstawie umowy z dnia […] grudnia 2017 roku o zarządzanie portfelem inwestycyjnym obejmującym sekurytyzowane wierzytelności F. zarządzanego przez S. oraz umowy powierzenia przetwarzania danych osobowych z dnia […] maja 2018 roku zawartej miedzy F. a S.

7. Z wyjaśnień D. z dnia […] listopada 2019 roku ponadto wynika, że F. udostępnił ponownie dane osobowe Skarżącej do G. na podstawie umowy przelewu wierzytelności należących do F. z dnia […] czerwca 2017 roku. Ponadto F. udostępnił dane osobowe Skarżącej na podstawie art. 281 ust. 2 u.f.i., zgodnie, z którym „informacje stanowiące tajemnicę zawodową mogą być ujawniane Generalnemu Inspektorowi Kontroli Skarbowej w związku z toczącym się przed organem kontroli skarbowej postępowaniem w sprawie o przestępstwo skarbowe lub o wykroczenie skarbowe, jeżeli są niezbędne w toczącym się postępowaniu”. W dniu […] czerwca 2019 roku doszło do złożenia oświadczenia o odstąpieniu od powyższej umowy. F. nie udostępniał danych osobowych Skarżącej do B.

W tym stanie faktycznym Prezes Urzędu Ochrony Danych Osobowych zważył, co następuje.

Z dniem 25 maja 2018 r. w życie weszły przepisy ustawy z dnia 10 maja 2018 roku o ochronie danych osobowych (Dz.U. 2019 poz. 1781), zwanej dalej „ustawą”.

W myśl art. 160 ust. 1-3 ustawy, postępowania prowadzone przez Generalnego Inspektora Ochrony Danych Osobowych, wszczęte i niezakończone przed dniem wejścia w życie niniejszej ustawy, prowadzone są przez Prezesa Urzędu Ochrony Danych Osobowych na podstawie ustawy, zgodnie z zasadami określonymi w ustawie z dnia 14 czerwca 1960 r. Kodeks postępowania administracyjnego (Dz. U. z 2018 r. poz. 2096 ze zm.), zwanej dalej „K.p.a”. Jednocześnie, czynności dokonane w postępowaniach, wszczętych i niezakończonych przed dniem wejścia w życie przepisów ustawy, pozostają skuteczne.

Od dnia 25 maja 2018 r. zastosowanie ma również rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (Dz. Urz. UE L 119 z 04.05.2016, str. 1 ze zm.), zwane dalej „Rozporządzeniem 2016/679”.

Uwzględniając powyższe stwierdzić zatem należy, iż niniejsze postępowanie, wszczęte i niezakończone przed dniem 25 maja 2018 r., prowadzone jest na podstawie ustawy z 1997 roku (w zakresie dotyczącym przepisów regulujących procedurę administracyjną) oraz na podstawie Rozporządzenia 2016/679 (w zakresie rozstrzygającym o legalności procesu przetwarzania danych osobowych). Wynikający w przepisów prawa sposób prowadzenia postępowań w sprawach rozpoczętych i nie zakończonych przed dniem wejścia w życie nowych regulacji z zakresu ochrony danych osobowych koreluje z ugruntowanym stanowiskiem doktryny, zgodnie z którym „organ administracji publicznej ocenia stan faktyczny sprawy według chwili wydania decyzji administracyjnej. Reguła ta odnosi się także do oceny stanu prawnego sprawy, co oznacza, że organ administracji publicznej wydaje decyzję administracyjną na podstawie przepisów prawa obowiązujących w chwili jej wydania” (Komentarz do ustawy z dnia 14 czerwca 1960 r. Kodeks postępowania administracyjnego (Dz. U. 00.98.1071) M. Jaśkowska, A. Wróbel, Lex., el/2012).

W wyroku z dnia 7 maja 2008 r. w sprawie o sygn. akt I OSK 761/07 Naczelny Sąd Administracyjny stwierdził, iż „badając […] legalność przetwarzania danych osobowych, GIODO ma obowiązek ustalenia, czy na datę wydawania rozstrzygnięcia w sprawie dane konkretnego podmiotu są przetwarzane oraz czy czynione to jest w sposób zgodny z prawem”.

W czasie, gdy miało miejsce zdarzenie opisane przez Skarżącą, obowiązywała ustawa z 1997 roku. Po 25 maja 2018 roku zastosowanie mają przepisy Rozporządzenia 2016/679. Przepisem o zasadniczym znaczeniu dla oceny legalności procesu przetwarzania danych osobowych był art. 23 ust. 1 ustawy z 1997 roku (odpowiednio art. 6 ust.1 Rozporządzenia 2016/679). Zgodnie wyżej wymienionym przepisem przetwarzanie danych osobowych jest zgodne z prawem wówczas, gdy administrator danych spełnia jeden z warunków wymienionych w tym artykule, tj. gdy:

1. osoba, której dane dotyczą, wyraziła na to zgodę, chyba że chodzi o usunięcie dotyczących jej danych (odpowiednio art. 6 ust.1 lit. a Rozporządzenia 2016/679),
2. jest to niezbędne dla zrealizowania uprawnienia lub spełnienia obowiązku wynikającego z przepisu prawa (odpowiednio art. 6 ust.1lit. c Rozporządzenia 2016/679),
3. jest to konieczne do realizacji umowy, gdy osoba, której dane dotyczą jest jej stroną lub gdy jest to niezbędne do podjęcia działań przed zawarciem umowy na żądanie osoby, której dane dotyczą (odpowiednio art. 6 ust.1 lit. b Rozporządzenia 2016/679),
4. jest to niezbędne do wykonania określonych prawem zadań realizowanych dla dobra publicznego (odpowiednio art. 6 ust.1 lit. e Rozporządzenia 2016/679),
5. jest to niezbędne dla wypełnienia prawnie usprawiedliwionych celów realizowanych przez administratorów danych albo odbiorców danych, a przetwarzanie nie narusza praw i wolności osoby, której dane dotyczą (odpowiednio art. 6 ust.1 lit. f Rozporządzenia 2016/679).

Należy dodać, że przesłanki te odnoszą się do wszelkich form przetwarzania danych wymienionych w art. 7 ust. 2 ustawy z 1997 roku, w tym do ich udostępnienia. Każda z wyżej wymienionych przesłanek legalizujących proces przetwarzania danych osobowych ma charakter autonomiczny i niezależny od siebie. Oznacza to, że spełnienie choć jednej z nich warunkuje zgodne z prawem przetwarzanie danych osobowych.

Aktem prawnym zawierającym szczegółowe regulacje dotyczące procesu przetwarzania danych osobowych przez banki jest przede wszystkim Prawo bankowe. Ocena legalności przetwarzania danych osobowych Skarżącego przez Bank, a także przez B. musi być zatem dokonywana w powiązaniu z przepisami Prawa bankowego.

Odnosząc się do legalności przetwarzania danych osobowych Skarżącej przez Bank jak i B. wskazać należy, że dane osobowe Skarżącej przekazane zostały do B. zgodnie z art. 105 ust. 4 ustawy  z dnia 29 sierpnia 1997 roku Prawo bankowe (Dz.U. 2018, poz. 2187 ze zm.).  W świetle tego przepisu „banki mogą, wspólnie z bankowymi izbami gospodarczymi, utworzyć instytucje upoważnione do gromadzenia, przetwarzania i udostępniania: bankom informacji stanowiących tajemnicę bankową w zakresie, w jakim informacje te są potrzebne w związku z wykonywaniem czynności bankowych oraz w związku ze stosowaniem metod wewnętrznych oraz innych metod i modeli, o których mowa w części trzeciej rozporządzenia nr 575/2013, innym instytucjom ustawowo upoważnionym do udzielania kredytów informacji stanowiących tajemnicę bankową w zakresie, w jakim informacje te są niezbędne w związku z udzielaniem kredytów, pożyczek pieniężnych, gwarancji bankowych i poręczeń (pkt 2), instytucjom kredytowym informacji stanowiących tajemnicę bankową w zakresie niezbędnym do oceny zdolności kredytowej konsumenta, o której mowa w art. 9 ustawy z dnia 12 maja 2011 r. o kredycie konsumenckim (pkt 3), instytucjom pożyczkowym i podmiotom, o których mowa w art. 59d ustawy z dnia 12 maja 2011 r. o kredycie konsumenckim na zasadzie wzajemności, informacji stanowiących odpowiednio tajemnice bankową oraz informacje udostępnione przez instytucje pożyczkowe oraz podmioty, o których mowa w art. 59d ustawy z dnia 12 maja 2011 r. o kredycie konsumenckim, w zakresie niezbędnym do oceny zdolności kredytowej konsumenta, o której mowa w art. 9 tej ustawy, i analizy ryzyka kredytowego (pkt 4)”.

Natomiast zgodnie z art. 105a ust. 3 Prawa bankowego – „banki, instytucje oraz podmioty, o których mowa w ust. 1, mogą przetwarzać informacje stanowiące tajemnicę bankową i informacje udostępnione przez instytucje pożyczkowe oraz podmioty, o których mowa w art. 59d ustawy z dnia 12 maja 2011 r. o kredycie konsumenckim, dotyczące osób fizycznych po wygaśnięciu zobowiązania wynikającego z umowy zawartej z bankiem, inną instytucją ustawowo upoważnioną do udzielania kredytów, instytucją pożyczkową lub podmiotem, o którym mowa w art. 59d ustawy z dnia 12 maja 2011 r. o kredycie konsumenckim, bez zgody osoby, której informacje dotyczą, gdy osoba ta nie wykonała zobowiązania lub dopuściła się zwłoki powyżej 60 dni w spełnieniu świadczenia wynikającego z umowy zawartej z bankiem, inną instytucją ustawowo upoważnioną do udzielania kredytów, instytucją pożyczkową lub podmiotem, o którym mowa w art. 59d ustawy z dnia 12 maja 2011 r. o kredycie konsumenckim, a po zaistnieniu tych okoliczności upłynęło co najmniej 30 dni od poinformowania tej osoby przez bank, inną instytucję ustawowo upoważnioną do udzielania kredytów, instytucję pożyczkową albo podmiot, o którym mowa w art. 59d ustawy z dnia 12 maja 2011 r. o kredycie konsumenckim, o zamiarze przetwarzania dotyczących jej tych informacji, bez jej zgody”.

W treści skargi Skarżąca wniosła o usunięcie jej danych osobowych przetwarzanych przez A., który pozyskał jej dane osobowe na podstawie umowy kredytu konsumpcyjnego gotówkowego nr […] z 2006 roku, tj. na podstawie art. 23 ust. 3 ustawy z 1997 roku. Skarżąca  figurująca na ww. umowie jako kredytobiorca złożyła zawiadomienie o popełnieniu przestępstwa    z art. 270 § 1 Kodeks karny – podrobienie jej podpisu. Brak dowodów pozwalających na stwierdzenie, przez kogo rzeczywiście podpis został złożony i tym samym, kto był sprawcą przestępstwa podrobienia podpisu spowodowało, że postępowanie karne prowadzone przez Prokuraturę Rejonową G. – W. w sprawie o sygn. akt […] zostało umorzone z powodu niewykrycia sprawcy. W przedmiotowej sprawie do czasu umorzenia postępowania prowadzonego przez Prokuraturę Rejonową G. – W. tj. do […] października 2014 roku A. pozostawał w błędzie co do osoby kredytobiorcy. Ponadto jak wyjaśnił A. przetwarzał dane osobowe Skarżącej na podstawie art. 23 ust. 1 pkt 2 ustawy z 1997 roku w związku z art. 105 a ust. 3 Prawa bankowego po uprzednim poinformowaniu Skarżącej o zamiarze przetwarzania jej danych osobowych bez zgody w okresie 5 lat od wygaśnięcia zobowiązania kredytowego. W dniu […] stycznia 2012 roku A. przekazał dane osobowe Skarżącej do B. na podstawie art. 23 ust. 1 pkt 2 ustawy z 1997 roku, tj. przepisu prawa – art. 105 Prawa bankowego.

Obecnie A. przetwarza dane osobowe Skarżącej na podstawie art. 6 ust. 1 lit. c w związku z art. 74 ust. 2 pkt 8 ustawy z dnia 29 września 1994 roku o rachunkowości (dalej także "u.o.r.") przez okres 5 lat, w związku z art. 8 a ust. 2 ustawy z dnia 16 listopada 2000 roku o przeciwdziałaniu praniu pieniędzy i finansowaniu terroryzmu (Dz.U. z 2016 r., poz. 299 ze zm.) – obecnie art. 49 ust. 1 ustawy z dnia 1 marca 2018 roku o przeciwdziałaniu prania brudnych pieniędzy oraz finansowaniu terroryzmu. Zgodnie z tym przepisem „instytucje obowiązane przechowują przez okres 5 lat, licząc od pierwszego dnia roku następującego po roku, w którym zakończono stosunki gospodarcze z klientem lub w którym przeprowadzono transakcje okazjonalne: 1) kopie dokumentów i informacje uzyskane w wyniku stosowania środków bezpieczeństwa finansowego; 2) dowody potwierdzające przeprowadzone transakcje i ewidencje transakcji, obejmujące oryginalne dokumenty lub kopie dokumentów konieczne do identyfikacji transakcji”. Ponadto A. wskazał, że przetwarza dane osobowe Skarżącej na podstawie art. 6 ust. 1 lit. c w związku z art. 118 Kodeksu cywilnego tj. w związku z roszczeniami Skarżącej oraz ustawy o narodowym zasobie archiwalnym i archiwach,  w celach archiwalnych.

Ustosunkowując się natomiast do żądania Skarżącej usunięcia jej danych z B. należy wskazać, że B. jest uprawniony do przetwarzania danych osobowych na podstawie art. 6 ust.1 lit. c Rozporządzenia 2016/679 tj. przetwarzanie jest niezbędne do wypełnienia obowiązku prawnego ciążącego na administratorze. Obowiązek prawny wynika z  art. 105 a ust. 4 i 5 Prawa bankowego (tj. do celów stosowania metod wewnętrznych i innych modeli, o których mowa w części trzeciej rozporządzenia nr 575/2013). Dane osobowe Skarżącej stanowiące tajemnicę bankową będą więc przetwarzane przez okres 12 lat po wygaśnięcia zobowiązań wynikających z umowy zawartej z Getin Noble Bank.

Odnosząc powyższe do ustalonego w sprawie stanu faktycznego, wskazać należy, że Spółka pozyskała dane osobowe Skarżącej w związku z zawarciem przez F. z A. warunkowej umowy sprzedaży wierzytelności z […] września 2011 roku. Powyższe znajduje uzasadnienie w art. 509 § 1 Kodeksu cywilnego, zgodnie, z którym wierzyciel może bez zgody dłużnika przenieść wierzytelność na osobę trzecią (przelew wierzytelności), chyba że sprzeciwiałoby się to ustawie, zastrzeżeniu umownemu albo właściwości zobowiązania. Na mocy powyższej umowy F. nabył od A. wierzytelność wobec Skarżącej. Cesja wierzytelności wiąże się z uprawnieniem do przekazania nabywcy danych osobowych dłużnika umożliwiających podjęcie względem niego stosowanych działań zmierzających do odzyskania należności. Powyższa dopuszczalność przelewu wierzytelności nie podlegała ograniczeniom umownym ani ustawowym. Nie była również wymagana zgoda Skarżącej na przelew wierzytelności. W tym miejscu wymaga powołania stanowisko Naczelnego Sądu Administracyjnego orzekającego w składzie 7 sędziów, który w wyroku z dnia 6 czerwca 2005 r. (OPS 2/2005), wskazał, że przekazanie danych osobowych dłużników firmom windykacyjnym może nastąpić bez ich zgody, nie naruszając przy tym ochrony danych osobowych, które należy uznać za aktualne w odniesieniu do przedmiotowej sprawy.

Odnosząc się do żądania Skarżącej usunięcia jej danych osobowych przez F. należy wskazać, że stał się on administratorem przekazanych danych na podstawie wyżej wskazanej umowy, przetwarzając je w celu windykacji nabytych należności. Zatem przesłanką legalizującą pozyskanie danych osobowych Skarżącej przez Fundusz był art. 23 ust. 1 pkt. 2 ustawy z 1997 roku,  a mianowicie przepis prawa – cesja wierzytelności. W przypadku przetwarzania danych przez Fundusz przed 25 maja 2018 r. podstawą prawną był art. 23 ust.1 pkt. 5 ustawy 1997 roku, a obecnie jest to art. 6 ust. 1 lit. f Rozporządzenia 2016/679 zgodnie z którym „przetwarzanie jest niezbędne do celów wynikających z prawnie uzasadnionych interesów realizowanych przez administratora lub przez stronę trzecią, z wyjątkiem sytuacji, w których nadrzędny charakter wobec tych interesów mają interesy lub podstawowe prawa i wolności osoby, której dane dotyczą, wymagające ochrony danych osobowych, w szczególności gdy osoba, której dane dotyczą, jest dzieckiem”. Dochodzenie przez podmiot roszczeń finansowych jest prawnie uzasadnionym interesem i w tym sensie nadrzędnym nad prawami i wolnościami osoby, której dane dotyczą.

Ponadto przesłanką legalizująca przetwarzanie danych osobowych przez F. jest art. 6 ust.1 lit. c Rozporządzenia 2016/679 w związku z art. 193  u.f.i, zgodnie z którym „Fundusz sekurytyzacyjny oraz podmiot, z którym towarzystwo zawarło umowę o zarządzanie sekurytyzowanymi wierzytelnościami, zbierają i przetwarzają dane osobowe dłużników sekurytyzowanych wierzytelności jedynie w celach związanych z zarządzaniem wierzytelnościami sekurytyzowanymi”.

Obecnie F. przetwarza dane osobowe Skarżącej na podstawie art. 6 ust.1 lit. f Rozporządzenia 2016/679 w związku 74 ust. 2 pkt. 4 u.o.r. – tj. jako dowód  księgowy dotyczący środków trwałych w budowie, pożyczek, kredytów oraz umów handlowych, roszczeń dochodzonych w postępowaniu cywilnym lub objętych postępowaniem karnym albo podatkowym - przez 5 lat od początku roku następującego po roku obrotowym, w którym operacje, transakcje i postępowanie zostały ostatecznie zakończone, spłacone, rozliczone lub przedawnione.

Ustosunkowując się do żądania Skarżącej usunięcia jej danych osobowych przetwarzanych przez G. należy wskazać, że pozyskał on dane osobowe Skarżącej w związku z realizacja umowy zlecenia z dnia […] września 2015 roku na zarządzanie całością portfela inwestycyjnego F.– celem doprowadzenia do zaspokojenia wierzytelności przysługujących F. Przesłanką legalizującą przetwarzanie danych osobowych Skarżącej przez G., był art. art. 31  ustawy 1997 roku , a obecnie art. 28 Rozporządzenia 2016/679, zgodnie z którym przetwarzanie przez podmiot przetwarzający odbywa się na podstawie umowy lub innego instrumentu prawnego, który wiąże podmiot przetwarzający i administratora, określa przedmiot i czas trwania przetwarzania, charakter i cel przetwarzania, rodzaj danych osobowych oraz kategorie osób, których dane dotyczą oraz obowiązki i prawa administratora.

Ponadto jak wyjaśnił G. przesłanką legalizującą przetwarzanie danych osobowych Skarżącej był art. 23 ust. 1 pkt. 5 w zw. z art. 23 ust. 4 pkt. 2 ustawy z 1997 rok przetwarzanie danych osobowych Skarżącej było usprawiedliwione dochodzeniem roszczeń przez G. w imieniu F. G. zaprzestał przetwarzania danych osobowych Skarżącej i wstrzymał wszelkie działania windykacyjne […] września 2018 roku po ustaleniu, że Skarżąca nie jest zobowiązana do zapłaty długu.

Reasumując powyższe rozważania należy stwierdzić, że nie ma podstaw do wydania przez Prezesa Urzędu Ochrony Danych Osobowych decyzji nakazującej usunięcie danych osobowych Skarżącej zgodnie z art. 18 ust. 1 pkt 6 ustawy 1997 roku. Skarżąca oparła swoje żądanie usunięcia danych na fakcie, że podpis pod umową był sfałszowany i to nie ona zawarła umowę kredytu. Prezes Urzędu Ochrony Danych Osobowych nie jest właściwy do rozstrzygania w przedmiocie istnienia lub nieistnienia stosunku prawnego pomiędzy Skarżącą a A., a przedstawione przez nią postanowienie o umorzeniu postępowania z powodu niewykrycia sprawcy nie jest dowodem na to, że to nie ona podpisała się pod umową. Dowodem takim może być wyrok sądu w sprawie karnej, który wskaże sprawcę, bądź wyrok sądu cywilnego z powództwa o ustalenie istnienia lub nieistnienia stosunku prawnego. W związku z tym, że Skarżąca nie przedstawiła dowodu na to, że to nie ona jest stroną umowy kredytowej, Prezes dokonał oceny legalności przetwarzania danych przez podmioty określone w skardze w oparciu o zgromadzone w materiale dowodowym oświadczenia i dokumenty i nie dopatrzył się uchybień w przetwarzaniu danych osobowych Skarżącej. Przetwarzanie jej danych osobowych znalazło oparcie w przepisach ustawy z 1997 roku oraz przepisach Rozporządzenia 2016/679.

Mając na uwadze powyższe należy uznać, że nie zaistniała żadna z przesłanek do wydania przez Prezesa UODO decyzji nakazującej przywrócenie stanu zgodnego z prawem, zasadnym jest więc wydanie decyzji odmawiającej uwzględnienia wniosku.

W tym stanie faktycznym i prawnym Prezes UODO rozstrzygnął, jak w sentencji.

Na podstawie art. 127 § 3 Kpa od niniejszej decyzji stronie przysługuje prawo do wniesienia wniosku o ponowne rozpatrzenie sprawy w terminie 14 dni od dnia doręczenia decyzji stronie. Jeżeli strona nie chce skorzystać z prawa do złożenia wniosku o ponowne rozpatrzenie sprawy, ma prawo do wniesienia skargi na decyzję do Wojewódzkiego Sądu Administracyjnego w Warszawie w terminie 30 dni od dnia doręczenia jej stronie. Skargę wnosi się za pośrednictwem Prezesa Urzędu Ochrony Danych Osobowych (adres: ul. Stawki 2, 00-193 Warszawa). Wpis od skargi wynosi 200 złotych. Strona ma prawo ubiegania się o prawo pomocy, w tym zwolnienie od kosztów sądowych.