Na podstawie art. 104 § 1 ustawy z dnia 14 czerwca 1960 r. Kodeks postępowania administracyjnego (Dz. U. z 2018 r., poz. 2096 ze zm.) w zw. z art. 12 pkt 2) ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz.U. z 2016 r. poz. 922 ze zm.) i art. 160 ust. 1 i 2 ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych (Dz. U. z 2018 r., poz. 1000 ze zm.) oraz art. 7 i art. 57 ust. 1 pkt f) w zw. z art. 6 ust. 1 lit. f) rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (Dz. Urz. UE L 119 z 04.05.2016, str. 1, ze
zm.), po przeprowadzeniu postępowania administracyjnego w sprawie skargi Pani M. K. i Pana
Ł. K., zam. w Z. przy ul. (…), na przetwarzanie ich danych osobowych przez Bank M. z siedzibą
w W. przy ul. (…) oraz przez Towarzystwo Ubezpieczeń E. S.A. z siedzibą we W. przy ul. (…), Prezes Urzędu Ochrony Danych Osobowych odmawia uwzględnienia wniosku
Uzasadnienie
Do Biura Generalnego Inspektora Ochrony Danych Osobowych (obecnie Urzędu Ochrony Danych Osobowych), wpłynęła skarga Pani M. K. i Pana Ł. K., zam. w Z. przy ul. (…), zwanych dalej: ,,Skarżącymi”, na przetwarzanie ich danych osobowych przez Bank M. z siedzibą w W. przy ul. (…) zwany dalej: ,,Bankiem” oraz przez Towarzystwo Ubezpieczeń E. S.A. z siedzibą we W. przy ul. (…) zwane dalej: ,,TU E.”.
W treści skargi Skarżący wyjaśnili, że zawarli z Bankiem umowę o kredyt hipoteczny nr (…), której zabezpieczeniem było m.in. ubezpieczenie niskiego wkładu własnego (UNWW). W trakcie drugiej składki ubezpieczeniowej Bank niezgodnie z zapisami ww. umowy. bez zgody i bez poinformowania Skarżących, przekazał ich dane osobowe do TU E. zamiast do I. S.A.
W toku postępowania zainicjowanego ww. skargą Generalny Inspektor Ochrony Danych Osobowych, zwany dalej: ,,GIODO”, uzyskał wyjaśnienia Towarzystwa oraz Banku odnośnie okoliczności sprawy, zapoznał się z materiałem dowodowym i dokonał następujących ustaleń:
1. Bank pozyskał dane osobowe Pani M. i Pana Ł. K. w związku z zawarciem umowy o kredyt hipoteczny nr (…) z 5 marca 2008 r. W ramach umowy ubezpieczenia niskiego wkładu portfela kredytów hipotecznych z 19 lipca 2010 r. zawartej pomiędzy Bankiem a Towarzystwem Ubezpieczeń E. S.A., Bank przekazał Towarzystwu informacje dotyczące parametrów ubezpieczonego kredytu hipotecznego Skarżących, tj. data
uruchomienia, data przyjęcia do ubezpieczenia, numer umowy, waluta, kurs, podstawa naliczania kosztu ubezpieczenia niskiego wkładu własnego, opłata. Bank przekazał Towarzystwu także numer umowy kredytowej. Obecnie Bank przetwarza dane osobowe Skarżących w zbiorze o nazwie ,,K”.
2. Towarzystwo przetwarza aktualnie ww. informacje przekazane mu przez Bank, które dotyczą parametrów ubezpieczonego kredytu Skarżących, w tym ich numeru umowy kredytowej.
3. Na podstawie materiału dowodowego zgromadzonego w toku niniejszego postępowania GIODO 15 grudnia 2017 r. (znak: (…)) wydał decyzję administracyjną mocą której nakazał TU E. usunięcie uchybień w procesie przetwarzania danych osobowych Skarżących poprzez zaprzestanie przetwarzania ich danych osobowych w zakresie numeru umowy kredytowej nr (…) z 5 marca 2008 r.
4. W ustawowym terminie, tj. 8 stycznia 2018 r. Bank, a następnie 10 stycznia 2018 r. TU E., wnieśli wniosek o ponowne rozpatrzenie sprawy, w którym zażądali uchylenia ww. decyzji i wydania w jej miejsce decyzji o odmowie uwzględnienia wniosku Skarżących.
5. Po ponownej analizie zgromadzonego w przedmiotowej sprawie materiału dowodowego oraz zapoznaniu się z wnioskiem Banku oraz TU E. o ponowne rozpatrzenie sprawy Prezes Urzędu Ochrony Danych Osobowych, zwany dalej ,,Prezesem UODO”, decyzją z 17 lipca 2020 r. (ZKE.440.78.2019) utrzymał w mocy decyzję z dnia 15 grudnia 2017 r. (znak: DOLiS/DEC-1523/17).
6. Decyzja Prezesa UODO z dnia 17 lipca 2020 r. stała się przedmiotem skargi Banku oraz TU E. do Wojewódzkiego Sądu Administracyjnego w Warszawie, zwanego dalej ,,WSA w Warszawie”.
7. W skardze skierowanej do WSA w Warszawie TU E. wniosło o:
a) uwzględnienie przez Sąd skargi i stwierdzenie nieważności zaskarżonej decyzji w całości i umorzenie w tym zakresie postępowania administracyjnego alternatywnie o:
a) uchylenie zaskarżonej decyzji,
b) zobowiązanie Prezesa UODO do wydania w terminie 30 dni decyzji o umorzeniu postępowania w niniejszej sprawie,
c) zasądzenie od organu na rzecz TU E. zwrotu kosztów postępowania według norm przepisanych, w tym kosztów zastępstwa procesowego przez adwokata,
d) wstrzymanie wykonania zaskarżonej decyzji w części w zakresie nakazu zawartego w pkt. 1 decyzji GIODO z 15 grudnia 2017 r. (znak: DOLiS/DEC-1523/17) utrzymanej w mocy decyzją Prezesa UODO z 17 lipca 2020 r. (znak: ZKE.440.78.2019), tj. w zakresie nakazu zaprzestania przetwarzania danych
osobowych w zakresie numeru umowy kredytowej nr (…).
Ponadto TU (…) podniosło zarzut naruszenia:
1. Przepisów o postępowaniu, tj. art. 107 § 1 pkt 5 ustawy z dnia 14 czerwca 1960 r. Kodeks postępowania administracyjnego (Dz.U. z 2021 r., poz. 735 ze zm.), zwanej dalej ,,K.p.a.”, poprzez jego niewłaściwą wykładnię i zastosowanie prowadzące do zawarcia w zaskarżonej decyzji rozstrzygnięcia, które jest niewykonalne i która to niewykonalność ma charakter trwały. Pełnomocnik podniósł bowiem, że decyzja
zawiera niczym nieograniczony przez cel przetwarzania zakaz przetwarzania przez TU E. danych osobowych Skarżących w ogólności, a przecież przetwarzanie danych osobowych Skarżących przez TU E. jest konieczne w celu wniesienia skargi do Sądu.
Tak zbyt ogólnie sformułowany zakaz przetwarzania danych osobowych Skarżących pozbawia TU E. możliwości dochodzenia swoich praw przed sądem. Tymczasem decyzja powinna nakładać na adresata obowiązki, których wykonanie jest fizycznie i prawnie możliwe. Nie można mówić o tym, że ww. rozstrzygnięcie nadaje się do dobrowolnego wykonania skoro pozbawia TU E. możliwości skorzystania z prawa do Sądu.
Pełnomocnik uzasadniając swój wniosek o wstrzymanie wykonalności decyzji Prezesa UODO z 2020 r. wskazał jednocześnie, że wykonanie przez TU E. nakazu wskazanego w pkt. 1 utrzymanej w mocy decyzji z 2017 r. będzie prowadzić do wyłączenia możliwości dalszego przetwarzania informacji w postaci numeru umowy kredytowej nr (…) m.in. dla potrzeb niniejszego postępowania sądowego.
Za oczywisty błąd organu uznał brak określenia w ww. nakazie celu zakazu przetwarzania (np. dla celu wykonania umowy ubezpieczenia niskiego wkładu portfela kredytów hipotecznych z 19 lipca 2010 r. zawartej pomiędzy Bankiem a TU E.) oraz np. sposobu przetwarzania (jak np. ograniczenie przetwarzania wyłącznie do przechowywania danych przez TU E.). Wskazany błąd w treści nakazu winien być poprawiony w ramach postępowania odwoławczego, którego rezultatem było wydanie zaskarżonej decyzji. Pełnomocnik zaznaczył, że wykonanie decyzji z 2017 r. utrzymanej w mocy decyzją z 2020 r., skutkowałoby znaczną szkodą oraz skutkami niemożliwymi do odwrócenia w postaci braku możliwości skorzystania przez TU E. z jej konstytutywnego prawa do Sądu. W świetle tak sformułowanych zarzutów w stosunku do decyzji z 2020 r., w szczególności wobec grożącego stwierdzenia jej nieważności, pełnomocnik podniósł, że wniosek o wstrzymanie jej wykonalności jest niezbędny.
2. Przepisów prawa materialnego, tj. art. 4 pkt 1) Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE679 (ogólne rozporządzenie o ochronie danych) (Dz. Urz. UE L 119 z 04.05.2016, str. 1 oraz Dz. Urz. UE L 127 z 23.05.2018, str. 2), zwanego dalej: ,,RODO”, poprzez jego niewłaściwą wykładnię i zastosowanie poprzez przyjęcie, że numer umowy kredytowej nr (…) stanowi dla TU E. dane osobowe, co doprowadziło do wydania zaskarżonej decyzji nakazującej zaprzestanie przetwarzania danych w zakresie tego numeru umowy kredytowej. Pełnomocnik nie zgodził się ze stanowiskiem Prezesa UODO, że numer umowy kredytowej stanowi dla TU E. daną osobową. Powołał się na wyrok Wojewódzkiego Sądu Administracyjnego w Krakowie z 14 grudnia 2016 r. (sygn. II SA/Kr 1339/16) dotyczący przetwarzania numerów rejestracyjnych pojazdów, w którym Sąd orzekł, że: ,,(…) stanowisko organu przyjmujące, że numer rejestracyjny pojazdu ma status danych osobowych (…) należy uznać za całkowicie błędne. (…) na taką kwalifikację nie zasługują informacje, których nie da się powiązać z określoną osobą w sposób łatwy i niewymagający nadzwyczajnych nakładów”, jak również na wyrok Naczelnego Sądu Administracyjnego z dnia 28 czerwca 2019 r. (sygn. I OSK 2063/17), w którym Sąd orzekł, że: ,,brak możliwości powiązania
numerów rejestracyjnych pojazdów, bez nadmiernego wysiłku i kosztów, z osobami fizycznymi, które dają się zidentyfikować, sprawia że numer rejestracyjny pojazdu nie ma statusu danych osobowych”. TU E. wskazało, że zgodnie z art. 4 pkt 1 RODO dane osobowe oznaczają wszelkie informacje o – zidentyfikowanej lub możliwej do zidentyfikowania – osobie fizycznej; możliwa do zidentyfikowania osoba
fizyczna to osoba, którą można bezpośrednio lub pośrednio zidentyfikować, w szczególności na podstawie identyfikatora takiego jak imię i nazwisko, numer identyfikacyjny, dane o lokalizacji, identyfikator internetowy lub jeden bądź kilka szczególnych czynników określających fizyczną, fizjologiczną, genetyczną,
psychiczną, ekonomiczną, kulturową lub społeczną tożsamość osoby fizycznej.
W związku z powyższym TU E. zwróciło uwagę, że na definicję danych osobowych składają się następujące elementy: 1) informacja, 2) o osobie fizycznej, 3) zidentyfikowanej lub możliwej do zidentyfikowania (bezpośrednio lub pośrednio).
TU E. wyjaśniło, że pierwsze dwa z ww. elementów definicji danych osobowych zostały spełnione, gdyż niewątpliwie numer umowy kredytowej jest informacją o osobie fizycznej. Natomiast trzeci element definicji danych dotyczący konieczności posiadania informacji, która identyfikuje lub umożliwia identyfikację (bezpośrednio lub pośrednio) osoby fizycznej nie został spełnionych, ponieważ TU E. posiadało tylko takie informacje przekazane mu przez Bank, które nie identyfikowały Skarżących. Odnosząc się do tego czy Skarżących można było zidentyfikować bezpośrednio lub pośrednio w oparciu o sam numer umowy kredytowej i tym samym uznać, że numer ten stanowił dla TU E. dane osobowe, pełnomocnik TU E. wskazał, że konieczne jest zaistnienie nie tylko przesłanki zastosowania przez TU E. ,,wszelkich rozsądnie prawdopodobnych sposobów” ale również musi istnieć ,,uzasadnione prawdopodobieństwo, że zostaną one wykorzystane”. Pełnomocnik wskazał, że – uwzględniając treść pojęcia danych osobowych – wszelkie rozsądnie prawdopodobne sposoby identyfikacji Skarżących wyłącznie o numer umowy kredytowej przekazany przez Bank powinny: 1) być dozwolone przez prawo, 2) uwzględniać możliwość pozyskania informacji pochodzących od osoby trzeciej, 3) być efektem aktywności TU E. lub osoby trzeciej (udostępniającej TU E. dane). Ponadto w dalszej kolejności przedmiotem analizy powinna być okoliczność czy istnieje uzasadnione (rozsądne) prawdopodobieństwo, że środki te zostaną wykorzystane przez TU E.
Wobec powyższego pełnomocnik wyjaśnił, że jedynym podmiotem (innym niż sami Skarżący), który mógł bezpośrednio zidentyfikować osoby fizyczne będące stroną umowy kredytowej z Bankiem, w oparciu o numer tej umowy, był sam Bank. Podkreślił, że nie istnieje żadna możliwość aby TU E. w oparciu o numer umowy kredytowej mogło pozyskać dane osobowe Skarżących z innych źródeł. Należy bowiem zbadać jakimi prawnie dopuszczalnymi środkami dysponowała TU E. by uzyskać od Banku te dane. W tym kontekście Pełnomocnik przywołał treść art. 828 ust. 1 ustawy z dnia 23 kwietnia 1964 r. Kodeks cywilny (Dz.U. 2020 poz. 1740 ze zm.)., zwaną dalej: ,,K.c.”, który co do zasady dawał TU E. możliwość ubiegania się o przekazanie przez Bank danych osobowych Skarżących w sytuacji wypłaty przez TU E. na rzecz Banku świadczenia ubezpieczeniowego (odszkodowania) za szkodę, którą spowodowali Skarżący. W związku z tym, że z dniem 15 stycznia 2015 r. TU E. złożyło względem Banku oświadczenie o rezygnacji z tego prawa wobec klientów, którzy zawarli umowę kredytu objętą umową ubezpieczenia niskiego wkładu, czyli nie nabyło względem Skarżących roszczeń regresowych przysługujących na podstawie ww. przepisu, nie było możliwe aby na tej podstawie TU E. dysponowało dozwolonym prawnie środkiem umożliwiającym identyfikację Skarżących.
Następnie pełnomocnik dokonał dalszej analizy pod kątem spełnienia przesłanek dla uznania numeru umowy kredytowej Skarżących za dane osobowe dla TU E. Analizując pod tym kontem zaskarżoną decyzję Prezesa UODO wskazującą na możliwości uzyskania przez TU E. danych osobowych Skarżących w wyniku zainicjowania przez nich postępowania przed tutejszym Urzędem – pełnomocnik TU E. wskazał, że o ile można przyjąć, że w tej sytuacji spełnione są pierwsze dwie przesłanki, tj. takie pozyskanie danych jest środkiem dozwolonym przez prawo i następuje z wykorzystaniem informacji pochodzących od osoby trzeciej, to jednak nie może być ono efektem aktywności TU E. (ani nawet Prezesa UODO), ale wyłącznie samych Skarżących – osób, których dane dotyczą i podejmujących decyzję co do ich ujawnienia w ramach inicjowania postępowania przed organem, tym samym nie istnieje uzasadniające prawdopodobieństwo, że dane te zostaną przez TU E. wykorzystane.
Pełnomocnik TU E. w dalszej kolejności pochylił się nad pytaniem czy TU E., niezależnie od powołanych w zaskarżonej decyzji przez Prezesa UODO środków prawnych, dysponowało innymi, zgodnymi z prawem środkami pozwalającymi na pozyskanie od Banku danych identyfikujących Skarżących w oparciu o numer ich umowy kredytowej. Pełnomocnik podkreślił, że informacje identyfikujące osobę fizyczną – stronę umowy kredytowej, stanowią dla Banku nie tylko dane osobowe, ale również i przede wszystkim informacje objęte tajemnicą bankową, zgodnie z art. 104 ust. 1 ustawy z dnia 29 sierpnia 1997 r. – Prawo bankowe. Ty samym udostępnienie przez Bank informacji identyfikujących osoby fizyczne, strony umowy kredytowej,
jako informacje objęte ww. tajemnicą jest reglamentowane i musi znajdować podstawę nie tylko w przepisach RODO, ale również w przepisach prawa bankowego. TU E. nie mogło zatem powołać się co do zasady na żadną podstawę przekazania danych objętych tajemnicą bankową spośród tych wskazanych w art. 104 i następnych Prawa bankowego. Potencjalnie, taką podstawę mógł stanowić art. 104 ust. 3 Prawa
bankowego. Przepis ten jednak wymagał by osoba, której informacje objęte tajemnica dotyczą, upoważniła Bank do przekazania określonych informacji wskazanej przez siebie osobie lub jednostce organizacyjnej. Tym samym, na tej podstawie, bez aktywnego udziału Skarżących, czyli w oparciu o aktywność
samego administratora danych (ani też w oparciu o samodzielną aktywność Banku jako osoby trzeciej), nie było możliwe skorzystanie przez TU E. z tego prawnie dopuszczalnego środka i pozyskanie samodzielnie danych od Banku (osoby trzeciej). Ponadto, w takich okolicznościach składając wniosek w oparciu
o ww. przepis, TU E. powinno spodziewać się odmowy przekazania danych, a tym samym nie zaistniało również uzasadnione prawdopodobieństwo, że środek ten zostanie wykorzystany przez TU E. S.A.
W skardze skierowanej do WSA w Warszawie Bank wniósł o uchylenie zaskarżonej i poprzedzającej ją decyzji GIODO w jej pkt. 1 oraz o zasądzenie na jego rzecz zwrotu kosztów postępowania, w tym kosztów zastępstwa procesowego według norm przepisanych.
Ponadto Bank podniósł zarzut naruszenia:
a) Przepisów prawa materialnego, które miało wpływ na wynik sprawy, tj.:
• art. 160 ust. 2 ustawy o ochronie danych osobowych z dnia 10 maja 2018 r. (Dz. U. z 2019 r., poz. 1781), zwaną dalej: ,,u.o.d.o. z 2018 r.” poprzez zastosowanie w sprawie przepisów innych niż te, do których przepis odsyła,
• art. 4 ust. 1 RODO poprzez błędne zastosowanie z uwagi na to, że przepisy RODO nie znajdują zastosowania w niniejszej sprawie oraz – na wypadek uznania że przepisy RODO znajdują zastosowanie – poprzez jego niewłaściwe zastosowanie polegające na uznaniu, że numer umowy kredytowej stanowi
dane osobowe dla TU E.,
• art. 6 ust. 1 lit. c) RODO poprzez błędne zastosowanie z uwagi na to, że przepisy RODO nie znajdują zastosowania w niniejszej sprawie oraz – na wypadek uznania, że przepisy RODO znajdują zastosowanie – poprzez uznanie, że nie znajduje on zastosowania w niniejszej sprawie z uwagi na brak istnienia przesłanki do przetwarzania danych osobowych tam wskazanej,
• art. 99 ust. 2 RODO poprzez jego nieuwzględnienie,
• art. 6 ust. 3 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. z 2016 r. poz. 922 ze zm.), zwaną dalej ,,u.o.d.o. z 1997 r.”, poprzez jego niezastosowanie,
• art. 23 ust. 1 pkt 2 u.o.d.o. z 1997 r. poprzez jego niezastosowanie,
• art. 828 ustawy z dnia 23 kwietnia 1964 r. – Kodeks cywilny (Dz.U. 2020 r., poz. 1740 ze zm.) poprzez jego niewłaściwe zastosowanie polegające na uznaniu, że przewidziany w tym przepisie regres ubezpieczeniowy nie ma miejsca w rozpatrywanym przypadku.
b) Przepisów postępowania, tj. art. 107 K.p.a., poprzez brak wszechstronnego wyjaśnienia w uzasadnieniu prawnym decyzji jej podstawy prawnej, z uwagi na powoływanie się zarówno na przepisy RODO jak i u.o.d.o. z 1997 r.
Uzasadniając swoje zarzuty Bank podniósł, że:
a) Prezes UODO w sposób błędny przyjął, iż numer umowy kredytowej stanowi dla TU E. dane osobowe, choć Prezes UODO podzielił przecież argumentację Banku zawartą we wniosku o ponowne rozpatrzenie sprawy uznając w sposób trafny, że:
1) TU E. po samym numerze umowy kredytowej nie byłoby w stanie ustalić tożsamości Skarżących ; 2) TU E. nie byłoby w stanie ustalić tożsamości skarżących w oparciu o roszczenie regresowe.
b) Prezes UODO błędnie uznał, że numer umowy kredytowej stanowił dla TU E. dane osobowe z tego tylko względu, że zostało zainicjowane postępowanie przed organem ochrony danych osobowych przez Skarżących. Pełnomocnik Banku podniósł w związku z tym, że: 1) samo postępowanie zostało wszczęte przez Skarżących, nie zaś przez TU E., nadto nie toczy się w celu bezpośredniego lub pośredniego
zidentyfikowania osoby fizycznej, 2) z uwagi natomiast na toczące się postępowanie ustalenie tożsamości Skarżących jest możliwe bez jakiegokolwiek zestawienia numeru umowy kredytowej z innymi danymi pozyskanymi w toku niniejszego postępowania, a tożsamość Skarżących wynika bezpośrednio z dokumentów znajdujących się w aktach sprawy, co więcej, nie jest wiadome z jakimi to „danymi pozyskanymi w toku niniejszego postępowania” miano by zestawić numer umowy kredytowej, aby ustalić, znaną przecież z akt sprawy, tożsamość Skarżących.
c) przyjęte przez Prezesa UODO rozumowanie, jakoby wszczęcie postępowania i pozyskanie danych w toku tego postępowania (umożliwienie ich pozyskania w zasadzie niejako przy okazji) stanowiło umożliwienie określenia tożsamości osoby bez nadmiernych kosztów, czasu i działań, jest sprzeczne z zasadami logiki,
gdyż oznacza ono, że de facto każde takie postępowanie umożliwia określenie tożsamości osoby bez nadmiernych kosztów, czasu lub działań.
d) przyjmując za usprawiedliwiony tok rozumowania organu, należałoby uznać, iż w przypadku, np. usunięcia przez danego administratora określonych danych osobowych po ustalonym okresie ich przetwarzania (zgodnie z wynikającymi z przepisów RODO zasadami minimalizacji oraz ograniczenia przetwarzania danych osobowych) i ponownego ich uzyskania wskutek wszczęcia postępowania przed Prezesem UODO, organ ten mógłby zarzucić administratorowi naruszenie wskazanych wyżej zasad wobec ponownego ich przetwarzania. Pełnomocnik dodał, że takie działanie godziłoby w zasadę pogłębiania zaufania obywateli do państwa wyrażoną w art. 8 § 1 K.p.a., skoro o tym, czy dane informacje stanowią
dane osobowe, czy nie, decydować miałyby działania podejmowane przez organ, w tym udostępniane przezeń informacje.
e) treść uzasadnienia zaskarżonej decyzji wskazuje na brak konsekwencji Prezesa UODO w przedstawieniu argumentacji prawnej. Wskazał, że niekonsekwencją tą było z jednej strony powoływanie się przez Prezesa UODO na ocenę legalności procesu przetwarzania danych osobowych w oparciu o przepisy RODO, przy
jednoczesnym przywoływaniu przepisów u.o.d.o. z 1997 r. W ocenie pełnomocnika niekonsekwencja ta uzasadnia także zarzut naruszenia przez organ art. 107 § 3 K.p.a. poprzez zaniechanie wyjaśnienia podstawy prawnej decyzji z przytoczeniem przepisów prawa.
f) numer umowy kredytowej nie stanowi danej osobowej dla TU E., ponieważ:
• TU E. S.A. nie byłoby w stanie ustalić tożsamości skarżących po samym numerze umowy kredytowej – co przyznał również Prezes UODO,
• brak jest powszechnej bazy, w której można uzyskać dane osobowe osób na podstawie numeru umowy kredytowej,
• nie jest możliwe, w sposób prosty i łatwy, bez nadzwyczajnego wysiłku, powiązanie numeru umowy kredytowej z konkretną osobą zawierającą umowę kredytu,
• numer umowy kredytowej może stanowić dane osobowe wyłącznie dla Banku, który posiada zamknięty i chroniony system informatyczny pozwalający na powiązanie numeru umowy kredytu z konkretnymi
kredytobiorcami.
g) przyjmując, hipotetycznie iż numer umowy kredytowej stanowi dane osobowe, to przetwarzanie ich przez ubezpieczyciela jest dopuszczalne na podstawie art. 23 ust. 1 pkt 2 u.o.d.o. z 1997 r, czy też na wypadek uznania, że obowiązują jednak przepisy RODO – także w rozumieniu tych przepisów, tj. art. art. 6 ust. 1 lit. c) RODO.
Powołując treść art. 828 § 1 K.c. pełnomocnik Banku dodał, że skoro następstwo prawne ubezpieczyciela wynika wprost z przepisu ustawowego i następuje z mocy prawa w celu dochodzenia roszczeń, przetwarzanie danych dłużnika powinno być dopuszczalne. Mając na uwadze brzmienie ww. przepisu pełnomocnik Banku nie zgodził się ze stanowiskiem Prezesa UODO, że dla ważności roszczenia regresowego
„Bank najpierw powinien pozostawić skarżącym prawo do realnego wyboru podmiotu ubezpieczającego kredyt”. Pełnomocnik wskazał, że nawet jeśli uznać, że nie dochodzi do realizacji obowiązku ustawowego, to w jego ocenie przekazanie tych danych stanowi realizację uzasadnionego interesu – po stronie zarówno Banku i TU E., jak i samego podmiotu danych, gdyż jest w jego interesie (art. 23 ust. 1 pkt 5
u.o.d.o. z 1997 r. i art. 6 ust. 1 lit. f RODO).
h) nieuprawnione jest dokonywanie przez Prezesa UODO oceny postanowień umowy kredytu w kontekście ich abuzywności, gdyż wykracza to poza kompetencje tego organu.
9. Prezes UODO w odpowiedzi na skargę TU E. oraz Banku w wniósł o ich oddalenie.
W odpowiedzi na skargę Banku Prezes UODO podniósł dodatkowo, że nakaz zaprzestania przetwarzania danych osobowych w zakresie numeru umowy kredytu skierowany był wyłącznie do TU E., nie zaś do Banku, w związku z czym, Bank nie posiada interesu prawnego do zaskarżenia decyzji, o którym to interesie mowa w art. 50 § 1 ustawy z dnia 30 sierpnia 2002 r. Prawo o postępowaniu przed sądami administracyjnymi, zwanej dalej ,,P.p.s.a”.
Prezes UODO – odnosząc się do zrzutów skierowanych przez TU E., tj.
1. Zarzutu naruszenia przepisów o postępowaniu, tj. art. 107 § 1 pkt 5 K.p.a., poprzez jego niewłaściwą wykładnię i zastosowanie prowadzące do zawarcia w zaskarżonej decyzji rozstrzygnięcia, które jest niewykonalne i która to niewykonalność ma charakter trwały – wskazał na jego bezpodstawność. Za nietrafny uznał zarzut pełnomocnika, że nakaz wskazany w pkt. 1 decyzji z dnia 15 grudnia 2017 r. jest zbyt ogólny. Zdaniem Prezesa UODO nakaz ten został sformułowany w sposób rzetelny i przejrzysty, a jego formuła została oparta o jedną z wielu możliwych form rozstrzygnięcia, które zostały wskazane w obowiązującym wówczas art. 18 ust. 1 u.o.d.o. z 1997 r. W rozpatrywanej sprawie organ na skutek wniesionej przez Skarżących skargi dopatrzył się naruszenia przepisów o ochronie danych osobowych poprzez udostępnienie TU E. danych osobowych Skarżących w zakresie numeru umowy kredytowej bez podstawy prawnej, w związku z czym – bazując na art. 18 ust. 1 pkt 1 – nakazał usunięcie uchybień w procesie przetwarzania tych danych.
Doprecyzowując na czym owe usunięcie danych miało polegać Prezes UODO wskazał na ,,zaprzestanie przetwarzania danych osobowych w zakresie numeru umowy kredytowej nr (…) z 5 marca 2008 r. zawartej przez ww. z Bankiem M. S.A (…)”. Prezes UODO podkreślił, że oczywistym jest, że tak sformułowany
nakaz zaprzestania przetwarzania danych osobowych w zakresie numeru umowy kredytowej niesie za sobą zakaz dalszego jego przetwarzania do celów realizacji tej umowy kredytu nie zaś do celów toczącego się postępowania przed organem ochrony danych czy przed Sądem. Innymi słowy podstawa prawna do
przetwarzania danych osobowych Skarżących przez Prezesa UODO wynikła z przepisów prawa (np. K.p.a.) i była niezależna od podstawy prawnej strony do przetwarzania danych do celów realizacji umowy kredytowej nr (…). Prezes UODO wskazał, że sformułowany w ten sposób nakaz zaprzestania przetwarzania
danych osobowych nie pozbawił TU E. prawa do Sądu, o czym świadczyło pouczenie zawarte w skierowanej do niego decyzji z 17 lipca 2020 r. wskazujące jasno, że na podstawie art. 21 ust. 2 ustawy w zw. z art. 13 § 2, art. 53 § 1 oraz art. 54 P.p.s.a., przysługuje mu prawo wniesienia skargi do WSA w Warszawie
w terminie 30 dni od dnia doręczenia mu decyzji. Prezes UODO zaznaczył, że również w poprzedzającej decyzji z 15 grudnia 2017 r. TU E. nie zostało pozbawione możliwości dochodzenia swych praw, wskazano bowiem, że na podstawie art. 127 § 3 K.p.a. przysługuje TU E. prawo do wniesienia wniosku o ponowne rozpatrzenie sprawy w terminie 14 dni od dnia doręczenia mu decyzji (co zresztą TU E. uczyniło), a jeżeli nie chce skorzystać z tego prawa, może złożyć skargę na decyzję do WSA w terminie 30 dni od dnia jej doręczenia.
Odnosząc się do wniosku pełnomocnika TU E. w przedmiocie stwierdzenia nieważności zaskarżonej decyzji ze względu na jej trwałą niewykonalność (art. 156 § 1 pkt 5 K.p.a.) Prezes UODO powołując się na wyrok NSA z 13 listopada 2008 r., sygn. II OSK 1365/07, stwierdził, że w niniejszej sprawie niewykonalność taka nie zachodzi, gdyż o niewykonalności obowiązku nałożonego decyzją ostateczną można mówić tylko wtedy, gdy niewykonalność taka jest następstwem przeszkód o charakterze nieusuwalnym. Natomiast trudności techniczne lub ekonomiczne, choćby bardzo poważne w wyegzekwowaniu wykonania obowiązku nałożonego
decyzją, jak również negatywne stanowiska jej adresatów lub innych osób i zainteresowanych utrzymaniem dotychczasowego stanu rzeczy, nie stanowią o niewykonalności obowiązku. Prezes UODO dodał, że w niniejszej sprawie nie można mówić o prawnej niewykonalności decyzji skoro nakaz nie wyklucza
możliwości legalnego przetwarzania danych przez TU E. numeru umowy kredytowej w oparciu o inne podstawy prawne, a zastrzeżenia TU E. stanowią jedynie ,,negatywne stanowisko adresata decyzji zainteresowanego utrzymaniem dotychczasowego stanu rzeczy”.
2. Zarzutu naruszenia przepisów prawa materialnego, tj. art. 4 pkt 1 RODO, poprzez jego niewłaściwą wykładnię i zastosowanie poprzez przyjęcie, że numer umowy kredytowej nr (…) stanowi dla TU E. dane osobowe – podtrzymał swoje stanowisko wyrażone w decyzji z 2020 r. Zdaniem Prezesa przed wszczęciem postępowania przez Skarżących informacja w postaci numeru umowy kredytowej nr (…) nie stanowiła dla
Towarzystwa danych osobowych, niemniej jednak chociażby wszczęcie postępowania administracyjnego przed organem ochrony danych mogło umożliwić TU E. łatwą ich identyfikację, stąd też sformułowany w pkt 1 decyzji nakaz zaprzestania przetwarzania danych osobowych w zakresie numeru umowy kredytowej. Prezes ponownie zwrócił uwagę, że przetwarzanie przez TU E., oczywiście do celów związanych z realizacją umowy kredytowej nr (…), nastąpiło bez podstawy prawnej, w szczególności nie był nim wskazany przez TU E. we wniosku o ponowne rozpatrzenie sprawy, żaden z przepisów szczególnych, np. art. 828 § 1 K.c. (z uwagi na zrzeczenie się roszczeń regresowych względem Banku).
Prezesa UODO podniósł również, że pozyskanie numeru umowy kredytowej przez TU E. było wątpliwe także z uwagi na zakończone postępowanie przed Arbitrem Bankowym, w którym to Pani M. i Ł. K. zarzucili Bankowi M. S.A. działanie niezgodne z postanowieniami umowy numer (…), tj. pobranie przez Bank bez zgody Skarżących, z ich rachunku, opłaty za kolejny 36-o miesięczny okres ochrony ubezpieczeniowej, której na tamten czas udzielał Bankowi ubezpieczyciel inny niż ten który został wskazany w zawartej ze Skarżącymi umowie o kredyt hipoteczny (w umowie wskazano, że ubezpieczycielem tegoż kredytu jest TU I. S.A., a nie TU E.). Powyższy zarzut został przez Bank w części uznany i Bank wyraził zgodę na zwrot Skarżącym nienależnie pobranej opłaty, gdyż opłata ta została pobrana bez wiedzy Skarżących na poczet innego ubezpieczyciela –TU E. – nie wskazanego umowie kredytowej nr (…). Bank nie poinformował więc o zmianie ubezpieczyciela z TU I. S.A. na TU E. w związku z czym Skarżący zostali pozbawieni prawa do
realnego wyboru ubezpieczyciela.
Prezes UODO – odnosząc się do zrzutów skierowanych przez Bank, tj.:
1. Zarzutu naruszenia przepisów prawa (zdaniem pełnomocnika Banku „materialnego”), tj. art. 160 ust. 2 u.o.d.o. z 2018 r. poprzez zastosowanie w sprawie przepisów innych niż te, do których przepis ten odsyła – wskazał, że ww. przepis został umieszczony w rozstrzygnięciu ze wskazaniem publikatora Dz.U. z 2019 r., poz. 1781, natomiast w uzasadnieniu do decyzji ze wskazaniem publikatora Dz. U. z 2018 r., poz. 1000,
niemniej jednak jest to jeden i ten sam przepis w brzmieniu identycznym w wersjach opublikowanych.
2. Zarzutu naruszenia przepisów prawa materialnego, tj.:
a) art. 4 ust. 1 RODO poprzez:
• jego błędne zastosowanie z uwagi na to, że przepisy RODO nie znajdują zastosowania w niniejszej sprawie – wyjaśnił, że przepisy RODO mają jednak zastosowanie w niniejszej sprawie, gdyż w kwestii procesowej postępowanie ,,prowadzi się” w oparciu o przepisy u.o.d.o. z 1997 r. i K.p.a., natomiast w zakresie prawa materialnego bezpośrednio stosuje się przepisy RODO. Dodał, że w dacie wydania zaskarżonej decyzji obowiązywało już RODO i stan naruszenia trwał nadal (Towarzystwo nie zaprzestało przetwarzania numeru umowy kredytowej) w związku z czym należało zastosować przepisy materialne RODO,
• jego niewłaściwe zastosowanie polegające na uznaniu, że numer umowy kredytowej stanowi dane osobowe dla TU E. – podtrzymał swoje stanowisko wyrażone w uzasadnieniu do zaskarżonej decyzji
z 2020 r. wskazując – podobnie jak w odpowiedzi na tożsamy zarzut wskazany przez TU E. – że przed wszczęciem postępowania przez Skarżących, informacja w postaci numeru umowy kredytowej nie
stanowiła dla TU E. danych osobowych ale już samo wszczęcie postępowania administracyjnego mogło umożliwić TU E. łatwą ich identyfikację, stąd nakaz wskazany w pkt 1 decyzji dotyczący zaprzestania przetwarzania danych w zakresie numeru umowy kredytowej. Prezes UODO ponownie zwrócił uwagę,
że przetwarzanie przez TU E., oczywiście do celów związanych z realizacją umowy kredytowej nr (…), nastąpiło bez podstawy prawnej, w szczególności nie był nim wskazany przez TU E. żaden z przepisów szczególnych, np. art. 828 § 1 K.c. (z uwagi na zrzeczenie się roszczeń regresowych względem Banku). Prezes UODO podniósł również, że pozyskanie numeru umowy kredytowej przez TU E. było wątpliwe także z uwagi na zakończone postępowanie przed Arbitrem Bankowym, w którym to Skarżący zarzucili Bankowi działanie niezgodne z postanowieniami umowy numer (…), tj. pobranie przez Bank bez zgody Skarżących, z ich rachunku, opłaty za kolejny 36-o miesięczny okres ochrony ubezpieczeniowej, której na tamten czas
udzielał Bankowi ubezpieczyciel inny niż ten który został wskazany w zawartej ze Skarżącymi umowie o kredyt hipoteczny (w umowie wskazano, że ubezpieczycielem tegoż kredytu jest TU I. S.A., a nie
TU E.). Bank nie poinformował więc o zmianie ubezpieczyciela z TU I. S.A. na TU E. w związku z czym Skarżący zostali pozbawieni prawa do realnego wyboru ubezpieczyciela,
b) art. 6 ust. 1 lit. c) RODO poprzez:
• jego błędne zastosowanie z uwagi na to, że przepisy RODO nie znajdują zastosowania w niniejszej sprawie – wyjaśnił, że (podobnie jak w przypadku zarzutu dotyczącego rzekomo błędnego zastosowania art. 4 ust. 1 RODO) przepisy RODO mają jednak zastosowanie w niniejszej sprawie, gdyż art. 6 ust. 1 lit. c) RODO to przepis prawa materialnego, który należało bezpośrednio zastosować z uwagi na obowiązywanie w dacie wydania zaskarżonej decyzji RODO jako źródła prawa materialnego,
• uznanie, że nie znajduje on zastosowania w niniejszej sprawie z uwagi na brak istnienia przesłanki do przetwarzania danych osobowych tam wskazanej – wyjaśnił, że Bank nie mógł udostępnić TU E. numeru
umowy kredytowej na podstawie przepisu prawa,
c) art. 828 K.c. poprzez jego niewłaściwe zastosowanie polegające na uznaniu, że ,,przewidziany w tym przepisie regres ubezpieczeniowy nie ma miejsca w rozpatrywanym przypadku” – wyjaśnił, że podstawą prawną do udostępnienia przez Bank tych danych nie mógł być wskazany we wniosku o ponowne rozpatrzenie sprawy przepis szczególny, tj. art. 828 § 1 K.c., gdyż przepis ten skierowany jest do ubezpieczyciela, a nie do Banku. Przepis ten daje więc możliwość przetwarzania (udostępniania) danych Skarżących wyłącznie na rzecz ubezpieczyciela kredytu,
d) art. 99 ust. 2 RODO poprzez jego nieuwzględnienie – wskazał, że co do zasady przepis ten jest skierowany nie do organu lecz ustawodawcy w związku z czym nie został on zastosowany,
e) art. 6 ust. 3 oraz art. 23 ust. 1 pkt 2 u.o.d.o. z 1997 r. poprzez ich niezastosowanie – wyjaśnił, że przepisy te nie są przepisami proceduralnymi uchylonej ustawy z 1997 r. wobec czego nie mogły zostać powołane w sentencji rozstrzygnięcia.
Postanowieniem z dnia 3 grudnia 2020 r. WSA w Warszawie, uwzględniając wniosek TU E., wstrzymał wykonanie zaskarżonej decyzji Prezesa UODO z 2020 r.
Na posiedzeniu w dniu 22 kwietnia 2021 r. Sąd połączył sprawy ze skargi TU E. (sygn. II SA/Wa 1865/20) oraz Banku (sygn. II SA/Wa 1866/20) w celu ich łącznego rozpoznania i rozstrzygnięcia.
Wyrokiem z dnia 22 kwietnia 2021 r. WSA w Warszawie (sygn. akt: II SA/Wa 1865/20) uchylił zaskarżoną decyzję oraz utrzymującą ją w mocy decyzje z dnia 15 grudnia 2017 r. w zakresie pkt. 1 (znak: DOLiS/DEC-1523/17) oraz zasądził od Prezesa Urzędu Ochrony Danych Osobowych na rzecz Towarzystwa i Banku kwotę 697,00 złotych tytułem zwrotu kosztów postepowania. W dniu 9 sierpnia 2021 r. WSA w Warszawie doręczył Prezesowi Urzędu Ochrony Danych Osobowych prawomocne orzeczenie i zwrócił akta przedmiotowego postępowania.
W uzasadnieniu wyroku Sąd podzielił stanowisko Prezesa UODO, że zgodnie z art. 160 ust. 2 u.o.d.o. z 2018 r. postępowania prowadzone przez GIODO, wszczęte i niezakończone przed dniem wejścia w życie u.o.d.o. z 2018 r. ,,prowadzi się” na podstawie przepisów proceduralnych uchylanej u.o.d.o. z 1997 r. zgodnie z przepisami określonymi w K.p.a., nie zaś ,,stosuje się” przepisy uchylanej u.o.d.o. z 1997 r. Wyjątkiem są jedynie przepisy proceduralne, tj. art. 12, 22 i 18 u.o.d.o. z 1997 r., które stosuje się wprost. W związku z tym, że w dacie wydania zaskarżonej decyzji, tj. na etapie rozpatrywania wniosku o ponowne rozpatrzenie sprawy, obowiązywało już RODO, a stan naruszenia trwał nadal (Towarzystwo nie zaprzestało przetwarzania numeru umowy kredytowej) – Prezes UODO słusznie zastosował przepisy materialne RODO.
WSA w Warszawie nie podzielił stanowiska Prezesa UODO, że Bank nie ma interesu prawnego w zaskarżeniu decyzji w sytuacji gdy nakaz został skierowany wyłącznie do TU E., ponieważ postępowanie zostało zainicjowane skargą na nieuprawnione udostępnienie właśnie przez Bank danych osobowych Skarżących. Potwierdzenie zasadności zarzutu dotyczącego nieuprawnionego udostępnienia przez Bank danych mogłoby doprowadzić Bank do dalszych konsekwencji prawnych związanych np. z naruszeniem tajemnicy bankowej.
WSA w Warszawie zgodził się również ze stwierdzeniem Prezesa UODO, że w dacie wniesienia skargi przez Skarżących TU E. nie przetwarzało ich danych osobowych, gdyż po samym numerze umowy kredytowej nie byłoby w stanie ustalić tożsamości Skarżących, jak również nie mogłoby tego zrobić w oparciu o roszczenie regresowe, gdyż mu ono nie przysługiwało.
Jednocześnie Sąd zaznaczył, że na tym etapie obowiązkiem Prezesa UODO była ocena czy doszło do nieuprawnionego udostępnienia przez Bank danych osobowych Skarżących w rozumieniu art. 6 u.o.d.o. z 1997 r., a jeżeli tak, to czy TU E. nadal przetwarza te dane nie mając do tego podstawy prawnej. Sąd wskazał, że Bank ma obowiązek udzielania informacji stanowiących tajemnicę bankową
wyłącznie podmiotom wyraźnie wymienionym w art. 105 ustawy z dnia 29 sierpnia 1997 r. – Prawo
bankowe, a katalog tych podmiotów jest o wiele bardziej restrykcyjny niż możliwość przetwarzania
danych przewidziana w art. 23 u.o.d.o. z 1997 r. Zapisy Umowy ubezpieczenia niskiego wkładu
portfela kredytów hipotecznych z dnia 19 lipca 2010 r. zawartej pomiędzy TU E., a Bankiem
wykluczały możliwość udostępnienia przez Bank informacji umożliwiających identyfikację danych
osobowych Skarżących z uwagi na brak zgody Skarżących na ujawnienie tychże informacji.
TU E. natomiast po samym numerze umowy kredytowej nie było w stanie określić tożsamości Skarżących
ani również nie mogło tego zrobić w oparciu o roszczenie regresowe, gdyż mu ono nie przysługiwało.
Sąd podkreślił, że uzyskanie przez Towarzystwo danych osobowych Skarżących w ramach postępowania zainicjowanego ich skargą również nie może uzasadniać wydania decyzji nakazującej, ponieważ Towarzystwo przetwarza obecnie dane osobowe Skarżących na podstawie art. 6 ust. 1 lit. f) RODO (dawniej: art. 23 ust. 1 pkt 5 u.o.d.o. z 1997 r.), tj. w celu realizacji prawnie uzasadnionych interesów w postępowaniu administracyjnym i sądowoadministracyjnym.
Uwzględniając stanowisko WSA w Warszawie wyrażone w przywołanym powyżej wyroku, w oparciu o zebrany uprzednio materiał dowodowy i dokonane na ich podstawie ustalenia, Prezes Urzędu Ochrony Danych Osobowych zważył, co następuje:
Na wstępie wskazać należy, że zgodnie z art. 160 u.o.d.o. z 2018 r. z dniem wejścia w życie tej ustawy, tj. 25 maja 2018 r., Biuro Generalnego Inspektora Ochrony Danych Osobowych stało się Urzędem Ochrony Danych Osobowych. Postępowania prowadzone przez GIODO, wszczęte i niezakończone przed 25 maja 2018 r. prowadzone są przez Prezesa UODO, na podstawie u.o.d.o. z 1997 r. zgodnie z zasadami określonymi w K.p.a. Wszelkie czynności podejmowane przez GIODO przed 25 maja 2018 r. pozostają skuteczne.
Podkreślić należy, że Prezes UODO wydając decyzję administracyjną zobowiązany jest do rozstrzygania w oparciu o stan faktyczny istniejący w chwili wydania tej decyzji. Jak podnosi doktryna „organ administracji publicznej ocenia stan faktyczny sprawy według chwili wydania decyzji administracyjnej. Reguła ta odnosi się także do oceny stanu prawnego sprawy, co oznacza, że organ administracji publicznej wydaje decyzję administracyjną na podstawie przepisów prawa obowiązujących w chwili jej wydania (…). Rozstrzyganie w postępowaniu administracyjnym polega na zastosowaniu obowiązującego prawa do ustalonego stanu faktycznego sprawy administracyjnej. W ten sposób organ administracji publicznej realizuje cel postępowania administracyjnego, jakim jest urzeczywistnienie obowiązującej normy prawnej w zakresie
stosunków administracyjno-prawnych, gdy stosunki te tego wymagają” (Komentarz do ustawy z dnia 14 czerwca 1960 r. Kodeks postępowania administracyjnego M. Jaśkowska, A. Wróbel, Lex., el/2012). Z dniem 25 maja 2018 r., w stosunku do procesów przetwarzania danych osobowych, zaczęło być w krajach członkowskich Unii Europejskiej stosowane RODO.
Art. 6 u.o.d.o. 1997 r. zawierał definicję danych osobowych zgodnie z którą: ,,Za dane osobowe uważa się wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej (ust. 1). Osobą możliwą do zidentyfikowania jest osoba, której tożsamość można określić bezpośrednio lub pośrednio, w szczególności przez powołanie się na numer identyfikacyjny albo jeden lub kilka specyficznych czynników określających jej cechy fizyczne, fizjologiczne, umysłowe, ekonomiczne, kulturowe lub społeczne (ust. 2). Informacji nie uważa się za umożliwiającą określenie tożsamości osoby, jeżeli wymagałoby to nadmiernych kosztów, czasu lub działań (ust. 3)”.
Na gruncie RODO definicję danych osobowych zawiera art. 4 RODO, który stanowi, że za dane osobowe uważa się wszelkie informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej („osobie, której dane dotyczą”); możliwa do zidentyfikowania osoba fizyczna to osoba, którą można bezpośrednio lub pośrednio zidentyfikować, w szczególności na podstawie identyfikatora takiego jak imię i nazwisko, numer identyfikacyjny, dane o lokalizacji, identyfikator internetowy lub jeden bądź kilka szczególnych czynników określających fizyczną, fizjologiczną, genetyczną, psychiczną, ekonomiczną, kulturową lub społeczną tożsamość osoby fizycznej.
Natomiast zgodnie z Motywem 26 RODO aby stwierdzić, czy dana osoba fizyczna jest możliwa do zidentyfikowania, należy wziąć pod uwagę wszelkie rozsądne prawdopodobne sposoby (w tym wyodrębnienie wpisów dotyczących tej samej osoby), w stosunku do których istnieje uzasadnione prawdopodobieństwo, iż zostaną wykorzystane przez administratora lub inną osobę w celu bezpośredniego lub pośredniego zidentyfikowania osoby fizycznej. Aby stwierdzić, czy dany sposób może być z uzasadnionym prawdopodobieństwem wykorzystany do zidentyfikowania danej osoby, należy wziąć pod uwagę wszelkie obiektywne czynniki, takie jak koszt i czas potrzebne do jej zidentyfikowania, oraz uwzględnić technologię dostępną w momencie przetwarzania danych i postęp technologiczny.
Wobec powyższego informacja może stanowić daną osobową samodzielnie lub w zestawieniu z innymi informacjami, które łącznie umożliwią określenie tożsamości danej osoby fizycznej.
W świetle powyższej definicji – tej na gruncie przepisów RODO jak i na gruncie uchylonej ustawy z 1997 r. – należy przyjąć, że danymi osobowymi nie będą więc pojedyncze informacje o dużym stopniu ogólności, np. nazwa ulicy, czy też numer domu. Informacja ta będzie jednak stanowić daną osobową tylko wówczas, gdy zostanie zestawiona z innymi dodatkowymi informacjami, które w konsekwencji będzie można odnieść do konkretnej osoby.
W ocenie Prezesa UODO sam numer umowy kredytowej w niniejszej sprawie nie jest daną osobową dla TU E., ponieważ nie dotyczy osoby fizycznej zidentyfikowanej lub możliwej do zidentyfikowania przez tenże podmiot. TU E. nie dysponuje żadnymi środkami umożliwiającymi zidentyfikowanie Skarżących w oparciu o numer umowy kredytowej. Obowiązujące przepisy prawa nie umożliwiają Towarzystwu identyfikację Skarżących, np. art. 828 k.c. – z uwagi na zrzeczenie się roszczeń regresowych, czy też art. 104 ust. 3 prawa bankowego – z uwagi na brak dysponowania przez Bank upoważnieniem Skarżących do przekazania informacji objętych tajemnicą bankową osobie trzeciej (w tym przypadku TU E.).
Należy w związku z tym przyjąć, że Bank nie udostępnił Towarzystwu danych osobowych Skarżących w rozumieniu art. 6 u.o.d.o. z 1997 r. jak również w rozumieniu art. 4 RODO i tym samym nie doszło do naruszenia przepisów o ochronie danych osobowych. Z materiału dowodowego zgromadzonego w niniejszej sprawie wynika, że zapisy Umowy ubezpieczenia niskiego wkładu portfela kredytów hipotecznych z dnia 19 lipca 2010 r. zawartej pomiędzy Towarzystwem, a Bankiem wykluczały możliwość przekazania przez Bank informacji umożliwiających identyfikację danych osobowych kredytobiorców z uwagi na brak ich zgody na ujawnienie tychże informacji.
Towarzystwo nie było więc w stanie po samym numerze umowy kredytowej ustalić tożsamości Skarżących i nie mogło tego również zrobić m.in. w oparciu o roszczenie regresowe skoro z prawa do takiego roszczenia regresowego zrezygnowało. W niniejszej sprawie nie można więc mówić o przetwarzaniu przez Towarzystwo danych osobowych Skarżących z uwagi na brak możliwości ustalenia przez Towarzystwo ich tożsamości.
Uzyskanie przez Towarzystwo danych osobowych Skarżących w ramach postępowania zainicjowanego ich skargą również nie może uzasadniać wydania decyzji nakazującej, ponieważ Towarzystwo przetwarza obecnie dane osobowe Skarżących, które zostały przekazane przez nich samych oraz przez organ ochrony danych, wyłącznie do celów związanych ze wszczętym postępowaniem administracyjnym i sądowoadministracyjnym, nie zaś w celu identyfikacji Skarżących bądź zrealizowania umowy ubezpieczenia.
Wystąpiła więc przesłanka legalizująca przetwarzanie danych osobowych z art. 23 ust. 1 pkt 5 u.o.d.o. z 1997 r., a obecnie przesłanka legalizująca z art. 6 ust. 1 lit. f) RODO, w związku z czym brak jest podstaw do twierdzenia, aby Towarzystwo przetwarzało obecnie dane osobowe Skarżących bez podstawy prawnej.
W związku z powyższym, wobec braku stwierdzenia naruszenia przepisów o ochronie danych osobowych, Prezes UODO nie ma podstaw do wydania decyzji nakazującej przywrócenie stanu zgodnego z prawem w świetle art. 18 ust. 1 u.o.d.o. z 1997 r.
W tym stanie faktycznym i prawnym Prezes UODO rozstrzygnął jak w sentencji.
Na podstawie art. 127 § 3 k.p.a. od decyzji przysługuje stronie prawo do wniesienia wniosku o ponowne rozpatrzenie sprawy w terminie 14 dni od dnia jej doręczenia stronie. Jeżeli strona nie chce skorzystać z prawa do złożenia wniosku o ponowne rozpatrzenie sprawy, ma prawo do wniesienia skargi na decyzję do Wojewódzkiego Sądu Administracyjnego w Warszawie w terminie 30 dni od dnia doręczenia jej stronie. Skargę wnosi się za pośrednictwem Prezesa Urzędu Ochrony Danych Osobowych (adres: ul. Stawki 2, 00-193 Warszawa). Wpis od skargi wynosi 200 złotych. Strona ma prawo ubiegania się o prawo pomocy, w tym zwolnienie od kosztów sądowych.
