Bezprawne przetwarzanie danych osobowych w związku z dochodzeniem roszczeń w decyzji Prezesa UODO

Prezes UODO odmawia uwzględnienia skargi dotyczącej udostępnienia danych osobowych przez T.S.A. na rzecz kancelarii prawniczych i firm windykacyjnych związanych z wierzytelnościami. Prezes ustala, że przetwarzanie danych było zgodne z przepisami obowiązującymi przed wejściem w życie ustawy OchrDanychU.

Tematyka: Prezes UODO, przetwarzanie danych osobowych, bezprawne przetwarzanie, dochodzenie roszczeń, Kodeks postępowania administracyjnego, ochrona danych osobowych, zasady przetwarzania danych, zgodność z prawem, decyzja Prezesa UODO

Prezes UODO na podstawie art. 104 § 1 ustawy z 14.6.1960 r. – Kodeks postępowania administracyjnego (t.j.
Dz.U. z 2018 r. poz. 2096 ze zm., dalej jako: KPA), art. 160 ust. 1 i 2 ustawy z 10.5.2018 r. o ochronie danych
osobowych (Dz.U. z 2018 r. poz. 1000 ze zm., dalej jako: OchrDanychU) w decyzji z 7.5.2019 r. odmawiającej
uwzględnienia skargi wypowiedział się w kwestii bezprawnego przetwarzania danych osobowych w związku
z dochodzeniem roszczeń.
Stan faktyczny
Do Biura Generalnego Inspektora Ochrony Danych Osobowych wpłynęła skarga N.I. na udostępnienie jego danych
osobowych przez T. S.A (obecnie: T.U. S.A.) na rzecz P. W treści skargi Skarżący wskazał, że jego zdaniem doszło
do udostępnienia jego danych osobowych przez T.U. S.A. na rzecz kancelarii prawniczych i firm
windykacyjnych w związku z zakupem samochodu z ważną polisą OC i powstałą na jej podstawie
wierzytelnością T.U. S.A. wobec Skarżącego. Jednocześnie wskazał, że nie wyraził zgody na przetwarzanie
swoich danych osobowych firmie T. S.A., nawet w zakresie obsługi. Skarżący domagał się od Generalnego
Inspektora przywrócenia stanu zgodnego z prawem i nieudostępniania danych osobowych podmiotom trzecim przez
T. S.A. oraz jego następcę prawnego.
Ustalenia faktyczne Prezesa UODO
W toku postępowania przeprowadzonego w sprawie Prezes UODO ustalił m.in., że:
1. Dane osobowe Skarżącego pozyskane zostały przez T. S.A. na podstawie zawiadomienia zbywcy o nabyciu
pojazdu przez Skarżącego zgodnie z art. 32 ust. 1 ustawy z 22.5.2003 r. o ubezpieczeniach obowiązkowych,
Ubezpieczeniowym Funduszu Gwarancyjnym i Polskim Biurze Ubezpieczycieli Komunikacyjnych (t.j. Dz.U.
z 2018 r. poz. 473 ze zm., dalej jako: UbezpObwU) oraz dodatkowo uzupełnione pismem od Skarżącego. T. S.A.
pozyskało następując następujące kategorie danych osobowych Skarżącego: imię, nazwisko, Nr ewidencyjny
PESEL, dane adresowe, datę uzyskania prawa jazdy oraz wysokość przysługujących Skarżącemu zniżek.
Celem pozyskania danych było wykonanie przez T. S.A. obowiązków wynikających z zawartej umowy
ubezpieczenia OC posiadacza pojazdu zgodnie z art. 31 UbezpObwU;
2. Następcą prawnym T. S.A. w związku z przejęciem spółki na zasadach określonych w art. 492 § 1 pkt 1 ustawy
z 15.9.2000 r. – Kodeks spółek handlowych (t.j. Dz.U. z 2019 r. poz. 505 ze zm., dalej jako: KSH) stała się T.U.
S.A;
3. Skarżący nie zwracał się do T.U. S.A. o zaprzestanie udostępniania jego danych osobowych podmiotom trzecim;
4. T. S.A. udostępniło dane osobowe Skarżącego P. (dalej jako: Fundusz) na podstawie umowy, której
przedmiotem była cesja wierzytelności wynikającej z niezapłaconej przez Skarżącego składki ubezpieczeniowej.
5. Podmiotem zarządzającym i reprezentującym Fundusz od października 2011 r. był P.G. Podstawą przetwarzania
danych osobowych Skarżącego przez P.G. była umowa o zarządzanie sekurytyzowanymi wierzytelnościami
Funduszu zawarta między P.G., a C. S.A., reprezentującym Fundusz;
6. Podstawą przetwarzania danych osobowych Skarżącego przez K. S.A. jest aneks z kwietnia 2016 r. do umowy
zawartej w październiku 2011 r. o zarządzanie sekurytyzowanymi wierzytelnościami Funduszu zawarta
pomiędzy P. G., a C. S.A. i Funduszem, zmieniona następnie aneksami z kwietnia 2016 r. o zarządzaniu
sekurytyzowanymi wierzytelnościami Funduszu.
Rozstrzygnięcie
Z dniem 25.5.2018 r., z wejściem w życie ustawy OchrDanychU Biuro Generalnego Inspektora Ochrony Danych
Osobowych stało się Urzędem Ochrony Danych Osobowych. Postępowania prowadzone przez Generalnego
Inspektora Ochrony Danych Osobowych, wszczęte i niezakończone przed 25.5.2018 r. prowadzone są przez
Prezesa UODO na podstawie ustawy z 29.7.1997 r. o ochronie danych osobowych (t.j. Dz.U. z 2016 r. poz. 922 ze
zm., dalej jako: OchronaDanychU z 1997 r.), zgodnie z zasadami określonymi w KPA. Wszelkie czynności
podejmowane przez GIODO przed 25.5.2018 r. pozostają skuteczne (art. 160 ust. 1 i ust. 2 OchrDanychU).
Prezes UODO dokonał oceny przetwarzania danych osobowych Skarżącego w kontekście obowiązujących wówczas
przepisów OchronaDanychU z 1997, natomiast nie badał kwestii istnienia lub nieistnienia wierzytelności, ani jej

wysokości. Takie sprawy są bowiem sprawami cywilnymi w rozumieniu art. 1 ustawy z 23.4.1964 r. – Kodeks
cywilny (t.j. Dz.U. z 2018 r. poz. 1025 ze zm., dalej jako KC) i powinny być rozpatrywane w postępowaniach
prowadzonych przez sądy powszechne. W szczególności, zgodnie z art. 189 ustawy z 17.11.1964 r. – Kodeks
postępowania cywilnego (t.j. Dz.U. z 2018 r. poz. 1360 ze zm., dalej jako KPC), powód może żądać ustalenia przez
sąd istnienia lub nieistnienia stosunku prawnego lub prawa, gdy ma w tym interes prawny. Tym samym Prezes
UODO nie ma uprawnień, aby rozpatrzyć zarzut Skarżącego co do istnienia długu z tytułu zawartej umowy,
jak i istnienia samej umowy z T. S.A., ani z jego następcą prawnym T.U. S.A.
Przepisy OchrDanychU z 1997 do 25.5.2018 r. określały zasady postępowania przy przetwarzaniu danych
osobowych przez osoby fizyczne i osoby prawne oraz jednostki organizacyjne nie będące osobami prawnymi, jeżeli
przetwarzały dane osobowe w związku z działalnością zarobkową, zawodową lub dla realizacji celów statutowych.
Aby przetwarzanie danych osobowych było zgodne z prawem administrator był obowiązany przetwarzać dane
osobowe na podstawie przesłanek określonych w art. 23 ust. 1 pkt 1–5 OchrDanychU z 1997. Zgodnie z tym
przepisem przetwarzanie danych było dopuszczalne tylko wtedy, gdy:
1. osoba, której dane dotyczą, wyrazi na to zgodę, chyba że chodzi o usunięcie dotyczących jej danych;
2. jest to niezbędne dla zrealizowania uprawnienia lub spełnienia obowiązku wynikającego z przepisu prawa;
3. jest to konieczne do realizacji umowy, gdy osoba, której dane dotyczą, jest jej stroną lub gdy jest to niezbędne do
podjęcia działań przed zawarciem umowy na żądanie osoby, której dane dotyczą;
4. jest niezbędne do wykonania określonych prawem zadań realizowanych dla dobra publicznego;
5. jest to niezbędne dla wypełnienia prawnie usprawiedliwionych celów realizowanych przez administratorów danych
albo odbiorców danych, a przetwarzanie nie narusza praw i wolności osoby, której dane dotyczą.
Prezes UODO wskazał, że T. S.A. pozyskało dane osobowe Skarżącego na podstawie doręczonego w kwietniu 2012
r. zawiadomienia zbywcy o nabyciu pojazdu przez Skarżącego zgodnie z art. 32 ust. 1 UbezpObwU. Przepis ten
stanowi, że posiadacz pojazdu mechanicznego, który przeniósł prawo własności tego pojazdu, jest obowiązany do
przekazania posiadaczowi, na którego przeniesiono prawo własności pojazdu, potwierdzenia zawarcia umowy
ubezpieczenia OC posiadaczy pojazdów mechanicznych oraz do powiadomienia na piśmie zakładu ubezpieczeń,
w terminie 14 dni od dnia przeniesienia prawa własności pojazdu, o fakcie przeniesienia prawa własności tego
pojazdu i o danych posiadacza, na którego przeniesiono prawo własności pojazdu. Ponadto w myśl art. 31 ust. 1
UbezpObwU, w razie przejścia lub przeniesienia prawa własności pojazdu mechanicznego, którego posiadacz zawarł
umowę ubezpieczenia OC posiadaczy pojazdów mechanicznych, na posiadacza pojazdu, na którego przeszło lub
zostało przeniesione prawo własności, przechodzą prawa i obowiązki poprzedniego posiadacza wynikające z tej
umowy. Umowa ubezpieczenia OC ulega rozwiązaniu z upływem okresu, na który została zawarta, chyba że
posiadacz, na którego przeszło lub zostało przeniesione prawo własności, wypowie ją na piśmie. Natomiast T.U.
S.A. pozyskała dane osobowe Skarżącego jako następca prawny T. S.A., ponieważ zgodnie z 492 § 1 pkt 1
KSH, połączenie spółek może być dokonane przez przeniesienie całego majątku spółki (przejmowanej) na
inną spółkę (przejmującą) za udziały lub akcje, które spółka przejmująca wydaje wspólnikom spółki
przejmowanej (łączenie się przez przejęcie).
W przedmiotowej sprawie wypełniona została zatem przesłanka legalnego pozyskania i przetwarzania danych
osobowych Skarżącego przez T. S.A., a następnie przez T.U. S.A., wynikająca z OchrDanychU z 1997. Zgodnie
z art. 23 ust. 1 pkt. 2 i 3 OchrDanychU z 1997 przetwarzanie danych osobowych było dopuszczalne, jeżeli było
niezbędne dla zrealizowania uprawnienia lub spełnienia obowiązku wynikającego z przepisu prawa oraz było to
konieczne do realizacji umowy, gdy osoba, której dane dotyczyły, była jej stroną. Zgoda Skarżącego nie była w tym
przypadku wymagana.
Zgodnie z art. 31 ust. 1 OchrDanychU z 1997, obowiązującej przed 25.5.2018 r. administrator danych mógł
powierzyć innemu podmiotowi, w drodze umowy zawartej na piśmie, przetwarzanie danych.
Fundusz pozyskał dane osobowe Skarżącego w zw. z zawarciem z T.U. S.A. umowy cesji wierzytelności z grudnia
2013 r. Powyższe znajduje oparcie w substytucji art. 509 § 1 KC, zgodnie z którą wierzyciel może bez zgody dłużnika
przenieść wierzytelność na osobę trzecią (przelew), chyba że sprzeciwiałoby się to ustawie, zastrzeżeniu umownemu
albo właściwości zobowiązania.
Wskazać należy, że w momencie cesji wierzytelności, Fundusz stał się administratorem danych osobowych,
w rozumieniu art. 7 pkt 4 OchrDanychU z 1997, tj. podmiotem decydującym o celach i środkach przetwarzania
danych.
W ocenie Prezesa UODO łącząca K. S.A. i Fundusz umowa o przejęcie praw i obowiązków z umowy o zarządzanie
Sekurytyzowanymi Wierzytelnościami Funduszu z kwietnia 2016 r. w związku z umową o zarządzanie
Sekurytyzowanymi Wierzytelnościami Funduszu Sekurytyzacyjnego października 2011 r. między C. i Funduszem
a P. G., zarówno z uwagi na jej formę, jak i treść odpowiadała wymogom określonym w art. 31 OchrDanychU

z 1997. Dlatego działania K S.A. związane z przetwarzaniem danych osobowych Skarżącego były uprawnione.
Ponadto również łącząca K. S.A. i Fundusz umowa o przejęcie praw i obowiązków z umowy o zarządzanie
Sekurytyzowanymi Wierzytelnościami Funduszu z dnia kwietnia 2016 r. w związku z umową o zarządzanie
Sekurytyzowanymi Wierzytelnościami Funduszu Sekurytyzacyjnego z października 2011 r. pomiędzy C. i Funduszem
a P. G., zarówno z uwagi na jej formę, jak i treść odpowiada wymogom określonym w art. 31 OchrDanych z 1997.
Dlatego działania K. S.A. związane z przetwarzaniem danych osobowych Skarżącego były uprawnione.
Jak wykazało postępowanie, ani K. S.A., ani T.U. S.A. nie udostępniły danych osobowych Skarżącego
żadnym innym podmiotom trzecim.
decyzja Prezesa Urzędu Ochrony Danych Osobowych z 7.5.2019 r., ZSPR.440.301.2018
ZSPR.440.301.2018

Prezes UODO stwierdza, że działania związane z przetwarzaniem danych osobowych Skarżącego były zgodne z prawem. Decyzja Prezesa dotyczyła wyłącznie oceny przetwarzania danych, nie zaś kwestii cywilnoprawnych. Przepisy obowiązujące przed 25.5.2018 r. określały zasady przetwarzania danych osobowych w różnych kontekstach, wymagając zgodności z prawem.