II SA/Wa 127/25

II SA/Wa 127/25 - Wyrok WSA w Warszawie
Data orzeczenia
2025-06-25
orzeczenie nieprawomocne
Data wpływu
2025-01-24
Sąd
Wojewódzki Sąd Administracyjny w Warszawie
Sędziowie
Arkadiusz Koziarski. /przewodniczący sprawozdawca/
Symbol z opisem
647  Sprawy związane z ochroną danych osobowych
Hasła tematyczne
Inne
Skarżony organ
Generalny Inspektor Ochrony Danych Osobowych
Treść wyniku
Oddalono skargę
Powołane przepisy
Dz.U. 2024 poz 935
art. 151
Ustawa z dnia 30 sierpnia 2002 r. Prawo o postępowaniu przed sądami administracyjnymi (t. j.)
Sentencja
Wojewódzki Sąd Administracyjny w Warszawie w składzie następującym: Przewodniczący Sędzia WSA Ewa Marcinkowska, Sędzia WSA Joanna Kruszewska-Grońska, Asesor WSA Arkadiusz Koziarski (spr.), , Protokolant referent Joanna Mazur, , po rozpoznaniu na rozprawie w dniu 13 czerwca 2025 r. sprawy ze skargi [...] Towarzystwa Ubezpieczeń [...] S.A. z siedzibą w [...] na decyzję Prezesa Urzędu Ochrony Danych Osobowych z dnia [...] listopada 2024 r. nr [...] w przedmiocie przetwarzania danych osobowych oddala skargę
Uzasadnienie
Prezes Urzędu Ochrony Danych Osobowych (dalej "PUODO"), decyzją z dnia [...] listopada 2024 r. nr [...], wydaną na podstawie art. 104 § 1 ustawy z dnia 14 czerwca 1960 r. Kodeks postępowania administracyjnego (Dz. U.
z 2024 r. poz. 572), dalej "k.p.a.",, w zw. z art. 7 ust. 1 i 2 ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych (Dz. U. z 2019 r. poz. 1781) oraz art. 6 ust. 1 i art. 58 ust. 2 lit. b oraz na podstawie art. 13 ust. 1 lit. c i art. 58 ust. 2 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (Dz. Urz. UE L 119 z 4.05.2016, str. 1, Dz. Urz. UE L 127 z 23.05.2018, str. 2 oraz Dz. Urz. UE L 74 z 4.03.2021, str. 35), dalej "RODO", po przeprowadzeniu postępowania administracyjnego w sprawie A. L., dalej "uczestnik postępowania", na nieprawidłowości w procesie przetwarzania jego danych osobowych przez [...] Towarzystwo Ubezpieczeń [...], z siedzibą w [...], dalej "Spółka", polegające na przetwarzaniu danych osobowych w zakresie numeru PESEL oraz daty urodzenia w celu rozpoznania reklamacji dotyczącej umowy polisy ubezpieczeniowej samochodu bez podstawy prawnej oraz niespełnieniu obowiązku informacyjnego z art. 13 RODO:
1. udzielił Spółce upomnienia za naruszenie art. 6 ust. 1 RODO polegające na przetwarzaniu danych osobowych uczestnika postępowania, w zakresie numeru PESEL oraz daty urodzenia w związku z postępowaniem reklamacyjnym dotyczącym polisy numer [...] w okresie od [...] lutego 2019 r. do [...] czerwca 2021 r., bez podstawy prawnej;
2. udzielił Spółce, upomnienia za naruszenie art. 13 ust. 1 lit. c RODO, polegające na niespełnieniu wobec uczestnika postępowania, obowiązku informacyjnego
w przypadku zbierania danych od osoby, której dane dotyczą, w związku z pozyskaniem jego danych osobowych w trakcie złożenia reklamacji w dniu [...] lutego 2019 r., tj. niepoinformowaniu go o celach oraz podstawie prawnej przetwarzania danych osobowych w zakresie: numeru PESEL oraz daty urodzenia.
W uzasadnieniu organ wyjaśnił, że do Urzędu Ochrony Danych Osobowych wpłynęła skarga uczestnika postępowania na nieprawidłowości w procesie przetwarzania jego danych osobowych przez Spółkę, polegające na przetwarzaniu danych osobowych w zakresie numeru PESEL oraz daty urodzenia w celu rozpoznania reklamacji dotyczącej umowy polisy ubezpieczeniowej samochodu bez podstawy prawnej oraz niespełnieniu obowiązku informacyjnego z art. 13 RODO.
Dalej organ wskazał, że w toku przeprowadzonego postępowania ustalił następujący stan faktyczny:
1. W dniu [...] lutego 2019 r. uczestnik postępowania otrzymał od Spółki wezwanie do zapłaty za polisę samochodową, której jak wskazał, nigdy nie zawierał oraz która dotyczyła pojazdu, którego nigdy nie był posiadaczem. Uczestnik postępowania skontaktował się w celu wyjaśnienia powyższej sytuacji ze Spółką. Wskazał, iż mimo, że nie jest klientem Spółki w zakresie przedmiotowej polisy samochodowej zażądano od niego podania numeru PESEL lub daty urodzenia, pomimo że podał nr przedmiotowej polisy. Uczestnik postępowania wskazał, iż bez podania tych danych jego reklamacja w tej sprawie nie zostałaby przyjęta. W związku z powyższym uczestnik postępowania wniósł o nakazanie na mocy art. 17 RODO usunięcia danych osobowych (RODO, art. 58 ust. 2 pkt g); nakazanie dopełnienia obowiązku informacyjnego, w tym wynikającego z art. 13 RODO w sytuacji zbierania danych od osoby, której dane dotyczą w zakresie informacji o celach przetwarzania, do których mają posłużyć dane osobowe, oraz podstawie prawnej (RODO, art. 13 ust. 1 lit. c); jeśli organ stwierdzi, że naruszono również inne przepisy prawa, wniósł również o podjęcie stosownych działań wobec Spółki.
2. W złożonych wyjaśnieniach Spółka wskazała, że przetwarza dane osobowe uczestnika postępowania w celu zawarcia i wykonania umów ubezpieczenia:
a) od dnia [...] lipca 2007 r. na podstawie art. 815 Kodeksu cywilnego w związku
z zawartą umową ubezpieczenia [...], co potwierdza polisa [...];
b) od dnia 6 grudnia 2008 r. na podstawie art. 815 Kodeksu cywilnego oraz art. 23 ustawy z dnia 22 maja 2003 r. o ubezpieczeniach obowiązkowych, Ubezpieczeniowym Funduszu Gwarancyjnym i Polskim Biurze Ubezpieczycieli Komunikacyjnych w związku z zawartą umową ubezpieczenia AC, HCA,OC,ZK,NNW co potwierdza polisa [...];
c) od dnia [...] grudnia 2009 r .na podstawie art. 815 Kodeksu cywilnego oraz art. 23 ustawy z dnia 22 maja 2003 r. o ubezpieczeniach obowiązkowych, Ubezpieczeniowym Funduszu Gwarancyjnym i Polskim Biurze Ubezpieczycieli Komunikacyjnych w związku z zawartą umową ubezpieczenia HCA,OC,ZK co potwierdza polisa [...];
d) od dnia [...] października 2015 r. na podstawie art. 815 Kodeksu cywilnego
w związku z zawartą umową ubezpieczenia sprzętu elektronicznego, co potwierdza polisa [...].
Ponadto Spółka wskazała, iż pozyskała dane uczestnika postępowania od R. sp. z o.o. z siedzibą w [...] i w konsekwencji przetwarza je w swoich systemach: od dnia [...] stycznia 2019 r. na podstawie art. 815 Kodeksu cywilnego oraz art. 23 ustawy z dnia 22 maja 2003 r. o ubezpieczeniach obowiązkowych, Ubezpieczeniowym Funduszu Gwarancyjnym i Polskim Biurze Ubezpieczycieli Komunikacyjnych w związku z zawartą umową ubezpieczenia OC,AC,KR,NNW co potwierdza polisa [...]. Zakres danych przetwarzanych przez Spółkę w związku z ww. polisami obejmuje: imię i nazwisko, - numer ewidencyjny PESEL, datę urodzenia dane adresowe, - numer telefonu.
Dodatkowo Spółka pozyskała adres e-mail uczestnika postępowania podczas zgłoszenia telefonicznego.
3. Spółka wyjaśniła, że uczestnik postępowania w dniu [...] lutego 2019 r. podczas zgłoszenia telefonicznego zwrócił się do Spółki z żądaniem dotyczącym wyjaśnienia otrzymanego wezwania do zapłaty za polisę nr [...] wskazując, iż zawiera błędne dane. Uczestnik postępowania poinformował, że nie jest posiadaczem pojazdu wskazanego w piśmie. Spółka przeprowadziła postępowanie wyjaśniające. Ustalono, że dystrybutor ubezpieczeń - broker ubezpieczeniowy R. sp. z o.o. z siedzibą w [...], w wyniku błędu wprowadził do systemu informatycznego Spółki dane osobowe uczestnika postępowania wraz z danymi pojazdu. Spowodowało to wystawienie certyfikatu — dokumentu polisy potwierdzającej zawarcie umowy ubezpieczenia. Pracownik Spółki nie posiadał w tym czasie wiedzy o błędzie i zaakceptował polisę w skutek czego wysłano do uczestnika postępowania pismo dotyczące opłacenia składki. Po wyjaśnieniu nieprawidłowości wystawiona polisa została anulowana i udzielono odpowiedzi uczestnika postępowania w korespondencji mailowej z dnia [...] marca 2019 r.
4. Spółka wyjaśniła, że w związku z faktem, iż polisa jest dokumentem księgowym dane osobowe uczestnika postępowania w związku z polisą nr [...] będą przetwarzane w celu wypełnienia obowiązków prawnych wynikających z art. 4 ust 3 pkt 6, rozdziału 8 ustawy z dnia 29 września 1994 r.
o rachunkowości, art. 86 w związku z art. 70 ustawy z dnia 29 sierpnia 1997 r. Ordynacja podatkowa przez okres 5 lat od końca roku w którym upłynął termin płatności podatku wynikający z tej transakcji. Polisa nie zawiera danych osobowych w postaci: daty urodzenia oraz numeru PESEL. Polisa zawiera imię i nazwisko, dane adresowe.
5. Spółka wyjaśniła, że w celu zminimalizowania ryzyka wystąpienia tego rodzaju zdarzeń w przyszłości podjęto działania w celu pouczenia dystrybutora
o zasadach przetwarzania i ochrony danych osobowych. Ponadto przeanalizowano proces obsługowy i zwiększono działania kontrolne oraz wprowadzenie stosownej procedury.
6. Spółka wyjaśniła, iż uczestnik postępowania nie zwracał się do Spółki
z wnioskiem o realizację praw z zakresu ochrony danych osobowych oraz nie zwracał się z wnioskiem dotyczącym żądania usunięcia jego danych osobowych. Spółka spełniła wobec uczestnika postępowania obowiązek informacyjny wynikający z art. 13 RODO (dawniej art. 24 ustawy o ochronie danych osobowych) wraz z przekazanymi polisami, których kopie przedłożyła w załączeniu do wyjaśnień. Ponadto Spółka wskazała, iż treść klauzuli informacyjnej jest elementem treści umowy ubezpieczenia oraz że oświadczenie administratora danych było również składane przy każdym kontakcie uczestnika postępowania z infolinią Spółki, w tym przed rozmową telefoniczną w dniu [...] lutego 2019 r.
7. Spółka potwierdziła, że zwracała się do uczestnika postępowania o podanie daty urodzenia, podczas kontaktu telefonicznego z infolinią Spółki w dniu [...] lutego 2019 r. i [...] marca 2019 r., dotyczącego reklamacji do polisy numer [...]. W czasie rozmowy konsultant poprosił uczestnika postępowania o podanie daty urodzenia w celu jednoznacznej weryfikacji tożsamości uczestnika postępowania. Informacje będące przedmiotem rozmowy stanowiły tajemnicę ubezpieczeniową (dotyczyły umowy ubezpieczenia - art. 35 ust. 1 ustawy z dnia 11 września 2015 r. o działalności ubezpieczeniowej i reasekuracyjnej). Pozyskanie daty urodzenia miało na celu jednoznaczne potwierdzenie tożsamości osoby dzwoniącej
i ustalenie, czy jest ona uprawniona do uzyskania wnioskowanych informacji. Dodatkowo, Spółka pozyskała numer PESEL uczestnika postępowania, w toku reklamacji składanej przez stronę internetową. Uczestnik postępowania skorzystał z formularza kontaktowego w dniu [...] lutego 2019 r. Podstawą prawną przetwarzania daty urodzenia i numeru PESEL, w celu weryfikacji tożsamości osób występujących do Spółki z wykorzystaniem elektronicznych środków komunikacji, jest art. 6 ust. 1 lit. c RODO, jest wypełnienie obowiązku prawnego w postaci obowiązku zachowania tajemnicy ubezpieczeniowej i ochrony osób fizycznych w związku z przetwarzaniem danych osobowych, w szczególności ochrona przed ujawnieniem danych osobie nieuprawnionej.
8. Spółka wskazała, że postępowanie reklamacyjne dotyczące polisy numer [...] zostało zakończone i jednostka obsługująca reklamację aktualnie nie przetwarza danych uczestnika postępowania. Spółka wyjaśniła cyt. "W celach archiwizacyjnych związanych z rozpatrzeniem reklamacji, w tym udzieloną uczestnikowi postępowania odpowiedzią Spółka w swoich systemach przetwarza: treść reklamacji (w tym zawarte w niej dane) w zakresie wskazanym w dalszej części niniejszego pisma, treść udzielonej odpowiedzi na reklamację. Spółka jest zobowiązana do rozpatrywania reklamacji na podstawie ustawy z dnia 5 sierpnia 2015 o rozpatrywaniu reklamacji przez podmioty rynku finansowego i Rzeczniku Finansowym. Z zastrzeżeniem zdania następnego, Spółka przetwarza dane pozyskane wraz ze zgłoszoną reklamacją w następującym zakresie: imię i nazwisko, numer ewidencyjny PESEL, numer telefonu, adres e-mail, oraz pozyskane w toku niniejszego postępowania dane adresowe. Analiza przedmiotowej sprawy oraz upływ okresu od dnia zakończenia postępowania reklamacyjnego spowodowały, że zlecono usunięcie numeru PESEL uczestnika postępowania z dokumentacji związanej z postępowaniem reklamacyjnym." Spółka wyjaśniła również, że przetwarza dane uczestnika postępowania w następujących celach:
- archiwizacyjnym w związku z przeprowadzeniem postępowania reklamacyjnego na podstawie art. 6 ust. 1 lit. c RODO przetwarzanie jest niezbędne do wypełnienia obowiązku prawnego przez Spółkę;
- archiwizacyjnym w związku z okresem przedawnienia ewentualnych roszczeń na podstawie art. 819 oraz art. 442 kodeksu cywilnego;
- art. 6 ust. 1 lit. f RODO związanych z anulowaną polisą, która była przedmiotem postępowania reklamacyjnego; na podstawie prawnie uzasadnionych interesów realizowanych przez Spółkę;
- archiwizacyjnym w związku z prowadzonym przez tutejszy urząd postępowaniem na podstawie art. 6 ust. 1 lit. c RODO przetwarzanie jest niezbędne do wypełnienia obowiązku prawnego przez Spółkę.
Spółka wskazała również, że numer PESEL uczestnika postępowania został usunięty z dokumentacji związanej z postępowaniem reklamacyjnym w dniu [...] czerwca 2021 r. i Spółka obecnie nie przetwarza danych osobowych uczestnika postępowania w zakresie jego numeru PESEL, w tym w zakresie jego daty urodzenia.
Następnie PUODO wskazał, że z ustalonego w sprawie stanu faktycznego wynika, iż Spółka pobrała od uczestnika postępowania jego dane osobowe w zakresie daty urodzenia oraz numeru PESEL w związku ze zgłoszoną przez niego reklamacją dotyczącą przedmiotowej polisy, w dniach [...] lutego 2019 r. i [...] marca 2019 r. w czasie rozmowy telefonicznej z konsultantem Spółki. Podanie tych danych miało na celu, zdaniem Spółki, jednoznaczną weryfikację tożsamości uczestnika postępowania
i ustalenie, czy jest on osobą uprawnioną do uzyskania informacji o wskazanej polisie. Organ stwierdził jednak, że z dokumentu polisy, nieprawidłowo wystawionej na dane osobowe uczestnika postępowania na skutek błędu brokera ubezpieczeniowego, wynika, iż dokument ten nie zawierał takich danych osobowych jak nr PESEL czy data urodzenia, lecz wyłącznie imię i nazwisko oraz dane adresowe. Tym samym, zdaniem organu, żądanie podania tych danych było nadmiarowe i nie było niezbędne do właściwego ustalenia tożsamości uczestnika postępowania oraz ustalenia jego prawa do uzyskania informacji dotyczącej reklamowanej polisy.
Organ wyjaśnił, że ma na uwadze, iż działając w charakterze zakładu ubezpieczeń, Spółka gromadzi zarówno dane zwykłe, jak i dane szczególnych kategorii. Specyfika działalności prowadzonej przez zakład ubezpieczeń i przetwarzanych
w związku z nią danych osobowych uwzględniona została w przepisach ustawy z dnia 11 września 2015 r. o działalności ubezpieczeniowej i reasekuracyjnej (Dz. U. z 2024 r., poz. 838). Zgodnie z art. 35 ust. 1 ww. ustawy Spółka ma obowiązek zachowania tajemnicy dotyczącej poszczególnych umów ubezpieczenia. Zdaniem PUODO powyższy przepis nie stanowi jednak w realiach niniejszej sprawy podstawy przetwarzania kwestionowanych przez uczestnika postępowania danych osobowych w związku z reklamacją polisy. Spółka nie mogła zweryfikować podanych przez uczestnika postępowania danych w zakresie daty urodzenia i nr PESEL, bowiem nie przetwarzała tych danych w związku z reklamowaną polisą.
Dalej PUODO podniósł, że z zebranego w sprawie materiału dowodowego wynika, iż Spółka uznała reklamację uczestnika postępowania i anulowała sporną polisę, o czym poinformowała go w wiadomości e-mail z dnia [...] marca 2019 r. W sprawie ustalone zostało również, że Spółka kontynuowała następnie przetwarzanie danych osobowych uczestnika postępowania w zakresie podanych przy składaniu reklamacji numeru PESEL oraz daty urodzenia, które ostatecznie usunęła dopiero w dniu [...] czerwca 2021 r. W ocenie organu Spółka nie posiadała podstaw prawnych do przetwarzania numeru PESEL uczestnika postępowania i jego daty urodzenia w związku z rozpoznawaniem reklamacji, a tym bardziej po zakończeniu postępowania reklamacyjnego. Spółka nie wykazała, aby proces ten znajdował oparcie w przesłankach z art. 6 ust. 1 RODO.
Odnosząc się zaś do zarzutu niespełnienia przez Spółkę obowiązku informacyjnego z art. 13 ust. 1 lit. c RODO, PUODO wskazał, że zgodnie z tym przepisem, jeżeli dane osobowe osoby, której dane dotyczą, zbierane są od tej osoby, administrator podczas pozyskiwania danych osobowych podaje jej informacje o celach przetwarzania danych osobowych, oraz podstawę prawną przetwarzania.
Organ stwierdził, że z ustalonego w niniejszej sprawie stanu faktycznego wynika, że Spółka nie spełniła wobec uczestnika postępowania obowiązku informacyjnego wynikającego z art. 13 ust. 1 lit. c RODO w związku z pobraniem od niego danych osobowych w zakresie numeru PESEL oraz daty urodzenia celem rozpoznania zgłoszonej reklamacji. Uczestnik postępowania powinien zostać poinformowany przez Spółkę o tym, w jakim celu będą przetwarzane jego dane osobowe podane w trakcie składania reklamacji oraz jaka jest podstawa prawa ich przetwarzania. W ocenie PUODO nie można uznać, aby w realiach niniejszej sprawy zaistniała okoliczność, o której mowa w art. 13 ust. 4 RODO, który stanowi, że ust. 1, 2 i 3 nie mają zastosowania, gdy - i w zakresie, w jakim - osoba, której dane dotyczą, dysponuje już tymi informacjami.
Organ podkreślił, że zgodnie z zasadami określonymi w art. 5 RODO administrator danych osobowych jest zobowiązany przetwarzać te dane zgodnie z prawem, rzetelnie i w sposób przejrzysty dla osoby, której dotyczą (art. 5 ust. 1 lit a RODO). Nadto administrator jest zobowiązany by dane osobowe były zbierane w konkretnych, wyraźnych i prawnie uzasadnionych celach i nieprzetwarzane dalej w sposób niezgodny z tymi celami (art. 5 ust. 1 lit. b). Natomiast zgodnie z art. 5 ust. 2 RODO administrator jest odpowiedzialny za przestrzeganie przepisów ust. 1 i musi być w stanie wykazać ich przestrzeganie (zasada rozliczalności). Zdaniem PUODO w niniejszej sprawie Spółka będąca administratorem danych osobowych uczestnika postępowania nie wykazała, by dysponowała przesłanką uprawniającą ją do przetwarzania danych osobowych w zakresie daty urodzenia oraz nr PESEL w związku ze złożoną przez uczestnika postępowania reklamacją przedmiotowej polisy. Nie wykazała ponadto, że w chwili pozyskiwania danych osobowych uczestnika postępowania w związku ze złożeniem ww. reklamacji poinformowała go o celach i podstawach prawnych przetwarzania danych osobowych.
Następnie organ wyjaśnił, że dokonywana przez niego ocena w każdym przypadku służy zbadaniu zasadności skierowania pod adresem określonego podmiotu decyzji odpowiadającej dyspozycji art. 58 ust. 2 RODO w celu przywróceniu stanu zgodnego z prawem w procesie przetwarzania danych. Jest więc ona uzasadniona i potrzebna tylko o tyle, o ile nieprawidłowości w procesie przetwarzania danych osobowych istnieją. Na podstawie art. 58 ust. 2 RODO PUODO przysługują uprawnienia naprawcze, w tym udzielanie upomnień administratorowi lub podmiotowi przetwarzającemu w przypadku naruszenia przepisów niniejszego rozporządzenia przez operacje przetwarzania (lit. b). Mając powyższe na uwadze, organ uznał, że w realiach niniejszej sprawy właściwe jest zastosowanie wobec Spółki upomnienia za stwierdzone naruszenie przepisów o ochronie danych osobowych, tj. art. 6 ust. 1 RODO, gdyż przetwarzanie danych osobowych uczestnika postępowania w zakresie jego numeru PESEL oraz daty urodzenia w okresie od [...] lutego 2019 r. do [...] czerwca 2021 r. w związku z rozpoznawaniem reklamacji dotyczącej przedmiotowej polisy, nie znajdowało podstawy prawnej. Organ uznał ponadto za właściwe również udzielenie Spółce upomnienia za stwierdzone naruszenie przepisu art. 13 ust. 1 lit. c RODO, w związku z niespełnieniem wobec uczestnika postępowania obowiązku informacyjnego w związku z niepoinformowaniem uczestnika postępowania o celach i podstawie prawnej przetwarzania jego danych osobowych podanych w czasie składania reklamacji dotyczącej przedmiotowej polisy.
Na powyższą decyzję Spółka wniosła skargę do Wojewódzkiego Sądu Administracyjnego w Warszawie. Zaskarżonej decyzji zarzuciła:
I. naruszenie przepisów postępowania, które miało istotny wpływ na wynik sprawy, tj.:
1) naruszenie art. 77 § 1 w zw. z art. 80 w zw. z art. 7 i art. 107 § 3 k.p.a., polegające na niepełnym i niewyczerpującym zgromadzeniu materiału dowodowego,
w wyniku czego nie wyjaśniono wszystkich okoliczności faktycznych istotnych dla rozstrzygnięcia sprawy, co skutkowało wydaniem decyzji w oparciu o dowolne ustalenia faktyczne;
2) naruszenie art. 7 i art. 11 w zw. z art. 107 § 3 k.p.a., polegające na niespójności logicznej pomiędzy uzasadnieniem faktycznym i uzasadnieniem prawnym dotyczącym punktu pierwszego decyzji. Zdaniem Spółki niespójność ta jest konsekwencją błędnej wykładni art. 5 ust. 1 oraz art. 6 ust. 1 RODO, a skutkiem powyższego jest nieadekwatność treści uzasadnienia do powołanej podstawy prawnej decyzji, samo zaś uzasadnienie nie spełnia swojej funkcji (tj. nie wyjaśnia wskazanej
w decyzji podstawy prawnej);
3) naruszenie art. 58 ust. 2 lit. b w zw. z art. 24 ust. 1 RODO w zw. z art. 77 § 1 i art. 80 k.p.a., polegające na błędnym przyjęciu, że stwierdzenie naruszenia prawa
w zakresie konkretnego procesu przetwarzania może nastąpić bez uprzedniego zakwestionowania albo samego procesu (jako niezgodnego z art. 24 ust. 1 RODO), albo postępowania w konkretnej sprawie (jako niezgodnego z prawidłowo wdrożonymi
w procesie środkami technicznymi i organizacyjnymi).
II. naruszenie przepisów prawa materialnego, tj.:
1) naruszenie art. 6 ust. 1 RODO poprzez jego błędną wykładnię, polegającą na nieuprawnionym utożsamieniu zasady zgodności przetwarzania z prawem (art. 5 ust. f lit. a RODO) z zasadą minimalizacji danych (art. 5 ust. 1 lit. c RODO), co skutkowało wadliwym przyjęciem, że przetwarzanie przez skarżącą "nadmiarowych" (w ocenie organu) danych stanowi o braku podstawy prawnej przetwarzania, a w konsekwencji - wadliwym zastosowaniem art. 58 ust. 2 lit. b) w zw. z art. 6 ust. 1 RODO;
2) naruszenie art. 5 ust. 1 lit. c) RODO poprzez jego błędną wykładnię polegającą na przyjęciu, że poszczególne kategorie danych osobowych, które są przetwarzane przez administratora w relacji z danym klientem, mogą być przez administratora przetwarzane wyłącznie w kontekście tego konkretnego stosunku prawnego i związanej z nim dokumentacji, w ramach których były zebrane i nie mogą być wykorzystywane np. do weryfikacji klienta na potrzeby innego stosunku prawnego między tymi samymi stronami, co skutkowało wadliwym przyjęciem, że Spółka nie była uprawniona do wykorzystania na potrzeby procesu weryfikacji danych osobowych, które już wcześniej pozyskała i przetwarzała zgodnie z prawem, wyłącznie z tego powodu, że nie były one umieszczone na konkretnym dokumencie polisy;
3) naruszenie art. 13 ust. 1 lit. c w zw. z art. 5 ust. 1 lit. c RODO poprzez jego błędną wykładnię polegającą na przyjęciu, że informacja o celach przetwarzania danych osobowych oraz podstawie prawnej przetwarzania powinna być skonkretyzowana per poszczególne kategorie danych, co skutkowało wadliwym przyjęciem, że Spółka nie przekazała uczestnikowi postępowania prawidłowej informacji.
Spółka wniosła o:
1) dopuszczenie i przeprowadzenie dowodu uzupełniającego z załączonych dokumentów, tj.:
a. treści skróconego komunikatu odczytywanego klientom przy połączeniu
z infolinią obsługową,
b. pełnej treści oświadczenia administratora danych osobowych, którą mógł odsłuchać uczestnik postępowania podczas połączenia z infolinią,
c. treści oświadczenia administratora danych osobowych, która była zamieszczona na stronie internetowej Spółki, i z którą uczestnik postępowania mógł się zapoznać podczas wypełniania formularza;
2) uchylenie zaskarżonej decyzji w całości i umorzenie postępowania administracyjnego, a w razie nieuwzględnienia przez Sąd ww. wniosku o uchylenie zaskarżonej decyzji w całości,
3) rozpoznanie sprawy na rozprawie,
4) zasądzenie na rzecz Spółki zwrotu kosztów postępowania, w tym kosztów zastępstwa procesowego według norm przepisanych i kosztów opłaty skarbowej od pełnomocnictwa.
W uzasadnieniu skargi Spółka podniosła, że stanowisko organu, zgodnie z którym na gruncie art. 6 ust. 1 RODO podstawa prawna przetwarzania danych osobowych w ramach danego, konkretnego celu powinna być dodatkowo rozpatrywana w kontekście poszczególnych kategorii danych, jest błędne. Przepis art. 6 ust. 1 RODO określa podstawy prawne przetwarzania danych osobowych. W żadnym z punktów tego przepisu prawodawca unijny nie nakazał, alby podstawę prawną przetwarzania danych należało badać odrębnie dla poszczególnych kategorii danych, jedynie w punkcie pierwszym jest mowa o "jednym lub większej liczbie określonych celów".
Spółka wskazała, że zgodnie z art. 5 ust. 1 RODO, przy przetwarzaniu danych osobowych musi być stosowane sześć podstawowych zasad. Pierwszą z nich (art 5 ust. 1 lit. a) jest zasada zgodności z prawem, rzetelności i przejrzystości. Odrębną zasadą jest z kolei zasada minimalizacji danych - art. 5 ust. 1 lit. c) RODO Dostęp do danych osobowych jest ograniczony wyłącznie do osób uprawnionych, w tym upoważnionych pracowników, osób, których dane dotyczą, oraz odpowiednich organów państwowych.
Dalej Spółka wskazała, że zasada zgodności z prawem została rozwinięta właśnie w art. 6 RODO. W kontekście badania zgodności przetwarzania z prawem na gruncie tego przepisu weryfikacji podlega wyłącznie istnienie lub nie istnienie podstawy prawnej przetwarzania danych osobowych w konkretnym celu. Jeśli istnieje podstawa prawna przetwarzania danych osobowych w określonym celu - wówczas można analizować, czy zakres przetwarzanych danych jest adekwatny do tego celu (zgodnie z zasadą minimalizacji). Jeśli natomiast podstawy prawnej nie ma - wówczas nie mówimy o tym, jakie kategorie danych można przetwarzać, bo z definicji bez podstawy prawnej przetwarzanie danych osobowych (jakichkolwiek) jest w ogóle niedopuszczalne.
Zdaniem Spółki PUODO w wyniku błędnej wykładni utożsamia zasadę minimalizacji danych osobowych wyrażoną w art. 5 ust. 1 z zasadą zgodności przetwarzania z prawem (istnienia podstawy prawnej przetwarzania jako takiego) z art. 6 ust. 1 RODO. W konsekwencji, uzasadnienie zaskarżonej decyzji koncentruje się na aspekcie rzekomej "nadmiarowości" danych przetwarzanych na potrzeby weryfikacji tożsamości uczestnika postepowania, a nie na wykazaniu braku podstawy prawnej do przeprowadzenia takiego procesu z użyciem danych osobowych. W rezultacie, organ nie wyjaśnia podstawy prawnej udzielenia upomnienia za przetwarzanie danych osobowych "bez podstawy prawnej", skoro - kwestionując istnienie takiej podstawy - organ jednocześnie potwierdza obowiązek Spółki do ochrony tajemnicy ubezpieczeniowej oraz prawo do przeprowadzania weryfikacji tożsamości klienta, a więc pośrednio potwierdza również istnienie podstawy prawnej przetwarzania danych osobowych z art. 6 ust. 1 lit. c) RODO, zgodnie z tym co przywoływała Spółka w toku postępowania. Wykładnia art. 6 ust. 1 RODO przyjęta przez organ oznaczałaby, że przepis art. 5 ust. 1 lit. c RODO należałoby uznać za całkowicie zbędny, skoro wymóg adekwatności i minimalizacji zakresu przetwarzanych danych byłby zawarty w wymogu zgodności przetwarzania z prawem.
Ponadto Spółka podniosła, że z uzasadnienia decyzji wynika, iż jedyną przyczyna, dla której organ zakwestionował przetwarzanie danych obejmujących numer PESEL i datę urodzenia uczestnika postępowania był fakt, że te konkretne dane nie znajdowały się bezpośrednio na dokumencie konkretnej polisy objętej reklamacją. W ocenie Spółki organ wykracza poza kompetencje przyznane mu przez RODO, gdyż z tak sformułowanego uzasadnienia wynika wprost dyrektywa adresowana do administratora danych, aby weryfikacji tożsamości w procesie reklamacji dotyczącym konkretnego dokumentu dokonywał wyłącznie w oparciu o te dane osobowe, które znajdują się na tym dokumencie, bez możliwości wykorzystania innych danych osobowych tej samej osoby, które administrator już przetwarza zgodnie z prawem i którymi dysponuje. Spółka podkreśliła przy tym, że to administrator ustala cele i sposoby przetwarzania danych osobowych, a uprawnienie organu nadzoru są w tym zakresie ograniczone. Organ ten może na podstawie art. 58 ust. 2 lit d RODO nakazać administratorowi dostosowanie operacji przetwarzania do przepisów RODO. W ramach decyzji wydawanych na podstawie art. 58 ust. 2 lit b RODO uczynić tego nie może.
Spółka podniosła także, że zgodnie z art. 24 ust. 1 RODO administrator decyduje o tym, jakie środki techniczne i organizacyjne wdroży w celu zapewnienia, aby przetwarzanie odbywało się zgodnie z rozporządzeniem. Jednym z takich środków - zabezpieczającym dodatkowo również aspekt tajemnicy ubezpieczeniowej - jest ustalona, ustandaryzowana procedura weryfikacji klientów. Ze względu na ryzyko związane z ujawnieniem danych osobowych i danych objętych tajemnicą ubezpieczeniową osobom nieuprawnionym, procedura weryfikacji musi być zbudowana w taki sposób, aby minimalizować prawdopodobieństwo wystąpienia takich zdarzeń.
Proces weryfikacji klientów w oparciu m. in. o numer PESEL (i zawartą w nim informację o dacie urodzenia) jest powszechnie stosowany przez instytucje finansowe i uznawany za jedno z najbezpieczniejszych rozwiązań.
Spółka zarzuciła, że organ nie analizował procedury weryfikacji tożsamości obowiązującej w Spółce, w szczególności nie zbadał - chociażby w oparciu o rejestr czynności przetwarzania - jakie kategorie danych osobowych są przetwarzane w tym procesie, i ostatecznie nie zakwestionował stosowanych przez Spółkę środków organizacyjnych. Spółka podała jakie dane są weryfikowane w przypadku jej klientów i pełnomocników klientów. Spółka zarzuciła, że organ nie przeprowadził pełnego postępowania dowodowego w kierunku ustalenia, w jaki sposób został w Spółce skonstruowany proces weryfikacji osób zgłaszających reklamacje i nie poddał go ocenie w kontekście art. 24 ust. 1 RODO. Organ przyjął założenie, że weryfikacja ta nie mogła obejmować numeru PESEL i daty urodzenia. W konsekwencji organ nie uwzględnił również faktu, że w Spółce funkcjonowała legislacja wewnętrzna, która określała w sposób precyzyjny i ustandaryzowany sposób weryfikowania klientów przy zachowaniu wymogów bezpieczeństwa informacji wynikających m. in. z obowiązującego w Spółce systemu ISMS. Spółka wyjaśniła, że uwierzytelnianie jednoskładnikowe uznaje się za słabe - rekomendowane było uwierzytelnianie silniejsze (dwu- lub więcej składnikowe).
W związku z tym przyjęty został standard, że dane pobrane do weryfikacji powinny pochodzić z przynajmniej dwóch różnych dokumentów, np. umowa/polisa, dokument tożsamości, informacje związane z wykonaniem umowy (analogicznie jak przy uwierzytelnianiu dwuskładnikowym). Ma to na celu właśnie zapobieganie sytuacjom, w których osoba, która w sposób nieuprawniony uzyskała dostęp do jednego dokumentu i zawartych w nim danych (jak np. polisa bez numeru PESEL), mogłaby tylko na podstawie tego jednego dokumentu przejść pomyślnie proces weryfikacji tożsamości i uzyskać dostęp do informacji o kliencie przetwarzanych przez administratora, w tym danych objętych tajemnicą ubezpieczeniową.
Odnośnie kwestii zarzucanego Spółce niezrealizowania obowiązku informacyjnego Spółka podniosła, że organ nie zakwestionował faktu, iż przed zgłoszeniem reklamacji uczestnik postepowania pozostawał już w relacji ze Spółką (w kontekście innych zawartych między stronami umów ubezpieczenia) oraz że Spółka (zgodnie z prawem) przetwarzała jego dane osobowe obejmujące m. in. numer PESEL
i datę urodzenia, a także iż uczestnik postępowania otrzymał wcześniej od Spółki klauzulę administratora danych osobowych. Przed rozmową telefoniczną z infolinią skarżący miał już bowiem zawarte 4 umowy ubezpieczenia i przy okazji zawierania każdej z nich otrzymał od Spółki oświadczenie administratora danych. Organ uznał klauzule doręczone przy zawartych wcześniej umowach ubezpieczenia za nie spełniające wymogów z art. 13 ust. 4 RODO, ale jednocześnie z naruszeniem art. 11 i 80 k.p.a. nie zbadał, jaka była treść klauzuli administratora danych, która była odczytywana (do odsłuchania przez dzwoniącego) w trakcie reklamacji zgłoszonej telefonicznie przez uczestnika ani jakiej treści oświadczenie administratora danych było dostępne dla niego przy wypełnianiu formularza na stronie internetowej. Skutkuje to tym, że stwierdzenie organu o niewypełnieniu obowiązku informacyjnego jest oparte na niepełnym i ustalonym w sposób dowolny stanie faktycznym.
W odpowiedzi na skargę organ wniósł o oddalenie skargi, podtrzymując argumentację zawartą w zaskarżonej decyzji.
Dodatkowo ustosunkowując się do zarzutów skargi PUODO wskazał, że niezasadne jest stwierdzenie, że nie wyjaśnił wszystkich okoliczności faktycznych istotnych dla rozstrzygnięcia sprawy. PUODO podkreślił, że na administratorze
i podmiocie przetwarzającym spoczywa, stosownie do postanowień art. 31 RODO, obowiązek dostarczenia wszelkich informacji, potrzebnych organowi nadzorczemu do realizacji swoich zadań. Podmioty te powinny zatem współpracować z organem i udzielać wyczerpujących wyjaśnień na wezwanie organu, realizującego swe zadania zgodnie z art. 58 ust. 1 lit. a i e RODO. Zdaniem organu nie można więc uznać, że jest on obowiązany do poszukiwania z urzędu w toku prowadzenia postępowania wszczętego na skutek skargi indywidualnej, pełnej podstawy uzasadniającej proces przetwarzania danych osobowych osoby wnoszącej skargę, wyręczając w tym zakresie administratora.
Organ wyjaśnił, że w realiach niniejszej sprawy wyjaśnienia przedłożone przez Spółkę zostały uznane za wartościowy materiał dowodowy i stanowiły podstawę ustaleń faktycznych w sprawie. Rozstrzygnięcie w niniejszej sprawie wydane zostało w oparciu
o stan faktyczny ustalony m.in. w wyniku złożonych przez Spółkę wyjaśnień, nie budzących w dacie wydawania decyzji jakichkolwiek wątpliwości organu.
Dalej organ wskazał, że dokonał w niniejszej sprawie oceny wyłącznie procesu przetwarzania danych osobowych uczestnika postępowania przez Spółkę, w zakresie wynikającym z jego skargi, tj. nieprawidłowości przetwarzania jego danych osobowych
w zakresie numeru PESEL oraz daty urodzenia w celu rozpoznania reklamacji dotyczącej umowy polisy ubezpieczeniowej samochodu bez podstawy prawnej oraz niespełnieniu, w związku z pozyskaniem ww. danych, obowiązku informacyjnego z art. 13 RODO. Postępowanie to było prowadzone zgodnie ze złożonym do PUODO wnioskiem. Uprawnienie do określenia żądania kierowanego do PUODO, czy też do doprecyzowania tego żądania, posiada tylko strona. Organ nie badał w niniejszym postępowaniu stosowanych przez Spółkę praktyk dotyczących potwierdzania tożsamości klientów w trakcie rozmów telefonicznych.
Zdaniem PUODO Spółka w sposób wybiórczy odnosi się do wskazanych
w zaskarżonej decyzji przepisów prawa, czym manipuluje zarówno ustalonym w sprawie stanem prawnym, jak i faktycznym. Organ podniósł, że bezzasadny jest zarzut Spółki, iż PUODO utożsamia zasadę zgodności przetwarzania z prawem określoną w art. 5 ust. 1 lit. a RODO z zasadą minimalizacji danych określoną w art. 5 ust. 1 lit. c RODO. Z skarżonej decyzji nie wynika takie stwierdzenie. Organ przywołał w swoich rozważaniach treść art. 5 ust. 1 lit b RODO, zgodnie z którym administrator jest zobowiązany by dane osobowe były zbierane w konkretnych, wyraźnych i prawnie uzasadnionych celach i nieprzetwarzane dalej w sposób niezgodny z tymi celami. Wbrew zatem twierdzeniom Spółki, każdy cel w jakim przetwarzane są konkretne dane osobowe, musi posiadać podstawę prawną. Osoba, której dane dotyczą musi zaś zostać poinformowana o tym celu przetwarzania jej danych osobowych oraz o podstawie prawnej tego przetwarzania. Skoro zatem na podstawie zgromadzonego w sprawie materiału dowodowego, ustalone zostało, że Spółka pobrała od uczestnika postępowania jego dane osobowe w zakresie numeru PESEL oraz daty urodzenia, które to dane nie występowały w umowie, której dotyczyła zgłaszana przez niego reklamacja, należy uznać, że dane te nie były w żadnym stopniu konieczne do dokonania potwierdzenia jego tożsamości. Dane te nie pozwalały bowiem na zweryfikowanie, czy jest on stroną tej umowy czy nie. Należało tym samym przyznać rację uczestnikowi postępowania, że kwestionowane w skardze przetwarzanie tych danych w celu potwierdzenia tożsamości pozbawione było podstaw prawnych.
W ocenie organu powyższej oceny nie zmienia również fakt, że Spółka przetwarza dane osobowe uczestnika postępowania w zakresie jego numeru PESEL oraz daty urodzenia w innych procesach, związanych z zawartymi z nim umowami, bowiem procesy te nie były przedmiotem skargi PUODO, a zatem nie podlegały ocenie organu w postępowaniu zakończonym zaskarżoną decyzją.
Organ zwrócił również uwagę, że Spółka nie odnosi się w skardze do przywołanego w uzasadnieniu tej decyzji art. 5 ust. 1 lit b RODO. Spółka powołuje natomiast art. 5 ust. 1 lit a oraz c RODO zarzucając organowi błędy w dokonanej wykładni ww. przepisów.
Ponadto PUODO podał ponadto, że pomimo wezwania Spółka nie wykazała, by Spełniła wobec uczestnika postepowania obowiązek informacyjny, w kwestionowanym przez niego zakresie, tj. w zakresie art. 13 ust. 1 lit c RODO, dotyczącym informacji
o celach przetwarzania, do których dane te mają posłużyć, oraz podstawie prawnej. Spółka w toku postępowania administracyjnego nie przedłożyła treści klauzuli informacyjnej, którą przekazała uczestnikowi postepowania w procesie reklamacji. Organ podkreślił, że spełnienie obowiązku informacyjnego przez Spółkę przy zawieraniu umów ze Spółką, nie jest wystarczające, bowiem przetwarzanie danych osobowych w celu związanym z obsługą przedmiotowej reklamacji odbywało się bez związku z procesami przetwarzania dotyczącymi tych umów.
Odnosząc się do wniosku dowodowego w skardze organ wskazał, że Spółka mogła przedłożyć powyższe dowody na etapie postępowania administracyjnego, ale tego nie zrobiła. Zgodnie zaś z zasadą rozliczalności określoną w art. 5 ust. 2 RODO to na administrator danych jest odpowiedzialny za przestrzeganie przepisów RODO i musi być w stanie wykazać ich przestrzeganie.
Z ostrożności procesowej organ wskazał, że załączone do skargi dokumenty zawierają informacje bardzo ogólne i odnoszą się do wszystkich możliwych sytuacji przetwarzania danych osobowych. Spółka wskazuje, że podstawą prawną przetwarzania danych osobowych: cyt. "w celu rozpatrywania zgłoszonych reklamacji oraz w celu przeciwdziałania przestępstwom ubezpieczeniowym są ciążące na administratorze danych osobowych obowiązki wynikające z przepisów prawa". Powyższe sformułowanie nie wskazuje podstawy prawnej przetwarzania zakwestionowanego przez uczestnika postępowania w niniejszym postępowaniu, w dodatku nie odnosi się do żadnego konkretnego przepisu prawa, z którego taki obowiązek dla Spółki miałby wynikać. Taka informacja w ocenie organu nie jest informacją zgodną z zasadą przejrzystości, o której mowa w art. 12 ust. 1 RODO.
Na rozprawie w dniu 13 czerwca 2025 r. Sąd uwzględnił wniosek dowodowy Spółki.
Wojewódzki Sąd Administracyjny w Warszawie zważył, co następuje:
Zgodnie z art. 1 § 1 i § 2 ustawy z dnia 25 lipca 2002 r. - Prawo o ustroju sądów administracyjnych (Dz. U. z 2024 r., poz. 1267) oraz art. 3 § 1 ustawy z dnia 30 sierpnia 2002 r. Prawo o postępowaniu przed sądami administracyjnymi (Dz. U. z 2024 r. poz. 935, z późn. zm.), dalej "p.p.s.a.", sądy administracyjne sprawują wymiar sprawiedliwości przez kontrolę działalności administracji publicznej. Kontrola ta polega na ocenie zgodności zaskarżonego aktu z przepisami postępowania administracyjnego, a także prawidłowości zastosowania i wykładni norm prawa materialnego. Kontrola ta jest dokonywana według stanu faktycznego i prawnego obowiązującego w dacie wydania zaskarżonego aktu.
W myśl art. 134 § 1 i 2 p.p.s.a. sąd rozstrzyga w granicach danej sprawy nie będąc związany zarzutami i wnioskami skargi oraz powołaną podstawą prawną,
z zastrzeżeniem art. 57a, przy czym sąd nie może wydać orzeczenia na niekorzyść skarżącego, chyba że stwierdzi naruszenie prawa skutkujące stwierdzeniem nieważności zaskarżonego aktu lub czynności.
Rozpatrując skargę wedle powyższych kryteriów Sąd uznał, że nie zasługuje ona na uwzględnienie.
Zaskarżoną w niniejszej sprawie decyzją PUODO udzielił Spółce upomnienia za naruszenie art. 6 ust. 1 RODO polegające na przetwarzaniu danych osobowych uczestnika postępowania w zakresie nr PESEL oraz daty urodzenia w związku
z postępowaniem reklamacyjnym dotyczącym polisy nr [...] (dalej "polisa") bez podstawy prawnej oraz za naruszenie art. 13 ust. 1 lit c RODO polegające na niespełnieniu wobec uczestnika postępowania obowiązku informacyjnego w związku z pozyskaniem jego danych osobowych w powyższym zakresie w trakcie złożenia reklamacji dotyczącej polisy, tj. niepoinformowaniu go o celach oraz podstawie prawnej przetwarzania tych danych osobowych.
Stan faktyczny sprawy w zakresie tego, iż skarżący otrzymał od Spółki wezwanie do zapłaty za polisę, mimo że nigdy nie zawierał umowy jej dotyczącej, oraz która dotyczyła pojazdu, którego nigdy nie był posiadaczem, nie jest sporny. Bezsporne też jest, że skarżący składał reklamację telefonicznie i w czasie rozmowy został poproszony o podanie daty urodzenia. Ponadto skarżący składał reklamację za pośrednictwem strony internetowej i w tym przypadku zobowiązany został do podania numeru PESEL.
W toku postępowania prowadzonego przez PUODO Spółka wskazywała, że pozyskanie tych danych od skarżącego było konieczne w celu wypełnienia obowiązku prawnego w postaci obowiązku zachowania tajemnicy ubezpieczeniowej i ochrony osób fizycznych w związku z przetwarzaniem danych osobowych, w szczególności ochrony przed ujawnieniem danych osobie nieuprawnionej. Spółka wyjaśniała, że obowiązek ten wynika z art. 35 ustawy z dnia 11 września 2015 r. o działalności ubezpieczeniowej i reasekuracyjnej (Dz. U. z 2024 r. poz. 838, z późn. zm.). Spółka podnosiła, że w związku z reklamacji drogą telefoniczną konieczna była weryfikacja osoby dzwoniącej przeprowadzona przez potwierdzenie danych osobowych uczestnika postępowania w zakresie daty urodzenia. Ponadto Spółka wskazywała, że podstawą przetwarzania danych osobowych uczestnika postępowania stanowił w tym przypadku art. 6 ust. 1 lit c RODO.
Sąd podziela ocenę organu wskazującą, że Spółka przetwarzała dane osobowe uczestnika postępowania w zakresie numeru PESEL oraz daty urodzenia w związku z reklamacją dotyczącą polisy bez podstawy prawnej.
Zgodnie z art. 5 ust. 1 RODO przetwarzanie jest zgodne z prawem wyłącznie w przypadkach, gdy - i w takim zakresie, w jakim - spełniony jest co najmniej jeden z poniższych warunków:
a) osoba, której dane dotyczą wyraziła zgodę na przetwarzanie swoich danych osobowych w jednym lub większej liczbie określonych celów;
b) przetwarzanie jest niezbędne do wykonania umowy, której stroną jest osoba, której dane dotyczą, lub do podjęcia działań na żądanie osoby, której dane dotyczą, przed zawarciem umowy;
c) przetwarzanie jest niezbędne do wypełnienia obowiązku prawnego ciążącego na administratorze;
d) przetwarzanie jest niezbędne do ochrony żywotnych interesów osoby, której dane dotyczą, lub innej osoby fizycznej;
e) przetwarzanie jest niezbędne do wykonania zadania realizowanego w interesie publicznym lub w ramach sprawowania władzy publicznej powierzonej administratorowi;
f) przetwarzanie jest niezbędne do celów wynikających z prawnie uzasadnionych interesów realizowanych przez administratora lub przez stronę trzecią, z wyjątkiem sytuacji, w których nadrzędny charakter wobec tych interesów mają interesy lub podstawowe prawa i wolności osoby, której dane dotyczą, wymagające ochrony danych osobowych, w szczególności gdy osoba, której dane dotyczą, jest dzieckiem.
Ponadto stosownie do treści art. 5 ust. 2 RODO administrator jest odpowiedzialny za przestrzeganie przepisów ust. 1 i musi być w stanie wykazać ich przestrzeganie ("rozliczalność").
Zgodnie zaś z art. 6 ust. 1 lit c RODO przetwarzanie jest zgodne z prawem wyłącznie w przypadkach, gdy - i w takim zakresie, w jakim przetwarzanie jest niezbędne do wypełnienia obowiązku prawnego ciążącego na administratorze.
Stosownie do treści art. 35 ust. 1 powołanej wyżej ustawy o działalności ubezpieczeniowej i reasekuracyjnej zakład ubezpieczeń i osoby w nim zatrudnione,
a także osoby i podmioty, za pomocą których zakład ubezpieczeń wykonuje czynności ubezpieczeniowe, są obowiązane do zachowania tajemnicy dotyczącej poszczególnych umów ubezpieczenia.
Zauważyć należy, że z wyjaśnień Spółki składanych w toku postępowania wynikało, że przetwarzała ona dane osobowe uczestnika postępowania
w kwestionowanym zakresie aby zweryfikować, czy osoba kontaktująca się ze Spółką
w sprawie reklamacji dotyczącej polisy jest osobą, za którą się podaje. Należy jednak zauważyć, że uczestnik postępowania kontaktując się ze Spółką składał reklamację podnosząc, że nie zawierał umowy dotyczącej tej polisy. Z tej okoliczności wynikało zatem, że nie jest on klientem Spółki. Podkreślenia przy tym wymaga, że w polisie nie było danych osobowych uczestnika postępowania w postaci numeru PESEL oraz daty urodzenia. Dane te nie pozwalały zatem na zweryfikowanie, czy uczestnik postępowania jest stroną tej umowy czy nie. Zauważyć również należy, że z wyjaśnień Spółki nie wynikało aby te dane osobowe były konieczne do realizacji samej reklamacji. Spółka podnosiła wyłącznie, że były one potrzebne do weryfikacji tożsamości osoby kontaktującej się ze Spółką. Uczestnik postępowania został zatem potraktowany jak klient Spółki mimo, że w odniesieniu do tej konkretnej polisy klientem on nie był. Zgodzić się należy z organem, że w tej sytuacji żądanie podania tych danych było nadmiarowe
i nie było niezbędne do właściwego ustalenia tożsamości uczestnika postępowania oraz ustalenia jego prawa do uzyskania informacji dotyczącej reklamowanej polisy.
Zasadnie organ uznał, że 35 ust. 1 ustawy o działalności ubezpieczeniowej
i reasekuracyjnej nie stanowił w realiach niniejszej sprawy podstawy przetwarzania danych osobowych uczestnika postępowania w kwestionowanym zakresie w związku
z reklamacją polisy. Spółka nie mogła bowiem zweryfikować podanych przez uczestnika postępowania danych w zakresie daty urodzenia i nr PESEL, ponieważ nie przetwarzała tych danych w związku z polisą.
Faktem jest, że skarżący w przeszłości zawierał ze Spółką umowy ubezpieczenia. Miało to miejsce w 2007 r., 2008 r., 2009 r. oraz 2015 r. W związku z tym Spółka przetwarzała dane osobowe uczestnika postępowania, także w kwestionowanym aktualnie zakresie, w związku z zawartymi wcześniej umowami. Reklamacja, jaką skarżący składał w 2019 r., była jednak oddzielnym zdarzeniem inicjującym oddzielny proces przetwarzania danych osobowych od procesów, które miały źródła w zawartych wcześniej umowach. Stosownie natomiast do treści art. 5 ust. 1 lit b RODO dane osobowe muszą być zbierane w konkretnych, wyraźnych i prawnie uzasadnionych celach i nieprzetwarzane dalej w sposób niezgodny z tymi celami. Cel przetwarzania danych osobowych uczestnika postępowania wyznaczony zawartymi wcześniej umowami był innym celem niż rozpatrzenie reklamacji dotyczącej polisy, której uczestnik postępowania nie zawierał. Uznać należy, że Spółka w związku z zawartymi wcześniej umowami nie uzyskała uniwersalnego uprawnienia do przetwarzania danych osobowych uczestnika postępowania w celach niezwiązanych z tymi umowami. Pozostawałoby to bowiem w sprzeczności z treścią art. 5 ust. 1 lit b RODO. Jak słusznie wskazuje organ w odpowiedzi na skargę każdy cel, w jakim przetwarzane są konkretne dane osobowe, musi posiadać podstawę prawną.
Nie są wobec tego zasadne zarzuty naruszenia przez organ art. 6 ust. 1 oraz art. 5 ust. 1 lit c RODO. Biorąc pod uwagę treść uzasadnienia zaskarżonej decyzji nieuprawnione jest twierdzenie, że organ utożsamia zasadę zgodności przetwarzania
z prawem określoną w art. 5 ust. 1 lit. a RODO z zasadą minimalizacji danych określoną w art. 5 ust. 1 lit. c RODO. Nie wynika to z treści tej decyzji, co zasadnie podnosi PUODO w odpowiedzi na skargę. Organ w zaskarżonej decyzji powołał się art. 5 ust. 1 lit b RODO, którego treść Spółka pomija całkowicie w skardze.
Nie można przy tym odczytywać zaskarżonej decyzji jako ingerencji organu
w przyjęte w Spółce procedury weryfikacji tożsamości osób składających reklamację. Zaskarżona decyzja odnosi się wyłącznie do jednostkowego procesu przetwarzania danych osobowych uczestnika postępowania, który w okolicznościach niniejszej sprawy organ uznała za pozbawiony podstaw prawnych. Organ w żaden sposób nie wypowiedział się co do tego, że Spółka weryfikując tożsamość swoich klientów nie może żądać od nich, w przypadku kontaktu telefonicznego, podania numeru PESEL czy daty urodzenia.
Biorąc pod uwagę treść skargi wniesionej do PUODO oraz treść udzielanych
w toku postępowania przez Spółkę wyjaśnień organ nie badał w niniejszym postępowaniu stosowanych przez Spółkę praktyk dotyczących potwierdzania tożsamości klientów w trakcie rozmów telefonicznych. Organ dokonywał bowiem oceny, czy wskazywana podstawa przetwarzania danych osobowych uczestnika postepowania mogła mieć zastosowanie w procesie przetwarzania danych osobowych związanych z reklamacją polisy, w sytuacji gdy nie był on klientem Spółki w zakresie tej polisy. Mając na względzie poczynione przez organ ustalenia co do zakresu danych zawartych w polisie nie było konieczne ustalanie, jakie praktyki stosuje Spółka w celu potwierdzania tożsamości klientów.
Niekwestionowane przy tym jest, że Spółka po rozpatrzeniu reklamacji kontynuowała proces przetwarzania danych osobowych uczestnika postępowania
w zakresie numeru PESEL oraz daty urodzenia, które ostatecznie usunęła dopiero w dniu [...] czerwca 2021 r. W związku z tym, że Spółka nie posiadała podstaw prawnych do przetwarzania numeru PESEL uczestnika postepowania i jego daty urodzenia w związku z rozpoznawaniem reklamacji, a tym bardziej po zakończeniu postępowania reklamacyjnego, zasadnie organ skorzystał z uprawnienia naprawczego przewidzianego w art. 58 ust. 2 lit b i udzielił Spółce upomnienia.
Zaskarżona decyzja nie narusza prawa również w zakresie pkt 2 jej rozstrzygnięcia.
Zgodnie z art. 13 ust. 1 RODO jeżeli dane osobowe osoby, której dane dotyczą, zbierane są od tej osoby, administrator podczas pozyskiwania danych osobowych podaje jej wszystkie następujące informacje:
a) swoją tożsamość i dane kontaktowe oraz, gdy ma to zastosowanie, tożsamość i dane kontaktowe swojego przedstawiciela;
b) gdy ma to zastosowanie - dane kontaktowe inspektora ochrony danych;
c) cele przetwarzania danych osobowych, oraz podstawę prawną przetwarzania;
d) jeżeli przetwarzanie odbywa się na podstawie art. 6 ust. 1 lit. f) - prawnie uzasadnione interesy realizowane przez administratora lub przez stronę trzecią;
e) informacje o odbiorcach danych osobowych lub o kategoriach odbiorców, jeżeli istnieją;
f) gdy ma to zastosowanie - informacje o zamiarze przekazania danych osobowych do państwa trzeciego lub organizacji międzynarodowej oraz o stwierdzeniu lub braku stwierdzenia przez Komisję odpowiedniego stopnia ochrony lub w przypadku przekazania, o którym mowa w art. 46, art. 47 lub art. 49 ust. 1 akapit drugi, wzmiankę o odpowiednich lub właściwych zabezpieczeniach oraz informację o sposobach uzyskania kopii tych zabezpieczeń lub o miejscu ich udostępnienia.
Udzielone Spółce upomnienie dotyczy niewypełnienia wobec uczestnika postępowania obowiązku informacyjnego w zakresie art. 13 ust. 1 lit c RODO - cele przetwarzania danych osobowych, oraz podstawa prawna przetwarzania.
W tym zakresie należy zaznaczyć, że przetwarzanie danych osobowych uczestnika postepowania w kwestionowanym zakresie dotyczyło złożonej przez niego reklamacji polisy. Był to odrębny cel przetwarzania od celów wynikający z wcześniej zawartych przez niego umów ze Spółką. Zasadnie zatem organ podnosi w zaskarżonej decyzji, że Spółka powinna poinformować uczestnika postępowania o tym, w jakim celu będą przetwarzane jego dane osobowe podane w trakcie składania reklamacji oraz jaka jest podstawa prawa ich przetwarzania.
Słusznie organ również podnosi, że w realiach niniejszej sprawy nie zaistniała okoliczność, o której mowa w art. 13 ust. 4 RODO. Przepis ten stanowi, że ust. 1, 2 i 3 nie mają zastosowania, gdy - i w zakresie, w jakim - osoba, której dane dotyczą, dysponuje już tymi informacjami. Tak jak już to podkreślano proces przetwarzania danych związanych z reklamacją był osobnym procesem od wynikających z zawartych wcześniej przez uczestnika postępowania umów ze Spółką. Uczestnik postępowania nie dysponowała zatem już informacjami dotyczącymi celów przetwarzania jego danych osobowych w zakresie numeru PESEL oraz daty urodzin oraz podstawy prawnej przetwarzania.
Odnośnie tej części rozstrzygnięcia organowi nie można zarzucić, że nie dokonał niezbędnych ustaleń, co do tego czy obowiązek informacyjny został w tym przypadku zrealizowany. Pomimo skierowanego przez PUODO w toku postępowania wezwania do Spółki nie wykazała ona, aby spełniła wobec uczestnika postepowania obowiązek informacyjny w zakresie art. 13 ust. 1 lit c RODO w związku z pozyskaniem w toku załatwiania reklamacji polisy danych osobowych w zakresie numeru PESEL i daty urodzenia. Dopiero do skargi Spółka dołączyła treść klauzul informacyjnych, które dostępne były dla uczestnika postępowania. Trafnie organ zauważa w odpowiedzi na skargę, że zgodnie z zasadą rozliczalności określoną w art. 5 ust. 2 RODO to administrator danych jest odpowiedzialny za przestrzeganie przepisów RODO i musi być w stanie wykazać ich przestrzeganie. Nie można zatem organowi czynić zarzutu, że nie podjął działań niezbędnych do ustalenia stanu faktycznego sprawy.
Załączone do skargi dokumenty obejmują oświadczenie administratora danych osobowych, które uczestnik postępowania mógł odsłuchać podczas połączenia z infolinią oraz oświadczenie administratora danych osobowych, które było zamieszczone na stronie internetowej Spółki, i z którym uczestnik postępowania mógł się zapoznać podczas wypełniania formularza na stronie internetowej. Jednak jak słusznie zauważa organ w odpowiedzi na skargę zawierają informacje bardzo ogólne i odnoszą się do wszystkich możliwych sytuacji przetwarzania danych osobowych.
W treści załącznika nr 2 do skargi, tj. pełnej treści oświadczenia administratora danych osobowych, którą mógł odsłuchać uczestnik postępowania podczas połączenia z infolinią (karta nr 9 akt sądowych), zawarte jest sformułowanie "Podstawą prawną przetwarzania danych osobowych: (...) w celu rozpatrywania zgłoszonych reklamacji oraz w celu przeciwdziałania przestępstwom ubezpieczeniowym są ciążące na administratorze danych osobowych obowiązki wynikające z przepisów prawa". Jak słusznie zauważa organ treść ta nie wskazuje podstawy prawnej przetwarzania zakwestionowanego przez uczestnika postępowania w niniejszym postępowaniu, a nadto nie wskazuje żadnego konkretnego przepisu prawa, z którego taki obowiązek dla Spółki miałby wynikać. Z ich treści tej klauzuli nie można wywieźć, że podstawą prawną przetwarzania danych osobowych w zakresie numeru PESEL i daty urodzin uczestnika postepowania w związku z reklamacją polisy jest art. 6 ust. 1 lit c RODO w związku z art. 35 ust. 1 ustawy o działalności ubezpieczeniowej i reasekuracyjnej. Na taką zaś podstawę prawną przetwarzania Spółka powoływała się w toku postępowania. Nie wynikają z nich również wskazywane w toku postępowania cele przetwarzania. Podobne, ogólne sformułowania zawarte są w załączniku nr 3 do skargi, tj. oświadczeniu administratora danych osobowych, które była zamieszczona na stronie internetowej Spółki. Brak w nim jest ponadto powiązania konkretnego celu przetwarzania z konkretną podstawą przetwarzania. Zgodzić się należy z organem, że taka informacja nie jest informacją zgodną z zasadą przejrzystości, o której mowa w art. 12 ust. 1 RODO.
Zaznaczyć również należy, że nie ma sprzeczności pomiędzy punktem 1 i 2 rozstrzygnięcia zaskarżonej decyzji. Skoro bowiem Spółka była przekonana, że ma podstawy prawne do przetwarzania danych osobowych uczestnika postępowania
w zakresie numeru PESEL i daty urodzenia w związku z reklamacją polisy, to winna wykonać względem niego obowiązek informacyjny z art. 13 ust. 1 lit c RODO. Późniejsze uznanie przez PUODO, że brak było podstaw prawnych do takiego przetwarzania danych osobowych nie powoduje, że wcześniej Spółka nie powinna tego obowiązku wypełnić.
Konkludując stwierdzić należy, że skarga nie jest zasadna, gdyż zaskarżona decyzja nie narusza norm prawa materialnego czy procesowego. Organ prawidło ustalił stan faktyczny sprawy, w wystarczający sposób zebrał i ocenił materiał dowodowy,
a następnie w przekonywujący sposób uzasadnił swoje rozstrzygnięcie. Uzasadnienie zaskarżonej decyzji spełnia wymogi przewidziane w art. 107 § 3 k.p.a., gdyż w jej treści organ wyraźnie wskazał z jakich względów organ uznał za zasadne udzielenie Spółce upomnienia. Postępowanie administracyjne zostało przeprowadzone zgodnie
z zasadami ogólnymi k.p.a., a w szczególności art. 7, art. 8, art. 11 k.p.a., a także innymi normami, zwłaszcza art. 77 i art. 80 k.p.a., a zaskarżone rozstrzygnięcie zostało oparte na prawidłowej interpretacji norm prawa materialnego.
Mając powyższe na względzie Wojewódzki Sąd Administracyjny w Warszawie, działając na podstawie art. 151 p.p.s.a. orzekł jak w sentencji wyroku.