II SA/Wa 127/25
Podsumowanie
Przejdź do pełnego tekstuWojewódzki Sąd Administracyjny w Warszawie oddalił skargę spółki ubezpieczeniowej na decyzję Prezesa Urzędu Ochrony Danych Osobowych (PUODO). PUODO nałożył na spółkę upomnienie za przetwarzanie numeru PESEL i daty urodzenia klienta bez podstawy prawnej w związku z rozpatrywaniem reklamacji dotyczącej polisy, której klient nie zawierał, a także za niespełnienie obowiązku informacyjnego. Spółka twierdziła, że dane były niezbędne do weryfikacji tożsamości i ochrony tajemnicy ubezpieczeniowej, powołując się na art. 35 ustawy o działalności ubezpieczeniowej i reasekuracyjnej oraz art. 6 ust. 1 lit. c RODO. Sąd uznał jednak, że przetwarzanie tych danych było nadmiarowe, ponieważ polisa nie zawierała PESEL ani daty urodzenia, a klient nie był stroną tej konkretnej umowy. Sąd podkreślił, że cel przetwarzania danych związany z reklamacją był odrębny od celów wynikających z wcześniejszych umów, a spółka nie wykazała podstawy prawnej dla takiego przetwarzania w kontekście reklamacji. Dodatkowo, sąd potwierdził naruszenie obowiązku informacyjnego z art. 13 RODO, wskazując, że przedstawione przez spółkę klauzule informacyjne były zbyt ogólne i nie wskazywały konkretnych podstaw prawnych ani celów przetwarzania danych w kontekście reklamacji. Sąd oddalił skargę, uznając decyzję PUODO za zgodną z prawem.
Przeanalizuj tę sprawę w pełnym kontekście orzecznictwa.
Analiza orzecznictwa · odpowiedzi na pytania · badanie przepisów · drafting pism.
Wartość praktyczna
Siła precedensu: WysokaInterpretacja zasad przetwarzania danych osobowych w kontekście weryfikacji tożsamości przy reklamacjach, zwłaszcza gdy dane nie pochodzą bezpośrednio z dokumentu reklamacji. Znaczenie obowiązku informacyjnego przy odrębnych celach przetwarzania danych.
Dotyczy specyficznej sytuacji przetwarzania danych przy reklamacji polisy, której klient nie zawierał. Może być mniej bezpośrednio stosowalne do sytuacji, gdy dane są niezbędne do weryfikacji tożsamości w ramach istniejącej umowy.
Zagadnienia prawne (3)
Czy przetwarzanie numeru PESEL i daty urodzenia klienta w celu weryfikacji tożsamości przy rozpatrywaniu reklamacji polisy, której klient nie zawierał, jest niezbędne i posiada podstawę prawną?Ratio decidendi
Odpowiedź sądu
Nie, przetwarzanie tych danych było nadmiarowe i nie miało podstawy prawnej w kontekście danej polisy, ponieważ polisa nie zawierała tych danych, a klient nie był stroną tej umowy.
Uzasadnienie
Sąd uznał, że cel przetwarzania danych związany z reklamacją był odrębny od celów wynikających z wcześniejszych umów, a spółka nie wykazała podstawy prawnej dla takiego przetwarzania w kontekście reklamacji. Dane te nie były niezbędne do weryfikacji tożsamości klienta w odniesieniu do polisy, której nie zawierał.
Czy spółka ubezpieczeniowa spełniła obowiązek informacyjny wobec klienta w zakresie celów i podstawy prawnej przetwarzania jego danych osobowych (PESEL, data urodzenia) przy rozpatrywaniu reklamacji?Ratio decidendi
Odpowiedź sądu
Nie, spółka nie spełniła obowiązku informacyjnego, ponieważ przedstawione klauzule informacyjne były zbyt ogólne i nie wskazywały konkretnych podstaw prawnych ani celów przetwarzania danych w kontekście reklamacji.
Uzasadnienie
Sąd stwierdził, że proces przetwarzania danych związany z reklamacją był odrębnym procesem od wynikających z wcześniejszych umów, a klient nie dysponował już informacjami dotyczącymi celów i podstawy prawnej przetwarzania jego danych w tym konkretnym celu. Przedstawione klauzule były zbyt ogólne i nie spełniały wymogu przejrzystości.
Czy art. 35 ustawy o działalności ubezpieczeniowej i reasekuracyjnej stanowi podstawę prawną do przetwarzania numeru PESEL i daty urodzenia klienta w celu weryfikacji tożsamości przy rozpatrywaniu reklamacji polisy, której klient nie zawierał?Ratio decidendi
Odpowiedź sądu
Nie, przepis ten nie stanowił podstawy prawnej w realiach sprawy, ponieważ spółka nie mogła zweryfikować podanych danych w zakresie daty urodzenia i nr PESEL, gdyż nie przetwarzała tych danych w związku z reklamowaną polisą.
Uzasadnienie
Sąd uznał, że tajemnica ubezpieczeniowa nie usprawiedliwiała żądania danych, które nie były związane z przedmiotową polisą i nie pozwalały na jej weryfikację.
Przepisy (34)
Główne
p.p.s.a. art. 151
Ustawa z dnia 30 sierpnia 2002 r. Prawo o postępowaniu przed sądami administracyjnymi
RODO art. 6 § ust. 1 lit. c
Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679
RODO art. 13 § ust. 1 lit. c
Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679
RODO art. 58 § ust. 2 lit. b
Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679
Pomocnicze
p.p.s.a. art. 134 § § 1 i 2
Ustawa z dnia 30 sierpnia 2002 r. Prawo o postępowaniu przed sądami administracyjnymi
Ustawa z dnia 25 lipca 2002 r. Prawo o ustroju sądów administracyjnych art. 1 § § 1 i § 2
p.p.s.a. art. 3 § § 1
Ustawa z dnia 30 sierpnia 2002 r. Prawo o postępowaniu przed sądami administracyjnymi
RODO art. 5 § ust. 1 lit. a
Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679
RODO art. 5 § ust. 1 lit. b
Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679
RODO art. 5 § ust. 1 lit. c
Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679
RODO art. 5 § ust. 2
Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679
RODO art. 13 § ust. 4
Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679
k.p.a. art. 104 § § 1
Ustawa z dnia 14 czerwca 1960 r. Kodeks postępowania administracyjnego
Ustawa z dnia 10 maja 2018 r. o ochronie danych osobowych art. 7 § ust. 1 i 2
Ustawa z dnia 11 września 2015 r. o działalności ubezpieczeniowej i reasekuracyjnej art. 35 § ust. 1
Ustawa z dnia 29 września 1994 r. o rachunkowości art. 4 § ust. 3 pkt 6
Ustawa z dnia 29 września 1994 r. o rachunkowości art. 8
Ustawa z dnia 29 sierpnia 1997 r. Ordynacja podatkowa art. 86
Ustawa z dnia 29 sierpnia 1997 r. Ordynacja podatkowa art. 70
k.c. art. 815
Kodeks cywilny
k.c. art. 819
Kodeks cywilny
k.c. art. 442
Kodeks cywilny
Ustawa z dnia 22 maja 2003 r. o ubezpieczeniach obowiązkowych, Ubezpieczeniowym Funduszu Gwarancyjnym i Polskim Biurze Ubezpieczycieli Komunikacyjnych art. 23
Ustawa z dnia 5 sierpnia 2015 r. o rozpatrywaniu reklamacji przez podmioty rynku finansowego i Rzeczniku Finansowym
RODO art. 17
Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679
RODO art. 58 § ust. 2 lit. g
Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679
RODO art. 13 § ust. 1 lit. c
Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679
RODO art. 24 § ust. 1
Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679
RODO art. 12 § ust. 1
Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679
k.p.a. art. 77 § § 1
Kodeks postępowania administracyjnego
k.p.a. art. 80
Kodeks postępowania administracyjnego
k.p.a. art. 7
Kodeks postępowania administracyjnego
k.p.a. art. 107 § § 3
Kodeks postępowania administracyjnego
k.p.a. art. 11
Kodeks postępowania administracyjnego
Argumenty
Skuteczne argumenty
Przetwarzanie numeru PESEL i daty urodzenia klienta w celu weryfikacji tożsamości przy rozpatrywaniu reklamacji polisy, której klient nie zawierał, było nadmiarowe i nie miało podstawy prawnej. • Spółka naruszyła obowiązek informacyjny z art. 13 RODO, ponieważ przedstawione klauzule informacyjne były zbyt ogólne i nie wskazywały konkretnych podstaw prawnych ani celów przetwarzania danych w kontekście reklamacji.
Odrzucone argumenty
Przetwarzanie danych było niezbędne do ochrony tajemnicy ubezpieczeniowej i weryfikacji tożsamości. • Dane były przetwarzane na podstawie art. 6 ust. 1 lit. c RODO w związku z obowiązkiem prawnym. • Obowiązek informacyjny został spełniony poprzez wcześniejsze przekazanie klauzul informacyjnych przy zawieraniu innych umów. • Organ błędnie utożsamił zasadę zgodności przetwarzania z prawem z zasadą minimalizacji danych. • Organ nie zbadał procedur weryfikacji tożsamości stosowanych przez spółkę.
Godne uwagi sformułowania
przetwarzanie danych osobowych uczestnika postępowania w zakresie numeru PESEL oraz daty urodzenia w związku z postępowaniem reklamacyjnym dotyczącym polisy [...] bez podstawy prawnej • niespełnienie wobec uczestnika postępowania obowiązku informacyjnego • żądanie podania tych danych było nadmiarowe i nie było niezbędne do właściwego ustalenia tożsamości uczestnika postępowania • cel przetwarzania danych osobowych uczestnika postępowania wyznaczony zawartymi wcześniej umowami był innym celem niż rozpatrzenie reklamacji dotyczącej polisy, której uczestnik postępowania nie zawierał • nie można uznać, że Spółka przetwarzała dane osobowe uczestnika postępowania w zakresie numeru PESEL oraz daty urodzenia w związku z rozpoznawaniem reklamacji, a tym bardziej po zakończeniu postępowania reklamacyjnego • treść ta nie wskazuje podstawy prawnej przetwarzania zakwestionowanego przez uczestnika postępowania w niniejszym postępowaniu, a nadto nie wskazuje żadnego konkretnego przepisu prawa, z którego taki obowiązek dla Spółki miałby wynikać
Skład orzekający
Ewa Marcinkowska
przewodniczący
Joanna Kruszewska-Grońska
członek
Arkadiusz Koziarski
sprawozdawca
Informacje dodatkowe
Wartość precedensowa
Siła: Wysoka
Powoływalne dla: "Interpretacja zasad przetwarzania danych osobowych w kontekście weryfikacji tożsamości przy reklamacjach, zwłaszcza gdy dane nie pochodzą bezpośrednio z dokumentu reklamacji. Znaczenie obowiązku informacyjnego przy odrębnych celach przetwarzania danych."
Ograniczenia: Dotyczy specyficznej sytuacji przetwarzania danych przy reklamacji polisy, której klient nie zawierał. Może być mniej bezpośrednio stosowalne do sytuacji, gdy dane są niezbędne do weryfikacji tożsamości w ramach istniejącej umowy.
Wartość merytoryczna
Ocena: 7/10
Sprawa dotyczy powszechnego problemu ochrony danych osobowych w sektorze ubezpieczeniowym i pokazuje, jak ważne jest precyzyjne określenie podstawy prawnej przetwarzania danych, nawet w kontekście weryfikacji tożsamości.
“Ubezpieczyciel żądał PESEL i daty urodzenia do reklamacji polisy, której klient nie miał. Czy to zgodne z RODO?”
Twój asystent do analizy prawnej.
Zadaj pytanie prawne, zleć analizę orzecznictwa i przepisów, lub poproś o projekt pisma — AI przeszuka 1,4 mln orzeczeń i aktualne akty prawne.
- Analiza orzecznictwa i przepisów
- Drafting pism i dokumentów
- Odpowiedzi na pytania prawne
- Pogłębiona analiza z doktryny
Pełny tekst orzeczenia
Oryginalna treść postanowienia (niezmieniona). Otwiera się jako osobna strona.