ZKE.440.86.2019
Na podstawie art. 104 § 1 i art. 105 § 1 ustawy z dnia 14 czerwca 1960 r. Kodeks postępowania administracyjnego (Dz. U. z 2018 poz. 2096 ze zm.) w zw. z art. 18, art. 23 ust. 2 oraz 31 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz.U. z 2016 r. poz. 922 ze zm.) i art. 160 ust. 1 i 2 ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych (Dz.U. z 2018 r. poz. 1000 ze zm.) oraz art. 6 ust. 1 lit. c, art. 57 ust. 1 lit. f) i art. 28 oraz 29 rozporządzenia Parlamentu Europejskiego i Rady UE 2016/679 z 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych osobowych) (Dz. Urz. UE L 119 z 4.05.2016, str. 1 oraz Dz. Urz. UE L 127 z 23.05.2018 str. 2), po przeprowadzeniu postępowania administracyjnego w sprawie skargi Pana P. P., na przetwarzanie jego danych osobowych przez P. S.A., Prezes Urzędu Ochrony Danych Osobowych:
- odmawia uwzględnienia wniosku w zakresie przetwarzania danych przez P. S.A.,
- umarza postępowanie w zakresie przetwarzania danych przez I. Sp. z o.o.
Uzasadnienie
Do Biura Generalnego Inspektora Ochrony Danych Osobowych (aktualnie: Urząd Ochrony Danych Osobowych) w dniu […] października 2017 r. wpłynęła skarga Pana P. P., zwanego dalej Skarżącym, na przetwarzanie jego danych osobowych przez P. S.A., zwany dalej ,,P. S.A.” W treści ww. skargi Skarżący wskazał, że ubezpieczyciel sprawcy wypadku, tj. P. S.A., przekazał I. Sp. z o.o. jego dane osobowe (w tym dane wrażliwe), bez jego zgody, czyli z naruszeniem przepisów, o których mowa w ustawie z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz.U. z 2016 r., poz. 922 ze zm.), w związku z czym zażądał usunięcia uchybień w procesie przetwarzania danych osobowych poprzez, cyt.:
„1) wypełnienie w stosunku do mnie obowiązku i uzyskanie zgody wynikającej z treści art. 23 ust. 1 pkt 1 Ustawy;
2) usunięcie moich danych osobowych (w tym danych wrażliwych) udostępnionych firmie I. Sp. z o.o. bez mojej zgody;”.
Pismem z […] grudnia 2017 r. Skarżący rozszerzył swoją skargę o I. Sp. z o.o. „na okoliczność treści pisma z dnia […] września 2017 r. skierowanego do partnera medycznego I. Sp. z o.o., gdzie spółka I. poleciła nie przekazywać wyników badań Panu P. P.”
Na podstawie zebranego w sprawie materiału dowodowego Prezes Urzędu Ochrony Danych Osobowych ustalił następujący stan faktyczny:
- Skarżący został poszkodowany w wypadku komunikacyjnym. Wystąpił do P. S.A. o przeprowadzenie procesu likwidacji szkody.
- W wyjaśnieniach z […] września 2017 r. (znak: […]), P. S.A. wskazał, że Skarżący zgłosił szkodę komunikacyjną […] września 2017 r., a […] września 2017 r. roszczenie o świadczenie z tytułu obrażeń ciała jakich doznał podczas wypadku. Oba roszczenia były skutkiem wypadku, którego sprawca przez P. S.A. był objęty ochroną ubezpieczeniową w związku z zawartą umową obowiązkowego ubezpieczenia odpowiedzialności cywilnej posiadaczy pojazdów mechanicznych. P. S.A. oświadczył, że jest administratorem danych osobowych Skarżącego, a źródłem pozyskania jego danych osobowych (w tym danych wrażliwych) jest sam Skarżący. Dane osobowe Skarżącego przetwarzane są obecnie w celach likwidacyjnych związanych ze zgłoszonymi roszczeniami, a po ich zakończeniu – w celach archiwalnych i swoim zakresem obejmują: imię i nazwisko, adres zamieszkania, numer telefonu, adres mailowy, numery zgłoszony przez Skarżącego szkód, dane uszkodzonego pojazdu, dane z dokumentacji medycznej, którą dostarczył Skarżący, dane dotyczące stanu zdrowia, które znajdują się w opinii lekarza orzecznika sporządzonej na wniosek P. S.A. Podstawą prawną upoważniającą P. S.A. do przetwarzania danych osobowych Skarżącego jest art. 16 ust. 3 ustawy z dnia 22 maja 2003 r. o ubezpieczeniach obowiązkowych, Ubezpieczeniowym Funduszu Gwarancyjnym i Polskim Biurze Ubezpieczycieli Komunikacyjnych (Dz.U. 2019 r., poz. 2214). W swoich wyjaśnieniach P. S.A. wskazał, również, że dane osobowe Skarżącego zostały powierzone do przetwarzania spółce I. na podstawie umowy powierzenia przetwarzania danych osobowych z […] września 2016 r. stanowiącej załącznik nr […] do umowy nr […] z […] września 2016 r. o współpracy w zakresie wydawania opinii i orzeczeń lekarskich z zakresu NNW. Dane osobowe Skarżącego zostały powierzone w celu wykonania usługi związanej z przeprowadzeniem badania, wydaniem orzeczenia lekarskiego, opinii lekarskiej, czy też zaocznej opinii niezbędnej w procesie likwidacji szkody (§ […]umowy powierzenia przetwarzania danych). Zdaniem P. S.A. zarzut Skarżącego dotyczący naruszenia przepisów o ochronie danych osobowych na skutek powierzenia przetwarzania jego danych spółce I. jest nieuzasadniony, ponieważ P. S.A. nie utracił władztwa nad tymi danymi i nadal jest ich administratorem. Ponadto lekarze orzecznicy wydający opinie w ramach ww. umowy zawartej między P. S.A. a I. Sp. z o.o. nie mogą udzielać klientom informacji z uwagi na fakt, że to P. S.A., decyduje o celach i środkach przetwarzania ich danych.
- Z treści umowy nr […] z […] września 2016 r. o współpracy w zakresie wydawania opinii i orzeczeń lekarskich z zakresu NNW wynika, że I. Sp. z o.o. zobowiązała się do realizacji usług poprzez lekarzy oraz psychologów z sieci placówek partnerskich, z którymi zawarła stosowne umowy (§[…]), natomiast badania są przeprowadzane w gabinetach lekarskich Zleceniobiorcy lub lekarzy z sieci placówek partnerskich spełniających aktualne obowiązujące wymogi sanepidu (§[…]). Wydanie przez I. Sp. z o.o. orzeczenia lub opinii lekarskiej z badaniem poszkodowanego może nastąpić po uprzednim: 1) sprawdzeniu tożsamości poszkodowanego, 2) dokładnym bezpośrednim zbadaniu poszkodowanego, 3) przeanalizowaniu dokumentacji otrzymanej od P. S.A. i dostarczonej przez poszkodowanego na badanie lekarskie oraz dokładnym opisaniu tej dokumentacji w formularzu orzeczenia lub opinii. Opis lub przesłanie wraz z wynikami zlecenia dodatkowej dostarczonej przez poszkodowanego dokumentacji jest wymagane o ile będzie to inna dokumentacja niż przesłana przez P. S.A. (§ […]). Spółka I. w ramach umowy zobowiązana jest do niezwłocznego przekazywania do P. S.A. wszelkich dokumentów potwierdzających realizację usługi (§ […]). Ponadto zgodnie z ,,Zasadami […]”, stanowiącymi załącznik nr […] do ww. umowy, I. może wzywać osoby, które wystąpiły z roszczeniami z tytułu uszczerbku na zdrowiu, na badania lekarskie przy czym lekarz orzecznik nie może informować poszkodowanego m.in. o wysokości ustalonego procentu trwałego uszczerbku na zdrowiu, wysokości świadczenia, które może być ustalone w oparciu o orzeczony procent uszczerbku czy też innych ustaleniach będących przesłanką do ustalenia odpowiedzialności P. S.A. Informacje te może przekazać poszkodowanemu tylko właściwa jednostka P. S.A. ([…] Zasad […]).
- W wyjaśnieniach z […] lutego 2018 r. I. Sp. z o.o. potwierdziła, że przetwarza dane osobowe powierzone jej przez P. S.A. na podstawie umowy powierzenia przetwarzania danych stanowiącej załącznik do umowy z […] września 2016 r. o współpracy w zakresie wydawania opinii i orzeczeń lekarskich z zakresu NNW. I. Sp. z o.o. oświadczyła, że na podstawie ww. umowy powierzenia przetwarza dane osobowe wyłącznie w celu wykonania badań medycznych i opinii lekarskich oraz przekazania ich wyników do P. S.A., a po wyczerpaniu wskazanego wyżej celu przetwarzania, dane są trwale usuwane. Ponadto ze wskazanego w punkcie niniejszym pisma wynika, że I. Sp. z o.o. nie przetwarza danych osobowych Skarżącego – spółka I. wyjaśniła: „(…) nie znaleźliśmy w naszych zbiorach informacji na temat przetwarzania danych osobowych Skarżącego. Nie świadczy to jednak o tym, że dane Skarżącego nie były przez nas nigdy przetwarzane (…). (…) prawdopodobnym jest, że dane Skarżącego zostały nam powierzone przez P. S.A. w celu wydania opinii lekarskiej, jednak z chwilą realizacji zlecenia i przekazania wyników do P., dane te zostały przez nas trwale usunięte.”
Po zapoznaniu się z całością zgromadzonego w sprawie materiału dowodowego, Prezes Urzędu Ochrony Danych Osobowych zważył, co następuje.
Z dniem wejścia w życie ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych (Dz. U. z 2019 r. poz. 1781), tj. 25 maja 2018 r. Biuro Generalnego Inspektora Ochrony Danych Osobowych stało się Urzędem Ochrony Danych Osobowych. Postępowania prowadzone przez Generalnego Inspektora Ochrony Danych Osobowych, wszczęte i niezakończone przed dniem 25 maja 2018 r. prowadzone są przez Prezesa Urzędu Ochrony Danych Osobowych, na podstawie ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz.U. z 2016 r. poz. 922 ze zm.), zwaną dalej „ustawą z 1997 r.”, zgodnie z zasadami określonymi w ustawie z dnia 14 czerwca 1960 r. Kodeks postępowania administracyjnego (Dz. U. z 2018 r. poz. 2096 ze zm.), zwanej dalej Kpa. Wszelkie czynności podjęte przez Generalnego Inspektora Ochrony Danych Osobowych przed dniem 25 maja 2018 r. pozostają skuteczne (art. 160 ust. 1 – 3 ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych).
Stosownie do art. 57 ust. 1 lit f) rozporządzenia Parlamentu Europejskiego i Rady UE 2016/679 z 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych osobowych) (Dz. Urz. UE L 119 z 4.05.2016, str. 1 oraz Dz. Urz. UE L 127 z 23.05.2018 str. 2), dalej ,,RODO”, bez uszczerbku dla innych zadań określonych na mocy niniejszego rozporządzenia każdy organ nadzorczy na swoim terytorium rozpatruje skargi wniesione przez osobę, której dane dotyczą, lub przez podmiot, organizację lub zrzeszenie zgodnie z art. 80, w odpowiednim zakresie prowadzi postępowania w przedmiocie tych skarg i w rozsądnym terminie informuje skarżącego o postępach i wynikach tych postępowań, w szczególności jeżeli niezbędne jest dalsze prowadzenie postępowań lub koordynacja działań z innym organem nadzorczym.
Prezes Urzędu Ochrony Danych Osobowych wydając decyzję administracyjną zobowiązany jest do rozstrzygania w oparciu o stan faktyczny istniejący w chwili wydania tej decyzji. Jak podnosi doktryna „organ administracji publicznej ocenia stan faktyczny sprawy według chwili wydania decyzji administracyjnej. Reguła ta odnosi się także do oceny stanu prawnego sprawy, co oznacza, że organ administracji publicznej wydaje decyzję administracyjną na podstawie przepisów prawa obowiązujących w chwili jej wydania. Rozstrzyganie w postępowaniu administracyjnym polega na zastosowaniu obowiązującego prawa do ustalonego stanu faktycznego sprawy administracyjnej. W ten sposób organ administracji publicznej realizuje cel postępowania administracyjnego, jakim jest urzeczywistnienie obowiązującej normy prawnej w zakresie stosunków administracyjno-prawnych, gdy stosunki te tego wymagają” (Komentarz do ustawy z dnia 14 czerwca 1960 r. Kodeks postępowania administracyjnego M. Jaśkowska, A. Wróbel, Lex., el/2012).
W czasie kiedy wpłynęła do Generalnego Inspektora Ochrony Danych Osobowych skarga, obowiązywała ustawa z 1997 r., w związku z powyższym Prezes Urzędu na podstawie zgromadzonego materiału dowodowego dokonał oceny zachowania administratora w kontekście powyższej ustawy.
Podstawą prawną upoważniającą P. S.A. do przetwarzania danych osobowych Skarżącego była przesłanka określona w art. 23 ust. 2 ustawy z 1997 r., tj. art. 16 ust. 3 ustawy z dnia 22 maja 2003 r. o ubezpieczeniach obowiązkowych, Ubezpieczeniowym Funduszu Gwarancyjnym i Polskim Biurze Ubezpieczycieli Komunikacyjnych (Dz. U. z 2003 r. nr 124 poz. 1152 ze zm.), zgodnie z którym osoba, której odpowiedzialność jest objęta ubezpieczeniem obowiązkowym, a także osoba występująca z roszczeniem, powinny przedstawić zakładowi ubezpieczeń, Ubezpieczeniowemu Funduszowi Gwarancyjnemu lub Polskiemu Biuru Ubezpieczycieli Komunikacyjnych posiadane dowody dotyczące zdarzenia i szkody oraz ułatwić im ustalenie okoliczności zdarzenia i rozmiaru szkód, jak również udzielić pomocy w dochodzeniu przez zakład ubezpieczeń, Ubezpieczeniowy Fundusz Gwarancyjny lub Polskie Biuro Ubezpieczycieli Komunikacyjnych roszczeń przeciwko sprawcy szkody. Obecnie odpowiednikiem ww. podstaw prawnych jest art. 6 ust. 1 lit c) RODO.
Mając na względzie zarzut Skarżącego dotyczący naruszenia przez P. S.A. przepisów o ochronie danych osobowych, stwierdzić należy, iż nie znalazł on potwierdzenia w materiale dowodowym sprawy. Podstawą prawną przekazania danych osobowych Skarżącego przez P. S.A. spółce I. był bowiem art. 31 ustawy z 1997 r., który stanowi, że administrator może powierzyć innemu podmiotowi, w drodze umowy zawartej na piśmie, przetwarzanie danych (ust. 1), natomiast podmiot, o którym mowa w ust. 1, może przetwarzać dane wyłącznie w zakresie i celu przewidzianym w umowie (ust. 2). Cechą charakterystyczną umowy powierzenia jest to, że administrator danych nie musi osobiście wykonywać czynności związanych z przetwarzaniem danych osobowych. Może w tym celu skorzystać z usług wyspecjalizowanych podmiotów zewnętrznych, zlecając im wykonywanie w tym zakresie bądź całego procesu przetwarzania danych osobowych, bądź tylko pewnych czynności, np. samego zbierania czy przechowywania. Podstawą takiego działania jest art. 31 ustawy z 1997 r. W sytuacji przekazania danych osobowych mamy do czynienia z przetwarzaniem danych w imieniu administratora, w granicach wskazanych w umowie powierzenia przetwarzania danych i nie w celach własnych procesora, lecz dla realizacji celów administratora danych. Co istotne, przy powierzeniu przetwarzania danych osobowych nie dochodzi do zmiany ich administratora.
Przekazanie danych osobowych Skarżącego nastąpiło na podstawie zawartej między P. S.A. a I. Sp. z o.o. umowy powierzania przetwarzania danych osobowych. P. S.A. pozostał administratorem danych osobowych Skarżącego, a I. Sp. z o.o. wykonywała na rzecz i w imieniu P. S.A. czynności jej zlecone na mocy zawartej umowy. Należy stwierdzić, że przekazanie danych osobowych Skarżącego spółce I. nie wymagało dla swojej legalności zgody Skarżącego, zatem w ocenie Prezesa Urzędu Ochrony Danych Osobowych nie ma podstaw do stwierdzenia, iż dane osobowe Skarżącego są przetwarzane w sposób niezgodny z przepisami o ochronie danych.
Ocena dokonywana przez Prezesa Urzędu Ochrony Danych Osobowych służy zbadaniu zasadności skierowania pod adresem określonego podmiotu nakazu, odpowiadającego dyspozycji art. 18 ust. 1 ustawy z 1997 r., służącego przywróceniu stanu zgodnego z prawem w procesie przetwarzania danych – jest więc ona uzasadniona i potrzebna tylko o tyle, o ile nieprawidłowości w procesie przetwarzania danych osobowych istnieją. W sytuacji, gdy nie stwierdzono nieprawidłowości w procesie przetwarzania danych przez P. S.A., należało orzec, jak w pkt.1 sentencji.
Odnosząc się zaś do skargi na nieprawidłowości w procesie przetwarzania danych osobowych Skarżącego przez I. Sp. z o.o., należy wskazać, jak już wyżej podniesiono, że Prezes Urzędu wydając decyzję administracyjną zobowiązany jest do rozstrzygania w oparciu o stan faktyczny istniejący w chwili wydania tej decyzji. Ponadto, powołać należy wyrok z dnia 7 maja 2008 r. w sprawie o sygn. akt I OSK 761/07, w którym Naczelny Sądu Administracyjny stwierdził, iż „badając [bowiem] legalność przetwarzania danych osobowych, GIODO ma obowiązek ustalenia, czy na datę wydawania rozstrzygnięcia w sprawie dane konkretnego podmiotu są przetwarzane oraz czy czynione to jest w sposób zgodny z prawem”.
Jak wynika z ustaleń stanu faktycznego, spółka I. nie przetwarza obecnie danych osobowych Skarżącego. Stosownie zaś do treści art. 105 ust. 1 ustawy z dnia 14 czerwca 1960 roku Kodeks postępowania administracyjnego (Dz. U. z 2018 r. poz. 2096 ze zm.) zwanej dalej k.p.a, gdy postępowanie z jakiejkolwiek przyczyny stało się bezprzedmiotowe w całości albo w części, organ administracji publicznej wydaje decyzję o umorzeniu postępowania odpowiednio w całości albo w części. Brzmienie powołanej regulacji nie pozostawia wątpliwości, iż w razie stwierdzenia bezprzedmiotowości postępowania organ prowadzący to postępowanie obligatoryjnie je umarza. Jednocześnie w literaturze przedmiotu wskazuje się, że bezprzedmiotowość postępowania administracyjnego, o której stanowi art. 105 § 1 Kpa oznacza, że brak jest któregoś z elementów materialnego stosunku prawnego, a wobec tego nie można wydać decyzji załatwiającej sprawę przez rozstrzygnięcie jej co do istoty (B. Adamiak, J. Borkowski „Kodeks postępowania administracyjnego. Komentarz” 7 wydanie Wydawnictwo C.H. Beck, Warszawa 2005 r., str. 485). Takie samo stanowisko zajął Wojewódzki Sąd Administracyjny w Krakowie w wyroku z dnia 27 lutego 2008 r. (III SA/Kr 762/2007): „Postępowanie staje się bezprzedmiotowe, gdy brak któregoś z elementów stosunku materialnoprawnego, co powoduje, że nie można załatwić sprawy przez rozstrzygnięcie co do istoty”. Ustalenie przez organ publiczny istnienia przesłanki, o której mowa w art. 105 § 1 Kpa zobowiązuje go, jak podkreśla się w doktrynie i orzecznictwie, do umorzenia postępowania, nie ma bowiem wówczas podstaw do rozstrzygnięcia sprawy co do istoty, a dalsze prowadzenie postępowania w takim przypadku stanowiłoby o jego wadliwości, mającej istotny wpływ na wynik sprawy.
W niniejszej sprawie stwierdzić należało, że postępowanie w sprawie skargi Pana P. P. na nieprawidłowości w przetwarzaniu jego danych osobowych przez I. Sp. z o.o., stało się bezprzedmiotowe, w związku z czym Prezes Urzędu Ochrony Danych Osobowych orzekł jak w pkt. 2 sentencji decyzji.
Na podstawie art. 127 § 3 Kpa od niniejszej decyzji stronie przysługuje prawo do wniesienia wniosku o ponowne rozpatrzenie sprawy w terminie 14 dni od dnia doręczenia decyzji stronie. Jeżeli strona nie chce skorzystać z prawa do złożenia wniosku o ponowne rozpatrzenie sprawy, ma prawo do wniesienia skargi na decyzję do Wojewódzkiego Sądu Administracyjnego w Warszawie w terminie 30 dni od dnia doręczenia jej stronie. Skargę wnosi się za pośrednictwem Prezesa Urzędu Ochrony Danych Osobowych (adres: ul. Stawki 2, 00-193 Warszawa). Wpis od skargi wynosi 200,00 zł. Strona ma prawo ubiegać się o prawo pomocy, w tym zwolnienie od kosztów sądowych.