DS.523.1235.2021
Na podstawie art. 104 § 1 ustawy z dnia 14 czerwca 1960 r. Kodeks postępowania administracyjnego (Dz.U. z 2021 r., poz. 735 ze zm.) oraz art. 7 ust. 1 i 2 ustawy z 10 maja 2018 r. o ochronie danych osobowych (Dz. U. z 2019 r. poz. 1781) oraz art. 6 ust. 1 i art. 58 ust. 2 lit. b rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz. Urz. UE L 119 z 4.05.2016, str. 1, Dz. Urz. UE L 127 z 23.05.2018, str. 2 oraz Dz. Urz. UE L 74 z 4.03.2021, str. 35) po przeprowadzeniu postępowania administracyjnego w sprawie skargi Pani KS zam. w E. przy ul. (...), na nieprawidłowości w procesie przetwarzania jej danych osobowych przez (...) sp. z o. o. z siedzibą w Z. przy ul. (...), polegające na udostępnieniu tych danych osobowych bez podstawy prawnej, Prezes Urzędu Ochrony Danych Osobowych
udziela upomnienia (...) sp. z o. o. z siedzibą w Z. przy ul. (...) za nieprawidłowości w procesie przetwarzania danych osobowych polegające na naruszeniu art. 6 ust. 1 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (Dz.U.UE.L.2016.119.1 z 4.05.2016, str. 1, Dz. Urz. UE L 127 z 23.05.2018, str. 2 oraz Dz. Urz. UE L 74 z 4.03.2021, str. 35) poprzez udostępnienie podmiotom nieuprawnionym danych osobowych Pani KS zam. w E. przy ul. (...), w zakresie informacji o zadłużeniu zamieszczonej na kopercie kierowanej do Skarżącej korespondencji.
Uzasadnienie
Do Prezesa Urzędu Ochrony Danych Osobowych, zwanego dalej także Prezesem UODO, wpłynęła skarga Pani KS zam. w E. przy ul. (...), zwanej dalej Skarżącą, na nieprawidłowości w procesie przetwarzania jego danych osobowych przez (...) sp. z o. o. z siedzibą w Z. przy ul. (...), zwaną dalej Spółką, polegające na udostępnieniu tych danych osobowych bez podstawy prawnej.
W toku prowadzonego postępowania administracyjnego, Prezes Urzędu Ochrony Danych Osobowych ustalił następujący stan faktyczny.
- Skarżąca w treści skargi wskazała, że cyt.: „Firma ta Przysyła korespondencję w kopertach na których nadrukowana jest na odwrocie informacja "Dział widykacji, Wezwanie do zapłaty". Jest to zwiazane z prowadzoną moja działalnością gospodarczą. Działalność ta zarejestrowana jest w małej miejscowości gdzie wszyscy sie znają. Naraziło to mnie osobiście na śmiechy i uwagi mieszkańców, że firma źle funkcjonuje bo na kopercie jest to napisane. Bardzo proszę o interwencję bo w/g mnie jest to niedopuszczalne żeby takie napisy mogły być nadrukowane aby kazdy mógł je przeczytać.(…)” (dowód: skarga z dnia 23 lutego 2021 r. z załącznikami).
- Spółka wyjaśniła, że pozyskała dane osobowe Skarżącej bezpośrednio od niej w dniu 9 października 2018 r., w wyniku złożenia przez Skarżącą Wniosku o finansowanie w (...) Sp. z o.o. w celu zawarcia i wykonania umowy najmu samochodu z dnia 16 października 2018 r. Zakres pozyskanych danych osobowych obejmował: imię, nazwisko, nr PESEL, obywatelstwo, adres zameldowania, oświadczenie o statusie majątkowym małżeńskim, nr i seria dowodu osobistego, data wydania dowodu osobistego oraz dane związane z prowadzoną przez Skarżącą działalnością gospodarczą takie jak pełna nazwa firmy, NIP, REGON, przedmiot działalności, adres prowadzenia działalności, numer telefonu, adres e-mail, oświadczenie o dochodach i zobowiązaniach (związanych z prowadzoną działalnością gospodarczą) numer rachunku bankowego wskazany w umowie ustanowienia kaucji do umowy najmu (dowód: wyjaśnienia Spółki z dnia 18 marca 2021 r. z załącznikami).
- Spółka wskazała, że cyt.: „(…) nie udostępniła podmiotom trzecim danych osobowych Skarżącej w związku z prowadzonymi czynnościami windykacyjnymi. Korespondencja była wysyłana bezpośrednio przez Spółkę, za pośrednictwem (...) S.A., działającej w oparciu o przepisy ustawy z dnia 23 listopada 2012 r. — Prawo pocztowe („Prawo Pocztowe"). Zgodnie z art. 41 ust. 1-2 Prawa Pocztowego, informacje przekazywane w przesyłkach pocztowych, informacje dotyczące realizowania przekazów pocztowych, dane dotyczące podmiotów korzystających z usług pocztowych oraz dane dotyczące faktu i okoliczności świadczenia usług pocztowych lub korzystania z tych usług, objęte są tajemnica pocztową. Do zachowania tajemnicy pocztowej zobowiązani są zarówno operatorzy pocztowi, jak również osoby, które z racji wykonywanej działalności mają dostęp do tajemnicy pocztowej.” (dowód: wyjaśnienia Spółki z dnia 18 marca 2021 r. z załącznikami).
- Zgodnie z wyjaśnieniami Spółki cyt.: „1/ Koperta adresowana do Skarżącej zawierała dane osobowe Skarżącej w zakresie niezbędnym do jej doręczenia przez operatora pocztowego, tj. imię, nazwisko oraz adres korespondencyjny. Dane Skarżącej (adresata), jak również dane (...) Sp. z o.o. (nadawcy) umieszczone zostały na przedniej stronie koperty. Adnotacja “Dział Windykacji. Wezwanie do zapłaty", pisana stosunkowo niewielką czcionką, została umieszczona na tylnej części koperty; nie znajdowała się w bezpośrednim sąsiedztwie danych osobowych Skarżącej. Podkreślenia wymaga, iż przedmiotowa adnotacja nie zawiera danych osobowych Skarżącej. Informacja ta nie odnosiła się do osoby Skarżącej a do oznaczenia konkretnej jednostki w Spółce, odpowiedzialnej za przygotowanie dokumentu i prowadzenie korespondencji. 2/ Niniejsza sytuacja nie jest elementem stałej praktyki Spółki, o czym świadczy okoliczność, iż adnotacja nie została “nadrukowana” na kopercie, jak to ma miejsce w przypadku loga oraz firmy i adresu Spółki (widoczne na przedniej części koperty). Wskazana wyżej adnotacja została umieszczona w formie pieczątki na zaklejonej i gotowej do wysyłki kopercie przez jednego z pracowników Spółki. Pracownik chciał w ten sposób dodatkowo oznaczyć jednostkę w Spółce odpowiedzialną za przygotowanie pisma; miało to pomóc w ewidencjonowaniu korespondencji. Kierownictwo Spółki, niezwłocznie po otrzymaniu informacji o zaistniałej sytuacji, podjęło decyzję o przeszkoleniu pracowników z zasad oznakowania kopert obowiązujących w Spółce.” (dowód: wyjaśnienia Spółki z dnia 16 kwietnia 2021 r.).
W tym stanie faktycznym Prezes Urzędu Ochrony Danych Osobowych zważył, co następuje.
Przedmiotowa sprawa dotyczy danych z zakresu tzw. „danych zwykłych”, których przetwarzanie regulowane jest w art. 6 ust. 1 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz. Urz. UE L 119 z 4.05.2016, str. 1, Dz. Urz. UE L 127 z 23.05.2018, str. 2 oraz Dz. Urz. UE L 74 z 4.03.2021, str. 35), zwanego dalej RODO, zgodnie z którym, przetwarzanie danych osobowych jest dopuszczalne tylko wtedy, gdy spełniona jest jedna z przesłanek wskazanych w tym przepisie. Katalog przesłanek wymienionych w art. 6 ust. 1 RODO, jest zamknięty. Każda z przesłanek legalizujących proces przetwarzania danych osobowych ma charakter autonomiczny i niezależny. Oznacza to, że przesłanki te co do zasady są równoprawne, a wobec tego spełnienie co najmniej jednej z nich stanowi o zgodnym z prawem przetwarzaniu danych osobowych. Dodatkowo, proces przetwarzania danych osobowych musi być zgodny z zasadami ustanowionymi w art. 5 ust. 1 RODO. Do zasad tych zalicza się między innymi minimalizacje danych (lit. c), jak również integralność i poufność (lit. f). Wspomniane zasady wymagają, by proces przetwarzania był adekwatny, stosowny oraz ograniczony do tego, co niezbędne do celów, w których są przetwarzane, a także przetwarzane w sposób zapewniający odpowiednie bezpieczeństwo danych osobowych, w tym ochronę przed niedozwolonym lub niezgodnym z prawem przetwarzaniem oraz przypadkową utratą, zniszczeniem lub uszkodzeniem, za pomocą odpowiednich środków technicznych lub organizacyjnych. Dodatkowo zgodnie z motywem 39 RODO, dane osobowe powinny być przetwarzane w sposób zapewniający im odpowiednie bezpieczeństwo i odpowiednią poufność, w tym między innymi ochronę przed nieuprawnionym dostępem do nich.
Z materiału dowodowego zgromadzonego w niniejszej sprawie wynika, że Spółka skierowała do Skarżącej przesyłkę. Na kopercie ww. przesyłki znajdowały się dane osobowe Skarżącej w zakresie niezbędnym do doręczenia przesyłki, tj. imię, nazwisko oraz adres korespondencyjny, ponadto na odwrocie zaadresowanej do Skarżącej koperty została umieszczona adnotacja “Dział Windykacji. Wezwanie do zapłaty".
W tym miejsce należy powołać się na art. 4 pkt 1 RODO, zgodnie z którego treścią "dane osobowe" oznaczają wszelkie informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej ("osobie, której dane dotyczą"); możliwa do zidentyfikowania osoba fizyczna to osoba, którą można bezpośrednio lub pośrednio zidentyfikować, w szczególności na podstawie identyfikatora takiego jak imię i nazwisko, numer identyfikacyjny, dane o lokalizacji, identyfikator internetowy lub jeden bądź kilka szczególnych czynników określających fizyczną, fizjologiczną, genetyczną, psychiczną, ekonomiczną, kulturową lub społeczną tożsamość osoby fizycznej.
Wskazać zatem należy, że przedmiotowa adnotacja zamieszczona na kopercie stanowi dane osobowe Skarżącej, ponieważ zamieszczona wraz z imieniem i nazwiskiem oraz adresem Skarżącej stanowi informację o zidentyfikowanej osobie fizycznej. Informacja ta wskazuje ponadto na posiadanie przez Skarżącą nieuregulowanych należności wobec Spółki.
Podkreślić należy, że w ocenie Prezesa UODO na kopercie powinny być zamieszczone jedynie te dane osobowe, które są niezbędne do dostarczenia korespondencji – za takie dane nie można uznać jednak informacji o zadłużeniu Skarżącej, a na to właśnie wskazuje adnotacja umieszona na kopercie przesyłki skierowanej do Skarżącej tj. „Dział Windykacji. Wezwanie do zapłaty”. Poprzez zamieszczenie ww. adnotacji na kopercie, Spółka udostępniła podmiotom nieuprawnionym dane osobowe Skarżącej wskazujące na jej zadłużenie wobec Spółki. W tym miejscu należy wskazać, że co najmniej pracownicy operatora pocztowego doręczającego przesyłkę Skarżącej mieli dostęp do jej danych osobowych w kwestionowanym zakresie, co nie znajdowało podstaw prawnych. W ocenie Prezesa UODO odnośnie przedmiotowego udostępnienia nie została spełniona jakakolwiek przesłanka legalizująca określona w art. 6 ust. 1 RODO. Podkreślić należy, że dane osobowych wskazujące na zadłużenie Skarżącej wobec Spółki nie były niezbędne do doręczenia Skarżącej korespondencji, a zatem ich udostępnienie, poprzez zamieszczenie ich na kopercie było nadmiarowe i naruszyło także zasady określone w art. 5 ust. 1 lit. c i f RODO.
Prezes UODO nie podziela ponadto stanowiska Spółki, zgodnie z którym usprawiedliwieniem dla przedmiotowego udostępnienia danych osobowych Skarżącej mogłoby być oznaczenie jednostki w Spółce odpowiedzialnej za przygotowanie pisma, w celu ułatwienia ewidencjonowania korespondencji. Administrator danych, którym w niniejszej sprawie jest Spółka powinien zapewnić, aby dane osobowe przetwarzane były w sposób zgodny z prawem, w tym zgodnie z zasadami minimalizacji i poufności danych, przy użyciu odpowiednich środków organizacyjnych i technicznych. Zatem to administrator odpowiada za to, aby wdrożyć takie rozwiązania organizacyjne i techniczne, które będą wystarczające dla zapewnienia, że dane osobowe przetwarzane są w sposób zgodny z prawem, z zachowaniem poufności i w minimalnym zakresie, jaki jest konieczny dla osiągnięcia celu przetwarzania. W ocenie organu ułatwienia organizacyjne po stronie administratora nie mogą w jakimkolwiek stopniu stanowić usprawiedliwienia dla naruszenia ww. przepisów art. 6 ust. 1 i zasad wynikających z RODO.
Postępowanie administracyjne prowadzone przez Prezesa Urzędu Ochrony Danych Osobowych służy kontroli zgodności przetwarzania danych z przepisami o ochronie danych osobowych i jest ukierunkowane na wydanie decyzji administracyjnej. Decyzje Prezesa UODO służą przywróceniu stanu zgodnego z prawem na podstawie art. 58 ust. 2 lit. b RODO między innymi poprzez udzielenie upomnienia administratorowi lub podmiotowi przetwarzającemu w przypadku naruszenia przepisów niniejszego rozporządzenia przez operację przetwarzania. Spółka udostępniła podmiotom nieuprawnionym dane osobowe Skarżącej w zakresie informacji o jej zadłużeniu, jednak ww. przetwarzanie nie jest obecnie kontynuowane w związku z czym Prezes Urzędu Ochrony Danych Osobowych, korzystając z przysługującego mu uprawnienia określonego w art. 58 ust. 2 lit. b RODO udzielił Spółce upomnienie.
W tym stanie faktycznym i prawnym Prezes Urzędu Ochrony Danych Osobowych rozstrzygnął, jak w sentencji.
Pouczenie: Decyzja jest ostateczna. Na podstawie art. 7 ust. 2 ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych (Dz. U. z 2019 r. poz. 1781) i w zw. z art. 13 § 2, art. 53 § 1 i art. 54 ustawy z dnia 30 sierpnia 2002 r. Prawo o postępowaniu przed sądami administracyjnymi (Dz. U. 2019 r., poz. 2326 z późn. zm.), od niniejszej decyzji stronie przysługuje prawo wniesienia skargi do Wojewódzkiego Sądu Administracyjnego w Warszawie, w terminie 30 dni od dnia doręczenia niniejszej decyzji, za pośrednictwem Prezesa Urzędu Ochrony Danych Osobowych (adres: Urząd Ochrony Danych Osobowych, ul. Stawki 2, 00 – 193 Warszawa). Wpis od skargi wynosi 200 złotych. Strona ma prawo ubiegania się o prawo pomocy, w tym zwolnienie od kosztów sądowych.