Centralna Baza Orzeczeń Sądów Administracyjnych

1. Zakres danych osobowych, przetwarzanych w związku z koniecznością wywiązania się z umowy /art. 23 ust. 1 pkt 3 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych - Dz.U. nr 133 poz. 883 ze zm./, powinien być zróżnicowany w zależności od charakteru i znaczenia umowy; w wypadku umów o istotnym znaczeniu gospodarczym lub społecznym bezpieczeństwo obrotu prawnego wymaga dokładnej identyfikacji stron zawierających umowę i może uzasadniać gromadzenie przez nie danych osobowych w zakresie gwarantującym należyte wywiązanie się ze zobowiązania.

2. Gromadzenie danych osobowych przez wykonanie kopii dokumentu zawierającego te dane jest kwestią techniczną; posługiwanie się taką, czy inną techniką utrwalania danych /kopiowanie lub przepisywanie/ nie przesądza samo przez się o legalności albo nielegalności tego utrwalania /przetwarzania/.

Naczelny Sąd Administracyjny po rozpoznaniu sprawy ze skargi Powszechnego Zakładu Ubezpieczeń SA na decyzję Generalnego Inspektora Ochrony Danych Osobowych z dnia 12 października 2000 r. (...) w przedmiocie nakazania przywrócenia stanu zgodnego z prawem w zakresie przetwarzania danych osobowych - uchyla zaskarżoną decyzję w zakresie, w jakim utrzymuje ona w mocy decyzję ją poprzedzającą w pkt 3 oraz uchyla tę decyzję z dnia 24 sierpnia 2000 r. w punkcie 3; w pozostałym zakresie skargę oddala.

Generalny Inspektor Ochrony Danych Osobowych decyzją z dnia 24 sierpnia 2000 r. nakazał Powszechnemu Zakładowi Ubezpieczeń SA usunięcie uchybień w procesie przetwarzania danych osobowych, w terminie dwóch miesięcy od daty otrzymania decyzji, poprzez: 1/ przetwarzanie danych osobowych klientów, którzy zgłaszają roszczenia odszkodowawcze z tytułu umowy dobrowolnego ubezpieczenia komunikacyjnego wyłącznie w zakresie obejmującym: imię i nazwisko. adres zamieszkania, nr PESEL lub datę urodzenia, stosownie do art. 26 ust. 1 pkt 3 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych /Dz.U. nr 133 poz. 883 ze zm./. 2/zaprzestanie kopiowania dokumentów tożsamości klientów zawierających inne dane niż te, o których mowa w punkcie 1 decyzji, jako prowadzącego do pozyskania nieadekwatnych w stosunku do celów przetwarzania danych, zgodnie z art. 26 ust. 1 pkt 3 ustawy, 3/ usunięcie ze zbioru danych klientów, którzy zgłaszają roszczenie odszkodowawcze z tytułu umowy dobrowolnego ubezpieczenia komunikacyjnego, danych innych niż wymienione w punkcie 1 decyzji, stosownie do art. 26 ust. 1 pkt 3 ustawy.

W uzasadnieniu tej decyzji GIODO podał, że w toku postępowania administracyjnego, wszczętego na skutek skargi Jerzego J., zamieszkałego w K., kwestionującego kopiowanie przez PZU SA jego dowodu osobistego, w związku ze zgłoszeniem przez niego szkody w pojeździe w ramach zawartej z PZU umowy dobrowolnego ubezpieczenia komunikacyjnego autocasco ustalono, iż Powszechny Zakład Ubezpieczeń SA przetwarza dane osobowe klientów w zakresie znacznie szerszym, niż jest to konieczne do stwierdzenia, czy osoba występująca z roszczeniem o wypłatę odszkodowania jest uprawniona do odszkodowania z tytułu zawartej umowy ubezpieczenia. Ponadto sporządza kopie dowodu osobistego klienta, który zgłasza roszczenie. Prowadzi to do pozyskiwania danych osobowych zbędnych dla realizacji celu, dla którego są gromadzone.

Zdaniem GIODO dowód osobisty, oprócz danych niezbędnych do potwierdzenia tożsamości i aktualnego miejsca zamieszkania osoby, zawiera także dane ze sfery prywatnej klienta, które są zbędne dla dochodzenia roszczeń z tytułu zawarcia umowy ubezpieczenia. Te dane są jednak włączane do bazy danych firmy w wyniku sporządzania kopii dokumentu. Są to dane dotyczące nie tylko osoby zgłaszającej szkodę, a dotyczące jej rysopisu, stanu cywilnego, zawodu, ale także imion jej rodziców i dzieci. Prowadzi to zatem również do udostępniania danych osób trzecich /rodziców i dzieci klienta/. Przetwarzanie tego rodzaju danych jest nieadekwatne w stosunku do celów przetwarzania i niezgodne z prawem, powoduje bowiem naruszenie praw tych osób trzecich.

O ile podstawą przetwarzania danych klienta jest konieczność wywiązania się z umowy, to takiej podstawy nie ma w odniesieniu do danych o osobach trzecich, a znajdujących się w dowodzie osobistym. Kopiowanie dokumentu tożsamości prowadzi do uzyskiwania dodatkowo jeszcze innych danych osobowych, a mianowicie stanu cywilnego klienta, wzoru podpisu i jego wizerunku, co niewątpliwie także pozostaje w sprzeczności z zasadą adekwatności.

GIODO podkreślił, że przetwarzanie danych osobowych klientów w zakresie nieadekwatnym do celu przetwarzania, ingeruje w ich dobro prawne, jakim jest prawo do prywatności i wyłącznego dysponowania swoimi danymi /art. 47 Konstytucji RP/. W przypadku realizacji umowy ubezpieczenia to prawo musi być z oczywistych względów ograniczone. Jednakże w świetle art. 26 ust. 1 pkt 3 ustawy o ochronie danych osobowych to ograniczenie powinno być odpowiednie do celów umowy. Z tego punktu widzenia, praktyka kopiowania dokumentów tożsamości klientów z pewnością prowadzi do pozyskiwania zbyt szerokiego, nieadekwatnego w stosunku do celów przetwarzania danych i dlatego narusza przepis art. 26 ust. 1 pkt 3 ustawy.

Decyzją z dnia 12 października 2000 r. GIODO, po rozpatrzeniu wniosku PZU SA o ponowne rozpoznanie sprawy, utrzymał w mocy swą decyzję z dnia 24 sierpnia 2000 r. Podtrzymał stanowisko, że Powszechny Zakład Ubezpieczeń SA przetwarza dane osobowe w zakresie nieadekwatnym w stosunku do celu przetwarzania, jakim jest w tej sprawie wypłata odszkodowania z tytułu zawartej umowy ubezpieczenia. Zdaniem GIODO przetwarzanie danych osobowych innych niż imię i nazwisko, adres zamieszkania, numer PESEL lub data urodzenia klientów, którzy zgłaszają roszczenia odszkodowawcze z tytułu umowy dobrowolnego ubezpieczenia komunikacyjnego nie jest uzasadnione celem przetwarzania tych danych. Dochodzenie odszkodowania z umowy ubezpieczenia nie uzasadnia kopiowania zdjęcia i wzoru podpisu klienta, które znajdują się w dowodzie osobistym.

Nie jest również w tym celu konieczne gromadzenie za pomocą kserowania danych dotyczących stanu cywilnego klienta. W toku całego postępowania PZU SA nie wskazał bowiem, że otrzymanie odszkodowania za szkodę w pojeździe z tytułu umowy dobrowolnego ubezpieczenia komunikacyjnego zależy od stanu cywilnego klienta. GIODO również w tej decyzji podkreślił, że problem sprowadza się do stosowanej przez PZU formy gromadzenia danych osobowych klienta wnioskującego o odszkodowanie - kserowania wybranych stron jego dowodu osobistego, co prowadzi do naruszenia zasady adekwatności określonej w art. 26 ust. 1 pkt 3 ustawy.