Decyzja
DKE.523.33.2021
Na podstawie art. 104 § 1 ustawy z dnia 14 czerwca 1960 r. Kodeks postępowania administracyjnego (Dz. U. z 2018 r., poz. 2096 ze zm.) w zw. z art. 18 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz.U. z 2016 r. poz. 922 ze zm.) i art. 160 ust. 1 i 2 ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych (Dz. U. z 2018 r., poz. 1000 ze zm.) oraz 57 ust. 1 pkt f) rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (Dz. Urz. UE L 119 z 04.05.2016, str. 1, ze zm.), po przeprowadzeniu postępowania administracyjnego w sprawie skargi Pana A.B., na nieprawidłowości w procesie przetwarzania jego danych osobowych przez I. S.A., polegające na bezprawnym przetwarzaniu danych osobowych Skarżącego w celu innym niż cel, dla którego zostały zebrane, Prezes Urzędu Ochrony Danych Osobowych
odmawia uwzględnienia wniosku.
UZASADNIENIE
W dniu [...] maja 2018 r. do Biura Generalnego Inspektora Ochrony Danych Osobowych (obecnie: Urzędu Ochrony Danych Osobowych) wpłynęła – wniesiona ustanie do protokołu w siedzibie Urzędu – skarga Pana A.B., zwanego dalej „Skarżącym”, na przetwarzanie jego danych osobowych przez I. S.A., zwaną dalej również „Spółką”. Skarżący podniósł, że Spółka bezprawnie przetwarza jego dane osobowe chcąc, aby podpisał umowę nie informując w jaki sposób weszła w posiadanie jego danych. Skarżący zażądał usunięcia uchybień i zaprzestania przetwarzania jego danych osobowych w innym celu niż do pobierania opłat za zużytą energię elektryczną. Na dowód powyższego przedstawił korespondencję otrzymaną od Spółki, która – jego zdaniem – stanowi ofertę handlową.
W toku postępowania przeprowadzonego w niniejszej sprawie Prezes Urzędu Ochrony Danych Osobowych ustalił następujący stan faktyczny:
- I. S.A. jest wpisana do Krajowego Rejestru Przedsiębiorców, dalej ,,KRS”, pod numerem [...]. Przedmiotem działalności Spółki jest m.in. handel oraz wytwarzanie energii elektrycznej.
- W dniu [...] stycznia 2005 r. Skarżący zawarł umowę sprzedaży energii elektrycznej nr [...] ze S. S.A., która w dniu [...] maja 2007 r. zmieniła nazwę na R. S.A. Następnie [...] września 2008 r. R. S.A. zmieniła nazwę na R. S.A., a ta z kolei – z dniem [...] września 2019 r. – na I. S.A.
- Skarżący otrzymał od Spółki:
- pismo przewodnie nadane [...] maja 2018 r. informujące o:
- zmianach związanych ze stosowaniem Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych osobowych) (Dz. Urz. UE L 119 z 04.05.2016 r. str. 1 oraz Dz. Urz. UE L 127 z 23.05.2018 r. str. 2), zwanego dalej ,, Rozporządzeniem 2016/679”,
- wprowadzeniu przez Spółkę nowych Ogólnych Warunków Umowy [...] oraz o wprowadzeniu nowej Taryfy dla energii elektrycznej [...],
- Informację o taryfie [...] I. S.A. dla odbiorców [...] przyłączonych do sieci dystrybucyjnej In. Sp. z o.o.
- Ogólne Warunki Umowy [...] dla Klienta indywidualnego
- Pismo Spółki realizujące obowiązek informacyjny,
- Pismo operatora systemu dystrybucyjnego na obszarze [...] – In. Sp. z o.o.
- W treści pisma przewodniego nadanego [...] maja 2018 r. została zawarta również informacja następującej treści, cyt.: ,,I. wprowadza także nową Taryfę dla energii elektrycznej [...] w której m.in. utworzona została nowa Grupa taryfowa [...]. Do skorzystania z niej zachęcamy tych Państwa, którzy zużywają bądź zamierzają zużywać energię elektryczną do ogrzewania. Jeśli chcą Państwo skorzystać z oferty, wystarczy wypełnić Wniosek o zmianę Grupy taryfowej znajdujący się na stronie [...] i podpisany wysłać drogą mailową lub odwiedzić dowolny Salon I.”.
- W wyjaśnieniach z dnia [...] marca 2020 r. Spółka wskazała, że w 2016 r. prowadziła skierowaną do wszystkich klientów kampanię informacyjną o ,,wewnętrznych przekształceniach z udziałem S. S.A.”, tj. tzw. rebranding. W ramach kampanii Spółka skierowała do Skarżącego korespondencję, która miała na celu wyłącznie prawidłową realizację umowy (art. 6 ust. 1 lit. b) Rozporządzenia 2016/679) oraz wypełnienie ciążących na Spółce obowiązków prawnych (art. 6 ust. 1 lit. c) Rozporządzenia 2016/679). Jednocześnie Spółka wskazała, że cyt. ,,(...) nie może zgodzić się ze stanowiskiem Skarżącego jakoby powyższe dokumenty miały charakter oferty handlowej, a ich przesłanie stanowiło realizację celów przetwarzania wobec których Skarżący wniósł sprzeciw w dniu [...] stycznia 2019 r. Skarżący mylnie zinterpretował wysłane mu dokumenty jako formę informacji handlowej”.
- Pismem z [...] stycznia 2019 r. Spółka wyjaśniła Skarżącemu chronologię zmian wynikających z rebrandingu ze szczególnym uwzględnieniem zmian własności i nazwy podmiotu, z którym Skarżący zawarł umowę.
- Podczas rozmowy telefonicznej przeprowadzonej w dniu [...] stycznia 2019 r., tj. zanim Spółka otrzymała informację o wniesieniu skargi do tutejszego Urzędu, Skarżący zgłosił Spółce skuteczny sprzeciw wobec przetwarzania jego danych osobowych do celów innych niż realizacja umowy sprzedaży energii elektrycznej, tj. do celów marketingu. Spółka miała więc od tego dnia odnotowany sprzeciw Skarżącego na przetwarzanie jego danych osobowych w celach marketingu, badania satysfakcji i preferencji.
- Spółka wyjaśniła Skarżącemu w piśmie z [...] stycznia 2019 r. (znak: [...]), że zmiana jej nazwy cyt. ,,z formalnego punktu widzenia nic nie zmienia: nie zmieniają się warunki dotychczas podpisanych i obowiązujących umów, nie ma obowiązku podpisywania żadnych aneksów [...] [...] dane przetwarzane są zgodnie z zawartą umową”, a informacje handlowe nie będę do niego wysyłane.
- Obecnie dane osobowe Skarżącego nie są przetwarzane przez Spółkę w celach marketingu produktów i usług własnych, badania satysfakcji i preferencji. Spółka przetwarza dane osobowe Skarżącego wyłącznie w celu realizacji umowy (art. 6 ust. 1 lit. b) Rozporządzenia 2016/679), ustalenia, dochodzenia lub obrony przed ewentualnymi roszczeniami ze strony Skarżącego (art. 6 ust. 1 lit. f) Rozporządzenia 2016/679) oraz spełnienia ciążących na Spółce obowiązków prawnych wynikających z prawa Unii lub prawa polskiego (art. 6 ust. 1 lit. c) Rozporządzenia 2016/679), natomiast zakres danych osobowych Skarżącego przetwarzanych przez Spółkę obejmuje: imię i nazwisko, adres zamieszkania: ulica, nr domu, lokalu, kod pocztowy, miejscowość, adres korespondencyjny: ulica, nr domu, lokalu, kod pocztowy, miejscowość, numer telefonu, PESEL, rodzaj dowodu tożsamości, seria i nr dowodu tożsamości, nr rachunku bankowego, imię i nazwisko właściciela rachunku, nazwa banku, a także parametry handlowe umowy oraz techniczne instalacji: […].
Po zapoznaniu się z całością zgromadzonego w sprawie materiału dowodowego, Prezes Urzędu Ochrony Danych Osobowych zważył, co następuje.
Z dniem wejścia w życie ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych (Dz. U. z 2019 r. poz. 1781), zwanej dalej „u.o.d.o. 2018”, tj. z dniem 25 maja 2018 r., Biuro Generalnego Inspektora Ochrony Danych Osobowych stało się Urzędem Ochrony Danych Osobowych. Postępowania prowadzone przez Generalnego Inspektora Ochrony Danych Osobowych, wszczęte i niezakończone przed dniem 25 maja 2018 r. prowadzone są przez Prezesa Urzędu Ochrony Danych Osobowych, na podstawie u.o.d.o. 1997, zgodnie z zasadami określonymi w ustawie z dnia 14 czerwca 1960 r. Kodeks postępowania administracyjnego (Dz. U. z 2018 r. poz. 2096 ze zm.), zwanej dalej „k.p.a.”. Wszelkie czynności podjęte przez Generalnego Inspektora Ochrony Danych Osobowych przed dniem 25 maja 2018 r. pozostają skuteczne (art. 160 ust. 1–3 u.o.d.o. 2018).
Stosownie do art. 57 ust. 1 Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych osobowych) (Dz. U. UE L 119 z 4.05.2016, str. 1 oraz Dz. Urz. UE L 127 z 23.05.2018 str. 2), zwanego dalej „Rozporządzeniem 2016/679”, bez uszczerbku dla innych zadań określonych na mocy tego rozporządzenia, każdy organ nadzorczy na swoim terytorium monitoruje i egzekwuje stosowanie tego rozporządzenia (lit. a) oraz rozpatruje skargi wniesione przez osobę, której dane dotyczą, lub przez umocowany przez nią – zgodnie z art. 80 Rozporządzeniem 2016/679 – podmiot, organizację lub zrzeszenie, w odpowiednim zakresie prowadzi postępowania w przedmiocie tych skarg i w rozsądnym terminie informuje skarżącego o postępach i wynikach tych postępowań (lit. f).
W tym miejscu wskazać należy, że Prezes Urzędu Ochrony Danych Osobowych wydając decyzję administracyjną zobowiązany jest do rozstrzygania w oparciu o stan faktyczny istniejący w chwili wydania tej decyzji. Jak podnosi doktryna „organ administracji publicznej ocenia stan faktyczny sprawy według chwili wydania decyzji administracyjnej. Reguła ta odnosi się także do oceny stanu prawnego sprawy, co oznacza, że organ administracji publicznej wydaje decyzję administracyjną na podstawie przepisów prawa obowiązujących w chwili jej wydania (…). Rozstrzyganie w postępowaniu administracyjnym polega na zastosowaniu obowiązującego prawa do ustalonego stanu faktycznego sprawy administracyjnej. W ten sposób organ administracji publicznej realizuje cel postępowania administracyjnego, jakim jest urzeczywistnienie obowiązującej normy prawnej w zakresie stosunków administracyjno-prawnych, gdy stosunki te tego wymagają” (Komentarz do ustawy z dnia 14 czerwca 1960 r. Kodeks postępowania administracyjnego, M. Jaśkowska, A. Wróbel, Lex., el/2012). Również Naczelny Sąd Administracyjny – w wyroku z dnia 7 maja 2008 r. w sprawie o sygn. akt I OSK 761/07 stwierdził, iż cyt.: „badając bowiem legalność przetwarzania danych osobowych, GIODO ma obowiązek ustalenia, czy na datę wydawania rozstrzygnięcia w sprawie dane konkretnego podmiotu są przetwarzane oraz czy czynione to jest w sposób zgodny z prawem”.
Zgodnie z brzmieniem przepisu art. 23 ust. 1 u.o.d.o. 1997, obowiązującej w okresie, którego dotyczyła skarga Skarżącego, przetwarzanie danych osobowych było dopuszczalne, gdy: osoba, której dane dotyczą, wyrazi na to zgodę, chyba że chodzi o usunięcie dotyczących jej danych (pkt 1), jest to niezbędne dla zrealizowania uprawnienia lub spełnienia obowiązku wynikającego z przepisu prawa (pkt 2), jest to konieczne do realizacji umowy, gdy osoba, której dane dotyczą, jest jej stroną lub gdy jest to niezbędne do podjęcia działań przed zawarciem umowy na żądanie osoby, której dane dotyczą (pkt 3), jest niezbędne do wykonania określonych prawem zadań realizowanych dla dobra publicznego (pkt 4), jest to niezbędne dla wypełnienia prawnie usprawiedliwionych celów realizowanych przez administratorów danych albo odbiorców danych, a przetwarzanie nie narusza praw i wolności osoby, której dane dotyczą (pkt 5). Przepis art. 23 ust. 4 u.o.d.o. 1997 stanowił zaś, że za prawnie usprawiedliwiony cel, o którym mowa w art. 23 ust. 1 pkt 5, uważa się w szczególności marketing bezpośredni własnych produktów lub usług administratora danych.
W myśl przepisów obowiązujących obecnie (od dnia 25 maja 2018 r., tj. od dnia rozpoczęcia stosowania przepisów Rozporządzenia 2016/679) przetwarzanie danych osobowych jest zgodne z prawem, gdy administrator danych legitymuje się co najmniej jedną z określonych w art. 6 ust. 1 Rozporządzenia 2016/679, materialnych przesłanek przetwarzania danych osobowych. Według wyżej wskazanego przepisu przetwarzanie danych osobowych jest zgodne z prawem wyłącznie, gdy zostanie spełniony jeden z wymienionych warunków: a) osoba, której dane dotyczą wyraziła zgodę na przetwarzanie swoich danych osobowych w jednym lub większej liczbie określonych celów; b) przetwarzanie jest niezbędne do wykonywania umowy, której stroną jest osoba, której dane dotyczą, lub do podjęcia działań na żądanie osoby, której dane dotyczą, przed zawarciem umowy; c) przetwarzanie jest niezbędne do wypełnienia obowiązku prawnego ciążącego na administratorze; d) przetwarzanie jest niezbędne do ochrony żywotnych interesów osoby, której dane dotyczą, lub innej osoby fizycznej; e) przetwarzanie jest niezbędne do wykonania zadania realizowanego w interesie publicznym lub w ramach sprawowania władzy publicznej powierzonej administratorowi; f) przetwarzanie jest niezbędne do celów wynikających z prawnie uzasadnionych interesów realizowanych przez administratora lub przez stronę trzecią, z wyjątkiem sytuacji, w których nadrzędny charakter wobec tych interesów mają interesy lub podstawowe prawa i wolności osoby, której dane dotyczą, wymagające ochrony danych osobowych, w szczególności gdy osoba, której dane dotyczą, jest dzieckiem.
W świetle motywu 47 Rozporządzenia 2016/679 prawnie uzasadniony interes, o którym mowa w jego art. 6 ust. 1 lit. f) może istnieć na przykład w przypadku, gdy zachodzi istotny i odpowiedni rodzaj powiązania między osobą, której dane dotyczą a administratorem, na przykład gdy osoba, której dane dotyczą jest klientem administratora. Ponadto zgodnie z przedmiotowym motywem, za cel przetwarzania danych wynikający z prawnie uzasadnionego interesu należy uznać między innymi marketing bezpośredni administratora.
Zgodnie z art. 21 ust. 2 Rozporządzenia 2016/679, jeżeli dane osobowe są przetwarzane na potrzeby marketingu bezpośredniego, osoba, której dane dotyczą, ma prawo w dowolnym momencie wnieść sprzeciw wobec przetwarzania dotyczących jej danych osobowych na potrzeby takiego marketingu, w tym profilowania, w zakresie, w jakim przetwarzanie jest związane z takim marketingiem bezpośrednim. Jeżeli osoba, której dane dotyczą wniesie sprzeciw wobec przetwarzania do celów marketingu bezpośredniego, danych osobowych nie wolno już przetwarzać do takich celów (art. 21 ust. 3 Rozporządzenia 2016/679).
Odnosząc powyższe do okoliczności niniejszej sprawy należy wskazać, że Skarżący podczas rozmowy telefonicznej przeprowadzonej [...] stycznia 2019 r. wniósł skuteczny sprzeciw wobec przetwarzania jego danych osobowych w celach marketingowych na podstawie 21 ust. 2 Rozporządzenia 2016/679. Od tego dnia Spółka zaprzestała przetwarzania danych osobowych Skarżącego do celów marketingu, badania satysfakcji oraz preferencji. Aktualnie Spółka przetwarza dane osobowe Skarżącego wyłącznie w celu realizacji umowy (art. 6 ust. 1 lit. b) Rozporządzenia 2016/679), ustalenia, dochodzenia lub obrony przed ewentualnymi roszczeniami ze strony Skarżącego (art. 6 ust. 1 lit. f) Rozporządzenia 2016/679) oraz spełnienia ciążących na Spółce obowiązków prawnych wynikających z prawa Unii lub prawa polskiego (art. 6 ust. 1 lit. c) Rozporządzenia 2016/679).
Prezes Urzędu Ochrony Danych Osobowych nie może zgodzić się ze stanowiskiem Spółki, iż wśród dokumentów, które Spółka wysłała do Skarżącego nie było żadnego, który zawierałaby informację handlową. W piśmie przewodnim nadanym [...] maja 2018 r. Spółka wyraźnie wskazała, że cyt. ,,I. wprowadza także nową Taryfę dla energii elektrycznej [...] w której m.in. utworzona została nowa Grupa taryfowa [...]. Do skorzystania z niej zachęcamy tych Państwa, którzy zużywają bądź zamierzają zużywać energię elektryczną do ogrzewania. Jeśli chcą Państwo skorzystać z oferty, wystarczy wypełnić Wniosek o zmianę Grupy taryfowej znajdujący się na stronie [...] i podpisany wysłać drogą mailową lub odwiedzić dowolny Salon I.”. Powyższe pismo zawierało więc w swojej treści informację handlową skierowaną do Skarżącego. Jednakże podkreślić należy, że Spółka dysponowała wówczas podstawą prawną do przetwarzania danych osobowych Skarżącego w tym celu, określoną w art. 23 ust. 1 pkt 5 u.o.d.o. 1997 (któremu odpowiada obecnie art. 6 ust. 1 lit. f) Rozporządzenia 2016/679). Działanie Spółki było niezbędne dla wypełnienia jej prawnie usprawiedliwionego celu, którym był marketing bezpośredni własnych produktów lub usług (art. 23 ust. 4 pkt 1 u.o.d.o. 1997). Odnosząc się natomiast do zastrzeżenia, że realizacja prawnie usprawiedliwionego celu administratora (w niniejszej sprawie – celu marketingowego) nie może naruszać praw i wolności osoby, której dane dotyczą (art. 23 ust. 1 pkt 5 u.o.d.o. 1997), stwierdzić należy, że realizacja przez Spółkę własnego celu marketingowego w niniejszej sprawie nie narusza praw i wolności Skarżącego. Po pierwsze, działanie Spółki związane było ściśle z łączącym strony stosunkiem umownym i dotyczyło marketingu usług, z których Skarżący korzystał lub którymi – w uzasadnionej ocenie Spółki – mógł być zainteresowany. Po drugie przesłanie informacji handlowej przez Spółkę jedynie w minimalnym stopniu wkroczyło w sferę prywatności Skarżącego, ponieważ zawarte było niejako przy okazji, w pisemnej korespondencji, w której Spółka spełniła wobec Skarżącego obowiązek informacyjny związany z przyszłym stosowaniem przepisów Rozporządzenia 2016/679 oraz przedstawiła nowe ogólne warunki umowy sprzedaży energii elektrycznej. Zdaniem Prezesa UODO takie wkroczenie w sferę prywatności Skarżącego nie daje podstaw do stwierdzenia, że przeważa ono nad usprawiedliwionym interesem Spółki. Jak przyjmuje się bowiem w literaturze przedmiotu – w ślad za rozwiązaniami przyjętymi w dyrektywie 95/46/WE Parlamentu Europejskiego i Rady z dnia 24 października 1995 r. w sprawie ochrony osób fizycznych w zakresie przetwarzania danych osobowych i swobodnego przepływu tych danych (Dz. Urz. WE L 281 z 23.11.1995, str. 31, ze zm.; Dz. Urz. UE Polskie wydanie specjalne, rozdz. 13, t. 15, str. 355, ze zm.) – jako warunek skorzystania z przesłanki prawnie usprawiedliwionego celu administratora należy nie tyle stawiać „nienaruszalność” praw i wolności osoby, której dane dotyczą, ile raczej wymagać, aby nie przeważały one nad usprawiedliwionym interesem administratora (Ustawa o ochronie danych osobowych. Komentarz, Arwid Mednis, Warszawa 1999, s. 68, por. także: Janusz Barta, Paweł Fajgielski i Ryszard Markiewicz, komentarz do art. 23. w: Ochrona danych osobowych. Komentarz, wyd. VI. LEX, 2015).
W niniejszym postępowaniu administracyjnym nie potwierdziły się zarzuty Skarżącego dotyczące bezprawnego przetwarzania jego danych osobowych przez Spółkę. Przekazanie Skarżącemu, opisanej wyżej, informacji handlowej przez Spółkę miało miejsce przed wniesieniem jego sprzeciwu i znajdowało oparcie w przesłance określonej w art. 23 ust. 1 pkt 5 u.o.d.o. 1997. Natomiast po wniesieniu sprzeciwu przez Skarżącego, Spółka przetwarza jego dane osobowe wyłącznie w celach: realizacji umowy, ustalenia, dochodzenia lub obrony przed ewentualnymi roszczeniami ze strony Skarżącego oraz spełnienia ciążących na Spółce obowiązków wynikających z przepisów prawa, do czego upoważniają ją przepisy art. 6 ust. 1 Rozporządzenia 2016/679.
W tym stanie faktycznym i prawnym Prezes UODO rozstrzygnął, jak w sentencji.
Na podstawie art. 127 § 3 k.p.a. od decyzji przysługuje stronie prawo do wniesienia wniosku o ponowne rozpatrzenie sprawy w terminie 14 dni od dnia jej doręczenia stronie. Jeżeli strona nie chce skorzystać z prawa do złożenia wniosku o ponowne rozpatrzenie sprawy, ma prawo do wniesienia skargi na decyzję do Wojewódzkiego Sądu Administracyjnego w Warszawie w terminie 30 dni od dnia doręczenia jej stronie. Skargę wnosi się za pośrednictwem Prezesa Urzędu Ochrony Danych Osobowych (adres: ul. Stawki 2, 00-193 Warszawa). Wpis od skargi wynosi 200 złotych. Strona ma prawo ubiegania się o prawo pomocy, w tym zwolnienie od kosztów sądowych.