Decyzja

Na podstawie art. 104 § 1 ustawy z dnia 14 czerwca 1960 r. Kodeks postępowania administracyjnego (Dz. U. z 2018 r. poz. 2096 ze zm.), art. 160 ust. 1 i 2 ustawy o ochronie danych osobowych z dnia 10 maja 2018 roku (Dz. U. z 2019 r., poz. 1781) oraz art. 12 pkt 2, art. 22, art. 23 ust. 1 ustawy z dnia 29 sierpnia 1997 o ochronie danych osobowych (Dz. U. z 2016 r. poz. 922 ze zm.), w związku z art. 6 ust. 1 lit. c i lit. f, 57 ust. 1 lit. a i f Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 roku w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych  i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (Dz. Urz. UE L 119 z 04.05.2016, str. 1 oraz Dz. Urz. UE L 127 z 23.05.2018, str. 2), po przeprowadzeniu postępowania administracyjnego w sprawie skargi Pani J. L., na przetwarzanie jej danych osobowych przez P. spółka z o.o., Prezes Urzędu Ochrony Danych Osobowych

odmawia uwzględnienia wniosku.

UZASADNIENIE

Do Prezesa Urzędu Ochrony Danych Osobowych (poprzednio Generalnego Inspektora Ochrony Danych Osobowych) wpłynęła skarga Pani J. L., (zwanej dalej: Skarżącą), na przetwarzanie jej danych osobowych przez P. Spółka z o.o. (zwanej dalej: Spółką).

Skarżąca wniosła o cyt.:

• „zbadanie legalności przetwarzania danych w zakresie złożonej skargi tj. otrzymania sms z treścią marketingową” przez Spółkę oraz wypełnienia obowiązku informacyjnego
• przekazanie informacji kiedy operator powiadomił GIODO o stwierdzeniu naruszenia bezpieczeństwa danych osobowych klienta (…)
• informację, kiedy operator wypełnił obowiązek informacyjny”.

W toku postępowania administracyjnego przeprowadzonego w niniejszej sprawie Prezes Urzędu Ochrony Danych Osobowych (dalej: „Prezes UODO”) ustalił, co następuje.

1. Z dowodów załączonych do wyjaśnień Spółki  z […] maja 2017 roku wynika, że pozyskała ona dane osobowe Skarżącej w związku z zawarciem umowy o świadczenie usług telekomunikacyjnych nr […] w dniu […] czerwca 2014 roku (zwana dalej „umową”). Skarżąca nie wyraziła w umowie zgody na przetwarzanie jej danych osobowych w celach marketingowych. Umowa została wypowiedziana przez Skarżącą i rozwiązana  z zachowaniem okresu wypowiedzenia w dniu […] grudnia 2016 roku.

2. Spółka wyjaśniła, że Skarżąca w dniu […] stycznia 2015 roku zgłosiła sprzeciw na komunikację w celach marketingowych kanałami: telefonicznym i drogą listową. Spółka zrealizowała dyspozycję Skarżącej w dniu […] stycznia 2015 roku. Kolejny sprzeciw Skarżąca zgłosiła w dniu […] lutego 2015 roku. Spółka poinformowała wówczas Skarżącą o statusie zgód, który nie uległ zmianie od momentu pierwszego zgłoszenia sprzeciwu.

3. Skarżąca w dniu […] lipca 2016 roku otrzymała od Spółki sms o treści  „z dniem 2016.07 […] twój plan taryfowy został zmieniony na […] szczegóły na www.[...]. Spółka wyjaśniła w piśmie z dnia […] sierpnia 2016 roku, że wiadomość nie została przesłana w ramach działań marketingowych i zawierała jedynie informacje o dokonaniu zmian na usłudze. Ponadto sms został wysłany omyłkowo, ponieważ dla jej numeru nie wprowadzono we wskazanym terminie oferty na kartę. Skarżąca została przeproszona za zaistniałą sytuację.

4. Z wyjaśnień Spółki z […] maja 2017 roku wynika, że Skarżąca nie zwracała się o wypełnienie wobec niej obowiązku informacyjnego na podstawie art. 33 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych zwanej dalej: „ustawą z 1997 roku”.

5. Z wyjaśnień Spółki z […] maja 2017 roku ponadto wynika, że aktualnie Spółka przetwarza dane osobowe Skarżącej na podstawie art. 6 ust. 1 lit. c rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (Dz. Urz. UE L 119 z 04.05.2016, str. 1 ze zm.), zwane dalej „Rozporządzeniem 2016/679” w związku z przepisami ustawy z 29 sierpnia 1997 roku Ordynacja podatkowa (Dz. U. z 2019 r. poz. 2200), zwana dalej: „Ordynacją podatkową” oraz na podstawie art. 6 ust. 1 lit. f ustawy Rozporządzenia 2016/679 w związku z art. 118 ustawy z dnia 23 kwietnia 1964 roku Kodeks cywilny (Dz.U. z 2019 r. poz. 1495), zwanej dalej „Kodeksem cywilnym”, w celach związanych z dochodzeniem roszczeń i obroną przed ewentualnymi roszczeniami związanymi z realizacją umowy zawartej ze Skarżącą.

W tym stanie faktycznym Prezes Urzędu Ochrony Danych Osobowych zważył, co następuje.

Z dniem 25 maja 2018 r. w życie weszły przepisy ustawy z dnia 10 maja 2018 roku o ochronie danych osobowych (Dz.U. 2019 r. poz. 1781), zwanej dalej „u.o.d.o.”.

W myśl art. 160 ust. 1-3 ustawy, postępowania prowadzone przez Generalnego Inspektora Ochrony Danych Osobowych, wszczęte i niezakończone przed dniem wejścia w życie niniejszej ustawy, prowadzone są przez Prezesa Urzędu Ochrony Danych Osobowych na podstawie ustawy, zgodnie z zasadami określonymi w ustawie z dnia 14 czerwca 1960 r. Kodeks postępowania administracyjnego (Dz. U. z 2018 r. poz. 2096 ze zm.), zwanej dalej „k.p.a”. Jednocześnie, czynności dokonane w postępowaniach, wszczętych i niezakończonych przed dniem wejścia w życie przepisów u.o.d.o., pozostają skuteczne.

Od dnia 25 maja 2018 r. zastosowanie ma również rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (Dz. Urz. UE L 119 z 04.05.2016, str. 1 ze zm.), zwane dalej „Rozporządzeniem 2016/679”.

Uwzględniając powyższe stwierdzić należy, że niniejsze postępowanie, wszczęte i niezakończone przed dniem 25 maja 2018 r., prowadzone jest na podstawie ustawy  z 1997 roku (w zakresie dotyczącym przepisów regulujących procedurę administracyjną) oraz na podstawie Rozporządzenia 2016/679 (w zakresie rozstrzygającym o legalności procesu przetwarzania danych osobowych). Wynikający w przepisów prawa sposób prowadzenia postępowań w ramach rozpoczętych i nie zakończonych przed dniem wejścia w życie nowych regulacji z zakresu ochrony danych osobowych koreluje z ugruntowanym stanowiskiem doktryny, zgodnie z którym „organ administracji publicznej ocenia stan faktyczny sprawy według chwili wydania decyzji administracyjnej. Reguła ta odnosi się także do oceny stanu prawnego sprawy, co oznacza, że organ administracji publicznej wydaje decyzję administracyjną na podstawie przepisów prawa obowiązujących w chwili jej wydania” (Komentarz do ustawy z dnia 14 czerwca 1960 r. Kodeks postępowania administracyjnego (Dz. U. 00.98.1071) M. Jaśkowska, A. Wróbel, Lex., el/2012).

W wyroku z dnia 7 maja 2008 r. w sprawie o sygn. akt I OSK 761/07 Naczelny Sąd Administracyjny stwierdził, iż „badając […] legalność przetwarzania danych osobowych, GIODO ma obowiązek ustalenia, czy na datę wydawania rozstrzygnięcia w sprawie dane konkretnego podmiotu są przetwarzane oraz czy czynione to jest w sposób zgodny z prawem”.

W czasie, gdy miało miejsce zdarzenie opisane przez Skarżących, obowiązywała ustawa z 1997 roku. Przepisem o zasadniczym znaczeniu dla oceny legalności procesu przetwarzania danych osobowych był art. 23 ust. 1 ustawy z 1997 roku (obecnie art. 6 ust.1 Rozporządzenia 2016/679), zgodnie z którym przetwarzanie danych osobowych jest zgodne z prawem wówczas gdy administrator danych spełnia jeden z warunków wymienionych w tym artykule, tj. gdy:

1. osoba, której dane dotyczą, wyraziła na to zgodę, chyba że chodzi o usunięcie dotyczących jej danych (odpowiednio art. 6 ust.1 lit. a Rozporządzenia 2016/679),
   jest to niezbędne dla zrealizowania uprawnienia lub spełnienia obowiązku wynikającego z przepisu prawa (odpowiednio art. 6 ust.1lit. c Rozporządzenia 2016/679),
2. jest to konieczne do realizacji umowy, gdy osoba, której dane dotyczą jest jej stroną lub gdy jest to niezbędne do podjęcia działań przed zawarciem umowy na
3. żądanie osoby, której dane dotyczą (odpowiednio art. 6 ust.1 lit. b Rozporządzenia 2016/679),
4. jest to niezbędne do wykonania określonych prawem zadań realizowanych dla dobra publicznego (odpowiednio art. 6 ust.1 lit. e Rozporządzenia 2016/679),
5. jest to niezbędne dla wypełnienia prawnie usprawiedliwionych celów realizowanych przez administratorów danych albo odbiorców danych, a przetwarzanie nie narusza praw i wolności osoby, której dane dotyczą (odpowiednio art. 6 ust.1 lit. f Rozporządzenia 2016/679).

Należy dodać, że przesłanki te odnoszą się do wszelkich form przetwarzania danych wymienionych w art. 7 ust. 2 ustawy z 1997 roku, w tym do ich udostępnienia. Warunki te są także względem siebie równoprawne, co oznacza, że dla legalności procesu przetwarzania danych wystarczające jest spełnienie jednego z nich.

Odnosząc się do zarzutu bezprawnego przetwarzania danych osobowych Skarżącej w celu marketingowym należy zgodzić się ze Spółką, że informacja przekazana w smsie nie miała charakteru marketingowego, a była to informacja o zmianie warunków umowy.

Niezależnie od powyższego, wskazać należy, że Spółka przetwarzała dane osobowe Skarżącej na podstawie umowy o świadczenie usług telekomunikacyjnych. Informacje przesłane przez Spółkę w wiadomości sms nie dotyczyły usług świadczonych Skarżącej, zatem nie miały umocowania w umowie łączącej Spółkę ze Skarżącą. To zaś powoduje, że przetwarzanie danych Skarżącej w związku z przekazaniem jej błędnych informacji w wiadomości sms odbyło się bez podstawy prawnej. Jednakże trzeba podkreślić, że zdarzenie to było wynikiem omyłki i miało charakter jednorazowy, zatem stan naruszenia przepisów ochrony danych osobowych obecnie nie istnieje.

Biorąc pod uwagę żądanie Skarżącej „przekazania informacji kiedy operator powiadomił GIODO o stwierdzeniu naruszenia bezpieczeństwa danych osobowych klient…” stwierdzić należy, że zgodnie z treścią art. 174a ust. 1 ustawy z 16 lipca 2004 roku Prawo telekomunikacyjne (Dz. U. z 2018 r. poz. 2354, z 2019 r. poz. 2294), zwanej dalej „Prawem telekomunikacyjnym” dostawca publicznie dostępnych usług telekomunikacyjnych zawiadamia Prezesa Urzędu Ochrony Danych Osobowych (wcześniej Generalnego Inspektora Ochrony Danych Osobowych) o naruszeniu danych osobowych. Zgodnie z treścią art. 174a ust.2 ustawy przez naruszenie danych osobowych rozumie się przypadkowe lub bezprawne zniszczenie, utratę, zmianę, nieuprawnione ujawnienie lub dostęp do danych osobowych przetwarzanych przez przedsiębiorcę telekomunikacyjnego w związku ze świadczeniem publicznie dostępnych usług telekomunikacyjnych. Opisane w skardze zdarzenie polegające na omyłkowej wysyłce wiadomości sms, w treści której nie ujawniono żądnych danych osobowych, nie mieści się w katalogu naruszeń wymienionych enumeratywnie w art. 174a ust. 2 Prawo telekomunikacyjnego, zatem Spółka nie miała obowiązku zgłoszenia tego incydentu do GIODO.

Odnosząc się do żądania Skarżącej o podanie informacji kiedy Spółka wypełniła wobec niej obowiązek informacyjny, wskazać należy, że zgodnie z treścią art. 33 ustawy z 1997 roku obowiązek taki administrator danych jest zobowiązany wypełnić na wniosek osoby, której dane dotyczą. Spółka w swych wyjaśnieniach wskazała, że Skarżąca nie zwracała się o wypełnienie wobec niej obowiązku informacyjnego, wobec czego żądanie Skarżącej należy uznać za bezzasadne.

Wskazać należy, że postępowanie prowadzone przez Prezesa Urzędu jest ukierunkowane na wydanie decyzji administracyjnej na podstawie art. 18 ust. 1 ustawy z 1997 roku. Według tego przepisu w przypadku naruszenia przepisów o ochronie danych osobowych Prezes Urzędu z urzędu lub na wniosek osoby zainteresowanej, w drodze decyzji administracyjnej nakazuje przywrócenie stanu zgodnego z prawem, a w szczególności: 1) usunięcie uchybień, 2) uzupełnienie, uaktualnienie, sprostowanie, udostępnienie lub nieudostępnienie danych osobowych, 3) zastosowanie dodatkowych środków zabezpieczających zgromadzone dane osobowe, 4) wstrzymanie przekazywania danych osobowych do państwa.

Biorąc pod uwagę, że obecnie naruszenie nie występuje należy uznać, że nie zaistniała podstawa do wydania decyzji nakazującej przywrócenie stanu zgodnego z prawem przez Prezesa UODO, o której mowa w art. 18 ustawy z 1997 roku. Zasadnym jest wydanie decyzji odmawiającej spełnienia żądania osoby, której dane dotyczą.

W tym stanie faktycznym i prawnym Prezes UODO rozstrzygnął, jak w sentencji.

Na podstawie art. 127 § 3 Kpa od niniejszej decyzji stronie przysługuje prawo do wniesienia wniosku o ponowne rozpatrzenie sprawy w terminie 14 dni od dnia doręczenia decyzji stronie. Jeżeli strona nie chce skorzystać z prawa do złożenia wniosku o ponowne rozpatrzenie sprawy, ma prawo do wniesienia skargi na decyzję do Wojewódzkiego Sądu Administracyjnego w Warszawie w terminie 30 dni od dnia doręczenia jej stronie. Skargę wnosi się za pośrednictwem Prezesa Urzędu Ochrony Danych Osobowych (adres: ul. Stawki 2, 00-193 Warszawa). Wpis od skargi wynosi 200 złotych. Strona ma prawo ubiegania się o prawo pomocy, w tym zwolnienie od kosztów sądowych.