PREZES URZĘDU OCHRONY DANYCH OSOBOWYCH Warszawa, dnia 23 grudnia 2019 r.

Decyzja

ZKE.440.9.2019

Na podstawie art. 104 § 1 ustawy z dnia 14 czerwca 1960 r. Kodeks postępowania administracyjnego (Dz. U. z 2018 r. poz. 2096 ze zm.), art. 160 ust. 1 i 2 ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych (Dz. U. z 2019 r. poz. 1781) w zw. z art. 12 pkt 2 i art. 22 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. z 2016 r. poz. 922 ze zm.) oraz art. 6 ust. 1 i art. 57 ust. 1 lit. a) i lit. f) Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych osobowych) (Dz. Urz. UE L 119 z 04.05.2016 r. str. 1 oraz Dz. Urz. UE L 127 z 23.05.2018 r. str. 2), po przeprowadzeniu postępowania administracyjnego w sprawie skargi Pana K. S., na przetwarzanie przez P. S.A., jego danych osobowych, polegające na ich udostępnieniu w zakresie imienia, nazwiska oraz numeru telefonu na rzecz G. Sp. z o.o., Prezes Urzędu Ochrony Danych Osobowych

odmawia uwzględnienia wniosku.

UZASADNIENIE

Do Biura Generalnego Inspektora Ochrony Danych Osobowych (obecnie: Urzędu Ochrony Danych Osobowych) wpłynęła skarga Pana K. S., zwanego dalej „Skarżącym”, na przetwarzanie jego danych osobowych przez A. S.A.  (aktualnie: „A. S.A., zwany dalej „Biurem Maklerskim”. polegające na ich udostępnieniu, w zakresie imienia i nazwiska oraz numeru telefonu, na rzecz G. Sp. z o.o., zwaną dalej „G.”. Skarżący podniósł, że w grudniu 2013 r. otrzymał telefon od G. – nieznanej mu firmy. W trakcie rozmowy telefonicznej Skarżący uzyskał informację, że G. otrzymała jego dane osobowe (imię i nazwisko oraz numer telefonu) od Biura Maklerskiego. W związku z przedstawionym zdarzeniem oraz podejrzeniem Skarżącego, że jego dane osobowe zostały przez Biuro Maklerskie udostępnione G. bezprawnie, Skarżący wniósł o ustalenie czy Biuro Maklerskie naruszyło przepisy o ochronie danych osobowych, „a jeśli tak to ustalenie winnych, ukaranie ich i zadośćuczynienie wobec mnie.”

W toku postępowania przeprowadzonego w niniejszej sprawie Prezes Urzędu Ochrony Danych Osobowych ustalił następujący stan faktyczny:

  1. Skarżącego łączy z Biurem Maklerskim zawarta […] kwietnia 2010 r. umowa o świadczenie usług brokerskich. W związku z jej zawarciem i w celu jej wykonania, Biuro Maklerskie pozyskało od Skarżącego jego dane osobowe w zakresie imion, nazwiska, daty i miejsca urodzenia, numeru PESEL, serii i numeru dowodu tożsamości, adresu zamieszkania, adresu korespondencyjnego, NIP, imion rodziców, nazwiska panieńskiego matki, numeru telefonu oraz obywatelstwa.
  2. W dniu […] września 2012 r. bank A. S.A., którego oddziałem jest Biuro Maklerskie, zawarł z G. umowę ramową na powierzenie wykonywania czynności na rzecz banku podmiotom zewnętrznym w ramach badań marketingowych „ad hoc” oraz umowę o powierzenie przetwarzania danych. W ramach tych umów Biuro Maklerskie zleciło G. przeprowadzenie badania satysfakcji i oczekiwań swoich klientów.
  3. Celem wykonania usługi badania satysfakcji i oczekiwań swoich klientów, Biuro Maklerskie udostępniło G. ich dane osobowe, w tym dane Skarżącego, w zakresie imienia, nazwiska, płci, numeru telefonu oraz identyfikatora klienta.
  4. W grudniu 2013 r. pracownik G., wykorzystując pozyskane od Biura Maklerskiego dane, jednorazowo skontaktował się ze Skarżącym celem przeprowadzenia ankiety dotyczącej jakości świadczonych przez Biuro Maklerskie usług oraz poziomu satysfakcji i oczekiwań klienta.
  5. W dniu […] grudnia 2013 r. Skarżący zgłosił telefonicznie w Punkcie Obsługi Klientów Domu Maklerskiego fakt nawiązania z nim kontaktu telefonicznego przez podmiot zewnętrzny działający na zlecenie Biura Maklerskiego i zażądał pisemnej odpowiedzi, dlaczego Biuro Maklerskie udostępniło temu podmiotowi jego dane osobowe bez jego zgody.
  6. W odpowiedzi udzielonej Skarżącemu pismem z […] stycznia 2014 r. (znak pisma: […]) Dyrektor Biura Maklerskiego wskazał podstawę i cel przekazania jego danych osobowych G. (umowę na przeprowadzenie badania satysfakcji i oczekiwań klientów) oraz zakres przekazanych danych. Dyrektor Biura Maklerskiego wyjaśnił m.in., że „przeprowadzona ankieta nie miała celu marketingowego lecz związana była z podniesieniem jakości świadczonych przez DM usług”, że celem badania nie było proponowanie innych produktów ani usług, lecz uzyskanie Pana oceny w zakresie satysfakcji ze współpracy z Bankiem, zadowolenia z korzystania z produktów i usług Banku a także deklaracji odnośnie dalszego korzystania z usług i polecania ich innym klientom” i że „w takiej sytuacji, zgodnie z art. 23 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych, możliwe jest przetwarzanie danych bez konieczności uzyskiwania odrębnej zgody na przetwarzanie danych osobowych”. Oświadczył również, że dane Skarżącego były należycie zabezpieczone, wykorzystane „wyłącznie w celach badawczych”, a po wykonaniu badania zostały przez G. zniszczone.
  7. Aktualnie dane osobowe Skarżącego, przekazane G. przez Biuro Maklerskie, nie są przez G. przetwarzane; zostały przez G. usunięte po wykonaniu zleconej przez Biuro Maklerskie usługi badania satysfakcji klientów – nie później niż […] stycznia 2014 r., to jest nie później niż w dniu złożenia Skarżącemu przez Biuro Maklerskie pisemnego oświadczenia o tym fakcie.
  8. Od 2018 r. G. nie prowadzi działalności w zakresie badania satysfakcji i lojalności klientów, w związku z przejęciem przez I. Sp. z o.o. działu G. zajmującego się tego rodzaju badaniami.
  9. W dniu […] września 2019 r. w Rejestrze Przedsiębiorców KRS dokonano wpisu zmiany nazwy oddziału banku A. S.A. zajmującego się działalnością maklerską z: „A. S.A. Oddział – […]” na: „A. S.A. Oddział – […]”.
  10. Aktualnie Biuro Maklerski przetwarza dane osobowe Skarżącego w celu wykonania łączącej go ze Skarżącym, zwartej […] kwietnia 2010 r., umowy o świadczenie usług brokerskich.

Po zapoznaniu się z całością zgromadzonego w sprawie materiału dowodowego, Prezes Urzędu Ochrony Danych Osobowych zważył, co następuje.

Z dniem wejścia w życie ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych (Dz. U. z 2019 r. poz. 1781), zwanej dalej „u.o.d.o. 2018”, tj. z dniem 25 maja 2018 r., Biuro Generalnego Inspektora Ochrony Danych Osobowych stało się Urzędem Ochrony Danych Osobowych. Postępowania prowadzone przez Generalnego Inspektora Ochrony Danych Osobowych, wszczęte i niezakończone przed dniem 25 maja 2018 r. prowadzone są przez Prezesa Urzędu Ochrony Danych Osobowych, na podstawie u.o.d.o. 1997, zgodnie z zasadami określonymi w ustawie z dnia 14 czerwca 1960 r. Kodeks postępowania administracyjnego (Dz. U. z 2018 r. poz. 2096 ze zm.), zwanej dalej „k.p.a.”. Wszelkie czynności podjęte przez Generalnego Inspektora Ochrony Danych Osobowych przed dniem 25 maja 2018 r. pozostają skuteczne (art. 160 ust. 1–3 u.o.d.o. 2018).

Stosownie do art. 57 ust. 1 Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych osobowych) (Dz. U. UE L 119 z 4.05.2016, str. 1 oraz Dz. Urz. UE L 127 z 23.05.2018 str. 2), zwanego dalej „Rozporządzeniem 2016/679”, bez uszczerbku dla innych zadań określonych na mocy tego rozporządzenia, każdy organ nadzorczy na swoim terytorium monitoruje i egzekwuje stosowanie tego rozporządzenia (lit. a) oraz rozpatruje skargi wniesione przez osobę, której dane dotyczą, lub przez umocowany przez nią – zgodnie z art. 80 Rozporządzeniem 2016/679 – podmiot, organizację lub zrzeszenie, w odpowiednim zakresie prowadzi postępowania w przedmiocie tych skarg i w rozsądnym terminie informuje skarżącego o postępach i wynikach tych postępowań (lit. f).

W tym miejscu wskazać należy, że Prezes Urzędu Ochrony Danych Osobowych wydając decyzję administracyjną zobowiązany jest do rozstrzygania w oparciu o stan faktyczny istniejący w chwili wydania tej decyzji. Jak podnosi doktryna „organ administracji publicznej ocenia stan faktyczny sprawy według chwili wydania decyzji administracyjnej. Reguła ta odnosi się także do oceny stanu prawnego sprawy, co oznacza, że organ administracji publicznej wydaje decyzję administracyjną na podstawie przepisów prawa obowiązujących w chwili jej wydania (…). Rozstrzyganie w postępowaniu administracyjnym polega na zastosowaniu obowiązującego prawa do ustalonego stanu faktycznego sprawy administracyjnej. W ten sposób organ administracji publicznej realizuje cel postępowania administracyjnego, jakim jest urzeczywistnienie obowiązującej normy prawnej w zakresie stosunków administracyjno-prawnych, gdy stosunki te tego wymagają” (Komentarz do ustawy z dnia 14 czerwca 1960 r. Kodeks postępowania administracyjnego, M. Jaśkowska, A. Wróbel, Lex., el/2012). Również Naczelny Sąd Administracyjny – w wyroku z dnia 7 maja 2008 r. w sprawie o sygn. akt I OSK 761/07 stwierdził, iż cyt.: „badając bowiem legalność przetwarzania danych osobowych, GIODO ma obowiązek ustalenia, czy na datę wydawania rozstrzygnięcia w sprawie dane konkretnego podmiotu są przetwarzane oraz czy czynione to jest w sposób zgodny z prawem”.

Zgodnie z brzmieniem przepisu art. 23 ust. 1 u.o.d.o. 1997, obowiązującej w okresie, którego dotyczyła skarga Skarżącego, przetwarzanie danych osobowych było dopuszczalne, gdy: osoba, której dane dotyczą, wyrazi na to zgodę, chyba że chodzi o usunięcie dotyczących jej danych (pkt 1), jest to niezbędne dla zrealizowania uprawnienia lub spełnienia obowiązku wynikającego z przepisu prawa (pkt 2), jest to konieczne do realizacji umowy, gdy osoba, której dane dotyczą, jest jej stroną lub gdy jest to niezbędne do podjęcia działań przed zawarciem umowy na żądanie osoby, której dane dotyczą (pkt 3), jest niezbędne do wykonania określonych prawem zadań realizowanych dla dobra publicznego (pkt 4), jest to niezbędne dla wypełnienia prawnie usprawiedliwionych celów realizowanych przez administratorów danych albo odbiorców danych, a przetwarzanie nie narusza praw i wolności osoby, której dane dotyczą (pkt 5). Przepis art. 23 ust. 4 u.o.d.o. 1997 stanowił zaś, że za prawnie usprawiedliwiony cel, o którym mowa w art. 23 ust. 1 pkt 5, uważa się w szczególności marketing bezpośredni własnych produktów lub usług administratora danych.

Art. 32 ust. 1 pkt 8 u.o.d.o. 1997 przyznawał osobie, której dane dotyczą, uprawnienie do wniesienia sprzeciwu wobec przetwarzania jej danych osobowych w przypadkach wymienionych w art. 23 ust. 1 pkt 4 i 5. Oznacza to, że osoba, której dane dotyczą, mogła wnieść do administratora danych sprzeciw wobec przetwarzania jej danych osobowych w celu marketingowym. Jednocześnie z dyspozycji art. 32 ust. 3 u.o.d.o. 1997 wynikało, że po odnotowaniu takiego sprzeciwu dalsze przetwarzanie kwestionowanych danych było niedopuszczalne.

Odnosząc wyżej przywołane przepisy do stanu faktycznego niniejszej sprawy stwierdzić należy, że w stanie prawnym obowiązującym w okresie, którego dotyczyła skarga, zgoda osoby, której dane dotyczą , była jedynie jedną z kilku samoistnych – wymienionych w art. 23 ust. 1 u.o.d.o. 1997 – podstaw przetwarzania danych osobowych. Niezależną od zgody osoby, której dane dotyczą (art. 23 ust. 1 pkt 1 u.o.d.o. 1997), podstawą przetwarzania danych osobowych przez administratora była przesłanka realizacji prawnie usprawiedliwionych celów administratora danych, o ile realizacja tych celów nie narusza praw i wolności osoby, której dane dotyczą (art. 23 ust. 1 pkt 5 u.o.d.o. 1997). W niniejszej sprawie przetwarzanie przez Biuro Maklerskie danych osobowych Skarżącego w celach marketingowych (w tym powierzenie przetwarzania – w oparciu o art. 31 u.o.d.o. 1997 – podmiotowi trzeciemu w celu przeprowadzenia przez ten podmiot badania satysfakcji jego klientów), znajdowało podstawę (samoistną – niezależną od zgody Skarżącego) w tym właśnie przepisie – art. 23 ust. 1 pkt 5 u.o.d.o. 1997. Jak stanowi bowiem expressis verbis art. 23 ust. 4 u.o.d.o. 1997, za prawnie usprawiedliwiony cel realizowany przez administratora danych osobowych należy uważać w szczególności marketing bezpośredni jego własnych produktów lub usług.

W tym miejscu wskazać należy, że – wbrew stanowisku wyrażonemu w skierowanym przez Biuro Maklerskie do Skarżącego piśmie z […] stycznia 2014 r. – działanie Biura Maklerskiego (zlecenie przeprowadzenia badania przez G.), które nakierowane było na stworzenie diagnozy satysfakcji i lojalności klientów, ustalenie ich potrzeb i oczekiwań związanych ze świadczonymi lub oferowanymi usługami, wskazanie mocnych i słabych stron Biura Maklerskiego i jego usług, itp., należy uznać za działanie mieszczące się w definicji „marketingu własnych produktów i usług”, o którym mowa w art. 23 ust. 4 u.o.d.o. 1997. Należy podkreślić przy tym, że podmiotem odpowiedzialnym za takie przetwarzanie danych Skarżącego nie jest G. lecz Biuro Maklerskie jako administrator danych Skarżącego.

Dla dokonania oceny, czy działania Biura Maklerskiego stanowiły działalność marketingową, a nie tylko „związana była z podniesieniem jakości świadczonych […] usług”, do czego Biuro Maklerskie upoważnione było w ramach wykonywania umowy łączącej go z klientem, przybliżyć należy specyfikę marketingu. Jego definicja wskazuje na działania zmierzające do określenia możliwości sprzedaży produktu, uwzględniające istniejące lub potencjalne potrzeby nabywców w krótkim lub długim okresie i związane z tym możliwości dystrybucji, reklamy, planowania produkcji, badań rynku (zob. hasło „marketing” w: Encyklopedia PWN – www.encyklopedia.pwn.pl). W ramach marketingu możemy więc wyróżnić wiele zagadnień, takich jak: odnajdowanie i ocenianie możliwości rynkowych, prowadzących do zaspokojenia potrzeb określonych odbiorców (nabywców) oraz dokładne ustalenie tych potrzeb, opracowywanie w oparciu o tę wiedzę produktu (usługi) oraz strategii jego dystrybucji czy przygotowanie odpowiedniej strategii ceny i promocji. Marketing  usług jest więc systemem zintegrowanych działań firmy usługowej na rynku obejmującym identyfikację, kształtowanie, a następnie zaspakajanie potrzeb w sposób zapewniający satysfakcję klientom i realizację ich własnych celów ekonomicznych. Zatem kształtowanie wyższego poziomu usługi, która powinna spełniać więcej potrzeb, dostarczać więcej wartości klientowi, wpływa na budowanie przewagi konkurencyjnej takiej firmy i jest formą marketingu.

Poznanie postaw klientów wobec oferty obsługi ułatwia pracę personelu działu obsługi klienta. Umożliwia przede wszystkim dostosowanie działań do wymagań nabywców. Pomiar satysfakcji klienta jest oceną obsługi, jaką firma zapewnia swoim klientom i jednocześnie jest miarą sukcesu działań personelu. We współczesnych stosunkach biznesowych, gdzie znaczenie emocji ma bardzo ważny wymiar, poznanie poziomu satysfakcji klientów staje się obowiązkiem dostawcy, a dbałość o wysoki wskaźnik satysfakcji niezbędnym warunkiem utrzymania na rynku pozycji lidera. Wszędzie tam gdzie zachodzą stosunki natury biznesowej pomiędzy przedsiębiorstwem, a innymi uczestnikami rynku pojawia się problem badania satysfakcji. W warunkach kiedy coraz trudniej o działania nowatorskie i skuteczne w ramach klasycznych narzędzi marketingu przedsiębiorstwo staje wobec konieczności dbania o wysoki poziom satysfakcji swoich klientów. Badanie satysfakcji jest pomocne zatem w ustalaniu strategii przedsiębiorstwa oraz zwiększaniu wpływów i udziału w rynku. Dla wielu kontrola satysfakcji konsumentów stała się stałym elementem badań marketingowych (por. Badanie postaw i satysfakcji klientów instytucjonalnych z oferowanego poziomu obsługi, Mariola Wisz-Cieszyńska, Międzywydziałowe Studium Doktoranckie, AE Kraków, Listopad 2002).

W świetle powyższych rozważań należy uznać, że kwestionowana przez Skarżącego działalność Biura Maklerskiego niewątpliwie stanowiła marketing jego usług własnych i jako taka dozwolona była bez zgody Skarżącego – na podstawie art. 23 ust. 1 pkt 5 u.o.d.o. 1997 – ze względu na prawnie usprawiedliwiony cel administratora, do momentu wniesienia przez Skarżącego sprzeciwu, o którym mowa w art. 32 ust. 1 pkt 8 u.o.d.o. 1997, i z zastrzeżeniem, że nie narusza ona praw i wolności Skarżącego. Stwierdzając, że Biuro Maklerskie miało podstawę do przetwarzania danych osobowych Skarżącego w celach marketingowych, uznać należy w konsekwencji, że mogło ono – na podstawie art. 31 u.o.d.o. 1997 – bez zgody Skarżącego powierzyć tego rodzaju przetwarzanie (w związku i w celu realizacji odpowiedniej umowy o świadczenie usługi) innemu podmiotowi. Przywołany wyżej przepis stanowi, że administrator może innemu podmiotowi, w drodze umowy zawartej na piśmie, przetwarzanie danych (ust. 1), natomiast podmiot, o którym mowa w ust. 1, może przetwarzać dane wyłącznie w zakresie i celu przewidzianym w umowie (ust. 2). Cechą charakterystyczną umowy powierzenia jest to, że administrator danych nie musi osobiście wykonywać czynności związanych z przetwarzaniem danych osobowych. Może w tym celu skorzystać z usług wyspecjalizowanych podmiotów zewnętrznych, zlecając im wykonywanie w tym zakresie bądź całego procesu przetwarzania danych osobowych, bądź tylko pewnych czynności (np. samego zbierania czy przechowywania), bądź przetwarzania ograniczonego do określonego celu (jak w niniejszej sprawie). W takiej sytuacji mamy do czynienia z przetwarzaniem danych w imieniu administratora, w granicach wskazanych w umowie powierzenia przetwarzania danych, i nie w celach własnych podmiotu przetwarzającego dane, lecz dla realizacji celów administratora danych.

Odnosząc się do warunku braku sprzeciwu Skarżącego na przetwarzanie jego danych osobowych w celach marketingowych stwierdzić należy, że dopiero skuteczne wniesienie takiego sprzeciwu skutkuje – w świetle art. 32 ust. 3 u.o.d.o. 1997 –  niedopuszczalnością przetwarzania w celach marketingowych kwestionowanych przez nią danych. Wobec braku wcześniejszego, skutecznie wniesionego sprzeciwu Skarżącego, nawiązanie z nim przez G. (na zlecenie Biura Maklerskiego) jednorazowego kontaktu w celu marketingowym w grudniu 2013 r., należy uznać za dopuszczalną w świetle przepisów o ochronie danych osobowych realizację prawnie uzasadnionego interesu Biura Maklerskiego. Za sprzeciw Skarżącego wobec przetwarzania jego danych w celach marketingowych można by ewentualnie uznać dokonane przez niego […] grudnia 2013 r. telefoniczne zgłoszenie w Punkcie Obsługi Klientów Domu Maklerskiego faktu nawiązania z nim kontaktu przez G. i przedstawienie żądania wyjaśnienia tej sytuacji. Ocena, czy zgłoszenie to stanowiło w istocie skuteczny sprzeciw wobec przetwarzania danych Skarżącego w celach marketingowych, jest jednak dla rozstrzygnięcia niniejszej sprawy nieistotne, gdyż po dniu […] grudnia 2013 r. dane osobowe Skarżącego nie były przetwarzane przez Biuro Maklerskie w celach marketingowy, G. nie nawiązała ze Skarżącym dalszych kontaktów w ramach zleconego przez Biuro Maklerskie badania, a dane Skarżącego zostały przez G. usunięte po wykonaniu zlecenia badań satysfakcji klientów Biura Maklerskiego, to jest nie później niż […] stycznia 2014 r.

Odnosząc się do zastrzeżenia, że realizacja prawnie usprawiedliwionego celu administratora (w niniejszej sprawie – celu marketingowego) nie może naruszać praw i wolności osoby, której dane dotyczą (art. 23 ust. 1 pkt 5 u.o.d.o. 1997), stwierdzić należy, że realizacja przez Biuro Maklerskie własnego celu marketingowego w niniejszej sprawie nie narusza praw i wolności Skarżącego. Po pierwsze, działanie Biura Maklerskiego związane była ściśle z łączącym strony stosunkiem umownym i dotyczyła marketingu usług, z których Skarżący korzystał lub którymi – w uzasadnionej ocenie Biura Maklerskiego – mógł być zainteresowany. Po drugie, istniała możliwość, że w rezultacie przeprowadzonego przez Biuro Maklerskie badania satysfakcji i oczekiwań klientów, rzeczywiście poprawie mogła ulec jakość usług, z których Skarżący korzystał. Po trzecie wreszcie, przeprowadzone przez G. badanie (jednorazowy kontakt telefoniczny, w trakcie którego przekazano Skarżącemu informacje o celu ankiety, o danych podmiotu wykonującego badanie oraz podmiotu zlecającego to badanie) jedynie w minimalnym stopniu wkroczyło w sferę prywatności Skarżącego. Takie wkroczenie w sferę prywatności Skarżącego nie daje podstaw do stwierdzenia, że przeważają one nad usprawiedliwionym interesem Biura Maklerskiego. Jak przyjmuje się bowiem w literaturze przedmiotu – w ślad za rozwiązaniami przyjętymi w dyrektywie 95/46/WE Parlamentu Europejskiego i Rady z dnia 24 października 1995 r. w sprawie ochrony osób fizycznych w zakresie przetwarzania danych osobowych i swobodnego przepływu tych danych (Dz. Urz. WE L 281 z 23.11.1995, str. 31, ze zm.; Dz. Urz. UE Polskie wydanie specjalne, rozdz. 13, t. 15, str. 355, ze zm.) – jako warunek skorzystania z przesłanki prawnie usprawiedliwionego celu administratora należy nie tyle stawiać „nienaruszalność” praw i wolności osoby, której dane dotyczą, ile raczej wymagać, aby nie przeważały one nad usprawiedliwionym interesem administratora (Ustawa o ochronie danych osobowych. Komentarz, Arwid Mednis, Warszawa 1999, s. 68, por. także: Janusz Barta, Paweł Fajgielski i Ryszard Markiewicz, komentarz do art. 23. w: Ochrona danych osobowych. Komentarz, wyd. VI. LEX, 2015).

Aktualnie, to jest w stanie faktycznym istniejącym w chwili wydania niniejszej decyzji, dane osobowe Skarżącego przetwarzane są przez Biuro Maklerskie w celu wykonania łączącej go ze Skarżącym umowy o świadczenie usług brokerskich zawartej […] kwietnia 2010 r. W obecnym stanie prawnym takie przetwarzanie znajduje podstawę prawną w art. 6 ust. 1 lit. b) Rozporządzenia 2016/679. Według wskazanego przepisu przetwarzanie danych osobowych jest zgodne z prawem m.in. w sytuacji gdy przetwarzanie to jest niezbędne do wykonywania umowy, której stroną jest osoba, której dane dotyczą, lub do podjęcia działań na żądanie osoby, której dane dotyczą, przed zawarciem umowy.

Podsumowując stwierdzić należy, że dane osobowe Skarżącego nie były w sposób niezgodny z prawem przetwarzane przez Biuro Maklerskie. Ich przetwarzanie w celu marketingowym (przez powierzenie na rzecz G. i jednorazowe ich wykorzystanie przez G. celem wykonania badania satysfakcji i oczekiwań klientów) dopuszczalne było bez zgody Skarżącego, ale i wobec braku jego sprzeciwu, w oparciu o przesłankę realizacji  prawnie usprawiedliwionego celu administratora (art. 23 ust. 1 pkt 5 u.o.d.o. 1997). Natomiast w stanie faktycznym istniejącym w chwili wydania niniejszej decyzji dane osobowe Skarżącego nie są przetwarzane przez Biuro Maklerskie w celach marketingowych. Brak jest więc podstaw do skorzystania przez Prezesa Urzędu Ochrony Danych Osobowych z jakiegokolwiek uprawnienia naprawczego przewidzianego w art. 58 ust. 2 Rozporządzenia 2016/679. Warunkiem wydania skierowanego do Biura Maklerskiego nakazu, o którym mowa w tym przepisie, jest bowiem stwierdzenie istnienia stanu naruszenia przepisów o ochronie danych osobowych w dacie wydania decyzji.

Odnosząc się do wniosku Skarżącego o ustalenie winnych naruszenia przepisów o ochronie danych osobowych, ukaranie ich i przyznanie Skarżącemu z tego tytułu „zadośćuczynienia”, stwierdzić należy, że jest on bezzasadny w związku z – po pierwsze – nie stwierdzeniem naruszenia przez Biuro Maklerskie w niniejszej sprawie przepisów o ochronie danych osobowych oraz – po drugie – brakiem kompetencji Prezesa Urzędu Ochrony Danych Osobowych do nakładania sankcji (dyscyplinarnych, karnych, administracyjnych i innych) na osoby odpowiedzialne za naruszenie przepisów o ochronie danych osobowych (czy też „winne” temu naruszeniu), i do orzekania w przedmiocie odszkodowania (czy też „zadośćuczynienia”) na rzecz osób, których dane zostały niezgodnie z prawem wykorzystane. Wskazać należy ponadto, że w dacie zdarzenia stanowiącego przedmiot skargi (przed dniem 25 maja 2018 r., czyli przed dniem rozpoczęcia stosowania przepisów Rozporządzenia 2016/679), naruszenia przepisów o ochronie danych osobowych nie były zagrożone administracyjnymi sankcjami finansowymi pozostającymi aktualnie w kompetencji Prezesa Urzędu Ochrony Danych Osobowych.

 W tym stanie faktycznym i prawnym Prezes Urzędu Ochrony Danych Osobowych rozstrzygnął, jak w sentencji.

Na podstawie art. 127 § 3 k.p.a. od decyzji przysługuje stronie prawo do wniesienia wniosku o ponowne rozpatrzenie sprawy w terminie 14 dni od dnia jej doręczenia stronie. Jeżeli strona nie chce skorzystać z prawa do złożenia wniosku o ponowne rozpatrzenie sprawy, ma prawo do wniesienia skargi na decyzję do Wojewódzkiego Sądu Administracyjnego w Warszawie w terminie 30 dni od dnia doręczenia jej stronie. Skargę wnosi się za pośrednictwem Prezesa Urzędu Ochrony Danych Osobowych (adres: ul. Stawki 2, 00-193 Warszawa). Wpis od skargi wynosi 200 złotych. Strona ma prawo ubiegania się o prawo pomocy, w tym zwolnienie od kosztów sądowych.

Podmiot udostępniający: Departament Kar i Egzekucji
Wytworzył informację:
user Jan Nowak
date 2019-12-23
Wprowadził informację:
user Anna Pachla
date 2021-05-10 14:28:11
Ostatnio modyfikował:
user Edyta Madziar
date 2021-05-27 09:26:23