PREZES URZĘDU OCHRONY DANYCH OSOBOWYCH Warszawa, dnia 30 grudnia 2022 r.

Decyzja

ZSPR.440.963.2019

Na podstawie art. 104 § 1 ustawy z dnia 14 czerwca 1960 r. Kodeks postępowania administracyjnego (Dz. U. z 2022 r. poz. 2000) w zw. z art. 7 ust 1 ustawy o ochronie danych osobowych z dnia 10 maja 2018 r. (Dz. U. z 2019 r. poz. 1781), art. 5 ust. 1, art. 6 ust. 1, art. 17 ust. 1 i art. 58 ust. 2 lit. c rozporządzenia Parlamentu Europejskiego i Rady UE 2016/679 z 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych  i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46WE (ogólne rozporządzenie o ochronie danych osobowych) (Dz. Urz. UE L 119 z 4 maja 2016 r., str. 1, Dz. Urz. L 127 z 23 maja 2018 r., str. 2 oraz Dz. Urz. UE L 74 z 4 marca 2021, str. 35), po przeprowadzeniu postępowania administracyjnego w sprawie skargi Pana T. D., zamieszkałego  w L., na nieprawidłowości w procesie przetwarzania jego danych osobowych przez A. Sp. z o.o. z siedzibą w P. (poprzednio w P.) – reprezentowaną przez (…) Pana M. W., polegające na odmowie usunięcia jego danych w zakresie numeru telefonu, Prezes Urzędu Ochrony Danych Osobowych

nakazuje A. Sp. z o.o. z siedzibą w P. (poprzednio w P.), usunięcie danych osobowych Pana T. D., zamieszkałego w L., w zakresie obejmującym jego numer telefonu.

       UZASADNIENIE

Do Urzędu Ochrony Danych Osobowych wpłynęła skarga Pana T. D., zamieszkałego w L. (zwanego dalej Skarżącym), na nieprawidłowości w procesie przetwarzania jego danych osobowych przez A. Sp. z o.o. z siedzibą w P. (zwaną dalej Spółką), reprezentowaną przez (…) Pana M. W., polegające na odmowie usunięcia danych Skarżącego w zakresie numeru telefonu.

Skarżący wskazał, że zwrócił się do Spółki z żądaniem usunięcia jego numeru telefonu. Spółka odmówiła realizacji wniosku Skarżącego wskazując na ograniczenia technologiczne.

W toku przeprowadzonego postępowania wyjaśniającego w niniejszej sprawie Prezes Urzędu Ochrony Danych Osobowych ustalił następujący stan faktyczny:

  1. Spółka pozyskała dane osobowe Skarżącego w zakresie imienia, nazwiska, loginu, adresu poczty elektronicznej, adresu pocztowego, numeru telefonu i nazwiska panieńskiego matki, na podstawie umowy zawartej ze Skarżącym na świadczenie usług drogą elektroniczną  w ramach administrowanej przez Spółkę platformy handlowej “A.” dostępnej pod adresem: […] i postanowień zaakceptowanego przez Skarżącego Regulaminu, w związku z rejestracją przez Skarżącego konta na ww. platformie pod nazwą (loginem) […] w dniu […] kwietnia 2003 r. (dowód: wyjaśnienia Spółki z dnia […] lipca 2019 r.).
  2. Spółka wskazała, że aktualnie przetwarza dane osobowe Skarżącego na podstawie art. 6 ust. 1 lit. b rozporządzenia Parlamentu Europejskiego i Rady UE 2016/679 z 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych  i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46WE (ogólne rozporządzenie o ochronie danych osobowych) (Dz. Urz. UE L 119 z 4 maja 2016 r., str. 1, Dz. Urz. L 127 z 23 maja 2018 r., str. 2 oraz Dz. Urz. UE L 74 z 4 marca 2021, str. 35), zwanego dalej rozporządzeniem 2016/679, tj. w celu wykonania umowy o świadczenie usług drogą elektroniczną (dowód: wyjaśnienia Spółki z dnia […] lipca 2019 r.).
  3. Spółka wskazała, że dane osobowe Skarżącego zostaną usunięte, gdy ten rozwiąże umowę ze Spółką, jednak dane Skarżącego będą w dalszym ciągu przetwarzane przez Spółkę na podstawie: prawnie uzasadnionego interesu Spółki, którym jest: dochodzenie roszczeń  w związku z wykonywaniem umowy, wykonania obowiązków wynikających z przepisów prawa, w tym w szczególności podatkowych i rachunkowych, zapobiegania nadużyciom  i oszustwom oraz w celach statystycznych i archiwizacyjnych - po wygaśnięciu ww. celów przetwarzania danych, zostaną one przez Spółkę automatycznie usunięte po upływie przyjętego w Spółce okresu retencji tj. po 6 latach licząc od zakończenia roku kalendarzowego, w którym Skarżący rozwiąże umowę ze Spółką (dowód: wyjaśnienia Spółki z dnia […] lipca 2019 r.).
  4. Skarżący zwrócił się do Spółki z żądaniem usunięcia jego danych w zakresie numeru telefonu i wskazania mu podstawy prawnej do ich przetwarzania przez Spółkę (dowód: pismo Skarżącego z dnia […] lutego 2019 r.).
  5. Spółka odmówiła realizacji żądania Skarżącego wskazując, że swoje dane osobowe podał Spółce dobrowolnie w celu zawarcia umowy o świadczenie usług elektronicznych,  a zaakceptowany przez Skarżącego Regulamin Spółki wymaga podania pełnych  i poprawnych danych kontaktowych oraz ich aktualizowania w razie potrzeby, m.in. z uwagi na wykorzystanie tych danych przez kontrahentów podczas finalizacji transakcji zawartych przez Skarżącego oraz brak możliwości technologicznych usunięcia danych (dowód: wyjaśnienia Spółki z dnia […] lipca 2019 r.).
  6. Spółka wskazała, że zweryfikowała obowiązującą procedurę i podejście do usuwania danych w przypadku otrzymania żądania usunięcia danych i niezwłocznie uwzględnia wnioski w tym przedmiocie, w związku z czym do Skarżącego została skierowana informacja, iż w sytuacji podtrzymywania swojego stanowiska odnośnie usunięcia numeru telefonu, Skarżący proszony jest o kontakt ze Spółką (dowód: wyjaśnienia Spółki z dnia […] lipca 2019 r.).
  7. Skarżący nie zwracał się do Spółki z ponownym żądaniem usunięcia jego danych osobowych w zakresie numeru telefonu, w związku z czym Spółka w dalszym ciągu przetwarza jego dane w tym zakresie (dowód: wyjaśnienia Spółki z dnia […] czerwca 2020 r.).

W tym stanie faktycznym Prezes Urzędu Ochrony Danych Osobowych zważył, co następuje.

W myśl rozporządzenia 2016/679, aby przetwarzanie danych osobowych było zgodne  z prawem, administrator jest zobowiązany przetwarzać dane osobowe na podstawie przesłanek określonych w art. 6 rozporządzenia 2016/679. Powyższy przepis stanowi, że przetwarzanie jest zgodne z prawem m.in., gdy: osoba, której dane dotyczą wyraziła zgodę na przetwarzanie swoich danych osobowych w jednym lub większej liczbie określonych celów (art. 6 ust. 1 lit. a) lub przetwarzanie jest niezbędne do wykonania umowy, której stroną jest osoba, której dane dotyczą, lub do podjęcia działań na żądanie osoby, której dane dotyczą, przed zawarciem umowy (art. 6 ust. 1 lit. b), bądź gdy jest niezbędne do celów wynikających z prawnie uzasadnionych interesów realizowanych przez administratora lub przez stronę trzecią, z wyjątkiem sytuacji, w których nadrzędny charakter wobec tych interesów mają interesy lub podstawowe prawa i wolności osoby, której dane dotyczą, wymagające ochrony danych osobowych, w szczególności, gdy osoba, której dane dotyczą, jest dzieckiem (art. 6 ust. 1 lit. f).

Zgodnie z zasadą „minimalizacji danych”, zawartą w art. 5 ust. 1 lit. c rozporządzenia 2016/679, dane osobowe powinny być adekwatne, stosowne oraz ograniczone do tego, co niezbędne do celów, w których są przetwarzane. Ograniczenie przetwarzania do danych niezbędnych oznacza ilościowe ograniczenie i takie ukształtowanie zakresu przetwarzania danych, aby przetwarzać tylko takie dane osobowe, bez których nie da się osiągnąć zamierzonego celu przetwarzania. Wyraźne zaznacza to motyw 39 preambuły rozporządzenia 2016/679, zgodnie z którym, dane osobowe powinny być przetwarzane tylko w przypadkach, gdy celu przetwarzania nie można w rozsądny sposób osiągnąć innymi sposobami, nie zaś „na zapas”.

Artykuł 17 ust. 1 lit. b rozporządzenia 2016/679 stanowi, że osoba, której dane dotyczą, ma prawo żądania od administratora niezwłocznego usunięcia dotyczących jej danych osobowych,  a administrator ma obowiązek bez zbędnej zwłoki usunąć dane osobowe, jeżeli osoba, której dane dotyczą, cofnęła zgodę, na której opiera się przetwarzanie zgodnie z art. 6 ust. 1 lit. a lub art. 9 ust. 2 lit. a i nie ma innej podstawy prawnej przetwarzania.

Spółka pozyskała dane osobowe Skarżącego w zakresie imienia, nazwiska, loginu, adresu poczty elektronicznej, adresu pocztowego, numeru telefonu i nazwiska panieńskiego matki, na podstawie umowy zawartej ze Skarżącym na świadczenie usług drogą elektroniczną w ramach administrowanej przez Spółkę platformy handlowej “A.” dostępnej pod adresem: […] i postanowień zaakceptowanego przez Skarżącego Regulaminu, w związku  z rejestracją przez Skarżącego konta na ww. platformie pod nazwą (loginem) […] w dniu  […] kwietnia 2003 r. Spółka uprawniona jest do przetwarzania danych Skarżącego na podstawie art. 6 ust.1 lit. b rozporządzenia 2016/679, tj. w celu wykonania zawartej umowy o świadczenie usług drogą elektroniczną.

Spółka uprawniona jest do przetwarzania danych Skarżącego, lecz nie jego numeru telefonu, na podstawie art. 6 ust. 1 lit. a rozporządzenia 2016/679, tj. wyrażonej przez niego dobrowolnej zgody.

W ocenie Prezesa Urzędu Ochrony Danych Osobowych (zwanego dalej Prezesem UODO), argumentacja Spółki w zakresie tego, że numer telefonu Skarżącego jest niezbędny do realizacji przez Spółkę umowy o świadczenie usług elektronicznych, m.in. z uwagi na wykorzystanie tych danych przez kontrahentów Spółki podczas finalizacji transakcji zawartych za pośrednictwem Spółki przez Skarżącego, nie stanowi przesłanki do przetwarzania tych danych. Skoro Skarżący dobrowolnie podał Spółce swój numer telefonu, to w chwili wniesienia przez niego żądania usunięcia tych danych i tym samym odwołania zgody na przetwarzanie tych danych przez Spółkę, Spółka nie posiadała przesłanki legalności przetwarzania danych osobowych Skarżącego w zakresie numeru telefonu,  o której mowa w art. 6 ust. 1 lit. a rozporządzenia 2016/679, tj. jego zgody. W przypadku bowiem konieczności kontaktu ze Skarżącym, Spółka dysponuje innymi danymi Skarżącego - jego imieniem, nazwiskiem, adresem zamieszkania oraz adresem poczty elektronicznej, w związku z czym  w dalszym ciągu pozostawia to Spółce możliwość porozumiewania się ze Skarżącym, np.: poprzez przesyłanie wiadomości elektronicznych czy skorzystania z przesyłki listowej za pośrednictwem poczty. Wykorzystanie tych danych przez kontrahentów Spółki podczas finalizacji transakcji zawartych za pośrednictwem Spółki przez Skarżącego leży natomiast w zakresie woli i interesu Skarżącego. O ile więc twierdzi on, że nie jest przetwarzanie takiej danej potrzebne, należy zachować jego prawo do nieprzetwarzania tej danej osobowej.

W ocenie Prezesa UODO, również powołany przez Spółkę brak możliwości technologicznych usunięcia danych Skarżącego, nie stanowi podstawy do odmowy usunięcia jego danych w zakresie numeru telefonu. Skoro Spółka pozyskała numer telefonu Skarżącego i wprowadziła go do bazy danych, to tym samym powinna dysponować narzędziami umożliwiającymi usunięcie danych. Tym bardziej, że Spółka sama wskazała, że po zainicjowanej przez Skarżącego sytuacji, zweryfikowała obowiązującą procedurę i podejście do usuwania danych w przypadku otrzymania żądania usunięcia danych i niezwłocznie uwzględnia wnioski w tym przedmiocie. Spółka powinna zatem usunąć dane Skarżącego w zakresie numeru telefonu, nie zaś kierować do niego zapytanie, czy podtrzymuje on swoje stanowisko odnośnie usunięcia numeru telefonu. Skarżący nie odwołał swojego oświadczenia woli w zakresie żądania usunięcia numeru telefonu.

W związku z powyższym istnieją podstawy do zastosowania art. 58 ust. 2 lit. c rozporządzenia 2016/679, który stanowi, że w przypadku naruszenia przepisów o ochronie danych osobowych Prezes UODO nakazuje administratorowi lub podmiotowi przetwarzającemu spełnienie żądania osoby, której dane dotyczą, wynikającego z praw przysługujących jej na mocy rozporządzenia 2016/679.  Z uwagi na to, że Spółka nie uwzględniła żądania Skarżącego i przetwarza jego dane w zakresie numeru telefonu bez podstawy prawnej, zaistniała niezbędna przesłanka do wydania przez Prezesa UODO decyzji nakazującej Spółce usunięcie danych osobowych Skarżącego w zakresie obejmującym jego numer telefonu.

W tym stanie faktycznym i prawnym Prezes Urzędu Ochrony Danych Osobowych rozstrzygnął, jak w sentencji.

 

 

 

 

Decyzja jest ostateczna. Na podstawie art. 7 ust. 2 ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych (Dz. U. z 2018 r. poz. 1000) i w zw. z art. 13 § 2, art. 53 § 1 i art. 54 ustawy z dnia 30 sierpnia 2002 r. Prawo  o postępowaniu przed sądami administracyjnymi (Dz. U. 2017 r., poz. 1369 z późn. zm.), od niniejszej decyzji stronie przysługuje prawo wniesienia skargi do Wojewódzkiego Sądu Administracyjnego w Warszawie, w terminie 30 dni od dnia doręczenia niniejszej decyzji, za pośrednictwem Prezesa Urzędu Ochrony Danych Osobowych (adres: Urząd Ochrony Danych Osobowych, ul. Stawki 2, 00 – 193 Warszawa). Wpis od skargi wynosi 200 złotych. Strona ma prawo ubiegania się o prawo pomocy, w tym zwolnienie od kosztów sądowych.

Podmiot udostępniający: Departament Orzecznictwa i Legislacji
Wytworzył informację:
user Jan Nowak
date 2022-12-30
Wprowadził informację:
user Łukasz Kaczmarczyk
date 2023-09-22 12:50:02
Ostatnio modyfikował:
user Edyta Madziar
date 2023-09-27 13:10:08