ZKE.440.76.2019
Na podstawie art. 104 § 1 ustawy z dnia 14 czerwca 1960 r. Kodeks postępowania administracyjnego (Dz. U. z 2018 r. poz. 2096 ze zm.) oraz na podstawie art. 160 ust. 1 i 2 ustawy z 10 maja 2018 r. o ochronie danych osobowych (Dz. U. z 2018 r. poz. 1000 ze zm.) w zw. z art. 18 oraz art. 33 ust. 1 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. 2016 r. poz. 922 ze zm.) oraz z art. 12 w zw. z art. 15 Rozporządzenia Parlamentu Europejskiego i Rady UE 2016/679 z 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych (Dz. Urz. UE L 119 z 04.05.2016, str. 1 oraz Dz. Urz. UE L 127 z 23.05.2018, str. 1 z późn. zm.), po przeprowadzeniu postępowania administracyjnego w sprawie skargi Pana D. K., na niewypełnienie wobec niego obowiązku informacyjnego przez A. Sp. z o.o., Prezes Urzędu Ochrony Danych Osobowych:
nakazuje A. Sp. z o.o., spełnienie obowiązku informacyjnego wobec Pana D. K. poprzez podanie mu na piśmie informacji o:
- treści jego danych osobowych
- celu, zakresie i sposobie przetwarzania jego danych osobowych
- źródle, z którego pochodzą jego dane
- sposobie udostępniania jego danych, w szczególności informacji o odbiorcach lub kategoriach odbiorców, którym dane te są udostępniane.
UZASADNIENIE
Do Biura Generalnego Inspektora Ochrony Danych Osobowych (obecnie Urzędu Ochrony Danych Osobowych) wpłynęła skarga Pana D. K., (zwanego dalej również Skarżącym), na przetwarzanie jego danych osobowych przez A. Sp. z o.o., zwaną dalej również Spółką.
Pan D. K. wskazał, że Spółka w żaden sposób nie odniosła się do zaprzestania przetwarzania jego danych w celach marketingowych ani, nie udzieliła mu informacji o tym ,,jakie dane zawiera zbiór, w jaki sposób zebrano dane, w jakim celu i zakresie dane są przetwarzane oraz w jakim zakresie oraz komu dane zostały udostępnione”. Skarżący w sformułowanym żądaniu skierowanym do Prezesa Urzędu wskazał, że w związku z nieudzieleniem przez Spółkę odpowiedzi na zgłoszone przez niego w trybie art. 33 ust. 1 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. z 2016 r., poz. 922 ze zm.) żądania, wnosi o:
- podjęcie działań zmierzających do usunięcia nieprawidłowości w procesie przetwarzania jego danych osobowych,
- ukaranie Spółki na podstawie art. 54 ww. ustawy.
Na podstawie materiału dowodowego zgromadzonego w przedmiotowej sprawie ustalono następujący stan faktyczny.
1. Jak wskazała Spółka w piśmie z […] września 2017 r., przedmiotem jej działalności jest świadczenie usług m.in. za pośrednictwem strony internetowej […]. Dzięki ww. stronie internetowej klient ma możliwość zamówienia produktów (posiłków) na dwa sposoby. Klient może dokonać zamówienia poprzez zarejestrowane konto w serwisie (po wypełnianiu formularza rejestracji i aktywowaniu konta) albo bez konieczności dokonywania rejestracji (po wypełnieniu formularza zamówienia). Warunkiem złożenia zamówienia w obu przypadkach jest zaakceptowanie regulaminu, tj. […]. Skarżący złożył zamówienie […] marca 2017 r. bez dokonywania rejestracji w serwisie (nie zakładał konta użytkownika). Zakres pozyskanych w trakcie składnia zamówienia danych osobowych Skarżącego określał formularz zamówienia i obejmował: imię i nazwisko, adres e-mail, numer telefonu, adres dostawy. Celem przetwarzania danych osobowych Skarżącego było świadczenie usługi polegającej na realizacji zamówienia dostawy jedzenia złożonego za pośrednictwem ww. serwisu. Źródłem pozyskanych danych osobowych Skarżącego był on sam, ponieważ jako użytkownik platformy internetowej […] podał swoje dane w zakresie niezbędnym do świadczenia usługi drogą elektroniczną.
2. Jak wskazał Skarżący w skardze – […] lipca 2017 r. Spółka wysłała na jego prywatny numer telefonu komórkowego niezamówioną informację handlową w rozumieniu ustawy z dnia 18 lipca 2002 r. o świadczeniu usług drogą elektroniczną (Dz.U. 2019 poz. 123 ze zm.). W odpowiedzi Skarżący, jeszcze w tym samym dniu, złożył sprzeciw na przetwarzanie jego danych osobowych w celach marketingowych oraz wniosek o udzielnie informacji na podstawie art. 33 ust. 1 ustawy o ochronie danych osobowych. We wniosku zażądał udzielenia następujących informacji: ,,jakie dane zawiera zbiór, w jaki sposób zebrano dane, w jakim celu i zakresie dane są przetwarzane oraz w jakim zakresie oraz komu dane zostały udostępnione”. Spółka nie udzieliła Skarżącemu odpowiedzi na złożone przez niego za pośrednictwem poczty elektronicznej ww. wnioski. W dniu […] lipca 2017 r. na skutek ponownego otrzymania niezmówionej informacji handlowej od Spółki, Skarżący ponowił prośbę wskazaną w wiadomości elektronicznej z […] lipca 2017 r. W odpowiedzi Spółka w dniu […] lipca 2017 r. poinformowała Skarżącego, że ,,wiadomość marketingowa została wysłana na numer telefonu, który jest przypisany do konta, na którym zaznaczona jest zgoda na przesyłanie informacji marketingowych”. W wyniku ponownej prośby złożonej przez Pana D. K. o zaprzestanie przetwarzania danych osobowych w celach marketingowych i o udzielnie informacji w trybie art. 33, Spółka […] sierpnia 2017 r. wysłała do Skarżącego kolejną wiadomość elektroniczną, w którym poinformowała go, o tym że: ,,(…) w systemie do numeru telefonu wskazanego przez Pana przypisane są jeszcze dwie inne osoby. Osoby te wyraziły zgodę na otrzymywanie wiadomości marketingowych. Możemy zastrzec ten numer, natomiast potrzebujemy weryfikacji, że numer wskazany przez Pana do Pana należy. Czy moglibyśmy uzyskać od Pana takie informacje?”. Od tego momentu Spółka zaprzestała wysyłki niezamówionej informacji handlowej na numer telefonu Skarżącego. Niemniej jednak w związku z brakiem odpowiedzi Spółki na zgłoszone w trybie art. 33 ust. 1 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych żądanie, w dniu […] sierpnia 2017 r. Pan D. K. skierował do Prezesa Urzędu Ochrony Danych Osobowych skargę na przetwarzanie jego danych osobowych przez A. Sp. z o.o., w której wniósł o:
- podjęcie działań zmierzających do usunięcia nieprawidłowości w procesie przetwarzania jego danych osobowych,
- ukaranie Spółki na podstawie art. 54 ww. ustawy.
3. Spółka w piśmie z […] września 2017 r. wyjaśniła, że Skarżący wniósł […] lipca 2017 r. i […] lipca 2017 r sprzeciw na przetwarzanie danych osobowych w celach marketingowych wraz z wnioskiem o udzielnie informacji na podstawie art. 33 ust. 1 ustawy o ochronie danych. Spółka podjęła czynności sprawdzające celem zweryfikowania kwestii podnoszonych przez Skarżącego – w dniu […] lipca 2017 r. poinformowała Skarżącego, że wiadomość marketingowa została wysłana na numer telefonu, który jest przypisany do konta użytkownika, w którym to zaznaczona została zgoda na przetwarzanie danych osobowych w celach marketingowych, a […] sierpnia 2017 r. poinformowała, że do wskazanego przez niego numeru telefonu przypisani są jeszcze dwaj inni użytkownicy w związku z czym istnieje konieczność podania przez Skarżącego dodatkowych informacji celem zweryfikowania go jako właściciela numeru telefonu. W wyjaśnieniach Spółka wskazała, że w dniu […] sierpnia 2017 r. usunęła dane pana D. K. pozyskane w trakcie składania zamówienia oraz oświadczyła, że jego dane są obecnie przetwarzane w celu ,,(…) rozpatrzenia złożonych przez Skarżącego sprzeciwów, wniosków oraz udzielenia odpowiedzi Generalnemu Inspektorowi Ochrony Danych Osobowych”, obecnie Prezesowi Urzędu Ochrony Danych Osobowych, ,,(…) w związku ze złożoną skargą”. Jak wskazała Spółka – dane Skarżącego w zakresie: imię i nazwisko, adres zamieszkania, numer telefonu, adres e-mail przetwarzane są w zbiorze ,,R.”, a źródłem ich pozyskania jest sam Skarżący, ponieważ złożył do Spółki sprzeciw wobec przetwarzania jego danych osobowych w celach marketingowych wraz z wnioskiem o udzielenie informacji w trybie art. 33 ust. 1 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych.
Po zapoznaniu się z całością zgromadzonego w sprawie materiału dowodowego, Prezes Urzędu Ochrony Danych Osobowych zważył, co następuje.
Na wstępie wskazać należy, że z dniem 25 maja 2018 r., wraz z wejściem w życie ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych (Dz. U. z 2018 r., poz. 1000 ze zm.), Biuro Generalnego Inspektora Ochrony Danych Osobowych stało się Urzędem Ochrony Danych Osobowych. Postępowania prowadzone przez Generalnego Inspektora Ochrony Danych Osobowych, wszczęte i niezakończone przed 25 maja 2018 r. prowadzone są przez Prezesa Urzędu Ochrony Danych Osobowych, na podstawie ustawy z 29 sierpnia 1997 r. o ochronie danych osobowych (Dz.U. z 2016 r. poz. 922 ze zm.) zgodnie z zasadami określonymi w Kodeksie postępowania administracyjnego (Dz. U. z 2017 r. poz. 1257 ze zm.), zwanego dalej Kpa. Wszelkie czynności podejmowane przez Generalnego Inspektora Ochrony Danych Osobowych przed 25 maja 2018 r. pozostają skuteczne (art. 160 ust. 1 i ust. 2 ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych).
W czasie, gdy miało miejsce zdarzenie opisane przez Skarżącego, obowiązywała ustawa z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. z 2016 r. poz. 922 zm.), zwana dalej również ustawą. Ww. ustawa określała zasady postępowania przy przetwarzaniu danych osobowych oraz prawa osób fizycznych, których dane są lub mogą być przetwarzane w zbiorach danych (art. 2 ust. 1 ustawy). Przepisem o zasadniczym znaczeniu dla oceny legalności procesu przetwarzania danych osobowych był art. 23 ustawy.
Stosownie do art. 33 ust. 1 ustawy na wniosek osoby, której dane dotyczą administrator danych był obowiązany, w terminie 30 dni, poinformować o przysługujących jej prawach oraz udzielić, odnośnie jej danych osobowych, informacji, o których mowa w art. 32 ust. 1 pkt 1 – 5a ustawy, a w szczególności podać w formie zrozumiałej: jakie dane osobowe zawierał zbiór, w jaki sposób zebrano dane, w jakim celu i zakresie dane były przetwarzane, w jakim zakresie oraz komu dane zostały udostępnione. Komentowany przepis pozostawał w związku z art. 32 ustawy, który przewidywał, iż osoba, której dane dotyczą mogła domagać się od administratora danych udzielenia jej określonych informacji. Zgodnie, z ust. 1 tego przepisu, każdej osobie przysługiwało prawo do kontroli przetwarzania danych, które jej dotyczą, zawartych w zbiorach danych, a zwłaszcza prawo do: uzyskania wyczerpującej informacji, czy taki zbiór istnieje, oraz do ustalenia administratora danych, adresu jego siedziby i pełnej nazwy, a w przypadku gdy administratorem danych jest osoba fizyczna - jej miejsca zamieszkania oraz imienia i nazwiska (pkt 1), uzyskania informacji o celu, zakresie i sposobie przetwarzania danych zawartych w takim zbiorze (pkt 2), uzyskania informacji, od kiedy przetwarza się w zbiorze dane jej dotyczące, oraz podania w powszechnie zrozumiałej formie treści tych danych (pkt 3), uzyskania informacji o źródle, z którego pochodzą dane jej dotyczące, chyba że administrator danych jest zobowiązany do zachowania w tym zakresie tajemnicy państwowej, i służbowej lub zawodowej (pkt 4), uzyskania informacji o sposobie udostępniania danych, a w szczególności informacji o odbiorcach lub kategoriach odbiorców, którym dane te są udostępniane (pkt 5), uzyskania informacji o przesłankach podjęcia rozstrzygnięcia, o którym mowa w art. 26a ust. 2 (pkt 5a) ustawy.
Nie ulega wątpliwości, iż w przedmiotowej sprawie Skarżący, wystąpił do Spółki z żądaniem spełniającym wymogi wniosku z art. 33 ustawy. W toku postępowania zgromadzony materiał dowodowy wykazał, iż Spółka nie wypełniła wobec Skarżącego obowiązku informacyjnego. Wiadomości elektroniczne, które skierowała do Skarżącego w dniu […] lipca 2017 r. oraz w dniu […] sierpnia 2017 r., nie zawierały w swojej treści odpowiedzi ,,jakie dane zawiera zbiór, w jaki sposób zebrano dane, w jakim celu i zakresie dane są przetwarzane oraz w jakim zakresie oraz komu dane zostały udostępnione”.
W przedmiotowej sprawie – w odniesieniu do skargi Skarżącego na niespełnienie obowiązku informacyjnego przez Spółkę – na wstępie należy wskazać, że chociaż Skarżący wystąpił w 2017 r. o spełnienie obowiązku informacyjnego, a więc w oparciu o przepisy ustawy, to organ administracji publicznej wydaje decyzję administracyjną na podstawie przepisów prawa obowiązujących w chwili jej wydania, czyli po 25 maja 2018 r. na podstawie Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (Dz. Urz. UE L 119 z 04.05.2016, str. 1 oraz Dz. Urz. UE L 127 z 23.05.2018, str. 2 ze zm.), zwanego dalej RODO. Obecnie należy stwierdzić, że spełnienie obowiązku informacyjnego na wniosek osoby, której dane dotyczą znajduje odzwierciedlenie w art. 15 ust. 1 RODO. Przepis ten stanowi, że osoba, której dane dotyczą, jest uprawniona do uzyskania od administratora potwierdzenia, czy przetwarzane są dane osobowe jej dotyczące, a jeżeli ma to miejsce, jest uprawniona do uzyskania dostępu do nich.
W pierwszej kolejności dla prawidłowej interpretacji przepisów dotyczących powyżej wskazanego obowiązku istotne znaczenie ma Motyw 63 Preambuły RODO, który stanowi, że „Każda osoba fizyczna powinna mieć prawo dostępu do zebranych danych jej dotyczących oraz powinna mieć możliwość łatwego wykonywania tego prawa w rozsądnych odstępach czasu, by mieć świadomość przetwarzania i móc zweryfikować zgodność przetwarzania z prawem (…)”.
Obowiązujący obecnie art. 15 ust. 1 RODO ma na celu zapewnienie osobom, których dane osobowe są przetwarzane, dostępu do informacji o okolicznościach ich przetwarzania. Prawidłowe i rzetelne wypełnienie przez administratora danych tego obowiązku jest niezbędne do zapewnienia osobie, której dane osobowe dotyczą, kontroli prawidłowości procesu przetwarzania danych osobowych. Złożenie wniosku, zależnie od jego treści, zobowiązuje administratora danych do udzielenia pełnych informacji o procesie przetwarzania danych w zakresie nie węższym niż przewiduje powołany przepis art. 15 RODO. Przepis ten określa minimum informacji, jakie administrator danych musi przekazać wnioskodawcy, istotne jest jednak by informacje, o których udostępnienie Skarżący w trybie tego przepisu wnioskuje, odnosiły się do jego osoby i swą definicją odpowiadały zdefiniowanemu w RODO pojęciu danych osobowych.
Jednocześnie wskazać należy, że zgodnie z art. 12 RODO administrator podejmuje odpowiednie środki, aby w zwięzłej, przejrzystej, zrozumiałej i łatwo dostępnej formie, jasnym i prostym językiem - w szczególności gdy informacje są kierowane do dziecka - udzielić osobie, której dane dotyczą, wszelkich informacji, o których mowa w art. 13 i 14, oraz prowadzić z nią wszelką komunikację na mocy art. 15-22 i 34 w sprawie przetwarzania. Informacji udziela się na piśmie lub w inny sposób, w tym w stosownych przypadkach - elektronicznie. Jeżeli osoba, której dane dotyczą, tego zażąda, informacji można udzielić ustnie, o ile innymi sposobami potwierdzi się tożsamość osoby, której dane dotyczą.
Obowiązek informacyjny przewidziany w art. 33 ustawy miał na celu zapewnienie osobom, których dane osobowe są przetwarzane, dostępu do informacji o okolicznościach ich przetwarzania. Prawidłowe i rzetelne wypełnienie przez administratora danych tego obowiązku było niezbędne do zapewnienia osobie, której dane osobowe dotyczą, kontroli prawidłowości procesu przetwarzania danych osobowych. Jak wskazał Naczelny Sąd Administracyjny w wyroku z dnia 30 lipca 2009 r. (sygn. akt I OSK 1049/08): „Nie powinno ulegać wątpliwości, że niewykonanie tego obowiązku [informacyjnego określonego w art. 33 ustawy] jest naruszeniem przepisów tej ustawy [o ochronie danych osobowych] w rozumieniu jej art. 18, uprawniającym i zobowiązującym Generalnego Inspektora Ochrony Danych Osobowych do wydania decyzji administracyjnej w przedmiocie nakazania przywrócenia stanu zgodnego z prawem, a więc w sytuacji określonej w art. 33 ust. 1 i 2 tej ustawy - w przedmiocie nakazania administratorowi danych osobowych spełnienia obowiązku informacyjnego, o którym mowa w tym artykule”.
Odnosząc się natomiast do złożonego przez Skarżącego wniosku o zastosowanie sankcji karnych przewidzianych w art. 54 ustawy, wskazać należy, że strona postępowania administracyjnego może domagać się od Prezesa Urzędu Ochrony Danych Osobowych wyłącznie wydania decyzji administracyjnej, a nie zawiadomienia o popełnieniu przestępstwa, o konieczności złożenia którego Prezes Urzędu Ochrony Danych Osobowych decyduje z urzędu. Powyższe stanowisko Prezesa Urzędu Ochrony Danych Osobowych potwierdził Naczelny Sąd Administracyjny, który w wyroku z dnia 21 listopada 2002 r. (sygn. akt II S.A. 1682/01) stwierdził, że „w świetle ustawy naruszenie jej przepisów staje się więc źródłem odpowiedzialności administracyjnej, prowadzącej w istocie jedynie do obowiązku przywrócenia stanu zgodnego z prawem (art.18) oraz odpowiedzialności karnej (art.19, 49- 54). Przy czym jedynie ten pierwszy rodzaj odpowiedzialności realizowany jest w formie decyzji administracyjnej”. NSA stwierdził także, i „w przypadku gdy wyniki działania kontrolnego będą wskazywać, iż działanie lub zaniechanie kierownika jednostki organizacyjnej, jej pracownika lub innej osoby fizycznej będącej administratorem danych nosi znamiona przestępstwa, GIODO ma obowiązek skierowania zawiadomienia o popełnieniu przestępstwa do organu powołanego do ścigania przestępstw (...). Nie dokonuje tego jednak, jak w przypadku art. 18 w drodze decyzji administracyjnej, lecz w drodze wystąpienia, które stanowi realizację jego kompetencji w tej sprawie. Wskazuje na to zarówno wyraźne określenie formy decyzji w art. 18 ustawy, a brak tego określenia w art. 19, jak i istota i znaczenie decyzji administracyjnej. Nakłada ona bowiem na stronę pewne uprawnienia lub obowiązek lub odmawia jego przyznania. Tymczasem wystąpienie do prokuratury z informacją o podejrzeniu przestępstwa nie ma takiego charakteru. Co do zasady nie nadaje się więc do rozstrzygnięcia w formie decyzyjnej.” Również w wyroku z dnia 19 listopada 2001 r. (sygn. akt II SA 2702/00) Naczelny Sąd Administracyjny w Warszawie wskazał, że „osoba dochodząca ochrony swych spraw w trybie w/w ustawy o ochronie danych osobowych nie jest podmiotem postępowania obliczonego na wydanie decyzji o zawiadomieniu stosownego organu o przestępstwie w zakresie przetwarzania danych osobowych i nie może się tego domagać od GIODO w administracyjno-prawnych formach tego postepowania. (...) GIODO może podejmować czynności tylko na zasadzie i w formach przewidzianych ustawą. Sposób załatwienia sprawy co do meritum reguluje w/w art. 18 ustawy, przyznając GIODO uprawnienia w zakresie nakazania administratorowi winnemu naruszenia przywrócenia stanu zgodnego z prawem”.
Spółka wskazała, że dane osobowe Skarżącego są obecnie przetwarzane w ramach zbioru ,,R.” i pozyskane zostały od Skarżącego w dniu […] lipca 2017 r. Skoro zatem Skarżący złożył wniosek w trybie art. 33 ustawy, to Spółka jako administrator danych powinna udzielić mu informacji na temat przetwarzania jego danych, czego w niniejszej sprawie nie uczyniła do dziś. Obecnie stan naruszenia przez Spółkę przepisów o ochronie danych osobowych nadal istnieje dlatego zasadnym jest wydanie w przedmiotowej decyzji nakazu z art. 18 ust. 1 pkt 1 ustawy.
W tym stanie faktycznym i prawnym Prezes Urzędu Ochrony Danych Osobowych rozstrzygnął, jak w sentencji.
Na podstawie art. 127 § 3 Kpa od niniejszej decyzji stronie przysługuje prawo do wniesienia wniosku o ponowne rozpatrzenie sprawy w terminie 14 dni od dnia doręczenia decyzji stronie. Jeżeli strona nie chce skorzystać z prawa do złożenia wniosku o ponowne rozpatrzenie sprawy, ma prawo do wniesienia skargi na decyzję do Wojewódzkiego Sądu Administracyjnego w Warszawie w terminie 30 dni od dnia doręczenia jej stronie. Skargę wnosi się za pośrednictwem Prezesa Urzędu Ochrony Danych Osobowych (adres: ul. Stawki 2, 00-193 Warszawa). Wpis od skargi wynosi 200,00 zł. Strona ma prawo ubiegać się o prawo pomocy, w tym zwolnienie od kosztów sądowych.