ZKE.440.58.2019
Na podstawie art. 104 § 1 ustawy z dnia 14 czerwca 1960 r. Kodeks postępowania administracyjnego (Dz. U. z 2020 r., poz. 256), art. 160 ust. 1 i 2 ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych (Dz. U. z 2019 r., poz. 1781) w związku z art. 12 pkt 2, art. 18 ust. 1 i art. 22 ust. 2 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. 2016 r., poz. 922 ze zm.) oraz art. 12 w związku z art. 15 Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (Dz. Urz. UE L 119 z 04.05.2016, str. 1 oraz Dz. Urz. UE L 127 z 23.05.2018, str. 2), po przeprowadzeniu postępowania administracyjnego w sprawie skargi Pana R. P., na przetwarzanie jego danych osobowych przez O. S.A., w tym na niewypełnienie wobec niego obowiązku informacyjnego z art. 32 ust. 1 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych, Prezes Urzędu Ochrony Danych Osobowych
nakazuje O. S.A. spełnienie obowiązku informacyjnego wobec Pana R. P., poprzez dostarczenie mu:
a) informacji o kategoriach danych osobowych dotyczących jego osoby, podlagających przetwarzaniu przez O. S.A. oraz;
b) kopii jego danych osobowych podlegających przetwarzaniu przez O. S.A.
Uzasadnienie
Do Prezesa Urzędu Ochrony Danych Osobowych (dawniej: Generalnego Inspektora Ochrony Danych Osobowych) wpłynęła skarga Pana R. P., zwanego dalej: „Skarżącym”, na przetwarzanie jego danych osobowych przez O. S.A., zwaną dalej także: „Spółką”, w tym na niewypełnienie wobec niego obowiązku informacyjnego z art. 32 ust. 1 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. z 2016 r., poz. 922).
W treści skargi Skarżący wskazał, że w związku ze składanymi drogą elektroniczną reklamacjami na usługi świadczone przez operatora telefonii komórkowej – których rozpatrzenie operator uzależniał od podania szczegółowych danych osobowych, w tym numeru PESEL oraz numeru dowodu osobistego – Skarżący dwukrotnie zwracał się do Spółki z żądaniem dostarczenia kopii jego danych osobowych przetwarzanych przez Spółkę, a powiązanych z adresem poczty elektronicznej, wykorzystywanym przez Skarżącego do celów komunikacji ze Spółką. Spółka nie przekazała Skarżącemu wyżej wskazanych informacji, tym samym uniemożliwiając mu skorzystanie z uprawnień przysługujących na gruncie przepisów o ochronie danych osobowych.
W związku z podniesionymi zarzutami, Skarżący wniósł do Prezesa Urzędu Ochrony Danych Osobowych o wydanie decyzji administracyjnej, nakazującej Spółce spełnienie obowiązku informacyjnego, o którym mowa w 33 ust 1. w związku z art. 32 ust. 1 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych.
W celu ustalenia okoliczności istotnych dla rozstrzygnięcia niniejszej sprawy, Prezes Urzędu Ochrony Danych Osobowych wszczął postępowanie administracyjne. Na podstawie zebranego w sprawie materiału dowodowego ustalił następujący stan faktyczny:
- Skarżący jest klientem Spółki w związku z korzystaniem – w ramach usługi karty przedpłaconej prepaid – z numeru telefonu […].
- W dniu […] grudnia 2013 r., posługując się adresem poczty elektronicznej: […], Skarżący złożył drogą elektroniczną, na adres Biura Obsługi Klienta […], reklamację w związku z realizacją usług świadczonych przez operatora telefonii komórkowej. Składając przedmiotową reklamację Skarżący przekazał Spółce niezbędne dane osobowe w zakresie: imienia i nazwiska, adresu korespondencyjnego oraz numeru telefonu, pozwalające na jednoznaczną identyfikację abonenta.
- Podstawę prawną pozyskania i przetwarzania danych osobowych Skarżącego przez Spółkę stanowił art. 23 ust. 1 pkt 2 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. 2016 r., poz. 922 ze zm.), albowiem dane Spółka zgromadziła w celu spełnienia obowiązku wynikającego z przepisu prawa, tj. art. 106 ust. 1 ustawy z dnia 16 lipca 2004 r. – Prawo telekomunikacyjne (Dz. U. z 2019 r., poz. 2460), zgodnie z którym dostawca publicznie dostępnych usług telekomunikacyjnych jest obowiązany do rozpatrzenia reklamacji usługi telekomunikacyjnej.
- W odpowiedzi na złożoną reklamację, w dniu […] stycznia 2014 r. Spółka zwróciła się do Skarżącego z prośbą o przesłanie, z zachowaniem dotychczasowej korespondencji, numeru telefonu, kodu PUK lub szczegółowych danych właściciela numeru w przypadku, gdy numer jest zarejestrowany (tj. imienia, nazwiska, adresu zamieszkania, serii i numeru dowodu osobistego oraz numeru PESEL) – wskazując, że ww. informacje pozwolą na przeprowadzenie analizy podstaw faktycznych reklamacji i udzielenie odpowiedzi.
- W dniu […] stycznia 2016 r. Skarżący złożył kolejne zgłoszenie reklamacyjne o numerze […], w którym podał wszelkie dane niezbędne do jego rozpatrzenia. Korespondencję elektroniczną, stanowiącą uzupełnienie zgłoszenia z dnia […] stycznia 2016 r., Skarżący prowadził ze Spółką również w dniach […] stycznia 2016 r. oraz […] stycznia 2016 r. W związku z rozpatrzeniem przedmiotowej reklamacji, Spółka poinformowała Skarżącego, za pośrednictwem wiadomości tekstowej sms, o konieczności dostarczenia adresu korespondencyjnego celem umożliwienia udzielenia mu stosownej odpowiedzi. Skarżący zakwestionował powyższe działanie Spółki podnosząc, iż dane adresowe udostępnił jej wraz z pierwszą wiadomością, inicjującą proces reklamacyjny. Jednocześnie Skarżący, w ramach przysługującego mu uprawnienia z art. 32 ust. 1 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych, wystąpił w dniu […] stycznia 2016 r. z żądaniem udzielania mu informacji o przetwarzanych przez Spółkę danych osobowych dotyczących jego osoby, a powiązanych z adresem poczty elektronicznej: […] – poprzez dostarczenie kopii tychże danych. Spółka nie ustosunkowała się w żaden sposób do tak sformułowanego żądania Skarżącego.
- W dniu […] lipca 2016 r. Skarżący ponownie, korzystając z elektronicznej skrzynki Biura Obsługi Klienta, skierował do Spółki pytanie o sposób aktywacji jednej z oferowanych przez nią usług. Tym razem jednak w wiadomości e-mail podpisał się wyłącznie imieniem i nazwiskiem, z pominięciem pozostałych dotyczących go danych osobowych. W tej samej dacie Spółka poinformowała Skarżącego, że ustosunkowanie się do jego zapytania możliwe będzie po uprzednim nadesłaniu następujących danych: numeru telefonu, którego dotyczy sprawa, imienia i nazwiska właściciela numeru oraz kodu abonenckiego lub – w przypadku braku ich znajomości – adresu zameldowania oraz korespondencyjnego, numeru PESEL lub numeru i serii dowodu osobistego. W związku z powyższym, w dniu […] lipca 2016 r. Skarżący raz jeszcze wniósł o przesłanie na adres jego poczty elektronicznej informacji o zakresie i treści danych osobowych Skarżącego, będących w dyspozycji O. S.A.
- Spółka w celu weryfikacji czy osoba, która wystąpiła z żądaniem jest osobą uprawnioną do uzyskania powyżej informacji zwróciła się do Skarżącego o podanie danych jednoznacznie identyfikujących jego osobę, tj. numeru PESEL i numeru dowodu osobistego. Wobec braku udostępnienia ww. informacji, Spółka odstąpiła od spełnienia żądania.
- Obecnie, Spółka przetwarza dane osobowe Skarżącego w zakresie: imienia i nazwiska, adresu zamieszkania, numerów telefonów, adresu e-mail oraz numeru PESEL, przy czym ten ostatni Spółka pozyskała w związku z wejściem w życie przepisów ustawy z dnia 10 czerwca 2016 r. o działaniach antyterrorystycznych (Dz.U. z 2019 r., poz. 2460), nakładających na użytkowników usług przedpłaconych obowiązek przekazania dostawcy tychże usług oznaczonych kategorii danych. Podstawę prawną przetwarzania danych osobowych Skarżącego przez Spółkę stanowi art. 6 ust. 1 lit. b) Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (Dz. Urz. UE L 119 z 04.05.2016, str. 1 oraz Dz. Urz. UE L 127 z 23.05.2018, str. 2), zwanego dalej: „Rozporządzeniem 2016/679”, jako że przetwarzanie niezbędne jest do wykonania umowy, której stroną jest Skarżący. Nadto, Spółka przetwarza dane osobowe Skarżącego na podstawie art. 6 ust. 1 lit. c) Rozporządzenia 2016/679, w celu wypełnienia obowiązków prawnych ciążących na niej, jako administratorze danych osobowych, takich jak: przechowywanie danych o połączeniach na potrzeby przyszłych postępowań uprawnionych organów, udzielanie odpowiedzi na reklamacje w terminie i formie przewidzianej przepisami, zapewnienie bezpieczeństwa sieci zgodnie z przepisami Prawa telekomunikacyjnego czy wykrywanie nadużyć i zapobieganie im. W związku ze świadczeniem na rzecz Skarżącego usług telekomunikacyjnych – wobec rozpoczęcia stosowania z dniem 25 maja 2018 r. przepisów Rozporządzenia 2016/679 – Spółka skierowała do niego wiadomość sms wskazując, iż wszelkie informacje o podstawach prawnych oraz celach przetwarzania danych oraz przysługujących Skarżącemu uprawnieniach, dostępne są na stronie internetowej operatora, pod adresem: […]
W tym stanie faktycznym, Prezes Urzędu Ochrony Danych Osobowych (zwany dalej także: „Prezesem UODO”) zważył, co następuje.
Z dniem 25 maja 2018 r. w życie weszły przepisy ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych (Dz. U. z 2019 r., poz. 1781), zwanej dalej „u.o.d.o.”.
W myśl art. 160 ust. 1-3 u.o.d.o., postępowania prowadzone przez Generalnego Inspektora Ochrony Danych Osobowych, wszczęte i niezakończone przed dniem wejścia w życie niniejszej ustawy, prowadzone są przez Prezesa Urzędu Ochrony Danych Osobowych na podstawie ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. z 2016 r., poz. 922 ze zm.), zwanej dalej także „ustawą 1997”, zgodnie z zasadami określonymi w ustawie z dnia 14 czerwca 1960 r. Kodeks postępowania administracyjnego (Dz. U. z 2020 r., poz. 256). Co istotne, w kontekście niniejszego postepowania, przepisy te określają środki mające na celu przywrócenie stanu zgodnego z prawem, które zastosować może – w drodze decyzji administracyjnej – Prezes Urzędu Ochrony Danych Osobowych w przypadku stwierdzenia naruszenia przepisów o ochronie danych osobowych. Zgodnie z art. 18 ust. 1 ustawy 1997, Prezes Urzędu Ochrony Danych Osobowych może mianowicie nakazać: 1) usunięcie uchybień, 2) uzupełnienie, uaktualnienie, sprostowanie, udostępnienie lub nieudostępnienie danych osobowych, 3) zastosowanie dodatkowych środków zabezpieczających zgromadzone dane osobowe, 4) wstrzymanie przekazywania danych osobowych do państwa trzeciego, 5) zabezpieczenie danych lub przekazanie ich innym podmiotom lub wreszcie, 6) usunięcie danych osobowych.
Od dnia 25 maja 2018 r. zastosowanie ma również Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (Dz. Urz. UE L 119 z 04.05.2016, str. 1 ze zm. oraz Dz. Urz. UE L 127 z 23.05.2018, str. 2), zwane dalej „Rozporządzeniem 2016/679”, którego przepisy regulują kwestie związane z przetwarzaniem danych osobowych osób fizycznych.
Uwzględniając powyższe stwierdzić zatem należy, iż niniejsze postępowanie, wszczęte i niezakończone przed dniem 25 maja 2018 r., prowadzone jest na podstawie ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (w zakresie dotyczącym przepisów regulujących procedurę administracyjną) oraz na podstawie Rozporządzenia 2016/679 (w zakresie rozstrzygającym o legalności procesu przetwarzania danych osobowych). Wynikający z przepisów prawa sposób prowadzenia postępowań w sprawach rozpoczętych i niezakończonych przed dniem wejścia w życie nowych regulacji z zakresu ochrony danych osobowych koreluje z ugruntowanym stanowiskiem doktryny, zgodnie z którym „organ administracji publicznej ocenia stan faktyczny sprawy według chwili wydania decyzji administracyjnej. Reguła ta odnosi się także do oceny stanu prawnego sprawy, co oznacza, że organ administracji publicznej wydaje decyzję administracyjną na podstawie przepisów prawa obowiązujących w chwili jej wydania” (Komentarz do ustawy z dnia 14 czerwca 1960 r. Kodeks postępowania administracyjnego (Dz. U. 00.98.1071), M. Jaśkowska, A. Wróbel, Lex., el/2012).
Jednocześnie jednak, biorąc pod uwagę fakt, że wystąpienie z żądaniem udostępnienia danych osobowych skierowane przez Skarżącego do Spółki, jak i złożenie wniosku do Prezesa Ochrony Danych Osobowych, w związku z odmową spełnienia przedmiotowego żądania przez Spółkę, miały miejsce w okresie obowiązywania ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych, należy stwierdzić, że analiza przetwarzania danych osobowych Skarżącego przez Spółkę nie może być dokonywana w całkowitym oderwaniu od zawartej w wyżej wymienionym akcie prawnym regulacji.
Ustawa z dnia 29 sierpnia 1997 r. o ochronie danych osobowych określała zasady postępowania przy przetwarzaniu danych osobowych oraz prawa osób fizycznych, których dane są lub mogą być przetwarzane w zbiorach danych (art. 2 ust. 1 ustawy). Przepisem o zasadniczym znaczeniu dla oceny legalności procesu przetwarzania danych osobowych był art. 23 ust. 1 ustawy, zgodnie z którym przetwarzanie danych było dopuszczalne jedynie wtedy, gdy było to niezbędne dla zrealizowania uprawnienia lub spełnienia obowiązku wynikającego z przepisu prawa; 3) było to konieczne do realizacji umowy, gdy osoba, której dane dotyczą, była jej stroną lub gdy było to niezbędne do podjęcia działań przed zawarciem umowy na żądanie osoby, której dane dotyczą; 4) było to niezbędne do wykonania określonych prawem zadań realizowanych dla dobra publicznego bądź; 5) było to niezbędne dla wypełnienia prawnie usprawiedliwionych celów realizowanych przez administratorów danych albo odbiorców danych, a przetwarzanie nie naruszało praw i wolności osoby, której dane dotyczą.
Uwzględniając powyższe stwierdzić należy, że Spółka pozyskała dane Skarżącego oraz przetwarzała je w oparciu o art. 23 ust. 1 pkt 2 ustawy 1997 r., albowiem dane te były jej niezbędne w celu spełnienia obowiązku wynikającego z przepisu prawa. Przepisem statuującym taki obowiązek był z kolei w niniejszej sprawie art. 106 ust. 1 ustawy z dnia 16 lipca 2004 r. – Prawo telekomunikacyjne (Dz. U. z 2019 r., poz. 2460), zgodnie z którym dostawca publicznie dostępnych usług telekomunikacyjnych jest obowiązany do rozpatrzenia reklamacji usługi telekomunikacyjnej. Skarżący przekazał swoje dane osobowe Spółce w związku z licznymi reklamacjami, które składał na usługi świadczone przez operatora telefonii komórkowej w ramach korzystania z oferty karty przedpłaconej dla numeru telefonu […]. Spółka przetwarzała zaś dane Skarżącego przez okres co najmniej 30 dni liczonych od momentu złożenia reklamacji, tj. przez okres w którym dostawca usług telekomunikacyjnych – stosownie do § 7 ust. 1 Rozporządzenia Ministra Administracji i Cyfryzacji z 24 lutego 2014 r. w sprawie reklamacji usługi telekomunikacyjnej (Dz. U. z 2014 r., poz. 284) – powinien udzielić odpowiedzi na reklamację. Tym samym działanie Spółki, polegające na gromadzeniu i przetwarzaniu informacji dotyczących osoby Skarżącego, w celu określonym ww. przepisami prawa, należy uznać za w pełni legalne z punktu widzenia przepisów o ochronie danych osobowych.
Podobnie, zdaniem Prezesa UODO nie można uczynić Spółce zarzutu jakby ta żądała zbyt szerokiego zakresu danych osobowych, od podania których – zdaniem Skarżącego – uzależniać miała rozpatrzenie składanych przez niego reklamacji. Zgodnie bowiem z § 4 ust. 1 wspomnianego już Rozporządzenia Ministra Administracji i Cyfryzacji z 24 lutego 2014 r. w sprawie reklamacji usługi telekomunikacyjnej, reklamacja powinna zawierać m.in.: 1) imię i nazwisko albo nazwę oraz adres zamieszkania albo siedziby użytkownika, zwanego dalej „reklamującym”; 2) określenie przedmiotu reklamacji oraz reklamowanego okresu; 3) przedstawienie okoliczności uzasadniających reklamację oraz; 4) przydzielony reklamującemu numer, którego dotyczy reklamacja, numer ewidencyjny nadany reklamującemu przez dostawcę usług lub adres miejsca zakończenia sieci. Jak wynika z załączonej do akt postępowania kopii korespondencji wymienianej pomiędzy Skarżącym a Spółką, Spółka do celów reklamacyjnych żądała od Skarżącego udostępnienia wyłącznie imienia i nazwiska, numeru telefonu oraz kodu abonenckiego – wskazując na zasadność podania dodatkowych danych osobowych (w postaci np. numeru PESEL czy numeru dowodu osobistego) jedynie w przypadku, gdy Skarżący zaliczałby się do grona klientów, których numer telefonu podlega rejestracji. Skarżący, jako osoba korzystająca z usługi karty przedpłaconej, niepodlegającej rejestracji, nie był w żaden sposób zobowiązany do dostarczenia Spółce dodatkowych danych osobowych, a zatem informacja zawarta w wezwaniu, dotycząca właścicieli numerów zarejestrowanych, miała dla niego charakter wyłącznie informacyjny i w żaden sposób go nie wiązała. W celu uniknięcia jakichkolwiek wątpliwości w powyższym zakresie, Spółka powinna była jednak zawrzeć w odpowiedzi na reklamację Skarżącego wyraźne pouczenie wskazujące na to, iż udostępnienie na jej rzecz dodatkowych danych ma charakter wyłącznie fakultatywny.
Odnosząc się natomiast do zarzutu Skarżącego dotyczącego braku udostępnienia mu przez Spółkę informacji, o których mowa w art. 32 ust. 1 ustawy 1997 (tj. informacji o zakresie oraz treści przetwarzanych przez Spółkę danych osobowych dotyczących Skarżącego) wyjaśnić należy, iż stosownie do treści uprzednio obowiązującego art. 33 ust. 1 ustawy 1997, na wniosek osoby, której dane dotyczą administrator danych był obowiązany, w terminie 30 dni, poinformować ją o przysługujących jej prawach oraz udzielić informacji, o których mowa w art. 32 ust. 1 pkt 1-5a ustawy 1997, w tym m.in. podać w zrozumiałej formie: jakie dane osobowe zawierał zbiór, w jaki sposób zebrano dane oraz w jakim celu i zakresie dane te były przetwarzane. Komentowany przepis pozostawał w związku z art. 32 ustawy 1997, który przewidywał, iż osoba, której dane dotyczą mogła domagać się od administratora udzielenia jej określonych informacji. Zgodnie, z ust. 1 tego przepisu, każdej osobie przysługiwało prawo do kontroli przetwarzania danych, które jej dotyczą, zawartych w zbiorach danych, a zwłaszcza prawo do: uzyskania wyczerpującej informacji, czy taki zbiór istnieje oraz do ustalenia administratora danych, adresu jego siedziby i pełnej nazwy, a w przypadku gdy administratorem danych jest osoba fizyczna - jej miejsca zamieszkania oraz imienia i nazwiska (pkt 1), uzyskania informacji o celu, zakresie i sposobie przetwarzania danych zawartych w takim zbiorze (pkt 2), uzyskania informacji, od kiedy przetwarza się w zbiorze dane jej dotyczące, oraz podania w powszechnie zrozumiałej formie treści tych danych (pkt 3), uzyskania informacji o źródle, z którego pochodzą dane jej dotyczące, chyba że administrator danych jest zobowiązany do zachowania w tym zakresie tajemnicy państwowej, i służbowej lub zawodowej (pkt 4), uzyskania informacji o sposobie udostępniania danych, a w szczególności informacji o odbiorcach lub kategoriach odbiorców, którym dane te są udostępniane (pkt 5), uzyskania informacji o przesłankach podjęcia rozstrzygnięcia, o którym mowa w art. 26a ust. 2 (pkt 5a) ustawy 1997.
Przywołane powyżej regulacje znalazły odzwierciedlenie także w przepisach z zakresu ochrony danych obowiązujących od dnia 25 maja 2018 r. – co jest o tyle istotne, że chociaż Skarżący wystąpił do Spółki z żądaniem spełnienia obowiązku informacyjnego w oparciu o przepisy ustawy 1997, to organ administracji publicznej zobowiązany jest wydać decyzję administracyjną na podstawie przepisów prawa obowiązujących w chwili jej wydania, którymi to po dniu 25 maja 2018 r. będą przepisy Rozporządzenia 2016/679.
Obecnie spełnienie obowiązku informacyjnego na wniosek osoby, której dane dotyczą znajduje uzasadnienie w art. 15 Rozporządzenia 2016/679. Przepis ten stanowi, że osoba, której dane dotyczą, jest uprawniona do uzyskania od administratora potwierdzenia, czy przetwarzane są dane osobowe jej dotyczące, a jeżeli ma to miejsce, jest uprawniona do uzyskania dostępu do nich (ust. 1). Administrator z kolei obowiązany jest dostarczyć osobie, której dane dotyczą, kopię danych osobowych podlegających przetwarzaniu. Jeżeli osoba, której dane dotyczą, zwraca się o kopię drogą elektroniczną i jeżeli nie zaznaczy inaczej, informacji udziela się w powszechnie stosowanej formie elektronicznej (ust. 3).
Obowiązujący obecnie art. 15 Rozporządzenia 2016/679 ma na celu zapewnienie osobom, których dane osobowe są przetwarzane, dostępu do informacji o okolicznościach ich przetwarzania. Rzetelne wypełnienie przez administratora danych obowiązku polegającego na zapewnieniu ciągłego dostępu do danych jest niezbędne, albowiem gwarantuje osobie, której dane dotyczą możliwość sprawowania kontroli nad prawidłowością procesu ich przetwarzania. Złożenie wniosku w przedmiocie udzielenia dostępu do danych obliguje administratora do podjęcia stosownych działań, zwłaszcza dostarczenia osobie fizycznej żądanych informacji – każdorazowo w zakresie wynikającym z wniosku, a przy tym nie węższym niż przewiduje to powołany przepis art. 15 Rozporządzenia 2016/679. Przepis ten określa bowiem minimum informacji, jakie administrator danych musi przekazać wnioskodawcy, istotne jest jednak by informacje, o których udostępnienie Skarżący w trybie tego przepisu wnioskuje, odnosiły się do jego osoby i swą definicją odpowiadały zdefiniowanemu w Rozporządzeniu 2016/679 pojęciu danych osobowych.
Jednocześnie wskazać należy, że zgodnie z art. 12 Rozporządzenia 2016/679 administrator podejmuje odpowiednie środki, aby w zwięzłej, przejrzystej, zrozumiałej i łatwo dostępnej formie, jasnym i prostym językiem udzielić osobie, której dane dotyczą, wszelkich informacji, o których mowa w art. 13 i 14, oraz prowadzić z nią wszelką komunikację na mocy art. 15-22 i 34 w sprawie przetwarzania. Informacji udziela się na piśmie lub w inny sposób, w tym w stosownych przypadkach – elektronicznie. Jeżeli osoba, której dane dotyczą, tego zażąda, informacji można udzielić ustnie, o ile innymi sposobami potwierdzi się tożsamość osoby, której dane dotyczą.
Skoro zatem w przedmiotowej sprawie Skarżący, wystąpił do Spółki dwukrotnie za pośrednictwem poczty elektronicznej z wnioskiem spełniającym wymogi wniosku z art. 33 ustawy 1997 (aktualnie – art. 15 Rozporządzenia 2016/679), to Spółka jako administrator danych była zobowiązana do udzielenia mu informacji na temat przetwarzanych danych, w granicach wyznaczonych jego wnioskiem oraz zakresem określonym przez art. 32 ust. 1 pkt 1-5a ustawy 1997 (aktualnie – art. 15 Rozporządzenia 2016/679), a co za tym idzie, do podania Skarżącemu w powszechnie zrozumiałej formie informacji o zakresie oraz treści przetwarzanych danych. Wskazać przy tym należy, iż niczym nieuzasadnione było uzależnienie spełnienia komentowanego obowiązku od udostepnienia Spółce przez Skarżącego szerszego zakresu danych, aniżeli wynikało to z treści jego wniosku. Skarżący, występując z żądaniem, przekazał bowiem Spółce swoje imię, nazwisko, adres do korespondencji, numer telefonu oraz adres e-mail. Powyższe dane – wbrew twierdzeniom Spółki – należało uznać za wystarczające dla jednoznacznej weryfikacji tożsamości Skarżącego. Jak wynika bowiem z ustalonego stanu faktycznego, Skarżący w związku ze składanymi reklamacjami, kontaktował się ze Spółką niezmiennie za pomocną tego samego adresu poczty elektronicznej, Spółka akceptowała zaś tę formę komunikacji ze Skarżącym. Mając na uwadze powyższe, zdaniem Prezesa UODO, brak było podstaw by przypuszczać, że z wnioskiem w trybie art. 33 ust. 1 ustawy 1997 mogła wystąpić jakakolwiek inna, nieuprawniona do tego osoba. Tym samym uznać należy, że Spółka bezpodstawnie odmówiła Skarżącemu udostępnienia informacji o zakresie oraz treści przetwarzanych przez nią danych osobowych dotyczących Skarżącego, czym naruszyła przepisy o ochronie danych osobowych.
Dlatego też, mając na względzie przysługujące Skarżącemu prawo, o którym mowa w art. 15 ust. 1 Rozporządzenia 2016/679 oraz korelujące z nim obowiązki Spółki, jako administratora danych, wynikające z art. 12 w związku z art. 15 ust. 3 Rozporządzenia 2016/679, Prezes Urzędu Ochrony Danych Osobowych nakazał Spółce spełnienie obowiązku informacyjnego względem Skarżącego, poprzez dostarczenie mu – zgodnie z wniesionym żądaniem – informacji o kategoriach danych osobowych podlegających przetwarzaniu (tj. o „zakresie przetwarzania danych”, o którym traktował art. 32 ust 1 pkt 2 ustawy 1997) wraz z kopią danych osobowych Skarżącego pozostających w posiadaniu O. S.A.
W tym stanie faktycznym i prawnym Prezes Urzędu Ochrony Danych Osobowych rozstrzygnął, jak na wstępie.
Na podstawie art. 127 § 3 Kpa od decyzji przysługuje stronie prawo do wniesienia wniosku o ponowne rozpatrzenie sprawy w terminie 14 dni od dnia jej doręczenia stronie. Jeżeli strona nie chce skorzystać z prawa do złożenia wniosku o ponowne rozpatrzenie sprawy, ma prawo do wniesienia skargi na decyzję do Wojewódzkiego Sądu Administracyjnego w Warszawie w terminie 30 dni od dnia doręczenia jej stronie. Skargę wnosi się za pośrednictwem Prezesa Urzędu (adres: ul. Stawki 2, 00-193 Warszawa). Wpis od skargi wynosi 200 złotych. Strona ma prawo ubiegania się o prawo pomocy, w tym zwolnienie od kosztów sądowych.