ZKE.440.36.2019
Na podstawie art. 104 § 1 ustawy z dnia 14 czerwca 1960 r. Kodeks postępowania administracyjnego (Dz. U. z 2018 r. poz. 2096, z 2019 r. poz. 1133), art. 160 ust. 1 i 2 ustawy o ochronie danych osobowych z dnia 10 maja 2018 roku (Dz. U. z 2019 r., poz. 1781), art.18 ust. 1 ustawy z dnia 29 sierpnia 1997 o ochronie danych osobowych (Dz. U. z 2016 r. poz. 922 ze zm.), art. 12 w związku z art. 15 ust. 1, art.17 ust.1 a Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (Dz. Urz. UE L 119 z 04.05.2016, str. 1 oraz Dz. Urz. UE L 127 z 23.05.2018, str. 2), po przeprowadzeniu postępowania administracyjnego w sprawie skargi Pana M. C., na nieprawidłowości w procesie przetwarzania jego danych osobowych przez B. Sp. z o.o., Prezes Urzędu Ochrony Danych Osobowych,
1) nakazuje B. Sp. z o.o. spełnienie obowiązku informacyjnego wobec Pana M. C. poprzez poinformowanie go komu i w jakim zakresie zostały przekazane jego dane osobowe,
2) nakazuje usunięcie danych Pana M. C., pozyskanych w związku z założeniem konta w serwisie [...].
UZASADNIENIE
Do Prezesa Urzędu Ochrony Danych Osobowych (poprzednio Generalnego Inspektora Ochrony Danych Osobowych) wpłynęła skarga Pana M. C., zwanego dalej: „Skarżącym”, na nieprawidłowości w procesie przetwarzania jego danych osobowych przez B. Sp. z o. o., zwanego dalej: „Spółką”.
Skarżący wniósł o usunięcie jego danych osobowych przetwarzanych przez Spółkę na portalu internetowym […], zwany dalej: „serwisem” oraz wypełnienie wobec niego obowiązku informacyjnego.
W toku postępowania administracyjnego przeprowadzonego w niniejszej sprawie Prezes Urzędu Ochrony Danych Osobowych, zwanego dalej: „Prezes UODO” ustalił, co następuje.
1. Spółka prowadzi portal internetowy – […] - działający pod adresem internetowym [...]. Zgodnie z regulaminem serwisu na stronie internetowej oferowane są kupony rabatowe na produkty lub usługi innych firm. Dostęp do usług jest bezpłatny i wymaga rejestracji. Rejestracja wiąże się z utworzeniem konta użytkownika, które zostaje przypisane do adresu e-mail oraz hasła zgłoszonego w formularzu rejestracyjnym. Użytkownik dokonuje zakupu na stronie internetowej serwisu, na jego koncie pojawia się kupon z jednorazowym kodem upoważaniającym do skorzystania z oferowanej w danej akcji usługi czy zakupu produktu.
2. Z załączonych do wyjaśnień Spółki dokumentów wynika, że Skarżący dokonał zakupu towaru w serwisie w dniu […] stycznia 2015 roku podając dane osobowe: imię, nazwisko, telefon kontaktowy, adres zamieszkania oraz adres e-mail: [...]. Skarżący zwrócił zakupiony towar.
3. Z e-maila załączonego do skargi wynika, że Skarżący […] lutego 2015 roku przesłał na mail Spółki [...] żądanie cyt. „o usuniecie (…) z bazy wszystkich (…) danych osobowych i skasowanie (…) konta w serwisie www.[...]”. Natomiast z treści skargi wynika, że Skarżący cyt. „w dniu […] 2015 roku po sprawdzeniu, że (…) konto nadal jest czynne” tą samą drogą wniósł żądanie usunięcia danych osobowych, powołując się na odpowiednie przepisy. Mail z […] 2015 roku zawierał również wniosek o udzielenie informacji, komu i w jakim zakresie zostały przekazane moje dane”.
3. Z wyjaśnień złożonych przez Spółkę przed GIODO w piśmie z […] października 2015 roku wynika, że Skarżący zarejestrował się w serwisie w dniu [….] stycznia 2015 roku. Złożył zamówienie podając e-mail: [...]. Spółka wyjaśniła ponadto, że akceptacja regulaminu portalu stanowi wyrażenie zgody przez użytkownika na zbieranie i przetwarzanie jego danych osobowych przez Spółkę oraz jej partnerów, tym samym użytkownik wyraził zgodę na otrzymywanie drogą elektroniczną na podany adres e-mail informacji handlowych dotyczących towarów i usług własnych serwisu oraz partnerów Spółki. Spółka poinformowała również GIODO, że Skarżący nie wniósł prośby o wypełnienie obowiązku informacyjnego z art. 33 ustawy z 1997 roku. Spółka w załączeniu pisma przesłała kopie korespondencji przesłaną Skarżącemu w dniu […] września 2015 roku, w której wyjaśniła mu, że adres [...] nie istnieje w bazie danych Spółki, a konto założone na adres e-mail podany na kuponie ([...]) zostało dezaktywowane zgodnie z jego żądaniem.
W tym stanie faktycznym Prezes UODO zważył, co następuje.
Z dniem 25 maja 2018 r. w życie weszły przepisy ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych (Dz.U. 2019 poz. 1781), dalej „u.o.d.o.”.
W myśl art. 160 ust. 1-3 ustawy, postępowania prowadzone przez Generalnego Inspektora Ochrony Danych Osobowych, wszczęte i niezakończone przed dniem wejścia w życie niniejszej ustawy, prowadzone są przez Prezesa Urzędu Ochrony Danych Osobowych na podstawie ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. z 2016 r. poz. 922 ze zm. oraz z 2018 r. poz. 138), zwanej dalej: „ustawą z 1997 roku”, zgodnie z zasadami określonymi w ustawie z dnia 14 czerwca 1960 r. Kodeks postępowania administracyjnego (Dz. U. z 2018 r. poz. 2096 ze zm.), zwanej dalej „k.p.a”. Jednocześnie, czynności dokonane w postępowaniach, wszczętych i niezakończonych przed dniem wejścia w życie przepisów u.o.d.o., pozostają skuteczne.
Od dnia 25 maja 2018 r. zastosowanie ma również rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (Dz. Urz. UE L 119 z 04.05.2016, str. 1 ze zm.), zwane dalej „Rozporządzeniem 2016/679”.
Uwzględniając powyższe stwierdzić zatem należy, iż niniejsze postępowanie, wszczęte i niezakończone przed dniem 25 maja 2018 r., prowadzone jest na podstawie ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (w zakresie dotyczącym przepisów regulujących procedurę administracyjną) oraz na podstawie Rozporządzenia 2016/679 (w zakresie rozstrzygającym o legalności procesu przetwarzania danych osobowych). Wynikający w przepisów prawa sposób prowadzenia postępowań w sprawach rozpoczętych i nie zakończonych przed dniem wejścia w życie nowych regulacji z zakresu ochrony danych osobowych koreluje z ugruntowanym stanowiskiem doktryny, zgodnie z którym „organ administracji publicznej ocenia stan faktyczny sprawy według chwili wydania decyzji administracyjnej. Reguła ta odnosi się także do oceny stanu prawnego sprawy, co oznacza, że organ administracji publicznej wydaje decyzję administracyjną na podstawie przepisów prawa obowiązujących w chwili jej wydania” (Komentarz do ustawy z dnia 14 czerwca 1960 r. Kodeks postępowania administracyjnego (Dz. U. 00.98.1071) M. Jaśkowska, A. Wróbel, Lex., el/2012).
W wyroku z dnia 7 maja 2008 r. w sprawie o sygn. akt I OSK 761/07 Naczelny Sąd Administracyjny stwierdził, iż „badając […] legalność przetwarzania danych osobowych, GIODO ma obowiązek ustalenia, czy na datę wydawania rozstrzygnięcia w sprawie dane konkretnego podmiotu są przetwarzane oraz czy czynione to jest w sposób zgodny z prawem”.
W czasie, gdy miało miejsce zdarzenie opisane przez Skarżących, obowiązywała ustawa z 1997 roku. Przepisem o zasadniczym znaczeniu dla oceny legalności procesu przetwarzania danych osobowych był art. 23 ust. 1 ustawy z 1997 roku (odpowiednio art. 6 ust.1 Rozporządzenia 2016/679). Zgodnie z art. 23 ust. 1 pkt 3 ustawy z 1997 roku przetwarzanie danych osobowych jest zgodne z prawem wówczas gdy jest to konieczne do realizacji umowy, gdy osoba, której dane dotyczą jest jej stroną lub gdy jest to niezbędne do podjęcia działań przed zawarciem umowy na żądanie osoby, której dane dotyczą (odpowiednio art. 6 ust.1 lit. b Rozporządzenia 2016/679).
Postępowanie prowadzone przez Prezesa Urzędu ukierunkowane jest na wydanie decyzji administracyjnej na podstawie art. 18 ust. 1 ustawy. Według tego przepisu w przypadku naruszenia przepisów o ochronie danych osobowych Prezes Urzędu z urzędu lub na wniosek osoby zainteresowanej, w drodze decyzji administracyjnej nakazuje przywrócenie stanu zgodnego z prawem, a w szczególności: 1) usunięcie uchybień, 2) uzupełnienie, uaktualnienie, sprostowanie, udostępnienie lub nieudostępnienie danych osobowych, 3) zastosowanie dodatkowych środków zabezpieczających zgromadzone dane osobowe, 4) wstrzymanie przekazywania danych osobowych do państwa trzeciego, 5) zabezpieczenie danych lub przekazanie ich innym podmiotom, 6) usunięcie danych osobowych.
Stosownie do art. 33 ust. 1 ustawy z 1997 roku na wniosek osoby, której dane dotyczą administrator danych był obowiązany, w terminie 30 dni, poinformować o przysługujących jej prawach oraz udzielić, odnośnie jej danych osobowych, informacji, o których mowa w art. 32 ust. 1 pkt 1 – 5a ustawy z 1997 roku, a w szczególności podać w formie zrozumiałej: jakie dane osobowe zawierał zbiór, w jaki sposób zebrano dane, w jakim celu i zakresie dane były przetwarzane, w jakim zakresie oraz komu dane zostały udostępnione. Komentowany przepis pozostawał w związku z art. 32 ustawy z 1997 rok, który przewidywał, iż osoba, której dane dotyczą mogła domagać się od administratora danych udzielenia jej określonych informacji. Zgodnie, z ust. 1 tego przepisu, każdej osobie przysługiwało prawo do kontroli przetwarzania danych, które jej dotyczą, zawartych w zbiorach danych, a zwłaszcza prawo do: uzyskania wyczerpującej informacji, czy taki zbiór istnieje, oraz do ustalenia administratora danych, adresu jego siedziby i pełnej nazwy, a w przypadku gdy administratorem danych jest osoba fizyczna - jej miejsca zamieszkania oraz imienia i nazwiska (pkt 1), uzyskania informacji o celu, zakresie i sposobie przetwarzania danych zawartych w takim zbiorze (pkt 2), uzyskania informacji, od kiedy przetwarza się w zbiorze dane jej dotyczące, oraz podania w powszechnie zrozumiałej formie treści tych danych (pkt 3), uzyskania informacji o źródle, z którego pochodzą dane jej dotyczące, chyba że administrator danych jest zobowiązany do zachowania w tym zakresie tajemnicy państwowej, i służbowej lub zawodowej (pkt 4), uzyskania informacji o sposobie udostępniania danych, a w szczególności informacji o odbiorcach lub kategoriach odbiorców, którym dane te są udostępniane (pkt 5), uzyskania informacji o przesłankach podjęcia rozstrzygnięcia, o którym mowa w art. 26 a ust. 2 (pkt 5a) ustawy z 1997 roku.
Skarżący złożył skargę na niespełnienie przez Spółkę obowiązku informacyjnego w oparciu o przepisy ustawy z 1997 roku. Organ administracji publicznej wydaje decyzję administracyjną na podstawie przepisów prawa obowiązujących w chwili jej wydania, czyli po 25 maja 2018 roku na podstawie Rozporządzeniem 2016/679. Zgodnie z art. 15 ust. 1 Rozporządzeniem 2016/679 osoba, której dane dotyczą, jest uprawniona do uzyskania od administratora potwierdzenia, czy przetwarzane są dane osobowe jej dotyczące, a jeżeli ma to miejsce, jest uprawniona do uzyskania dostępu do nich.
Jednocześnie należy wskazać, że na podstawie art. 12 Rozporządzeniem 2016/679 administrator podejmuje odpowiednie środki, aby w zwięzłej, przejrzystej zrozumiałej i łatwo dostępnej formie, jasnym i prostym językiem – w szczególności gdy informacje są kierowane do dziecka – udzielić osobie, której dane dotyczą, wszelkich informacji, o których mowa w art. 13 i 14 oraz prowadzić z nią wszelką komunikację na mocy art. 15 - 22 i 34 w sprawie przetwarzania. Informacji udziela się na piśmie lub w inny sposób, w tym w stosownych przypadkach elektronicznie. Jeżeli osoba, której dane dotyczą, tego żąda, informacji można udzielać ustnie, o ile innymi sposobami potwierdzi tożsamość osoby, której dane dotyczą.
Ponadto wypełnienie przez administratora danych obowiązku informacyjnego przewidzianego w art. 33 ustawy z 1997 roku jest niezbędne do zapewnienia osobie, której dane dotyczą, kontroli prawidłowości procesu przetwarzania danych osobowych. W wyroku z 30 lipca 2009 roku (sygn. akt I OSK 1049/08) Naczelny Sąd Administracyjny wskazał, że „Nie powinno ulegać wątpliwości, że niewykonanie tego obowiązku (informacyjnego określonego w art. 33 ustawy) jest naruszeniem przepisów ustawy w rozumieniu jej art. 18, uprawniającym i zobowiązującym Generalnego Inspektora Ochrony Danych Osobowych do wydania decyzji administracyjnej w przedmiocie nakazania przywrócenie stanu zgodnego z prawem, a więc w sytuacji określonej w art. 33 ust. 1 i 2 tej ustawy – w przedmiocie nakazania administratorowi danych osobowych spełnienia obowiązku informacyjnego, o którym mowa w tym artykule”.
Skarżący zażądał również by Spółka usunęła jego dane osobowe przetwarzane w serwisie internetowym […]. W odpowiedzi Spółka poinformowała Skarżącego, że „dezaktywowała” jego konto w serwisie. Z odpowiedzi udzielonej przez Spółkę nie wynika jednak, czy usunęła ona dane osobowe Skarżącego.
Zgodnie z treścią art. 32 ust. 1 pkt 6 ustawy z 1997 roku osoba, której dane dotyczą ma m.in. prawo żądania usunięcia swoich danych osobowych, gdy są już zbędne do realizacji celu, dla którego zostały zebrane. Natomiast zgodnie z treścią art. 17 ust. 1 lit. a Rozporządzenia 2016/679 osoba, której dane dotyczą, w przypadku gdy jej dane nie są już niezbędne do celów, w których zostały zebrane lub w inny sposób przetwarzane, ma prawo żądania od administratora niezwłocznego usunięcia dotyczących jej danych osobowych, a administrator ma obowiązek bez zbędnej zwłoki usunąć dane osobowe.
Należy uznać, że po dezaktywacji konta dane osobowe Skarżącego nie są już niezbędne Spółce do celów, do których zostały pozyskane, więc, zgodnie z treścią art. 17 ust. 1a Rozporządzenia 2016/679, Spółka dane te powinna usunąć.
Podsumowując powyższe, w ocenie Prezesa Urzędu Ochrony Danych Osobowych, w niniejszej sprawie doszło do naruszenia przepisów ustawy o ochronie danych osobowych, zatem istnieją podstawy do zastosowania przepisu art. 18 ust. 1 pkt. 1 ustawy z 1997 roku, w myśl którego Generalny Inspektor (obecnie Prezes UODO) w drodze decyzji administracyjnej, nakazuje przywrócenie stanu zgodnego z prawem.
Dlatego też, w tym stanie faktycznym i prawnym, Prezes Urzędu Ochrony Danych Osobowych rozstrzygnął, jak w sentencji.
Na podstawie art. 127 § 3 Kpa od niniejszej decyzji stronie przysługuje prawo do wniesienia wniosku o ponowne rozpatrzenie sprawy w terminie 14 dni od dnia doręczenia decyzji stronie. Jeżeli strona nie chce skorzystać z prawa do złożenia wniosku o ponowne rozpatrzenie sprawy, ma prawo do wniesienia skargi na decyzję do Wojewódzkiego Sądu Administracyjnego w Warszawie w terminie 30 dni od dnia doręczenia jej stronie. Skargę wnosi się za pośrednictwem Prezesa Urzędu Ochrony Danych Osobowych (adres: ul. Stawki 2, 00-193 Warszawa). Wpis od skargi wynosi 200 złotych. Strona ma prawo ubiegania się o prawo pomocy, w tym zwolnienie od kosztów sądowych.