ZKE.440.46.2019
Na podstawie art. 104 § 1 ustawy z dnia 14 czerwca 1960 r. Kodeks postępowania administracyjnego (Dz. U. z 2018 r. poz. 2096 ze zm.), art. 160 ust. 1 i 2 ustawy o ochronie danych osobowych z dnia 10 maja 2018 roku (Dz. U. z 2019 r., poz. 1781) oraz art. 12 pkt 2, art. 22, art. 23 ust. 1 ustawy z dnia 29 sierpnia 1997 o ochronie danych osobowych (Dz. U. z 2016 r. poz. 922 ze zm. oraz z 2018 r. poz. 138), w związku z art. 6 ust. lit. c Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (Dz. Urz. UE L 119 z 04.05.2016, str. 1 oraz Dz. Urz. UE L 127 z 23.05.2018, str. 2), po przeprowadzeniu postępowania administracyjnego w sprawie skargi Pana R. B. na przetwarzanie jego danych osobowych przez E. S.A. (poprzednio E. Sp. z o.o.), Prezes Urzędu Ochrony Danych Osobowych
odmawia uwzględnienia wniosku.
UZASADNIENIE
Do Prezesa Urzędu Ochrony Danych Osobowych (poprzednio Generalnego Inspektora Ochrony Danych Osobowych) wpłynęła skarga Pana R. B., (zwanego dalej: Skarżącym), na przetwarzanie jego danych osobowych przez E. S.A. (zwany dalej: Spółką).
Skarżący w treści skargi wskazał, że cyt. „ serwis publikuje informacje o zamówieniach, które zawierają dane klienta (imię i nazwisko, adres) oraz informacje o zamawianych towarach na swoich stronach internetowych”. Ponadto „dostęp do tych stron nie jest w żaden sposób zabezpieczony czy ograniczony. Mogą je odczytać osoby trzecie. (…). Dane zawarte na stronie (w tym nazwisko i adres) są przesyłane protokołem http w sieci Internet bez zabezpieczeń”.
Skarżący wniósł o „niezwłoczne usunięcie (…) całego konta Klienta, w tym wszystkich danych” z serwisu internetowego […] (zwany dalej: serwisem).
W toku postępowania administracyjnego przeprowadzonego w niniejszej sprawie Prezes Urzędu Ochrony Danych Osobowych (dalej: „Prezes UODO”) ustalił, co następuje.
1. Z wyjaśnień Spółki wynika, że pozyskała ona dane osobowe Skarżącego podczas rejestracji w serwisie internetowym […] w zakresie: imię, nazwisko, e-mail, adres oraz specyfikacja zamówienia z adresu poczty elektronicznej: […] w 2007 roku oraz z adresu poczty elektronicznej: […] w 2014 roku. Z pierwszego adresu Skarżący dokonał również zapisu na newsletter poprzez udzielenie dodatkowej zgody i wycofał zgodę tego samego dnia.
2. Z adresu poczty elektronicznej: […] Skarżący w dniu […] września 2015 roku dokonał zakupu produktu na stronie internetowej serwisu. Na adres poczty elektronicznej Skarżący otrzymał link zawierający zabezpieczający, unikalny i właściwy dla jednego użytkownika token. Po kliknięciu w link przesłany na adres poczty elektronicznej Skarżący został połączony ze stroną główną serwisu, znalazł się w zakładce „Twoje zamówienie”, nie był zalogowany do serwisu. Połącznie przekierowujące było nieszyfrowane.
3. Skarżący w dniu […] grudnia 2015 roku „zwrócił się z żądaniem usunięcia całego konta Klienta” poprzez wysłanie prośby na adres e-mail Spółki: […]. Konto zostało następnego dnia usunięte przez administratora. W dniu […] lutego 2016 roku Skarżący złożył skargę do Biura Generalnego Inspektora Danych Osobowych wnosząc o „niezwłoczne usunięcie (…) całego konta Klienta”. Jednakże w dniu […] marca 2016 roku Skarżący dokonał ponownej rejestracji w serwisie.
4. Spółka wyjaśniła, że w związku z realizacją ww. zamówienia nie publikowała na stronie serwisu (ani żadnej innej) danych osobowych Skarżącego. Dane te były widoczne tylko dla Skarżącego jako osoby posiadającej dostęp do konta poczty elektronicznej. Obecnie dane osobowe Skarżącego zostały zanonimizowane, co skutkuje tym, że przy próbie zalogowania się do konta otrzyma komunikat, że konto o podanym adresie email nie istnieje. Skarżący nie może wygenerować maila do przypomnienia hasła. Spółka usunęła zgody Skarżącego do wysyłki newslettera i informacje handlowe nie są już wysyłane na jego mail. Na kontach użytkowników wdrożono mechanizm kryptograficzny poprzez zastosowanie certyfikatu SSL. W przypadku składania zamówienia przez klienta oraz jego edycji w serwisie, sekcja zabezpieczona jest protokołem szyfrującym.
5. Spółka wyjaśniła, że aktualnie przetwarza dane osobowe Skarżącego na podstawie art. 86 § 1 Ordynacji podatkowej (zwanej dalej: „Ordynacja”) w związku z art. 70 Ordynacji zgodnie z którym Spółka jako podatnik zobowiązana jest do prowadzenia ksiąg podatkowych, przechowywania ksiąg i związanych z ich prowadzeniem dokumentów do czasu upływu okresu przedawnienia zobowiązania podatkowego tj. z upływem 5 lat licząc od końca roku kalendarzowego, w którym upłynął termin płatności podatku.
W tym stanie faktycznym Prezes Urzędu Ochrony Danych Osobowych zważył, co następuje.
Z dniem 25 maja 2018 r. w życie weszły przepisy ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych (Dz.U. 2019 r. poz. 1781), zwanej dalej „u.o.d.o.”.
W myśl art. 160 ust. 1-3 ustawy, postępowania prowadzone przez Generalnego Inspektora Ochrony Danych Osobowych, wszczęte i niezakończone przed dniem wejścia w życie niniejszej ustawy, prowadzone są przez Prezesa Urzędu Ochrony Danych Osobowych na podstawie ustawy, zgodnie z zasadami określonymi w ustawie z dnia 14 czerwca 1960 r. Kodeks postępowania administracyjnego (Dz. U. z 2018 r. poz. 2096 ze zm.), zwanej dalej „k.p.a”. Jednocześnie, czynności dokonane w postępowaniach, wszczętych i niezakończonych przed dniem wejścia w życie przepisów u.o.d.o., pozostają skuteczne.
Od dnia 25 maja 2018 r. zastosowanie ma również rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (Dz. Urz. UE L 119 z 04.05.2016, str. 1 ze zm.), zwane dalej „Rozporządzeniem 2016/679”.
Uwzględniając powyższe stwierdzić należy, że niniejsze postępowanie, wszczęte i niezakończone przed dniem 25 maja 2018 r., prowadzone jest na podstawie ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych zwanej dalej: „ustawą z 1997 roku” (w zakresie dotyczącym przepisów regulujących procedurę administracyjną) oraz na podstawie Rozporządzenia 2016/679 (w zakresie rozstrzygającym o legalności procesu przetwarzania danych osobowych). Wynikający w przepisów prawa sposób prowadzenia postępowań w sprawach rozpoczętych i nie zakończonych przed dniem wejścia w życie nowych regulacji z zakresu ochrony danych osobowych koreluje z ugruntowanym stanowiskiem doktryny, zgodnie z którym „organ administracji publicznej ocenia stan faktyczny sprawy według chwili wydania decyzji administracyjnej. Reguła ta odnosi się także do oceny stanu prawnego sprawy, co oznacza, że organ administracji publicznej wydaje decyzję administracyjną na podstawie przepisów prawa obowiązujących w chwili jej wydania” (Komentarz do ustawy z dnia 14 czerwca 1960 r. Kodeks postępowania administracyjnego (Dz. U. 00.98.1071) M. Jaśkowska, A. Wróbel, Lex., el/2012).
W wyroku z dnia 7 maja 2008 r. w sprawie o sygn. akt I OSK 761/07 Naczelny Sąd Administracyjny stwierdził, iż „badając […] legalność przetwarzania danych osobowych, GIODO ma obowiązek ustalenia, czy na datę wydawania rozstrzygnięcia w sprawie dane konkretnego podmiotu są przetwarzane oraz czy czynione to jest w sposób zgodny z prawem”.
W czasie, gdy miało miejsce zdarzenie opisane przez Skarżących, obowiązywała ustawa z 1997 roku. Przepisem o zasadniczym znaczeniu dla oceny legalności procesu przetwarzania danych osobowych był art. 23 ust. 1 ustawy z 1997 roku, zgodnie z którym przetwarzanie danych osobowych jest zgodne z prawem wówczas gdy administrator danych spełnia jeden z warunków wymienionych w tym artykule, tj. gdy:
- osoba, której dane dotyczą, wyraziła na to zgodę, chyba że chodzi o usunięcie dotyczących jej danych,
- jest to niezbędne dla zrealizowania uprawnienia lub spełnienia obowiązku wynikającego z przepisu prawa,
- jest to konieczne do realizacji umowy, gdy osoba, której dane dotyczą jest jej stroną lub gdy jest to niezbędne do podjęcia działań przed zawarciem umowy na żądanie osoby, której dane dotyczą,
- jest to niezbędne do wykonania określonych prawem zadań realizowanych dla dobra publicznego,
- jest to niezbędne dla wypełnienia prawnie usprawiedliwionych celów realizowanych przez administratorów danych albo odbiorców danych, a przetwarzanie nie narusza praw i wolności osoby, której dane dotyczą.
Należy dodać, że przesłanki te odnoszą się do wszelkich form przetwarzania danych wymienionych w art. 7 ust. 2 ustawy z 1997 roku, w tym do ich udostępnienia. Warunki te są także względem siebie równoprawne, co oznacza, że dla legalności procesu przetwarzania danych wystarczające jest spełnienie jednego z nich.
Obecnie w świetle przepisów Rozporządzenia 2016/679, przetwarzanie danych osobowych jest uprawnione, gdy spełniona zostanie którakolwiek z przesłanek wymienionych w art. 6 ust. 1 Rozporządzenia 2016/679.
Odnosząc się do legalności przetwarzania danych osobowych Skarżącego przez Spółkę wobec konieczności realizacji umowy Prezes Urzędu Ochrony Danych Osobowych nie dopatrzył się nieprawidłowości, ponieważ przetwarzanie osobowych Skarżącego było umotywowane przepisami prawa. Podstawą prawną, która legalizowała przetwarzanie danych osobowych Skarżącego przez Spółkę był art. 23 ust. 1 pkt 3 ustawy z 1997 roku, który uprawniał administratora do przetwarzania danych osobowych osoby, gdy jest to konieczne do realizacji umowy oraz art. 23 ust. 1 pkt. 1 ustawy z 1997 roku, tj. zgoda na wysyłkę newslettera. Przetwarzanie danych osobowych Skarżącego odbywa się obecnie na podstawie art. 6 ust.1 lit. c Rozporządzenia 2016/679 zgodnie z którym „przetwarzanie jest niezbędne do wypełnienia obowiązku prawnego ciążącego na administratorze”. Spółka wskazała ,że zgodnie z art. 86 ust. 1 Ordynacji dane osobowe Skarżącego zawarte na fakturze sprzedaży stanowią dokument księgowy, a spółka jako podatnik jest zobowiązana do przechowywania ksiąg i związanych z ich prowadzeniem dokumentów do czasu upływu okresu przedawnienia zobowiązania podatkowego tj. z upływem 5 lat licząc od końca roku kalendarzowego, w którym upłynął termin płatności podatku. Okres ten upłynie w 2020 roku.
Niezależnie od powyższego wskazać należy, że postępowanie prowadzone przez Prezesa Urzędu jest ukierunkowane na wydanie decyzji administracyjnej na podstawie art. 18 ust. 1 ustawy z 1997 roku. Według tego przepisu w przypadku naruszenia przepisów o ochronie danych osobowych Prezes Urzędu z urzędu lub na wniosek osoby zainteresowanej, w drodze decyzji administracyjnej nakazuje przywrócenie stanu zgodnego z prawem, a w szczególności: 1) usunięcie uchybień, 2) uzupełnienie, uaktualnienie, sprostowanie, udostępnienie lub nieudostępnienie danych osobowych, 3) zastosowanie dodatkowych środków zabezpieczających zgromadzone dane osobowe, 4) wstrzymanie przekazywania danych osobowych do państwa trzeciego, 5) zabezpieczenie danych lub przekazanie ich innym podmiotom, 6) usunięcie danych osobowych.
W niniejszym postępowaniu administracyjnym nie potwierdził się zarzut publikacji przez Spółkę na stronie internetowej serwisu lub innych stronach danych osobowych Skarżącego w informacji o zamówieniu, która miała zawierać dane klienta (imię i nazwisko, adres) oraz informacji o zamawianych towarach. Dane te były widoczne tylko dla Skarżącego jako osoby posiadającej dostęp do konta poczty elektronicznej, na którą został przesłany link zawierający unikalny, zabezpieczający token. Spółka wyjaśniła, że wdrożyła mechanizm kryptograficzny poprzez zastosowanie certyfikatu SSL. W przypadku składania zamówienia przez klienta oraz jego edycji w serwisie, sekcja zabezpieczona jest protokołem szyfrującym. Konto Skarżącego zostało usunięte przez Spółkę z serwisu internetowego.
Biorąc pod uwagę powyższe należy uznać, że nie zaistniała podstawa do wydania decyzji nakazującej przywrócenie stanu zgodnego z prawem przez Prezesa UODO, o której mowa w art. 18 ustawy z 1997 roku. Zasadnym jest wydanie decyzji odmawiającej spełnienia żądania osoby, której dane dotyczą.
W tym stanie faktycznym i prawnym Prezes UODO rozstrzygnął, jak w sentencji.
Na podstawie art. 127 § 3 Kpa od niniejszej decyzji stronie przysługuje prawo do wniesienia wniosku o ponowne rozpatrzenie sprawy w terminie 14 dni od dnia doręczenia decyzji stronie. Jeżeli strona nie chce skorzystać z prawa do złożenia wniosku o ponowne rozpatrzenie sprawy, ma prawo do wniesienia skargi na decyzję do Wojewódzkiego Sądu Administracyjnego w Warszawie w terminie 30 dni od dnia doręczenia jej stronie. Skargę wnosi się za pośrednictwem Prezesa Urzędu Ochrony Danych Osobowych (adres: ul. Stawki 2, 00-193 Warszawa). Wpis od skargi wynosi 200 złotych. Strona ma prawo ubiegania się o prawo pomocy, w tym zwolnienie od kosztów sądowych.