ZKE.440.22.2019
Na podstawie art. 104 § 1 ustawy z dnia 14 czerwca 1960 r. Kodeks postępowania administracyjnego (Dz. U. z 2020 r., poz. 256), art. 160 ust. 1 i 2 ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych (Dz. U. z 2019 r., poz. 1781) w związku z art. 12 pkt 2 i art. 22 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. z 2016 r., poz. 922 ze zm.) oraz art. 6 ust. 1 lit. c) i lit. f) oraz art. 57 ust. 1 lit. a) i lit. f) Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych osobowych) (Dz. Urz. UE L 119 z 04.05.2016 r. str. 1 oraz Dz. Urz. UE L 127 z 23.05.2018 r. str. 2), po przeprowadzeniu postępowania administracyjnego w sprawie skargi Pani K. K., na przetwarzanie jej danych osobowych w celach marketingowych przez O. S.A. oraz udostępnienie ich innym podmiotom ze Spółką współpracującym, Prezes Urzędu Ochrony Danych Osobowych
odmawia uwzględnienia wniosku.
UZASADNIENIE
Do Prezesa Urzędu Ochrony Danych Osobowych (uprzednio: Generalnego Inspektora Ochrony Danych Osobowych) wpłynęła skarga Pani K. K., zwanej dalej: Skarżącą, na przetwarzanie jej danych osobowych w celach marketingowych przez O. S.A., zwaną dalej także: Spółką, oraz na udostępnienie tych danych innym podmiotom ze Spółką współpracującym. Skarżąca podniosła, że pomimo skierowania do Spółki w dniu […] stycznia 2013 r. pisemnego żądania zaprzestania przetwarzania jej danych osobowych do celów marketingowych, zarówno pracownicy Spółki, jak i innych podmiotów świadczących usługi na jej rzecz, wielokrotnie kontaktowali się ze Skarżącą telefonicznie, celem przestawienia oferty handlowej O. S.A. Pomimo kolejnych zgłoszeń reklamacyjnych Skarżącej, Spółka nie podjęła skutecznych działań zmierzających do spełnienia jej żądania.
W związku z przedstawionymi w skardze zdarzeniami, Skarżąca wniosła do organu nadzorczego o podjęcie stosownych działań w celu (cyt.) „wyegzekwowania obowiązku zaprzestania telefonicznych kontaktów w celach marketingowych przez spółkę O. i podmioty z nią współpracujące”.
W toku postępowania wyjaśniającego przeprowadzonego w niniejszej sprawie, Prezes Urzędu Ochrony Danych Osobowych ustalił następujący stan faktyczny:
- O. S.A. (następca prawny P. Sp. z o.o.) przetwarzał dane osobowe Skarżącej, pozyskane w związku zawarciem umowy o świadczenie usług telekomunikacyjnych nr […] z dnia […] lutego 2000 r. w zakresie numerów telefonu: […] oraz […].
- W dniach […] grudnia 2012 r., […] grudnia 2012 r. oraz […] stycznia 2013 r. pracownicy Spółki kilkakrotnie kontaktowali się telefonicznie ze Skarżącą w celu przedstawienia oferty marketingowej dotyczącej usług operatora. Działania powyższe znajdowały wówczas uzasadnienie w udzielonej przez Skarżącą zgodzie na przetwarzanie jej danych osobowych do celów marketingowych, wyrażonej w zawartej ze Spółką umowie.
- Pismem z dnia […] stycznia 2013 r., złożonym przez Skarżącą osobiście w salonie firmowym O. S.A., ww. wyraziła sprzeciw wobec przetwarzania jej danych osobowych w celach marketingowych oraz zażądała od Spółki informacji o podjętych w tym zakresie środkach zaradczych.
- Pismem z dnia […] lutego 2013 r. Spółka powiadomiła Skarżącą, iż podjęte zostały czynności w celu wycofania danych osobowych Skarżącej z bazy klientów objętych działalnością reklamową Spółki, zaś numer telefonu Skarżącej nie będzie brany pod uwagę przy tworzeniu nowych kampanii marketingowych, ani powierzany partnerom Spółki bądź podmiotom z nią współpracującym.
- Pomimo złożonych przez Spółkę zapewnień, w dniu […] marca 2013 r. Skarżąca ponownie otrzymała telefonicznie informację reklamową o usługach oferowanych przez operatora, wobec czego ponownie, pismem datowanym na dzień […] marca 2013 r., sprzeciwiła się wobec takiego sposobu przetwarzania jej danych osobowych.
- W odpowiedzi na reklamację Skarżącej, pismem z dnia […] kwietnia 2013 r. Spółka wyjaśniła, że z powodu jednostkowego błędu ludzkiego numery telefonu Skarżącej zostały włączone do baz danych dedykowanych do działań typu telesales. Jednocześnie Spółka oświadczyła, że na koncie abonenckim Skarżącej wprowadzono w dniu […] lutego 2013 r. stosowne modyfikacje w zakresie wycofania zgód na przetwarzanie numerów telefonu: […] oraz […] do celów marketingowych. Operator wskazał przy tym, że z uwagi na złożoność opisywanego procesu, po wprowadzeniu zmian mogły jeszcze mieć miejsce pojedyncze przypadki kontaktu pracowników Spółki ze Skarżącą.
- Wbrew powyższym zapewnieniom, w dniach […] maja 2013 r. oraz […] listopada 2013 r. występujący w imieniu Spółki – a zatrudnieni przez współpracującą z O. S.A. firmę zewnętrzną – doradcy klienta, dwukrotnie kontaktowali się telefonicznie ze Skarżącą celem przedstawienia oferty handlowej Spółki. W związku z ww. zdarzeniami, pismem z dnia […] listopada 2013 r. Skarżąca zwróciła się do operatora telefonii komórkowej z żądaniem wskazania nazwy podmiotu, który wszedł w posiadanie jej danych osobowych oraz powodów, dla których Spółka dane te udostępniła.
- Pismem z dnia […] grudnia 2013 r. Spółka wyjaśniła, iż opisane kontakty marketingowe powodowane były błędem natury technicznej, w wyniku którego numer telefonu Skarżącej włączony został do bazy danych firmy zewnętrznej współpracującej z O. S.A. w celu sprzedaży jej usług. Skarżąca ponownie została zapewniona o tym, iż na jej koncie abonenckim dokonano stosownych aktualizacji zgód marketingowych.
- W dniu […] grudnia 2013 r. ze Skarżącą skontaktował się telefonicznie – w celu przedstawienia oferty handlowej – pracownik Działu Promocyjnego Centrali O. S.A, w związku z czym Skarżąca po raz kolejny wystąpiła do Spółki z pisemnym żądaniem złożenia wyjaśnień w zakresie przestrzegania przez Spółkę zasad ochrony danych osobowych oraz udostępnienia nazw podmiotów, którym Spółka przekazała jej dane osobowe.
- Pismem datowanym na dzień […] stycznia 2014 r. Spółka poinformowała, że przetwarza dane osobowe abonentów w celach marketingu produktów własnych oraz marketingu produktów i usług współpracujących ze Spółką podmiotów, w szczególności z zakresu finansów, bankowości i ubezpieczeń. Zgodnie z art. 31 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych, na podstawie zawartych z tymi podmiotami umów, Spółka powierzyła im dane osobowe Skarżącej. Prośba Skarżącej o enumeratywne ich wskazanie została natomiast skierowana do kompetentnej jednostki Spółki w celu uzyskania stosownego wykazu.
- W pisemnych wyjaśnieniach z dnia […] lutego 2015 r., złożonych przed Prezesem Urzędu Ochrony Danych Osobowych, Spółka wskazała, że na dzień datowania ww. pisma nie przetwarza już danych osobowych Skarżącej do celów marketingowych. Nadto dane te nie były udostępniane odbiorcom danych, zdefiniowanym w art. 7 pkt 6 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych. Dostęp do danych Skarżącej, przetwarzanych w zbiorze abonentów usług telekomunikacyjnych O. S.A. mogły uzyskiwać jedynie podmioty, którym powierzono przetwarzanie danych osobowych, zgodnie z art. 31 ww. ustawy. Podmioty te mogły przetwarzać dane z wymienionego zbioru tylko w celach, jakie zostały zdefiniowane przez Administratora Danych dla tego zbioru, np. w celu utrzymywania infrastruktury sieci telekomunikacyjnej, utrzymania infrastruktury teleinformatycznej, obsługi kanałów kontaktów z klientem (przyjmowania zamówień, zgłoszeń, skarg czy reklamacji oraz obsługi docelowej tychże), obsługi płatności, sprzedaży usług telekomunikacyjnych, drukowania i kopertowania korespondencji do klienta czy wreszcie realizacji przesyłek listowych i kurierskich.
- Z dniem […] maja 2015 r. Skarżąca zaprzestała korzystania z usług telekomunikacyjnych świadczonych przez Spółkę w zakresie numeru telefonu […], obsługiwanego w ramach usługi przedpłaconej – tzw. prepaid. W zakresie numeru telefonu: […] Skarżąca podpisała natomiast w dniu […] października 2017 r. aneks do umowy o świadczenie usług telekomunikacyjnych nr […], wydłużając okres jej obowiązywania do dnia […] października 2019 r. Stosownie do zapisu § 7 pkt 8 aneksu, Skarżąca wyraziła zgodę na „kontakt na numery telefoniczne dostępne O. S.A. w celu przedstawienia oferty O.”
- Po upływie terminu obowiązywania umowy, wskutek pisemnej dyspozycji Skarżącej w przedmiocie rezygnacji z dalszego korzystania z usług świadczonych na jej rzecz przez Spółkę, numer tel. […] został dezaktywowany z dniem […] listopada 2019 r.
- Obecnie dane osobowe Skarżącej w zakresie: imienia, nazwiska, numeru PESEL, numeru i serii dowodu osobistego, adresu, adresu poczty elektronicznej oraz numerów usług telekomunikacyjnych Spółka przetwarza wyłącznie w celu wykonania ciążących na niej obowiązków prawnych, w szczególności zaś w celu: a) udzielania odpowiedzi na reklamacje w terminie i formie przewidzianej przepisami prawa; b) wystawiania i przechowywania faktur oraz dokumentów księgowych oraz c) zapewnienia bezpieczeństwa sieci, w tym retencji danych zgodnie z przepisami Prawa Telekomunikacyjnego, a nadto do celów wynikających z prawnie uzasadnionych interesów realizowanych przez Spółkę, w tym ustalania, obrony i dochodzenia roszczeń, związanych z realizacją umowy o świadczenie usług telekomunikacyjnych nr […] z dnia […] lutego 2000 r., zawartej ze Skarżącą. Tym samym, podstawę prawną przetwarzania danych osobowych Skarżącej przez Spółkę stanowi art. 6 ust. 1 lit. c) i f) Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych osobowych) (Dz. Urz. UE L 119 z 04.05.2016 r. str. 1 oraz Dz. Urz. UE L 127 z 23.05.2018r. str. 2)
- Dane osobowe Skarżącej nie są aktualnie przetwarzane przez Spółkę, ani podmioty z nią współpracujące w celu marketingu usług i produktów własnych.
Po zapoznaniu się z całością zgromadzonego w sprawie materiału dowodowego, Prezes Urzędu Ochrony Danych Osobowych, zwany dalej także: Prezesem UODO zważył, co następuje.
Z dniem wejścia w życie ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych (Dz. U. z 2019 r. poz. 1781), zwanej dalej „u.o.d.o. 2018”, tj. z dniem 25 maja 2018 r., Biuro Generalnego Inspektora Ochrony Danych Osobowych stało się Urzędem Ochrony Danych Osobowych. Postępowania prowadzone przez Generalnego Inspektora Ochrony Danych Osobowych, wszczęte i niezakończone przed dniem 25 maja 2018 r. prowadzone są przez Prezesa Urzędu Ochrony Danych Osobowych, na podstawie ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz.U. z 2016 r. poz. 922 ze zm.), zwanej dalej: „u.o.d.o. 1997” – zgodnie z zasadami określonymi w ustawie z dnia 14 czerwca 1960 r. Kodeks postępowania administracyjnego (Dz. U. z 2020 r., poz. 256), zwanej dalej „k.p.a.”. Wszelkie czynności podjęte przez Generalnego Inspektora Ochrony Danych Osobowych przed dniem 25 maja 2018 r. pozostają skuteczne (art. 160 ust. 1-3 u.o.d.o. 2018).
Jednocześnie, od dnia 25 maja 2018 r. zastosowanie ma rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (Dz. Urz. UE L 119 z 04.05.2016, str. 1 ze zm.), zwane dalej „Rozporządzeniem 2016/679”.
Stosownie do art. 57 ust. 1 Rozporządzenia 2016/679, bez uszczerbku dla innych zadań określonych na jego mocy, każdy organ nadzorczy na swoim terytorium monitoruje i egzekwuje stosowanie tego rozporządzenia (lit. a) oraz rozpatruje skargi wniesione przez osobę, której dane dotyczą, lub przez umocowany przez nią – zgodnie z art. 80 Rozporządzeniem 2016/679 – podmiot, organizację lub zrzeszenie, w odpowiednim zakresie prowadzi postępowania w przedmiocie tych skarg i w rozsądnym terminie informuje skarżącego o postępach i wynikach tych postępowań (lit. f).
W tym miejscu wskazać również należy, że Prezes Urzędu Ochrony Danych Osobowych wydając decyzję administracyjną zobowiązany jest do rozstrzygania w oparciu o stan faktyczny istniejący w chwili wydania tej decyzji. Jak podnosi doktryna, „organ administracji publicznej ocenia stan faktyczny sprawy według chwili wydania decyzji administracyjnej. Reguła ta odnosi się także do oceny stanu prawnego sprawy, co oznacza, że organ administracji publicznej wydaje decyzję administracyjną na podstawie przepisów prawa obowiązujących w chwili jej wydania (…). Rozstrzyganie w postępowaniu administracyjnym polega na zastosowaniu obowiązującego prawa do ustalonego stanu faktycznego sprawy administracyjnej. W ten sposób organ administracji publicznej realizuje cel postępowania administracyjnego, jakim jest urzeczywistnienie obowiązującej normy prawnej w zakresie stosunków administracyjno-prawnych, gdy stosunki te tego wymagają” (Komentarz do ustawy z dnia 14 czerwca 1960 r. Kodeks postępowania administracyjnego, M. Jaśkowska, A. Wróbel, Lex., el/2012). Również Naczelny Sąd Administracyjny – w wyroku z dnia 7 maja 2008 r. w sprawie o sygn. akt I OSK 761/07 stwierdził, iż cyt.: „badając (…) legalność przetwarzania danych osobowych, GIODO ma obowiązek ustalenia, czy na datę wydawania rozstrzygnięcia w sprawie dane konkretnego podmiotu są przetwarzane oraz czy czynione to jest w sposób zgodny z prawem”.
Mając powyższe na uwadze, Prezes UODO dokonał na podstawie zgromadzonego w niniejszej sprawie materiału dowodowego, oceny przetwarzania danych osobowych Skarżącej w kontekście przepisów Rozporządzenia 2016/679, ale i obowiązujących w dacie złożenia skargi przepisów u.o.d.o. 1997.
Zgodnie z brzmieniem przepisu art. 23 ust. 1 u.o.d.o. 1997, obowiązującej w okresie, którego dotyczyła skarga, przetwarzanie danych osobowych było dopuszczalne, gdy: osoba, której dane dotyczą, wyraziła na to zgodę, chyba że chodziło o usunięcie dotyczących jej danych (pkt 1), było to niezbędne dla zrealizowania uprawnienia lub spełnienia obowiązku wynikającego z przepisu prawa (pkt 2), było to konieczne do realizacji umowy, gdy osoba, której dane dotyczą, była jej stroną lub gdy było to niezbędne do podjęcia działań przed zawarciem umowy na żądanie osoby, której dane dotyczą (pkt 3), było to niezbędne do wykonania określonych prawem zadań realizowanych dla dobra publicznego (pkt 4) lub było to niezbędne dla wypełnienia prawnie usprawiedliwionych celów realizowanych przez administratorów danych albo odbiorców danych, a przetwarzanie nie naruszało praw i wolności osoby, której dane dotyczą (pkt 5). Przepis art. 23 ust. 4 u.o.d.o. 1997 stanowił zaś, że za „prawnie usprawiedliwiony cel”, o którym mowa w art. 23 ust. 1 pkt 5, uważa się w szczególności marketing bezpośredni własnych produktów lub usług administratora danych.
Art. 32 ust. 1 pkt 8 u.o.d.o. 1997 przyznawał osobie, której dane dotyczą, uprawnienie do wniesienia sprzeciwu wobec przetwarzania jej danych osobowych w przypadkach wymienionych w art. 23 ust. 1 pkt 4 i 5. Oznacza to, że osoba, której dane dotyczą, mogła wnieść do administratora danych sprzeciw wobec przetwarzania jej danych osobowych w celu marketingowym. Jednocześnie z dyspozycji art. 32 ust. 3 u.o.d.o. 1997 wynikało, że po odnotowaniu takiego sprzeciwu dalsze przetwarzanie kwestionowanych danych było niedopuszczalne.
Zgodnie z obecnie obowiązującym stanem prawnym (tj. od dnia 25 maja 2018 r., w którym rozpoczęto stosowanie przepisów Rozporządzenia 2016/679) przetwarzanie danych osobowych jest zgodne z prawem, gdy administrator danych legitymuje się co najmniej jedną z określonych w art. 6 ust. 1 Rozporządzenia 2016/679, materialnych przesłanek przetwarzania danych osobowych. Według wyżej wskazanego przepisu, przetwarzanie danych osobowych jest zgodne z prawem wyłącznie, gdy zostanie spełniony jeden z wymienionych warunków: a) osoba, której dane dotyczą wyraziła zgodę na przetwarzanie swoich danych osobowych w jednym lub większej liczbie określonych celów; b) przetwarzanie jest niezbędne do wykonywania umowy, której stroną jest osoba, której dane dotyczą, lub do podjęcia działań na żądanie osoby, której dane dotyczą, przed zawarciem umowy; c) przetwarzanie jest niezbędne do wypełnienia obowiązku prawnego ciążącego na administratorze; d) przetwarzanie jest niezbędne do ochrony żywotnych interesów osoby, której dane dotyczą, lub innej osoby fizycznej; e) przetwarzanie jest niezbędne do wykonania zadania realizowanego w interesie publicznym lub w ramach sprawowania władzy publicznej powierzonej administratorowi f) przetwarzanie jest niezbędne do celów wynikających z prawnie uzasadnionych interesów realizowanych przez administratora lub przez stronę trzecią, z wyjątkiem sytuacji, w których nadrzędny charakter wobec tych interesów mają interesy lub podstawowe prawa i wolności osoby, której dane dotyczą, wymagające ochrony danych osobowych, w szczególności gdy osoba, której dane dotyczą, jest dzieckiem.
W motywie 40 Rozporządzenia 2016/679 podkreślono, że aby przetwarzanie danych było zgodne z prawem, powinno się odbywać na podstawie zgody osoby, której dane dotyczą, lub na innej uzasadnionej podstawie przewidzianej prawem albo w rozporządzeniu, albo w innym akcie prawnym Unii lub w prawie państwa członkowskiego, o których mowa w niniejszym rozporządzeniu, w tym musi się ono odbywać z poszanowaniem obowiązku prawnego, któremu podlega administrator, lub z poszanowaniem umowy, której stroną jest osoba, której dane dotyczą, lub w celu podjęcia działań na żądanie osoby, której dane dotyczą, przed zawarciem umowy.
W świetle motywu 47 Rozporządzenia 2016/679 za działanie wykonywane w prawnie uzasadnionym interesie, o którym mowa w jego art. 6 ust. 1 lit. f), należy uznać między innymi przetwarzanie danych osobowych do celów marketingu bezpośredniego.
Z kolei przepisy art. 6 ust. 1-3 Rozporządzenia 2016/679, analogicznie do uprzednio obowiązującej regulacji art. 32 ust. 1 pkt 8 i art. 32 ust. 3 u.o.d.o. 1997, przewidują prawo wniesienia przez osobę, której dane dotyczą, sprzeciwu wobec przetwarzania jej danych osobowych na potrzeby marketingu bezpośredniego administratora, skutkującego niedopuszczalnością dalszego przetwarzania w tym celu.
Odnosząc wyżej przywołane przepisy do stanu faktycznego niniejszej sprawy stwierdzić należy, że w stanie prawnym obowiązującym w okresie, którego dotyczyła skarga, Spółka dopuściła się naruszenia przepisów o ochronie danych osobowych, polegającego na nieuprawnionym przetwarzaniu danych osobowych Skarżącej w zakresie numerów telefonu: […] oraz […] – które to Spółka, jak również współpracujące ze Spółką podmioty wykorzystywały w celach marketingowych bez zgody Skarżącej. Niewątpliwie, obowiązkiem Spółki wynikającym z przedstawionych powyżej regulacji było stosowne odnotowanie w swoich systemach informatycznych oraz bazach danych informacji o sprzeciwie Skarżącej wobec przetwarzania jej danych osobowych na potrzeby marketingu usług czy produktów własnych, a w konsekwencji – zaprzestanie przetwarzania jej danych osobowych w tychże celach.
Jak wynika z ustalonego stanu faktycznego, sprzeciw taki Skarżąca wyraziła w dniu […] stycznia 2013 r., Spółka zaś poinformowała Skarżącą o uwzględnieniu jej żądania i podjęciu stosownych działań w celu wycofaniu zgód na przetwarzanie jej danych osobowych. Deklarowane przez Spółkę zmiany miały zostać wprowadzone na koncie abonenckim Skarżącej z dniem […] lutego 2013 r. Pomimo jednak złożonych zapewnień, pracownicy Spółki, jak i innych podmiotów, którym Spółka powierzyła na podstawie wiążących ją umów przetwarzanie danych osobowych Skarżącej, kontaktowali się w dalszym ciągu telefonicznie ze Skarżącą, celem przedstawienia oferty operatora. Wbrew twierdzeniom Spółki, incydentów tych nie można uznać za jednostkowe, w szczególności wobec faktu, iż powtarzały się one wielokrotnie na przestrzeni kolejnych dziesięciu miesięcy liczonych od dnia, w którym Skarżąca wniosła sprzeciw wobec przetwarzania jej danych osobowych. Zdaniem Prezesa UODO, powyższe jednoznacznie dowodzi, że Spółka nie dokonała należycie korekty w systemie i nie usunęła danych Skarżącej z baz danych, w których gromadzone były informacje o klientach, wobec których Spółka kierowała telefonicznie kampanie reklamowe. Tym samym należy uznać, iż w okresie od dnia […] stycznia 2013 r. do dnia […] grudnia 2013 r. (tj. dnia, w którym miał miejsce ostatni kontakt ze strony pracowników Spółki), działanie administratora, polegające na przetwarzaniu danych osobowych Skarżącej w celach marketingowych, nie znajdowało podstawy w obowiązujących wówczas przepisach prawa.
Niezależnie jednak od powyższego wskazać należy, iż aktualnie – to jest w stanie faktycznym istniejącym w chwili wydania niniejszej decyzji – Spółka przetwarza dane osobowe Skarżącej wyłącznie w celu wykonania ciążących na niej obowiązków prawnych, w tym m.in. w celu udzielania odpowiedzi na reklamacje, wystawiania i przechowywania faktur oraz dokumentów księgowych oraz zapewnienia bezpieczeństwa sieci, w tym retencji danych zgodnie z przepisami Prawa Telekomunikacyjnego, a nadto do celów wynikających z prawnie uzasadnionych interesów realizowanych przez Spółkę, zwłaszcza w celu obrony i dochodzenia roszczeń, związanych z realizacją zawartej ze Skarżącą umowy o świadczenie usług telekomunikacyjnych nr […] z dnia […] lutego 2000 r. Podstawę prawną przetwarzania danych osobowych Skarżącej przez Spółkę stanowi tym samym obecnie art. 6 ust. 1 lit. c) i f) Rozporządzenia 2016/679.
Odnosząc się natomiast do wniosku Skarżącej, dotyczącego egzekucji „obowiązku zaprzestania telefonicznych kontaktów, inicjowanych przez podmioty ze Spółką współpracujące” wskazać należy, iż zgodnie z wyjaśnieniami Spółki, dostęp do danych osobowych Skarżącej, przetwarzanych w zbiorze abonentów usług telekomunikacyjnych O. S.A., mogły mieć jedynie podmioty, którym powierzono przetwarzanie danych osobowych zgodnie z art. 31 u.o.d.o. 1997, w myśl którego administrator danych mógł powierzyć innemu podmiotowi, w drodze umowy zawartej na piśmie, przetwarzanie danych (ust. 1). Jak wyjaśniła Spółka, podmioty współpracujące z nią na ww. zasadach, mogły przetwarzać dane klientów Spółki wyłącznie w celach, jakie zostały przez nią zdefiniowane, w tym również w celach marketingowych. Jak wynika ze zgromadzonego w sprawie materiału dowodowego, Skarżąca dwukrotnie, tj. w dniach: […] maja 2013 r. oraz […] listopada 2013 r. otrzymała telefoniczną informację o oferowanych przez Spółkę usługach, przy czym kontakt telefoniczny zainicjowany został w obu tych przypadkach przez pracowników podmiotów zewnętrznych, nie zaś pracowników operatora telefonii komórkowej. Niewątpliwie powyższe działania stanowiły naruszenie praw Skarżącej, albowiem miały miejsce już po wniesieniu przez nią sprzeciwu wobec przetwarzania dotyczących jej danych osobowych.
Pomimo stwierdzonych w tym zakresie uchybień wyjaśnić jednak należy, iż w sprawie nie ustalono innych, aniżeli ww., przypadków przetwarzania danych osobowych Skarżącej przez podmioty, o których mowa w art. 31 u.o.d.o. 1997. Tym samym wywieść należy, iż opisywane przez Skarżącą zdarzenia miały charakter incydentalny i nie powtarzały się z dalszym okresie obowiązywania umowy o świadczenie usług telekomunikacyjnych, zawartej ze Spółką. Wobec powyższego brak jest podstaw do podjęcia przez organ nadzorczy jakichkolwiek dalszych działań w zakresie żądań Skarżącej wymienionych w złożonej przez nią skardze.
W związku z poczynionymi ustaleniami wskazać należy, że dalsze prowadzenie przez Prezesa Urzędu Ochrony Danych Osobowych postępowania administracyjnego, zainicjowanego skargą na nieprawidłowości w przetwarzaniu danych osobowych Skarżącej przez Spółkę oraz podmioty z nią współpracujące, ukierunkowanego na wydanie decyzji administracyjnej na podstawie art. 18 ust. 1 ustawy 1997, jest niezasadne.
Stosownie do brzmienia ww. przepisu, w przypadku naruszenia przepisów o ochronie danych osobowych, Prezes Urzędu Ochrony Danych Osobowych z urzędu lub na wniosek osoby zainteresowanej, w drodze decyzji administracyjnej, nakazuje przywrócenie stanu zgodnego z prawem, a w szczególności: usunięcie uchybień (1), uzupełnienie, uaktualnienie, sprostowanie, udostępnienie lub nieudostępnienie danych osobowych (2), zastosowanie dodatkowych środków zabezpieczających zgromadzone dane osobowe (3), wstrzymanie przekazywania danych osobowych do państwa trzeciego (4), zabezpieczenie danych lub przekazanie ich innym podmiotom (5) lub usunięcie danych osobowych (6). Z brzmienia art. 18 ust. 1 ustawy 1997, a zarazem z definicji decyzji administracyjnej – jako aktu rozstrzygającego w sposób władczy o prawach i obowiązkach stron postępowania w ustalonym i aktualnym na chwilę jego wydania stanie faktycznym i prawnym – wynika, że organ ochrony danych osobowych nie dokonuje oceny zdarzeń przeszłych, nie kontynuowanych w chwili orzekania. Decyzja Prezesa UODO jest bowiem instrumentem służącym przywróceniu stanu zgodnego z prawem w procesie przetwarzania danych, realizowanym w chwili wydania decyzji.
Biorąc pod uwagę powyższe, należy stwierdzić, iż obecnie nie ma podstaw dla sformułowania nakazu, o którym mowa w art. 18 ust. 1 ustawy, albowiem dane osobowe Skarżącej nie są już obecnie przetwarzane przez Spółkę w celach marketingowych, a jedynie w celu wykonania ciążących na niej obowiązków prawnych, co zgodne jest z obowiązującymi przepisami prawa i nie wymaga zgody Skarżącej. Z uwagi na powyższe, postępowanie administracyjne w niniejszej sprawie należało zakończyć decyzją o odmowie uwzględnienia wniosku Skarżącej.
Prezes UODO wskazuje natomiast, iż ewentualną regulacją na gruncie, której Skarżąca może poszukiwać ochrony prawnej oraz dochodzić swych roszczeń jest ustawa z dnia 23 kwietnia 1964 r. Kodeks cywilny (Dz. U. z 2019 r., poz. 1145) zwana dalej „k.c.”. Stosownie bowiem do treści art. 23 k.c. niezależnie od ochrony przewidzianej w innych przepisach, dobra osobiste człowieka, w tym również prawo do prywatności, pozostają pod ochroną prawa cywilnego. Przepis z art. 24 k.c. gwarantuje osobie, której dobro osobiste zostało zagrożone, uprawnienie do wystąpienia z żądaniem zaniechania działania naruszającego dobro osobiste, a w razie już dokonanego naruszenia żądania, ażeby osoba, która dopuściła się naruszenia, dopełniła czynności potrzebnych do usunięcia jego skutków. Jednocześnie w myśl art. 448 k.c., w razie naruszenia dobra osobistego sąd może przyznać temu, czyje dobro zostało naruszone odpowiednią sumę tytułem zadośćuczynienia za doznaną krzywdę lub na jego żądanie zasądzić odpowiednią sumę pieniężną na wskazany przez niego cel społeczny, niezależnie od innych środków potrzebnych do usunięcia skutków naruszenia. Dlatego też, jeżeli w ocenie Skarżącej doszło do naruszenia jej dóbr osobistych poprzez przesyłanie do niej informacji marketingowych bez podstawy prawnej, może ona dochodzić swoich roszczeń z tego tytułu w drodze powództwa cywilnego wytoczonego przed właściwy miejscowo sąd powszechny.
W tym stanie faktycznym i prawnym Prezes Urzędu Ochrony Danych Osobowych rozstrzygnął, jak na wstępie.
Na podstawie art. 127 § 3 k.p.a. od decyzji przysługuje stronie prawo do wniesienia wniosku o ponowne rozpatrzenie sprawy w terminie 14 dni od dnia jej doręczenia stronie. Jeżeli strona nie chce skorzystać z prawa do złożenia wniosku o ponowne rozpatrzenie sprawy, ma prawo do wniesienia skargi na decyzję do Wojewódzkiego Sądu Administracyjnego w Warszawie w terminie 30 dni od dnia doręczenia jej stronie. Skargę wnosi się za pośrednictwem Prezesa Urzędu Ochrony Danych Osobowych (adres: ul. Stawki 2, 00-193 Warszawa). Jednakże w związku z obowiązującym w dniu wydania decyzji stanem epidemii, zgodnie z art. 15zzr ust. 1 pkt 1 ustawy z dnia 2 marca 2020 r. o szczególnych rozwiązaniach związanych z zapobieganiem, przeciwdziałaniem i zwalczaniem COVID-19, innych chorób zakaźnych oraz wywołanych nimi sytuacji kryzysowych (Dz. U. z 2020 r. poz. 374), bieg tego terminu aktualnie nie rozpocznie się; zacznie on biec w dniu następującym po ostatnim dniu obowiązywania stanu epidemii lub następującego po nim bezpośrednio ewentualnego stanu zagrożenia epidemicznego.
Wpis od skargi wynosi 200 złotych. Strona ma prawo ubiegania się o prawo pomocy, w tym zwolnienie od kosztów sądowych.