ZSPR.440.1055.2019
Na podstawie art. 104 § 1 ustawy z dnia 14 czerwca 1960 r. Kodeks postępowania administracyjnego (Dz. U. z 2021 r., poz. 735 z późn. zm.) w zw. z art. 6, art. 12 ust. 2 i 3, art. 17 ust. 1 i art. 58 ust. 2 lit b rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz. Urz. UE L 119 z 4.05.2016, str. 1, Dz. Urz. UE L 127 z 23.05.2018, str. 2 oraz Dz. Urz. UE L 74 z 4.03.2021, str. 35), art. 7 ust 1 ustawy o ochronie danych osobowych z dnia 10 maja 2018 roku (Dz. U. z 2019 r. poz. 1781), po przeprowadzeniu postępowania administracyjnego w sprawie skargi Pana R. P., zam. w Ł., na nieprawidłowości w procesie przetwarzania jego danych osobowych przez B. Spółka Akcyjna z siedzibą w W. (następca prawny Z. Sp. z o.o. z siedzibą w W.), polegające na nieudzieleniu odpowiedzi w zakresie wniosku o usunięcie jego danych osobowych, Prezes Urzędu Ochrony Danych Osobowych
udziela B. Spółka Akcyjna z siedzibą w W. upomnienia za naruszenie art. 12 ust. 3 w zw. z art. 17 ust. 1 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz. Urz. UE L 119 z 4.05.2016, str. 1, Dz. Urz. UE L 127 z 23.05.2018, str. 2 oraz Dz. Urz. UE L 74 z 4.03.2021, str. 35), polegające na nieudzieleniu Panu R. P., zam. w Ł., odpowiedzi na jego żądanie usunięcia danych.
Uzasadnienie
Do Urzędu Ochrony Danych Osobowych wpłynęła skarga Pana R. P., zam. w Ł., zwanego dalej: Skarżącym, na nieprawidłowości w procesie przetwarzania jego danych osobowych przez B. Spółka Akcyjna z siedzibą w W. (następca prawny Z. Sp. z o.o. z siedzibą w W.), zwaną dalej: Spółką, polegające na nieudzieleniu odpowiedzi Skarżącemu w zakresie wniosku o usunięcie jego danych osobowych. Skarżący zwrócił się do ówczesnego administratora (F. Sp. z o.o.) z wnioskiem dotyczącym usunięcia jego danych osobowych, żądając jednocześnie potwierdzenia jego realizacji.
W toku przeprowadzonego postępowania wyjaśniającego w niniejszej sprawie Prezes Urzędu Ochrony Danych Osobowych ustalił, co następuje.
- W dniu […] stycznia 2019 r. na adres e-mail (…) siłowni […] – […] Skarżący wysłał maila z żądaniem usunięcia jego danych osobowych z bazy danych siłowni ( dowód: pismo Skarżącego z dnia […] marca 2019 r., wiadomość e-mail z dnia […] stycznia 2019 r.).
- Na dzień złożenia żądania Skarżącego dotyczącego usunięcia jego danych osobowych, siłownia pod marką […] zarządzana była przez F. Sp. z o. o. z siedzibą w W. Na skutek przeprowadzenia w trybie art. 492 § 1 pkt 1 Kodeksu spółek handlowych (Dz.U. z 2020 r. poz 1526 t.j.), dalej jako: Ksh, procedury połączenia przez przejęcie, tj. przez przeniesienie na Z. Sp. z o.o. z siedzibą w W., jako spółkę przejmującą, całego majątku F. Sp. z o.o., nastąpiło połączenie Z. Sp. z o.o. oraz F. Sp. z o.o. Następnie, w dniu […] listopada 2019 r., przeprowadzono procedurę połączenia przez przejęcie, tj. przez przeniesienie na B. Spółka Akcyjna z siedzibą w W., jako spółkę przejmującą, całego majątku spółki Z. Sp. z o.o. Na skutek opisanej powyżej procedury połączenia, B. wstąpiła we wszystkie prawa i obowiązki Z. Sp. z o. o. (dowód: wyjaśnienia Spółki z dnia […] lutego 2020 r., wydruk KRS Spółek).
- Zgodnie ze złożonymi wyjaśnieniami, w dacie złożenia wniosku przez Skarżącego do ówczesnego administratora danych tj. F. Sp. z o.o., jego dane nie były przetwarzane w systemach siłowni […] (dowód: wyjaśnienia Spółki z dnia […] lutego 2020 r.).
- Na wniosek Skarżącego z dnia […] stycznia 2019 r., odpowiedzi udzielił mu Z. Sp. z o.o. (jako ówczesny administrator) w dniu […] czerwca 2019 r. informując go, iż nie przetwarzała i nie przetwarza danych osobowych Skarżącego w systemach siłowni pod marką […] (dowód: wyjaśnienia Spółki z dnia […] lutego 2020 r.).
- Spółka wskazała, iż wiadomość e-mail Skarżącego została zakwalifikowana przez filtr antyspamowy serwera pocztowego jako wiadomość naruszająca zasady bezpieczeństwa, skutkiem czego było automatyczne przeniesienie wiadomości na listę spam, a następstwem tego było pominięcie wskazanej wiadomości. Zgodnie z zasadami bezpieczeństwa maile takie traktowane są jako zagrożenie dla systemu pocztowego. Spółka podjęła działania mające na celu zapobieżenie takim sytuacjom w przyszłości poprzez zmianę konfiguracji skrzynek pocztowych, do których dostęp mają upoważniani pracownicy oraz wprowadziła procedurę obowiązkowego przeglądania folderu spam i usuwania z niego wiadomości dopiero po ich weryfikacji przez pracownika (dowód: wyjaśnienia Spółki z dnia […] lutego 2020 r.).
Po rozpatrzeniu zgromadzonego w sprawie materiału dowodowego Prezes Urzędu Ochrony Danych Osobowych zważył, co następuje.
Niniejsze postępowanie dotyczyło przetwarzania danych osobowych Skarżącego w systemach (bazach siłowni pod marką […]) zarządzanych przez F. Sp. z o. o. Zgodnie ze wskazanym w punkcie 2 stanu faktycznego połączeniem przez przejęcie w trybie art. 492 § 1 Ksh tj. przeniesieniem na B. Spółka Akcyjna z siedzibą w W. praw i obowiązków poprzednich administratorów, obecnym administratorem danych jest B. Spółka Akcyjna z siedzibą w W.
Zgodnie z art. 17 ust. 1 lit. a rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz. Urz. UE L 119 z 4.05.2016, str. 1, Dz. Urz. UE L 127 z 23.05.2018, str. 2 oraz Dz. Urz. UE L 74 z 4.03.2021, str. 35), dalej jako: rozporządzenie 2016/679 osoba, której dane dotyczą, ma prawo żądania od administratora niezwłocznego usunięcia dotyczących jej danych osobowych, a administrator ma obowiązek bez zbędnej zwłoki usunąć dane osobowe, jeżeli dane osobowe nie są już niezbędne do celów, w których zostały zebrane lub w inny sposób przetwarzane. Artykuł 17 ust. 1 lit. b rozporządzenia 2016/679 stanowi z kolei, że osoba, której dane dotyczą, ma prawo żądania od administratora niezwłocznego usunięcia dotyczących jej danych osobowych, a administrator ma obowiązek bez zbędnej zwłoki usunąć dane osobowe, gdy osoba, której dane dotyczą, cofnęła zgodę, na której opiera się przetwarzanie zgodnie z art. 6 ust. 1 lit. a) lub art. 9 ust. 2 lit. a), i nie ma innej podstawy prawnej przetwarzania.
W tym miejscu przytoczyć należy treść art. 12 ust. 1 rozporządzenia 2016/679, który stanowi, że administrator obowiązany jest podejmować odpowiednie środki, by w zwięzłej, przejrzystej, zrozumiałej i łatwo dostępnej formie, jasnym i prostym językiem - w szczególności gdy informacje są kierowane do dziecka - udzielić osobie, której dane dotyczą, wszelkich informacji, o których mowa w art. 13 i 14, oraz prowadzić z nią wszelką komunikację na mocy art. 15-22 i 34 w sprawie przetwarzania. Informacji udziela się na piśmie lub w inny sposób, w tym w stosownych przypadkach - elektronicznie. Jeżeli osoba, której dane dotyczą, tego zażąda, informacji można udzielić ustnie, o ile innymi sposobami potwierdzi się tożsamość osoby, której dane dotyczą.
Na podstawie art. 12 ust. 2 rozporządzenia 2016/679, administrator ułatwia osobie, której dane dotyczą, wykonanie praw przysługujących jej na mocy art. 15-22. W przypadkach, o których mowa w art. 11 ust. 2, administrator nie odmawia podjęcia działań na żądanie osoby której dane dotyczą pragnącej wykonać prawa przysługujące jej na mocy art. 15-22, chyba że wykaże, iż nie jest w stanie zidentyfikować osoby, której dane dotyczą. Na mocy zaś art. 12 ust 3 rozporządzenia 2016/679, administrator bez zbędnej zwłoki – a w każdym razie w terminie miesiąca od otrzymania żądania – udziela osobie, której dane dotyczą, informacji o działaniach podjętych w związku z żądaniem na podstawie art. 15- 22. W razie potrzeby termin ten można przedłużyć o kolejne dwa miesiące z uwagi na skomplikowany charakter żądania lub liczbę żądań. W terminie miesiąca od otrzymania żądania administrator informuje osobę, której dane dotyczą o takim przedłużeniu terminu, z podaniem przyczyn opóźnienia. Jeśli osoba, której dane dotyczą, przekazała swoje żądanie elektronicznie, w miarę możliwości informacje także są przekazywane elektronicznie, chyba że osoba, której dane dotyczą, zażąda innej formy.
W związku z powyższym Prezes UODO wskazuje, że prowadzenie komunikacji z osobą, której dane dotyczą, w zakresie przysługujących jej na mocy art. 15–22 i 34 rozporządzenia 2016/679 praw, jest ciążącym na administratorze danych obowiązkiem, któremu administrator w niniejszej sprawie uchybił. W związku ze złożonym przez Skarżącego żądaniem usunięcia jego danych, w oparciu o art. 17 ust. 1 rozporządzenia 2016/679, administrator (wówczas F. Sp. z o.o.) był zobowiązany do udzielenia Skarżącemu odpowiedzi. Co więcej, administrator po złożeniu przez Skarżącego wniosku o usunięcie jego danych osobowych zobowiązany był do niezwłocznej weryfikacji przetwarzanych przez siebie danych, a w przypadku ich braku, niezwłocznego poinformowania o tym fakcie Skarżącego.
Jak wynika ze zgromadzonego w sprawie materiału dowodowego, Skarżący w wiadomości e-mail z dnia […] stycznia 2019 roku skierowanej na adres e-mail inspektora ochrony danych osobowych siłowni […] – […] skierował żądanie usunięcia jego danych osobowych F. Sp. z.o.o.) nie udzielił Skarżącemu żadnej odpowiedzi w związku ze złożonym żądaniem. Odnosząc się do wyjaśnień Spółki (B. S.A) z dnia […] lutego 2020 r., w których wskazuje ona, że wiadomość Skarżącego została przez filtr antyspamowy systemu pocztowego poprzedniego administratora zakwalifikowana jako wiadomość naruszająca zasady bezpieczeństwa, skutkiem czego było automatyczne jej przeniesienie na listę jako spam wskazać należy, że nie stanowi to okoliczności usprawiedliwiającej brak reakcji administratora na wniosek Skarżącego. Prezes UODO podkreśla, że nawet wiadomości zakwalifikowane przez serwer pocztowy jako rzekomy spam muszą być brane pod uwagę przez administratora danych jako wymagające wykonania działań określonych w rozporządzeniu 2016/679. To na administratorze danych ciąży obowiązek zapewnienia osobie, której dane dotyczą, możliwości realizacji przysługujących jej na mocy rozporządzenia 2016/679 praw. Adres e-mail: […] służy do kontaktu ze Spółką (Administratorem) w sprawach związanych z ochroną danych osobowych. Sytuacja, w której Skarżący nie może zrealizować swojego prawa, pomimo prawidłowo złożonego żądania, jest wynikiem uchybienia Spółki. Co więcej, skierowanie wynikającego z rozporządzenia 2016/679 żądania na każdy należący do Spółki adres e-mail jest dla niej wiążące. Adresatem do wykonywania praw osób, których dane dotyczą, jest administrator jako taki – jeśli administrator otrzyma żądanie, musi zostać przetworzone, nawet jeśli wewnętrznie ustalono zróżnicowany podział zadań w Spółce. W związku z powyższym, wiadomość Skarżącego z dnia […] stycznia 2019 r. przesłana na wskazany do kontaktu adres e-mail ówczesnego administratora powinna zostać przez Spółkę uwzględniona.
Odnosząc powyższe do ustalonego stanu faktycznego podkreślić należy, że decydujące znaczenie dla rozstrzygnięcia, jakie musi być wydane w przedmiotowej sprawie, ma okoliczność, że Spółka (Z. Sp. z. o. o jako następca prawny F. Sp. z o. o.) poinformowała Skarżącego, iż jego dane nie były i nie są przetwarzane w systemach klubów pod marką […] dopiero na skutek złożonej skargi do Urzędu Ochrony Danych Osobowych. Spółka jednocześnie wyjaśniła Skarżącemu zaistniałą sytuację.
Naruszenie przez administratora art. 12 ust. 2 i 3 rozporządzenia 2016/679 w niniejszej sprawie doprowadziło do sytuacji, w której Skarżący nie wiedział, czy Spółka (F. Sp. z o. o.) zignorowała jego żądanie, co zmusiło go do egzekwowania swoich praw poprzez złożenie skargi do organu nadzorczego.
Zgodnie z art. 58 ust. 2 lit. b rozporządzenia 2016/679 każdemu organowi nadzorczemu przysługuje w zakresie prowadzonych postępowań uprawnienie do udzielania upomnień administratorowi lub podmiotowi przetwarzającemu w przypadku naruszenia przepisów niniejszego rozporządzenia przez operację przetwarzania. W związku z powyższym, Prezes UODO uznaje za uzasadnione udzielenie administratorowi upomnienia w zakresie stwierdzonego naruszenia przepisów art. 12 ust. 2 i 3 rozporządzenia 2016/679.
W tym stanie faktycznym i prawnym Prezes Urzędu Ochrony Danych Osobowych rozstrzygnął jak w sentencji.
Pouczenie: Decyzja jest ostateczna. Na podstawie art. 7 ust. 2 ustawy z dnia 10 maja 2018 roku o ochronie danych osobowych (Dz.U. z 2019 r. poz. 1781) w związku z art. 13 § 2, art. 53 § 1 i art. 54 § 1 ustawy z dnia 30 sierpnia 2002 r. Prawo o postępowaniu przed sądami administracyjnymi (Dz.U. z 2019 r. poz. 2325 ze zm.) od niniejszej decyzji stronie przysługuje prawo wniesienia skargi do Wojewódzkiego Sądu Administracyjnego w Warszawie, w terminie 30 dni od dnia jej doręczenia stronie. Skargę wnosi się za pośrednictwem Prezesa Urzędu Ochrony Danych Osobowych. Wpis od skargi wynosi 200 zł. Strona ma prawo ubiegać się o prawo pomocy, w tym zwolnienie od kosztów sądowych.