Decyzja

Na podstawie art. 104 § 1 ustawy z dnia 14 czerwca 1960 r. Kodeks postępowania administracyjnego (Dz. U. z 2021 r. poz. 735), art. 160 ust. 1 i 2 ustawy o ochronie danych osobowych z dnia 10 maja 2018 roku (Dz. U. z 2019 r., poz. 1781) oraz art. 12 pkt 2, art. 18 ust. 1 pkt ustawy z dnia 29 sierpnia 1997 o ochronie danych osobowych (Dz. U. z 2016 r. poz. 922 ze zm.), w związku z art. 57 ust. 1 lit. a i lit. f Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (Dz. Urz. UE L 119 z 04.05.2016, str. 1 oraz Dz. Urz. UE L 127 z 23.05.2018, str. 2), po przeprowadzeniu postępowania administracyjnego w sprawie skargi Pana M. C., na przetwarzanie jego danych osobowych przez T. S.A., Prezes Urzędu Ochrony Danych Osobowych

odmawia uwzględnienia wniosku.

UZASADNIENIE

Do Prezesa Urzędu Ochrony Danych Osobowych (poprzednio Generalnego Inspektora Ochrony Danych Osobowych) wpłynęła skarga Pana M. C. na nieprawidłowości w procesie przetwarzania jego danych osobowych przez T. S.A. (zwanej dalej: „Spółą”).

Skarżący w treści skargi wniósł o usunięcie skanu jego dowodu osobistego ze zbiorów operatora oraz zaprzestanie przetwarzania jego danych osobowych w celach marketingowych. Jako dowód na przetwarzanie danych osobowych w celach marketingowych przez Spółkę, Skarżący załączył do swojej skargi zdjęcie telefonu komórkowego z wyświetloną w formie wiadomości tekstowej ofertą pożyczki gotówkowej, przy czym z wiadomości tej nie wynika, kto złożył tę ofertę.

W toku postępowania administracyjnego przeprowadzonego w niniejszej sprawie Prezes Urzędu Ochrony Danych Osobowych (dalej: „Prezes UODO”) ustalił, co następuje.

1. Spółka wyjaśniła w piśmie z dnia […] grudnia 2014 roku, że pozyskała dane osobowe Skarżącego w związku z zawarciem umów o świadczenie usług telekomunikacyjnych: umowa nr […] z dnia […] lipca 2014 roku, umowa nr […] z dnia […] sierpnia 2014 roku (druga umowa o nr […] z dnia […] sierpnia 2014 rok) oraz umowa nr […] z dnia […] sierpnia 2014 roku. Podstawą prawną przetwarzania danych osobowych był art. 23 ust. 1 pkt 3 ustawy z dnia 29 sierpnia 1997 roku o ochronie danych osobowych (Dz. U. z 2016 r. poz. 922 ze zm.), zwanej dalej: „ustawą z 1997 roku” oraz art. 23 ust. 1 pkt. 2 ustawy z 1997 roku w związku z art. 161 ustawy z dnia 16 lipca 2004 roku Prawo telekomunikacyjne (Dz.U. z 2021 r. poz. 576), zwanej dalej: „Prawem telekomunikacyjnym”. Ponadto Spółka wskazała w treści ww. pisma, że dane osobowe Skarżącego przetwarzane są w celu świadczenia usług telekomunikacyjnych,  w zakresie: imię, nazwisko, ulica, numer domu, mieszkania, kod pocztowy i miejscowość, seria i numer dowodu osobistego, PESEL, data urodzenia, numer telefonu, numer konta abonenta, kopia dokumentu potwierdzającego tożsamość, kopia decyzji w sprawie nadania NIP, kopia zaświadczenia o numerze identyfikacyjnym REGON, numer umowy i data jej zawarcia, numer IMEI telefonu, numer karty SIM, dane o płatnościach Skarżącego w tym dane o rachunku bankowym, dane o historii kontaktów Spółki ze Skarżącym, dane o świadczonych usługach i produktach telekomunikacyjnych dotyczące realizacji umowy ze Skarżącym. Spółka przetwarza również w archiwum adres poczty elektronicznej Skarżącego e-mail: […] w związku  z korespondencją Spółki ze Skarżącym.

2. Pismem z dnia […] grudnia 2014 roku Spółka wyjaśniła, że przed podpisaniem umowy przedstawiła Skarżącemu próbny wydruk umowy, który zaakceptował. Po aktywacji numeru w systemie Spółki na formularzu umowy pojawiło się zaznaczone pole zgody na wykorzystanie numeru w celach marketingowych. Dokument został zniszczony za zgodą i w obecności Skarżącego w niszczarce. Ponownie wydrukowana umowa nie zawierała zaznaczonej zgody Skarżącego na przetwarzanie numeru telefonu w celach marketingowych. Spółka wskazała, że błąd był wynikiem działania systemu informatycznego Spółki. Umowy zawarte ze Skarżącym ostatecznie nie zawierały zgód marketingowych. Ponadto Spółka wyjaśniła, że komunikaty dotyczące odwołania wyrażonej zgody na przetwarzanie danych Skarżącego w celach marketingowych, związane były z faktem, że numery telefonów zostały przeniesione i aktywowane z opóźnieniem w stosunku do daty zawarcia umowy. W systemie Spółki włączono blokady na przesyłanie niezamówionych komunikatów marketingowych, o czym Skarżący został poinformowany. Ponadto Spółka podkreśliła w ww. piśmie, że nieprawidłowe zaznaczenie zgód w systemie informatycznym Spółki miało charakter incydentalny, nie odnotowano ponownie takiego zdarzenia.

3. Pismem z dnia […] czerwca 2015 roku Spółka przyznała, że pozyskała dane osobowe Skarżącego w postaci skanu dowodu osobistego w celu zawarcia ww. umów o świadczenie usług telekomunikacyjnych. Skan dokumentu został przekreślony w obecności Skarżącego. Spółka poinformowała ponadto, że konsultant Spółki dokonując skanu dowodu osobistego Skarżącego pozyskał dodatkowo (wykraczając poza katalog danych niezbędny do zawarcia umowy i realizacji świadczenia umowy) dane dotyczące: wizerunku klienta, nazwy organu wydającego dowód osobisty i daty wydania dowodu osobistego, bez zgody Skarżącego. Skan dowodu został pozyskany celem potwierdzenia prawidłowości danych w momencie zawarcia umowy. Jak wskazała Spółka w ww. piśmie skan jest każdorazowo przekreślany w obecności właściciela dokumentu, ma wyłącznie charakter dowodowy i jest przechowywany w archiwum Spółki. Na żądanie Skarżącego w dniu […] marca 2015 roku usunięto dane osobowe Skarżącego ze skanu ww. dokumentu poprzez zasłonięcie (zaciemnienie) danych osobowych Skarżącego wykraczających poza zakres danych niezbędnych do realizacji umowy i w tej formie wprowadzono do systemu informatycznego Spółki. Skan dowodu osobistego został udostępniony Komendzie Policji we W. w związku z zawiadomieniem o podejrzeniu popełnienia przestępstwa złożonym przez Skarżącego.  Skan dowodu osobistego nie został zwrócony do Spółki. Ponadto w piśmie tym Spółka oświadczyła, że nie udostępniała danych osobowych Skarżącego innym podmiotom w celach marketingowych oraz, że o fakcie tym wielokrotnie informowała Skarżącego.

4. Pismem z dnia […] kwietnia 2019 roku Spółka ponownie poinformowała, że pozyskała dane osobowe Skarżącego w związku z zawarciem umów: nr […] z dnia […] lipca 2014 roku, nr […] z dnia […] sierpnia 2014 roku (druga umowa o nr […] z dnia […] sierpnia 2014 rok) oraz nr […] z dnia […] sierpnia 2014 roku, w zakresie: imię i nazwisko, miejsce i data urodzenia, adres miejsca zamieszkania, adres korespondencyjny, numer ewidencyjny PESEL, nazwa seria i numer dowodu osobistego potwierdzającego tożsamość, adres e-mail, dane transmisyjne oraz dane lokalizacyjne. Powyższe dane osobowe Skarżącego Spółka pozyskała w celu zawarcia i wykonania umowy, co jest zgodne z art. 6 ust. 1 lit. b  Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (Dz. Urz. UE L 119 z 04.05.2016, str. 1 oraz Dz. Urz. UE L 127 z 23.05.2018, str. 2), zwane dalej: Rozporządzenie 2016/679. Ponadto Spółka wyjaśniła, że przetwarzanie danych osobowych Skarżącego jest niezbędne w związku z realizacją obowiązków prawnych na podstawie art. 6 ust.1 lit. c Rozporządzenia 2016/679. W tym celu Spółka przetwarza dane osobowe Skarżącego w okresie trwania tego obowiązku (np. są to dane zawarte w fakturach, dokumentach potwierdzających czynności oraz transakcji). Spółka wskazała również, że podstawą przetwarzania danych osobowych Skarżącego jest prawnie uzasadniony interes zgodnie z art. 6 ust.1 lit. f Rozporządzenia 2016/679, tj. ustalenie i dochodzenie roszczeń, windykacja należności, odpowiedz na pytania, wnioski, skargi, tworzenie zestawień, analiz, wykrywanie nadużyć, blokowanie korzystania z usług ze względu na zaległości finansowe.                                                                                                                                                                     

5. Pismem z dnia […] stycznia 2021 roku Spółka potwierdziła, że nadal przetwarza dane Skarżącego w celu i na podstawie wskazanej w swym piśmie z […] kwietnia 2019 roku.

W tym stanie faktycznym Prezes UODO zważył, co następuje.

Z dniem wejścia w życie ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych (Dz. U. z 2019 r. poz. 1781), zwanej dalej „u.o.d.o.”, tj. z dniem 25 maja 2018 r., Biuro Generalnego Inspektora Ochrony Danych Osobowych stało się Urzędem Ochrony Danych Osobowych. Postępowania prowadzone przez Generalnego Inspektora Ochrony Danych Osobowych, wszczęte i niezakończone przed dniem 25 maja 2018 r. prowadzone są przez Prezesa Urzędu Ochrony Danych Osobowych, na podstawie ustawy z 1997 roku, zgodnie z zasadami określonymi w ustawie z dnia 14 czerwca 1960 r. Kodeks postępowania administracyjnego (Dz. U. z 2021 r. poz. 735), zwanej dalej „k.p.a.”. Wszelkie czynności podjęte przez Generalnego Inspektora Ochrony Danych Osobowych przed dniem 25 maja 2018 r. pozostają skuteczne (art. 160 ust. 1–3 u.o.d.o.).

Stosownie do art. 57 ust. 1 Rozporządzenia 2016/679, bez uszczerbku dla innych zadań określonych na mocy tego rozporządzenia, każdy organ nadzorczy na swoim terytorium monitoruje i egzekwuje stosowanie tego rozporządzenia (lit. a) oraz rozpatruje skargi wniesione przez osobę, której dane dotyczą, lub przez umocowany przez nią – zgodnie z art. 80 Rozporządzeniem 2016/679 – podmiot, organizację lub zrzeszenie, w odpowiednim zakresie prowadzi postępowania w przedmiocie tych skarg i w rozsądnym terminie informuje skarżącego o postępach i wynikach tych postępowań (lit. f).

W tym miejscu wskazać należy, że Prezes Urzędu Ochrony Danych Osobowych wydając decyzję administracyjną zobowiązany jest do rozstrzygania w oparciu o stan faktyczny istniejący w chwili wydania tej decyzji. Jak podnosi doktryna „organ administracji publicznej ocenia stan faktyczny sprawy według chwili wydania decyzji administracyjnej. Reguła ta odnosi się także do oceny stanu prawnego sprawy, co oznacza, że organ administracji publicznej wydaje decyzję administracyjną na podstawie przepisów prawa obowiązujących w chwili jej wydania (…). Rozstrzyganie w postępowaniu administracyjnym polega na zastosowaniu obowiązującego prawa do ustalonego stanu faktycznego sprawy administracyjnej. W ten sposób organ administracji publicznej realizuje cel postępowania administracyjnego, jakim jest urzeczywistnienie obowiązującej normy prawnej w zakresie stosunków administracyjno-prawnych, gdy stosunki te tego wymagają” (Komentarz do ustawy z dnia 14 czerwca 1960 r. Kodeks postępowania administracyjnego, M. Jaśkowska, A. Wróbel, Lex., el/2012). Również Naczelny Sąd Administracyjny – w wyroku z dnia 7 maja 2008 r. w sprawie o sygn. akt I OSK 761/07 stwierdził, iż cyt.: „badając bowiem legalność przetwarzania danych osobowych, GIODO ma obowiązek ustalenia, czy na datę wydawania rozstrzygnięcia w sprawie dane konkretnego podmiotu są przetwarzane oraz czy czynione to jest w sposób zgodny z prawem”.

Postępowanie prowadzone przez Prezesa Urzędu ukierunkowane jest na wydanie decyzji administracyjnej na podstawie art. 18 ust. 1 ustawy z 1997 roku. Według tego przepisu w przypadku naruszenia przepisów o ochronie danych osobowych Prezes Urzędu z urzędu lub na wniosek osoby zainteresowanej, w drodze decyzji administracyjnej nakazuje przywrócenie stanu zgodnego z prawem, a w szczególności: 1) usunięcie uchybień, 2) uzupełnienie, uaktualnienie, sprostowanie, udostępnienie lub nieudostępnienie danych osobowych, 3) zastosowanie dodatkowych środków zabezpieczających zgromadzone dane osobowe, 4) wstrzymanie przekazywania danych osobowych do państwa trzeciego, 5) zabezpieczenie danych lub przekazanie ich innym podmiotom, 6) usunięcie danych osobowych. Warunkiem wydania rozstrzygnięcia na podstawie ww. przepisu jest istnienie stanu naruszenia prawa do ochrony danych osobowych w chwili wydania decyzji.

Odnosząc się do kwestii pozyskania przez Spółkę kopii dowodu osobistego Skarżącego, należy zauważyć, że kopiowanie dokumentów jest czynnością techniczną, która ze swojej istoty nie jest zakazana przepisami o ochronie danych osobowych. Z punktu widzenia tych przepisów istotne jest bowiem, aby podmiot, który czynności tej dokonuje, legitymował się jedną z przesłanek legalności przetwarzania, w tym gromadzenia danych osobowych. Zgodnie z treścią art. 161 ust. 2 Prawa telekomunikacyjnego, która obowiązywała w momencie złożenia skargi, dostawca publicznie dostępnych usług telekomunikacyjnych był uprawniony do przetwarzania następujących danych dotyczących użytkownika będącego osobą fizyczną: nazwisk i imion; imion rodziców; miejsca i daty urodzenia; adresu miejsca zameldowania na pobyt stały;  numeru ewidencyjnego PESEL - w przypadku obywatela Rzeczypospolitej Polskiej; nazwy, serii i numeru dokumentów potwierdzających tożsamość, a w przypadku cudzoziemca, który nie jest obywatelem państwa członkowskiego albo Konfederacji Szwajcarskiej - numeru paszportu lub karty pobytu; zawartych w dokumentach potwierdzających możliwość wykonania zobowiązania wobec dostawcy publicznie dostępnych usług telekomunikacyjnych wynikającego z umowy o świadczenie usług telekomunikacyjnych. Ponadto zgodnie z treścią ust. 3 niniejszego artykułu, oprócz danych, o których mowa w ust. 2, dostawca publicznie dostępnych usług telekomunikacyjnych mógł, za zgodą użytkownika będącego osobą fizyczną, przetwarzać inne dane tego użytkownika w związku ze świadczoną usługą, w szczególności numer konta bankowego lub karty płatniczej, adres korespondencyjny użytkownika, jeżeli jest on inny niż adres miejsca zameldowania na pobyt stały tego użytkownika, a także adres poczty elektronicznej oraz numery telefonów kontaktowych. Zatem przetwarzanie przez dostawcę usług telekomunikacyjnych danych w zakresie wykraczającym poza wyżej wskazany zakres bez zgody użytkownika prowadziło do przetwarzania danych bez podstawy prawnej. Taki pogląd wyrażony został również w wyroku NSA w Warszawie z dnia 13 czerwca 2019 r. (sygn. akt I OSK 1715/17), zgodnie z którym pozyskiwanie danych osobowych w zakresie szerszym niż określony w art. 161 ust. 2 Prawa telekomunikacyjnego, tj. pozyskiwanie danych w postaci m.in.: koloru oczu, wzrostu, wizerunku twarzy, płci, adresu zameldowania, nazwy organu wydającego dowód osobisty i daty wydania i terminu ważności dowodu osobistego odbywa się bez podstawy prawnej.

Z wyjaśnień Spółki złożonych w niniejszej sprawie wynika, że nie legitymowała się zgodą Skarżącego na przetwarzanie danych wykraczających poza zakres określony w art. 161 ust. 2 Prawa telekomunikacyjnego, co wskazuje, że przetwarzanie nadmiarowych danych z kopii dowodu osobistego odbywało się bez podstawy prawnej. Pomimo tej okoliczności, należy podkreślić, że Spółka, w dniu […] marca 2015 roku, usunęła na żądanie Skarżącego nadmiarowe dane ze skanu ww. dokumentu, który został wprowadzony do systemu informatycznego Spółki. Obecnie stan naruszenia nie jest kontynuowany a Spółka nie przetwarza danych osobowych Skarżącego w kwestionowany w skardze sposób.

Odnosząc się natomiast do żądania Skarżącego dotyczącego zaprzestania przetwarzania przez Spółkę jego danych osobowych w celach marketingowych należy wskazać, że materiał dowodowy zebrany w sprawie nie potwierdza zarzutu Skarżącego, jakoby jego dane były przetwarzane przez Spółkę w celach marketingowych oraz udostępniane przez Spółkę innym podmiotom w celach marketingowych. W sierpniu 2014 roku, po zgłoszeniu przez Skarżącego sprzeciwu, w systemie Spółki włączono blokady na przesyłanie niezamówionych komunikatów marketingowych na numery telefonów należące do Skarżącego. Ponadto Spółka zaprzeczyła by udostępniała dane Skarżącego innym podmiotom w celach marketingowych. Przedstawione przez Skarżącego zdjęcie telefonu komórkowego z wyświetloną ofertą pożyczki gotówkowej nie może być dowodem potwierdzającym niniejszy zarzut Skarżącego. Nawet przy założeniu, że zdjęcie przedstawia telefon Skarżącego, treść wiadomości w żaden sposób nie wskazuje, że nadawca oferty marketingowej mógł uzyskać numer telefonu Skarżącego od Spółki.

Reasumując, w ocenie Prezesa UODO w sprawie nie zaistniały przesłanki do wydania nakazu na podstawie art. 18 ust. 1 ustawy z 1997 roku. W chwili wydania niniejszej decyzji stan naruszenia ochrony danych osobowych nie istnieje, zatem zasadnym jest wydanie decyzji odmawiającej spełnienia żądania osoby, której dane dotyczą.

Na podstawie art. 127 § 3 Kpa od niniejszej decyzji stronie przysługuje prawo do wniesienia wniosku o ponowne rozpatrzenie sprawy w terminie 14 dni od dnia doręczenia decyzji stronie. Jeżeli strona nie chce skorzystać z prawa do złożenia wniosku o ponowne rozpatrzenie sprawy, ma prawo do wniesienia skargi na decyzję do Wojewódzkiego Sądu Administracyjnego w Warszawie w terminie 30 dni od dnia doręczenia jej stronie. Skargę wnosi się za pośrednictwem Prezesa Urzędu Ochrony Danych Osobowych (adres: ul. Stawki 2, 00-193 Warszawa). Wpis od skargi wynosi 200 złotych. Strona ma prawo ubiegania się o prawo pomocy, w tym zwolnienie od kosztów sądowych.