PREZES URZĘDU OCHRONY DANYCH OSOBOWYCH Warszawa, dnia 23 grudnia 2019 r.

Decyzja

ZKE.440.4.2019

Na podstawie art. 105 § 1 ustawy z dnia 14 czerwca 1960 r. Kodeks postępowania administracyjnego (Dz. U. z 2018 r. poz. 2096 ze zm.) w zw. z art. 160 ust. 1 i 2 ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych (Dz.U. z 2019 r., poz. 1781) w zw. z art. 22 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. z 2016 r., poz. 922 ze zm.) oraz art. 6 ust. 1 lit. f) oraz art. 57 ust. 1 lit. a) i h) rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz. Urz. UE L 119 z 4.05.2016, str. 1 oraz Dz. Urz. UE L 127 z 23.05.2018 str. 2), po przeprowadzeniu postępowania administracyjnego z urzędu w sprawie nieprawidłowości w procesie przetwarzania danych realizowanych przez R. Sp. z o.o., Prezes Urzędu Ochrony Danych Osobowych

umarza postępowanie

Uzasadnienie

Prezes Urzędu Ochrony Danych Osobowych, zwany dalej również Prezesem UODO, uzyskał informacje na temat nieprawidłowości w procesie przetwarzania danych osobowych realizowanych przez R. Sp. z o.o., zwanej dalej także „Spółką” lub R.

Sygnały, które docierały do Prezesa UODO wskazywały na możliwe uchybienia przepisom o ochronie danych osobowych przez Spółkę, polegające na pozyskiwaniu od osób, które za pośrednictwem strony internetowej o adresie: […] przystępują do programu lojalnościowego […], danych osobowych ich i ich dzieci w zbyt szerokim zakresie.

Wedle informacji uzyskanych przez Prezesa UODO ze strony internetowej Spółki o adresie: […] Spółka pozyskiwała m. in. dane dotyczące daty urodzenia rodziców przystępujących do programu lojalnościowego […]. Zaistniała zatem potrzeba sprawdzenia adekwatności i celowości w rozumieniu art. 26 ust. 1 pkt 3 ustawy z 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. z 2016 r. poz. 922 ze zm.), zwanej dalej także: ustawa o ochronie danych osobowych z 1997 r., pozyskiwania i przetwarzania przez Spółkę danych osobowych dla potrzeb uczestnictwa w programie lojalnościowym […].

Prezes UODO przeprowadził w przedmiotowej sprawie postępowanie administracyjne z urzędu, w ramach którego, działając na podstawie art. 58 ust. 1 lit. a) i lit. e) rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz. Urz. UE L 119 z 4.05.2016, str. 1 oraz Dz. Urz. UE L 127 z 23.05.2018 str. 2), zwanego dalej również „Rozporządzenie 2016/679”, uzyskał od Spółki pisemne wyjaśnienia odnośnie okoliczności sprawy i stosowne dowody na ich potwierdzenie. W oparciu o tak zgromadzony materiał dowodowy Prezes UODO ustalił co następuje:

1. W R. obowiązuje regulamin programu lojalnościowego […], który skierowany jest do rodziców lub prawnych opiekunów dzieci w wieku od 0-3 lat oraz do osób oczekujących na narodzenie się ich dziecka.

2. Uczestnik programu […] akceptując regulamin jest związany z jego postanowieniami, które służą weryfikacji, czy dana osoba spełnia warunki uczestnictwa. Jednym z warunków jest status rodzica lub prawnego opiekuna dzieci w wieku od 1 dnia życia do ukończenia 36 miesiąca życia lub spodziewający się urodzenia dziecka. Weryfikowany jest na podstawie podanej przez uczestnika daty urodzenia dziecka lub planowanej daty porodu ponieważ do programu mogą przystąpić także osoby, które spodziewają się urodzenia dziecka.

3. Uczestnik programu […] wypełnia formularz zgłoszeniowy, w którym podaje swoje dane w zakresie: imię i nazwisko, miejsce zamieszkania, numer telefonu komórkowego, adres e-mail.

4. Obecnie Spółka pozyskuje od osób przystępujących do programu lojalnościowego […] następujące dane osobowe:

1) dane osobowe osób, które przystąpiły do tego programu w zakresie obejmującym: imię i nazwisko uczestnika, miejsce zamieszkania, numer telefonu komórkowego, adres e-mail, a także czy osoby, które przystąpiły do ww. programu są rodzicami, względnie czy spodziewają się dziecka, a jeżeli tak, to kiedy przewidywana jest data narodzin tego dziecka, jak również, czy osoby, które przystąpiły do programu posiadają już dzieci (ilość dzieci);

2) dane osobowe dzieci osób, które przystąpiły do ww. programu, których zakres danych obejmuje: imię i nazwisko, płeć, datę urodzenia, informację o planowanej dacie porodu, wskazanej, jako dzień przypadający nie później niż w ciągu 9 miesięcy od daty rejestracji.

5. Podstawą prawną przetwarzania danych osobowych uczestników programu jest art. 6 ust. 1 lit b) Rozporządzenia 2016/679, czyli przetwarzanie jest niezbędne do wykonania umowy, której stroną jest osoba, której dane dotyczą. Podstawą prawną przetwarzania danych osobowych jest także art. 6 ust. 1 lit. f) rozporządzenia 2016/679, czyli prawnie uzasadniony interes administratora danych, w tym przypadku R., polegający na konieczności weryfikacji poprawności korzystania z programu […] i postanowieniami regulaminu oraz na realizacji zadań R. w zakresie dostarczania ofert i rekomendacji zgodnie z wiekiem dziecka, płcią i generowaną przez uczestnika historią zakupów. W przypadku, gdy uczestnik programu wyrazi dobrowolną opcjonalną zgodę na otrzymywanie newsletteru i wiadomości sms, podstawą prawną przetwarzania danych będzie art. 10 ustawy z dnia 18 lipca 2002 r. o świadczeniu usług drogą elektroniczną (Dz. U. z 2019 r. poz. 123 ze zm.) oraz art. 172 ustawy z dnia 16 lipca 2004 r. Prawo telekomunikacyjne (Dz. U. z 2018 r. poz. 1954 ze zm.).

6. Dane osobowe uczestników programu […] są pozyskiwane w celu wzięcia udziału w tym programie. Udział w programie […] zapewnia każdemu uczestnikowi różne przywileje i korzyści, w szczególności uczestnik otrzymuje 3% rabatu na zakup w drogeriach R. produktów dla dzieci szczegółowo wskazanych w załącznikach do regulaminu wraz z możliwością podwyższenia rabatu do wysokości 10%, a także dedykowane promocje cenowe oraz inne atrakcyjne niespodzianki. Dane osobowe uczestników programu dotyczące miejsca zamieszkania są pozyskiwane w celu wysyłki dedykowanych niespodzianek, w przypadku numeru telefonu lub adresu e-mail dane są pozyskiwane w celu kontaktu z uczestnikiem programu w sprawie powiadomienia go o dodatkowych promocjach. Dane osobowe dzieci osób, które przystąpiły do programu są pozyskiwane we właściwych sobie celach, tj. w celu możliwości doboru optymalnych ofert promocyjnych adekwatnych do wieku dziecka oraz możliwość przyznania uczestnikowi programu prezentów zgodnych z wiekiem jego dziecka; natomiast w przypadku przewidywanej daty narodzin dane są pozyskiwane w celu uzyskania dodatkowych korzyści będących następstwem samodzielnej zmiany statusu po narodzinach dziecka, a w przypadku płci dane są pozyskiwane w celu dedykowania właściwej oferty dla chłopca, czy dziewczynki.

7. Obecnie R. nie pozyskuje danych dotyczących daty urodzenia rodziców przystępujących do programu lojalnościowego […] dla potrzeb uczestnictwa w programie lojalnościowym […]. Pismem z […] września 2017 r. Spółka poinformowała Prezesa UODO, że nie pozyskuje już daty urodzenia rodziców przystępujących do programu lojalnościowego […], natomiast, pismem z […] listopada 2019 r. poinformowała, że aplikacja obsługująca program i umożliwiająca rejestrację w wybranym programie została zaktualizowana, a formularz, który wypełnia osoba chcąca dołączyć do programu, nie zawiera już rubryki, w której rodzic (uczestnik programu) mógłby podać datę swojego urodzenia.

Prezes UODO poinformował Spółkę o przeprowadzeniu postępowania administracyjnego, w wyniku którego został zgromadzony materiał dowodowy wystarczający do wydania decyzji administracyjnej oraz o możliwości wypowiedzenia się co do zebranych dowodów i materiałów oraz zgłoszonych żądań zgodnie z treścią art. 10 § 1 ustawy z dnia 14 czerwca 1960 r. Kodeks postępowania administracyjnego (Dz. U. z 2018 r. poz. 2096 ze zm.), zwanej dalej również „Kpa”, w terminie 7 dni od dnia otrzymania ww. pisma.

Po zapoznaniu się z całością zgromadzonego w sprawie materiału dowodowego, Prezes Urzędu Ochrony Danych Osobowych zważył, co następuje:

Z dniem 25 maja 2018 r. w życie weszły przepisy ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych (Dz. U. z 2019 r. poz. 1781), zwanej dalej również „ustawa o ochronie danych osobowych z 2018 r.”.

W myśl art. 160 ust. 1-3 ustawy o ochronie danych osobowych z 2018 r., postępowania prowadzone przez Generalnego Inspektora Ochrony Danych Osobowych, wszczęte i niezakończone przed dniem wejścia w życie niniejszej ustawy, prowadzone są przez Prezesa Urzędu Ochrony Danych Osobowych na podstawie ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz.U. z 2016 r. poz. 922 ze zm.), zwanej dalej również „ustawa o ochronie danych osobowych z 1997 r.”, zgodnie z zasadami określonymi w Kpa. Jednocześnie, czynności dokonane w postępowaniach, wszczętych i niezakończonych przed dniem wejścia w życie przepisów ustawy o ochronie danych osobowych z 2018 r., pozostają skuteczne.

Od dnia 25 maja 2018 r. zastosowanie ma również Rozporządzenie 2016/679. Uwzględniając powyższe stwierdzić zatem należy, iż niniejsze postępowanie, wszczęte i niezakończone przed dniem 25 maja 2018 r., prowadzone jest na podstawie ustawy o ochronie danych osobowych z 1997 r. (w zakresie dotyczącym przepisów regulujących procedurę administracyjną) oraz na podstawie Rozporządzenia 2016/679 (w zakresie rozstrzygającym o legalności procesu przetwarzania danych osobowych).

Prezes UODO jest organem właściwym w sprawie ochrony danych osobowych i organem nadzorczym w rozumieniu Rozporządzenia 2016/679 (art. 34 ust. 1 i 2 ustawy o ochronie danych osobowych z 2018 r.). Prezes UODO prowadzi postępowania w sprawie naruszenia przepisów o ochronie danych osobowych (art. 60 ustawy o ochronie danych osobowych z 2018 r.), przy czym w sprawach nieuregulowanych w ustawie o ochronie danych osobowych z 2018 r., do postępowań administracyjnych przed Prezesem UODO, w szczególności unormowanych w rozdziale 7 ustawy – postępowań w sprawie naruszenia przepisów o ochronie danych osobowych, stosuje się przepisy Kpa (art. 7 ust. 1 ustawy o ochronie danych osobowych z 2018 r.). Stosownie do art. 57 ust. 1 Rozporządzenia 2016/679, bez uszczerbku dla innych zadań określonych na mocy niniejszego rozporządzenia każdy organ nadzorczy na swoim terytorium monitoruje i egzekwuje stosowanie niniejszego rozporządzenia (lit. a) oraz prowadzi postępowania w sprawie stosowania niniejszego rozporządzenia, w tym na podstawie informacji otrzymanych od innego organu nadzorczego lub innego organu publicznego (lit. h). Instrumentami realizacji zadań przewidzianych w art. 57 ust. 1 Rozporządzenia 2016/679 są w szczególności określone w art. 58 ust. 2 Rozporządzenia 2016/679, uprawnienia naprawcze, w tym możliwość: wydawania ostrzeżeń administratorowi lub podmiotowi przetwarzającemu dotyczących możliwości naruszenia przepisów niniejszego rozporządzenia poprzez planowane operacje przetwarzania (lit. a), udzielania upomnień administratorowi lub podmiotowi przetwarzającemu w przypadku naruszenia przepisów niniejszego rozporządzenia przez operacje przetwarzania (lit. b), nakazania administratorowi lub podmiotowi przetwarzającemu dostosowania operacji przetwarzania do przepisów niniejszego rozporządzenia, a w stosownych przypadkach wskazanie sposobu i terminu (lit. d).

Fakt, iż wedle stanu na dzień wydania niniejszego rozstrzygnięcia, w procesie przetwarzania przez Spółkę danych osobowych nie dochodzi do nieprawidłowości, o których sygnały otrzymał Prezes UODO i w oparciu o które wszczął postępowanie w przedmiotowej sprawie, ma decydujące znaczenie z punktu widzenia jej rozstrzygnięcia. W tej bowiem sytuacji niniejsze postępowanie podlega obligatoryjnemu umorzeniu na podstawie art. 105 § 1 Kpa – wobec jego bezprzedmiotowości. Zgodnie z ww. przepisem, gdy postępowanie z jakiejkolwiek przyczyny stało się bezprzedmiotowe, organ administracji publicznej wydaje decyzję o umorzeniu postępowania. Brzmienie powołanej regulacji nie pozostawia wątpliwości, iż w razie stwierdzenia bezprzedmiotowości postępowania organ prowadzący to postępowanie obligatoryjnie je umarza. Jednocześnie w literaturze przedmiotu wskazuje się, że bezprzedmiotowość postępowania administracyjnego, o której stanowi art. 105 § 1 Kpa oznacza, że brak jest któregoś z elementów materialnego stosunku prawnego, a wobec tego nie można wydać decyzji załatwiającej sprawę przez rozstrzygnięcie jej co do istoty (B. Adamiak, J. Borkowski „Kodeks postępowania administracyjnego. Komentarz” 7 wydanie Wydawnictwo C.H. Beck, Warszawa 2005 r., str. 485). W literaturze i orzecznictwie akcentuje się również, że cyt.: „(…) Bezprzedmiotowość postępowania może być (…) wynikiem zmiany stanu faktycznego sprawy. Postępowanie musi być uznane za bezprzedmiotowe wskutek ustania stanu faktycznego podlegającego uregulowaniu przez organ administracji w drodze decyzji (…)” (por.: M. P. Przybysz „Kodeks postępowania administracyjnego. Komentarz aktualizowany” Opublikowano: LEX/el. 2019 oraz przytoczony tam wyrok Naczelnego Sądu Administracyjnego z dnia 29 września 1987 r. sygn. akt: IV SA 220/87 opubl.: ONSA z 1987 r. nr 2, poz. 67).

Istotnym przymiotem decyzji administracyjnej jest tzw. podwójna konkretność oznaczająca, że decyzja określa konsekwencje stosowania normy prawnej w indywidualnej sprawie konkretnego adresata (strony) (por. Wróbel Andrzej, Jaśkowska Małgorzata, Wilbrandt-Gotowicz Martyna „Komentarz aktualizowany Kodeksu postępowania administracyjnego” LEX/el. 2018 - komentarz, stan prawny: 13 grudnia 2018 r., inne wydania (25)). Zmiany stanu faktycznego lub stanu prawnego sprawy, które nastąpiły już po wszczęciu postępowania, muszą być uwzględnione przy rozstrzyganiu sprawy – w przeciwnym bowiem wypadku, rozstrzygnięcie to byłoby rażąco sprzeczne z zasadą prawdy materialnej (por. j.w. za W. Siedlecki, Postępowanie cywilne, 1972, s. 371). W konsekwencji, jak podkreśla się w literaturze przedmiotu, organ administracji publicznej ocenia stan faktyczny sprawy według chwili wydania decyzji administracyjnej. Powyższa zasada odnosi się także do oceny stanu prawnego sprawy, zatem organ administracji publicznej wydaje decyzję administracyjną na podstawie przepisów prawa obowiązujących w chwili jej wydania (por. j.w.). Również Naczelny Sąd Administracyjny w Warszawie w wyroku z dnia 4 października 2000 r. sygn. akt: V SA 283/00) podkreślił, że cyt.: „(…) Należy wskazać (…) na potrzebę stosowania norm prawa materialnego obowiązującego w dniu wydania decyzji. Zaznaczyć wyraźnie należy, że przepisy kodeksu postępowania administracyjnego nie wiążą z datą wszczęcia postępowania podstawy faktycznej i prawnej rozpoznania sprawy. Miarodajny w tym zakresie jest stan obowiązujący w dacie wydania decyzji (vide B. Adamiak, Komentarz, Warszawa 1998, s. 363) (…)”.

Uwzględniając poczynione dotychczas uwagi wskazać należy, że impulsem do wszczęcia postępowania z urzędu w przedmiotowej sprawie stały się sygnały na temat ewentualnych nieprawidłowości w procesie przetwarzania danych osobowych czynionych przez Spółkę. Zainicjowane w związku z tym postępowanie służyło weryfikacji prawdziwości ww. doniesień oraz doprowadzeniu do wyeliminowania uchybień w obszarze przetwarzania danych osobowych – w razie potwierdzenia, że istotnie mają one miejsce wedle stanu na dzień orzekania. Innymi słowy, potwierdzenie istnienia zarzucanych nieprawidłowości, stanowiłoby dla Prezesa UODO podstawę dla dokonania ich prawnej oceny i skorzystania – w celu ich eliminacji – z instrumentów prawnych o charakterze naprawczym przewidzianych w art. 58 ust. 2 Rozporządzenia 2016/679. Tymczasem, mając na uwadze, że zasygnalizowane Prezesowi UODO nieprawidłowości w procesie przetwarzania danych osobowych przez Spółkę, nie mają miejsca wedle stanu na dzień orzekania, brak jest podstaw dla dokonania ich prawnej oceny, w kontekście ewentualnego skorzystania z instrumentów przewidzianych w art. 58 ust. 2 Rozporządzenia 2016/679 – tj. instrumentów służących ich wyeliminowaniu.

W tym stanie faktycznym i prawnym Prezes UODO rozstrzygnął, jak w sentencji.

Na podstawie art. 127 § 3 Kpa od niniejszej decyzji stronie przysługuje prawo do wniesienia wniosku o ponowne rozpatrzenie sprawy w terminie 14 dni od dnia doręczenia decyzji stronie. Jeżeli strona nie chce skorzystać z prawa do złożenia wniosku o ponowne rozpatrzenie sprawy, ma prawo do wniesienia skargi na decyzję do Wojewódzkiego Sądu Administracyjnego w Warszawie w terminie 30 dni od dnia doręczenia jej stronie. Skargę wnosi się za pośrednictwem Prezesa Urzędu Ochrony Danych Osobowych (adres: ul. Stawki 2, 00-193 Warszawa). Wpis od skargi wynosi 200 złotych. Strona ma prawo ubiegania się o prawo pomocy, w tym zwolnienie od kosztów sądowych.

Podmiot udostępniający: Departament Kar i Egzekucji
Wytworzył informację:
user Jan Nowak
date 2019-12-23
Wprowadził informację:
user Anna Pachla
date 2021-02-19 12:41:11
Ostatnio modyfikował:
user Edyta Madziar
date 2021-03-26 09:58:35