GI-DEC-DS-82/04
2007-05-15
Warszawa, dnia 30 marca 2004 r.
(dotyczy przetwarzania danych osobowych Skarżącego pomimo złożenia przez niego sprzeciwu)
DECYZJA
Na podstawie art. 104 § 1 ustawy z dnia 14 czerwca 1960 r. Kodeks postępowania administracyjnego (Dz. U. z 2000 r. Nr 98, poz. 1071 z późn. zm.) oraz art. 12 pkt 2 i art. 18 ust. 1 pkt 1 w związku z art. 32 ust. 1 pkt 8 i art. 32 ust. 3 ustawy z dnia
29 sierpnia 1997 r. o ochronie danych osobowych (tj. Dz. U. z 2002 r. Nr 101, poz. 926
z późn. zm.), po przeprowadzeniu postępowania administracyjnego w sprawie przetwarzania przez Spółkę (Sp. z o.o.), danych osobowych Skarżącego.
1) nakazuję Spółce (Sp. z o. o.) przywrócenie stanu zgodnego z prawem w procesie przetwarzania danych osobowych Skarżącego poprzez zaprzestanie przetwarzania jego danych osobowych w celach marketingowych,
2) w pozostałym zakresie odmawiam uwzględnienia wniosku Skarżącego.
Uzasadnienie
Do Biura Generalnego Inspektora Ochrony Danych Osobowych wpłynęła skarga, w której Skarżący wskazał, iż Spółka z siedzibą w Warszawie przetwarza jego dane osobowe w celach marketingowych pomimo wniesienia przez niego do Spółki w dniu
16 października 2003 r., sprzeciwu wobec przetwarzania jego danych. Na potwierdzenie powyższego Skarżący przesłał pismo Spółki uznające jego sprzeciw wraz z ofertami marketingowymi, które otrzymał od Spółki. Ponadto, Skarżący złożył wniosek
„(...) o ukaranie [Spółki] grzywną na cele charytatywne w wysokości oferowanych nagród”.
W toku postępowania wyjaśniającego przeprowadzonego w niniejszej sprawie, Generalny Inspektor Ochrony Danych Osobowych - na podstawie wyjaśnień i innych dowodów przedstawionych przez Spółkę i Skarżącego – ustalił, iż:
1. Spółka pozyskała dane Skarżącego od innej spółki z siedziba na Cyprze. Pozyskanie danych nastąpiło na podstawie umowy licencyjnej z dnia 27 grudnia 2002 r. (kopia umowy w aktach sprawy), zawartej pomiędzy Spółką Sp. z o.o. a Spółką z siedzibą na Cyprze.
2. Ponadto, w piśmie z dnia 8 grudnia 2003 r., Spółka poinformowała, iż – po otrzymaniu pisma Skarżącego – w dniu 20 października 2003 r. uznała jego sprzeciw wobec przetwarzania jego danych osobowych i usunęła te dane z prowadzonego przez nią zbioru danych, a Skarżący został poinformowany o zaprzestaniu przetwarzania jego danych osobowych. Jednocześnie Spółka zapewniła, iż dane osobowe Skarżącego nie były udostępniane innym podmiotom.
3. Po wniesieniu sprzeciwu, Spółka jednak nadal przetwarzała dane Skarżącego
i otrzymywał on kolejne oferty marketingowe. W piśmie z dnia 6 stycznia 2004 r., Spółka poinformowała, że „(...) ze względów logistycznych nie jesteśmy w stanie wycofać wszystkich wysłanych listów na dzień złożenia sprzeciwu dlatego też, może się zatem zdarzyć, że przez okres do czterech tygodni Skarżący mógł dostać
i otrzymał jeszcze jakąś przesyłkę”.
4. W dniu 6 stycznia 2004 r. do Biura Generalnego Inspektora Ochrony Danych Osobowych wpłynęło pismo Skarżącego wraz z załączoną ofertą marketingową Spółki z datą
5 grudnia 2003 r. (co potwierdza stempel pocztowy, karta nr 17).
5. W dniu 12 lutego 2004 r. do Biura Generalnego Inspektora Ochrony Danych Osobowych wpłynęło kolejne pismo Skarżącego wraz z załączoną ofertą marketingową Spółki, którą jak wskazuje Skarżący otrzymał 10 lutego 2004 r.
I. Ustawa z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. z 2002 r.
Nr 101, poz. 926 z późn. zm.), zwana dalej ustawą, określa zasady postępowania przy przetwarzaniu danych osobowych oraz prawa osób fizycznych, których dane są lub mogą być przetwarzane w zbiorach danych (art. 2 ust. 1 ustawy). Stosownie do przepisu ar. 23 ust. 1
pkt 5 ustawy, przetwarzanie danych jest dopuszczalne wtedy, gdy: jest to niezbędne
do wypełnienia prawnie usprawiedliwionych celów administratorów danych, o których mowa w art. 3 ust 2, lub osób trzecich, którym są przekazywane te dane – a przetwarzanie danych nie narusza praw i wolności osoby, której dane dotyczą. Zgodnie z art. 23 ust. 4 ustawy,
za prawnie usprawiedliwiony cel, o którym mowa w ust. 1 pkt 5, uważa się w szczególności: marketing bezpośredni własnych produktów lub usług administratora danych (pkt 1), dochodzenie roszczeń z tytułu prowadzonej działalności gospodarczej (pkt 2).
Administrator danych jest również zobowiązany – mocą przepisów o ochronie danych osobowych – do realizacji uprawnień kontrolnych przysługujących osobie, której dane osobowe podlegają procesowi przetwarzania danych. Zgodnie z art. 32 ust. 1 pkt. 8 ustawy, każdej osobie przysługuje prawo do kontroli przetwarzania danych, które jej dotyczą, zawartych w zbiorach danych, a zwłaszcza prawo do wniesienia sprzeciwu wobec przetwarzania jej danych w przypadkach, wymienionych w art. 23 ust. 1 pkt 4 i 5,
gdy administrator danych zamierza je przetwarzać w celach marketingowych lub wobec przekazywania jej danych osobowych innemu administratorowi danych. W myśl art. 32 ust. 3 ustawy, w razie wniesienia sprzeciwu, o którym mowa w ust. 1 pkt. 8, dalsze przetwarzanie kwestionowanych danych jest niedopuszczalne. Administrator danych może jednak pozostawić w zbiorze imię lub imiona i nazwisko osoby oraz numer PESEL lub adres wyłącznie w celu uniknięcia ponownego wykorzystania danych tej osoby w celach objętych sprzeciwem.
W świetle powyższych przepisów bezspornym jest to, iż przetwarzanie przez Spółkę Sp. z o.o. w celach marketingowych danych osobowych Skarżącego na podstawie przepisów art. 23 ust. 1 pkt 5 ustawy, od momentu wniesienia przez niego sprzeciwu, jest niedopuszczalne (art. 32 ust. 3 ustawy). Wskazać należy, iż Spółka, w złożonych w toku postępowania wyjaśnieniach poinformowała wprawdzie, iż „(...) ze względów logistycznych nie jesteśmy w stanie wycofać wszystkich wysłanych listów na dzień złożenia sprzeciwu dlatego też, może się zatem zdarzyć, że przez okres do czterech tygodni Skarżący mógł dostać i otrzymał jeszcze jakąś przesyłkę”, jednakże, z wyjaśnień Skarżącego (pisma z dnia 2 stycznia 2003 r. i 11 lutego 2004 r.) wynika, iż w grudniu 2003 r. i lutym 2004 r. otrzymał on od Spółki kolejne oferty marketingowe, odpowiednio - po przeszło miesiącu i po czterech miesiącach od dnia złożenia sprzeciwu.
W ocenie Generalnego Inspektora Ochrony Danych Osobowych, powyższe działania Spółki nie znajdują podstawy w przepisach o ochronie danych osobowych. Z art. 32 ust. 3 ustawy wynika bowiem jednoznacznie, iż w razie wniesienia sprzeciwu przetwarzanie danych jest niedopuszczalne. Powołany wyżej przepis nie wskazuje terminu „przejściowego”,
w którym administrator danych mógłby przetwarzać dane osobowe osoby, która wniosła sprzeciw. Należy więc uznać, iż wniesienie sprzeciwu powoduje konieczność natychmiastowego zaprzestania przetwarzania danych w celach marketingowych,
a jakiekolwiek operacje wykonywane na danych osobowych po skorzystaniu przez osobę, której dane dotyczą z uprawnień kontrolnych określonych w art. 32 ust. 1 pkt 8 ustawy,
są działaniem bezprawnym (za wyjątkiem art. 32 ust. 3 zd. 2 ustawy). Jednocześnie podkreślić należy, iż prawa osoby, której dane podlegają przetwarzaniu, nie mogą być ograniczane poprzez powoływanie się przez Spółkę na techniczne i organizacyjne czynniki, uniemożliwiające zaprzestanie przetwarzania przez nią danych osobowych, z chwilą złożenia sprzeciwu wobec ich przetwarzania. Zgodnie z art. 18 ust. 1 pkt 1 ustawy, w razie stwierdzenia naruszenia przepisów o ochronie danych osobowych, Generalny Inspektor
z urzędu lub na wniosek osoby zainteresowanej nakazuje administratorowi danych, w drodze decyzji administracyjnej, przywrócenie stanu zgodnego z prawem, a w szczególności: usunięcie uchybień.
W związku z powyższym, podkreślić należy, iż Spółka przesyłając Skarżącemu oferty marketingowe po wniesieniu przez niego sprzeciwu uchybiła przepisom ustawy
i konieczne, stosownie do z art. 18 ust. 1 pkt 1 ustawy, jest nakazanie Spółce Sp. z o.o. przywrócenie stanu zgodnego z prawem w procesie przetwarzania danych osobowych, poprzez zaprzestanie przetwarzania danych osobowych Sakrżącego,
w celach marketingowych.
II. Odnosząc się natomiast do żądania Skarżącego w przedmiocie ukarania Spółki „(...) grzywną na cele charytatywne w wysokości oferowanych nagród” wskazać należy,
iż kompetencje Generalnego Inspektora Ochrony Danych Osobowych zostały określone
w art. 12 ustawy, zgodnie z którym, do zadań Generalnego Inspektora w szczególności należy: 1) kontrola zgodności przetwarzania danych z przepisami o ochronie danych osobowych, 2) wydawanie decyzji administracyjnych i rozpatrywanie skarg w sprawach wykonania przepisów o ochronie danych osobowych, 3) prowadzenie rejestru zbiorów danych oraz udzielanie informacji o zarejestrowanych zbiorach, 4) opiniowanie projektów ustaw
i rozporządzeń dotyczących ochrony danych osobowych, 5) inicjowanie i podejmowanie przedsięwzięć w zakresie doskonalenia ochrony danych osobowych, 6) uczestniczenie
w pracach międzynarodowych organizacji i instytucji zajmujących się problematyką ochrony danych osobowych.
Biorąc pod uwagę cytowany przepis i rozpoznając wniosek Skarżącego stwierdzić należy, iż zasądzanie na czyjąkolwiek korzyść kwot pieniężnych tytułem odszkodowania bądź zadośćuczynienia, wykracza poza ustawowy zakres kompetencji Generalnego Inspektora, który obejmuje zagadnienia dotyczące ochrony danych osobowych i związaną z tym kontrolę legalności ich przetwarzania.
Natomiast organem właściwym do oceny zasadności roszczeń pieniężnych
w zakresie zasądzania na czyjąkolwiek korzyść kwot pieniężnych, na podstawie ustawy z dnia 17 listopada 1964 r. Kodeks postępowania cywilnego (Dz. U. Nr 43, poz. 296 z późn. zm.), jest właściwy miejscowo sąd powszechny.
W tym stanie prawnym i faktycznym, Generalny Inspektor Ochrony Danych Osobowych rozstrzygnął, jak w sentencji.
