Projekt Unijnego Rozporządzenia dot. ochrony danych osobowych
Na stronie internetowej KE możemy zapoznać się z projektem nowego aktu prawnego, który ma obowiązywać również w Polsce....

  
Wyszukiwarka orzeczeń i decyzji

Jeśli są Państwo zainteresowani otrzymaniem darmowego newslettera z informacjami dotyczącymi prawnej ochrony danych prosimy o podanie adresu e-mail:


Dodaj Usuń

Administratorem Twoich danych osobowych, udostępnionych dobrowolnie, jest Omni Modo z siedzibą w Warszawie (03-937), przy ul. Zwycięzców 45/29. Dane osobowe będą przetwarzane w celu przesyłania newslettera oraz będą udostępniane innym podmiotom współpracującym z Administratorem. Przysługuje Ci prawo dostępu do treści swoich danych oraz ich poprawiania.

Wyrażam zgodę na przesyłanie na udostępniony przeze mnie adres poczty elektronicznej newslettera zawierającego informację handlową w rozumieniu ustawy z dnia 18 lipca 2002 r. o świadczeniu usług drogą elektroniczną (Dz. U. 2002 nr 144 poz. 1204 z późn. zm.).

Więcej informacji dotyczących ochrony danych osobowych Użytkowników i Regulamin świadczenia usług drogą elektroniczną tutaj


  

>Decyzje Giodo>2002 >



GI-DEC-DS-48/02
2007-05-04

Warszawa, dnia 15 marca 2002 r.

(dotyczy przetwarzania danych osobowych w celu marketingowym)

DECYZJA

Na podstawie art. 104 § 1 ustawy z dnia 14 czerwca 1960 r. - Kodeks postępowania administracyjnego (Dz.U. z 2000 r., Nr 98 poz. 1071 z późn. zm.) oraz art. 12 pkt 2 i art. 18 ust. 1 pkt 1 w zw. z art. 23 ust. 1 i art. 26 ust. 1 pkt 2 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz.U. Nr 133, poz. 883 z późn. zm.) po przeprowadzeniu postępowania administracyjnego w sprawie przetwarzania danych osobowych osoby fizycznej przez Spółkę,

nakazuję Spółce przywrócenie w procesie przetwarzania danych osobowych stanu zgodnego z prawem, poprzez zaprzestanie przetwarzania danych osobowych osoby fizycznej w celu marketingu produktów i usług osób trzecich.

UZASADNIENIE

Generalny Inspektor Ochrony Danych Osobowych powziął wiadomość, że Spółka przetwarza dane osobowe osoby fizycznej. Z uzyskanych informacji wynika, że wskazana osoba fizyczna otrzymała od określonej firmy, zwanej dalej firmą, adresowane na jej imię, nazwisko oraz adres zamieszkania, pismo reklamujące usługi firmy i zawierające ofertę wykupienia abonamentu na korzystanie z nich. Pismo to zawiera informację, iż oferta firmy "przeznaczona jest dla wybranych członków Klubu Książki". Z uzyskanych informacji wynika natomiast, że wskazana osoba fizyczna jest członkiem Klubu Książki, prowadzonego przez Spółkę, jednakże nie wyrażała zgody na udostępnienie jej danych osobowych firmie, jak też nie wyrażała zgody na ewentualny marketing produktów i usług osób trzecich, w tym dotyczących firmy, dokonywany przez Spółkę.
W celu ustalenia okoliczności sprawy, Generalny Inspektor Ochrony Danych Osobowych wszczął postępowanie wyjaśniające. Z wyjaśnień złożonych w toku postępowania przez Spółkę oraz przez firmę, a także z załączonych do nich dokumentów, wynika, że:
1.    Klub Książki prowadzony jest przez Spółkę. Z regulaminu Klubu Książki wynika, że nie posiada on osobowości prawnej, a "wszelkie zobowiązania i uprawnienia zaciągane i nabywane przez Klub Książki są nabywane na rzecz i rachunek Spółki."
2.    Wskazana osoba fizyczna zawarła ze Spółką umowę, na podstawie której została członkiem Klubu Książki, prowadzonego przez Spółkę. Uczestnictwo w Klubie Książki zobowiązywało ją do kupna publikacji oferowanych przez Spółkę. W związku z zawarciem umowy Spółka zebrała dane osobowe wskazanej osoby fizycznej w zakresie: imienia, nazwiska oraz adresu zamieszkania. Spółka twierdzi, że uzyskała zgodę wskazanej osoby fizycznej na przetwarzanie jej danych osobowych, natomiast nie dysponuje już dokumentem sporządzonym na tę okoliczność i informuje, że "zgodnie z naszymi procedurami, wszystkie pisemne deklaracje przystąpienia do Klubu są przez nas przechowywane przez okres 2 lat". Jednocześnie Spółka wywodzi swoje prawo do przetwarzania danych osobowych wskazanej osoby fizycznej w celu marketingu produktów i usług osób trzecich z faktu, iż została ona członkiem Klubu Książki przed dniem wejścia w życie ustawy o ochronie danych osobowych, a od tego czasu "dokonywała regularnie zakupów z naszej oferty wysyłkowej", a ponadto "po wejściu w życie Ustawy była kilkakrotnie zaznajamiana z regulaminem Klubu, m.in. z prawem wglądu i poprawiania danych oraz sprzeciwem wobec dalszego przetwarzania (publikacja na łamach magazynu klubowego pełnej treści regulaminu). W związku z powyższym można uznać, iż zgoda na przetwarzanie danych osobowych w celach handlowych i marketingowych została przez wskazaną osobę fizyczną wyrażona".
3.    Osoba fizyczna otrzymała wspomnianą przesyłkę, dotyczącą usług świadczonych przez firmę, "w wyniku akcji wysyłkowej" przeprowadzonej, jak wskazuje Spółka, "na rzecz firmy na podstawie odrębnej umowy". Z załączonej do wyjaśnień kopii tej umowy, nazwanej "Umową o współpracy", wynika, że Spółka zawarła z firmą umowę, na mocy której zobowiązała się do wykonania usługi, w imieniu i na rzecz firmy, polegającej w szczególności na wysłaniu do wybranej grupy członków Klubu Książki materiałów reklamowych dostarczonych przez firmę. Z treści tej umowy wynika, że jej przedmiotem nie było przekazanie firmie danych osobowych członków Klubu Książki. Również firma informuje, iż nie uzyskała przedmiotowych danych osobowych od Spółki, w tym danych wskazanej osoby fizycznej, i nie przetwarza ich w żadnym zakresie, natomiast dostarczyła Spółce do rozesłania swoje materiały reklamowe.
Po zapoznaniu się z całością zgromadzonego w sprawie materiału dowodowego Generalny Inspektor Ochrony Danych Osobowych zważył, co następuje:
Ustawa z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz.U. Nr 133, poz. 883 z późn. zm.), zwana dalej ustawą, określa zasady postępowania przy przetwarzaniu danych osobowych oraz prawa osób fizycznych, których dane są lub mogą być przetwarzane w zbiorach danych osobowych, jak stanowi art. 2 ust. 1 ustawy. Podstawowym obowiązkiem spoczywającym na każdym administratorze danych jest spełnienie jednej z przesłanek przetwarzania danych, wskazanej w przepisie art. 23 ust. 1 ustawy. Stosownie natomiast do art. 23 ust. 1 pkt 3 ustawy, przetwarzanie danych osobowych jest dopuszczalne, gdy jest to konieczne do realizacji umowy, gdy osoba, której dane dotyczą, jest jej stroną.
Z okoliczności sprawy wynika, że podstawą przetwarzania przez Spółkę danych osobowych wskazanej osoby fizycznej jest powołany przepis art. 23 ust. 1 pkt 3 ustawy. Jak ustalono, wskazana osoba fizyczna zawarła ze Spółką umowę, na podstawie której została członkiem Klubu Książki. Uczestnictwo w Klubie Książki zobowiązywało ją do kupna publikacji oferowanych przez Spółkę i dla realizacji tej umowy przekazała Spółce swoje dane osobowe. Jednocześnie, z przepisu art. 23 ust. 1 pkt 3 wynika, że administrator danych może na jego podstawie przetwarzać dane osobowe swojego kontrahenta jedynie w taki sposób i w takim zakresie, w jakim jest to niezbędne dla wywiązania się z umowy. Wobec tego stwierdzić należy, że przysłanie wskazanej osobie fizycznej przez Spółkę materiałów reklamujących produkty i usługi świadczone przez firmę nie było działaniem mieszczącym się w granicach wyznaczonych potrzebami związanymi z realizacją umowy.
Natomiast, na podstawie art. 23 ust. 1 pkt 5, Spółka uprawniona była do przetwarzania danych osobowych wskazanej osoby fizycznej w celu własnego marketingu. Przepis ten stanowi bowiem, że przetwarzanie danych jest dopuszczalne, gdy jest niezbędne do wypełnienia prawnie usprawiedliwionych celów administratorów danych, o których mowa w art. 3 ust. 2 ustawy, lub osób trzecich, którym są przekazywane te dane - a przetwarzanie danych nie narusza praw i wolności osoby, której dane dotyczą. Za prawnie usprawiedliwiony cel, o którym mowa w tym przepisie, uważa się w szczególności marketing bezpośredni własnych produktów i usług administratora danych (pkt 1) oraz dochodzenie roszczeń z tytułu prowadzonej działalności gospodarczej. Z treści tego przepisu wynika zatem, że Spółka uprawniona była jedynie do przetwarzania danych osobowych wskazanej osoby fizycznej dla prowadzenia akcji marketingowej dotyczącej własnej działalności.
Dla przetwarzania danych osobowych wskazanej osoby fizycznej w celu marketingu produktów i usług firmy Spółka powinna była posiadać jej zgodę, o jakiej mowa w przepisie art. 23 ust. 1 pkt 1 ustawy. Stosownie do tego przepisu, przetwarzanie danych osobowych jest dopuszczalne, jeżeli osoba, której dane dotyczą wyrazi na to zgodę, chyba, że chodzi o usunięcie dotyczących jej danych. Natomiast przepis art. 7 pkt 5 ustawy ustanowił ustawową definicję zgody osoby, której dane dotyczą. Jest ona zatem oświadczeniem woli, którego treścią jest zgoda na przetwarzanie danych osobowych tego, kto składa oświadczenie; zgoda nie może być domniemana lub dorozumiana z oświadczenia woli o innej treści.
Stwierdzić należy, że brak jest dowodów na okoliczność, że wskazana osoba fizyczna wyraziła zgodę na przetwarzanie jej danych osobowych przez Spółkę w celu prowadzenia marketingu produktów i usług osób trzecich, w tym m.in. firmy. W szczególności, Spółka nie dysponuje dokumentem sporządzonym na tę okoliczność
Wobec powyższego zauważyć należy, iż co prawda ustawa nie nakłada na administratora danych obowiązku odbierania zgody na przetwarzanie danych na piśmie, natomiast w razie sporu z osobą, której dane dotyczą - co do istnienia tej zgody albo jej treści, w szczególności celu, dla jakiego została wyrażona - musi się on jednak liczyć z trudnościami dowodowymi. Z zebranego materiału dowodowego wynika natomiast, że wskazana osoba fizyczna nie wyrażała zgody na przetwarzanie jej danych osobowych przez Spółkę w celu marketingu produktów i usług osób trzecich, w tym firmy, natomiast udostępniła Spółce swoje dane jedynie dla realizacji wspomnianej umowy, jaką zawarła ze Spółką.
Konstrukcja prawna zgody na przetwarzanie danych, wyrażona w przepisie art. 7 pkt 5 ustawy, rodzi doniosłe skutki prawne. W szczególności, wynika z niej, że zgoda nie może być domniemana lub dorozumiana z oświadczenia woli o innej treści, co oznacza, że osoba której dane dotyczą powinna w sposób wyraźny wyrazić swoją wolę w tym względzie i wskazać na jakie przetwarzanie danych ją wyraża. Natomiast nie wystarcza samo powiadomienie przez administratora o zamiarze przetwarzania danych osobowych i brak sprzeciwu osoby, której dane te dotyczą.
Spółka nie może zatem wywodzić zgody wskazanej osoby fizycznej na przetwarzanie jej danych osobowych w celu marketingu produktów i usług podmiotów trzecich z faktu dokonywania przez nią "regularnych zakupów z oferty wysyłkowej" Klubu Książki oraz ewentualnych postanowień regulaminu Klubu Książki, uprawniających Spółkę do takiego działania, o którym "była kilkakrotnie zaznajamiana", i który przewidywał prawo do wniesienia sprzeciwu wobec dalszego przetwarzania danych. Z powołanych przepisów ustawy wynika natomiast, że w sytuacji, kiedy Spółka zamierzała przetwarzać dane osobowe wskazanej osoby fizycznej w innym celu niż realizacja umowy i promocja własnych produktów, powinna była uzyskać jej zgodę na takie działanie.
Wobec powyższego, stwierdzić należy, że w ramach akcji marketingowej, prowadzonej przez Spółkę na rzecz firmy na podstawie "Umowy o współpracy" mogły być przetwarzane jedynie dane osobowe tych członków Klubu Książki, którzy wyrazili na to zgodę, o jakiej mowa w art. 23 ust. 1 pkt 1 i art. 7 pkt 5 ustawy.
W celu usunięcia wszelkich wątpliwości zauważyć należy, że pozbawiony prawnego znaczenia jest fakt, na który powołuje się Spółka, w postaci zebrania danych osobowych wskazanej osoby fizycznej przed dniem wejścia w życie ustawy. Z punktu widzenia przepisów ustawy nie jest bowiem istotny fakt, kiedy dane osobowe zostały zebrane, prawne znaczenie ma natomiast ich przetwarzanie po dniu wejścia jej w życie. Natomiast przetworzenie danych osobowych wskazanej osoby fizycznej w ramach akcji marketingowej prowadzonej przez Spółkę na rzecz firmy nastąpiło po tej dacie, w związku z czym działanie Spółki podlega ocenie w świetle przepisów ustawy.
Jednocześnie, stosownie do przepisu art. 26 ust. 1 pkt 2 ustawy, na administratorze danych spoczywa obowiązek dołożenia szczególnej staranności w celu ochrony interesów osób, których dane dotyczą, a w szczególności jest obowiązany zapewnić, aby dane te były: zbierane dla oznaczonych, zgodnych z prawem celów i nie poddawane dalszemu przetwarzaniu niezgodnemu z tymi celami, z zastrzeżeniem ust. 2 tego przepisu (pkt 2). Art. 26 ust. 2 stanowi natomiast, że przetwarzanie danych w celu innym niż ten, dla którego zostały zebrane, jest dopuszczalne, jeżeli nie narusza praw i wolności osoby, której dane dotyczą oraz następuje: w celach badań naukowych, dydaktycznych, historycznych lub statystycznych (pkt 1), z zachowaniem przepisów art. 23 i 25 ustawy.
Wykorzystanie danych wyłącznie dla celu, dla którego zostały zebrane, jest jedną z podstawowych zasad przetwarzania danych osobowych.
W świetle ustalonych okoliczności sprawy niewątpliwe jest, że Spółka nie może powoływać się na żadną z okoliczności wymienionych w przepisie art. 26 ust. 2 ustawy.
Celem zebrania danych osobowych wskazanej osoby fizycznej była realizacja umowy, jaką zawarła ona ze Spółką. Tym samym, wykorzystanie ich przez Spółkę dla prowadzenia akcji marketingowej na rzecz firmy było sprzeczne z celem ich zebrania i naruszyło przepis art. 26 ust. 1 pkt 2 ustawy.
W tym stanie faktycznym i prawnym Generalny Inspektor Ochrony Danych Osobowych rozstrzygnął, jak w sentencji.

Copyright (c) 2007 by E-Ochronadanych.pl - Wszelkie prawa zastrzeżone Polityka prywatności | Regulamin | Nota prawna
Kopiowanie materiałów - zabronione Ustawa o ochronie danych osobowych | GIODO | Administrator bezpieczeństwa informacji