GI-DEC-DS - 135/05
2007-05-26
Decyzja Generalnego Inspektora Ochrony Danych Osobowych z dnia 13 czerwca 2005 r. dotycząca przetwarzania przez Spółkę danych osobowych jej klientów pozyskiwanych z formularzy zamówień na zakup produktów.
Warszawa, dnia 13 czerwca 2005 r.
DECYZJA
Na podstawie art. 138 § 1 pkt 1 ustawy z dnia 14 czerwca 1960 r. Kodeks postępowania administracyjnego (Dz. U. z 2000 r. Nr 98, poz. 1071 z późn. zm.), art. 12 pkt 2, art. 18 ust. 1 pkt 1 w związku z art. 23 ust. 1 pkt 1, art. 24 ust. 1 i art. 26 ust. 1 pkt 1 oraz art. 22 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. z 2002 r. Nr 101, poz. 926 z późn. zm.), po przeprowadzeniu postępowania administracyjnego w sprawie wniosku Sp. z o.o. z siedzibą /.../ o ponowne rozpatrzenie sprawy dotyczącej przetwarzania przez Sp. z o.o. danych osobowych pozyskiwanych z kuponów – zamówień na zakup produktów tejże Spółki, zakończonej decyzją Generalnego Inspektora Ochrony Danych Osobowych z dnia 30 marca 2005 r. (znak: GI-DEC-DS-60/05/167) nakazującą Sp. z o.o. usunięcie uchybień w procesie przetwarzania ww. danych osobowych poprzez umożliwienie osobom zamawiającym produkty Sp. z o.o. wyrażenia odrębnej zgody na udostępnienie ich danych osobowych ujawnionych w formularzu zamówienia, innym podmiotom oraz na wykorzystywanie ich danych w celach promocyjno - handlowych podmiotów trzecich, a także nakazującą wypełnianie wobec tych osób obowiązku informacyjnego określonego w art. 24 ust. 1 pkt 2 ustawy o ochronie danych osobowych, poprzez poinformowanie o przewidywanych odbiorcach lub kategoriach odbiorców ich danych osobowych,
utrzymuję w mocy zaskarżoną decyzję.
Uzasadnienie
Generalny Inspektor Ochrony Danych Osobowych, korzystając z kompetencji przyznanych mu ustawą z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. z 2002 r. Nr 101, poz. 926 z późn. zm.), zwanej dalej również ustawą, wszczął z urzędu postępowanie w sprawie przetwarzania przez Sp. z o.o. z siedzibą /.../, zwaną dalej również Spółką, danych osobowych jej klientów pozyskiwanych z formularzy zamówień na zakup produktów.
W toku postępowania przeprowadzonego w niniejszej sprawie Generalny Inspektor Ochrony Danych Osobowych ustalił, iż Spółka reklamuje w prasie produkty, które można pozyskać za pośrednictwem zamieszczanych wraz z reklamą formularzy zamówień, które osoby zainteresowane ofertą powinny wypełnić oraz wysłać na wskazany przez Sp. z o.o. adres: /.../, przegródka pocztowa /.../, /.../. W zamówieniu należy podać dane osobowe zamawiającego w zakresie: nazwisko, imię, ulica, nr domu, nr lokalu, kod, miejscowość, data urodzenia. Na formularzu zamówienia znajduje się klauzula dotycząca przetwarzania danych osobowych składającego zamówienie. Klauzula ta brzmi następująco: Ja obok podpisany/a niniejszym oświadczam, że wyrażam zgodę na wielokrotne przetwarzanie przez /.../ Sp. z o.o., ul. /.../, tel. /.../, Sąd Rej. m.st. W-wy KRS /.../, moich danych osobowych z kuponu w celach promocyjno – handlowych oraz na udostępnianie podmiotom trzecim z zapewnieniem dobrowolności, prawa dostępu do treści danych oraz ich poprawiania, kontroli i wnoszenia sprzeciwu (Art. 24, 25, 32, 47 ust. z dn. 29.08.97 o ochronie danych osobowych Dz. U. Nr 133, poz. 883 z póź. zm.). Składając podpis na formularzu zamówienia, zamawiający tym podpisem potwierdza wyrażenie zgody, że jego dane osobowe pozyskane w związku ze złożonym zamówieniem będą wykorzystywane w celu realizacji zamówienia, oraz w celach promocyjno – handlowych jak również, że jego dane będą udostępniane podmiotom trzecim „z zapewnieniem dobrowolności”.
Wobec wyżej przedstawionych ustaleń faktycznych, Generalny Inspektor Ochrony Danych Osobowych wydał w dniu 30 marca 2005 r. decyzję administracyjną (znak: GI-DEC-DS-60/05/167), mocą której nakazał Sp. z o.o. usunięcie uchybień w procesie przetwarzania danych osobowych osób zamawiających oferowane przez nią produkty, pozyskiwanych za pośrednictwem formularzy zamówień, poprzez umożliwienie osobom zamawiającym produkty Spółki, wyrażenia odrębnej zgody na udostępnienie ich danych osobowych ujawnionych w formularzu zamówienia innym podmiotom oraz na wykorzystywanie ich danych w celach promocyjno - handlowych podmiotów trzecich, a także poprzez wypełnianie wobec osób zamawiających produkty Sp. z o.o. obowiązku informacyjnego określonego w art. 24 ust. 1 pkt 2 ustawy o ochronie danych osobowych, poprzez poinformowanie o przewidywanych odbiorcach lub kategoriach odbiorców ich danych osobowych.
Spółka – w ustawowym terminie – złożyła wniosek o ponowne rozpatrzenie sprawy rozstrzygniętej ww. decyzją. W jego uzasadnieniu stwierdziła, że nie zgadza się ze stanowiskiem Generalnego Inspektora Ochrony Danych Osobowych, „że sposób pozyskiwania zgody klientów nie spełnia wymogów ustawowych”. W odniesieniu do punktu 1 decyzji Spółka podniosła, że „klauzula o wyrażeniu zgody na przetwarzanie danych i miejsce na podpis klienta znajduje się poza kuponem zamówienia”. Świadczyć o tym ma – jak wskazała /.../ Sp. z o.o. – „czerwona linia oddzielająca kupon od klauzuli i podpisu”. Klient składając podpis podpisuje zgodę na przetwarzanie danych, a nie zamówienie. Jak wyjaśniła Spółka, biorąc pod uwagę, iż klient odręcznie wpisuje swoje dane w kuponie „jego oświadczenia woli o zakupie jest jednoznaczne i nie jest wymagany jego podpis na kuponie”. W przypadku natomiast braku podpisu pod klauzulą, dane klienta „nie są przetwarzane”, a jedynie wykorzystane do realizacji konkretnego zamówienia. Spółka podkreśliła również, że „klient może odstąpić od umowy poprzez nieodebranie zamówionego towaru bądź jego zwrot”.
W odniesieniu natomiast do punktu 2 decyzji Generalnego Inspektora Ochrony Danych Osobowych /.../ Sp. z o.o. podniosła, iż „pozyskując dane osobowe spółka nie przewiduje w tej dacie możliwości przekazywania tych danych podmiotom trzecim”. Wskazała zarazem, że „biorąc jednak pod uwagę zastrzeżenia Generalnego Inspektora Ochrony Danych Osobowych co do spełnienia obowiązku, o którym mowa w art. 24 ust. 1 pkt 2 ustawy, klauzula zostanie zmodyfikowana w następnych ogłoszeniach i wskazani zostaną ewentualni odbiorcy”. Spółka przedstawiła w załączeniu do wniosku o ponowne rozpatrzenie sprawy formularz zamówienia wraz z zawartą w nim klauzulą dotyczącą przetwarzania danych osobowych. Przedmiotowy formularz zawiera klauzulę dotyczącą przetwarzania danych osobowych w swej treści identyczną jak klauzula, co do której Generalny Inspektor Ochrony Danych Osobowych wszczął postępowanie administracyjne zakończone zaskarżoną przez Sp. z o.o. decyzją.
I. Wobec wyżej przytoczonej argumentacji dotyczącej punktu 1 zaskarżonej decyzji, wskazać należy, że w odniesieniu do klauzuli zawartej w formularzu zamówienia dotyczącej zgody osób zamawiających produkty oferowane przez Sp. z o.o. na przetwarzanie ich danych osobowych Spółka nie przedstawiła żadnych nowych okoliczności faktycznych i prawnych, które mogłyby mieć wpływ na zmianę rozstrzygnięcia Generalnego Inspektora Ochrony Danych Osobowych z dnia 30 marca 2005 r. Podkreślić bowiem należy, że układ graficzny formularza (umiejscowienie na formularzu klauzuli dotyczącej przetwarzania danych osobowych) nie daje podstaw do przyjęcia twierdzenia Spółki, iż „klient składając podpis [na formularzu kuponu] podpisuje zgodę na przetwarzanie danych, a nie na zamówienie”. Nie ma tu znaczenia również wskazywany przez Spółkę fakt, iż kupon zamówienia został „oddzielony” od klauzuli dotyczącej przetwarzania danych osobowych i podpisu „czerwoną linią”. Co najwyżej, w tej sytuacji można jedynie domniemywać, że złożony przez osobę składającą zamówienie podpis potwierdzać może jej akceptację treści klauzuli dotyczącej przetwarzania jej danych (wyrażenia zgody na udostępnienie jej danych podmiotom trzecim). Nie może on być natomiast – z całą stanowczością należy stwierdzić – bezsporną podstawą do uznania, że osoba składająca ten podpis wyraziła nim zgodę na przekazanie jej danych podmiotom trzecim. W konsekwencji, w niniejszej sprawie – w ocenie Generalnego Inspektora Ochrony Danych Osobowych –Sp. z o.o. poprzez interpretację złożonego podpisu na formularzu jako potwierdzenie akceptacji na takie przekazywania danych działa w sposób sprzeczny z ustawą o ochronie danych osobowych.
Wciąż aktualne pozostają zatem twierdzenia Generalnego Inspektora Ochrony Danych Osobowych zawarte w uzasadnieniu zaskarżonej decyzji co do sprzeczności zamieszczonej w formularzy zamówienia klauzuli z przepisami ustawy o ochronie danych osobowych. Powtórzyć trzeba, że ustawa o ochronie danych osobowych w art. 2 ust. 1 określa zasady postępowania przy przetwarzaniu danych osobowych oraz prawa osób fizycznych, których dane są lub mogą być przetwarzane w zbiorach danych. Przetwarzanie danych osobowych – w tym ich udostępnianie i pozyskiwanie – jest zgodne z prawem wówczas, gdy administrator danych legitymuje się posiadaniem co najmniej jednej z przesłanek wymienionych w art. 23 ust. 1 ustawy. Stosownie do art. 23 ust. 1 pkt 1, przetwarzanie danych osobowych jest dopuszczalne wtedy, gdy osoba, której dane dotyczą, wyrazi na to zgodę. Natomiast w myśl art. 7 pkt 5 ustawy przez zgodę osoby, której dane dotyczą rozumie się oświadczenie woli, którego treścią jest zgoda na przetwarzanie danych osobowych tego, kto składa oświadczenie; zgoda nie może być domniemana lub dorozumiana z oświadczenia woli o innej treści. W tym miejscu ponownie przytoczyć również trzeba treść art. 60 ustawy z dnia 23 kwietnia 1964 r. Kodeks cywilny (Dz. U. Nr 16, póz. 93 z późn. zm.), który stanowi, iż z zastrzeżeniem wyjątków w ustawie przewidzianych, wola osoby dokonującej czynności prawnej może być wyrażona przez każde zachowanie się tej osoby, które ujawnia jej wolę w sposób dostateczny (...). Zgodnie natomiast z treścią art. 65 § l Kodeksu cywilnego, zgodę, jako oświadczenie woli należy tak tłumaczyć, jak tego wymagają ze względu na okoliczności, w których złożone zostało, zasady współżycia społecznego oraz ustalone zwyczaje. Jednocześnie, w myśl § 2 powołanego przepisu w umowach należy raczej badać, jaki był zgodny zamiar stron i cel umowy, aniżeli opierać się na jej dosłownym brzmieniu. Również w doktrynie funkcjonuje stanowisko, zgodnie z którym, jeżeli osoba zbierająca, czy w inny sposób przetwarzająca dane osobowe zwraca się o zgodę, musi to zostać sformułowane w sposób jednoznaczny i wyróżniać się spośród innych pochodzących od tej osoby informacji i oświadczeń.
W niniejszej sprawie natomiast brak jest podstaw do uznania, iż zgoda na przetwarzanie danych w kwestionowanym zakresie jest odbierania przez Sp. z o.o. z uwzględnieniem powyższych rygorów. Ponadto, przedstawiona przez Spółkę we wniosku o ponowne rozpoznanie sprawy – odmienna od stanowiska Generalnego Inspektora Ochrony Danych Osobowych – interpretacja skutków złożenia podpisu na formularzu (według Spółki jest potwierdzeniem zgody na przetwarzanie danych osobowych a nie potwierdzenia woli złożenia zamówienia) jest, w świetle wyżej przytoczonych przepisów prawa oraz stanowiska doktryny, nie do zaakceptowania. Bez znaczenia dla takiej oceny jest twierdzenie Sp. z o.o., iż klient odręcznie wpisując swoje dane w kuponie wyraża tym samym oświadczenie woli o zakupie i w związku z tym „nie jest wymagany jego podpis na kuponie”, oraz, że „klient zawsze może odstąpić od umowy poprzez nieodebranie zamówionego towaru bądź jego zwrot”. Ocena skuteczności (prawidłowości) złożenia zamówienia oraz praw klienta w zakresie dotyczącym jego wykonania nie należy do kompetencji Generalnego Inspektora Ochrony Danych Osobowych i nie ma wpływu na ocenę legalności przetwarzania danych osobowych w analizowanym w niniejszej sprawie zakresie.
Odnieść się w tym miejscu należy również do stwierdzenia Spółki, iż „w przypadku braku podpisu pod klauzulą, dane klienta nie są przetwarzane, a jedynie wykorzystane do realizacji konkretnego zamówienia”. Dla wykazania nieprawdziwości tego twierdzenia – jego wewnętrznej sprzeczności – wystarczy przytoczyć definicję przetwarzania danych zawartą w art. 7 pkt 2 ustawy o ochronie danych osobowych. Zgodnie z tym przepisem, jako przetwarzanie danych osobowych rozumie się jakiekolwiek operacje wykonywane na danych osobowych, takie jak zbieranie, utrwalanie, przechowywanie, opracowywanie, zmieniane, udostępnianie i usuwanie, a zwłaszcza te, które wykonuje się w systemach informatycznych. W świetle tej definicji, w niniejszej sprawie nie można zatem mówić o nie przetwarzaniu danych przez Spółkę w sytuacji ich „wykorzystywania” do realizacji zamówienia. Taka argumentacja Spółki zawarta we wniosku o ponowne rozpatrzenie sprawy świadczyć może jedynie – w ocenie Generalnego Inspektora Ochrony Danych Osobowych – o niskim stopniu znajomości przepisów regulujących kwestię przetwarzania danych osobowych, choć działalność Sp. z o.o. głównie opiera się na przetwarzaniu danych osób, które złożyły zamówienie na oferowany przez Spółkę produkt. Od takiego podmiotu – podkreślić należy – oczekiwać trzeba nie tylko szczególnej znajomości tych przepisów ale także ich konsekwentnego stosowania, czego w niniejszej sprawie nie można stwierdzić wobec Sp. z o.o.
Ponadto, wskazać powtórnie należy, że w świetle przepisów ustawy o ochronie danych osobowych, złożenie zamówienia poprzez przesłanie wypełnionego formularza zamówienia o analizowanej w niniejszej sprawie treści i formie legalizuje przetwarzanie przez Sp. z o.o. danych osobowych klientów jedynie w celu realizacji złożonego zamówienia i znajduje podstawę prawną w art. 23 ust 1 pkt 3 ustawy o ochronie danych osobowych. Zgodnie z tym przepisem, przetwarzanie danych jest dopuszczalne gdy jest to konieczne do realizacji umowy, gdy osoba, której dane dotyczą, jest jej stroną lub gdy jest to niezbędne do podjęcia działań przed zawarciem umowy na żądanie osoby, której dane dotyczą. Udostępnianie natomiast danych osobowych podmiotom trzecim, czy też ich ewentualne wykorzystywanie w celach marketingowych (promocyjno – handlowych) podmiotów możliwe jest dopiero po uzyskaniu, wyodrębnionej spośród innych oświadczeń, zgody osoby, której dane dotyczą, na tego rodzaju przetwarzanie, tj. na podstawie przesłanki określonej w art. 23 ust. l pkt l ustawy. W niniejszej sprawie natomiast – jak to już wyżej wykazano – Spółka nie spełniła w sposób prawidłowy warunków zastosowania przesłanki legalności przetwarzania danych osobowych z art. 23 ust. 1 pkt 1 ustawy.
Dodać na marginesie należy, że stosownie do przepisu art. 23 ust. 1 pkt 5 ustawy, przetwarzanie danych jest dopuszczalne, gdy jest niezbędne dla wypełniania prawnie usprawiedliwionych celów realizowanych przez administratorów danych albo odbiorców danych, a przetwarzanie nie narusza praw i wolności osoby, której dane dotyczą. Zgodnie zaś z art. 23 ust. 4 pkt 1 ustawy, za prawnie usprawiedliwiony cel, o którym mowa w ust. 1 pkt 5, uważa się w szczególności marketing bezpośredni własnych produktów lub usług administratora danych. Zatem w sytuacji, gdy Sp. z o.o. miałaby przetwarzać dane osobowe jedynie w celu marketingowym własnych produktów, nie jest konieczne odbieranie na to odrębnej zgody. Trzeba jednakże wyraźnie podkreślić, że w toku prowadzonego przez Generalnego Inspektora Ochrony Danych Osobowych postępowania, w tym również we wniosku o ponowne rozpatrzenie sprawy, Spółka nie wykazała, aby przetwarzała dane wyłącznie w celach promocyjno – handlowych własnych produktów. Jeżeli natomiast dane osobowe pozyskane przez Sp. z o.o. w związku ze złożeniem zamówienia miałyby być udostępniane innym podmiotom, czy też przetwarzane w celach promocyjno – handlowych podmiotów trzecich, konieczne jest odebranie przez administratora danych (Sp. z o.o.) na to odrębnej zgody, poprzez zawarcie w formularzu zamówienia odpowiedniej klauzuli zgody w sposób zapewniający zamawiającemu dowolność co do jej wyrażenia. Powyższe stanowisko znajduje potwierdzenie w orzecznictwie NSA. Przytoczyć tu można choćby wyrok z dnia 19 listopada 2001 r. (sygn. akt II SA 2748/00), w którym Naczelny Sąd Administracyjny stwierdził, iż udostępnienie danych osobowych podmiotom trzecim powinno być odrębnym oświadczeniem woli, nie musi bowiem dana osoba godzić się na udostępnienie swoich danych osobom trzecim, czy wyrok Naczelnego Sądu Administracyjnego z dnia 4 kwietnia 2003 r. (sygn. II SA 2135/2002), gdzie NSA wskazał, iż zgoda na przekazywanie danych musi mieć charakter wyraźny, a jej wszystkie aspekty muszą być jasne dla podpisującego w momencie jej wyrażania.
Konkludując, analizowania przez Generalnego Inspektora Ochrony Danych Osobowych zawarta w używanym przez Sp. z o.o. formularzu zamówienia klauzula dotyczącą przetwarzania danych osobowych, w zakresie dotyczącym pozyskania zgody na udostępnianie danych podmiotom trzecim i wykorzystywanie ich w celach marketingowych (promocyjno – handlowych) podmiotów trzecich, jest sprzeczna z ustawą o ochronie danych osobowych. Jej funkcjonowanie w obecnej formie i treści może bowiem powodować przeświadczenie u zamawiającego, że musi składając zamówienie wyrazić jednocześnie zgodę na przetwarzanie jego danych w powyższym zakresie, i że jest to bezwzględny warunek realizacji złożonego zamówienia, co w świetle przytoczonych okoliczności prawnych uznać należy za niedopuszczalne i naruszające prawa osób, których dane zawarte są w formularzu. Inaczej rzecz ujmując, w przedmiotowej sprawie - co do kwestii zgody na udostępnienie danych podmiotom trzecim i wykorzystywanie ich w celach promocyjno – handlowych tych podmiotów, nie jest zapewniona gwarantowana ustawowo opcjonalność, tj. prawo do wyrażenia odrębnej zgody (lub odmowy jej wyrażenia) co do przetwarzania danych osobowych w powyższym zakresie. Reprezentowane przez Spółkę stanowisko, iż „klient składając podpis podpisuje zgodę na przetwarzanie danych, a nie zamówienie”, uznać należy w świetle przytaczanych wyżej przepisów za całkowicie bezpodstawne.
W związku z tym, w celu zapewnienia przetwarzania danych osobowych osób składających zamówienie zgodnego z przepisami ustawy o ochronie danych osobowych, formularz zamówienia powinien zostać zmieniony poprzez wyodrębnienie w nim niezależnej od treści decydującej o skuteczności złożonego zamówienia – klauzuli dotyczącej zgody na przetwarzanie danych w omawianym wyżej zakresie, gdyż klauzula zawarta w formularzu zamówienia w aktualnie obowiązującej formie i treści prowadzi do swoistego „wymuszenia” zgody.
II. Co do kwestii wypełniania wobec osób zamawiających produkty Sp. z o.o. obowiązku informacyjnego określonego w art. 24 ust. 1 pkt 2 ustawy o ochronie danych osobowych, poprzez poinformowanie o przewidywanych odbiorcach lub kategoriach odbiorców ich danych osobowych, Spółka wskazała w rozpatrywanym wniosku, iż „nie przewiduje w tej dacie możliwości przekazywania tych danych podmiotom trzecim”. Zestawiając powyższe twierdzenie z materiałem dowodowym zebranym w niniejszej sprawie nasuwa się wniosek, że wyjaśnienia Spółki w tym zakresie są sprzeczne. O tym bowiem, że do udostępniania dochodzi (będzie dochodzić) świadczyć może nie tylko fakt odbierania w kwestionowanym formularzu - choć w sposób nieskuteczny w świetle przepisów ustawy o ochronie danych osobowych, to jednak wskazujący na możliwość wystąpienia takiego procederu - zgody na udostępnianie danych podmiotom trzecim oraz prowadzenie marketingu ich produktów i usług, ale przede wszystkim stwierdzenia zawarte w pismach kierowanych do Biura Generalnego Inspektora Ochrony Danych Osobowych przez Sp. z o.o. W piśmie z dnia 23 listopada 2004 r. (pismo w aktach sprawy) Spółka wyjaśniła, iż udostępnia (przekazuje) dane osobowe, których jest administratorem podmiotom trzecim, tj. Sp. z o.o. 1 i Sp. z o.o. 2 „na podstawie zawartych umów do wykorzystania dla celów promocyjno – handlowych”. W piśmie z dnia 12 grudnia 2004 r. Spółka stwierdziła natomiast, że „dane przekazane zostały jedynie spółce Sp. z o.o. 1 na podstawie umowy dla celów promocyjno – handlowych”. Sp. z o.o. przedstawiła kopię stosownej umowy z dnia 7 lutego 2003 r. zawartej pomiędzy ww. podmiotami, z której wynika, iż Sp. z o.o. sprzedaje Sp. z o.o. 1 „informacje adresowe”. Powyższe wyjaśnienia wskazują, że wbrew temu co podniesiono we wniosku o ponowne rozpatrzenie sprawy, Spółce znani są (w czasie odbierania zgody) przewidywani odbiorcy lub kategorie odbiorców danych. Z uwagi na powyższe, przyjęcie przez Generalnego Inspektora Ochrony Danych Osobowych w zaskarżonej przez Sp. z o.o. decyzji, iż Spółka nie wypełniła dyspozycji z art. 24 ustawy było uzasadnione, zwłaszcza, że zgodnie z art. 24 ust. 1 pkt 2 ustawy, w przypadku zbierania danych osobowych od osoby, której one dotyczą, administrator danych jest obowiązany poinformować tę osobę o celu zbierania danych, nie tylko o znanych mu w czasie udzielania informacji ale również przewidywanych odbiorcach lub kategoriach odbiorców danych. Ponadto, nie ma żadnych nowych przesłanek, mających wpływ na zmianę przez Generalnego Inspektora Ochrony Danych Osobowych oceny niniejszej sprawy w tym zakresie.
Podkreślić przy tym należy, że załączony przez Spółkę do wniosku o ponowne rozpoznanie sprawy formularz zamówienia zawiera klauzulę dotyczącą przetwarzania danych osobowych o takiej samej treści, jak klauzula, której treść stała się podstawą do wszczęcia postępowania i wydania przez Generalnego Inspektora Ochrony Danych Osobowych kwestionowanej przez Sp. z o.o. decyzji. Powyższe nie daje podstaw do uznania, iż Spółka podjęła działania zmierzające zmodyfikowania klauzuli w kwestionowanym przez Generalnego Inspektor Ochrony Danych Osobowych zakresie.
W tym stanie faktycznym i prawnym Generalny Inspektor Ochrony Danych Osobowych rozstrzygnął, jak w sentencji.
Decyzja jest ostateczna. Na podstawie art. 21 ust. 2 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. z 2002 r. Nr 101, poz. 926 z późn. zm.), w związku z art. 13 § 2, 53 § 1 i art. 54 § 1 ustawy z dnia 30 sierpnia 2002 r. Prawo o postępowaniu przed sądami administracyjnymi (Dz. U. Nr 153, poz. 1270 z późn. zm.), stronie przysługuje w terminie 30 dni od dnia doręczenia niniejszej decyzji, skarga składana do Wojewódzkiego Sądu Administracyjnego w Warszawie za pośrednictwem Generalnego Inspektora Ochrony Danych Osobowych (adres: Biuro Generalnego Inspektora Ochrony Danych Osobowych, ul. Stawki 2, 00–193 Warszawa).
