GI-DEC-DS-364/05
2007-05-26
Decyzja Generalnego Inspektora Ochrony Danych Osobowych z dnia 3 listopada 2005 r., nr GI-DEC-DS-364/05, w sprawie wniosku o nakazanie Spółce, usunięcia danych osobowych Skarżącego, przetwarzanych przez Spółkę w związku z korzystaniem przez Skarżącego z internetowego serwisu aukcyjnego.
Warszawa, dnia 3 listopada 2005 r.
DECYZJA
Na podstawie art. 104 § 1 ustawy z dnia 14 czerwca 1960 r. – Kodeks postępowania administracyjnego (Dz. U. z 2000 r. Nr 98, poz. 1071 z późn. zm.), art. 12 pkt 1 i 2 oraz art. 18 ust. 1 pkt 6 a conntrario, w związku z art. 23 ust. 1 pkt 2 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. z 2002 r. Nr 101, poz. 926 z późn. zm.) oraz art. 16 ust. 1, art. 17, art. 19 ust. 2 pkt 3 oraz art. 21 ust. 1 i 2 ustawy z dnia 18 lipca 2004 r. o świadczeniu usług drogą elektroniczną (Dz. U. Nr 144, poz. 1204 z późn. zm.), po przeprowadzeniu postępowania administracyjnego w sprawie wniosku Pana X, zam. w (...), o nakazanie Sp. z o.o. 1, z siedzibą (...), usunięcia danych osobowych Pana X przetwarzanych przez Sp. z o.o. 1 w związku z korzystaniem przez niego z internetowego serwisu aukcyjnego (...),
odmawiam uwzględnienia wniosku.
Uzasadnienie
Do Biura Generalnego Inspektora Ochrony Danych Osobowych, zwanego dalej również Generalnym Inspektorem, wpłynęła skarga Pana X, zam. (...), zwanego dalej również Skarżącym, dotycząca przetwarzania jego danych osobowych przez Spółkę 1, zwaną dalej również Spółką, prowadzącą internetowy serwis aukcyjny (...), zwany dalej również serwisem. W skardze wskazano w szczególności: „Kilkukrotnie wnosiłem do serwisu (...) wnioski o usunięcie mych danych osobowych lecz nie zostały one spełnione ani nie przedstawiono mi powodów dlaczego tak uczyniono (...). Nadmieniam iż moje konto w serwisie zostało zawieszone dosyć dawno temu i w związku z tym nie mam możliwości przeprowadzać tam żadnych transakcji. Moje dane osobowe były tam zbierane i przetwarzane w celu realizacji transakcji oraz przeniesienia kosztów z nimi związanych, ponadto z serwisem rozliczyłem się (w sensie gotówkowym) a więc nie ma podstaw prawnych aby serwis mógł odmówić usunięcia mych danych osobowych ze swoich zbiorów. W związku z tym wnoszę o wydanie decyzji nakazującej usunięcie mych danych osobowych z bazy danych ”serwisu””.
W piśmie z dnia 22 czerwca 2005 r. Skarżący podniósł ponadto: „(...) wystąpiłem do Spółki 1 o usunięcie mych danych osobowych ze zbiorów w/w Spółki. Zgodnie z ustawą wystąpiłem z pisemnym umotywowanym wnioskiem o usunięcie mych danych, motywując swe żądanie tym że moje konto w serwisie zostało przez serwis zablokowane i nie mam fizycznej możliwości korzystania z usług tego serwisu. (...) Ponieważ cele przetwarzania mych danych osobowych ustały (kupno i sprzedaż a także czynności z nimi związane np.: opłaty) wniosłem o ich usunięcie. Wnosząc o usunięcie danych postąpiłem zgodnie z Art. 32. 1 pkt 6 oraz 7 ustawy o ochronie danych osobowych. (...) ustawa o ochronie danych osobowych nie nakłada na mnie obowiązku abym żądając usunięcia mych danych osobowych z bazy danych jakiegokolwiek administratora wypełniał jakiekolwiek formularze służące do usunięcia mych danych (...)”.
Natomiast w piśmie z dnia 14 lipca 2004 r. Skarżący wskazał, że wnosi o „nakazanie dla serwisu usunięcia ze zbioru danych wszystkich [jego] danych niezależnie od tego w związku z jakim kontem były przetwarzane”. Skarżący podkreślił przy tym: „(...) konto lewek 2004 nigdy nie było przeze mnie używane w celu w jakim zostało założone, ponieważ utraciłem do niego hasło umożliwiające korzystanie z niego. Ponadto zgodnie z polityką serwisu, jeżeli serwis zablokuje jedno konto, automatycznie blokowana jest możliwość korzystania z pozostałych kont. W związku z niemożliwością korzystania z żadnego z kont ‘wniosłem o usunięcie moich danych osobowych ze zbioru danych serwisu (...)”.
W toku prowadzonego przez Generalnego Inspektora Ochrony Danych Osobowych postępowania wyjaśniającego ustalono, iż:
1. Pan X „zarejestrował”, w internetowym serwisie aukcyjnym (...) - przy użyciu stosownego formularza - dwa konta, udostępniając w tym celu swoje dane osobowe. Konto o nazwie „lewek 12” zostało zarejestrowane w dniu 10 lutego 2004 r., natomiast kontoo nazwie „lewek 2004” w dniu 24 maja 2004 r.
2. W związku z kontem o nazwie „lewek 12” Spółka przetwarza dane osobowe Skarżącego w zakresie obejmującym: adres e-mail, imię i nazwisko, numer telefonu, adres zamieszkania, natomiast w związku z kontem o nazwie „lewek 2004”, dane w zakresie obejmującym: adres e-mail, imię i nazwisko, numer telefonu, adres zamieszkania i nazwisko panieńskie matki.
3. Na stronie internetowej zawierającej formularz rejestracyjny, który wypełnił Skarżący znajdowało się odesłanie do treści „Polityki ochrony prywatności”. Skarżący miał również możliwość zapoznać się z treścią Regulaminu serwisu, albowiem każdy użytkownik podczas wypełniania formularza rejestracji otrzymuje automatyczną informację, że na adres e-mail przesłana została dalsza instrukcja dotycząca dokończenia rejestracji oraz informację, o treści: „Dokończenie rejestracji jest równoznaczne z akceptacją Regulaminu”. Pełna treść Regulaminu wraz z załącznikami „wyświetlana jest natomiast w oknie przeglądarki umieszczonym pod powyższą informacją”.
4. W treści „Polityki ochrony prywatności” (pkt 5 - Procedura Usunięcia/Deaktywacji), w brzmieniu obowiązującym podczas rejestrowania przez Skarżącego obu kont, wskazano w szczególności: „Serwis zapewnia swoim Użytkownikom możliwość usunięcia swoich danych z bazy danych (...). Procedura usunięcia jest opisana szczegółowo w Pomocy Serwisu” [w tym miejscu ustanowiono stosowne ‘odesłanie’ do treści Pomocy].
5. W treści Pomocy Serwisu wskazano natomiast: „Wypełnij formularz [w tym miejscu ustanowiono stosowne ‘odesłanie’ do formularza] usunięcia danych i zamknięcia konta. Twoja prośba zostanie rozpatrzona w ciągu 10 dni roboczych od daty wypełnienia formularza. Formularz usunięcia danych należy wypełnić po 30 dniach od zakończenia aukcji, w których brałeś udział (...). Jeżeli korzystałeś z Serwisu w sposób niezgodny z przepisami prawa lub Regulaminem Serwisu, jeżeli nie zostały uregulowane należności wobec Serwisu albo nie zostały sfinalizowane wszystkie przeprowadzone transakcje – Twoje dane mogą zostać zachowane m.in. w celu ustalenia odpowiedzialności i uniemożliwienia dalszego niedozwolonego korzystania z usług Serwisu. Podstawą zachowania danych osobowych jest art. 19 ust. 2 Ustawy z dnia 18 lipca 2002 o świadczeniu usług drogą elektroniczną”.
6. W Regulaminie, obowiązującym w chwili rejestracji przez Skarżącego obu kont, znajdowały się m.in. następujące postanowienia:
- „Użytkownik w momencie rejestracji wyraża zgodę na umieszczenie i przetwarzanie informacji o swoich danych osobowych przez Serwis, na warunkach określonych w Polityce ochrony prywatności, stanowiącej Załącznik 1 [w tym miejscu ustanowiono ‘odesłanie’ do treści Polityki ochrony prywatności] do niniejszego Regulaminu. Wszelkie dane osobowe umieszczone przez Użytkownika będą przetwarzane zgodnie z Ustawą o Ochronie Danych Osobowych i prawem polskim” (art. 5.4),
- „Użytkownik może zażądać usunięcia swoich danych osobowych z bazy danych Serwisu” (art. 5.7),
- „Polityka ochrony prywatności Swrwisu zawarta jest w Załączniku 1 [w tym miejscu ponownie ustanowiono ‘odesłanie’ do treści Polityki ochrony prywatności] do niniejszego Regulaminu i stanowi jego część. Użytkownik wyrażając zgodę na warunki niniejszego Regulaminu, wyraża jednocześnie zgodę na sposób, w jaki Serwis traktuje dane przekazane w ramach tej polityki (...)” (art. 6),
- „Serwis zastrzega sobie prawo do zawieszenia konta Użytkownika, który łamie którekolwiek z postanowień niniejszego Regulaminu (...) (art. 14.1)”,
- „Osoba używająca zawieszonego konta lub osoba, której działalność została zakończona nie może ponownie zarejestrować się bez uprzedniej zgody Serwisu” (art. 14.3),
- „Serwis zastrzega sobie prawo do zawieszenia konta Użytkownika, którego działania zostaną uznane za szkodliwe dla Serwisu” (art. 14.5),
7. Konto Pana X o nazwie „lewek 12” zostało zawieszone „ze względu na działanie przez Skarżącego na szkodę serwisu”. Skarżący w ramach korzystania z ww. konta „wystawił tzw. ‘aukcje dla komentarza’, tzn. taką, której wyłącznym celem jest jedynie otrzymanie od innego użytkownika pozytywnego komentarza”. W wyjaśnieniach złożonych przez pełnomocnika Spółki wskazano: „Tzw. rating, czyli system komentarzy to jedno z podstawowych kryteriów oceny rzetelności i uczciwości kontrahenta na Serwisie, dlatego podejmujemy wszelkie konieczne działania, by pozostał on kryterium możliwie przejrzystym i obiektywnym. Podejmowane przez Skarżącego działania podważały wiarygodność systemu komentarzy, a zatem były działaniem na szkodę serwisu”. Pełnomocnik Spółki wskazał ponadto: „Ustalenie odpowiedzialności użytkownika Serwisu nie sprowadza się jedynie do stwierdzenia faktu naruszenia regulaminu świadczenia usług, ale również do ustalenia zakresu tego naruszenia, a co za tym idzie do stwierdzenia, czy sytuacja naruszania zasad ma miejsce nadal oraz czy będzie miała w przyszłości. (...) Zakres naruszania ma regulaminu Serwisu ma bezpośredni wpływ na możliwość dalszego korzystania przez tego użytkownika z usług serwisu”.
8. Ponieważ korzystając z konta o nazwie „lewek 2004” Skarżący nie naruszał „regulaminowych zasad” konto to jest obecnie nadal „aktywne”.
9. W związku z możliwością zaistnienia sytuacji, w których utrata hasła może uniemożliwić użytkownikowi (usługobiorcy) dalsze korzystanie z usług serwisu, w tym również skorzystanie z procedury zamknięcia konta i usunięcia danych, Serwis (Spółka) wprowadził „dodatkową metodę zabezpieczenia konta poprzez podanie nazwiska panieńskiego matki”. Jednorazowe podanie nazwiska panieńskiego matki „służy jako dodatkowe zabezpieczenie przy próbie wywołania opcji przypomnienia hasła oraz ma na celu zapewnić większe bezpieczeństwo użytkowników kont”. Skarżący skorzystał z ww. opcji i podał nazwisko panieńskie matki podczas logowania „na koncie ‘lewek 2004’” wobec czego miał i ma możliwość skorzystania z procedury zamknięcia tego konta i usunięcia danych przetwarzanych przez Spółkę w związku z tym kontem.
10. W sytuacji, gdy użytkownik (usługobiorca) nie ma możliwości skorzystania z procedury usunięcia danych na skutek utraty hasła i braku możliwości jego odzyskania, po zasygnalizowaniu tego problemu Serwisowi „drogą e-mailową” i zweryfikowaniu faktu, że do Serwisu występuje „osoba uprawniona” (użytkownik), osoba ta zostaje poinformowana przez serwis o „niestandardowej możliwości zamknięcia konta i usunięcia danych”. Jak wskazał pełnomocnik Spółki Skarżący nie sygnalizował Serwisowi „problemu związanego z utratą hasła do konta o nazwie ‘lewek 2004’”.
11. W dniu 14 lutego 2005 r. do serwisu (...) wpłynął e-mail Skarżącego, w którym – „w związku z zawieszeniem jego konta”, tj. konta o nazwie „lewek 12” - zażądał „usunięcia wszystkich [swoich] danych osobowych znajdujących się w posiadaniu serwisu (...)”. W odpowiedzi Skarżący został poinformowany, że „zamknięcie konta jaki i usunięcie danych z tegoż konta może odbyć się zgodnie z określoną procedurą, o której mowa na poniższej stronie [w tym miejscu podano adres internetowy do strony (treści Pomocy), zawierającej procedurę usunięcia danych i zamknięcia konta].
12. W kolejnych e-mailach kierowanych do serwisu Skarżący bezskutecznie ponawiał żądanie usunięcia swoich danych z „bazy danych Serwisu”.
Po zapoznaniu się z całością zgromadzonego w sprawie materiału dowodowego, Generalny Inspektor Ochrony Danych Osobowych zważył, co następuje:
Ustawa z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. z 2002 r. Nr 101, poz. 926 z późn. zm.) określa zasady postępowania przy przetwarzaniu danych osobowych oraz prawa osób fizycznych, których dane osobowe są lub mogą być przetwarzane w zbiorach danych (art. 2 ust. 1 ustawy o ochronie danych osobowych). Ogólne materialne przesłanki przetwarzania danych osobowych określone zostały w art. 23 ust. 1 ustawy o ochronie danych osobowych, przy czym podmiot przetwarzający dane powinien wykazać się co najmniej jedną z tych przesłanek, aby przetwarzanie danych mogło zostać uznane za zgodne z prawem. W myśl art. 23 ust. 1 pkt 2 ww. ustawy przetwarzanie danych jest dopuszczalne tylko wtedy, gdy jest to niezbędne dla zrealizowania uprawnienia lub spełnienia obowiązku wynikającego z przepisu prawa.
Aktem prawnym, który reguluje przetwarzanie danych osobowych osób fizycznych w ramach świadczenia usług drogą elektroniczną jest natomiast ustawa z dnia 18 lipca 2004 r. o świadczeniu usług drogą elektroniczną (Dz. U. Nr 144, poz. 1204 z późn. zm.). W myśl art. 16 ust. 1 ustawy o świadczeniu usług drogą elektroniczną, do przetwarzania danych osobowych w rozumieniu ustawy o ochronie danych osobowych w związku ze świadczeniem usług drogą elektroniczną stosuje się przepisy tej ustawy, o ile przepisy niniejszego rozdziału nie stanowią inaczej. W myśl art. 17 ustawy o świadczeniu usług drogą elektroniczną, dane osobowe usługobiorcy mogą być przetwarzane przez usługodawcę w celu i zakresie określonym w niniejszej ustawie. Zgodnie natomiast z przepisem art. 19 ust. 2 pkt 3 ustawy o świadczeniu usług drogą elektroniczną, po zakończeniu korzystania z usługi świadczonej drogą elektroniczną usługodawca może przetwarzać te spośród danych określonych w art. 18 (ustawy o świadczeniu usług drogą elektroniczną), które są niezbędne do wyjaśnienia okoliczności niedozwolonego korzystania z usługi, o którym mowa w art. 21 ust. 1 (ustawy o świadczeniu usług drogą elektroniczną). W przypadku uzyskania przez usługodawcę wiadomości o korzystaniu przez usługobiorcę z usługi świadczonej drogą elektroniczną niezgodnie z regulaminem lub obowiązującymi przepisami prawa (niedozwolone korzystanie), usługodawca może przetwarzać dane osobowe usługobiorcy w zakresie niezbędnym do ustalenia odpowiedzialności usługobiorcy, pod warunkiem, że utrwali dla celów dowodowych fakt uzyskania oraz treść tych wiadomości (art. 21 ust. 1 ustawy o świadczeniu usług drogą elektroniczną).
Uprawnienie do przetwarzania przez podmiot świadczący usługi drogą elektroniczną danych osobowych po zakończeniu korzystania przez użytkownika (usługobiorcy) z usługi wynika więc wprost ze wskazanych powyżej przepisów ustawy o świadczeniu usług drogą elektroniczną.
Zauważyć również należy, iż z ustawy o świadczeniu usług drogą elektroniczną wynika obowiązek wprowadzenia przez usługodawcę - wiążącego usługobiorców - regulaminu, który szczegółowo określa zasady świadczenia usługi. Otóż w myśl art. 8 ust. 1 ustawy o świadczeniu usług drogą elektroniczną, usługodawca: 1) określa regulamin świadczenia usług drogą elektroniczną, 2) nieodpłatnie udostępnia usługobiorcy regulamin przed zawarciem umowy o świadczenie takich usług, a także - na jego żądanie - w taki sposób, który umożliwia pozyskanie, odtwarzanie i utrwalanie treści regulaminu za pomocą systemu teleinformatycznego, którym posługuje się usługobiorca. Regulamin określa w szczególności: 1) rodzaje i zakres usług świadczonych drogą elektroniczną, 2) warunki świadczenia usług drogą elektroniczną, w tym: a) wymagania techniczne niezbędne do współpracy z systemem teleinformatycznym, którym posługuje się usługodawca, b) zakaz dostarczania przez usługobiorcę treści o charakterze bezprawnym, 3) warunki zawierania i rozwiązywania umów o świadczenie usług drogą elektroniczną, 4) tryb postępowania reklamacyjnego (art. 8 ust. 3 ustawy o świadczeniu usług drogą elektroniczną). Zauważyć przy tym należy, że stosownie do przepisu art. 8 ust. 2 ustawy o świadczeniu usług drogą elektroniczną, usługobiorca nie jest związany tymi postanowieniami regulaminu, które nie zostały mu udostępnione w sposób, o którym mowa w ust. 1 pkt 2. Oznacza to jednocześnie, że usługobiorca jest związany tymi postanowieniami regulaminu, które zostały mu właściwie udostępnione.
Odnosząc powyższe do okoliczności niniejszej sprawy zauważyć należy, iż Skarżący skorzystał (i nadal może korzystać) z usług świadczonych przez serwis internetowy (...) (Spółkę). Pan X „zarejestrował” bowiem w internetowym serwisie aukcyjnym (...) dwa konta – konto o nazwie „lewek 12” oraz konto o nazwie „lewek 2004”, udostępniając w tym celu dane osobowe. Wypełniając każdorazowo formularz rejestracyjny Skarżący akceptował Regulamin Serwisu i stanowiącą jego załącznik - Politykę ochrony prywatności. Co istotne Skarżący miał możliwość zapoznania się z pełną treścią obu dokumentów. Z powołanego powyżej przepisu art. 8 ust. 2 ustawy o świadczeniu usług drogą elektroniczną wynika więc, iż wiązały go (i nadal wiążą) postanowienia Regulaminu, które zostały mu udostępnione w ramach procesu rejestracji, a więc m.in. te dotyczące „podstaw” zawieszenia konta użytkownika (usługobiorcy) przez Serwis. Konto Pana X o nazwie „lewek 12” zostało zawieszone, albowiem Skarżący w ramach korzystania z tego konta „wystawił tzw. ‘aukcje dla komentarza’, tzn. taką, której wyłącznym celem jest jedynie otrzymanie od innego użytkownika pozytywnego komentarza”. W wyjaśnieniach złożonych przez pełnomocnika Spółki wskazano: „Tzw. rating, czyli system komentarzy to jedno z podstawowych kryteriów oceny rzetelności i uczciwości kontrahenta na Serwisie, dlatego podejmujemy wszelkie konieczne działania, by pozostał on kryterium możliwie przejrzystym i obiektywnym. Podejmowane przez Skarżącego działania podważały wiarygodność systemu komentarzy, a zatem były działaniem na szkodę serwisu”.
Ze względu na naruszenie postanowień Regulaminu, pomimo faktycznego zaprzestania świadczenia usługi w związku z kontem o nazwie „lewek 12”, spowodowanego zawieszeniem tego konta, Spółka - stosownie do przepisu art. 19 ust. 2 pkt 3 i art. 21 ust. 1 ustawy o świadczeniu usług drogą elektroniczną – ma prawo przetwarzać dane osobowe Skarżącego „związane” z tym kontem. Za uzasadnione należy przyjąć stanowisko Spółki, która odnośnie dalszego przetwarzania danych Skarżącego związanych z ww. kontem, wskazała, iż: „Ustalenie odpowiedzialności użytkownika Serwisu nie sprowadza się jedynie do stwierdzenia faktu naruszenia regulaminu świadczenia usług, ale również do ustalenia zakresu tego naruszenia, a co za tym idzie do stwierdzenia, czy sytuacja naruszania zasad ma miejsce nadal oraz czy będzie miała w przyszłości. (...) Zakres naruszania regulaminu Serwisu ma bezpośredni wpływ na możliwość dalszego korzystania przez tego użytkownika z usług serwisu”.
W literaturze (Komentarz do ustawy o świadczeniu usług drogą elektroniczna. X. Konarski. Difin. Warszawa 2004. str. 193-194) podkreśla się że: „Przepis art. 21 nie może być podstawą do ‘prewencyjnego’ przetwarzania danych osobowych wszystkich usługobiorców (np. ich przechowywania). W przepisie tym wyraźnie bowiem podkreślono, że przetwarzanie może dotyczyć tylko sytuacji uzyskania informacji o konkretnym zagrożeniu ze strony danego usługobiorcy. Ściśle z tym związany jest obowiązek utrwalenia przez usługodawcę faktu uzyskania oraz treści tych danych” (podkreślenie GIODO).
Warto zwrócić uwagę na fakt, iż legalność przetwarzania przez Spółkę danych osobowych Skarżącego na podstawie i w celu określonym w art. 19 ust. 2 pkt 3 i art. 21 ust. 1 ustawy o świadczeniu usług drogą elektroniczną nie jest uzależniona od wyrażenia przez niego zgody.
Co więcej, Spółka „zachowując” dane osobowe Skarżącego w celu „ustalenia jego odpowiedzialności”, nie miała obowiązku poinformowania go o tym fakcie. W myśl bowiem wskazanego powyżej art. 21 ust. 2 ustawy o świadczeniu usług drogą elektroniczną, usługodawca może, a nie musi, powiadomić usługobiorcę o jego nieuprawnionych działaniach z żądaniem ich niezwłocznego zaprzestania, a także o skorzystaniu z uprawnienia, o którym mowa w ust. 1, czyli o przetwarzaniu danych usługobiorcy w zakresie niezbędnym do ustalenia jego odpowiedzialności.
Zauważyć należy, iż w niniejszej sprawie Pan X nie wniósł skutecznie żądania usunięcia danych i zamknięcia któregokolwiek z kont, jakie posiada w serwisie. Skarżący nie skorzystał bowiem ze stosownego formularza dostępnego na stronach Serwisu, ograniczając się do kierowania do serwisu „drogą e-mailową” żądań „o usunięcie wszystkich danych znajdujących się w posiadaniu (...)”. Skarżący uzasadniając taki sposób postępowania wskazał: „(...) ustawa o ochronie danych osobowych nie nakłada na mnie obowiązku abym żądając usunięcia mych danych osobowych z bazy danych jakiegokolwiek administratora wypełniał jakiekolwiek formularze służące do usunięcia mych danych”. Z powyższym twierdzeniem Skarżącego należy się zgodzić. Jednakże fakt, iż takiego obowiązku nie nakłada ustawa o ochronie danych osobowych nie przesądza jeszcze o tym, iż skuteczne żądanie „usunięcia danych ze zbioru danych” podmiotu świadczącego usługę drogą elektroniczną, nie może być uzależnione od wypełnienia stosownego formularza. Taki obowiązek może bowiem wynikać – tak jak ma to w niniejszej sprawie – z regulaminu świadczenia usług drogą elektroniczną, który stosownie do powołanego już powyżej przepisu art. art. 8 ust. 2 ustawy o świadczeniu usług drogą elektroniczną wiąże usługobiorcę. W niniejszej sprawie Skarżący akceptując Regulamin Serwisu zaakceptował tryb – procedurę usuwania danych i zamknięcia konta. W treści „Polityki ochrony prywatności”, w brzemieniu obowiązującym podczas rejestrowania przez Skarżącego obu kont, wskazano bowiem w szczególności: „Serwis zapewnia swoim Użytkownikom możliwość usunięcia swoich danych z bazy danych (...). Procedura usunięcia jest opisana szczegółowo w Pomocy Serwisu”. W treści Pomocy Serwisu wskazano natomiast: „Wypełnij formularz usunięcia danych i zamknięcia konta. Twoja prośba zostanie rozpatrzona w ciągu 10 dni roboczych od daty wypełnienia formularza. Formularz usunięcia danych należy wypełnić po 30 dniach od zakończenia aukcji, w których brałeś udział (...). Jeżeli korzystałeś z Serwisu w sposób niezgodny z przepisami prawa lub Regulaminem Serwisu, jeżeli nie zostały uregulowane należności wobec Serwisu albo nie zostały sfinalizowane wszystkie przeprowadzone transakcje – Twoje dane mogą zostać zachowane m.in. w celu ustalenia odpowiedzialności i uniemożliwienia dalszego niedozwolonego korzystania z usług Serwisu. Podstawą zachowania danych osobowych jest art. 19 ust. 2 ustawy z dnia 18 lipca 2002 o świadczeniu usług drogą elektroniczną”. Podkreślić należy, iż o powyższym trybie postępowania Skarżący informowany był również w ramach „korespondencji e-mailowej” prowadzonej z nim przez pracowników Spółki (serwisu Serwisu).
W związku z powyższym brak jest podstaw, do rozpatrywania kwestii, czy art. 32 ust. 1 ustawy o ochronie danych osobowych zobowiązuje Spółkę do usunięcia danych osobowych Skarżącego. Dokonywanie oceny w tym zakresie byłoby zasadne wyłącznie w sytuacji skutecznego złożenia wniosku (wypełnienia stosownego formularza) przez Skarżącego, o czym była mowa powyżej.
Na koniec, odnosząc się do twierdzeń Skarżącego: „konto lewek 2004 nigdy nie było przeze mnie używane w celu w jakim zostało założone, ponieważ utraciłem do niego hasło umożliwiające korzystanie z niego” wskazać należy, iż dokonanych przez Generalnego Inspektora ustaleń wynika, że „utrata hasła do konta” nie uniemożliwia Skarżącemu wypełnienia stosownego formularza i ew. zamknięcia tegoż konta i usunięcia danych, przetwarzanych przez Spółkę (Serwis) w związku z tym kontem. Wobec możliwości zaistnienia sytuacji, w których utrata hasła może uniemożliwić użytkownikowi (usługobiorcy) dalsze korzystanie z usług serwisu, w tym również skorzystanie z procedury zamknięcia konta i usunięcia danych, Spółka wprowadziła bowiem „dodatkową metodę zabezpieczenia konta poprzez podanie nazwiska panieńskiego matki”. Jednorazowe podanie nazwiska panieńskiego matki „służy jako dodatkowe zabezpieczenie przy próbie wywołania opcji przypomnienia hasła oraz ma na celu zapewnić większe bezpieczeństwo użytkowników kont”. Co istotne Skarżący skorzystał z ww. opcji i podał nazwisko panieńskie matki podczas logowania na koncie o nazwie „lewek 2004” wobec czego miał i nadal ma możliwość skorzystania z procedury zamknięcia tego konta i usunięcia danych przetwarzanych przez Spółkę (Serwis) w związku z tym kontem. Nawet jednak w sytuacji, gdyby Skarżący nie miał możliwości skorzystania z procedury usunięcia danych na skutek utraty hasła i braku możliwości jego odzyskania, po zasygnalizowaniu tego problemu Serwis „drogą e-mailową” i zweryfikowaniu faktu, że do Serwisu występuje „osoba uprawniona” (użytkownik), Skarżący zostałby poinformowany przez serwis o „niestandardowej możliwości zamknięcia konta i usunięcia danych”. Podkreślić należy, iż - jak wskazał pełnomocnik Spółki - Skarżący nie sygnalizował Spółce „problemu związanego z utratą hasła do konta o nazwie ‘lewek 2004’”.
Reasumując, okoliczności niniejszej sprawy nie wskazują na naruszenia przepisów ustawy o ochronie danych osobowych, czy też przepisów ustawy o świadczeniu usług drogą elektroniczną regulujących przetwarzanie danych przez usługodawców, w związku z czym brak jest podstaw do uwzględnienia wniosku Skarżącego o nakazanie Spółce 1 usunięcia jego danych osobowych przetwarzanych przez tę Spółkę w związku z korzystaniem przez niego z internetowego serwisu aukcyjnego (...). Wskazać bowiem należy, iż stosownie do przepisu art. 18 ust. 1 ustawy o ochronie danych osobowych, wydanie przez Generalnego Inspektora jakiegokolwiek nakazu musi zostać poprzedzone stwierdzeniem przez niego naruszenia przepisów o ochronie danych osobowych przez dany podmiot (adresata nakazu), a decyzja musi mieć na celu przywrócenie stanu zgodnego z prawem.
W tym stanie faktycznym i prawnym, Generalny Inspektor Ochrony Danych Osobowych rozstrzygnął, jak w sentencji.
Decyzja niniejsza jest ostateczna. Na podstawie art. 21 ust. 1 ustawy o ochronie danych osobowych oraz art. 129 § 1 i § 2 Kodeksu postępowania administracyjnego stronie niezadowolonej z niniejszej decyzji przysługuje, w terminie 14 dni od dnia jej doręczenia, prawo złożenia do Generalnego Inspektora Ochrony Danych Osobowych wniosku o ponowne rozpatrzenie sprawy (adres: ul. Stawki 2, 00 – 193 Warszawa).
