GI-DEC-DS-324/05
2007-05-26
Decyzja Generalnego Inspektora Ochrony Danych Osobowych z dnia 30 września 2005 r. dotycząca przetwarzania danych przez podmiot, któremu powierzono przetwarzanie danych.
Warszawa, dnia 30 września 2005 r.
DECYZJA
Na podstawie art. 104 § 1 ustawy z dnia 14 czerwca 1960 r. – Kodeks postępowania administracyjnego (Dz. U. z 2000 r. Nr 98, poz. 1071 z późn. zm.) oraz art. 12 pkt 2, art. 18 ust. 1 pkt 1 w związku z art. 31 ust. 2 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. z 2002 r. Nr 101, poz. 926 z późn. zm.), po przeprowadzeniu postępowania administracyjnego ze skargi Pana A.B., w sprawie przetwarzania jego danych osobowych przez Spółkę 1 oraz Spółkę 2 (Towarzystwo Funduszy Inwestycyjnych),
1) nakazuję Spółce 1 przetwarzanie danych osobowych Pana A.B. wyłącznie w zakresie i celu przewidzianym w umowie z dnia 3 września 2004 r. zawartej ze Spółką 2,
2) w pozostałym zakresie odmawiam uwzględnienia wniosku.
Uzasadnienie
Do Biura Generalnego Inspektora Ochrony Danych Osobowych wpłynęła skarga Pana A.B., zwanego dalej również Skarżącym, dotycząca „nielegalnego pozyskania i gromadzenia [jego] danych osobowych”. Z przedmiotowej skargi wynikało, iż Pan A.B. otrzymał imiennie adresowane do niego pismo z dnia 21 lutego 2005 r. od Spółki 1, zawierające ofertę świadczenia niezamówionych przez niego „usług pośrednictwa finansowego”. W załączeniu Skarżący przesłał przedmiotowe pismo (znajduje się w aktach sprawy). Zdaniem Pana A.B. „korespondencja wskazuje na fakt bezprawnego pozyskania, gromadzenia i korzystania przez Spółkę 1 moich danych osobowych jak również informacji o zawartej umowie IKE”. Skarżący wniósł „o podjęcie stosownych działań prowadzących do zbadania jak doszło do pozyskania przez Spółkę 1 wskazanych danych, spowodowanie usunięcia z bazy danych Spółki 1 moich danych oraz ukaranie zarówno Spółki 1 – podmiotu gromadzącego i korzystającego bezprawnie z danych jak również Spółki 2 – zobowiązanego do zabezpieczenia i nadzoru gromadzonych danych”.
W związku z powyższym, Generalny Inspektor Ochrony Danych Osobowych wszczął postępowanie mające na celu wyjaśnienie niniejszej sprawy, w trakcie którego ustalił, że:
1) Pan A.B. otrzymał imiennie adresowaną niezamawianą przesyłkę, której nadawcą była Spółka 1, zachęcającą go do skorzystania z usług i produktów podmiotów innych niż Spółki 2.
2) Pismem z dnia 20 kwietnia 2004 r. Spółka 1 wyjaśniła Generalnemu Inspektorowi Ochrony Danych Osobowych, że jest dystrybutorem produktu Spółki 2 w postaci IKE – (...) i działa na podstawie zawartej z tym podmiotem stosownej umowy z dnia 3 września 2004 r. oraz „w oparciu o procedury określone przez Spółkę 2”.
3) Spółka 1 pozyskała dane osobowe Skarżącego w związku z podpisaniem przez niego, za pośrednictwem pracownika Spółki 1. w dniu 17 listopada 2004 r. umowy „IKE – (...)” (kopia umowy w aktach sprawy).
4) Przy zawieraniu ww. umowy z Panem A.B. (przy pozyskiwaniu jego danych osobowych) Spółka 1. działa na podstawie zawartej z ze Spółką 2 „umowy zlecenia” z dnia 3 września 2004 r. (kopia umowy w aktach sprawy). Spółka 1 została upoważniona do przetwarzania danych osobowych w zakresie zawierania umów IKE ich, „obsługi” i środków wpłaconych w ramach tych umów, oraz zobowiązała się do wykorzystywania danych osobowych „wyłącznie w celach związanych z wykonywaniem niniejszej umowy i obsługą Klientów”.
W tym stanie faktycznym Generalny Inspektor Ochrony Danych Osobowych zważył, co następuje:
I. Zgodnie z art. 31 ust. 1 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. z 2002 r. Nr 101, poz. 926 z późn. zm.), zwanej dalej również ustawą, administrator danych może powierzyć innemu podmiotowi, w drodze umowy zawartej na piśmie, przetwarzanie danych. Podmiot ten może przetwarzać dane wyłącznie w zakresie i celu przewidzianym w umowie (art. 31 ust. 1 pkt 2 ustawy). Stosownie do powyższego przepisu Spółka 2 (administrator danych osobowych Pana A.B.) powierzył przetwarzanie danych osobowych Skarżącego firmie Spółce 1. W tym celu zawarto ww. umowę, w której określono w szczególności, w jakim zakresie Spółka 1 jest upoważniona do przetwarzania danych osobowych, tj. „wyłącznie w celach związanych z wykonaniem niniejszej Umowy [zlecenia z dnia 3 września 2004 r. określającą zasady pośrednictwa przy zawieraniu umów IKE] i obsługą Klientów” (§ 5 ust. 6 pkt 2 umowy). W żadnym wypadku jednak Spółka 1 nie miała prawnej legitymacji do wykorzystywania danych Skarżącego do marketingu produktów i usług podmiotów trzecich. Podejmując takie działania, Spółka 1 działała niezgodnie z treścią umowy wiążącej ją z Towarzystwem, a w konsekwencji z naruszeniem cytowanego już art. 31 ustawy o ochronie danych osobowych. W świetle powyższego, stwierdzić trzeba, że przetwarzanie danych osobowych Pana A.B. przez Spółkę 1 w celu marketingu produktów i usług podmiotów trzecich nie miało podstaw prawnych. Z tego względu, Generalny Inspektor Ochrony Danych Osobowych niniejszą decyzją nakazał Spółce 1 przetwarzanie danych osobowych Pana A.B. wyłącznie w zakresie i celu przewidzianym w umowie z dnia 3 września 2004 r. zawartej z ze Spółką 2.
Dodać ponadto trzeba, że analizowane działanie Spółki 1 stanowiło naruszenie przepisów ustawy o ochronie danych osobowych, skutkujące odpowiedzialnością z art. 49 ust. 1 ustawy o ochronie danych osobowych. Zgodnie bowiem z tym przepisem, kto przetwarza w zbiorze dane osobowe, choć ich przetwarzanie nie jest dopuszczalne albo do których przetwarzania nie jest uprawniony, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do lat 2. Ze względu na powyższe, Generalny Inspektor Ochrony Danych Osobowych, działając zgodnie z dyspozycją art. 19 ustawy o ochronie danych osobowych, pismem z dnia 21 lipca 2005 r. (znak: GI-DS-430/206/05/4045) przesłał do Prokuratury Rejonowej Warszawa – Śródmieście zawiadomienie o popełnieniu przez osobę (osoby) odpowiedzialną w Spółki 1 za przetwarzanie danych w tym podmiocie danych osobowych Pana A.B. w celu marketingu produktów i usług podmiotów trzecich bez podstawy prawnej, przestępstwa z art. 49 ust. 1 ustawy o ochronie danych osobowych.
II. W odniesieniu natomiast do wniosku Skarżącego o nakazanie usunięcia z bazy danych Spółki 1 jego danych osobowych oraz ukaranie przez Generalnego Inspektora Ochrony Danych Osobowych za zaistniałą sytuację zarówno tej Spółki jak i Spółki 2 jako podmiotu zobowiązanego do zabezpieczenia i nadzoru gromadzonych danych, wskazać trzeba, iż w niniejszej sprawie brak jest podstaw faktycznych i prawnych do jego uwzględnienia. Jak wynika bowiem z zebranego w niniejszej sprawie materiału dowodowego, Spółka 1 oprócz omawianego już niezgodnego z przepisami ustawy o ochronie danych osobowych wykorzystania danych osobowych Pana A.B. w celu marketingu produktów i usług podmiotów trzecich nadal przetwarza dane osobowe Skarżącego ale w innych celach – związanych z koniecznością realizacji postanowień wiążącej tę Spółkę z ze Spółką 2 wspominanej już wcześniej, zawartej zgodnie z art. 31 ustawy o ochronie danych osobowych umowy. W myśl jej postanowień Spółka 1 jest upoważniona przez Spółkę 2 do przetwarzania danych osobowych, w tym danych Pana A. B. w związku z pośredniczeniem w zawieraniu umów o prowadzenie IKE i obsługą tak pozyskanych klientów. Taką natomiast umowę Pan A.B. zawarł w dniu 17 listopada 2004 r. z Spółkę 1 jako dystrybutorem IKE Spółki 2.
W związku z powyższym, brak jest podstaw do uwzględnienia żądania Skarżącego co do nakazania usunięcia jego danych ze zbiorów Spółki 1
Odnosząc się natomiast do wniosku Pana A.B. o ukaranie zarówno Spółki 1 jak i Spółki 2, jako podmiotów odpowiedzialnych za niezgodne z ustawą przetwarzanie jego danych osobowych, należy wskazać, że kwestia nakładania przez Generalnego Inspektora Ochrony Danych Osobowych sankcji w stosunku do osób winnych zarzucanych naruszeń w ramach decyzji administracyjnej nie mieści się w sferze decyzyjnych, merytorycznych rozstrzygnięć Generalnego Inspektora Ochrony Danych Osobowych. O ewentualnym skierowaniu zawiadomienia o popełnienia przestępstwa (zgodnie z dyspozycją art. 19 ustawy), czy wniosku o wszczęcie postępowania dyscyplinarnego wobec osób winnych „dopuszczenia do uchybień” (art. 17 ust. 2 ustawy), Generalny Inspektor Ochrony Danych Osobowych decyduje z urzędu a nie na wniosek uczestnika postępowania.
Zauważyć zarazem trzeba, że w niniejszej sprawie Generalny Inspektor Ochrony Danych Osobowych postąpił zgodnie z art. 19 ustawy o ochronie danych osobowych, tj. wskazanym już wcześniej pismem z dnia 21 lipca 2005 r. złożył zawiadomienie o popełnieniu przez osobę (osoby) odpowiedzialną w Spółce 1 za przetwarzanie danych w tym podmiocie danych osobowych Pana A.B. przestępstwa określonego w art. 49 § 1 ustawy o ochronie danych osobowych. Dodać przy tym należy, iż nie ma żadnych przesłanek aby uznać, że w niniejszej sprawie doszło do naruszenia przepisów ustawy o ochronie danych osobowych przez Spółkę 2 Całość działań sprzecznych z tą ustawą, stanowiących podstawę odpowiedzialności karnej, była podejmowana przez Spółkę 1 i dlatego tylko tego podmiotu dotyczyło ww. zawiadomienie. Generalny Inspektor Ochrony Danych Osobowych nie ustalił żadnych okoliczności faktycznych i prawnych obciążających w tym zakresie Spółkę 2 Co więcej, z materiału dowodowego niniejszej sprawy wynika, że podmiot ten niezwłocznie po uzyskaniu informacji o kwestionowanym przez Skarżącego działaniu Spółki 1, podjął wobec tej Spółki działania mające na celu „wyjaśnienie zaistniałej sytuacji oraz zaprzestanie zastosowanej praktyki pod groźbą wypowiedzenia umowy zlecenia przez Towarzystwo”.
W tym stanie faktycznym i prawnym Generalny Inspektor Ochrony Danych Osobowych rozstrzygnął, jak w sentencji.
Decyzja niniejsza jest ostateczna. Od niniejszej decyzji – na podstawie art. 127 § 3 Kodeksu postępowania administracyjnego w zw. art. 21 ust. 1 ustawy o ochronie danych osobowych stronie niezadowolonej z niniejszej decyzji przysługuje, w terminie 14 dni od dnia jej doręczenia, prawo złożenia do Generalnego Inspektora Ochrony Danych Osobowych wniosku o ponowne rozpatrzenie sprawy (adres: Biuro Generalnego Inspektora Ochrony Danych Osobowych, ul. Stawki 2, 00 – 193 Warszawa).
