DIS/DEC -487/21468, 21472/08
2009-04-25
GENERALNY INSPEKTOR OCHRONY DANYCH OSOBOWYCH
Michał Serzycki
Warszawa, dnia 19 sierpnia 2008 r.
D E C Y Z J A
Na podstawie art. 104 § 1 ustawy z dnia 14 czerwca 1960 r. Kodeks postępowania
administracyjnego (Dz. U. z 2000 r., Nr 98, poz. 1071 z późn. zm.), art. 12 pkt 2, art. 18 ust. 1 pkt 1
i art. 22 w związku z art. 24 ust. 1 pkt 1 oraz art. 31 ust. 1 i 2 ustawy z dnia 29 sierpnia 1997 r.
o ochronie danych osobowych (Dz. U. z 2002 r., Nr 101, poz. 926 z późn. zm.),
po przeprowadzeniu postępowania administracyjnego w sprawie przetwarzania danych osobowych
przez M Sp. z o.o., jako administratora danych osobowych uczestników loterii przetwarzanych na
podstawie umowy o świadczenie usług z dnia 1 grudnia 2003 r. przez P.
nakazuję
M.. z o.o. z siedzibą w , jako administratorowi danych osobowych uczestników loterii
promocyjnych, usunięcie uchybień w procesie przetwarzania danych osobowych w terminie
od dnia, w którym niniejsza decyzja stanie się ostateczna, poprzez:
1. Wskazanie w umowie zawartej przez Spółkę w dniu 1 grudnia 2003 r. z P.
z o.o. zakresu oraz celu przetwarzania przez P. danych osobowych uczestników loterii
promocyjnych
2. Dopełnienie obowiązku informacyjnego, o którym mowa w art. 24 ust. 1 pkt 1 ustawy
z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. z 2002 r., Nr 101, poz. 926
z późn. zm.), tj. poinformowanie o adresie swojej siedziby i pełnej nazwie laureatów loterii
promocyjnych.
U z a s a d n i e n i e
Inspektorzy upoważnieni przez Generalnego Inspektora Ochrony Danych
Osobowych przeprowadzili kontrolę w P. w celu ustalenia zgodności przetwarzania danych
osobowych z przepisami o ochronie danych osobowych (sygn. akt DIS-K-421/29/08), tj. ustawą z
dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. z 2002 r., Nr 101, poz. 926 z późn.
zm.), zwaną dalej ustawą, oraz rozporządzeniem Ministra Spraw Wewnętrznych i Administracji z
dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków
technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne
służące do przetwarzania danych osobowych (Dz. U. Nr 100, poz. 1024). W toku kontroli m.in.
odebrano od pracowników P.. ustne wyjaśnienia, oraz dokonano oględzin dokumentacji,
dotyczącej przetwarzania danych osobowych przez P. Stan faktyczny został szczegółowo opisany w
protokole kontroli, który został podpisany przez Prezesa Zarządu P..
Na podstawie zgromadzonego materiału dowodowego ustalono, że M. (zwana dalej również
Spółką), jako administrator danych, na podstawie umowy zawartej w dniu 1 grudnia 2003 r. o
świadczenie usług (zwanej dalej również umową ramową), powierzyła P. przetwarzanie danych
osobowych uczestników loterii promocyjnych. Stosownie do art. 31 ust. 3 ustawy, podmiot, o
którym mowa w ust. 1 (podmiot, któremu powierzono przetwarzanie danych osobowych), jest
obowiązany przed rozpoczęciem przetwarzania danych podjąć środki, zabezpieczające zbiór
danych, o których mowa w art. 36 – 39, oraz spełnić wymagania określone w przepisach, o których
mowa w art. 39a. W zakresie przestrzegania tych przepisów podmiot ponosi odpowiedzialność jak
administrator danych. Natomiast w myśl art. 31 ust. 4 ustawy, w przypadkach, o których mowa
w ust. 1 – 3, odpowiedzialność za przestrzeganie przepisów niniejszej ustawy spoczywa
na administratorze danych, co nie wyłącza odpowiedzialności podmiotu, który zawarł umowę,
za przetwarzanie danych niezgodnie z tą umową.
Na podstawie tak zgromadzonego materiału dowodowego ustalono, że w procesie
przetwarzania danych osobowych M. jako administrator danych osobowych uczestników loterii
naruszyła przepisy o ochronie danych osobowych.
Uchybienia te polegały na:
4. nie określeniu w umowie o świadczenie usług zawartej przez Spółkę w dniu 1 grudnia 2003
r.
z P. zakresu oraz celu przetwarzania danych osobowych uczestników loterii promocyjnych
powierzonych przez Spółkę, jako administratora danych, P. na podstawie ww. umowy.
5. nie informowaniu, wbrew obowiązkowi, uczestników loterii promocyjnych o adresie
siedziby Spółki i jej pełnej nazwie (art. 24 ust. 1 pkt 1 ustawy).
W związku z powyższym Generalny Inspektor Ochrony Danych Osobowych wszczął
z urzędu postępowanie administracyjne w niniejszej sprawie w celu wyjaśnienia okoliczności
sprawy.
W odpowiedzi na zawiadomienie o wszczęciu postępowania administracyjnego Spółka
pismem z dnia 20 czerwca 2008 r. przesłała wyjaśnienia w zakresie stwierdzonych uchybień, wraz
z wnioskiem o umorzenie postępowania w niniejszej sprawie. Ponadto pismami z dnia 16 lipca
2008 r. oraz z dnia 1 sierpnia 2008 r. Spółka przesłała dowody potwierdzające zmianę nazwy z X.
na M. w postaci aktualnego odpisu z Rejestru Przedsiębiorców Krajowego Rejestru Sądowego oraz
odpisu postanowienia sądu w sprawie zmiany danych w Krajowym Rejestrze Sądowym dla X.
W powołanych wyjaśnieniach Spółka przyznała, iż umową ramową z dnia 1 grudnia 2003 r.
o świadczenie usług oraz „umowami wykonawczymi” do powołanej umowy, zleciła P. organizację
i obsługę loterii promocyjnych, zwanych dalej również łącznie loterią, jednocześnie jednak
dowodząc, iż nie jest administratorem danych uczestników loterii na co podniosła następujące
argumenty.
Zdaniem Spółki zwrot „decyduje o celach i środkach przetwarzania danych osobowych",
który został użyty w definicji administratora danych zawartej w art. 7 pkt 4 ustawy, powinien być
utożsamiany z faktycznym i samodzielnym podejmowaniem ww. decyzji. Jak twierdzi Spółka
prócz podjęcia decyzji o organizacji loterii „w ogólności” nie podejmowała ona żadnych decyzji co
do działań promocyjnych związanych bezpośrednio lub pośrednio z loterią, w szczególności nie
podejmowała żadnych decyzji co do:
zakresu oraz kategorii danych uczestników loterii, które mają być przetwarzane,
celu ich przetwarzania,
środków wykorzystywanych w procesie przetwarzania ww. danych osobowych,
czynności, które mają być wykonywane na ww. danych,
udostępniania ww. danych osobom trzecim.
Jednocześnie Spółka stoi na stanowisku, iż jedynie łączne podejmowanie decyzji o utworzeniu
zbioru danych, celu jego utworzenia, kategoriach danych w nim gromadzonych, czynnościach
wykonywanych na ww. danych oraz o ich udostępnianiu osobom trzecim stanowi podstawę do
uznania danego podmiotu za administratora danych osobowych. Ponadto Spółka zaznaczyła, iż P.
nigdy nie przekazała jej jakichkolwiek danych osobowych uczestników loterii, zatem nie były one
przez Spółkę przetwarzane. Mając powyższe na uwadze Spółka uważa, iż nie przysługuje jej status
administratora w stosunku do danych osobowych uczestników loterii.
Spółka podnosi również, iż zgodnie z regułą wykładni umów wyrażoną w art. 65 § 2 ustawy
z dnia 23 kwietnia 1964 r. Kodeks cywilny (Dz. U. z 1964 r. Nr 16, poz. 93 z późn. zm.), przy
interpretacji postanowień każdej umowy należy badać w pierwszej kolejności „zgodny zamiar stron
i cel umowy". Zdaniem Spółki brak w umowie ramowej, której celem jest możliwie najdalej idące
zabezpieczenie interesów M. jakichkolwiek postanowień dotyczących przetwarzania danych
osobowych świadczy, iż zgodnym zamiarem i celem stron umowy ramowej było, aby wszystkie
decyzje związane z przetwarzaniem danych osobowych uczestników loterii podejmowane były
wyłącznie przez P. W innym wypadku Spółka zgłosiłby np. zastrzeżenia co do treści regulaminów
loterii, w których jako organizator i administrator danych wskazana została P.
Ponadto w przedstawionych wyjaśnieniach Spółka podkreśla, iż loteria promocyjna,
w rozumieniu art. 2 ust. 1 pkt 9 ustawy z dnia 29 lipca 1992 r. o grach i zakładach wzajemnych
(tekst jednolity: Dz. U. z 2004 r. Nr 4, poz. 27), prowadzona jest na podstawie zezwolenia ministra
właściwego do spraw finansów publicznych, udzielanego w formie decyzji administracyjnej
w rozumieniu art. 104 § 1 kodeksu postępowania administracyjnego. Regulamin loterii
promocyjnej, określający szczegółowe zasady i warunki prowadzenia loterii, jako element
ww. zezwolenia podlega również zatwierdzeniu przez ministra właściwego do spraw finansów
publicznych. Jak wskazuje Spółka loteria promocyjna powinna być prowadzona zgodnie
z warunkami zezwolenia, gdyż naruszenie tego obowiązku stanowi przestępstwo skarbowe
wskazane w art. 108 § 1 ustawy Kodeks karny skarbowy (tekst jednolity: Dz. U. z 2007 r. Nr 111,
poz. 765). Spółka zaznacza, iż zgodnie z postanowieniami zawartymi w regulaminach loterii
„Administratorem danych osobowych uczestników loterii promocyjnej jest P.”. Zatem, zdaniem
Spółki, z uwagi na określenie w prawomocnej decyzji właściwego organu administracji publicznej,
podmiotu pełniącego rolę administratora danych osobowych uczestników loterii, nie jest możliwym
odstępstwo od tejże kwalifikacji i przyjęcie, że rolę administratora danych pełni Spółka. Ponadto w
przedstawionych wyjaśnieniach Spółka podkreśla, iż w przedmiotowej sprawie działała w zaufaniu
do treści decyzji administracyjnych Ministra Finansów w sprawie udzielenia zezwolenia na
urządzenie ww. loterii oraz określenia zasad ich prowadzenia, a kwestionowanie tej okoliczności
obecnie przez inny organ administracji publicznej stanowi naruszenie zasady pogłębiania zaufania
obywateli do państwa, wyrażonej w art. 8 kodeksu postępowania administracyjnego. W związku
z powyższym Spółka nie może zostać narażona na negatywne konsekwencje takiego stanu rzeczy,
jeżeli zastosowała się do treści ww. decyzji.
Po zapoznaniu się z całością materiału dowodowego zebranego w sprawie Generalny
Inspektor Ochrony Danych Osobowych zważył, co następuje.
Argumenty podniesione przez Spółkę we wniosku o umorzenie postępowania nie zasługują na
uwzględnienie.
1. Zgodnie z art. 31 ust. 1 ustawy administrator danych może powierzyć innemu podmiotowi,
w drodze umowy zawartej na piśmie, przetwarzanie danych. Jak stanowi natomiast ust. 2
powołanego artykułu podmiot, o którym mowa w ust. 1, może przetwarzać dane wyłącznie
w zakresie i celu przewidzianym w umowie.
W toku czynności kontrolnych ustalono, że Spółka, jako administrator danych osobowych
uczestników loterii promocyjnych nie wskazała w umowie zawartej na piśmie zakresu oraz celu
przetwarzania ww. danych przez P. której powierzyła ich przetwarzanie na podstawie umowy z
dnia 1 grudnia 2003 r. o świadczenie usług.
W toku kontroli ustalono, iż w dniu 1 grudnia 2003 r. M. zawarła z P. umowę o świadczenie
usług, z treści której wynika, iż stanowi ona umowę ramową, na podstawie której strony zawierają
„wykonawcze umowy” o świadczenie usług, poprzez wysłanie przez M. do P. zamówień
stanowiących oferty w rozumieniu art. 66 kodeksu cywilnego. Na podstawie wskazanej umowy P.
prowadzi na rzecz Spółki loterie promocyjne. W związku z organizacją i obsługą ww. loterii
promocyjnych P. pozyskuje dane osobowe uczestników loterii promocyjnych. W piśmie z dnia 20
czerwca 2008 r. Spółka potwierdziła powyższe ustalenia przyznając, iż powołaną umową zleciła P.
organizację i obsługę loterii.
Z dokonanych ustaleń wynika, iż podmiotem inicjującym przeprowadzenie loterii była M.
Nie można zgodzić się ze stanowiskiem Spółki, iż podjęła ona w tym wypadku decyzję o
organizacji loterii jedynie „w ogólności” zarazem nie decydując o konkretnych działaniach
promocyjnych związanych bezpośrednio lub pośrednio z loterią, bowiem jako usługobiorca zlecając
przeprowadzenie loterii promocyjnej musiała liczyć się z faktem, iż charakter loterii promocyjnej
sprawia, że jej organizacja nierozłącznie wiąże się z pozyskiwaniem i przetwarzaniem danych
osobowych uczestników loterii. W związku z powyższym należy uznać, iż Spółka zlecając P.
organizację i obsługę loterii promocyjnych zleciła również ww. podmiotowi pozyskiwanie oraz
przetwarzanie danych osobowych ich uczestników w celu przeprowadzenia loterii. Należy
jednocześnie podkreślić, iż decyzja o organizacji loterii należała wyłącznie do M. Argumentacja
przedstawiona przez Spółkę, iż nie podejmowała ona żadnych decyzji co do środków
wykorzystywanych w procesie przetwarzania danych osobowych uczestników loterii oraz
czynności, które mają być wykonywane na ww. danych, jak również fakt, że nie otrzymała ona
nigdy od P. jakichkolwiek danych osobowych uczestników loterii nie stanowi podstawy, w
ustalonym stanie faktycznym, do uznania, iż M nie jest administratorem danych uczestników loterii.
Należy bowiem rozróżnić administratora danych od podmiotu, który administruje danymi w jego
imieniu. Jak wskazał to Sąd Najwyższy w postanowieniu z dnia 11 grudnia 2000 r. (sygn. II KKN
438/2000) „Nie można zgodzić się z poglądem, jakoby administrujący zbiorem, administrujący
danymi i administrator danych były tu pojęciami tożsamymi. (...) Na gruncie ustawy o ochronie
danych osobowych administratorem danych osobowych jest jedynie ten podmiot, który decyduje o
celach i środkach przetwarzania tych danych (art. 7 pkt 4 ustawy), natomiast administrującym -
także taki podmiot, który zarządza, zawiaduje zbiorem danych (art. 50, 51, 54) lub danymi (art. 52)
w procesie ich przetwarzania, w tym i powierzonego mu w trybie wskazanym w art. 31 tej ustawy
(...)”. Jak ustalono w toku kontroli zgodnie z umową ramową specyfikacje dotyczące danej usługi
przedstawione P. . przez M. stanowią integralną część umowy ramowej i „umów wykonawczych” i
zawierają standardy jakości oraz pozostałe cechy zamawianych usług. Ponadto z postanowień
powołanej umowy wynika, iż usługi świadczone M. przez P. uważa się za wykonane dopiero, gdy
zostaną one zaakceptowane na piśmie przez przedstawiciela Spółki. Należy zaznaczyć, iż M. sobie
prawo do kontroli procesu świadczenia ww. usług. Zgodnie z powołaną umową dokonuje ona
również akceptacji kosztorysu loterii. Zatem w przypadku ww. loterii, to M. decyduje o celach i
środkach przetwarzania danych osobowych uczestników loterii co czyni ją administratorem tych
danych, nawet jeżeli Spółka w pełni nie wykorzystuje przysługujących jej uprawnień.
Odnosząc się natomiast do wyjaśnień Spółki, w których podnosi, iż uznanie
jej za administratora danych uczestników loterii było by niezgodnie z warunkami zezwoleń
na urządzenie loterii, bowiem regulaminy loterii zatwierdzone przez Ministra Finansów stanowiące
załączniki do decyzji Ministra Finansów w sprawie udzielenia zezwolenia na urządzenie loterii oraz
określenia zasad ich prowadzenia, zawierają wprost zapis, iż administratorem danych osobowych
uczestników loterii promocyjnej jest P. należy wskazać, iż przedstawione przez Spółkę stanowisko jest
błędne.
Zgodnie z art. 24 ust. 1 ustawy o grach i zakładach wzajemnych zezwolenia na urządzanie
i prowadzenie działalności w zakresie gier losowych, zakładów wzajemnych lub gier na automatach
udziela minister właściwy do spraw finansów publicznych. Natomiast jak stanowi art. 13 ust. 1 powołanej
ustawy podmiot ubiegający się o zezwolenie na urządzanie lub prowadzenie działalności w zakresie gier
losowych (...) przedstawia ministrowi właściwemu do spraw finansów publicznych, do zatwierdzenia,
projekt regulaminu takiej gry lub zakładu. Należy jednak podkreślić, że art. 13 ust. 4 ustawy o grach
i zakładach wzajemnych szczegółowo wskazuje treść regulaminu gry losowej stanowiąc, iż regulamin gry
lub zakładu wzajemnego określa: 1) szczegółowe warunki i zasady gry lub zakładu, w tym określenie
wygranych, terminy oraz miejsca gry lub zakładu; 2) prawa i obowiązki uczestników gry lub zakładu;
3) nazwę podmiotu urządzającego grę lub zakład; 4) zasady postępowania reklamacyjnego oraz sposób
zgłaszania i rozpatrywania roszczeń wnoszonych przez uczestników gry lub zakładu; 5) wysokość
kapitału gry lub zakładu, przeznaczonego do natychmiastowej wypłaty wygranych. Zatem jak wynika
z analizy treści powołanego artykułu minister właściwy do spraw finansów publicznych zatwierdzając
regulamin danej loterii promocyjnej dokonuje oceny jego treści pod względem zgodności z przepisami
ustawy o grach i zakładach wzajemnych, w szczególności badając czy zawiera on wszystkie elementy
wskazane w ust. 4.
Należy zaznaczyć, iż zgodnie z ustawą o ochronie danych osobowych status administratora
danych nie jest kwestią umowną lecz o jego przyznaniu decyduje stan faktyczny. Zatem, określenie
administratora danych w umowie zawartej pomiędzy stronami w sytuacji, gdy wskazany w umowie
podmiot nie decyduje w rzeczywistości o celach i środkach przetwarzania danych osobowych nie ma
znaczenia dla oceny, która ze stron umowy jest administratorem danych osobowych.
Biorąc powyższe pod uwagę nie można przyjąć argumentacji Spółki za zasadną i należy
uznać, iż przedmiotowe uchybienie nie zostało usunięte.
2. Zgodnie z art. 24 ust. 1 pkt 1 ustawy, w przypadku zbierania danych osobowych od osoby, której
one dotyczą, administrator danych jest obowiązany poinformować tę osobę o adresie swojej
siedziby i pełnej nazwie, a w przypadku gdy administratorem danych jest osoba fizyczna
– o miejscu swojego zamieszkania oraz imieniu i nazwisku.
W toku czynności kontrolnych ustalono, że Spółka, jako administrator danych, nie realizuje
obowiązku informacyjnego określonego w art. 24 ust. 1 pkt 1 ustawy wobec uczestników loterii
promocyjnych, tj. nie informuje ww. osób o adresie swojej siedziby i jej pełnej nazwie (art. 24 ust.
1 pkt 1 ustawy).
Ponadto na podstawie zebranego w toku kontroli materiału dowodowego ustalono, iż
zarówno czas trwania ww. loterii promocyjnych jak również okres rozpatrywania reklamacji
dotyczących sposobu przeprowadzania przedmiotowych loterii promocyjnych zakończył się.
Dodatkowo pismem z dnia 20 czerwca 2008 r. Spółka wyjaśniła, iż dane osobowe uczestników ww.
loterii promocyjnych, którzy nie zostali ich laureatami będą podlegały stopniowemu niszczeniu,
natomiast w przypadku danych osobowych laureatów loterii będą one nadal przetwarzane przez
Spółkę w związku z obowiązkami nałożonymi na nią przez obowiązujące przepisy prawa. Jak
ustalono w toku kontroli dane laureatów ww. loterii, w stosunku do których P. wystawiła
jakiekolwiek dowody księgowe będą przetwarzane jeszcze przez okres co najmniej 5 lat zgodnie z
art. 74 ustawy z dnia 29 września 1994 r. o rachunkowości (Dz.U. 1994 r. Nr 121, poz. 591 z późn.
zm.).
Uwzględniając powyższe ustalenia, z których wynika, iż dane osobowe uczestników loterii,
którzy nie zostali ich laureatami, zostaną w najbliższym czasie zniszczone, należy uznać realizację
przez Spółkę obowiązku informacyjnego określonego w art. 24 ust. 1 pkt 1 ustawy wobec ww. osób
za nieuzasadnioną. Jednocześnie nie można jednak uznać, iż uchybienie w zakresie realizacji ww.
obowiązku wobec laureatów loterii promocyjnych zostało przez Spółkę usunięte.
Wobec powyższego, Generalny Inspektor Ochrony Danych Osobowych rozstrzygnął jak
w sentencji.
Decyzja jest ostateczna. Na podstawie art. 21 ust. 1 ustawy o ochronie danych osobowych
oraz art. 129 § 2 Kodeksu postępowania administracyjnego, strona niezadowolona z niniejszej
decyzji może zwrócić się do Generalnego Inspektora Ochrony Danych Osobowych (adres:
ul. Stawki 2, 00-193 Warszawa) z wnioskiem o ponowne rozpatrzenie sprawy, w terminie 14 dni od
dnia doręczenia niniejszej decyzji.
