DIS/DEC-435/18348/08 dot. DIS-K-421/2/08
2009-04-26
GENERALNY INSPEKTOR OCHRONY DANYCH OSOBOWYCH
Michał Serzycki
Warszawa, dnia 18 lipca 2008 r.
D E C Y Z J A
Na podstawie art. 104 § 1 ustawy z dnia 14 czerwca 1960 r. Kodeks postępowania
administracyjnego (Dz. U. z 2000 r. Nr 98, poz. 1071 z późn. zm.), art. 12 pkt 2, art. 18 ust. 1 pkt 1
i art. 22 w związku z art. 7 pkt 5 i art. 23 ust. pkt 1 ustawy z dnia 29 sierpnia 1997 r. o ochronie
danych osobowych (Dz. U. z 2002 r. Nr 101, poz. 926 z późn. zm.), po przeprowadzeniu
postępowania administracyjnego w sprawie przetwarzania danych osobowych przez S, jako
administratora danych przetwarzanych na podstawie umowy, o której mowa w art. 31 ust. 1 ustawy
o ochronie danych osobowych przez I,
nakazuję
S, jako administratorowi danych osobowych, usunięcie uchybień w procesie przetwarzania
danych osobowych, poprzez umieszczenie w treści kuponów konkursowych klauzuli zgody
na przetwarzanie danych osobowych, sformułowanej w sposób zapewniający uczestnikom
konkursów opcjonalność w kwestii wyrażenia zgody na przetwarzanie ich danych osobowych
w celach marketingowych oraz poprzez sprecyzowanie w treści przedmiotowej klauzuli,
na rzecz jakiego podmiotu będą prowadzone działania marketingowe, w terminie 14 dni
od dnia, w którym niniejsza decyzja stanie się ostateczna.
U z a s a d n i e n i e
Inspektorzy, upoważnieni przez Generalnego Inspektora Ochrony Danych Osobowych,
przeprowadzili kontrolę w I, w celu ustalenia zgodności przetwarzania danych osobowych z
przepisami o ochronie danych osobowych (sygn. akt
DIS-K-421/2/08), tj. ustawą z dnia 29 sierpnia 1997 r. o ochronie danych osobowych
(Dz. U. z 2002 r., Nr 101, poz. 926 z późn. zm.), zwaną dalej również ustawą,
oraz rozporządzeniem Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r.
w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych
i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące
do przetwarzania danych osobowych (Dz. U. Nr 100, poz. 1024), zwanym dalej rozporządzeniem.
W toku kontroli odebrano od pracowników I ustne wyjaśnienia, skontrolowano systemy
informatyczne oraz dokonano oględzin pomieszczeń, w których odbywa się przetwarzanie danych
osobowych. Stan faktyczny został szczegółowo opisany w protokole kontroli, który został
podpisany przez Prezesa I.
Na podstawie zgromadzonego materiału dowodowego ustalono, że S, jako administrator
danych osobowych, na podstawie umowy zawartej
w dniu 3 września 2007 r., powierzyła I przetwarzanie danych osobowych.
Ww. umowa stanowi umowę powierzenia przetwarzania danych osobowych, o której mowa
w art. 31 ust. 1 ustawy o ochronie danych osobowych. Stosownie do art. 31 ust. 3 ustawy, podmiot,
o którym mowa w ust. 1 (podmiot, któremu powierzono przetwarzanie danych osobowych), jest
obowiązany przed rozpoczęciem przetwarzania danych podjąć środki, zabezpieczające zbiór
danych, o których mowa w art. 36 – 39, oraz spełnić wymagania określone w przepisach, o których
mowa w art. 39a. W zakresie przestrzegania tych przepisów podmiot ponosi odpowiedzialność jak
administrator danych. Natomiast w myśl art. 31 ust. 4 ustawy, w przypadkach, o których mowa
w ust. 1 – 3, odpowiedzialność za przestrzeganie przepisów niniejszej ustawy spoczywa
na administratorze danych, co nie wyłącza odpowiedzialności podmiotu, który zawarł umowę,
za przetwarzanie danych niezgodnie z tą umową.
Ustalenia dokonane w toku kontroli wskazują, że w procesie przetwarzania danych
osobowych S, jako administrator danych naruszyła przepisy o ochronie danych osobowych.
Uchybienia te polegały na niewłaściwym sformułowaniu klauzuli zgody
na przetwarzanie danych osobowych, znajdującej się na kuponach konkursowych, tj. umieszczeniu
w niej łącznie kilku oświadczeń woli o wyrażeniu zgody na przetwarzanie danych osobowych
w różnych celach, co spowodowało, że osoby zainteresowane udziałem w konkursie pozbawiono
możliwości wyboru i jednocześnie swobodnego wyrażenia zgody na każdy z pozostałych celów
przetwarzania danych, ponieważ osoba zgłaszająca się do konkursu musiała wyrazić zgodę również
na wykorzystanie jej danych osobowych w celu przesyłania informacji marketingowych, w tym
również drogą elektroniczną oraz próbek wyrobów. Ponadto, z treści klauzuli zgody nie wynika w
sposób wyraźny, na rzecz jakiego podmiotu będą prowadzone działania marketingowe, jak również,
co będzie ich przedmiotem.
W związku z powyższym, w dniu 9 maja 2008 r. Generalny Inspektor Ochrony Danych
Osobowych wszczął z urzędu postępowanie administracyjne w niniejszej sprawie w celu
wyjaśnienia okoliczności sprawy (sygn. DIS-K-421/2/08/11890).
W odpowiedzi na zawiadomienie o wszczęciu postępowania administracyjnego, pismem
z dnia 20 maja 2008 r. S złożyła wyjaśnienia, w których poinformowała, iż w jej ocenie, w treści
klauzuli zgody w sposób jasny i nie budzący wątpliwości określono,
w jakich celach dane będą przetwarzane, ponadto iż: „(…) dla konsumentów wyrobów
tytoniowych, a zwłaszcza dla tych do których adresowane są akcje przeprowadzane przez Stronę
przy udziale I, jest wiedzą powszechnie znaną, iż S jest producentem ww. wyrobów, a nie
podmiotem, który prowadzi działania reklamowe na rzecz innych osób.” Zwrócono także uwagę na
fakt, iż w treści obowiązku informacyjnego nie zostali wskazani przewidywani odbiorcy (kategorie
odbiorców danych),
co zdaniem S powoduje, że osoby udostępniające jej swoje dane nie mogą mieć wątpliwości na
rzecz jakiego podmiotu i w jakim celu będą prowadzone działania marketingowe. Ponadto, S
wyjaśniła, że wymieniając w klauzuli zgody konkretne działania, tj.: przesyłanie informacji
marketingowych, w tym również drogą elektroniczną oraz przesyłanie próbek wyrobów, kierowała
się założeniem,
aby konsument przed wyrażeniem zgody na przetwarzanie danych osobowych miał wiedzę,
z jakimi potencjalnie działaniami marketingowymi może mieć do czynienia w przyszłości.
Po zapoznaniu się z całością materiału dowodowego zebranego w sprawie, Generalny
Inspektor Ochrony Danych Osobowych zważył co następuje:
Zgodnie z art. 23 ust. 1 pkt 1 ustawy, przetwarzanie danych jest dopuszczalne tylko wtedy,
gdy osoba, której dane dotyczą, wyrazi na to zgodę, chyba że chodzi o usunięcie dotyczących jej
danych. Z kolei w myśl art. 7 pkt 5 ustawy, ilekroć w ustawie jest mowa o zgodzie osoby, której
dane dotyczą - rozumie się przez to oświadczenie woli, którego treścią jest zgoda na przetwarzanie
danych osobowych tego, kto składa oświadczenie; zgoda nie może być domniemana
lub dorozumiana z oświadczenia woli o innej treści. W literaturze przedmiotu wskazuje się, że „(…)
jeżeli osoba zbierająca dane osobowe czy w inny sposób przetwarzająca dane osobowe zwraca się
o zgodę, musi to zostać sformułowane w sposób jednoznaczny i wyróżniać się spośród innych
pochodzących od tej osoby informacji i oświadczeń (…)” (J. Barta, P. Fajgielski, R. Markiewicz,
Ochrona danych osobowych, Komentarz 2007, s. 384). Natomiast w wyroku z dnia 11 kwietnia
2003 r. (sygn. akt II SA 3942/04) Naczelny Sąd Administracyjny podniósł, że „(...) zgoda (...) nie
może mieć charakteru abstrakcyjnego, lecz winna odnosić się do skonkretyzowanego stanu
faktycznego, obejmując tylko określone dane oraz sprecyzowany sposób i cel ich przetwarzania
(...)”.
W toku kontroli ustalono, iż na podstawie umowy zawartej w dniu 3 września 2007 r.
ze S stanowiącej umowę powierzenia przetwarzania danych
w rozumieniu art. 31 ust. 1 ustawy, I zbiera dane osobowe podczas organizowanych
na zlecenie ww. podmiotu konkursów. Na kuponach konkursowych pozyskiwana jest zgoda
na przetwarzanie danych osobowych dla administratora danych, tj. S. Treść formuły, która jest
umieszczana na kuponach jest następująca: „Wyrażam zgodę
na umieszczenie moich danych osobowych w bazie danych S oraz na ich przetwarzanie w celach
marketingowych. Wyrażam zgodę na przesyłanie mi, w tym również drogą elektroniczną,
informacji marketingowych oraz próbek wyrobów Administratorem danych osobowych jest S.
Przekazane przeze mnie dane osobowe mogą być udostępniane innym podmiotom
współpracującym z administratorem danych przy obsłudze akcji marketingowych.”
W piśmie z dnia 20 maja 2008 r. S wyjaśniła, że w jej ocenie,
w treści wyżej przytoczonej klauzuli zgody, w sposób jasny i nie budzący wątpliwości określono
w jakich celach będą przetwarzane dane osobowe. Zdaniem S
dla konsumentów wyrobów tytoniowych, do których adresowane są akcje, jest „wiedzą
powszechnie znaną”, że nie prowadzi ona działań reklamowych na rzecz innych podmiotów.
Dodatkowo, osoby udostępniające swoje dane nie mogą mieć wątpliwości na rzecz jakiego
podmiotu i w jakim celu będą prowadzone działania marketingowe, ze względu na fakt, że w treści
obowiązku informacyjnego nie informuje się o przewidywanych odbiorcach lub kategoriach
odbiorców danych. Ze złożonych wyjaśnień wynika również, że przy konstruowaniu klauzuli
zgody, S kierowała się założeniem, aby konsument przed wyrażeniem zgody miał wiedzę, z jakimi
potencjalnie działaniami marketingowymi może mieć do czynienia
w przyszłości.
W tym miejscu należy zaznaczyć, że na gruncie przepisów o ochronie danych osobowych
istnieje wymóg zapewnienia, aby decyzja w sprawie wyrażenia zgody na przetwarzanie danych
osobowych w określonym celu była podjęta swobodnie i miała charakter samodzielny, musi ona
być przejawem wolnej i nieskrępowanej woli danej osoby, tzn. nie może być wymuszona przez
konieczność złożenia innych oświadczeń woli. Stanowisko uznające za niezgodne z prawem
łączenie oświadczeń woli dotyczących zgody na przetwarzanie danych osobowych znajduje swoje
potwierdzenie w orzecznictwie NSA. W wyroku z dnia 11 kwietnia 2003 r. (sygn. S.A. 3942/02)
Naczelny Sąd Administracyjny stwierdził, iż „(…) w przypadku oświadczenia woli dotyczącego
różnych celów przetwarzania (danych osobowych) (…), zgoda winna być wyrażona wyraźnie
pod każdym z tych celów przetwarzania”.
Zgodnie z dokonanymi ustaleniami, dane osobowe pozyskiwane za pomocą
przedmiotowych kuponów na potrzeby organizowanych przez S konkursów, przetwarzane są
następnie w celu prowadzenia innych działań marketingowych, których przykłady wymieniono w
treści klauzuli. Stosownie do przepisów ustawy o ochronie danych osobowych, w powyższym
przypadku, S powinna posiadać odrębną zgodę dysponenta danych osobowych na przetwarzanie
jego danych w ww. celach, ponieważ z perspektywy konsumenta udostępniającego swoje dane, te
cele są różne. S łączy natomiast zgodę na przetwarzanie danych osobowych w celu
przeprowadzenia konkursu, ze zgodą na przetwarzanie danych w innych celach marketingowych.
Dlatego należy stwierdzić, że znajdująca się na kuponach konkursowych klauzula dotycząca
przetwarzania danych osobowych nie spełnia wymogów określonych w przepisach ustawy o
ochronie danych osobowych.
Odnosząc się do wyjaśnień S., dotyczących wyszczególnienia
w treści klauzuli zgody konkretnych działań, takich jak: przesyłanie informacji marketingowych,
w tym również drogą elektroniczną oraz przesyłanie próbek wyrobów tytoniowych, należy
stwierdzić, że w sytuacji, gdy w treści klauzuli zgody wymienia się poszczególne działania, które są
jedynie egzemplifikacją działań, jakie mogą być podejmowane w ramach realizacji celów
marketingowych, nie jest konieczne pozyskiwanie odrębnej zgody na każdy z tych celów. Jednakże
sposób sformułowania klauzuli zgody powinien jednoznacznie wskazywać, iż są to przykłady
konkretnych działań marketingowych, które mogą być podejmowane w ramach realizacji celu
marketingowego.
Należy tutaj również zaznaczyć, iż oświadczenie w przedmiocie zgody na przetwarzanie
danych osobowych dla potrzeb konkursu, czy też innych celów marketingowych wskazanych
w treści przedmiotowej klauzuli, w rozumieniu art. 7 pkt 5 ustawy o ochronie danych osobowych,
oparte jest na innej podstawie prawnej, niż oświadczenie woli obejmujące swym zakresem zgodę
na przekazywanie informacji handlowych drogą elektroniczną. To drugie wynika bowiem
z przepisów ustawy z dnia 18 lipca 2002 r. o świadczeniu usług drogą elektroniczną
(Dz. U. Nr 144, poz. 1204 ze zm.), która w art. 10 ust. 1 i ust. 2 wprowadza wymóg pozyskiwania
zgody na przesyłanie informacji handlowych drogą elektroniczną. Trudno jest natomiast mówić
o dopuszczalności formułowania w jednej klauzuli kilku oświadczeń woli, których podstawę
prawną stanowią dwa odrębne akty prawne, przy jednoczesnym założeniu, że formuła zgody
na przetwarzanie danych osobowych powinna stanowić odrębne oświadczenie woli osoby, której
dane dotyczą. W związku z powyższym, należy zauważyć, że połączenie zgody na przetwarzanie
danych osobowych ze zgodą na przesyłanie informacji handlowych drogą elektroniczną wyłącza
możliwość swobodnego wyrażenia zgody na przetwarzanie danych osobowych.
Z powyższego wynika zatem, że S. powinna sformułować klauzulę zgody na przetwarzanie
danych osobowych w taki sposób, aby umożliwić osobom przystępującym do konkursu swobodne
wyrażenie woli w przedmiocie zgody na przetwarzanie ich danych w celach marketingowych,
poprzez zapewnienie opcjonalnośći w kwestii wyrażenia zgody na przetwarzanie danych w ww.
celach. Klauzula w stosowanej obecnie postaci prowadzi bowiem do tego,
że od uczestników konkursu wymuszana jest w istocie zgoda na przetwarzanie danych osobowych
w celach marketingowych.
Ponadto, z treści klauzuli zgody na przetwarzanie danych osobowych powinno w sposób
nie budzący wątpliwości wynikać, w jakim celu, w jakim zakresie i przez kogo dane osobowe mogą
być przetwarzane. Wyrażający zgodę musi mieć pełną świadomość tego, na co się godzi. Warto
wskazać, że Naczelny Sąd Administracyjny w wyroku z dnia 4 kwietnia 2003 r. (sygn. akt II SA
2135/2002) przyjął, iż „(..) zgoda na przekazywanie danych musi mieć charakter wyraźny,
a jej wszystkie aspekty muszą być jasne dla podpisującego w momencie jej wyrażania (...)”.
Analizując treść cytowanej klauzuli zgody na przetwarzanie danych osobowych, należy
zauważyć, iż nie wszystkie jej aspekty są jasno wyrażone, ponieważ z jej treści nie wynika
w sposób wyraźny, że dane będą wykorzystane tylko i wyłącznie w celu prowadzenia marketingu
produktów S W związku z powyższym należy podkreślić, że osoba przystępująca do konkursu,
podając swoje dane osobowe i wyrażając zgodę na ich przetwarzanie, może mieć wątpliwości
odnośnie celu, w jakim podane przez nią dane będą w przyszłości wykorzystane.
Reasumując należy stwierdzić, iż stosowana przez S klauzula zgody na przetwarzanie
danych osobowych, nie wskazuje w sposób wyraźny wszystkich aspektów przetwarzania danych,
ponieważ nie zawiera informacji na rzecz jakiego podmiotu będą prowadzone działania
marketingowe oraz, co będzie ich przedmiotem. Ponadto, sposób skonstruowania powyższej
klauzuli, nie daje uczestnikom konkursów możliwości wyboru
i swobodnego wyrażenia zgody na przetwarzanie danych w celach marketingowych,
co nie odpowiada definicji zgody, o której mowa w art. 7 pkt 5 ustawy. Ponadto, należy zauważyć,
iż łączenie zgody na przesyłanie informacji marketingowych drogą elektroniczną, ze zgodą
na przetwarzanie danych osobowych, wyłącza możliwość swobodnego wyrażenia zgody
na przetwarzanie danych osobowych, co również jest sprzeczne z definicją zgody, o której mowa
w art. 7 pkt 5 ustawy o ochronie danych osobowych.
Wobec powyższego, Generalny Inspektor Ochrony Danych Osobowych rozstrzygnął
jak w sentencji.
Decyzja jest ostateczna. Na podstawie art. 21 ust. 1 ustawy o ochronie danych osobowych
oraz art. 129 § 2 Kodeksu postępowania administracyjnego, strona niezadowolona z niniejszej
decyzji może zwrócić się do Generalnego Inspektora Ochrony Danych Osobowych (adres:
ul. Stawki 2, 00-193 Warszawa) z wnioskiem o ponowne rozpatrzenie sprawy, w terminie 14 dni
od dnia doręczenia niniejszej decyzji.
