GI-DEC-DS-288/04
2007-05-15
Decyzja Generalnego Inspektora Ochrony Danych Osobowych z dnia 31 grudnia 2004 r. dotycząca usunięcia danych osobowych Skarżącego ze zbiorów Spółki prowadzącej internetowy serwis aukcyjny.
Warszawa, dnia 31 grudnia 2004 r.
Decyzja
Na podstawie art. 104 § 1 ustawy z dnia 14 czerwca 1960 r. – Kodeks postępowania administracyjnego (Dz. U. z 2000 r. Nr 98, poz. 1071 z późn. zm.), art. 12 pkt 1 i 2 oraz art. 18 ust. 1 pkt 6 a conntrario, w związku z art. 23 ust. 1 pkt 2 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. z 2002 r. Nr 101, poz. 926 z późn. zm.) oraz art. 16 ust. 1, art. 19 ust. 2 pkt 3 oraz art. 21 ust. 1 i 2 ustawy z dnia 18 lipca 2004 r. o świadczeniu usług drogą elektroniczną (Dz. U. Nr 144, poz. 1204 z późn. zm.), po przeprowadzeniu postępowania administracyjnego w sprawie wniosku Pana XY, o nakazanie Spółce T., prowadzącej internetowy serwis aukcyjny Q, „usunięcia dotyczących go danych osobowych ze zbioru danych Spółki T.”,
odmawiam uwzględnienia wniosku.
Uzasadnienie
Do Biura Generalnego Inspektora Ochrony Danych Osobowych, zwanego dalej również Generalnym Inspektorem, wpłynęła skarga Pana XY, zwanego dalej również Skarżącym, dotycząca przetwarzania jego danych osobowych przez Spółkę T. (dawniej inny adres), zwaną dalej również Spółką, prowadzącą internetowy serwis aukcyjny Q. W skardze wskazano w szczególności: „W listopadzie 2003 zarejestrowałem się w serwisie Q, podając swoje dane osobowe. Mniej więcej na przełomie 2003/2004 wydałem dyspozycję zamknięcia konta oraz wyraźnie zażądałem usunięcia moich danych osobowych z w/w serwisu. Gdy (...) chciałem ponownie się zarejestrować w Q otrzymałem odmowę z uzasadnieniem że osoba której konto zostało zamknięte nie może się zarejestrować ponownie. (...) Serwis Q przechowuje moje dane osobowe wbrew mojemu wyraźnemu zakazowi i na dodatek przechowuje je w sposób uniemożliwiający mi realizację prawa wglądu w nie lub dokonywania zmian (...). Uprzejmie proszę o podjęcie wobec serwisu Q działań administracyjno-prawnych oraz skuteczne spowodowanie usunięcia moich danych osobowych z ich zasobów”.
W piśmie z dnia 30 września 2004 r. skierowanym do Biura GIODO Skarżący ponownie zwrócił się o „zmuszenie Q do usunięcia [jego] danych osobowych oraz nałożenie przewidzianych prawem sankcji na Spółkę T.”. Natomiast w piśmie z dnia 25 października 2004 r. Skarżący wskazał: „(...) moim głównym żądaniem w tej sprawie jest usunięcie moich danych osobowych z zasobów Spółki T. (...) W chwili zamknięcia konta ‘YYY’ dostałem od operatora mail w treści którego było wyraźnie napisane: ‘konto zostało zamknięte, dane zostały usunięte (...) Nie neguję faktu, że wyraziłem zgodę na przechowywanie i przetwarzanie moich danych osobowych, ale zamykając oba konta wyraźnie tą zgodę cofnąłem (...)”.
W toku prowadzonego przez Generalnego Inspektora Ochrony Danych Osobowych postępowania wyjaśniającego ustalono, iż:
1. W dniu 22 sierpnia 2003 r. Pan XY „zarejestrował” konto w internetowym serwisie aukcyjnym Q, udostępniając w tym celu dane osobowe. Rejestracja nastąpiła poprzez wypełnienie stosownego formularza.
2. Na stronie internetowej zawierającej ww. formularz znajdowała się informacja, iż „korzystanie z serwisu oznacza akceptację regulaminu”. Osoba, która miała zamiar zarejestrować się, jako użytkownik mogła zapoznać się z treścią tego regulaminu, albowiem na stronie internetowej zawierającej formularz istniało stosowne „odesłanie” do jego treści.
3. W regulaminie znajdowały się w szczególności następujące postanowienia:
- „Użytkownik w momencie rejestracji wyraża zgodę na umieszczenie i przetwarzanie informacji o swoich danych osobowych przez Q, na warunkach określonych w Polityce ochrony prywatności, stanowiącej Załącznik 1 [w tym miejscu ustanowiono ‘odesłanie’ do treści Polityki ochrony prywatności] do niniejszego regulaminu. Wszelkie dane osobowe umieszczone
przez Użytkownika będą przetwarzane zgodnie z Ustawą o Ochronie Danych Osobowych
i prawem polskim” (art. 5.4),
- „Użytkownik może zażądać usunięcia swoich danych osobowych z bazy danych Q”
(art. 5.7),
- „Polityka ochrony prywatności Q zawarta jest w Załączniku 1 [w tym miejscu ponownie ustanowiono ‘odesłanie’ do treści Polityki ochrony prywatności] do niniejszego regulaminu i stanowi jego część. Użytkownik wyrażając zgodę na warunki niniejszego regulaminu, wyraża jednocześnie zgodę na sposób, w jaki Q traktuje dane przekazane w ramach tej polityki (...)” (art. 6),
- „Q zastrzega sobie prawo do zawieszenia konta Użytkownika, który łamie którekolwiek
z postanowień niniejszego regulaminu (...) (art. 14.1)”,
- „Osoba używająca zawieszonego konta lub osoba, której działalność została zakończona nie może ponownie zarejestrować się bez uprzedniej zgody Q” (art. 14.3),
- „Q zastrzega sobie prawo do zawieszenia konta Użytkownika, którego działania zostaną uznane za szkodliwe dla Q” (art. 14.5),
4. W Polityce ochrony prywatności wskazano natomiast „Q zapewnia swoim Użytkownikom możliwość usunięcia swoich danych z bazy danych (...). Procedura usunięcia jest opisana szczegółowo w Pomocy Q [w tym miejscu ustanowiono stosowne ‘odesłanie’ do treści Pomocy]”.
5. W dniu 22 stycznia 2004 r. konto Pana XY zostało zawieszone
„ze względu na poważne naruszenie zasad obowiązujących w serwisie”. W wyjaśnieniach złożonych przez pełnomocnika Spółki wskazano: „(...) Pan XY , przy użyciu innych kont na Q działał na szkodę jednego z naszych sprzedających, uniemożliwiając mu dokonywanie transakcji oraz zamieszczając w dostępnych publicznie miejscach opinie mogące wpłynąć na jego reputację. W opiniach tych jasno przyznał, że w swoich działaniach kierował się zemstą (...)”.
6. Skarżący w dniu 16 lutego 2004 r. wypełnił formularz wyrejestrowania i zamknięcia swojego konta w Q. Pełnomocnik Spółki wskazał: „Wypełnienie ‘formularza (...) jest równoznaczne ze złożeniem żądania usunięcia danych z bazy Q (...). W przypadku wniosku o usunięcie danych, odmowa usunięcia danych z archiwum ma miejsce w przypadkach: - niedozwolonego korzystania z usług serwisu, - występowania nieuregulowanych zobowiązań finansowych. Tak więc archiwizacja ma na celu jedynie (...) zapobieżenie ponownej rejestracji użytkowników, którzy korzystali z usług serwisu w sposób niedozwolony, a w szczególności działali na szkodę serwisu i jego użytkowników” oraz „Przetwarzanie danych użytkownika, którego działalność w serwisie została zakończona [zawieszenie konta] ze względu na niedozwolone korzystanie z usługi sprowadza się wyłącznie do archiwizacji danych w bazie danych w celu ustalenia odpowiedzialności i uniemożliwienia niedozwolonego korzystania z usług Q (zgodnie z ustawą o świadczeniu usług drogą elektroniczną z dnia 18 lipca 2002 roku)”.
7. Pan XY, wbrew postanowieniom regulaminu - „Osoba, której konto zostało zawieszone, nie może ponownie zarejestrować się bez uprzedniej zgody Q” (art. 14.3), w dniu 9 czerwca 2004 r. “zarejestrował” kolejne konto na Q. Konto to zostało zawieszone przez Spółkę w dniu 9 czerwca 2004 r. Natomiast w dniu 24 czerwca 2004 r., po wypełnieniu przez Skarżącego formularza wyrejestrowania i zamknięcia konta, rzeczone konto zostało zamknięte.
8. W dniu 14 października 2004 r. Spółka skierowała do Pana XY pismo, w którym udzieliła informacji, o których mowa w art. 33 ust. 1 ustawy o ochronie danych osobowych.
9. Obecnie Spółka przetwarza dane osobowe Skarżącego w zakresie obejmującym w szczególności: imię, nazwisko, adres zamieszakania oraz adresy e-mail.
Po zapoznaniu się z całością zgromadzonego w sprawie materiału dowodowego, Generalny Inspektor Ochrony Danych Osobowych zważył, co następuje:
Na wstępie zauważyć należy, iż w skierowanej do Biura GIODO skardze Pan XY wskazał: „Serwis Q przechowuje moje dane osobowe wbrew mojemu wyraźnemu zakazowi i na dodatek przechowuje je w sposób uniemożliwiający mi realizację prawa wglądu w nie lub dokonywania zmian (...). Uprzejmie proszę o podjęcie wobec serwisu Q działań administracyjno-prawnych oraz skuteczne spowodowanie usunięcia moich danych osobowych z ich zasobów”. Z dalszej korespondencji kierowanej przez Skarżącego do Generalnego Inspektora wynika już jednak, iż jego żądanie sprowadza się do „zmuszenia Q do usunięcia [jego] danych osobowych oraz nałożenia przewidzianych prawem sankcji na Spółkę T.”.
W związku z powyższym, Generalny Inspektor poprowadził postępowanie, zgodnie z wolą Pana XY, w sprawie ustalenia przesłanek legalizujących przetwarzanie jego danych osobowych przez Spółkę i ewentualnego nakazania usunięcia tych danych.
Zauważyć przy tym należy, iż przedmiotem wniosku Skarżącego było nakazanie usunięcia dotyczących go danych osobowych - w jego ocenie - bezprawnie przetwarzanych przez Spółkę T., po zakończeniu korzystania przez niego z serwisu Q. W niniejszej sprawie dyskusji nie podlega natomiast kwestia istnienia podstawy prawnej dla przetwarzania przez Spółkę przedmiotowych danych do czasu „wyrejestrowania się” Skarżącego. Jak bowiem podniósł sam Skarżący w skierowanym do Biura GIODO piśmie: „Nie neguję faktu, że wyraziłem zgodę na przechowywanie i przetwarzanie moich danych osobowych, ale zamykając oba konta wyraźnie tą zgodę cofnąłem (...)”.
Mając powyższe na względzie, wskazać należy, iż ogólne materialne przesłanki przetwarzania danych osobowych określone zostały w art. 23 ust. 1 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. z 2002 r. Nr 101, poz. 926 z późn. zm.), przy czym podmiot przetwarzający dane powinien wykazać się co najmniej jedną z tych przesłanek, aby przetwarzanie danych mogło zostać uznane za zgodne z prawem. W myśl powołanego przepisu przetwarzanie danych jest dopuszczalne tylko wtedy, gdy: 1) osoba, której dane dotyczą, wyrazi na to zgodę, 2) jest to niezbędne dla zrealizowania uprawnienia lub spełnienia obowiązku wynikającego z przepisu prawa, 3) jest konieczne do realizacji umowy, gdy osoba, której dane dotyczą, jest jej stroną lub gdy jest to niezbędne do podjęcia działań przed zawarciem umowy na żądanie osoby, której dane dotyczą, 4) jest niezbędne do wykonania określonych prawem zadań realizowanych dla dobra publicznego, 5) jest to niezbędne do wypełnienia prawnie usprawiedliwionych celów realizowanych przez administratorów danych albo odbiorców danych, a przetwarzanie nie narusza praw i wolności osoby, której dane dotyczą.
Przesłanki zawarte w powołanym przepisie mają charakter autonomiczny i co do zasady są równoprawne. Oznacza to, iż zgoda osoby, której dane dotyczą nie jest jedyną i wyłączną podstawą przetwarzania danych osobowych. W konsekwencji, przetwarzanie danych osobowych może odbywać się bez zgody osoby, której dane dotyczą, o ile jest to niezbędne np. dla zrealizowania uprawnienia lub spełnienia obowiązku wynikającego z przepisu prawa.
Odpowiedź na pytanie, czy Spółka, nie mając na to zgody Skarżącego, mogła przetwarzać jego dane osobowe, po wypełnieniu przez niego formularza wyrejestrowania i zamknięcia konta w Q, daje analiza przepisów ustawy z dnia 18 lipca 2004 r. o świadczeniu usług drogą elektroniczną (Dz. U. Nr 144, poz. 1204 z późn. zm.), w szczególności zaś art. 19 ust. 2 pkt 3 oraz art. 21 ust. 1 i 2 tejże ustawy. Powołane przepisy znajdą zastosowanie do oceny działań Spółki podejmowanych na danych osobowych Skarżącego, po wypełnieniu przez niego formularza wyrejestrowania i zamknięcia konta (kont) na Q, ze względu na fakt, iż w niniejszej sprawie przetwarzanie danych osobowych odbywało się w związku z korzystaniem przez Skarżącego z usługi internetowego serwisu aukcyjnego, czyli usługi świadczonej drogą elektroniczną.
W myśl art. 16 ust. 1 ustawy o świadczeniu usług drogą elektroniczną, do przetwarzania danych osobowych w rozumieniu ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych w związku ze świadczeniem usług drogą elektroniczną stosuje się przepisy tej ustawy (o ochronie danych osobowych), o ile przepisy niniejszego rozdziału (rozdziału 4 ustawy o świadczeniu usług drogą elektroniczną) nie stanowią inaczej. Ustawa o ochronie danych osobowych stanowi akt o charakterze generalnym, a co za tym idzie jej przepisy co do zasady znajdą zastosowanie zawsze tam, gdzie następuje przetwarzanie danych osobowych. Natomiast przepisy ustawy o świadczeniu usług drogą elektroniczną w zakresie, w którym dotyczą przetwarzania danych osobowych, stanowią lex specialis w stosunku do przepisów ustawy o ochronie danych osobowych. W konsekwencji, przetwarzanie danych w związku ze świadczeniem usług droga elektroniczną odbywa się przede wszystkim na zasadach określonych w ustawie o świadczeniu usług drogą elektroniczną i dopiero w sytuacji, w której określone zagadnienie nie jest regulowane przez ten akt prawny, zastosowanie znajdują przepisy ustawy o ochronie danych osobowych.
Zgodnie z powołanym powyżej przepisem art. 19 ust. 2 pkt 3, po zakończeniu korzystania z usługi świadczonej drogą elektroniczną usługodawca może przetwarzać te spośród danych określonych w art. 18 (ustawy o świadczeniu usług drogą elektroniczną), które są niezbędne do wyjaśnienia okoliczności niedozwolonego korzystania z usługi, o którym mowa w art. 21 ust. 1 (ustawy o świadczeniu usług drogą elektroniczną). Zgodnie natomiast z przepisem art. 21 ust. 1, w przypadku uzyskania przez usługodawcę wiadomości o korzystaniu przez usługobiorcę z usługi świadczonej drogą elektroniczną niezgodnie z regulaminem lub obowiązującymi przepisami prawa (niedozwolone korzystanie), usługodawca może przetwarzać dane osobowe usługobiorcy w zakresie niezbędnym do ustalenia odpowiedzialności usługobiorcy, pod warunkiem, że utrwali dla celów dowodowych fakt uzyskania oraz treść tych wiadomości.
Odnosząc powyższe do okoliczności niniejszej sprawy, zauważyć należy, iż konto Pana XY po raz pierwszy zostało zawieszone przez Q w dniu 22 stycznia 2004 r. właśnie „ze względu na poważne naruszenie zasad obowiązujących w serwisie”. W wyjaśnieniach pełnomocnika Spółki wskazano: „(...) Pan XY, przy użyciu innych kont na Q działał na szkodę jednego z naszych sprzedających, uniemożliwiając mu dokonywanie transakcji oraz zamieszczając w dostępnych publicznie miejscach opinie mogące wpłynąć na jego reputację. W opiniach tych jasno przyznał, że w swoich działaniach kierował się zemstą.”. Zawieszenie konta, jak wynika z dalszych wyjaśnień pełnomocnika Spółki, nastąpiło na podstawie stosownych postanowień regulaminu, tj. art. 14.1 („Q zastrzega sobie prawo do zawieszenia konta Użytkownika, który łamie którekolwiek z postanowień niniejszego regulaminu”) oraz art. 14.5 („Q zastrzega sobie prawo do zawieszenia konta Użytkownika, którego działania zostaną uznane za szkodliwe dla Q”). Kolejne konto Skarżącego, założone przez niego po zawieszeniu ww. konta, również zostało zawieszone (w dniu 9 czerwca 2004 r.) ze względu na złamanie przez niego postanowienia regulaminu, tj. art. 14.3 („Osoba, której konto zostało zawieszone, nie może ponownie zarejestrować się bez uprzedniej zgody Q”).
Po zawieszeniu konta w Q dane osobowe Skarżącego zostały przeniesione do archiwum. Jak wskazuje pełnomocnik Spółki: „Archiwum stanowią w szczególności dane użytkowników, którzy korzystali w sposób niedozwolony z usług serwisu (...) archiwizacja ma na celu jedynie (...) zapobieżenie ponownej rejestracji użytkowników, którzy korzystali z usług serwisu w sposób niedozwolony, a w szczególności działali na szkodę serwisu i jego użytkowników”. „Przetwarzanie danych użytkownika, którego działalność w serwisie została zakończona [zawieszenie konta] ze względu na niedozwolone korzystanie z usługi sprowadza się wyłącznie do archiwizacji danych w bazie danych w celu ustalenia odpowiedzialności i uniemożliwienia niedozwolonego korzystania z usług Q (zgodnie z ustawą o świadczeniu usług drogą elektroniczną z dnia 18 lipca 2002 roku)”.
Powyższe oznacza więc, iż wskutek wypełnienia przez Skarżącego formularza wyrejestrowania i zamknięcia konta dotyczące go dane osobowe były, stosownie do postanowień regulaminu i Polityki ochrony prywatności, usuwane z bazy Q. Nie było to jednak, jak sądzi Skarżący, jednoznaczne z całkowitym zaprzestaniem przetwarzania przez Spółkę dotyczących go danych. Spółka „pozostawiała” bowiem dane osobowe Skarżącego w „archiwum” w celu i w zakresie niezbędnym do wyjaśnienia okoliczności niedozwolonego korzystania przez niego z usługi, czyli korzystania z usługi przez nią świadczonej niezgodnie z regulaminem. Podstawę prawną dla tego rodzaju działań Spółki stanowią powołane już powyżej przepisy art. 19 ust. 2 pkt 3 w związku z art. 21 ust. 1 ustawy o świadczeniu usług drogą elektroniczną.
Zauważyć w tym miejscu należy, iż aby móc zweryfikować, czy dana osoba, która rejestruje nowe konto w Q, nie naruszyła już uprzednio postanowień regulaminu, co skutkowało zawieszeniem jej konta, Spółka musi „dysponować” danymi tej osoby. Całkowite zaprzestanie przetwarzania przez Spółkę danych takiej osoby powodowałby, iż musiałaby ona liczyć wyłącznie na to, iż były użytkownik zastosuje się do postanowień regulaminu i nie zarejestruje się ponownie bez zgody Spółki.
Skarżący podkreśla, iż wprawdzie wyraził zgodę na przechowywanie i przetwarzanie swoich danych osobowych przez Spółkę, ale zamykając oba konta „wyraźnie tą zgodę cofnął”. Wskazać w związku z tym należy, iż – o czym była już mowa powyżej - legalność przetwarzania przez Spółkę danych osobowych Skarżącego na podstawie i w celu określonym w art. 19 ust. 2 pkt 3 i art. 21 ust. 1 ustawy o świadczeniu usług drogą elektroniczną nie jest uzależniona od wyrażenia przez niego zgody. Podstawą prawną przetwarzania danych w tym przypadku jest bowiem stosowny przepis prawa. Co więcej, Spółka „zachowując” dane osobowe Skarżącego w celu „ustalenia jego odpowiedzialności”, nie miała obowiązku poinformowania go o tym fakcie. W myśl bowiem wskazanego powyżej art. 21 ust. 2 ustawy o świadczeniu usług drogą elektroniczną, usługodawca może, a nie musi, powiadomić usługobiorcę o jego nieuprawnionych działaniach z żądaniem ich niezwłocznego zaprzestania, a także o skorzystaniu z uprawnienia, o którym mowa w ust. 1, czyli o przetwarzaniu danych usługobiorcy w zakresie niezbędnym do ustalenia jego odpowiedzialności.
Reasumując, w świetle dokonanych w niniejszej sprawie ustaleń, brak jest podstaw do nakazania Spółce T. całkowitego usunięcia danych osobowych Pana XY z jej „zbioru danych”, a co za tym idzie do rozpatrywania kwestii „nałożenia na tę Spółkę przewidzianych prawem sankcji”, ponieważ na przetwarzanie jego danych zezwalają przepisy ustawy o świadczeniu usług drogą elektroniczną.
Na marginesie wskazać należy, iż w toku niniejszego postępowania Spółka przekazała Skarżącemu informacje z art. 33 ust. 1 ustawy o ochronie danych osobowych, w związku z czym uczyniła zadość jego żądaniu dotyczącemu możliwości realizacji „prawa wglądu w dane”, a co za tym idzie umożliwiła mu skorzystanie z „prawa do poprawiania danych”.
W tym stanie faktycznym i prawnym, Generalny Inspektor Ochrony Danych Osobowych rozstrzygnął, jak w sentencji.
Decyzja niniejsza jest ostateczna. Na podstawie art. 21 ust. 1 ustawy o ochronie danych osobowych oraz art. 129 § 1 i § 2 Kodeksu postępowania administracyjnego stronie niezadowolonej z niniejszej decyzji przysługuje, w terminie 14 dni od daty jej doręczenia, prawo złożenia do Generalnego Inspektora Ochrony Danych Osobowych wniosku o ponowne rozpatrzenie sprawy (adres: ul. Stawki 2, 00 – 193 Warszawa).
Zgodnie z przepisem art. 19 ust. 2 pkt 3 ustawy o świadczeniu usług drogą elektroniczną, po zakończeniu korzystania z usługi świadczonej drogą elektroniczną usługodawca może przetwarzać te spośród danych określonych w art. 18 ustawy, które są niezbędne do wyjaśnienia okoliczności niedozwolonego korzystania z usługi, o którym mowa w art. 21 ust. 1 ustawy.
