GI-DEC-DS-287/04
2007-05-15
Decyzja Generalnego Inspektora Ochrony Danych Osobowych z dnia 30 grudnia 2004 r. utrzymująca w mocy zaskarżoną decyzję nakazującą Fundacji usunięcie uchybień w procesie przetwarzania danych osobowych osób zamawiających oferowane przez nią produkty, pozyskiwanych za pomocą formularza zamówienia, poprzez odbieranie od nich odrębnej zgody na udostępnienie innym podmiotom dotyczących ich danych osobowych.
Warszawa dnia 30 grudnia 2004 r.
DECYZJA
Na podstawie art. 138 § 1 pkt 1 ustawy z dnia 14 czerwca 1960 r. - Kodeks postępowania administracyjnego (Dz. U. z 2000 r. Nr 98, poz. 1071, z późn. zm.) oraz art. 12 pkt 2, art. 18 ust. 1 pkt 1, w zw. z art. 7 pkt 5, art. 23 ust. 1 oraz art. 26 ust. 1 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. z 2002 r. Nr 101, poz. 926 z późn. zm.), po przeprowadzeniu postępowania administracyjnego w sprawie wniosku pełnomocnika Fundacji, o ponownie rozpatrzenie sprawy zakończone decyzją z dnia 28 października 2004 r. (znak: GI-DEC-DS-231/04/493) nakazującą Fundacji usunięcie uchybień w procesie przetwarzania danych osobowych osób zamawiających oferowane przez nią produkty, pozyskiwanych za pomocą formularza zamówienia, poprzez odbieranie od nich odrębnej zgody na udostępnienie innym podmiotom dotyczących ich danych osobowych,
utrzymuję w mocy zaskarżoną decyzję.
U z a s a d n i e n i e:
Do Biura GIODO wpłynęło pismo, do którego załączony został formularz zamówienia egzemplarza książki „Fatima – orędzie tragedii czy nadziei!”. Z treści przesłanego pisma wynikało, iż Fundacja, uzależnia realizację zamówienia na oferowane do sprzedaży produkty od podpisania przez zamawiających klauzuli o następującej treści „wyrażam zgodę na przetwarzanie moich danych osobowych zawartych w niniejszym kuponie przez Fundację (...),
w celach statutowych Fundacji oraz na ich udostępnienie podmiotom prowadzącym podobną działalność. Administratorem Państwa danych osobowych jest Fundacja (...). Państwa dane są zbierane w celu ich przetwarzania przez Fundację w związku z realizacją jej zadań statutowych. Dane mogą być udostępniane innym podmiotom zwłaszcza Fundacjom i stowarzyszeniom, które prowadzą podobną działalność. Fundacja informuje, że przysługuje Państwu prawo wglądu i korekty swoich danych oraz prawo żądania ich usunięcia ze zbioru danych”.
Mając na uwadze powyższe, Generalny Inspektor Ochrony Danych Osobowych uznał, iż umieszczanie formuły zgody na przetwarzanie danych osobowych w treści zamówienia na oferowane przez Fundację produkty oraz uzależnianie jego realizacji od wyrażenia takiej zgody nie znajduje uzasadnienia w przepisach ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. z 2002 r. Nr 101, poz. 926 z późn. zm.), zwanej dalej ustawą, dlatego też pismem z dnia 11 marca 2004 r. (GI-DP-024/212/04/512) wystąpił do Fundacji z prośbą
o zmianę kwestionowanej praktyki.
W dniu 27 kwietnia 2004 r. do Biura GIODO wpłynęło pismo Pana Prezesa Fundacji, w którym ww. poinformował Generalnego Inspektora, iż zgodnie z sugestiami zawartymi w piśmie z dnia 11 marca 2004 r. (GI-DP-024/212/04/512), Fundacja zmieniła klauzulę zamieszczoną w treści zamówienia. W nowym formularzu Fundacja zamieściła następujący zapis: „Informujemy, iż Państwa dane osobowe są przetwarzane przez Fundację (...), w celu realizacji działań statutowych, tj. promowania i ochrony chrześcijańskich wartości cywilizacyjnych w społeczeństwie, oraz mogą być udostępniane podmiotom prowadzącym podobną działalność. Podanie danych jest dobrowolne. Informujemy, że przysługuje Państwu prawo dostępu i poprawiania danych”.
Z uwagi na okoliczność, iż powyższa „klauzula” nadal nie odpowiadała wymogom przepisów ustawy o ochronie danych osobowych, Generalny Inspektor Ochrony Danych Osobowych pismem z dnia 6 lipca 2004 r. (znak: GI-DP-024/212/04/1372), ponownie wystąpił do Pana Prezesa Fundacji, o zmianę stosowanej przez Fundację treści klauzuli.
W dniu 29 lipca 2004 r. do Biura GIODO wpłynęło pismo Pana adwokata w Kancelarii Prawnej - pełnomocnika Fundacji. W przedmiotowym piśmie pełnomocnik Fundacji wskazał, iż treść klauzuli umieszczonej na formularzu zamówienia spełnia obowiązek informacyjny o którym mowa w art. 24 ust. 1 ustawy. Wskazano ponadto, iż Fundacja przetwarza dane osobowe na podstawie art. 23 ust. 1 pkt 3 ustawy, tj. z uwagi na konieczność realizacji umowy w sytuacji złożenia zamówienia na publikacje oferowane przez Fundację oraz na podstawie art. 23 ust. 1 pkt 5 ustawy, gdyż jest to niezbędne dla wypełnienia prawnie usprawiedliwionych celów realizowanych przez administratora danych. Przetwarzanie danych odbywa się bowiem w celu promocji działalności Fundacji i realizacji celów statutowych, tj. „promowania wartości chrześcijańskich”. Pełnomocnik Fundacji zarzucił również, iż w piśmie Generalnego Inspektora z dnia 6 lipca 2004 r. wystąpiła istotna sprzeczność. Wg pełnomocnika „organ administracyjny wskazując obowiązek legitymowania się przez Fundację stosowną przesłanką z art. 23 u.o.d.o. podkreśla, że pojęciem przetwarzania danych objęte jest zbieranie, przechowywanie i udostępnianie danych. Równocześnie jednak w dalszej części pisma przyjmuje, że przesłanki legalizujące przetwarzanie danych przez Fundację nie znajdują zastosowania do udostępnienia danych, wyodrębnionego jako szczególna forma przetwarzania danych osobowych”. Pełnomocnik zarzucił Generalnemu Inspektorowi, że błędnie uznał, iż jedyną przesłanką legalizującą udostępnianie przedmiotowych danych może być zgoda osoby, której dane dotyczą (art. 23 ust. 1 pkt 1 ustawy). Zdaniem pełnomocnika, stanowisko Generalnego Inspektora jest sprzeczne z przepisem art. 23 ust. 1 pkt 5 ustawy. W złożonych wyjaśnieniach podkreślono, że definicja przetwarzania danych obejmuje swoim zakresem również czynność polegającą na udostępnianiu danych osobowych, dlatego też wystarczającą przesłankę dla Fundacji legalizującą udostępnianie przedmiotowych danych stanowi art. 23 ust. 1 pkt 5 ustawy. Zdaniem pełnomocnika, przepis ten znajduje zastosowanie w sytuacji, gdy przetwarzanie danych jest niezbędne do wypełnienia prawnie usprawiedliwionych celów zarówno administratorów danych jak również odbiorców danych. Zdaniem Fundacji wystarczające jest istnienie usprawiedliwionego interesu po jednej stronie, tj. po stronie podmiotu udostępniającego dane lub po stronie odbiorcy danych. Pełnomocnik Fundacji podkreślił równocześnie, iż przetwarzanie danych osobowych przez Fundację dla realizacji celów statutowych nie narusza praw i wolności osoby, której dane dotyczą, bowiem nie stanowi zagrożenia dla jej sfery prywatności i wolności osobistej. Powyższe zdaniem pełnomocnika wynika m.in. z okoliczności, iż osoba podająca dane w formularzu zamówienia należycie jest informowana o celu, w jakim będą przetwarzane dane. Zatem składając zamówienie na pozycje wydawnicze promujące wartości chrześcijańskie wskazuje bezpośrednio na swoje zainteresowanie realizacją celów Fundacji. Może również skorzystać z przysługujących jej uprawnień o których mowa w art. 32 ust. 1 pkt 7 i 8 ustawy.
W złożonych wyjaśnieniach wskazano ponadto, iż podmiot, któremu są udostępniane dane osobowe, tj. Stowarzyszenie Z (odbiorca danych), zwane dalej Stowarzyszeniem, realizuje podobne co Fundacja zadania statutowe i cele. Dlatego też, działania te są w pełni zgodne z zasadą wyrażoną w przepisie art. 26 ust. 1 pkt 2 ustawy.
Z tych wszystkich względów, w ocenie pełnomocnika Fundacji przepis art. 23 ust. 1
pkt 5 ustawy, stanowił wystarczającą podstawę do udostępnienia innym podmiotom prowadzącym podobną do Fundacji działalność, danych osób, które złożyły zamówienia na pozycje wydawnicze oferowane przez Fundację. Dlatego też, Fundacja nie była zobowiązana
do stosowania na formularzach zamówienia dwóch odrębnych oświadczeń o wyrażeniu zgody na przetwarzanie danych.
W dniu 30 sierpnia 2004 r. do Biura GIODO wpłynęły kolejne wyjaśnienia pełnomocnika Fundacji, w których przedstawił nowy wzór „klauzuli informacyjnej” Fundacji.
W zmienionym formularzu sformułowano klauzulę o następującej treści: „Informujemy, iż Państwa dane osobowe są przetwarzane przez Fundację (...) (administrator danych w celu promocji i propagowania chrześcijańskich wartości cywilizacyjnych w społeczeństwie,
oraz mogą być udostępniane w tym samym celu Stowarzyszeniu i innym podmiotom prowadzącym analogiczną działalność. Podanie danych jest dobrowolne. Informujemy, że przysługuje Państwu prawo do dostępu do treści swoich danych i prawo poprawiania swoich danych”.
Po przeprowadzeniu postępowania administracyjnego w przedmiotowej sprawie, Generalny Inspektor Ochrony Danych Osobowych w dniu 28 października 2004 r. wydał decyzję administracyjną (znak: GI-DEC-DS-231/04/493), w której nakazał Fundacji, usunięcie uchybień w procesie przetwarzania danych osobowych osób zamawiających oferowane przez nią produkty, pozyskanych za pomocą formularza zamówienia, poprzez odbieranie od nich odrębnej zgody na udostępnienie innym podmiotom dotyczących ich danych osobowych.
W dniu 19 listopada 2004 r., w ustawowym terminie, pełnomocnik Fundacji złożył wniosek o ponowne rozpatrzenie sprawy zakończonej ww. decyzją Generalnego Inspektora Ochrony Danych Osobowych. Pełnomocnik Fundacji zarzucił przedmiotowej decyzji naruszenie prawa proceduralnego, tj. art. 6, art. 10 § 1, art. 61 § 1 i 4, art. 107 § 1 ustawy z dnia 14 czerwca 1960 r. - Kodeks postępowania administracyjnego (Dz. U. z 2000 r. Nr 98, poz. 1071, z późn. zm.), zwanej dalej K.p.a. oraz przepisów prawa materialnego, tj. art. 12 pkt 2, art. 18 ust. 1, art. 23 ust. 1 pkt 1 i art. 26 ustawy o ochronie danych osobowych.
W uzasadnieniu do wniosku pełnomocnik Fundacji wskazał, iż zaskarżana decyzja jest trzecim rozstrzygnięciem podjętym przez Generalnego Inspektora w przedmiotowej sprawie. Wskazano bowiem, iż pierwsze pismo z dnia 11 lipca 2004 r., skierowane przez Generalnego Inspektora do Prezesa Fundacji stanowiło de facto decyzję administracyjną, która jednakże nie zawierała wszystkich elementów wymaganych przepisem art. 107 § 1 K.p.a. Również, pismo
z dnia 6 lipca 2004 r., zawierało rozstrzygnięcie w sprawie. Zdaniem pełnomocnika Fundacji,
za przyjęciem powyższego stanowiska przemawia okoliczność, iż w piśmie tym Generalny Inspektor ponownie stwierdził naruszenie przepisów ustawy o ochronie danych osobowych,
w postaci braku odrębnej zgody na udostępnienie danych a nadto zwrócił się do Fundacji
o dokonanie zmian w formularzu stosowanego przez nią zamówienia.
Pełnomocnik Fundacji wskazał również, iż przepisy ustawy nie przyznają Generalnemu Inspektorowi kompetencji do „występowania”, „zwracania się” do administratora danych, który swoim działaniem narusza przepisy ustawy o ochronie danych osobowych. Zdaniem pełnomocnika w przypadku stwierdzenia naruszenia przepisów ustawy, Generalny Inspektor, stosownie do dyspozycji przepisu art. 18 ust. 1 ustawy, nie może zastąpić formy decyzyjnej innymi formami działań (wystąpieniami). Dlatego też, w opinii pełnomocnika, pisma z dnia 11 marca 2004 r. oraz 6 lipca 2004 r. pomimo, iż nie zawierały wszystkich elementów, o których mowa w art. 107 § 1 K.p.a., stanowiły jednak decyzje administracyjne w rozumieniu powołanego przepisu prawa.
Pełnomocnik Fundacji wskazał jednocześnie, iż przedmiotem decyzji wydawanych przez Generalnego Inspektora jest – po stwierdzeniu naruszenia przepisów o ochronie danych osobowych – nakaz podjęcia bądź zaniechania określonych czynności w celu przywrócenia stanu zgodnego z punktu widzenia obowiązków ochrony danych osobowych określonych w przepisach prawa. Zdaniem pełnomocnika Fundacji ww. elementy występują w decyzjach Generalnego Inspektora. W pismach tych GIODO stwierdził bowiem naruszenie przepisów o ochronie danych osobowych oraz wyznaczał sposób przywrócenia stanu prawidłowego. W przedmiotowych pismach Generalnego Inspektora wyznaczony został jednocześnie adresat aktu, tj. Fundacja.
Wskazane powyżej okoliczności, spowodowały, iż w ocenie pełnomocnika Fundacji, wydanie decyzji administracyjnych w pismach z dnia 11 marca 2004 r., oraz z dnia 6 lipca
2004 r. nastąpiło bez przeprowadzenia postępowania administracyjnego, a w szczególności bez zapewnienia stronie możliwości realizacji jej praw określonych w K.p.a. Zdaniem pełnomocnika strona nie mogła wypowiedzieć się, co do zebranych przez organ dowodów i materiałów.
Pełnomocnik Fundacji wskazał również, iż Generalny Inspektor nie zawiadomił Fundacji o wszczęciu postępowania administracyjnego, co wymagane jest przepisem art. 61 § 4 K.p.a. Zdaniem pełnomocnika działanie Generalnego Inspektora polegające na poinformowaniu Fundacji pismem z dnia 16 sierpnia 2004 r. o troczącym się postępowaniu i poinformowaniu o możliwości wypowiedzenia się strony co do zebranego materiału dowodowego oraz zgłoszeniu żądań nie jest wystarczające z punktu widzenia zasady wyrażonej w art. 10 § 1 K.p.a. Pełnomocnik Fundacji wskazał, iż organ administracyjny jest zobowiązany zapewnić stronie udział w każdym stadium postępowania a nie tylko przed samym wydaniem decyzji. Z tych też względów zdaniem pełnomocnika, Generalny Inspektor Ochrony Danych Osobowych wydał decyzję administracyjną z rażącym naruszeniem przepisów K.p.a. W szczególności decyzja została wydana bez przeprowadzenia postępowania administracyjnego, w formie nieprzewidzianej przepisami prawa i w sposób uniemożliwiający udział strony w postępowaniu.
W uzasadnieniu do wniosku o ponowne rozpatrzenie sprawy wskazano również, iż decyzja GIODO narusza przepisy prawa materialnego, tj. przepisy art. 12 pkt 2, art. 23 ust 1 oraz art. 26 ust. 1 ustawy o ochronie danych osobowych. W szczególności pełnomocnik Fundacji zakwestionował stwierdzenie Generalnego Inspektora, iż Fundacja jest uprawniana do udostępniania danych osobowych wyłącznie na podstawie zgody (art. 23 ust. 1 pkt 1 ustawy). Wskazano bowiem, że w art. 23 ust. 1 ustawy, wymieniono aż 5 przesłanek dopuszczalności przetwarzania danych, a spełnienie co najmniej jednej z nich uprawnia administratora danych do przetwarzania danych. Dlatego też, Fundacja może skutecznie powoływać się na klauzulę „prawnie usprawiedliwionego celu”, ponieważ – zdaniem pełnomocnika – spełnione zostały dwie przesłanki wymienione w art. 23 ust. 1 pkt 5 ustawy, tj. przetwarzanie danych jest niezbędne dla wypełnienia prawnie usprawiedliwionego celu administratora danych albo odbiorcy danych oraz nie narusza to praw i wolności osoby, której dane dotyczą. Zdaniem Fundacji, stanowisko Generalnego Inspektora, iż dla udostępniania danych innemu podmiotowi niezbędne jest uzyskanie odrębnej zgody podmiotu danych, czyni w zakresie udostępnienia danych osobowych bezprzedmiotową regulację zawartą w przepisie art. 23 ust. 1 pkt 5 ustawy.
Pełnomocnik Fundacji wskazał również, że działanie Fundacji, polegające
na przekazywaniu przez Fundację danych osobowych innym podmiotom nie narusza praw
i wolności tych osób. Jednym ze statutowych celów Fundacji jest bowiem „pielęgnowanie chrześcijańskich wartości i tradycji narodu polskiego poprzez działalność oświatową, kulturową, charytatywną oraz w zakresie kultu religijnego”. Natomiast, promowanie tych wartości staje się możliwe poprzez bezpośrednie komunikowanie się z poszczególnymi osobami fizycznymi. Ponadto, w kuponie zamówienia zawarta jest informacja - wymagana przepisem art. 24 ust. 1 ustawy – o celach przetwarzania, w tym o odbiorcach i kategoriach odbiorców danych osobowych. Znajduje się tam również informacja o dobrowolności podania danych osobowych w określonym celu. Pełnomocnik wskazał również, iż osoby których dane osobowe Fundacja przetwarza, mają zapewniony środek kontroli procesu przekazywania danych, poprzez prawo wniesienia do administratora danych (Fundacji) sprzeciwu, o którym mowa w art. 32 ust. 1 pkt 8 ustawy.
Ponadto, we wniosku o ponowne rozpatrzenie sprawy podniesiono również, iż GIODO kwestionując przesłankę z art. 23 ust. 1 pkt 5 ustawy, winien był wskazać na czym polegało naruszenie praw i wolności osób, których dane dotyczą. Natomiast, Generalny Inspektor w zaskarżonej decyzji wskazał jedynie dwie przyczyny naruszenia przedmiotowych praw
i wolności: tj. „pozbawienie faktycznej kontroli procesu przetwarzania danych oraz wymuszenie bezwarunkowego zaakceptowania przyszłych działań Fundacji”. Zdaniem pełnomocnika Fundacji obie przyczyny w przedmiotowej sprawie nie występowały.
Fundacja podniosła również, iż Generalny Inspektor Ochrony Danych Osobowych błędnie przyjął, że kwestionowane działania Fundacji wykraczają poza cel przetwarzania danych – jakim jest realizacja umowy sprzedaży oferowanych produktów. Pełnomocnik wskazał bowiem, iż „nawet gdy dane osobowe gromadzone są dla potrzeb zamówienia konkretnego produktu, ale w momencie zbierania wskaże się osobie fizycznej dodatkowe zgodne z prawem cele przetwarzania i jednocześnie przyzna się jej skuteczne środki zakwestionowania tych celów, mieści się to w konstrukcji zbierania danych dla oznaczonych, zgodnych z prawem celów,
o których mowa w art. 26 ust. 1 pkt 2 ustawy”. Powyższe cele zostały spełnione, gdyż Fundacja w kuponie zamówienia oznaczyła, że celem przetwarzania danych będzie ich udostępnianie Stowarzyszeniu Z i innym podmiotom prowadzącym analogiczną działalność. Natomiast osoba, której dane dotyczą może skutecznie zakwestionować ten cel wykorzystując środek prawny wskazany w art. 32 ust. 1 pkt 8 ustawy.
Po dokonaniu ponownej analizy materiału dowodowego zgromadzonego w sprawie, Generalny Inspektor Ochrony Danych Osobowych podtrzymuje swoje stanowisko wyrażone
w decyzji z dnia 28 października 2004 r. (GI-DEC-DS-231/04/493).
I Na wstępie należy podkreślić, iż zgodnie z kompetencjami przyznanymi przepisem
art. 12 ustawy o ochronie danych osobowych, do zadań Generalnego Inspektora należy
m.in.: kontrola zgodności przetwarzania danych z przepisami o ochronie danych osobowych (pkt 1), wydawanie decyzji administracyjnych i rozpatrywanie skarg w sprawach wykonania przepisów o ochronie danych osobowych (pkt 2 ), inicjowanie i podejmowanie przedsięwzięć
w zakresie doskonalenia ochrony danych osobowych (pkt 5). Tym samym, zgodnie z przytoczonym powyżej przepisem art. 12 pkt 5 ustawy, Generalny Inspektor Ochrony Danych Osobowych jest ustawowo upoważniony do inicjowania i podejmowania przedsięwzięć w zakresie doskonalenia ochrony danych osobowych. Dlatego też, nie każde działanie Generalnego Inspektora, zmierzające do zasygnalizowania administratorom danych problematyki związanej ze stosowaniem przepisów o ochronie danych osobowych, wiąże się z koniecznością wydania przez ten organ rozstrzygnięć w drodze decyzji administracyjnych.
W sprawie będącej przedmiotem postępowania przed Generalnym Inspektorem powyższa sytuacja miała miejsce. Generalny Inspektor mając na względzie napływające do Biura GIODO sygnały, z których wynikało, iż Fundacja stosuje w formularzach zamówienia klauzulę niedostosowaną do unormowań wynikających z ustawy o ochronie danych osobowych, pismami z dnia 11 marca 2004 r. (znak: GI-DP-024/212/04/412) oraz z dnia 6 lipca 2004 r. (znak: GI-DP-024/212/04/1372), wystąpił do Prezesa Fundacji z inicjatywą dostosowania przez Fundację przedmiotowej klauzuli do wymogów ustawy.
W żaden sposób nie można zatem uznać, iż powyższe wystąpienia Generalnego Inspektora Ochrony Danych Osobowych do Prezesa Fundacji miały charakter decyzji administracyjnych w rozumieniu art. 104 § 1 K.p.a. Przedmiotowe pisma nie tylko nie zawierały podstawowych elementów decyzji administracyjnej, o których mowa w art. 107 § 1 K.p.a.
(np. brak w nich było pouczenia o sposobie zaskarżenia decyzji) ale przede wszystkim nie zawierały stosownego rozstrzygnięcia w sprawie. Nie można bowiem, zgodzić się
z twierdzeniem pełnomocnika, iż w przedmiotowych pismach Generalny Inspektor sformułował wobec Fundacji nakaz podjęcia działań mających na celu przywrócenie stanu zgodnego
z prawem. Kategorycznie należy podkreślić, iż w omawianych wystąpieniach Generalny Inspektor wykorzystując kompetencję przyznaną mu na podstawie art. 12 pkt 5 ustawy, zwrócił się do Prezesa Fundacji jedynie z prośbą o podjęcie czynności mających na celu zmianę stosowanej przez Fundację praktyki budzącej wątpliwości z punktu widzenia przepisów o ochronie danych osobowych. Dlatego też, w żaden sposób nie można uznać, iż przedmiotowa inicjatywa Generalnego Inspektora, miała charakter nakazu przywrócenia stanu zgodnego z prawem, o którym mowa w art. 18 ust. 1 ustawy.
O powyższym świadczy również fakt, iż w piśmie z dnia 6 lipca 2004 r. (znak: GI-DP-024/212/04/1372), Generalny Inspektor Ochrony Danych Osobowych wystąpił do Prezesa Fundacji o przesłanie do Biura GIODO nowego formularza zamówienia, w celu przeanalizowania jego treści pod kątem zgodności z przepisami ustawy o ochronie danych osobowych. Zatem w piśmie tym nie sformułowano nakazu przywrócenia stanu zgodnego
z prawem a jedynie zaakcentowano Prezesowi Fundacji potrzebę udoskonalenia formularza pod kątem zastosowania przesłanek ustawowych. Z powyższego wynika ponadto, że przedmiotowa sprawa nie została definitywnie zakończona przez Generalnego Inspektora.
Podniesiony przez pełnomocnika Fundacji zarzut jest tym bardziej niezrozumiały, iż
w toku postępowania, Prezes Fundacji, jak również jej pełnomocnik nie kwestionowali przedmiotowych wystąpień Generalnego Inspektora. Co więcej, po każdym wystąpieniu Fundacja podejmowała określone czynności, o których informowała w korespondencji przesłanej do Biura GIODO. Prezes Fundacji w piśmie z dnia 22 kwietnia 2004 r. – będącym „odpowiedzią na pismo Generalnego Inspektora Ochrony Danych Osobowych z dnia 11 marca 2004 r. (znak: GI-DP-024/212/04/512) oraz pismo z dnia 15 kwietnia 2004 r. (znak: GI-DP-024/212/04/789)” – wskazał, iż zgodnie z „zaleceniami Generalnego Inspektora przekazanymi ww. piśmie wyłączono formułę zgody na przetwarzanie danych osobowych z treści zamówienia” (podkreślenie Generalnego Inspektora). Tym samym, Prezes Fundacji nie traktował pism Generalnego Inspektora jako nakazu przywrócenia stanu zgodnego prawem ale wyłącznie jako zalecenie podjęcia stosownych działań.
Nie można również zgodzić się z twierdzeniem pełnomocnika Fundacji, iż Generalny Inspektor Ochrony Danych Osobowych nie poinformował Fundacji o wszczęciu postępowania administracyjnego w niniejszej sprawie, przez co działaniem swoim naruszył przepisy art. 61 § 1 i 4 K.p.a., art. 6 K.p.a. oraz art. 10 K.p.a. Należy bowiem podkreślić, iż Fundacja została poinformowana o wszczęciu postępowania w niniejszej sprawie poprzez skierowanie pierwszego pisma w sprawie, tj. z dnia 11 marca 2004 r. W piśmie tym został również dokładnie określony przedmiot postępowania. Warto przy tym zauważyć, iż przepisy Kodeksu postępowania administracyjnego nie przewidują szczególnej formy zawiadomienia stron o wszczęciu postępowania prowadzonego z urzędu. Zawiadomienie to służy przede wszystkim zapewnieniu stronom postępowania możliwości ochrony ich interesu jeszcze przed rozstrzygnięciem sprawy. Natomiast rozstrzygnięcie w przedmiotowej sprawie nastąpiło poprzez wydanie przez Generalnego Inspektora decyzji administracyjnej w dniu 28 października 2004 r. (znak: GI-DEC-DS/231/04/493). Tym samym rozstrzygnięcie w przedmiotowej sprawie nastąpiło po upływie prawie 7 miesięcy od zawiadomienia Prezesa Fundacji o postępowaniu w sprawie. Ponadto, podczas przedmiotowego okresu, Generalny Inspektor wielokrotnie kierował do Fundacji pisma (w dniach: 15 kwietnia 2004 r. znak: GI-DP-024/212/04/789, 30 kwietnia 2004 r. znak: GI-DP-024/212/04/896, 6 lipca 2004 r. znak: GI-DP-024/212/04/1372), które w sposób nie budzący wątpliwości informowały Fundację o toczącym się postępowaniu. Jednocześnie, pismem z dnia 16 sierpnia 2004 r. (znak: GI-DS-430/646/3796), Generalny Inspektor poinformował pełnomocnika Fundacji o uprawnieniach wynikających z treści art. 10 § 1 oraz
art. 73 § 1 K.p.a. Fundacja skorzystała z przysługującego stronie prawa i pismem z dnia 26 sierpnia 2004 r. złożyła dodatkowe obszerne wyjaśnienia w niniejszej sprawie. Tym samym, nie jest prawdziwe twierdzenie pełnomocnika, iż Generalny Inspektor wydał rozstrzygnięcie
w sprawie bez przeprowadzenia postępowania administracyjnego, w formie nieprzewidzianej przepisami prawa, a w szczególności bez zapewnienia stronie możliwości realizacji praw określonych w K.p.a. Również nie jest zgodne z prawdą twierdzenie pełnomocnika, iż
w niniejszej sprawie strona nie mogła wypowiedzieć się co do zebranych przez Generalnego Inspektora dowodów, oraz, że uniemożliwiono jej skorzystania z prawa do czynnego udziału
w postępowaniu. Należy bowiem wyraźnie podkreślić, iż w sprawie toczącej się przed Generalnym Inspektorem Fundacja wielokrotnie (tj. w pismach z dnia: 22 kwietnia 2004 r., 24 maja 2004 r., 22 lipca 2004 r. oraz z dnia 26 sierpnia 2004 r.) wypowiadała się oraz składała wyjaśnienia w sprawie.
Z tych też względów zarzuty pełnomocnika Fundacji, iż Generalny Inspektor Ochrony Danych Osobowych poprzez wydanie zaskarżonej decyzji naruszył przepisy prawa proceduralnego, tj. art. 6, art. 10 § 1, art. 61 § 1 i 4 oraz art. 107 § 1 K.p.a., są bezzasadne
i w żaden sposób nie znajdują potwierdzenia zarówno w działaniach podjętych przez Generalnego Inspektora, jak i w materiale dowodowym zgromadzonym w toku przedmiotowego postępowania.
II Odnosząc się natomiast do zarzutu naruszenia przez Generalnego Inspektora przepisów prawa materialnego ponownie podkreślić należy, iż w myśl art. 23 ust. 1 ustawy, przetwarzanie danych osobowych jest dopuszczalne tylko wtedy, gdy spełniona zostanie jedna z wymienionych w tym przepisie przesłanek. Przesłanki te odnoszą się do wszelkich form przetwarzania danych wymienionych w art. 7 pkt 2 ustawy, w tym w szczególności do ich przechowywania oraz udostępniania. Są także względem siebie równoprawne, co oznacza, że dla legalności procesu przetwarzania danych wystarczające jest spełnienie jednej z przesłanek. Zgodnie z art. 23 ust. 1 pkt 1 ustawy, przetwarzanie osobowych jest dopuszczalne, jeżeli osoba, której dane dotyczą wyrazi zgodę, chyba że chodzi o usunięcie dotyczących jej danych. Natomiast, zgodnie z art. 23 ust. 1 pkt 5 ustawy, przetwarzanie danych osobowych jest dopuszczalne, gdy jest to niezbędne dla wypełnienia prawnie usprawiedliwionych celów realizowanych przez administratorów danych albo odbiorców danych, a przetwarzanie nie narusza praw i wolności osoby, której dane dotyczą.
Generalny Inspektor w pełni podtrzymuje stanowisko, iż analiza stanu faktycznego i prawnego niniejszej sprawy daje podstawy do przyjęcia stanowiska, iż jedyną przesłanką umożliwiającą Fundacji udostępnianie innym podmiotom danych osobowych pozyskanych przez Fundację z formularzy zamówień określonych produktów jest wyraźna zgoda na powyższą czynność osób, których dane te dotyczą. Należy bowiem wyraźnie podkreślić, iż każdej osobie, której dane dotyczą przysługuje prawo do decydowania o tym komu oraz w jakich okolicznościach jej dane osobowe zostaną w przyszłości udostępnione. W przedmiotowej sprawie, Fundacja, stosując formularz nie zawierający odrębnej zgody na udostępnianie danych innym podmiotom, pozbawia osoby zamawiające jej produkty powyższego uprawnienia. Jednostronnie bowiem wymusza od osób zamawiających w Fundacji oferowane do sprzedaży produkty zaakceptowanie sytuacji, w której ich dane zostaną przekazane nieograniczonej liczbie podmiotów.
Działanie to w konsekwencji uniemożliwia tym osobom skuteczną kontrolę procesu przetwarzania ich danych osobowych. Z dotychczasowego brzmienia formularza zamówienia produktów każda osoba, która chce wejść w posiadanie produktów Fundacji i składa w tym zakresie zamówienie automatycznie godzi się na przekazanie jej danych innym podmiotom. Natomiast, w myśl art. 7 pkt 5 ustawy, poprzez zgodę na przetwarzanie danych osobowych, należy rozumieć oświadczenie woli, którego treścią jest zgoda na przetwarzanie danych osobowych tego, kto składa oświadczenie; zgoda nie może być domniemana lub dorozumiana z oświadczenia woli o innej treści.
Warto również zwrócić uwagę, iż stanowisko Generalnego Inspektora znajduje potwierdzenie zarówno w doktrynie, jak również w orzecznictwie Naczelnego Sądu Administracyjnego. W literaturze przedmiotu prezentowany jest pogląd, iż „jeśli oświadczenie woli o wyrażaniu zgody na przetwarzanie danych nie obejmowało możliwości udostępnienia danych innemu administratorowi, działanie takie jest niedopuszczalne, dla udostępnienia danych innym podmiotom konieczna jest dodatkowa zgoda osoby, której dane dotyczą (Janusz Barta, Ryszard Markiewicz Ochrona danych osobowych Komentarz, Zakamycze 2002 s. 388, S. Grynhoff i P. Woźny „Ochrona Danych Osobowych w praktyce” pkt 2/2, s. 7-11, podobnie Fleszer D. „Prawo do kontroli przetwarzania swoich danych osobowych artykuł” P Glosa 2004/1/17 - t.3).
Zauważyć również należy, iż w podobnej sprawie Naczelny Sąd Administracyjny wskazał w wyroku z dnia 4 kwietnia 2003 r., iż „zgoda na przekazywanie danych musi mieć charakter wyraźny, a jej wszystkie aspekty muszą być jasne dla podpisującego w momencie jej wyrażania. Czynności takiej nie konwaliduje późniejsze poinformowanie o treści regulaminu, ani możliwość zgłoszenia zastrzeżeń wobec pewnych form przetwarzania danych”.
W uzasadnieniu do przedmiotowego wyroku stwierdzono ponadto, iż „zdaniem Sądu, o ile można uznać za taką umowę nienazwaną kupno książek za pośrednictwem Spółki, o tyle odrębną kwestią jest umowa o przekazanie danych osobowych. Przekazanie danych jest sprawą odrębną od życia codziennego, a obie te umowy nie są tożsame. Skład orzekający zaakcentował bardziej rygorystyczne wymogi wprowadzone przez ustawodawcę w odniesieniu do zgody na przekazywanie danych osobowych wyrażone z art. 7 pkt 5 ustawy. Oznacza to zdaniem Sądu, że wyrażający zgodę musi mieć w momencie jej zawierania świadomość tego, co kryje się pod tym pojęciem” (Wyrok Naczelnego Sądu Administracyjnego z dnia 4 kwietnia 2003 r. II SA 2135/2002 Monitor Prawniczy 2003/10 str. 435, podobnie wyrok NSA z dnia 19 listopada
2001 r. II S.A. 2748/00).
Z powyższego jednoznacznie wynika zatem, iż działanie Fundacji polegające na przekazywaniu danych osób zamawiających produkty w Fundacji innym pomiotom, nie naruszałyby przepisów ustawy, wówczas gdyby osoby, których dane dotyczą wyraziły wyraźną zgodę na przeprowadzenie takich działań we wskazanym powyżej celu. Ponadto, osoby, których dane dotyczą powinny być świadome dobrowolności, bądź konieczności złożenia oświadczenia, którego treścią jest taka zgoda. Dlatego też, zgoda na przetwarzanie danych osobowych tego, kto je składa, powinna być przedmiotem odrębnego oświadczenia, niezależnego od oświadczenia stanowiącego akceptację zamówienia.
Nie można zgodzić się również ze stanowiskiem pełnomocnika Fundacji, iż podstawą prawną do udostępniania przez Fundację danych osobowych innym pomiotom, stanowi przepis art. 23 ust. 1 pkt 5 ustawy. W złożonych wyjaśnieniach wskazano bowiem, iż udostępnienie przedmiotowych danych jest niezbędne do wypełnienia prawnie usprawiedliwionych celów realizowanych przez Fundację oraz Stowarzyszenie.
Mając na uwadze powyższą regulację, podkreślić należy, iż prawo do przetwarzania danych (w tym do ich udostępniania), na podstawie ww. przesłanki nie jest nieograniczone. Przetwarzanie danych osobowych w związku z wypełnianiem prawnie usprawiedliwionego celu administratora danych albo odbiorcy danych jest dopuszczalne o ile nie narusza to praw i wolności osoby, której dane dotyczą. Ponadto, ograniczenie wskazanego powyżej prawa wynika również z dyspozycji przepisu art. 26 ust. 1 ustawy, w myśl którego administrator danych przetwarzający dane – w przedmiotowej sprawie Fundacja - powinien dołożyć szczególnej staranności w celu ochrony interesów osób, których dane dotyczą. Zgodnie z art. 26 ust. 1 pkt 2 ustawy, administrator danych jest obowiązany zapewnić, aby dane te były zbierane dla oznaczonych, zgodnych z prawem celów i nie poddawane dalszemu przetwarzaniu niezgodnemu z tymi celami, z zastrzeżeniem ust. 2. Tym samym, Generalny Inspektor podtrzymuje stanowisko, że kwestionowane działanie może prowadzić do wykroczenia przez Fundację poza pierwotny cel przetwarzania danych – jakim jest realizacja umowy sprzedaży oferowanego produktu. Nie można zatem zgodzić się ze stanowiskiem pełnomocnika, iż kwestionowane działanie Fundacji mieści się w „konstrukcji zbierania danych dla oznaczonych, zgodnych
z prawem celów, o której mowa w art. 26 ust. 1 pkt 2 ustawy”.
Trudno również podzielić argumentację pełnomocnika Fundacji, iż kwestionowane działanie Fundacji nie narusza praw i wolności osób, których dane dotyczą. Stanowisko to w żaden sposób nie znajduje potwierdzenia w materiale dowodowym zgromadzonym w sprawie. Należy bowiem podkreślić, iż Generalny Inspektor Ochrony Danych Osobowych wszczął z urzędu przedmiotowe postępowanie na skutek licznych sygnałów, jakie w niniejszej sprawie wpływały do Biura GIODO. Skarżący kwestionowali legalność praktyki Fundacji, polegającej na uzależnieniu zakupu produktów oferowanych przez Fundację od obligatoryjnej zgody na udostępnianie danych osobowych kupującego innym podmiotom. Dlatego też, przyjmowanie a priori, iż działanie Fundacji polegające na przekazywaniu danych osobowych innym podmiotom nie narusza ich praw oraz wolności, jest wnioskiem pełnomocnika nie znajdującym żadnego uzasadnienia. Działanie Fundacji, na podstawie przesłanki wymienionej w art. 23 ust. 1 pkt 5 ustawy, mogłoby znajdować uzasadnienie jedynie, gdyby oferowała marketing własnych produktów, natomiast w niniejszym przypadku chodzi o przekazywanie danych innym podmiotom. Prowadzi to w konsekwencji do naruszenia praw i wolności tych osób, bowiem osoba zamawiająca produkty w Fundacji nie ma zapewnionej możliwości wyboru, czy wyraża zgodę w zakresie dysponowania jej danymi przez inne podmioty, a tym samym jest ona pozbawiona faktycznej kontroli procesu przetwarzania danych. Kwestionowana praktyka Fundacji wymusza jednocześnie na osobach zamawiających bezwarunkowe zaakceptowanie przyszłych działań Fundacji, polegających na udostępnianiu ich danych osobowych nieograniczonej liczbie podmiotów prowadzących analogiczną do Fundacji działalność. Natomiast powyższe działanie może w konsekwencji prowadzić do naruszenia konstytucyjnych norm gwarantujących, każdej osobie prawo do prywatności. Warto bowiem podkreślić, iż wprawdzie przepisy ustawy o ochronie danych osobowych określają zasady postępowania przy przetwarzaniu danych osobowych oraz prawa osób fizycznych, których dane osobowe są lub mogą być przetwarzane w zbiorach danych (art. 2 ust. 1 ustawy), to jednak źródło tej ochrony wynika przede wszystkim z przepisów Konstytucji Rzeczypospolitej Polskiej. Stosownie bowiem do art. 51 ust. 5 Konstytucji Rzeczypospolitej Polskiej, zasady i tryb gromadzenia oraz udostępniania informacji o osobie określa ustawa. Natomiast dyspozycję powołanego powyżej przepisu wypełnia właśnie ustawa o ochronie danych osobowych. Ponadto, zgodnie z art. 47 Konstytucji Rzeczypospolitej Polskiej, każdy ma prawo do ochrony prawnej życia prywatnego, rodzinnego, czci i dobrego imienia oraz do decydowania o swoim życiu osobistym. W orzecznictwie Trybunału Konstytucyjnego wielokrotnie podkreślano, iż „Konstytucja RP z 2 kwietnia 1997 r.(...) normuje prawo do prywatności stanowiąc w art. 47, iż „każdy ma prawo do ochrony prawnej życia prywatnego, rodzinnego, czci i dobrego imienia oraz do decydowania o swoim życiu osobistym” (...) Przytoczone powyżej przepisy konstytucji pozostają w określonej relacji wzajemnej: prawo do prywatności, statuowane w art. 47, zagwarantowane jest m.in. w aspekcie ochrony danych osobowych, przewidzianej w art. 51” (Wyrok Trybunału Konstytucyjnego z dnia 19 maja 1998 r. U. 5/97 OTK ZU 1998/4 poz. 46 Prokuratura i Prawo - dodatek 1998/9 poz. 51, podobnie Postanowienie Trybunału Konstytucyjnego z dnia 24 czerwca 1998 r. U. 4/97 OTK ZU 1998/4poz. 54). Natomiast, w wyroku z dnia 24 czerwca 1997 r. Trybunał Konstytucyjny wskazując rangę prawa do prywatności uznał m.in., iż ograniczenie tego prawa może nastąpić tylko jeżeli przemawia za tym inna norma, zasada lub wartość konstytucyjna, a stopień tego ograniczenia musi pozostać w odpowiedniej proporcji do rangi interesu, któremu ograniczenie to ma służyć (Orzeczenie Trybunału Konstytucyjnego z dnia 24 czerwca 1997 r. K. 21/96 OTK ZU 1997/2 poz. 23 Prokuratura i Prawo - dodatek 1997/10 poz. 60).
Nie można również zgodzić się z twierdzeniem pełnomocnika Fundacji, iż osoby, których dane dotyczą mają zapewnione prawo do kontroli „przekazywania danych” poprzez możliwość skorzystania z prawa sprzeciwu, o którym mowa w art. 32 ust. 1 pkt 8 ustawy. W myśl powołanego przepisu, każdej osobie przysługuje prawo do wniesienia sprzeciwu wobec przetwarzania jej danych w przypadkach, wymienionych w art. 23 ust. 1 pkt 4 i 5 ustawy, gdy administrator danych zamierza je przetwarzać w celach marketingowych lub wobec przekazywania jej danych osobowych innemu administratorowi danych. Tym samym,
w przypadku przekazania danych osobowych przez Fundację innym podmiotom, złożenie przez osobę której dane dotyczą sprzeciwu w Fundacji (wobec przekazywania jej danych) spowoduje, iż Fundacja nie będzie mogła w przyszłości udostępniać tych danych innym administratorom danych. Natomiast przedmiotowy sprzeciw nie wywoła żadnych skutków w odniesieniu do danych osobowych, które Fundacja przekazała innym podmiotom przed wniesieniem sprzeciwu. Dlatego też twierdzenie pełnomocnika, iż uprawnienie o którym mowa w art. 32 ust. 1 pkt 8 ustawy, zapewnia osobom, których dane dotyczą prawo do kontroli „przekazywania danych” jest nieuzasadnione.
Odnosząc się ponadto do stanowiska pełnomocnika Fundacji, w którym wskazał, iż osoby zamawiające w Fundacji produkty, uzyskują szczegółowe informacje, o których mowa w art. 24 ust. 1 ustawy (w tym o celach przetwarzania danych, o odbiorach danych, kategoriach odbiorców, dobrowolności podania danych), podkreślić należy, iż czym innym jest ocena wywiązania się przez administratora danych z obowiązku informacyjnego (o którym mowa powyżej), a czym innym jest ocena legalności procesu zbierania danych osobowych przez administratora oraz udostępniania tych danych innym podmiotom. Podnoszona przez pełnomocnika argumentacja wskazuje natomiast na utożsamienie spełnienia obowiązku informacyjnego z zalegalizowaniem przetwarzania danych, a są to dwa różne obowiązki, znajdujące źródło w dwóch różnych normach prawnych.
Reasumując, w pełni uzasadnione jest stanowisko Generalnego Inspektora Ochrony Danych Osobowych, iż stosowana przez Fundację klauzula zamieszczona na formularzach zamówień na poszczególne produkty oferowane do sprzedaży przez Fundację, nie spełnia wymogów określonych przepisami ustawy o ochronie danych osobowych, jak również,
że w celu przywrócenia stanu zgodnego z prawem konieczne jest wyodrębnienie z treści przedmiotowej klauzuli wyraźnej i odrębnej zgody na działania polegające na udostępnieniu przez Fundację danych osób zamawiających produkty Stowarzyszeniu oraz innym podmiotom prowadzącym analogiczną do Fundacji działalność.
Dlatego też, decyzja Generalnego Inspektora Ochrony Danych Osobowych z dnia 28 października 2004 r. (znak: GI-DEC-DS-231/04/493) nakazująca Fundacji usunięcie uchybień w procesie przetwarzania danych osobowych osób zamawiających oferowane przez nią produkty, pozyskiwanych za pomocą formularza zamówienia, poprzez odbieranie od nich odrębnej zgody na udostępnienie innym podmiotom dotyczących ich danych osobowych, jest w pełni uzasadniona.
W tym stanie faktycznym i prawnym Generalny Inspektor rozstrzygnął, jak we wstępie.
Decyzja niniejsza jest ostateczna. Na podstawie art. 21 ust. 2 ustawy z o ochronie danych osobowych w związku z art. 13 § 1, art. 53 § 1 i art. 54 § 1 ustawy z dnia 30 sierpnia 2002 r. Prawo o postępowaniu przed sądami administracyjnymi (Dz. U. Nr 153, poz. 1270), od niniejszej decyzji stronie przysługuje prawo wniesienia skargi do Wojewódzkiego Sądu Administracyjnego w Warszawie, w terminie 30 dni od dnia doręczenia niniejszej decyzji, za pośrednictwem Generalnego Inspektora Ochrony Danych Osobowych (na adres: ul. Stawki 2, 00 – 193 Warszawa).
