Administratorzy danych często opierają przetwarzanie danych po zakończeniu np. świadczenia umowy na wskazaniu, że dalsze przetwarzanie danych osobowych jest niezbędne do celów wynikających z ich prawnie uzasadnionych interesów. Często takimi interesami administratora jest potrzeba dochodzenia lub obrony przed roszczeniami.

Tak też wskazał administrator wobec, którego Prezes UODO wydał decyzję nakazującą usunięcie danych osobowych M.P., a w marcu br. Wojewódzki Sąd Administracyjny w Warszawie oddalił skargę na tę decyzję.

W postępowaniu przed Prezesem UODO, którego okrojoną wersję znamy wyłącznie z treści uzasadnienia wyroku WSA,  M.P. wniósł o to, aby administrator danych zaprzestał przetwarzania jego danych osobowych oraz usunął jego dane osobowe ze wszystkich baz danych Spółki.

Prezes UODO ustalił, że “w dniu […] marca 2018 r. skarżący (M.P.) zawarł ze Spółką umowę najmu samochodu osobowego marki […]”. Skarżący korzystał z usług innej wypożyczalni samochodów, tj. B. Sp. z o.o. Skarżący kontaktował się z byłym współpracownikiem oraz pracownikami B. Sp. z o.o. w celu ustalenia kto i w jakim celu posługuje się skanem dowodu osobistego i skanem prawa jazdy skarżącego. Zgodnie z oświadczeniem pełnomocnika cyt.: “(…) skarżącemu nie udało się ustalić, kto i w jakim celu posługuje się skanami jego dowodu osobistego i prawa jazdy”.

Spółka w odpowiedzi na wniosek Skarżącego oparty o art. 15 ust. 1 i 2 RODO wskazała, że “nie przetwarza danych osobowych skarżącego w kwestionowany przez niego sposób, tj. poprzez posiadanie kopii/skanu dowodu osobistego skarżącego oraz “dane osobowe skarżącego uzyskała od niego samego w związku z zawarciem umowy najmu samochodu marki […] w dniu […] marca 2018 r. w zakresie jego imienia, nazwiska, adresu, numeru dowodu osobistego, numeru prawa jazdy, numeru telefonu, które aktualnie przetwarza w systemie informatycznym, tj. w programie firm S. przeznaczonym do kompleksowej obsługi wypożyczalni samochodów (wyjaśnienia Spółki z dnia […] lutego 2019 r.)”.

W uzasadnieniu swojej decyzji Prezes UODO wskazał, że:

Przetwarzanie było dopuszczalne z uwagi na zawarcie i wykonywanie umowy najmu samochodu z dnia […] marca 2018 r., której stroną był skarżący. Spółka podniosła, iż aktualnie przetwarza dane osobowe skarżącego wyłącznie w celu ewentualnego ustalenia, dochodzenia lub obrony przed roszczeniami związanymi z wynajęciem samochodu, na podstawie art. 6 ust 1 lit. f rozporządzenia 2016/679.

oraz

Prezes Urzędu zakwestionował wskazywaną przez Spółkę podstawę przetwarzania danych osobowych skarżącego, ponieważ z zebranego materiału dowodowego nie wynika by skarżący wystąpił z roszczeniem wobec Spółki, bądź też, by Spółka dochodziła jakichkolwiek roszczeń od skarżącego na drodze sądowej, które uzasadniałyby uprawnienie Spółki do zachowania i przetwarzania jego danych osobowych w związku z ich zabezpieczeniem i dochodzeniem przez skarżącego lub Spółkę.

Wojewódzki Sąd Administracyjny badając skargę Spółki nakazującą usunięcie danych byłego klienta przychylił się do stanowiska Prezesa UODO i wskazał:

Podstawa prawna przetwarzania danych osobowych wymieniona w przepisie art. 6 ust. 1 lit. f RODO ma zastosowanie w sytuacji, gdy administrator nie posiada zgody osoby, której dane dotyczą, nie istnieje żaden przepis, który mógłby stanowić podstawę do przetwarzania danych osobowych oraz gdy administrator nie może powołać się na realizację umowy, a mimo to przetwarzanie danych należy uznać za legalne z uwagi na “prawnie uzasadniony interes” administratora lub strony trzeciej. Przesłanka ta ma charakter dodatkowy, uzupełniający pozostałe podstawy dopuszczalności przetwarzania.

oraz co najważniejsze:

Kluczowe dla wydania przez Prezesa Urzędu decyzji, nakazującej Spółce usunięcie danych osobowych skarżącego, ma fakt, iż Spółka nie wykazała, poza koniecznością ochrony roszczeń mogących powstać w przyszłości, innej prawnie uzasadnionej podstawy dalszego przetwarzania danych osobowych skarżącego. Spółka, powołując się na art. 6 ust. 1 lit f rozporządzenia 2016/679, wskazywała jako wyłączną podstawę przetwarzania danych osobowych skarżącego w programie komputerowym Spółki ochronę przed przyszłymi niepewnymi roszczeniami.

Zdaniem Sądu, w rozstrzyganej sprawie, organ prawidłowo przyjął, że nie została spełniona przez Spółkę przesłanka niezbędności do celów wynikających z prawnie usprawiedliwionych interesów realizowanych przez administratora odnośnie przetwarzania danych osobowych M. P., ponieważ z ustaleń faktycznych nie wynika, aby wymieniony wystąpił z roszczeniem wobec Spółki, bądź też, by Spółka dochodziła jakichkolwiek roszczeń od niego na drodze sądowej, które uzasadniałyby uprawnienie Spółki do zachowania i przetwarzania jego danych osobowych w związku z ich zabezpieczeniem i dochodzeniem roszczeń. Tak więc Spółka przetwarza jego dane osobowe w ww. celu wyłącznie “na zapas”, aby zabezpieczyć się przed ewentualnym przyszłymi i niepewnymi roszczeniami.

Rację ma Prezes Urzędu, że przesłanka z art. 6 ust. 1 lit. f rozporządzenia 2016/679 dotyczy sytuacji już istniejącej, w której celem wynikającym z prawnie uzasadnionych interesów realizowanych przez administratora jest konieczność udowodnienia, potrzeba dochodzenia lub obrony przed roszczeniem istniejącym, nie zaś sytuacji, gdy dane są przetwarzane w celu zabezpieczenia się przed ewentualnym roszczeniem.

 

Wyżej wskazany kierunek WSA w Warszawie zaczerpnęło ze swoich wcześniejszych wyroków.

I tak w wyroku z grudnia 2010 r. WSA wskazał, że:

Należy bowiem zwrócić uwagę, iż przesłanka z art. 23 ust 1 pkt 5 ustawy dotyczy sytuacji już istniejącej i pewnej, a więc przypadku, gdy istnieje potrzeba udowodnienia, potrzeba dochodzenia roszczenia z tytułu prowadzonej działalności gospodarczej, nie zaś sytuacji, gdy dane są przetwarzane na wypadek ewentualnego procesu i ewentualnej potrzeby udowodnienia, iż dane osobowe pozyskane bez zgody osoby, której dotyczą są przetwarzane zgodnie z prawem.

Należy również podkreślić, iż skarżący jedynie zapowiedział i nie zrealizował swoich zapowiedzi odnośnie skierowania sprawy na drogę sądową. Stąd też spółka, zdaniem Sądu, nie może przetwarzać danych osobowych skarżącego tylko w celu zabezpieczenia się przed ewentualnym przyszłym i niepewnym roszczeniem skarżącego.

W przeciwnym bowiem razie może pojawić się wątpliwość jak długo należy przetwarzać dane osobowe skarżącego jeżeli nie zrealizuje on swoich zapowiedzi.

Wyrok ten został uchylony przez Naczelny Sąd Administracyjny, który wskazał, że:

Wskazać należy, iż w przypadku wszczęcia postępowania z wniosku strony, wynikające z niego żądanie wyznacza zakres sprawy podlegającej rozpoznaniu przez organ. Pierwotna skarga T.W., na podstawie której Generalny Inspektor Ochrony Danych Osobowych wszczął postępowanie dotyczyło umieszczenia jednego zdjęcia z jego wizerunkiem i podpisem pod tym zdjęciem. Także w toku postępowania administracyjnego nie sformułował on zarzutu nieuprawnionego przetwarzania jego danych osobowych w zakresie innym niż utrwalony na tej fotografii oraz w podpisie do niej, a także nie kierował pod adresem organu innych żądań. A zatem Generalny Inspektor Ochrony Danych Osobowych prawidłowo objął zakresem prowadzonego postępowania zagadnienie przetwarzania przez Spółkę jego danych osobowych w zakresie utrwalonym na ściśle określonej fotografii klasowej publikowanej pierwotnie pod adresem […] oraz podpisie do niej.

Po ponownym rozpoznaniu sprawy WSA wskazał, że:

Wobec powyższego, istota sprawy w niniejszym postępowaniu sprowadzała się do wykładni przepisu art. 23 ust. 1 pkt 5 ustawy o ochronie danych osobowych. Zgodnie z brzmieniem wyżej powołanej normy prawnej, przetwarzanie danych osobowych jest dopuszczalne jedynie wtedy, gdy jest to niezbędne dla wypełnienia prawnie usprawiedliwionych celów, realizowanych przez administratorów danych albo odbiorców danych, a przetwarzanie to nie narusza praw i wolności osoby, której dane dotyczą.

W ocenie tutejszego Sądu spełniona jest też pierwsza przesłanka opisana w omawianym przepisie. Wobec zapowiedzi strony, iż wystąpi wobec Spółki na drogę sądową z roszczeniami związanymi z legalnością przetwarzania jego danych osobowych, Spółka była uprawniona do utrwalenia danych osobowych skarżącego i zachowania ich dla celów dowodowych, na wypadek ewentualnego postępowania sądowego. Zapowiedź wystąpienia z roszczeniami uprawdopodabnia bowiem potrzebę gromadzenia przez Spółkę dowodów, którymi będzie mogła się posłużyć, jeśli strona zrealizuje swoje zapowiedzi wytoczenia powództwa. Za koniecznością omawianego przetwarzania danych osobowych strony przemawiała też okoliczność podniesiona przez uczestnika postępowania w piśmie procesowym z dnia 20 kwietnia 2011 r., iż przedmiotowe zdjęcie jest dowodem w postępowaniu przygotowawczym prowadzonym przez Policję.

W takim stanie rzeczy NSA oddalił skargę kasacyjną:

Ustosunkowując się do zgłoszonych zarzutów naruszenia art. 25 ust. 1, art. 26 ust. 1 pkt 1 i 3 oraz art. 23 ust. 1 pkt 5 ustawy o ochronie danych osobowych należy stwierdzić, iż są one również nieuzasadnione.

Jak trafnie bowiem wskazał Sąd I instancji, w świetle art. 23 ust. 1 pkt 5 ustawy, przetwarzanie danych osobowych dopuszczalne jest także wtedy, gdy jest to niezbędne do wypełnienia prawnie usprawiedliwionych celów administratora danych lub osób trzecich, którym są one przekazywane, a przetwarzanie danych nie narusza praw i wolności osoby, której dotyczą. W myśl powyższego przepisu Spółka była uprawniona do utrwalenia danych osobowych skarżącego i zachowania ich dla celów dowodowych, na wypadek ewentualnego postępowania sądowego.

Już sama zapowiedź wystąpienia z roszczeniami uprawdopodabnia bowiem potrzebę gromadzenia przez Spółkę dowodów, którymi będzie mogła się posłużyć, jeśli strona zrealizuje swoje zapowiedzi wytoczenia powództwa. Nie ma zatem podstaw do przyjęcia, że aktualnie realizowany proces przetwarzania kwestionowanych danych osobowych skarżącego (w celach dowodowych) narusza jakiekolwiek prawa czy wolności skarżącego. Przeciwnie – chroni w równym stopniu interesy Spółki (jako podmiotu, wobec którego skierowane zostały roszczenia skarżącego), jak i samego skarżącego, na potwierdzenie kwestionowanych przez niego okoliczności.

Ponadto nadmienić należy, że Spółka poinformowała skarżącego, że “fakt zamieszczenia zdjęcia został zarchiwizowany celem wykorzystania go jako materiału dowodowego w ewentualnych postępowaniach”, co nie spotkało się ze sprzeciwem. Tym samym skarżący – wbrew zarzutowi skargi kasacyjnej – posiadał wystarczającą wiedzę na temat sposobu, celu i zakresu gromadzenia jego danych przez Spółkę. Zmiana zaś sposobu ich przetwarzania nie uniemożliwiła mu rozszerzenia skargi o dalsze naruszenia, bowiem organ te okoliczności wziął pod uwagę przy formowaniu treści decyzji. Organ orzekając w sprawie zobowiązany jest bowiem uwzględniać okoliczności faktyczne istniejące w dacie wydawania rozstrzygnięcia. Skoro zatem przedmiotem skargi było przetwarzanie przez Spółkę określonych danych osobowych (utrwalonych na konkretnej fotografii i podpisie pod nią), to w sytuacji, gdy Spółka zaprzestała przetwarzania w/w danych osobowych poprzez publikację na portalu […] wizerunku z imieniem i nazwiskiem skarżącego, lecz kontynuowała proces przetwarzania polegający na przechowywaniu danych jedynie w celach dowodowych (bez podawania do publicznej wiadomości spornej fotografii klasowej), obowiązkiem GIODO było dokonanie merytorycznej oceny tego przechowania (bez potrzeby precyzowania skargi), co organ uczynił. Oznacza to, że bezspornym jest, iż zaprzestano przetwarzania danych osobowych skarżącego w sposób pierwotny. Z uwagi jednak na nowe okoliczności, tj. archiwizowanie w/w danych w celach dowodowych, organ odmówił uwzględnienia wniosku, prawidłowo opierając rozstrzygnięcie na art. 23 ust. 1 pkt 5 ustawy o ochronie danych osobowych. Z tej przyczyny nie można było zasadnie twierdzić, że naruszone zostało prawo materialne, tj. powołane w skardze kasacyjnej przepisy ustawy z dnia 29 sierpnia 1997 r.

Na początku bieżącego roku Sąd Rejonowy w Gdyni zasądził kwotę prawie 1500 zł w związku z naruszeniem dobra osobistego powoda w postaci prawa do ochrony danych osobowych, a także prawa do niezakłóconego życia prywatnego (prawa do prywatności).

Sąd powyższej odpowiedzialności dopatrywał się w przepisach dotyczących szkody (art. 415 k.c.) oraz możliwości przyznania zadośćuczynienia pieniężnego za doznaną krzywdę w przypadku naruszenia dobra osobistego (art. 448 k.c.). 

Jak doszło do takiego naruszenia?

Powód wskazał, że mimo korzystnego dla niego wyroku Sądu Rejonowego w Kielcach z dnia 2 listopada 2015 r. pozwany zbył na rzecz funduszu sekurytyzacyjnego nieistniejący dług dotyczący rzekomo świadczonej usługi telekomunikacyjnej. 

Następca prawny pozwanego podjął zaś w stosunku do powoda działania windykacyjne, a następnie uzyskał nakaz zapłaty w elektronicznym postępowaniu upominawczym i wszczął postępowanie sądowe, w którym została wyegzekwowana od powoda kwota 844,74 zł.

Powód wskazał, że w wyniku zbycia nieistniejącej wierzytelności firma windykacyjna bezprawnie nękała powoda, naruszając jego dobra osobiste.

Sąd Rejonowy w Gdyni w omawianym wyroku zważył, że:

ustalone przez Sąd okoliczności wskazują na bezprawność działania pozwanego;

mimo niekorzystnego wyroku pozwany wystawił jednak faktury za kolejne miesiące, nie poinformował cesjonariusza o zapadłym wcześniej wyroku, a także przede wszystkim zbył ww. rzekome wierzytelności na rzecz funduszu sekurytyzacyjnego, co spowodowało sekwencję kolejnych zdarzeń, w tym wszczęcie postępowania upominawczego oraz egzekucyjnego;

na podstawie wiarygodnych zeznań powoda Sąd ustalił, że w wyniku działań i zaniechań pozwanego, które zostały opisane powyżej, doszło do naruszenia dobra osobistego powoda w postaci prawa do ochrony danych osobowych, a także prawa do niezakłóconego życia prywatnego (prawa do prywatności).

W zakresie przetwarzania danych osobowych Sąd poruszył istotne zagadnienie:

Przede wszystkim należy wskazać, że mimo braku jakichkolwiek zaległości w opłatach abonamentowych i braku podstaw do sprzedaży wierzytelności pozwany przekazał osobie trzeciej bez zgody powoda, jego dane osobowe (w tym także błędny adres zamieszkania), a także jego numer telefonu. Dane osobowe osoby fizycznej pozostają pod ochroną prawną na mocy ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych (poprzednio na mocy ustawy z dnia 29 sierpnia 1997r. o ochronie danych osobowych). Wprawdzie obowiązujący podówczas przepis art. 24 ust. 2 ustawy o ochronie danych osobowych zezwalał na przetwarzanie danych osobowych jeżeli zmierzało to do ochrony prawa, a przepis art. 23 tej ustawy zezwalał na przetwarzanie danych osobowych jeżeli jest to niezbędne dla wypełnienia prawnie usprawiedliwionych celów realizowanych przez administratorów danych albo odbiorców danych, a przetwarzanie nie narusza praw i wolności osoby, której dane dotyczą (ust. 1 pkt 5), przy czym zgodnie z ust. 4 tego przepisu, za prawnie usprawiedliwiony cel, o którym mowa w ust. 1 pkt 5, uważa się w szczególności dochodzenie roszczeń z tytułu prowadzonej działalności gospodarczej, niemniej w rozpatrywanym, przypadku nie zachodziły wskazane w tym przepisie podstawy.

Mimo tego windykatorzy w dalszym ciągu z coraz większą częstotliwością (także w weekendy), o różnych porach dnia, w tym w godzinach porannych niepokoili i nękali powoda, zmieniając przy tym numery telefonów. Zdaniem Sądu na prywatny numer telefonu osoby fizycznej, który nie został nigdy udostępniony publicznie nie można uporczywie telefonować wiedząc, że abonent tego sobie nie życzy.

oraz

Źródłem powyższych uciążliwości niewątpliwie było przekazanie danych osobowych powoda i jego numeru telefonu przez pozwanego osobie nieuprawnionej. Podkreślić należy, iż powód nie wyraził zgody na przekazanie jego danych osobie trzeciej. Natomiast, pozyskiwanie danych wyłącznie na podstawie art. 509 kc, nie poprzedzone zgodą konsumenta, przyjmuje charakter niedozwolonych postanowień umownych, o których mowa w art. 385 § 3 kc, które nie są dla konsumenta wiążące (por. wyrok WSA w Warszawie z dnia 12 października 2004r., OSK 769/04).

Warto też wskazać, że:

mimo spoczywającego na pozwanym dowodu w zakresie braku bezprawnego charakteru naruszenia, pozwany w tym zakresie nie podjął żadnej inicjatywy dowodowej. Niewątpliwie zachowanie pozwanego było bezprawne, doprowadziło do naruszenia dóbr osobistych powoda i pozostawało w związku przyczynowym z poniesioną szkodą.

We wrześniu 2019 r. Wojewódzki Sąd Administracyjny wydał wyrok, w którym oddalił skargę obywatela na postanowienia Prezesa Urzędu Ochrony Danych. Postanowieniem tym Prezes UODO odmówił wszczęcia postępowania w sprawie skargi dotyczącej przetwarzania danych osobowych przez Prezesa Instytutu Pamięci Narodowej.

Prezes UODO w uzasadnieniu postanowienia podał, że zgodnie z art. 61 § 1 Kpa, gdy żądanie, o którym mowa w art. 61 zostało wniesione przez osobę niebędącą stroną lub z innych uzasadnionych przyczyn postępowanie nie może być wszczęte, organ administracji publicznej wydaje postanowienie o odmowie wszczęcia postępowania.

Nadto wskazał, że:

Na podstawie wykładni literalnej powyżej powołanych przepisów stwierdzić należy, że przepisy RODO stosuje się wyłącznie do Bazy Materiału Genetycznego zdefiniowanej w art. 53f ustawy o Instytucie Pamięci Narodowej (…). W konsekwencji powyższego RODO nie jest stosowane do innych baz danych prowadzonych przez Prezesa IPN w celu realizacji jego ustawowych zadań określonych w art. 1 ustawy o Instytucie Pamięci Narodowej (…).

Podkreślić w tym miejscu należy, że to w ustawie o Instytucie Pamięci Narodowej (…) zgodnie z art. 1 pkt 3 reguluje kwestie ochrony danych osobowych osób, których dotyczą dokumenty zgromadzone w archiwach IPN.

WSA w Warszawie stwierdził, że:

Organ prawidłowo zastosował w tej sprawie przepis art. 61a Kpa i zasadnie odmówił wszczęcia postępowania w sprawie skargi skarżącego na przetwarzanie jego danych osobowych przez Prezesa IPN.

Zgodnie z art. 71 ustawy o IPNW działalności Instytutu Pamięci określonej w art.1 zakres regulacji ustawy, przepisy rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz. Urz. UE L 119 z 04.05.2016, str. 1) stosuje się do prowadzenia Bazy.

oraz, co kluczowe w tej sprawie:

Przepisy RODO mają zastosowanie wyłącznie do Bazy Materiału Genetycznego, co wynika wprost z art. 71 ustawy o IPN. Definicja “Bazy” została natomiast zawarta w art. 53f ustawy o IPN.

Jednak Naczelny Sąd Administracyjny w wyroku z czerwca 2021 r. przedstawił zupełnie odmienne stanowisko i wskazał argumenty je popierające. NSA po rozpoznaniu skargi kasacyjnej uchylił zaskarżony wyrok i zaskarżone postanowienie, co powoduje konieczność rozpoznania skargi obywatela raz jeszcze i wydania postanowienia albo decyzji administracyjnej.

NSA podaję konkretne argumenty przemawiające za wadliwość nie tylko wyroku WSA II SA/Wa 338/19, ale przede wszystkim decyzji Prezesa UODO opartej na podstawie wskazanej w art. 61a k.p.a.

I tak pierwszym argumentem jest:

Wniosek strony skarżącej, zmierzający do zainicjowania postępowania mającego na celu doprowadzenie do zmiany zakresu informacji zawartych w zbiorach IPN i do stanu zgodnego z rzeczywistością, stanowi wyraz realizacji gwarantowanego Konstytucją prawa do uzupełnienia, sprostowania lub usunięcia danych nieodpowiadających prawdzie. Tymczasem zarówno organ, jak i Sąd I instancji, przyjęte przez siebie stanowisko oparli na poglądzie zgodnie, z którym regulacje zawarte w RODO ograniczają się “wyłącznie” do Bazy Materiału Genetycznego (wskazanej w art. 53f ustawy o IPN) – art. 71 ustawy o IPN. Taka wykładnia tego przepisu jest niewłaściwa.

Po pierwsze w treści art.71 ustawy o IPN ustawodawca nie użył słów: “wyłącznie”, “jedynie”, “tylko” itp. Zatem przyjęta przez Prezesa UODO oraz Sąd I instancji wykładnia nie uwzględnia literalnego brzmienia przepisu, a jego “uzupełnianie” o wspomniane słowa w celu uzyskania określonego celu wykładni stanowi przykład wykładni prawotwórczej contra legem. Niewątpliwie prowadziło to do zastosowania wnioskowania a contrario, lecz pamiętać należy o tym, że wnioskowanie to jest zawodne, a co więcej czym innym jest ustalenie znaczenia interpretowanego przepisu, a czym innym wyprowadzenie wniosków o niewiązaniu skutków prawnych z przypadkami nieunormowanymi. “W większości przypadków, kiedy mamy do czynienia z wnioskowaniem a contrario, podmiot przeprowadzający to wnioskowanie obowiązujący przepis sam dekonstruowuje w ten sposób, by znalazły się w nim wspomniane zwroty “jedynie itp.”

po drugie:

(…) zastosowane przez Prezesa UODO i Sąd I instancji wnioskowanie oznaczałoby, że dane znajdujące się w rejestrach Instytutu Pamięci Narodowej pozostają poza jakąkolwiek kontrolą organów powołanych do przetwarzania i ochrony danych osobowych, nawet jeżeli nie odpowiadają rzeczywistości.

Dane archiwalne, gromadzone w bazach IPN dotyczą niejednokrotnie tych obszarów życia, które odnoszą się właśnie do czci oraz dobrego imienia, a w sytuacji, gdy są one niezgodne z prawdą, to wówczas dochodzi o naruszenia tych, konstytucyjnie chronionych, wartości. Wypada w tym miejscu zwrócić uwagę na treść pkt 158 preambuły RODO, który expressis verbis przewiduje możliwość stosowania regulacji RODO do przetwarzania danych osobowych w celach archiwalnych. Z takim zaś przypadkiem mamy do czynienia na gruncie niniejszej sprawy, gdzie intencją skarżącego było uzupełnienie oraz usunięcie nieprawdziwych danych w Biuletynie Informacji Publicznej IPN. Modyfikacja danych zawartych w Biuletynie niewątpliwie mieści się w zakresie przetwarzania danych osobowych w celach archiwalnych, a z perspektywy przywołanych wcześniej regulacji konstytucyjnych, objęta jest zakresem regulacji RODO.

po trzecie:

Umknęło natomiast uwadze zarówno organu jak i Sądu pierwszej instancji to, że z treści pkt 27 preambuły RODO wprost wynika, iż jego przepisów nie stosuje się względem osób zmarłych – jakkolwiek dopuszczono możliwość przyjęcia przez państwa członkowskie przepisów o przetwarzaniu danych osobowych osób zmarłych. Takim wyjątkiem zdaje się być art. 71 ustawy o IPN. Traktować go więc należy jako normatywną podstawę do stosowania regulacji RODO względem danych, które co do zasady pozostawały poza jego zakresem. Nie jest to więc wyjątek od reguły, który dopuszcza możliwość ochrony danych osobowych, którymi administruje IPN, lecz należy go postrzegać jako przewidziane prawem odstępstwo od generalnej zasady niestosowania RODO względem osób zmarłych.

po czwarte:

(…) rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE jest źródłem prawa powszechnie obowiązującego w ujęciu konstytucyjnego systemu źródeł prawa (art. 87 ust.1 w zw. z art. 90 ust.1 i art.91 ust.3 Konstytucji RP) i jest stosowane bezpośrednio, mając pierwszeństwo w przypadku kolizji z ustawami. W konsekwencji należy mieć na uwadze obowiązek interpretowania prawa krajowego zgodnie z prawem unijnym. Natomiast w przypadku braku możliwości uzyskania zgodności prawa krajowego z prawem unijnym w grę będzie wchodzić wspomniana zasada pierwszeństwa prawa unijnego wobec prawa krajowego.

W związku z takim argumentami NSA wskazuję, że:

W konsekwencji w przedmiotowym stanie faktycznym i prawnym nie było podstaw do odmowy wszczęcia postępowania ze względu na brak regulacji normujących zmianę danych zawartych w katalogach IPN, skoro tego rodzaju normą był właśnie powołany wyżej przepis Konstytucji RP, jak również przepisy RODO, których zastosowanie, w świetle tego co zostało wyżej powiedziane, organ winien był rozważyć.

Sąd Ochrony Konkurencji i Konsumentów zmienił zaskarżoną decyzję Prezesa Urzędu Komunikacji Elektronicznej z 2016 r. obniżając wymierzoną karę pieniężnej do kwoty 216 000 zł, z 270 000 zł, a w pozostałej części oddalił odwołanie w sprawie marketingu bezpośredniego bez posiadania uprzedniej zgody konsumenta. 

Wyrok ten dotyczył administracyjnej kary pieniężnej nałożonej na spółkę w związku “ z niewypełnieniem obowiązków uzyskania zgody abonenta lub użytkownika końcowego, o których mowa w art. 172 i art. 174 Pt, w związku z kontaktami, nawiązywanymi dla celów marketingu bezpośredniego przy użyciu telekomunikacyjnych urządzeń końcowych lub automatycznych systemów wywołujących, poprzedzającymi zawarte przez (…) w okresie od dnia 1 stycznia 2015 r. do dnia 31 marca 2016 r. umowy o świadczenie usług telekomunikacyjnych”.

Oczywiście ukarana spółka tłumaczyła się, iż zleciła działa telemarketingowe i wraz z tym faktem “pozbyła” się swojej odpowiedzialności uzyskania uprzedniej zgody marketingowej. Jak dobrze wiemy – takie podejście nie ma szans powodzenia od momenty wydania przez Sąd Najwyższy uchwały  z dnia 17 lutego 2016 r. sygn. akt III SZP 7/15

Z aktualnego wyroku SOKiKu warto odnotować, że:

przesłanką zastosowania przepisu art. 172 ust. 1 Pt jest użycie telekomunikacyjnych urządzeń końcowych albo alternatywnie automatycznych systemów wywołujących dla celów marketingu bezpośredniego w sytuacji, w której nie uzyskano na takie działanie uprzedniej zgody abonenta lub użytkownika końcowego. Użyty w treści omawianego przepisu spójnik „i” łączący opis dwóch rodzajów czynów będących przedmiotem ustanowionego zakazu wskazuje wyraźnie na to, że mamy do czynienia z wyliczeniem dwóch rodzajów zakazanych czynów.

Co ważne Sąd ten odniósł się do spójnika “i” użytego w treści art. 172 prawa telekomunikacyjnego, który to wprowadza dużo zamieszania:

kategoriach językowych najczęściej są to przyimki, spójniki oraz partykuły. Słowa te służą do konstrukcji tekstu i samodzielnie nie wskazują żadnych przedmiotów, ich funkcje są konstruktywne i uniwersalne. Słowa takie nazywane są funkcyjnymi (pomocniczymi, synsygramatycznymi lub gramatycznymi). Słowami tymi legislator posługuje się przy formułowaniu przepisów prawnych w wielu dziedzinach prawa. Spójniki „i” oraz „lub” mogą być odczytane nie tylko jako spójniki zdaniotwórcze (do zbudowania nazwy złożonej w zdaniu podmiotowo – orzecznikowym), tj. jako funktory koniunkcji, bądź funktory alternatywy zwykłej, ale i jako tzw. spójniki współrzędne (odpowiadające jedynie funktorom koniunkcji oraz alternatywy zwykłej). I użyte są wtedy w znaczeniu enumeracyjnym, tym samym mogą być stosowane zamiennie.

W doktrynie wskazuje się, że użycie spójnika „i” jako koniunkcja, nie jest jedynym możliwym zastosowaniem tegoż spójnika w tekstach prawnych, spójnik „i” (podobnie zresztą jak spójniki kojarzone zwykle „jak i”, „oraz”, „a także” itp.) może pełnić także funkcję enumeracyjną czyli wyliczającą. Na takie znaczenie użycia spójnika „i” wskazuje również orzecznictwo sądów administracyjnych.

Jest to o tyle istotne zagadnienie, gdyż przepis art. 172 prawa telekomunikacyjnego opisuję typizuje konkretne działania wymagające uprzedniej zgody:

Uzasadniając powyższą argumentację należy także stwierdzić, że posłużenie się spójnikiem „i” w znaczeniu jakie przypisuje mu powód, prowadziłoby do wniosku, iż dodanie z dniem 25 grudnia 2014 r. w art. 172 Pt wyrazów „telekomunikacyjnego urządzenia końcowego” było zbędne i nie zwiększyło zakresu ochrony prywatności użytkowników końcowych. Natomiast jak już wspomniano wyżej włączenie do treści przedmiotowego przepisu zakazu używania telekomunikacyjnych urządzeń końcowych miało na celu „(…) rozszerzenie na telekomunikacyjne urządzenia końcowe (…) zakazu używania dla celów marketingu bezpośredniego, bez uprzedniej zgody abonenta lub użytkownika końcowego, automatycznych systemów wywołujących” (druk sejmowy nr 2076, str. 10). Rozszerzenie zakazu polegało zatem na objęciu nim użycia telekomunikacyjnych urządzeń końcowych, które nie są automatycznymi systemami wywołującymi (który bez udziału człowieka inicjuje i realizuje przekaz za pomocą odpowiednio zaprogramowanych urządzeń).

Omawiany przepis nie wprowadza zatem nowego czynu, którego dokonanie wymaga łącznego użycia telekomunikacyjnych urządzeń końcowych i jednocześnie automatycznych systemów wywołujących, czego niezbitym dowodem jest istota obu zachowań i terminów użytych do ich zdefiniowania.

 

 

 

 

 

Już 9 września o godzinie 10:00 serdecznie zapraszamy na webinar online „Judykatura.pl – must have każdego, kto zajmuje się RODO”, który poprowadzi pomysłodawca i założyciel serwisu Judykatura.pl – Piotr Liwszic.

Podczas webinaru – na konkretnych przypadkach – dowiesz się jak w codziennej pracy wykorzystać materiały zebrane w serwisie Judykatura.pl

Data: 09.09.2021 (czwartek)

Godzina: 10:00 – 11:00 (1h)

Prowadzący: Piotr Liwszic 

Aby wziąć udział w wydarzeniu – zapisz się do newslettera!

ZAPISZ SIĘ DO NEWSLETTERA

Judykatura.pl to:

  • Unikatowa wyszukiwarka zawierająca ponad 2000 orzeczeń, wytycznych oraz decyzji administracyjnych związanych z Ochroną Danych Osobowych (RODO);
  • Platforma łącząca orzecznictwo sądów administracyjnych, sądów powszechnych, trybunałów z decyzjami administracyjnymi organów nadzorczych, opiniami oraz wytycznymi;
  • Aktualizowana na bieżąco baza orzeczeń dzięki której znajdziesz argumenty do swojej sprawy dotyczącej RODO;
  • Platforma wiedzy, która powstała dla Inspektorów Ochrony Danych oraz specjalistów odpowiedzialnych za przestrzeganie prawa ochrony danych osobowych.

Dla kogo jest webinar:

Webinar przeznaczony jest dla wszystkich osób, które na co dzień zajmują się Danymi Osobowymi – zapraszamy: Administratorów Danych Osobowych, Inspektorów Ochrony Danych, ekspertów oraz specjalistów, adwokatów i prawników, którzy specjalizują się w ochronie danych osobowych.

Aby wziąć udział w wydarzeniu – zapisz się do newslettera!

ZAPISZ SIĘ DO NEWSLETTERA

Agenda webinaru:

W czasie wydarzenia online zapoznasz się z:

  1. zakresem merytorycznym serwisu,
  2. zasadami prostej i przejrzystej nawigacji (tagi, artykuły, organy),
  3. pracą na praktycznych przykładach:
  • zakres postępowania przed Prezesem UODO
  • transfer danych poza EOG
  • pytania prejudycjalne do TSUE

To właśnie w tym celu powstał serwis Judykatura.pl, w którym znajdą Państwo konkretne argumenty związane z przestrzeganiem RODO. Wszystko dzięki możliwości przeszukania ponad 2000 orzeczeń, wytycznych oraz decyzji administracyjnych związanych z Ochroną Danych Osobowych zawierających przypisane artykułu oraz merytorycznie przygotowane tezy.

Wydarzenie jest bezpłatne dla uczestników, a aby wziąć w nim udział wystarczy zapisać się do newsletetra Judykatura.pl i zyskać możliwość otrzymywania ważnych wniosków z całego orzecznictwa RODO:

ZAPISZ SIĘ DO NEWSLETTERA

Jeżeli nie chcesz zapisać się do Newslettera, a chcesz wziąć udział w wydarzeniu to napisz wiadomość e-mail na adres: wydarzenia@judykatura.pl, a wyślemy Ci bezpośredni link do wydarzenia.

Jesteś już w naszej grupie newsletterowej to zaplanuj wydarzenie w swoim kalendarzu – nic więcej nie musisz robić.

Link do wydarzenia zostanie wysłany na adres mailowy na 3 dni przed wydarzeniem (06.09.2021) oraz w dniu wydarzenia (09.09.2021) o godzinie 9.30.

Zachęcamy Państwa do przesyłania pytań i tematów związanych z RODO – na część z nich odpowiemy w trakcie webinaru pokazując możliwości Judykatura.pl.

Pytania mogą Państwo przesyłać za pośrednictwem Messengera albo wiadomości e-mail na adres wydarzenia@judykatura.pl

 

W maju 2020 r. Prezes UODO nałożył na spółke z Jeleniej Góry administracyjna karę pieniężną w kwocie 15 000 zł za niezapewnienie dostępu do danych osobowych i innych informacji niezbędnych organowi nadzorczemu w trakcie rozpatrywania skargi. Spółka nie opowiadała na początkowe wezwania UODO, a później przesyłane odpowiedzi zostały uznane przez organ nadzorczy za niewystarczające w zakresie żądanych wyjaśnień. 

Na początku br. Wojewódzki Sąd Administracyjny w Warszawie wydał w tej sprawie wyrok, którego uzasadnienie zostało właśnie opublikowane.

Zapoznaj się z całym orzeczeniem oraz jego tezami.

W wyroku tym Sąd oddalił skargę ukaranej spółki. W uzasadnieniu swojego orzeczenia Sąd wskazał, że brak reakcji na pierwotne pisma UODO (z marca 2019 r. i z maja 2019 r.) oraz treść odpowiedzi spółki (przesłane w czerwcu 2019 r.) wskazują na umyślne działanie spółki. Działanie takie miało miejsce nawet po dwukrotnym przesłaniu informacji o wszczęciu postępowania administracyjnego w zakresie ukarania administracyjna karą pieniężną.

Sąd wskazał, że:

(…)  skarżąca spółka – administrator danych osobowych D. S. – jako strona prowadzonego przez Prezesa UODO postępowania o sygn. […] naruszyła ciążący na niej obowiązek zapewnienia Prezesowi UODO dostępu do informacji niezbędnych do realizacji jego zadań – w tym przypadku do merytorycznego rozstrzygnięcia  sprawy o wspomnianej sygnaturze. Innymi słowy, postępowanie Spółki stanowi o uniemożliwieniu organowi nadzorczemu realizacji jego uprawnienia określonego w art. 58 ust. 1 lit. e) Rozporządzenia 2016/679.

Wyżej opisane postępowanie skarżącej w sprawie o sygnaturze […] wskazuje na brak woli współpracy z Prezesem UODO w ustaleniu stanu faktycznego sprawy i prawidłowym jej rozstrzygnięciu lub co najmniej rażące lekceważenie swoich obowiązków dotyczących współpracy z Prezesem UODO w ramach wykonywania przez niego zadań określonych Rozporządzeniem 2016/679. Powyższe stwierdzenie uzasadnia dodatkowo okoliczność, że skarżąca w żaden sposób nie próbowała usprawiedliwić faktu braku jakiejkolwiek odpowiedzi na dwa wezwania do złożenia wyjaśnień, nie kontaktowała się również z Urzędem Ochrony Danych Osobowych celem zasygnalizowania ewentualnych wątpliwości, które mogłaby powziąć odnośnie do zakresu informacji, o których udzielenie wystąpił Prezes UODO.

Zdaniem Sądu podnoszona przez skarżącą okoliczność, że już w toku postępowania zakończonego wydaniem zaskarżonej decyzji reagowała na czynności Prezesa UODO (co sprowadza się do złożenia – pismem z […] lutego 2020 r. – wyjaśnień w reakcji na wszczęcie postępowania […]), nie ma wpływu na fakt zaistnienia, już od dnia […] kwietnia 2019 r., to jest od upływu terminu wyznaczonego na złożenie wyjaśnień w pierwszym piśmie Prezesa UODO, naruszenia polegającego na niezapewnieniu Prezesowi UODO informacji niezbędnych mu w postępowaniu o ww. sygnaturze. Pomimo złożenia przez skarżącą wyjaśnień pismem z […] lutego 2020 r., stan naruszenia trwał do chwili wydania zaskarżonej decyzji w odniesieniu do części żądanych przez Prezesa UODO informacji a dotyczących w szczególności podstawy prawnej przetwarzania danych osobowych D. S. oraz relacji łączącej w dniu […] czerwca 2018 r. skarżącą z P. K..

W zakresie zastosowanej wysokości kary ( 15 000 zł) Sąd podziela stanowisko Prezesa UODO, gdyż:

(…) orzeczona została z uwzględnieniem wagi i rodzaju popełnionego przez skarżącą naruszenia oraz charakteru samego podmiotu (spółki), wobec którego ta kara została wymierzona. Na wysokość kary pieniężnej miała niewątpliwie wpływ okoliczność, że skarżąca na żadnym etapie postępowania o sygn. […] jak również w postępowaniu objętym skargą do Sądu, nie podjęła próby usprawiedliwienia swojego postępowania. Zważywszy, że skarżąca spółka jest przedsiębiorcą, podmiotem profesjonalnie uczestniczącym w obrocie gospodarczym, którego działalność związana jest z przetwarzaniem danych osobowych (w związku ze świadczonymi usługami pośrednictwa pracy), winna mieć świadomość, że jej postępowanie w zakresie prowadzonych przez organ czynności wyjaśniających stanowi naruszenie przepisu art. 58 ust. 1 lit. e) Rozporządzenia 2016/679, co skutkować będzie zastosowaniem wobec niej sankcji w postaci nałożenia administracyjnej kary pieniężnej.

Jak widać na wskazanym przykładzie nie warto być niepoważnym w relacjach z Prezesa UODO, bo jak widać to kosztuje i nie powstrzyma organu nadzorczego do rozpoznania głównej sprawy, w której to różnie może być.

W niepublikowanym poza zasobami Judykatura.pl wyroku Sądu Okręgowego w Warszawie z 21.05.2021 r. doszło do oddalenia powództwa o zapłatę z tytułu wysłania jednej wiadomości sms bez posiadanej uprzedniej zgody. Co ważniejsze Sąd wskazał poprawną podstawę przetwarzania danych osobowych. 

Stan faktyczny kreował się następująco:

W dniu 11 września 2018 roku o godz. 16.56 D. B. otrzymał wiadomość sms od (…) Sp. z o.o. z siedzibą w W.. Wiadomość zawierała treści marketingowe – dodatkową ofertę na katalogi dla konsultantek po atrakcyjnej cenie. W systemie (…) numer telefonu, na który wysłana została wiadomość sms przypisany był do konta konsultantki I. B.. Na koncie I.B. numery telefonów zmieniały się. W imieniu konsultantki działał również jej syn D.B.. Wysłanie wiadomości sms było jednorazowe oraz spowodowane błędem ludzkim. 

D.B. skontaktował się z (…) Sp. z o.o. z siedzibą w W., żądając kwoty 10 000 złotych rekompensaty w związku ze zdarzeniem z dnia 11 września 2018 roku. Odmówił przyjęcia prezentu w postaci kosmetyków marki (…) o wartości 500 złotych. Następnie, D.B. zażądał kwoty 8 000 złotych. 

Powód dochodził od pozwanego (…) sp. z o.o. z siedzibą w kwoty 10 000 złotych wraz z odsetkami ustawowymi od dnia wniesienia pozwu do dnia zapłaty. Powód wywodził swoje roszczenie z okoliczności, iż w dniu 11 września 2018 roku otrzymał od pozwanej wiadomość sms zawierającą treści marketingowe, zaś zgody na przesyłanie takowych treści nie wyrażał.

W takim stanie rzeczy Sąd stwierdził, że w realiach sprawy brak jest podstaw do upatrywania przez powoda naruszenia RODO oraz wskazał poprawną podstawę przetwarzania danych osobowych powoda w zakresie ich wykorzystywania w celu przesyłania marketingu bezpośredniego.

Sąd podkreślił, że:

Stosownie do art. 172 ust. 1 ustawy z dnia 16 lipca 2004 roku prawo telekomunikacyjne zakazane jest używanie telekomunikacyjnych urządzeń końcowych i automatycznych systemów wywołujących dla celów marketingu bezpośredniego, chyba że abonent lub użytkownik końcowy uprzednio wyraził na to zgodę.

W dalszej kolejności, Sąd wskazuje, iż powyższy przepis nie stanowi postawy roszczenia o odszkodowanie dla osoby do której dostarczona została niepożądana wiadomość sms – informacja marketingowa.

Kolejnym istotnym wnioskiem płynącym z orzeczenia dostępnego w seriwsie Judykatura.pl jest to, że zdaniem Sądu:

Nie może jednak budzić niczyich wątpliwości, iż wysoce wątpliwe jest, a nawet niemożliwe, aby otrzymanie jednej wiadomości sms mogło spowodować powstanie szkody, bądź krzywdy. Jak już zostało wyżej wspomniane nie sposób też upatrywać w tym zdarzeniu naruszenia dóbr osobistych. Nie można również tracić z pola widzenia, iż wiadomość dotyczyła informacji, która niewątpliwie mogła zainteresować powoda, albowiem jego matka, a następnie sam powód współpracowali z pozwaną spółką.

Omówiony wyrok Sądu Okręgowego w Warszawie jest pierwszym wyrokiem, w okresie stosowania RODO, który bezpośrednio wskazuje jedną z podstaw przetwarzania danych osobowych wskazanych w art. 6 ust. 1 RODO.

W marcu 2021 r. Sąd drugiej instancji w Stuttgarcie oddalił apelację od wyroku Sądu Okręgowego, który oddalił powództwo związane z naruszeniem ochrony danych osobowych. 

Sprawa ta zaczęła się w sierpniu 2019 r., gdy w wyniku ataku hackerskiego dane osobowe powoda zostały “podsłuchane” przez osoby trzecie oraz opublikowane w internecie. Zaatakowana firma dopiero w październiku 2020 r. dysponowała pełnym zakresem wiedzy dotyczącej przedmiotowego ataku, w tym ilością osób, których dotyczyło naruszenie ochrony danych.  

Wyższy Sąd Okręgowy w Stuttgarcie wskazał w swoim wyroku, iż Sąd pierwszej instancji prawidłowo ocenił zebrany materiał dowodowy, gdyż:

pozwany nie naruszył ciążących na nim obowiązków ochrony danych osobowych w sposób zawiniony (art 82 ust. 3 RODO), gdyż sumiennie wybrał podmiot przetwarzający, który brał udział w przetwarzaniu danych osobowych (podmiot ten dysponował wdrożoną normą ISO 27001:2017 jak i standardem PCI-DSS;

wybrany podmiot przetwarzający był umownie zobowiązany do spełnienia wszystkich wymogów RODO, a pozwany (administrator) regularnie sprawdzał deklarowaną zgodność z RODO;

roszczenie z art. 82 RODO zakłada, że naruszenie przepisów RODO musi wyrządził szkodę osobie, której dane dotyczą;

norma wskazana w art. 82 RODO nie czyni wyjątku od wymogu wykazania związku przyczynowego między naruszeniem, a szkodą, ale zakłada, że szkoda musi być spowodowana naruszeniem RODO;

odpowiedzialność wskazana w art. 82 RODO nie skutkuje odwróceniem ciężaru dowodowego w procesie odszkodowawczym.

 

W jednej z decyzji Francuskiego organu nadzorczego (CNIL) administratorzy danych znajdą wartościowe wskazówki dotyczące odpowiednich środków bezpieczeństwa, które należy zastosować przy umożliwieniu klientom zakładania internetowego konta klienta. 

Organizacja, w której CNIL przeprowadził postępowanie kontrolne prowadziła 16 stron internetowych, w tym 13 w krajach Unii Europejskich m.in. w Francji, Włoszech, Słowacji. Zakupy przez te strony można było dokonywać w euro i dolarach amerykańskich. 

Celem przeprowadzonego postępowania było sprawdzenie czy organizacja była zgodna z wymaganiami RODO. Działania organu nadzorczego skupiły się na procesie przetwarzania danych klientów oraz procesie związanym z nagrywaniem rozmów telefonicznych między potencjalnymi klientami oraz pracownikami działu marketingu. 

W trakcie działań CNIL okazało się, że kontrolowany podmiot nie wdrożył wymagań RODO na wielu płaszczyznach co kosztowało go karę 250 000 euro. 

W trakcie dochodzenia delegacja CNIL została poinformowana, że firma podejmuje działania mające na celu zwalczanie oszustw związanych z wykorzystywaniem kradzionych kart kredytowych. W związku z tym jeśli protokół 3DSecure nie zostanie zweryfikowany poprawnie to do osoby, która złożyła zamówienie, wysyłana była wiadomość e-mail z prośbą o przesłanie dowodu zamieszkania i skanu awersu karty bankowej. 

Ponadto przedsiębiorstwo poinformowało delegację CNIL, że nie określono okresu przechowywania danych osobowych, a także nie podejmowało w regularnych odstępach czasu kroków w celu usunięcia danych dotyczących klientów i potencjalnych klientów po określonym czasie.

Wreszcie delegacja stwierdziła, że gdy użytkownik tworzy konto na stronie internetowej firmy, akceptowane są hasła składające się z sześciu cyfr i zawierające tylko jeden rodzaj znaku. Firma wyjaśniła również, że hasła do kont są przechowywane w bazie produkcyjnej w formie zaszyfrowanej za pomocą funkcji MD5 (…).

Ponadto w następstwie działań CNIL przedsiębiorstwo dostarczyło Komisji dodatkowe wymagane dowody, w szczególności zestawienie z bazy danych liczby klientów i potencjalnych klientów, którzy nie zalogowali się od 2008 r. do swoich kont utworzonych w różnych witrynach internetowych w różnych krajach, w których działał przedsiębiorca. 

Firma dostarczyła następujące statystyki:

118 768 klientów, których dane osobowe znajdują się w bazie, nie logowało się od 25 maja 2008 r.;

682 164 klientów nie logowało się od 25 maja 2010 r.;

3 620 401 klientów nie logowało się od 25 maja 2013 r.;

5 790 121 klientów nie logowało się od 25 maja 2015 r.;

25 911 675 prospektów było nieaktywnych od 25 maja 2015 r.

CNIL wskazał, że:

w celu zapewnienia odpowiedniego poziomu bezpieczeństwa i spełnienia wymagań dotyczących siły hasła, gdy uwierzytelnianie opiera się wyłącznie na identyfikatorze i haśle, hasło musi zawierać co najmniej dwanaście znaków,

zawierające co najmniej jedną wielką literę, jedną małą literę litera, jedna cyfra i jeden znak specjalny – lub hasło musi zawierać co najmniej osiem znaków – zawierające trzy z tych czterech kategorii znaków;

być uzupełnione dodatkowym środkiem:

takim jak limit czasu dostępu do konta po kilku nieudanych próbach (tymczasowe zawieszenie dostępu na dłuższy czas dla każdej próby),

wdrożenie mechanizmu zapobiegającego automatycznym i intensywnym próbom (np.: „captcha”)

i/lub zablokowaniu konta po kilku nieudanych próbach uwierzytelnienia.

Jestem bardzo ciekaw, czy kiedykolwiek zobaczymy decyzję krajowego organu nadzroczego, która oprócz wskazywania tego co źle zrobiono albo w ogóle nie zrobiono, będzie zawierała konkretne zalecenia techniczne, a nie tylko ogólnikowe odesłania do wykładni przepisów RODO. Jak widać Francuski organ nadzorczy dał radę wskazać takie zalecenia.

W styczniu 2021 r. Cypryjski organ nadzorczy (Commissioner for Personal Data Protection) wydał decyzję odnoszącą się do armatora statków Sea Chefs Cruises Ltd., który pozyskiwał uprzednie zgody pracowników na udostępnianie danych medycznych pracodawcy oraz wielu innym podmiotom. 

Organ nadzorczy nakazał pracodawcy, na podstawie art 58 ust. 2 lit. d RODO, zaprzestanie przetwarzania danych dotyczących zdrowia pracowników na podstawie wyraźnej zgody oraz przetwarzanie wyłącznie tych danych dotyczących zdrowia w kontekście zatrudnienia, które są niezbędne do wywiązania się z obowiązków określonych przepisami prawa lub układami zbiorowymi do celów rekrutacji, wykonywania umowy wykonania umowy o pracę, bezpieczeństwa i higieny pracy, oraz wykonywania i korzystania z praw i przywilejów przez pracowników.

Postępowanie przed tym Cypryjskim organem nadzorczym rozpoczęło się od skargi pracownika złożonej do Niemieckiego organu nadzorczemu, który uznał, że wiodącym organem nadzorczym jest ten Cypryjski będący organem właściwym ze względu na siedzibę administratora danych.

Z ustalonego stanu faktycznego wynika, że kandydat do pracy na statku zarządzanym przez Sea Chefs Cruises Ltd. był zobowiązany do podpisania generalnego upoważnienia/zezwolenia na udostępnianie jego danych dotyczących zdrowia szerokiej gamie podmiotów współpracujących z pracodawcą w przypadku sytuacji kryzysowych. 

Podpisywany dokument stanowił, iż kandydat na pracownika wyraża wyraźną zgodę na udostępnienie jego danych dotyczących zdrowia szeregu podmiotom:

Namely the “Authorisation for release of medical records” provides multiple purposes inter alia (1) the authorisation given to any doctor, pharmacist, insurance company etc. to disclose to Sea Chefs Cruises Ltd all health information and medical records […] (2) consent given to any other company or any other doctor […] who is in possession of medical/health data to allow Sea Chefs Cruises Ltd free access to those data (3) consent to the ability of the Company to ask questions and discuss the medical information […] (4) consent to transfer or disclose medical data to local or foreigh.

Administrator danych uważał jednak, że:

The company prepared and made available to its staff (data subjects) a Privacy Notice for the purpose, inter alia, of transparent communication and information about the personal data held in the company (including special categories of data), the purpose of their collection and processing, their rights regarding personal data, the legal basis for their collection, the administrative and technical protection measures applied, their retention period, etc.

The personal data collected from the data subjects is necessary for the execution of the work [contact] and the observance of the obligations of the company as an employer arising from its contractual obligations, from the relevant legal framework and for safeguarding the legitimate interests of the company. The relevant laws, regulations, international conventions and related contracts that render mandatory the collection and processing of health-related data by the controller are laid down in a separate list.

Jednakże Cypryjski organ nadzorczy stanął na innym stanowisku w zakresie dobrowolności wyrażonej zgody:

Cyprus SA considers that the condition of freely given consent does not apply in the present case, as employees of Sea Chefs Cruises Ltd who are requested to sign the Privacy Notice in advance upon commencement of the employment, have no real choice.

They feel compelled to consent and if they do not consent, they will endure negative consequences, and namely they will “not be offered employment”. Consequently, consent is not considered to be freely given when the employee is unable to refuse or withdraw his or her consent without detriment. In line with article 7(3) of the GDPR, the data subject shall have the right to withdraw his or her consent at any time and the withdrawal of consent shall not affect the lawfulness of processing based on consent before its withdrawal.

a także w zakresie przestrzegania zasady minimalizacji przetwarzanych danych osobowych:

Furthermore, in accordance with the minimisation/ proportionality principle (article 5(1)(c) of the GDPR), the data processed by the controller should be adequate, relevant and limited to what is necessary in relation to the purposes for which they are processed. In this regard, Cyprus SA considers that the controller should collect and generally process only data that are absolutely necessary to be able to assist the employees with medical care, to arrange any associated travel and to handle any medical claim, in line with relevant laws and the purposes laid down in Article 12 (Medical Care, Sick Pay and Maintenance) and Article 14 (Death and Disability Compensation) of the Collective Bargaining Agreement.

Jak widać Cypryjski organ nadzorczy przedstawia wąską wykładnię zasady minimalizacji idąc w kierunku przetwarzania danych tylko niezbędnych do celu, w jakim zostały zebrane, a nie danych w zakresie adekwatnym czy stosownym.