GENERALNY INSPEKTOR OCHRONY DANYCH OSOBOWYCH dr Wojciech R. Wiewiórowski

Podobne dokumenty
GENERALNY INSPEKTOR OCHRONY DANYCH OSOBOWYCH

GENERALNY INSPEKTOR OCHRONY DANYCH OSOBOWYCH

GENERALNY INSPEKTOR OCHRONY DANYCH OSOBOWYCH. Warszawa, dnia 10 lutego 2015 r. DOLiS/DEC-87/15/9908,9910,9920 dot.

GENERALNY INSPEKTOR OCHRONY DANYCH OSOBOWYCH

GENERALNY INSPEKTOR OCHRONY DANYCH OSOBOWYCH dr Wojciech R. Wiewiórowski

GENERALNY INSPEKTOR OCHRONY DANYCH OSOBOWYCH dr Wojciech R. Wiewiórowski

GENERALNY INSPEKTOR OCHRONY DANYCH OSOBOWYCH dr Wojciech R. Wiewiórowski Warszawa, dnia 4 kwietnia 2013 r.

DECYZJA. odmawiam uwzględnienia wniosku.

GENERALNY INSPEKTOR OCHRONY DANYCH OSOBOWYCH

GENERALNY INSPEKTOR OCHRONY DANYCH OSOBOWYCH dr Edyta Bielak-Jomaa

GENERALNY INSPEKTOR OCHRONY DANYCH OSOBOWYCH dr Wojciech R. Wiewiórowski

GENERALNY INSPEKTOR OCHRONY DANYCH OSOBOWYCH dr Wojciech R. Wiewiórowski

GENERALNY INSPEKTOR OCHRONY DANYCH OSOBOWYCH Michał Serzycki

Ogłoszenie z Ukrytą nazwą firmy. Obowiązki pracodawcy publikującego Ogłoszenie z Ukrytą nazwą firmy

NEWSLETTER Nr 22/2013/Legal 1 WRĘCZANIE WYPOWIEDZEŃ A OCHRONA DANYCH OSOBOWYCH

DECYZJA. odmawiam uwzględnienia wniosku. Uzasadnienie

GENERALNY INSPEKTOR OCHRONY DANYCH OSOBOWYCH dr Wojciech R. Wiewiórowski

GENERALNY INSPEKTOR OCHRONY DANYCH OSOBOWYCH

GENERALNY INSPEKTOR OCHRONY DANYCH OSOBOWYCH dr Wojciech R. Wiewiórowski DECYZJA. Warszawa, dnia 29 kwietnia 2013 r.

GENERALNY INSPEKTOR OCHRONY DANYCH OSOBOWYCH

GENERALNY INSPEKTOR OCHRONY DANYCH OSOBOWYCH D E C Y Z J A DIS/DEC-2/13/73

GENERALNY INSPEKTOR OCHRONY DANYCH OSOBOWYCH dr Wojciech R. Wiewiórowski

GENERALNY INSPEKTOR OCHRONY DANYCH OSOBOWYCH Michał Serzycki

GENERALNY INSPEKTOR OCHRONY DANYCH OSOBOWYCH

Decyzja Warszawa, dnia 30 stycznia 2004 r.

GENERALNY INSPEKTOR OCHRONY DANYCH OSOBOWYCH

GENERALNY INSPEKTOR OCHRONY DANYCH OSOBOWYCH dr Wojciech R. Wiewiórowski

GENERALNY INSPEKTOR OCHRONY DANYCH OSOBOWYCH

GENERALNY INSPEKTOR OCHRONY DANYCH OSOBOWYCH Michał Serzycki

DECYZJA. odmawiam uwzględnienia wniosku. Uzasadnienie

GENERALNY INSPEKTOR OCHRONY DANYCH OSOBOWYCH Michał Serzycki D E C Y Z J A. DIS/DEC- 877/31613/09 dot. DIS-K-421/43/09

GENERALNY INSPEKTOR OCHRONY DANYCH OSOBOWYCH

GENERALNY INSPEKTOR OCHRONY DANYCH OSOBOWYCH Michał Serzycki

GENERALNY INSPEKTOR OCHRONY DANYCH OSOBOWYCH

GENERALNY INSPEKTOR OCHRONY DANYCH OSOBOWYCH dr Wojciech R. Wiewiórowski

GENERALNY INSPEKTOR OCHRONY DANYCH OSOBOWYCH

GENERALNY INSPEKTOR OCHRONY DANYCH OSOBOWYCH

Decyzja. odmawiam uwzględnienia wniosku. Uzasadnienie

GENERALNY INSPEKTOR OCHRONY DANYCH OSOBOWYCH

II SA/Wa 898/06 - Wyrok WSA w Warszawie

Polityka prywatności

GENERALNY INSPEKTOR OCHRONY DANYCH OSOBOWYCH

GENERALNY INSPEKTOR OCHRONY DANYCH OSOBOWYCH dr Wojciech R. Wiewiórowski

GENERALNY INSPEKTOR OCHRONY DANYCH OSOBOWYCH Michał Serzycki

GENERALNY INSPEKTOR OCHRONY DANYCH OSOBOWYCH dr Wojciech R. Wiewiórowski DECYZJA. Warszawa, dnia 5 grudnia 2013 r.

REGULAMIN PRZYJMOWANIA I ROZPATRYWANIA SKARG I WNIOSKÓW W SAMODZIELNYM PUBLICZNYM ZAKŁADZIE OPIEKI ZDROWOTNEJ W LISZKACH

Pan Wojciech R. Wiewiórowski Generalny Inspektor Ochrony Danych Osobowych ul. Stawki Warszawa

GENERALNY INSPEKTOR OCHRONY DANYCH OSOBOWYCH

Zarządzenie Nr 83/2018

Regulamin organizacji przyjmowania, rozpatrywania i załatwiania skarg i wniosków w Miejskim Ośrodku Pomocy Społecznej w Sopocie

BIURO GENERALNEGO INSPEKTORA OCHRONY DANYCH OSOBOWYCH. Departament Inspekcji

REGULAMIN PRZYJMOWANIA SKARG I WNIOSKÓW. Regulamin Przyjmowania i Rozpatrywania Skarg i Wniosków w Zespole Szkół w Rajbrocie. I. Postanowienia ogólne

GENERALNY INSPEKTOR OCHRONY DANYCH OSOBOWYCH

D E C Y Z J A. umarzam postępowanie w niniejszej sprawie. Uzasadnienie

16. Sprawy z zakresu dostępu do informacji publicznej

GENERALNY INSPEKTOR OCHRONY DANYCH OSOBOWYCH

Wszelkie zapytania do jakiejkolwiek spółki można również kierować na witrynie:

GENERALNY INSPEKTOR OCHRONY DANYCH OSOBOWYCH

PROCEDURA PRZYJMOWANIA SKARG I WNIOSKÓW

WYROK W IMIENIU RZECZYPOSPOLITEJ POLSKIEJ. SSN Zbigniew Korzeniowski (przewodniczący) SSN Dawid Miąsik (sprawozdawca) SSN Krzysztof Staryk

Uchwała Nr XX/1/2016 Rady Gminy Kosakowo z dnia 28 stycznia 2016 roku

Ochrona danych osobowych

WYROK NACZELNEGO SĄDU ADMINISTRACYJNEGO W WARSZAWIE. z dnia 19 listopada 2001 r.

DECYZJA. odmawiam uwzględnienia wniosku. Uzasadnienie

GENERALNY INSPEKTOR OCHRONY DANYCH OSOBOWYCH

Polityka Prywatności Przetwarzania Danych Osobowych Kandydatów REKRUTACJA ZA POŚREDNICTWEM PORTALU

PNK-IV Łódź, 3 marca 2014 r.

REGULAMIN ŚWIADCZENIA USŁUG DROGĄ ELEKTRONICZNĄ. I. Postanowienia ogólne

UCHWAŁA Nr XIII/147/2016 Sejmiku Województwa Opolskiego z dnia 26 stycznia 2016 r.

WOJEWODA DOLNOŚLĄSKI Wrocław, dnia 25 marca 2016 r. Wystąpienie pokontrolne

DECYZJA. utrzymuję w mocy zaskarżoną decyzję. Uzasadnienie

- Projekt - Uchwała Nr XLVIII/ /2006 Rady Powiatu Wodzisławskiego z dnia 24 sierpnia 2006 roku

UCHWAŁA NR XXIII/338/16 SEJMIKU WOJEWÓDZTWA ŚWIĘTOKRZYSKIEGO. z dnia 23 maja 2016 roku. w sprawie skargi na Zarząd Województwa Świętokrzyskiego.

POSTANOWIENIE. SSN Dariusz Dończyk (przewodniczący) SSN Wojciech Katner SSN Katarzyna Tyczka-Rote (sprawozdawca)

Informacje dotyczące przetwarzania danych osobowych w procesie rekrutacyjnym w Bibliotece Narodowej zatrudnienie na podstawie umowy o pracę

PROCEDURA ORGANIZACJI PRZYJMOWANIA, EWIDENCJONOWANIA I ROZPATRYWANIA SKARG, WNIOSKÓW i PETYCJI W URZĘDZIE MIASTA NOWY TARG

DECYZJA. Uzasadnienie

Procedura odwoławcza

3. Uchwała wchodzi w życie z dniem podjęcia.

PRZETWARZANIE DANYCH OSOBOWYCH

GENERALNY INSPEKTOR OCHRONY DANYCH OSOBOWYCH

SKARGA NA ADMINSTRATORA DANYCH OSOBOWYCH (formularz)

Pan WYSTĄPIENIE POKONTROLNE

GENERALNY INSPEKTOR OCHRONY DANYCH OSOBOWYCH dr Wojciech R. Wiewiórowski

Wystąpienie pokontrolne

ZARZĄDZENIE NR 6/2016. Starosty Nowodworskiego z dnia 28 stycznia 2016 r.

UCHWAŁA NR LV/397/2018 RADY MIEJSKIEJ W BRZESKU. z dnia 26 września 2018 r.

WYROK W IMIENIU RZECZYPOSPOLITEJ POLSKIEJ

W KRAKOWIE REGULAMIN PRZYJMOWANIA, ZAŁATWIANIA I ROZPATRYWANIA SKARG I WNIOSKÓW

Procedura odwoławcza od decyzji Rady

GENERALNY INSPEKTOR OCHRONY DANYCH OSOBOWYCH D E C Y Z J A DIS/DEC-1110/17/68986

D E C Y Z J A. po rozpatrzeniu wniosku Pani adres do korespondencji: o udostępnienie informacji publicznej,

SO-III Łódź, dnia 9 grudnia 2013 r. Wystąpienie pokontrolne

WYSTĄPIENIE POKONTROLNE. Ustawa z dnia 15 lipca 2011 r. o kontroli w administracji rządowej (Dz. U. Nr 185 poz. 1092). 2

Klauzula informacyjna Administratora Danych Osobowych dla Kandydatów na pracowników i zleceniobiorców

REGULAMIN KORZYSTANIA Z SERWISU BIURO KARIER UNIWERSYTETU KAZIMIERZA WIELKIEGO

Warszawa, dnia 6 listopada 2003 r.

WYSTĄPIENIE POKONTROLNE

UCHWAŁA NR XI/77/2015 RADY MIASTA OLEŚNICY. z dnia 28 sierpnia 2015 r.

Postanowienie z dnia 22 lutego 2001 r. III RN 71/00

Transkrypt:

GENERALNY INSPEKTOR OCHRONY DANYCH OSOBOWYCH dr Wojciech R. Wiewiórowski DOLiS/DEC-508/13/27520,27521 dot.: Warszawa, dnia 6 maja 2013 r. DECYZJA Na podstawie art. 104 1 ustawy z dnia 14 czerwca 1960 r. Kodeks postępowania administracyjnego (Dz. U. z 2013 r., poz. 267) oraz art. 12 pkt 2, art. 22 w związku z art. 7 pkt 4 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. z 2002 r. Nr 101, poz. 926 z późn. zm.), po przeprowadzeniu postępowania administracyjnego w sprawie skargi Pana C.K., na nieprawidłowości w procesie przetwarzania jego danych osobowych przez G. Sp. z o.o., odmawiam uwzględnienia wniosku. Uzasadnienie Do Biura Generalnego Inspektora Ochrony Danych Osobowych wpłynęła skarga C.K., zwanego dalej Skarżącym, na nieprawidłowości w procesie przetwarzania jego danych osobowych przez G. Sp. z o.o., zwanej dalej Spółką. Skarżący w treści skargi podniósł, iż cyt.: Firmie G. Sp. z o.o. zarzucam naruszenie prawa, a w szczególności następujących artykułów ustawy o ochronie danych osobowych: art. 24, art. 26, art. 30, art. 31, art. 32, art. 34 oraz konstytucyjnego prawa dostępu do danych, zawartego w art. 51 Konstytucji ( ) wysłałem moją [Skarżącego] aplikację (CV i list motywacyjny) na ogłoszenie o pracy umieszczone na portalu [ ]. W treści ogłoszenia nie podano nazwy ogłoszeniodawcy ( ) Pomimo braku podania nazwy firmy, która umieściła ogłoszenie zdecydowałem [Skarżący] się na nie odpowiedzieć ponieważ na portalu [ ] znajdowała się następująca informacja: w razie aplikowania na ogłoszenie bez podania nazwy firmy, informacje na temat administratora danych (pracodawcy) zostaną Ci przekazane bezpośrednio przez pracodawcę w terminie późniejszym, niezwłocznie po otrzymaniu aplikacji przez Pracodawcę. Po nieotrzymaniu żadnej informacji od ogłoszeniodawcy poprosiłem [Skarżący] e-mailem firmę ( ) o poinformowanie mnie [Skarżącego], do kogo trafiła moja [Skarżącego] aplikacja. ( ) uważam [Skarżący], że zarówno firma G. Sp. z o.o. jak i finalny odbiorca mojej aplikacji są zobowiązane, na podstawie art. 34 w zw. Z art. 32 ustawy o ochronie danych osobowych, do powiadomienia mnie [Skarżącego] do kogo trafiła moja aplikacja. W związku z przedmiotową skargą Skarżący wniósł o cyt.: ( ) podjęcie

stosownych kroków celem wyjaśnienia zaistniałej sytuacji oraz nakazanie, w drodze decyzji administracyjnej, obu podmiotom powiadomienia mnie o posiadaniu i przetwarzaniu moich [Skarżącego] danych osobowych. Ponadto wnioskuję [Skarżący] o zakazanie umieszczania ogłoszeń, w których anonimowy ogłoszeniodawcy zbiera dane osobowe ponieważ daje to ogromne możliwości oszustwa, manipulacji oraz wykorzystywania danych niezgodnie z ich przeznaczeniem. W toku postępowania zainicjowanego ww. skargą Generalny Inspektor Ochrony Danych Osobowych uzyskał wyjaśnienia odnośnie okoliczności sprawy i dokonał następujących ustaleń: 1) Skarżący w dniu [ ] zarejestrował się na portalu [...]. 2) W dniu [ ] odpowiedział na ogłoszenie ukryte zamieszczone na portalu [...]. W dniu [ ] zwrócił się do Spółki z wnioskiem o spełnienie obowiązku informacyjnego poprzez poinformowanie go na rzecz jakiego podmiotu zostały udostępnione jego dane osobowe. 3) Spółka przetwarza dane osobowe Skarżącego w zakresie imienia, nazwiska i adresu e-mail, na podstawie umowy w celu realizacji świadczeń drogą elektroniczną w Zbiorze danych użytkowników zarejestrowanym pod numerem [ ]. Skarżący dokonując rejestracji na portalu [...] wyraził zgodę przetwarzanie jego danych osobowych, która nigdy nie została przez niego odwołana. 4) Spółka w wyjaśnieniach złożonych przed Generalnym Inspektorem Ochrony Danych Osobowych poinformowała, iż cyt.: ( ) z adresu e-mail [ ], za pośrednictwem Portalu [ ], w dniu [ ] wskazanym przez Skarżącego w skardze, nie została złożona aplikacja na ofertę pracy. Oznacza to, że Skarżący najprawdopodobniej aplikował na wskazaną w swojej skardze ofertę przy użyciu innego adresu e-mail, którego nie podał w skardze ani w korespondencji mailowej z G. W związku z powyższym G. nie jest w stanie ustalić dysponując jedynie imieniem i nazwiskiem: C.K. oraz adresem e-mail czy osoba ta rzeczywiście aplikowała na ogłoszenie we dniu wskazanym przez Skarżącego. Jednocześnie Spółka wskazała, że nie posiada informacji o tym czy pracodawca, na którego ofertę aplikował Skarżący jako administrator danych osobowych - dopełnił wobec Skarżącego obowiązku informacyjnego, który został określony w art. 24, art. 25 czy art. 33 ustawy o ochronie danych osobowych. 5) Ogłoszenie rekrutacyjne, na które odpowiedział Skarżący stanowił tzw. ogłoszenie ukryte czyli ogłoszenie bez podawania nazwy firmy. W przypadku korzystania z ogłoszenia ukrytego to pracodawca decyduje o celach i środkach przetwarzania danych osobowych kandydatów aplikujących na ogłoszenie, gromadzonych w ramach prowadzonego przez siebie postępowania rekrutacyjnego. W związku z powyższym Spółka wskazała, że cyt.: Rola G. w procesie przekazywania pracodawcom danych osobowych kandydatów ogranicza się wyłącznie do udostępniania platformy, za pomocą której kandydat przesyła swoje dokumenty aplikacyjne bezpośrednio do potencjalnego pracodawcy. G. przekazuje dane pracodawcom na podstawie zawartych z nimi umów o świadczenie usług oraz Ogólnych Zasad Współpracy z G. Sp. z o.o., jako podmiot przetwarzających dane na ich zlecenie i w ramach udzielonej przez nich upoważnień niezbędnych do wykonania usługi. G. nie jest w powyższym zakresie administratorem danych osobowych kandydatów. 6) Przy aplikowaniu na ogłoszenie ukryte każdy użytkownik uzyskuje informacje o treści cyt.: Dane osobowe zawarte w dokumentach aplikacyjnych są zbierane w celu przeprowadzenia 2

procesów rekrutacyjnych i pozostają niejawne. W razie aplikowania na ogłoszenie bez podanej nazwy firmy, informacje na temat administratora danych (pracodawcy) zostaną Ci bezpośrednio przekazane przez pracodawcę w terminie późniejszym, niezwłocznie po otrzymaniu aplikacji przez Pracodawcę. Jeżeli nie zgadzasz się na taką procedurę, prosimy o nieprzesyłanie aplikacji na to ogłoszenie. Spółka poinformowała również, że cyt.: Cały proces rekrutacyjny (.) jest w pełni dobrowolny, co zostało podkreślone w treści ( ) klauzuli, a użytkownik świadomie korzysta z tak skonstruowanej usługi oferowanej przez G.. W dniu 4 lutego 2013 r. do Biura GIODO wpłynęła skarga Pana C.K. na bezczynność Generalnego Inspektora w sprawie nieprawidłowości w procesie przetwarzania jego danych osobowych przez G. Sp. z o.o. ([ ]). Podniesiono zarzut naruszenia przez Generalnego Inspektora cyt.: ( ) art. 35 1 k.p.a., po minięciu ponad jednego miesiąca Biuro Generalnego Inspektora Ochrony Danych Osobowych pismem z dnia [ ] wezwało mnie [Skarżącego] do uiszczenia opłaty skarbowej w wysokości 10,00 PLN. W piśmie tym brak było odniesienia do meritum sprawy. ( ) Ku mojemu [Skarżącego] ogromnemu rozczarowaniu, w piśmie z Biura Generalnego Inspektora Ochrony Danych Osobowych z dnia [ ] znalazłem tylko informację o podjęciu działań a nie oczekiwaną, merytoryczną odpowiedź. Zresztą do dnia dzisiejszego nie otrzymałem [Skarżący] jeszcze stosownej odpowiedzi ( ) Ograniczenie się przez Biuro Generalnego Inspektora Ochrony Danych Osobowych w załatwianiu mojej [Skarżącego] sprawy jedynie do wymiany korespondencji ze spółką z jednej strony nie gwarantuje należytego zbadania sprawy a z drugiej ma negatywny wpływ na mój [Skarżącego] interes prawny. Nieprzeprowadzenie stosownej kontroli, do której Biuro Generalnego Inspektora Ochrony Danych Osobowych jest uprawnione i zobligowane przez ustawę o ochronie danych osobowych sprawia, że moja [Skarżącego] skarga do dnia dzisiejszego nie została należycie zbadana i załatwiona. W dniu 8 kwietnia 2013 r. Wojewódzki Sąd Administracyjny w Warszawie po rozpoznaniu na posiedzeniu niejawnym postanowił odrzucić skargę Pana C.K. na bezczynność organu z uwagi na brak poprzedzającego jej wezwania organu przez Skarżącego do usunięcia naruszenia prawa (sygn. akt II SAB/Wa 117/13). Powyższe postanowienie jest nieprawomocne. W tym stanie faktycznym GIODO zważył, co następuje. Na wstępie należy zaznaczyć, że zgodnie z art. 7 pkt 4 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. z 2002 r., Nr 101, poz. 926 z późn. zm.), zwanej dalej ustawą, pod pojęciem administratora danych rozumie się przez to organ, jednostkę organizacyjną, podmiot lub osobę, o których mowa w art. 3 ustawy, decydujące o celach i środkach przetwarzania danych osobowych. W związku z pozyskanymi przez Generalnego Inspektora Ochrony Danych Osobowych, iż w procesie przekazywania pracodawcom danych osobowych kandydatów Spółka ogranicza się wyłącznie do udostępniania platformy, za pomocą której kandydat przesyła swoje dokumenty aplikacyjne bezpośrednio do potencjalnego pracodawcy. G. przekazuje dane pracodawcom na podstawie zawartych z nimi umów o świadczenie usług oraz Ogólnych Zasad Współpracy z G. Sp. z o.o., jako podmiot przetwarzających dane na ich zlecenie i w ramach udzielonej przez nich 3

upoważnień niezbędnych do wykonania usługi. Wobec powyższego Spółka nie jest w tym zakresie administratorem danych osobowych kandydatów, a co za tym idzie nie jest administratorem danych osobowych Skarżącego w związku z aplikacją Skarżącego na ogłoszenie ukryte, a jedynie podmiotem z art. 31 ustawy który udostępnia platformę za pomocą której kandydat przesyła swoje dokumenty aplikacyjne bezpośrednio do potencjalnego pracodawcy. Powyższe ustalenie potwierdziła kontrola zgodności przetwarzania danych osobowych z przepisami ustawy o ochronie danych osobowych przeprowadzona przez upoważnionych przez Generalnego Inspektora Ochrony Danych Osobowych inspektorów (sygn. [ ] oraz [ ]). W toku postępowania zostały usunięte uchybienia w procesie przetwarzania danych osobowych stanowiące przedmiot postępowania poprzez m.in.: zmianę przez Spółkę sposobu świadczenia usługi Aplikuj dla ogłoszeń ukrytych, w zakresie ograniczenia się Spółki do roli podmiotu przetwarzającego (pozyskującego) na rzecz pracodawców dane kandydatów odpowiadających na ww. ogłoszenia, zaś Spółka świadczy ww. usługę na rzecz pracodawców na podstawie zawartych z nimi umów, tj. na ich zlecenie i w ramach udzielonych przez pracodawców upoważnień niezbędnych do wykonania ww. usługi. W tym zakresie Spółka nie jest więc administratorem danych. Z materiału dowodowego zgromadzonego w sprawie wynika, że przy aplikowaniu na ogłoszenie ukryte Spółka umieściła klauzulę zgodnie z którą użytkownik świadomie i dobrowolnie korzysta z usługi oferowanej przez Spółkę, a klauzula ta zawiera wyczerpujące informacje dotyczące danych osobowych użytkownika zamierzającego skorzystać z takiego ogłoszenia. Ponadto Spółka każdorazowo poucza swoich klientów o obowiązku informacyjnym z art. 25 ustawy o ochronie danych osobowych, m.in. poprzez umieszczanie w systemie z którego korzystają klienci w celu zamieszczania ogłoszeń wyskakującego okienka z informacją dotyczącą tego obowiązku wraz z hiperłączem do broszury dotyczącej ogłoszeń ukrytych oraz dopełnienia obowiązku informacyjnego. Spółka podjęła także dodatkowe starania w celu edukowania pracodawców w zakresie przepisów ustawy o ochronie danych osobowych m.in. poprzez wysyłanie mailingu informacyjnego do klientów. Odnosząc się do żądań Skarżącego w zakresie spełnienia przez Spółkę obowiązków informacyjnych wynikających z art. 24 ustawy wskazać należy, iż w odniesieniu do przedmiotowej sytuacji Spółka nie jest administratorem danych osobowych Skarżącego, a jedynie podmiotem, o którym mowa w art. 31 ustawy. Zgodnie z treścią ww. przepisu administrator danych może powierzyć innemu podmiotowi, w drodze umowy zawartej na piśmie, przetwarzanie danych (ust. 1). Podmiot, o którym mowa w ust. 1, może przetwarzać dane wyłącznie w zakresie i celu przewidzianym w umowie (ust. 2). Podmiot, o którym mowa w ust. 1, jest obowiązany przed rozpoczęciem przetwarzania danych podjąć środki zabezpieczające zbiór danych, o których mowa w art. 36-39, oraz spełnić wymagania określone w przepisach, o których mowa w art. 39a. W zakresie przestrzegania tych przepisów podmiot ponosi odpowiedzialność jak administrator danych (ust. 3). W przypadkach, o których mowa w ust. 1-3, odpowiedzialność za przestrzeganie przepisów niniejszej ustawy spoczywa na administratorze danych, co nie wyłącza odpowiedzialności podmiotu, który zawarł umowę, za przetwarzanie danych niezgodnie z tą umową (ust. 4). Do kontroli zgodności przetwarzania danych przez podmiot, o którym mowa w ust. 1, z przepisami o ochronie danych osobowych stosuje się odpowiednio przepisy art. 14-19 (ust. 5). Na marginesie podkreślić jednak należy, iż okoliczność powyższego powierzenia danych osobowych Skarżącego na rzecz Spółki nie była przedmiotem 4

niniejszego postępowania ani przedmiotowej skargi. Jednocześnie wskazać należy, że w związku z powyższym podmiot taki jest zwolniony od spełniania obowiązków informacyjnych (zarówno z art. 24 i art. 25 ustawy), a obowiązek ten spoczywa wyłącznie na administratorze danych osobowych. Ponadto wskazania wymaga, że z dokumentacji zgromadzonej w sprawie wynika, że Skarżący nie zwracał się do Spółki z wnioskiem o spełnienie obowiązku informacyjnego z art. 33 ustawy. Niezależnie od powyższego wskazać należy, iż status administratora danych osobowych przysługuje Spółce w odniesieniu do danych osobowych Skarżącego w zakresie jego imienia, nazwiska i adresu e-mail w związku z dokonaniem przez niego rejestracji na portalu [...]. W tym zakresie administrowanie przez Spółkę danymi osobowymi Skarżącego znajduje oparcie zarówno w przepisach ustawy z dnia 18 lipca 2002 r. o świadczeniu usług drogą elektroniczną (Dz. U., Nr 144, poz. 1204 z późn. zm.), jak również w przepisach ustawy o ochronie danych osobowych. Zgodnie z treścią art. 23 ust. 1 pkt 3 ustawy przetwarzanie danych osobowych jest dopuszczalne wtedy, gdy jest to konieczne dla realizacji umowy, gdy osoba, której dane dotyczą, jest jej stroną lub gdy jest to konieczne do podjęcia działań przed zawarciem umowy na żądanie osoby, której dane dotyczą. Podsumowując zasadniczym faktem mającym wpływ na treść niniejszego rozstrzygnięcia jest fakt, iż Spółka w zakresie objętym skargą nie jest administratorem danych Skarżącego. W rozpatrywanej sprawie brak było podstaw do zastosowania art. 18 ust. 1 ustawy i wydania decyzji nakazującej przywrócenie stanu zgodności z prawem. W tym stanie faktycznym i prawnym GIODO rozstrzygnął, jak na wstępie. Stronie niezadowolonej z niniejszej decyzji przysługuje, na podstawie art. 21 ust. 1 ustawy o ochronie danych osobowych w związku z art. 127 3 i art. 129 2 Kodeksu postępowania administracyjnego, w terminie 14 dni od dnia jej doręczenia, prawo złożenia do Generalnego Inspektora Ochrony Danych Osobowych wniosku o ponowne rozpatrzenie sprawy (adres: Biuro GIODO, ul. Stawki 2, 00-193 Warszawa). 5

2025 © DocPlayer.pl Polityka prywatności | Warunki świadczenia usług | Zwrotny adres