GENERALNY INSPEKTOR OCHRONY DANYCH OSOBOWYCH D E C Y Z J A. Warszawa, dnia 26 stycznia 2016 r. DIS/DEC-55/16/4756

Podobne dokumenty
BIURO GENERALNEGO INSPEKTORA OCHRONY DANYCH OSOBOWYCH. Departament Inspekcji

GENERALNY INSPEKTOR OCHRONY DANYCH OSOBOWYCH

GENERALNY INSPEKTOR OCHRONY DANYCH OSOBOWYCH

GENERALNY INSPEKTOR OCHRONY DANYCH OSOBOWYCH dr Wojciech R. Wiewiórowski

GENERALNY INSPEKTOR OCHRONY DANYCH OSOBOWYCH D E C Y Z J A. Michał Serzycki. DIS/DEC- 598/24248/09 dot. DIS-K-421/88/09

GENERALNY INSPEKTOR OCHRONY DANYCH OSOBOWYCH

GENERALNY INSPEKTOR OCHRONY DANYCH OSOBOWYCH

GENERALNY INSPEKTOR OCHRONY DANYCH OSOBOWYCH dr Wojciech R. Wiewiórowski Warszawa, dnia 4 kwietnia 2013 r.

GENERALNY INSPEKTOR OCHRONY DANYCH OSOBOWYCH

GENERALNY INSPEKTOR OCHRONY DANYCH OSOBOWYCH. Warszawa, dnia 10 lutego 2015 r. DOLiS/DEC-87/15/9908,9910,9920 dot.

GENERALNY INSPEKTOR OCHRONY DANYCH OSOBOWYCH Michał Serzycki

DECYZJA. GENERALNY INSPEKTOR OCHRONY DANYCH OSOBOWYCH Ewa Kulesza -Ą ( Warszawa, 30 kwietnia 2004 r. GI- DEC-DIS-105/04/208

D E C Y Z J A. utrzymuję w mocy zaskarżoną decyzję. Uzasadnienie

GENERALNY INSPEKTOR OCHRONY DANYCH OSOBOWYCH

INFORMACJE O PRZETWARZANIU DANYCH OSOBOWYCH ABONENTA USŁUG TELEKOMUNIKACYJNYCH

DECYZJA. odmawiam uwzględnienia wniosku. Uzasadnienie

GENERALNY INSPEKTOR OCHRONY DANYCH OSOBOWYCH Michał Serzycki

DECYZJA. utrzymuję w mocy zaskarżoną decyzję. Uzasadnienie

GENERALNY INSPEKTOR OCHRONY DANYCH OSOBOWYCH D E C Y Z J A DIS/DEC-2/13/73

GENERALNY INSPEKTOR OCHRONY DANYCH OSOBOWYCH Michał Serzycki

GENERALNY INSPEKTOR OCHRONY DANYCH OSOBOWYCH

Warszawa, dnia 7 kwietnia 2004 r. GI-DEC-DS-87/04 DECYZJA

( proszę nie wypełniać tych pól)

GENERALNY INSPEKTOR OCHRONY DANYCH OSOBOWYCH

GENERALNY INSPEKTOR OCHRONY DANYCH OSOBOWYCH dr Wojciech R. Wiewiórowski

GENERALNY INSPEKTOR OCHRONY DANYCH OSOBOWYCH Michał Serzycki

GENERALNY INSPEKTOR OCHRONY DANYCH OSOBOWYCH dr Wojciech R. Wiewiórowski

Warszawa, dnia 6 listopada 2003 r.

dla przedsiębiorcy Jana Kaczkowskiego (dalej Dostawca Usług). Dostawca usług powołał Inspektora Ochrony Danych, z którym kontakt możliwy jest

GENERALNY INSPEKTOR OCHRONY DANYCH OSOBOWYCH Michał Serzycki

II SA/Wa 898/06 - Wyrok WSA w Warszawie

KLAUZULA INFORMACYJNA

POSTANOWIENIE. z dnia 15 września 2015 r. Przewodniczący:

8. Sprawy dotyczące ochrony danych osobowych.

Warszawa, dnia 24 września 2009 r. DOLiS/DEC 967/09 dot. DOLiS /09 D E C Y Z J A

WNIOSEK. Informacja o administratorze danych. 2. Adres siedziby administratora danych...

Decyzja Warszawa, dnia 30 stycznia 2004 r.

WNIOSEK o zawarcie umowy o organizację stażu. 1. Nazwa organizatora stażu :..

ORZECZENIE ORZEKA. - w okresie od (...) r. do (...) r. działając jako pełnomocnik

WNIOSEK O WPISANIE NA LISTĘ CZŁONKÓW SZCZECIŃSKIEJ IZBY PIELĘGNIAREK I POŁOŻNYCH W SZCZECINIE

GENERALNY INSPEKTOR OCHRONY DANYCH OSOBOWYCH

Wyrok z dnia 12 sierpnia 1998 r. II UKN 171/98

GENERALNY INSPEKTOR OCHRONY DANYCH OSOBOWYCH dr Wojciech R. Wiewiórowski DECYZJA. Warszawa, dnia 29 kwietnia 2013 r.

WYROK NACZELNEGO SĄDU ADMINISTRACYJNEGO W WARSZAWIE. z dnia 19 listopada 2001 r.

Nazwa ukończonej szkoły:... (Adres szkoły: ulica, nr domu, nr lokalu, kod pocztowy, miejscowość, poczta) ...

D E C Y Z J A. umarzam postępowanie w niniejszej sprawie. Uzasadnienie

GENERALNY INSPEKTOR OCHRONY DANYCH OSOBOWYCH Michał Serzycki

dr Wojciech R. Wiewiórowski Warszawa, dnia ^ października 2014 r. DECYZJA

Wniosek o otwarcie rachunku /zmianę danych *)

GENERALNY INSPEKTOR OCHRONY DANYCH OSOBOWYCH Michał Serzycki D E C Y Z J A. DIS/DEC- 877/31613/09 dot. DIS-K-421/43/09

OKRĘGOWA IZBA PIELĘGNIAREK I POŁOŻNYCH W TARNOWIE

Decyzja. odmawiam uwzględnienia wniosku. Uzasadnienie

Zasady weryfikacji w serwisie bilonko.pl

Nazwisko i imię:... Data urodzenia:... Miejsce urodzenia:... Adres zamieszkania, telefon:. ... Numer, miejsce i data wydania dyplomu:

DECYZJA. odmawiam uwzględnienia wniosku. Uzasadnienie

WNIOSEK O WPIS DO REJESTRU OKRĘGOWEJ IZBY PIELĘGNIAREK I POŁOŻNYCH W TARNOWIE

Warszawska Okręgowa Izba Pielęgniarek i Położnych District Chamber of Nursing and Midwives

Nazwisko i imię Data urodzenia Miejsce urodzenia PESEL.. Obywatelstwo/a... Nazwa ukończonej szkoły: (Adres szkoły: ulica, kod pocztowy miejscowość)

DECYZJA. odmawiam uwzględnienia wniosku. Uzasadnienie

GENERALNY INSPEKTOR OCHRONY DANYCH OSOBOWYCH

WNIOSEK O WPIS DO OKRĘGOWEGO REJESTRU OKRĘGOWEGO REJESTRU W KIELCACH

... Oświadczam, iż posiadam pełną zdolność do czynności prawnych

Wyrok z dnia 1 września 2010 r. II UK 77/10

NEWSLETTER Nr 22/2013/Legal 1 WRĘCZANIE WYPOWIEDZEŃ A OCHRONA DANYCH OSOBOWYCH

GENERALNY INSPEKTOR OCHRONY DANYCH OSOBOWYCH dr Wojciech R. Wiewiórowski

DECYZJA. Uzasadnienie

Wniosek o wydanie nowego zaświadczenia o prawie wykonywania zawodu. Nazwisko i imię:... Nr PESEL Numer prawa wykonywania zawodu:...

Imię - Imię (drugie) - PESEL. Miejsce urodzenia: Nazwisko poprzednie: Dane teleadresowe. Adres zameldowania

WYROK. Zespołu Arbitrów z dnia 28 sierpnia 2006 r. Arbitrzy: Henryk Tadeusz Słomka-Narożański. Protokolant Magdalena Pazura

Skarżący : Rzecznik Praw Obywatelskich Organ : Rada m. st. Warszawy. Skarga kasacyjna

LICENCJA. nr WPR/012/2003. na wykonywanie przewozów kolejowych rzeczy

Miejscowość, data... Podpis...

WNIOSEK O POLSKĄ EMERYTURĘ RENTĘ Z TYTUŁU NIEZDOLNOŚCI DO PRACY *

ZASADY WYPEŁNIANIA WNIOSKU O UZYSKANIE UPRAWNIENIE DO POBIERANIA NUMERÓW RECEPT 1) Wniosek o uzyskanie uprawnienia do pobierania numerów recept

I FSK 1366/12 - Wyrok NSA

Rejestr zbiorów danych. Marek Gosławski

WYROK. Zespołu Arbitrów z dnia 4 lipca 2006 r. Arbitrzy: Marian Smolec. Protokolant Wioletta Wierzejska

DECYZJA. odmawiam uwzględnienia wniosku.

1 z , 17:00

ARKUSZ ZGŁOSZENIOWY / AKTUALIZACYJNY * DANYCH OSOBOWYCH W OKRĘGOWYM REJESTRZE. Kraj wydania dokumentu. urodzenia

O P R Z Y Z N A N I E Z A P O M O G I L O S O W E J * / S O C J A L N E J * * niepotrzebne skreślić

GENERALNY INSPEKTOR OCHRONY DANYCH OSOBOWYCH

2.3. Ukończone kursy / szkolenia, zdobyte uprawnienia, w kolejności od ostatnio ukończonego. Temat kursu / szkolenia Czas trwania Uzyskane uprawnienia

GENERALNY INSPEKTOR OCHRONY DANYCH OSOBOWYCH Michał Serzycki D E C Y Z J A. DIS/DEC - 652/21890/10 dot. DIS-K-421/29/10

Załącznik nr 1 do Instrukcji świadczenia usług w zakresie prowadzenia rachunków bankowych dla klientów instytucjonalnych

Rodzaj dokumentu Interpretacja indywidualna

CZEŚĆ 1 1 DANE OSOBOWE - - CZEŚĆ 2 4 A. Zmiana Bez zmian. Nie dotyczy Uregulowany Nieuregulowany

WZÓR WNIOSKU O UDZIELENIE LUB ZMIANĘ KONCESJI NA WYKONYWANIE DZIAŁALNOŚCI GOSPODARCZEJ W ZAKRESIE USŁUG OCHRONY OSÓB I MIENIA

Rejestr zbiorów danych. Marek Gosławski

Wniosek. Rzecznika Praw Obywatelskich

POSTANOWIENIE. SSN Jolanta Strusińska-Żukowska

Kraj wydania dokumentu. urodzenia. NIP (jeżeli został nadany) Stosunek do służby wojskowej (w przypadku obywateli RP) właściwe zaznaczyć znakiem X

ARKUSZ ZGŁOSZENIOWY / AKTUALIZACYJNY * DANYCH OSOBOWYCH W OKRĘGOWYM REJESTRZE PROWADZONYM PRZEZ OKRĘGOWĄ RADĘ PIELĘGNIAREK I POŁOŻNYCH W CZĘSTOCHOWIE

Zarządzenie Nr Burmistrza Radzymina z dnia 16 sierpnia 2018 roku

( proszę nie wypełniać tych pól)

WNIOSEK O STWIERDZENIE PRAWA WYKONYWANIA ZAWODU PIELĘGNIARKI/ POŁOŻNEJ * I WPIS DO OKRĘGOWEGO REJESTRUW KIELCACH

WYROK W IMIENIU RZECZYPOSPOLITEJ POLSKIEJ

Decyzja Nr 12/ 07 /I/2013 w sprawie interpretacji indywidualnej

Dokumenty identyfikacyjne i o charakterze informacyjnym 1

Wniosek o otwarcie rachunku /zmianę danych *)

Transkrypt:

GENERALNY INSPEKTOR OCHRONY DANYCH OSOBOWYCH dr Edyta Bielak - Jomaa Warszawa, dnia 26 stycznia 2016 r. DIS/DEC-55/16/4756 dot. [ ] D E C Y Z J A Na podstawie art. 138 1 pkt 1 ustawy z dnia 14 czerwca 1960 r. Kodeks postępowania administracyjnego (Dz. U. z 2013 r., poz. 267 z późn. zm.), dalej także: k.p.a., oraz art. 12 pkt 2, art. 18 ust. 1 pkt 1 oraz art. 22 w związku z 26 ust. 1 pkt 1 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. z 2015 r., poz. 2135 z późn. zm.), dalej także: ustawa, po przeprowadzeniu postępowania administracyjnego w sprawie wniosku C. S.A. o ponowne rozpatrzenie sprawy zakończonej decyzją Generalnego Inspektora Ochrony Danych Osobowych z dnia 3 listopada 2015 r., sygn. DIS/DEC-868/15/96118, utrzymuję w mocy zaskarżoną decyzję. Uzasadnienie W dniu 3 listopada 2015 r. Generalny Inspektor Ochrony Danych Osobowych wydał decyzję sygn. DIS/DEC-868/15/96118, nakazującą C. S.A., zwanej dalej Spółką, usunięcie uchybienia w procesie przetwarzania danych osobowych poprzez zaprzestanie przetwarzania bez podstawy prawnej, tj. zgody, o której mowa w art. 161 ust. 3 ustawy z dnia 16 lipca 2004 r. Prawo telekomunikacyjne (Dz. U. z 2014 r., poz. 243 z późn. zm.), zgodnie z którym oprócz danych, o których mowa w art. 161 ust. 2, dostawca publicznie dostępnych usług telekomunikacyjnych może, za zgodą użytkownika będącego osobą fizyczną, przetwarzać inne dane tego użytkownika w związku ze świadczoną usługą, w szczególności numer konta bankowego lub karty płatniczej, a ul. Stawki 2 00-193 Warszawa tel. (22)5310313 fax (22)5310301 www.giodo.gov.pl

także adres poczty elektronicznej oraz numery telefonów kontaktowych, spełniającej wymogi określone w art. 174 pkt 1 tejże ustawy, w myśl którego, jeżeli przepisy ustawy Prawo telekomunikacyjne wymagają wyrażenia zgody przez abonenta lub użytkownika końcowego, zgoda ta nie może być domniemana lub dorozumiana z oświadczenia woli o innej treści, danych osobowych użytkowników końcowych, w następującym zakresie: kolor oczu, wzrost (w centymetrach), wizerunek twarzy, płeć, adres zameldowania, nazwę organu wydającego dowód osobisty, datę wydania i termin ważności dowodu osobistego, podpis, nazwę organu wydającego prawo jazdy, numer prawa jazdy, kategorie prawa jazdy, datę wydania i datę ważności prawa jazdy, informacje dotyczące należnych kwot składek na ubezpieczenie zdrowotne i społeczne, numer i miejsce oraz datę wydania dokumentu stwierdzającego posiadanie kwalifikacji zawodowych dotyczących wykonywania zawodu pielęgniarki/pielęgniarza, numer rejestru pielęgniarek i położnych, datę i miejsce wydania zaświadczenia o prawie wykonywania zawodu pielęgniarki/pielęgniarza, nazwę okręgowej izby pielęgniarek i położnych wydającej zaświadczanie o prawie wykonywania zawodu pielęgniarki/pielęgniarza, nazwę banku wydającego kartę płatniczą, numer identyfikacyjny Karty ubezpieczenia zdrowotnego Narodowego Funduszu Zdrowia, nazwę i siedzibę operatora telewizji cyfrowej innego niż Spółka oraz wysokość opłacanego abonamentu, numer decyzji administracyjnej wójta gminy w sprawie ustalenia wysokości łącznego zobowiązania pieniężnego, informację o wysokości podatku od nieruchomości, wielkość powierzchni budynków mieszkalnych podlegających opodatkowaniu, wielkość powierzchni gruntów rolnych podlegających opodatkowaniu, wielkość powierzchni użytków rolnych, wysokość podatku rolnego, informacje dotyczące pracodawcy w zakresie: nazwa i siedziba, Numer Identyfikacji Podatkowej, numer REGON, stanowisko na którym jest zatrudniony użytkownik końcowy, nazwę organu wydającego kartę stałego pobytu, datę upływu ważności karty stałego pobytu, rodzaj wydanego pozwolenia na pobyt, informacje dotyczące prowadzonej przez użytkownika końcowego działalności gospodarczej w zakresie: Numer Identyfikacji Podatkowej, numer REGON, firma przedsiębiorcy, adres głównego wykonywania działalności gospodarczej, daty rozpoczęcia działalności gospodarczej, rodzaju prowadzonej działalności gospodarczej (PKD), dane zamieszczone na tzw. odcinku emerytury/renty: identyfikator i wysokość świadczenia, numer i datę ważności oraz datę wydania legitymacji emeryta/rencisty, nazwę organu wydającego legitymację emeryta/rencisty, numer świadczenia emerytalnego/rentowego, nazwę uczelni wydającej legitymację studencką, datę ważności legitymacji, numer albumu; serię i numer książeczki wojskowej oraz organ wydający tę książeczkę, nazwę organu wydającego paszport w terminie 30 dni od dnia, w którym decyzja stanie się ostateczna. 2

W dniu [ ] listopada 2015 r. do Biura Generalnego Inspektora Ochrony Danych Osobowych wpłynął, złożony w terminie, wniosek Spółki, reprezentowanej przez pełnomocnika Spółki, o ponowne rozpatrzenie sprawy zakończonej decyzją Generalnego Inspektora Ochrony Danych Osobowych z dnia 3 listopada 2015 r., sygn. DIS/DEC-868/15/96118. We wniosku o ponowne rozpatrzenie sprawy strona zarzuciła, iż ww. decyzja została wydana z naruszeniem przepisów postępowania administracyjnego i przepisów prawa materialnego, w szczególności poprzez pominięcie wskazanych w wyjaśnieniach złożonych przez Spółkę w odpowiedzi na zawiadomienie o wszczęciu postępowania administracyjnego w przedmiotowej sprawie przesłanek stanowiących podstawę przetwarzania danych osobowych wskazanych w tym zawiadomieniu, tj.: 1. Art. 161 ust. 2 pkt 7 ustawy z dnia 16 lipca 2004 r. Prawo telekomunikacyjne (Dz. U. z 2014 r., poz. 243 z późn. zm.), zgodnie z którym dostawca publicznie dostępnych usług telekomunikacyjnych jest uprawniony do przetwarzania danych dotyczących użytkownika będącego osobą fizyczną zawartych w dokumentach potwierdzających możliwość wykonania zobowiązania wobec dostawcy publicznie dostępnych usług telekomunikacyjnych wynikającego z umowy o świadczenie usług telekomunikacyjnych. 2. Art. 23 ust. 1 pkt 2 ustawy o ochronie danych osobowych, tj. dane są przetwarzane w celu realizacji obowiązku wynikającego z art. 26 ust. 1 pkt 3 ustawy o ochronie danych osobowych, tj. zapewnienia przez Spółkę, jako administratora danych, aby zbierane dane były merytorycznie poprawne, a wynikające z tych danych informacje były zgodne z prawdą, kompletne i aktualne. 3. Art. 23 ust. 1 pkt 5 ustawy o ochronie danych osobowych, tj. dane są przetwarzane dla wypełnienia prawnie usprawiedliwionych celów administratora danych. Ponadto, zdaniem Spółki, podstawę prawną przetwarzania danych jest również zgoda wyrażona w umowie o świadczenie usług telekomunikacyjnych o następującej treści: wyrażam zgodę na sporządzenie i przechowywanie przez C. kserokopii dokumentu (-ów) okazanego (-ych) przy zawieraniu niniejszej umowy, którą należy uznać za zgodę na przetwarzanie danych osobowych zawartych w tych dokumentach, a zgoda ta nie jest dorozumiana lub domniemana. We wniosku o ponowne rozpatrzenie sprawy pełnomocnik Spółki wskazał również, iż kwestionowane w przedmiotowej sprawie dane osobowe są przetwarzane w celu oceny przez Spółkę wiarygodności płatniczej użytkownika, nie uzasadniając jednak swojego stanowiska. Z uwagi na to, iż w postępowaniu administracyjnym przed wydaniem przez Generalnego Inspektora Ochrony Danych Osobowych decyzji z dnia 3 listopada 2015 r., sygn. DIS/DEC-868/15/96118, strona wyjaśniała, iż identyfikacja klienta jest jednym z elementów wiarygodności oceny możliwości płatniczych użytkownika, Generalny Inspektor Ochrony Danych Osobowych zwrócił się do strony o złożenie dodatkowych wyjaśnień w celu jednoznacznego ustalenia, czy dane, co do których Generalny Inspektor uznał, iż brak jest podstaw prawnych do ich 3

przetwarzania, są pozyskiwane w celu identyfikacji tożsamości klienta jako jednego z elementów oceny możliwości płatniczych użytkownika, czy też strona prezentuje na etapie wniosku o ponowne rozpatrzenie sprawy odmienne stanowisko i obecnie twierdzi, iż dane te są przetwarzane nie w celu identyfikacji tożsamości klienta, lecz w celu potwierdzenia możliwości wykonania zobowiązania wobec dostawcy publicznie dostępnych usług telekomunikacyjnych, wynikającego z umowy o świadczenie usług telekomunikacyjnych. Pismem z dnia [ ] stycznia 2016 r. strona oświadczyła, iż wyjaśnienia złożone w postępowaniu przed wydaniem decyzji Generalnego Inspektora Ochrony Danych Osobowych z dnia 3 listopada 2015 r., sygn. DIS/DEC-868/15/96118 i wyjaśnienia złożone we wniosku o ponowne rozpatrzenie sprawy są spójne. Generalny Inspektor Ochrony Danych Osobowych, po ponownym rozpatrzeniu sprawy i przeanalizowaniu całego zebranego w sprawie materiału dowodowego, zważył co następuje: Argumenty podniesione we wniosku o ponowne rozpatrzenie sprawy nie zasługują na uwzględnienie. Zgodnie z art. 26 ust. 1 pkt 1 ustawy, administrator danych przetwarzający dane powinien dołożyć szczególnej staranności w celu ochrony interesów osób, których dane dotyczą, a w szczególności jest obowiązany zapewnić, aby dane te były przetwarzane zgodnie z prawem. Stosownie zaś do art. 57 ust. 1 pkt 3 ustawy Prawo telekomunikacyjne, dostawca publicznie dostępnych usług telekomunikacyjnych nie może uzależniać zawarcia umowy o świadczenie publicznie dostępnych usług telekomunikacyjnych, w tym o zapewnienie przyłączenia do publicznej sieci telekomunikacyjnej od udzielenia informacji lub danych, innych niż określone w art. 161 ust. 2, w przypadku użytkownika końcowego będącego osobą fizyczną. Natomiast w myśl art. 161 ust. 2 ustawy Prawo telekomunikacyjne, dostawca publicznie dostępnych usług telekomunikacyjnych jest uprawniony do przetwarzania następujących danych dotyczących użytkownika będącego osobą fizyczną: 1) nazwisk i imion; 2) imion rodziców; 3) miejsca i daty urodzenia; 4) adresu miejsca zamieszkania i adresu korespondencyjnego jeżeli jest on inny niż adres miejsca zamieszkania; 5) numeru ewidencyjnego PESEL - w przypadku obywatela Rzeczypospolitej Polskiej; 6) nazwy, serii i numeru dokumentów potwierdzających tożsamość, a w przypadku cudzoziemca, który nie jest obywatelem państwa członkowskiego albo Konfederacji Szwajcarskiej - numeru paszportu lub karty pobytu; 7) zawartych w dokumentach potwierdzających możliwość wykonania zobowiązania wobec dostawcy publicznie dostępnych usług telekomunikacyjnych wynikającego z umowy o świadczenie usług telekomunikacyjnych. Oprócz danych, o których mowa w ust. 2, dostawca publicznie dostępnych usług telekomunikacyjnych może, za zgodą użytkownika będącego osobą fizyczną, przetwarzać inne dane 4

tego użytkownika w związku ze świadczoną usługą, w szczególności numer konta bankowego lub karty płatniczej, a także adres poczty elektronicznej oraz numery telefonów kontaktowych (art. 161 ust. 3 ustawy Prawo telekomunikacyjne). Zgodnie z art. 174 pkt 1 ustawy Prawo telekomunikacyjne, jeżeli przepisy ustawy wymagają wyrażenia zgody przez abonenta lub użytkownika końcowego, zgoda ta nie może być domniemana lub dorozumiana z oświadczenia woli o innej treści. Zgodnie z art. 6 ust. 1 ustawy o ochronie danych osobowych za dane osobowe uważa się wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej. Jak ustalono w toku kontroli, Spółka pozyskuje od użytkowników końcowych, którzy zdecydowali się na zawarcie umowy o świadczenie usług telekomunikacyjnych objętych ofertą promocyjną i nie uiścili kaucji, w celu potwierdzenia ich tożsamości, kserokopie następujących dokumentów: dowodu osobistego, karty stałego pobytu, paszportu, karty bankowej, legitymacji służbowej, legitymacji emeryta/rencisty, prawa jazdy, legitymacji studenckiej, książeczki wojskowej, legitymacji ubezpieczeniowej, karty NFZ, legitymacji szkolnej, wpisu do ewidencji działalności gospodarczej, druku RMUA, odcinka emerytury/renty, opłaconego rachunku za płatną telewizję cyfrową innego operatora niż Spółka, dokumentu potwierdzającego prowadzenie gospodarstwa rolnego, dokumentu poświadczającego dochody z tytułu wynajmu, dokumentu poświadczającego pobieranie dochodu z tytułu zasiłku dla bezrobotnych, zaświadczenia o zatrudnieniu. Jako dokument potwierdzający prowadzenie gospodarstwa rolnego Spółka w toku kontroli przedstawiła kopię decyzji administracyjnej wójta gminy w sprawie ustalenia wysokości łącznego zobowiązania pieniężnego. Z analizy treści kopii dokumentów przedstawionych w toku kontroli wynika, iż Spółka pozyskując ww. kopie zbiera następujące informacje dotyczące swoich użytkowników końcowych, inne niż wymienione w art. 161 ust. 2 Prawa telekomunikacyjnego: kolor oczu, wzrost (w centymetrach), wizerunek twarzy, płeć, adres zameldowania, nazwę organu wydającego dowód osobisty, datę wydania i termin ważności dowodu osobistego, podpis, nazwę organu wydającego prawo jazdy, numer prawa jazdy, kategorie prawa jazdy, datę wydania i datę ważności prawa jazdy, informacje dotyczące należnych kwot składek na ubezpieczenie zdrowotne i społeczne, numer i miejsce oraz datę wydania dokumentu stwierdzającego posiadanie kwalifikacji zawodowych dotyczących wykonywania zawodu pielęgniarki/pielęgniarza, numer rejestru pielęgniarek i położnych, datę i miejsce wydania zaświadczenia o prawie wykonywania zawodu pielęgniarki/pielęgniarza, nazwę okręgowej izby pielęgniarek i położnych wydającej zaświadczanie o prawie wykonywania zawodu pielęgniarki/pielęgniarza, nazwę banku wydającego kartę płatniczą, numer identyfikacyjny Karty ubezpieczenia zdrowotnego Narodowego Funduszu Zdrowia, nazwę 5

i siedzibę operatora telewizji cyfrowej innego niż Spółka oraz wysokość opłacanego abonamentu, numer decyzji administracyjnej wójta gminy w sprawie ustalenia wysokości łącznego zobowiązania pieniężnego, informację o wysokości podatku od nieruchomości, wielkość powierzchni budynków mieszkalnych podlegających opodatkowaniu, wielkość powierzchni gruntów rolnych podlegających opodatkowaniu, wielkość powierzchni użytków rolnych, wysokość podatku rolnego, informacje dotyczące pracodawcy w zakresie: nazwa i siedziba, Numer Identyfikacji Podatkowej, numer REGON, stanowisko na którym jest zatrudniony użytkownik końcowy, nazwę organu wydającego kartę stałego pobytu, datę upływu ważności karty stałego pobytu, rodzaj wydanego pozwolenia na pobyt, informacje dotyczące prowadzonej przez użytkownika końcowego działalności gospodarczej w zakresie: Numer Identyfikacji Podatkowej, numer REGON, firma przedsiębiorcy, adres głównego wykonywania działalności gospodarczej, daty rozpoczęcia działalności gospodarczej, rodzaju prowadzonej działalności gospodarczej (PKD), dane zamieszczone na tzw. odcinku emerytury/renty: identyfikator i wysokość świadczenia, numer i datę ważności oraz datę wydania legitymacji emeryta/rencisty, nazwę organu wydającego legitymację emeryta/rencisty, numer świadczenia emerytalnego/rentowego, nazwę uczelni wydającej legitymację studencką, datę ważności legitymacji, numer albumu, serię i numer książeczki wojskowej oraz organ wydający tę książeczkę, nazwę organu wydającego paszport. W związku z tym, iż jak wynika z materiału dowodowego zebranego w niniejszym postępowaniu, powyższe informacje niewątpliwie dotyczą osoby zidentyfikowanej na podstawie danych osobowych wskazanych w art. 161 ust. 2 pkt 1-6 ustawy, również te informacje należy uznać za dane osobowe w rozumieniu art. 6 ust. 1 ustawy o ochronie danych osobowych. Jak wynika z wyjaśnień złożonych przez pełnomocników Spółki w toku kontroli, Spółka pozyskuje kopie dokumentów tożsamości lub innych dokumentów w celu potwierdzenia tożsamości klientów Spółki w związku z zawieraniem umów o świadczenie usług telekomunikacyjnych. Pełnomocnik Spółki w toku postępowania administracyjnego również wyjaśnił, iż dane te są przetwarzane w powyższym celu, przy czym wskazał, iż identyfikacja tożsamości jest jednym z elementów oceny możliwości płatniczych klienta. Ocena ta jest natomiast niezbędna w procesie zawierania umowy o świadczenie usług telekomunikacyjnych w ofercie promocyjnej (subsydiowanej), czyli obarczonej istotnym ryzykiem strat dla Spółki w sytuacji, gdyby umowa została zawarta z osobą, której tożsamości lub możliwości płatniczych nie zweryfikowano. Stanowisko to, jak wynika z wyjaśnień złożonych przez pełnomocnika Spółki pismem z dnia [ ] stycznia 2016 r., zostało podtrzymane przez stronę w toku niniejszego postępowania. W tym miejscu należy wskazać, że art. 161 ust. 2 ustawy Prawo telekomunikacyjne reguluje kwestię zakresu danych użytkownika końcowego będącego osobą fizyczną, do przetwarzania których uprawniony jest dostawca publicznie dostępnych usług telekomunikacyjnych. Przepis ten określa 6

zamknięty katalog danych, na który składają się: wymienione w pkt 1-6 dane służące identyfikacji użytkownika końcowego, takie jak: 1) nazwisko i imiona; 2) imiona rodziców; 3) miejsce i data urodzenia; 4) adres miejsca zamieszkania i adresu korespondencyjnego, jeżeli jest on inny niż adres miejsca zamieszkania; 5) numer ewidencyjny PESEL - w przypadku obywatela Rzeczypospolitej Polskiej; 6) nazwa, seria i numer dokumentów potwierdzających tożsamość, a w przypadku cudzoziemca, który nie jest obywatelem państwa członkowskiego albo Konfederacji Szwajcarskiej - numer paszportu lub karty pobytu, a ponadto dane zawarte w dokumentach potwierdzających możliwość wykonania zobowiązania wobec dostawcy publicznie dostępnych usług telekomunikacyjnych wynikającego z umowy o świadczenie usług telekomunikacyjnych. Zakres danych identyfikujących użytkownika końcowego będącego osobą fizyczną, do przetwarzania których uprawniony jest dostawca publicznie dostępnych usług telekomunikacyjnych, nie budzi wątpliwości, ponieważ dane te zostały wymienione enumeratywnie. W związku z potrzebą należytej identyfikacji podmiotu, który będzie wykonywał zobowiązanie wobec dostawcy usług, dostawca ma prawo nie tylko wglądu do dokumentów potwierdzających dane określone w art. 161 ust. 2 pkt 1-6 ustawy Prawo telekomunikacyjne (niezależnie od tego, czy do zawarcia umowy dochodzi w sklepie stacjonarnym, czy w kanale zdalnym w obecności kuriera - pełnomocnika Spółki), ale również do pozyskiwania danych w celu prawidłowej identyfikacji użytkownika końcowego niezbędne do ustalenia jego tożsamości i zawarcia umowy. Podkreślenia w tym miejscu wymaga natomiast to, że określony w art. 161 ust. 2 pkt 1-6 ustawy Prawo telekomunikacyjne zakres danych identyfikujących użytkownika końcowego będącego osobą fizyczną, nie obejmuje zakwestionowanych w toku przedmiotowego postępowania administracyjnego, a wymienionych powyżej, danych osobowych. Nie można zatem zgodzić się z twierdzeniem pełnomocnika Spółki, że podstawę do przetwarzania ww. danych stanowi art. 161 ust. 2 pkt 7 ustawy Prawo telekomunikacyjne, który uprawnia dostawcę publicznie dostępnych usług telekomunikacyjnych do przetwarzania danych dotyczących użytkownika końcowego będącego osobą fizyczną zawartych w dokumentach potwierdzających możliwość wykonania zobowiązania wobec dostawcy publicznie dostępnych usług telekomunikacyjnych wynikającego z umowy o świadczenie usług telekomunikacyjnych. Należy wskazać bowiem, że skoro kwestia zakresu danych służących identyfikacji użytkownika końcowego będącego osobą fizyczną, do przetwarzania których uprawniony jest dostawca publicznie dostępnych usług telekomunikacyjnych, została rozstrzygnięta przez ustawodawcę w sposób wyczerpujący w art. 161 ust. 2 pkt 1-6 ustawy Prawo telekomunikacyjne, to treść art. 161 ust. 2 pkt 7 ww. ustawy powinna być rozumiana w sposób ścisły i zgodny z ratio legis tego przepisu, którym jest stworzenie podstawy prawnej umożliwiającej dostawcy publicznie dostępnych usług telekomunikacyjnych przetwarzanie, obok danych identyfikujących użytkownika końcowego, również danych zawartych w dokumentach służących 7

ustaleniu, czy użytkownik końcowy będzie w stanie wykonać zobowiązanie względem dostawcy publicznie dostępnych usług telekomunikacyjnych. W związku z tym, iż zakres danych osobowych niezbędnych do identyfikacji tożsamości jest określony w art. 161 ust. 2 pkt 1-6 Prawa telekomunikacyjnego, a zakres danych osobowych, których przetwarzanie jest dopuszczalne w celu potwierdzenia możliwości wykonania zobowiązania wobec dostawcy publicznie dostępnych usług telekomunikacyjnych, wynikającego z umowy o świadczenie usług telekomunikacyjnych, jest wskazany w art. 161 ust. 2 pkt 7 Prawa telekomunikacyjnego, stwierdzić należy, iż niewątpliwie identyfikacja tożsamości użytkownika końcowego nie jest elementem oceny zdolności tego użytkownika do wykonania przez niego zobowiązania pieniężnego. Wobec powyższego uznać należy, iż art. 161 ust. 2 pkt 7 ustawy Prawo telekomunikacyjne nie stanowi podstawy prawnej do przetwarzania ww. danych osobowych, w celu prawidłowej identyfikacji użytkownika końcowego. Ponadto należy nadmienić, iż konsekwencją przyjęcia interpretacji art. 161 ust. 2 pkt 7 ustawy Prawo telekomunikacyjne proponowanej przez pełnomocnika Spółki, zgodnie z którą ww. przepis uprawnia dostawcę usług do przetwarzania danych zawartych w dokumentach, byłoby pozbawienie znaczenia unormowania zawartego w art. 161 ust. 2 pkt 1-6 ustawy Prawo telekomunikacyjne, które tworzy zamknięty katalog danych identyfikujących użytkownika końcowego, do przetwarzania których uprawniony jest dostawca publicznie dostępnych usług telekomunikacyjnych. Stosownie do treści art. 161 ust. 3 ustawy Prawo telekomunikacyjne, dostawca publicznie dostępnych usług telekomunikacyjnych może, za zgodą użytkownika będącego osobą fizyczną, przetwarzać inne niż wymienione w art. 161 ust. 2 ustawy Prawo telekomunikacyjne, dane tego użytkownika w związku ze świadczoną usługą, w szczególności numer konta bankowego lub karty płatniczej, a także adres poczty elektronicznej oraz numery telefonów kontaktowych (art. 161 ust. 3 ustawy Prawo telekomunikacyjne). Zgodnie z art. 174 pkt 1 ustawy Prawo telekomunikacyjne, jeżeli przepisy ustawy wymagają wyrażenia zgody przez abonenta lub użytkownika końcowego, zgoda ta nie może być domniemana lub dorozumiana z oświadczenia woli o innej treści. Jak ustalono, użytkownik końcowy, który zdecydował się na zawarcie umowy o świadczenie usług telekomunikacyjnych objętych ofertą promocyjną i nie uiścił kaucji, wyraża w tej umowie zgodę o następującej treści: wyrażam zgodę na sporządzenie i przechowywanie przez C. kserokopii dokumentu (-ów) okazanego (-ych) przy zawieraniu niniejszej umowy. Należy zatem wskazać, iż to sama Spółka uznała zgodę jako podstawę prawną, o której mowa w art. 162 ust. 3 Prawa telekomunikacyjnego, do przetwarzania kwestionowanych danych osobowych. Przeczy to stanowisku Spółki, iż podstawę prawną przetwarzania danych zawartych w tych dokumentach stanowi art. 161 ust. 2 pkt 7 Prawa telekomunikacyjnego. 8

Również argumentacja Spółki, iż podstawę prawną przetwarzania kwestionowanych danych osobowych stanowi art. 23 ust. 1 pkt 2 w związku z art. 26 ust. 1 pkt 3 oraz art. 23 ust. 1 pkt 5 ustawy o ochronie danych osobowych nie zasługuje na uwzględnienie, albowiem powoływanie ww. przepisów ustawy, jako kolejnej przesłanki legalizującej przetwarzanie danych osobowych zawartych w kserokopiach dokumentów tożsamości w sytuacji, gdy przepisy prawa telekomunikacyjnego jednoznacznie wskazują podstawy prawne przetwarzania danych w związku z zawarciem umowy o świadczenie usług telekomunikacyjnych, prowadzi do obchodzenia prawa regulującego przedmiotowe kwestie. Generalny Inspektor nie zgadza się także z argumentacją Spółki, iż powołana wyżej zgoda na kopiowanie dokumentu okazanego przy zawieraniu umowy należy uznać za zgodę na przetwarzanie danych osobowych, gdyż uznał, że zgoda ta jest dorozumiana. Jak wskazano w uzasadnieniu decyzji z dnia 3 listopada 2015 r., sygn. DIS/DEC-868/15/96118, z treści powyższej klauzuli wynika jednoznacznie, że wyrażając powyższą zgodę użytkownik końcowy wyraża jedynie zgodę na sporządzenie i przechowywanie przez Spółkę kopii okazanych przez niego dokumentów. Przyjęcie, iż wyrażając tę zgodę użytkownik końcowy wyraża również zgodę na przetwarzanie danych osobowych w nich zawartych uznać należy za dorozumienie wywodzące z jednego oświadczenia woli (zgody na sporządzenie i przechowywanie przez Spółkę kopii okazanych przez klienta dokumentów) inne oświadczenie woli (zgody na przetwarzanie danych osobowych zawartych w ww. dokumentach). W wyroku z dnia 11 kwietnia 2003 r. (sygn. II SA 3942/02) Naczelny Sąd Administracyjny stwierdził, iż zgoda na przetwarzanie danych osobowych musi być sformułowana w sposób wyraźny i jednoznaczny i wyróżniać się spośród innych informacji i oświadczeń pochodzących od wyrażającej ją osoby. Nie może mieć ona charakteru abstrakcyjnego, lecz winna odnosić się do skonkretyzowanego stanu faktycznego, obejmując tylko określone dane oraz sprecyzowany sposób i cel ich przetwarzania. W wyroku Naczelnego Sądu Administracyjnego z dnia 10 stycznia 2013, sygn. I OSK 2029/11 wyrażony zaś został pogląd, zgodnie z którym sposób pozyskiwania zgody na przetwarzanie danych umożliwiać powinien świadome i swobodne wyrażenie woli. Przy klauzuli zgody w postaci, jaką przejęła Spółka, należy uznać, iż zgoda na przetwarzanie danych osobowych, o której mowa w art. 161 ust. 3 ustawy Prawo telekomunikacyjne, w tym przypadku nie jest wyrażona wprost, tylko dorozumiana z oświadczenia woli o innej treści. Nie można zatem uznać, iż klauzula o treści wyrażam zgodę na sporządzenie i przechowywanie przez C. kserokopii dokumentu (-ów) okazanego (-ych) przy zawieraniu niniejszej umowy jest zgodą na przetwarzanie danych osobowych, gdyż naruszałoby to art. 174 9

pkt 1 ustawy Prawo telekomunikacyjne, zgodnie z którym zgoda na przetwarzanie danych osobowych nie może być domniemana lub dorozumiana z oświadczenia woli o innej treści. W związku z tym, iż Spółka nie legitymuje się zgodą na przetwarzanie danych osobowych innych niż wskazane w art. 161 ust. 2 ustawy Prawo telekomunikacyjne, a żadna inna przesłanka przetwarzania tych danych nie ma tutaj zastosowania, należy uznać, iż Spółka przetwarzając kwestionowane dane narusza tym samym przepis art. 161 ust. 3 w związku z art. 174 ustawy Prawo telekomunikacyjne. Dlatego też, oceniając ponownie całokształt zebranego materiału dowodowego w przedmiotowej sprawie, Generalny Inspektor Ochrony Danych Osobowych rozstrzygnął jak w sentencji. Decyzja jest ostateczna. Na podstawie art. 21 ust. 2 ustawy o ochronie danych osobowych w związku z art. 53 1 i art. 54 1 ustawy z dnia 30 sierpnia 2002 r. Prawo o postępowaniu przed sądami administracyjnymi (Dz. U. Nr 153, poz. 1270), od niniejszej decyzji stronie przysługuje prawo wniesienia skargi do Wojewódzkiego Sądu Administracyjnego w Warszawie, w terminie 30 dni od dnia doręczenia niniejszej decyzji, za pośrednictwem Generalnego Inspektora Ochrony Danych Osobowych (na adres: ul. Stawki 2, 00-193 Warszawa). W razie niewykonania decyzji w terminie zostanie wobec podmiotu zobowiązanego do jej wykonania wszczęte postępowanie egzekucyjne na podstawie przepisów ustawy z dnia 17 czerwca 1966 r. o postępowaniu egzekucyjnym w administracji (Dz. U. z 2005 r. Nr 229, poz. 1954 z późn. zm.). 10

2025 © DocPlayer.pl Polityka prywatności | Warunki świadczenia usług | Zwrotny adres