Decyzja z 7 stycznia 2016 r. uchylająca decyzję z 2 października 2015 r. (sygn.DIS/DEC-796/15/89140) w części dotyczącej nakazu zapewnienia w procesie rejestracji w serwisie internetowym możliwości wyboru w kwestii wyrażenia zgody na przetwarzanie danych odrębnie dla poszczególnych celów przetwarzania oraz w części dotyczącej nakazu uzupełnienia ewidencji osób upoważnionych do przetwarzania danych osobowych w zakresie identyfikatora. Oraz nakazująca zaprzestanie przetwarzania bez podstawy prawnej danych osobowych adresatów przesyłek w zakresie adresów i informacji o zdarzeniach dotyczących nieodbierania/niedostarczenia/zwrotów przesyłek.
Przed dniem wydania decyzji Spółka usunęła uchybienia w zakresie zgód na przetwarzanie danych, ale zakwestionowała twierdzenie, iż adresy pocztowe, jak również informacje o zdarzeniach powiązanych z tymi adresami dotyczącymi nieodbierania/niedostarczenia/zwrotów, stanowią dane osobowe w rozumieniu art. 6 ustawy, gdyż nie pozwalają na identyfikację osoby fizycznej kryjącej się pod ww. danymi.
Spółka wniosła o ponowne rozpatrzenie sprawy.
ZARZUTY GIODO:
Serwis prowadzi zbiór danych obejmujący zarówno adresy pocztowe, jak również informacje o zdarzeniach powiązanych z tymi adresami dotyczące nieodebrania/niedostarczenia/zwrotu przesyłek w oparciu o udostępnione przez jego zarejestrowanych użytkowników adresy i ww. informacje.
DO CZEGO GIODO ZOBOWIĄZAŁ SPRZEDAWCĘ
GIODO nakazał przywrócenie stanu zgodnego z prawem poprzez zaprzestanie przetwarzania bez podstawy prawnej danych osobowych adresatów przesyłek .
WSKAZÓWKI GIODO dla przedsiębiorcy zawarte w decyzji
Spółka twierdzi, iż nie ma możliwości ustalenia tożsamości osoby, której przesyłka dotyczyła, dlatego Spółka nie realizuje obowiązku informacyjnego, o którym mowa w art. 25 ustawy o ochronie danych osobowych w związku z ich pozyskaniem. GIODO poczytuje dane adresowe użytkowników i informacje o nieodebraniu, zwrocie, niedostarczeniu przesyłki jako dane osobowe, gdyż możliwą jest sytuacja gdy np. znajoma osoba po przeczytaniu adresu bez problemu zidentyfikuje daną osobę fizyczną.
W związku z tym spółka przetwarza, w tym udostępnia dane użytkowników – użytkownikom zarejestrowanym lub korzystającym z formularza, nie pobierając przy tym zgód od podmiotów przekazujących adresy pocztowe z w.w. informacjami., a zatem przetwarza dane osobowe bez podstawy prawnej o jakiej mowa w art. 23 ust. 1 pkt 1 ustawy o ochronie danych osobowych, a także udostępnia je bez podstawy prawnej.
PODSUMOWANIE
Formuła zgody na przetwarzanie danych osobowych powinna stanowić odrębne oświadczenie osoby, której dane dotyczą i tak np.:
– odrębnie dla celów przesyłania informacji handlowych (reklam) Spółki; odrębnie dla celów przesyłania informacji handlowych (reklam) kontrahentów; odrębnie dla celów przesyłania informacji systemowych, wiadomości od Spółki oraz informacji o utrudnieniach, zmianach, przerwach technicznych w działaniu serwisu
– Sprzedawca winien zawsze formułować zgodę tak by zawierała ona cel i zakres przetwarzania danych osobowych a osoba składająca oświadczenie powinna mieć możliwość wyrażenia bądź niewyrażenia zgody na określone działania.
Każdy administrator powinien pamiętać, że jeżeli dane przetwarzane są w systemie informatycznym, wówczas ewidencja ta powinna zawierać identyfikator użytkownika. – wyjątek dotyczy jedynie administratorów będących osobami fizycznymi, którzy bez pomocy innych osób przetwarzają dane osobowe.
Są to podstawowe i konieczne dla prowadzenia ewidencji informacje, których brak stanowi przetwarzanie danych niezgodnie z zasadami ochrony danych osobowych. Jeśli dane przetwarzane są w systemie informatycznym wówczas każdy, kto ma dostęp do tych danych – osoba upoważniona przez administratora danych – powinien mieć odpowiedni identyfikator. Informacja ta powinna być zapisana w ewidencji osób upoważnionych do przetwarzania danych. Wynika to bowiem z tego, że system informatyczny, w którym przetwarzane są dane osobowe, powinien umożliwiać kontrolę dostępu do tych danych. Jeśli zatem dostęp do danych przetwarzanych w systemie informatycznym posiadają co najmniej dwie osoby, wówczas należy zapewnić, aby w systemie tym rejestrowany był dla każdego użytkownika odrębny identyfikator, a dostęp do danych był możliwy wyłącznie po wprowadzeniu identyfikatora i dokonaniu uwierzytelnienia.
Przetwarzając dane użytkowników sprzedawca musi zawsze pamiętać o przesłankach z art. 23 ust. 1 ustawy o ochronie danych osobowych. – tylko na ich podstawie będą możliwe legalne operacje na danych osobowych – to jest informacjach umożliwiających zidentyfikowanie konkretnych osób fizycznych.
http://www.giodo.gov.pl/281/id_art/9455/j/pl/
DIS/DEC-4/16/684 w związku z DIS/DEC-796/15
