http://informacjapubliczna.org.pl/5,791,jak_napisac_wniosek_o_informacje_publ
iczna.html
http://www.bip.pip.gov.pl/pl/bip/wniosek_inf_pub/px_wniosek_o_ud_inf_pub.pdf
Na podstawie artykułu 61 Konstytucji RP wnoszę o udostępnienie:
(TU PODAJESZ O JAKĄ INFORMACJĘ WNIOSKUJESZ)
Odpowiedź proszę przekazać w formie (np. skanów w pdf, nagranie w postaci pliku mp3) na
adres (zwykły, internetowy, można zadeklarować osobisty odbiór).
Nie musisz w swoim wniosku tłumaczyć kim jesteś i dlaczego potrzebujesz uzyskać daną
informację
Art. 2 ust. 1
ustawy o dostępie do informacji publicznej
: Od osoby wykonującej prawo do
informacji publicznej nie wolno żądać wykazania interesu prawnego lub faktycznego
https://www.biznes.gov.pl/opisy-procedur/-/proc/1597-zgloszenie-naruszenia-danych-
osobowych
Złożenie zawiadomienia do Generalnego Inspektora Ochrony Danych Osobowych
o naruszeniu danych osobowych, przewidzianego w art. 174a ustawy z dnia 16 lipca 2004 r.
Prawo telekomunikacyjne.
Zawiadomienie o naruszeniu danych osobowych
Postać składania dokumentu: Oryginał
Informacja dodatkowa:
Na podstawie art. 174a ust. 7 ustawy prawo telekomunikacyjne:
Zawiadomienie powinno zawierać w szczególności:
1. opis charakteru naruszenia danych osobowych oraz zakładane ryzyko związane
z naruszeniem;
2. dane kontaktowe dostawcy publicznie dostępnych usług telekomunikacyjnych,
umożliwiające uzyskanie informacji dotyczących naruszenia ochrony danych
osobowych;
3. informacje o zalecanych środkach mających na celu złagodzenie ewentualnych
niekorzystnych skutków naruszenia danych osobowych;
4. informacje o działaniach podjętych przez dostawcę publicznie dostępnych usług
telekomunikacyjnych;
5. informacje o fakcie poinformowania lub braku poinformowania abonenta lub
użytkownika końcowego, będącego osobą fizyczną o wystąpieniu naruszenia danych
osobowych;
6. opis skutków naruszenia danych osobowych;
7. opis
proponowanych
przez
dostawcę
publicznie
dostępnych
usług
telekomunikacyjnych środków naprawczych;
8. informacja o tym, czy jest to pierwsze, czy drugie powiadomienie;
9. charakter i treść przedmiotowych danych osobowych;
10. istotne w kontekście naruszenia korzystanie z usług innych dostawców (w stosownych
przypadkach);
11. ewentualne dodatkowe powiadomienie abonentów lub osób fizycznych:
zastosowane środki komunikacji,
liczba powiadomionych abonentów łub osób fizycznych.
12. ewentualne kwestie transgraniczne:
naruszenie danych osobowych dotyczące abonentów łub osób fizycznych w innych
państwach członkowskich,
powiadomienie innych właściwych organów krajowych.
Kiedy powinieneś załatwić sprawę
Niezwłocznie, ale nie później niż 24 godziny po wykryciu naruszenia.
Gdzie załatwisz sprawę
Generalny Inspektor Ochrony Danych Osobowych
Stawki 2, 00-193 Warszawa
W związku z naruszeniem moich danych osobowych przez firmę X zgłaszam złamanie
przepisów wynikających z art. 1 Ustawy z dnia 29 sierpnia 1997 r. o ochronie danych
osobowych ……..
3. UZASADNIENIE
Decyzją nr GI-DP-DEC-44/00/680 z dnia 14 lipca 2000 r. Generalny Inspektor Ochrony
Danych Osobowych na podstawie art. 18 ust. l pkt l w związku z art. 23 ust. l pkt. l, 24 ust. l
pkt 2, art. 26 ust. l pkt 2 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz.
U. Nr 133, póz 883 z późn. zm.), oraz § 2 pkt 6, § 4, § 12 ust. l rozporządzenia Ministra
Spraw Wewnętrznych i Administracji z dnia 3 czerwca 1998 r. w sprawie określenia
podstawowych warunków technicznych i organizacyjnych, jakim powinny odpowiadać
urządzenia i systemy informatyczne służące do przetwarzania danych osobowych (Dz. U. Nr
80, póz. 521), oraz art. 104 ustawy z dnia 14 czerwca 1960 r. - Kodeks postępowania
administracyjnego (Dz. U. z 1980 r. Nr 9, póz. 26 z póżn, zm.), po przeprowadzeniu
postępowania administracyjnego wszczętego z urzędu, w sprawie przetwarzania danych
osobowych przez Spółkę A. C. C. Sp. z o.o. z nakazał Spółce A. C. C. Sp. z o.o., usunięcie
uchybień w procesie przetwarzania danych osobowych w terminie 1 (jednego) miesiąca od
daty otrzymania niniejszej decyzji poprzez:
1. usunięcie z formularzy umów abonenckich postanowień dotyczących wyrażenia
przez abonenta zgody na:
a) przetwarzanie jego danych osobowych w celach działań marketingowych,
reklamowych, informacyjnych oraz przyszłych wynikających z działalności Operatora
lub osoby trzecie, działające z jego upoważnienia i na jego rzecz,
b) udostępnianie swoich danych osobowych zawartych w zbiorze danych Operatora
osobom trzecim, innym niż wymienione w pkt. a),
c) przesyłanie materiałów promocyjnych i reklamowych innych podmiotów,
rozpowszechnianych przez Operatora, stosownie do art. 26 ust. l pkt 2 ustawy z dnia
29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. Nr 133, póz. 883 z późn.
zm.),
2. wprowadzenie do "formularza zgłoszeniowego" (internetowego) odrębnej klauzuli
dotyczącej wyrażenia przez abonentów zgody na przetwarzanie ich danych w celach
marketingowych, promocyjnych i reklamowych, zgodnie z art. 23 ust. l pkt l ustawy, o
której mowa w pkt. l decyzji,
3. dopełnienie obowiązku informacyjnego w zakresie celu zbierania danych
i przewidywanych odbiorcach lub kategoriach odbiorców danych, stosownie do art. 24
ust. l pkt 2 ustawy, o której mowa w pkt. l decyzji,
4. opracowanie i wdrożenie programu szkolenia osób zatrudnionych przy
przetwarzaniu danych osobowych, w zakresie zabezpieczeń systemu informatycznego,
zgodnie z wymogami określonymi w § 2 pkt 6 rozporządzenia Ministra Spraw Wewnętrznych
i Administracji z dnia 3 czerwca 1998 r. w sprawie określenia podstawowych warunków
technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy
informatyczne służące do przetwarzania danych osobowych (Dz. U. Nr 80., poz. 521),
5. uzupełnienie indywidualnych zakresów czynności osób zatrudnionych przy
przetwarzaniu danych osobowych przez określenie zakresu ich odpowiedzialności za ochronę
przetwarzania danych przed niepowołanym dostępem, nieuzasadnioną modyfikacją lub
zniszczeniem, nielegalnym ujawnieniem lub pozyskaniem - w stopniu odpowiednim do
zadań tych osób przy przetwarzaniu danych osobowych, stosownie do § 4 rozporządzenia,
o którym mowa w pkt. 3 decyzji,
6. zaprzestanie przechowywania kopii awaryjnych, o których mowa w § 11 ust. 2 pkt
4 rozporządzenia, w tym samym pomieszczeniu, w którym przechowywane są zbiory
danych eksploatowane na bieżąco, zgodnie z § 12 ust. l rozporządzenia, o którym mowa w
pkt. 3 decyzji.
Z uzasadnienia wynikało, że: w dniach 27-28 marca 2000 r. inspektorzy Biura
Generalnego Inspektora Ochrony Danych Osobowych, na podstawie art. 14 ustawy z dnia
29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. Nr 133, póz. 883 ze zm.), zwanej
dalej ustawą, przeprowadzili kontrolę w Spółce A. C. C. Sp. z o.o., zwanej dalej również
Spółką. Celem przeprowadzonych czynności kontrolnych było sprawdzenie zgodności
przetwarzania danych przez Spółkę A. C. C. Sp. z o.o., z obowiązującymi przepisami o
ochronie danych osobowych. W trakcie kontroli odebrano od pracowników Spółki ustne
wyjaśnienia, skontrolowano systemy informatyczne, dokonano oględzin pomieszczeń, w
których odbywa się przetwarzanie danych oraz wykonano inne czynności kontrolne. Stan
faktyczny został szczegółowo opisany w protokole kontroli, który został podpisany przez
Prezesa Zarządu Spółki.
Na podstawie tak zgromadzonego materiału dowodowego ustalono, że w procesie
przetwarzania danych osobowych Spółka, jako administrator danych, naruszyła przepisy
ustawy i wydanego na jej podstawie rozporządzenia Ministra Spraw Wewnętrznych
i Administracji z dnia 3 czerwca 1998 r. w sprawie określenia podstawowych warunków
technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy
informatyczne służące do przetwarzania danych osobowych (Dz. U. Nr 80, póz. 521),
zwanego dalej rozporządzeniem. Uchybienia te polegały na:
1. określeniu zapisów formularzy umów abonenckich w taki sposób, że abonent
podpisując
taką umowę wyraża jednocześnie zgodę na przetwarzanie jego danych m. in. w celach
marketingowych,
2. braku odrębnej zgody abonenta na udostępnianie jego danych osobowych osobom
trzecim,
3. niedopełnienie wobec abonentów obowiązku informacyjnego w zakresie celu
zbierania
i przewidywanych odbiorcach lub kategoriach odbiorców przy udostępnianiu tych danych
osobom trzecim,
4. braku odrębnej klauzuli dotyczącej wyrażenia zgody na przetwarzanie danych
osobowych
w celach marketingowych w formularzu zgłoszeniowym (internetowym),
5. braku w indywidualnych zakresach czynności pracowników zatrudnionych przy
przetwarzaniu danych osobowych zakresu odpowiedzialności tych osób za ochronę
danych - w stopniu odpowiednim do zadań tych osób przy przetwarzaniu danych,
6. braku opracowania i wdrożenia programu szkolenia w zakresie zabezpieczeń
systemów
informatycznych dla pracowników zatrudnionych przy przetwarzaniu danych,
7. przechowywaniu kopii awaryjnych w tych samych pomieszczeniach, w których
przechowywane są zbiory danych osobowych eksploatowane na bieżąco.
W związku z powyższym, w dniu 15 czerwca 2000 r. Generalny Inspektor Ochrony
Danych Osobowych wszczął z urzędu postępowanie administracyjne w niniejszej sprawie w
celu wyjaśnienia okoliczności sprawy.
Pełnomocnik Spółki nie zgodził się z powyższą oceną inspektorów podnosząc, że zgoda
abonenta na przetwarzanie jego danych osobowych może być wyrażona w różnej formie,
zgodnie z art. 60 k.c.
Klienci mają prawo negocjowania postanowień umów ze Spółką przed ich
podpisaniem, a złożenie podpisu oznacza zgodę na zawarte w nich postanowienia.
Generalny Inspektor Danych Osobowych polemizował z tym poglądem wywodząc, że
oświadczenie woli składane przy zawieraniu umowy ze Spółką różni się od tego, o którym
mowa w art. 60 k.c. a najistotniejsze różnice dotyczą formy wyrażania zgody oraz sankcji
niezachowania przepisanej prawem formy. Zgoda ta nie może być domniemana lub
dorozumiana.
1. Zgodnie z treścią art. 26 ust. l pkt 2 ustawy, administrator przetwarzający dane
powinien dołożyć szczególnej staranności w celu ochrony interesów osób, których dane
dotyczą, a w szczególności jest obowiązany zapewnić, aby dane te były zbierane dla
oznaczonych, zgodnych z prawem celów i niepoddawane dalszemu przetwarzaniu
niezgodnemu z tymi celami. Oznacza to, że dane mogą być przetwarzane w celu innym niż
ten, dla którego
zostały zebrane tylko wtedy, gdy osoba, której dane dotyczą wyrazi na to wyraźną zgodę.
Zatem oświadczenie o wyrażeniu zgody na przetwarzanie danych w celach innych niż
realizacja warunków umownych, nie może znajdować się jako jedno z postanowień
umownych. Zgoda na przetwarzanie danych w celach marketingowych, reklamowych,
informacyjnych oraz przyszłych wynikających z działalności operatora lub osoby trzecie,
działające z jego upoważnienia i na jego rzecz, a także zgoda na przesyłanie materiałów
promocyjnych i reklamowych innych podmiotów i udostępnianie danych innym osobom
trzecim musi być odrębnym oświadczeniem woli, z treści którego wynikałaby zgoda na
przetwarzanie w tym właśnie celu.
2. Niedopuszczalne jest z punktu widzenia ustawy pozostawienie w "formularzu
zgłoszeniowym" (internetowym) zapisu, iż jego wypełnienie jest jednoznaczne z
wyrażeniem zgody na przetwarzanie danych w celach marketingowych, promocyjnych
i reklamowych. Także i w tym przypadku konieczne jest wprowadzenie odrębnej klauzuli
zawierającej zgodę na przetwarzanie danych w tych właśnie w celach, stosownie do
art. 23 ust. l pkt l ustawy. Celem przetwarzania danych w "formularzu zgłoszeniowym"
jest realizacja zgłoszenia podłączenia do sieci Spółki A. C. C. Sp. z o.o. Dla przetwarzania
danych w innych celach konieczna jest odrębna zgoda abonentów.
3. Zgodnie z art. 24 ust. l pkt 2 ustawy, w przypadku zbierania danych osobowych od
osoby,
której dane dotyczą, administrator danych jest obowiązany poinformować tę osobę o celu
zbierania danych, a w szczególności o znanych mu w czasie udzielania informacji lub
przewidywanych odbiorcach lub kategoriach odbiorców danych. W formularzach umów
abonenckich jest zapis dotyczący wyrażenia przez abonenta zgody na udostępnianie
swoich danych osobowych zawartych w zbiorach Operatora osobom trzecim. Nie ma
natomiast konkretnego wskazania komu i w jakim celu mogą być ewentualnie owe dane
udostępniane. Abonent ma prawo wiedzieć, a administrator ma obowiązek go
wyczerpująco i jasno poinformować o tym komu zamierza udostępnić dane abonenta, kto
będzie przetwarzał jego dane i w jakim celu. Zgoda na udostępnienie danych osobom
trzecim także musi być odrębnym od postanowień umownych oświadczeniem woli
abonenta, nie musi on bowiem godzić się na udostępnienie swych danych osobom trzecim
(a tak jest przy obecnej konstrukcji umowy).
4. Zgodnie z § 2 pkt 6 rozporządzenia, administrator danych, w celu właściwego
zarządzania
zabezpieczeniami systemu informatycznego oraz dla ochrony danych osobowych w nim
przetwarzanych, przed przystąpieniem do przetwarzania danych osobowych, jest
obowiązany opracować i wdrożyć program szkolenia w zakresie zabezpieczeń systemu
informatycznego.
- Kierownik Działu IT w Spółce A. C. C. Sp. z o. o. wyjaśnił, że przedmiotowe szkolenia
są planowane w momencie wdrażania nowego systemu obsługi klientów, tzn. na
początku maja br. (załącznik Bl). W korespondencji kierowanej do Generalnego
Inspektora Ochrony Danych Osobowych, przedstawiciel Spółki -stwierdził, że Spółka
jest obecnie w trakcie wdrażania nowego programu i planuje opracowanie systemu
szkoleń. Generalny Inspektor Ochrony Danych Osobowych uznał za uzasadnione
nakazać, by uczyniono to w konkretnym terminie - l miesiąca od otrzymania decyzji.
5. Z ustnych wyjaśnień udzielonych przez Prezesa Zarządu wynika, że pracownicy
zatrudnieni przy przetwarzaniu danych osobowych zostali zapoznani z przepisami ustawy.
Prezes Spółki podał ponadto, że prowadzona jest lista - ewidencja osób zatrudnionych
przy przetwarzaniu danych osobowych (załącznik A l). Z kolei z wyjaśnień udzielonych
przez Dyrektora Personalnego w Spółki A. C. C. Sp. z o. o. (załącznik A 5), wynika, że
każdy nowo zatrudniony w Spółce pracownik, zapoznany zostaje z przepisami ustawy
i podpisuje stosowne oświadczenie w tym zakresie (załącznik A 6). W przypadku osób
zatrudnionych przed wejściem w życie ustawy, kierownicy poszczególnych działów,
zobowiązani zostali do przekazania swoim pracownikom treści ustawy, a następnie
odebrania od każdego pracownika podpisanego oświadczenia. Trafia ono następnie do akt
osobowych poszczególnych pracowników. Brak jest natomiast zapisu dotyczącego
zakresu odpowiedzialności pracownika za ochronę tych danych przed niepowołanym
dostępem, nieuzasadnioną, modyfikacją lub zniszczeniem, nielegalnym ujawnieniem lub
pozyskaniem - w stopniu odpowiednim do zadań tych osób przy przetwarzaniu danych
osobowych, czego wymaga § 4 rozporządzenia. Należy zatem stosownie uzupełnić
zakresy czynności osób zatrudnionych przy przetwarzaniu danych osobowych.
6. Stosownie do § 12 ust. l rozporządzenia, kopie awaryjne nie powinny być
przechowywane
w tych samych pomieszczeniach, w których przechowywane są zbiory danych osobowych
eksploatowanych na bieżąco. Inspektorzy Generalnego Inspektora Ochrony Danych
Osobowych stwierdzili podczas dokonywania czynności kontrolnych - oględzin miejsc, w
których przetwarza się dane osobowe, że kopie awaryjne baz danych są, przechowywane
w szafie metalowej w serwerowni, gdzie znajdują się zbiory eksploatowane na bieżąco. W
związku z powyższym kopie awaryjne należy usunąć z pomieszczenia, w którym
przechowywane są zbiory danych użytkowanych na bieżąco.
Od tej decyzji Spółka A. C. złożyła wniosek o ponowne rozpatrzenie sprawy, w wyniku
czego GIODO dnia 26.IX.2000 r. utrzymał w mocy swą poprzednią decyzję, a w
uzasadnieniu stwierdził, że wniosek Spółki o uchylenie decyzji w pkt l, 2 i 3 nie zasługuje na
uwzględnienie.
Zgodnie z art. 23 ust. l ustawy o ochronie danych osobowych przetwarzanie danych
powinno się odbywać w oparciu o przynajmniej jedną z przesłanek określonych w tym
przepisie. Przetwarzanie danych przez Spółkę A. C. C. Sp. z o. o. odbywa się w celu realizacji
warunków umowy zawartej z abonentem, a więc na podstawie art. 23 ust. l pkt 3 ustawy,
który stosuje się w sytuacji, gdy przetwarzanie jest niezbędne osobie, której dane dotyczą, w
celu wywiązania się z umowy, której jest stroną lub na jej życzenie w celu podjęcia
niezbędnych działań przed zawarciem umowy. Spółka, zawierając z abonentami umowę o
świadczenie usług, polegających na zapewnieniu dostępu do programów telewizyjnych w
sieci kablowej, staje się tym samym stroną umowy, zobowiązaną do przetwarzania danych
abonenta wyłącznie w celu wywiązania się z jej warunków. Chybiony jest zatem pogląd
Spółki w przedmiocie zastosowania w omawianej sytuacji przesłanki określonej w art. 23 ust.
l pkt l ustawy. Wyrażenie zgody na przetwarzanie danych w celu realizacji postanowień
umowy abonenckiej jest zbędne wobec faktu zgromadzenia danych dla tego właśnie celu.
Przesłanka wyrażenia zgody może zachodzić dopiero w sytuacji, gdy przetwarzanie danych
abonenta nastąpi w celu niezwiązanym z realizacją przedmiotowej umowy. Takimi celami są
m.in. cele marketingowe, reklamowe czy informacyjne.
Skarżąca zarzuca rozstrzygnięciu Generalnego Inspektora pominięcie specyfiki
działalności Spółki. Argumentację taką należy uznać za nietrafną. Zgodnie z § l ust. l umowy
abonenckiej Spółka A. C. C., jako operator, zobowiązuje się do świadczenia na rzecz
abonenta usługi, polegającej na udostępnianiu abonentowi sygnału, umożliwiającego odbiór
programów telewizyjnych w sieci kablowej. Rola Spółki polega więc na zrealizowaniu usługi,
w zamian za którą abonent zobowiązuje się do spełnienia warunków wymienionych w § 3
umowy, tj. uiszczenie jednorazowej opłaty aktywacyjnej w określonej wysokości, uiszczenie
opłaty za zainstalowanie dodatkowego gniazda oraz uiszczanie opłaty abonamentowej w
określonej wysokości. Trudno w takiej sytuacji mówić o specyfice działalności Spółki A. C.,
polegającej na promocji innych produktów. Przedmiot umowy został konkretnie wskazany, w
przeciwieństwie do zapisów dotyczących przetwarzania danych. I tak zapis z § 4 ust. 3
umowy abonenckiej, w którym abonent wyraża zgodę na udostępnianie swoich danych
osobowych zawartych w zbiorze danych operatora osobom trzecim, innym, niż wymienione
w ust. l umowy, w ogóle nie formułuje celu udostępniania przedmiotowych danych.
Konieczne jest w związku z tym uzupełnienie dotychczasowego zapisu poprzez wskazanie
celu przetwarzania danych.
Zamieszczenie w formularzach umów abonenckich informacji, iż abonent wyraża zgodę
na przetwarzanie jego danych również w celach niezwiązanych z realizacją tej umowy oraz
przyszłych wynikających z działalności Operatora lub osób trzecich nie jest zgodne z ustawą
o ochronie danych osobowych. Działanie takie stoi w sprzeczności z zapisem określonym w
art. 7 pkt 5 cytowanej ustawy, zgodnie z którym zgoda jest oświadczeniem woli, którego
treścią jest zgoda na przetwarzanie danych osobowych tego, kto składa oświadczenie. Przepis
ten stanowi w dalszej części, iż zgoda nie może być domniemana lub dorozumiana z
oświadczenia woli o innej treści. Poprzez zaproponowanie w treści umowy spornego zapisu,
zgoda na przetwarzanie danych abonenta w celach marketingowych, reklamowych i
informacyjnych staje się zgodą dorozumiałą z oświadczenia woli o innej treści. Jeżeli abonent
przekazuje swoje dane osobowe w celu realizacji umowy abonenckiej, to tylko w tym celu
i zakresie mogą być one wykorzystane przez stronę zawierającą z nim przedmiotową umowę.
Zgodnie z treścią art. 26 ust. l pkt 2 ustawy, administrator przetwarzający dane
powinien dołożyć szczególnej staranności w celu ochrony interesów osób, których dane
dotyczą, a w szczególności jest zobowiązany zapewnić, aby dane te były zbierane dla
oznaczonych, zgodnych z prawem celów i niepoddawane dalszemu przetwarzaniu
niezgodnemu z tymi celami. O ile więc Spółka A. C. C. ma zamiar przetwarzać dane w celach
innych, niż wynikające z realizacji umowy, konieczne jest zawarcie odrębnego oświadczenia
woli, z którego jednoznacznie będzie wynikać wyraźna zgoda osoby, której dane dotyczą na
przetwarzanie jej danych w celach wykraczających poza treść umowy, tj. w celach
marketingowych, reklamowych, informacyjnych oraz przyszłych wynikających z działalności
Operatora lub osoby trzecie, działające z jego upoważnienia i na jego rzecz
W świetle powyższego przedstawioną przez stronę argumentację prawną, dotyczącą
niezasadności rozstrzygnięcia zawartego w pkt l i pkt 2 decyzji uznać należy za nietrafną.
Nie znajdują oparcia w zgromadzonym materiale dowodowym również zarzuty
dotyczące pkt 3 decyzji. Zgodnie z dyspozycją art. 24 ust l pkt 2 ustawy, w przypadku
zbierania danych osobowych od osoby, której one dotyczą, administrator danych jest
obowiązany poinformować tę osobę o celu zbierania danych, a w szczególności o znanych mu
w czasie udzielania informacji lub przewidywanych odbiorcach lub kategoriach odbiorców
danych. Precyzyjne wypełnienie obowiązku informacyjnego gwarantuje, że osoba, której
dane dotyczą, uzyska wyczerpującą informację odnośnie przetwarzania jej danych
osobowych, co w konsekwencji umożliwi jej ewentualne skorzystanie z uprawnień
wynikających z przepisu art. 32 ust. l ustawy.
Abonent ma prawo uzyskać informacje o tym, komu i w jakim ewentualnie celu
administrator udostępni jego dane osobowe, zaś administrator danych ma obowiązek
udzielenia osobie, której dane dotyczą jasnej i wyczerpującej informacji odnośnie
podmiotowego i przedmiotowego zakresu wykorzystania tych danych. Analiza § 4 ust. 3
umowy abonenckiej wskazuje, że obowiązek informacyjny w zakresie celu nie został w ogóle
wypełniony. O ile w ust. l cytowanego paragrafu przedstawiono w sposób wyczerpujący cele
przetwarzania danych przez Operatora lub osoby trzecie, działające z jego upoważnienia i na
jego rzecz, to ust. 3 nie formułuje celu udostępnienia danych osobowych osobom trzecim
innym, niż wyżej wymienione. Abonent nie musi się zgodzić na udostępnienie swoich danych
w celach promocyjnych osobom wskazanym w § 4 ust. 3, a taki przymus faktycznie wynika z
dotychczasowej konstrukcji formularzy umów abonenckich.
Powyższa decyzja była przedmiotem skargi Spółki z o.o. A. C. C., która wniosła o jej
uchylenie wraz z decyzją ją poprzedzającą w części dotyczącej:
1) nakazania usunięcia z formularzy umów abonenckich postanowień dotyczących
wyrażenia zgody na przetwarzanie danych osobowych, udostępnianie danych osobowych
w zbiorze danych Operatora i przesyłanie materiałów promocyjnych,
2) nakazanie wprowadzenia do formularza zgłoszeniowego, internetowego odrębnej
klauzuli
dotyczącej wyrażenia zgody na przetwarzanie danych osobowych,
3) nakazanie dopełnienia obowiązku informacyjnego w zakresie celu zbierania danych
osobowych jako wydanych z naruszeniem prawa.
W szczególności skarżąca zarzuciła, iż:
ad.l) nakaz wymieniony w pkt l jest niezasadny, bo zgoda osoby podpisującej umowę
abonencką na przetwarzanie jej danych osobowych nie jest domniemana lub dorozumiana
z oświadczenia woli innej treści, a więc odpowiada definicji ustawowej podanej w art. 7
pkt 5 ustawy o ochronie danych osobowych.
ad.2) ustawa nie przewiduje dla wyrażenia zgody odrębnej klauzuli. Przy
prawidłowym
dokonywaniu wykładni obowiązuje zasada exceptiones non sunt extendendae, zgodnie z
którą żaden wyjątek nie może być interpretowany rozszerzająco. Skoro ustawa nie
nakłada obowiązku odrębnej klauzuli zawierającej wyrażenie zgody na przetwarzanie
danych osobowych, to nie może takiego obowiązku nałożyć organ administracyjny, który
powinien działać w granicach określonych przez ustawę.
ad.3) umowa w § 4 ust. l przewiduje cele przetwarzania danych osobowych i kategorie
odbiorców danych osobowych. W § 4 ust.3 umowy następuje odwołanie do zapisu ust. l
i wprowadzenie dalszej kategorii odbiorców danych osobowych. Ponadto należy
podnieść, że pkt 3 decyzji jest logicznie sprzeczny i niekoherentny z pkt l zaskarżonej
decyzji. Skoro nie można zawrzeć zgody na przetwarzanie danych osobowych w umowie,
to nie można nakazać zamieszczania w umowie informacji precyzujących cele i kategorie
danych osobowych.
Odpowiadając na skargę Generalny Inspektor Danych Osobowych wniosła o jej
oddalenie, podtrzymując argumenty zawarte w uzasadnieniu zaskarżonej decyzji i w decyzji
poprzedzającej.
Naczelny Sąd Administracyjny zważył, co następuje:
Przedmiotem skargi były nakazy GIODO sformułowane w punktach l, 2 i 3 decyzji z
dnia 14 lipca 2000 r. utrzymanej w tej części w mocy przez drugą decyzję Głównego
Inspektora Ochrony Danych Osobowych ( dalej: GIODO) z dnia 26 września 2000 r.:
1) w pkt. l GIODO nakazał usunięcie z formularzy umów abonenckich dotyczących
wyrażenia przez abonenta zgody na :
a) przetwarzanie jego danych osobowych w celach marketingowych, reklamowych,
informacyjnych oraz przyszłych wynikających z działalności Operatora lub osoby
trzecie, działające z jego upoważnienia i na jego rzecz,
b) udostępnienia swoich danych osobowych zawartych w zbiorze danych Operatora
osobom trzecim, innym niż wymienione w pkt.a,
c) przesyłanie materiałów promocyjnych i reklamowych innych podmiotów,
rozpowszechnianych przez Operatora.
W postępowaniu administracyjnym skoncentrowano się nadmiernie na problemie: czy
"zgoda" na przetwarzanie danych abonenckich zawartych w standardowej umowie odpowiada
wymogom zawartym w art. 7 pkt 5 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych
osobowych (Dz. U. Nr 133, póz. 883 ze zm.).
Tymczasem "zgodę", jako oświadczenie woli należy tak tłumaczyć, jak tego wymagają
ze względu na okoliczności, w których złożone zostało, zasady współżycia społecznego oraz
ustalone zwyczaje (art. 65 § l k. c.). W umowach należy raczej badać, jaki był zgodny zamiar
stron i cel umowy, aniżeli opierać się na jej dosłownym brzmieniu (art. 65 § 2 k.c.).
Bezwątpienia celem osoby podpisującej umowę z Spółką A. C. C. była chęć
skorzystania z programów telewizyjnych przesyłanych za pośrednictwem kabli wym. Spółki
za ustaloną opłatą, a nie chęć pozbycia się na rzecz Spółki swego prawa do ochrony danych
osobowych (art. l ust. l cyt. ustawy o ochronie danych osobowych). Zgodnie bowiem z
literalnym brzmieniem odpowiedniego fragmentu umowy abonenckiej Spółka mogłaby
handlować posiadanymi danymi osobistymi abonentów, bez żadnych ograniczeń, a kupujący
od Spółki dane osobowe mogliby je wykorzystywać do celów sprzecznych z interesem
abonentów, a nawet sprzecznych z prawem.
Wykorzystywanie nieświadomości większości potencjalnych abonentów, co do
konsekwencji podpisywanej części umowy zawierającej m.in. "zgodę" na przetwarzanie ich
danych w sposób sprzeczny z ich interesem stanowi naruszenie zasad współżycia
społecznego.
Podnieść też należy, że stosownie do art. 23 ust. l pkt 5 cyt. ustawy o ochronie danych
osobowych. Spółka A. C. C. przetwarzać może posiadane dane tylko w zakresie, który jest
niezbędny do celu przesyłania programów telewizyjnych, łączności internetowej, itp.
Wykracza poza te cele udostępnienie baz danych osobowych abonentów innym
podmiotom i do innych celów, nie wymienionych w umowach abonenckich. Zgodnie z
wymogiem zawartym w art. 24 ust. l pkt 2 cyt. ustawy o ochronie danych osobowych Spółka
winna w sposób wyraźny i jednoznaczny wyjaśnić klientowi w jakim celu zbiera jego dane.
ad.2 i 3 ) Te same uwagi dotyczą przesłanych nakazań wymienionych w pkt 2 i 3.
Wymóg zawarty w art. 29 ust. l pkt 2 ustawy o ochronie danych osobowych dotyczy
szczególnie internetowego formularza zgłoszeniowego. Skoro zatem zaskarżona decyzja nie
narusza prawa przeto skarga, jako niezasadna, została oddalona na podstawie art. 27 ust. l
ustawy o Naczelnym Sądzie Administracyjnym.
4.
1.2. Prywatność
Dobrem osobistym, które nie jest przewidziane w katalogu kodeksowym, jest prywatność. Zasługuje ona
na szczególne wyróżnienie w tym opracowaniu, ze względu na rozwój „społeczeństwa informacyjnego”,
którego członkowie zyskują coraz większe techniczne możliwości ingerowania w to dobro. Ochrona
prawa do prywatności jest regulowana w sposób bardzo rozbudowany. Przepisy poświęcone prawu do
prywatności znalazły się w umowach międzynarodowych dotyczących praw człowieka, np. w Europejskiej
Konwencji Praw Człowieka, znalazły się również w prawie Unii Europejskiej, w Konstytucji Rzeczypospolitej
Polskiej i szeregu ustaw szczegółowych, jak np. w prawie prasowym. Cywilnoprawnej ochronie prawa do
prywatności, jako dobra osobistego człowieka, towarzyszy również administracyjno-prawna ochrona
danych osobowych (której poświęcono oddzielny rozdział niniejszego opracowania). Wsparciem dla
ochrony prywatności są również niektóre przepisy prawa karnego.
W zakresie
prawa do prywatności, jako podstawowego prawa człowieka, warto odesłać do art. 8 Konwencji
o ochronie praw człowieka i podstawowych wolności (Europejskiej Konwencji Praw Człowieka), z którego
wynika, że każdemu przysługuje prawo do poszanowania swojego życia prywatnego i rodzinnego, swo
-
jego mieszkania i swojej korespondencji. Jednocześnie przepis ten wprowadza zasadę, zgodnie z którą
niedopuszczalna jest ingerencja władzy publicznej w korzystanie ze wspomnianego prawa, z wyjątkiem
przypadków przewidzianych przez ustawę i koniecznych w demokratycznym społeczeństwie z uwagi
na bezpieczeństwo państwowe, bezpieczeństwo publiczne lub dobrobyt gospodarczy kraju, ochronę
porządku i zapobieganie przestępstwom, ochronę zdrowia i moralności lub ochronę praw i wolności osób.
Prawo do prywatności może być więc ograniczone, ale po spełnieniu szeregu warunków.
Na tle tego przepisu zapadały już orzeczenia Europejskiego Trybunału Praw Człowieka, które warto przy
-
wołać w kontekście ochrony prywatności w „społeczeństwie informacyjnym”. Trybunał uznał na przykład,
że doszło do naruszenia art. 8 Konwencji w sprawie, w której chodziło o monitorowanie pracownicy jednej
z brytyjskich uczelni (ustalono w trakcie procesu, że monitoring polegał m.in. na sprawdzaniu odwiedza-
nych przez skarżącą witryn internetowych, analizowano daty i czas odwiedzin tych witryn, monitorowano
również aktywność związaną z wykorzystywaniem przez nią poczty elektronicznej)
9
.
6
Wyrok Sądu Apelacyjnego w Krakowie z dnia 20 lipca 2004 r., sygn. I ACa 564/04
7
Wyrok Sądu Apelacyjnego w Warszawie z dnia 14 marca 2006 r., sygn. VI ACa 1012/2005
8
Wyrok Sądu Apelacyjnego w Poznaniu z dnia 22 października 1991 r., sygn. I ACr 400/90
9
Wyrok Europejskiego Trybunału Praw Człowieka z dnia 3 kwietnia 2007 r. w sprawie Copland v. the United Kingdom (no.
62617/00)
6
Ochrona dóbr osobistych i danych osobowych
www.parp.gov.pl
www.web.gov.pl
Przepisy Konstytucji RP przewidują szereg przepisów, które dotyczą prywatności. Przepisy te dają pod-
stawę do dalszych regulacji tej kwestii w przepisach rangi ustawowej. Należy jednak pamiętać, że to wła-
śnie w Konstytucji znalazło się prawo do ochrony prawnej życia prywatnego, rodzinnego, czci i dobrego
imienia oraz do decydowania o swoim życiu osobistym, tam też znalazły się gwarancje wolności komuni-
kowania się i ochrony tajemnicy takiego komunikowania, gwarancje wolności wyrażania poglądów oraz
pozyskiwania i rozpowszechniania informacji, a także gwarancje ochrony konsumenta przed działaniami
zagrażającymi jego prywatności.
Co odnotowano już w pierwszej części tego opracowania (por. rozdział 1.4) - w prawie Unii Europejskiej
problematyka ochrony prywatności pojawia się również w szeregu aktów prawnych.
W konsekwencji rozlicznych regulacji dotyczących prawa do prywatności przepisy dotyczące tej sfery zna-
lazły się również w przepisach rangi ustawowej, wśród których należy wymienić ustawę Prawo prasowe,
ustawę Prawo telekomunikacyjne, ustawę o zwalczaniu nieuczciwej konkurencji, czy ustawę o świadcze
-
niu usług drogą elektroniczną.
Prywatność jest dobrem osobistym człowieka i podlega ochronie na podstawie przepisów Kodeksu cywil-
nego
. Ma to swoje uzasadnienie w ugruntowanym już orzecznictwie Sądu Najwyższego i innych sądów.
Zgodnie z podstawowym dla tej problematyki orzeczeniem Sądu Najwyższego
10
: „Otwarty katalog dóbr
osobistych (art. 23 i 24 kc) obejmuje także dobra osobiste związane ze sferą życia prywatnego, rodzinnego,
ze sferą intymności. Ochrona w tym zakresie może odnosić się do wypadków ujawnienia faktów z życia
osobistego i rodzinnego, nadużywania uzyskanych informacji, zbierania w drodze prywatnych wywiadów
informacji
i ocen ze sfery intymności, aby je opublikować lub w inny sposób rozgłaszać”.
Problematyka ochrony prywatności zaczyna również pojawiać się w orzeczeniach sądowych, które dotyczą
szeroko pojętego „społeczeństwa informacyjnego”. Wypada tu odnotować np. wyrok Sądu Apelacyjnego
w Warszawie
11
, który uznał, że przesyłanie krótkich wiadomości tekstowych (SMS) do byłego współpra-
cownika, stanowiło w tej konkretnej sprawie naruszenie prawa do prywatności. W sprawie istotne było
to, że wiadomości przesyłano w dłuższym czasie; chociaż abonent telefonu komórkowego domagał się
zaprzestania takiego procederu, przesyłający nie spełnili tej prośby, wiadomości te miały charakter „mobi-
lizujący do aktywności”, chociaż osoba, która otrzymywała wiadomości (niektóre dochodziły o 5.00 czy
6.00 rano) nie współpracowała już wówczas z wysyłającym je podmiotem. Tego typu wyroki dają również
podstawę do formułowania tezy, że na podstawie przepisów o ochronie dóbr osobistych, w szczególności
prawa do prywatności, można walczyć ze zjawiskiem przesyłania niezamówionej korespondencji elektronicznej (czyli ze
„spamem”; problematyce tej poświęcone będą również rozważania na gruncie przepisów
o świadczeniu usług drogą elektroniczną w dalszej części niniejszego opracowania, por. rozdział 4,5,6).
https://www.web.gov.pl/g2/big/2009_12/f9bd6afc4332ed9235eeb3f832259cf2.pdf
5.
Art. 1 ust. 1 i art. 6 ust. 1 pkt 1 lit. a i b oraz pkt 3 lit. c ustawy z dnia 6 września 2001 r.
o dostępie do informacji publicznej (Dz. U. Nr 112, poz. 1198, z 2002 r. Nr 153, poz.
1271, z 2004 r. Nr 240, poz. 2407, z 2005 r. Nr 64, poz. 565 i Nr 132, poz. 1110, z 2010 r.
Nr 182, poz. 1228, z 2011 r. Nr 204, poz. 1195 oraz z 2012 r. poz. 908), rozumiane w ten
sposób, że kwalifikują dane, które stanowią element procesu wykonywania
kompetencji Prezydenta Rzeczypospolitej określonej w art. 144 ust. 3 pkt 6 Konstytucji,
jako informacje publiczne podlegające udostępnieniu w trybie ustawy o dostępie do
informacji publicznej, nie są niezgodne z art. 144 ust. 3 pkt 6 w związku z art. 122 ust. 1
Konstytucji Rzeczypospolitej Polskiej.
6.
Opracowano na podstawie: t.j. Dz. U. z 2015 r. poz. 2058, z 2016 r. poz. 34, 352, 996.
7. Lędziny 302
8. Art. 4.
1. Jeżeli ustawa wymaga uzyskania zgody usługobiorcy, to zgoda ta:
1) nie może być domniemana lub dorozumiana z oświadczenia woli o innej treści;
2) może być odwołana w każdym czasie.
2. Usługodawca wykazuje uzyskanie zgody, o której mowa w ust. 1, dla celów
dowodowych.
9.
Art. 10.
1. Zakazane jest przesyłanie niezamówionej informacji handlowej skierowanej do
oznaczonego odbiorcy będącego osobą fizyczną za pomocą środków komunikacji
elektronicznej, w szczególności poczty elektronicznej.
Punkt pierwszy art. 10 polega na zakazie przesyłania informacji, których nie zamawiano,
zwłaszcza za pomocą poczty elektronicznej.
Jaki jest termin realizacji
Maksymalnie 30 dni od dnia złożenia wniosku. Termin ten może się wydłużyć
w szczególnych przypadkach, o czym poinformuje cię urzędnik.
https://www.biznes.gov.pl/przedsiebiorcy/
12. E-
usługi w obszarze komunikacji internetowej, w tym:
serwis umożliwiający komunikowanie się osób przez telefony komórkowe
przy pomocy protokołu bluetooth − bezpłatna alternatywa komunikacji na
bardzo bliską odległość (model C2C)
usługi videostream, rozumiane jako usługi wideokonferencji albo
telekonferencji lub transmisji on-
line i wirtualne pokoje spotkań, gdzie
można wymieniać się dokumentami (model B2B)
wyszukiwarka osób w Internecie, pozwalająca ominąć gąszcz informacji
poprzez filtrowanie niepotrzebnych danych (model B2C)
serwisy ogłoszeniowe w Internecie, klasyczna forma kojarzenia nabywców
i odbiorców dóbr materialnych i niematerialnych (model mieszany
B2B/B2C/C2C/C2B)
13. Szyfrowanie – utajnianie transmisji danych w internecie
Do utajniania transmisji danych w internecie używa się przeważnie protokołu SSL (Secure
Socket Layer), który szyfruje informacje przekazywane z przeglądarki internetowej do
serwera i w odwrotnym kierunku. Począwszy od wersji 3 protokół SSL jest rozwijany jako
TLS (Transport Layer Security). Zabezpiecza tylko kanał transmisyjny. Odbierając dane,
serwer docelowy deszyfruje je i zapisuje w loklnym systemie plików.
Szyfrowanie TLS stosuje się obecnie przeważnie w połączeniu z HTTPS – protokołem
komunikacyjnym do bezpiecznego przesyłania danych w sieci WWW. Gdy internauta
przywołuje witrynę internetową poprzez SSL, używa tych samych elementów protokołu
HTTP, którymi zazwyczaj odwołuje się do serwera WWW. Różnica polega na tym, że tym
razem wymiana danych odbywa się przez zaszyfrowany kanał. Zatem nazwa HTTPS
umieszczona na początku adresu URL (zamiast HTTP) nie oznacza innego protokołu, lecz
sygnalizuje szyfrowanie.
Większość serwerów WWW obsługuje TLS 1.0, niektóre ponadto SSLv2 i SSLv3 z różnymi
algorytmami szyfrującymi. Tymczasem prawie wszystkie przeglądarki internetowe preferują
TLS z szyfrowaniem RSA i AES. SSL znajduje ponadto zastosowanie m.in. w serwerach
poczty elektronicznej, aplikacjach internetowych i komunikacji między serwerami.
Szyfrowanie – utajnianie poczty elektronicznej
Rozpatrując bezpieczeństwo poczty elektronicznej, należy rozróżnić dwa aspekty –
szyfrowanie transmisji danych i szyfrowanie treści wiadomości. Za bezpieczne przesyłanie
danych w wielu urządzeniach odpowiadają łącza SSL, jednak w niektórych trzeba ręcznie
włączyć tę funkcję. Sprawdź więc w ustawieniach poczty, czy jest uaktywniona opcja
SSL/TLS.
Oprócz transmisji danych można szyfrować ponadto treść przesyłanych depesz. Zadanie to
można zrealizować za pomocą algorytmu S/MIME lub PGP (GPG), o których mowa
powyżej. W obu wypadkach są do dyspozycji asymetryczne metody szyfrowania, które nadal
uchodzą za bezpieczne. Są zaimplementowane we wtyczkach do popularnych programów
pocztowych takich jak np.
Szyfrowanie korespondencji ma dwie zasadnicze wady. Choć są dostępne szczegółowe
instrukcje, instalowanie wymaganych narzędzi okazuje się zbyt trudne dla początkujących
użytkowników. Na domiar złego nie wystarczy wyposażyć komputera nadawcy w wirtualny
pęk kluczy. Również klienty pocztowe u odbiorców muszą obsługiwać PGP lub S/MIME.
Tylko wówczas można wymieniać się zaszyfrowaną korespondencją. Dlatego opisane metody
nie cieszą się dużą popularnością w sektorze użytkowników prywatnych.