Decyzja Prezesa Urzędu Ochrony Danych Osobowych z dnia 7 października 2021r.
Profil marketingowy to dane osobowe i osoba, której dotyczy, ma prawo się z nim zapoznać
ZSPR.440.331.2019.PR.PAM
15/02/2022
PUODO nakazał Spółce udostępnienie skarżącej, informacji o kategoriach marketingowych (profilu behawioralnym) przypisanych jej na podstawie plików cookies, oraz wskazanie jakie dotyczące jej informacje zostały połączone z informacjami wynikającymi z plików cookies.
Warszawa, 7 października 2021 r.
ZSPR.440.331.2019.PR.PAM
DECYZJA
Na podstawie art. 104 § 1 ustawy z dnia 14 czerwca 1960 r. Kodeks postępowania administracyjnego (Dz. U. z 2021 r., poz. 735 tj.) w zw. Z art. 7 ust 1 ustawy o ochronie danych osobowych z dnia 10 maja 2018 roku (Dz. U. z 2019 r. poz. 1781), art. 15 ust. 1 oraz art. 58 ust. 2 lit. c rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych), (Dz. Urz. UE L 119 z 4.05.2016, str. 1, Dz. Urz. UE L 127 z 23.05.2018, str. 2 oraz Dz. Urz. UE L 74 z 4.03.2021, str. 35), po przeprowadzeniu postępowania administracyjnego w sprawie skargi Pani K. I., na nieprawidłowości w procesie przetwarzania jej danych osobowych polegające na niewypełnieniu wobec niej obowiązku wynikającego z art. 15 ust. 1 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych), (Dz. Urz. UE L 119 z 4.05.2016, str. 1, Dz. Urz. UE L 127 z 23.05.2018, str. 2 oraz Dz. Urz. UE L 74 z 4.03.2021, str. 35) przez G.I. Sp. z o.o. sp. k., Prezes Urzędu Ochrony Danych Osobowych
- nakazuje G. I. Sp. z o.o. sp. k., udostępnienie Pani K. I., informacji o kategoriach marketingowych (profil behawioralnym) przypisanych jej na podstawie plików cookies, oraz wskazanie jakie dotyczące jej informacje zostały połączone z informacjami wynikającymi z plików cookies,
- odmawia uwzględnienia wniosku w pozostałym zakresie.
Uzasadnienie
Do Urzędu Ochrony Danych Osobowych wpłynęła skarga Pani K. I., zwaną dalej Skarżącą, na nieprawidłowości w procesie przetwarzania jej danych osobowych polegające na niewypełnieniu wobec niej obowiązku wynikającego z art. 15 ust. 1 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych), (Dz. Urz. UE L 119 z 4.05.2016, str. 1, Dz. Urz. UE L 127 z 23.05.2018, str. 2 oraz Dz. Urz. UE L 74 z 4.03.2021, str. 35), zwanego dalej: rozporządzeniem 2016/679, przez G. I. Sp. z o.o. sp. k., zwanej dalej: Spółką.
W toku przeprowadzonego postępowania wyjaśniającego w niniejszej sprawie Prezes Urzędu Ochrony Danych Osobowych ustalił następujący stan faktyczny:
- Spółka pozyskała dane osobowe Skarżącej, zapisane w plikach cookies, za pomocą urządzenia końcowego, którego Skarżąca jest użytkownikiem, w związku z przeglądaniem stron portalu. Dane na temat tego urządzenia końcowego były zapisywane automatycznie w związku z przeglądaniem stron ww. portalu (dowód: wyjaśnienia Spółki).
- Spółka przetwarza dane osobowe Skarżącej w celu świadczenia usług dostępu do zasobów portalu internetowego, serwisów i aplikacji, a także realizacji prawnie uzasadnionego interesu w zakresie wykrywania i zapobiegania nadużyciom w sieci telekomunikacyjnej dla celów analitycznych i dopasowywania wyświetlania reklamy internetowej. Spółka w swoich wyjaśnieniach wskazuje również, że o ile Skarżąca nie usunęła plików cookies z przeglądarki, to jej dane w tym zakresie nadal są przetwarzane przez Spółkę. Ponadto, Spółka oświadczyła, że przekazany przez Skarżącą zestaw plików cookies nie wskazuje, aby wobec Skarżącej Spółka wykonywała czynności związane z targetowaniem materiałów reklamowych (dowód: wyjaśnienia Spółki).
- Spółka nie udostępnia plików cookies innym podmiotom, natomiast umożliwia takim podmiotom (z którymi zawiera pisemne umowy), osadzanie plików cookies w swojej domenie poprzez dostarczanie jej określonych funkcjonalności. Następnie pracownicy Spółki osadzają skrypt na stronach internetowych (bezpośrednio w kodach tych stron) w domenie …. Osadzone pliki stanowią wewnętrzny mechanizm danego partnera i są pod jego kontrolą. Konkretne podmioty są odpowiedzialne za zapewnienie określonych funkcji użytkownikom, zgodnie z ich potrzebami (dowód: pismo Spółki z dnia … lutego 2020 r.).
- Spółka nie ma wpływu na ustalany przez konkretne podmioty (z którymi zawiera umowy) proces wykorzystywania technologii cookie i podobnych technologii, który odbywa się na zasadach komunikacji skryptu z urządzeniami końcowymi i stronami internetowymi, na których został osadzony. Za pomocą języka Java Script Spółka może tworzyć, modyfikować pliki cookies pochodzące od innych podmiotów. Spółka ma widok na pliki cookies innych podmiotów w takiej samej formie co użytkownicy końcowi (tj. ciąg znaków) i bez względu na ewentualne zmiany, które w tym miejscu wprowadza, nie ma wiedzy i wpływu na działanie oraz wywoływane zmiany przez te pliki cookies (dowód: pismo Spółki z dnia … lutego 2020 r.).
- Skarżąca w dniu … lipca 2018 r. wystąpiła do Spółki o udostępnienie kopii jej danych osobowych, a także o udzielenie informacji na temat ich przetwarzania w zakresie: jakiej jej dane osobowe są przetwarzane, podstaw prawnych i celów przetwarzania w kontekście poszczególnych grup plików cookies (jeśli ma to miejsce również innych jej danych), źródeł pozyskania jej danych, odbiorców jej danych osobowych, informacji o profilowaniu i zautomatyzowanym podejmowaniu decyzji w kontekście wyświetlanych jej treści w oparciu o informacje zgromadzone przez Spółkę oraz dotyczących treści jej danych osobowych, w szczególności tego, jakie kategorie marketingowe (profil behawioralny) został jej przypisany na podstawie plików cookies oraz z jakimi innymi informacjami o Skarżącej zostały połączone informacje wynikające z tych plików cookies. Spółka po weryfikacji tożsamości Skarżącej (tj. po przesłaniu przez nią „pod rygorem odpowiedzialności karnej” oświadczenia, dotyczącego braku ingerencji w zasoby plików cookies przesłanych Spółce) oraz po uzyskaniu od Skarżącej informacji o nieużywaniu przez nią programu blokującego udzieliła jej w dniu września 2018 r. informacji na temat:
- administratora jej danych osobowych,
- celu przetwarzania danych osobowych (świadczenie usług dostępu do zasobów portalu internetowego, serwisów i aplikacji, a także wykrywanie i zapobieganie nadużyciom w sieci telekomunikacyjnej, dla celów analitycznych i dopasowania wyświetlania reklamowy internetowej)
- źródła pozyskania danych osobowych (użytkownik/urządzenie końcowe),
- kategorii przetwarzania danych osobowych (identyfikatory zapisane w technologii cookies),
- odbiorców jej danych osobowych (…),
- okresu przechowywania danych osobowych (w zależności od okresu życia pliku cookies),
- informacji o prawach (żądania dostępu, sprostowania, usunięcia, ograniczenia przetwarzania danych, złożenia sprzeciwu wobec przetwarzania danych, przenoszenia danych do innego administratora oraz wniesienia skargi do organu nadzorczego),
- zautomatyzowanego podejmowania decyzji, w tym profilowania (brak przetwarzania danych w ten sposób),
- transferu danych osobowych do Państwa trzeciego [adres IP jest transferowany do … przez …, na zlecenie … będzie te dane wykorzystywać do dokonywania analiz użytkowania strony, tworzenie raportów dotyczących aktywności na stronie oraz świadczenia innych usług związanych z wykorzystaniem strony i korzystaniem z internetu. Pozyskane dane nie są łączone przez … z innymi danymi] (dowód: wyjaśnienia Spółki i załączniki do tych wyjaśnień oraz treść skargi i załączniki do tych wyjaśnień).
- Skarżąca zakwestionowała kompletność informacji udzielonych przez Spółkę i dnia … września 2018 r. ponownie wystąpiła do podmiotu o udzielenie jej informacji o kategoriach marketingowych (profilu behawioralnym), jakie zostały jej przypisane na podstawie plików cookies oraz z jakimi innymi informacjami o Skarżącej zostały połączone informacje wynikające z tych plików cookies. W odpowiedzi z dnia … września 2018 r. Spółka wskazała Skarżącej, że w treści ww. pliku przesłanego jej dnia … września 2018 r., zawarto wszystkie informacje, których żądała, w szczególności o źródle pozyskania jej danych osobowych, o odbiorcach tych danych oraz dotyczących stosowania lub niestosowania profilowania (dowód: wyjaśnienia Spółki oraz treść skargi i załączniki do tych wyjaśnień).
Po rozpatrzeniu zgromadzonego w sprawie materiału dowodowego Prezes Urzędu Ochrony Danych Osobowych zważył, co następuje. Zgodnie z art. 15 ust. 1 rozporządzenia 2016/679 osoby, której dane dotyczą, jest uprawniona do uzyskania od administratora potwierdzenia, czy przetwarzane są dane osobowe jej dotyczące, a jeżeli ma to miejsce, jest uprawniona do uzyskania dostępu do nich oraz do informacji o:celach ich przetwarzania (lit. a), kategoriach odnośnych danych osobowych (lit. b), odbiorcach lub kategoriach odbiorców, których dane osobowe zostały lub zostaną ujawnione, w szczególności o odbiorcach w państwach trzecich lub organizacjach międzynarodowych (lit. c), w miarę możliwości o planowanym okresie przechowywania danych osobowych, a gdy nie jest to możliwe, o kryteriach ustalania tego okresu (lit. d), prawie do żądania od administratora sprostowania, usunięcia lub ograniczenia przetwarzania danych osobowych dotyczącego osoby, której dane dotyczą, oraz do wniesienia sprzeciwu wobec takiego przetwarzania (lit. e), prawie do wniesienia skargi do organu nadzorczego (lit. f), jeżeli dane osobowe nie zostały zebrane od osoby, której dane dotyczą o wszelkich dostępnych informacji o ich źródle (lit. g), zautomatyzowanym podejmowaniu decyzji, w tym o profilowaniu, o którym mowa w art. 22 ust. 1 i 4 oraz – przynajmniej w tych przypadkach o istotnych informacjach o zasadach ich podejmowania, a także o znaczeniu i przewidywanych konsekwencjach takiego przetwarzania dla osoby, której dane dotyczą (lit. h). Zgodnie z kolei z art. 12 ust. 1 rozporządzenia 2016/679, administrator podejmuje odpowiednie środki, aby w zwięzłej, przejrzystej, zrozumiałej i łatwo dostępnej formie, jasnym i prostym językiem – w szczególności gdy informacje są kierowane do dziecka - udzielić osobie, której dane dotyczą, wszelkich informacji, o których mowa w art. 13 i 14, oraz prowadzić z nią wszelką komunikację na mocy art. 15-22 i 34 w sprawie przetwarzania.
Artykuł 15 ust. 1 rozporządzenia 2016/679 nie wprowadza żadnych formalnych ograniczeń, dotyczących ilości informacji udostępnianych w ramach prawa do dostępu do danych, a także limitów zapytań czy wniosków, a także dotyczy on udzielenia informacji o wszystkich kategoriach danych i nie ogranicza prawa osoby, której te dane dotyczą dostępu do określonych ich kategorii. W dniu … lipca 2018 r. Skarżąca wystąpiła do Spółki, na podstawie art. 15 rozporządzenia 2016/679, o udostępnienie jej kopii danych osobowych, a także o udzielenie informacji na temat przetwarzania jej danych, dotyczących m in. kategorii marketingowych (profilu behawioralnego), jakie zostały jej przypisane na podstawie plików cookies oraz z jakimi innymi informacjami o niej zostały połączone informacje wynikające z tych plików cookies.
W tym miejscu należy wskazać, że profil behawioralny tworzony jest poprzez dostosowanie reklamy do tematyki interesującej internautę, a proces ten bazuje na zachowaniu użytkownika Internetu, a następnie na wyświetlaniu reklam o tematyce, której użytkownik ten poświęca dużą część czasu w trakcie korzystania z Internetu. Zbieranie informacji na temat użytkownika nierozerwalnie wiąże się z profilowaniem, którego kluczowym celem jest dopasowanie właściwej reklamy do określonej osoby, na podstawie wnioskowania o spodziewanych cechach i potrzebach tej osoby.
W myśl art. 12 ust. 3 rozporządzenia 2016/679, administrator bez zbędnej zwłoki – a w każdym razie w terminie miesiąca od otrzymania żądania – udziela osobie, której dane dotyczą, informacji o działaniach podjętych w związku z żądaniem na podstawie art. 15-22. W razie potrzeby termin ten można przedłużyć o kolejne dwa miesiące z uwagi na skomplikowany charakter żądania lub liczbę żądań. W terminie miesiąca od otrzymania żądania administrator informuję osobę, której dane dotyczą o takim przedłużeniu terminu, z podaniem przyczyn opóźnienia. Jednocześnie, należy wskazać, że ust. 1 powyższego przepisu stanowi, że informacji udziela się na piśmie lub w inny sposób, w tym w stosownych przypadkach – elektroniczne. Ponadto, stosownie do art. 5 ust. 1 lit. a rozporządzenia 2016/679, dane osobowe muszą być przetwarzane zgodnie z prawem, rzetelnie i w sposób przejrzysty dla osoby, której dane dotyczą. Tym samym administrator realizując obowiązek zapewnienia dostępu do danych oraz udzielania informacji na ich temat powinien kierować się m. in. zasadą rzetelności i przejrzystości, przede wszystkim w zakresie udzielania informacji na temat przetwarzanych danych osobowych. Ponadto, należy zgodzić się z opinią wyrażoną w piśmiennictwie, że cyt.: „[p]oinformowanie o okolicznościach przetwarzania danych osobowych zmniejsza niepewność podmiotu danych co to tego, w jaki sposób konkretny administrator dysponuje jej sferą informacyjną” (M. Sakowska-Baryła, Ogólne rozporządzenie o ochronie danych osobowych. Komentarz, Warszawa 2018, s. 230). Brak jednolitego, przejrzystego i rzetelnego stanowiska Spółki, co do treści przetwarzania danych osobowych, w szczególności tego, jakie kategorie marketingowe (profil behawioralny) zostały przypisane na podstawie plików cookies oraz z jakimi innymi informacjami o konkretnej osobie zostały połączone informacje wynikające z tych plików cookies, taką niepewność stwarza. Jak wskazano bowiem w wyroku TSUE z dnia 1 października 2019 r., w sprawie C-673/17, przekazywane informacje muszą być wyraźne, zrozumiałe i wystarczająco dokładne, aby umożliwić użytkownikowi zrozumienie funkcjonowania plików cookie, które są wykorzystywane.
Spółka udzieliła odpowiedzi na przedmiotowy wniosek Skarżącej w dniu … września 2018 r., w treści której wskazano m. in., że przetwarza jej dane osobowe w celu dopasowywania wyświetlania reklamy internetowej oraz poinformowano Skarżącą o kategorii przetwarzanych danych osobowych (identyfikatorach zapisanych w technologii cookies), jak również o niepodejmowaniu względem jej danych osobowych decyzji w sposób zautomatyzowany, w tym niestosowania względem tych danych profilowania. Jednakże w ocenie organu nadzorczego Spółka nie udzieliła jednak Skarżącej kompletnej informacji wynikającej z art. 15 ust. 1 rozporządzenia 2016/679. W odpowiedzi na jej żądania brak jest bowiem informacji na temat kategorii marketingowych (profilu behawioralnego), jakie zostały jej przypisane na podstawie plików cookies oraz tego, z jakimi innymi informacjami o niej zostały połączone informacje wynikające z tych plików cookies. Spółka w treści wyjaśnień złożonych w toku niniejszego postępowania wskazuje natomiast, że przetwarza dane osobowe Skarżącej m. in. w celu dopasowywania wyświetlania reklamy internetowej. W tych samych wyjaśnieniach Spółka podnosi okoliczności, iż (zarazem) przekazany przez Skarżącą zestaw plików cookies nie wskazuje, aby wobec Skarżącej Spółka wykonywała czynności związane z targetowaniem materiałów reklamowych. Tym samym w kwestii tej. w ocenie Prezesa UODO, Spółka nie zaprzecza też, że dane osobowe Skarżącej są wykorzystywane do tworzenia profilu behawioralnego pod kątem personalizacji reklam na administrowanym przez nią portalu. Zdaniem Prezesa UODO takie stwierdzenia obligują go do uznania, że kwestionowane przez Skarżącą przetwarzanie danych osobowych istnieje, zaś Spółka co prawda nie potrafi przy tym jednoznacznie go zidentyfikować, co nie wyklucza dochowania obowiązku dopełnienia obowiązku informacyjnego, o który wnosi Skarżąca. Spółka nie udzieliła informacji Skarżącej w tym zakresie.
Mając na uwadze powyższe ustalenia, należy stwierdzić, że zaistniała przesłanka do zastosowania przez organ nadzorczy uprawnienia, o którym mowa w art. 58 ust. 2 lit. c rozporządzenia 2016/679i nakazania Spółce udostępnienia Skarżącej informacji, dotyczących kategorii marketingowych (profilu behawioralnego), jakie zostały jej przypisane przez na podstawie pozyskanych plików cookies oraz z jakimi innymi informacjami o niej zostały połączone informacje wynikające z tych plików cookies.
Ponadto, należy zwrócić uwagę, że informacja kierowana do Skarżącej powinna zostać udzielona w sposób zwięzły, przejrzysty, zrozumiały i łatwo dostępnej formie, jasnym i prostym językiem. Spółka w swojej informacji powinna dokładnie opisać profil behawioralny Skarżącej stworzony przez Spółkę na podstawie jej aktywności internetowej, konkretnie wskazując na kategorie marketingowe, jakie zostały jej przypisane na podstawie pozyskanych plików cookies oraz jakie informacje o niej zostały połączone z informacjami wynikającymi z tych plików. Jeżeli zaś Spółka nie przetwarza danych osobowych Skarżącej w sposób opisany powyżej, tj. nie stworzyła względem Skarżącej profilu behawioralnego, na podstawie pozyskanych plików cookies w celu wyświetlania reklam dopasowanych do jej potrzeb, powinna o tym jednoznacznie poinformować Skarżącą wraz ze wskazaniem, w jaki sposób przetwarzane są jej dane osobowe pozyskane w formie identyfikatorów zapisanych w technologii cookies oraz na czym polega przetwarzanie danych osobowych Skarżącej w celu dopasowywania wyświetlania reklamy internetowej. Jednocześnie, w ocenie organu nadzorczego, w ramach ww. zasady udzielania informacji w sposób zrozumiały i przejrzysty Spółka, udzielając odpowiedzi na pytania Skarżącej powinna wskazać na zasady możliwości tworzenia jej profili behawioralnych przez podmioty, z którymi Spółka zawiera umowy (partnerów Spółki), za pomocą skryptów umieszczanych w kodach stron internetowych, znajdujących się w domenie Spółki. Informacja udzielona przez Spółkę powinna być bowiem w pełni zrozumiała dla Skarżącej i nie powinna stwarzać wątpliwości co do celu i sposobu przetwarzania jej danych osobowych pozyskanych w formie plików cookies.
W dalszej kolejności należy zwrócić uwagę, że wniosek Skarżącej z dnia lipca 2018 r., dotyczył również udzielenia jej innych informacji na temat przetwarzania jej danych tj. jakie jej dane osobowe są przetwarzane, podstaw prawnych i celów przetwarzania w kontekście poszczególnych grup plików cookies (jeśli ma to miejsce również innych jej danych), źródeł pozyskania jej danych, odbiorców jej danych osobowych, informacji o profilowaniu i zautomatyzowanym podejmowaniu decyzji w kontekście wyświetlanych jej treści w oparciu o informacje zgromadzone przez Spółkę. W odpowiedzi Spółka w dniu … września 2018 r. wskazała Skarżącej informacje na temat administratora danych osobowych, źródła pochodzenia, odbiorców jej danych, transferu danych osobowych do Państwa trzeciego, okresu przechowywania danych osobowych, praw przysługujących osobom, których dane osobowe są przetwarzane, zautomatyzowanego podejmowania decyzji, w tym profilowania, kategorii przetwarzanych danych osobowych (identyfikatory zapiane w technologii cookies), a także celu przetwarzania danych osobowych (świadczenia usług dostępu do zasobów portalu internetowego, serwisów i aplikacji, a także wykrywanie i zapobieganie nadużyciom w sieci telekomunikacyjnej, dla celów analitycznych i dopasowywania wyświetlania reklamy internetowej). Przedmiotowe informacje zostały przedstawione Skarżącej w zwięzłej, przejrzystej, zrozumiałej i łatwo dostępnej formie, jasnym i prostym językiem. Tym samym należy stwierdzić, że Spółka w powyższym zakresie w należyty sposób wypełniła względem Skarżącej obowiązek wynikający z art. 15 ust. 1 rozporządzenia 2016/679, tym samym niezasadnym byłoby nakazanie Spółce w tym zakresie spełnienia żądania Skarżącej.
W tym stanie faktycznym i prawnym Prezes Urzędu Ochrony Danych Osobowych rozstrzygnął, jak w sentencji.
Decyzja jest ostateczna. Na podstawie art. 7 ust. 2 ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych (Dz. U. z 2019 r. poz. 1781 t.j.) w zw. Z art. 13 § 2 art. 53 § 1 oraz art. 54 ustawy z dnia 30 sierpnia 2002 r. Prawo o postępowaniu przed sądami administracyjnymi (Dz. U. z 2019 r. poz. 2325 ze zm.), stronie niezadowolonej z niniejszej decyzji przysługuje prawo wniesienia skargi do Wojewódzkiego Sądu Administracyjnego w Warszawie w terminie 30 dni od dnia doręczenia jej stronie. Skargę wnosi się za pośrednictwem Prezesa Urzędu Ochrony Danych Osobowych (adres: Urząd Ochrony Danych Osobowych, ul. Stawki 2, 00-193 Warszawa). Wpis od skargi wynosi 200 złotych. Strona ma prawo ubiegania się o prawo pomocy w tym zwolnienie od kosztów sądowych.