Czy osoba pragnąca skorzystać ze swoich uprawnień w zakresie danych osobowych musi wysyłać korespondencję na adres z KRS spółki będącej administratorem? Jeśli spółka prowadzi działalność w różnych placówkach, pod wieloma adresami, a żądanie dotyczy działalności tej konkretnej placówki? Czy jednak doręczenie żądania wynikającego z RODO pod adres takiej placówki pozwala przyjąć, że administrator je otrzymał? (nieprawomocny wyrok WSA w Warszawie z 9 lipca 2024 r., II SA/Wa 218/24).
Orzeczenie dotyczyło jeszcze jednego filozoficznego pytania: czy żądanie wypełnienia przez obowiązków wynikających z RODO powinno być wysłane na adres spółki będącej administratorem? Czy jednak spółka, która prowadzi działalność pod wieloma adresami, powinna ogarniać takie rzeczy w wielu miejscach?
opis stanu faktycznego:
- sprawa zaczęła się od niesprecyzowanego zdarzenia w sklepie z udziałem klientki (można rzec, że owo zdarzenie spowodowało jakąś szkodę);
- ponieważ w obiekcie był monitoring, kobieta poprosiła sklep o kopię nagrania utrwalonego w konkretnym dniu i godzinie;
- w odpowiedzi spółka zażądała przedstawienia kopii paragonu dokumentującego zakupy oraz informacji komu i kiedy zdarzenie zgłosiła;
- kobieta odparła, że paragonu nie ma, a nikt z personelu nie reagował, więc zgłoszenia jako takiego nie ma,
- więc odmówiono udostępnienia danych, a kobieta wniosła skargę do PUODO;
- w toku postępowania spółka wyjaśniła, że nagranie już udostępniono, a „opóźnienie” wynikało z faktu, że żądanie wysłane zostało do sklepu, a nie do spółki będącej administratorem danych osobowych (pismo do sklepu wpłynęło w sierpniu, a sklep przekazał je do centrali dopiero w grudniu);
art. 12 ust. 3 RODO
Administrator bez zbędnej zwłoki – a w każdym razie w terminie miesiąca od otrzymania żądania – udziela osobie, której dane dotyczą, informacji o działaniach podjętych w związku z żądaniem na podstawie art. 15–22. […]
art. 15 ust. 3 RODO
Administrator dostarcza osobie, której dane dotyczą, kopię danych osobowych podlegających przetwarzaniu. Za wszelkie kolejne kopie, o które zwróci się osoba, której dane dotyczą, administrator może pobrać opłatę w rozsądnej wysokości wynikającej z kosztów administracyjnych. Jeżeli osoba, której dane dotyczą, zwraca się o kopię drogą elektroniczną i jeżeli nie zaznaczy inaczej, informacji udziela się w powszechnie stosowanej formie elektronicznej.
- jednak PUODO uznał, że taki argument nie zwalnia z obowiązku dostarczenia kopii danych osobowych, zatem w wydanej decyzji udzielił spółce upomnienia;
skarga na decyzję organu:
- we wniesionej do WSA skardze spółka zarzuciła m.in. błędną interpretację pojęcia „otrzymania żądania” — bo skoro administratorem jest spółka, to pismo powinno być wysłane na adres spółki, a nie do jednego ze sklepów prowadzonych przez spółkę;
- zatem należy przyjąć, że administrator otrzymał żądanie w grudniu i od tego czasu należy liczyć termin wynikający z art. 12 ust. 3 RODO;
orzeczenie WSA:
- jednym z obowiązków administratora jest udzielanie zainteresowanym osobom wymaganych informacji, w tym dostarczanie kopii przetwarzanych danych osobowych, najpóźniej w terminie miesiąca od otrzymania żądania;
- nie ma jednak przepisu, który wykluczałby prawidłowość wysłania korespondencji na inny adres administratora, niż ten, który zainteresowana osoba zna — na przykład na adres sklepu prowadzonego przez spółkę;
- sęk w tym, że doręczenie wynikającego z RODO żądania musi umożliwiać administratorowi jego otrzymanie — a skoro sklep pismo dostał, to nie ma wątpliwości, że wpłynęło tam gdzie trzeba;
- spółka powinna przewidzieć, że klient wszelkie sprawy związane z jej działalnością będzie kierował do jednostki organizacyjnej (sklepu, w którym robił zakupy)
- zaś dalsze wewnętrzne procedury przekazywania takich spraw leżą w gestii wewnętrznej organizacji spółki (która, jak przy okazji wytknął WSA, nie miała nawet procedur dotyczących przetwarzania danych z monitoringu);
- nie można się przy tym powołać na wytyczne EROD, iż „administrator nie jest zobowiązany do podjęcia działań w związku z żądaniem przesłanym na przypadkowy lub nieprawidłowy adres e-mail (lub adres pocztowy), który nie został bezpośrednio wskazany przez administratora, lub na jakikolwiek kanał komunikacyjny, który ewidentnie nie jest przeznaczony do otrzymywania żądań dotyczących praw osoby, której dane dotyczą, jeżeli administrator zapewnił odpowiedni kanał komunikacyjny, z którego może skorzystać osoba, której dane dotyczą” — bo sporny adres nie był losowy lub przypadkowy: był to adres sklepu, w którym był monitoring.
Sumarycznie w ocenie WSA pozwala to przyjąć, iż PUODO prawidłowo przyjął, że administrator nie udzielił odpowiedzi we właściwym terminie, zatem udzielenie upomnienia za naruszenie było jak najbardziej prawidłowe.