GI-DEC-DS.-100/04
2007-05-15
Warszawa, dnia 29 kwietnia 2004 r.
DECYZJA
w sprawie przetwarzania danych osobowych klienta banku w celu marketingu produktów i usług podmiotów trzecich.
Na podstawie art. 104 § 1 ustawy z dnia 14 czerwca 1960 r. – Kodeks postępowania administracyjnego (Dz. U. z 2000 r. Nr 98, poz. 1071 z późn. zm.), art. 12 pkt 2, art. 18 ust. 1 pkt 1, w zw. z art. 23 ust. 1 oraz art. 26 ust. 1 pkt 2 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. z 2002 r. Nr 101, poz. 926 z późn. zm.), po przeprowadzeniu postępowania administracyjnego, wszczętego na podstawie skargi, dotyczącej przetwarzania danych osobowych Skarżącego przez Bank S.A.,
1) nakazuję Bankowi S.A., przywrócenie stanu zgodnego z prawem poprzez zaprzestanie przetwarzania danych osobowych Skarżącego, w celu marketingu produktów i usług podmiotów trzecich,
2) w pozostałym zakresie odmawiam uwzględnienia wniosku.
Uzasadnienie
Do Biura Generalnego Inspektora Ochrony Danych Osobowych wpłynęła skarga dotycząca przetwarzania danych osobowych Skarżącego przez Bank S.A.
W szczególności w ww. piśmie, Skarżący wskazał, że „W dniu 20.09.2000 r. zawarłem z Bankiem umowę konta na prowadzenie Gwarantowanej Lokaty Inwestycyjnej Euro Index. Zastrzegłem sobie w umowie punkt 9, że żadne informacje dotyczące tego konta nie będą drukowane i dodatkowo nie będą wykorzystywane moje dane osobowe w celach marketingowych zgodnie z punktem 16 umowy. Przeżyłem szok gdy 12.10.2000 r. otrzymałem z banku informację potwierdzającą przyjęcie mojej lokaty”. Następnie, w dniu 23 września 2003 r. Skarżący otrzymał kolejne pismo „(...) tym razem z Poznania, o mojej lokacie EURO INDEKS, znajdującej się w tym banku”. W piśmie z dnia 13 grudnia 2003 r., skierowanym do Biura GIODO Skarżący podkreślił, że „Administrator danych naruszył moje prawo do ochrony danych osobowych, gdyż poddał je dalszemu przetwarzaniu i naruszył moją wolność osobistą i prawo do prywatności art. 26 ustawy o ochronie danych osobowych)”. Ponadto wyżej wymieniony podniósł, „Nie wyraziłem natomiast zgody (art. 23 ustawy o ochronie danych osobowych) na udostępnianie ich poprzez wysyłanie pocztą na mój adres (...)”.
W celu ustalenia okoliczności sprawy, Generalny Inspektor Ochrony Danych Osobowych wszczął postępowanie administracyjne, w toku którego ustalił, co następuje:
1. w dniu 20 września 2000 r. Skarżący zawarł z Bankiem umowę konta, dotyczącą prowadzenia Gwarantowanej Lokaty Inwestycyjnej EURO INDEX. W pkt 9 przedmiotowej umowy, zapisano m.in., że informacje o stanie salda konta oraz wszelkie inne zawiadomienia i dokumenty związane z prowadzonym kontem – nie będą drukowane. Natomiast, zgodnie z brzmieniem pkt 16 niniejszej umowy, Skarżący nie wyraził zgody na wykorzystanie jego danych osobowych do prowadzenia działalności marketingowej na rzecz spółek zależnych Banku oraz Powszechnego Towarzystwa Emerytalnego, którego akcjonariuszem jest Bank, jak również na udostępnianie tych danych spółkom zależnym Banku oraz Powszechnemu Towarzystwu Emerytalnemu.
2. W dniu 12 października 2000 r. Skarżący otrzymał zawiadomienie z Banku o potwierdzeniu przyjęcia Gwarantowanej Lokaty Inwestycyjnej EURO INDEX, co w ocenie Skarżącego stanowiło naruszenie pkt 9 umowy i na co wskazał w piśmie z dnia 15 października 2000 r., skierowanym do Banku.
3. W dniu 23 września 2003 r. - pomimo wcześniejszego zastrzeżenia i zapewnienia Banku, iż taka sytuacja nie będzie miała miejsca - Skarżący ponownie otrzymał korespondencję z Banku (pismo z dnia 15 września 2003 r.), związaną z Gwarantowaną Lokatą Inwestycyjną EURO INDEX, gdzie Bank reklamował „(...) szeroką ofertę lokat terminowych oraz funduszy inwestycyjnych Arka”.
4. Bank dokonuje sprzedaży jednostek uczestnictwa funduszy inwestycyjnych, na podstawie umowy dystrybucyjnej zawartej pomiędzy Bankiem a Towarzystwem Funduszy Inwestycyjnych S.A. Zgodnie z postanowieniami przedmiotowej umowy, Bank za dokonywanie czynności dystrybutora otrzymuje wynagrodzenie.
5. Bank nie udostępniał danych osobowych Skarżącego innym podmiotom, w tym spółkom zależnym od Banku.
6. Skarżący nie składał sprzeciwu wobec przetwarzania jego danych osobowych w celach marketingu produktów własnych Banku.
Po zapoznaniu się z całością zgromadzonego w sprawie materiału dowodowego Generalny Inspektor Ochrony Danych Osobowych zważył, co następuje:
I. Ustawa z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz.U. z 2002 r. Nr 101, poz. 926 z późn. zm.), zwana dalej ustawą, ustanawia zasady postępowania przy przetwarzaniu danych osobowych, jak również zapewnia ochronę praw osób fizycznych, których dane są lub mogą być przetwarzane w zbiorach danych, co wynika z art. 2 ust. 1 ustawy. Aby przetwarzanie danych było zgodne z prawem, administrator powinien wykazać się spełnieniem przynajmniej jednej z przesłanek, określonych w art. 23 ust. 1 ustawy. Zgodnie z tym przepisem, przetwarzanie danych jest dopuszczalne tylko wtedy, gdy: 1) osoba, której dane dotyczą, wyrazi na to zgodę, chyba że chodzi o usunięcie dotyczących jej danych, 2) zezwalają na to przepisy prawa, 3) jest konieczne do realizacji umowy, gdy osoba, której dane dotyczą, jest jej stroną lub gdy jest to niezbędne do podjęcia koniecznych działań przed zawarciem umowy, 4) jest niezbędne do wykonania określonych prawem zadań realizowanych dla dobra publicznego, 5) jest niezbędne do wypełnienia prawnie usprawiedliwionych celów administratorów danych, o których mowa w art. 3 ust. 2, lub osób trzecich, którym są przekazywane te dane - a przetwarzanie danych nie narusza praw i wolności osoby, której dane dotyczą. Za prawnie usprawiedliwiony cel, o którym mowa w ust. 1 pkt 5, uważa się marketing bezpośredni własnych produktów lub usług administratora danych (art. 23 ust. 4 pkt 1 ustawy).
Z poczynionych w sprawie ustaleń faktycznych wynika, iż Bank przetwarzał dane osobowe Skarżącego, w celu marketingu produktów i usług innych podmiotów bez podstawy prawnej, nie spełnił bowiem żadnej z przesłanek przetwarzania danych osobowych, wymienionych w przepisie art. 23 ust. 1 ustawy.
Okoliczności sprawy wskazują, że podstawą przetwarzania przez Bank danych osobowych Skarżącego jest art. 23 ust. 1 pkt 3 ustawy. Jak bowiem ustalono, Skarżący zawarł z Bankiem umowę konta na prowadzenie Gwarantowanej Lokaty Inwestycyjnej EURO INDEX. Jednakże, z powyższego przepisu ustawy wynika jednocześnie, iż administrator danych może na jego podstawie przetwarzać dane osobowe swojego kontrahenta jedynie w taki sposób, który jest konieczny dla realizacji umowy. Wobec tego stwierdzić należy, że przysłanie Skarżącemu przez Bank informacji reklamujących ofertę funduszy inwestycyjnych, nie było działaniem mieszczącym się w granicach wyznaczonych potrzebami związanymi z realizacją umowy. Równocześnie, przedmiotowe działanie, tj. przetwarzanie danych osobowych Skarżącego w celach marketingu produktów podmiotów trzecich, nie znajdowało podstawy w art. 23 ust. 1 pkt 5, w związku z 23 ust. 4 pkt 1 ustawy. Z brzmienia tych przepisów wyraźnie bowiem wynika, że administrator danych, może je przetwarzać bez zgody osoby, której dane dotyczą wyłącznie w przypadku marketingu bezpośredniego produktów własnych. Tymczasem, analiza materiału zgromadzonego w sprawie wskazuje, że reklama funduszy inwestycyjnych była - wbrew twierdzeniom Banku - marketingiem produktów innego podmiotu, z którym Bank podpisał umowę dystrybucyjną na dokonywanie czynności dystrybutora. Na zaistnienie takiej sytuacji Skarżący nie wyrażał zgody, a zatem przedmiotowe działanie Banku należy uznać za pozbawione podstaw prawnych i w związku z tym za niedopuszczalne. W tym miejscu wskazać należy, iż pod pojęciem zgody osoby, której dane dotyczą, stosownie do ustawowej definicji sformułowanej w art. 7 pkt 5 ustawy, rozumie się oświadczenie woli, którego treścią jest zgoda na przetwarzanie danych osobowych tego, kto składa oświadczenie; zgoda nie może być domniemana lub dorozumiana z oświadczenia woli o innej treści.
Podkreślenia wymaga, że konstrukcja zgody na przetwarzania danych, wyrażona w powyższym przepisie, rodzi doniosłe skutki prawne. W szczególności, wynika z niej, iż osoba, której dane dotyczą, powinna w sposób wyraźny przejawić swą wolę w tym względzie i wskazać na jakie przetwarzanie danych ją wyraża. W literaturze przedmiotu podkreśla się, iż wykluczenie wyrażenia zgody per facta concludentia ma za zadanie wzmocnienie pozycji i ochronę interesów osób, których dane są przetwarzane (J. Barta, R. Markiewicz, „Ochrona danych osobowych. Komentarz”, Zakamycze 2002, s. 346 i nast.). Bank zatem, w sytuacji, gdy zamierzał przetwarzać dane osobowe Skarżącego w innym celu, niż wynikający z realizacji umowy, tj. w celu marketingu produktów podmiotów trzecich (Towarzystwa Funduszy Inwestycyjnych S.A), powinien był uzyskać zgodę Skarżącego na powyższe.
Działanie Banku, będące przedmiotem niniejszych rozważań, należy również rozpatrywać w kontekście naruszenia przepisu art. 26 ust. 1 ustawy, określającego warunki, jakie muszą być spełnione w celu zapewnienia przez administratora właściwej ochrony interesów osób, których dane dotyczą. Zgodnie z pkt 2 wskazanego przepisu, na administratorze danych spoczywa obowiązek dołożenia szczególnej staranności w celu ochrony interesów osób, których dane dotyczą, a w szczególności jest obowiązany zapewnić, aby dane te były: zbierane dla oznaczonych, zgodnych z prawem celów i nie poddawane dalszemu przetwarzaniu niezgodnemu z tymi celami, z zastrzeżeniem ust. 2 tego przepisu. Ustęp 2 wskazanego wyżej przepisu ustawy stanowi natomiast, że przetwarzanie danych w celu innym, niż ten, dla którego zostały zebrane, jest dopuszczalne, jeżeli nie narusza praw i wolności osoby, której dane dotyczą oraz następuje: w celach badań naukowych, dydaktycznych, historycznych lub statystycznych (pkt 1), z zachowaniem przepisów art. 23 i 25 ustawy.
Powyższe wskazuje, że wykorzystanie danych osobowych w procesie ich przetwarzania winno być zgodne z celem, dla którego zostały one zebrane, przy jednoczesnym dochowaniu przesłanek (bądź przesłanki), legalności przetwarzania tych danych. Jest to jedna z podstawowych zasad, którą ustanawia ustawa, w związku z zagwarantowaniem osobom, których dane dotyczą, właściwego stopnia ochrony ich interesów.
W świetle faktów, dotyczących niniejszej sprawy niewątpliwe jest, iż Bank, przesyłając Skarżącemu w korespondencji informację o produkcie Towarzystwa Funduszy Inwestycyjnych S.A, wykorzystał jego dane, niezgodnie z celem, dla którego zostały zebrane (tj. realizacji umowy), co jest równoznaczne z naruszeniem art. 26 ust. 1 pkt 2 ustawy. Należy przy tym zaznaczyć, iż nie wystąpiła żadna z okoliczności wymienionych w art. 26 ust. 2 ustawy, która usprawiedliwiałaby opisane działanie Banku.
W związku z tak ustalonym stanem faktycznym i prawnym sprawy należy uznać, iż Bank przetwarzając dane osobowe Skarżącego w celu marketingu produktów podmiotów trzecich, działał zarówno bez podstawy prawnej, o której mowa w art. 23 ust. 1 ustawy, jak też uchybił przepisowi art. 26 ust. 1 pkt 2 ustawy.
II. Odnosząc się natomiast do twierdzeń Skarżącego, dotyczących wykorzystywania jego danych do celów marketingu produktów Banku, należy ponownie wskazać na brzmienie art. 23 ust. 1 pkt 5 ustawy, z którego wynika, że administrator danych może przetwarzać dane osobowe w prawnie usprawiedliwionym celu, a za taki uważa się w szczególności marketing bezpośredni własnych produktów lub usług administratora danych (art. 23 ust. 4 pkt 1 ustawy). Jest to samodzielna przesłanka, na podstawie której Bank może przetwarzać dane osobowe w ww. celu, przy czym zgoda osoby, której dane są przetwarzane, nie jest w tej sytuacji konieczna. Jednocześnie wskazania wymaga, że w myśl art. 32 ust. 1 pkt 8 ustawy, każdej osobie przysługuje prawo do kontroli przetwarzania danych, które jej dotyczą, zawartych w zbiorach danych, a zwłaszcza prawo wniesienia sprzeciwu wobec przetwarzania jej danych w przypadkach, wymienionych w art. 23 ust. 1 pkt 4 i 5, gdy administrator danych zamierza je przetwarzać w celach marketingowych. Z ustaleń w sprawie wynika, że Skarżący nie złożył sprzeciwu wobec przetwarzania jego danych, a zatem Bank - reklamując w korespondencji przesłanej Skarżącemu własne produkty - dysponował przesłanką uprawniającą go do przedmiotowych działań. Należy wprawdzie podkreślić, iż w pkt 16 umowy konta - na który powołuje się Skarżący - nie wyraził on zgody na wykorzystywanie jego danych osobowych do prowadzenia działalności marketingowej na rzecz spółek zależnych Banku oraz Powszechnego Towarzystwa Emerytalnego, którego akcjonariuszem jest Bank, jednakże z materiału zgromadzonego w sprawie nie wynika, że dane Skarżącego, były przetwarzane przez Bank w taki właśnie sposób, tj. w celu reklamy ww. podmiotów (spółek zależnych czy też Powszechnego Towarzystwa Emerytalnego), a więc wbrew ww. zapisowi.
Ustosunkowując się natomiast do zarzutów Skarżącego, odnośnie naruszenia przez Bank warunków umowy, zawartej ze Skarżącym, poprzez przesyłanie mu - wbrew postanowieniom, określonym w pkt 9 tej umowy - informacji o stanie salda jego konta oraz innych dokumentów, związanych z prowadzonym kontem, wskazać należy, iż Generalny Inspektor Ochrony Danych Osobowych, stosownie do przyznanych mu w ustawie kompetencji, rozpatruje wyłącznie sprawy z zakresu ochrony danych osobowych. Poza jego właściwością pozostają natomiast kwestie wykraczające poza tę materię, np. dokonywanie oceny prawidłowości (rzetelności) realizacji postanowień zawieranych umów. Stanowisko powyższe podzielił również Naczelny Sąd Administracyjny w wyroku z dnia 2 marca 2001 r. (sygn. akt II SA 401/00), w uzasadnieniu którego stwierdził, iż „Generalny Inspektor (...) nie jest organem kontrolującym ani nadzorującym prawidłowość stosowania prawa materialnego i procesowego w sprawach należących do właściwości innych organów, służb czy sądów, których orzeczenia podlegają ocenom w toku instancji czy w inny sposób określony odpowiednimi procedurami”. Do rozstrzygania sporów cywilnoprawnych właściwy jest sąd powszechny. Jednocześnie, warto podkreślić, iż instytucją powołaną do rozstrzygania sporów między bankami a konsumentami, w przedmiocie ewentualnego naruszenia zawartych między nimi umów, jest arbiter bankowy. Generalnemu Inspektorowi natomiast, nie przysługują w tym względzie żadne uprawnienia.
Wobec powyższego Generalny Inspektor Ochrony Danych Osobowych rozstrzygnął, jak w sentencji.
Decyzja jest ostateczna. Na podstawie art. 21 ust. 1 ustawy o ochronie danych osobowych i art. 129 § 2 Kodeksu postępowania administracyjnego strona niezadowolona z niniejszej decyzji może zwrócić się z do Generalnego Inspektora Ochrony Danych Osobowych (adres: Warszawa, ul. Stawki 2) z wnioskiem o ponowne rozpatrzenie sprawy, w terminie 14 dni od daty doręczenia niniejszej decyzji.
