GI-DEC-DS-162/03
2007-05-04
Warszawa, dnia 1 września 2003 r.
(dotyczy przetwarzania przez Bank danych osobowych Skarżącego w celu marketingu produktów i usług podmiotów trzecich)
Na podstawie art. 104 § 1 pkt 1 ustawy z dnia 14 czerwca 1960 r. – Kodeks postępowania administracyjnego (Dz. U. z 2000 r. Nr 98 poz. 1071 z późn. zm.) oraz art. 12 pkt 2 i art. 18 ust. 1 pkt 1 w zw. z art. 23 ust. 1 i art. 26 ust. 1 pkt 2 ustawy z dnia 29 sierpnia 1997 r. ustawy o ochronie danych osobowych (Dz. U. z 2002 r. Nr 101, poz. 926)
po przeprowadzeniu postępowania administracyjnego w sprawie przetwarzania danych osobowych Skarżącego przez Bank S.A.,
nakazuję Bankowi przywrócenie stanu zgodnego z prawem w procesie przetwarzania danych osobowych Skarżącego poprzez zaprzestanie przetwarzania jego danych osobowych w celu marketingu produktów i usług podmiotów trzecich.
Uzasadnienie
Do Biura Generalnego Inspektora Ochrony Danych Osobowych wpłynęła skarga Pana X., zwanego dalej Skarżącym, w sprawie przetwarzania jego danych osobowych przez Bank S.A.
Z informacji zawartych w skardze wynika, że Skarżący był klientem I Oddziału Banku S.A. w X. do 2001 r. Po rozwiązaniu z Bankiem umowy rachunku bankowego w czerwcu 2001 r. oraz po uregulowaniu wszystkich zobowiązań wynikających z rozliczeń z kartami kredytowymi, we wrześniu 2001 r., nie będąc już wtedy klientem Banku, otrzymał numer PIN do nowej karty. W styczniu i lutym 2003 r. od Banku, a dokładnie od Oddziału w Z., w którym nie miał nigdy żadnego rachunku, otrzymał wyciągi z rozliczeniami z rachunku klienta Banku oraz ofertę marketingową. Przedmiotowa oferta marketingowa dotyczyła m. in. wspólnej oferty finansowej Banku S.A. i Towarzystwa Ubezpieczeń S.A. W celu ustalenia okoliczności sprawy, Generalny Inspektor Ochrony Danych Osobowych wszczął postępowanie wyjaśniające. Z wyjaśnień Banku wynika, że:
1. Bank „(...) przetwarza dane osobowe Skarżącego w oparciu o Rozdział 3 ustawy z dnia 29 sierpnia 1997 r. Prawo bankowe (Dz. U. z 2002 r. Nr 72, poz. 665), z uwagi na to, iż Skarżący nie złożył w I Oddziale Banku S.A. w X. dyspozycji zamknięcia rachunku bankowego. Przedmiotowy rachunek został otwarty 25 listopada 1998 r. i do dnia 11.06.2001 r. były na nim dokonywane operacje. Ostatnią z nich była operacja dokonana kartą Visa powodująca powstanie salda debetowego (...), które zostało uregulowane w dniu 03.09.2001 r., jednakże zapłacona została kwota główna, natomiast nie zostały uregulowane odsetki naliczone przez Bank. (...) W dniu 20.12.2002 r. I Oddział w X. zrezygnował z dochodzenia roszczeń i wyksięgował saldo debetowe z rachunku Skarżącego. Na skutek wykonania w/w operacji księgowej Skarżący otrzymał, w styczniu 2003 r., wyciąg z rachunku bankowego, do którego była dołączona wspólna oferta marketingowa Banku i Towarzystwa Ubezpieczeń S.A.
2. W lutym 2003 r. Skarżący otrzymał informację o zmianie dotychczasowego numeru rachunku bankowego na nowy, w związku z wprowadzeniem we wszystkich bankach, mających siedzibę w Polsce nowego standardu numeru rachunku bankowego.
3. Filia nr 1 w Z. jest jednostką organizacyjną I Oddziału w X. Korespondencja, przesłana do Skarżącego dotyczyła rachunku otwartego przez niego 25 listopada 1998 r.
w I Oddziale w X. i przekazana była za pośrednictwem w/w Filii, w celu usprawnienia obiegu korespondencji, ponieważ Skarżący podczas zakładania przedmiotowego rachunku, podał inny adres do korespondencji.
4. Bank przesłał do swoich klientów wzór oświadczenia, którego podpisanie i złożenie
w Banku przez Klienta, upoważniało Bank do przetwarzania jego danych osobowych
w celach marketingowych. Skarżący nie złożył w Banku takiej zgody.
5. W dniu 16 czerwca 2003 r. I Oddział w X. zamknął rachunek Skarżącego w systemie informatycznym.
Po zapoznaniu się z całością zgromadzonego w sprawie materiału dowodowego Generalny Inspektor Ochrony Danych Osobowych zważył, co następuje:
Ustawa z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. z 2002 r.
Nr 101, poz. 926), zwana dalej ustawą, określa zasady postępowania przy przetwarzaniu danych osobowych oraz prawa osób fizycznych, których dane są lub mogą być przetwarzane w zbiorach danych osobowych, jak stanowi art. 2 ust. 1 ustawy.
Z poczynionych w sprawie ustaleń faktycznych wynika, iż Bank przetwarzał dane osobowe Skarżącego w celu marketingu produktów i usług bez podstawy prawnej, nie spełnił bowiem żadnej z przesłanek przetwarzania danych osobowych, wymienionych w przepisie art. 23 ust. 1 ustawy.
Z okoliczności sprawy wynika, że podstawą przetwarzania przez Bank danych osobowych Skarżącego jest art. 23 ust. 1 pkt 3 ustawy. Stosownie do tego przepisu, przetwarzanie danych osobowych jest dopuszczalne, gdy jest to konieczne do realizacji umowy, gdy osoba, której dane dotyczą, jest jej stroną. Jak ustalono, Skarżący zawarł z Bankiem umowę rachunku bankowego. Jednocześnie, z przepisu art. 23 ust. 1 pkt 3 wynika, iż administrator danych może na jego podstawie przetwarzać dane osobowe swojego kontrahenta jedynie w taki sposób, który jest konieczny dla realizacji umowy. Wobec tego stwierdzić należy, że przysłanie Skarżącemu przez Bank wspólnej z Towarzystwem Ubezpieczeń S.A. oferty marketingowej nie było działaniem mieszczącym się w granicach wyznaczonych potrzebami związanymi z realizacją umowy.
Przepis art. 23 ust. 1 pkt 5 ustawy stanowi bowiem, iż przetwarzanie danych jest dopuszczalne tylko wtedy, gdy jest niezbędne do wypełnienia prawnie usprawiedliwionych celów administratorów danych, o których mowa w art. 3 ust. 2, lub osób trzecich, którym są przekazywane te dane - a przetwarzanie danych nie narusza praw i wolności osoby, której dane dotyczą. Zgodnie z art. 23 ust. 4 ustawy, za prawnie usprawiedliwiony cel, o którym mowa w art. 23 ust. 1 pkt 5, uważa się w szczególności: marketing bezpośredni własnych produktów lub usług administratora danych (pkt 1) oraz dochodzenie roszczeń z tytułu prowadzonej działalności gospodarczej (pkt 2). Z treści tego przepisu wynika zatem, że do przetwarzania danych osobowych Skarżącego w celu marketingu produktów i usług innego podmiotu, w tym Towarzystwa Ubezpieczeń S.A., Bank powinien był posiadać zgodę Skarżącego, o jakiej mowa jest w przepisie art. 23 ust. 1 pkt 1 ustawy. Stosownie do tego przepisu, przetwarzanie danych osobowych jest dopuszczalne, jeżeli osoba, której dane dotyczą wyrazi na to zgodę, chyba, że chodzi o usunięcie dotyczących jej danych. Jednakże, jak oświadczył Wiceprezes Zarządu Banku, Skarżący nie wyraził zgody na przetwarzanie jego danych w celach marketingu Towarzystwa Ubezpieczeń S.A. Ustawową definicję zgody na przetwarzanie danych osobowych ustanowił przepis art. 7 pkt 5 ustawy. Pod pojęciem zgody osoby, której dane dotyczą - rozumie się oświadczenie woli, którego treścią jest zgoda na przetwarzanie danych osobowych tego, kto składa oświadczenie; zgoda nie może być domniemana lub dorozumiana z oświadczenia woli o innej treści.
Podkreślić należy, iż konstrukcja prawna zgody na przetwarzanie danych, wyrażona w powyższym przepisie, rodzi doniosłe skutki prawne. W szczególności, wynika z niej, iż osoba, której dane dotyczą, powinna w sposób wyraźny przejawić swoją wolę w tym względzie i wskazać na jakie przetwarzanie danych ją wyraża. Natomiast nie wystarcza samo powiadomienie przez administratora o zamiarze przetwarzania danych osobowych i brak sprzeciwu osoby, której dane te dotyczą. Bank nie może zatem wywodzić zgody Skarżącego na przetwarzanie jego danych osobowych w celu marketingu produktów i usług Towarzystwa Ubezpieczeń S.A. z faktu, iż nie wniósł Skarżący „sprzeciwu wobec przetwarzania jego danych w przypadkach wymienionych w art. 23 ust. 1 pkt 4 i 5 ustawy, gdy administrator danych zamierza je przetwarzać w celach marketingowych lub wobec przekazywania jego danych osobowych innemu administratorowi danych”. Z powołanych wyżej przepisów ustawy wynika bowiem, że w sytuacji, kiedy Bank zamierzał przetwarzać dane osobowe Skarżącego w innym celu, niż realizacja umowy, powinien był uzyskać jego zgodę na takie działanie.
Wobec powyższego, stwierdzić należy, że w ramach akcji marketingowej prowadzonej przez Bank wspólnie z Towarzystwem Ubezpieczeń S.A. mogły być przetwarzane jedynie dane osobowe tych klientów Banku, którzy wyrazili na to zgodę,
o jakiej mowa w art. 23 ust. 1 pkt 1 i art. 7 pkt 5 ustawy.
Jednocześnie, stosownie do przepisu art. 26 ust. 1 pkt 2 ustawy, na administratorze danych spoczywa obowiązek dołożenia szczególnej staranności w celu ochrony interesów osób, których dane dotyczą, a w szczególności jest obowiązany zapewnić, aby dane te były: zbierane dla oznaczonych, zgodnych z prawem celów i nie poddawane dalszemu przetwarzaniu niezgodnemu z tymi celami, z zastrzeżeniem ust. 2 tego przepisu (pkt 2).
Art. 26 ust. 2 ustawy stanowi natomiast, że przetwarzanie danych w celu innym, niż ten, dla którego zostały zebrane, jest dopuszczalne, jeżeli nie narusza praw i wolności osoby, której dane dotyczą oraz następuje: w celach badań naukowych, dydaktycznych, historycznych lub statystycznych (pkt 1), z zachowaniem przepisów art. 23 i 25 ustawy.
Wykorzystanie danych wyłącznie dla celu, dla którego zostały zebrane, jest jedną
z podstawowych zasad przetwarzania danych osobowych.
W świetle ustalonych okoliczności sprawy niewątpliwe jest, iż Bank nie może powoływać się na żadną z okoliczności wymienionych w art. 26 ust. 2 ustawy.
Celem zebrania danych osobowych Skarżącego była realizacja umowy, jaką zawarł
on z Bankiem. Tym samym, wykorzystanie ich przez Bank dla prowadzenia akcji marketingowej wspólnie z Towarzystwem Ubezpieczeń S.A. było sprzeczne z celem ich zebrania i naruszyło przepis art. 26 ust. 1 pkt 2 ustawy.
W tym stanie faktycznym i prawnym Generalny Inspektor Ochrony Danych Osobowych rozstrzygnął, jak w sentencji.
Decyzja jest ostateczna. Na podstawie art. 21 ust. 1 ustawy o ochronie danych osobowych i art. 129 § 2 Kodeksu postępowania administracyjnego strona niezadowolona z niniejszej decyzji może zwrócić się z do Generalnego Inspektora Ochrony Danych Osobowych (adres: Warszawa, ul. Stawki 2) z wnioskiem o ponowne rozpatrzenie sprawy, w terminie 14 dni od daty doręczenia niniejszej decyzji.
