GI-DEC-DS- 203/05
2007-05-26
Decyzja Generalnego Inspektora Ochrony Danych Osobowych z dnia 19 lipca 2005 r. nakazująca Bankowi przywrócenie stanu zgodnego z prawem w procesie przetwarzania danych osobowych poprzez zaprzestanie ich przetwarzania do celów marketingowych.
Warszawa, dnia 19 lipca 2005 r.
DECYZJA
Na podstawie art. 104 § 1 ustawy z dnia 14 czerwca 1960 r. – Kodeks postępowania administracyjnego (Dz. U. z 2000 r. Nr 98 poz. 1071 z późn. zm.) art. 12 pkt 2, art. 22 oraz art. 18 ust. 1 pkt 1 w zw. z art. 32 ust. 1 pkt 8 i art. 32 ust. 3 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. z 2002 r. Nr 101, poz. 926 z późn. zm.), po przeprowadzeniu postępowania administracyjnego wszczętego na podstawie skargi Pana A, w sprawie przetwarzania jego danych osobowych przez Bank,
nakazuję Bankowi, przywrócenie stanu zgodnego z prawem w procesie przetwarzania danych osobowych Pana A, poprzez zaprzestanie przetwarzania jego danych osobowych w celach marketingowych.
Uzasadnienie
Do Biura Generalnego Inspektora Ochrony Danych Osobowych wpłynęła skarga Pana A, zwanego dalej także Skarżącym. W treści powyższej skargi Pan A poinformował o – mającym w jego ocenie miejscu - naruszeniu przez (zwany dalej także Bankiem) przepisów ustawy z dnia 29 sierpnia 1997 roku o ochronie danych osobowych (Dz. U. z 2002 r. Nr 101, poz. 926 z późn. zm.), zwanej dalej także ustawą, w procesie przetwarzania przez ten Bank danych osobowych Skarżącego. Wobec powyższego, Pan A zażądał zaprzestania przetwarzania jego danych osobowych przez Bank w celach marketingowych.
Pismem z dnia 11 stycznia 2005 roku Pan A poinformował Generalnego Inspektora, iż Bank, pomimo wniesionego przez Skarżącego sprzeciwu, nadal przetwarza dotyczące go dane osobowe w celach marketingowych. Jak bowiem podniósł Skarżący, w dniu 8 i 15 listopada 2004 r. ponownie otrzymał od Banku przesyłki o charakterze marketingowym. Treść przedmiotowych ofert zawiera informacje o zmianach w regulacjach dotyczących limitu kredytu, jakim mogą dysponować posiadacze kart kredytowych oraz o Planie Spłat Ratalnych „Komfort” przy transakcjach bezgotówkowych i gotówkowych o treści: „Specjalna Oferta Świąteczna: - atrakcyjne oprocentowanie rat – tylko 9,99 % dla transakcji dokonanych kartą w dniach 8.11 – 31.12.2004 r., - wyjątkowy prezent – kalendarz książkowy „Rocznik Kulinarny 2005 – Specjalna Edycja dla Posiadaczy Kart Kredytowych. Wystarczy do 15 stycznia 2005 r. zgłosić zamiar rozłożenia na raty wybranej transakcji” (materiały te znajdują się w aktach sprawy).
W treści swego pisma z dnia 11 maja 2005 r. Pan A wniósł ponadto o „powiadomienie odpowiednich organów ścigania, w związku ze stwierdzeniem popełnienia przestępstwa” oraz zażądał „wypłaty przez Bank odszkodowania w wysokości 500 PLN za każdorazowe stwierdzenie naruszenia zasad przetwarzania moich {Skarżącego} danych osobowych, w szczególności za każdy stwierdzony przypadek wykorzystania moich {Skarżącego} danych osobowych do celów marketingowych wbrew mojej {Skarżącego} woli, z tytułu naruszenia prywatności”.
W celu ustalenia okoliczności przedmiotowej sprawy, Generalny Inspektor Ochrony Danych Osobowych, zwany dalej Generalnym Inspektorem wszczął postępowanie wyjaśniające w toku którego ustalono w szczególności, iż:
1) Bank pozyskał dane osobowe Pana A w związku ze złożonym przez Skarżącego „Wnioskiem o wydanie karty kredytowej” z dnia 11 marca 2003 r. (kopia wniosku w aktach sprawy).
2) Bank w dalszym ciągu przetwarza dane osobowe Pana A, albowiem Skarżący jest posiadaczem karty kredytowej i czynnym klientem Banku. Proces przetwarzania danych osobowych Skarżącego wiąże się z koniecznością wykonywania czynności i operacji bankowych przez niego zleconych. Zakres przetwarzanych danych Skarżącego obejmuje: imię, nazwisko, adres, datę urodzenia, serię i numer dowodu osobistego, numer ewidencyjny PESEL.
3) Sprzeciw Pana A, zgłoszony drogą elektroniczną w dniu 9 maja 2003 r., został przez Bank odnotowany w jego systemie informatycznym. Jednocześnie, w skierowanym do Skarżącego piśmie z dnia 12 maja 2003 r. Bank poinformował, iż: „(...) zaprzestanie przetwarzania danych osobowych w celach marketingowych nastąpi w ciągu 30 dni od daty zgłoszenia (...)”.
4) W skierowanym do Skarżącego piśmie z dnia 8 listopada 2004 r. Bank zachęcał go do „korzystania z Planu Spłat Ratalnych „Komfort”, dzięki któremu każdą transakcję o wartości co najmniej 800 zł można rozłożyć na atrakcyjnie oprocentowane raty miesięczne”. Natomiast pismem z dnia 11 listopada 2004 r. Skarżący został poinformowany, że jako posiadacz ”Karty Kredytowej”, transakcje dokonane gotówką pobraną uprzednio przy użyciu ww. karty kredytowej z bankomatu, może rozłożyć na spłacane miesięcznie raty. Zwrócono przy tym uwagę Skarżącego na szczególne (promocyjne) zasady oprocentowania takich rat.
5) W przesłanym do Biura Generalnego Inspektora Ochrony Danych Osobowych piśmie z dnia 14 kwietnia 2005 r. (znak: BB-95/2005/WR) Bank zaprzeczył, jakoby przetwarzał dane osobowe Pana A w celach marketingowych, wskazując przy tym, iż przedmiotowe dane nie znajdują się w tzw. „bazie marketingowej”.
Po zapoznaniu się z całością materiału dowodowego zgromadzonego w niniejszej sprawie Generalny Inspektor zważył, co następuje:
Ustawa o ochronie danych osobowych określa zasady postępowania przy przetwarzaniu danych osobowych oraz prawa osób fizycznych, których dane osobowe są lub mogą być przetwarzane w zbiorach danych (art. 2 ust. 1 ustawy). W art. 23 ust. 1 ustawy zostały enumeratywnie wymienione przesłanki warunkujące legalność procesu przetwarzania danych osobowych. Stosownie do dyspozycji powołanego przepisu przetwarzanie danych jest dopuszczalne m. in. wtedy, gdy jest to konieczne do realizacji umowy, gdy osoba, której dane dotyczą, jest jej stroną lub gdy jest to niezbędne do podjęcia działań przed zawarciem umowy na żądanie osoby, której dane dotyczą (pkt 3). Ponadto, przepis art. 23 ust. 1 ustawy przyznaje administratorowi danych prawo do ich przetwarzania dla celu prowadzenia marketingu bezpośredniego własnych produktów i usług, pomimo braku zgody osoby, której dane dotyczą, na takie działania. Upoważnienie do wykorzystywania przez administratora przetwarzanych przez niego danych dla ww. celów wynika z brzmienia art. 23 ust. 1 pkt 5 ustawy. Wskazany przepis stanowi bowiem, iż przetwarzanie danych osobowych jest dopuszczalne, gdy jest to niezbędne dla wypełnienia prawnie usprawiedliwionych celów realizowanych przez administratorów danych albo odbiorców danych, a przetwarzanie nie narusza praw i wolności osoby, której dane dotyczą. Zgodnie zaś z art. 23 ust. 4 ustawy, za prawnie usprawiedliwiony cel, o którym mowa w art. 23 ust. 1 pkt 5 ustawy, uważa się w szczególności: marketing bezpośredni własnych produktów lub usług administratora danych (pkt 1) i dochodzenie roszczeń z tytułu prowadzonej działalności gospodarczej (pkt 2).
Powyższe nie oznacza jednak, że prawo administratora do przetwarzania danych osobowych dla celów marketingowych – w oparciu o przesłankę z art. 23 ust. 1 pkt 5 ustawy – nie podlega żadnym ograniczeniom. Administrator danych jest bowiem również zobowiązany, mocą przepisów o ochronie danych osobowych, do realizacji uprawnień kontrolnych przysługujących osobie, której dane osobowe podlegają procesowi przetwarzania. Natomiast zgodnie z art. 32 ust. 1 pkt 8 ustawy, każdej osobie przysługuje prawo do kontroli przetwarzania danych, które jej dotyczą, zawartych w zbiorach danych, a zwłaszcza prawo do wniesienia sprzeciwu wobec przetwarzania jej danych w przypadkach, wymienionych w art. 23 ust. 1 pkt 4 i 5, gdy administrator danych zamierza je przetwarzać w celach marketingowych lub wobec przekazywania jej danych osobowych innemu administratorowi danych. Z kolei, w myśl art. 32 ust. 3 ustawy, w razie wniesienia sprzeciwu, o którym mowa w art. 32 ust. 1 pkt 8, dalsze przetwarzanie kwestionowanych danych jest niedopuszczalne. Administrator danych może jednak pozostawić w zbiorze imię lub imiona i nazwisko osoby oraz numer PESEL lub adres wyłącznie w celu uniknięcia ponownego wykorzystania danych tej osoby w celach objętych sprzeciwem.
Analiza okoliczności przedmiotowej sprawy w świetle powołanych przepisów prawa prowadzi do wniosku, iż Bank - w procesie przetwarzania danych osobowych Pana A– naruszył zasady wyznaczone przepisami ustawy o ochronie danych osobowych. W ocenie organu rozpatrującego niniejszą sprawę, skarżony podmiot w sposób nieuprawniony przetwarza bowiem dane osobowe Skarżącego dla celów marketingowych.
Jak wynika ze zgromadzonego w sprawie materiału dowodowego, Bank zarejestrował w systemie informatycznym wniesiony przez Skarżącego w dniu 9 maja 2003 r. sprzeciw wobec przetwarzania jego danych w celach marketingowych. Informacja o uwzględnieniu jego sprzeciwu została Skarżącemu przekazana w piśmie z dnia 12 maja 2003 r. Pomimo tego jednak, Bank przedsięwziął działania objęte sprzeciwem. Generalny Inspektor Ochrony Danych Osobowych podziela pogląd Skarżącego, iż przesłane mu przez Bank pisma z dnia 8 i 11 listopada 2004 r. mogą być traktowane jako korespondencja o charakterze handlowym.
Bank podnosił, iż wskazanymi pismami poinformował jedynie Skarżącego, jako swojego klienta – posiadacza kraty kredytowej - o zmianach regulaminowych dotyczących sposobu korzystania z tej karty, w szczególności zaś „o zmianach w regulacjach dotyczących limitu kredytu, jakim mogą dysponować posiadacze kart kredytowych oraz o możliwościach tkwiących w Planie spłat ratalnych ‘Komfort’, który to Plan jest integralną częścią aktualnego Regulaminu kart kredytowych”. Bank wskazywał zatem, iż skierowana do Skarżącego korespondencja dotyczyła wyłącznie tej oferty Banku, z której Pan A już korzysta i służyła jedynie przekazaniu mu pełnej i rzetelnej informacji na jej temat. Skarżony podmiot argumentował jednocześnie, iż zaniechanie przez niego powyższych czynności mogłoby narazić ten podmiot na zarzut działania w sposób nierzetelny, a zarazem godzący w interesy klientów. Nie kwestionując powyższych motywów, którymi kierował się Bank przesyłając do Skarżącego kwestionowaną przez niego korespondencję wskazania wymaga, iż działania te niewątpliwie mieszczą się w pojęciu prowadzenia marketingu własnych produktów i usług. Niezaprzeczalnie bowiem Bank nie ograniczył się do poinformowania Skarżącego o zmianach wprowadzonych w regulaminie korzystania z posiadanej przez niego karty kredytowej, lecz zachęcał go do skorzystania z niej w ściśle określony sposób – akcentując płynące z tego korzyści. Ponadto, w omawianych pismach Bank ewidentnie informował o szczególnych (promocyjnych) warunkach oprocentowana rat kredytu zaciągniętego przy użyciu posiadanej przez Skarżącego karty kredytowej. Oferta promocyjna jest zaś – ze swej istoty – czasowa, stanowi odstępstwo od dotychczasowych reguł, a przekazanie informacji na jej temat – jakkolwiek istotne, tak z punktu widzenia oferenta, jak i klienta Banku – nie jest obowiązkowe. Wobec powyższego, w ocenie Generalnego Inspektora, Bank dopełnił spoczywającego na nim obowiązku poinformowania swego klienta – posiadacza karty kredytowej – o zmianach w regulaminie korzystania z tej karty, łącząc jednak wskazane informacje z reklamą własnych produktów i usług. Takie zaś działania Banku – z uwagi na wcześniej zgłoszony przez Pana A sprzeciw wobec przetwarzania dotyczących go danych w celach marketingowych – uchybiają przepisom ustawy o ochronie danych osobowych.
Odnosząc się do wniosku Pana A o „powiadomienie odpowiednich organów ścigania, w związku ze stwierdzeniem popełnienia przestępstwa” w pierwszej kolejności wskazania wymaga, iż zgodnie z wyznaczonym przepisami ustawy o ochronie danych osobowych zakresem kompetencji Generalnego Inspektora, do organu tego należy w szczególności wydawanie decyzji administracyjnych i rozpatrywanie skarg w sprawach wykonania przepisów o ochronie danych osobowych (art. 12 pkt 2 ustawy). Co więcej, kompetencje Generalnego Inspektora określone w ww. art. 12 ustawy należy interpretować w powiązaniu z przepisem art. 18 ustawy. W myśl tego przepisu, wszczęte przez Generalnego Inspektora z urzędu lub na wniosek postępowanie, w przypadku stwierdzenia naruszenia przepisów o ochronie danych osobowych może zostać zakończone przez wydanie decyzji administracyjnej nakazującej, w szczególności administratorowi danych, przywrócenie stanu zgodnego z prawem, poprzez zastosowanie jednego z nakazów wymienionych w art. 18 ust. 1 pkt 1-6 ustawy. Generalny Inspektor może więc tą drogą nakazać usunięcie uchybień; uzupełnienie, uaktualnienie, sprostowanie, udostępnienie lub nieudostępnienie danych osobowych; zastosowanie dodatkowych środków zabezpieczających zgromadzone dane osobowe; wstrzymanie przekazywania danych osobowych do państwa trzeciego; zabezpieczenie danych lub przekazanie ich innym podmiotom; usunięcie danych osobowych. Żaden ze wskazanych powyżej nakazów nie dotyczy więc środków przewidzianych w przepisach karnych ustawy. W świetle powyższego Generalny Inspektor nie jest władny - w trybie decyzji administracyjnej - „powiadomić odpowiednich organów ścigania, w związku ze stwierdzeniem popełnienia przestępstwa”.
Pogląd taki wyraził również Naczelny Sąd Administracyjny, który w wyroku z dnia 21 listopada 2002 r. (sygn. akt II S.A. 1682/01), wskazał, że „w przypadku, gdy wyniki działania kontrolnego będą wskazywać na to, iż działanie lub zaniechanie kierownika jednostki, jej pracownika lub innej osoby fizycznej będącej administratorem danych nosi znamiona przestępstwa, GIODO ma obowiązek skierowania zawiadomienia o popełnieniu przestępstwa do organu powołanego do ścigania przestępstw (...). Nie dokonuje tego jednak, jak w przypadku art. 18 w drodze decyzji administracyjnej, lecz w drodze wystąpienia, które stanowi realizację jego kompetencji w tej sprawie. Wskazuje na to zarówno wyraźne określenie formy decyzji w art. 18 ustawy, a brak tego określenia w art. 19, jak i istota znaczenie decyzji administracyjnej. Nakłada ona bowiem na stronę pewne uprawnienie lub obowiązek lub odmawia jego przyznania. Tymczasem wystąpienie do prokuratury z informacją o podejrzeniu przestępstwa, nie ma takiego charakteru. Co do zasady nie nadaje się więc do rozstrzygnięcia w formie decyzji”.
Co tyczy się sformułowanego przez Skarżącego żądania „wypłaty przez Bank odszkodowania (...)” wskazania wymaga, iż orzekanie w przedmiocie odpowiedzialności odszkodowawczej, bez względu na to z jakiego tytułu miałaby ona powstać, nie leży w kognicji Generalnego Inspektora, lecz należy do wyłącznej właściwości sądów powszechnych.
W takim stanie faktycznym i prawnym, Generalny Inspektor Ochrony Danych Osobowych rozstrzygnął, jak w sentencji.
Decyzja jest ostateczna. Na podstawie art. 21 ust. 1 ustawy o ochronie danych osobowych i art. 129 § 2 w zw. z art. 127 § 3 ustawy z dnia 14 czerwca 1960 r. Kodeks postępowania administracyjnego (Dz. U. z 2000 r. Nr 98 poz. 1071 z późn. zm.), strona niezadowolona z niniejszej decyzji może zwrócić się z do Generalnego Inspektora Ochrony Danych Osobowych (adres: Biuro Generalnego Inspektora Ochrony Danych Osobowych, ul. Stawki 2, 00 – 193 Warszawa) z wnioskiem o ponowne rozpatrzenie sprawy, w terminie 14 dni od dnia doręczenia niniejszej decyzji.
