GI-DEC-DS-269/04
2007-05-15
Decyzja Generalnego Inspektora Ochrony Danych Osobowych z dnia 9 grudnia 2004 r. odmawiająca uwzględnienia wniosku Skarżącego o nakazanie usunięcia jego danych osobowych ze zbiorów prowadzonych przez Bank.
Warszawa, dnia 9 grudnia 2004 r.
DECYZJA
Na podstawie art. 104 § 1 ustawy z dnia 14 czerwca 1960 r. Kodeks postępowania administracyjnego (Dz. U. z 2000 r. Nr 98, poz. 1071 z późn. zm.) oraz art. 12 pkt 2 i art. 23 ust. 1 pkt 2 z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. z 2002 r. Nr 101, poz. 926 z późn. zm.) w związku z art. 35 ustawy o ochronie danych osobowych, art. 6,
art. 14 ust.1, art. 15 ust. 4 i art. 71 ustawy z dnia 12 września 2002 r. o elektronicznych instrumentach płatniczych (Dz. U. Nr 169, poz. 1385 z późn. zm.), art. 71 ust. 1 i art. 74 ust. 2 ustawy z dnia 29 września 1994 r. o rachunkowości (Dz. U. 2002 r. Nr 76 poz. 694 z późn. zm.) oraz § 32 rozporządzenia Ministra Finansów z dnia 10 grudnia 2001 r. w sprawie szczególnych zasad rachunkowości banków (Dz. U. Nr 149, poz. 1673 z późn. zm.),
po przeprowadzeniu postępowania administracyjnego w sprawie wniosku Pana A.B., o nakazanie Bankowi, usunięcia jego danych osobowych,
odmawiam uwzględnienia wniosku.
Uzasadnienie
Do Biura Generalnego Inspektora Ochrony Danych Osobowych wpłynął wniosek Pana A.B., zwanego dalej również Skarżącym, o nakazanie Bankowi, dopełnienia obowiązku, o którym mowa w trybie art. 35 ust. 1 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. z 2002 r. nr 101, poz. 926 z późn. zm.), zwanej dalej także ustawą, poprzez nakazanie Bankowi usunięcia ze swoich zbiorów danych, danych osobowych Skarżącego.
W toku postępowania administracyjnego przeprowadzonego w niniejszej sprawie, Generalny Inspektor Ochrony Danych Osobowych ustalił następujące okoliczności faktyczne:
1. W dniu 17 lutego 2004 r. Skarżący złożył wniosek o otwarcie rachunku bankowego „Konto e-direct” Standard w Banku oraz podpisał umowę o kartę płatniczą. Zgodnie § 9 ust. 1 ww. umowy o kartę płatniczą, warunkiem wydania karty jest posiadanie rachunku w Banku oraz zawarcie umowy o kartę płatniczą.
2. W dniu 5 marca 2004 r. Skarżący wysłał do Banku pismo, w którym poinformował, iż rezygnuje z jego usług oraz działając na podstawie art. 32 ust. 1 pkt 6 ustawy o ochronie danych osobowych zwrócił się do Banku o usunięcie jego danych osobowych ze zbiorów danych administrowanych przez ten Bank, jako zbędnych dla realizacji celu, dla którego zostały zebrane, tzn. realizacji umowy o prowadzenie „Konta e-direct” Standard. Ponadto Skarżący wniósł sprzeciw dotyczący przetwarzania jego danych osobowych w celach marketingowych oraz przekazywania ich innym administratorom danych. Bank przedmiotowe pismo Skarżącego potraktował jako wypowiedzenie
ww. umów.
3. Skarżący w piśmie z dnia 5 marca 2004 r. wniósł również o udzielenie mu przez Bank informacji, czy jego dane osobowe zostały udostępnione innym odbiorcom, a jeżeli tak,
to jakim.
4. W piśmie z dnia 2 kwietnia 2004 r. Bank poinformował Skarżącego, iż jego „(...) dyspozycja o wycofanie zgody do wykorzystywania danych osobowych celach marketingowych została zrealizowana (...)”. Bank udzielił również Skarżącemu informacji komu udostępnił dotyczące go dane osobowe. Bank nie ustosunkował się natomiast
do żądania usunięcia przedmiotowych danych.
5. W piśmie z dnia 14 czerwca 2004 r. Bank poinformował Skarżącego, że obecnie jego dane osobowe „(...) przetwarzane są ze względów prawnych jedynie w celach archiwizacyjnych (...)”
6. W złożonych Generalnemu Inspektorowi wyjaśnieniach Bank wskazał, iż swoje uprawnienie do przetwarzania danych osobowych Skarżącego, pomimo tego, że cofnął
on swój wniosek o zawarcie umowy prowadzenie rachunku bankowego i na rachunku tym nie zostały dokonane żadne operacje bankowe, wywodzi z obowiązujących go przepisów prawa.
7. W dniu 28 maja 2004 r. Bank przesłał do Skarżącego materiały o charakterze marketingowym. Przesłanie przedmiotowych materiałów nastąpiło na skutek błędu, który został przez Bank usunięty i obecnie Bank nie przetwarza danych osobowych Skarżącego w celach marketingowych (oświadczenie Banku z dnia 26 sierpnia 2004 r.).
Po zapoznaniu się z całością zgromadzonego w sprawie materiału dowodowego, Generalny Inspektor Ochrony Danych Osobowych zważył, co następuje:
Stosownie do art. 23 ust. 1 ustawy o ochronie danych osobowych, przetwarzanie danych osobowych jest natomiast dopuszczalne tylko wtedy, gdy spełniona zostanie jedna z wymienionych w tym przepisie przesłanek. Przesłanki te odnoszą się do wszelkich form przetwarzania danych wymienionych w art. 7 pkt 2 ustawy, w tym w szczególności do ich przechowywania. Są także względem siebie równoprawne, co oznacza, że dla legalności procesu przetwarzania danych wystarczające jest spełnienie jednej z przesłanek.
Zgodnie z art. 23 ust. 1 pkt 2 ustawy, przetwarzanie danych osobowych jest natomiast dopuszczalne wtedy, gdy jest to niezbędne dla realizacji uprawnienia lub spełnienia obowiązku wynikającego z przepisu prawa. Mając na uwadze powyższe oraz uwzględniając okoliczność, iż w dniu 17 lutego 2004 r. Pan A.B. złożył nie tylko wniosek o otwarcie rachunku bankowego, ale również zawarł umowę o kartę płatniczą wskazać należy, że stosownie do brzmienia art. 14 ust. 1 ustawy z dnia 12 września 2002 r. o elektronicznych instrumentach płatniczych (Dz. U. Nr 169, poz. 1385 z późn. zm.), przez umowę o kartę płatniczą wydawca karty płatniczej zobowiązuje się wobec posiadacza karty płatniczej do rozliczania operacji dokonanych przy użyciu karty płatniczej, a posiadacz zobowiązuje się do zapłaty kwot operacji wraz z należnymi wydawcy kwotami opłat i prowizji lub do spłaty swoich zobowiązań na rachunek wskazany przez wydawcę. Z przytoczonego przepisu wynika zatem, że umowa o kartę płatniczą jest odrębną umową nazwaną, która wywołuje skutki w niej wyrażone oraz te, które wynikają z ustawy.
Zgodnie z art. 15 ust. 4 ww. ustawy, wydawcy kart płatniczych obowiązani są przekazywać do NBP następujące informacje o wydawanych przez siebie kartach płatniczych: 1) rodzaje i liczbę wydawanych kart płatniczych; 2) liczbę operacji dokonanych przy ich użyciu oraz ich wartość; 3) liczbę udostępnianych bankomatów, liczbę przeprowadzonych za ich pośrednictwem operacji i ich wartość; 4) zarejestrowane próby przeprowadzenia i przeprowadzone transakcje zmierzające do naruszenia lub obejścia przepisów prawa albo reguł uczciwego obrotu. Stosownie natomiast do brzmienia art. 6 ww. ustawy, roszczenia z tytułu umowy o elektroniczny instrument płatniczy przedawniają się z upływem 2 lat. W myśl zaś art. 71 ust. 1 ustawy o elektronicznych instrumentach płatniczych, kto wydaje elektroniczny instrument płatniczy, którym w szczególności jest karta płatnicza, wbrew warunkom określonym w ustawie, podlega grzywnie do 5 000 000 złotych lub karze pozbawienia wolności do lat 3 albo obu tym karom łącznie.
Z przytoczonych wyżej przepisów wynika zatem, że Bank, z którym Pan A.B. zawarł umowę o kartę płatniczą, jest uprawniony do przetwarzania jego danych osobowych. Uznać bowiem należy, że Bank, który jest zobligowany do przekazania do NBP informacji o liczbie i rodzaju wydawanych przez siebie kart płatniczych, musi również dysponować dowodami potwierdzającymi te dane. Bank jest także obowiązany do przechowywania pozyskanych danych osobowych do upływu okresu przedawnienia roszczeń cywilnych wynikających z umowy o kartę płatniczą. W celu ewentualnego wykazania, iż przy wydaniu elektronicznego instrumenty płatniczego nie doszło do naruszenia przez Bank przepisów karnych ww. ustawy, Bank, musi także posiadać - do czasu przedawnienia karalności czynu zabronionego tj. przez okres 5 lat - zawartą ze Skarżącym umowę o kartę płatniczą. W myśl bowiem art. 101 § 1 pkt 4 ustawy z dnia 6 czerwca 1997 r. Kodeks karny (Dz. U. Nr 88, poz. 553 z późn. zm.), gdy czyn jest zagrożony karą pozbawienia wolności nie przekraczającą 3 lat, karalność przestępstwa ustaje, jeżeli od czasu jego popełnienia upłynęło lat 5 lat.
Niezależnie od powyższego wskazać również należy na inne przepisy prawa upoważniające banki do przechowywania danych osobowych tzw. klientów archiwalnych, w tym na rozporządzenie Ministra Finansów z dnia 10 grudnia 2001 r. w sprawie szczególnych zasad rachunkowości banków (Dz. U. Nr 149, poz. 1673 z późn. zm.). Zgodnie z § 32 ust. 1 ww. rozporządzenia, Bank zobowiązany jest do przestrzegania zasad dotyczących przechowywania i ochrony danych określonych w przepisach art. 71 ustawy o rachunkowości i odrębnych przepisach. W myśl natomiast art. 71 ust. 1 ustawy z dnia 29 września 1994 r. o rachunkowości (Dz. U. 2002 r. Nr 76 poz. 694 z późn. zm.), dokumentację, o której mowa w art. 10 ust. 1, księgi rachunkowe, dowody księgowe, dokumenty inwentaryzacyjne i sprawozdania finansowe, zwane dalej także „zbiorami”, należy przechowywać w należyty sposób i chronić przed niedozwolonymi zmianami, nieupoważnionym rozpowszechnianiem, uszkodzeniem lub zniszczeniem. Stosownie do § 32 ust. 2 rozporządzenia Ministra Finansów w sprawie szczególnych zasad rachunkowości banków, Bank przechowuje dowody księgowe w oryginalnej postaci przez okres wynikający z przepisu art. 74 ustawy o rachunkowości. Przepis art. 74 ust. 2 pkt 8 ustawy o rachunkowości stanowi natomiast, iż dowody księgowe nie wymienione w pkt 1-7 tegoż przepisu oraz pozostałe dokumenty przechowuje się przez okres 5 lat od początku roku następującego po roku obrotowym, którego dane zbiory dotyczą.
Zauważyć również trzeba, iż z Zarządzenia nr 19/2002 Prezesa Narodowego Banku Polskiego z dnia 19 grudnia 2002 r. w sprawie zakresu informacji przekazywanych przez banki do Bankowego Funduszu Gwarancyjnego (Dz. Urz. NBP Nr 20, poz. 53) wynika, że banki są zobowiązane do przekazywania informacji na temat zawartych umów rachunku bankowego. Stosownie natomiast do postanowień uchwały nr 23/2003 Zarządu Narodowego Banku Polskiego z dnia 25 lipca 2003 r. w sprawie trybu i szczegółowych zasad przekazywania przez banki do Narodowego Banku Polskiego danych niezbędnych do ustalania polityki pieniężnej i okresowych ocen sytuacji pieniężnej państwa oraz oceny sytuacji finansowej banków i ryzyka sektora bankowego (Dz. Urz. Nr 16, poz. 26), banki są zobowiązane do przekazywania informacji o stanie swoich aktywów i pasywów oraz tytule ich powstania. Z informacji powszechnie dostępnych wynika, iż założenie w Banku „Konta e- direkt” Standard i wydanie i do niego karty Visa Elektron jest bezpłatne. Niemniej jednak, Bank w celu „uruchomienia rachunku” poniósł określone wydatki na rzecz podmiotów, które z nim współpracują i koszty te powinien wykazać w stosownych sprawozdaniach.
Uwzględniając zebrany w toku postępowania administracyjnego materiał dowodowy oraz dokonując analizy wyżej przytoczonych przepisów prawa, uznać należy, iż przetwarzanie danych osobowych Skarżącego przez Bank jest niezbędne dla spełnienia obowiązków wynikających m.in. z ustawy o elektronicznych instrumentach płatniczych oraz ustawy o rachunkowości. Tym samym, wniosek Pana A.B. o nakazanie Bankowi usunięcia jego danych osobowych nie jest uzasadniony.
Odnosząc się natomiast do kwestii wypełnienia przez Bank obowiązku informacyjnego wskazać należy, iż w świetle zebranego w sprawie materiału brak jest dowodów, że Bank nie udzielił Skarżącemu w terminie informacji, o której mowa w art. 35 ustawy o ochronie danych osobowych. Przeciwnie, pismo Banku wysłane do Skarżącego nosi datę 2 kwietnia 2004 r., a zatem informacje zostały udzielone przed upływem 30 dni od otrzymania przez Bank wniosku Skarżącego.
Podnieść także należy, iż Generalny Inspektor Ochrony Danych Osobowych miał na uwadze okoliczność, że Bank po wniesieniu przez Skarżącego sprzeciwu, o którym mowa w art. 32 ust. 1 pkt 8 ustawy przesłał mu materiały o charakterze marketingowym. Niemniej jednak w związku z tym, iż zdarzenie miało charakter incydentalny, a Bank przywrócił stan zgodny z prawem i jak oświadczył obecnie w systemach informatycznych Banku zaznaczono, iż Skarżący wycofał zgodę na przetwarzanie jego danych osobowych w celach marketingowych, Generalny Inspektor uznał, że wydawanie rozstrzygnięcia zakazującego przetwarzanie danych osobowych w ww. celach jest niecelowe i zawiadomił organy ścigania o popełnieniu przez Bank przestępstwa z art. 49 ust. 1 ustawy, polegającego na przetwarzaniu danych osobowych Pana A.B. w celach marketingowych, pomimo złożenia przez niego sprzeciwu.
W tym stanie faktycznym i prawnym Generalny Inspektor Ochrony Danych Osobowych rozstrzygnął, jak w sentencji.
Decyzja jest ostateczna. Stronom, na podstawie art. 21 ust. 1 ustawy o ochronie danych osobowych oraz art. 129 § 2 w zw. z art. 127 § 3 Kodeksu postępowania administracyjnego przysługuje, w terminie 14 dni od daty doręczenia niniejszej decyzji, prawo złożenia do Generalnego Inspektora Ochrony Danych Osobowych wniosku o ponowne rozpatrzenie sprawy (adres: Biuro Generalnego Inspektora Ochrony Danych Osobowych,
ul. Stawki 2, 00-193 Warszawa).
