ZKE.440.79.2019
Na podstawie art. 104 § 1 ustawy z dnia 14 czerwca 1960 r. Kodeks postępowania administracyjnego (Dz. U. z 2020 r. poz. 256), art. 160 ust. 1 i 2 ustawy o ochronie danych osobowych z dnia 10 maja 2018 roku (Dz. U. z 2019 r., poz. 1781) oraz art. 12 pkt 2, art. 22, art. 32 ust. 1 pkt 8 ustawy z dnia 29 sierpnia 1997 o ochronie danych osobowych (Dz. U. z 2016 r. poz. 922 ze zm. oraz z 2018 r. poz. 138), w związku z art. 6 ust. lit. a Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (Dz. Urz. UE L 119 z 04.05.2016, str. 1 oraz Dz. Urz. UE L 127 z 23.05.2018, str. 2), po przeprowadzeniu postępowania administracyjnego w sprawie skargi Pani P. M. na nieprawidłowości w procesie przetwarzania jej danych osobowych w celach marketingowych przez A. S.A., Prezes Urzędu Ochrony Danych Osobowych
odmawia uwzględnienia wniosku.
UZASADNIENIE
Do Prezesa Urzędu Ochrony Danych Osobowych (poprzednio Generalnego Inspektora Ochrony Danych Osobowych) wpłynęła skarga Pani P. M. (zwaną dalej: Skarżącą), na nieprawidłowości w procesie przetwarzania jej danych osobowych w celach marketingowych przez A. S.A. zwanego dalej: Bankiem) reprezentowanego przez L. R. – O. W związku z powyższym Skarżąca wniosła o cyt. „usunięcie uchybień w procesie przetwarzania danych osobowych poprzez wypełnienie w stosunku do niej obowiązków wynikających z art. 32 ust. 1 ustawy”.
W toku postępowania administracyjnego przeprowadzonego w niniejszej sprawie Prezes Urzędu Ochrony Danych Osobowych (dalej: „Prezes UODO”) ustalił, co następuje.
1. Pismem z dnia […] września 2017 roku Bank wyjaśnił, że pozyskał dane osobowe Skarżącej w związku z zawartymi przez nią umowami: […] z dnia […].04.2004 roku, o kartę płatniczą […] do rachunku z dnia […].11.2004 roku po upływie terminu ważności wymienioną na kartę płatniczą […] z dnia […].11.2011 roku, rachunku […] w […] dla klientów indywidualnych z dnia […].02.2015 roku. Dane Skarżącej pozyskane w związku z zawarciem ww. umów Bank przetwarza na podstawiez art. 23 ust. 1 pkt. 3 ustawy z dnia 29 sierpnia 1997 roku o ochronie danych osobowych (Dz. U. z 2016 r. poz. 922 ze zm. oraz z 2018 r. poz. 138), zwanej dalej: „ustawą z 1997 roku” w zakresie: imienia, nazwiska, płci, adresu zamieszkania, obywatelstwa, statusu podatkowego, statusu dewizowego, nr pesel, serii i daty ważności dowodu osobistego, daty i miejsca urodzenia, nazwiska rodowego matki, nr telefonu komórkowego, adresu e-mail.
2. Z dowodów przedstawionych przez Bank wynika, że przetwarzał dane osobowe Skarżącej do celów marketingowych na podstawie zgody wyrażonej w oświadczeniu załączonym do umowy […] z […] października 2004 roku tj. na podstawie art. 23 ust.1 pkt 1 ustawy z 1997 roku.
3. Skarżąca w dniu […].02.2015 roku cyt. „wydała dyspozycję ustną pracownikowi Banku dotyczącą braku zgód na wszelki kontakt w celach marketingowych” podczas zawierania umowy […] (korespondencja Skarżącej z Bankiem z lipca 2017 roku). Pracownik Banku skontaktował się jednak ze Skarżącą w dniach […] lipca 2017 roku oraz […] lipca 2017 roku w celu przedstawienia oferty marketingowej Banku. Skarżąca ponownie zgłosiła sprzeciw na przetwarzanie jej danych osobowych w celach marketingowych w dniu […].07.2017 roku.
4. Ponadto z pisma Banku z […].09.2017 roku wynika, że sprzeciw złożony przez Skarżącą w dniu […].02.2015 roku nie został skutecznie przyjęty, ponieważ procedury Banku wymagają, żeby ustna dyspozycja klienta została potwierdzona papierowo. Ponownie złożony przez Skarżącą sprzeciw został skutecznie odnotowany w systemie Banku w dniu […].07.2017 roku. Jednak jak Bank wyjaśnił dane osobowe Skarżącej zostały ujęte we wcześniej przygotowanej bazie na potrzeby kampanii marketingowej dotyczącej ubezpieczeń w dniu […].05.2017 roku na rzecz podmiotów trzecich, które następnie trzykrotnie kontaktowały się ze Skarżącą po wycofaniu zgody. Reklamacja na kontakt marketingowy ze strony tych podmiotów wpłynęła do Banku w dniu […].07.2017 roku.
5. Skarżąca pismem z […].10.2017 roku ponownie złożyła skargę na przetwarzanie jej danych osobowych do celów marketingowych przez Bank poprzez przesyłanie na jej adres elektroniczny informacji marketingowych Banku. Pismem z dnia […].01.2018 roku Bank wyjaśnił, że nie przetwarza danych osobowych Skarżącej w celach marketingowych a informacja marketingowa została do Skarżącej przesłana przez administratora serwera pocztowego, z którego korzysta Skarżąca tj. […]. Jak wskazał Bank w ww. piśmie wynikało to z faktu, że cyt. „Bank oprócz ofert bezpośrednio wysyłanych na adresy mailowe swoich klientów, kieruje również kampanie marketingowe do domów mediowych, które za pośrednictwem właścicieli serwerów pocztowych prezentują oferty użytkownikom darmowych kont pocztowych”. Bank ponadto potwierdził odnotowanie sprzeciwu Skarżącej na działania marketingowe poprzez odznaczenie zgody na przetwarzanie danych w celach marketingowych w systemie bankowości internetowej w dniu […].07.2017 roku.
6. Bank ponadto wyjaśnił, że dane osobowe Skarżącej są obecnie przetwarzane na w celu obsługi reklamacji i zgłoszeń na podstawie art. 118 Ustawy z dnia 23 kwietnia 1964 roku Kodeks cywilny (Dz.U. 2019 r. poz. 1145, 1495) do celów dowodowych do czasu przedawnienia roszczeń w zakresie: imię i nazwisko, adres korespondencyjny, PESEL, seria i numer dowodu osobistego, płeć, numer telefonu, adres e-mail, identyfikator I. B. online, imię matki.
W tym stanie faktycznym Prezes Urzędu Ochrony Danych Osobowych zważył, co następuje.
Z dniem 25 maja 2018 r. w życie weszły przepisy ustawy z dnia 10 maja 2018 roku o ochronie danych osobowych (Dz.U. 2019 poz. 1781), zwanej dalej „u.o.d.o.”.
W myśl art. 160 ust. 1-3 ustawy, postępowania prowadzone przez Generalnego Inspektora Ochrony Danych Osobowych, wszczęte i niezakończone przed dniem wejścia w życie niniejszej ustawy, prowadzone są przez Prezesa Urzędu Ochrony Danych Osobowych na podstawie ustawy, zgodnie z zasadami określonymi w ustawie z dnia 14 czerwca 1960 r. Kodeks postępowania administracyjnego (Dz. U. z 2020 r. poz. 256), zwanej dalej „k.p.a”. Jednocześnie, czynności dokonane w postępowaniach, wszczętych i niezakończonych przed dniem wejścia w życie przepisów u.o.d.o., pozostają skuteczne.
Od dnia 25 maja 2018 r. zastosowanie ma również rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (Dz. Urz. UE L 119 z 04.05.2016, str. 1 ze zm.), zwane dalej „Rozporządzeniem 2016/679”.
Uwzględniając powyższe stwierdzić należy, że niniejsze postępowanie, wszczęte i niezakończone przed dniem 25 maja 2018 r., prowadzone jest na podstawie ustawy z 1997 roku (w zakresie dotyczącym przepisów regulujących procedurę administracyjną) oraz na podstawie Rozporządzenia 2016/679 (w zakresie rozstrzygającym o legalności procesu przetwarzania danych osobowych). Wynikający w przepisów prawa sposób prowadzenia postępowań w sprawach rozpoczętych i nie zakończonych przed dniem wejścia w życie nowych regulacji z zakresu ochrony danych osobowych koreluje z ugruntowanym stanowiskiem doktryny, zgodnie z którym „organ administracji publicznej ocenia stan faktyczny sprawy według chwili wydania decyzji administracyjnej. Reguła ta odnosi się także do oceny stanu prawnego sprawy, co oznacza, że organ administracji publicznej wydaje decyzję administracyjną na podstawie przepisów prawa obowiązujących w chwili jej wydania” (Komentarz do ustawy z dnia 14 czerwca 1960 r. Kodeks postępowania administracyjnego (Dz. U. 00.98.1071) M. Jaśkowska, A. Wróbel, Lex., el/2012).
W wyroku z dnia 7 maja 2008 r. w sprawie o sygn. akt I OSK 761/07 Naczelny Sąd Administracyjny stwierdził, iż „badając […] legalność przetwarzania danych osobowych, GIODO ma obowiązek ustalenia, czy na datę wydawania rozstrzygnięcia w sprawie dane konkretnego podmiotu są przetwarzane oraz czy czynione to jest w sposób zgodny z prawem”.
W czasie, gdy miało miejsce zdarzenie opisane przez Skarżącą, obowiązywała ustawa z 1997 roku. Po 25 maja 2018 roku zastosowanie mają przepisy Rozporządzenia 2016/679. Przepisem o zasadniczym znaczeniu dla oceny legalności procesu przetwarzania danych osobowych był art. 23 ust. 1 ustawy z 1997 roku (odpowiednio art. 6 ust.1 Rozporządzenia 2016/679). Zgodnie wyżej wymienionym przepisem przetwarzanie danych osobowych jest zgodne z prawem wówczas, gdy administrator danych spełnia jeden z warunków wymienionych w tym artykule, tj. gdy
- osoba, której dane dotyczą, wyraziła na to zgodę, chyba że chodzi o usunięcie dotyczących jej danych (odpowiednio art. 6 ust. 1 lit. a Rozporządzenia 2016/679),
- jest to niezbędne dla zrealizowania uprawnienia lub spełnienia obowiązku wynikającego z przepisu prawa (odpowiednio art. 6 ust.1 lit. c Rozporządzenia 2016/679),
- jest to konieczne do realizacji umowy, gdy osoba, której dane dotyczą jest jej stroną lub gdy jest to niezbędne do podjęcia działań przed zawarciem umowy na żądanie osoby, której dane dotyczą (odpowiednio art. 6 ust.1 lit. b Rozporządzenia 2016/679),
- jest to niezbędne do wykonania określonych prawem zadań realizowanych dla dobra publicznego (odpowiednio art. 6 ust.1 lit. e Rozporządzenia 2016/679),
- jest to niezbędne dla wypełnienia prawnie usprawiedliwionych celów realizowanych przez administratorów danych albo odbiorców danych, a przetwarzanie nie narusza praw i wolności osoby, której dane dotyczą (odpowiednio art. 6 ust.1 lit. f Rozporządzenia 2016/679).
Należy dodać, że przesłanki te odnoszą się do wszelkich form przetwarzania danych wymienionych w art. 7 ust. 2 ustawy z 1997 roku. Każda z wyżej wymienionych przesłanek legalizujących proces przetwarzania danych osobowych ma charakter autonomiczny i niezależny od siebie. Oznacza to, że spełnienie choć jednej z nich warunkuje zgodne z prawem przetwarzanie danych osobowych.
Zgodnie ze stanowiskiem WSA w Warszawie II SA/Wa 1254/17 na podstawie „art. 23 ust. 1 pkt 5 ustawy z 1997 roku, przetwarzanie takich danych jest dopuszczalne wtedy, gdy jest to niezbędne dla wypełnienia prawnie usprawiedliwionych celów realizowanych przez administratorów danych albo odbiorców danych, a przetwarzanie nie narusza praw i wolności osoby, której dane dotyczą. Stosownie do treści art. 23 ust. 4 ustawy z 1997 roku, za prawnie usprawiedliwiony cel, o którym mowa w ust. 1 pkt 5, uważa się w szczególności marketing bezpośredni własnych produktów lub usług administratora danych. Art. 32 ust. 1 ustawy z 1997 roku stanowi natomiast, iż każdej osobie przysługuje prawo do kontroli przetwarzania danych, które jej dotyczą, zawartych w zbiorach danych, a zwłaszcza prawo do wniesienia sprzeciwu wobec przetwarzania jej danych w przypadkach wymienionych w art. 23 ust. 1 pkt 4 i 5, gdy administrator danych zamierza je przetwarzać w celach marketingowych lub wobec przekazywania jej danych osobowych innemu administratorowi danych (pkt 8). W myśl art. 32 ust. 3 ustawy z 1997 roku, w razie wniesienia sprzeciwu, o którym mowa w ust. 1 pkt 8, dalsze przetwarzanie kwestionowanych danych jest niedopuszczalne. Administrator danych może jednak pozostawić w zbiorze imię lub imiona i nazwisko osoby oraz numer PESEL lub adres wyłącznie w celu uniknięcia ponownego wykorzystania danych tej osoby w celach objętych sprzeciwem”.
Po 25 maja 2018 roku zgodnie z art. 21 ust. 2 Rozporządzenia 2016/679 „jeżeli dane osobowe są przetwarzane na potrzeby marketingu bezpośredniego, osoba, której dane dotyczą, ma prawo w dowolnym momencie wnieść sprzeciw wobec przetwarzania dotyczących jej danych osobowych na potrzeby takiego marketingu, w tym profilowania, w zakresie, w jakim przetwarzanie jest związane z takim marketingiem bezpośrednim”.
Odnosząc powyższe do okoliczności niniejszej sprawy należy wskazać, że Skarżąca zażądała cyt. „usunięcia uchybień w procesie przetwarzania danych osobowych poprzez wypełnienie wobec niej obowiązków wynikających z art. 32 ust. 1 ustawy z 1997 roku” przez Bank, w szczególności zgłosiła sprzeciw wobec przetwarzania jej danych w celach marketingowych na podstawie art. 32 ust. 1 pkt 8 ustawy z 1997 roku. Zgodnie z art. 32 ust. 3 ustawy z 1997 roku Bank zobowiązany był do uwzględnienia sprzeciwu Skarżącej złożonego w […].02.2015 roku i zaprzestania przetwarzania jej danych osobowych w celach marketingowych. Sprzeciw został uwzględniony dopiero […].07.2017 roku. W omawianej sprawie zachowanie Banku w okresie od […].02.2015 roku do […].07.2017 roku jawi się jako naruszenie przepisów ustawy o ochronie danych osobowych. Niemniej jednak Prezes Urzędu Ochrony Danych Osobowych nie dysponuje instrumentami prawnymi, które umożliwiłyby zniwelowanie skutków wcześniejszego naruszenia.
Jednocześnie należy wskazać, że podstawą prawną przetwarzania danych osobowych Skarżącej przez Bank dla celów marketingowych do czasu zgłoszenia przez nią sprzeciwu w dniu […] lutego 2015 roku była zgoda złożona w oświadczeniu załączonym do umów zawartych przez Skarżącą z Bankiem w 2004 roku. Przesłanka ta wyrażona była w art. 23 ust.1 pkt 1 ustawy z 1997 roku (art. 6 ust.1 lit. a Rozporządzenia 2016/679). Obecnie Bank nie przetwarza danych osobowych Skarżącej w celach marketingowych.
Niezależnie od powyższego informuję, że jeżeli w ocenie Skarżącej doszło do naruszenia jej dóbr osobistych np. w postaci naruszenia prawa do prywatności poprzez przesyłanie do niej informacji marketingowych bez podstawy prawnej, może ona dochodzić swoich roszczeń z tego tytułu w drodze powództwa cywilnego wytoczonego przed właściwy miejscowo sąd powszechny. Zgodnie bowiem z treścią art. 24 § 1 ustawy z dnia 23 kwietnia 1964 r. Kodeks cywilny (Dz.U. z 2018 r., poz. 1025), ten, czyje dobro osobiste zostało naruszone może m.in. żądać zadośćuczynienia pieniężnego lub zapłaty odpowiedniej sumy pieniężnej na wskazany cel społeczny.
Biorąc pod uwagę powyższe rozważania należy uznać, że nie zaistniała podstawa do wydania decyzji nakazującej przywrócenie stanu zgodnego z prawem przez Prezesa UODO, zasadnym jest wydanie decyzji odmawiającej spełnienia żądania osoby, której dane dotyczą.
W tym stanie faktycznym i prawnym Prezes UODO rozstrzygnął, jak w sentencji.
Na podstawie art. 127 § 3 Kpa od niniejszej decyzji stronie przysługuje prawo do wniesienia wniosku o ponowne rozpatrzenie sprawy w terminie 14 dni od dnia doręczenia decyzji stronie. Jeżeli strona nie chce skorzystać z prawa do złożenia wniosku o ponowne rozpatrzenie sprawy, ma prawo do wniesienia skargi na decyzję do Wojewódzkiego Sądu Administracyjnego w Warszawie w terminie 30 dni od dnia doręczenia jej stronie, za pośrednictwem Prezesa Urzędu Ochrony Danych Osobowych (adres: ul. Stawki 2, 00 - 193 Warszawa). Jednakże w związku z obowiązującym w dniu wydania decyzji stanem epidemii, zgodnie z art. 15zzr ust. 1 pkt 1 ustawy z dnia 2 marca 2020 r. o szczególnych rozwiązaniach związanych z zapobieganiem, przeciwdziałaniem i zwalczaniem COVID-19, innych chorób zakaźnych oraz wywołanych nimi sytuacji kryzysowych (Dz. U. z 2020 r. poz. 374 ze zm.), bieg tych terminów aktualnie nie rozpoczyna się; zaczną one biec w dniu następującym po ostatnim dniu obowiązywania stanu epidemii lub następującego po nim bezpośrednio ewentualnego stanu zagrożeniaepidemicznego.
Wpis od skargi wynosi 200 zł. Strona ma prawo ubiegania się o prawo pomocy, w tym zwolnienie od kosztów sądowych.