ZKE.440.88.2019
Na podstawie art. 104 § 1 ustawy z dnia 14 czerwca 1960 r. Kodeks postępowania administracyjnego (Dz. U. z 2018 r., poz. 2096 ze zm.) w zw. z art. 18 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz.U. z 2016 r. poz. 922 ze zm.) i art. 160 ust. 1 i 2 ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych (Dz. U. z 2018 r., poz. 1000 ze zm.) oraz art. 57 ust. 1 pkt f) rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (Dz. Urz. UE L 119 z 04.05.2016, str. 1, ze zm.), po przeprowadzeniu postępowania administracyjnego w sprawie skargi Pana M. G., na przetwarzanie jego danych osobowych przez A. S.A., Prezes Urzędu Ochrony Danych Osobowych
odmawia uwzględnienia wniosku.
UZASADNIENIE
Do Generalnego Inspektora Ochrony Danych Osobowych (obecnie Prezes Urzędu Ochrony Danych Osobowych) wpłynęła skarga Pana M. G., zwanego dalej ,,Skarżącym”, na przetwarzanie jego danych osobowych przez A. S.A., zwanego dalej ,,Bankiem”.
W treści skargi Skarżący wskazał, że cyt.: „W dniu […] listopada 2017 r. Bank zaprezentował mi w serwisie bankowości internetowej (po zalogowaniu się) reklamę kredytu gotówkowego (w załączeniu) pomimo złożenia przeze mnie sprzeciwu na przetwarzanie danych osobowych w celach marketingowych przy zawieraniu umowy z Bankiem. Pomimo złożonej reklamacji Bank nie odniósł się do kwestii przetwarzania moich danych osobowych”.
Do ww. skargi Skarżący załączył skierowaną do Banku wiadomość elektroniczną z […] listopada 2017 r., w której poprosił o udzielnie odpowiedzi na pytanie dotyczące m.in. wskazania podstawy prawnej upoważniającej Bank do wyświetlenia na jego koncie w serwisie bankowości elektronicznej Banku – reklamy kredytu gotówkowego.
Na podstawie zebranego w sprawie materiału dowodowego Prezes Urzędu Ochrony Danych Osobowych ustalił następujący stan faktyczny:
Z wyjaśnień Banku z dnia […] czerwca 2018 r. złożonych w toku postępowania wynika, że Bank pozyskał dane osobowe bezpośrednio od Skarżącego w dniu […] czerwca 2016 r. w związku z realizacją czynności zmierzających do zawarcia umowy rachunku oszczędnościowo – rozliczeniowego nr […]. Tego dnia Skarżący podpisał również umowę ramową umożliwiającą dostęp do kanałów elektronicznych. Bank przetwarza dane osobowe Skarżącego w zbiorze ,,K.” w następującym zakresie: imię, nazwisko, PESEL, data urodzenia, kraj urodzenia, miejsce urodzenia, seria i numer dowodu osobistego, data ważności dowodu osobistego, obywatelstwo, stan cywilny, adres zameldowania, adres zamieszkania, adres do korespondencji, kraj rezydencji, status dewizowy, numer telefonu komórkowego, numer telefonu służbowego, wizerunek, nazwisko panieńskie matki, imię ojca, imię matki, adres e-mail, informacja o urzędzie skarbowym, pod który podlega Skarżący. Dane osobowe Skarżącego są przetwarzane na podstawie art. 23 ust. 1 pkt 3 ustawy – w celu realizacji czynnych umów o prowadzenie rachunków, tj. rachunku oszczędnościowo-rozliczeniowego nr […], rachunku oszczędnościowo-rozliczeniowego nr […], rachunku oszczędnościowo-rozliczeniowego nr […], rachunku oszczędnościowo nr […], rachunku bieżącego […] nr […], rachunku depozytowego terminowego nr […], rachunku depozytowego terminowego nr […]. Bank poinformował, że nie pozyskał od Skarżącego zgody na przetwarzanie jego danych do celów marketingowych, niemniej jednak w wyniku analizy zastrzeżeń Skarżącego zawartych w skardze ustalił, że cyt.: ,,w listopadowej edycji kampanii pożyczkowej, która prezentowana była na platformie internetowej Banku zdiagnozowany został problem techniczny, w wyniku którego chwilowo, po zalogowaniu się do platformy, klientom mogły wyświetlać się ekrany z informacjami o charakterze marketingowym pomimo zgłoszonego sprzeciwu”. Jednocześnie Bank oświadczył, że ww. nieprawidłowość została niezwłocznie naprawiona oraz zapewnił, że ,,była to sytuacja marginalna”, ,,a prezentacja oferty w postaci ekranu reklamowego nastąpiła w wyniku błędu technicznego”. Bank odniósł się również do kwestii braku otrzymania przez Skarżącego odpowiedzi na reklamację, tj. na wiadomość elektroniczną z […] listopada 2017 r., mianowicie wyjaśnił, że cyt. ,,na zgłoszenia, które wpływają do Banku drogą mailową, Bank udziela odpowiedzi ogólnych, które nie wymagają weryfikacji danych klientów w systemie. Powyższe podejście związane jest z troską o bezpieczeństwo danych klientów. Zgodnie z polityką reklamacyjną Banku, reklamacja może zostać zgłoszona […]”. Bank jednocześnie dodał, że […] listopada 2017 r. skierował do Skarżącego informację, że w celu weryfikacji opisanej przez niego sytuacji, niezbędny jest kontakt z infolinią lub Oddziałem Banku.Bank poinformował również, że cyt. ,,do dnia dzisiejszego nie odnotował kontaktu Klienta, w trakcie którego złożyłby on reklamację na poruszone kwestie wskazanymi przez Bank kanałami komunikacji”.
W tym stanie faktycznym Prezes Urzędu Ochrony Danych Osobowych zważył, co następuje.
Na wstępie wskazać należy, że z dniem 25 maja 2018 r., wraz z wejściem w życie ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych (Dz. U. z 2018 r., poz. 1000 ze zm.), Biuro Generalnego Inspektora Ochrony Danych Osobowych stało się Urzędem Ochrony Danych Osobowych. Postępowania prowadzone przez Generalnego Inspektora Ochrony Danych Osobowych, wszczęte i niezakończone przed 25 maja 2018 r. prowadzone są przez Prezesa Urzędu Ochrony Danych Osobowych, na podstawie ustawy z 29 sierpnia 1997 r. o ochronie danych osobowych (Dz.U. z 2016 r., poz. 922 ze zm.), zwaną dalej ,,ustawą z 1997 r.”, zgodnie z zasadami określonymi w Kodeksie postępowania administracyjnego (Dz. U. z 2017 r. poz. 1257 ze zm.), zwanym dalej ,,Kpa”. Wszelkie czynności podejmowane przez Generalnego Inspektora Ochrony Danych Osobowych przed 25 maja 2018 r. pozostają skuteczne (art. 160 ust. 1 i ust. 2 ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych).
Stosownie do art. 57 ust. 1 lit. f) rozporządzenia Parlamentu Europejskiego i Rady UE 2016/679 z 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych osobowych) (Dz. Urz. UE L 119 z 4.05.2016, str. 1 oraz Dz. Urz. UE L 127 z 23.05.2018 str. 2), dalej ,,RODO”, bez uszczerbku dla innych zadań określonych na mocy niniejszego rozporządzenia każdy organ nadzorczy na swoim terytorium rozpatruje skargi wniesione przez osobę, której dane dotyczą, lub przez podmiot, organizację lub zrzeszenie zgodnie z art. 80, w odpowiednim zakresie prowadzi postępowania w przedmiocie tych skarg i w rozsądnym terminie informuje skarżącego o postępach i wynikach tych postępowań, w szczególności jeżeli niezbędne jest dalsze prowadzenie postępowań lub koordynacja działań z innym organem nadzorczym.
W dniu 25 maja 2018 r. zaczęło obowiązywać RODO, którego przepisy regulują kwestie związane z przetwarzaniem danych osobowych osób fizycznych. Od tego dnia Prezes Urzędu Ochrony Danych Osobowych zobowiązany jest stosować przepisy RODO do wszystkich postępowań administracyjnych, które prowadzi. Prezes Urzędu wydając rozstrzygnięcie w danej sprawie uwzględnia bowiem stan prawny obowiązujący w chwili wydawania tego rozstrzygnięcia.
Mając na względzie powyższe oraz fakt, że postępowanie w niniejszej sprawie zostało wszczęte w chwili obowiązywania ustawy o ochronie danych z 1997 r., Prezes Urzędu wydając rozstrzygnięcie w tej sprawie zobowiązany jest uwzględnić zarówno proceduralne przepisy ustawy o ochronie danych z 1997 r. jak i RODO.
Zgodnie z art. 18 ust. 1 ustawy o ochronie danych z 1997 r., w przypadku naruszenia przepisów o ochronie danych osobowych Generalny Inspektor Ochrony Danych Osobowych (aktualnie Prezes Urzędu Ochrony Danych Osobowych) z urzędu lub na wniosek osoby zainteresowanej, w drodze decyzji administracyjnej, nakazuje przywrócenie stanu zgodnego z prawem, a w szczególności m.in. usunięcie uchybień.
Prezes Urzędu działając na podstawie i w granicach kompetencji przyznanych mu przepisami RODO, wydając decyzję w konkretnej sprawie bada stan faktyczny i prawny na dzień wydania danej decyzji. Z ustaleń poczynionych przez Prezesa Urzędu Ochrony Danych Osobowych wynika, że udostępnienie przez Bank reklamy kredytu gotówkowego było działaniem jednorazowym, które aktualnie nie jest kontynuowane.
W związku z powyższym, na dzień wydania niniejszej decyzji brak jest stanu naruszenia przez Bank przepisów ochrony danych osobowych w wyżej wskazanym zakresie. Konsekwentnie, Prezes Urzędu Ochrony Danych Osobowych nie ma więc możliwości wydania decyzji administracyjnej nakazującej w niniejszej sprawie przywrócenie stanu zgodnego z prawem na podstawie art. 18 ustawy o ochronie danych z 1997 r. w zw. z art. 160 ust. 2 ustawy o ochronie danych z 2018 r.
Biorąc po uwagę, że na dzień wydania przedmiotowej decyzji dane osobowe Skarżącego są nadal przetwarzane do celów realizacji wspomnianych umów, tj. na postawie art. 23 ust. 1 pkt 3 ustawy z 1997 r., Prezes Urzędu Ochrony Danych Osobowych rozstrzygnął, jak w sentencji.
Na podstawie art. 127 § 3 Kpa od decyzji przysługuje stronie prawo do wniesienia wniosku o ponowne rozpatrzenie sprawy w terminie 14 dni od dnia jej doręczenia stronie. Jeżeli strona nie chce skorzystać z prawa do złożenia wniosku o ponowne rozpatrzenie sprawy, ma prawo do wniesienia skargi na decyzję do Wojewódzkiego Sądu Administracyjnego w Warszawie w terminie 30 dni od dnia doręczenia jej stronie. Skargę wnosi się za pośrednictwem Prezesa Urzędu (adres: ul. Stawki 2, 00-193 Warszawa). Wpis od skargi wynosi 200 złotych. Strona ma prawo ubiegania się o prawo pomocy, w tym zwolnienie od kosztów sądowych.