ZKE.440.49.2019
Na podstawie art. 104 § 1 ustawy z dnia 14 czerwca 1960 r. Kodeks postępowania administracyjnego (Dz. U. z 2018 r, poz. 2096 ze zm.), art. 160 ust. 1 i 3 ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych (Dz.U. z 2019 r., poz. 1781), art. 12 pkt 2 i art. 22 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. z 2016 r., poz. 922 ze zm.) oraz art. 6 ust. 1, art. 57 ust. 1 lit. a), lit. f) i art. 28 Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych osobowych) (Dz. Urz. UE L 119 z 04.05.2016, str. 1 oraz Dz. Urz. UE L 127 z 23.05.2018, str. 2), w związku z art. 105 ust. 4 i art. 105a ust. 4 i 5 ustawy z dnia 29 sierpnia 1997r. Prawo bankowe (Dz. U. z 2018 r., poz. 2187 z późn. zm.), po przeprowadzeniu postępowania administracyjnego w sprawie skargi Pani M. K., na nieuprawnione przetwarzanie przez P. S.A. jej danych osobowych w celach marketingowych oraz ich udostępnienie D. Sp. z o.o., Prezes Urzędu Ochrony Danych Osobowych,
odmawia uwzględnienia wniosku
UZASADNIENIE
Do Biura Generalnego Inspektora Ochrony Danych Osobowych (aktualnie: Urzędu Ochrony danych osobowych) wpłynęła skarga Pani M. K. (zwanej dalej również: „Skarżącą”), na nieuprawnione przetwarzanie przez P. S.A. (zwaną dalej: „Bankiem”), jej danych osobowych w celach marketingowych oraz ich udostępnienie D. Sp. z o.o. (zwanej dalej: „Spółką”).
W treści skargi Skarżąca żąda podjęcia przez organ ochrony danych działań zmierzających do:
1) zaprzestania przetwarzania przez Bank danych osobowych Pani M. K. do celów marketingowych;
2) zaprzestania przetwarzania przez D. Sp. z o.o. danych osobowych Skarżącej do celów marketingowych.
W toku postępowania przeprowadzonego w niniejszej sprawie Prezes Urzędu Ochrony Danych Osobowych ustalił następujący stan faktyczny.
1. W dniu […] października 2013 r. Pani M. K. zawarła z Bankiem umowę rachunku oszczędnościowo-rozliczeniowego […], usług bankowości elektronicznej oraz karty debetowej ([…]), - rachunek o numerze: […].
2. Bank i D. Sp. z o.o. przetwarzały dane osobowe Skarżącej w celu marketingowym.
3. Bank współpracował z D. Sp. z o.o. na podstawie umowy ramowej z […] lipca 2015 r. oraz umowy powierzenia przetwarzania danych osobowych z […] lipca 2015 r. (kopie ww. umów w załączeniu). Współpraca pomiędzy Bankiem a Spółką polegała na kontaktowaniu się przez pracownika Spółki z klientami Banku, których dane Spółka pozyskała od Banku w celu przedstawienia propozycji skorzystania z oferty produktowej Banku.
4. Dane osobowe Pani M. K. przekazane przez Bank do D. Sp. z o.o. znajdowały się w bazie Spółki w dniach od […] września 2015 r. do […] października 2015 r. W tym czasie pracownicy Spółki podejmowali próby telefonicznego kontaktu ze Skarżącą w celu zareklamowania oferty produktowej Banku, jednak bez żadnego rezultatu.
5. Rachunek o numerze: […] został przez Bank zamknięty w dniu […] stycznia 2016 r.
6. W dniu […] stycznia 2016 r. Pani M. K. wniosła do Banku sprzeciw wobec przetwarzania jej danych osobowych, o którym mowa w art. 32 ust. 1 pkt 8 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. z 2016 r. poz. 922 ze zm.), zwanej dalej: „ustawą o ochronie danych osobowych z 1997”.
7. Sprzeciw ten został uwzględniony przez Bank, co zostało odnotowane także w systemie informatycznym Banku.
8. Obecnie dane osobowe Skarżącej nie są przetwarzane do celów marketingowych zarówno przez Bank, jak i przez Spółkę.
Po przeanalizowani zgromadzonego w sprawie materiału dowodowego, Prezes Urzędu Ochrony Danych Osobowych stwierdza, co następuje.
Z dniem 25 maja 2018 r. w życie weszły przepisy ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych (Dz. U. z 2019 r., poz. 1781).
W myśl art. 160 ust. 1-3 ustawy o ochronie danych osobowych z 2018, postępowania prowadzone przez Generalnego Inspektora Ochrony Danych Osobowych, wszczęte i niezakończone przed dniem wejścia w życie niniejszej ustawy, prowadzone są przez Prezesa Urzędu Ochrony Danych Osobowych na podstawie ustawy o ochronie danych osobowych z 1997, zgodnie z zasadami określonymi w ustawie z dnia 14 czerwca 1960 r. Kodeks postępowania administracyjnego (Dz. U. z 2018 r. poz. 2096 ze zm.). Jednocześnie, czynności dokonane w postępowaniach, wszczętych i niezakończonych przed dniem wejścia w życie przepisów ustawy o ochronie danych osobowych z 1997, pozostają skuteczne.
Od dnia 25 maja 2018 r. zastosowanie ma również rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych osobowych) (Dz. Urz. UE L 119 z 04.05.2016, str. 1 oraz Dz. Urz. UE L 127 z 23.05.2018, str. 2), zwane dalej „Rozporządzeniem 2016/679”.
Stosownie do art. 57 ust. 1 Rozporządzenia 2016/679, bez uszczerbku dla innych zadań określonych na mocy tego rozporządzenia, każdy organ nadzorczy na swoim terytorium monitoruje i egzekwuje stosowanie tego rozporządzenia (lit. a) oraz rozpatruje skargi wniesione przez osobę, której dane dotyczą, lub przez umocowany przez nią – zgodnie z art. 80 Rozporządzeniem 2016/679 – podmiot, organizację lub zrzeszenie, w odpowiednim zakresie prowadzi postępowania w przedmiocie tych skarg i w rozsądnym terminie informuje skarżącego o postępach i wynikach tych postępowań (lit. f).
W tym miejscu wskazać należy, że Prezes Urzędu Ochrony Danych Osobowych wydając decyzję administracyjną zobowiązany jest do rozstrzygania w oparciu o stan faktyczny istniejący w chwili wydania tej decyzji. Jak podnosi doktryna „organ administracji publicznej ocenia stan faktyczny sprawy według chwili wydania decyzji administracyjnej. Reguła ta odnosi się także do oceny stanu prawnego sprawy, co oznacza, że organ administracji publicznej wydaje decyzję administracyjną na podstawie przepisów prawa obowiązujących w chwili jej wydania (…). Rozstrzyganie w postępowaniu administracyjnym polega na zastosowaniu obowiązującego prawa do ustalonego stanu faktycznego sprawy administracyjnej. W ten sposób organ administracji publicznej realizuje cel postępowania administracyjnego, jakim jest urzeczywistnienie obowiązującej normy prawnej w zakresie stosunków administracyjno-prawnych, gdy stosunki te tego wymagają” (Komentarz do ustawy z dnia 14 czerwca 1960 r. Kodeks postępowania administracyjnego, M. Jaśkowska, A. Wróbel, Lex., el/2012). Również Naczelny Sąd Administracyjny – w wyroku z dnia 7 maja 2008 r. w sprawie o sygn. akt I OSK 761/07 stwierdził, iż cyt.: „badając bowiem legalność przetwarzania danych osobowych, GIODO ma obowiązek ustalenia, czy na datę wydawania rozstrzygnięcia w sprawie dane konkretnego podmiotu są przetwarzane oraz czy czynione to jest w sposób zgodny z prawem”.
Zgodnie z brzmieniem przepisu art. 23 ust. 1 ustawy o ochronie danych osobowych z 1997, obowiązującej w okresie, którego dotyczyła skarga Skarżącego, przetwarzanie danych osobowych było dopuszczalne, gdy: osoba, której dane dotyczą, wyrazi na to zgodę, chyba że chodzi o usunięcie dotyczących jej danych (pkt 1), jest to niezbędne dla zrealizowania uprawnienia lub spełnienia obowiązku wynikającego z przepisu prawa (pkt 2), jest to konieczne do realizacji umowy, gdy osoba, której dane dotyczą, jest jej stroną lub gdy jest to niezbędne do podjęcia działań przed zawarciem umowy na żądanie osoby, której dane dotyczą (pkt 3), jest niezbędne do wykonania określonych prawem zadań realizowanych dla dobra publicznego (pkt 4), jest to niezbędne dla wypełnienia prawnie usprawiedliwionych celów realizowanych przez administratorów danych albo odbiorców danych, a przetwarzanie nie narusza praw i wolności osoby, której dane dotyczą (pkt 5). Przepis art. 23 ust. 4 ustawy o ochronie danych osobowych z 1997 stanowił zaś, że za prawnie usprawiedliwiony cel, o którym mowa w art. 23 ust. 1 pkt 5, uważa się w szczególności marketing bezpośredni własnych produktów lub usług administratora danych.
Art. 32 ust. 1 pkt 8 ustawy o ochronie danych osobowych z 1997 przyznawał osobie której dane dotyczą uprawnienie do wniesienia sprzeciwu wobec przetwarzania jej danych osobowych w przypadkach wymienionych w art. 23 ust. 1 pkt 4 i 5. Oznacza to, że osoba, której dane dotyczą mogła wnieść do administratora danych sprzeciw wobec przetwarzania jej danych osobowych w celu marketingowym. Jednocześnie z dyspozycji art. 32 ust. 3 ustawy o ochronie danych osobowych z 1997 wynikało, że po odnotowaniu takiego sprzeciwu dalsze przetwarzanie kwestionowanych danych było niedopuszczalne.
W myśl przepisów obowiązujących obecnie (od dnia 25 maja 2018 r., tj. od dnia rozpoczęcia stosowania przepisów Rozporządzenia 2016/679) przetwarzanie danych osobowych jest zgodne z prawem, gdy administrator danych legitymuje się co najmniej jedną z określonych w art. 6 ust. 1 Rozporządzenia 2016/679, materialnych przesłanek przetwarzania danych osobowych. Według wyżej wskazanego przepisu przetwarzanie danych osobowych jest zgodne z prawem wyłącznie, gdy zostanie spełniony jeden z wymienionych warunków: a) osoba, której dane dotyczą wyraziła zgodę na przetwarzanie swoich danych osobowych w jednym lub większej liczbie określonych celów; b) przetwarzanie jest niezbędne do wykonywania umowy, której stroną jest osoba, której dane dotyczą, lub do podjęcia działań na żądanie osoby, której dane dotyczą, przed zawarciem umowy; c) przetwarzanie jest niezbędne do wypełnienia obowiązku prawnego ciążącego na administratorze; d) przetwarzanie jest niezbędne do ochrony żywotnych interesów osoby, której dane dotyczą, lub innej osoby fizycznej; e) przetwarzanie jest niezbędne do wykonania zadania realizowanego w interesie publicznym lub w ramach sprawowania władzy publicznej powierzonej administratorowi; f) przetwarzanie jest niezbędne do celów wynikających z prawnie uzasadnionych interesów realizowanych przez administratora lub przez stronę trzecią, z wyjątkiem sytuacji, w których nadrzędny charakter wobec tych interesów mają interesy lub podstawowe prawa i wolności osoby, której dane dotyczą, wymagające ochrony danych osobowych, w szczególności gdy osoba, której dane dotyczą, jest dzieckiem.
W świetle motywu 47 Rozporządzenia 2016/679 za działanie wykonywane w prawnie uzasadnionym interesie, o którym mowa w jego art. 6 ust. 1 lit. f), należy uznać między innymi przetwarzanie danych osobowych do celów marketingu bezpośredniego.
Z kolei przepisy art. 21 ust. 2-3 Rozporządzenia 2016/679, analogicznie do uprzednio obowiązującej regulacji art. 32 ust. 1 pkt 8 i art. 32 ust. 3 ustawy o ochronie danych osobowych z 1997, przewidują prawo wniesienia przez osobę, której dane dotyczą, sprzeciwu wobec przetwarzania jej danych osobowych na potrzeby marketingu bezpośredniego administratora, skutkującego niedopuszczalnością dalszego przetwarzania w tym celu.
Odnosząc się natomiast do przekazania przez Bank danych osobowych Skarżącej do D. Sp. z o.o., jako podmiotowi, o którym mowa w art. 28 ust. 3 Rozporządzenia 2016/679, analogicznie do uprzednio obowiązującego art. 31 ustawy o ochronie danych osobowych z 1997, stwierdzić należy, że obowiązujące przepisy prawne nie ograniczają możliwości powierzenia przez Bank świadczenia przez inny podmiot, w tym przypadku przez D. Sp. z o.o. na rzecz Banku, usług polegających na przeprowadzeniu rozmowy telefonicznej z osobami, których dane pochodzą z bazy danych dostarczonej przez Bank, a której celem jest przedstawienie oferty produktowej Banku.
Pomiędzy Bankiem a Spółką zawarta została w dniu […] lipca 2015 r. umowa ramowa oraz umowa z dnia […] lipca 2015 r. powierzenia przetwarzania danych osobowych, o której mowa w art. 31 ustawy 1997 r., stanowiącym odpowiednik obowiązującego od 25 maja 2018 r. art. 28 Rozporządzenia 2016/679.
Wskazania zatem wymaga, że D. Sp. z o.o. zgodnie z art. 28 ust. 3 Rozporządzenia 2016/679, była uprawniona do przetwarzania danych osobowych Skarżącej na podstawie umowy powierzenia przetwarzania danych osobowych zawartej z Bankiem w dniu [..] lipca 2015 r.
W niniejszej sprawie obowiązkiem Banku wynikającym z przedstawionych powyżej regulacji było zatem stosowne odnotowanie w swoich systemach informatycznych oraz bazach danych informacji o sprzeciwie Skarżącej wobec przetwarzania jej danych osobowych na potrzeby marketingu i w konsekwencji zaprzestanie przetwarzania jej danych osobowych w tych celach zarówno przez Bank, jak i przez Spółkę. Jak ustalono w niniejszej sprawie, sprzeciw wniesiony przez Panią M. K. wobec przetwarzania jej danych osobowych na potrzeby marketingu został odnotowany w systemie informatycznym Banku i zarówno Bank, jak i podmiot, któremu Bank powierzył przetwarzanie danych osobowych Skarżącej, tj. Spółka zaprzestali przetwarzania jej danych osobowych w tych celach. Wskazać także należy, że dane osobowe Skarżącej już od […] października 2015 r. nie są w Spółce przetwarzane.
Natomiast, aktem prawnym zawierającym szczegółowe regulacje dotyczące procesu przetwarzania danych osobowych klientów banków w związku z czynnościami bankowymi jest przede wszystkim ustawa z dnia 29 sierpnia 1997 r. – Prawo bankowe (Dz. U. z 2018 r., poz. 2187), zwane dalej „Prawem bankowym”.
Zgodnie z art. 105a ust. 1 Prawa bankowego, przetwarzanie przez banki, inne instytucje ustawowo upoważnione do udzielania kredytów oraz instytucje utworzone na podstawie art. 105 ust. 4 (np. BIK), informacji stanowiących tajemnicę bankową w zakresie dotyczącym osób fizycznych może być wykonywane, z zastrzeżeniem art. 104, 105 i art. 106-106c, w celu oceny zdolności kredytowej i analizy ryzyka kredytowego. Informacje zawarte w BIK służyć mają wypełnianiu przez banki, jako instytucje zaufania publicznego, ich ustawowych obowiązków związanych z koniecznością dokładania szczególnej staranności w zakresie zapewnienia bezpieczeństwa przechowywanych środków pieniężnych, a także koniecznością należytego badania zdolności kredytowej, od której istnienia – zgodnie z art. 70 ust. 1 Prawa bankowego – bank uzależnia udzielenie kredytu. Badanie zdolności kredytowej, na którą składa się zdolność do spłaty zobowiązań i wiarygodność kredytowa, jest niezwykle istotnym elementem działalności banku. Biuro Informacji Kredytowej zostało utworzone właśnie w celu zmniejszenia ryzyka udzielania trudnych kredytów, przyśpieszenia i uproszczenia procedur kredytowych, wspomagania decyzji banków dotyczących udzielania kredytu.
Jak wynika z poczynionych ustaleń faktycznych, Bank przetwarza aktualnie dane osobowe Skarżącej wynikające z umowy rachunku oszczędnościowo-rozliczeniowego […], usług bankowości elektronicznej oraz karty debetowej ([…]) wyłącznie w celu stosowania wewnętrznych metod statystycznych, do czego uprawniony jest na podstawie art. 105a ust. 4 Prawa bankowego, zgodnie z którym Banki oraz instytucje, o których mowa w art. 105 ust. 4, mogą przetwarzać informacje stanowiące tajemnicę bankową, dotyczące osób fizycznych po wygaśnięciu zobowiązania wynikającego z umowy zawartej z bankiem lub inną instytucją ustawowo upoważnioną do udzielania kredytów, bez zgody osoby, której informacje dotyczą, dla celów stosowania metod statystycznych, o których mowa w art. 128 ust. 3.
W związku z poczynionymi ustaleniami wskazać należy, że dalsze prowadzenie przez Prezesa Ochrony Danych Osobowych postępowania administracyjnego, zainicjowanego skargą na nieprawidłowości w przetwarzaniu danych osobowych Skarżącego przez Bank i Spółkę, ukierunkowanego na wydanie decyzji administracyjnej na podstawie art. 18 ust. 1 ustawy o ochronie danych osobowych z 1997 jest niezasadne.
Stosownie do brzmienia ww. przepisu, w przypadku naruszenia przepisów o ochronie danych osobowych Prezes UODO z urzędu lub na wniosek osoby zainteresowanej, w drodze decyzji administracyjnej, nakazuje przywrócenie stanu zgodnego z prawem, a w szczególności: usunięcie uchybień (1), uzupełnienie, uaktualnienie, sprostowanie, udostępnienie lub nieudostępnienie danych osobowych (2), zastosowanie dodatkowych środków zabezpieczających zgromadzone dane osobowe (3), wstrzymanie przekazywania danych osobowych do państwa trzeciego (4), zabezpieczenie danych lub przekazanie ich innym podmiotom (5) lub usunięcie danych osobowych (6). Z brzmienia art. 18 ust. 1 ustawy o ochronie danych osobowych z 1997, a zarazem z definicji decyzji administracyjnej – jako aktu rozstrzygającego w sposób władczy o prawach i obowiązkach stron postępowania w ustalonym i aktualnym na chwilę jego wydania stanie faktycznym i prawnym – wynika, że organ ochrony danych osobowych nie dokonuje oceny zdarzeń przeszłych, nie kontynuowanych w chwili orzekania. Decyzja Prezesa UODO jest bowiem instrumentem służącym przywróceniu stanu zgodnego z prawem w procesie przetwarzania danych, realizowanym w chwili wydania decyzji.
Podsumowując stwierdzić należy, że obecnie nie ma podstaw dla sformułowania nakazu, o którym mowa w art. 18 ust. 1 ustawy o ochronie danych osobowych z 1997, albowiem dane osobowe Skarżącej nie są już przetwarzane zarówno przez Bank, jak i Spółkę do celów marketingowych. Bank obecnie przetwarza dane Skarżącej wyłącznie w celach stosowania wewnętrznych metod statystycznych, co zgodne jest z obowiązującymi przepisami prawa i nie wymaga zgody Skarżącej. Z uwagi na powyższe, postępowanie administracyjne w niniejszej sprawie należało zakończyć decyzją o odmowie uwzględnienia wniosku Skarżącego.
W tym stanie faktycznym i prawnym Prezes Urzędu Ochrony Danych Osobowych rozstrzygnął, jak w sentencji.
Na podstawie art. 127 § 3 Kpa od decyzji przysługuje stronie prawo do wniesienia wniosku o ponowne rozpatrzenie sprawy w terminie 14 dni od dnia jej doręczenia stronie. Jeżeli strona nie chce skorzystać z prawa do złożenia wniosku o ponowne rozpatrzenie sprawy, ma prawo do wniesienia skargi na decyzję do Wojewódzkiego Sądu Administracyjnego w Warszawie w terminie 30 dni od dnia doręczenia jej stronie. Skargę wnosi się za pośrednictwem Prezesa Urzędu Ochrony Danych Osobowych (adres: ul. Stawki 2, 00-193 Warszawa). Wpis od skargi wynosi 200 złotych. Strona ma prawo ubiegania się o prawo pomocy, w tym zwolnienie od kosztów sądowych.