ZKE.440.93.2019
Na podstawie art. 104 § 1 ustawy z dnia 14 czerwca 1960 r. Kodeks postępowania administracyjnego (Dz. U. z 2018 r. poz. 2096 ze zm.), art. 160 ust. 1 i 2 ustawy o ochronie danych osobowych z dnia 10 maja 2018 roku (Dz. U. z 2019 r., poz. 1781) oraz art. 12 pkt 2, art. 22, art. 23 ust. 1 pkt 1, pkt 3 ustawy z dnia 29 sierpnia 1997 o ochronie danych osobowych (Dz. U. z 2016 r. poz. 922 ze zm. oraz z 2018 r. poz. 138), w związku z art. 6 ust. lit. a, b Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (Dz. Urz. UE L 119 z 04.05.2016, str. 1 oraz Dz. Urz. UE L 127 z 23.05.2018, str. 2), po przeprowadzeniu postępowania administracyjnego w sprawie skargi Pani E. D. na nieprawidłowości w procesie przetwarzania jej danych osobowych w celach marketingowych przez A. S.A., Prezes Urzędu Ochrony Danych Osobowych
odmawia uwzględnienia wniosku.
UZASADNIENIE
Do Prezesa Urzędu Ochrony Danych Osobowych (poprzednio Generalnego Inspektora Ochrony Danych Osobowych) wpłynęła skarga Pani E. D. (zwaną dalej: Skarżącą), na nieprawidłowości w procesie przetwarzania jej danych osobowych w celach marketingowych przez A. S.A. (zwanego dalej: Bankiem) polegające na przetwarzaniu danych osobowych bez podstawy prawnej. W związku z powyższym Skarżąca wniosła o nakazanie usunięcia uchybień w procesie przetwarzania danych osobowych.
W toku postępowania administracyjnego przeprowadzonego w niniejszej sprawie Prezes Urzędu Ochrony Danych Osobowych (dalej: „Prezes UODO”) ustalił, co następuje.
1. Bank pozyskał dane osobowe bezpośrednio od Skarżącej w dniu […] stycznia 2012 roku w związku z realizacja czynności zmierzających do zawarcia umowy nr […]. Skarżąca podpisała z Bankiem tzw. Umowę […]
2. Bank wyjaśnił, że przetwarza dane osobowe Skarżącej w związku z umową […] nr […], który otwarty został w dniu […] marca 2013 roku oraz rachunki maklerskie. Podstawą prawną przetwarzania był art. 23 ust. 1 pkt 3 ustawy z dnia 29 sierpnia 1997 o ochronie danych osobowych (Dz. U. z 2016 r. poz. 922 ze zm. oraz z 2018 r. poz. 138 zwanej dalej: „ustawą”), obecnie na podstawie art. 6 lit. b Rozporządzenia 2016/679.
3. Bank przetwarzał dane osobowe Skarżącej do celów marketingowych na podstawie zgody wyrażonej w umowie z […] stycznia 2012 roku, tj. na podstawie art. 23 ust.1 pkt 1 ustawy.
4. Skarżąca wycofała zgodę na przetwarzanie jej danych osobowych dla celów marketingowych w dniu […] lutego 2018 roku. Pracownik Banku skontaktował się ze Skarżącą w dniu […] lutego 2018 roku w celu przedstawienia oferty banku. Skarżąca zwróciła się do Banku z reklamacją na kontakt telefoniczny w celach marketingowych, pomimo zgłoszonego sprzeciwu. Jej dane osobowe znajdowały się w aktualnie używanej do kampanii reklamowej bazie z której wybierano klientów do kontaktu za pośrednictwem automatu. Bank wyjaśnił, że po kontakcie telefonicznym ze Skarżącą usunął jej dane osobowe z trwającej kampanii marketingowej.
5. Z oświadczenia Banku wynika, że obecnie w systemie Banku odnotowany jest sprzeciw na przetwarzanie danych osobowych Skarżącej dla celów marketingowych zatem jej dane osobowe nie zostaną wykorzystane do kolejnych kampanii marketingowych. Od […] lutego 2018 roku Bank zaprzestał przetwarzać dane osobowe Skarżącej w celu marketingowym.
W tym stanie faktycznym Prezes Urzędu Ochrony Danych Osobowych zważył, co następuje.
Z dniem 25 maja 2018 r. w życie weszły przepisy ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych (Dz.U. 2019 poz. 1781), zwanej dalej „u.o.d.o.”.
W myśl art. 160 ust. 1-3 ustawy, postępowania prowadzone przez Generalnego Inspektora Ochrony Danych Osobowych, wszczęte i niezakończone przed dniem wejścia w życie niniejszej ustawy, prowadzone są przez Prezesa Urzędu Ochrony Danych Osobowych na podstawie ustawy, zgodnie z zasadami określonymi w ustawie z dnia 14 czerwca 1960 r. Kodeks postępowania administracyjnego (Dz. U. z 2018 r. poz. 2096 ze zm.), zwanej dalej „k.p.a”. Jednocześnie, czynności dokonane w postępowaniach, wszczętych i niezakończonych przed dniem wejścia w życie przepisów u.o.d.o., pozostają skuteczne.
Od dnia 25 maja 2018 r. zastosowanie ma również rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (Dz. Urz. UE L 119 z 04.05.2016, str. 1 ze zm.), zwane dalej „Rozporządzeniem 2016/679”.
Uwzględniając powyższe stwierdzić należy, że niniejsze postępowanie, wszczęte i niezakończone przed dniem 25 maja 2018 r., prowadzone jest na podstawie ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (w zakresie dotyczącym przepisów regulujących procedurę administracyjną) oraz na podstawie Rozporządzenia 2016/679 (w zakresie rozstrzygającym o legalności procesu przetwarzania danych osobowych). Wynikający w przepisów prawa sposób prowadzenia postępowań w sprawach rozpoczętych i nie zakończonych przed dniem wejścia w życie nowych regulacji z zakresu ochrony danych osobowych koreluje z ugruntowanym stanowiskiem doktryny, zgodnie z którym „organ administracji publicznej ocenia stan faktyczny sprawy według chwili wydania decyzji administracyjnej. Reguła ta odnosi się także do oceny stanu prawnego sprawy, co oznacza, że organ administracji publicznej wydaje decyzję administracyjną na podstawie przepisów prawa obowiązujących w chwili jej wydania” (Komentarz do ustawy z dnia 14 czerwca 1960 r. Kodeks postępowania administracyjnego (Dz. U. 00.98.1071) M. Jaśkowska, A. Wróbel, Lex., el/2012).
W wyroku z dnia 7 maja 2008 r. w sprawie o sygn. akt I OSK 761/07 Naczelny Sąd Administracyjny stwierdził, iż „badając […] legalność przetwarzania danych osobowych, GIODO ma obowiązek ustalenia, czy na datę wydawania rozstrzygnięcia w sprawie dane konkretnego podmiotu są przetwarzane oraz czy czynione to jest w sposób zgodny z prawem”.
W świetle przepisów Rozporządzenia 2016/679, przetwarzanie danych osobowych jest uprawnione, gdy spełniona zostanie którakolwiek z przesłanek wymienionych w art. 6 ust. 1 rozporządzenia 2016/679 (uprzednio art. 23 ust.1 ustawy). Przesłanki te odnoszą się do wszelkich form przetwarzania danych wymienionych w art. 4 pkt 2 Rozporządzenia 2016/679. Warunki te są także względem siebie równoprawne, co oznacza, że dla legalności procesu przetwarzania danych wystarczające jest spełnienie jednej z nich.
W odniesieniu do żądania Skarżącej dotyczącego zbadania zgodności z prawem przetwarzania jej danych osobowych należy wskazać, że podstawą prawną przetwarzania danych osobowych Skarżącej dla celów marketingowych przez Bank do czasu wycofania była zgoda zawarta w umowie. Przesłanka ta wyrażona jest w art. 6 ust.1 lit. a Rozporządzenia 2016/679 (poprzednio art. 23 ust.1 pkt 1 ustawy). Zgodnie z opinią 6/2014 w sprawie pojęcia prawnie uzasadnionych interesów administratora danych na mocy artykułu 7 dyrektywy 95/46/WE w przypadku marketingu bezpośredniego prowadzonego przy wykorzystaniu automatycznych systemów dzwoniących podstawą prawną przetwarzania danych osobowych jest co do zasady zgoda.
Decydujące znaczenie dla rozstrzygnięcia niniejszej sprawy ma fakt, że naruszenie polegające prowadzeniu marketingu bezpośredniego wobec Skarżącej po wycofaniu przez nią zgody zostało w krótkim czasie usunięte. Bank zaprzestał przetwarzania danych osobowych Skarżącej do celów marketingowych.
Biorąc pod uwagę powyższe należy uznać, że nie zaistniała podstawa do wydania decyzji nakazującej przywrócenie stanu zgodnego z prawem przez Prezesa UODO, zasadnym jest wydanie decyzji odmawiającej spełnienia żądania osoby, której dane dotyczą.
W tym stanie faktycznym i prawnym Prezes UODO rozstrzygnął, jak w sentencji.
Na podstawie art. 127 § 3 Kpa od niniejszej decyzji stronie przysługuje prawo do wniesienia wniosku o ponowne rozpatrzenie sprawy w terminie 14 dni od dnia doręczenia decyzji stronie. Jeżeli strona nie chce skorzystać z prawa do złożenia wniosku o ponowne rozpatrzenie sprawy, ma prawo do wniesienia skargi na decyzję do Wojewódzkiego Sądu Administracyjnego w Warszawie w terminie 30 dni od dnia doręczenia jej stronie. Skargę wnosi się za pośrednictwem Prezesa Urzędu Ochrony Danych Osobowych (adres: ul. Stawki 2, 00-193 Warszawa). Wpis od skargi wynosi 200 złotych. Strona ma prawo ubiegania się o prawo pomocy, w tym zwolnienie od kosztów sądowych.