DOLiS/DEC-253/13 - Dopuszczalność korzystania przez bank z numeru telefonu klienta.

Na podstawie art. 138 § 1 pkt 1 ustawy z dnia 14 czerwca 1960 r. - Kodeks postępowania administracyjnego (tekst jedn.: Dz. U. z 2000 r. Nr 98, poz. 1071 z późn. zm.) oraz art. 12 pkt 2, art. 18 ust. 1 pkt 1, art. 22, art. 23 ust. 1 pkt 2 i art. 33 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (tekst jedn.: Dz. U. z 2002 r. Nr 101, poz. 926, z późn. zm.), w związku z art. 6a ustawy z dnia 29 sierpnia 1997 r. - Prawo bankowe (tekst jedn.: Dz. U. z 2002 r. Nr 72, poz. 665 z późn. zm.) po rozpoznaniu wniosku Pana D. M., o ponowne rozpatrzenie sprawy rozstrzygniętej decyzją Generalnego Inspektora Ochrony Danych Osobowych z dnia 26 czerwca 2012 r. (znak: DOLiS/DEC-579/12/39460,39462,39465), w sprawie skargi na przetwarzanie jego danych osobowych przez Ż. S.A. oraz przez K. S.A.

W dniu (...) października 2011 r. do Biura Generalnego Inspektora Ochrony Danych Osobowych wpłynęła skarga Pana D. M., z dnia (...) października 2011 r. W treści skargi Pan D. M., zwany dalej Skarżącym, podniósł, iż Ż. S.A., zwany dalej Spółką, kontaktował się z nim cyt.: "w celu zmiany operatora telekomunikacyjnego". W następstwie powyższego, Skarżący zwrócił się do Spółki pisemnie o poinformowanie go w trybie art. 33 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (tekst jedn.: Dz. U. z 2002 r. Nr 101, poz. 926 z późn. zm.), zwanej dalej ustawą, cyt.: "o przekazanie informacji na temat (jego) danych osobowych". Skarżący zwrócił się także do Urzędu Komunikacji Elektronicznej w przedmiotowej sprawie. Skarżący - w odpowiedzi na jego pismo skierowane do Spółki w trybie art. 33 ustawy - otrzymał odpowiedź od K. S.A., zwanego dalej Bankiem. Skarżący próbował drogą telefoniczną wyjaśnić okoliczności przetwarzanie jego danych osobowych przez Bank, ale działania te nie przyniosły rezultatu. Jednocześnie Skarżący podkreślił, że Bank w trakcie rozmowy telefonicznej cyt.: "wprowadza je (tu: dane) (...) do systemu komputerowego (...) bez mojej zgody". Wobec powyższego Skarżący wniósł do Generalnego Inspektora Ochrony Danych Osobowych o wszczęcie postępowania wobec Spółki. Niezależnie od powyższego, Skarżący postawił następujące pytania: "1) Która właściwie z tych 2 firm jest w posiadaniu moich danych?, 2) Jak mogę zrealizować ustawowe prawo do usunięcia moich danych, jeśli odmawia mi się informacji co do ich zakresu a nawet samego faktu posiadania, 3) Jak to możliwe, że na wniosek UKE wsparty jedynie moim adresem i numerem telefonu przekazano informacje, choć z nieprawdziwym źródłem ich pochodzenia?".

W toku przeprowadzonego postępowania administracyjnego w tej sprawie Generalny Inspektor Ochrony Danych Osobowych, zwany dalej także Generalnym Inspektorem, ustalił co następuje.

Na podstawie poczynionych ustaleń w dniu 26 czerwca 2012 r. Generalny Inspektor wydał decyzję administracyjną (znak: DOLiS/DEC-579/12/39460,39462,39465), mocą której nakazał Bankowi spełnienie wobec Skarżącego obowiązku informacyjnego, określonego w art. 33 ustawy poprzez udzieleni mu pisemnych informacji:

W dniu (...) lipca 2012 r. (nadany w terminie ustawowym) do Biura Generalnego Inspektora Ochrony Danych Osobowych wpłynął wniosek Skarżącego o ponowne rozpatrzenie sprawy. W treści powyższego wniosku Skarżący wniósł o "ponowne rozpatrzenie sprawy w części dotyczącej punku II wydanej decyzji", gdyż jak podkreślił, numer telefonu stacjonarnego tj. (...), już od 2001 r. należał do niego, zatem nieprawdą jest, aby Spółka przetwarzała informacje o tymże numerze jako należącym do klientki Banku, w związku z zawartą z nią w 2005 r. oraz 2007 r. umową kredytową.

Po ponownym rozpatrzeniu zgromadzonego w sprawie materiału dowodowego Generalny Inspektor Ochrony Danych Osobowych zważył, co następuje.

Rozstrzygnięcie zawarte w zaskarżonej decyzji Generalnego Inspektora z dnia 26 czerwca 2012 r. (znak: DOLiS/DEC-579/12/39460,39462,39465) jest prawidłowe.

Na wstępie wskazać należy, że do zadań Generalnego Inspektora określonych w art. 12 ustawy należy w szczególności: kontrola zgodności przetwarzania danych z przepisami o ochronie danych osobowych (ust. 1), wydawanie decyzji administracyjnych i rozpatrywanie skarg w sprawach wykonania przepisów o ochronie danych osobowych (ust. 2), zapewnienie wykonania przez zobowiązanych obowiązków o charakterze niepieniężnym wynikających z decyzji, o których mowa w pkt 2, przez stosowanie środków egzekucyjnych przewidzianych w ustawie z dnia 17 czerwca 1966 r. o postępowaniu egzekucyjnym w administracji (Dz. U. z 2005 r. Nr 229, poz. 1954 z późn. zm.) (ust. 3), prowadzenie rejestru zbiorów danych oraz udzielanie informacji o zarejestrowanych zbiorach (ust. 4), opiniowanie projektów ustaw i rozporządzeń dotyczących ochrony danych osobowych (ust. 5), inicjowanie i podejmowanie przedsięwzięć w zakresie doskonalenia ochrony danych osobowych (ust. 6), uczestniczenie w pracach międzynarodowych organizacji i instytucji zajmujących się problematyką ochrony danych osobowych (ust. 7). Dokonując oceny zgromadzonego w sprawie materiału dowodowego Generalny Inspektor kierował się wytycznymi zawartymi w treści wyroku Naczelnego Sądu Administracyjnego z dnia 9 lipca 1999 r. (sygn. III SA 5417/98), w którym tenże sąd stwierdził, iż "organ prowadzący postępowanie musi dążyć do ustalenia prawdy materialnej i według swej wiedzy, doświadczenia oraz wewnętrznego przekonania ocenić wartość dowodową poszczególnych środków dowodowych, wpływ udowodnienia jednej okoliczności na inne okoliczności". Ponadto podkreślenia wymaga, że Generalny Inspektor Ochrony Danych Osobowych, korzystając z instrumentów prawnych wymienionych w art. 14 ustawy, odebrał pisemne wyjaśnienia i dowody od stron postępowania (organ do spraw ochrony danych osobowych rozstrzygając sprawę poddaną jego ocenie opiera się w głównej mierze na pisemnych wyjaśnieniach stron i przesłanych przez nie dowodach), a następnie - po dokonaniu kompleksowej analizy całości zebranego w postępowaniu materiału dowodowego - ocenił przedmiot postępowania w sposób rzetelny.

Generalny Inspektor Ochrony Danych Osobowych badał czy w przedmiotowej spawie doszło do niezgodnego z przepisami ustawy o ochronie danych osobowych przetwarzania danych osobowych Skarżącego. Przepisy ustawy o ochronie danych osobowych określają zasady postępowania przy przetwarzaniu danych osobowych przez osoby fizyczne i osoby prawne oraz jednostki organizacyjne nie będące osobami prawnymi, jeżeli przetwarzają dane osobowe w związku z działalnością zarobkową, zawodową lub dla realizacji celów statutowych. Przetwarzaniem danych są wszelkie operacje wykonywane na danych osobowych, takie jak zbieranie, utrwalanie, przechowywanie, opracowywanie, zmienianie, udostępnianie i usuwanie, a zwłaszcza te, które wykonuje się w systemach informatycznych. Z kolei za dane osobowe uważa się wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej (art. 6 ust. 1 ustawy). Aby przetwarzanie danych osobowych było zgodne z prawem administrator jest obowiązany przetwarzać dane osobowe na podstawie przesłanek określonych w art. 23 ust. 1 pkt 1-5 (w przypadku tzw. danych zwykłych) lub w oparciu o art. 27 ust. 2 pkt 1-10 ustawy (w przypadku tzw. danych szczególnie chronionych).

Odnosząc powyższe na grunt niniejszej sprawy, Generalny Inspektor podtrzymuje swoje stanowisko, iż do jego kompetencji nie należy ustalenie okoliczności zmiany właściciela numeru telefonu stacjonarnego z klientki Banku na Skarżącego oraz badanie, czy klientka Banku poinformowała Bank o zmianie numeru kontaktowego oraz czy w związku z zawartą umową podała prawidłowy numer telefonu. To na stronach umowy ciąży obowiązek wzajemnego poinformowania o zmianie istotnych okoliczności wskazanych w umowie, jak np. adres, imię, nazwisko, numer telefonu.

Po powtórnej analizie zgromadzonego materiału dowodowego, w szczególności po dokonaniu oceny podniesionych przez Skarżącego zarzutów dotyczących punktu II zaskarżonej decyzji, Generalny Inspektor ponownie wskazuje, że przetwarzanie danych osobowych Skarżącego, w tym także numeru telefonu stacjonarnego aktualnie należącego do Skarżącego przez Spółkę odbywało się w zawiązku z zawartą z Bankiem na podstawie art. 6a ustawy - Prawo bankowe "Umową (...)". Na podstawie tej "Umowy (...)" Spółka pośredniczy w imieniu Banku w czynnościach bankowych polegających m.in. na zawieraniu i zmianie umów kredytu konsumenckiego, dokonywaniu wypłat udzielonych przez Bank kredytów i pożyczek pieniężnych, jak również kontaktuje się telefonicznie z klientami Banku w celu oferowania im produktów i usług Banku. Spółka kontaktuje się z klientami Banku, którzy zawierając umowę z Bankiem, wyrazili zgodę na przetwarzanie ich danych osobowych w celach marketingowych. Spółka - w celu realizacji postanowień "Umowy (...)" - otrzymała dostęp do zbiorów klientów Banku, co wypełnia przesłankę legalności z art. 23 ust. 1 pkt 2 ustawy. Ponadto, Spółka przetwarza dane osobowe w zbiorze "B.." na podstawie zgody osoby, której dane dotyczą, wyrażonej w trakcie realizacji postanowień "Umowy (...)" w imieniu i na rzecz Banku. Spółka świadczy usługi jedynie z zakresu pośrednictwa finansowego, a zatem nie znalazł potwierdzenia zarzut Skarżącego dotyczący kontaktowania się z nim przez Spółkę "w celu zmiany operatora telekomunikacyjnego". Skarżący udostępnił - w swoim piśmie z dnia (...) września 2011 r. - dane osobowe w zakresie imienia, nazwiska i adresu na rzecz Spółki w celu realizacji swoich uprawnień kontrolnych z rozdziału 4 ustawy. Spółka zatem pozyskała dane osobowe Skarżącego w tym zakresie za jego zgodą (art. 23 ust. 1 pkt 1 ustawy). Numer telefonu stacjonarnego - należący obecnie do Skarżącego - został zaś udostępniony Spółce na podstawie ww. "Umowy (...)" przez Bank. Niemniej jednak należy podkreślić, że udostępniony Spółce przez Bank numer telefonu jest przetwarzany w zbiorze o nazwie "R." jako należący do klientki Banku, a zatem nie był powiązany z danymi osobowymi Skarżącego. Wobec powyższego, Spółka posiada dostęp do numeru telefonu stacjonarnego aktualnie należącego do Skarżącego, ale jako przypisanego (powiązanego) z inną osobą (właścicielem), tj. klientką Banku. Spółka skierowała do Skarżącego pismo w grudniu 2011 r. w przedmiocie poinformowania go o okolicznościach przetwarzania jego danych osobowych (pismo Spółki w aktach sprawy - karta nr 43). Działanie to było niejako formą ustosunkowania się do wniosku Skarżącego zawartego w jego piśmie z dnia (...) września 2011 r., bowiem Skarżący wskazał w nim Spółkę jako adresata swojego wniosku. W tym miejscu należy zaznaczyć, że Spółka - mając na uwadze przepisy ustawy oraz ustalenia faktyczne, w tym postanowienia "Umowy (...)" - nie jest zobligowana do udzielenia Skarżącemu odpowiedzi na jego wniosek. Wynika to z faktu, że Spółka jest zleceniobiorcą, który wykonuje na rzecz Banku czynności zlecone określone w "Umowie (...)". Na gruncie przepisów ustawy powyższa "Umowa (...)" pomiędzy Spółką a Bankiem zarówno z uwagi na jej formę (pisemna), jak i treść (§ (...) określają zakres czynności realizowanych przez Spółkę na rzecz Banku oraz regulują kwestie powierzenia przetwarzania danych osobowych) odpowiada wymogom określonym w art. 31 ustawy. Jakkolwiek bowiem administrator danych może przetwarzać dane samodzielnie to art. 31 ustawy upoważnia go również do powierzenia w drodze zawartej w formie pisemnej umowy przetwarzania tych danych innemu podmiotowi. W ocenie Generalnego Inspektora "Umowa (...)" jest umową powierzenia przetwarzania danych osobowych. Spółka zatem - w oparciu o postanowienia "Umowy (...)" oraz przepisy ustawy - przekazała pismo Skarżącego do Banku w celu realizacji przez Bank obowiązku informacyjnego z art. 33 ustawy.

Ponadto wyraźnie podkreślić należy, że z materiału dowodowego wynika, że Spółka usunęła numer telefonu stacjonarnego ze swojego zbioru o nazwie "B." i zaprzestała kontaktowania się na ten numer w celach marketingowych odstępując od ustalenia, kto jest aktualnie rzeczywistym właścicielem tego numeru telefonu. Bank natomiast przetwarza dane osobowe Skarżącego w postaci dokumentacji papierowej wyłącznie celach dowodowych związanych z przedmiotowym postępowaniem i archiwizacyjnych, zaś numer telefonu stacjonarnego - aktualnie należący do Skarżącego - przetwarzany jest w zbiorze o nazwie "R." jedynie w celu udokumentowania wykonania czynności bankowych wobec klientki. Zatem nie ma w zaistniałym stanie faktycznym podstaw do zastosowania przepisu art. 18 ust. 1 ustawy w myśl, którego w przypadku naruszenia przepisów tej ustawy Generalny Inspektor z urzędu lub na wniosek osoby zainteresowanej, w drodze decyzji administracyjnej, nakazuje przywrócenie stanu zgodnego z prawem.

Generalny Inspektor podtrzymuje swoje stanowisko, iż numer telefonu stacjonarnego tj. (...), który aktualnie należy do Skarżącego, został pozyskany przez Bank od innej osoby, tj. klientki Banku na podstawie zawartych z nią umów kredytowych: numer (...) z 2005 r. oraz numer (...) z 2007 r. Zawierając te umowy, klientka Banku wyraziła zgodę na przetwarzanie jej danych osobowych, w tym ww. numer telefonu, który w momencie zawierania umów należał do niej, w celu marketingu własnego produktów lub usług administratora danych. W związku z powyższym, Bank stał się administratorem danych osobowych - w rozumieniu art. 7 pkt 4 ustawy - w zakresie danych swojej klientki, w tym także numeru telefonu stacjonarnego, który aktualnie należy do Skarżącego. Zatem podkreślić należy, że Bank pozyskał numer telefonu stacjonarnego - aktualnie należący do Skarżącego - od swojej klientki na mocy art. 23 ust. 1 pkt 2 ustawy, tj. w celu niezbędnym do zrealizowania uprawnienia lub spełnienia obowiązku wynikającego z przepisu prawa. Przepisami tymi jest ustawa z dnia 29 sierpnia 1997 r. - Prawo bankowe (tekst jedn.: Dz. U. z 2002 r. Nr 72, poz. 665 z późn. zm.). Należy zawrócić także uwagę w tym miejscu, że klientka Banku wyraziła zgodę na przetwarzanie numeru telefonu stacjonarnego (art. 23 ust. 1 pkt 1 ustawy) w związku z zawartymi z Bankiem umowami kredytowymi (art. 23 ust. 1 pkt 3 ustawy).

Niezależnie od powyższego należy wskazać, że jednym z obowiązków Banku, jako administratora danych, jest przestrzeganie praw osoby, której dane dotyczą, określonych w rozdziale 4 ustawy. Zgodnie z art. 33 ust. 1 ustawy, na wniosek osoby, której dane dotyczą, administrator danych jest obowiązany, w terminie 30 dni, poinformować o przysługujących jej prawach oraz udzielić, odnośnie do jej danych osobowych, informacji, o których mowa w art. 32 ust. 1 pkt 1-5a.

Z materiału dowodowego wynika, że Spółka przekazała pismo Skarżącego z dnia (...) września 2011 r. - zawierające wniosek o udzielenie mu informacji zgodnie z ww. przepisem art. 33 ustawy - do odpowiedniego departamentu w Banku, bowiem Skarżący został uznany przez Spółkę za klienta tego Banku. Przekazanie pisma Skarżącego do Banku wynikało z postanowień pisemnej "Umowy (...)" z dnia (...) grudnia 2004 r. wiążącej Spółkę z Bankiem. Bank jest administratorem danych swoich klientów, zaś Spółka jest zleceniobiorcą wykonującym w imieniu i na rzecz Banku wobec klientów Banku czynności bankowe. Spółka w dobrej wierze przekazała do Banku pismo Skarżącego pomimo, iż w treści pisma wniósł on do Spółki prośbę o spełnienie wobec obowiązku informacyjnego z art. 33 ustawy. Nie można doszukiwać się w tym przekazaniu danych osobowych Skarżącego do Banku lekkomyślności oraz niedbalstwa na gruncie prawidłowego zabezpieczenia danych osobowych.

W następstwie otrzymania powyższego pisma, Bank zwrócił się do Skarżącego pisemnie w dniu (...) września 2011 r. z wnioskiem o pozyskanie od niego dodatkowych danych osobowych umożliwiających jego identyfikację jako klienta Banku. Powyższe procedowanie Banku jest niesłuszne, gdy uwzględnimy powołane przepisy art. 32 i 33 ustawy. W art. 32 ust. 1 pkt 1 ustawy wskazane zostało prawo każdej osoby do kontroli procesu przetwarzania jej danych osobowych, co stanowi rozwinięcie przepisu art. 1 ust. 1 ustawy, zgodnie z którym każdy ma prawo do ochrony dotyczących go danych osobowych. Zauważyć należy, że ustawodawca nie dokonał rozróżnienia, jak również dookreślenia w treści art. 32 ustawy. Podobnie definicja administratora danych wskazuje na kategorie podmiotów, które przetwarzają dane osobowe bez dookreślenia, czy są to dane osobowe ich klientów - pozyskane wyłącznie w związku z ich działalnością na mocy przepisów prawa - czy też wszelkich danych, jakie są przez ten podmiot gromadzone. Wydaję się zatem słusznym i zasadnym przyjąć, iż administrator danych jest zobligowany spełnić obowiązek informacyjny nie tylko wobec osób, których dane pozyskał w związku ze świadczeniem usług, ale także wobec każdej osoby realizującej swoje prawa kontrolne z przepisów ustawy. Odmowa udzielenia informacji osobie, która składa taki wniosek, przez adresata tego wniosku, stanowi naruszenie przepisów ustawy, a tym samym oznacza odmowę realizacji podstawowego prawa temu wnioskodawcy. Poprzez taki wniosek każdy może bowiem realizować swoje prawa zagwarantowane nie tylko w przepisach ustawy, ale także w art. 51 ustawy z dnia 2 kwietnia 1997 r. Konstytucja Rzeczypospolitej Polskiej (Dz. U. z 1997 r. Nr 78, poz. 483 z późn. zm.). Nie można natomiast uznać, że po stronie Skarżącego zachodzi obowiązek udostępnienia dodatkowych informacji na rzecz Banku, bowiem dane zamieszczone w jego piśmie z dnia (...) września 2011 r. umożliwiają jego identyfikację, a następnie weryfikację, czy takie dane Bank przetwarza, a tym samym, czy jest ich administratorem. Bank winien ustosunkować się do pisma Skarżącego i udzielić mu odpowiedzi stosownie do jego wniosku oraz poczynionych ustaleń. Z materiału dowodowego nie wynika, aby Bank skierował do Skarżącego odpowiedź na jego pismo z dnia (...) września 2011 r.

Ponownie Generalny Inspektor podkreśla, że Bank, jako administrator danych, któremu Spółka przekazała pismo Skarżącego z dnia (...) września 2011 r., nie dołożył należytej staranności w jego rozpatrzeniu oraz udzieleniu stosownej odpowiedzi. Pomimo, iż numer telefonu stacjonarnego, aktualnie należącego do Skarżącego, znajduje się w zbiorze danych "R." jako należący do innej osoby, a zatem nie jest on powiązany z innymi danymi osobowymi Skarżącego, to jednak Bank nie jest zwolniony od spełnienie obowiązku informacyjnego z art. 33 ustawy wobec Skarżącego, bowiem wniosek ten powinien zostać uznany za pismo osoby realizującej w sposób generalny swoje prawa do kontroli procesu przetwarzania jej danych osobowych. Brak odpowiedzi Banku na pismo Skarżącego należało uznać za uchybienie i w tym zakresie prawidłowo Generalny Inspektor uznał wniosek Skarżącego za zasadny i nakazał spełnienie przez Bank obowiązku informacyjnego stosownie do nakazu wskazanego w punkcie I zaskarżonej decyzji. Na marginesie wskazać należy, iż Bank w piśmie z dnia (...) lipca 2012 r. wypełnił w stosunku do Skarżącego nakazany zaskarżoną decyzją obowiązek.

Podsumowując, w ocenie Generalnego Inspektora Ochrony Danych Osobowych rozstrzygnięcie zawarte w zaskarżonej decyzji administracyjnej z dnia 26 czerwca 2012 r. jest prawidłowe i nie ma podstaw do jej uchylenia.

Decyzja jest ostateczna. Na podstawie art. 21 ust. 2 ustawy o ochronie danych osobowych i w zw. z art. 13 § 2, art. 53 § 1 i art. 54 ustawy z dnia 30 sierpnia 2002 r. - Prawo o postępowaniu przed sądami administracyjnymi (Dz. U. z 2012 r. poz. 270.), od niniejszej decyzji stronie przysługuje prawo wniesienia skargi do Wojewódzkiego Sądu Administracyjnego, w terminie 30 dni od dnia doręczenia niniejszej decyzji, za pośrednictwem Generalnego Inspektora Ochrony Danych Osobowych (adres: Biuro Generalnego Inspektora Ochrony Danych Osobowych, ul. Stawki 2, 00-193 Warszawa).