GI-DEC-DS-171/06/496,497 - Decyzja GIODO z dnia 25 maja 2006 r. nakazująca Bankowi zaprzestanie wykorzystywania danych osobowych Skarżącego w celach marketingowych.
Pismo z dnia 25 maja 2006 r. Generalny Inspektor Ochrony Danych Osobowych GI-DEC-DS-171/06/496,497 Decyzja GIODO z dnia 25 maja 2006 r. nakazująca Bankowi zaprzestanie wykorzystywania danych osobowych Skarżącego w celach marketingowych.
DECYZJA
Na podstawie art. 104 § 1 ustawy z dnia 14 czerwca 1960 r. - Kodeks postępowania administracyjnego (Dz. U. z 2000 r. Nr 98, poz. 1071 z późn. zm.), art. 12 pkt 2, art. 18 ust. 1 pkt 1 w zw. z art. 32 ust. 1 pkt 8 oraz art. 32 ust. 3 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. z 2002 r. Nr 101, poz. 926 z późn. zm.), po przeprowadzeniu postępowania administracyjnego ze skargi Pana A, zam. w (...), w sprawie przetwarzania jego danych osobowych w celach marketingowych przez Bank X, z siedzibą (...),
nakazuję Bankowi X, z siedzibą (...), zaprzestanie przetwarzania danych osobowych Pana A, zam. (...), w celach marketingowych.
UZASADNIENIE
Do Biura Generalnego Inspektora Ochrony Danych Osobowych wpłynęła skarga Pana A, zam. (...), zwanego dalej Skarżącym, w sprawie nakazania Bankowi X, z siedzibą (...), zwanej dalej Bankiem, zaprzestania przetwarzania jego danych osobowych w celach marketingowych. Skarżący wskazał w szczególności, iż pismem z dnia 24 lutego 2004 r. poinformował Bank, że: "Nie wyrażam zgody na przetwarzanie moich danych w celach marketingowych, informowania mnie o produktach i usługach przez bank, oraz podmioty współpracujące w każdym zakresie." W dalszej części swojej skargi Skarżący podniósł: "Jakież było moje zdziwienie, gdy na początku sierpnia 2005 dokładnej daty nie pamiętam (...) zadzwoniła do mnie Pani z Banku B z propozycją otwarcia karty kredytowej (...). Niestety, ani podczas rozmowy telefonicznej jak również podczas spotkania z przedstawicielem Banku B nie uzyskałem, informacji skąd BankB posiada moje dane osobowe, jak również na podstawie jakiego prawa przedstawiciele Banku B kontaktuj ą się ze mną gdzie wyraźnie w sposób pisemny wyraziłem swoją wolę, iż nie życzę sobie otrzymywania żadnych (...) informacji o produktach Banku B i tym samym jakiejkolwiek próby kontaktu ze mną w sposób inny niż listowny."
W toku postępowania administracyjnego przeprowadzonego w niniejszej sprawie, Generalny Inspektor Ochrony Danych Osobowych ustalił następujące okoliczności faktyczne:
W dniu 2 marca 1999 r. Pan A zawarł z Bankiem "Umowę kredytu Bank B na telefon" obowiązującą przez okres trzech lat (kopia umowy w aktach sprawy). Kredyt został przez Skarżącego spłacony w całości w dniu 3 marca 2002 r., co potwierdził Bank wystawiając Skarżącemu stosowne zaświadczenie (kopia w aktach sprawy).
W dniu 27 listopada 2003 r. Skarżący złożył w Banku "Wniosek o wydanie karty kredytowej Bank B" (kopia w aktach sprawy). Bank przedmiotowy wniosek zweryfikował negatywnie i odmówił wydania karty kredytowej, natomiast dane osobowe Skarżącego zawarte w ww. wniosku zostały przez Bank trwale zniszczone.
Pismem z dnia 24 lutego 2004 r. Skarżący zwrócił się do Banku z następującym żądaniem: "(...) zgodnie z Ustawą o Ochronie Danych Osobowych, żądam natychmiastowego usunięcia moich danych osobowych z państwa bazy danych. Nie życzę sobie aby ktokolwiek z państwa pracowników próbował się ze mną kontaktować w inny sposób niż pisemny. Nie wyrażam zgody na przetwarzanie moich danych w celach marketingowych, informowania mnie o produktach i usługach oferowanych przez bank, oraz podmioty współpracujące w każdym zakresie. Niniejszym, cofam upoważnienie dla Bank B, do wykorzystywania i przetwarzania moich danych osobowych, oraz przekazywania moich danych osobowych innym podmiotom współpracującym." (kopia w aktach sprawy). W odpowiedzi na powyższe, pismem z dnia 15 marca 2004 r. (kopia w aktach sprawy), Bank poinformował Skarżącego, iż: "(...) Pana dane osobowe zostaną usunięte z marketingowej bazy danych Banku. Zaprzestanie przetwarzania danych w celach marketingowych nastąpi w ciągu 30 dni od daty niniejszego pisma." W wyjaśnieniach złożonych Generalnemu Inspektorowi Ochrony Danych Osobowych Bank wskazał, iż: "Odnotowanie tego faktu (złożenia przez Skarżącego sprzeciwu) w systemie informatycznym wyklucza wprowadzenie danych Skarżącego do jakiejkolwiek roboczej bazy służącej celom marketingowym".
W dniu 24 września 2003 r. Bank oraz Sp. z o.o. 1, z siedzibą w (...), zawarli "Umowę o współpracy" (kopia w aktach sprawy), której przedmiotem jest współpraca stron w zakresie opracowania, wprowadzenia i obsługi wspólnego produktu, którym będzie karta kredytowa (art. 1 pkt 1 ww. umowy). W dniu 30 kwietnia 2004 r. Bank oraz Sp. z o.o. 1 zawarli "Umowę na przekazanie z bazy danych osobowych" (kopia w aktach sprawy), na podstawie której Sp. z o.o. 1 udostępniła Bankowi celem jednokrotnego wykorzystania bazę danych zawierającą dane osobowe osób, które wyraziły Sp. z o.o. 1 zgodę na przekazanie danych innym podmiotom do wykorzystania w celach marketingowych (art. 1 pkt 1.1, art. 2 pkt 2.2 przedmiotowej umowy). Bank, w ramach przekazanej bazy danych, uprawniony jest do pobierania i wtórnego wykorzystania danych w zakresie niezbędnym dla jednokrotnego przeprowadzenia akcji marketingowej w szczególności polegającej na wysyłce materiałów reklamowych (mailing) oraz kontaktach telefonicznych (telemarketing).
Kontakt telefoniczny Banku ze Skarżącym (w trakcie którego zaproponowano
Skarżącemu przyznanie nowej karty kredytowej), jaki miał miejsce w sierpniu 2005 r., w opinii Banku "miał uzasadnienie w zgodzie wyrażonej przez Skarżącego na wykorzystywanie danych zamieszczonych w bazie przekazanej przez Spółkę 1 Bankowi".
Po zapoznaniu się z całością zgromadzonego w sprawie materiału dowodowego, Generalny Inspektor Ochrony Danych Osobowych zważył, co następuje:
Ustawa z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. z 2002 r. Nr 101, poz. 926 z późn. zm.), zwana dalej ustawą, określa zasady postępowania przy przetwarzaniu danych osobowych oraz prawa osób fizycznych, których dane są lub mogą być przetwarzane w zbiorach danych - art. 2 ust. 1 ustawy. Przetwarzanie danych osobowych jest zgodne z prawem jedynie wówczas, gdy administrator danych legitymuje się posiadaniem co najmniej jednej, spośród wymienionych w art. 23 ust. 1 ustawy, materialnych przesłanek dopuszczalności przetwarzania. Stosownie do art. 23 ust. 1 ustawy, przetwarzanie danych osobowych jest dopuszczalne wtedy, gdy: 1) osoba, której dane dotyczą, wyrazi na to zgodę, 2) gdy jest to niezbędne dla zrealizowania uprawnienia lub spełnienia obowiązku wynikającego z przepisu prawa, 3) jest to konieczne dla realizacji umowy, gdy osoba, której dane dotyczą, jest jej stroną lub gdy jest to niezbędne do podjęcia działań przed zawarciem umowy na żądanie osoby, której dane dotyczą, 4) jest niezbędne do wykonania określonych prawem zadań realizowanych dla dobra publicznego, 5) jest to niezbędne dla wypełnienia prawnie usprawiedliwionych celów realizowanych przez administratorów danych albo odbiorców danych, a przetwarzanie nie narusza praw i wolności osoby, której dane dotyczą. Natomiast zgodnie z art. 32 ust. 1 pkt 8 ustawy osoba, której dane dotyczą, ma prawo wniesienia sprzeciwu wobec przetwarzania jej danych w przypadkach, wymienionych w art. 23 ust. 1 pkt 4 i 5, gdy administrator danych zamierza je przetwarzać w celach marketingowych lub wobec przekazywania jej danych osobowych innemu administratorowi danych. Stosownie do art. 32 ust. 3 ustawy, w razie wniesienia sprzeciwu, o którym mowa w ust. 1 pkt 8, dalsze przetwarzanie kwestionowanych danych jest niedopuszczalne. Administrator danych może jednak pozostawić w zbiorze imię lub imiona i nazwisko osoby oraz numer PESEL lub adres wyłącznie w celu uniknięcia ponownego wykorzystania danych tej osoby w celach objętych sprzeciwem.
W niniejszej sprawie wskazać należy, iż Bank pozyskał dane osobowe Skarżącego z dwóch różnych źródeł, tj. z umowy kredytowej zawartej ze Skarżącym oraz od Sp. z o.o. 1. Jednakże w obu ww. przypadkach pozyskania danych Skarżącego Bank nie mógł przetwarzać ich w celach związanych z marketingiem własnych produktów i usług. Wygaśnięcie umowy kredytowej łączącej Skarżącego z Bankiem spowodowała niemożność ze strony Banku przetwarzania danych osobowych Skarżącego w celach marketingowych. Skarżący stał się bowiem dla Banku klientem archiwalnym, co oznacza, iż przetwarzanie danych takich klientów może mieć miejsce w celach ściśle określonych w przepisach prawa. Dodatkowo Skarżący złożył sprzeciw wobec przetwarzania jego danych w celach marketingowych, który to sprzeciw Bank odnotował informując o tym Skarżącego pismem z dnia 15 marca 2004 r. Powyższe oznacza, iż przetwarzanie danych Skarżącego w tym celu stało się niedopuszczalne niezależnie od źródła i sposobu ponownego pozyskania jego danych przez Bank. Wprawdzie z ustaleń faktycznych niniejszej sprawy wynika, iż Sp. z o.o. 1 pozyskała dane osobowe Skarżącego na podstawie jego zgody obejmującej m.in. udostępnianie jego danych osobowych innym podmiotom w celach marketingowych, jednakże Bank nie mógł legalnie pozyskać ponownie danych osobowych Skarżącego od Sp. z o.o. 1 oraz przetwarzać tych danych na podstawie art. 23 ust. 1 pkt 5 ustawy w prawnie usprawiedliwionym celu realizowanym przez Bank rozumianym jako marketing nowej karty kredytowej, ponieważ zgodnie z art. 32 ust. 3 ustawy przetwarzanie danych, w tym ich pozyskiwanie, w celach objętych sprzeciwem jest niedopuszczalne. Przetwarzanie danych Skarżącego w celach marketingowych, pomimo złożonego przez niego do Banku sprzeciwu, doprowadziło w konsekwencji do naruszenia jego praw i wolności, o których mowa w art. 23 ust. 1 pkt 5 ustawy o ochronie danych osobowych.
W tym stanie faktycznym i prawnym Generalny Inspektor Ochrony Danych Osobowych rozstrzygnął, jak w sentencji.
Decyzja niniejsza jest ostateczna. Na podstawie art. 21 ust. 1 ustawy o ochronie danych osobowych oraz art. 129 § 2 w zw. z art. 127 § 3 Kodeksu postępowania administracyjnego, stronie niezadowolonej z niniejszej decyzji przysługuje, w terminie 14 dni od dnia jej doręczenia, prawo złożenia do Generalnego Inspektora Ochrony Danych Osobowych wniosku o ponowne rozpatrzenie sprawy (adres: Biuro Generalnego Inspektora Ochrony Danych Osobowych, ul. Stawki 2, 00-193 Warszawa).