Pisma urzędowe
Status: Aktualne

Pismo
z dnia 29 września 2006 r.
Generalny Inspektor Ochrony Danych Osobowych
GI-DEC-DS-376/06
Decyzja GIODO z dnia 29 września 2006 roku dotycząca odmowy nakazania Bankowi usunięcia z prowadzonego przez Bank zbioru danych informacji o numerze prywatnego numeru telefonicznego Skarżącego oraz informacji uzyskanych przez Bank w trakcie rozmowy telefonicznej ze skarżącym.

DECYZJA

Na podstawie art. 104 § 1 ustawy z dnia 14 czerwca 1960 r. - Kodeks postępowania administracyjnego (Dz. U. z 2000 r. Nr 98, poz. 1071 z późn. zm.), art. 12 pkt 2, art. 22 i art. 23 ust. 1 pkt 5 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. z 2002 r. Nr 101, poz. 926 z późn. zm.), po przeprowadzeniu postępowania administracyjnego w sprawie wniosku Pana X, dotyczącego nakazania, usunięcia z prowadzonego zbioru danych osobowych informacji dotyczących numeru jego prywatnego telefonu komórkowego oraz informacji pozyskanych przez Bank w trakcie rozmowy telefonicznej przeprowadzonej z nim w dniu 21 grudnia 2005 r.,

odmawiam uwzględnienia wniosku.

UZASADNIENIE

Do Biura Generalnego Inspektora Ochrony Danych Osobowych wpłynął wniosek Pana X (zwanego dalej Skarżącym), dotyczący nakazania Bankowi (zwany dalej Bankiem), usunięcia z prowadzonego przez Bank zbioru danych osobowych informacji o numerze jego prywatnego telefonu komórkowego (XXX XXX XXX) oraz informacji pozyskanych przez Bank w trakcie rozmowy telefonicznej z dnia 21 grudnia 2005 r., zainicjowanej przez pracownika Banku i przeprowadzonej ze Skarżącym po uzyskaniu połączenia z ww. numerem jego prywatnego telefonu komórkowego.

W przedmiotowej skardze Skarżący wskazał w szczególności, że: " (...) w dniu 21 XII 2005 r. zadzwonił na mój prywatny telefon komórkowy pracownik Banku i poinformował, iż chciałby przekazać mi informację dotyczącą mojego rachunku bankowego. Aby przekazać mi informację poprosił mnie - w celu mojej identyfikacji - o podanie następujących danych osobowych: adresu do korespondencji oraz daty i miejsca urodzenia. Pracownik Banku zaznaczył, że rozmowa będzie nagrywana. Po podaniu tych informacji, pracownik Banku poinformował mnie o saldzie mojego konta (debecie w wysokości 200) i zapytał o termin spłaty zadłużenia (...)".

Pan X wyraził również opinię, że Generalny Inspektor Ochrony Danych Osobowych powinien zakazać Bankowi stosowania praktyki, polegającej na telefonicznej weryfikacji tożsamości rozmówcy (poprzez porównywanie podawanych przez rozmówcę danych osobowych z posiadanymi przez Bank informacjami o jego klientach), gdyż - zdaniem Skarżącego - wiąże się ona z ryzykiem pozyskania danych osobowych klientów Banku przez osoby do tego nieupoważnione.

W toku postępowania administracyjnego przeprowadzonego w niniejszej sprawie Generalny Inspektor Ochrony Danych Osobowych ustalił następujące okoliczności faktyczne:

1.

W dniu 26 września 2000 r. Skarżący zawarł z Bankiem umowę rachunku bankowego. W związku z zawarciem przedmiotowej umowy Bank pozyskał jego dane osobowe w następującym zakresie: imiona i nazwisko, data i miejsce urodzenia, adres zamieszkania, adres do korespondencji, seria i numer dowodu osobistego, numer PESEL, imię ojca, nazwisko rodowe matki Skarżącego, obywatelstwo, telefon komórkowy (XXX XXX XXX), stan cywilny, status zawodowy oraz miesięczny przeciętny dochód netto. W dokumencie zatytułowanym: "Karta informacyjna klienta", który Pan X podpisał przy zawieraniu z Bankiem ww. umowy, zamieszczona była w szczególności następująca informacja o celach przetwarzania przez Bank danych osobowych Skarżącego: "Bank (...) jako administrator danych informuje, że podane przez Pana/Panią dane osobowe będą przetwarzane w celu podjęcia przez Bank na Pana/Pani życzenie niezbędnych działań związanych z zawarciem i wykonaniem umowy oraz w celu wypełniania usprawiedliwionych potrzeb Banku wynikających z przepisów prawa (...)".

2.

Działania Banku, mające na celu ustalenie aktualnego numeru telefonu komórkowego Pana X, podjęte zostały po odnotowaniu na rachunku Skarżącego debetu i miały na celu uzyskanie od niego wiążącej informacji o terminie spłaty zadłużenia.

3.

Informacja o numerze prywatnego telefonu komórkowego Skarżącego została przekazana Bankowi przez matkę Skarżącego, natomiast jej numer telefonu Bank pozyskał ze źródeł powszechnie dostępnych tj. z biura numerów Telekomunikacji Polskiej S.A. Według złożonego przez Bank oświadczenia, informacja o numerze prywatnego telefonu komórkowego Skarżącego została wykorzystana jednorazowo i aktualnie przechowywana jest wyłącznie w celach archiwalnych.

4.

W dniu 21 grudnia 2005 r. pracownik Banku skontaktował się ze Skarżącym telefonując na jego prywatny telefon komórkowy. W celu identyfikacji Skarżącego pracownik Banku porosił go o podanie adresu do korespondencji oraz daty i miejsca urodzenia, zaznaczając jednocześnie, że rozmowa będzie nagrywana, a następnie poinformował Skarżącego o saldzie jego rachunku bankowego i zapytał o termin spłaty zadłużenia.

5.

Pismem z dnia 28 grudnia 2005 r. Pan X zwrócił się do Banku o udzielenie informacji, z jakiego źródła podmiot ten pozyskał numer prywatnego telefonu komórkowego Skarżącego, od kiedy informacja o tym numerze przetwarzana jest przez Bank oraz zażądał usunięcia tej informacji ze zbioru danych prowadzonego przez Bank.

6.

Bank udzielając Skarżącemu odpowiedzi na jego pismo z dnia 28 grudnia 2005 r. poinformował go o źródle pozyskania numeru jego prywatnego telefonu komórkowego (XXX XXX XXX), odmówił natomiast usunięcia z prowadzonego zbioru danych osobowych informacji o tym numerze oraz informacji pozyskanych w trakcie rozmowy telefonicznej zainicjowanej przez pracownika Banku w dniu 21 grudnia 2005 r., przeprowadzonej po uzyskaniu połączenia z ww. numerem telefonu.

Po zapoznaniu się z całością zgromadzonego w sprawie materiału dowodowego Generalny Inspektor Ochrony Danych Osobowych zważył, co następuje:

Stosownie do brzmienia art. 18 ust. 1 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. z 2002 r. Nr 101, poz. 926 z późn. zm.), zwanej dalej również ustawą, w przypadku naruszenia przepisów ustawy o ochronie danych osobowych, Generalny Inspektor z urzędu lub na wniosek osoby zainteresowanej, w drodze decyzji administracyjnej, nakazuje przywrócenie stanu zgodnego z prawem, w szczególności: 1) usunięcie uchybień, 2) uzupełnienie, uaktualnienie, sprostowanie, udostępnienie lub nieudostępnienie danych osobowych, 3) zastosowanie dodatkowych środków zabezpieczających zgromadzone dane osobowe, 4) wstrzymanie przekazywania danych osobowych do państwa trzeciego, 5) zabezpieczenie danych lub przekazanie ich innym podmiotom, 6) usunięcie danych osobowych.

Z przytoczonego przepisu wynika zatem, że koniecznym warunkiem wydania przez organ do spraw ochrony danych osobowych decyzji nakazującej administratorowi danych podjęcie określonych działań jest stwierdzenie naruszenia przepisów ustawy o ochronie danych osobowych. Mając natomiast na względzie okoliczności faktyczne przedmiotowej sprawy stwierdzić należy, że pozyskanie przez Bank numeru telefonu komórkowego Skarżącego znajduje uzasadnienie w przepisach ustawy.

Dla legalności procesu przetwarzania danych niezbędne jest spełnienie przez administratora jednej z przesłanek określonych w art. 23 ust. 1 ustawy. Przesłanki dopuszczalności przetwarzania danych osobowych wskazane w powołanym przepisie należy traktować rozłącznie, tzn. w przypadku zaistnienia jednej z nich, zbędne jest wskazywanie posiadania pozostałych. Z brzmienia art. 23 ust. 1 ustawy wynika wyraźnie, że zgoda osoby, której dane dotyczą (przesłanka z art. 23 ust. 1 pkt 1) nie jest jedyną okolicznością czyniącą proces przetwarzania danych osobowych legalnym. Z punktu widzenia rozstrzygnięcia niniejszej sprawy szczególne znaczenie ma art. 23 ust. 1 pkt 5 ustawy, dopuszczający przetwarzanie danych osobowych wówczas, gdy jest to niezbędne do wypełnienia prawnie usprawiedliwionych celów administratorów danych, o których mowa w art. 3 ust. 2, lub osób trzecich, którym są przekazywane te dane, o ile przetwarzanie danych nie narusza praw i wolności osoby, której dane dotyczą. Za prawnie usprawiedliwiony cel, którym mowa w art. 23 ust. 1 pkt 5 ustawy, uważa się m.in. dochodzenie roszczeń z tytułu prowadzonej działalności gospodarczej (art. 23 ust. 4 pkt 2 ustawy).

W ocenie Generalnego Inspektora Ochrony Danych Osobowych kwestionowane przez Skarżącego działania Banku, polegające na pozyskaniu numeru jego prywatnego telefonu komórkowego w celu dochodzenia od niego spłaty zadłużenia, a następnie wykorzystanie informacji o tym numerze telefonu w celu skontaktowania się ze Skarżącym i ustalenia terminu, w jakim wywiąże się ona z należnych Bankowi świadczeń, znajduje oparcie właśnie w art. 23 ust. 1 pkt 5 ustawy. Bezspornym jest bowiem, że powyższe czynności podjęte przez Bank miały na celu doprowadzenie do zaspokojenia jego wierzytelności wobec Skarżącego. Natomiast w świetle powołanego już wcześniej art. 23 ust. 4 pkt 2 ustawy niewątpliwym jest, że dochodzenie przez Bank jego roszczeń z tytułu prowadzonej działalności gospodarczej stanowi prawnie usprawiedliwiony cel tego podmiotu, o którym mowa w art. 23 ust. 1 pkt 5 ustawy. Jednocześnie brak jest podstaw by przyjąć, że realizacja przez Bank powyższego, prawnie usprawiedliwionego celu, w kwestionowany

przez Skarżącego sposób godzi w jego prawa i wolności. Przeciwna ocena oznaczałaby bowiem uprzywilejowanie sytuacji prawnej dłużnika nie wywiązującego się ze swych zobowiązań. Podobny pogląd zaprezentował Wojewódzki Sąd Administracyjny w Warszawie, który w wyroku z dnia 30 listopada 2004 r. (sygn. akt: II SA/Wa 1057/04), stwierdził, iż: " (...) zasadą powszechnie akceptowaną, wynikającą nie tylko z przepisów prawa cywilnego, lecz także z norm moralnych, zasad współżycia społecznego oraz dobrych obyczajów jest regulowanie zaciągniętych zobowiązań (zapłata długów). Zasada ta w pełni odnosi się do podmiotów prawa mających status konsumentów. (...) Dłużnik, który nie wywiązuje się ze swoich zobowiązań, musi liczyć się z konsekwencjami, wynikającymi z przepisów regulujących obrót gospodarczy. Postawa dłużnika nie może bowiem prowadzić do uprzywilejowania jego sytuacji prawnej. Gdyby generalnie uznać każdy wypadek przetwarzania danych osobowych dłużnika (będącego konsumentem) za godzący w jego prawa i wolności, doszłoby z jednej strony do niczym nieuzasadnionej ochrony osób niewywiązujących się ze swoich zobowiązań, z drugiej natomiast do naruszenia zasady swobody działalności gospodarczej, co z pewnością nie było zamiarem ustawodawcy przy uchwalaniu ustawy o ochronie danych osobowych (...)".

Mając na uwadze powyższe, kwestionowane przez Skarżącego działania Banku są - w ocenie Generalnego Inspektora Ochrony Danych Osobowych - zgodne także z art. 26 ust. 1 ustawy, nakładającym na administratora danych obowiązek dołożenia szczególnej staranności w celu ochrony interesów osób, których dane dotyczą, wyrażający się zwłaszcza w konieczności zapewnienia, aby dane osobowe zbierane były dla oznaczonych zgodnych z prawem celów i nie poddawane dalszemu przetwarzaniu niezgodnemu z tymi celami (pkt 2) oraz merytorycznie poprawne i adekwatne do celów, w jakich są przetwarzane (pkt 3). Jak bowiem wskazano, pozyskanie i poddanie procesowi dalszego przetwarzania informacji o numerze prywatnego telefonu komórkowego Skarżącego służyło ściśle określonemu, zgodnemu z prawem celowi - tj. dochodzeniu przez Bank należnych mu od Skarżącego świadczeń, wyłącznie w tym celu informacja ta została wykorzystana (jak wynika ze zgromadzonego w niniejszej sprawie materiału dowodowego, informacja o numerze telefonu komórkowego Skarżącego została wykorzystana przez Bank jednorazowo i aktualnie - po spłaceniu przez Skarżącego debetu na koncie - przechowywana jest w celach archiwalnych, jako zapis z nagraniem), oraz niewątpliwe jest jej znaczenie z punktu widzenia możliwości realizowania przez Bank jego prawnie usprawiedliwionych celów.

Za bezzasadny uznać należy także wniosek Pana X dotyczący usunięcia przez Bank, z prowadzonego przez ten podmiot zbioru danych, pozostałych (tj. innych niż numer prywatnego telefonu komórkowego Skarżącego) informacji o Skarżącym uzyskanych w trakcie rozmowy telefonicznej przeprowadzonej z nim w dniu 21 grudnia 2005 r. Wszystkie bowiem dane osobowe Pana X, podane przez niego w trakcie powyższej rozmowy zostały już wcześniej (przy zawieraniu umowy rachunku bankowego) legalnie pozyskane przez Bank.

Odnosząc się do natomiast do wniosku Skarżącego o cyt.: " (...) zakazanie Bankowi praktyki telefonicznej identyfikacji klientów Banku do których inicjowane jest połączenie na telefon komórkowy a polegającej na porównywaniu pozyskanych w trakcie rozmowy danych osobowych klienta z jego danymi osobowymi zgromadzonymi w prowadzonym przez Bank zbiorze danych, ponieważ w trakcie rozmowy klienci Banku narażani są na ryzyko pozyskania ich danych osobowych przez osoby nieupoważnione (...)" ponownie powołać należy art. 18 ust. 1 ustawy, zgodnie z którym, w przypadku naruszenia przepisów ustawy o ochronie danych osobowych, Generalny Inspektor z urzędu lub na wniosek osoby zainteresowanej, podejmuje określone czynności przewidziane w ustawie (podkreślenie Generalnego Inspektora). Jak wskazał Naczelny Sąd Administracyjny w wyroku z dnia 12 lipca 2005 r. (sygn. akt OSK 1365/04)"Użyty w tym przepisie spójnik "lub" wskazuje, że mamy tu do czynienia z alternatywą rozłączną, a więc tym samym postępowanie w tej sprawie nie może być wszczęte jednocześnie z urzędu i na wniosek. (...) oba te postępowania różnią się od siebie zakresem przedmiotowym i wymagają odmiennych postępowań dowodowych". W związku z powyższym, a także z uwagi na brak stosownych pełnomocnictw Skarżącego do występowania w imieniu innych klientów Banku, Generalny Inspektor przeprowadził postępowanie jedynie w zakresie przetwarzania przez Bank danych osobowych Skarżącego. Brak jest bowiem podstaw prawnych, aby w niniejszej sprawie podejmować działania dotyczące nieokreślonego kręgu osób.

W tym stanie faktycznym i prawnym, Generalny Inspektor Ochrony Danych Osobowych rozstrzygnął, jak w sentencji.

Decyzja niniejsza jest ostateczna. Na podstawie art. 21 ust. 1 ustawy o ochronie danych osobowych i art. 129 § 2 w zw. z art. 127 § 3 ustawy z dnia 14 czerwca 1960 r. - Kodeks postępowania administracyjnego (Dz. U. z 2000 r. Nr 98, poz. 1071 z późn. zm.), stronie niezadowolonej z niniejszej decyzji przysługuje, w terminie 14 dni od dnia jej doręczenia, prawo złożenia do Generalnego Inspektora Ochrony Danych Osobowych wniosku o ponowne rozpatrzenie sprawy (adres: Biuro Generalnego Inspektora Ochrony Danych Osobowych, ul. Stawki 2, 00-193 Warszawa).

Opublikowano: www.giodo.gov.pl