Decyzja
ZKE.440.14.2019
Na podstawie art. 104 § 1 ustawy z dnia 14 czerwca 1960 r. Kodeks postępowania administracyjnego (Dz. U. z 2018 r. poz. 2096 ze zm.), art. 160 ust. 1 i 2 ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych (Dz. U. z 2019 r. poz. 1781) w zw. z art. 12 pkt 2 i art. 22 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. z 2016 r. poz. 922 ze zm.) oraz art. 6 ust. 1 i art. 57 ust. 1 lit. a) i lit. f) Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych osobowych) (Dz. Urz. UE L 119 z 04.05.2016 r. str. 1 oraz Dz. Urz. UE L 127 z 23.05.2018 r. str. 2), po przeprowadzeniu postępowania administracyjnego w sprawie skargi Pana M. C., na przetwarzanie jego danych osobowych w celach marketingowych przez A. S.A., Prezes Urzędu Ochrony Danych Osobowych
odmawia uwzględnienia wniosku.
UZASADNIENIE
Do Biura Generalnego Inspektora Ochrony Danych Osobowych (obecnie: Urzędu Ochrony Danych Osobowych) wpłynęła skarga Pana M. C., zwanego dalej „Skarżącym”, na przetwarzanie jego danych osobowych przez A. S.A., zwany dalej również „Bankiem”. Skarżący podniósł, że […] marca 2014 r., pomimo braku jego zgody na kontakty marketingowe ze strony Banku, pracownik Banku dwukrotnie kontaktował się z nim telefonicznie w celu przedstawienia oferty usług Banku. W związku z przedstawionym zdarzeniem Skarżący wniósł o:
- usunięcie jego danych osobowych z bazy marketingowej Banku „tak aby więcej nie otrzymywał telefonów z banku w celach marketingowych”, oraz o
- nałożenie na Bank „kary w wysokości 50 000 zł na rzecz K.: […] za bezprawne korzystanie z jego danych na co nie wyraził zgody”.
W toku postępowania przeprowadzonego w niniejszej sprawie Prezes Urzędu Ochrony Danych Osobowych ustalił następujący stan faktyczny:
- Bank (uprzednio występujący pod firmą „B. S.A.”) przetwarza dane osobowe Skarżącego pozyskane w związku z łączącymi go ze Skarżącym umowami:
- Umową z […] października 2001 r. o […],
- Umową z […] października 2003 r. o […],
- Umową z […] marca 2009 r. o […],
- Umową z […] kwietnia 2010 r. o […],
- Umową z […] kwietnia 2012 r. o […],
- Umową z […] stycznia 2013 r. o […].
- Bank przetwarza dane osobowe skarżącego pozyskane w związku z łączącymi go ze Skarżącym wyżej wskazanymi umowami w celach związanych z ich wykonaniem.
- Zawierając z Bankiem Umowę z […] marca 2009 r. o […] oraz Umowę z […] stycznia 2013 r. o […], Skarżący wyraził zgodę na przetwarzanie jego danych osobowych w celach promocji i marketingu podmiotów wchodzących w skład grupy kapitałowej C., innych niż Bank.
- Na dzień […] lipca 2015 r., tj. na dzień złożenia przez pełnomocnika Banku wyjaśnień w niniejszej sprawie, Bank miał odnotowany w swoim systemie transakcyjnym brak zgody Skarżącego na przetwarzanie jego danych osobowych w celach promocji i marketingu podmiotów wchodzących w skład grupy kapitałowej C., innych niż Bank. Zgodnie z wyjaśnieniami pełnomocnika Banku, dane osobowe Skarżącego w tym celu nie były wykorzystywane.
- W dniu […] marca 2014 r. pracownik Banku dwukrotnie kontaktował się ze Skarżącym telefonicznie w celu przedstawienia oferty marketingowej usług Banku.
- Po wniesieniu przez Skarżącego skargi do Biura Generalnego Inspektora Ochrony Danych Osobowych na przetwarzanie przez Bank jego danych osobowych w celach marketingowych, i w oparciu o treść tej skargi, Bank – w dniu […] lipca 2015 r. – odnotował w swoim systemie transakcyjnym sprzeciw Skarżącego (o którym mowa w art. 32 ust. 1 pkt 8 w związku z art. 23 ust. 1 pkt 5 i art. 23 ust. 4 pkt 1 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych [Dz. U. z 2016 r. poz. 922 ze zm.], zwanej dalej „u.o.d.o. 1997”), na przetwarzanie jego danych osobowych w celu marketingu bezpośredniego produktów i usług własnych Banku.
- Obecnie dane osobowe Skarżącego nie są przetwarzane przez Bank ani w celach marketingu produktów i usług własnych, ani w celach marketingu produktów i usług podmiotów należących do grupy kapitałowej C., innych niż Bank.
Po zapoznaniu się z całością zgromadzonego w sprawie materiału dowodowego, Prezes Urzędu Ochrony Danych Osobowych zważył, co następuje.
Z dniem wejścia w życie ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych (Dz. U. z 2019 r. poz. 1781), zwanej dalej „u.o.d.o. 2018”, tj. z dniem 25 maja 2018 r., Biuro Generalnego Inspektora Ochrony Danych Osobowych stało się Urzędem Ochrony Danych Osobowych. Postępowania prowadzone przez Generalnego Inspektora Ochrony Danych Osobowych, wszczęte i niezakończone przed dniem 25 maja 2018 r. prowadzone są przez Prezesa Urzędu Ochrony Danych Osobowych, na podstawie u.o.d.o. 1997, zgodnie z zasadami określonymi w ustawie z dnia 14 czerwca 1960 r. Kodeks postępowania administracyjnego (Dz. U. z 2018 r. poz. 2096 ze zm.), zwanej dalej „k.p.a.”. Wszelkie czynności podjęte przez Generalnego Inspektora Ochrony Danych Osobowych przed dniem 25 maja 2018 r. pozostają skuteczne (art. 160 ust. 1–3 u.o.d.o. 2018).
Stosownie do art. 57 ust. 1 Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych osobowych) (Dz. U. UE L 119 z 4.05.2016, str. 1 oraz Dz. Urz. UE L 127 z 23.05.2018 str. 2), zwanego dalej „Rozporządzeniem 2016/679”, bez uszczerbku dla innych zadań określonych na mocy tego rozporządzenia, każdy organ nadzorczy na swoim terytorium monitoruje i egzekwuje stosowanie tego rozporządzenia (lit. a) oraz rozpatruje skargi wniesione przez osobę, której dane dotyczą, lub przez umocowany przez nią – zgodnie z art. 80 Rozporządzeniem 2016/679 – podmiot, organizację lub zrzeszenie, w odpowiednim zakresie prowadzi postępowania w przedmiocie tych skarg i w rozsądnym terminie informuje skarżącego o postępach i wynikach tych postępowań (lit. f).
W tym miejscu wskazać należy, że Prezes Urzędu Ochrony Danych Osobowych wydając decyzję administracyjną zobowiązany jest do rozstrzygania w oparciu o stan faktyczny istniejący w chwili wydania tej decyzji. Jak podnosi doktryna „organ administracji publicznej ocenia stan faktyczny sprawy według chwili wydania decyzji administracyjnej. Reguła ta odnosi się także do oceny stanu prawnego sprawy, co oznacza, że organ administracji publicznej wydaje decyzję administracyjną na podstawie przepisów prawa obowiązujących w chwili jej wydania (…). Rozstrzyganie w postępowaniu administracyjnym polega na zastosowaniu obowiązującego prawa do ustalonego stanu faktycznego sprawy administracyjnej. W ten sposób organ administracji publicznej realizuje cel postępowania administracyjnego, jakim jest urzeczywistnienie obowiązującej normy prawnej w zakresie stosunków administracyjno-prawnych, gdy stosunki te tego wymagają” (Komentarz do ustawy z dnia 14 czerwca 1960 r. Kodeks postępowania administracyjnego, M. Jaśkowska, A. Wróbel, Lex., el/2012). Również Naczelny Sąd Administracyjny – w wyroku z dnia 7 maja 2008 r. w sprawie o sygn. akt I OSK 761/07 stwierdził, iż cyt.: „badając bowiem legalność przetwarzania danych osobowych, GIODO ma obowiązek ustalenia, czy na datę wydawania rozstrzygnięcia w sprawie dane konkretnego podmiotu są przetwarzane oraz czy czynione to jest w sposób zgodny z prawem”.
Zgodnie z brzmieniem przepisu art. 23 ust. 1 u.o.d.o. 1997, obowiązującej w okresie, którego dotyczyła skarga Skarżącego, przetwarzanie danych osobowych było dopuszczalne, gdy: osoba, której dane dotyczą, wyrazi na to zgodę, chyba że chodzi o usunięcie dotyczących jej danych (pkt 1), jest to niezbędne dla zrealizowania uprawnienia lub spełnienia obowiązku wynikającego z przepisu prawa (pkt 2), jest to konieczne do realizacji umowy, gdy osoba, której dane dotyczą, jest jej stroną lub gdy jest to niezbędne do podjęcia działań przed zawarciem umowy na żądanie osoby, której dane dotyczą (pkt 3), jest niezbędne do wykonania określonych prawem zadań realizowanych dla dobra publicznego (pkt 4), jest to niezbędne dla wypełnienia prawnie usprawiedliwionych celów realizowanych przez administratorów danych albo odbiorców danych, a przetwarzanie nie narusza praw i wolności osoby, której dane dotyczą (pkt 5). Przepis art. 23 ust. 4 u.o.d.o. 1997 stanowił zaś, że za prawnie usprawiedliwiony cel, o którym mowa w art. 23 ust. 1 pkt 5, uważa się w szczególności marketing bezpośredni własnych produktów lub usług administratora danych.
Art. 32 ust. 1 pkt 8 u.o.d.o. 1997 przyznawał osobie której dane dotyczą uprawnienie do wniesienia sprzeciwu wobec przetwarzania jej danych osobowych w przypadkach wymienionych w art. 23 ust. 1 pkt 4 i 5. Oznacza to, że osoba, której dane dotyczą mogła wnieść do administratora danych sprzeciw wobec przetwarzania jej danych osobowych w celu marketingowym. Jednocześnie z dyspozycji art. 32 ust. 3 u.o.d.o. 1997 wynikało, że po odnotowaniu takiego sprzeciwu dalsze przetwarzanie kwestionowanych danych było niedopuszczalne.
W myśl przepisów obowiązujących obecnie (od dnia 25 maja 2018 r., tj. od dnia rozpoczęcia stosowania przepisów Rozporządzenia 2016/679) przetwarzanie danych osobowych jest zgodne z prawem, gdy administrator danych legitymuje się co najmniej jedną z określonych w art. 6 ust. 1 Rozporządzenia 2016/679, materialnych przesłanek przetwarzania danych osobowych. Według wyżej wskazanego przepisu przetwarzanie danych osobowych jest zgodne z prawem wyłącznie, gdy zostanie spełniony jeden z wymienionych warunków: a) osoba, której dane dotyczą wyraziła zgodę na przetwarzanie swoich danych osobowych w jednym lub większej liczbie określonych celów; b) przetwarzanie jest niezbędne do wykonywania umowy, której stroną jest osoba, której dane dotyczą, lub do podjęcia działań na żądanie osoby, której dane dotyczą, przed zawarciem umowy; c) przetwarzanie jest niezbędne do wypełnienia obowiązku prawnego ciążącego na administratorze; d) przetwarzanie jest niezbędne do ochrony żywotnych interesów osoby, której dane dotyczą, lub innej osoby fizycznej; e) przetwarzanie jest niezbędne do wykonania zadania realizowanego w interesie publicznym lub w ramach sprawowania władzy publicznej powierzonej administratorowi; f) przetwarzanie jest niezbędne do celów wynikających z prawnie uzasadnionych interesów realizowanych przez administratora lub przez stronę trzecią, z wyjątkiem sytuacji, w których nadrzędny charakter wobec tych interesów mają interesy lub podstawowe prawa i wolności osoby, której dane dotyczą, wymagające ochrony danych osobowych, w szczególności gdy osoba, której dane dotyczą, jest dzieckiem.
W świetle motywu 47 Rozporządzenia 2016/679 za działanie wykonywane w prawnie uzasadnionym interesie, o którym mowa w jego art. 6 ust. 1 lit. f), należy uznać między innymi przetwarzanie danych osobowych do celów marketingu bezpośredniego.
Z kolei przepisy art. 6 ust. 1-3 Rozporządzenia 2016/679, analogicznie do uprzednio obowiązującej regulacji art. 32 ust. 1 pkt 8 i art. 32 ust. 3 u.o.d.o. 1997, przewidują prawo wniesienia przez osobę, której dane dotyczą, sprzeciwu wobec przetwarzania jej danych osobowych na potrzeby marketingu bezpośredniego administratora, skutkującego niedopuszczalnością dalszego przetwarzania w tym celu.
W niniejszej sprawie obowiązkiem Banku wynikającym z przedstawionych powyżej regulacji było zatem stosowne odnotowanie w swoich systemach informatycznych oraz bazach danych informacji o sprzeciwie Skarżącego wobec przetwarzania jego danych osobowych na potrzeby marketingu usług własnych Banku oraz o braku zgody Skarżącego na przetwarzanie jego danych osobowych na potrzeby marketingu innych niż Bank podmiotów należących do grupy kapitałowej C., i w konsekwencji zaprzestanie przetwarzania jego danych osobowych w tych celach.
Jak ustalono w niniejszej sprawie, brak zgody Skarżącego wobec przetwarzania jego danych osobowych na potrzeby marketingu usług innych niż Bank podmiotów należących do grupy kapitałowej C., odnotowany został przez Bank nie później niż w dniu […] lipca 2015 r., tj. dniu złożenia przez pełnomocnika Banku wyjaśnień w niniejszej sprawie.
Natomiast sprzeciw Skarżącego wobec przetwarzania jego danych osobowych na potrzeby marketingu usług własnych Banku odnotowany został w systemie transakcyjnym Banku – na skutek doręczenia mu skargi złożonej przez Skarżącego w niniejszej sprawie, potraktowanej przez Bank jako oświadczenie o sprzeciwie, o którym mowa w art. 32 ust. 1 pkt 8 u.o.d.o. 1997 – w dniu […] lipca 2015 r., i od tego dnia Bank zaprzestał tego rodzaju przetwarzania danych osobowych Skarżącego.
Wobec braku wcześniejszego skutecznie wniesionego sprzeciwu Skarżącego, nawiązanie z nim przez Bank kontaktu w celu marketingu usług własnych Banku w dniu […] marca 2014 r. należy uznać za dopuszczalną w świetle przepisów o ochronie danych osobowych realizację prawnie uzasadnionego interesu Banku.
Podsumowując stwierdzić należy, że dane osobowe Skarżącego nie były w sposób niezgodny z prawem przetwarzane przez Bank. W stanie faktycznym istniejącym w chwili wydania niniejszej decyzji dane osobowe Skarżącego nie są przetwarzane przez Bank ani w celach marketingu produktów i usług własnych, ani w celach marketingu produktów i usług podmiotów należących do grupy kapitałowej C., innych niż Bank. Brak jest więc podstaw do skorzystania przez Prezesa Urzędu Ochrony Danych Osobowych z jakiegokolwiek uprawnienia naprawczego przewidzianego w art. 58 ust. 2 Rozporządzenia 2016/679. Warunkiem wydania skierowanego do Banku nakazu, o którym mowa w tym przepisie, jest bowiem stwierdzenie istnienia stanu naruszenia przepisów o ochronie danych osobowych w dacie wydania decyzji.
Odnosząc się do wniosku Skarżącego o nałożenie na Bank kary pieniężnej za bezprawne korzystanie z jego danych osobowych, stwierdzić należy, że jest on bezzasadny w związku z – po pierwsze – nie stwierdzeniem naruszenia przez Bank w niniejszej sprawie przepisów o ochronie danych osobowych oraz – po drugie – brakiem podstawy prawnej do nałożenia tego rodzaju sankcji istniejącej w dacie zdarzenia stanowiącego przedmiot skargi. Przed dniem 25 maja 2018 r., tj. przed dniem rozpoczęcia stosowania przepisów RODO, naruszenia przepisów o ochronie danych osobowych nie były zagrożone administracyjnymi sankcjami finansowymi pozostającymi w kompetencji Generalnego Inspektora Ochrony Danych Osobowych.
W tym stanie faktycznym i prawnym Prezes Urzędu Ochrony Danych Osobowych rozstrzygnął, jak w sentencji.
Na podstawie art. 127 § 3 k.p.a. od decyzji przysługuje stronie prawo do wniesienia wniosku o ponowne rozpatrzenie sprawy w terminie 14 dni od dnia jej doręczenia stronie. Jeżeli strona nie chce skorzystać z prawa do złożenia wniosku o ponowne rozpatrzenie sprawy, ma prawo do wniesienia skargi na decyzję do Wojewódzkiego Sądu Administracyjnego w Warszawie w terminie 30 dni od dnia doręczenia jej stronie. Skargę wnosi się za pośrednictwem Prezesa Urzędu Ochrony Danych Osobowych (adres: ul. Stawki 2, 00-193 Warszawa). Wpis od skargi wynosi 200 złotych. Strona ma prawo ubiegania się o prawo pomocy, w tym zwolnienie od kosztów sądowych.