Powierzenie danych osobowych w celu zbadania rynku jest ich przetwarzaniem

@RY1@i02/2012/112/i02.2012.112.05500070e.802.jpg@RY2@

Sprawa, jaką rozpatrywał generalny inspektor danych osobowych, dotyczyła skargi klienta banku, który zawarł z nim umowę na prowadzenie konta osobistego i zaznaczył w niej, że nie wyraża zgody na przetwarzanie jego danych w celach marketingowych. Bank mimo zastrzeżenia udostępnił te dane spółce prowadzącej badania rynku. Gdy klient się o tym dowiedział, zażądał od banku udzielenie pisemnego wyjaśnienia oraz zaprzestania przetwarzania danych. Ponieważ bank nie udzielił mu odpowiedzi, złożył on skargę do GIODO. Główny inspektor ochrony danych osobowych nakazał bankowi poinformowanie skarżącego, od kiedy spółka przetwarza jego dane osobowe i jaka jest treść tych danych.

DECYZJA generalnego inspektora ochrony danych osobowych DOLiS/DEC- 1220/10

● (...) Zgodnie z art. 32 ust. 1 pkt 8 ustawy z 29 sierpnia 1997 r. o ochronie danych osobowych (t.j. Dz.U. z 2002 r. nr 101, poz. 926 z późn. zm. - dalej: ustawa) każdej osobie przysługuje prawo do kontroli przetwarzania danych, które jej dotyczą, zawartych w zbiorach danych, a zwłaszcza prawo do wniesienia sprzeciwu wobec przetwarzania jej danych w przypadkach, wymienionych w art. 23 ust. 1 pkt 4 i 5 ustawy, gdy administrator danych zamierza je przetwarzać w celach marketingowych lub wobec przekazywania jej danych osobowych innemu administratorowi danych. Natomiast dalsze przetwarzanie kwestionowanych danych jest niedopuszczalne zgodnie z art. 32 ust. 3 zd. 1 ustawy.

● (...) Ustawa o ochronie danych osobowych nie definiuje pojęcia marketingu, dlatego oceniając charakter działań należy w tym zakresie odnieść się do definicji encyklopedycznych. Marketing to "działania gospodarcze dotyczące sprzedaży, dystrybucji, reklamy, planowania produkcji, badań rynku; celem marketingu jest z jednej strony przystosowanie przedsiębiorstwa do zmiennych warunków rynku, z drugiej zaś - oddziaływanie i kształtowanie rynku". Mając na uwadze definicję pojęcia marketing GIODO wskazał, że powierzenie danych osobowych w celu przeprowadzenia badania rynku jest przetwarzaniem tych danych w celu marketingowym. Skoro skarżący złożył wcześniej sprzeciw wobec przetwarzania jego danych osobowych w takich celach, to powierzenie ich spółce na podstawie umowy zawartej z bankiem stanowiło naruszenie art. 32 ust. 3 ustawy.

Stosownie do art. 33 ust. 1 ustawy, na wniosek osoby, której dane dotyczą, administrator danych jest obowiązany, w terminie 30 dni, poinformować o przysługujących jej prawach i podać w formie zrozumiałej: jakie dane osobowe zawiera zbiór, w jaki sposób zebrano dane, w jakim celu i zakresie dane są przetwarzane, w jakim zakresie oraz komu dane zostały udostępnione. Na wniosek osoby, której dane dotyczą, informacji, udziela się na piśmie.

Każdej osobie przysługuje prawo do kontroli przetwarzania danych, które jej dotyczą, zawartych w zbiorach danych, a zwłaszcza prawo do: uzyskania wyczerpującej informacji, czy taki zbiór istnieje, oraz do ustalenia administratora danych, adresu jego siedziby i pełnej nazwy, a w przypadku gdy administratorem danych jest osoba fizyczna - jej miejsca zamieszkania oraz imienia i nazwiska.

Powinna też uzyskać informacje o celu, zakresie i sposobie przetwarzania danych zawartych w takim zbiorze, także informacje, od kiedy przetwarza się w zbiorze dane jej dotyczące, oraz podania w powszechnie zrozumiałej formie treści tych danych. Musi również otrzymać informację o źródle, z którego pochodzą dane jej dotyczące.

● (...) Zebrany w sprawie materiał dowodowy jednoznacznie wskazuje, że bank jest administratorem danych osobowych skarżącego, tzn. podmiotem, o którym mowa w art. 7 pkt 4 ustawy, który stanowi, iż ilekroć w ustawie jest mowa o administratorze danych - rozumie się przez to organ, jednostkę organizacyjną, podmiot lub osobę, o których mowa w art. 3 ustawy (...). Obowiązek informacyjny wskazany w art. 33 ustawy ciąży na administratorze danych, a zatem na banku, nie zaś na podmiocie, któremu administrator powierzył przetwarzanie danych osobowych, w oparciu o umowę.

● (...) Bank powierzył spółce dane w zakresie szerszym, niż wskazał to skarżącemu. W protokole dokumentującym zniszczenie danych przez spółkę wskazano, że dane te "przekazane były z uwzględnieniem podziału na typ usługi bankowej, z której korzysta klient". Zatem spółka przetwarzała również informację o typie usługi, z której korzysta skarżący. Zasadne jest więc nakazanie bankowi usunięcia uchybień poprzez udzielenie skarżącemu informacji odnośnie sposobu przetwarzania jego danych, tj. wskazanie, od kiedy spółka przetwarzała jego dane osobowe oraz jaka była ich treść.

● (...) Mimo iż udostępnienie danych osobowych skarżącego przez bank na rzecz spółki w ocenie Generalnego Inspektora odbyło się z naruszeniem art. 32 ust. 3 ustawy ze względu na wniesiony przez skarżącego sprzeciw wobec przetwarzania jego danych osobowych w celach marketingowych, to w związku z usunięciem tych danych przez spółkę, niemożliwe jest wydanie rozstrzygnięcia przywracającego stan zgodny z prawem. Ze względu na uchybienia stwierdzone przy wypełnianiu przez bank obowiązku informacyjnego określonego w art. 33 ustawy, należy nakazać usunięcie tych uchybień.

oprac. Małgorzata Piasecka-Sobkiewicz