Aktualności

Niedopuszczalne przetwarzanie danych osobowych przez banki

26-08-2015

Cały tekst

„Z zainwestowanych 30 tys. zł po sześciu miesiącach zostało niecałe 20 tys. zł – skarży się portalowi Gazeta.pl pan Dariusz, klient Getin Banku. Okazuje się, że nie on jeden czuje się wprowadzony w błąd”

Cały tekst

Poza niewątpliwą stratą czasu, na wysłuchiwaniu niezwykle korzystnych ofert bankowców, można (w chwili słabości) stracić również realne pieniądze. Jak się przed tym ustrzec? W komentowanym artykule dziennikarz Wyborczej przedstawia sprawę pana Jerzego, który po namolnych jak twierdzi telefonach z banku oświadczył , że ich sobie więcej nie życzy. Po powyższym zastrzeżeniu pan Jerzy miał spokój. Nie trwało to jednak długo. Po kilku miesiącach telefony znowu się rozdzwoniły.

Odnosząc się do wskazanej powyżej sytuacji, autor artykułu ograniczył się niestety wyłącznie do opinii przedstawianych przez p. Emilię Kasperczak z obsługującego pana Jerzego MultiBanku (część BRE Bank S.A.). Wyjaśnia ona, że prawdopodobnie doszło do nieporozumienia i pracownik banku źle odznaczył zgody albo niewłaściwie zrozumiał prośbę klienta. Następnie pracownik banku wyjaśnia co zrobić, żeby nie otrzymywać bankowych ofert: „aby aktywować lub zablokować zgodę na otrzymywanie informacji marketingowych, klient powinien skontaktować się z infolinią lub udać się do dowolnej (…) placówki. – Po rozmowie z klientem pracownik banku dokonuje konkretnych zmian dotyczących kontaktu handlowego ze strony banku.” Dlaczego zdaniem pracownika banku ten proces ma być tak skomplikowany? – „Klient może (…) zadecydować, że nie chce, aby bank kontaktował się z nim telefonicznie, ale jednocześnie nadal być zainteresowanym otrzymywaniem reklam drogą elektroniczną.” Czy na pewno chodzi o umożliwienie klientom niuansowania kwestii formy otrzymywanego spamu? Nie sądzę.

Przedstawione stanowisko banku nie do końca pokrywa się również z obowiązującymi przepisami. Zgodnie z art. 23 ust. 1 pkt 5 i ust. 4 ustawy o ochronie danych osobowych (u.o.d.o.) przetwarzanie danych osobowych jest (po spełnieniu innych przewidzianych w u.o.d.o. przesłanek) dopuszczalne, chyba że (art. 32 ust. 1 pkt 8 u.o.d.s.) osoba, której dane osobowe są w ten sposób przetwarzane złoży swój sprzeciw. Zgodnie z art. 32 ust. 3 u.o.d.o. w razie wniesienia sprzeciwu, o którym mowa w art. 32 ust. 1 pkt 8 u.o.d.o., dalsze przetwarzanie kwestionowanych danych jest niedopuszczalne. Administrator danych może jednak pozostawić w zbiorze imię lub imiona i nazwisko osoby oraz numer PESEL lub adres wyłącznie w celu uniknięcia ponownego wykorzystania danych tej osoby w celach objętych sprzeciwem. Czy w celu złożenia sprzeciwu trzeba kontaktować się z bankiem przez infolinię lub iść do banku i rozmawiać z jego pracownikiem? Ustawa o ochronie danych osobowych nie przewiduje takiej procedury. Sprzeciw, o którym mowa powyżej może zatem zostać złożony w dowolnej formie. W przypadku rozmowy z konsultantem infolinii, lub z pracownikiem banku, to bank dysponować będzie dowodem, że sprzeciw w ogóle został złożony. Dla klienta bezpieczniejszą z dowodowego punktu widzenia, ale też najwygodniejszą formą będzie wysłanie do banku e-maila zawierającego odpowiednie oświadczenie.

Co jednak, jeśli bank pomimo sprzeciwu w dalszym ciągu przetwarza nasze dane osobowe i dzwoni do nas ze swoimi ofertami? Zgodnie z art. 18 ust. 1 u.o.d.o. w przypadku naruszenia przepisów o ochronie danych osobowych Generalny Inspektor Danych Osobowych z urzędu lub na wniosek osoby zainteresowanej, w drodze decyzji administracyjnej, nakazuje przywrócenie stanu zgodnego z prawem. Co z tego wynika dla nas? Niewiele, poza tym, że GIODO zobowiąże bank do nieprzetwarzania naszych danych osobowych.

Możemy jednak chronić nasze dane osobowe również w inny sposób – przez odniesienie do dóbr osobistych, w szczególności do prawa do prywatności. Podkreślić należy, że jest ono chronione właśnie m. in. przez ustawę o ochronie danych osobowych. W mojej ocenie nie ulega wątpliwości, że przetwarzanie przez bank danych osobowych pomimo złożenia sprzeciwu co do przetwarzania ich w celach marketingowych to prawo do prywatności narusza. Naruszenie to, będące jednocześnie naruszeniem przedmiotowej ustawy jest zatem również bezprawne. Co z tego wynika? Zgodnie z art. 448 Kodeksu cywilnego, niezależnie od innych środków potrzebnych do usunięcia skutków naruszenia w razie naruszenia dobra osobistego sąd może przyznać temu, czyje dobro osobiste zostało naruszone, odpowiednią sumę tytułem zadośćuczynienia pieniężnego za doznaną krzywdę lub na jego żądanie zasądzić odpowiednią sumę pieniężną na wskazany przez niego cel społeczny. W mojej ocenie warto korzystać z przewidzianego w tym przepisie roszczenia.

Niezależnie od powyższego, przetwarzanie danych osobowych, pomimo niedopuszczalności takiego przetwarzania jest przestępstwem opisanym w art. 49 ust. 1 u.o.d.o. Zgodnie z tym przepisem kto przetwarza w zbiorze dane osobowe, choć ich przetwarzanie nie jest dopuszczalne albo do których przetwarzania nie jest uprawniony, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do lat 2. W razie stwierdzenia przez GIODO podczas kontroli, że działanie lub zaniechanie kierownika jednostki organizacyjnej, jej pracownika lub innej osoby fizycznej będącej administratorem danych wyczerpuje znamiona przestępstwa określonego w ustawie, Generalny Inspektor kieruje do organu powołanego do ścigania przestępstw zawiadomienie o popełnieniu przestępstwa, dołączając dowody dokumentujące podejrzenie. Nie wyłącza to jednak możliwości złożenia takiego zawiadomienia przez samego zainteresowanego.

Konkludując, w przypadku gdy bank pomimo sprzeciwu przetwarza nasze dane osobowe w celach marketingowych, możemy domagać się zadośćuczynienia za naruszenie dóbr osobistych. Ponadto możemy złożyć odpowiednie zawiadomienie do GIODO oraz do Prokuratury. Tak naprawdę tylko w ten sposób można przyczynić się do rzeczywistego wykonywania przez banki przepisów ustawy o ochronie danych osobowych, która jest jednym z gwarantów naszego prawa do prywatności. Jeśli konsekwencje za łamanie ustawy o ochronie danych osobowych nie będą wystarczająco dotkliwe, naruszyciele mogą dojść do wniosku, że bardziej opłaca się działać niezgodnie z prawem.

Karol Czubkowski