PREZES URZĘDU OCHRONY DANYCH OSOBOWYCH Warszawa, dnia 21 października 2019 r.

Decyzja

ZKE.440.68.2019

Na podstawie art. 104 § 1 ustawy z dnia 14 czerwca 1960 r. Kodeks postępowania administracyjnego (Dz. U. z 2018 r. poz. 2096 ze zm.), art. 160 ust. 1 i 2 ustawy o ochronie danych osobowych z dnia 10 maja 2018 roku (Dz. U. z 2019 r., poz. 1781) oraz art. 12 pkt 2, art. 22, art. 23 ust. l pkt 2, pkt. 5 ustawy z dnia 29 sierpnia 1997 o ochronie danych osobowych (Dz. U. z 2016 r. poz. 922 ze zm.  oraz z 2018 r. poz. 138), w związku z art. 6 ust. lit. f Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (Dz. Urz. UE L 119 z 04.05.2016, str. 1 oraz Dz. Urz. UE L 127 z 23.05.2018, str. 2), po przeprowadzeniu postępowania administracyjnego w sprawie skargi Pana L. K. na przetwarzanie jego danych osobowych przez Bank A. S.A., Prezes Urzędu Ochrony Danych Osobowych

odmawia uwzględnienia wniosku.

UZASADNIENIE

Do Prezesa Urzędu Ochrony Danych Osobowych (poprzednio Generalnego Inspektora Ochrony Danych Osobowych) wpłynęła skarga Pana L. K., zwanego dalej: „Skarżącym”, na przetwarzanie jego danych osobowych przez Bank A. S.A., zwanego dalej: „Bankiem”. Skarżący wniósł o usunięcie jego danych osobowych przetwarzanych przez Bank.

W toku postępowania administracyjnego przeprowadzonego w niniejszej sprawie Prezes Urzędu Ochrony Danych Osobowych, zwanego dalej: „Prezes UODO” ustalił, co następuje.

1. Bank pozyskał dane osobowe Skarżącego w związku z jego wnioskiem o wydanie Karty Kredytowej […] z dnia […] listopada 2004 roku. Bank wyjaśnił, że nie pozyskał danych osobowych Skarżącego w trakcie rozmowy telefonicznej prowadzonej przez Skarżącego z konsultantem Banku. Dane osobowe Skarżącego zebrane zostały w celu zawarcia umowy o Kartę Kredytową […] w zakresie niezbędnym do wydania i obsługi karty kredytowej. Podstawę prawną pozyskania danych osobowych Skarżącego stanowił art. 23 ust. 3 (Dz. U. z 2016 r. poz. 922 ze zm.  oraz z 2018 r. poz. 138) zwanej dalej: "ustawą" (po 25 maja 2018 r. art. 6 lit. b Rozporządzenia 2016/679). Rachunek przypisany do karty kredytowej został zamknięty […] września 2006 roku.

2. W wyjaśnieniach Bank wskazał, że po zamknięciu rachunku przypisanego do karty kredytowej […] przetwarzał dane osobowe Skarżącego w związku z posiadanymi w przeszłości produktami bankowymi:

  • na podstawie art. 23 ust. 1 pkt 5 ustawy - w usprawiedliwionym celu dochodzenia roszczeń z tytułu prowadzonej działalności gospodarczej,
  • na podstawie art. 23 ust. 1 pkt 2 ustawy w związku z art. 74 ust. 2 pkt 8 ustawy z dnia 29 września 1994 r. o rachunkowości (Dz.U. z 2019, poz.351 ze zm.), zwanej dalej: "u.o.r."

3. Bank wyjaśnił, że po otrzymaniu sprzeciwu Skarżącego z dnia […] marca 2017 roku podjął decyzje o usunięciu danych osobowych pozyskanych w związku z zawarciem w dniu […] listopada 2004 roku umowy o kartę kredytową […] Obecnie Bank nie przetwarza danych osobowych Skarżącego w ww. zakresie (w tym zniszczono kserokopię dokumentu tożsamości).

4. Bank przetwarza dane osobowe Skarżącego w zakresie wynikającym z treści złożonej skargi tj. imię i nazwisko, wzór podpisu, adres korespondencyjny na podstawie art. 6 ust.1 lit. f Rozporządzenia 2016/679 (poprzednio art. 23 ust.1 pkt 5 ustawy), w celu udokumentowania korespondencji ze Skarżącym.

W tym stanie faktycznym Prezes UODO zważył, co następuje.

Z dniem 25 maja 2018 r. w życie weszły przepisy ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych (Dz.U. 2019 poz. 1781), dalej „u.o.d.o.”.

W myśl art. 160 ust. 1-3 ustawy, postępowania prowadzone przez Generalnego Inspektora Ochrony Danych Osobowych, wszczęte i niezakończone przed dniem wejścia w życie niniejszej ustawy, prowadzone są przez Prezesa Urzędu Ochrony Danych Osobowych na podstawie ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych, zgodnie z zasadami określonymi w ustawie z dnia 14 czerwca 1960 r. Kodeks postępowania administracyjnego (Dz. U. z 2018 r. poz. 2096 ze zm.), zwanej dalej „k.p.a”. Jednocześnie, czynności dokonane w postępowaniach, wszczętych i niezakończonych przed dniem wejścia w życie przepisów u.o.d.o., pozostają skuteczne.

Od dnia 25 maja 2018 r. zastosowanie ma również rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (Dz. Urz. UE L 119 z 04.05.2016, str. 1 ze zm.), zwane dalej „Rozporządzeniem 2016/679”.

Uwzględniając powyższe stwierdzić zatem należy, iż niniejsze postępowanie, wszczęte i niezakończone przed dniem 25 maja 2018 r., prowadzone jest na podstawie ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (w zakresie dotyczącym przepisów regulujących procedurę administracyjną) oraz na podstawie Rozporządzenia 2016/679 (w zakresie rozstrzygającym o legalności procesu przetwarzania danych osobowych). Wynikający w przepisów prawa sposób prowadzenia postępowań w sprawach rozpoczętych i nie zakończonych przed dniem wejścia w życie nowych regulacji z zakresu ochrony danych osobowych koreluje z ugruntowanym stanowiskiem doktryny, zgodnie z którym „organ administracji publicznej ocenia stan faktyczny sprawy według chwili wydania decyzji administracyjnej. Reguła ta odnosi się także do oceny stanu prawnego sprawy, co oznacza, że organ administracji publicznej wydaje decyzję administracyjną na podstawie przepisów prawa obowiązujących w chwili jej wydania” (Komentarz do ustawy z dnia 14 czerwca 1960 r. Kodeks postępowania administracyjnego (Dz. U. 00.98.1071) M. Jaśkowska, A. Wróbel, Lex., el/2012).

W wyroku z dnia 7 maja 2008 r. w sprawie o sygn. akt I OSK 761/07 Naczelny Sądu Administracyjny stwierdził, iż „badając […] legalność przetwarzania danych osobowych, GIODO ma obowiązek ustalenia, czy na datę wydawania rozstrzygnięcia w sprawie dane konkretnego podmiotu są przetwarzane oraz czy czynione to jest w sposób zgodny z prawem”.

W świetle przepisów Rozporządzenia 2016/679, przetwarzanie danych osobowych jest uprawnione, gdy spełniona zostanie którakolwiek z przesłanek wymienionych w art. 6 ust. 1 rozporządzenia 2016/679 (uprzednio art. 23 ust.1 ustawy). Przesłanki te odnoszą się do wszelkich form przetwarzania danych wymienionych w art. 4 pkt 2 Rozporządzenia 2016/679, w tym w szczególności do ich udostępnienia. Warunki te są także względem siebie równoprawne, co oznacza, że dla legalności procesu przetwarzania danych wystarczające jest spełnienie jednej z nich.

Odnosząc się do żądania Skarżącego w przedmiocie kwestii stwierdzenia legalności dokonywanego aktualnie przetwarzania danych przez Bank należy wskazać, że podstawę prawną przetwarzania danych osobowych Skarżącego w ww. zakresie jest art. 6 ust.1 lit. f Rozporządzenia 2016/679 (poprzednio art. 23 ust.1 pkt 5 ustawy), zgodnie z którym „przetwarzanie jest niezbędne do celów wynikających z prawnie uzasadnionych interesów realizowanych przez administratora”. Nie zaistniała zatem niezbędna przesłanka do wydania przez Prezesa UODO decyzji nakazującej przywrócenie stanu zgodnego z prawem, dlatego zasadnym jest wydanie decyzji odmawiającej spełnienia żądania osoby, której dane dotyczą.

W tym stanie faktycznym i prawnym Prezes UODO rozstrzygnął, jak w sentencji.

Na podstawie art. 127 § 3 Kpa od niniejszej decyzji stronie przysługuje prawo do wniesienia wniosku o ponowne rozpatrzenie sprawy w terminie 14 dni od dnia doręczenia decyzji stronie. Jeżeli strona nie chce skorzystać z prawa do złożenia wniosku o ponowne rozpatrzenie sprawy, ma prawo do wniesienia skargi na decyzję do Wojewódzkiego Sądu Administracyjnego w Warszawie w terminie 30 dni od dnia doręczenia jej stronie. Skargę wnosi się za pośrednictwem Prezesa Urzędu Ochrony Danych Osobowych (adres: ul. Stawki 2, 00-193 Warszawa). Wpis od skargi wynosi 200 złotych. Strona ma prawo ubiegania się o prawo pomocy, w tym zwolnienie od kosztów sądowych.

Podmiot udostępniający: Departament Kar i Egzekucji
Wytworzył informację:
user Jan Nowak
date 2019-10-21
Wprowadził informację:
user Anna Pachla
date 2021-04-28 11:44:42
Ostatnio modyfikował:
user Edyta Madziar
date 2021-05-28 09:10:30