Zapisz się do newslettera!

Chcesz być zawsze na bieżąco z tematyką bloga? Interesuje Cię praktyczna wiedza i jej źródła? Raz w miesiącu przesyłam informację o nowych wpisach z bloga oraz o praktycznych rozwiązaniach pojawiających się problemów. Żadnych obcych reklam.

Share this:

2 września 2021

Sprawozdanie Prezesa UODO za 2020 r.

w kategorii RODO

Parę dni temu Urząd Ochrony Danych Osobowych opublikował sprawozdanie z własnej działalności, które zawiera oprócz wielu danych statystycznych także ciekawe spostrzeżenia natury prawnej.

I to właśnie te spostrzeżenia warto przedstawić szerzej.

Ciekawy przypadek dotyczy przetwarzanie danych osobowych przez administratora w celu innym niż cel, do którego dane te zostały pozyskane:

Do Urzędu Ochrony Danych Osobowych wpłynęła skarga dotycząca doręczenia korespondencji zawierającej decyzję administracyjną osobie niebędącej stroną postępowania administracyjnego. Głównym zarzutem było przetwarzanie przez organ publiczny danych osobowych skarżącej w zakresie imienia i nazwiska oraz adresu zamieszkania bez podstawy prawnej oraz niezrealizowania wobec niej obowiązku informacyjnego.

Okazało się, że organ publiczny, który wydał omawianą decyzję i przesłała na inny adres niż powinien pozyskał go z przelewu bankowego:

Skarżony organ w złożonych wyjaśnieniach wskazał, że uzyskał dane osobowe skarżącej w zakresie imienia i nazwiska oraz adresu zamieszkania w związku z wykonaniem przez skarżącą przelewu bankowego, zrealizowanego w celu uregulowania w imieniu jej ojca terminowej należności – opłaty za odpady komunalne.

W zakresie spełnienia żądania osoby, której dane dotyczą, o którym mowa w art. 15 RODO ciekawym jest stanowisko UODO w zakresie braku konieczności ponownego przekazywania takich danych:

Przyjęte na gruncie RODO regulacje prawne, przeciwnie do przepisów uchylonej ustawy o ochronie danych osobowych z 1997 r., nie zawierają ograniczeń w zakresie uprawnień informacyjnych poprzez określenie, że podmiot danych jest uprawniony do skorzystania z nich nie częściej niż raz na 6 miesięcy (art. 32 ust. 5 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych). Celem prawodawcy unijnego, przyznającego podmiotowi danych uprawnienia informacyjne, było zagwarantowanie mu prawa do kontroli przetwarzanych przez administratora jego danych osobowych. Prezes UODO zaznaczył, że prawo to nie powinno być jednakże nadużywane w taki sposób, aby mogło kolidować z pracą jednostki i wpływać na jej funkcjonowanie, czym niewątpliwie jest składanie przez tę samą osobę kilku wniosków w krótkim odstępie czasu. W związku z tym, że w toku postępowania ustalono, że Minister udzielił skarżącemu, na jego wniosek, wyczerpującej odpowiedzi dotyczącej przetwarzania jego danych osobowych, w ocenie Prezesa Urzędu Ochrony Danych Osobowych nie było konieczności ponownego udzielenia skarżącemu informacji o przetwarzaniu jego danych w niespełna 10 dni po ich udzieleniu.

Przetwarzanie danych w celach marketingowych

Tutaj Prezes UODO bardzo życiowo podszedł do podstawy prawnej przetwarzania danych w tym zakresie:

Wskazać należy, że podstawę prawną do prowadzenia tego typu działań stanowi najczęściej art. 6 ust. 1 lit. f rozporządzenia 2016/67962, tj. uzasadniony interes administratorów danych w prowadzeniu działań marketingowych. W motywie 47 rozporządzenia 2016/679 wskazane jest, że za działanie wykonywane w prawnie uzasadnionym interesie można uznać przetwarzanie danych osobowych do celów marketingu bezpośredniego. Działania marketingowe można także prowadzić na podstawie zgody uzyskanej od osoby, której dane dotyczą. Odnosi się to zwłaszcza do partnerów handlowych podmiotów, które dane pozyskały, gdy zgoda ta obejmuje udostępnienie danych osobowych w celach prowadzenia marketingu na ich rzecz. W przypadku marketingu trzeba jednak mieć na uwadze, że podmioty danych mają prawo do skorzystania z przysługujących im na mocy rozporządzenia 2016/679 praw, w tym wniesienia sprzeciwu wobec przetwarzania.

Choć też UODO widzi, słusznie, że nie zawsze da się wykazać prawnie uzasadniony interes administratora:

W kolejnej ze spraw administrator, wykonujący do skarżącego połączenia telefoniczne o charakterze marketingowym, utrudniał realizację przysługujących mu na mocy rozporządzenia 2016/679 praw. Swoje działanie argumentował brakiem zastosowania w tym przypadku przepisów o ochronie danych osobowych, wskazując, że przetwarzany przez niego numer telefonu nie jest powiązany z żadnymi innymi informacjami dotyczącymi skarżącego, a sam w sobie nie stanowi danych osobowych. Prezes UODO nie podzielił jednak ww. stanowiska. Dysponując bowiem informacją w postaci numeru telefonu, podmiot skarżony podejmował działania nakierowane na identyfikację osób. Identyfikacja ta nie wymagała od podmiotu nadmiernych kosztów bądź czasu, a przetwarzanie numeru telefonu służyło identyfikacji danej osoby jako klienta dla podmiotów współpracujących ze skarżonym.

W omawianej sprawie Prezes UODO uznał, że wspomniana wyżej przesłanka z art. 6 ust. 1 lit. f rozporządzenia 2016/679, uprawniająca niekiedy do prowadzenia działań marketingowych, nie będzie miała w tym przypadku zastosowania, oraz że nie istnieje żadna inna przesłanka uprawniająca administratora do przetwarzania danych. Nie zachodziło bowiem żadne powiązanie pomiędzy skarżącym a spółką, np. w postaci zawarcia umowy.

Pozostając obok tematu marketingu warto wskazać, że Prezes UODO w 2020 r. rozpoznawał też sprawy dotyczące przetwarzania danych osobowych osób reprezentujących osoby prawne i związaną z tym kwestię spełniania obowiązku informacyjnego:

(…) należy przyjąć, że dane osób fizycznych pełniących funkcje członków organów osoby prawnej będą stanowiły dane osobowe, a nie będą zaś mieściły się w zakresie pojęcia danych osoby prawnej (w rozumieniu motywu 14 RODO). Podobnie sytuacja wygląda w odniesieniu do danych pełnomocników i pracowników osób prawnych, co potwierdza odpowiedź Komisji Europejskiej z 21 lutego 2018 r. na pisemne pytanie członka Parlamentu Europejskiego Richarda Sulika, w której wskazano, że motyw 14 RODO wyjaśnia, że rozporządzenie nie ma zastosowania do przetwarzania danych osobowych, które dotyczą osób prawnych, w tym nazwy i formy osoby prawnej oraz danych kontaktowych osoby prawnej. Adres e-mail osoby prawnej, taki jak ikeacontact[@]ikea.com, nie wchodzi w zakres rozporządzenia. Jednak dane osobowe pracowników osoby prawnej, w tym ich profesjonalne adresy e-mail, byłyby objęte zakresem rozporządzenia (np. Johnsmith[@]ikea.sk).

i w zakresie obowiązku informacyjnego:

Rozwiązanie polegające na zamieszczeniu w stopce e-mailowej informacji o administratorze danych osobowych wraz z odniesieniem do linku z szerszymi informacjami, będzie stanowiło tzw. warstwowe informowanie i jest jak najbardziej dopuszczalne. Należy jednak pamiętać o aktualizacji zarówno informacji zamieszonych w stopce, jak i tych, do których odsyła administrator.

W 2020 r. w sektorze bankowości też się działo – np. skanowanie/kserowanie dowodu osobistych czy też przetwarzania danych na podstawie art. 105a ust. 3 prawa bankowego. W tym drugim zakresie ciekawe jest to, że UODO widzi dużo więcej w przepisie niż jest w nim faktycznie jest.

Obecnie treść art. 105a ust. 3 prawa bankowego w interesującym nas zakresie, że Banki (…) mogą przetwarzać informacje stanowiące tajemnicę bankową i informacje udostępnione przez instytucje pożyczkowe oraz podmioty (…) po wygaśnięciu zobowiązania wynikającego z umowy zawartej z bankiem, inną instytucją ustawowo upoważnioną do udzielania kredytów, instytucją pożyczkową (…) bez zgody osoby, której informacje dotyczą, gdy osoba ta nie wykonała zobowiązania lub dopuściła się zwłoki powyżej 60 dni w spełnieniu świadczenia wynikającego z umowy zawartej z bankiem, inną instytucją ustawowo upoważnioną do udzielania kredytów, instytucją pożyczkową lub podmiotem (…) a po zaistnieniu tych okoliczności upłynęło co najmniej 30 dni od poinformowania tej osoby (…), o zamiarze przetwarzania dotyczących jej tych informacji, bez jej zgody.

A Prezes UODO widzi w tym przepisie obowiązek skutecznego poinformowania, którego nie widzi ustawa:

Dopiero po upływie 60 dni zaczyna biec trzydziestodniowy termin, w którym instytucja jeszcze oczekuje na wykonanie zobowiązania klienta. Ostatecznie to bezskuteczny upływ 30 dni od momentu skutecznego poinformowania stanowi wypełnienie przesłanek z art. 105a ust. 3 Prawa bankowego. Oznacza to, że bank musi dysponować dowodem, że osoba, której dane dotyczą, została poinformowana o zamiarze przetwarzania ich bez jej zgody.

Kwestia wykładni pojęcia „poinformowania” osoby niedokonującej spłaty zadłużenia była w okresie sprawozdania podjęta w orzecznictwie – w Judykatura.pl można szybko znaleźć istotny wyrok w tej kwestii:

W wyroku WSA z 10.03.2020 r. w sprawie o sygnaturze II SA/Wa 2037/19:

  • organ nadzorczy naruszył w sposób istotny przepis art. 105a ust. 3 ustawy z dnia 29 sierpnia 1997 r. – Prawo bankowe, dokonując jego błędnej wykładni polegającej na nieuprawnionym przyjęciu, że wykonanie obowiązku informacyjnego, o którym mowa w tym przepisie, polega na skutecznym doręczeniu klientowi banku informacji o zamiarze przetwarzania jego danych osobowych bez jego zgody, gdy tymczasem – jak słusznie zauważyła strona skarżąca – prawidłowa interpretacja tego przepisu winna prowadzić do przyjęcia, iż “poinformowanie” oznacza jedynie rzeczywiste umożliwienie klientowi banku zaznajomienia się ze wspomnianą informacją.

  • uznał ponadto, że Prezes Urzędu Ochrony Danych Osobowych, wydając sporną decyzję, dopuścił się jednocześnie – mogącego mieć zasadniczy wpływ na wynik sprawy – naruszenia przepisów procedury administracyjnej, a w szczególności art. 7 k.p.a., art. 77 § 1 k.p.a., art. 80 k.p.a., a także art. 107 § 3 k.p.a. w zw. z art. 7 ust. 1 ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych, polegającego przede wszystkim na przekroczeniu granic swobodnej oceny dowodów i w konsekwencji błędnym przyjęciu, że przedłożony przez skarżący Bank wydruk z książki nadawczej nie stanowi dowodu poinformowania J.W. o zamiarze przetwarzania jego danych osobowych bez jego zgody, o którym mowa w art. 105a ust. 3 ustawy – Prawo Bankowe, podczas gdy, w ocenie Sądu, jest to dostateczny dowód przekazania wymaganej przez art. 105a ust. 3 cyt. ustawy informacji klientowi banku.

  • Przechodząc do analizy przepisu art. 105a ust. 3 Prawa bankowego, należy wyraźnie podkreślić, iż ustawodawca nie stworzył żadnych szczególnych wymogów formalnych, co do sposobu i treści poinformowania klienta lub byłego klienta banku o zamiarze przetwarzania jego danych. Nie oznacza to jednak całkowitej dowolności w tym zakresie. Jakkolwiek ustawodawca w żaden sposób nie ograniczył sposobów i form takiego powiadomienia, jednakże w każdym wypadku sposób ten powinien umożliwić zweryfikowanie faktu poinformowania klienta banku o zamierzonym przetwarzaniu jego danych osobowych lub też przynajmniej potwierdzenie, że klientowi umożliwiono zapoznanie się z taką informacją.

  • Powyższe, w ocenie Sądu, wynika z wykładni językowej omawianej przesłanki (“poinformować” oznacza “udzielić informacji, powiadomić o czymś”), a więc gdyby ustawodawca rzeczywiście chciał uzależnić możliwość przetwarzania danych osobowych w warunkach, o których mowa w art. 105a ust. 3 Prawa bankowego, od skutecznego doręczenia klientowi banku wspomnianej informacji – jak twierdzi organ nadzorczy – to takiego sformułowania użyłby niewątpliwie wprost w omawianym przepisie.

  • W tej sytuacji, zdaniem Sądu, uznać należy, że organ nadzorczy przyjął błędną interpretację słowa “poinformować”, które miałoby oznaczać skuteczne doręczenie, a która prowadziłaby do konieczności dysponowania przez skarżący Bank potwierdzeniem odbioru powiadomienia o przetwarzaniu danych osobowych, które de facto wiązałaby się z blokadą całego procesu informacyjnego, co w konsekwencji mogłoby doprowadzić do sytuacji, w której dłużnik mógłby uchylać się od składania stosowanych oświadczeń, aby w przyszłości móc otrzymać kredyt na warunkach nieadekwatnych do jego zdolności kredytowych.

I na koniec, choć ważna sprawa, Prezes UODO odniósł się do sposobu przekazywania obowiązkowej informacji o danych Inspektora Ochrony Danych:

Jeśli administrator prowadzi własną stronę internetową, dane o wyznaczonym IOD powinny znaleźć się w łatwo dostępnym miejscu strony, np. w zakładce: „Kontakt”, „Inspektor ochrony danych”, „RODO” czy „Ochrona danych osobowych”. Za niewłaściwe należy natomiast uznać publikowanie tych danych w miejscach wymagających długiego przeszukiwania, takich jak „Aktualności” czy „Polityka prywatności”.

Próżno szukać powyższych informacji nawet w niektórych politykach prywatności, a co dopiero w zakładkach takich jak kontakt, czy odrębnej zakładce „Inspektor ochrony danych”.