D E C Y Z J A. (dotyczy przekazania przez Towarzystwo Funduszy Inwestycyjnych danych osobowych Skarżącego Bankowi, w celach marketingowych)



Podobne dokumenty
DECYZJA. odmawiam uwzględnienia wniosku. Uzasadnienie

GENERALNY INSPEKTOR OCHRONY DANYCH OSOBOWYCH Michał Serzycki

GENERALNY INSPEKTOR OCHRONY DANYCH OSOBOWYCH

GENERALNY INSPEKTOR OCHRONY DANYCH OSOBOWYCH

GENERALNY INSPEKTOR OCHRONY DANYCH OSOBOWYCH

UMOWA POWIERZENIA PRZETWARZANIA DANYCH OSOBOWYCH nr.. zawarta w dniu. zwana dalej Umową powierzenia

POLITYKA PRYWATNOŚCI

GENERALNY INSPEKTOR OCHRONY DANYCH OSOBOWYCH

UMOWA POWIERZENIA PRZETWARZANIA DANYCH OSOBOWYCH (zwana dalej Umową )

OCHRONY DANYCH OSOBOWYCH Ewa Kulesza

Regulamin usługi udostępniania obrazów faktur VAT i innych dokumentów w formie elektronicznej

Procedura odwoławcza wraz ze wzorem protestu

GENERALNY INSPEKTOR OCHRONY DANYCH OSOBOWYCH D E C Y Z J A DIS/DEC-594/15/62961

Procedura działania Punktu Potwierdzającego Profile Zaufane epuap Urzędzie Gminy w Ułężu

W Regulaminie dokonuje się następujących zmian:

Postanowienia ogólne.

GENERALNY INSPEKTOR OCHRONY DANYCH OSOBOWYCH

GENERALNY INSPEKTOR OCHRONY DANYCH OSOBOWYCH Michał Serzycki

D E C Y Z J A. odmawiam uwzględnienia wniosku. Uzasadnienie

Uchwała z dnia 20 października 2011 r., III CZP 53/11

Polityka prywatności strony internetowej wcrims.pl

Regulamin organizacji przetwarzania i ochrony danych osobowych w Powiatowym Centrum Kształcenia Zawodowego im. Komisji Edukacji Narodowej w Jaworze

Umowa o powierzanie przetwarzania danych osobowych

Procedura działania Punktu Potwierdzającego Profile Zaufane epuap w Urzędzie Miejskim w Łabiszynie

UCHWAŁA. SSN Zbigniew Kwaśniewski (przewodniczący) SSN Anna Kozłowska (sprawozdawca) SSN Grzegorz Misiurek

Regulamin serwisu internetowego ramowka.fm

Procedura nadawania uprawnień do potwierdzania Profili Zaufanych w Urzędzie Gminy w Ryjewie

Przetwarzanie danych osobowych przez przedsiębiorców zagrożenia i wyzwania Monika Krasińska Dyrektor Departamentu Orzecznictwa Legislacji i Skarg

POSTANOWIENIE. Zespołu Arbitrów z dnia 13 lipca 2005 r. Arbitrzy: Tomasz Marcin Błuszkowski. Protokolant Rafał Oksiński

1. PODMIOTEM ŚWIADCZĄCYM USŁUGI DROGĄ ELEKTRONICZNĄ JEST 1) SALESBEE TECHNOLOGIES SP. Z O.O. Z SIEDZIBĄ W KRAKOWIE, UL.

Załącznik Nr 2 do Regulaminu Konkursu na działania informacyjno- promocyjne dla przedsiębiorców z terenu Gminy Boguchwała

REGULAMIN PRZESYŁANIA I UDOSTĘPNIANIA FAKTUR W FORMIE ELEKTRONICZNEJ E-FAKTURA ROZDZIAŁ 1. I. Postanowienia ogólne

Ochrona danych osobowych w oświacie z punktu widzenia samorządu jako organu prowadzącego

Procedura działania Punktu Potwierdzającego Profile Zaufane epuap w Urzędzie Miejskim w Barcinie

Procedura działania Punktu Potwierdzającego Profile Zaufane epuap w Urzędzie Miejskim w Gdańsku

WYROK z dnia 8 lutego 2011 r. Przewodniczący:

Regulamin świadczenia usług prawnych drogą elektroniczną przez Kancelarię Doradcy Prawnego Monika Sobczyk - Moćkowska. 1

DE-WZP JJ.3 Warszawa,

1. DYNAMICSAX nie pobiera żadnych opłat za korzystanie z serwisu internetowego DYNAMICSAX.PL.

Niniejszy dokument obejmuje: 1. Szablon Umowy zintegrowanej o rachunek ilokata, 2. Szablon Umowy zintegrowanej o rachunek ilokata oraz o rachunek

POSTANOWIENIE z dnia 28 października 2009 r. Przewodniczący:

REGULAMIN INTERNETOWEJ OBSŁUGI KLIENTA

XXXXXXXXXXX. XXXXXXXXXXX XXXXXXXXXXXX XXXXXXXXXXXX INTERPRETACJA INDYWIDUALNA

Sprawa numer: BAK.WZP Warszawa, dnia 27 lipca 2015 r. ZAPROSZENIE DO SKŁADANIA OFERT

Adres strony internetowej, na której Zamawiający udostępnia Specyfikację Istotnych Warunków Zamówienia:

FORMULARZ INFORMACYJNY DOTYCZĄCY POŻYCZKI RATALNEJ

WYROK. z dnia 17 lipca 2013 r.

Jak ubiegać się o odszkodowanie za błędną decyzję urzędnika

Uchwała Nr IV/8/11 Rady Powiatu Piaseczyńskiego z dnia 10 lutego 2011 r. w sprawie rozpatrzenia skargi na Starostę Piaseczyńskiego

Postanowienie z dnia 9 kwietnia 2003 r., I CKN 281/01

Procedura działania Punktu Potwierdzającego. Profile Zaufane epuap. w Urzędzie Gminy Kampinos

UMOWA PARTNERSKA. z siedzibą w ( - ) przy, wpisanym do prowadzonego przez pod numerem, reprezentowanym przez: - i - Przedmiot umowy

Zielona Góra, 27 lutego 2014 r. VII G 211/01/14. wszyscy Wykonawcy. WYJAŚNIENIA TREŚCI SPECYFIKACJI ISTOTNYCH WARUNKÓW ZAMÓWIENIA, nr 3

Informacja o wyniku kontroli doraźnej w zakresie legalności wyboru trybu zamówienia z wolnej ręki

Instrukcja ochrony danych osobowych. Rozdział 1 Postanowienia ogólne

Rozdział I. Instrukcja dla Wykonawców (IDW). ZAŁĄCZNIKI. Znak sprawy:gt.341-9/2010/rb Jedwabno, dnia

Polska-Warszawa: Usługi skanowania 2016/S

Aneks nr 8 z dnia r. do Regulaminu Świadczenia Krajowych Usług Przewozu Drogowego Przesyłek Towarowych przez Raben Polska sp. z o.o.

Procedura działania Punktu Potwierdzającego Profile Zaufane epuap w Urzędzie Gminy Wągrowiec

PRZETWARZANIE DANYCH OSOBOWYCH

Skuteczność i regeneracja 48h albo zwrot pieniędzy

I. 1) NAZWA I ADRES: Muzeum Warszawy, Rynek Starego Miasta 28-42, Warszawa, woj. mazowieckie, tel , faks

Załącznik nr 2 do IPU UMOWA POWIERZENIA PRZETWARZANIA DANYCH OSOBOWYCH. zawarta w dniu 2015 r. w Warszawie zwana dalej Umową, pomiędzy:

PROJEKT

Warszawa, dnia 1 października 2013 r. Poz. 783 UCHWAŁA ZARZĄDU NARODOWEGO BANKU POLSKIEGO. z dnia 24 września 2013 r.

Zapytanie ofertowe nr 2/2013/WWW

UMOWA NR w sprawie: przyznania środków Krajowego Funduszu Szkoleniowego (KFS)

OGÓLNE WARUNKI UMOWY

Procedura działania Punktu Potwierdzającego. Profile Zaufane epuap. w Urzędzie Miejskim w Miłakowie

Regulamin podnoszenia kwalifikacji zawodowych pracowników Urzędu Marszałkowskiego Województwa Lubelskiego w Lublinie

Załącznik nr 2. 2 Ilekroć w Regulaminie jest mowa o:

Interpretacja indywidualna

Wystąpienie pokontrolne

Instrukcja zarządzania systemem informatycznym służącym do przetwarzania danych osobowych

z dnia Rozdział 1 Przepisy ogólne

REGULAMIN ŚWIADCZENIA USŁUG PRZYGOTOWANIA I DOSTAWY POSIŁKÓW W RAMACH CATERINGU DIETETYCZNEGO W TRÓJMIEŚCIE. 1 Postanowienia ogólne

ZARZĄDZENIE Nr 22/2011/K PREZYDENTA MIASTA PABIANIC KIEROWNIKA URZĘDU MIEJSKIEGO z dnia 15 grudnia 2011 r.

Warszawa, woj. mazowieckie, tel , faks

ZARZĄDZENIE NR 82/15 WÓJTA GMINY WOLA KRZYSZTOPORSKA. z dnia 21 lipca 2015 r.

Zapytanie ofertowe. (do niniejszego trybu nie stosuje się przepisów Ustawy Prawo Zamówień Publicznych)

Pytania do treści Specyfikacji wraz z odpowiedziami oraz zmiana treści SIWZ.

WYROK z dnia 3 stycznia 2013 r. Przewodniczący:

INSTRUKCJA postępowania w sytuacji naruszenia ochrony danych osobowych w Urzędzie Miasta Ustroń. I. Postanowienia ogólne

Regulamin Projektów Ogólnopolskich i Komitetów Stowarzyszenia ESN Polska

WYROK. Zespołu Arbitrów z dnia 16 sierpnia 2006 r.


REGULAMIN KOMISJI ETYKI BANKOWEJ

Umowa - wzór. Zawarta w dniu roku w Świątkach pomiędzy :

Załącznik nr 6 do SIWZ 2/2012/pn BR-X-2/2121/3/2012 Usługi introligatorskie dla Biblioteki Raczyńskich w Poznaniu w 2012r.

REGULAMIN. przeprowadzania naboru nowych pracowników do korpusu służby cywilnej w Kuratorium Oświaty w Szczecinie.

Warunki Ubezpieczenia Grupowe ubezpieczenie na życie i dożycie dla Klientów Raiffeisen Bank Polska S.A.

Regulamin dotyczący realizacji wniosków o nadanie certyfikatów

U M O W A. NR PI.IT z dnia. roku

Najwyższa Izba Kontroli Delegatura w Gdańsku

Procedura nadawania uprawnień do potwierdzania, przedłuŝania waŝności i uniewaŝniania profili zaufanych epuap. Załącznik nr 1

Ogłoszenie o zwołaniu Nadzwyczajnego Walnego Zgromadzenia Akcjonariuszy TELL Spółka Akcyjna z siedzibą w Poznaniu na dzień 11 sierpnia 2014 r.

SZCZEGÓŁOWE WARUNKI KONKURSU OFERT

Zarządzenie Nr 12 /SK/2010 Wójta Gminy Dębica z dnia 06 kwietnia 2010 r.

WYROK. z dnia 8 kwietnia 2011 r. Przewodniczący:

Prokuratura Rejonowa ul. Sportowa tf* Grójec

Transkrypt:

GI-DEC-DS-129/04 Warszawa, dnia 25 czerwca 2004 r. D E C Y Z J A (dotyczy przekazania przez Towarzystwo Funduszy Inwestycyjnych danych osobowych Skarżącego Bankowi, w celach marketingowych) Na podstawie art. 104 1 ustawy z dnia 14 czerwca 1960 r. - Kodeks postępowania administracyjnego (Dz. U. z 2000 r. Nr 98, poz. 1071 z późn. zm.) i art. 12 pkt 2, art. 18 ust. 1 w zw. z art. 23 ust. 1 oraz art. 36 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. z 2002 r. Nr 101, poz. 926 z późn. zm.), po przeprowadzeniu postępowania administracyjnego wszczętego na wniosek skarżącego w sprawie udostępnienia jego danych osobowych przez Towarzystwo Funduszy Inwestycyjnych A S.A., Bankowi X S.A., odmawiam uwzględnienia wniosku. Uzasadnienie Do Generalnego Inspektora Ochrony Danych Osobowych (zwanego dalej Generalnym Inspektorem) wpłynęła skarga w sprawie przetwarzania danych osobowych skarżącego przez Towarzystwo Funduszy Inwestycyjnych A S.A. (zwana dalej TFI A S.A. lub Spółką). Skarżący wskazał, iż spółka udostępniła jego dane osobowe osobom trzecim, tj. Bankowi X S.A. (zwanej dalej Bankiem). W toku postępowania wyjaśniającego przeprowadzonego w niniejszej sprawie Generalny Inspektor ustalił następujący stan faktyczny: 1. TFI A S.A. jest organem zarządzającym następujących funduszy inwestycyjnych otwartych: A FIO Gotówkowy, A FIO Obligacji, A FIO Stabilnego Wzrostu Emerytura Plus. Dane osobowe Skarżącego pozyskał A FIO Obligacji, w związku z uczestniczeniem przez Skarżącego w tym funduszu i w celu realizacji dyspozycji złożonej przez Skarżącego. Jednocześnie, Skarżący zastrzegł brak zgody na przetwarzanie jego danych osobowych dla celów marketingowych. 2. Na skutek błędu pracownika wprowadzającego dane do systemu informatycznego wbrew oświadczeniu, jakie złożył Skarżący odnotowana została informacja o wyrażeniu przez

Skarżącego zgody na przetwarzanie danych osobowych w celach marketingowych, co spowodowało przekazanie tych danych do Banku. 3. Dane osobowe Skarżącego, które wykorzystane zostały do celów marketingowych Banku, pozyskane zostały przez Bank ze zbioru, którego administratorem jest TFI A S.A. organ funduszy inwestycyjnych otwartych, na podstawie porozumienia zawartego w dniu 2 września 2003 r. przez TFI A S.A. i Bank (porozumienie w aktach sprawy). 4. Po sprawdzeniu w archiwum dokumentów źródłowych pomyłka została skorygowana, a odpowiednia informacja została przekazana przez TFI A S.A. do Banku. 5. Dane Skarżącego nie zostały udostępnione przez TFI A S.A. osobom, czy też podmiotom innym niż Bank, któremu to dane osobowe zostały przekazane jednorazowo w celu wysłania korespondencji związanej z uruchomieniem obsługi funduszy za pośrednictwem aplikacji A BankOnLine. Z uwagi na dokonanie takich ustaleń - na podstawie art. 17 ust. 2 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. z 2002 r. Nr 101, poz. 926 z późn. zm.), zwanej dalej ustawą - Generalny Inspektor wystąpił do Prezesa Zarządu TFI A S.A. z wnioskiem o wszczęcie postępowania dyscyplinarnego w stosunku do osób odpowiedzialnych za błędne wprowadzenie do systemu informatycznego TFI A S.A. informacji o wyrażaniu przez Skarżącego zgody na przetwarzanie jego danych osobowych w celach marketingowych i bezpodstawne przekazanie danych osobowych Skarżącego Bankowi (pismo z dnia 23 grudnia 2003 r., znak: GI-DS- 430/678/03/4377). W odpowiedzi na wniosek Generalnego Inspektora TFI A S.A. podjęła działania celem ustalenia okoliczności sprawy, a na podstawie wyjaśnień przedstawionych przez tę Spółkę, Generalny Inspektor ustalił także, iż: 1. W funduszach inwestycyjnych otwartych A, rolę tzw. agenta transferowego, czyli podmiotu, któremu zlecono prowadzenie rejestrów Uczestników Funduszy - w tym rejestrację i realizację wszystkich dyspozycji uczestników funduszy, także dotyczących przekazywania danych osobowych - jest podmiot pn. Z Sp. z o.o. W niniejszej sprawie TFI A S.A. zleciła podmiotowi Z (umowa o świadczenie usług Agenta Transferowego i pośredniczenia w zbywaniu jednostek uczestnictwa z dnia 22 lutego 2001 r. w aktach sprawy) przygotowanie zbioru danych Uczestników Funduszy, osób, które wyraziły zgodę na przekazanie ich danych i przekazało wyselekcjonowane dane do Banku. 2. Bezpośrednią przyczyną umieszczenia danych Skarżącego w zbiorze Uczestników Funduszy udostępnionych Bankowi był brak odnotowania informacji, że Uczestnik - Skarżący nie wyraził zgody na przetwarzanie danych w celach marketingowych. Osoba, która dopuściła się błędu w czasie trwania postępowania prowadzonego przez Generalnego Inspektora i postępowania wewnętrznego TFI A S.A. - nie była już zatrudniona w spółce Z, dlatego też wszczęcie postępowania dyscyplinarnego wobec tej osoby było niemożliwe. 2

3. Zlecenie złożone zostało przez Skarżącego w dniu 8 marca 2002 r., na formularzu, który nie uwzględniał opcji wyrażenia zgody na przetwarzanie danych osobowych w celach marketingowych, tym samym brak zgody, każdorazowo był odręcznie dopisywany do treści warunków zlecenia. Formularze obowiązujące do połowy 2002 r. zostały wymienione. Obecnie obowiązuje formularz, który pozwala określić, czy Uczestnik wyraża zgodę na przetwarzanie danych osobowych do celów marketingowych 4. TFI A S.A. - w celu wyeliminowania podobnych przypadków w przyszłości - zdecydowała o nie przekazywaniu do innych podmiotów danych Uczestników Funduszy A, aż do dnia ponownego skontrolowania zbioru danych pod kontem udzielenia przez Uczestników Funduszy zgody na przekazywanie ich danych osobowych innym podmiotom. Ustalono, iż dane osobowe będą najpierw wprowadzane przy użyciu technik informatycznych, a następnie sprawdzane przez pracowników, a konsekwencją uruchomienia tego nowego systemu wprowadzania danych będzie zwiększenie kontroli poprawności wprowadzanych danych. 5. Na skutek działań podjętych przez TFI A S.A. Bank usunął dane osobowe Skarżącego ze wszystkich zbiorów, w tym archiwalnych (dowód: oświadczenie Banku z dnia 8 marca 2003 r., znak: 222/183/04/MS przekazane do Generalnego Inspektora przez TFI A S.A. przy piśmie z dnia 9 marca 2004 r., znak:...262/2004). Natomiast Bank - wezwany przez Generalnego Inspektora przy piśmie z dnia 16 kwietnia 2004 r., znak: 222/290/04/MS, przekazał oświadczenie Naczelnika Wydziału Baz Danych Departamentu Komunikacji Marketingowej Banku z dnia 16 kwietnia 2004 r., w którym potwierdzono usunięcie danych osobowych w dniu 9 marca 2004 r., w ww. zakresie. 6. TFI A S.A. w piśmie z dnia 12 maja 2004 r. (znak:.../544/2004) - poinformowała o podjęciu kroków, które zapobiegną w przyszłości możliwości przetwarzania danych osobowych osób, które nie wyraziły na to zgody. Jak oświadczył Wiceprezes Zarządu TFI A SA, w części sieci dystrybucji funduszy inwestycyjnych A obowiązują już nowe druki operacyjne (wzór formularza w aktach sprawy) - weszły one do użytku w dniu 14 kwietnia 2004 r., a od 4 maja 2004 r. w użyciu są tylko nowe druki operacyjne. W drukach tych wprowadzono pole wyboru dotyczące wyrażenia zgody lub nie na przetwarzanie danych w celach marketingowych wraz z informacją, iż wyrażenie takiej zgody jest dobrowolne. Z oświadczenia Wiceprezesa Zarządu TFI A S.A. wynika także, iż druki te są skanowane, a dane osobowe z nich pochodzące są wprowadzane do systemu komputerowego, a następnie sprawdzane przez pracowników, dzięki czemu ograniczono do minimum ryzyko wystąpienia błędu w momencie przenoszenia danych osobowych z formularzy papierowych, co było możliwe, gdy używano starych druków operacyjnych. Po przeanalizowaniu powyższego, Generalny Inspektor Ochrony Danych Osobowych zważył, co następuje: 3

Jednym z podstawowych obowiązków administratora danych jest wykazanie, co najmniej jednej z materialnych przesłanek przetwarzania danych osobowych, określonych w art. 23 ust. 1 pkt 1-5 ustawy. Każda z przesłanek przetwarzania danych osobowych ustanowionych w powołanym przepisie ustawy, ma charakter autonomiczny i niezależny, dlatego też spełnienie co najmniej jednej z nich stanowi o zgodnym z prawem przetwarzaniu danych osobowych. Zasada równości przesłanek legalizujących proces przetwarzania danych osobowych odnosi się do wszystkich form przetwarzania danych osobowych, zdefiniowanych w art. 7 pkt 2 ustawy, a zwłaszcza do ich zbierania, utrwalania, przechowywania, opracowywania, zmieniania, udostępniania i usuwania. Natomiast zgodnie z - obowiązującym od 1 maja 2004 r. - brzmieniem przepisu art. 23 ust. 1 ustawy, przetwarzanie danych jest dopuszczalne tylko wtedy, gdy osoba, której dane dotyczą, wyrazi na to zgodę, chyba że chodzi o usunięcie dotyczących jej danych osobowych (pkt 1), jest to niezbędne dla zrealizowania uprawnienia lub spełnienia obowiązku wynikającego z przepisu prawa (pkt 2), jest to konieczne do realizacji umowy, gdy osoba, której dane dotyczą, jest jej stroną lub gdy jest to niezbędne do podjęcia działań przed zawarciem umowy na żądanie osoby, której dane dotyczą (pkt 3), jest niezbędne do wykonania określonych prawem zadań realizowanych dla dobra publicznego (pkt 4), jest to niezbędne dla wypełnienia prawnie usprawiedliwionych celów realizowanych przez administratorów danych albo odbiorców danych, a przetwarzanie nie narusza praw i wolności osoby, której dane dotyczą (pkt 5). Za prawnie usprawiedliwiony cel, o którym mowa w ust. 1 pkt 5, uważa się w szczególności marketing bezpośredni własnych produktów lub usług administratora danych osobowych (art. 23 ust. 4 pkt 1 ustawy). Jednocześnie, z art. 23 ustawy wynika, że zgoda osoby, której dane dotyczą jest jednym z możliwych, ale nie jedynym warunkiem legalizującym proces przetwarzania danych osobowych. Zatem, w sytuacji, gdy administrator zamierza przetwarzać dane osobowe w celu marketingowym własnych produktów lub usług w związku z zawarciem umowy, nie jest konieczne odbieranie odrębnej zgody na przetwarzanie danych osobowych w tym celu. Jednakże - co jest istotne w niniejszej sprawie - jeżeli dane osobowe pozyskane przez administratora w związku z umową mają być przetwarzane w celu marketingowym produktów lub usług innych podmiotów, konieczne jest odebranie odrębnej zgody osoby, której dane dotyczą, na takie działanie. Stosownie bowiem do art. 23 ust. 1 pkt 5 ustawy, przetwarzanie danych jest dopuszczalne tylko wtedy, gdy jest to niezbędne dla wypełnienia prawnie usprawiedliwionych celów realizowanych przez administratorów danych albo odbiorców danych, a przetwarzanie nie narusza praw i wolności osoby, której dane dotyczą. W sytuacji, gdy zgoda miałaby być odbierana przez administratora na przetwarzanie w celu marketingu innego podmiotu, konieczne jest sformułowanie klauzuli zgody tak, aby osoba, której dane dotyczą miała zapewnioną opcjonalność, tj. aby mogła dokonać wyboru pomiędzy wyrażeniem zgody, a odmową udzielenia zgody na przetwarzanie jej danych w celu 4

marketingowym produktów lub usług innego podmiotu. Ponadto, stosownie do art. 36 ustawy, administrator danych jest obowiązany do zastosowania środków technicznych i organizacyjnych zapewniających ochronę przetwarzanych danych osobowych, a w szczególności powinien zabezpieczyć dane przed ich udostępnieniem osobom nieupoważnionym, zabraniem przez osobę nieuprawnioną, przetwarzaniem z naruszeniem ustawy, zmianą, utratą, uszkodzeniem lub zniszczeniem. Dokonując subsumpcji ustalonego stanu faktycznego sprawy przetwarzania danych osobowych Skarżącego przez TFI A S.A. do powołanych przepisów ustawy stwierdzić należy, iż dane te TFI A S.A. (poprzez FIO Obligacji - jeden z funduszy inwestycyjnych otwartych TFI A S.A.) pozyskała w związku z uczestniczeniem przez Skarżącego w tym funduszu i w celu realizacji dyspozycji złożonej przez Skarżącego, a więc na podstawie art. 23 ust. 1 pkt 3 ustawy. Jednocześnie podkreślić należy, iż Skarżący zastrzegł brak zgody na przetwarzanie jego danych osobowych dla celów marketingowych. Zatem TFI A S.A. nie dysponowała podstawą prawną w tym przesłanką zgody dla przetwarzania jego danych osobowych, ani dla własnych celów marketingowych, ani tym bardziej dla celów marketingowych innego podmiotu. Stwierdzić zatem należy, analizując niniejszą sprawę, iż skarga dotycząca nieuprawnionego udostępnienia danych osobowych Skarżącego przez TFI A S.A. Bankowi, dla celów marketingowych Banku, była uzasadniona. Do działań takich TFI A S.A. nie była bowiem upoważniona wobec wyraźnego braku zgody Skarżącego. Jednocześnie TFI A S.A. naruszyła obowiązek wynikający z art. 36 ustawy, jednakże usunęła uchybienia po wszczęciu przez Generalnego Inspektora postępowania w tej sprawie. Stwierdzić zatem należy, iż w toku postępowania, TFI A S.A. przywróciła stan zgodny z prawem w przedmiocie przetwarzania danych osobowych Skarżącego. Nastąpiło to na skutek wystąpienia przez Generalnego Inspektora do Prezesa Zarządu TFI A S.A. z wnioskiem o wszczęcie postępowania dyscyplinarnego wobec osób odpowiedzialnych za błędne wprowadzenie do systemu informatycznego TFI A S.A. informacji o wyrażaniu przez Skarżącego zgody na przetwarzanie jego danych w celach marketingowych i bezpodstawne przekazanie danych osobowych Skarżącego Bankowi celem ich wykorzystania w celach marketingowych. Jak bowiem ustalił Generalny Inspektor, TFI A S.A. przyznała, iż na skutek błędu pracownika wprowadzającego dane do systemu informatycznego, wbrew oświadczeniu, jakie złożył Skarżący, odnotowana została informacja o wyrażeniu przez niego zgody na przetwarzanie danych w celach marketingowych, co następnie spowodowało przekazanie tych danych do Banku wraz z danymi innych osób, które wyraziły zgodę na przekazanie ich danych. Wszczęcie postępowania dyscyplinarnego wobec winnego pracownika było niemożliwe, gdyż w tym czasie nie był on już zatrudniony w OFI, działającym na zlecenie TFI A S.A., jednakże TFI A S.A. podjęła szereg środków technicznoorganizacyjnych, mających na celu uniemożliwienie powstania podobnej sytuacji w przyszłości. 5

Zgodnie z art. 18 ust. 1 ustawy, w przypadku naruszenia przepisów o ochronie danych osobowych Generalny Inspektor, z urzędu lub na wniosek osoby zainteresowanej, w drodze decyzji administracyjnej, nakłada obowiązki wymienione w pkt 1-6 powołanego przepisu, jednakże może to nastąpić w sytuacji, gdy zachodzi konieczność przywrócenia stanu zgodnego z prawem, tymczasem, w analizowanej sprawie TFI A S.A. sama przywróciła taki stan. Zatem dla dokonania oceny obecnego stanu prawnego przetwarzania danych osobowych Skarżącego i wydania decyzji w sprawie, niezwykle istotne jest to, że TFI A S.A. podjęła zobowiązanie dokonania działań w celu wyeliminowania podobnych przypadków w przyszłości oraz dokonało ich. I tak, w toku postępowania, zadecydowano o nie przekazywaniu do innych podmiotów danych osobowych Uczestników Funduszy A, aż do dnia ponownego skontrolowania zbioru danych pod kontem udzielenia przez Uczestników Funduszy zgody na przekazywanie ich danych osobowych innym podmiotom. W konsekwencji w toku postępowania wymienione zostały przez Spółkę formularze służące do składania zleceń, obowiązujące do połowy 2002 r., a więc takie, które nie uwzględniały opcji wyrażenia zgody na przetwarzanie danych osobowych w celach marketingowych, a tym samym powodujące, iż brak zgody, każdorazowo był odręcznie dopisywany do treści warunków zlecenia. Obecnie stosowany formularz (który wprowadzony został do użytku w dniu 14 kwietnia 2004 r. i obowiązuje od 4 maja 2004 r.), pozwala określić, czy klient Spółki wyraża zgodę na przetwarzanie jego danych osobowych do celów marketingowych. Analiza ww. formularza wskazuje, iż wprowadzono pole wyboru dotyczące wyrażenia zgody lub nie - a więc z zachowaniem opcjonalności - na przetwarzanie danych w celach marketingowych wraz z informacją, iż wyrażenie takiej zgody jest dobrowolne. Jednocześnie, z oświadczenia Wiceprezesa Zarządu TFI A S.A. wynika, iż druki te są skanowane, a dane osobowe z nich pochodzące są wprowadzane do systemu komputerowego, a następnie sprawdzane przez pracowników, w celu ograniczenia do minimum ryzyka wystąpienia błędu w momencie przenoszenia danych osobowych z formularzy papierowych, co było możliwe, gdy używano starych druków operacyjnych. Ponadto, co jest istotne dla rozpatrzenia zarzutu Skarżącego, w przedmiocie bezprawnego udostępnienia jego danych osobowych Bankowi, Bank oświadczył, że usunął dane osobowe Skarżącego ze wszystkich zbiorów, w tym archiwalnych, a zatem Bank nie przetwarza obecnie danych osobowych Skarżącego. Wobec stwierdzenia opisanych okoliczności, uznać należy, iż obecnie nie istnieje stan bezprawności zarówno w przedmiocie przetwarzania danych osobowych przez TFI A S.A., jak i przez Bank X S.A. W tym stanie faktycznym i prawnym Generalny Inspektor Ochrony Danych Osobowych rozstrzygnął, jak w sentencji. 6

Decyzja niniejsza jest ostateczna. Stronie, na podstawie art. 21 ust. 1 ustawy o ochronie danych osobowych przysługuje, w terminie 14 dni od daty doręczenia niniejszej decyzji, prawo złożenia do Generalnego Inspektora Ochrony Danych Osobowych wniosku o ponowne rozpatrzenie sprawy (adres: Biuro Generalnego Inspektora Ochrony Danych Osobowych, ul. Stawki 2, 00 193 Warszawa). 7

2024 © DocPlayer.pl Polityka prywatności | Warunki świadczenia usług | Zwrotny adres