Sprawa dotyczyła jednego z działających w Polsce banków i do jego władz generalny inspektor ochrony danych osobowych (GIODO) wystąpił o zaprzestanie takich praktyk. Jednak można ją uogólnić i odnieść do wszystkich administratorów danych. Naruszenie reguł związanych z prawidłowym przetwarzaniem danych polegało na tym, że osoba kontaktująca się z bankiem za pośrednictwem strony internetowej, niebędąca przy tym jego klientem, musiała wyrazić zgodę na przetwarzanie jej danych osobowych, w szczególności w celach marketingowych związanych z promocją i reklamą produktów oraz usług tej instytucji. Musiała także udzielić zgody na otrzymywanie od banku informacji handlowej w rozumieniu ustawy o świadczeniu usług drogą elektroniczną.
Co więcej, komunikaty o potrzebie wyrażenia powyższych zgód mogły wprowadzać w błąd poprzez informowanie o istnieniu podstaw prawnych takiego działania. Komunikaty te jako podstawę prawną pozyskania danych wskazywały konkretne przepisy z ustawy o ochronie danych osobowych.
Pozyskane przez GIODO informacje wskazywały, że osoby zainteresowane kontaktem z bankiem za pomocą strony internetowej nie miały takiej możliwości bez wyrażenia przywołanych „zgód".
Uprawnienie nie obowiązek
Należy zauważyć, na co wskazał w swoim wystąpieniu GIODO, że wskazany przez bank przepis art. 23 ust. 1 pkt 1 ustawy o ochronie danych osobowych, czyli zgoda osoby, której dane dotyczą, jako jedna z przesłanek legalizujących przetwarzanie danych, nie stanowi o uprawnieniu administratora do (wymuszenia) pozyskania zgody, lecz o prawie udzielającej jej osoby do jej wyrażenia, tylko jeśli będzie chciała to uczynić. Zgodnie bowiem z powołanym przepisem, przetwarzanie danych jest dopuszczalne tylko wtedy, gdy osoba, której dane dotyczą, wyrazi na to zgodę, chyba że chodzi o usunięcie dotyczących jej danych. Zaś artykuł 24 ust. 1 pkt 4 ustawy, podawany jako podstawa prawna przetwarzania danych, w istocie nie może być tak traktowany, bowiem odnosi się jedynie do ciążącego na administratorze danych (w tym przypadku banku) obowiązku poinformowania osoby, której dane dotyczą, o dobrowolności albo obowiązku podania danych, a jeżeli taki obowiązek istnieje, o jego podstawie prawnej.
Wolna wola
W opinii GIODO opisana wyżej praktyka budziła zastrzeżenia w kontekście zasad wynikających z przepisów ustawy, w szczególności w aspekcie określonej ustawą definicji zgody na przetwarzanie danych osobowych. Stosownie do art. 7 pkt 5, ilekroć w ustawie jest mowa o zgodzie osoby, której dane dotyczą – rozumie się przez to oświadczenie woli, którego treścią jest zgoda na przetwarzanie danych osobowych tego, kto składa oświadczenie. Jak dalej wskazuje przepis, zgoda nie może być domniemana lub dorozumiana z oświadczenia woli o innej treści. Może być ona także odwołana w każdym czasie.