Orzecznictwo

Obowiązkowa zgoda użytkowników kart

Fotorzepa, Seweryn Sołtys
Administratorem danych użytkowników imiennych przedpłaconych kart płatniczych jest bank, który te karty wystawia i obsługuje
W precedensowym wyroku Naczelny Sąd Administracyjny nie zgodził się ze stanowiskiem Banku Handlowego, że administratorem takich danych nie jest bank, lecz posiadacze kart ([b]sygn. I OSK 227/09[/b]).
Imienne (jak również bezimienne) karty przedpłacone są przeznaczone dla przedsiębiorców, którzy mogą je przekazać do użytkowania wybranym przez siebie osobom fizycznym (i np. w ten sposób płacić jakieś należności). Figurują na rachunku posiadacza karty i to on decyduje o jej przyznaniu bądź odebraniu użytkownikowi. Bank prowadzi natomiast ich obsługę. Może zastrzec kartę w razie jej utraty, przyjąć reklamację, sprawdzić stan transakcji. Generalny inspektor ochrony danych osobowych uznał, że realizując umowy o wydanie kart oraz obsługując operacje przeprowadzane z ich użyciem, bank przetwarza dane osobowe użytkowników, przekazane przez posiadaczy kart. Musi więc wypełniać ustawowe obowiązki administratora danych. A więc m.in. poinformować w terminie trzech miesięcy użytkowników kart o celu i zakresie zbierania ich danych, o prawie dostępu do nich i uzyskać zgodę na ich przetwarzanie.
BH zaskarżył tę decyzję do Wojewódzkiego Sądu Administracyjnego w Warszawie. W jego ocenie GIODO błędnie przyjął, że bank jest administratorem danych użytkowników imiennych kart przedpłaconych. To posiadacz karty decyduje o realizacji konkretnych zleceń, wykonywanych przez bank. Jest to więc rodzaj przelewu. Nie da się też uzyskać zgody od kilkuset osób we wskazanym terminie, a zwykle na takie wezwania odpowiada 5 – 7 proc. adresatów. Niewykonanie zaś tych obowiązków może spowodować zaprzestanie obsługi kart, co grozi odpływem wielu klientów. WSA stwierdził jednak, że decyzja GIODO jest zgodna z prawem i oddalił skargę. To bank, realizując umowę z posiadaczem karty, jest właścicielem wydanych kart i gromadzi dane o ich użytkownikach. Robi to na własne potrzeby, a nie na potrzeby posiadaczy kart, i ma określone obowiązki informacyjne. W skardze kasacyjnej Bank Handlowy powtórzył poprzednie argumenty. Radca prawny Arwid Mednis, reprezentujący go podczas rozprawy kasacyjnej, zarzucił WSA błędne uznanie, że bank, poprzez wydawanie i obsługę imiennych kart przedpłaconych, jest administratorem danych użytkowników tych kart. A gdyby nawet przyjąć, że tak – to na jakiej podstawie GIODO nakazał uzyskanie ich zgody i nie uznaje prowadzenia rozliczeń za prawnie uzasadnione cele, pozwalające na przetwarzanie danych osobowych bez zgody ich właścicieli? Przedstawiciel GIODO, radca prawny Janusz Wojciechowski, podtrzymał stanowisko GIODO. Administratorem danych osobowych użytkowników imiennych przedpłaconych kart płatniczych jest bank – ustalił NSA, oddalając skargę kasacyjną Banku Handlowego. Sędzia Barbara Adamiak przypomniała, że zgodnie z definicją zawartą w art. 7 pkt 4 [link=http://www.rp.pl/aktyprawne/akty/akt.spr;jsessionid=F81ACE0611F44978604187265E5D6A28?id=166335]ustawy o ochronie danych osobowych[/link], administratorem danych jest ten, kto decyduje o celach i środkach ich przetwarzania. – Przetwarzając dane związane z obsługą kart, to bank określa cel i środki przetwarzania – powiedziała sędzia Adamiak. – Podstawowym kryterium, wynikającym z polskich przepisów, z dyrektywy wspólnotowej oraz z orzecznictwa ETS jest zaś uzyskanie na to zgody właścicieli danych i obowiązek informowania osób, których dane są przetwarzane.
Źródło: Rzeczpospolita

REDAKCJA POLECA

NAJNOWSZE Z RP.PL