W precedensowym wyroku Naczelny Sąd Administracyjny nie zgodził się ze stanowiskiem Banku Handlowego, że administratorem takich danych nie jest bank, lecz posiadacze kart ([b]sygn. I OSK 227/09[/b]).
Imienne (jak również bezimienne) karty przedpłacone są przeznaczone dla przedsiębiorców, którzy mogą je przekazać do użytkowania wybranym przez siebie osobom fizycznym (i np. w ten sposób płacić jakieś należności). Figurują na rachunku posiadacza karty i to on decyduje o jej przyznaniu bądź odebraniu użytkownikowi. Bank prowadzi natomiast ich obsługę. Może zastrzec kartę w razie jej utraty, przyjąć reklamację, sprawdzić stan transakcji.
Generalny inspektor ochrony danych osobowych uznał, że realizując umowy o wydanie kart oraz obsługując operacje przeprowadzane z ich użyciem, bank przetwarza dane osobowe użytkowników, przekazane przez posiadaczy kart. Musi więc wypełniać ustawowe obowiązki administratora danych. A więc m.in. poinformować w terminie trzech miesięcy użytkowników kart o celu i zakresie zbierania ich danych, o prawie dostępu do nich i uzyskać zgodę na ich przetwarzanie.
BH zaskarżył tę decyzję do Wojewódzkiego Sądu Administracyjnego w Warszawie. W jego ocenie GIODO błędnie przyjął, że bank jest administratorem danych użytkowników imiennych kart przedpłaconych. To posiadacz karty decyduje o realizacji konkretnych zleceń, wykonywanych przez bank. Jest to więc rodzaj przelewu. Nie da się też uzyskać zgody od kilkuset osób we wskazanym terminie, a zwykle na takie wezwania odpowiada 5 – 7 proc. adresatów. Niewykonanie zaś tych obowiązków może spowodować zaprzestanie obsługi kart, co grozi odpływem wielu klientów.
WSA stwierdził jednak, że decyzja GIODO jest zgodna z prawem i oddalił skargę. To bank, realizując umowę z posiadaczem karty, jest właścicielem wydanych kart i gromadzi dane o ich użytkownikach. Robi to na własne potrzeby, a nie na potrzeby posiadaczy kart, i ma określone obowiązki informacyjne.
