Ochrona danych dowód osobisty

Jeżeli przedsiębiorca legalnie pozyskuje dane osobowe w szczególności za zgodą osoby, której one dotyczą, sama forma ich pozyskania jest mniej istotna. Nie ma przecież znaczenia, czy dane takie spisze np. z paszportu, czy go skopiuje. Liczy się to, jaki jest zakres pozyskiwanych danych

Aktualizacja: 28.06.2011 04:43 Publikacja: 28.06.2011 03:00

Michał Kołtuniak

- Nie budzi moich wątpliwości to, że bank w celu przygotowania umowy o prowadzenie rachunku bankowego musi pozyskać moje dane osobowe, jak imię, nazwisko, adres zameldowania. Czy jednak w tym celu bank może kserować mój dowód osobisty?

– pyta czytelnik.

Kwestię ochrony i prawidłowego przetwarzania danych osobowych reguluje ustawa o ochronie danych osobowych (DzU z 2002 r. nr 101, poz. 926 ze zm.).

W tym konkretnym wypadku zastosowanie mogą znaleźć także przepisy kodeksu cywilnego, który ramowo określa uprawnienia i obowiązki banku, ustawy o prawie bankowym, która reguluje wiele szczegółowych kwestii, oraz ustawy o przeciwdziałaniu praniu pieniędzy oraz finansowaniu terroryzmu. Przykładowo ta ostatnia zobowiązuje instytucje finansowe (w tym banki) do stosowania środków bezpieczeństwa finansowego, które polegają m.in. na identyfikacji klienta i weryfikacji jego tożsamości na podstawie dokumentów lub informacji publicznie dostępnych.

Z kolei kodeks cywilny zobowiązuje bank do bezpłatnego przesyłania posiadaczowi rachunku co najmniej raz w miesiącu wyciągu z rachunku z informacją o zmianach jego stanu i salda, chyba że posiadacz wyraził pisemnie zgodę na inny sposób informowania o takich zmianach. Wreszcie zasady prowadzenia i elementy, jakie powinna zawierać umowa rachunku bankowego, określają przepisy rozdziału trzeciego prawa bankowego.

Zatem zgodnie z art. 52 ust. 2 pkt 1 umowa rachunku bankowego powinna określać w szczególności strony umowy. Tylko te wybrane fragmenty aktów prawnych pokazują, że bank nie tylko może, ale musi pozyskać pewne dane osobowe w celu prawidłowego realizowania swoich zobowiązań. Dlatego np. nie da się założyć anonimowego konta bankowego.

Legalność przetwarzania

Aby jednak móc legalnie przetwarzać dane, w tym w pierwszej kolejności je pozyskiwać, musi zostać spełniona jedna z przesłanek wymienionych w art. 23 ust. 1 ustawy o ochronie danych osobowych. Zgodnie z nim przetwarzanie danych osobowych jest dopuszczalne tylko wtedy, gdy:

- osoba, której dane dotyczą, wyrazi na to zgodę, chyba że chodzi o usunięcie dotyczących jej informacji,

- jest to niezbędne dla zrealizowania uprawnienia lub spełnienia obowiązku wynikającego z przepisu prawa,

- jest to konieczne do realizacji umowy, gdy osoba, której dane dotyczą, jest jej stroną lub gdy jest to niezbędne do podjęcia działań przed zawarciem umowy na żądanie tej osoby,

- jest to niezbędne do wykonania określonych prawem zadań realizowanych dla dobra publicznego,

- jest to niezbędne dla wypełnienia prawnie usprawiedliwionych celów realizowanych przez administratorów danych albo odbiorców danych, a przetwarzanie nie narusza praw i wolności osoby, której one dotyczą.

Warto dodać, że za prawnie usprawiedliwiony cel, o którym mowa powyżej, uważa się w szczególności marketing bezpośredni własnych produktów lub usług administratora danych lub dochodzenie roszczeń z tytułu prowadzonej działalności gospodarczej. Wszystkie wymienione przesłanki mają równoważne znaczenie. Innymi słowy nie wolno jednym przypisywać większego znaczenia, drugim mniejszego. Wypełnienie każdej z nich w sposób prawidłowy skutkuje legalnością przetwarzania danych.

Nie forma, lecz zakres

Co do samej kwestii kserowania dokumentów, należy przytoczyć stanowisko generalnego inspektora ochrony danych osobowych, zgodnie z którym samo kserowanie dokumentu jest czynnością stricte techniczną. Taki pogląd wyrażony został również w wyroku Naczelnego Sądu Administracyjnego z 19 grudnia 2001 (II SA 2869/2000), zgodnie z którym gromadzenie danych poprzez wykonanie kopii dokumentu zawierającego dane osobowe jest kwestią techniczną.

Posługiwanie się taką czy inną techniką utrwalania tych danych (kopiowanie lub przepisywanie) nie przesądza samo przez się o legalności albo nielegalności tego utrwalania (przetwarzania). Najważniejszy jest bowiem zakres danych, jakie się pozyskuje, który często określony jest w innych niż ustawa o ochronie danych osobowych przepisach prawa, np. w przepisach prawa bankowego (www.giodo.gov.pl).

W tym miejscu warto jeszcze przywołać art. 26 ustawy o ochronie danych, zgodnie z którym administrator danych powinien dołożyć szczególnej staranności w celu ochrony interesów osób, których dane dotyczą, a w szczególności jest zobowiązany zapewnić, aby informacje te były:

- przetwarzane zgodnie z prawem,

- zbierane dla oznaczonych, zgodnych z prawem celów i niepoddawane dalszemu przetwarzaniu niezgodnemu z tymi celami,

- merytorycznie poprawne i adekwatne w stosunku do celów, w jakich są przetwarzane,

- przechowywane w postaci umożliwiającej identyfikację osób, których dotyczą, nie dłużej niż jest to niezbędne do osiągnięcia celu przetwarzania.

Art. 26 ust. 2 dodaje jeden wyjątek. Mianowicie przetwarzanie danych w celu innym niż ten, dla którego zostały zebrane, jest dopuszczalne, jeżeli nie narusza praw i wolności osoby, której one dotyczą, oraz następuje w celach prowadzenia badań naukowych, dydaktycznych, historycznych lub statystycznych (jednak z zachowaniem wymagań określonych w art. 23 i 25 ustawy).

Po rozwiązaniu umowy

Zatem w przypadku rozwiązania umowy z bankiem utraci on prawo do przetwarzania danych osobowych klienta, z wyjątkiem realizacji celów archiwalnych i statystycznych, o czym stanowi art. 105a ust. 4 prawa bankowego.

Bowiem „z chwilą zamknięcia rachunku bankowego kończy się prawne zezwolenie na przetwarzanie danych osobowych tych osób, których rachunki zostały zamknięte, gdyż osiągnięty zostaje cel, w jakim dane te były przetwarzane” (Wojewódzki Sąd Administracyjny w Warszawie w wyroku z 22 lutego 2005, II SA/Wa 2030/04).

W praktyce oznacza to, że bank nie może np. przesyłać swojemu byłemu klientowi materiałów promocyjnych, marketingowych, reklam związanych ze swoją ofertą. Gdyby chciał skorzystać z takiej możliwości, to musiałby uzyskać na to zgodę byłego klienta.

Warto zresztą zaznaczyć, że także aktualny klient banku, czyli np. posiadający w nim rachunek bankowy, może złożyć sprzeciw dotyczący wykorzystywania jego danych w celach marketingowych. W praktyce taka sytuacja może mieć miejsce np. w momencie przesyłania wyciągu, gdy do koperty dorzucone są materiały promocyjne i reklamowe.

Bank ma do tego prawo na podstawie cytowanego już przepisu, zgodnie z którym administrator danych (w tym wypadku bank) może przetwarzać dane, gdy jest to niezbędne dla wypełnienia jego prawnie usprawiedliwionych celów.

Przez prawnie usprawiedliwiony cel rozumieć należy m.in. marketing bezpośredni własnych produktów lub usług. Bank może zatem na podstawie tej przesłanki przesyłać wyciągi z rachunku zawierające również treści marketingowe. Jednak może tak postępować jedynie do czasu, gdy osoba, której dane dotyczą, nie skorzysta z prawa wniesienia sprzeciwu wobec przetwarzania jej danych osobowych.

Zgodnie bowiem z art. 32 ust. 1 pkt 8 ustawy o ochronie danych osobowych każdej osobie przysługuje prawo do kontroli przetwarzania jej danych, a zwłaszcza prawo do wniesienia sprzeciwu wobec ich przetwarzania w celach marketingowych.

Czytaj też artykuły:

Zobacz więcej w serwisie:

Dobra Firma

Firma

Dane osobowe i dobra osobiste

Prawo dla Ciebie

Konsumenci

Dane osobowe konsumenta