Zaniechanie obowiązku usunięcia danych z BIK

Nowoczesne, systematycznie powiększane i udoskonalane przez podmioty publiczne i prywatne techniki gromadzenia, utrwalania i wykorzystywania informacji o osobach sprawiają, że niepomiernie wzrasta ryzyko naruszania interesów jednostki poprzez szerokie wkraczanie w sferę prywatności.

Sąd NajwyższyOchrona prywatności, która związana jest ściśle z ochroną danych osobowych, w istocie stanowi wyraz poszanowania autonomii informacyjnej jednostki. Punktem wyjścia wszelkich rozważań jest stwierdzenie, iż prawo do prywatności jest pojęciem nieostrym. Obejmuje ono w szerokim rozumieniu prawo do ochrony czci czy dobrego imienia. W konsekwencji zapewnia ono zabezpieczenie przed oszczerstwem, nieprawdziwymi informacjami czy wybiórczo podawanymi faktami. Konstytucyjny standard ochrony został sformułowany w art. 47 i 51 Konstytucji[1]. Art. 51 Konstytucji, musi być odczytywany łącznie z art. 47 gwarantującym prawo do prywatności, które w literaturze definiowane jest jako pewna sfera intymności jednostki. Prawa te podniesione zostały w Unii Europejskiej do rangi praw zaliczanych do praw podstawowych i umieszczone w Karcie Praw Podstawowych Unii Europejskiej[2], co wynika z uznania, że owe prawa mają szczególnych charakter i zasługują na szeroki standard ochrony. Na poziomie międzynarodowym wzorzec ten został uregulowany miedzy innymi w art. 17 Międzynarodowego Paktu Praw Obywatelskich i Politycznych[3].

Warto zauważyć iż zasady i tryb gromadzenia informacji musi szczegółowo określać ustawa. Pomocą wobec podmiotów gospodarczych jest uregulowanie w Konstytucji, które pozwala chronić człowieka jako konsumenta.

W dniu 11 lutego 2015 r. Sąd Najwyższy wydał wyrok o sygn. akt I CSK 868/14 [4], który z punktu widzenia obrotu gospodarczego i ochrony konsumenta okazał się niezwykle istotny. Okazało się, że z uwagi na zaniechanie obowiązku usunięcia danych może dojść do naruszenia prawa do prywatności. Banki będą musiały dokładać szczególnej staranności, aby wykreślać dane nieaktualne. Klienci uzyskali zaś podstawę dochodzenia roszczeń odszkodowawczych w przypadku nieaktualizowania danych w Biurze Informacji Kredytowej. Sąd Najwyższy w sentencji omawianego orzeczenia uznał iż, brak terminowego wykreślenia klienta z rejestru dokumentującego zadłużenia z tytułu udzielonego instrumentu finansowego może stanowić istotne naruszenie ochrony danych osobistych.

Wyrok zapadł na tle następującego stanu faktycznego. Powód w dniu 6 czerwca 2008 r. zawarł z pozwanym umowę kredytu konsumpcyjnego odnawialnego z kartą płatniczą. Jedna z klauzul zawartej umowy stanowiła, że bank uprawniony został do przekazywania informacji o wysokości zadłużenia klienta do Biura Informacji Kredytowej. W dniu 28 grudnia 2009 r. powód wypowiedział przedmiotową umowę i zobowiązał się do spłaty zadłużenia w wysokości nieprzekraczającej 300 zł. W niedługim odstępie czasu powód uregulował dług. Zaniechanie obowiązku aktualizacji danych po stronie pozwanego spowodowało, że klient nie mógł uzyskać kredytu na zakup sprzętu komputerowego. O zaistniałej sytuacji dowiedział się dopiero w czasie ubieganie się o kredyt w innej instytucji finansowej. Po pewnym czasie powód wystąpił z pismem, w którym wskazywał na liczne zaniedbania po strony banku. Domagał się on tym samym ochrony dóbr osobistych poprzez umieszczenie stosownych przeprosin na jednej ze stron internetowych, zadośćuczynienia w kwocie 5 850 zł i odszkodowania w wysokości 4 200 zł wraz z odsetkami ustawowymi. Tym samym sprawa trafiła na wokandę.

Sąd Okręgowy wyrokiem z 2013 r. uznał bezsprzecznie winę powoda i zobowiązał go do wypłaty stosownego odszkodowania tytułem nieterminowego usunięcia danych pozwanego z Biura Informacji Kredytowej S.A. w wysokości 100 zł wraz z ustawowymi odsetkami począwszy od dnia 22 grudnia 2011 r. Sąd oddalił natomiast powództwo o ochronę dóbr osobistych argumentując to brakiem spełnienia kumulatywnie przesłanek określonych w art. 24 Kodeksu Cywilnego.

Powód wniósł odwołanie do sądu apelacyjnego, który utrzymał w mocy decyzję sądu I instancji. W uzasadnieniu wskazał, że przedłużone pozostawanie w bazie danych nieaktualnych informacji o znikomym zadłużeniu powoda nie uchybiło jego czci ani godności.

Skargę kasacyjną od przedmiotowego wyroku wniósł Rzecznik Praw Obywatelskich. Zwrócił on szczególną uwagę na to, że dane dotyczące zawartej umowy kredytowej objęte są tajemnicą bankową uregulowaną w Prawie Bankowym[5] i stanowią jednocześnie dane osobowe w rozumieniu art. 6 ust. 1 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych[6]. Rzecznik wielokrotnie podkreślał, że artykuł 26 ust. 1 nakazuje administratorowi danych, którym w tym wypadku był bank, przetwarzanie danych zgodnie z prawem, z zachowaniem ich merytorycznej poprawności i adekwatnie do celów, w jakich są przetwarzane, a art. 32 ust. 1 pkt 6 tej ustawy zobowiązuje go do zachowania szczególnej staranności w celu ochrony interesów osób, których dane dotyczą. Rzecznik wskazał, że obowiązkiem nadrzędnym administratora jest dołożenie szczególnej staranności w celu ochrony interesów osób, których dane dotyczą.

Rzecznik oparł skargę kasacyjną na błędnej wykładni przepisów art. 23 i 24 Kodeksu Cywilnego i nieuwzględnieniu konstytucyjnego prawa człowieka i obywatela do ochrony danych osobowych przewidzianego w art. 51 Konstytucji. Wskazał on również na  naruszenie prawa do ochrony godności i dobrego imienia ujętego w art. 47 Konstytucji. Zdaniem Rzecznika zaniechanie uaktualnienia doprowadziło do utrwalenia na dłuższy czas obrazu powoda jako niewypłacalnego, a co więcej niewiarygodnego w przeprowadzanych transakcjach. Konkludując, obok naruszenia ochrony danych osobowych pojawia się problem kształtowania negatywnego wizerunku.

Sąd Najwyższy wskazał, że prawo do ochrony danych osobowych jest wywodzone w piśmiennictwie z takich dóbr osobistych, jak godność człowieka oraz prawo do prywatności. Rzecznik Praw Obywatelskich stanowczo stoi na stanowisku, że zbudowanie negatywnego wizerunku jako osoby niewiarygodnej naruszyło jego godność i naraziło tym samym na szereg przykrości i rozczarowań.

Mając na uwadze powyższe zastrzeżenia sprawa została przekazana do ponownego rozpatrzenia.

[1] Konstytucja Rzeczypospolitej Polskiej z dnia 2 kwietnia 1997 r., Dz.U. 1997 nr 78 poz. 483

[2] Karta Praw Podstawowych Unii Europejskiej, Dz.U.UE.C.2007.303.1

[3] Międzynarodowy Pakt Praw Obywatelskich i Politycznych otwarty do podpisu w Nowym Jorku dnia 19 grudnia 1966 r., Dz.U.1977.38.167

[4] Wyrok Sądu Najwyższego z dnia 11 lutego 2015 r., o sygn. akt I CSK 868/14

[5] Ustawa z dnia 29 sierpnia 1997 r. – Prawo bankowe, Dz.U.2015.128 j.t.

[6] Ustawa  z dnia 29 sierpnia 1997 r. o ochronie danych osobowych, Dz.U.2014.1182 j.t.

Aplikacje mobilne, a ochrona danych osobowych

aplikacje_mobilne_0Większość z nas posiada ten lub inny model smartphon’a. Coraz powszechniejsze stają się również tablety. Każdy zaś smartphon czy tablet jest wyposażony w aplikacje mobilne. Są to najczęściej gry, aplikacje służące do przetwarzania zdjęć, robienia zakupów czy zaplanowania treningów. Rynek aplikacji mobilnych rozwija się bardzo dynamicznie. Obecnie w samej tylko Unii Europejskiej ten segment rynku generuje 17,5 mld euro rocznie i jest w nim zatrudnionych już 1 mln programistów i 800 tys. osób zajmujących się marketingiem i funkcjami pomocniczymi. Unijne badania wskazują na to, że w 2018 r. gospodarce Unii może przybyć 5 mln miejsc pracy, a przychód jaki ma generować branża osiągnie 63 mld euro.

Warto pamiętać, że większość aplikacji mobilnych jest darmowa. Obecnie zaledwie 9 proc. ściągnięć dotyczy płatnych aplikacji mobilnych. W jaki więc sposób są generowane te wszystkie pieniądze? Przede wszystkim aplikacje mobilne są wykorzystywane do zbierania informacji na nasz temat. Proces wygląda mniej więcej następująco. Instalujemy na naszym smart fonie/tablecie jakąś darmową grę. Podczas instalacji akceptujemy regulamin (oczywiście nie czytając go) i w ten sposób zgadzamy się na pozyskiwanie informacji z naszego telefonu. Obecnie, instalując aplikacje mobilne za pomocą np. Sklepu Google Play widzimy do jakich informacji będzie miała dostęp określona aplikacja. W tym miejscu pojawia się pytanie dlaczego „gra X” ma mieć dostęp do naszych zdjęć, informacji o połączeniu wi-fi, zakupów dokonywanych w innych aplikacjach, lokalizacji itp. Jest to prawdziwa cena instalowanej gry. Aplikacje mobilne zwierają ukryte logarytmy śledzące nasze zachowania i tworzące profil naszej osoby. W skład profilu wchodzą takie dane jak preferencje zakupowe, jakie strony internetowe są przez nas odwiedzane i wiele innych informacji na nasz temat. Następnie tego typu informacje są sprzedawane firmom marketingowym, które mogą wysyłać już sprofilowane reklamy.

Pierwszym pytaniem na jakie powinniśmy odpowiedzieć, to czy wskazany wyżej zakres informacji stanowi dane osobowe. Zgodnie z ustawą o ochronie danych osobowych, dane osobowe to  wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej. Osobą możliwą do zidentyfikowania jest osoba, której tożsamość można określić bezpośrednio lub pośrednio, w szczególności przez powołanie się na numer identyfikacyjny albo jeden lub kilka specyficznych czynników określających jej cechy fizyczne, fizjologiczne, umysłowe, ekonomiczne, kulturowe lub społeczne. W mojej ocenie, informacje przetwarzane przez aplikacje mobilne mogą stanowić dane osobowe w rozumieniu ustawy o ochronie danych osobowych.

Czy więc opisane działania są zgodne z polskimi przepisami (co prawda z 1997 roku)? Analizując wybrane aplikacje mobilne muszę stwierdzić, że niestety ale nie. Naruszeniu ulega wiele przepisów ustawy o ochronie danych osobowych.

Przede wszystkim nie wiemy – jako użytkownicy do jakich dokładnie danych będzie miała dostęp aplikacja i w jaki sposób zostanę te dane wykorzystane. Czyli nie jest spełniony obowiązek informacyjny w rozumieniu artykułu 24 ustawy o ochronie danych osobowych. Kolejnym uchybieniem jest udostępnianie danych na nasz temat innym podmiotom. I w tym miejscu pojawia się nowe pytanie – kto ma właściwie dostęp do danych osobowych pozyskiwanych z aplikacji mobilnych? Istnieją cztery główne podmioty, które mogą być wyróżnione. Są to: twórcy aplikacji (włączając właścicieli aplikacji), producenci urządzeń oraz systemów operacyjnych („producenci OS oraz urządzeń), sklepy z aplikacjami (dystrybutorzy aplikacji) oraz inne strony zaangażowane w przetwarzanie danych osobowych.[1] Warto pamiętać, iż zgodnie ze stanowiskiem GIODO i wyrokami sąd udostępnienie danych osobowych w celach marketingowych innym podmiotom może się odbyć wyłącznie za naszą zgodą. Z własnego doświadczenia mogę powiedzieć, że żadna aplikacja nie poprosiła mnie o wyrażenie takiej zgody. Kolejnym naruszeniem jakie może mieć miejsce to transfer danych do kraju trzeciego. Dane pochodzące z aplikacji mobilnych mogą być przechowywane na serwerach w krajach tzw. trzecich jak np. Indie, Chiny czy USA.  Zgodnie z polskimi przepisami jeżeli taki transfer ma miejsce to powinny zostać spełnione określone wymagania np. zgodę na transfer powinien wyrazić GIODO. Problematyczne jest również przestrzeganie zasady adekwatności.

Problem ochrony danych osobowych został zauważony przez  rzeczników ochrony danych i prywatności biorących udział w 35 Międzynarodowej Konferencji Rzeczników Ochrony Danych i Prywatności. Twórcy oprogramowania mają się zastanawiać, czy ich produkty nie naruszą prywatności użytkowników. Zobaczymy na ile branża wytwarzająca aplikacje mobilne weźmie sobie do serca uwagi i postulaty rzeczników …

[1] Opinia 2/2013 w sprawie aplikacji mobilnych Grupy Roboczej art. 29 ds. Ochrony Danych

Firma windykacyjna a ochrona danych osobowych

Ostatnio, osoba z kręgu moich najbliższych miała problem z firmą windykacyjną, której to pracownicy dzwonili do niej i wygrażali, że jak nie zapłaci określonej kwoty, sprawa zostanie skierowana do sądu. Na szczęście mój znajomy wie, że roszczenie jest przedawnione, więc firma windykacyjna poza takimi „pogróżkami” niewiele może uczynić. Na kanwie tej sytuacji, warto napisać o tym, jakie firma windykacyjna ma uprawnienia i obowiązki w zakresie ochrony danych osobowych.

Dzwoniąc pracownik firmy windykacyjnej prosi na samym początku o podanie takich informacji jak „data urodzenia” celem weryfikacji, czy rzeczywiście ma do czynienia z właściwą osobą. Na pytanie znajomego o to dlaczego zbierają dane osobowe, pracownik takiej firmy odpowiada, że data urodzenia nie stanowi danych osobowych, a jedynie umożliwia weryfikację. Absurdalne w tym wszystkim jest to, że ta firma windykacyjna ma zarejestrowany w biurze GIODO zbiór danych o nazwie „Dłużnicy”, w którym to w ramach zakresu danych wymieniona jest właśnie data urodzenia. Ta sytuacja obrazuje, że niezależnie od tego jakie informacje pozyskuje firma windykacyjna to weryfikacja odbywa się na podstawie danych osobowych.

W kontekście obowiązków wynikających z przepisów ustawy o ochronie danych osobowych zacznijmy od tego skąd w ogóle firma windykacyjna może posiadać nasze dane osobowe. Możliwe są w zasadzie dwie sytuacje. Pierwsza, w której wierzyciel zleci obsługę wierzytelności firmie windykacyjnej i druga, a której to firma windykacyjna wykupi od wierzyciela zobowiązanie. W pierwszej sytuacji nasz wierzyciel cały czas pozostaje administratorem danych osobowych, a firma windykacyjna jest jedynie procesorem i zgodnie z art. 31 ustawy o ochronie danych osobowych powinna być pomiędzy tymi podmiotami podpisana umowa powierzenia przetwarzania danych osobowych. W drugiej sytuacji dochodzi do zmiany administratora danych i firma windykacyjna jako nowy administrator powinna dopełnić obowiązku informacyjnego z art. 25 ustawy o ochronie danych osobowych – czyli mówiąc prościej poinformować nas o tym, że teraz to ona jest wierzycielem. Jeżeli tego nie zrobi to może narazić się na odpowiedzialność karną przewidzianą w art. 54 ustawy o ochronie danych osobowych, który to przewiduje za naruszenie tego obowiązku zagrożenie karą pozbawienia wolności do roku. Ewentualną odpowiedzialność będą ponosiły osoby kierujące firmą windykacyjną (Zarząd).

Warto również pamiętać o innych obowiązkach firmy windykacyjnych jako  administratora danych takich jak prowadzenie dokumentacji ochrony danych osobowych, odpowiednie zabezpieczenie danych osobowych przetwarzanych w formie papierowej lub elektronicznej, czy rejestracja zbiorów w biurze Generalnego administratora danych osobowych.

Z kolei nam jako osobom, których dane osobowe są przetwarzane przysługuje szereg uprawień wymienionych ustawie o ochronie danych osobowych. Możemy się zwrócić z wnioskiem o przekazanie nam przez firmę windykacyjną o wskazanie m.in. celu przetwarzania danych osobowych, źródła danych, zakresu danych itd. Firma windykacyjna na takie zapytanie zobowiązania jest do udzielenia na piśmie odpowiedzi w terminie 30 dni. Szczegółowo uprawnienia opisane są w art. 32 i następnych ustawy o ochronie danych osobowych.

Kolejnym ważnym aspektem jest to aby firma windykacyjna przetwarzała dane osobowe w zgodzie z zasadami ustawy o ochronie danych osobowych. Chodzi w szczególności o zasadę celowości i adekwatności przetwarzania danych osobowych. Nawiązując do początku artykułu, myślę, że mój znajomy mógłby kwestionować uprawnienie do przetwarzania przez firmę windykacyjną jego danych osobowych – jako, że wierzytelność uległa przedawnieniu i właśnie z tego powodu można by kwestionować celowość i adekwatność przetwarzania przez firmę windykacyjną danych osobowych. W tym celu należałoby złożyć do Generalnego Inspektora Ochrony Danych Osobowych skargę na taką firmą windykacyjną.