Nagrywanie rozmów klientów banku bez ich zgody

Pracownicy banku mają obowiązek uprzedzić klientów banku o tym, że rozmowy będą rejestrowane. Brak zgody na nagrywanie rozmów może stanowić naruszenie praw klienta. Sprawa dotycząca nagrywania rozmów telefonicznych z dłużniczką, bez jej wiedzy i zgody, została skierowana do Generalnego Inspektora Ochrony Danych Osobowych (GIODO) oraz sądu. GIODO nakazał Bankowi usunięcie nieprawidłowości w procesie przetwarzania danych osobowych dłużniczki.

Tematyka: bank, rozmowy klientów, zgoda, nagrywanie rozmów, GIODO, dane osobowe, ochrona danych osobowych, NSA, stan zdrowia, przetwarzanie danych

Pracownicy banku mają obowiązek uprzedzić klientów banku o tym, że rozmowy będą rejestrowane. Samo
podjęcie rozmowy nie może być uznane za wyrażenie zgody w rozumieniu przepisów ustawy z 29.8.1997 r.
o ochronie danych osobowych (t. jedn.: Dz.U. z 2002 r. Nr 101, poz. 926 ze zm.; dalej jako: OchrDanychU) na
przetwarzanie danych wrażliwych, takich jak np. informacje o stanie zdrowia uznał Naczelny Sąd
Administracyjny.
A.B. zawarła z Bankiem „R.” S.A. (dalej jako: Bank) umowę kredytu konsumpcyjnego. Ponieważ dłużniczka nie
realizowała zobowiązań wynikających z zawartej umowy kredytowej, pracownicy wierzyciela kilkakrotnie kontaktował
się z nią telefonicznie informując o występujących zaległościach. Ani na wstępie, ani w trakcie rozmów A.B. nie była
informowana o ich rejestrowaniu. Podczas tych rozmów telefonicznych dłużniczka przekazywała informacje o swojej
sytuacji majątkowej i stanie zdrowia. Po skierowaniu sprawy na drogę sądową sąd wezwał wierzyciela do
przedłożenia rozmów prowadzonych przez pozwaną z pracownikami banku. W wykonaniu wezwania Bank załączył
do akt sprawy postępowania sądowego płytę zawierającą nagrania rozmów telefonicznych z dłużniczką.
A.B. złożyła do Generalnego Inspektora Ochrony Danych Osobowych (dalej jako: GIODO) skargę dotyczącą
przetwarzania jej danych osobowych przez Bank, polegającego na gromadzeniu i przechowywaniu nagrań
z przeprowadzonych z nią a zainicjowanych przez pracowników Banku rozmów telefonicznych. Jak wskazała,
pracownicy Banku dzwoniąc do niej nie informowali jej, że rozmowy te są nagrywane. Twierdziła, że gdyby wiedziała
o zapisie rozmów, nie wyraziłaby na nie zgody. Skarga dotyczyła również przekazania tych nagrań do sądu
powszechnego, co zdaniem A.B. wpłynęło na wynik procesu sądowego.
W wyjaśnieniach udzielonych GIODO Bank oświadczył, że przetwarza dane osobowe A.B. w związku z tym, iż jest to
konieczne dla realizacji umowy kredytu konsumpcyjnego oraz w prawnie usprawiedliwionym celu dochodzenia
roszczeń z tytułu prowadzonej działalności gospodarczej. Zakres przetwarzanych przez Bank danych szczegółowo
przedstawiony został w umowie kredytu konsumpcyjnego, zaś informacje, do których dostarczenia Bank był
zobowiązany, przekazane zostały A.B. w momencie podpisania przez nią umowy. Pracownicy Banku w trakcie
rozmów telefonicznych A.B. nie zbierali dodatkowych danych dotyczących dłużniczki, dotyczyły one wyłącznie
zakresu, terminu i wysokości spłaty zaległego zobowiązania, zatem nie powstał obowiązek wykonywania
obowiązków informacyjnych określonych w OchrDanychU.
GIODO nakazał Bankowi wyeliminowanie nieprawidłowości w procesie przetwarzania danych osobowych A.B.
poprzez ich usunięcie z zapisów rozmów telefonicznych. W uzasadnieniu decyzji organ wskazał, że w toku rozmów
telefonicznych, A.B. udzieliła rozmówcom informacji w zakresie szerszym niż informacje posiadane o niej wówczas
przez Bank. Wśród nich znalazły się nie tylko dane o jej aktualnej sytuacji materialnej i zawodowej, dane osobowe
w postaci jej głosu, ale także informacje o jej stanie zdrowia, zatem dane szczególnie chronione, podlegające
odrębnemu niż dane osobowe zwykłe reżimowi przetwarzania. Bank niewątpliwie przetwarzał dane dla realizacji
usprawiedliwionego celu jakim było dochodzenie roszczeń z tytułu prowadzonej działalności gospodarczej, jednak
w ocenie GIODO, niepoinformowanie dłużniczki o rejestrowaniu tych rozmów stanowiło naruszenie jej praw
i wolności. A.B. mając wiedzę o zapisie rozmowy mogłaby – zdecydować czy i jakie informacje na swój temat chce
przekazać pracownikowi Banku, możliwe, że nie udostępniłaby mu informacji o swoim stanie zdrowia.
Odnosząc się do zarzutu dotyczącego legalności przetwarzania danych osobowych zawartych w zapisach rozmów
telefonicznych poprzez ich przekazanie do toczącego się przez sądem powszechnym postępowania, organ wyjaśnił,
że choć działanie Banku niewątpliwie stanowiło naruszenie przepisów OchrDanychU, brak jest podstaw do
zastosowania przepisu art. 18 ust. 1 OchrDanychU. Zgodnie z tą regulacją, w przypadku naruszenia przepisów
OchrDanychU, GIODO z urzędu lub na wniosek osoby zainteresowanej, w drodze decyzji administracyjnej, nakazuje
przywrócenie stanu zgodnego z prawem. Nakaz taki byłby niemożliwy do wykonania ze względu na nieodwracalność
kwestionowanego zachowania. Aktualnie zapisy z tych rozmów stanowią dowód w postępowaniu cywilnym. Sąd
cywilny, dopuścił ten dowód, a w działalność sądu powszechnego GIODO nie może ingerować.
Po rozpoznaniu wniosku Banku o ponowne rozpatrzenie sprawy, organ utrzymał w mocy zaskarżoną decyzję.
Wówczas Bank złożył skargę do WSA w Warszawie. Sąd oddalił skargę. Zgodnie z art. 6 ust. 1 OchrDanychU, za
dane osobowe uważa się wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby
fizycznej. Użycie zwrotu „wszelkie informacje” wskazuje, że dane osobowe stanowią jakiekolwiek informacje
odnoszące się do każdego aspektu życia osoby, jej stosunków osobistych i rzeczowych, jej życia zawodowego,
prywatnego, wiedzy, charakteru. Są nimi zatem zarówno imię, nazwisko i adres osoby, jak i jej głos, linie papilarne
czy cechy wyglądu. Zgodnie z przepisami OchrDanychU przetwarzanie danych osobowych jest procesem legalnym,
gdy ich administrator legitymuje się jedną z przesłanek dopuszczalności przetwarzania danych wymienionych w art.

23 ust. 1 pkt 1–5 OchrDanychU, w przypadku przetwarzania danych osobowych zwykłych, lub w art. 27 ust. 2 pkt 1–
10 OchrDanychU, w przypadku przetwarzania danych osobowych szczególnie chronionych, które enumeratywnie
wskazane zostały w art. 27 ust. 1 OchrDanychU. Za dane sensytywne ustawodawca uznał m.in. informacje o stanie
zdrowia. Sąd uznał, że podstawą działania nie mógł być art. 23 ust. 1 pkt 5 OchrDanychU. W toku rozmów A.B.
udzieliła rozmówcom informacji o sobie w zakresie szerszym niż informacje posiadane o niej wówczas przez Bank.
Wśród tych informacji znalazły się nie tylko dane o jej aktualnej sytuacji materialnej i zawodowej, dane osobowe
w postaci jej głosu, ale także informacje o jej stanie zdrowia, zatem dane szczególnie chronione.
Zgodnie z art. 23 ust. 1 pkt 5 OchrDanychU przetwarzanie danych osobowych jest dopuszczalne wtedy, gdy jest to
niezbędne dla wypełnienia prawnie usprawiedliwionych celów realizowanych przez administratorów danych albo
odbiorców danych, a przetwarzanie nie narusza praw i wolności osoby, której dane dotyczą, przy czym przez
usprawiedliwiony cel, stosownie do treści art. 23 ust. 4 pkt 2 OchrDanychU, rozumie się w szczególności
dochodzenie roszczeń z tytułu prowadzonej działalności gospodarczej. Sąd podzielił stanowisko organu, że Bank
nawiązując z A.B. kontakty telefoniczne, podczas których ujawniła ona inne niż przetwarzane wówczas przez Bank
informacje, niewątpliwie działał i przetwarzał je dla realizacji usprawiedliwionego celu, jakim było dochodzenie
roszczeń z tytułu prowadzonej działalności gospodarczej, jednak niepoinformowanie o rejestrowaniu tych rozmów
stanowiło naruszenie jej praw i wolności. W toku prowadzonego przez organ postępowania wnioskodawczyni
kilkakrotnie podkreślała, że gdyby wiedziała o fakcie nagrywania prowadzonych z nią rozmów telefonicznych
mogłaby nie wyrazić zgody na ich prowadzenie. Natomiast niepoinformowanie o ich nagrywaniu pozbawił A.B. prawa
do decydowania o jej życiu prywatnym. Wnioskodawczyni mając bowiem wiedzę o zapisie rozmowy mogłaby
zdecydować, czy i jakie informacje na swój temat chce przekazać pracownikowi Banku i możliwe jest, że nie
udostępniałaby mu informacji o swoim stanie zdrowia. W ocenie Sądu, nie można zatem uznać, że Bank w sposób
legalny pozyskał i przetwarza dane osobowe A.B. przekazane przez nią podczas rozmów telefonicznych
z pracownikami Banku. Działanie polegające na rejestracji inicjowanych przez Bank rozmów z klientami nie znajduje
się w katalogu czynności bankowych zawartych w ustawie z 29.8.1997 r. – Prawo bankowe (t. jedn.: Dz.U. z 2017 r.
poz. 1876), ponadto proces przetwarzania, pozyskanych podczas tych rozmów danych osobowych A.B., która nie
była świadoma zapisu tych rozmów, nie znajduje podstawy prawnej w żadnej z przesłanek legalizujących,
wskazanych w OchrDanychU.
Naczelny Sąd Administracyjny oddalił skargę kasacyjną Banku podkreślając, że zgody rozmówcy na
przetważanie danych wrażliwych nie można domniemywać. Zgodnie z art. 27 ust. 2 pkt 1 OchrDanychU,
przetwarzanie danych o stanie zdrowia jest dopuszczalne, jeżeli osoba, której dane dotyczą wyrazi na to
zgodę na piśmie, chyba że chodzi o usunięcie danych jej dotyczących. Nie można zatem zgodzić się ze
stanowiskiem zaprezentowanym przez Bank, zgodnie z którym A.B., przekazując dane o swoim stanie
zdrowia wyraziła zgodę na przetwarzanie tych danych przez Bank, a informacje te przekazała świadomie
i z własnej inicjatywy.
Wyrok NSA z 27.7.2018 r., I OSK 1871/16

Naczelny Sąd Administracyjny oddalił skargę kasacyjną Banku, podkreślając brak domniemanej zgody dłużniczki na przetwarzanie danych wrażliwych. Decyzja NSA potwierdziła konieczność uzyskania wyraźnej zgody na przetwarzanie danych osobowych, w tym informacji o stanie zdrowia. Sprawa ta stanowi istotny precedens w kontekście ochrony danych osobowych.