Gdy poprosił o zmianę pisowni, bank odmówił. Powołał się na regulamin, w którym zarezerwował sobie prawo do dowolnej pisowni danych osobowych.

GIODO zwrócił uwagę, że zgodnie z art. 26 ust. 1 pkt 3 ustawy o ochronie danych osobowych (Dz.U. z 2002 r. nr 101, poz. 926 z późn. zm.) administrator danych osobowych powinien dołożyć szczególnej staranności w celu ochrony interesów, których one dotyczą, w szczególności zaś jest zobowiązany zapewnić, aby dane te były merytorycznie poprawne.

Każdej osobie przysługuje też prawo do kontroli danych, które jej dotyczą, w tym do ich sprostowania. I z tego uprawnienia skorzystał właśnie skarżący się klient.

Diakrytyka

Przedstawiciele banku tłumaczyli, że nie mogą uwzględnić żądania klienta ze względu na problemy związane z kodowaniem polskich znaków. System generujący karty nie uwzględnia narodowych znaków diakrytycznych. Dlatego też napisy na kartach umieszczane są w transkrypcji angielskiej.

Co więcej, zmiana sposobu kodowania nie zależy wyłącznie od banku i musi wyrazić na nią zgodę organizacja płatnicza. A zgody takiej bank na razie nie uzyskał.

Argumenty te nie przekonały GIODO. „Administrator danych osobowych ma obowiązek stosowania takich rozwiązań technicznych, które pozwolą na przetwarzanie danych osobowych merytorycznie poprawnych.

Zatem istniejącego stanu rzeczy nie usprawiedliwia fakt, iż w obecnie stosowanym przez bank systemie informatycznym nie ma możliwości stosowania obcych znaków diakrytycznych” – napisał w pierwszej decyzji nakazującej sprostowanie niepoprawnych danych osobowych.

W każdym celu

Bank nie zgodził się z tym poglądem i wniósł o ponowne rozstrzygnięcie sprawy. Dodatkowo zwrócił uwagę, że zmieniła się sytuacja, gdyż klient rozwiązał z nim umowę, kartę zniszczono, a nieprawidłowo podane dane są przetwarzane już wyłącznie w celach archiwalnych.

To jednak, zdaniem GIODO, wciąż nie usprawiedliwia odmowy ich sprostowania. „Ustawodawca nie przewidział w przepisach ustawy żadnego rozróżnienia dla poprawności przetwarzania danych osobowych w zależności od celu, dla którego dane te są przetwarzane.

Oznacza, że na każdym etapie, jak również w każdym celu ich przetwarzania, ich administrator winien przestrzegać zasad określonych w art. 26 ustawy” – zauważył w decyzji podtrzymującej wcześniejsze rozstrzygnięcie.

Decyzja GIODO, sygn: DOLiS/DEC-908/11.