ZKE.440.20.2019
Na podstawie art. 104 § 1 ustawy z dnia 14 czerwca 1960 r. Kodeks postępowania administracyjnego (Dz. U. z 2018 r, poz. 2096 ze zm.), art. 160 ust. 1 i 2 ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych (Dz.U. z 2019 r., poz. 1781) w związku z art. 12 pkt 2 i art. 22 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. z 2016 r., poz. 922 ze zm.) w związku z art. 6 ust. 1 lit. c oraz lit. f Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (Dz. Urz. UE L 119 z 04.05.2016, str. 1 oraz Dz. Urz. UE L 127 z 23.05.2018, str. 2), w związku z art. 105 ust. 4 i art. 105a ust. 4 i 5 ustawy z dnia 29 sierpnia 1997r. Prawo bankowe (Dz. U. z 2018 r., poz. 2187 z późn. zm.), po przeprowadzeniu postępowania administracyjnego w sprawie skargi Pana W. M., reprezentowanego przez pełnomocnika, Panią J. D., na przetwarzanie jego danych osobowych przez Bank M. S.A. i przekazanie ich w celu oceny zdolności kredytowej oraz analizy ryzyka kredytowego do B. S.A., Prezes Urzędu Ochrony Danych Osobowych
odmawia uwzględnienia wniosku.
UZASADNIENIE
Do Prezesa Urzędu Ochrony Danych Osobowych (dawniej: Generalnego Inspektora Ochrony Danych Osobowych) wpłynęła skarga Pana W. M., zwanego dalej Skarżącym, reprezentowanego przez pełnomocnika, Panią J. D., na przetwarzanie jego danych osobowych przez Bank M. S.A., zwany dalej Bankiem, oraz na przekazanie tych danych w celu oceny zdolności kredytowej oraz analizy ryzyka kredytowego do B. S.A., zwanego dalej B.
W treści skargi Skarżący wskazał, iż żąda podjęcia przez organ ochrony danych działań zmierzających do zaprzestania przetwarzania przez Bank jego danych osobowych do celów oceny zdolności kredytowej i analizy ryzyka kredytowego w B., jako że zobowiązanie łączące go z Bankiem wygasło, a zadłużenie zostało w całości spłacone. Powyższe żądanie Skarżący uzasadniał faktem, iż Bank nie wypełnił wobec niego obowiązku wynikającego z dyspozycji art. 105a ust. 3 ustawy Prawo bankowe i nie poinformował o zamiarze przetwarzania jego danych osobowych po wygaśnięciu zobowiązania, w związku z nieterminowym spłacaniem przez niego zaległości wynikających z umowy karty kredytowej, co czyni działanie Banku bezprawnym. Jednocześnie Skarżący wskazał, że Bank – pomimo skierowania do niego bezpośrednio wniosku o wykreślenie danych Skarżącego z B. – ustosunkował się negatywnie do tak sformułowanego żądania.
W celu ustalenia okoliczności faktycznych przedmiotowej sprawy, Prezes Urzędu Ochrony Danych Osobowych, zwany dalej także Prezesem UODO, wszczął postępowanie administracyjne. Na podstawie zebranego w sprawie materiału dowodowego ustalił następujący stan faktyczny:
- Skarżący zawarł z Bankiem w dniu [...] lipca 2005 r. umowę karty kredytowej o numerze […] oraz dodatkowo umowę odnawialnej linii kredytowej w rachunku o numerze […]. Dane osobowe Skarżącego zostały pozyskane przez Bank w związku z zawarciem ww. umów i w zakresie nimi objętym.
- Bank, w okresie obowiązywania ww. umów, przetwarzał dane osobowe Skarżącego na podstawie art. 105a ust. 1 ustawy z dnia 29 sierpnia 1997 r. Prawo bankowe, w celu oceny zdolności kredytowej i analizy ryzyka kredytowego. Jednocześnie na podstawie art. 105a ust. 4 ustawy Prawo bankowe, Bank udostępnił dane osobowe Skarżącego do B., co miało miejsce odpowiednio: w dniu […] sierpnia 2005 r. – w zakresie wynikającym z umowy odnawialnej linii kredytowej oraz w dniu […] października – w zakresie wynikającym z umowy karty kredytowej.
- W związku z nieterminową spłatą zobowiązań, Bank podjął wobec Skarżącego działania windykacyjne. Skarżący dokonał ostatecznie całkowitej spłaty zadłużenia w listopadzie 2011 r. oraz marcu 2012 r.
- Wobec zaistniałej zwłoki w spełnieniu świadczeń, wynoszącej łącznie […] dni, Bank przetwarzał w B. do celów oceny zdolności kredytowej i analizy ryzyka kredytowego dane osobowe Skarżącego bez jego zgody, również po wygaśnięciu przedmiotowych zobowiązań. Jako podstawę prawną takiego działania, w swych pisemnych wyjaśnieniach z dnia [….] września 2014 r. Bank wskazał art. 105a ust. 3 ustawy Prawo bankowe. Praktyka Banku nie mieściła się jednak w dyspozycji powołanego przepisu prawa, albowiem Bank, wbrew argumentacji przedstawionej w postępowaniu przed Prezesem Urzędu Ochrony Danych Osobowych, nie zawiadomił należycie Skarżącego o zamiarze takiego przetwarzania danych i nie przedstawił na powyższą okoliczność żadnych, wiarygodnych dowodów.
- Pismem z dnia […] lipca 2014 r. Skarżący zwrócił się do Banku z wnioskiem o zaprzestanie przetwarzania jego danych osobowych w B. Bank przychylił się do wniosku i od dnia […] lipca 2014 r. nie przetwarza już w B. danych osobowych Skarżącego w zakresie dotyczącym umowy karty kredytowej o numerze […] oraz umowy odnawialnej linii kredytowej w rachunku o numerze […] w celu oceny zdolności kredytowej i analizy ryzyka kredytowego.
- Dane osobowe Skarżącego w zakresie: imienia, nazwiska, numeru PESEL, adresu zamieszkania/ korespondencyjnego, adresu zameldowania, serii i numeru dokumentu tożsamości, płci, danych finansowych, daty urodzenia, obywatelstwa, statusu rezydencji, nazwiska rodowego matki, numerów telefonów kontaktowych, jak również dane o produktach bankowych i numerze CIF, Bank przetwarza aktualnie na podstawie art. 6 ust. 1 lit. f Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE., w celu realizowanym w ramach prawnie uzasadnionego interesu Banku, tj. w celu obrony przed ewentualnymi roszczeniami, m.in. w związku z postępowaniem prowadzonym w niniejszej sprawie przez Prezesa Urzędu Ochrony Danych Osobowych.
- Rachunek dotyczący umowy karty kredytowej o numerze […] oraz umowy odnawialnej linii kredytowej w rachunku o numerze […] posiada obecnie w B. status rachunku zamkniętego, zaś związane w nim dane osobowe Skarżącego przetwarzane są wyłącznie w celu stosowania wewnętrznych metod statystycznych na podstawie art. 105a ust. 4 i 5 ustawy Prawo bankowe.
W tym stanie faktycznym, Prezes Urzędu Ochrony Danych Osobowych zważył, co następuje.
Z dniem 25 maja 2018 r. w życie weszły przepisy ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych (Dz. U. z 2019 r., poz. 1781), zwanej dalej „u.o.d.o.”.
W myśl art. 160 ust. 1-3 ustawy, postępowania prowadzone przez Generalnego Inspektora Ochrony Danych Osobowych, wszczęte i niezakończone przed dniem wejścia w życie niniejszej ustawy, prowadzone są przez Prezesa Urzędu Ochrony Danych Osobowych na podstawie ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz.U. z 2016 r. poz. 922 ze zm.), zwanej dalej „ustawą 1997”, zgodnie z zasadami określonymi w ustawie z dnia 14 czerwca 1960 r. Kodeks postępowania administracyjnego (Dz. U. z 2018 r. poz. 2096 ze zm.). Jednocześnie, czynności dokonane w postępowaniach, wszczętych i niezakończonych przed dniem wejścia w życie przepisów u.o.d.o., pozostają skuteczne.
Od dnia 25 maja 2018 r. zastosowanie ma również rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (Dz. Urz. UE L 119 z 04.05.2016, str. 1 ze zm.), zwane dalej „Rozporządzeniem 2016/679”.
Uwzględniając powyższe stwierdzić zatem należy, iż niniejsze postępowanie, wszczęte i niezakończone przed dniem 25 maja 2018 r., prowadzone jest na podstawie ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (w zakresie dotyczącym przepisów regulujących procedurę administracyjną) oraz na podstawie Rozporządzenia 2016/679 (w zakresie rozstrzygającym o legalności procesu przetwarzania danych osobowych). Wynikający w przepisów prawa sposób prowadzenia postępowań w sprawach rozpoczętych i nie zakończonych przed dniem wejścia w życie nowych regulacji z zakresu ochrony danych osobowych koreluje z ugruntowanym stanowiskiem doktryny, zgodnie z którym „organ administracji publicznej ocenia stan faktyczny sprawy według chwili wydania decyzji administracyjnej. Reguła ta odnosi się także do oceny stanu prawnego sprawy, co oznacza, że organ administracji publicznej wydaje decyzję administracyjną na podstawie przepisów prawa obowiązujących w chwili jej wydania” (Komentarz do ustawy z dnia 14 czerwca 1960 r. Kodeks postępowania administracyjnego (Dz. U. 00.98.1071) M. Jaśkowska, A. Wróbel, Lex., el/2012).
W świetle przepisów Rozporządzenia 2016/679, przetwarzanie danych osobowych jest uprawnione, gdy spełniona zostanie którakolwiek z przesłanek wymienionych w art. 6 ust. 1 Rozporządzenia 2016/679 (stanowiącym odpowiednik obowiązującego do dnia 28 maja 2018 r. art. 23 ust. 1 ustawy 1997), tj. gdy: a) osoba, której dane dotyczą wyraziła zgodę na przetwarzanie swoich danych osobowych w jednym lub większej liczbie określonych celów (analogicznie w art. 23 ust. 1 pkt 1 ustawy 1997); b) przetwarzanie jest niezbędne do wykonania umowy, której stroną jest osoba, której dane dotyczą, lub do podjęcia działań na żądanie osoby, której dane dotyczą, przed zawarciem umowy (analogicznie w art. 23 ust. 1 pkt 3 ustawy 1997); c) przetwarzanie jest niezbędne do wypełnienia obowiązku prawnego ciążącego na administratorze (analogicznie w art. 23 ust. 1 pkt 2 ustawy 1997); d) przetwarzanie jest niezbędne do ochrony żywotnych interesów osoby, której dane dotyczą, lub innej osoby fizycznej; e) przetwarzanie jest niezbędne do wykonania zadania realizowanego w interesie publicznym lub w ramach sprawowania władzy publicznej powierzonej administratorowi bądź (analogicznie w art. 23 ust. 1 pkt 4 ustawy 1997); f) przetwarzanie jest niezbędne do celów wynikających z prawnie uzasadnionych interesów realizowanych przez administratora lub przez stronę trzecią, z wyjątkiem sytuacji, w których nadrzędny charakter wobec tych interesów mają interesy lub podstawowe prawa i wolności osoby, której dane dotyczą, wymagające ochrony danych osobowych, w szczególności gdy osoba, której dane dotyczą, jest dzieckiem (analogicznie w art. 23 ust. 1 pkt 5 ustawy 1997).
Przesłanki te odnoszą się do wszelkich form przetwarzania danych, w tym również do ich udostępnienia. Warunki te są także względem siebie równoprawne, co oznacza, że dla legalności procesu przetwarzania danych wystarczające jest spełnienie jednego z nich.
Odnosząc się natomiast do przedmiotu niniejszej sprawy należy wyjaśnić, że aktem prawnym zawierającym szczegółowe regulacje dotyczące procesu przetwarzania danych osobowych klientów banków jest przede wszystkim ustawa z dnia 29 sierpnia 1997 r. – Prawo bankowe (Dz. U. z 2018 r., poz. 2187), zwane dalej Prawem bankowym.
Dokonując zaś badania legalności udostępnienia danych osobowych Skarżącego przez Bank na rzecz B., w związku z zadłużeniem wynikającym z umowy karty kredytowej o numerze […] oraz dodatkowo z umowy odnawialnej linii kredytowej w rachunku o numerze […] Prezes Urzędu Ochrony Danych Osobowych wskazuje, że B. jest instytucją utworzoną na podstawie art. 105 ust. 4 Prawa bankowego, który stanowi, że banki mogą, wspólnie z bankowymi izbami gospodarczymi, utworzyć instytucje do gromadzenia, przetwarzania i udostępniania m.in.: bankom – informacji stanowiących tajemnicę bankową w zakresie, w jakim informacje te są potrzebne w związku z wykonywaniem czynności bankowych, a nadto innym instytucjom ustawowo upoważnionym do udzielania kredytów – informacji o wierzytelnościach oraz o obrotach i stanach rachunków bankowych w zakresie, w jakim informacje te są niezbędne w związku z udzielaniem kredytów, pożyczek pieniężnych, gwarancji bankowych i poręczeń.
Zgodnie z art. 105a ust. 1 Prawa bankowego, przetwarzanie przez banki, inne instytucje ustawowo upoważnione do udzielania kredytów oraz instytucje utworzone na podstawie art. 105 ust. 4 (np. B.), informacji stanowiących tajemnicę bankową w zakresie dotyczącym osób fizycznych może być wykonywane, z zastrzeżeniem art. 104, 105 i art. 106-106c, w celu oceny zdolności kredytowej i analizy ryzyka kredytowego. Informacje zawarte w B. BIK służyć mają wypełnianiu przez banki, jako instytucje zaufania publicznego, ich ustawowych obowiązków związanych z koniecznością dokładania szczególnej staranności w zakresie zapewnienia bezpieczeństwa przechowywanych środków pieniężnych, a także koniecznością należytego badania zdolności kredytowej, od której istnienia – zgodnie z art. 70 ust. 1 Prawa bankowego – bank uzależnia udzielenie kredytu. Badanie zdolności kredytowej, na którą składa się zdolność do spłaty zobowiązań i wiarygodność kredytowa, jest niezwykle istotnym elementem działalności banku. B. zostało utworzone właśnie w celu zmniejszenia ryzyka udzielania trudnych kredytów, przyśpieszenia i uproszczenia procedur kredytowych, wspomagania decyzji banków dotyczących udzielania kredytu.
Jak ustalił Prezes Urzędu Ochrony Danych Osobowych, przekazanie danych osobowych Skarżącego przez Bank do B. nastąpiło jeszcze w okresie obowiązywania uprzedniej regulacji prawnej z zakresu ochrony danych osobowych i znajdowało oparcie w przesłance wymienionej w art. 23 ust. 1 pkt 2 ustawy 1997 (w związku z art. 105 ust. 4 Prawa bankowego), a dla legalności tego udostępnienia, na mocy art. 105 ust. 4 Prawa bankowego, zgoda Skarżącego nie była wymagana. W chwili obecnej – z uwagi na dokonanie przez Bank w dniu […] lipca 2014 r., korekty polegającej na tym, iż umowa karty kredytowej o numerze […] oraz umowa odnawialnej linii kredytowej w rachunku o numerze […] nie jest już dłużej prezentowana w raportach służących ocenie ryzyka kredytowego – za bez znaczenia w niniejszej sprawie uznać należy fakt niedopełnienia przez Bank wobec Skarżącego obowiązku informacyjnego, wynikającego z przepisu art. 105a ust. 3 Prawa bankowego. Jakkolwiek bowiem działanie Banku faktycznie naruszało w tym zakresie przepisy o ochronie danych osobowych, to jednak w oparciu o zgromadzony w sprawie materiał dowodowy należy uznać, iż zdarzenie to miało charakter jednorazowy, zaś stan niezgodności przetwarzania danych osobowych z prawem nie jest obecnie kontynuowany.
Jak wynika z poczynionych ustaleń faktycznych, B. przetwarza aktualnie dane osobowe Skarżącego wynikające z ww. umów kredytowych wyłącznie w celu stosowania wewnętrznych metod statystycznych, do czego uprawniony jest na podstawie art. 105a ust. 4 Prawa bankowego, zgodnie z którym Banki oraz instytucje, o których mowa w art. 105 ust. 4, mogą przetwarzać informacje stanowiące tajemnicę bankową, dotyczące osób fizycznych po wygaśnięciu zobowiązania wynikającego z umowy zawartej z bankiem lub inną instytucją ustawowo upoważnioną do udzielania kredytów, bez zgody osoby, której informacje dotyczą, dla celów stosowania metod statystycznych, o których mowa w art. 128 ust. 3. Jednocześnie, jak wynika z brzmienia art. 105a ust. 5 Prawa bankowego, przetwarzanie takie może być wykonywane przez okres nie dłuższy niż 12 lat od dnia wygaśnięcia zobowiązania – w przypadku B. oraz nie dłużej niż przez okres 5 lat od dnia wygaśnięcia zobowiązania – w przypadku Banku.
Co zaś dotyczy Banku, przetwarza on dane osobowe Skarżącego wyłącznie w celach dowodowych, wynikających z okresu przedawnienia roszczeń. Tym samym podstawę przetwarzania danych osobowych Skarżącego przez Bank stanowi obecnie art. 6 ust. 1 lit f) Rozporządzenia 2016/679.
W związku z poczynionymi ustaleniami wskazać należy, że dalsze prowadzenie przez Prezesa Ochrony Danych Osobowych postępowania administracyjnego, zainicjowanego skargą na nieprawidłowości w przetwarzaniu danych osobowych Skarżącego przez Bank, ukierunkowanego na wydanie decyzji administracyjnej na podstawie art. 18 ust. 1 ustawy 1997 jest niezasadne.
Stosownie do brzmienia ww. przepisu, w przypadku naruszenia przepisów o ochronie danych osobowych Prezes UODO z urzędu lub na wniosek osoby zainteresowanej, w drodze decyzji administracyjnej, nakazuje przywrócenie stanu zgodnego z prawem, a w szczególności: usunięcie uchybień (1), uzupełnienie, uaktualnienie, sprostowanie, udostępnienie lub nieudostępnienie danych osobowych (2), zastosowanie dodatkowych środków zabezpieczających zgromadzone dane osobowe (3), wstrzymanie przekazywania danych osobowych do państwa trzeciego (4), zabezpieczenie danych lub przekazanie ich innym podmiotom (5) lub usunięcie danych osobowych (6). Z brzmienia art. 18 ust. 1 ustawy 1997, a zarazem z definicji decyzji administracyjnej – jako aktu rozstrzygającego w sposób władczy o prawach i obowiązkach stron postępowania w ustalonym i aktualnym na chwilę jego wydania stanie faktycznym i prawnym – wynika, że organ ochrony danych osobowych nie dokonuje oceny zdarzeń przeszłych, nie kontynuowanych w chwili orzekania. Decyzja Prezesa UODO jest bowiem instrumentem służącym przywróceniu stanu zgodnego z prawem w procesie przetwarzania danych, realizowanym w chwili wydania decyzji.
Biorąc pod uwagę powyższe, należy stwierdzić, iż obecnie nie ma podstaw dla sformułowania nakazu, o którym mowa w art. 18 ust. 1 ustawy, albowiem dane osobowe Skarżącego nie są już obecnie przetwarzane w B. do celów oceny zdolności kredytowej i analizy ryzyka kredytowego, a jedynie do celów stosowania metod statystycznych, co zgodne jest z obowiązującymi przepisami prawa i nie wymaga zgody Skarżącego. Z uwagi na powyższe, postępowanie administracyjne w niniejszej sprawie należało zakończyć decyzją o odmowie uwzględnienia wniosku Skarżącego.
W tym stanie faktycznym i prawnym Prezes Urzędu Ochrony Danych Osobowych rozstrzygnął, jak na wstępie.
Na podstawie art. 127 § 3 Kpa od decyzji przysługuje stronie prawo do wniesienia wniosku o ponowne rozpatrzenie sprawy w terminie 14 dni od dnia jej doręczenia stronie. Jeżeli strona nie chce skorzystać z prawa do złożenia wniosku o ponowne rozpatrzenie sprawy, ma prawo do wniesienia skargi na decyzję do Wojewódzkiego Sądu Administracyjnego w Warszawie w terminie 30 dni od dnia doręczenia jej stronie. Skargę wnosi się za pośrednictwem Prezesa Urzędu Ochrony Danych Osobowych (adres: ul. Stawki 2, 00-193 Warszawa). Wpis od skargi wynosi 200 złotych. Strona ma prawo ubiegania się o prawo pomocy, w tym zwolnienie od kosztów sądowych.