ZKE.440.31.2019
Na podstawie art. 104 § 1 ustawy z dnia 14 czerwca 1960 r. Kodeks postępowania administracyjnego (Dz. U. z 2020 r. poz. 256 ze zm.) oraz na podstawie art. 160 ust. 1 i 2 ustawy o ochronie danych osobowych z dnia 10 maja 2018 roku (Dz. U. z 2019 r. poz. 1781) oraz art. 12 pkt 2, art. 22, art. 23 ust. l pkt 2 ustawy z dnia 29 sierpnia 1997 o ochronie danych osobowych (Dz. U. z 2016 r. poz. 922 ze zm.), w związku z art. 6 ust. 1 lit. c) oraz lit. f) Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (Dz. Urz. UE L 119 z 04.05.2016, str. 1 oraz Dz. Urz. UE L 127 z 23.05.2018, str. 2), w związku z art. 105 ust. 4 i art. 105a ust. 1, 3, 4 i 5ustawy z dnia 29 sierpnia 1997 r. Prawo bankowe (Dz. U. z 2019 r. poz. 2357 ze zm.), po przeprowadzeniu postępowania administracyjnego w sprawie skargi Pani B. G., na przetwarzanie jej danych osobowych przez A. S.A. oraz ich udostępnienie B. S.A., Prezes Urzędu Ochrony Danych Osobowych,
odmawia uwzględnienia wniosku
Uzasadnienie
Do Prezesa Urzędu Ochrony Danych Osobowych (poprzednio Generalnego Inspektora Ochrony Danych Osobowych) wpłynęła skarga Pani B. G. (zwanej dalej także: „Skarżącą”) na przetwarzanie jej danych osobowych przez B. S.A. (dalej także: Bank B.). W tym miejscu wskazać należy, że […] listopada 2016 r. nastąpił podział Banku B. na dwie odrębne części, z których jedna dotycząca klientów indywidualnych i biznesowych, z wyłączeniem klientów posiadających produkty hipoteczne, nabyta została przez A. S.A. (zwanego dalej „Bankiem”) (dowody dotyczące podziału Banku B. i przejęcia niektórych jego produktów przez A. S.A. znajdują się w aktach niniejszej sprawy). W związku z tym, wszystkie produkty, w stosunku do których okres przetwarzania danych wynikający z obowiązujących przepisów prawa nie minął, zostały przekazane przez Bank B. do A. S.A.
Skarżąca w związku ze spłatą zobowiązania wynikającego z umowy kredytu z […] lutego 2004 r. nr […] wniosła o nieprzetwarzanie przez Bank jej danych osobowych w celu oceny zdolności kredytowej i analizy ryzyka kredytowego.
Ponadto, Skarżąca wskazała, że Bank w związku z wierzytelnością wynikającą z umowy kredytu z […] lutego 2004 r. nr […] nie spełnił warunków wynikających z art. 105a ust. 3 ustawy z dnia 29 sierpnia 1997 r. Prawo bankowe (Dz. U. z 2019 r. poz. 2357 ze zm.), zwanej dalej ustawa Prawo bankowe, tzn. Bank nie powiadomił Skarżącej o zamiarze przetwarzania jej danych osobowych bez jej zgody w rejestrze A.
W toku przeprowadzonego postępowania wyjaśniającego w niniejszej sprawie Prezes Urzędu Ochrony Danych Osobowych ustalił następujący stan faktyczny:
- Bank, […] lutego 2004 r. podpisał ze Skarżącą umowę kredytu gotówkowego nr […].
- Dane Skarżącej odnośnie umowy kredytu gotówkowego z […] lutego 2004 r. nr […] przekazane zostały przez Bank […] kwietnia 2004 r. do B. S.A. (dalej także: B.).
- Bank przekazał do B. dane osobowe Skarżącej w związku z umową kredytu gotówkowego z […] lutego 2004 r. nr […] na podstawie art. 105 ust. 4 ustawy Prawo bankowe.
- W związku z występującymi w spłacie ww. zobowiązania zaległościami dane osobowe Skarżącej były przetwarzane na podstawie art. 105a ust. 3 ustawy Prawo bankowe.
- Skarżąca spłaciła zobowiązania wynikającego z rachunku umowy kredytu gotówkowego z […] lutego 2004 r. nr […] i rachunek ten […] kwietnia 2012 r. został zamknięty.
- Z uwagi na to, że […] listopada 2016 r. nastąpił podział Banku B. i wszystkie produkty, w stosunku do których okres przetwarzania danych wynikający z obowiązujących przepisów prawa nie minął, w tym także produkt – rachunek umowy kredytu z […] lutego 2004 r. nr […] wraz z jego zamknięciem dotyczący Skarżącej zostały przekazane do A. S.A.
- W związku ze spłatą przez Skarżącą ww. zobowiązania, Bank i B. przetwarzali dane osobowe Skarżącej na podstawie art. 105a ust. 3 Prawa bankowego, przez okres wskazany w art. 105a ust. 5 ustawy Prawo bankowe, tj. przez okres 5 lat od wygaśnięcia zobowiązania, tj. 13 kwietnia 2017 r.
- Ponadto, dane osobowe Skarżącej związane z ww. umową zostały przesunięte do tzw. „bazy statystycznej” i są przetwarzane do celów stosowania metod wewnętrznych oraz innych metod i modeli, o których mowa w części trzeciej rozporządzenia nr […] (art. 105a ust. 4 ustawy Prawo bankowe) przez okres wskazany w art. 105a ust. 5 ustawy Prawo bankowe, tj. przez okres 12 lat od spłaty zobowiązania.
- Zgodnie z wyjaśnieniami Banku złożonymi w niniejszym postępowaniu (pismo z […] lutego 2015 r.), przesłanki wymienione w art. 105a ust. 3 ustawy Prawo Bankowe, spełnione zostały wobec Skarżącej w piśmie z […] sierpnia 2006 r. Biorąc pod uwagę, to że Skarżąca do skargi wniesionej do Prezesa Urzędu Ochrony Danych Osobowych załączyła także jako dowód kopię pisma z […] maja 2014 r. zawierającego m.in. powiadomienie o przetwarzaniu danych osobowych Skarżącej w celu oceny zdolności kredytowej i analizy ryzyka kredytowego bez jej zgody przez okres 5 lat od chwili spłaty zobowiązania (dowód: kopia pisma z […] maja 2014 r. w aktach sprawy), uznać należało, że Bank skutecznie powiadomił Skarżącą o zamiarze przetwarzania jej danych osobowych bez jej zgody i tym samym wypełnił obowiązek wynikający z art. 105a ust. 3 ustawy Prawo bankowe.
Po przeanalizowani zgromadzonego w sprawie materiału dowodowego, Prezes Urzędu Ochrony Danych Osobowych stwierdza, co następuje.
Z dniem 25 maja 2018 r. w życie weszły przepisy ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych (Dz. U. z 2019 r., poz. 1781), zwanej dalej także: „ustawa o ochronie danych osobowych z 2018 r.”.
W myśl art. 160 ust. 1-3 ustawy o ochronie danych osobowych z 2018 r., postępowania prowadzone przez Generalnego Inspektora Ochrony Danych Osobowych, wszczęte i niezakończone przed dniem wejścia w życie niniejszej ustawy, prowadzone są przez Prezesa Urzędu Ochrony Danych Osobowych na podstawie ustawy o ochronie danych osobowych z 1997 r., zgodnie z zasadami określonymi w ustawie z dnia 14 czerwca 1960 r. Kodeks postępowania administracyjnego (Dz. U. z 2020 r. poz. 256 ze zm.). Jednocześnie, czynności dokonane w postępowaniach, wszczętych i niezakończonych przed dniem wejścia w życie przepisów ustawy o ochronie danych osobowych z 2018 r., pozostają skuteczne.
Od dnia 25 maja 2018 r. zastosowanie ma również rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych osobowych) (Dz. Urz. UE L 119 z 04.05.2016, str. 1 oraz Dz. Urz. UE L 127 z 23.05.2018, str. 2), zwane dalej „Rozporządzeniem 2016/679”.
Stosownie do art. 57 ust. 1 Rozporządzenia 2016/679, bez uszczerbku dla innych zadań określonych na mocy tego rozporządzenia, każdy organ nadzorczy na swoim terytorium monitoruje i egzekwuje stosowanie tego rozporządzenia (lit. a) oraz rozpatruje skargi wniesione przez osobę, której dane dotyczą, lub przez umocowany przez nią – zgodnie z art. 80 Rozporządzeniem 2016/679 – podmiot, organizację lub zrzeszenie, w odpowiednim zakresie prowadzi postępowania w przedmiocie tych skarg i w rozsądnym terminie informuje skarżącego o postępach i wynikach tych postępowań (lit. f).
W tym miejscu wskazać należy, że Prezes Urzędu Ochrony Danych Osobowych wydając decyzję administracyjną zobowiązany jest do rozstrzygania w oparciu o stan faktyczny istniejący w chwili wydania tej decyzji. Jak podnosi doktryna „organ administracji publicznej ocenia stan faktyczny sprawy według chwili wydania decyzji administracyjnej. Reguła ta odnosi się także do oceny stanu prawnego sprawy, co oznacza, że organ administracji publicznej wydaje decyzję administracyjną na podstawie przepisów prawa obowiązujących w chwili jej wydania (…). Rozstrzyganie w postępowaniu administracyjnym polega na zastosowaniu obowiązującego prawa do ustalonego stanu faktycznego sprawy administracyjnej. W ten sposób organ administracji publicznej realizuje cel postępowania administracyjnego, jakim jest urzeczywistnienie obowiązującej normy prawnej w zakresie stosunków administracyjno-prawnych, gdy stosunki te tego wymagają” (Komentarz do ustawy z dnia 14 czerwca 1960 r. Kodeks postępowania administracyjnego, M. Jaśkowska, A. Wróbel, Lex., el/2012). Również Naczelny Sąd Administracyjny – w wyroku z dnia 7 maja 2008 r. w sprawie o sygn. akt I OSK 761/07 stwierdził, iż cyt.: „badając bowiem legalność przetwarzania danych osobowych, GIODO ma obowiązek ustalenia, czy na datę wydawania rozstrzygnięcia w sprawie dane konkretnego podmiotu są przetwarzane oraz czy czynione to jest w sposób zgodny z prawem”.
Rozporządzenie 2016/679 stanowi przepisy o ochronie osób fizycznych w związku z przetwarzaniem danych osobowych oraz przepisy o swobodnym przepływie danych osobowych oraz chroni podstawowe prawa i wolności osób fizycznych, w szczególności ich prawo do ochrony danych osobowych (art. 1 ust 1 i 2 rozporządzenia 2016/679). Odpowiednio regulował tę kwestię art. 2 ust. 1 ustawy o ochronie danych osobowych z 1997 r. W świetle przepisów powołanego aktu prawnego, przetwarzanie danych osobowych jest uprawnione, gdy spełniona zostanie którakolwiek z przesłanek wymienionych w art. 6 ust. 1 rozporządzenia 2016/679 (uprzednio art. 23 ust. 1 ustawy o ochronie danych osobowych z 1997 r.). Przesłanki te odnoszą się do wszelkich form przetwarzania danych wymienionych w art. 4 pkt 2 rozporządzenia 2016/679 (uprzednio art. 7 pkt 2 ustawy o ochronie danych osobowych z 1997 r.), w tym w szczególności do ich udostępnienia. Warunki te są także względem siebie równoprawne, co oznacza, że dla legalności procesu przetwarzania danych wystarczające jest spełnienie jednej z nich.
Aktem prawnym szczegółowo regulującym kwestie przetwarzania danych osobowych klientów banków jest przede wszystkim ustawa Prawo bankowe. Dlatego też ocena przetwarzania danych osobowych Skarżącego w związku z łączącą go z Bankiem umową powinna być dokonywana w powiązaniu z przepisami tej ustawy.
Odnosząc się, zatem, do żądania Skarżącej w przedmiocie stwierdzenia legalności dokonywanego aktualnie przetwarzania jej danych osobowych zarówno przez Bank, jak i B., wskazać należy, że dane osobowe Skarżącej zostały przekazane przez Bank do B. w zakresie informacji stanowiących tajemnicę bankową zgodnie z art. 105 ust. 4 Prawa bankowego. Zgodnie z tym przepisem, banki mogą, wspólnie z bankowymi izbami gospodarczymi, utworzyć instytucje upoważnione do gromadzenia, przetwarzania i udostępniania: bankom – informacji stanowiących tajemnicę bankową w zakresie, w jakim informacje te są potrzebne w związku z wykonywaniem czynności bankowych oraz w związku ze stosowaniem metod wewnętrznych oraz innych metod i modeli, o których mowa w części trzeciej rozporządzenia nr 575/2013; innym instytucjom ustawowo upoważnionym do udzielania kredytów – informacji stanowiących tajemnicę bankową w zakresie, w jakim informacje te są niezbędne w związku z udzielaniem kredytów, pożyczek pieniężnych, gwarancji bankowych i poręczeń; instytucjom kredytowym – informacji stanowiących tajemnicę bankową w zakresie niezbędnym do oceny zdolności kredytowej konsumenta, o której mowa w art. 9 ustawy z dnia 12 maja 2011 r. o kredycie konsumenckim; instytucjom pożyczkowym i podmiotom, o których mowa w art. 59d ustawy z dnia 12 maja 2011 r. o kredycie konsumenckim – na zasadzie wzajemności, informacji stanowiących odpowiednio tajemnicę bankową oraz informacje udostępnione przez instytucje pożyczkowe oraz podmioty, o których mowa w art. 59d ustawy z dnia 12 maja 2011 r. o kredycie konsumenckim, w zakresie niezbędnym do oceny zdolności kredytowej konsumenta, o której mowa w art. 9 tej ustawy, i analizy ryzyka kredytowego.
Jak wynika z poczynionych ustaleń faktycznych, Bank i B. aktualnie przetwarzają dane osobowe Skarżącej w związku z zawarciem umowy kredytu gotówkowego z […] lutego 2004 r. nr […], wyłącznie do celów stosowania metod wewnętrznych oraz innych metod i modeli, o których mowa w części trzeciej rozporządzenia nr 575/2013, do czego uprawnieni są na podstawie art. 105a ust. 5 ustawy Prawo bankowe, tj. przez okres 12 lat od spłaty zobowiązania.
Ponadto, zgodnie z wyjaśnieniami Banku złożonymi w niniejszym postępowaniu i dowodem załączonym do skargi wniesionej do Prezesa Urzędu Ochrony Danych Osobowych przez Skarżącą, tj. kopii pisma z […] maja 2014 r. zawierającego powiadomienie o przetwarzaniu danych osobowych Skarżącej w celu oceny zdolności kredytowej i analizy ryzyka kredytowego bez jej zgody przez okres 5 lat od chwili spłaty zobowiązania, uznać należało, że Bank skutecznie zrealizował wobec Skarżącej obowiązek, o którym mowa w art. 105a ust. 3 ustawy Prawo bankowe, tj. skutecznie powiadomił Skarżącą o zamiarze przetwarzania jej danych osobowych w ww. celach bez jej zgody (dowód: kopia pisma z […] maja 2014 r. w aktach sprawy).
Biorąc powyższe pod uwagę, uznać należało, że nie zaistniała żadna przesłanka do wydania przez Prezesa UODO decyzji nakazującej przywrócenie stanu zgodnego z prawem, dlatego też nie jest uzasadnione wydanie przez Prezesa Urzędu Ochrony Danych Osobowych jakiegokolwiek z nakazów, o których mowa w art. 18 ustawy o ochronie danych osobowych z 1997 r. oraz w art. 58 Rozporządzenia 2016/679.
W tym stanie faktycznym i prawnym Prezes Urzędu Ochrony Danych Osobowych rozstrzygnął, jak w sentencji.
Na podstawie art. 127 § 3 k.p.a. od decyzji przysługuje stronie prawo do wniesienia wniosku o ponowne rozpatrzenie sprawy w terminie 14 dni od dnia jej doręczenia stronie. Jeżeli strona nie chce skorzystać z prawa do złożenia wniosku o ponowne rozpatrzenie sprawy, ma prawo do wniesienia skargi na decyzję do Wojewódzkiego Sądu Administracyjnego w Warszawie w terminie 30 dni od dnia doręczenia jej stronie. Skargę wnosi się za pośrednictwem Prezesa Urzędu Ochrony Danych Osobowych (adres: ul. Stawki 2, 00-193 Warszawa). Wpis od skargi wynosi 200 złotych. Strona ma prawo ubiegania się o prawo pomocy, w tym zwolnienie od kosztów sądowych.
Jednakże w związku z obowiązującym w dniu wydania decyzji stanem epidemii, zgodnie z art. 15 zzr ust. 1 pkt 1 ustawy z dnia 2 marca 2020 r. o szczególnych rozwiązaniach związanych z zapobieganiem, przeciwdziałaniem i zwalczaniem COVID-19, innych chorób zakaźnych oraz wywołanych nimi sytuacji kryzysowych (Dz. U. z 2020 r. poz. 374), bieg tego terminu aktualnie nie rozpocznie się; zacznie on biec w dniu następującym po ostatnim dniu obowiązywania stanu epidemii lub następującego po nim bezpośrednio ewentualnego stanu zagrożenia epidemicznego.