Decyzja

Na podstawie art. 104 § 1 ustawy z dnia 14 czerwca 1960 r. Kodeks postępowania administracyjnego (Dz. U. z 2020 r. poz. 256 ze zm.) oraz na podstawie art. 160 ust. 1 i 2 ustawy o ochronie danych osobowych z dnia 10 maja 2018 roku (Dz. U. z 2019 r. poz. 1781) oraz art. 12 pkt 2, art. 22, art. 23 ust. l pkt 2 ustawy z dnia 29 sierpnia 1997 o ochronie danych osobowych (Dz. U. z 2016 r. poz. 922 ze zm.), w związku z art. 6 ust. 1 lit. c) Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (Dz. Urz. UE L 119 z 04.05.2016, str. 1 oraz Dz. Urz. UE L 127 z 23.05.2018, str. 2), w związku z art. 105 ust. 4 i art. 105a ust. 1, 3, 4 i 5ustawy z dnia 29 sierpnia 1997 r. Prawo bankowe (Dz. U. z 2019 r. poz. 2357 ze zm.), po przeprowadzeniu postępowania administracyjnego w sprawie skargi Pana W. M., na przetwarzanie jego danych osobowych przez M. S.A., Prezes Urzędu Ochrony Danych Osobowych,

odmawia uwzględnienia wniosku

Uzasadnienie

Do Prezesa Urzędu Ochrony Danych Osobowych (poprzednio Generalnego Inspektora Ochrony Danych Osobowych) wpłynęła skarga Pana W. M. (zwanego dalej także: „Skarżącym”), na przetwarzanie jego danych osobowych przez M. S.A. (zwanego dalej także: „Bankiem”), w szczególności ich udostępnienia osobom nieupoważnionym.

Skarżący w treści skargi poinformował o możliwości wycieku jego danych osobowych dotyczących stanu jego konta bankowego i przychodzących przelewów bankowych oraz istnienia dużego prawdopodobieństwo, że pracownik Banku poinformował „byłego już” kolegę Skarżącego i wspólnika, Pana M. Ż. o otrzymaniu pewnego ważnego dla Skarżącego przelewu. Skarżący wskazał, że nie zna pracownika Banku, który udostępnił jego dane osobowe, wie natomiast, że jest znajomym Pana M. Ż. Pozyskanie przez Pana M. Ż. danych na temat przelewu spowodowało zmianę decyzji biznesowych, która to naraziła Skarżącego na stratę rzędu ok. […] zł.

Skarżący wniósł o ustalenie pracownika winnego nieuprawnionego udostępnienia jego danych osobowych.

W toku przeprowadzonego postępowania wyjaśniającego w niniejszej sprawie Prezes Urzędu Ochrony Danych Osobowych ustalił następujący stan faktyczny:

1. Bank pozyskał dane osobowe Skarżącego […] października 2011 r. w związku z zawarciem ze Skarżącym umowy o prowadzenie bankowych rachunków oszczędnościowo-rozliczeniowych nr […].
2. Zakres przetwarzanych przez Bank danych osobowych obejmuje: imię i nazwisko, data i miejsce urodzenia, imiona rodziców, nazwisko panieńskie matki, płeć, stan cywilny, adres zameldowania, nr PESEL, seria i nr dokumentu tożsamości, nr klienta, nr kontraktów bankowych, adres poczty elektronicznej, nr telefonu komórkowego, obroty na rachunku bankowym.
3. Bank wyjaśnił, że na podstawie art. 104 ust. 1 ustawy z dnia 29 sierpnia 1997 r. Prawo bankowe (Dz. U. z 2019 r. poz. 2357 ze zm.), obowiązek zachowania w tajemnicy bankowej dotyczy nie tylko banków ale także osób w nich zatrudnionych oraz osób, za pośrednictwem których banki wykonują czynności bankowe. Oznacza to, że tajemnica bankowa ma swego rodzaju charakter tajemnicy zawodowej i każdy kto wejdzie w jej posiadanie ma obowiązek jej nie ujawniać. Wszyscy pracownicy Banku zobowiązani zostali do zachowania tajemnicy bankowej a także poinformowania o ciążącej na nich odpowiedzialności karnej w przypadku jej ujawnienia.
4. Zgodnie z wyjaśnieniami Banku, na podstawie przeprowadzonej w Banku analizy możliwości udostępnienia danych osobowych objętych tajemnicą bankową a dotyczących Skarżącego, nie zidentyfikowano pracownika Banku, który udostępniłby dane dotyczące stanu rachunków bankowych Skarżącego Panu M. Ż. Analiza wykazała także, że dane Skarżącego nie zostały udostępnione przez pracownika Banku żadnej innej nieupoważnionej osobie.
5. Skarżący […] sierpnia 2016 r. zgłosił do Banku nieuprawniony dostęp do jego konta oraz udostępnienie informacji o stanie tego konta osobie nieupoważnionej poprzez wniesienie do Banku reklamacji nr […]. Bank udzielił Skarżącemu odpowiedzi na ww. reklamację wyjaśniając, że Ban nie stwierdził nieuprawnionego dostępu do jego konta, nie stwierdził także ujawnienia informacji o stanie tego konta osobie nieupoważnionej. Ponadto, Bank poinformował Skarżącego, że pracownik Banku nie działa w imieniu własnym ale jako reprezentant Banku. Bank pouczył także Skarżącego o prawie wniesienia odwołania od ww. decyzji Banku. Odwołanie takie do Banku nie wpłynęło.

Po przeanalizowani zgromadzonego w sprawie materiału dowodowego, Prezes Urzędu Ochrony Danych Osobowych stwierdza, co następuje.

Z dniem 25 maja 2018 r. w życie weszły przepisy ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych (Dz. U. z 2019 r., poz. 1781), zwanej dalej także: „ustawa o ochronie danych osobowych z 2018 r.”.

W myśl art. 160 ust. 1-3 ustawy o ochronie danych osobowych z 2018 r., postępowania prowadzone przez Generalnego Inspektora Ochrony Danych Osobowych, wszczęte i niezakończone przed dniem wejścia w życie niniejszej ustawy, prowadzone są przez Prezesa Urzędu Ochrony Danych Osobowych na podstawie ustawy z dnia 29 sierpnia 1997 o ochronie danych osobowych (Dz. U. z 2016 r. poz. 922 ze zm.), zwanej dalej także: „ustawa o ochronie danych osobowych z 1997 r.”, zgodnie z zasadami określonymi w ustawie z dnia 14 czerwca 1960 r. Kodeks postępowania administracyjnego (Dz. U. z 2020 r. poz. 256 ze zm.). Jednocześnie, czynności dokonane w postępowaniach, wszczętych i niezakończonych przed dniem wejścia w życie przepisów ustawy o ochronie danych osobowych z 2018 r., pozostają skuteczne.

Od dnia 25 maja 2018 r. zastosowanie ma również rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych osobowych) (Dz. Urz. UE L 119 z 04.05.2016, str. 1 oraz Dz. Urz. UE L 127 z 23.05.2018, str. 2), zwane dalej „Rozporządzeniem 2016/679”.

Stosownie do art. 57 ust. 1 Rozporządzenia 2016/679, bez uszczerbku dla innych zadań określonych na mocy tego rozporządzenia, każdy organ nadzorczy na swoim terytorium monitoruje i egzekwuje stosowanie tego rozporządzenia (lit. a) oraz rozpatruje skargi wniesione przez osobę, której dane dotyczą, lub przez umocowany przez nią – zgodnie z art. 80 Rozporządzeniem 2016/679 – podmiot, organizację lub zrzeszenie, w odpowiednim zakresie prowadzi postępowania w przedmiocie tych skarg i w rozsądnym terminie informuje skarżącego o postępach i wynikach tych postępowań (lit. f).

W tym miejscu wskazać należy, że Prezes Urzędu Ochrony Danych Osobowych wydając decyzję administracyjną zobowiązany jest do rozstrzygania w oparciu o stan faktyczny istniejący w chwili wydania tej decyzji. Jak podnosi doktryna „organ administracji publicznej ocenia stan faktyczny sprawy według chwili wydania decyzji administracyjnej. Reguła ta odnosi się także do oceny stanu prawnego sprawy, co oznacza, że organ administracji publicznej wydaje decyzję administracyjną na podstawie przepisów prawa obowiązujących w chwili jej wydania (…). Rozstrzyganie w postępowaniu administracyjnym polega na zastosowaniu obowiązującego prawa do ustalonego stanu faktycznego sprawy administracyjnej. W ten sposób organ administracji publicznej realizuje cel postępowania administracyjnego, jakim jest urzeczywistnienie obowiązującej normy prawnej w zakresie stosunków administracyjno-prawnych, gdy stosunki te tego wymagają” (Komentarz do ustawy z dnia 14 czerwca 1960 r. Kodeks postępowania administracyjnego, M. Jaśkowska, A. Wróbel, Lex., el/2012). Również Naczelny Sąd Administracyjny – w wyroku z dnia 7 maja 2008 r. w sprawie o sygn. akt I OSK 761/07 stwierdził, iż cyt.: „badając bowiem legalność przetwarzania danych osobowych, GIODO ma obowiązek ustalenia, czy na datę wydawania rozstrzygnięcia w sprawie dane konkretnego podmiotu są przetwarzane oraz czy czynione to jest w sposób zgodny z prawem”.

Rozporządzenie 2016/679 stanowi przepisy o ochronie osób fizycznych w związku z przetwarzaniem danych osobowych oraz przepisy o swobodnym przepływie danych osobowych oraz chroni podstawowe prawa i wolności osób fizycznych, w szczególności ich prawo do ochrony danych osobowych (art. 1 ust 1 i 2 rozporządzenia 2016/679). Odpowiednio regulował tę kwestię art. 2 ust. 1 ustawy o ochronie danych osobowych z 1997 r. W świetle przepisów powołanego aktu prawnego, przetwarzanie danych osobowych jest uprawnione, gdy spełniona zostanie którakolwiek z przesłanek wymienionych w art. 6 ust. 1 rozporządzenia 2016/679 (uprzednio art. 23 ust. 1 ustawy o ochronie danych osobowych z 1997 r.). Przesłanki te odnoszą się do wszelkich form przetwarzania danych wymienionych w art. 4 pkt 2 rozporządzenia 2016/679 (uprzednio art. 7 pkt 2 ustawy o ochronie danych osobowych z 1997 r.), w tym w szczególności do ich udostępnienia. Warunki te są także względem siebie równoprawne, co oznacza, że dla legalności procesu przetwarzania danych wystarczające jest spełnienie jednej z nich.

Aktem prawnym szczegółowo regulującym kwestie przetwarzania danych osobowych klientów banków jest przede wszystkim ustawa Prawo bankowe. Dlatego też ocena przetwarzania danych osobowych Skarżącego w związku z łączącą go z Bankiem umową powinna być dokonywana w powiązaniu z przepisami tej ustawy.

Zgodnie z art. 104 ust. 1 ustawy Prawo bankowe, Bank, osoby w nim zatrudnione oraz osoby, za których pośrednictwem bank wykonuje czynności bankowe, są obowiązane zachować tajemnicę bankową, która obejmuje wszystkie informacje dotyczące czynności bankowej, uzyskane w czasie negocjacji, w trakcie zawierania i realizacji umowy, na podstawie której bank tę czynność wykonuje.

W tym miejscu podkreślić należy, że odpowiedzialność administratora danych osobowych za niewłaściwe ich przetwarzanie rozciąga się nie tylko na jego osobiste zachowania wobec tych informacji, ale także na zachowania osób u niego zatrudnionych. Naczelny Sąd Administracyjny w wyroku z dnia 4 kwietnia 2003 r. (sygn. II SA 2935/02) wskazał, iż „administrator odpowiada (...) za czyny swoich pracowników w zakresie naruszenia ustawy o ochronie danych osobowych. Nie może się przy tym ekskulpować, w oparciu o art. 26, że dołożył szczególnej staranności w celu ochrony tych danych”.

Odnosząc się, zatem, do żądania Skarżącego w przedmiocie stwierdzenia legalności dokonywanego aktualnie przetwarzania jego danych osobowych przez Bank, wskazać należy, że dane osobowe Skarżącego są przetwarzane przez Bank w zakresie informacji stanowiących tajemnicę bankową zgodnie z art. 105 ust. 4 Prawa bankowego. Zgodnie z tym przepisem, banki mogą, wspólnie z bankowymi izbami gospodarczymi, utworzyć instytucje upoważnione do gromadzenia, przetwarzania i udostępniania: bankom – informacji stanowiących tajemnicę bankową w zakresie, w jakim informacje te są potrzebne w związku z wykonywaniem czynności bankowych oraz w związku ze stosowaniem metod wewnętrznych oraz innych metod i modeli, o których mowa w części trzeciej rozporządzenia nr 575/2013; innym instytucjom ustawowo upoważnionym do udzielania kredytów – informacji stanowiących tajemnicę bankową w zakresie, w jakim informacje te są niezbędne w związku z udzielaniem kredytów, pożyczek pieniężnych, gwarancji bankowych i poręczeń; instytucjom kredytowym – informacji stanowiących tajemnicę bankową w zakresie niezbędnym do oceny zdolności kredytowej konsumenta, o której mowa w art. 9 ustawy z dnia 12 maja 2011 r. o kredycie konsumenckim; instytucjom pożyczkowym i podmiotom, o których mowa w art. 59d ustawy z dnia 12 maja 2011 r. o kredycie konsumenckim – na zasadzie wzajemności, informacji stanowiących odpowiednio tajemnicę bankową oraz informacje udostępnione przez instytucje pożyczkowe oraz podmioty, o których mowa w art. 59d ustawy z dnia 12 maja 2011 r. o kredycie konsumenckim, w zakresie niezbędnym do oceny zdolności kredytowej konsumenta, o której mowa w art. 9 tej ustawy, i analizy ryzyka kredytowego.

Bank aktualnie przetwarza dane osobowe Skarżącego w związku z zawarciem ze Skarżącym umowy o prowadzenie bankowych rachunków oszczędnościowo-rozliczeniowych nr  […].

Prezes Urzędu Ochrony Danych Osobowych badając podstawę udostępnienia danych osobowych Skarżącego uznał, że w wyżej opisanych okolicznościach rozpatrywanej sprawy brak jest podstaw do formułowania nakazu pod adresem Banku.

Odnosząc się natomiast do twierdzenia Skarżącego, że pracownik Banku udostępnił jego dane osobowe osobie nieuprawnionej należy po pierwsze wskazać, że Prezes Urzędu Ochrony Danych nie dysponuje instrumentami prawnymi, które umożliwiałyby zniwelowanie skutków dokonanego już, zdaniem Skarżącego nieuprawnionego udostępnienia jego danych osobowych. Udostępnienie to jest faktem nieodwracalnym w tym sensie, że nie jest możliwe doprowadzenie do takiej sytuacji, jaka miałaby miejsce, gdyby do kwestionowanego naruszenia nie doszło. Ponadto, warunkiem wydania przez organ rozstrzygnięcia jest istnienie stanu naruszenia prawa do ochrony danych osobowych w chwili wydania decyzji administracyjnej. Tymczasem w rozpatrywanej sprawie jeżeli zdaniem Skarżącego udostępnienie było, to miało ono charakter incydentalny, wobec tego brak jest podstaw by przyjąć, że kwestionowane przez Skarżącego działania powtórzą się w przeszłości. Prezes Urzędu nie jest władny wydać w niniejszej sprawie nakazu dotyczącego ewentualnego nieuprawnionego przetwarzania (udostępniania) danych osobowych Skarżącego w przyszłości. Podkreślić bowiem należy, że decyzja administracyjna jest aktem o charakterze konkretnym i indywidualnym i dotyczy zawsze ściśle określonego, ustalonego i aktualnego w chwili orzekania stanu faktycznego. Prezes Urzędu nie jest uprawniony do wydania rozstrzygnięcia w odniesieniu do przyszłych i często hipotetycznych sytuacji.

Wskazać jednak należy, że jeżeli w ocenie Skarżącego doszło do popełnienia czynu zabronionego na jego szkodę, Skarżący może zwrócić się bezpośrednio do organów ścigania ze stosownym zawiadomieniem o możliwości popełnienia przestępstwa i dochodzić ochrony swoich praw w drodze postępowania przed organami ściągania a następnie przed sądem powszechnym.

Niezależnie od powyższego informuję, iż jeżeli w ocenie Skarżącego doszło do naruszenia jego dóbr osobistych, którymi zgodnie z art. 23 ustawy z dnia 23 kwietnia 1964 r. Kodeks cywilny (Dz.U. z 2018 r., poz. 1025 ze zm.) są w szczególności zdrowie, wolność, cześć, swoboda sumienia, nazwisko lub pseudonim, wizerunek, tajemnica korespondencji, nietykalność mieszkania, twórczość naukowa, artystyczna, wynalazcza i racjonalizatorska, może on dochodzić swych roszczeń z tego tytułu w drodze powództwa cywilnego wytoczonego przed właściwy miejscowo sąd powszechny. Zgodnie bowiem z treścią art. 24 § 1 i 2 ww. ustawy, ten, czyje dobro osobiste zostaje zagrożone cudzym działaniem, może żądać zaniechania tego działania, chyba że nie jest ono bezprawne. W razie dokonanego naruszenia może on także żądać, ażeby osoba, która dopuściła się naruszenia, dopełniła czynności potrzebnych do usunięcia jego skutków, w szczególności ażeby złożyła oświadczenie odpowiedniej treści i w odpowiedniej formie.

Biorąc powyższe pod uwagę, uznać należało, że nie zaistniała żadna przesłanka do wydania przez Prezesa UODO decyzji nakazującej przywrócenie stanu zgodnego z prawem, dlatego też nie jest uzasadnione wydanie przez Prezesa Urzędu Ochrony Danych Osobowych jakiegokolwiek z nakazów, o których mowa w art. 18 ustawy o ochronie danych osobowych z 1997 r. oraz w art. 58 Rozporządzenia 2016/679.

W tym stanie faktycznym i prawnym Prezes Urzędu Ochrony Danych Osobowych rozstrzygnął, jak w sentencji.

Na podstawie art. 127 § 3 k.p.a. od decyzji przysługuje stronie prawo do wniesienia wniosku o ponowne rozpatrzenie sprawy w terminie 14 dni od dnia jej doręczenia stronie. Jeżeli strona nie chce skorzystać z prawa do złożenia wniosku o ponowne rozpatrzenie sprawy, ma prawo do wniesienia skargi na decyzję do Wojewódzkiego Sądu Administracyjnego w Warszawie w terminie 30 dni od dnia doręczenia jej stronie. Skargę wnosi się za pośrednictwem Prezesa Urzędu Ochrony Danych Osobowych (adres: ul. Stawki 2, 00-193 Warszawa). Wpis od skargi wynosi 200 złotych. Strona ma prawo ubiegania się o prawo pomocy, w tym zwolnienie od kosztów sądowych.