Decyzja

Na podstawie art. 104 § 1 ustawy z dnia 14 czerwca 1960 r. Kodeks postępowania administracyjnego (2018 r. poz. 2096, z 2019 r. poz. 1133), art. 160 ust. 1 i 2 ustawy o ochronie danych osobowych z dnia 10 maja 2018 roku (Dz. U. z 2019 r., poz. 1781) oraz art. 12 pkt 2, art. 22, art. 23 ust. l  ustawy z dnia 29 sierpnia 1997 o ochronie danych osobowych (Dz. U. z 2016 r. poz. 922 ze zm.  oraz z 2018 r. poz. 138), w związku z art. 6 ust. 1 lit. c  Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (Dz. Urz. UE L 119 z 04.05.2016, str. 1 oraz Dz. Urz. UE L 127 z 23.05.2018, str. 2), w związku z art. 105 ust. 4, art. 105a ust. 4 i ustawy z dnia 29 sierpnia 1997 r. Prawo bankowe (Dz. U. z 2018 r. poz. 2187 ze zm.), po przeprowadzeniu postępowania administracyjnego w sprawie skargi Pana A. M. reprezentowanego przez radcę prawnego J. H., na przetwarzanie jego danych osobowych przez A. Bank S.A. oraz B. S.A., Prezes Urzędu Ochrony Danych Osobowych

odmawia uwzględnienia wniosku.

UZASADNIENIE

Do Prezesa Urzędu Ochrony Danych Osobowych (poprzednio Generalnego Inspektora Ochrony Danych Osobowych) wpłynęła skarga Pana A. M. (zwanego dalej: Skarżącym) reprezentowanego przez radcę prawnego J. H., na przetwarzanie jego danych osobowych przez A. Bank S.A. (zwanego dalej: Bankiem), w tym na ich udostępnianie oraz na przetwarzanie ww. danych osobowych przez B. S.A. (zwanego dalej B.) i Z. Skarżący wniósł o usunięcie jego danych osobowych przekazanych przez Bank do B. oraz Z.

W toku postępowania administracyjnego przeprowadzonego w niniejszej sprawie Prezes Urzędu Ochrony Danych Osobowych (dalej: „Prezes UODO”) ustalił, co następuje.

1. Z wyjaśnień Banku wynika, że dane osobowe Skarżącego zostały pozyskane przez Bank w związku z zawarciem umowy o kredyt gotówkowy nr […] z […] kwietnia 2009 roku (zwanej dalej umową) pomiędzy Skarżącym a B. Bank S.A., którego następcą prawnym w 2011 roku został A. Bank S.A.

2. Bank wyjaśnił, że dane osobowe Skarżącego w zakresie umowy zostały przekazane do B. w dniu  […] maja 2019 roku na podstawie art. 105 ust. 4 ustawy z 29 sierpnia 1997 roku Prawo bankowe (Dz.U. 2018, poz. 2187 ze zm.), zwanej dalej: Prawo bankowe oraz łączącej strony umowy.

3. Z wyjaśnień Banku wynika także, że Skarżący dopuścił się zwłoki w spłacie zobowiązania wynikającego z umowy kredytowej, co spowodowało jej wypowiedzenie przez Bank w dniu […] grudnia 2011 roku. Bank przesłał do Skarżącego „Oświadczenie o wypowiedzeniu umowy”, w którym została zawarta informacja o zamiarze przetwarzania danych osobowych Skarżącego w trybie art. 105a ust. 3 Prawa bankowego. W związku z tym sankcyjne przetwarzanie danych osobowych Skarżącego bez jego zgody rozpoczęło się w momencie wygaśnięcia zobowiązania tj. […].września 2014 roku i zakończyło się w dniu […] września 2019 roku. Bank obecnie nie raportuje danych osobowych Skarżącego do B.

4. B. wyjaśnił, że obecnie przetwarza dane osobowe Skarżącego w celu stosowania metod wewnętrznych oraz innych metod i modeli na podstawie art. 105a ust. 4 i 5 w zw. z art. 105 ust. 4 Prawa bankowego.

5. Bank oświadczył, że nie udostępnił danych osobowych Skarżącego Z. i nie były one przetwarzane w systemie A.

W tym stanie faktycznym Prezes UODO zważył, co następuje.

Z dniem 25 maja 2018 r. w życie weszły przepisy ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych (Dz.U. 2019 poz. poz. 1781), zwanej dalej „u.o.d.o.”.

W myśl art. 160 ust. 1-3 ustawy, postępowania prowadzone przez Generalnego Inspektora Ochrony Danych Osobowych, wszczęte i niezakończone przed dniem wejścia w życie niniejszej ustawy, prowadzone są przez Prezesa Urzędu Ochrony Danych Osobowych na podstawie ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz.U. z 2016 r. poz. 922 ze zm.), zgodnie z zasadami określonymi w ustawie z dnia 14 czerwca 1960 r. Kodeks postępowania administracyjnego (Dz.U. 2018 r. poz. 2096, z 2019 r. poz. 1133) zwanej dalej „Kpa”. Jednocześnie, czynności dokonane w postępowaniach, wszczętych i niezakończonych przed dniem wejścia w życie przepisów u.o.d.o., pozostają skuteczne.

Od dnia 25 maja 2018 r. zastosowanie ma również rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (Dz. Urz. UE L 119 z 04.05.2016, str. 1 ze zm.), zwane dalej „Rozporządzeniem 2016/679”.

Uwzględniając powyższe stwierdzić zatem należy, iż niniejsze postępowanie, wszczęte i niezakończone przed dniem 25 maja 2018 r., prowadzone jest na podstawie ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (w zakresie dotyczącym przepisów regulujących procedurę administracyjną), zwana dalej „ustawą z 1997 roku” oraz na podstawie Rozporządzenia 2016/679 (w zakresie rozstrzygającym o legalności procesu przetwarzania danych osobowych). Wynikający w przepisów prawa sposób prowadzenia postępowań w sprawach rozpoczętych i nie zakończonych przed dniem wejścia w życie nowych regulacji z zakresu ochrony danych osobowych koreluje z ugruntowanym stanowiskiem doktryny, zgodnie z którym „organ administracji publicznej ocenia stan faktyczny sprawy według chwili wydania decyzji administracyjnej. Reguła ta odnosi się także do oceny stanu prawnego sprawy, co oznacza, że organ administracji publicznej wydaje decyzję administracyjną na podstawie przepisów prawa obowiązujących w chwili jej wydania” (Komentarz do ustawy z dnia 14 czerwca 1960 r. Kodeks postępowania administracyjnego (Dz. U. 00.98.1071) M. Jaśkowska, A. Wróbel, Lex., el/2012).

W wyroku z dnia 7 maja 2008 r. w sprawie o sygn. akt I OSK 761/07 Naczelny Sąd Administracyjny stwierdził, iż „badając […] legalność przetwarzania danych osobowych, GIODO ma obowiązek ustalenia, czy na datę wydawania rozstrzygnięcia w sprawie dane konkretnego podmiotu są przetwarzane oraz czy czynione to jest w sposób zgodny z prawem”.

W czasie, gdy miało miejsce zdarzenie opisane przez Skarżących, obowiązywała ustawa z 1997 roku. Po 25 maja 2018 roku zastosowanie mają przepisy Rozporządzenia 2016/679. Przepisem o zasadniczym znaczeniu dla oceny legalności procesu przetwarzania danych osobowych był art. 23 ust. 1 ustawy z 1997 roku (odpowiednio art. 6 ust.1 Rozporządzenia 2016/679). Zgodnie wyżej wymienionym przepisem przetwarzanie danych osobowych jest zgodne z prawem wówczas, gdy administrator danych spełnia jeden z warunków wymienionych w tym artykule, tj. gdy:

1. osoba, której dane dotyczą, wyraziła na to zgodę, chyba że chodzi o usunięcie dotyczących jej danych (odpowiednio art. 6 ust.1 lit. a Rozporządzenia 2016/679),
2. jest to niezbędne dla zrealizowania uprawnienia lub spełnienia obowiązku wynikającego z przepisu prawa (odpowiednio art. 6 ust.1lit. c Rozporządzenia 2016/679),
3. jest to konieczne do realizacji umowy, gdy osoba, której dane dotyczą jest jej stroną lub gdy jest to niezbędne do podjęcia działań przed zawarciem umowy na żądanie osoby, której dane dotyczą (odpowiednio art. 6 ust.1 lit. b Rozporządzenia 2016/679),
4. jest to niezbędne do wykonania określonych prawem zadań realizowanych dla dobra publicznego (odpowiednio art. 6 ust.1 lit. e Rozporządzenia 2016/679),
5. jest to niezbędne dla wypełnienia prawnie usprawiedliwionych celów realizowanych przez administratorów danych albo odbiorców danych, a przetwarzanie nie narusza praw i wolności osoby, której dane dotyczą (odpowiednio art. 6 ust.1 lit. f Rozporządzenia 2016/679).

Należy dodać, że przesłanki te odnoszą się do wszelkich form przetwarzania danych wymienionych w art. 7 ust. 2 ustawy z 1997 roku, w tym do ich udostępnienia. Warunki te są także względem siebie równoprawne, co oznacza, że dla legalności procesu przetwarzania danych wystarczające jest spełnienie jednego z nich.

Aktem prawnym zawierającym szczegółowe regulacje dotyczące procesu przetwarzania danych osobowych klientów banków jest przede wszystkim Prawo bankowe. Ocena legalności przetwarzania danych osobowych Skarżącego przez Bank, a także przez B. musi być zatem dokonywana w powiązaniu z przepisami Prawa bankowego.

Odnosząc się do legalności przetwarzania danych osobowych Skarżącego przez Bank, jak i B. wskazać należy, że dane osobowe Skarżącego przekazane zostały do B. zgodnie z art. 105 ust. 4 Prawa bankowego. W świetle tego przepisu „banki mogą, wspólnie z bankowymi izbami gospodarczymi, utworzyć instytucje upoważnione do gromadzenia, przetwarzania i udostępniania: bankom informacji stanowiących tajemnicę bankową w zakresie, w jakim informacje te są potrzebne w związku z wykonywaniem czynności bankowych oraz w związku ze stosowaniem metod wewnętrznych oraz innych metod i modeli, o których mowa w części trzeciej rozporządzenia nr 575/2013, innym instytucjom ustawowo upoważnionym do udzielania kredytów informacji stanowiących tajemnicę bankową w zakresie, w jakim informacje te są niezbędne w związku z udzielaniem kredytów, pożyczek pieniężnych, gwarancji bankowych i poręczeń (pkt 2), instytucjom kredytowym informacji stanowiących tajemnicę bankową w zakresie niezbędnym do oceny zdolności kredytowej konsumenta, o której mowa w art. 9 ustawy z dnia 12 maja 2011 r. o kredycie konsumenckim (pkt 3), instytucjom pożyczkowym i podmiotom, o których mowa w art. 59d ustawy z dnia 12 maja 2011 r. o kredycie konsumenckim na zasadzie wzajemności, informacji stanowiących odpowiednio tajemnice bankową oraz informacje udostępnione przez instytucje pożyczkowe oraz podmioty, o których mowa w art. 59 d ustawy z dnia 12 maja 2011 r. o kredycie konsumenckim, w zakresie niezbędnym do oceny zdolności kredytowej konsumenta, o której mowa w art. 9 tej ustawy, i analizy ryzyka kredytowego (pkt 4)”. Natomiast zgodnie z art. 105 a ust. 3 Prawa bankowego – „banki, instytucje oraz podmioty, o których mowa w ust. 1, mogą przetwarzać informacje stanowiące tajemnicę bankową i informacje udostępnione przez instytucje pożyczkowe oraz podmioty, o których mowa w art. 59 d ustawy z dnia 12 maja 2011 r. o kredycie konsumenckim, dotyczące osób fizycznych po wygaśnięciu zobowiązania wynikającego z umowy zawartej z bankiem, inną instytucją ustawowo upoważnioną do udzielania kredytów, instytucją pożyczkową lub podmiotem, o którym mowa w art. 59 d ustawy z dnia 12 maja 2011 r. o kredycie konsumenckim, bez zgody osoby, której informacje dotyczą, gdy osoba ta nie wykonała zobowiązania lub dopuściła się zwłoki powyżej 60 dni w spełnieniu świadczenia wynikającego z umowy zawartej z bankiem, inną instytucją ustawowo upoważnioną do udzielania kredytów, instytucją pożyczkową lub podmiotem, o którym mowa w art. 59 d ustawy z dnia 12 maja 2011 r. o kredycie konsumenckim, a po zaistnieniu tych okoliczności upłynęło co najmniej 30 dni od poinformowania tej osoby przez bank, inną instytucję ustawowo upoważnioną do udzielania kredytów, instytucję pożyczkową albo podmiot, o którym mowa w art. 59 d ustawy z dnia 12 maja 2011 r. o kredycie konsumenckim, o zamiarze przetwarzania dotyczących jej tych informacji, bez jej zgody”.

W odniesieniu do żądania Skarżącego usunięcia jego danych osobowych przekazanych przez Bank do B. należy stwierdzić, że B. jest uprawniony do przetwarzania danych osobowych Skarżącego do […] wrześcia 2026 roku w celu stosowania metod wewnętrznych oraz innych metod i modeli na podstawie art. 6 ust. 1 lit. c Rozporządzenia 2016/679 tj. przetwarzanie jest niezbędne do wypełnienia obowiązku prawnego ciążącego na administratorze. Obowiązek ten wynika z art. 105a ust. 4 i 5 w związku z art. 105 ust. 4 Prawa bankowego.

Natomiast odnosząc się do żądania Skarżącego usunięcia jego danych osobowych z systemu A prowadzonego przez Z. należy wskazać, że Bank oświadczył, że nie udostępnił danych osobowych Skarżącego temu podmiotowi.

Postępowanie prowadzone przez Prezesa Urzędu jest ukierunkowane na wydanie decyzji administracyjnej na podstawie art. 18 ust. 1 ustawy z 1997 roku. Według tego przepisu w przypadku naruszenia przepisów o ochronie danych osobowych Prezes Urzędu z urzędu lub na wniosek osoby zainteresowanej, w drodze decyzji administracyjnej nakazuje przywrócenie stanu zgodnego z prawem, a w szczególności: 1) usunięcie uchybień, 2) uzupełnienie, uaktualnienie, sprostowanie, udostępnienie lub nieudostępnienie danych osobowych, 3) zastosowanie dodatkowych środków zabezpieczających zgromadzone dane osobowe, 4) wstrzymanie przekazywania danych osobowych do państwa trzeciego, 5) zabezpieczenie danych lub przekazanie ich innym podmiotom, 6) usunięcie danych osobowych.

W niniejszym postępowaniu administracyjnym Prezes Urzędu Ochrony Danych Osobowych nie stwierdził nieprawidłowości w procesie przetwarzania danych osobowych, dlatego też należy uznać, że nie zaistniała żadna z przesłanek do wydania przez Prezesa UODO decyzji nakazującej przywrócenie stanu zgodnego z prawem, o których mowa w art. 18 ust. 1 ustawy z 1997 roku. Zasadnym jest więc wydanie decyzji odmawiającej uwzględnienia wniosku, w związku z czym Prezes Urzędu Ochrony Danych Osobowych orzekł, jak w sentencji.

Na podstawie art. 127 § 3 Kpa od niniejszej decyzji stronie przysługuje prawo do wniesienia wniosku o ponowne rozpatrzenie sprawy w terminie 14 dni od dnia doręczenia decyzji stronie. Jeżeli strona nie chce skorzystać z prawa do złożenia wniosku o ponowne rozpatrzenie sprawy, ma prawo do wniesienia skargi na decyzję do Wojewódzkiego Sądu Administracyjnego w Warszawie w terminie 30 dni od dnia doręczenia jej stronie. Skargę wnosi się za pośrednictwem Prezesa Urzędu Ochrony Danych Osobowych (adres: ul. Stawki 2, 00-193 Warszawa). Wpis od skargi wynosi 200 złotych. Strona ma prawo ubiegania się o prawo pomocy, w tym zwolnienie od kosztów sądowych.