Decyzja

Na podstawie art. 104 § 1 ustawy z dnia 14 czerwca 1960 r. Kodeks postępowania administracyjnego (Dz. U. z 2018 r, poz. 2096 ze zm.), art. 160 ust. 1, 2 i 3 ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych (Dz.U. z 2019 r., poz. 1781), art. 12 pkt 2 i art. 22 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. z 2016 r., poz. 922 ze zm.) oraz art. 6 ust. 1, art. 57 ust. 1 lit. a), lit. f) Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych osobowych) (Dz. Urz. UE L 119 z 04.05.2016, str. 1 oraz Dz. Urz. UE L 127 z 23.05.2018, str. 2), w związku z art. 106d i art. 106c ustawy z dnia 29 sierpnia 1997 r. Prawo bankowe (Dz. U. z 2018 r., poz. 2187 z późn. zm.), po przeprowadzeniu postępowania administracyjnego w sprawie skargi Pani A. O., reprezentowanej przez radcę prawnego Pana J. M. z Kancelarii Radcy Prawnego M. J., na przetwarzanie jej danych osobowych przez B. S.A., Prezes Urzędu Ochrony Danych Osobowych,

odmawia uwzględnienia wniosku

UZASADNIENIE

Do Biura Generalnego Inspektora Ochrony Danych Osobowych (aktualnie: Urzędu Ochrony Danych Osobowych) wpłynęła skarga Pani A. O., zwanej dalej również „Skarżącą”, reprezentowaną przez radcę prawnego Pana J. M. z Kancelarii Radcy Prawnego M. J., na przetwarzanie jej danych przez B. S.A., zwane dalej także „B.”, polegające na wprowadzeniu do bazy A […] nieprawdziwych informacji w związku z prowadzoną przez Skarżącą działalnością gospodarczą. Jak wskazał pełnomocnik Skarżącej w bazie A są przetwarzane dane osobowe Pani A. O., jako osoby prowadzącej działalność gospodarczą pod firmą: „A”. Przy danych firmy widnieje informacja „firma nie istnieje”. Ze względu na dokonany nieprawdziwy wpis, Skarżąca nie może uzyskać kredytu ponieważ informacja ta powoduje negatywny wynik weryfikacji. Dokonany wpis jest niezgodny ze stanem faktycznym ponieważ Skarżąca prowadzi firmę bez przerwy od maja 2015 r.

W treści skargi pełnomocnik Skarżącej żąda podjęcia przez organ ochrony danych działań zmierzających do:

1. Udostępnienia Skarżącej danych podmiotu, który przekazał B. wniosek o dokonanie w bazie A wpisu danych dotyczących Pani A. O. prowadzącej działalność gospodarczą pod nazwą: P. z wpisem „firma nie istnieje”.

2. Usunięcie z bazy A wpisu dotyczącego Skarżącej.

W toku postępowania przeprowadzonego w niniejszej sprawie Prezes Urzędu Ochrony Danych Osobowych ustalił następujący stan faktyczny.

1. Ustalenia dokonane na podstawie informacji z Centralnej Ewidencji i Informacji o Działalności Gospodarczej Rzeczypospolitej Polskiej, dalej także „CEIDG” (www.firma.gov.pl) wykazały, że Pani A. O. działalność gospodarczą, której nadany został NIP […] prowadziła od […] kwietnia 2013 r. pod różnymi nazwami: P., A., Pr., Pe., F. Obecnie Skarżąca nie prowadzi już działalności gospodarczej. Działalność ta […] stycznia 2018 r. została wykreślona z CEIDG.

2. B. przetwarza dane osobowe Pani A. O. na podstawie art. 106d w związku z art. 106e ustawy z dnia 29 sierpnia 1997 r. Prawo bankowe (Dz. U. z 2019 r., poz. 2357), dalej także „Prawo bankowe”.

3. B. przed 25 maja 2018 r. odmówiło Pani A. O. udostępnienia informacji na temat jej danych przetwarzanych w bazie A, w tym informacji o źródle, z którego dane te pochodzą, na podstawie art. 106d ustawy Prawo bankowe w związku z art. 34 ust. 2 dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz.U. z 2016 r. poz. 922 ze zm.), zwanej dalej również „ustawą o ochronie danych osobowych z 1997”. Natomiast, po 25 maja 2018 r. podstawę do odmowy udostępnienia danych Skarżącej stanowi art. 106d i art. 106e ustawy Prawo bankowe w związku z art. 15 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych osobowych) (Dz. Urz. UE L 119 z 04.05.2016, str. 1 oraz Dz. Urz. UE L 127 z 23.05.2018, str. 2), zwanego dalej „rozporządzeniem 2016/679”.

4. Obecnie w bazie A na skutek korekty danych dokonanych przez B. dla podmiotu o numerze NIP […] znajduje się wpis o nazwie „podmiot wpisany do bazy w celu dalszego monitorowania”.

Po przeanalizowaniu zgromadzonego w sprawie materiału dowodowego, Prezes Urzędu Ochrony Danych Osobowych stwierdza, co następuje.

Z dniem 25 maja 2018 r. w życie weszły przepisy ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych (Dz. U. z 2019 r., poz. 1781), dalej także: ustawa o ochronie danych osobowych z 2018.

W myśl art. 160 ust. 1-3 ustawy o ochronie danych osobowych z 2018 r., postępowania prowadzone przez Generalnego Inspektora Ochrony Danych Osobowych, wszczęte i niezakończone przed dniem wejścia w życie niniejszej ustawy, prowadzone są przez Prezesa Urzędu Ochrony Danych Osobowych na podstawie ustawy o ochronie danych osobowych z 1997 r., zgodnie z zasadami określonymi w Kpa. Jednocześnie, czynności dokonane w postępowaniach, wszczętych i niezakończonych przed dniem wejścia w życie przepisów ustawy o ochronie danych osobowych z 2018 r., pozostają skuteczne. Od dnia 25 maja 2018 r. zastosowanie ma również „Rozporządzenie 2016/679”.

Uwzględniając powyższe stwierdzić zatem należy, iż niniejsze postępowanie, wszczęte i niezakończone przed dniem 25 maja 2018 r., prowadzone jest na podstawie ustawy o ochronie danych osobowych z 1997  (w zakresie dotyczącym przepisów regulujących procedurę administracyjną) oraz na podstawie Rozporządzenia 2016/679 (w zakresie rozstrzygającym o legalności procesu przetwarzania danych osobowych).

Prezes UODO jest organem właściwym w sprawie ochrony danych osobowych i organem nadzorczym w rozumieniu Rozporządzenia 2016/679 (art. 34 ust. 1 i 2 ustawy o ochronie danych osobowych z 2018). Prezes UODO prowadzi postępowania w sprawie naruszenia przepisów o ochronie danych osobowych (art. 60 ustawy o ochronie danych osobowych z 2018 r.), przy czym w sprawach nieuregulowanych w ustawie o ochronie danych osobowych z 2018 r., do postępowań administracyjnych przed Prezesem UODO, w szczególności unormowanych w rozdziale 7 ustawy – postępowań w sprawie naruszenia przepisów o ochronie danych osobowych, stosuje się przepisy Kpa (art. 7 ust. 1 ustawy o ochronie danych osobowych z 2018 r.).

Stosownie do art. 57 ust. 1 Rozporządzenia 2016/679, bez uszczerbku dla innych zadań określonych na mocy tego rozporządzenia, każdy organ nadzorczy na swoim terytorium monitoruje i egzekwuje stosowanie tego rozporządzenia (lit. a) oraz rozpatruje skargi wniesione przez osobę, której dane dotyczą, lub przez umocowany przez nią – zgodnie z art. 80 Rozporządzeniem 2016/679 – podmiot, organizację lub zrzeszenie, w odpowiednim zakresie prowadzi postępowania w przedmiocie tych skarg i w rozsądnym terminie informuje skarżącego o postępach i wynikach tych postępowań (lit. f).

W tym miejscu wskazać należy, że Prezes Urzędu Ochrony Danych Osobowych wydając decyzję administracyjną zobowiązany jest do rozstrzygania w oparciu o stan faktyczny istniejący w chwili wydania tej decyzji. Jak podnosi doktryna „organ administracji publicznej ocenia stan faktyczny sprawy według chwili wydania decyzji administracyjnej. Reguła ta odnosi się także do oceny stanu prawnego sprawy, co oznacza, że organ administracji publicznej wydaje decyzję administracyjną na podstawie przepisów prawa obowiązujących w chwili jej wydania (…). Rozstrzyganie w postępowaniu administracyjnym polega na zastosowaniu obowiązującego prawa do ustalonego stanu faktycznego sprawy administracyjnej. W ten sposób organ administracji publicznej realizuje cel postępowania administracyjnego, jakim jest urzeczywistnienie obowiązującej normy prawnej w zakresie stosunków administracyjno-prawnych, gdy stosunki te tego wymagają” (Komentarz do ustawy z dnia 14 czerwca 1960 r. Kodeks postępowania administracyjnego, M. Jaśkowska, A. Wróbel, Lex., el/2012). Również Naczelny Sąd Administracyjny – w wyroku z dnia 7 maja 2008 r. w sprawie o sygn. akt I OSK 761/07 stwierdził, iż cyt.: „badając bowiem legalność przetwarzania danych osobowych, GIODO ma obowiązek ustalenia, czy na datę wydawania rozstrzygnięcia w sprawie dane konkretnego podmiotu są przetwarzane oraz czy czynione to jest w sposób zgodny z prawem”.

Zgodnie z brzmieniem przepisu art. 23 ust. 1 ustawy o ochronie danych osobowych z 1997 r., obowiązującej w okresie, którego dotyczyła skarga Skarżącej, przetwarzanie danych osobowych było dopuszczalne, gdy: osoba, której dane dotyczą, wyrazi na to zgodę, chyba że chodzi o usunięcie dotyczących jej danych (pkt 1), jest to niezbędne dla zrealizowania uprawnienia lub spełnienia obowiązku wynikającego z przepisu prawa (pkt 2), jest to konieczne do realizacji umowy, gdy osoba, której dane dotyczą, jest jej stroną lub gdy jest to niezbędne do podjęcia działań przed zawarciem umowy na żądanie osoby, której dane dotyczą (pkt 3), jest niezbędne do wykonania określonych prawem zadań realizowanych dla dobra publicznego (pkt 4), jest to niezbędne dla wypełnienia prawnie usprawiedliwionych celów realizowanych przez administratorów danych albo odbiorców danych, a przetwarzanie nie narusza praw i wolności osoby, której dane dotyczą (pkt 5).

Natomiast zgodnie z art. 34 ustawy o ochronie danych osobowych z 1997 r administrator danych odmawia osobie, której dane dotyczą, udzielenia informacji, o których mowa w art. 32 ust. 1 pkt 1–5a, jeżeli spowodowałoby to: 1) ujawnienie wiadomości zawierających informacje niejawne; 2) zagrożenie dla obronności lub bezpieczeństwa państwa, życia i zdrowia ludzi lub bezpieczeństwa i porządku publicznego; 3) zagrożenie dla podstawowego interesu gospodarczego lub finansowego państwa; 4) istotne naruszenie dóbr osobistych osób, których dane dotyczą, lub innych osób.

W myśl przepisów obowiązujących obecnie (od dnia 25 maja 2018 r., tj. od dnia rozpoczęcia stosowania przepisów Rozporządzenia 2016/679) przetwarzanie danych osobowych jest zgodne z prawem, gdy administrator danych legitymuje się, co najmniej jedną z określonych w art. 6 ust. 1 Rozporządzenia 2016/679, materialnych przesłanek przetwarzania danych osobowych. Według wyżej wskazanego przepisu przetwarzanie danych osobowych jest zgodne z prawem wyłącznie, gdy zostanie spełniony jeden z wymienionych warunków: a) osoba, której dane dotyczą wyraziła zgodę na przetwarzanie swoich danych osobowych w jednym lub większej liczbie określonych celów; b) przetwarzanie jest niezbędne do wykonywania umowy, której stroną jest osoba, której dane dotyczą, lub do podjęcia działań na żądanie osoby, której dane dotyczą, przed zawarciem umowy; c) przetwarzanie jest niezbędne do wypełnienia obowiązku prawnego ciążącego na administratorze; d) przetwarzanie jest niezbędne do ochrony żywotnych interesów osoby, której dane dotyczą, lub innej osoby fizycznej; e) przetwarzanie jest niezbędne do wykonania zadania realizowanego w interesie publicznym lub w ramach sprawowania władzy publicznej powierzonej administratorowi; f) przetwarzanie jest niezbędne do celów wynikających z prawnie uzasadnionych interesów realizowanych przez administratora lub przez stronę trzecią, z wyjątkiem sytuacji, w których nadrzędny charakter wobec tych interesów mają interesy lub podstawowe prawa i wolności osoby, której dane dotyczą, wymagające ochrony danych osobowych, w szczególności, gdy osoba, której dane dotyczą, jest dzieckiem.

Natomiast prawo dostępu przysługujące osobie, której dane dotyczą reguluje art. 15 ustawy o ochronie danych osobowych z 1997 r., zgodnie, z którym,osoba, której dane dotyczą, jest uprawniona do uzyskania od administratora potwierdzenia, czy przetwarzane są dane osobowe jej dotyczące, a jeżeli ma to miejsce, jest uprawniona do uzyskania dostępu do nich oraz następujących informacji: a) cele przetwarzania; b) kategorie odnośnych danych osobowych; c) informacje o odbiorcach lub kategoriach odbiorców, którym dane osobowe zostały lub zostaną ujawnione, w szczególności o odbiorcach w państwach trzecich lub organizacjach międzynarodowych; d) w miarę możliwości planowany okres przechowywania danych osobowych, a gdy nie jest to możliwe, kryteria ustalania tego okresu; e) informacje o prawie do żądania od administratora sprostowania, usunięcia lub ograniczenia przetwarzania danych osobowych dotyczącego osoby, której dane dotyczą, oraz do wniesienia sprzeciwu wobec takiego przetwarzania; f) informacje o prawie wniesienia skargi do organu nadzorczego; g) jeżeli dane osobowe nie zostały zebrane od osoby, której dane dotyczą - wszelkie dostępne informacje o ich źródle; h) informacje o zautomatyzowanym podejmowaniu decyzji, w tym o profilowaniu, o którym mowa w art. 22 ust. 1 i 4, oraz - przynajmniej w tych przypadkach - istotne informacje o zasadach ich podejmowania, a także o znaczeniu i przewidywanych konsekwencjach takiego przetwarzania dla osoby, której dane dotyczą.

Aktem prawnym zawierającym szczegółowe regulacje dotyczące przetwarzania danych osobowych klientów banków i B. w związku z czynnościami bankowymi jest przede wszystkim ustawa Prawo bankowe.

Na podstawie art. 106d ust. 1 ustawy Prawo bankowe, banki, inne instytucje ustawowo upoważnione do udzielania kredytów, izby rozliczeniowe utworzone na podstawie art. 67, instytucje utworzone na mocy art. 105 ust. 4, instytucje pożyczkowe, podmioty, których podstawowa działalność polega na udostępnianiu składników majątkowych na podstawie umowy leasingu, oraz podmioty, o których mowa w art. 59d ustawy z dnia 12 maja 2011 r. o kredycie konsumenckim, mogą przetwarzać i wzajemnie udostępniać informacje, w tym informacje objęte tajemnicą bankową, w przypadkach: 1) uzasadnionych podejrzeń, o których mowa w art. 106a ust. 3; 2) uzasadnionych podejrzeń popełnienia przestępstw dokonywanych na szkodę banków, innych instytucji ustawowo upoważnionych do udzielania kredytów, instytucji kredytowych, instytucji finansowych, instytucji pożyczkowych oraz podmiotów, o których mowa w art. 59d ustawy  dnia 12 maja 2011 r. o kredycie konsumenckim, i ich klientów, w celu i zakresie niezbędnym do zapobiegania tym przestępstwom; 3) wykonywania obowiązków w zakresie określonym w przepisach o przeciwdziałaniu praniu pieniędzy oraz finansowaniu terroryzmu.

Podmioty określone w ust. 1 mogą przetwarzać i wzajemnie udostępniać informacje, w tym informacje objęte tajemnicą bankową oraz informacje dotyczące wyroków skazujących, w przypadkach przestępstw dokonywanych na szkodę banków, innych instytucji ustawowo upoważnionych do udzielania kredytów, instytucji finansowych, instytucji pożyczkowych oraz podmiotów, o których mowa w art. 59d ustawy z dnia 12 maja 2011 r. o kredycie konsumenckim, i ich klientów, w celu i zakresie niezbędnym do zapobiegania tym przestępstwom (art. 106d ust. 2 ustawy Prawo bankowe).

Jak wynika z poczynionych ustaleń faktycznych, B. na podstawie art. 106d ust. 1 ustawy Prawo bankowe, aktualnie przetwarza w bazie A dane Skarżącej posługującej się numerem NIP […] informację o treści „podmiot wpisany do bazy w celu dalszego monitorowania”.

Jednakże prawo dostępu przysługujące osobie, której dane dotyczą, o którym mowa w art. 15 rozporządzenia 2016/679, na podstawie art. 106e ustawy Prawo bankowe podlega wyłączeniu od jego stosowania. Zgodnie z art. 106e ustawy Prawo bankowe, do przetwarzania danych osobowych przez banki, inne instytucje ustawowo upoważnione do udzielania kredytów oraz instytucje utworzone na podstawie art. 105 ust. 4, instytucje pożyczkowe, podmioty, których podstawowa działalność polega na udostępnianiu składników majątkowych na podstawie umowy leasingu, oraz podmioty, o których mowa w art. 59d ustawy z dnia 12 maja 2011 r. o kredycie konsumenckim, przepisu art. 15 rozporządzenia 2016/679 nie stosuje się w zakresie, w jakim jest to niezbędne dla prawidłowej realizacji zadań dotyczących przeciwdziałania praniu pieniędzy i finansowaniu terroryzmu, zgodnie z art. 106, oraz zapobiegania przestępstwom, zgodnie z art. 106a i art. 106d.

Zatem, w świetle obecnie obowiązujących przepisów (zarówno przepisów o ochronie danych osobowych jak i przepisów Prawa bankowego) uprawnienia podmiotu, którego dane dotyczą ulegają w określonych sytuacjach ograniczeniom. Zgodnie z art. 15 rozporządzenia 2016/679, podmiotowi danych przysługują w stosunku do administratora określone uprawnienia, w tym m. in. prawo do informacji o źródle danych (lit. g)), z którego dane pozyskał. Jednak zgodnie z art. 106e Prawa bankowego do przetwarzania danych osobowych przez banki, inne instytucje ustawowo upoważnione do udzielania kredytów oraz instytucje utworzone na podstawie art. 105 ust. 4, instytucje pożyczkowe, podmioty, których podstawowa działalność polega na udostępnianiu składników majątkowych na podstawie umowy leasingu, oraz podmioty, o których mowa w art. 59d ustawy z dnia 12 maja 2011 r. o kredycie konsumenckim, przepisu art. 15 rozporządzenia 2016/679 nie stosuje się w zakresie, w jakim jest to niezbędne dla prawidłowej realizacji zadań dotyczących przeciwdziałania praniu pieniędzy i finansowaniu terroryzmu, zgodnie z art. 106, oraz zapobiegania przestępstwom, zgodnie z art. 106a i art. 106d.

Podkreślić także należy, że z uwagi na charakter i cel przetwarzania danych, o którym mowa w art. 106d Prawa bankowego, kształtującego ogólne uprawnienie do przetwarzania i udostępniania innym bankom informacji objętych tajemnicą bankową (cel rozumiany jako prewencja przed przestępstwami popełnianymi na szkodę banków oraz klientów banków), zbieranie takich danych nie może powodować po stronie B., obowiązku powiadomienia osób działających w celach przestępczych o przetwarzaniu ich danych osobowych. Przyjęcie odmiennego stanowiska pozbawiłoby art. 106d Prawa bankowego racji bytu oraz narażałoby administratora na zarzut utrudnienia prowadzonego wobec tych osób postępowania karnego.

Ponadto, zgromadzone przez banki i przekazane do bazy A informacje klasyfikowane jako próby wyłudzenia i podobne przypadki są informacjami, których ujawnienie mogłoby prowadzić do naruszenia bezpieczeństwa i porządku publicznego (ze szkodą dla banków i bezpieczeństwa zgromadzonych w nich środków), zatem B. miał prawo odmówić osobie, której dane dotyczą udzielenia informacji na temat danych podmiotu, który zainicjował wpis dotyczący Skarżącej do bazy A.

Reasumując, przetwarzanie danych Skarżącej przez B. znajdowało uzasadnienie zarówno w przepisach ustawy o ochronie danych osobowych z 1997 r., jak i w obecnie obowiązującym Rozporządzeniu 2016/679, ponieważ B. obecnie przetwarza dane osobowe Skarżącej na podstawie art. 6 ust. 1 pkt c) Rozporządzenia 2016/679 w związku z art. 106d i art. 106c ustawy Prawo bankowe. Tym samym za bezpodstawny uznać należy zarzut o braku legalności tego działania z punktu widzenia przepisów rozporządzenia 2016/679.

W związku z powyższym nie ma podstaw do wydania decyzji administracyjnej nakazującej usunięcie danych osobowych Skarżącej przez B. z bazy A oraz udostępnienie Skarżącej przez B. nazwy podmiotu, który wniósł o dokonanie wpisu dotyczącego Pani A. O. (NIP […]). W tej sytuacji nie można przypisać B. naruszenia przepisów Rozporządzenia 2016/679 w tym zakresie i nie jest uzasadnione wydanie przez Prezesa Urzędu Ochrony Danych Osobowych jakiegokolwiek z nakazów, o których mowa w art. 58 Rozporządzenia 2016/679.

W tym stanie faktycznym i prawnym Prezes Urzędu Ochrony Danych Osobowych rozstrzygnął, jak w sentencji.

Na podstawie art. 127 § 3 Kpa od decyzji przysługuje stronie prawo do wniesienia wniosku o ponowne rozpatrzenie sprawy w terminie 14 dni od dnia jej doręczenia stronie. Jeżeli strona nie chce skorzystać z prawa do złożenia wniosku o ponowne rozpatrzenie sprawy, ma prawo do wniesienia skargi na decyzję do Wojewódzkiego Sądu Administracyjnego w Warszawie w terminie 30 dni od dnia doręczenia jej stronie. Skargę wnosi się za pośrednictwem Prezesa Urzędu Ochrony Danych Osobowych (adres: ul. Stawki 2, 00- 93 Warszawa). Wpis od skargi wynosi 200 złotych. Strona ma prawo ubiegania się o prawo pomocy, w tym zwolnienie od kosztów sądowych.