Decyzja
ZKE.440.84.2019
Na podstawie art. 104 ustawy z dnia 14 czerwca 1960 r. Kodeks postępowania administracyjnego (Dz. U. z 2018 r., poz. 2096 ze zm.) oraz na podstawie art. 160 ust. 1 i 2 ustawy z 10 maja 2018 r. o ochronie danych osobowych (Dz. U. z 2019 r., poz. 1781) w zw. z art. 12 pkt 2, art. 22 i art. 23 ust. 1 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. 2016 r. poz. 922 ze zm.), art. 105 ust. 4 i art. 105a ust. 3 ustawy z dnia 29 sierpnia 1997 r. Prawo bankowe (Dz.U. z 2019 r., poz. 2357) oraz art. 6 ust. 1 lit. c i art. 57 ust. 1 lit. a) i f) Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (Dz. Urz. UE L 119 z 04.05.2016, str. 1 oraz Dz. Urz. UE L 127 z 23.05.2018, str. 2 ze zm.), po przeprowadzeniu postępowania administracyjnego w sprawie skargi Pana S.W., na przetwarzanie jego danych osobowych przez S. S.A., Prezes Urzędu Ochrony Danych Osobowych
odmawia uwzględnienia wniosku.
Uzasadnienie
Do Biura Generalnego Inspektora Ochrony Danych Osobowych (obecnie: Urząd Ochrony Danych Osobowych) wpłynęła skarga Pana S.W., zwanego dalej ,,Skarżącym” na udostępnienie przez S. S.A., zwany dalej ,,Bankiem”, jego danych osobowych do B. S.A., zwanego dalej ,,B. S.A.”. Skarżący doprecyzowując swoje żądanie w piśmie z […] października 2017 r. poinformował, że domaga się ,,uzupełnienia i sprostowania daty zamknięcia zobowiązania z dnia […]-09-2004; prawidłowa data zamknięcia to […]-09-2012 i taka data powinna widnieć w raporcie”. Jednocześnie dodał, że cyt. ,,B. S.A. przetwarza dane dotyczące zobowiązania z dnia […]-09-2004 ze statusem egzekucja z kwotą […] zł. Egzekucja zakończyła się […]-09-2012 (sprawa prowadzona przez Komornika Sądowego przy Sądzie Rejonowym w G.). Od tego czasu nie były prowadzone żadne działania egzekucyjne, nie są również od zobowiązania naliczane żadne odsetki, co świadczy o tym, że dług wynika z błędnego naliczania kwot przez Bank. Zgodnie z umową sposób naliczania wpłat na zobowiązanie księgowany jest w ten sposób – koszty, odsetki i kapitał (…) od kapitału powinny zostać naliczane odsetki. Przez ten zapis mam zepsutą historię kredytową i nie mogą otrzymać kredytu z banku, przez błąd S. S.A. Dodatkowo pragnę zauważyć, że sprawa została już dawno przedawniona”.
Na podstawie zebranego w sprawie materiału dowodowego Prezes Urzędu Ochrony Danych Osobowych ustalił następujący stan faktyczny:
W wyjaśnieniach z […] września 2019 r. (znak: […]) Bank wskazał, że cyt.: ,,Dane osobowe Skarżącego zostały pozyskane przez Bank w związku z umową pożyczki nr […] z dnia […] września 2004 r. z zawartą pomiędzy Skarżącym a A. S.A., którego następcą prawnym w 2011 r. został Bank” (dowód: kopia umowy pożyczki nr […] z […] września 2004 r.). W wyniku nieterminowej spłaty zobowiązania wynikającego z ww. umowy Bank […] lipca 2005 r. wypowiedział Skarżącemu umowę i cyt. ,,postawił należność w stan natychmiastowej wymagalności”. W związku z dalszym brakiem spłaty należności Bank skierował sprawę na drogę postępowania sądowego, a następnie […] marca 2007 r. do egzekucji komorniczej. Postępowanie egzekucyjne prowadzone przez Komornika Sądowego przy Sądzie Rejonowym w G. zostało umorzone […] września 2012 r. z uwagi na wyegzekwowanie należności zgodnie z wnioskiem egzekucyjnym, tj. należności głównej (dowody: kopia pisma Komornika Sądowego przy Sądzie Rejonowym w G. z […] sierpnia 2017 r. – sygn. akt […]; kopia wydruku z systemu Kancelarii Komorniczej – Currenda – o stanie sprawy […] (sygn. akt sądowych […]). Bank poinformował, że cyt.: ,,nie przetwarzał danych osobowych Skarżącego w B. S.A. na podstawie art. 105a ust. 3 ustawy z dnia 29 sierpnia 1997 r. Prawo bankowe i nie posiada pisma informującego Skarżącego, że z uwagi na zaległości w spłacie zobowiązania trwającego ponad 60 dnia, Bank przekaże dane osobowe Skarżącego do B. S.A., bez jego zgody, po upływie co najmniej 30 dni od skutecznego doręczenia Skarżącemu tej informacji”. Przekazanie danych osobowych Skarżącego do B. S.A. w zakresie danych identyfikacyjnych, danych adresowych, danych o zobowiązaniach i posiadanych produktach bankowych nastąpiło w oparciu o art. 105 ust. 4 w związku z art. 105a ust. 1 ustawy z dnia 29 sierpnia 1997 r. – Prawo bankowe (Dz.U. z 2019 r., poz. 2357). Obecnie Bank nie raportuje danych osobowych Skarżącego do B. S.A. Z uwagi na fakt, że zobowiązanie wynikające z umowy pożyczki nr […] z dnia 20 września 2004 r. zostało ostatecznie spłacone […] czerwca 2018 r., Bank przetwarza dane osobowe Skarżącego w następującym zakresie: dane identyfikacyjne, dane adresowe, dane dotyczące produktu bankowego, dane dotyczące zatrudnienia i osiąganych dochodów. Dane osobowe Skarżącego przetwarzane są w celu ustalenia, dochodzenia i obrony przed ewentualnymi roszczeniami wynikającymi z realizacji umowy, natomiast podstawą prawną przetwarzania tych danych jest art. 6 ust. 1 lit. f Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (Dz. Urz. UE L 119 z 04.05.2016, str. 1 oraz Dz. Urz. UE L 127 z 23.05.2018, str. 2 ze zm.), zwanego dalej ,,RODO”. Bank zamierza przetwarzać dane do czasu upływu terminów związanych z realizacją ww. celu. Jednocześnie Bank oświadczył, że pismami z […] lipca 2017 r., […] sierpnia 2017 r., […] września 2017 r. oraz […] września 2017 r. Skarżący zwracał się z żądaniem sprostowania jego danych osobowych w B. S.A., na które Bank udzielił odpowiedzi pismem z […] sierpnia 2017 r., […] sierpnia 2017 r., […] września 2017 r. i […] października 2017 r. (dowód: kopia pisma Banku z […] sierpnia 2017 r., […] sierpnia 2017 r., […] września 2017 r. i […] października 2017 r.).
Po zapoznaniu się z całością zgromadzonego w sprawie materiału dowodowego, Prezes Urzędu Ochrony Danych Osobowych zważył, co następuje.
Z dniem wejścia w życie ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych (Dz. U. z 2019 r. poz. 1781), tj. 25 maja 2018 r. Biuro Generalnego Inspektora Ochrony Danych Osobowych stało się Urzędem Ochrony Danych Osobowych. Postępowania prowadzone przez Generalnego Inspektora Ochrony Danych Osobowych, wszczęte i niezakończone przed dniem 25 maja 2018 r. prowadzone są przez Prezesa Urzędu Ochrony Danych Osobowych, na podstawie ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz.U. z 2016 r. poz. 922 ze zm.), zwanej dalej ,,ustawą z 1997 r.”, zgodnie z zasadami określonymi w ustawie z dnia 14 czerwca 1960 r. Kodeks postępowania administracyjnego (Dz. U. z 2018 r. poz. 2096 ze zm.), zwanej dalej ,,Kpa”. Wszelkie czynności podjęte przez Generalnego Inspektora Ochrony Danych Osobowych przed dniem 25 maja 2018 r. pozostają skuteczne (art. 160 ust. 1 – 3 ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych).
Stosownie do art. 57 ust. 1 lit f) RODO bez uszczerbku dla innych zadań określonych na mocy niniejszego rozporządzenia każdy organ nadzorczy na swoim terytorium rozpatruje skargi wniesione przez osobę, której dane dotyczą, lub przez podmiot, organizację lub zrzeszenie zgodnie z art. 80, w odpowiednim zakresie prowadzi postępowania w przedmiocie tych skarg i w rozsądnym terminie informuje skarżącego o postępach i wynikach tych postępowań, w szczególności jeżeli niezbędne jest dalsze prowadzenie postępowań lub koordynacja działań z innym organem nadzorczym.
Prezes Urzędu Ochrony Danych Osobowych wydając decyzję administracyjną zobowiązany jest do rozstrzygania w oparciu o stan faktyczny istniejący w chwili wydania tej decyzji. Jak podnosi doktryna „organ administracji publicznej ocenia stan faktyczny sprawy według chwili wydania decyzji administracyjnej. Reguła ta odnosi się także do oceny stanu prawnego sprawy, co oznacza, że organ administracji publicznej wydaje decyzję administracyjną na podstawie przepisów prawa obowiązujących w chwili jej wydania. Rozstrzyganie w postępowaniu administracyjnym polega na zastosowaniu obowiązującego prawa do ustalonego stanu faktycznego sprawy administracyjnej. W ten sposób organ administracji publicznej realizuje cel postępowania administracyjnego, jakim jest urzeczywistnienie obowiązującej normy prawnej w zakresie stosunków administracyjno-prawnych, gdy stosunki te tego wymagają” (Komentarz do ustawy z dnia 14 czerwca 1960 r. Kodeks postępowania administracyjnego M. Jaśkowska, A. Wróbel, Lex., el/2012).
W czasie kiedy wpłynęła do Generalnego Inspektora Ochrony Danych Osobowych skarga, obowiązywała ustawa z 1997 r., w związku z powyższym Prezes Urzędu na podstawie zgromadzonego materiału dowodowego dokonał oceny zachowania administratora w kontekście powyższej ustawy. Należy podkreślić, że owa ocena dotyczyła jedynie przetwarzania danych osobowych Skarżącego, natomiast kwestie dotyczące realizacji umów w szczególności błędne naliczanie odsetek przez Bank nie były brane przez Prezesa Urzędu Ochrony Danych Osobowych pod uwagę. Takie sprawy są bowiem sprawami cywilnymi w rozumieniu art. 1 ustawy z dnia 17 listopada 1964 r. Kodeks postępowania cywilnego (Dz. U. z 2019 r., poz. 1460 ze zm.) i rozpatrywane są w postępowaniach prowadzonych przez sądy powszechne. Na marginesie należy dodać, że spory wynikłe z umowy pożyczki mogą być rozstrzygane również pozasądowo przed Arbitrem Bankowym przy Związku Banków Polskich lub Rzecznikiem Finansowym, o czym Skarżący został poinformowany również przez Bank w pismach: z […] sierpnia 2017 r. oraz z […] października 2017 r.
Na wstępie należy wskazać, że zgodnie z art. 23 ust. 1 ustawy z 1997 r., przetwarzanie danych osobowych jest dopuszczalne tylko wtedy, gdy spełniona zostanie jedna z wymienionych w tym przepisie przesłanek. Przesłanki te odnoszą się do wszelkich form przetwarzania danych wymienionych w art. 7 pkt 2 ustawy, w tym do ich udostępniania. Są także wzglądem siebie równoprawne, co oznacza, że dla legalności procesu przetwarzania danych wystarczające jest spełnienie jednej z nich. Zgodnie natomiast z art. 23 ust. 1 pkt 2 ustawy, przetwarzanie danych jest dopuszczalne, gdy jest to niezbędne dla zrealizowania uprawnienia lub spełnienia obowiązku wynikającego z przepisu prawa. Aktem prawnym zawierającym szczegółowe regulacje dotyczące procesu przetwarzania danych osobowych klientów banków jest przede wszystkim ustawa z dnia 29 sierpnia 1997 r. Prawo bankowe (Dz.U. 2019 poz. 2357). Ocena legalności udostępnienia danych osobowych Skarżącego przez Bank, na rzecz B. S.A. musi być zatem dokonywana w powiązaniu z przepisami ww. aktu prawnego. Zgodnie z art. 105 ust. 4 Prawa bankowego banki mogą, wspólnie z bankowymi izbami gospodarczymi, utworzyć instytucje upoważnione do gromadzenia, przetwarzania i udostępniania: bankom – informacji stanowiących tajemnicę bankową w zakresie, w jakim informacje te są potrzebne w związku z wykonywaniem czynności bankowych oraz w związku ze stosowaniem metod statystycznych, o których mowa w art. 128 ust. 3 oraz w art. 128d ust. 1 (pkt 1), innym instytucjom ustawowo upoważnionym do udzielania kredytów – informacji stanowiących tajemnicę bankową w zakresie, w jakim informacje te są niezbędne w związku z udzielaniem kredytów, pożyczek pieniężnych, gwarancji bankowych i poręczeń (pkt 2), instytucjom kredytowym – informacji stanowiących tajemnicę bankową w zakresie niezbędnym do oceny zdolności kredytowej konsumenta, o której mowa w art. 9 ustawy z dnia 12 maja 2011 r. o kredycie konsumenckim (pkt 3). Wskazać należy, że B. S.A. jest instytucją utworzoną na podstawie ww. art. 105 ust. 4 Prawa bankowego. Zgodnie zaś z art. 105a ust. 1 Prawa bankowego, przetwarzanie przez banki, inne instytucje ustawowo upoważnione do udzielania kredytów oraz instytucje utworzone na podstawie art. 105 ust. 4 (np. B. S.A.), informacji stanowiących tajemnicę bankową w zakresie dotyczącym osób fizycznych może być wykonywane, z zastrzeżeniem art. 104, 105 i art. 106-106c, w celu oceny zdolności kredytowej i analizy ryzyka kredytowego. Informacje zawarte w B. S.A. służyć mają wypełnianiu przez banki jako instytucje zaufania publicznego ich ustawowych obowiązków związanych z koniecznością dokładania szczególnej staranności w zakresie zapewnienia bezpieczeństwa przechowywanych środków pieniężnych, czyli w zakresie ochrony depozytów (art. 50 ust. 2 Prawa bankowego), a także z koniecznością należytego badania zdolności kredytowej, od której istnienia (zgodnie z art. 70 ust. 1 Prawa bankowego), bank uzależnia udzielenie kredytu. W świetle powołanych przepisów udostępnienie danych osobowych Skarżącego przez Bank do B. S.A. było legalne, albowiem nastąpiło w celu oceny zdolności kredytowej i analizy ryzyka kredytowego, tj. w oparciu o przesłankę, o której mowa w 23 ust. 1 pkt 2 ustawy z 1997 r., w związku z powołanym powyżej art. 105a ust. 1 i art. 105 ust. 4. Podkreślić jednocześnie należy, iż dla legalności tego udostępnienia zgoda Skarżącego nie była wymagana.
Odnosząc się natomiast do żądania Skarżącego w zakresie uzupełnienia i sprostowania jego danych osobowych zawartych w raporcie B. S.A., tj. daty zamknięcia zobowiązania, należy stwierdzić, że nie zasługuje ono na uwzględnienie. Ze zgormadzonego w sprawie materiału dowodowego sprawy wynika, że data wskazana przez Skarżącego, tj. […] września 2012 r., nie jest datą, która definitywnie zamyka zobowiązanie. Co prawda Komornik Sądowy przy Sądzie Rejonowym w G. […] września 2012 r. umorzył postępowanie egzekucyjne wobec wyegzekwowania należności zgodnie z tytułem wykonawczym niemniej jednak umorzenie to dotyczyło jedynie części zadłużenia. Do zapłaty pozostało natomiast zadłużenie z tytułu odsetek karnych oraz dodatkowych kosztów związanych z nieterminową spłatą wynoszące cyt.: ,,[…] zł”. Zadłużenie to zostało naliczone pomimo trwającej egzekucji komorniczej, ponieważ – jak wskazał Bank – cyt.: ,,egzekucja (…) nie wstrzymuje naliczania odsetek karnych oraz dodatkowych kosztów związanych z nieterminową spłatą”. O ww. fakcie w tym o kwocie pozostającego w dalszym ciągu zadłużenia w wysokości […] zł Bank wielokrotnie informował Skarżącego pismem z […] sierpnia, […] września i […] października 2017 r.
W ocenie Prezesa Urzędu Ochrony Danych Osobowych nie ma podstaw do stwierdzenia, iż dane osobowe Skarżącego przetwarzane są przez Bank w sposób niezgodny z przepisami o ochronie danych osobowych, a zatem nie zaistniała niezbędna przesłanka do wydania przez Prezesa Urzędu decyzji nakazującej przywrócenie stanu zgodnego z prawem
W tym stanie faktycznym i prawnym Prezes Urzędu Ochrony Danych Osobowych rozstrzygnął, jak w sentencji.
Na podstawie art. 127 § 3 Kpa od niniejszej decyzji stronie przysługuje prawo do wniesienia wniosku o ponowne rozpatrzenie sprawy w terminie 14 dni od dnia doręczenia decyzji stronie. Jeżeli strona nie chce skorzystać z prawa do złożenia wniosku o ponowne rozpatrzenie sprawy, ma prawo do wniesienia skargi na decyzję do Wojewódzkiego Sądu Administracyjnego w Warszawie w terminie 30 dni od dnia doręczenia jej stronie. Skargę wnosi się za pośrednictwem Prezesa Urzędu Ochrony Danych Osobowych (adres: ul. Stawki 2, 00-193 Warszawa). Wpis od skargi wynosi 200,00 zł. Strona ma prawo ubiegać się o prawo pomocy, w tym zwolnienie od kosztów sądowych.