ZSPR.440.854.2018
Na podstawie art. 104 § 1 ustawy z dnia 14 czerwca 1960 r. Kodeks postępowania administracyjnego (Dz. U. z 2018 r. poz. 2096) oraz art. 160 ust. 1 i 2 ustawy o ochronie danych osobowych z dnia 10 maja 2018 roku (Dz. U. z 2018 r. poz. 1000 ze zm.) oraz art. 18 ust. 1ustawy z dnia 29 sierpnia 1997 o ochronie danych osobowych (Dz. U. z 2016 r. poz. 922 oraz z 2018 r. poz. 138), w związku z art. 6 ust. 1 lit. c Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (Dz. Urz. UE L 119 z 04.05.2016, str. 1 oraz Dz. Urz. UE L 127 z 23.05.2018, str. 2), w związku z art. 105 ust. 4 i art. 105a ust. 1 i 3 ustawy z dnia 29 sierpnia 1997 r. Prawo bankowe (t.j. Dz. U. z 2017 r. poz. 1876 ze zm.), po przeprowadzeniu postępowania administracyjnego w sprawie skargi Pani D. L., na przetwarzanie jej danych osobowych przez Bank S.A., oraz ich udostępnienia do B. S.A., oraz niewypełnienia wobec niej przez Bank obowiązku informacyjnego, Prezes Urzędu Ochrony Danych Osobowych,
- nakazuje Bank S.A., zaprzestania przetwarzania danych osobowych Pani D. L., dotyczących rachunku nr […] w systemie B. S. A., przetwarzanych na podstawie art. 105a ust. 3 i 5 ustawy Prawo bankowe,
- W pozostałym zakresie odmawia uwzględnienia wniosku.
Uzasadnienie
Do Biura Generalnego Inspektora Ochrony Danych Osobowych wpłynęła skarga Pani D. L., zwanej dalej Skarżącą, wnosząca o wypełnienie przez Bank S.A., zwany dalej Bankiem obowiązku informacyjnego wobec Skarżącej wynikającego z art. 25 ust 1 ustawy z dnia 29 sierpnia 1997 o ochronie danych osobowych (Dz. U. z 2016 r. poz. 922 oraz z 2018 r. poz. 138), zwanej dalej uodo 1997, oraz o usunięcie danych osobowych Skarżącej udostępnionych przez Bank do B. S.A., zwanego dalej B., lub przeniesienie ich do części statystycznej.
Skarżąca w treści skargi wskazała, że Bank nie spełnił wymagań uprawniających go do rozpoczęcia przetwarzania jej danych osobowych w bazie B., w związku z wierzytelnością wynikającą ze zobowiązania zdnia […] sierpnia 2010 r., ponieważ Bank nie spełnił łącznie wszystkich warunków z art. 105a ust. 3 ustawy z dnia 29 sierpnia 1997 r. Prawo bankowe (Dz. U. z 2016 r. poz. 1988 z późn. zm.), zwanej dalej Prawem bankowym.
W toku postępowania przeprowadzonego w niniejszej sprawie Prezes Urzędu Ochrony Danych Osobowych ustalił następujący stan faktyczny.
- Dane osobowe Skarżącej dotyczące wymienionego w skardze rachunku nr […] zostały przez Bank zebrane w związku z zawartą przez nią umową [...] z dnia […] sierpnia 2010 r. w zakresie: imiona, nazwisko, nazwisko rodowe, imiona rodziców, nazwisko panieńskie matki, płeć, data i miejsce urodzenia, PESEL, typ i nr dowodu tożsamości, adres zamieszkania, adres korespondencyjny, nr telefonu, adres e-mail i obecnie przetwarzane są w Banku oraz B. do oceny zdolności kredytowej Skarżącej.
- Wniosek o pożyczkę gotówkową z dnia […] sierpnia 2010 r. podpisany przez Skarżącą zawierał informacje wynikające z art. 24 ust 1 uodo 1997 dotyczącego obowiązku informacyjnego w przypadku zbierania danych osobowych od osoby, której one dotyczą.
- Zobowiązanie Skarżącej wobec Banku wygasło dnia […] października 2015 r.
- Bank przekazał dane osobowe Skarżącej do bazy B. w oparciu o art. 105 ust. 4 w zw. z art. 105a ust. 3 Prawa bankowego, w związku z odnotowanym opóźnieniem spłaty zobowiązania z dnia […] sierpnia 2010 r. przekraczającym 60 dni. Bank w dniu […] listopada 2012 r. zainicjował w systemie informatycznym wysłanie Skarżącej na wskazany przez nią adres korespondencyjny pisemnego powiadomienia o zamiarze przetwarzania jej danych osobowych w bazie B. po wygaśnięciu zobowiązania. Powiadomienie zostało wysłane przez Bank pocztą zwykłą na adres wskazany przez Skarżącą dnia […] listopada 2012 r. bez zwrotnego potwierdzenia odbioru.
- Na potwierdzenie wysłania w/w korespondencji do Skarżącej Bank przesłał wydruk ekstraktu z pliku wygenerowanego z aplikacji A., w której archiwizowane są pliki dotyczące przedmiotowych zawiadomień. Struktura pliku zawierała imię i nazwisko Skarżącej, adres oraz inne dane, w tym datę generacji listu do Skarżącej.
- Dane Skarżącej dotyczące wymienionego w skardze rachunku nr […] są aktualnie przetwarzane w bazie B. na podstawie przesłanki określonej w art. 105a ust. 3 Prawa bankowego. Zaprzestanie przetwarzania danych osobowych Skarżącego w powyższym celu w B. nastąpi maksymalnie w terminie 5 lat od daty wygaśnięcia zobowiązania tj. do dnia […] października 2020 r.
W związku z powyższym, Prezes Urzędu Ochrony Danych Osobowych zważył, co następuje.
Wskazać należy, że z dniem wejścia w życie ustawy z 10 maja 2018 r. o ochronie danych osobowych (Dz. U. z 2018 r. poz. 1000 ze zm.), tj. 25 maja 2018 r., Biuro Generalnego Inspektora Ochrony Danych Osobowych stało się Urzędem Ochrony Danych Osobowych. Postępowania prowadzone przez Generalnego Inspektora Ochrony Danych Osobowych, wszczęte i niezakończone przed 25 maja 2018 r. prowadzone są przez Prezesa Urzędu Ochrony Danych Osobowych, na podstawie uodo 1997, zgodnie z zasadami określonymi w ustawie z dnia 14 czerwca 1960 r. Kodeks postępowania administracyjnego (Dz. U. z 2018 r. poz. 2096), zwanej dalej Kpa. Wszelkie czynności podejmowane przez Generalnego Inspektora Ochrony Danych Osobowych przed 25 maja 2018 r. pozostają skuteczne. Od 25 maja 2018 r. obowiązują przepisy Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (Dz. Urz. UE L 119 z 04.05.2016, str. 1 oraz Dz. Urz. UE L 127 z 23.05.2018, str. 2), zwanego dalej RODO.
Prezes Urzędu wydając decyzję administracyjną zobowiązany jest do rozstrzygania w oparciu o stan faktyczny istniejący w chwili wydania tej decyzji. Jak podnosi doktryna „organ administracji publicznej ocenia stan faktyczny sprawy według chwili wydania decyzji administracyjnej. Reguła ta odnosi się także do oceny stanu prawnego sprawy, co oznacza, że organ administracji publicznej wydaje decyzję administracyjną na podstawie przepisów prawa obowiązujących w chwili jej wydania (…) Rozstrzyganie w postępowaniu administracyjnym polega na zastosowaniu obowiązującego prawa do ustalonego stanu faktycznego sprawy administracyjnej. W ten sposób organ administracji publicznej realizuje cel postępowania administracyjnego, jakim jest urzeczywistnienie obowiązującej normy prawnej w zakresie stosunków administracyjno-prawnych, gdy stosunki te tego wymagają” (Komentarz do ustawy z dnia 14 czerwca 1960 r. Kodeks postępowania administracyjnego (Dz. U. 00.98.1071) M. Jaśkowska, A. Wróbel, Lex., el/2012).
Aktem prawnym zawierającym szczegółowe regulacje dotyczące procesu przetwarzania danych osobowych klientów banków jest przede wszystkim ustawa Prawo bankowe. Ocena legalności przetwarzania danych osobowych Skarżącej przez Bank, a także przez B. musi być zatem dokonywana w powiązaniu z przepisami Prawa bankowego. Podstawą prawną przetwarzania danych osobowych Skarżącej przez B. jest art. 6 ust. 1 c RODO, tj. przetwarzanie jest niezbędne do wypełnienia obowiązku prawnego ciążącego na administratorze.
Odnosząc się do kwestii przetwarzania danych osobowych Skarżącej zarówno przez Bank, jak i B., wskazać należy że B. jest instytucją utworzoną na podstawie art. 105 ust. 4 Prawa bankowego, który stanowi, że banki mogą, wspólnie z bankowymi izbami gospodarczymi, utworzyć instytucje upoważnione do gromadzenia, przetwarzania i udostępniania: bankom informacji stanowiących tajemnicę bankową w zakresie, w jakim informacje te są potrzebne w związku z wykonywaniem czynności bankowych oraz w związku ze stosowaniem metod wewnętrznych oraz innych metod i modeli, o których mowa w części trzeciej rozporządzenia nr 575/2013, innym instytucjom ustawowo upoważnionym do udzielania kredytów informacji stanowiących tajemnicę bankową w zakresie, w jakim informacje te są niezbędne w związku z udzielaniem kredytów, pożyczek pieniężnych, gwarancji bankowych i poręczeń (pkt 2), instytucjom kredytowym – informacji stanowiących tajemnicę bankową w zakresie niezbędnym do oceny zdolności kredytowej konsumenta, o której mowa w art. 9 ustawy z dnia 12 maja 2011 r. o kredycie konsumenckim (pkt 3), instytucjom pożyczkowym i podmiotom, o których mowa w art. 59d ustawy z dnia 12 maja 2011 r. o kredycie konsumenckim – na zasadzie wzajemności, informacji stanowiących odpowiednio tajemnice bankową oraz informacje udostępnione przez instytucje pożyczkowe oraz podmioty, o których mowa w art. 59d ustawy z dnia 12 maja 2011 r. o kredycie konsumenckim, w zakresie niezbędnym do oceny zdolności kredytowej konsumenta, o której mowa w art. 9 tej ustawy, i analizy ryzyka kredytowego (pkt 4).
Zgodnie z art. 105a ust. 1 Prawa bankowego, przetwarzanie przez banki, inne instytucje ustawowo upoważnione do udzielania kredytów, instytucje pożyczkowe oraz podmioty, o których mowa w art. 59d ustawy z dnia 12 maja 2011 r. o kredycie konsumenckim, a także instytucje utworzone na podstawie art. 105 ust. 4 (np. B.), informacji stanowiących tajemnicę bankową i informacji udostępnionych przez instytucje pożyczkowe oraz podmioty, o których mowa w art. 59d ustawy z dnia 12 maja 2011 r. o kredycie konsumenckim, w zakresie dotyczącym osób fizycznych może być wykonywane, z zastrzeżeniem art. 104, 105 i art. 106 – 106d Prawa bankowego w celu oceny zdolności kredytowej i analizy ryzyka kredytowego. Zgodnie zaś z art. 105a ust. 3 Prawa bankowego banki, instytucje oraz podmioty, o których mowa w ust. 1, mogą przetwarzać informacje stanowiące tajemnicę bankową i informacje udostępnione przez instytucje pożyczkowe oraz podmioty, o których mowa w art. 59d ustawy z dnia 12 maja 2011 r. o kredycie konsumenckim, dotyczące osób fizycznych po wygaśnięciu zobowiązania wynikającego z umowy zawartej z bankiem, inną instytucją ustawowo upoważnioną do udzielania kredytów, instytucją pożyczkową lub podmiotem, o którym mowa w art. 59d ustawy z dnia 12 maja 2011 r. o kredycie konsumenckim, bez zgody osoby, której informacje dotyczą, gdy osoba ta nie wykonała zobowiązania lub dopuściła się zwłoki powyżej 60 dni w spełnieniu świadczenia wynikającego z umowy zawartej z bankiem, inną instytucją ustawowo upoważnioną do udzielania kredytów, instytucją pożyczkową lub podmiotem, o którym mowa w art. 59d ustawy z dnia 12 maja 2011 r. o kredycie konsumenckim, a po zaistnieniu tych okoliczności upłynęło co najmniej 30 dni od poinformowania tej osoby przez bank, inną instytucję ustawowo upoważnioną do udzielania kredytów, instytucję pożyczkową albo podmiot, o którym mowa w art. 59d ustawy z dnia 12 maja 2011 r. o kredycie konsumenckim, o zamiarze przetwarzania dotyczących jej tych informacji, bez jej zgody.
W świetle cytowanych przepisów uznać należy, że choć zobowiązanie Skarżącej, wynikające z umowy [...] z dnia […] sierpnia 2010 r. wobec Banku wygasło, to jednak jak wynika ze zgromadzonego materiału dowodowego odnośnie spłaty zadłużenia, Skarżąca dopuściła się zwłoki trwającej dłużej niż 60 dni w przypadku ww. zobowiązania. Istotnym, jednakże w powyższej sprawie jest, że Bank nie spełnił wobec niej obowiązku określonego w art. 105a pkt 3 Prawa bankowego, tj. nie poinformował Skarżącej skutecznie o zamiarze przetwarzania dotyczących jej informacji stanowiących tajemnicę bankową, bez jej zgody po wygaśnięciu zobowiązania wynikającego z ww. umowy. Stwierdzić należy, że sam fakt, iż Skarżąca nie wykonała zobowiązania lub spóźniła się z jego wykonaniem co najmniej 60 dni, nie upoważnia Banku do przetwarzania jej danych na warunkach określonych w art. 105a ust. 3 Prawa bankowego. Moment, od którego należy liczyć sześćdziesięciodniowy termin, w którym konsument dopuszcza się zwłoki w wykonaniu zobowiązania, to termin wykonania zobowiązania. Dopiero po upływie 60 dni zaczyna biec trzydziestodniowy termin, w którym instytucja jeszcze oczekuje na wykonanie zobowiązania klienta. Termin trzydziestodniowy nie biegnie jednak ex lege, a dopiero od momentu, w którym konsument zostanie skutecznie poinformowany przez instytucję o zamiarze przetwarzania. Ostatecznie to bezskuteczny upływ 30 dni od momentu poinformowania stanowi wypełnienie przesłanek z art. 105a ust. 3 Prawa bankowego. Z powyższego wynika zatem, iż Bank przetwarzając dane Skarżącej na warunkach określonych w ww. przepisie, musi wykazać, że Skarżąca została poinformowana o zamiarze przetwarzania ich bez jej zgody. Wskazać należy, że wprawdzie nie ma obowiązku przesyłania listami poleconymi takiej korespondencji, niemniej jednak w niniejszym stanie faktycznym Bank nie dysponuje dowodem, iż korespondencja taka w zakresie ww. zobowiązania została Skarżącej kiedykolwiek skutecznie doręczona. Przepis art. 105a ust. 3 ustawy Prawo bankowe wyraźnie stawia wymóg „poinformowania” osoby, której informacje dotyczą, „o zamiarze przetwarzania dotyczących jej informacji stanowiących tajemnicę bankową, bez jej zgody”, co z kolei oznacza, że aby przetwarzać dane Klienta na warunkach określonych w ww. przepisie, Bank musi dysponować dowodem, że osoba, której dane dotyczą, została poinformowana o zamiarze przetwarzania ich bez jej zgody. Za taki dowód Prezes Urzędu Ochrony Danych Osobowych nie może uznać wydruku ekstraktu z pliku wygenerowanego z aplikacji A., w której archiwizowane są pliki dotyczące zawiadomień wysyłanych listem zwykłym przez Bank dotyczącego wysyłki korespondencji.
Mając na względzie powyższe, uznać należy, że powyższe dowody przekazane organowi przez Bank świadczą jedynie o przesłaniu Skarżącej ww. pisma z dnia […] listopada 2012 r., nie stanowią one natomiast dowodu na okoliczność, iż korespondencja ta została Skarżącej skutecznie doręczona. Podkreślenia wymaga, że to na Banku spoczywa ciężar udowodnienia, że poinformował Skarżącą o zamiarze przetwarzania jej danych bez jej zgody. To w interesie Banku leżeć powinno, aby poinformowanie o którym mowa w art. 105 a ust. 3 Prawa bankowego odbyło się taki sposób, który umożliwi łatwe wykazanie skutecznego poinformowania w przypadku ewentualnego sporu. Zdaniem Prezesa Urzędu Ochrony Danych Osobowych niedopuszczalna jest taka wykładnia art. 105a ust. 3 Prawa bankowego, że to na osobie fizycznej (w niniejszej sprawie na Skarżącej) spoczywał ciężar udowodnienia, że nie została poinformowana o ww. zamiarze przetwarzania danych osobowych. W ocenie organu nie można na podstawie ww. przedstawionych dokumentów uznać, że warunki, o których mowa w art. 105a ust. 3 Prawa bankowego zostały spełnione. Bank nie dysponuje bowiem zwrotnym potwierdzeniem odbioru ani innym dokumentem potwierdzającym odbiór ww. korespondencji przez Skarżącą. Przepis wyraźnie stanowi o „poinformowaniu” a nie o samym wysłaniu informacji o zamiarze przetwarzania danych osobowych po wygaśnięciu zobowiązania. Podkreślić też należy, że nie zawsze kiedy zachodzą okoliczności uniemożliwiające skuteczne doręczenie listu do adresata jest on zwracany przez Pocztę Polską do Banku. Są bowiem też okoliczności, które mogą spowodować zaginięcie takiego listu podczas wysłania. Jest to bowiem list zwykły zatem nie jest on rejestrowany przez Pocztę Polską.
Powyższe stanowisko organu znajduje swoje oparcie w wyroku Wojewódzkiego Sądu Administracyjnego w Warszawie z dnia 15 marca 2017 r., sygn. akt II SA/Wa 1695/16. Zdaniem Sądu cyt.: „ (…) samo potwierdzenie komputerowe w prawym górnym rogu pism "PRZESYŁKA NIESTEMPLOWANA, Data nadania 2015 - 08 - 07", nie stanowi potwierdzenia wysłania pism. Także zrzut ekranu komputerowego ww. aplikacji, z uwagi na "zakodowany" system zgromadzonych tam danych, bez głębszej analizy specjalistycznej (z zakresu informatyki), nie przedstawia wiarygodnego dowodu, iż poza wygenerowaniem przedmiotowych pism w istocie doszło do ich wysłania skarżącej. (…) Słuszne jest wprawdzie twierdzenie, że żaden przepis ustawy Prawo bankowe nie wymaga aby obowiązek informacyjny, o którym mowa w art. 105a ust. 3 tej ustawy, był realizowany przy pomocy przesyłek rejestrowanych - listów poleconych. Podkreślić jednak należy, iż w przypadku sporu ciężar dowodu doręczenia pisma spoczywa na stronie spełniającej obowiązek informacyjny. (…) Wprawdzie w toku postępowania administracyjnego organ orzekający ocenił przedstawione przez Bank dokumenty, ale nie wynika z nich realizacja przez Bank (...) w stosunku do skarżącej obowiązku informacyjnego (wysłania, a nie tylko wygenerowania pism)”.
Jeśli więc oświadczenie zostało posłane adresatowi listem albo innym sposobem porozumiewania się na odległość, składający powinien wykazać np. za pomocą zwrotnego poświadczenia odbioru, że list (telegram) został adresatowi doręczony. Powstały dowód nadania listu poleconego nie jest wprawdzie dowodem doręczenia go adresatowi, lecz jest dowodem prima facie (por. S. Rudnicki, S. Dmowski: Komentarz do Kodeksu Cywilnego. Księga pierwsza, Warszawa 2003 r.). Adresat oświadczania może obalić to domniemanie wskazując, iż nie miał możliwości zapoznania się z treścią oświadczenia. Podobnie wypowiedział się Sąd Najwyższy z wyroku z dnia 2 lutego 2005 r. IV CK 459/04, LEX nr 142068, M. Prawn. 2005/4/181. Z kolei w wyroku z dnia 17 marca 2010 r. II CSK 454/09, OSNC 2010/10/142 Sąd ten stwierdził wprost, że domniemanie doręczenia przesyłki rejestrowanej, wynikające z dowodu jej nadania, może być przez adresata obalone przez wykazanie, że nie miał możliwości zapoznania się z zawartym w niej oświadczeniem woli, przerzucając tym samym ciężar dowodu w tym zakresie na jej adresata.
Reasumując powyższe ustalenia w niniejszej sprawie, stwierdzić należy, iż nie zostały spełnione przesłanki z art. 105a ust 3 Prawa bankowego, zgodnie z którym Bank może przetwarzać informacje stanowiące tajemnicę bankową dotyczące osób fizycznych po wygaśnięciu zobowiązania wynikającego z umowy bez ich zgody. Dlatego też należy nakazać Bankowi zaprzestanie przetwarzania danych osobowych Skarżącej w B. w celu oceny zdolności kredytowej i analizy ryzyka kredytowego. Stosownie do art. 18 ust. 1 uodo 1997 Prezes Urzędu Ochrony Danych Osobowych w przypadku naruszenia przepisów o ochronie danych osobowych z urzędu lub na wniosek osoby zainteresowanej, w drodze decyzji administracyjnej, nakazuje przywrócenie stanu zgodnego z prawem.
Odnosząc się do kwestii wypełnienia przez Bank wobec Skarżącej obowiązku informacyjnego wynikającego z art. 25 ust 1 uodo 1997 Prezes Urzędu zwraca uwagę, że powołany w skardze przepis dotyczył sytuacji, w której administrator danych zbierał dane osobowe nie od osoby, której one dotyczą, tylko z innych źródeł. Zatem, nie ma on zastosowania w niniejszej sprawie, gdyż Bank pozyskał dane osobowe Skarżącej bezpośrednio od niej podczas zawierania umowy kredytowej.
Z kolei, obowiązek informacyjny wynikający z art. 24 ust. 1. uodo 1997 dotyczył administratora danych, który zbierał dane osobowe od osoby, której one dotyczą i w opisywanej sprawie został przez Bank wypełniony, gdyż, jak zostało ustalone, wniosek o pożyczkę gotówkową z dnia […] sierpnia 2010 r. podpisany przez Skarżącą zawierał informacje wynikające z art. 24 ust 1 uodo 1997, tj., adres siedziby i pełną nazwę Banku, cel zbierania danych, a w szczególności znane Bankowi w czasie udzielania informacji kategorie odbiorców danych, informację o prawie dostępu do treści swoich danych oraz ich poprawiania oraz o obowiązku podania danych w celu zawarcia i realizacji umowy będącej przedmiotem wniosku.
Reasumując powyższe ustalenia w niniejszej sprawie, raz jeszcze należy podkreślić, iż Bank nie był zobowiązany do wypełnienia obowiązku informacyjnego wynikającego z art. 25 ust 1 uodo 1997.
W tym stanie faktycznym i prawnym Prezes Urzędu Ochrony Danych Osobowych rozstrzygnął, jak w sentencji.
Na podstawie art. 127 § 3 Kpa od niniejszej decyzji stronie przysługuje prawo do wniesienia wniosku o ponowne rozpatrzenie sprawy w terminie 14 dni od dnia doręczenia decyzji stronie. Jeżeli strona nie chce skorzystać z prawa do złożenia wniosku o ponowne rozpatrzenie sprawy, ma prawo do wniesienia skargi na decyzję do Wojewódzkiego Sądu Administracyjnego w Warszawie w terminie 30 dni od dnia doręczenia jej stronie. Skargę wnosi się za pośrednictwem Prezesa Urzędu Ochrony Danych Osobowych.