ZKE.440.44.2019
Na podstawie art. 104 § 1 ustawy z dnia 14 czerwca 1960 r. Kodeks postępowania administracyjnego (Dz. U. z 2018 r. poz. 2096 ze zm.), art. 160 ust. 1 i 2 ustawy o ochronie danych osobowych z dnia 10 maja 2018 roku (Dz. U. z 2019 r., poz. 1781) oraz art. 12 pkt 2, art. 22, art. 23 ust. l pkt 2, pkt. 5 w zw. z art. 23 ust. 4 pkt 2 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. z 2016 r. poz. 922 ze zm. oraz z 2018 r. poz. 138), w związku z art. 6 ust. 1 lit. c oraz lit. f Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (Dz. Urz. UE L 119 z 04.05.2016, str. 1 oraz Dz. Urz. UE L 127 z 23.05.2018, str. 2), w związku z art. 105 ust. 4 i art. 105a ust. 3, 4 i 5 ustawy z dnia 29 sierpnia 1997 r. Prawo bankowe (Dz. U. z 2018 r. poz. 2187 z późn. zm.), po przeprowadzeniu postępowania administracyjnego w sprawie skargi Pana A. S., na przetwarzanie jego danych osobowych przez Bank A. S.A. oraz B. S.A., Prezes Urzędu Ochrony Danych Osobowych
odmawia uwzględnienia wniosku.
UZASADNIENIE
Do Prezesa Urzędu Ochrony Danych Osobowych (poprzednio Generalnego Inspektora Ochrony Danych Osobowych) wpłynęła skarga Pana A. S. (zwanego dalej: Skarżącym), na przetwarzanie jego danych osobowych przez Bank A. S.A. (zwanego dalej: Bankiem), w tym na ich udostępnianie oraz na przetwarzanie ww. danych osobowych przez B. S.A. (zwanego dalej B.). Skarżący wniósł o zaprzestanie przetwarzania i usunięcie jego danych osobowych przekazanych do B. przez Bank.
W toku postępowania administracyjnego przeprowadzonego w niniejszej sprawie Prezes Urzędu Ochrony Danych Osobowych (dalej: „Prezes UODO”) ustalił, co następuje.
1. Dane osobowe Skarżącego zostały pozyskane przez Bank w związku z zawarciem:
- umowy kredytu nr […] z [...].06.2003 roku z C. S.A. (obecnie Bank A. S.A.)
- umowy kredytu gotówkowego nr […] z […].06.2007 roku (zamknięty: […].10.2006 r.)
- umowy kredytu nr […] z […].01.2005 roku (zamknięty:[…].04.2007 r.)
- umowy o kartę kredytową […] nr [...] (w związku ze zmianą systemu bankowego nadano nr […]) – (zamknięty: […].09.2008 r. )
- umowy kredytu gotówkowego nr [...] z […].08.2007 roku (zamknięty:[…].01.2013 r.)
- umowy pożyczki nr […]
- umowy kredytu nr [...] z […].03.2008 roku
- umowy pożyczki nr […] z […].03.2005 roku
- umowy pożyczki nr […] z […].07.2005 roku
2. Skarżący został poinformowany przez Bank w wypowiedzeniu umowy kredytowej z […] stycznia 2012 roku, że w związku z zaległościami powyżej 60 dni w spłacie zobowiązania wynikającego z umowy kredytu nr […] z […] sierpnia 2007 roku ma prawo przetwarzać jego dane osobowe bez zgody przez okres 5 lat po wygaśnięciu zobowiązania w celu oceny zdolności kredytowej i analizy ryzyka kredytowego na podstawie art. 105a ust. 3 ustawy Prawo bankowe. Z uwagi na fakt, że rachunek ww. kredytu został zamknięty w Banku na skutek całkowitej spłaty kredytu […] stycznia 2013 roku, okres wskazany w art. 105a ust. 3 ustawy Prawo bankowe upłynął […] stycznia 2018 roku.
4. Skarżący zwrócił się do Banku pismem z […] kwietnia 2015 roku o zaprzestanie przetwarzania jego danych osobowych w związku z umową kredytu nr […] z […] sierpnia 2007 roku. W odpowiedzi przesłanej na adres Skarżącego wskazany w umowie kredytowej, Bank poinformował ponownie o zaistnieniu okoliczności, które uprawniają Bank do przetwarzania danych osobowych Skarżącego bez jego zgody na podstawie z art. 105a ust. 3 ustawy Prawo bankowego.
5. Aktualnie Bank przetwarza dane osobowe Skarżącego na podstawie art. 23 ust 1 pkt 5 w zw. z art. 23 ust. 4 pkt 2 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. z 2016 r. poz. 922 ze zm. oraz z 2018 r. poz. 138), zwanej dalej: „ustawą” w celu dochodzenia roszczeń powstałych w związku z wykonywaniem czynności bankowych. Po 25 maja 2018 r. podstawę przetwarzania stanowił art. 6 ust. 1 lit. f Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679. Przetwarzanie danych osobowych Skarżącego przez Bank jest niezbędne dla zrealizowania obowiązku prawnego wynikającego z przepisu prawa tj. na podstawie art. 23 ust.1 pkt 2 ustawy w związku z art. 74 ustawy z dnia 29 września 1994 roku o rachunkowości (Dz.U. z 2019, poz.351 ze zm.), zwanej dalej: "u.o.r." w celu archiwizacji (obecnie art. 6 ust. 1 lit. c Rozporządzenia 2016/679).
6. Bank przekazał do B. dane osobowe Skarżącego na podstawie art. 105 ust. 4 ustawy Prawo bankowe oraz na podstawie umowy łączącej go z B. Obecnie B. przetwarza dane osobowe Skarżącego w zakresie umów:
- kredytu nr […] z […] sierpnia 2007 roku (przekazano […] września 2007 roku)
- kredytu nr […] z […] marca 2008 roku (przekazano […] września 2008 roku)
- karty kredytowej nr […] z […] września 2005 roku (przekazano […] listopada 2006 roku)
- kredytu nr […] z […] czerwca 2007 roku (przekazano […] sierpnia 2007 roku)
Wyżej wymienione rachunki mają obecnie status rachunków zamkniętych i przetwarzane są w celu stosowania metod wewnętrznych oraz innych metod i modeli przez okres 12 lat od wygaśnięcia zobowiązania na podstawie art. 105a ust. 4 i 5 w zw. z art. 105 ust. 4 ustawy Prawo bankowe.
W tym stanie faktycznym Prezes UODO zważył, co następuje.
Z dniem 25 maja 2018 r. w życie weszły przepisy ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych (Dz.U. 2018 poz. 1000 ze zm.), zwanej dalej „u.o.d.o.”.
W myśl art. 160 ust. 1-3 u.o.d.o., postępowania prowadzone przez Generalnego Inspektora Ochrony Danych Osobowych, wszczęte i niezakończone przed dniem wejścia w życie niniejszej ustawy, prowadzone są przez Prezesa Urzędu Ochrony Danych Osobowych na podstawie ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz.U. z 2016 r. poz. 922 ze zm.), zgodnie z zasadami określonymi w ustawie z dnia 14 czerwca 1960 r. Kodeks postępowania administracyjnego (Dz. U. z 2018 r. poz. 2096 ze zm.), zwanej dalej „k.p.a”. Jednocześnie, czynności dokonane w postępowaniach, wszczętych i niezakończonych przed dniem wejścia w życie przepisów u.o.d.o., pozostają skuteczne.
Od dnia 25 maja 2018 r. zastosowanie ma również rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (Dz. Urz. UE L 119 z 04.05.2016, str. 1 ze zm.), zwane dalej „Rozporządzeniem 2016/679”.
Uwzględniając powyższe stwierdzić zatem należy, iż niniejsze postępowanie, wszczęte i niezakończone przed dniem 25 maja 2018 r., prowadzone jest na podstawie ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (w zakresie dotyczącym przepisów regulujących procedurę administracyjną) oraz na podstawie Rozporządzenia 2016/679 (w zakresie rozstrzygającym o legalności procesu przetwarzania danych osobowych). Wynikający w przepisów prawa sposób prowadzenia postępowań w sprawach rozpoczętych i nie zakończonych przed dniem wejścia w życie nowych regulacji z zakresu ochrony danych osobowych koreluje z ugruntowanym stanowiskiem doktryny, zgodnie z którym „organ administracji publicznej ocenia stan faktyczny sprawy według chwili wydania decyzji administracyjnej. Reguła ta odnosi się także do oceny stanu prawnego sprawy, co oznacza, że organ administracji publicznej wydaje decyzję administracyjną na podstawie przepisów prawa obowiązujących w chwili jej wydania” (Komentarz do ustawy z dnia 14 czerwca 1960 r. Kodeks postępowania administracyjnego (Dz. U. 00.98.1071) M. Jaśkowska, A. Wróbel, Lex., el/2012).
W wyroku z dnia 7 maja 2008 r. w sprawie o sygn. akt I OSK 761/07 Naczelny Sąd Administracyjny stwierdził, iż „badając […] legalność przetwarzania danych osobowych, GIODO ma obowiązek ustalenia, czy na datę wydawania rozstrzygnięcia w sprawie dane konkretnego podmiotu są przetwarzane oraz czy czynione to jest w sposób zgodny z prawem”.
W świetle przepisów Rozporządzenia 2016/679, przetwarzanie danych osobowych jest uprawnione, gdy spełniona zostanie którakolwiek z przesłanek wymienionych w art. 6 ust. 1 Rozporządzenia 2016/679 (uprzednio art. 23 ust.1 ustawy). Przesłanki te odnoszą się do wszelkich form przetwarzania danych wymienionych w art. 7 ust. 2 ustawy (obecnie art. 4 pkt 2) Rozporządzenia 2016/679), w tym w szczególności do ich udostępnienia. Warunki te są także względem siebie równoprawne, co oznacza, że dla legalności procesu przetwarzania danych wystarczające jest spełnienie jednej z nich.
Aktem prawnym zawierającym szczegółowe regulacje dotyczące procesu przetwarzania danych osobowych klientów banków jest przede wszystkim ustawa Prawo bankowe. Ocena legalności przetwarzania danych osobowych Skarżącego przez Bank, a także przez B. musi być zatem dokonywana w powiązaniu z przepisami Prawa bankowego.
Odnosząc się do legalności przetwarzania danych osobowych Skarżącego przez Bank jak i B. wskazać należy, że dane osobowe Skarżącego przekazane zostały do B. zgodnie z art. 105 ust. 4 ustawy z dnia 29 sierpnia 1997 roku Prawo bankowe (Dz.U. 2018, poz. 2187 ze zm.). W świetle tego przepisu „banki mogą, wspólnie z bankowymi izbami gospodarczymi, utworzyć instytucje upoważnione do gromadzenia, przetwarzania i udostępniania: bankom informacji stanowiących tajemnicę bankową w zakresie, w jakim informacje te są potrzebne w związku z wykonywaniem czynności bankowych oraz w związku ze stosowaniem metod wewnętrznych oraz innych metod i modeli, o których mowa w części trzeciej rozporządzenia nr 575/2013, innym instytucjom ustawowo upoważnionym do udzielania kredytów informacji stanowiących tajemnicę bankową w zakresie, w jakim informacje te są niezbędne w związku z udzielaniem kredytów, pożyczek pieniężnych, gwarancji bankowych i poręczeń (pkt 2), instytucjom kredytowym informacji stanowiących tajemnicę bankową w zakresie niezbędnym do oceny zdolności kredytowej konsumenta, o której mowa w art. 9 ustawy z dnia 12 maja 2011 r. o kredycie konsumenckim (pkt 3), instytucjom pożyczkowym i podmiotom, o których mowa w art. 59d ustawy z dnia 12 maja 2011 r. o kredycie konsumenckim na zasadzie wzajemności, informacji stanowiących odpowiednio tajemnice bankową oraz informacje udostępnione przez instytucje pożyczkowe oraz podmioty, o których mowa w art. 59d ustawy z dnia 12 maja 2011 r. o kredycie konsumenckim, w zakresie niezbędnym do oceny zdolności kredytowej konsumenta, o której mowa w art. 9 tej ustawy, i analizy ryzyka kredytowego (pkt 4)”.
Natomiast zgodnie z art. 105a ust. 3 Prawa bankowego – „banki, instytucje oraz podmioty, o których mowa w ust. 1, mogą przetwarzać informacje stanowiące tajemnicę bankową i informacje udostępnione przez instytucje pożyczkowe oraz podmioty, o których mowa w art. 59d ustawy z dnia 12 maja 2011 r. o kredycie konsumenckim, dotyczące osób fizycznych po wygaśnięciu zobowiązania wynikającego z umowy zawartej z bankiem, inną instytucją ustawowo upoważnioną do udzielania kredytów, instytucją pożyczkową lub podmiotem, o którym mowa w art. 59d ustawy z dnia 12 maja 2011 r. o kredycie konsumenckim, bez zgody osoby, której informacje dotyczą, gdy osoba ta nie wykonała zobowiązania lub dopuściła się zwłoki powyżej 60 dni w spełnieniu świadczenia wynikającego z umowy zawartej z bankiem, inną instytucją ustawowo upoważnioną do udzielania kredytów, instytucją pożyczkową lub podmiotem, o którym mowa w art. 59d ustawy z dnia 12 maja 2011 r. o kredycie konsumenckim, a po zaistnieniu tych okoliczności upłynęło co najmniej 30 dni od poinformowania tej osoby przez bank, inną instytucję ustawowo upoważnioną do udzielania kredytów, instytucję pożyczkową albo podmiot, o którym mowa w art. 59d ustawy z dnia 12 maja 2011 r. o kredycie konsumenckim, o zamiarze przetwarzania dotyczących jej tych informacji, bez jej zgody”.
Ustosunkowując się do żądania Skarżącego zaprzestania przetwarzania jego danych osobowych przez Bank w zakresie umowy kredytowej nr […] z […] sierpnia 2007 roku należy stwierdzić, że Bank miał podstawę przetwarzania danych osobowych Skarżącego zgodnie z podstawie art. 23 ust 1 pkt 5 w zw. z art. 23 ust. 4 pkt 2 ustawy po wygaśnięciu zobowiązania do […] stycznia 2018 roku. Od 25 maja 2018 r. podstawę prawną przetwarzania danych w tym zakresie określa art. 6 ust 1 lit. f rozporządzenia 2016/679, który stanowi, że przetwarzanie jest niezbędne do celów wynikających z prawnie uzasadnionych interesów realizowanych przez administratora. Natomiast w odniesieniu do żądania Skarżącego usunięcia jego danych osobowych z B. należy wskazać, że B. jest uprawniony do przetwarzania danych osobowych Skarżącego na podstawie art. 6 ust.1 lit. c Rozporządzenia 2016/679 tj. przetwarzanie jest niezbędne do wypełnienia obowiązku prawnego ciążącego na administratorze. Obowiązek ten wynika z art. 105a ust. 4 i 5 ustawy Prawo bankowe. Dane osobowe Skarżącego stanowiące tajemnicę bankową będą więc przetwarzane przez okres 12 lat po wygaśnięcia zobowiązań wynikających z umów zawartych z Bankiem do celów stosowania metod wewnętrznych oraz innych metod i modeli, o których mowa w części trzeciej rozporządzenia nr 575/2013.
Wobec powyższego należy uznać, że nie zaistniała żadna z przesłanek do wydania przez Prezesa UODO decyzji nakazującej przywrócenie stanu zgodnego z prawem, zasadnym jest więc wydanie decyzji odmawiającej uwzględnienia wniosku.
W tym stanie faktycznym i prawnym Prezes UODO rozstrzygnął, jak w sentencji.
Na podstawie art. 127 § 3 Kpa od niniejszej decyzji stronie przysługuje prawo do wniesienia wniosku o ponowne rozpatrzenie sprawy w terminie 14 dni od dnia doręczenia decyzji stronie. Jeżeli strona nie chce skorzystać z prawa do złożenia wniosku o ponowne rozpatrzenie sprawy, ma prawo do wniesienia skargi na decyzję do Wojewódzkiego Sądu Administracyjnego w Warszawie w terminie 30 dni od dnia doręczenia jej stronie. Skargę wnosi się za pośrednictwem Prezesa Urzędu Ochrony Danych Osobowych (adres: ul. Stawki 2, 00-193 Warszawa). Wpis od skargi wynosi 200 złotych. Strona ma prawo ubiegania się o prawo pomocy, w tym zwolnienie od kosztów sądowych.