GI-DEC-DS-103/05
2007-05-26
Decyzja Generalnego Inspektora Ochrony Danych Osobowych z dnia 16 maja 2005 r. dotycząca nieuprawnionego udostępnienia Spółce danych osobowych klientów Banku. Bank przekazał powyższe dane, wnosząc do spółki wierzytelności przysługujące mu od swoich klientów, w formie aportów.
Warszawa, dnia 16 maja 2005 r.
DECYZJA
Na podstawie art. 104 § 1 ustawy z dnia 14 czerwca 1960 r. Kodeks postępowania administracyjnego (Dz. U. z 2000 r. Nr 98, poz. 1071 z późn. zm.) oraz art. 12 pkt 2, art. 18 ust. 1 pkt 1 i 6 w związku z art. 23 ust. 1 pkt 2 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. z 2002 r. Nr 101, poz. 926 z późn. zm.) i art. 104 ust. 1 i 2 ustawy z dnia 29 sierpnia 1997 r. Prawo bankowe (Dz. U. z 2002 r. Nr 72, poz. 665 z późn. zm.), po przeprowadzeniu postępowania administracyjnego w sprawie udostępnienia SPÓŁCE (z o.o.), przez Bank, danych osobowych Pana A.B.,
nakazuję
1) Bankowi, nieudostępnianie danych osobowych Pana A.B., w związku z przelewem wierzytelności, bez spełnienia przesłanek określonych w art. 104 ust. 2 ustawy z dnia 29 sierpnia 1997 r. Prawo bankowe (Dz. U. z 2002 r. Nr 72, poz. 665 z późn. zm.).
2) SPÓŁCE (z o.o.), usunięcie – ze zbiorów danych osobowych dłużników - danych osobowych Pana A.B., pozyskanych od Bank, jako pozyskanych bez podstawy prawnej.
Uzasadnienie
Do Biura Generalnego Inspektora Ochrony Danych Osobowych wpłynęła skarga Pana A.B., zwanego dalej również Skarżącym, który zwrócił się o podjęcie stosownych działań w związku z udostępnieniem przez Bank, jego danych osobowych SPÓŁCE (z o.o.) ,
W toku postępowania administracyjnego przeprowadzonego w niniejszej sprawie, Generalny Inspektor Ochrony Danych Osobowych ustalił następujące okoliczności faktyczne:
1. W dniu 30 lipca 1997 r. Pan A.B., jako osoba fizyczna, zawarł z innym Bankiem X., Filia, umowę o kredyt na zakup pojazdów samochodowych nr .... Poręczycielem spłaty tego kredytu został Bank, który wobec braku spłaty ze strony Skarżącego uiścił należność z tytułu ww. kredytu na rzecz innego Banku X i stał się wierzycielem Skarżącego z tytułu spełnionego świadczenia.
2. Uchwałą nr 1/50/2000 z dnia 7 grudnia 2000r. Zarząd Banku wniósł do SPÓŁKI (z o.o.) tytułem aportu grupę przysługujących Bankowi wierzytelności (w tym wierzytelność wobec Skarżącego), udostępniając jednocześnie dane osobowe swoich dłużników. Jak wynika z wyjaśnień Banku, „o fakcie wniesienia wierzytelności do SPÓŁKI (z o.o.) strony transakcji powiadomiły wszystkich dłużników tych wierzytelności drogą mailingu”. Skarżącego poinformowano o przeniesieniu wierzytelności w piśmie z dnia 14 marca 2001 r. W ocenie obu ww. podmiotów przeniesienie wierzytelności nie wymagało zgody dłużnika.
3. Bank jako podstawę udostępnienia danych osobowych Skarżącego wskazał art. 509 Kodeksu cywilnego, art. 5 ustawy z dnia 29 sierpnia 1997 r. Prawo bankowe (Dz. U. z 2002 r., Nr 72, poz. 665 z późn. zm.) oraz przepisy ustawy z dnia 3 lutego 1993 r. o restrukturyzacji finansowej przedsiębiorstw i banków oraz zmianie niektórych ustaw (Dz. U. Nr 18, poz. 82 z późn. zm.).
4. SPÓŁKA (z o.o.) jako podstawę przetwarzania danych osobowych Skarżącego wskazała art. 23 ust. 3 i 5 ustawy o ochronie danych osobowych, bowiem przedmiotowe dane są przetwarzane w celu dochodzenia roszczeń od Skarżącego z tytułu umowy kredytowej, której stroną w wyniku cesji wierzytelności jest obecnie Spółka. Jako podstawę pozyskania danych wskazano natomiast art. 509 Kodeksu cywilnego.
Po zapoznaniu się z całością zgromadzonego w sprawie materiału dowodowego, Generalny Inspektor Ochrony Danych Osobowych zważył, co następuje:
Ustawa o ochronie danych osobowych określa zasady postępowania przy przetwarzaniu danych osobowych oraz prawa osób fizycznych, których dane są lub mogą być przetwarzane w zbiorach danych (art. 2 ust. 1 ustawy). Przetwarzanie, w tym udostępnianie, danych osobowych jest zgodne z prawem jedynie wówczas, gdy administrator danych legitymuje się posiadaniem co najmniej jednej, spośród wymienionych w art. 23 ust. 1 ustawy, materialnych przesłanek dopuszczalności przetwarzania. Stosownie do art. 23 ust. 1 ustawy, przetwarzanie danych osobowych jest dopuszczalne wtedy, gdy: 1) osoba, której dane dotyczą, wyrazi na to zgodę, 2) gdy jest to niezbędne dla zrealizowania uprawnienia lub spełnienia obowiązku wynikającego z przepisu prawa, 3) jest to konieczne dla realizacji umowy, gdy osoba, której dane dotyczą, jest jej stroną lub gdy jest to niezbędne do podjęcia działań przed zawarciem umowy na żądanie osoby, której dane dotyczą, 4) jest niezbędne do wykonania określonych prawem zadań realizowanych dla dobra publicznego, 5) jest to niezbędne dla wypełnienia prawnie usprawiedliwionych celów realizowanych przez administratorów danych albo odbiorców danych, a przetwarzanie nie narusza praw i wolności osoby, której dane dotyczą.
Mając na uwadze powołane wyżej przepisy oraz okoliczności przedmiotowej sprawy należy wskazać, iż administratorem danych osobowych Pana A.B. był Bank, który przetwarzał dane Skarżącego w związku z zawartą pomiędzy Bankiem a Skarżącym umową kredytu. Bank przetwarzał zatem dane Skarżącego w oparciu o przesłankę przetwarzania danych określoną w art. 23 ust. 1 pkt 2 i 3 ustawy, tj. na podstawie ustawy z dnia 29 sierpnia 1997 r. Prawo bankowe (Dz. U. z 2002 r., Nr 72, poz. 665 z późn. zm.) w celu realizacji umowy kredytu.
Rozpatrując kwestię legalności udostępnienia przez Bank danych osobowych Skarżącego Spółce, należy przede wszystkim wskazać, iż przedmiotowe dane są objęte tajemnicą bankową. Stosownie do treści art. 104 ust. 1 pkt 1 Prawa bankowego, według stanu prawnego obowiązującego w dniu przekazania przez Bank danych osobowych Skarżącego Spółce, banki i osoby w nich zatrudnione oraz osoby, za których pośrednictwem bank wykonuje czynności bankowe, są obowiązane zachować tajemnicę bankową, która obejmuje wszystkie wiadomości dotyczące czynności bankowych i osób będących stroną umowy, uzyskane w czasie negocjacji oraz związane z zawarciem umowy z bankiem i jej realizacją, z wyjątkiem wiadomości, bez których ujawnienia nie jest możliwe należyte wykonanie zawartej przez bank umowy. W myśl natomiast art. 104 ust. 2 Prawa bankowego, osobom trzecim wiadomości te nie mogą być ujawnione, poza przypadkami określonymi w art. 105, a także gdy osoba będąca stroną umowy na piśmie upoważni bank do przekazania określonych informacji wskazanej przez siebie osobie. Powołane przepisy mają również zastosowanie w przypadku dokonywania przez banki czynności bankowych polegających na zbywaniu wierzytelności, tj. czynności, o których mowa w art. 5 ust. 2 pkt 5 Prawa bankowego.
Zatem Bank przekazując SPÓŁCE (z o.o.) dane osobowe Skarżącego w związku z cesją wierzytelności, powinien dysponować upoważnieniem Skarżącego, o którym mowa w art. 104 ust. 2. Z zebranego w przedmiotowej sprawie materiału dowodowego, w tym zarówno z wyjaśnień Banku, jak i Spółki, wynika natomiast jednoznacznie, iż przekazanie danych Skarżącego nastąpiło bez stosownego upoważnienia, co stanowiło naruszenie tajemnicy bankowej. Dodać należy, iż również w obecnie obowiązującym stanie prawnym banki mogą wprawdzie ujawnić osobom trzecim informacje objęte tajemnicą bankową, ale wyłącznie gdy osoba, której informacje te dotyczą, na piśmie upoważni bank do przekazania określonych informacji wskazanej przez siebie osobie lub jednostce organizacyjnej (art. 104 ust. 3 Prawa bankowego).
Podkreślenia wymaga również, iż pozyskanie danych osobowych od podmiotu, który udostępnił je niezgodnie z art. 104 ust. 1 i 2 Prawa bankowego przesądza o nielegalności ich dalszego przetwarzania. Bezprzedmiotowe zatem byłoby prowadzenie rozważań, co do dopuszczalności dokonania przelewu wierzytelności z punktu widzenia regulacji prawa cywilnego.
W niniejszej sprawie nie znajdują również zastosowania, wbrew stanowisku Banku, przepisy ustawy o restrukturyzacji finansowej przedsiębiorstw i banków oraz zmianie niektórych ustaw. Stosownie bowiem do art. 41 pkt 1 powołanej ustawy, bank może dokonywać publicznej sprzedaży wierzytelności bankowych bez zgody dłużnika, jednakże po spełnieniu warunków określonych w art. 39 i art. 40 ww. ustawy. Natomiast okoliczności przedmiotowej sprawy jednoznacznie wskazują, iż cesja między Bankiem a Spółką nie nastąpiła w drodze publicznej sprzedaży wierzytelności bankowej.
Należy zatem uznać, iż działanie Banku polegające na przekazaniu Spółce danych osobowych Skarżącego w związku z cesją przysługujących Bankowi wierzytelności stanowi naruszenie tajemnicy bankowej, do zachowania, której Bank jest zobowiązany przepisami prawa. Tym samym opisane działanie, jako niezgodne z przepisami Prawa bankowego, nie znajdowało podstaw w art. 23 ust. 1 pkt 2 ustawy.
Podkreślenia również wymaga, iż wprawdzie przesłanki przetwarzania danych mają charakter autonomiczny i niezależny, jednakże fakt przetwarzania danych niezgodnie z przepisami prawa, co ma miejsce w przedmiotowej sprawie, przesądza o niedopuszczalności podejmowania na tych danych działań w oparciu o pozostałe przepisy art. 23 ust. 1, tj. pkt 1, 3, 4 i 5.
Generalny Inspektor pragnie przy tym podkreślić, iż przedmiotem jego badania nie było ustalenie motywu, jakim kierował się Skarżący, wnosząc skargę do Biura GIODO na przetwarzanie jego danych osobowych przez Bank i Spółkę, w szczególności, czy złożył oni przedmiotową skargę - jak twierdzi Spółka - w celu, „uchylenia się od spłaty swoich zobowiązań”. Generalny Inspektor Ochrony Danych Osobowych badał wyłącznie, czy proces przetwarzania danych Skarżącego przez wyżej wymienione podmioty jest z zgodny obowiązującymi przepisami prawa, stwierdzając istnienie uchybień w tym zakresie.
Mając powyższe na uwadze, w tym stanie prawnym i faktycznym, Generalny Inspektor Ochrony Danych Osobowych rozstrzygnął, jak na wstępie.
Decyzja niniejsza jest ostateczna. Na podstawie art. 21 ust. 1 ustawy o ochronie danych osobowych oraz art. 129 § 2, w zw. z art. 127 § 3 Kodeksu postępowania administracyjnego, stronie niezadowolonej z niniejszej decyzji przysługuje, w terminie 14 dni od daty jej doręczenia, prawo złożenia do Generalnego Inspektora Ochrony Danych Osobowych wniosku o ponowne rozpatrzenie sprawy (adres: Biuro Generalnego Inspektora Ochrony Danych Osobowych, ul. Stawki 2, 00-193 Warszawa).
