GI-DEC-DS-101/05
2007-05-26
Decyzja Generalnego Inspektora Ochrony Danych Osobowych z dnia 16 maja 2005 r. dotycząca przetwarzania danych osobowych Skarżącego przez Bank i Biuro Informacji Kredytowej S.A., które pomimo spłaty zadłużenia przez Skarżącego nie usunęło jego danych osobowych widniejących w zbiorze prowadzonym przez ten podmiot, jako danych nierzetelnego kredytobiorcy.
Warszawa, dnia 16 maja 2005 r.
DECYZJA
Na podstawie art. 104 § 1, art. 105 § 1 ustawy z dnia 14 czerwca 1960 r. Kodeks postępowania administracyjnego (Dz. U. z 2000 r. Nr 98, poz. 1071 z późn. zm.), art. 12 pkt 2 w zw. z art. 23 ust. 1 pkt 2, art. 24 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. z 2002 r. Nr 101, poz. 926 z późn. zm.) oraz art. 105 ust. 1 i ust. 4 ustawy z dnia 29 sierpnia 1997 r. Prawo bankowe (Dz. U. z 2002 r. Nr 72, poz. 665 z późn. zm.), po przeprowadzeniu postępowania administracyjnego w sprawie wniosku Pana A.B., zam. w X przy ul. Y, reprezentowanego przez Pana B.C., zam. w X przy ul. Y, dotyczącego przetwarzania danych osobowych Pana A.B. przez Bank, z siedzibą w Warszawie przy ul. O., II Oddział Centrum w I., mieszczący się w I. przy ul. U., oraz Biuro Informacji Kredytowej S.A., z siedzibą w Warszawie przy ul. (...),
1) odmawiam uwzględnienia wniosku Pana A.B. zam. w X przy ul. Y, reprezentowanego przez Pana B.C., zam. w X przy ul. Y, w przedmiocie stwierdzenia naruszenia przez Bank, z siedzibą w Warszawie przy ul. O., II Oddział Centrum w I., mieszczący się w I. przy ul. U., przepisów ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. z 2002 r. Nr 101, poz. 926 z późn. zm.), w związku z udostępnieniem danych osobowych Pana A.B. - Biuru Informacji Kredytowej S.A., z siedzibą w Warszawie przy ul. (...),
2) w pozostałym zakresie umarzam postępowanie.
Uzasadnienie
Do Biura Generalnego Inspektora Ochrony Danych Osobowych, zwanego dalej również Generalnym Inspektorem, wpłynęła skarga - reprezentowanego przez Pana B.C., zamieszkałego w X przy ul. Y - Pana A.B., zamieszkałego w X przy ul. Y, zwanego dalej również Skarżącym. W treści przedmiotowej skargi zarzucono Bankowi, z siedzibą w Warszawie przy ul. O., II Oddział Centrum w I., mieszczący się w I. przy ul. U., zwanej dalej również Bankiem, oraz Biuru Informacji Kredytowej S.A., z siedzibą w Warszawie przy ul. (...), zwanemu dalej również BIK S.A., naruszenie przepisów ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. z 2002 r. Nr 101, poz. 926 z późn. zm.), zwanej dalej również ustawą, w związku z udostępnieniem przez Bank danych osobowych Pana A.B. na rzecz Biura Informacji Kredytowej S.A., oraz procesem dalszego przetwarzania przedmiotowych danych osobowych przez Biuro Informacji Kredytowej S.A. W szczególności, w piśmie z dnia 14 października 2004 r., reprezentujący Pana A.B. - Pan B.C. zażądał cyt.: „(...) usunięcia danych osobowych mojego mocodawcy Pana A.B. (...) z bazy danych Biura Informacji Kredytowych S.A. w Warszawie (...).
Reprezentujący Pana A.B. - Pan B.C. wskazał m. in. na następujące okoliczności przedmiotowej sprawy:
1. dane osobowe Pana A.B. zostały pozyskane przez Biuro Informacji Kredytowej S.A. w związku z zaciągniętym przez Skarżącego „(...) kredytem bezgotówkowym na zakup artykułów przemysłowych. Umowa nr 14795-206-123-99 (...) z bankiem, II Oddział Centrum w I. (...)”;
2. „(...) w/w kredyt został zaciągnięty 14.09.1999 r. Strony uzgodniły jego spłatę w 24-ech miesięcznych ratach. Pierwsze 13-cie rat zostało spłacone w terminie, w sposób standardowy (...) Dwie kolejne tzn. 14-ta i 15-ta została spłacona poniżej standardu. Pozostałe raty kredytu zostały spłacone ze znacznym przekroczeniem terminu spłaty (...) zaległości wraz z karnymi odsetkami zostały uregulowane ostatecznie i dobrowolnie, bez wszczynania procesu egzekucyjnego w dn. 17.07.2002 r. (...)”;
3. „(...) Pan A.B. chciał uzyskać w styczniu i lutym 2004 r. kredyt w Banku IV O w I. i innym Banku C w T. Banki te na podstawie informacji znajdujących się w BIK S.A. w Warszawie, odmówiły udzielenia kredytu (...)”;
4. „(...) w dn. 05.08.2004 r. wystosowałem pismo w imieniu mojego mocodawcy z prośbą o wycofanie danych z BIK S.A. w Warszawie (...) W odpowiedzi Bank, pismem z dn. 20.08.2004 r., powołując się na obowiązujące przepisy prawa, odmówił usunięcia danych (...)”.
Jednocześnie, reprezentujący Pana A.B. - Pan B.C. podniósł, iż Skarżący nie został przez Bank poinformowany o możliwości przekazania jego danych osobowych do BIK S.A. – tym samym zaś, że nie został wobec niego wypełniony obowiązek informacyjny z art. 24 ustawy o ochronie danych osobowych.
Generalny Inspektor Ochrony Danych Osobowych przedsięwziął przewidziane przepisami ustawy o ochronie danych osobowych czynności, mające na celu wyjaśnienie okoliczności przedmiotowej prawy. Z poczynionych przez Generalnego Inspektora ustaleń wynika, że:
1. Bank pozyskał dane osobowe Skarżącego w związku z zawarciem z nim „Umowy
nr 14795-206-123-99 o kredyt bezgotówkowy na zakup artykułów przemysłowych”
z dnia 14 września 1999 r. (kopia umowy w aktach sprawy).
2. Zawarcie ww. umowy kredytowej poprzedzone zostało podpisaniem przez Pana A.B,, w dniu 13 września 1999 r., oświadczenia, zgodnie z treścią którego, „(...) w związku z wystąpieniem o kredyt i jego udzieleniem oraz korzystaniem z innych usług świadczonych przez bank (...)”, Skarżący wyraził zgodę na przetwarzanie jego danych osobowych przez Bank „w celach 1) związanych z działalnością banku, 2) promocji i marketingu działalności prowadzonej przez Bank (w tym świadczonych usług oraz oferowanych produktów)”. W powyższym dokumencie zawarte zostały informacje przewidziane w art. 24 ustawy o ochronie danych osobowych, jednakże Skarżący nie został poinformowany o możliwości przekazania jego danych osobowych do Biura Informacji Kredytowej S.A.
3. Przekazanie danych osobowych Pana A.B. przez Bank do BIK S.A. nastąpiło na podstawie łączącej wskazane podmioty „Umowy w sprawie zbierania i udostępniania informacji” z dnia 22 czerwca 2001 r., a zarazem na podstawie art. 105 ust. 1 i 4 ustawy z dnia 29 sierpnia 1997 r. Prawo bankowe (Dz. U. z 2002 r. Nr 72, poz. 665 z późn. zm.).
4. Bank przekazał do BIK S.A. dane Skarżącego w zakresie obejmującym: imię i nazwisko, datę urodzenia, numer ewidencyjny PESEL, serię i numer dowodu osobistego, adres zamieszkania, wraz z informacjami dotyczącymi procesu spłacania zaciągniętego kredytu.
5. Pan A.B. nie wywiązywał się terminowo z wynikających z brzmienia opisanej wyżej (w pkt 1) umowy kredytowej zobowiązań względem Banku. Kredyt udzielony Skarżącemu został jednak przez niego ostatecznie i w pełni spłacony w dniu 17 lipca 2002 r., przy czym wobec Pana A.B. nie były podejmowane czynności egzekucyjne (kopia zaświadczenia Banku z dnia 2 sierpnia 2004 r. odnośnie terminu i trybu uzyskania przez Bank pełnego zaspokojenia jego wierzytelności wobec Skarżącego w aktach sprawy).
W dniu 29 marca 2004 r. Generalny Inspektor Ochrony Danych Osobowych wydał decyzję administracyjną (znak: GI-DEC-DIS-81/04/155), mocą której, w punkcie I.1. nakazał BIK S.A. usunięcie uchybień w procesie przetwarzania danych osobowych poprzez zaprzestanie przetwarzania danych osób, których rachunki kredytowe zostały zamknięte. Natomiast w ostatecznej decyzji administracyjnej z dnia 10 sierpnia 2004 r. (znak: GI-DEC-DIS-165/04/352), Generalny Inspektor, uchylając pkt I.1. ww. decyzji, nakazał BIK S.A. usunięcie uchybień w procesie przetwarzania danych osobowych poprzez zaprzestanie przetwarzania danych osób, których rachunki kredytowe zostały zamknięte w związku z uzyskaną od banku lub innej instytucji ustawowo upoważnionej do udzielania kredytów, informacją o okoliczności powodującej jego zamknięcie. Wyrokiem (nieprawomocnym) z dnia 22 lutego 2005 r. Wojewódzki Sąd Administracyjny oddalił skargę BIK S.A. na powyższą decyzję Generalnego Inspektora.
Po zapoznaniu się z całością zgromadzonego w niniejszej sprawie materiału dowodowego, Generalny Inspektor Ochrony Danych Osobowych zważył, co następuje:
I. Ustawa o ochronie danych osobowych określa zasady postępowania przy przetwarzaniu danych osobowych oraz prawa osób fizycznych, których dane są lub mogą być przetwarzane w zbiorach danych (art. 2 ust. 1 ustawy). Przepisem o zasadniczym znaczeniu dla oceny legalności procesu przetwarzania danych osobowych jest art. 23 ustawy. W ustępie 1 powołanego przepisu zostały bowiem enumeratywnie wymienione samodzielne i autonomiczne przesłanki przetwarzania danych osobowych. W konsekwencji, koniecznym warunkiem przyznania procesowi przetwarzania danych osobowych waloru legalności jest wykazanie, przez podmiot przetwarzający te dane, zaistnienia co najmniej jednej z przesłanek wyliczonych w powołanym przepisie.
W myśl art. 23 ust. 1 pkt 2 ustawy, przetwarzanie danych jest dopuszczalne, gdy jest to niezbędne dla zrealizowania uprawnienia lub spełnienia obowiązku wynikającego z przepisu prawa. Powyższe oznacza, że ustawa o ochronie danych osobowych odsyła również do innych przepisów, regulujących w szczególności działalność innych podmiotów i instytucji, które to przepisy przesądzają o tym, kto, komu i w jakich okolicznościach może dane osobowe udostępnić, kto i w jakich okolicznościach może dane pozyskać, przechowywać, usunąć oraz dokonywać na nich innych operacji wymienionych w art. 7 pkt 2 ustawy – mieszczących się w pojęciu „przetwarzania danych”. Aktem prawnym, który zawiera szczegółowe regulacje dotyczące procesu przetwarzania danych osobowych klientów banków jest przede wszystkim Prawo bankowe. W konsekwencji, zarówno ocena legalności udostępnienia danych osobowych Pana A.B. przez Bank na rzecz BIK S.A., jak również ocena legalności procesu dalszego przetwarzania przedmiotowych danych przez BIK S.A. musi być dokonywana w powiązaniu z przepisami Prawa bankowego.
Na wstępie, odnosząc się do kwestii legalności udostępnienia danych osobowych Pana A.B. przez Bank na rzecz BIK S.A., wskazać należy, iż stosownie do brzmienia art. 105 ust. 4 Prawa bankowego banki mogą, wspólnie z bankowymi izbami gospodarczymi, utworzyć instytucje do gromadzenia, przetwarzania i udostępniania: 1) bankom – informacji stanowiących tajemnicę bankową w zakresie, w jakim informacje te są potrzebne w związku z wykonywaniem czynności bankowych, 2) innym instytucjom ustawowo upoważnionym do udzielania kredytów – informacji o wierzytelnościach oraz obrotach i stanach rachunków bankowych w zakresie, w jakim informacje te są niezbędne w związku z udzielaniem kredytów, pożyczek pieniężnych, gwarancji bankowych i poręczeń. Ponadto, bank ma obowiązek udzielenia informacji stanowiących tajemnicę bankową m. in. innym bankom i instytucjom kredytowym w zakresie, w jakim informacje te są niezbędne w związku z wykonywaniem czynności bankowych oraz nabywaniem i zbywaniem wierzytelności; na zasadzie wzajemności – innym instytucjom ustawowo upoważnionym do udzielania kredytów – o wierzytelnościach oraz o obrotach i stanach rachunków bankowych w zakresie, w jakim informacje te są niezbędne w związku z udzielaniem kredytów, pożyczek pieniężnych, gwarancji bankowych i poręczeń (art. 105 ust. 1 pkt 1 – 1a Prawa bankowego).
W świetle powołanych regulacji Prawa bankowego nie może zatem budzić wątpliwości istnienie we wskazanych przepisach wyraźnego upoważnienia dla Banku do udostępnienia danych osobowych kredytobiorcy (Skarżącego) na rzecz BIK S.A. W konsekwencji zaś, udostępnienie rzeczonych danych przez Bank - BIK S.A. znajdowało swe prawne uzasadnienie w art. 23 ust. 1 pkt 2 ustawy o ochronie danych osobowych.
Na marginesie zaznaczyć należy, iż – wbrew zarzutom sformułowanym przez Pana B.C, – Bank dopełnił względem Skarżącego obowiązku informacyjnego z art. 24 ustawy o ochronie danych osobowych. Dowodem na powyższe jest podpisane przez Pana A.B. oświadczenie z dnia 13 września 1999 r. Wprawdzie w treści przedmiotowego oświadczenia istotnie nie zostały zawarte informacje o możliwości przekazania danych osobowych Skarżącego do BIK S.A., jednakże powyższe jest uzasadnione z uwagi na fakt, iż w chwili podpisywania powyższego oświadczenia Banku nie łączyła z BIK S.A. umowa mająca za przedmiot dane osobowe klientów Bank. Tymczasem, stosownie do dyspozycji art. 24 ust. 1 pkt 2, w przypadku zbierania danych osobowych od osoby, której one dotyczą, administrator danych jest obowiązany poinformować tę osobę o celu zbierania danych, a w szczególności o znanych mu w czasie udzielania informacji lub przewidywanych odbiorcach lub kategoriach odbiorców danych. Jak zaś wskazano powyżej, w chwili wypełniania wobec Skarżącego obowiązku informacyjnego, Bank nie przewidywał, iż przyszłym odbiorcą tych danych będzie BIK S.A.
II. Przechodząc do kwestii legalności przetwarzania przez BIK S.A. danych osobowych Pana A.B. oraz wniosku Skarżącego o usunięcie jego danych osobowych ze zbioru„Kredytobiorcy” prowadzonego przez BIK S.A. wskazać należy, iż – jak wykazano to w punkcie I. uzasadnienia niniejszej decyzji - bez wątpienia pozyskanie przez BIK S.A. danych osobowych Pana A.B. od Banku, jak również dalsze przetwarzanie przedmiotowych danych przez BIK S.A., znajdowało oparcie w przepisach obowiązującego prawa. Jednakże – i wymaga to szczególnego podkreślenia – przetwarzanie przez BIK S.A. danych osobowych Pana A.B. posiadało walor legalności wyłącznie do chwili dokonania przez Skarżącego pełnej spłaty jego zadłużenia względem Banku. W niniejszej sprawie okoliczność pełnego spłacenia przez Skarżącego jego zadłużenia wobec Banku jest bezsporna – została podniesiona w toku przedmiotowego postępowania administracyjnego nie tylko przez pełnomocnika Pana A.B., lecz również potwierdzona przez BIK S.A. i Bank w składanych Generalnemu Inspektorowi wyjaśnieniach (przez ten ostatni również w wydanym Skarżącemu zaświadczeniu z dnia 2 sierpnia 2004 r.). W tym miejscu zaznaczenia wymaga, że Bank poinformował organ do spraw ochrony danych osobowych, iż wiadomość o fakcie pełnej spłaty przez Pana A.B. jego kredytu przekazał do BIK S.A. w listopadzie 2002 r. Tymczasem BIK S.A. podniósł: „(...) dane Skarżącego zostały skorygowane przez BIK S.A. Korekta danych nastąpiła w dniu 26.10.2004 r. na podstawie Wsadu Informacyjnego przekazanego przez Bank do BIK S.A. w dniu 22.10.2004 r., zawierającego informacje o spłacie kredytu w procesie windykacji. Taka też informacja (zgodnie z ustaloną nomenklaturą) została umieszczona przez BIK S.A. w Bazie „Kredytobiorcy” (...)”. Jednocześnie jednak zaznaczyć należy, iż powyższe wyjaśnienia BIK S.A. pozostają w sprzeczności z informacjami zawartymi w przedłożonym przez Skarżącego (uzyskanym przez niego na podstawie wniosku z dnia 12 maja 2004 r.) Raporcie Konsumenckim BIK S.A. Jak bowiem wynika z treści rzeczonego raportu, informacje o spłaceniu przez Pana A.B. jego zadłużenia wobec Banku BIK S.A. posiadał w maju 2004 r. (wartość w polu „kwota do spłaty” – 0, wartość w polu „saldo zaległości” – 0). Niezależnie jednak od powyższego, niezaprzeczalnie BIK S.A. powziął informację o spłaceniu przez Skarżącego jego zadłużenia wobec Banku i winien potraktować tą wiadomość jako podstawę do usunięcia danych osobowych Skarżącego ze zbioru pod nazwą „Kredytobiorcy”. Brak bowiem było podstaw prawnych do dalszego przetwarzania przedmiotowych danych w ww. zbiorze.
Zauważyć należy, iż przepisy Prawa bankowego, w szczególności zaś art. 105 ust. 4 Prawa bankowego, nie określają praw i obowiązków osób, których dane znalazły się w zbiorze „Kredytobiorcy”, w tym nie wskazują dopuszczalnych okresów przechowywania danych w tym zbiorze po spłacie zadłużenia przez klientów banków. Ze względu natomiast na wymienione w ustawie z dnia 2 kwietnia 1997 r. Konstytucja Rzeczypospolitej Polskiej (Dz. U. Nr 78, poz. 483) źródła powszechnie obowiązującego prawa, nie można uznać za dokument, z którego takowe uprawnienia i obowiązki wynikają, uchwalonego bez stosownej delegacji ustawowej – „Regulaminu zbierania i udostępniania informacji przez Biuro Informacji Kredytowej S.A.” (dokument ten, do przestrzegania postanowień którego Bank i BIK S.A. zobowiązały się w „Umowie w sprawie zbierania i udostępniania informacji” z dnia 22 czerwca 2001 r, określa w szczególności terminy przechowywania danych w zbiorze o nazwie „Kredytobiorcy”). Zgodnie bowiem z art. 87 ust. 1 Konstytucji, źródłami powszechnie obowiązującego prawa Rzeczypospolitej Polskiej są: Konstytucja, ustawy, ratyfikowane umowy międzynarodowe oraz rozporządzenia. Postanowienia powołanego wyżej regulaminu nie mogą zatem być uznane za powszechnie obowiązujące.
W świetle powyższego zasadne byłoby zatem nakazanie BIK S.A. usunięcia danych osobowych Skarżącego ze zbioru pod nazwą „Kredytobiorcy”. Jednakże Generalny Inspektor wydał już w dniu 10 sierpnia 2004 r. decyzję administracyjną (znak: GI-DEC-DIS-165/04/352), w której nakazał BIK S.A. „usunięcie uchybień w procesie przetwarzania danych osobowych poprzez zaprzestanie przetwarzania danych wszystkich osób, których rachunki kredytowe zostały zamknięte w związku z uzyskaną od banku lub innej instytucji ustawowo upoważnionej do udzielania kredytów informacją o okoliczności powodującej jego zamknięcie”. Wyrokiem z dnia 22 lutego 2005 r. Wojewódzki Sąd Administracyjny oddalił skargę BIK S.A. na rzeczoną decyzję Generalnego Inspektora Ochrony Danych Osobowych. Powyższe oznacza, iż postępowanie w sprawie nakazania BIK S.A. usunięcia danych osobowych Skarżącego, jako jednej z osób „której rachunek kredytowy został zamknięty w związku z uzyskaną od banku lub innej instytucji ustawowo upoważnionej do udzielania kredytów informacją o okoliczności powodującej jego zamknięcie”, zostało już zakończone przez Generalnego Inspektora wydaniem – ostatecznej – decyzji administracyjnej. Na mocy tej decyzji BIK S.A. został zobowiązany do usunięcia danych osobowych Skarżącego ze zbioru pod nazwą „Kredytobiorcy”, co oznacza, iż niniejsze postępowanie należy uznać za bezprzedmiotowe. W świetle przepisów regulujących procedurę administracyjną niedopuszczalne jest obecnie wydanie przez Generalnego Inspektora kolejnej decyzji merytorycznej w przedmiotowej sprawie. Stosownie bowiem do dyspozycji art. 105 § 1 Kpa, gdy postępowanie z jakiejkolwiek przyczyny stało się bezprzedmiotowe, organ administracji publicznej wydaje decyzję o umorzeniu postępowania. Wprowadzenie do obrotu prawnego kolejnej decyzji merytorycznej w przedmiotowej sprawie spowodowałoby naruszenie zasady res iudicata i stanowiło przesłankę stwierdzenia jej nieważności. W myśl art. 156 § 1 pkt 3 Kpa, organ administracji publicznej stwierdza nieważność decyzji, która dotyczy sprawy już poprzednio rozstrzygniętej decyzją ostateczną. Jak natomiast wskazuje się w literaturze przedmiotu, „uzyskanie cech ostateczności przez decyzję powoduje niemożność ponownego orzekania w tej sprawie bez usunięcia z obrotu prawnego tej decyzji. Jeżeli zaś pomimo to została wydana kolejna decyzja, to staje się konieczne stwierdzenie jej nieważności”. W konsekwencji, niezbędne jest wydanie, na podstawie art. 105 § 1 Kpa, decyzji umarzającej postępowanie w zakresie dotyczącym przetwarzania danych osobowych Skarżącego w prowadzonym przez BIK S.A. zbiorze o nazwie „Kredytobiorcy”.
W tym stanie faktycznym i prawnym Generalny Inspektor Ochrony Danych Osobowych rozstrzygnął, jak w sentencji.
Decyzja niniejsza jest ostateczna. Na podstawie art. 21 ust. 1 ustawy o ochronie danych osobowych oraz art. 129 § 1 i § 2 w zw. z art. 127 § 3 Kodeksu postępowania administracyjnego stronie niezadowolonej z niniejszej decyzji przysługuje, w terminie 14 dni od dnia jej doręczenia, prawo złożenia do Generalnego Inspektora Ochrony Danych Osobowych wniosku o ponowne rozpatrzenie sprawy (adres: Biuro Generalnego Inspektora Ochrony Danych Osobowych, ul. Stawki 2, 00 – 193 Warszawa).
