GI-DEC-DS- 93/05
2007-05-26
Decyzja Generalnego Inspektora Ochrony Danych Osobowych z dnia 29 kwietnia 2005 r. nakazująca Bankowi usunięcie uchybień w procesie przetwarzania danych osobowych poprzez określenie zakresu danych osobowych powierzonych do przetwarzania na podstawie stosownych umów oraz zastosowanie środków techniczno – organizacyjnych mających na celu zabezpieczenie danych osobowych przetwarzanych przez podmiot, któremu Bank powierzył dane osobowe, przed przetwarzaniem niezgodnie z ustawą o ochronie danych osobowych. Jednocześnie Generalny Inspektor Ochrony Danych Osobowych nakazał usuniecie danych osobowych ze zbioru prowadzonego przez firmę, której podmiot, któremu przetwarzanie danych powierzono, powierzył przetwarzanie danych - pomimo, że z zawartej umowy powierzenia taka możliwość nie wynikała. – decyzja nieprawomocna
Warszawa, dnia 29 kwietnia 2005 r.
DECYZJA
Na podstawie art. 104 § 1 ustawy z dnia 14 czerwca 1960 r. Kodeks postępowania administracyjnego (Dz. U. z 2000 r. Nr 98, poz. 1071 z późn. zm.) oraz art. 12, art. 18 ust. 1 i art. 22 w związku z art. 23 ust. 1, art. 31 i art. 36 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. z 2002 r. Nr 101, poz. 926 z późn. zm.), w związku z art. 6a ust. 1 pkt 2, art. 104 ust. 1 i ust. 2 pkt 2 oraz art. 105 ust. 3 ustawy z dnia 29 sierpnia 1997 r. Prawo bankowe (Dz. U. 2002 r. Nr 72 poz. 665 z późn. zm.), po przeprowadzeniu postępowania administracyjnego w sprawie przetwarzania danych osobowych Państwa A. Nowak i B. Nowak, zam. (...) przy ul. (...) przez Bank (...) z siedzibą w (...) przy ul. (...), Towarzystwo Finansowe S.A. z siedzibą (..) przy ul. (...) oraz Pana A. Kowalskiego prowadzącego działalność gospodarczą pod nazwą (...), z siedzibą (...) przy ul. (...),
nakazuję:
I. Bankowi (...) z siedzibą w (...) przy ul. (...) usunięcie uchybień w procesie przetwarzania danych osobowych Państwa A. Nowak i B. Nowak, zam. (...) przy ul. (...) poprzez:
1) określenie zakresu danych osobowych powierzonych do przetwarzania na podstawie stosownych umów Towarzystwu Finansowemu S.A. z siedzibą (...) przy ul. (...),
2) zastosowanie środków techniczno – organizacyjnych mających na celu zabezpieczenie danych osobowych Państwa A. Nowak i B. Nowak, zam. (...) przy ul. (...), przed ich przetwarzaniem przez Towarzystwo Finansowe S.A. z siedzibą (...) przy ul. (...) z naruszeniem przepisów art. 104 ust. 1 i ust. 2 pkt 2, art. 105 ust. 3 ustawy z dnia 29 sierpnia 1997 r. Prawo bankowe (Dz. U. 2002 r. Nr 72 poz. 665 z późn. zm.) oraz art. 31 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. z 2002 r. Nr 101, poz. 926 z późn. zm.),
II. Panu A. Kowalskiemu, prowadzącemu działalność gospodarczą pod nazwą (...) z siedzibą (...) przy ul. (...), usunięcie danych osobowych Państwa A. Nowak i B. Nowak, zam. (...) przy ul. (...), pozyskanych od Towarzystwa Finansowego S.A. z siedzibą (...) przy ul. (...) bez podstawy prawnej.
Uzasadnienie
Do Biura Generalnego Inspektora Ochrony Danych Osobowych, zwanego dalej Generalnym Inspektorem, wpłynęła skarga Państwa A. Nowak i B. Nowak, zam. (...) przy ul. (...) (zwanych dalej Skarżącymi, bądź odpowiednio Skarżącym i Skarżącą). Z przedmiotowej skargi wynikało, iż Towarzystwo Finansowe S.A. z siedzibą (...) przy ul.(...), zwane dalej TF S.A., bez wiedzy i zgody Skarżących udostępniła ich dane osobowe Panu A. Kowalskiemu, właścicielowi firmy (...) z siedzibą (...) przy ul. (...).
W toku postępowania przeprowadzonego w niniejszej sprawie Generalny Inspektor Ochrony Danych Osobowych ustalił następujący stan faktyczny:
1) W dniu 30 kwietnia 1998 r. Pan B. Nowak zawarł z Bankiem (...) z siedzibą w (...) przy ul. (...) (dawniej Bankiem o innej nazwie z siedzibą w (...) przy ul. (...)), zwanym dalej Bankiem, umowę o kredyt na zakup samochodu, której poręczycielem była Pani A. Nowak.
2) TF S.A. na podstawie zawartej na piśmie umowy z Bankiem z dnia 21 listopada 1997 r. „O współpracy”, pośredniczyła przy udzielaniu kredytu Panu B. Nowak.
3) Bank z uwagi na fakt, iż obowiązek zapłaty świadczenia wynikającego z zawartej ze Skarżącym umowy kredytu nie został spełniony, wypowiedział mu umowę kredytową w dniu 6 stycznia 2002 r. i wezwał do wydania pojazdu.
4) W związku z upływem terminu wyznaczonego Skarżącemu do zwrócenia pojazdu, sprawa została przekazana Towarzystwu Finansowemu S.A. z siedzibą w (...) przy ul.(...), celem windykacji roszczeń. Działanie powyższe zostało podjęte w oparciu o umowę zawartą na piśmie pomiędzy Bankiem i TF S.A. z dnia 21 listopada 1997 r. „O prowadzenie monitoringu i windykacji”, której przedmiotem było m.in. dochodzenie od kredytobiorców należności wynikających z zawartych z Bankiem umów.
5) W celu należytego wykonania ww. umów z dnia 21 listopada 1997 r. TF S.A. otrzymała w dniu 21 kwietnia 2004 r. od Banku pełnomocnictwo do działania w imieniu Banku wraz z wykazem danych osobowych osób, które korzystały z usług Banku (kopia pełnomocnictwa w aktach sprawy), w tym danych osobowych Skarżących. Z treści ww. umów zawartych pomiędzy Bankiem oraz TF S.A., jak również z pełnomocnictwa Nr 33/s/2004 z dnia 24 kwietnia 2004 r. udzielonego TF S.A. przez Bank, nie wynikało upoważnienie TF S.A. do powierzenia danych innym podmiotom.
6) TF S.A. dokonała dalszego zlecenia przetwarzania danych Skarżących na rzecz A. Kowalskiego, prowadzącego działalność pod nazwą firmy (...), z siedzibą w (...) przy ul. (...), zawierając z nim umowę o współpracy z dnia 16 kwietnia 2003 r.; na podstawie tej umowy powierzyła Panu A. Kowalskiemu wykonywanie czynności mających na celu odzyskanie należności wynikających z umów kredytowych zawartych z klientami Banku i udostępniła w związku z tym dane osobowe, w tym dane osobowe Skarżących.
7) Bank w nadesłanych wyjaśnieniach wskazał, iż „(...) jako mocodawca TF S.A. potwierdza zgodnie z art. 103 § 1 Kodeksu cywilnego czynności dokonane przez TF S.A. z przekroczeniem zakresu pełnomocnictwa polegające na dokonaniu zlecania Panu A. Kowalskiemu prowadzącemu działalność gospodarczą pod nazwą (...) czynności windykacyjnych wynikających z umów kredytowych zawartych z Bankiem za pośrednictwem TF S.A. (...)”. Bank podkreślił, iż „(...) wykonywane przez Pana A. Kowalskiego czynności polegały wyłącznie na działaniach podejmowanych w celu odzyskania należności wynikających z zawartych umów kredytowych z klientami Banku oraz dokonywane były w imieniu i na rzecz Banku, a zatem mieściły się w zakresie dopuszczalnego przetwarzania danych, które jest niezbędne do wypełniania prawnie usprawiedliwionych celów, w tym w szczególności związanych z dochodzeniem roszczeń z tytułu prowadzonej działalności gospodarczej (art. 23 ust. 1 pkt 5 w związku z art. 23 ust 4 pkt 2 ustawy o ochronie danych osobowych)”.
8) TF S.A. zaprezentowała pogląd, iż cyt. „(...) na podstawie wymienionych umów a zwłaszcza przepisów art. 23 ust 1 pkt 5 w zw. z art. 23 ust. 4 pkt 2 ustawy o ochronie danych osobowych, a także art. 70 i art. 104 ust. 1 i 2 ustawy Prawo Bankowe Towarzystwo Finansowe S.A. przetwarzało dane osobowe Pana B. Nowaka (kredytobiorcy) i Pani A. Nowak (poręczyciela) w związku z pośrednictwem i administrowaniem umowy kredytowej, tj. kontroli spłat rat kredytowych (...)”. Natomiast „(...) fakt wypowiedzenia umowy kredytowej przez Bank i brak spłaty zadłużenia spowodował konieczność podjęcia wobec dłużników czynności zmierzających do dochodzenia roszczeń Banku. W celu prawidłowego wykonania przez TF S.A. obowiązków nałożonych Umową o prowadzenie monitoringu i windykacji z dnia 21.11.1997r., PTF zawarła w dniu 16 kwietnia 2003 r. umowę współpracy z Panem A. Kowalskim prowadzącym działalność gospodarczą pod nazwą (...), która to dotyczyła czynności mających na celu odzyskanie należności wynikających z zawartych umów kredytowych z klientami Banku, których opóźnienie w spłacie kredytu wynosi powyżej 150 dni (...)”.
Po zapoznaniu się z całością materiału dowodowego zgromadzonego w tej sprawie Generalny Inspektor Ochrony Danych Osobowych zważył, co następuje:
Mając na uwadze powyższe, wskazać należy, że ustawa z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. z 2002 r. Nr 101, poz. 926 z późn. zm.), zwana dalej ustawą, określa zasady postępowania przy przetwarzaniu danych osobowych oraz prawa osób fizycznych, których dane osobowe są lub mogą być przetwarzane w zbiorach danych (art. 2 ust. 1 ustawy). Przez przetwarzanie danych osobowych rozumie się jakiekolwiek operacje wykonywane na danych osobowych, takie jak zbieranie, utrwalanie, przechowywanie, opracowywanie, zmienianie, udostępnianie i usuwanie, a zwłaszcza te, które wykonuje się w systemach informatycznych (art. 7 pkt 2 ustawy). Natomiast administratorem danych osobowych w rozumieniu ustawy o ochronie danych osobowych jest organ, jednostka organizacyjna, podmiot lub osoba, o których mowa w art. 3, decydujące o celach i środkach przetwarzania danych osobowych (art. 7 pkt 4 ustawy).
I. Ze zgromadzonego w sprawie materiału wynika, iż administratorem danych osobowych Skarżących jest Bank, który pozyskał ich dane osobowe w związku z zawartą ze Skarżącym umową kredytu, której Skarżąca była poręczycielem. Zatem pierwotnie Bank przetwarzał dane osobowe Skarżących w oparciu o przesłankę z art. 23 ust. 1 pkt 3 ustawy. Zgodnie z powołanym przepisem ustawy, przetwarzanie danych jest dopuszczalne m.in. gdy: jest to konieczne do realizacji umowy, gdy osoba, której dane dotyczą, jest jej stroną lub gdy jest to niezbędne do podjęcia działań przed zawarciem umowy na żądanie osoby, której dane dotyczą (pkt 3). Następnie po wypowiedzeniu Skarżącemu umowy o kredyt przetwarzanie danych osobowych Skarżących prze Bank znajdowało uzasadnienie w treści art. 23 ust. 1 pkt 5 ustawy, zgodnie z którym, przetwarzanie danych osobowych jest dopuszczalne, gdy jest to niezbędne dla wypełnienia prawnie usprawiedliwionych celów realizowanych przez administratorów danych albo odbiorców danych, a przetwarzanie nie narusza praw i wolności osoby, której dane dotyczą. Natomiast za prawnie usprawiedliwiony cel, o którym mowa w ust. 1 pkt 5, uważa się w szczególności dochodzenie roszczeń z tytułu prowadzonej działalności gospodarczej ( art. 23 ust. 4 pkt 2 ustawy).
W konsekwencji stwierdzić należy, iż to Bank jako administrator danych osobowych Skarżących, decyduje o celach i środkach przetwarzania tych danych. Na Banku spoczywa zatem obowiązek przetwarzania danych osobowych Skarżących zgodnie z prawem, w tym decydowania w jakich sytuacjach i jakim podmiotom dane te mogą być udostępnione. Jednocześnie wskazać należy, iż Bank jest zobligowany do zachowania poufności danych osobowych Skarżących nie tylko na podstawie regulacji zawartych w ustawie o ochronie danych osobowych, lecz także na podstawie art. 104 ustawy z dnia 29 sierpnia 1997 r. Prawo bankowe (Dz. U. z 2002 r. Nr 72, poz. 665 z późn. zm.), zwanej dalej Prawem bankowym. W myśl powołanego przepisu art. 104 ust. 1 pkt 1 Prawo bankowe, banki i osoby w nich zatrudnione oraz osoby, za których pośrednictwem bank wykonuje czynności bankowe, są obowiązane zachować tajemnicę bankową, która obejmuje wszystkie wiadomości dotyczące m.in.: 1) czynności bankowych i osób będących stroną umowy, uzyskane w czasie negocjacji oraz związane z zawarciem umowy z bankiem i jej realizacją, z wyjątkiem wiadomości, bez których ujawnienia nie jest możliwe należyte wykonanie zawartej przez bank umowy, 2) dotyczące osób, które, nie będąc stroną umowy, o której mowa w pkt 1, dokonały czynności pozostających w związku z zawarciem takiej umowy, z wyjątkiem przypadków, gdy ustawa przewiduje ujawnienie takich czynności (pkt 2). Natomiast art. 104 ust 2 pkt 2 Prawa bankowego, stanowi o dopuszczalności ujawnienia informacji objętych tajemnicą bankową w ściśle określonych przypadkach. Stosownie do ust. 2 pkt 2 tego przepisu, obowiązek dochowania tajemnicy bankowej nie dotyczy przypadków, w których następuje ujawnienie informacji przedsiębiorcom lub przedsiębiorcom zagranicznym, którym bank, zgodnie z art. 6a – 6d, powierzył wykonywanie czynności bankowych, w zakresie niezbędnym do należytego wykonywania tych czynności. O dopuszczalności powierzenia przetwarzania danych osobowych stanowi także art. 6a ust. 1 pkt. 2 ustawy Prawo bankowe. Zgodnie z treścią tego przepisu bank może w drodze umowy zawartej na piśmie, powierzyć przedsiębiorcy lub przedsiębiorcy zagranicznemu wykonywanie wyłącznie czynności faktycznych związanych z działalnością bankową. Na gruncie obowiązujących w tym zakresie przepisów prawa za czynność faktyczną związaną z działalnością bankową uważa się czynności związane z windykacją wierzytelności bankowych.
W świetle przytoczonych powyżej przepisów wskazać należy, iż dane osobowe Skarżących objęte były tajemnicą bankową, natomiast Bank jako administrator ich danych osobowych mógł zawrzeć umowę powierzenia i na jej podstawie powierzyć przetwarzanie danych Skarżących TF S.A. Koresponduje z ww. regulacją art. 6a ustawy Prawo bankowe – art. 31 ustawy o ochronie danych osobowych, zgodnie z którym, administrator danych może powierzyć innemu podmiotowi, w drodze umowy zawartej na piśmie, przetwarzanie danych (art. 31 ust. 1 ustawy). Podmiot, o którym mowa w ust. 1, może przetwarzać dane wyłącznie w zakresie i celu przewidzianym w umowie (art. 31 ust. 2 ustawy).
Przytoczony powyżej przepis art. 31 ustawy wprost wskazuje na essentialia negotii umowy powierzenia tj. warunki niezbędne dla ważności i skuteczności powierzenia danych osobowych innemu podmiotowi. Powierzenie przetwarzania danych następuje w drodze umowy zawartej na piśmie, a w jej treści należy określić zakres i cel przetwarzania powierzanych danych. Ustawodawca pozostawił zatem swobodzie woli stron, jaka to ma być umowa, jaka ma być jej treść; musi ona jednakże oznaczać zakres (rodzaj operacji) i cel przetwarzania danych osobowych (tak też J. Barta, P. Fajgielski, R. Markiewicz „Ochrona danych osobowych. Komentarz”, Zakamycze 2004 r. str. 619).
Bank powierzając dane osobowe swoich klientów innym podmiotom, w tym TF, powinien dołożyć staranności, aby w tych umowach zostały wskazane co najmniej przeznaczenie powierzanych danych (cel) oraz zakres danych osobowych, czyli określenie na jakich danych osobowych, operacje te będą dokonywane. Wprawdzie umowy z dnia 21 listopada 1997 r. zawarte pomiędzy Bankiem i TF S.A., na podstawie których Bank przekazał dane osobowe Skarżących TF S.A. mają formę pisemną i został w nich określony cel przetwarzania danych (tj. m.in. podejmowanie czynności windykacyjnych w imieniu i na rzecz Banku), jednakże brak jest określenia zakresu danych osobowych, jakie zostają powierzone do przetwarzania. W konsekwencji umowy zawarte pomiędzy Bankiem i TF S.A., z których wynika powierzenie przetwarzania danych osobowych Skarżących powinny być doprecyzowane, poprzez wskazanie zakresu danych osobowych, stosowanie do art. 31 ust 2 ustawy o ochronie danych osobowych.
Zgodnie z przepisem art. 26 ust. 1 ustawy, administrator danych przetwarzający dane powinien dołożyć szczególnej staranności w celu ochrony interesów osób, których dane dotyczą. Ta generalna zasada znajduje rozwinięcie w przepisach art. 36-39 ustawy określających wymogi, jakie powinien spełniać administrator w celu zapewnienia bezpieczeństwa danych w procesie ich przetwarzania. Jednym z podstawowych obowiązków spoczywających na administratorze jest, wynikający z art. 36 ustawy, obowiązek zastosowania środków technicznych i organizacyjnych zapewniających ochronę przetwarzanych danych osobowych, a w szczególności zabezpieczenia danych przed ich udostępnieniem osobom nieupoważnionym zabraniem przez osobę nieuprawnioną, przetwarzaniem z naruszeniem ustawy, zmianą, utratą, uszkodzeniem lub zniszczeniem.
W świetle treści tego przepisu, niewątpliwie jednym z przejawów należytego wypełnienia obowiązku zabezpieczenia zbiorów danych powinno być sprawowanie przez administratora danych rzeczywistej, efektywnej kontroli nad realizacją procesu przetwarzania danych i czuwanie, by dane te nie weszły w posiadanie osób nieupoważnionych. Wykonanie przez administratora danych wymienionych obowiązków zabezpieczone jest sankcjami o charakterze nie tylko administracyjnym, ale i karnym. Bank jako instytucja zaufania społecznego zobowiązany jest do zachowania szczególnej staranności w celu zapewnienia właściwego stopnia ochrony danym osobowym w procesie ich przetwarzania, a wszelkie działania podmiotu występującego w imieniu Banku, polegające na przetwarzaniu danych osobowych muszą być wyraźnie określone w zawartej pomiędzy nimi umowie. Tym samym udostępnienie przez TF S.A. danych osobowych Skarżących Panu A. Kowalskiemu dowodzi braku należytego nadzoru Banku nad przetwarzaniem danych osobowych przez TF S.A.
O niedopuszczalności przetwarzania danych poza ramami upoważnienia wynikającego z umowy (a więc w szerszym niż to umowa przewiduje zakresie czy dla innego niż wynikającego z umowy celu) stanowi treść art. 31 ust 2 ustawy. W kontekście tego przepisu należy stwierdzić, iż wykroczenie poza umownie wytyczony zakres lub cel przetwarzania danych nie jest jedynie naruszeniem warunków umowy, ale też naruszeniem samej ustawy (por. J. Barta, P. Fajgielski, R. Markiewicz „Ochrona danych osobowych. Komentarz”, Zakamycze 2004 r. str. 620).
Jednocześnie art. 105 ust. 3 Prawa bankowego stanowi, że Banki, inne instytucje ustawowo upoważnione do udzielania kredytów, organy państwowe i osoby, którym ujawniono wiadomości stanowiące tajemnicę bankową, są obowiązane wykorzystać te wiadomości wyłącznie w granicach upoważnienia określonego w ust. 1.
Okoliczności faktyczne niniejszej sprawy oraz przytoczone powyżej przepisy art. 31 ust. 2 ustawy i 105 ust. 3 Prawa bankowego jednoznacznie wskazują, iż PTF S.A. jako podmiot, któremu Bank powierzył przetwarzanie danych osobowych Skarżących, przekazując te dane Panu A. Kowalskiemu, nie tylko przekroczyła granice udzielonego jej umocowania, lecz także naruszyła przepisy ustawy o ochronie danych osobowych oraz uregulowaną przepisami ustawy Prawo bankowe tajemnicę bankową.
Zgodnie z art. 31 ust. 3 ustawy, podmiot, któremu administrator powierzył przetwarzanie danych jest obowiązany przed rozpoczęciem przetwarzania podjąć środki zabezpieczające zbiór danych, o którym mowa w art. 36-39 ustawy oraz spełnić wymagania określone w przepisach, o których mowa w art. 39a ustawy. W zakresie przestrzegania ww. przepisów podmiot ponosi odpowiedzialność jak administrator danych. Jednocześnie art. 31 ust. 4 ustawy stanowi, iż w przypadkach, o których mowa w ust. 1-3, odpowiedzialność za przestrzeganie przepisów ustawy spoczywa na administratorze danych, co nie wyłącza odpowiedzialności podmiotu, który zawarł umowę, za przetwarzanie danych niezgodnie z tą umową. Natomiast zgodnie z art. 31 ust. 5 ustawy do kontroli zgodności przetwarzania danych przez podmiot, któremu zostały powierzone dane, z postanowieniami ustawy o ochronie danych osobowych stosuje się odpowiednio art. 14-19 ustawy.
Powyższe oznacza, iż odpowiedzialność za przestrzeganie wymogów dotyczących zabezpieczenia danych oraz prowadzenia dokumentacji związanej z przetwarzaniem danych obciąża zarówno administratora danych, jak i podmiot, który przetwarza dane na podstawie umowy zawartej z administratorem. Jednakże przytoczone powyżej przepisy wyraźnie wskazują, iż powierzenie przetwarzania danych osobowych Skarżących nie zwalniało Banku z obowiązku sprawowania nadzoru nad przetwarzaniem tych danych, a w szczególności czuwania, nad tym, w jaki sposób TF S.A. przetwarza powierzone jej dane osobowe, tzn. czy są one przetwarzane zgodnie z przepisami obowiązującego prawa oraz zawartymi umowami powierzenia.
Wprawdzie Bank zawarł z TF S.A. umowy, z których wynikało powierzenie danych osobowych, jak również upoważnił Towarzystwo do prowadzenia i podpisywania w swoim imieniu z klientami Banku korespondencji w ściśle określonym zakresie, jednakże działań tych nie możne uznać za wystarczające do zagwarantowania bezpieczeństwa przetwarzania danych osobowych. Niezrozumiałe jest zatem, iż Bank, który jako administrator danych osobowych Skarżących, będąc zobowiązany do czuwania na zgodnością ich przetwarzania z ustawą o ochronie danych oraz przepisami ustawy Prawo bankowe, podjął działania mające na celu zalegalizowanie czynności dokonanych przez TF S.A. Nie ulega bowiem wątpliwości, że TF S.A. zleciła wykonywanie czynności windykacyjnych wobec Skarżących Panu A. Kowalskiemu pomimo, iż ani z zawartych z umów, ani z żadnych innych przedstawionych w toku postępowania dokumentów (np. udzielonego Towarzystwu w dniu 21 kwietnia 2004 r. pełnomocnictwa) nie wynikało prawo TF S.A. do udostępniania danych osobowych klientów Banku innym podmiotom. Bank przyznał zresztą wprost, iż nie upoważniał TF S.A. do udostępniania danych osobowych Skarżących poprzez dokonywanie dalszych zleceń w swoim imieniu. Zarówno określony w art. 104 Prawa bankowego katalog okoliczności zwalniających od obowiązku zachowania tajemnicy bankowej, jak również, zawarty w art. 105 Prawa bankowego katalog podmiotów, którym mogą być udostępniane informacje objęte tajemnicą bankową, mają charakter zamknięty. Podkreśla to wyjątkowość tajemnicy bankowej. Szczególne rygory związane z zachowaniem tej tajemnicy podkreślają także wskazane w przepisach Prawa bankowego, szczegółowo określone procedury udostępniania danych. Nie ulega zatem wątpliwości, że gdyby wolą ustawodawcy było, aby dane klientów banku były przetwarzane na zasadach ogólnych to dałby temu wyraz w przepisach ustawy z dnia 23 kwietnia 1964 r. (Dz. U. Nr 16 poz. 93 z późn. zm.) Kodeks cywilny, albo Prawa bankowego. Tymczasem, przepisy Prawa bankowego wyraźnie wskazują, kiedy można przetwarzać dane klientów, zatem jest to katalog zamknięty i niedopuszczalne jest jego podmiotowe czy też przedmiotowe rozszerzanie.
W związku z powyższym, niezbędne jest nakazanie Bankowi, jako administratorowi danych, podjęcia działań mających na celu zabezpieczenie danych osobowych Państwa A. Nowak i B. Nowak, przed ich przetwarzaniem przez TF S.A. z naruszeniem przepisów art. 104 ust. 1 i ust. 2 pkt 2, art. 105 ust. 3 ustawy oraz art. 31 ustawy oraz określenie zakresu danych osobowych powierzonych do przetwarzania TF S.A. na podstawie stosownych umów.
II. Ponieważ u podstaw udostępnienia przez TF S.A. Panu A. Kowalskiemu danych osobowych Skarżących nie znajdowała się żadna z przesłanek legalności przetwarzania danych, także ich pozyskanie przez Pana A. Kowalskiego należy uznać za niezgodne z prawem.
W przedmiotowej kwestii podkreślić trzeba, że – jak wyżej wskazano -nie istnieje przepis prawa zezwalający na przekazanie przez TF S.A. danych osobowych Skarżących Panu A. Kowalskiemu i nie ma podstaw do przyjęcia, iż zachodzi którakolwiek z pozostałych przesłanek art. 23 ust. 1 ustawy. Z tych samych względów przekazanie danych osobowych Skarżących A. Kowalskiemu, nie może być uznane za niezbędne dla realizacji prawnie usprawiedliwionego celu Banku, czy TF S.A. (art. 23 ust. 1 pkt 5 ustawy). Nie można także uznać, iż udostępnienie przez TF S.A. danych osobowych Skarżących Panu A. Kowalskiemu było dopuszczalne na podstawie przesłanki z art. 23 ust. 1 pkt 1 ustawy, tj. na podstawie zgody Skarżących, ponieważ Skarżący nie wyrazili zgody na przetwarzanie ich danych osobowych przez Pana A.Kowalskiego. W oparciu o wyżej przytoczone regulacje prawne oraz mając na uwadze okoliczności faktyczne niniejszej sprawy, nie sposób uznać, że przetwarzanie danych Skarżących przez Pana A. Kowalskiego było konieczne dla realizacji umowy zawartej przez Skarżących z Bankiem, tym samym przetwarzanie danych osobowych Skarżących nie znajduje także uzasadnienia w przesłance z art. 23 ust. 1 pkt 3 ustawy. Nie sposób także doszukiwać się legalności przetwarzania danych osobowych Skarżących przez Pana A. Kowalskiego w przesłance z art. 23 ust. 1 pkt 4 ustawy, gdyż odnosi się ona wyłącznie do sytuacji, gdy działania podejmowane są przez podmiot uprawniony oraz są niezbędne do wykonania określonych prawem zadań realizowanych dla dobra publicznego, natomiast w rozpatrywanej sprawie bez wątpienia nie chodzi o przetwarzanie danych Skarżących dla dobra publicznego.
Wobec powyższego, przetwarzanie danych osobowych Skarżących przez Pana A. Kowalskiego narusza nie tylko przepisy ustawy o ochronie danych osobowych i oraz przepisy ustawy Prawo bankowe. Z tych względów konieczne jest nakazanie Panu A. Kowalskiemu usunięcia danych osobowych Skarżących, jako pozyskanych bez podstawy prawnej.
W tym stanie faktycznym i prawnym Generalny Inspektor Ochrony Danych Osobowych rozstrzygnął, jak na wstępie.
Decyzja niniejsza jest ostateczna. Stronie, na podstawie art. 21 ust. 1 ustawy o ochronie danych osobowych, w związku z art. 22 tej ustawy i w związku z art. 127 § 3 i art. 129 § 2 Kodeksu postępowania administracyjnego, przysługuje, w terminie 14 dni od dnia doręczenia niniejszej decyzji, prawo złożenia do Generalnego Inspektora Ochrony Danych Osobowych wniosku o ponowne rozpatrzenie sprawy (adres: Biuro Generalnego Inspektora Ochrony Danych Osobowych, ul. Stawki 2, 00 – 193 Warszawa).
