DOLiS/DEC-673/13 - Dopuszczalność przetwarzania danych osobowych do celów rachunkowych oraz związanych z ewentualnymi roszczeniami powstałymi w związku z wykonywaniem czynności bankowych oraz innych wynikających z przepisów powszechnie obowiązującego prawa.

Na podstawie art. 104 § 1 ustawy z dnia 14 czerwca 1960 r. - Kodeks postępowania administracyjnego (Dz. U. z 2000 r. Nr 98, poz. 1071 z późn. zm.) oraz art. 12 pkt 2, art. 22, art. 23 ust. 1 pkt 2 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. z 2002 r. Nr 101, poz. 926 z późn. zm.), w związku z art. 105 ust. 4 oraz art. 105a ust. 4 i 5 ustawy z dnia 29 sierpnia 1997 r. - Prawo bankowe (tekst jedn.: Dz. U. z 2002 r. Nr 72, poz. 665 z późn. zm.), po przeprowadzeniu postępowania administracyjnego w sprawie skargi Pana S.Ł., zam. (...) reprezentowanego przez A.B. (G.(...)) na przetwarzanie jego danych osobowych przez S. Bank S.A. z siedzibą W., polegające na ich przekazaniu do zbioru B. S.A. z siedzibą w W. (...),

Do Biura Generalnego Inspektora Ochrony Danych Osobowych wpłynęła skarga Pana S.Ł., zam. (...) (dalej jako Skarżący) reprezentowanego przez A.B. (...), dalej jako Pełnomocnik, w związku z przetwarzaniem jego danych osobowych przez S. Bank S.A. z siedzibą W. (dalej jako Bank) polegającym na ich przekazaniu do zbioru B. S.A. z siedzibą w W. (dalej jako B.).

Pełnomocnik Skarżącego podniosła, że Bank bezprawnie udostępnił dane osobowe Skarżącego B. ponieważ Bank cyt.: "nie dopełnił spoczywającego na nim wymogu poinformowania (Skarżącego):

Ponadto Pełnomocnik wskazała, że Bank nie jest w stanie określić terminu "ewentualnego powiadomienia (Skarżącego) o zamiarze przetwarzania Jego danych osobowych w B., gdyż nie prowadzi archiwizacji dokumentów".

W związku z powyższym - z uwagi na to, że Bank nie doręczył skutecznie Skarżącemu oświadczenia o zamiarze przetwarzania jego danych osobowych w B. - Pełnomocnik wniosła o nakazanie Bankowi zaprzestania przetwarzania danych osobowych Skarżącego oraz ich usunięcia z B.

W toku przeprowadzonego postępowania wyjaśniającego w niniejszej sprawie Generalny Inspektor Ochrony Danych Osobowych ustalił, co następuje.

W związku z powyższym, Generalny Inspektor Ochrony Danych Osobowych zważył, co następuje.

Ustawa z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. z 2002 r. Nr 101, poz. 926 z późn. zm.), zwana dalej ustawą, określa zasady postępowania przy przetwarzaniu danych osobowych oraz prawa osób fizycznych, których dane osobowe są lub mogą być przetwarzane w zbiorach danych (art. 2 ust. 1 ustawy). W świetle przepisów powołanego aktu prawnego, przetwarzanie danych osobowych jest uprawnione, gdy spełniona zostanie którakolwiek z przesłanek wymienionych w art. 23 ust. 1 ustawy. Przesłanki te odnoszą się do wszelkich form przetwarzania danych wymienionych w art. 7 pkt 2 ustawy, w tym w szczególności do ich udostępnienia. Są także względem siebie równoprawne, co oznacza, że dla legalności procesu przetwarzania danych wystarczające jest spełnienie jednej z nich. Zgodnie natomiast z art. 23 ust. 1 pkt 2 ustawy, przetwarzanie danych osobowych jest dopuszczalne wtedy, gdy jest to niezbędne dla zrealizowania uprawnienia lub spełnienia obowiązku wynikającego z przepisu prawa. Tym samym, zgoda na przetwarzanie danych, o której mowa w art. 23 ust. 1 pkt 1 ustawy, nie jest jedyną przesłanką legalizującą proces przetwarzania danych osobowych.

Aktem prawnym zawierającym szczegółowe regulacje dotyczące procesu przetwarzania danych osobowych klientów banków jest przede wszystkim ustawa z dnia 29 sierpnia 1997 r. - Prawo bankowe (Dz. U. z 2002 r. Nr 72, poz. 665 z późn. zm.), zwana dalej Prawem bankowym.

Ocena legalności przetwarzania danych osobowych Skarżącego przez Bank, a także przez B. musi być zatem dokonywana w powiązaniu z przepisami Prawa bankowego.

Odnosząc się do kwestii przetwarzania danych osobowych Skarżącego przez zarówno przez Bank i B., wskazać należy, że B. jest instytucją utworzoną na podstawie art. 105 ust. 4 Prawa bankowego, który stanowi, że banki mogą, wspólnie z bankowymi izbami gospodarczymi, utworzyć instytucje do gromadzenia, przetwarzania i udostępniania: bankom - informacji stanowiących tajemnicę bankową w zakresie, w jakim informacje te są potrzebne w związku z wykonywaniem czynności bankowych, innym instytucjom ustawowo upoważnionym do udzielania kredytów - informacji o wierzytelnościach oraz o obrotach i stanach rachunków bankowych w zakresie, w jakim informacje te są niezbędne w związku z udzielaniem kredytów, pożyczek pieniężnych, gwarancji bankowych i poręczeń. Zgodnie z art. 105a ust. 1 Prawa bankowego, przetwarzanie przez banki, inne instytucje ustawowo upoważnione do udzielania kredytów oraz instytucje utworzone na podstawie art. 105 ust. 4 (np. B.), informacji stanowiących tajemnicę bankową w zakresie dotyczącym osób fizycznych może być wykonywane, z zastrzeżeniem art. 104, 105 i art. 106-106c., w celu oceny zdolności kredytowej i analizy ryzyka kredytowego. Informacje zawarte w B. służyć mają wypełnianiu przez banki jako instytucje zaufania publicznego ich ustawowych obowiązków związanych z koniecznością dokładania szczególnej staranności w zakresie zapewnienia bezpieczeństwa przechowywanych środków pieniężnych, czyli w zakresie ochrony depozytów (art. 50 ust. 2 Prawa bankowego), a także z koniecznością należytego badania zdolności kredytowej, od której istnienia (zgodnie z art. 70 ust. 1 Prawa bankowego), bank uzależnia udzielenie kredytu.

Mając na uwadze powyższe oraz fakt, że zobowiązania wynikające z umowy pożyczki, zawartej pomiędzy Skarżącym i Bankiem ma status rachunku zamkniętego, należy zaznaczyć, że B. przetwarzał dane osobowe Skarżącego do dnia (...) sierpnia 2012 r. zgodnie z art. 105a ust. 3 i 4 Prawa bankowego. Art. 105a ust. 3 Prawa bankowego stanowi, że instytucje, o których mowa w ust. 1, mogą przetwarzać informacje stanowiące tajemnicę bankową dotyczące osób fizycznych po wygaśnięciu zobowiązania wynikającego z umowy zawartej z bankiem lub inną instytucją ustawowo upoważnioną do udzielania kredytów, bez zgody osoby, której informacje dotyczą, gdy osoba ta nie wykonała zobowiązania lub dopuściła się zwłoki powyżej 60 dni w spełnieniu świadczenia wynikającego z umowy zawartej z bankiem lub inną instytucją ustawowo upoważnioną do udzielania kredytów, a po zaistnieniu tych okoliczności upłynęło co najmniej 30 dni od poinformowania tej osoby przez bank lub inną instytucję ustawowo upoważnioną do udzielania kredytów o zamiarze przetwarzania dotyczących jej informacji stanowiących tajemnicę bankową, bez jej zgody.

Z kolei zgodnie z treścią art. 105a ust. 4 Prawa bankowego, banki oraz instytucje, o których mowa w art. 105 ust. 4, mogą przetwarzać informacje stanowiące tajemnicę bankową dotyczące osób fizycznych po wygaśnięciu zobowiązania wynikającego z umowy zawartej z bankiem lub inną instytucją ustawowo upoważnioną do udzielania kredytów, bez zgody osoby, której informacje dotyczą, dla celów stosowania metod statystycznych, o których mowa w art. 128 ust. 3. Przetwarzanie informacji stanowiących tajemnicę bankową w przypadkach, o których mowa w ust. 3, może być wykonywane przez okres nie dłuższy niż 5 lat od dnia wygaśnięcia zobowiązania, a w przypadku, o którym mowa w ust. 4, przez okres 12 lat od dnia wygaśnięcia zobowiązania (art. 105a ust. 5 Prawa bankowego).

Odnośnie zarzutu Pełnomocnik Skarżącego, że Bank nie spełnił wobec niego obowiązku określonego w art. 105a pkt 3 Prawa bankowego, tj. nie poinformował go skutecznie o zamiarze przetwarzania dotyczących go informacji stanowiących tajemnicę bankową, bez jego zgody po wygaśnięciu zobowiązania wynikającego z umowy, wskazać należy, że wprawdzie nie ma obowiązku przesyłania listami poleconymi takiej korespondencji, niemniej jednak w niniejszym stanie faktycznym Bank nie dysponuje dowodem, iż korespondencja taka została do Skarżącego kiedykolwiek skierowana, a tym bardziej skutecznie mu doręczona. W konsekwencji powyższego Bank przychylił się do wniosku Skarżącego w dniu (...) sierpnia 2012 r. i dokonał korekty jego danych Skarżącego w zbiorze danych B., wskazując, iż warunki dla przetwarzania danych osobowych Skarżącego po wygaśnięciu zobowiązania nie zostały spełnione Aktualnie Bank przetwarza dane osobowe Skarżącego w celach archiwalnych. Zgodnie z art. 2 ust. 1 pkt 3 ustawy z dnia 29 września 1994 r. o rachunkowości (Dz. U. z 2009 r. Nr 152 poz. 1223 z późn. zm.), jednostki organizacyjne działające na podstawie Prawa bankowego mające siedzibę lub miejsce sprawowania zarządu na terytorium Rzeczypospolitej Polskiej zobowiązane są do stosowania jej przepisów, w tym wydanego na podstawie delegacji z art. 81 ust. 2 pkt 8 lit. a rozporządzenia ministra finansów z dnia 1 października 2010 r. (Dz. U. Nr 191, poz. 1279 z późn. zm.) w sprawie szczególnych zasad rachunkowości banków. Według dyspozycji art. 74 ust. 1 ustawy o rachunkowości, zatwierdzone roczne sprawozdania finansowe podlegają trwałemu przechowywaniu. Pozostałe zaś zbiory, w zależności od ich rodzaju, przechowuje się co najmniej przez okresy wymienione w art. 74 ust. 2 omawianej regulacji. I tak, w myśl przepisu art. 74 ust. 2 pkt 4 tego aktu prawnego, dowody księgowe dotyczące środków trwałych w budowie, pożyczek, kredytów oraz umów handlowych, roszczeń dochodzonych w postępowaniu cywilnym lub objętych postępowaniem karnym albo podatkowym - przez 5 lat od początku roku następującego po roku obrotowym, w którym operacje, transakcje i postępowanie zostały ostatecznie zakończone, spłacone, rozliczone lub przedawnione. Pozostałe dowody księgowe i dokumenty, tj. niebędące wymienionymi wprost w art. 74 ust. 2 pkt 1-7 ww. ustawy, przechowuje się przez okres 5 lat (art. 74 ust. 2 pkt 8). Obowiązek przechowywania przez banki dokumentacji w celach archiwalnych, wynikający z art. 74 ust. 2 pkt 8 ww. ustawy, odbywa się w celu realizacji uprawnień i obowiązków wynikających z ww. aktu prawnego, a więc w oparciu o przesłankę legalizującą przetwarzanie danych osobowych z art. 23 ust. 1 pkt 2 ustawy.

Konkludując, w niniejszej sprawie brak jest podstaw do zastosowania przepisu art. 18 ust. 1 ustawy, w myśl którego w przypadku naruszenia przepisów tej ustawy Generalny Inspektor z urzędu lub na wniosek osoby zainteresowanej, w drodze decyzji administracyjnej, nakazuje przywrócenie stanu zgodnego z prawem. Nakaz taki w przedmiotowej sprawie byłby bowiem niemożliwy do wykonania ze względu na charakter kwestionowanego zachowania, mianowicie jego nieodwracalność oraz ze względu na fakt, iż stanu niezgodności z prawem w dacie wydania decyzji nie stwierdzono.

Niezależnie od powyższego wskazać należy, że okoliczności ustalone w toku niniejszego postępowania stały się dla Generalnego Inspektora impulsem do skierowania do Banku wystąpienia zmierzającego do zapewnienia przestrzegania przepisów ustawy o ochronie danych osobowych w zakresie przetwarzania danych jego klientów.

W tym stanie faktycznym i prawnym Generalny Inspektor Ochrony Danych Osobowych rozstrzygnął, jak we wstępie.

Od niniejszej decyzji - na podstawie art. 127 § 3 Kodeksu postępowania administracyjnego w zw. z art. 21 ust. 1 ustawy o ochronie danych osobowych stronie niezadowolonej z niniejszej decyzji przysługuje, w terminie 14 dni od dnia jej doręczenia, prawo złożenia do Generalnego Inspektora Ochrony Danych Osobowych wniosku o ponowne rozpatrzenie sprawy (adres: Biuro Generalnego Inspektora Ochrony Danych Osobowych, ul. Stawki 2, 00 - 193 Warszawa).