DOLiS/DEC- 471/13/25604, 25608, 25616 - Dopuszczalność przetwarzania przez bank danych w celu monitorowania sytuacji i aktywności kredytowej klienta.

Pisma urzędowe
Status:  Aktualne

Pismo z dnia 24 kwietnia 2013 r. Generalny Inspektor Ochrony Danych Osobowych DOLiS/DEC- 471/13/25604, 25608, 25616 Dopuszczalność przetwarzania przez bank danych w celu monitorowania sytuacji i aktywności kredytowej klienta.

DECYZJA

Na podstawie art. 104 § 1 ustawy z dnia 14 czerwca 1960 r. - Kodeks postępowania administracyjnego (Dz. U. z 2013 r. poz. 267), art. 12 pkt 2, art. 22, art. 23 ust. 1 pkt 2 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. z 2002 r. Nr 101, poz. 926 z późn. zm.) oraz art. 70 ust. 1 ustawy z dnia 29 sierpnia 1997 r. - Prawo bankowe (Dz. U. z 2012 r. poz. 1376 z późn. zm.) po przeprowadzeniu postępowania administracyjnego w sprawie skargi Pana J.W. na przetwarzanie jego danych osobowych przez B. S.A w związku ze skierowaniem do Biura Informacji Kredytowej S.A. z siedzibą w Warszawie przy ul. Modzelewskiego 77a zapytań określonych jako "Monitorujące oraz w celu zarządzania klientem"

odmawiam uwzględnienia wniosku

UZASADNIENIE

Do Biura Generalnego Inspektora Ochrony Danych Osobowych wpłynęła skarga Pana J.W., zwanego dalej Skarżącym, na "pozyskiwanie danych z BIK SA przez B.". Skarżący wskazał, że jest klientem B., zwanego dalej Bankiem, z którym łączy go umowa kredytu gotówkowego (...). Dodał: "Należności regulowane są bez opóźnień". Skarżący podniósł: "W dniu (...).04.2012 r. pobrałem raport z Biura Informacji Kredytowej S.A. (z siedzibą w Warszawie przy ul. Modzelewskiego 77a, zwanego dalej BIK S.A. - przyp. GIODO) (...). Ku mojemu zdziwieniu, widniały w nim dwa sprawdzenia, wykonane przez B. S.A., określone jako »Monitorujące oraz w celu zarządzania klientem«.Za pośrednictwem infolinii, zwróciłem się do banku z pytaniem, dlaczego wykonuje zapytania dotyczące mojej osoby (...). Bank stwierdził, że wykonywanie powyższych zapytań nie wymaga mojej zgody. (...) Zwróciłem się więc do banku za pośrednictwem infolinii, z wnioskiem o określenie podstawy prawnej takiego stanowiska". Bank w odpowiedzi z dnia (...) maja 2012 r. poinformował Skarżącego, że zgodnie z zapisami ww. umowy "udzielona przez Kredytobiorcę zgoda obejmuje prawo do przetwarzania przez BIK SA informacji stanowiących tajemnicę bankową dotyczącą wszystkich zobowiązań Kredytobiorcy po ich wygaśnięciu oraz zobowiązań wygasłych na dzień niniejszego oświadczenia wobec banku, innych banków i instytucji upoważnionych do udzielania Kredytów w celu oceny zdolności kredytowej i analizy rynka kredytowego". Według Skarżącego: "Stanowisko banku jest absurdalne, ze względu na fakt, że wyjaśnienie dotyczy zgody, której udzielenie upoważnia BIK do rozszerzenia zakresu czasowego przetwarzania danych. Zgoda, na którą powołuje się bank, w żadnym wypadku nie upoważnia B. do okresowego pozyskiwania informacji o moich zobowiązaniach. Argumentacja banku jest tym bardziej absurdalna, że w powołanej umowie nie wyraziłem przedmiotowej zgody (...). Dlatego też, ponownie zwróciłem się do banku, w formie pisemnej, z pytaniem o właściwą podstawę prawną, uzasadniającą jego działania, powołując powyższą argumentację. Bank odmówił udzielenia odpowiedzi (...)". Jak wynika z załączonej do skargi kopii pisma Banku do Skarżącego z dnia (...) maja 2012 r., wskazano w nim: "wszelkie merytoryczne wyjaśnienia zostały przedstawione Panu w piśmie z dnia (...).05.2012 (...)".

Uzupełniając skargę, Skarżący przesłał do Biura GIODO kopię umowy kredytu gotówkowego nr: (...) zawartej z Bankiem dnia (...) kwietnia 2010 r. W ust. 9 pkt 7 umowy Skarżący nie wyraził zgody na przetwarzanie przez Bank i BIK S.A. informacji go dotyczących, stanowiących tajemnicę bankową, po wygaśnięciu zobowiązania wynikającego z umowy. Ten punkt zawiera też informację wynikającą z art. 105a ust. 3 ustawy z dnia 29 sierpnia 1997 r. - Prawo bankowe (Dz. U. z 2012 r. poz. 1376 z późn. zm.).

W celu rozpatrzenia skargi Generalny Inspektor zwrócił się do Banku i BIK S.A. o złożenie w sprawie pisemnych wyjaśnień i potwierdzających je dowodów.

W wyjaśnieniach Banku wskazano:

1.

Bank przetwarza dane osobowe Skarżącego w zakresie: imię, nazwisko, PESEL, seria i numer dokumentu tożsamości, adres zameldowania, adres korespondencyjny, data i miejsce urodzenia, imiona rodziców, nazwisko panieńskie matki, płeć, stan cywilny, nr klienta, numer kontraktów bankowych, adres e-mail, nr telefonu komórkowego, obroty na rachunku bankowym. Dane te są przetwarzane w zbiorze (...).

2.

Bank przetwarza ww. dane w celu realizacji umów zawartych ze Skarżącym: umowy z dnia (...) września 2004 r. o prowadzenie bankowych rachunków oszczędnościowo-rozliczeniowych, Ramowej Umowy Kredytowej z dnia (...) kwietnia 2010 r. oraz Umowy Kredytu gotówkowego nr: (...) z dnia (...) kwietnia 2010 r.

3.

"Ponieważ Skarżący posiada relację z Bankiem w postaci m.in. produktu kredytowego, Bank realizując zapisy Prawa bankowego (art. 9 i następne ustawy - Prawo Bankowe), jak również Rekomendacji T stanowiącej zbiór dobrych praktyk w zakresie zarządzania ryzykiem detalicznych ekspozycji kredytowych wydanej przez Komisję Nadzoru Finansowego, prowadzi monitoring udzielonych kredytów. Jedną z czynności wykonywanych w ramach monitoringu jest weryfikacja sytuacji kredytowej klientów poprzez bazę Biura Informacji Kredytowej. W dniu (...).03.2012 r. Bank dokonał dwóch zapytań monitorujących, których celem była analiza ryzyka kredytowego związanego z umową kredytową. Ponadto Bank dokonuje weryfikacji sytuacji kredytowej klienta w celu zaproponowania np. nowej oferty kredytowej".

4.

Ponadto Bank podał, że składał w BIK S.A. dotyczące Skarżącego zapytania dnia:

1)

(...) marca 2012 r. w związku z weryfikacją sytuacji kredytowej Skarżącego w celu zaproponowania nowej oferty kredytowej,

2)

(...) kwietnia 2012 r. w związku z reklamacją Skarżącego zarejestrowaną w Banku dnia (...) kwietnia 2012 r., operator mLinii pobrał zapytanie za pośrednictwem przeglądarki internetowej - zapytania i raporty pobrane w takim trybie nie są przechowywane w zasobach Banku w wersji elektronicznej;

3)

(...) czerwca 2012 r. zapytanie typu zarządzanie konsumentami pobrane w trybie offline w ramach zapytań pakietowych.

BIK S.A. wyjaśnił, że dane osobowe Skarżącego zostały przekazane do tego podmiotu przez Bank i wprowadzone do zbioru danych BIK S.A. dnia (...) maja 2012 r. w zakresie umowy kredytu gotówkowego z dnia (...) kwietnia 2010 r. na podstawie art. 105 ust. 4 Prawa bankowego i łączącej strony umowy. Podano, że Bank składał do BIK S.A. następujące zapytania dotyczące Skarżącego: w dniach (...) marca i (...) czerwca 2012 r. zapytania w celu zarządzania klientem, a dnia (...) kwietnia 2012 r. zapytanie dotyczące monitoringu klienta. Wyjaśniono, że Bankowy Raport Monitorujący Klient Indywidualny jest udostępniany w celu monitorowania przez banki sytuacji i aktywności kredytowej swojego klienta, natomiast Bankowy Raport Zarządzanie Klientem Indywidualnym - w związku z wykonywaniem czynności bankowych, związanych z zarządzaniem klientem innych niż udzielanie nowego zobowiązania i/lub monitorowanie kredytobiorcy.

Generalny Inspektor Ochrony Danych Osobowych zważył, co następuje:

W myśl art. 2 ust. 1 ustawy o ochronie danych osobowych, zwanej dalej ustawą, określa ona zasady postępowania przy przetwarzaniu danych osobowych oraz prawa osób fizycznych, których dane osobowe są lub mogą być przetwarzane w zbiorach danych. Przetwarzanie danych osobowych, przez które wg art. 7 ust. 2 ustawy rozumie się m.in. jakiekolwiek operacje na nich wykonywane, w tym ich udostępnianie, jest dopuszczalne przy zaistnieniu co najmniej jednej z przesłanek wymienionych w art. 23 ust. 1 ustawy, które co do zasady są równoprawne, czyli m.in. gdy osoba, której dane dotyczą, wyrazi na to zgodę, chyba że chodzi o usunięcie dotyczących jej danych (pkt 1), jak również gdy jest to niezbędne dla zrealizowania uprawnienia lub spełnienia obowiązku wynikającego z przepisu prawa (pkt 2). Zgoda osoby, której dane dotyczą, nie tylko nie jest jedyną i wyłączną okolicznością czyniącą proces przetwarzania tych danych legalnym, ale też ustawa o ochronie danych osobowych nie daje żadnych podstaw, by traktować ją w sposób uprzywilejowany, jako przesłankę główną, podstawową (J. Barta, P. Fajgielski, R. Markiewicz, "Ochrona danych osobowych. Komentarz", 5 wydanie, Wolters Kluwer Polska Sp. z o.o., Warszawa 2011, s. 447).

W niniejszej sprawie Skarżący zakwestionował przetwarzanie jego danych osobowych przez Bank w związku ze skierowaniem do BIK S.A. zapytań określonych jako "Monitorujące oraz w celu zarządzania klientem"

Aktem prawnym szczegółowo regulującym kwestie przetwarzania danych osobowych klientów banków jest przede wszystkim Prawo bankowe. Dlatego ocena przetwarzania danych osobowych Skarżącego przez ww. podmioty powinna być dokonywana w powiązaniu z przepisami tej ustawy.

Stosownie do art. 105 ust. 4 Prawa bankowego banki mogą, wspólnie z bankowymi izbami gospodarczymi, utworzyć instytucje upoważnione do gromadzenia, przetwarzania i udostępniania:

1)

bankom - informacji stanowiących tajemnicę bankową w zakresie, w jakim informacje te są potrzebne w związku z wykonywaniem czynności bankowych oraz w związku ze stosowaniem metod statystycznych, o których mowa w art. 128 ust. 3 oraz w art. 128d ust. 1,

2)

innym instytucjom ustawowo upoważnionym do udzielania kredytów - informacji stanowiących tajemnicę bankową w zakresie, w jakim informacje te są niezbędne w związku z udzielaniem kredytów, pożyczek pieniężnych, gwarancji bankowych i poręczeń.

Do instytucji utworzonych na podstawie powołanego przepisu należy m.in. BIK S.A. W myśl art. 105a ust. 1 Prawa bankowego przetwarzanie przez banki, inne instytucje ustawowo upoważnione do udzielania kredytów oraz instytucje utworzone na podstawie art. 105 ust. 4, informacji stanowiących tajemnicę bankową w zakresie dotyczącym osób fizycznych może być wykonywane, z zastrzeżeniem art. 104, art. 105 i art. 106-106c, w celu oceny zdolności kredytowej i analizy ryzyka kredytowego.

Jak wynika ze zgromadzonego w sprawie materiału dowodowego, przekazanie przez Bank do BIK S.A. danych osobowych Skarżącego nastąpiło w związku z zawarciem z nim ww. umowy kredytu gotówkowego i w czasie trwania wynikającego z tej umowy stosunku zobowiązaniowego, czyli na podstawie art. 23 ust. 1 pkt 2 ustawy w zw. z art. 105 ust. 4 i art. 105a ust. 1 Prawa bankowego. Podkreślenia wymaga, że dla legalności tego udostępnienia zgoda Skarżącego nie była wymagana.

Zaznaczyć należy, że zgoda Skarżącego byłaby wymagana jedynie do przetwarzania jego danych osobowych po wygaśnięciu zobowiązania wynikającego z umowy kredytu gotówkowego zawartej z Bankiem w celu oceny zdolności kredytowej i analizy ryzyka kredytowego na podstawie art. 105a ust. 2 Prawa bankowego i to wyłącznie wtedy, gdyby był tzw. klientem rzetelnym, czyli wywiązującym się terminowo ze zobowiązania wobec Banku wynikającego z umowy. W niniejszej sprawie przepis ten jednak nie znajduje zastosowania nie tylko dlatego, że Skarżący tej zgody w ww. umowie nie wyraził, ale przede wszystkim z tego powodu, że ww. zobowiązanie nie wygasło.

Podnieść należy, że informacje zawarte w BIK S.A. służyć mają wypełnianiu przez banki jako instytucje zaufania publicznego ich ustawowych obowiązków określonych w przepisach Prawa bankowego. Zgodnie z art. 50 ust. 2 tej ustawy bank dokłada szczególnej staranności w zakresie zapewnienia bezpieczeństwa przechowywanych środków pieniężnych. W myśl art. 70 ust. 1 ww. ustawy bank uzależnia przyznanie kredytu od zdolności kredytowej kredytobiorcy. Przez zdolność kredytową rozumie się zdolność do spłaty zaciągniętego kredytu wraz z odsetkami w terminach określonych w umowie. Kredytobiorca jest obowiązany przedłożyć na żądanie banku dokumenty i informacje niezbędne do dokonania oceny tej zdolności. Wg ust. 3 tego przepisu, kredytobiorca jest obowiązany umożliwić podejmowanie przez bank czynności związanych z oceną sytuacji finansowej i gospodarczej oraz kontrolę wykorzystania i spłaty kredytu. Z powołanych przepisów wynika, że badanie zdolności kredytowej, na którą składa się zdolność do spłaty zobowiązań i wiarygodność kredytowa, jest niezwykle istotnym elementem w działalności banku. BIK S.A. zostało utworzone właśnie w celu zmniejszenia dla banków i instytucji kredytowych ryzyka udzielania trudnych kredytów, przyśpieszenia i uproszczenia procedur kredytowych oraz wspomagania decyzji banków dotyczących udzielania kredytu.

Na uzasadnienie legalności działań Banku w analizowanej sprawie powołać należy również stanowisko doktryny. W literaturze przedmiotu wskazuje się: "Prowadzenie działalności kredytowej przez bank pociąga za sobą tzw. ryzyko kredytowe, na które przede wszystkim składa się obawa, że klient nie będzie w stanie zapewnić wymaganych środków pieniężnych do zwrotu kredytu i przeprowadzenia transakcji, zwykle z powodu bankructwa lub problemów z płynnością finansową (...). Długoletnia praktyka obrotu bankowego wykształciła szereg sposobów niwelowania skutków narażenia banku na mogące wyniknąć stąd straty - zabezpieczenie interesów banku następuje zawsze kompleksowo, tzn. nie tylko na etapie egzekucji, ale również na etapach zawiązywania i trwania stosunku kredytowego. (...) Obok zapewnienia skutecznej egzekucji należności banku z tytułu niespłaconego kredytu, zapobieżenie konieczności jej przeprowadzenia jest bowiem równie, jeśli nie bardziej, istotne. Właśnie temu celowi służy instytucja zdolności kredytowej wraz ze wszystkimi mechanizmami kontroli jej istnienia i zachowania (...). Najogólniej rzecz ujmując, kontrolowanie zdolności kredytowej polega na pozyskiwaniu, gromadzeniu i ocenie przez bank informacji dotyczących kondycji finansowej kredytobiorcy (...). Dokonywanie analizy zdolności kredytowej klienta banku zaczyna się w chwili złożenia przezeń wniosku o udzielenie kredytu i w razie zawarcia umowy powtarza się wielokrotnie aż do zakończenia stosunku umownego. (...) Rzeczywista możliwość zwrotu kredytu na tle art. 69 pr.bank., przesądzającego, że przedmiotem kredytowania mogą być wyłącznie środki pieniężne, to trwała dyspozycja do zapłaty (spłaty kredytu zgodnie z umową). Klient banku ma zdolność kredytową wówczas, gdy istniejące w dniu jej weryfikacji okoliczności uzasadniają graniczącą z pewnością realizacji prognozę, że kredytobiorca w całym okresie, na jaki umowa kredytu została zawarta, będzie w stanie sprostać obowiązkowi dokonywania spłat, a z upływem tego okresu będzie mógł zwrócić kredyt i uregulować należności uboczne" (Janusz Molis, "Komentarz do art. 70 ustawy - Prawo bankowe" w: Zoll F. (red.), Adamek A., Bitner-Przybylska K., Brożyna M., Chudzik M., Frań-Adamek A., Karasek I., Kohutek K., Korus K., Kwaśnicki R., Lachner J., Molis J., Olczyk M., Płończyk K., Podlasko P., Porzycki M., Rataj A., Rogoń D., Rusinek M., Spyra M., Spyra T., Szuster S., Tereszkiewicz P., Wacławik A., Wejman F., Wyrwiński M. "Prawo bankowe. Komentarz. Tom I i II", Zakamycze, 2005).

Ponadto wskazać należy na art. 9 i następne Prawa bankowego. Zgodnie z art. 9 tej ustawy w banku funkcjonuje system zarządzania (ust. 1), a w jego ramach co najmniej system zarządzania ryzykiem (ust. 3 pkt 1), którego zadaniem jest identyfikacja, pomiar lub szacowanie oraz monitorowanie ryzyka występującego w działalności banku służące zapewnieniu prawidłowości procesu wyznaczania i realizacji szczegółowych celów prowadzonej przez bank działalności (art. 9b ust. 1). Na podstawie art. 9f ww. ustawy Komisja Nadzoru Finansowego podjęła uchwałę Nr 258/2011 z dnia 4 października 2011 r. w sprawie szczegółowych zasad funkcjonowania systemu zarządzania ryzykiem i systemu kontroli wewnętrznej (...) (Dz. Urz. KNF Nr 11, poz. 42). W myśl § 13 ust. 1 pkt 1 tej uchwały w ramach realizowanych strategii i stosowanych procedur zarządzania ryzykiem bank wprowadza w szczególności w zakresie ryzyka kredytowego i kontrahenta kryteria oceny zdolności kredytowej klientów banku, umożliwiające ograniczanie ryzyka kredytowego związanego z produktami i usługami, które bank oferuje.

Mając na względzie bezpieczeństwo sektora bankowego, Komisja Nadzoru Finansowego podjęła w lutym 2010 r. decyzję o wprowadzeniu "Rekomendacji T dotyczącej dobrych praktyk w zakresie zarządzania ryzykiem detalicznych ekspozycji kredytowych". KNF uznała proces oceny zdolności kredytowej za szczególnie istotny dla prawidłowego zarządzania ryzykiem w bankach. W Rekomendacji zaznaczono: "W ocenie zdolności i wiarygodności kredytowej banki nie powinny pomijać zaangażowań, za których spłatę klienci są odpowiedzialni. Co do zasady analiza wartości i jakości zobowiązań oraz dochodów klientów powinna dotyczyć osób zobowiązanych do spłaty ekspozycji kredytowej. Banki powinny zapewnić taki sposób gromadzenia i weryfikacji informacji w tym zakresie, aby ograniczyć ryzyko niedoszacowania poziomu obciążenia spłatą. Jednym z niezbędnych działań w tym zakresie jest korzystanie z wewnętrznych i zewnętrznych baz danych o posiadanych zobowiązaniach i historii ich obsługi (na zasadzie wzajemności tzn. także zasilania takich baz). (...) Zachowanie wiarygodności oceny powinno wynikać z możliwości pozyskania przez bank obiektywnych danych, w tym również ze źródeł zewnętrznych, pozwalających na weryfikację deklaracji i oświadczeń składanych przez kredytobiorcę". W Rekomendacji T wskazano, że zawarte w niej rekomendacje "stanowią ramy dla poprawnego zarządzania oraz oceny ryzyka detalicznych ekspozycji kredytowych oraz są zbiorem zaleceń w stosunku do wewnętrznych systemów kontroli (...)". W wyjaśnieniach Banku wyszczególniono rekomendację 15, stanowiącą: "Przez cały okres obowiązywania umowy kredytowej odnoszącej się do detalicznej ekspozycji kredytowej bank powinien monitorować wiarygodność kredytową osób zobowiązanych do spłaty".

Jednocześnie zaznaczyć należy, że Generalny Inspektor nie dokonywał w niniejszej sprawie oceny prawidłowości wykonywania przez Bank umowy kredytu gotówkowego zawartej przez Skarżącego. Organ ochrony danych osobowych nie jest władny stwierdzić, czy umowa ta była rzetelnie wykonywana. Jest to bowiem sprawa z zakresu stosunku zobowiązaniowego, a badanie tych kwestii nie należy do kompetencji GIODO. Organem właściwym do dokonywania oceny umów cywilno-prawnych pod kątem ich legalności jest wyłącznie sąd powszechny (zgodnie z wyrokiem Naczelnego Sądu Administracyjnego z dnia 6 czerwca 2005 r., sygn. akt I OPS 2/2005). Ponadto zgodnie z art. 131 ust. 1 Prawa bankowego działalność banków, oddziałów i przedstawicielstw banków zagranicznych, oddziałów i przedstawicielstw instytucji kredytowych podlega nadzorowi bankowemu sprawowanemu przez Komisję Nadzoru Finansowego w zakresie i na zasadach określonych w tej ustawie i w ustawie z dnia 21 lipca 2006 r. o nadzorze nad rynkiem finansowym (Dz. U. z 2012 r. poz. 1149 z późn. zm.).

W świetle ustalonego stanu faktycznego sprawy oraz powołanych przepisów prawa nie można podzielić stanowiska Skarżącego, że doszło do naruszeń w procesie przetwarzania przez Bank danych osobowych Skarżącego pozyskanych w związku z zawartą z nim umową kredytową na skutek skierowania przez Bank do BIK S.A. zapytań określonych jako "Monitorujące oraz w celu zarządzania klientem"

W tym stanie faktycznym i prawnym Generalny Inspektor Ochrony Danych Osobowych rozstrzygnął, jak w sentencji.

Na podstawie art. 21 ust. 1 ustawy o ochronie danych osobowych i art. 129 § 2 Kodeksu postępowania administracyjnego stronie niezadowolonej z niniejszej decyzji przysługuje w terminie 14 dni od dnia jej doręczenia prawo złożenia do Generalnego Inspektora Ochrony Danych Osobowych wniosku o ponowne rozpatrzenie sprawy (adres: Biuro Generalnego Inspektora Ochrony Danych Osobowych, ul. Stawki 2, 00 - 193 Warszawa).

Opublikowano: www.giodo.gov.pl