DOLiS/DEC-675/10 - Decyzja GIODO z dnia 27 maja 2010 r. odmawiająca uwzględnienia usunięcia danych osobowych Skarżącej ze zbiorów danych prowadzonych przez BIK S.A.

Na podstawie art. 104 § 1 ustawy z dnia 14 czerwca 1960 r. - Kodeks postępowania administracyjnego (Dz. U. z 2000 r. Nr 98, poz. 1071 z późn. zm.), art. 12 pkt 2, art. 22, art. 23 ust. 1 pkt 2 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. z 2002 r. Nr 101, poz. 926 z późn. zm.) w zw. z art. 105a ust. 1 ustawy z dnia 29 sierpnia 1997 r. - Prawo bankowe (Dz. U. Z 2002 r. Nr 72, poz. 665 z późn. zm.), po przeprowadzeniu postępowania administracyjnego w sprawie skargi Pani E. T. zam. (...), reprezentowanej przez radcę prawnego K. N. z Kancelarii Radcy Prawnego z siedzibą w (...), na przetwarzanie jej danych osobowych przez Biuro Informacji Kredytowej S.A. z siedzibą w Warszawie (...), udostępnionych przez Bank S.A. z siedzibą w (...),

odmawiam uwzględnienia wniosku.

Do Generalnego Inspektora Ochrony Danych Osobowych wpłynęła skarga Pani E. T., zam. (...) (zwanej dalej Skarżącą), reprezentowanej przez radcę prawnego K. N. z Kancelarii Radcy Prawnego z siedzibą w (...)" na przetwarzanie jej danych osobowych przez Biuro Informacji Kredytowej S.A. z siedzibą w Warszawie (...) (zwaną dalej BIK S.A.), udostępnionych przez Bank S.A. z siedzibą w (...) (zwaną dalej Bankiem). W ww. skardze pełnomocnik Skarżącej wskazał, iż w dniu 18 lipca 2000 r. Skarżąca zawarła z Bankiem umowę o nr (...) o korzystnie z karty kredytowej Visa Elektron co-branded Banku S.A. Dalej wskazał, iż Skarżąca nigdy z ww. karty nie korzystała, gdyż agent Banku P. K. cyt. "dopuścił się bowiem oszustwa i kradzieży karty na szkodę E. T., co zostało stwierdzone wyrokiem Sądu Rejonowego w (...) VII Wydział Grodzki z dnia 19 maja 2006 r. w sprawie (...) oraz wyrokiem Sądu Okręgowego w (...) II Wydział Karny z dnia 29 września 2006 r. w sprawie sygn. Akt (...)", na dowód czego przesłał kopie ww. orzeczeń. Ponadto wskazał cyt. "jak ustalono w toku postępowania karnego P. K. doprowadził E. T. do niekorzystnego rozporządzenia mieniem w ten sposób, że w połowie sierpnia 2000 r. wziął od niej kartę kredytową VI SA Elektron Bank nr (...) wraz z numerem PIN celem rzekomego wyjaśnienia błędu związanego z wydaniem karty, a następnie korzystając z tej karty w bankomacie Bank S.A. (...) w (...) przy ul. (...) pobrał pieniądze w łącznej kwocie 31.162,81 zł działając z zamiarem przywłaszczenia tych pieniędzy." Na dowód powyższych twierdzeń załączono kopię wyroku z dnia 19 maja 2006 r. Sądu Rejonowego w (...) Wydział VII Grodzki (sygn. Akt..) oraz kopię wyroku z dnia 29 września 2006 r. Sądu Okręgowego w (...) II Wydział Karny (sygn. Akt..), wydanego na skutek apelacji i utrzymującego zaskarżony wyrok w mocy. Z ww. wyroku wynika, iż P. K. został cyt. "uznany za winnego tego, że w okresie od dnia 16 sierpnia 2000 r. do dnia 14.11. 2000 r. w (...) w wykonaniu z góry powziętego zamiaru, dokonał kradzieży łącznej kwoty 33700 (...) złotych na szkodę E. T. i K. T. w ten sposób, że w sierpniu 2000 r. zabrał od E. T. kartę kredytową VI SA Elektron co-branded Banku S.A. w (...) o numerze (...) wraz z numerem kodu PIN pod pozorem rzekomego wyjaśnienia błędu związanego z wydaniem przedmiotowej karty, a następnie posługując się opisaną kartą kredytową pobrał i zabrał w celu przywłaszczenia ww. kwotę z bankomatu ww. banku (...)." Ponadto P. K. został zobowiązany przez sąd do spłaty przywłaszczonej kwoty na rzecz pokrzywdzonych E. i K. T. kwoty 33700 zł W związku z powyższym pełnomocnik Skarżącej wniósł cyt. "o nakazanie Bankowi z siedzibą w (...) usunięcia danych osobowych E. T. z rejestru dłużników prowadzonego przez Biuro Informacji Kredytowej S.A (...) oraz o zasądzenie od skarżonego podmiotu kosztów postępowania według norm przepisanych."

Ustosunkowując się do zarzutów podniesionych w skardze, pismem z dnia 5 marca 2010 r. Bank wyjaśnił, iż przetwarza dane osobowe Skarżącej na podstawie zawartej z nią w dniu 18 lipca 2000 r. umowy nr (...) o korzystanie z karty kredytowej Visa Electron co-branded Banku S.A. Jako że ww. zobowiązanie Skarżącej nie zostało uregulowane, jej dane osobowe - jako dłużnika Banku - zostały przekazane przez Bank do BIK S.A. w dniu 30 kwietnia 2003 r. na podstawie art. 105 ust. 4 ustawy z dnia 29 sierpnia 1997 r. - Prawo bankowe (Dz. U. z 2002 r. Nr 72, poz. 665 z późn. zm.). Bank wskazał, iż zgodnie z zapisami ww. umowy wydał Skarżącej kartę kredytową, a tym samym udzielił pożyczki odnawialnej w wysokości 30000 zł. Zgodnie z zapisami Regulaminu ww. karty przesłał do Skarżącej listem poleconym m.in. ww. kartę kredytową, a następnie PIN do ww. karty. Ponadto wyjaśniono cyt. "ww. przesyłki zostały skierowane przez Bank na prawidłowy adres, co potwierdziła Pani T. w zawiadomieniu o przestępstwie (...). Przesyłki te zostały przez Panią T. wydane dobrowolnie osobie trzeciej, która nie była do tego umocowana tj. Panu P. K. W związku z faktem, iż prawidłowo doręczone przesyłki zostały przez Panią T. dobrowolnie wydane osobie trzeciej, Bank nie może ponosić odpowiedzialności za działania wykonane przy użyciu ww. przesyłek." Ponadto wskazano, iż zapadłe w Sądzie Rejonowym i Sądzie Okręgowym w (...) wyroki "nie unieważniają zobowiązania wynikającego z umowy numer (...) z dnia 18 lipca 2000 r. o korzystanie z karty kredytowej Visa Elektron co-branded, więc obowiązki z niej wynikające, a w szczególności obowiązek spłaty spoczywa na pani E. T."

W niniejszej sprawie, pismem z dnia 9 lutego 2010 r. wyjaśnienia złożył również BIK S.A. Wskazano, iż Bank przekazał dane osobowe Skarżącej do BIK S.A. cyt. "w dniu 5 kwietnia 2001 r. w zakresie dotyczącym umowy karty kredytowej (...) z dnia 14 sierpnia 2000 r., na podstawie art. 105 ust. 4 ustawy - Prawo bankowe oraz na podstawie łączącej strony umowy. Bank wprowadził również do zbioru danych BIK, w dniu 26 września 2002 r., rachunek, na którym zaewidencjonowano odsetki od przeterminowanego zadłużenia na ww. karcie kredytowej. Oba ww. rachunki mają obecnie status rachunków zamkniętych i przetwarzane są w celu stosowania przez banki metod statystycznych w oparciu o samodzielną podstawę prawną, jaką jest art. 105a ust. 4 i 5 w zw. z art. 105 ust. 4 ustawy prawo bankowe." Wyjaśniono również, iż w dniu 30 kwietnia 2003 r. Bank przekazał do BIK S.A. dane dotyczące rachunku o nr (...), na którym zaewidencjonowane zostały należności wynikające z ww. karty kredytowej. Ww. rachunek ma status rachunku otwartego w windykacji i przetwarzany jest przez BIK w celu oceny zdolności kredytowej i analizy ryzyka kredytowego. Wskazano ponadto, iż cyt. "Bank nie zwrócił się do BIK z dyspozycją zmiany statusu przedmiotowego rachunku."

W tym stanie faktycznym Generalny Inspektor Ochrony Danych Osobowych zważył, co następuje.

Ustawa z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. z 2002 r. Nr 101, poz. 926 z późn. zm.), zwana dalej ustawą, określa zasady postępowania przy przetwarzaniu danych osobowych oraz prawa osób fizycznych, których dane osobowe są lub mogą być przetwarzane w zbiorach danych (art. 2 ust. 1 ustawy). W świetle przepisów powołanego aktu prawnego, podstawowym obowiązkiem każdego administratora jest przetwarzanie danych osobowych z zachowaniem przesłanek określonych w ustawie. Wobec okoliczności niniejszej sprawy wskazać należy na przesłanki wymienione w art. 23 ust. 1 ustawy, zgodnie z którym przetwarzanie danych jest dopuszczalne tylko wtedy, gdy: 1) osoba, której dane dotyczą, wyrazi na to zgodę, chyba że chodzi o usunięcie dotyczących jej danych, 2) jest to niezbędne dla zrealizowania uprawnienia lub spełnienia obowiązku wynikającego z przepisu prawa, 3) jest to konieczne do realizacji umowy, gdy osoba, której dane dotyczą, jest jej stroną lub gdy jest to niezbędne do podjęcia działań przed zawarciem umowy na żądanie osoby, której dane dotyczą, 4) jest niezbędne do wykonania określonych prawem zadań realizowanych dla dobra publicznego, 5) jest to niezbędne dla wypełnienia prawnie usprawiedliwionych celów realizowanych przez administratorów danych albo odbiorców danych, a przetwarzanie nie narusza praw i wolności osoby, której dane dotyczą.

Aktem prawnym zawierającym szczegółowe regulacje dotyczące procesu przetwarzania danych osobowych klientów banków jest przede wszystkim ustawa z dnia 29 sierpnia 1997 r. - Prawo bankowe (Dz. U. z 2002 r. Nr 72, poz. 665 z późn. zm.). Zgodnie z art. 105 ust. 4 Prawa bankowego, banki mogą, wspólnie z bankowymi izbami gospodarczymi, utworzyć instytucje upoważnione do gromadzenia, przetwarzania i udostępniania: 1) bankom - informacji stanowiących tajemnicę bankową w zakresie, w jakim informacje te są potrzebne w związku z wykonywaniem czynności bankowych oraz w związku ze stosowaniem metod statystycznych, o których mowa w art. 128 ust. 3 oraz w art. 128d ust. 1, 2) innym instytucjom ustawowo upoważnionym do udzielania kredytów - informacji stanowiących tajemnicę bankową w zakresie, w jakim informacje te są niezbędne w związku z udzielaniem kredytów, pożyczek pieniężnych, gwarancji bankowych i poręczeń. W myśl art. 105a ust. 1 Prawa bankowego przetwarzanie przez banki, inne instytucje ustawowo upoważnione do udzielania kredytów oraz instytucje utworzone na podstawie art. 105 ust. 4, informacji stanowiących tajemnicę bankową w zakresie dotyczącym osób fizycznych może być wykonywane, z zastrzeżeniem art. 104, art. 105 i art. 106-106c, w celu oceny zdolności kredytowej i analizy ryzyka kredytowego.

Zatem wskazać należy, iż BIK S.A. jest uprawniony do przetwarzania danych osobowych Skarżącej w zakresie objętym ww. umową o kartę kredytową w celu oceny zdolności kredytowej i analizy ryzyka kredytowego, co znajduje uzasadnienie w obowiązujących przepisach prawa, a przesłanką legalizującą taki proces przetwarzania danych jest art. 23 ust. 1 pkt 2 ustawy, tj. jest to niezbędne dla zrealizowania uprawnienia lub spełnienia obowiązku wynikającego z przepisu prawa - w tym przypadku z przepisów prawa bankowego.

W niniejszej sprawie pełnomocnik Skarżącej podnosił, iż Skarżąca nigdy z ww. karty nie korzystała, gdyż agent Banku P. K. cyt. "dopuścił się bowiem oszustwa i kradzieży karty na szkodęE. T.", co zostało potwierdzone przez sąd powszechny, tj. wyrokiem Sądu Rejonowego w (...) VII Wydział Grodzki z dnia 19 maja 2006 r. w sprawie VII (...) oraz wyrokiem Sądu Okręgowego w (...) II Wydział Karny z dnia 29 września 2006 r. w sprawie sygn. akt (...).

Jednakże stwierdzić należy, iż ww. orzeczenia nie zwalniają Skarżącej z ciążącego na niej zobowiązania wobec Banku. Słusznie wskazał Bank, iż przesyłki kierowane do Skarżącej, zawierające ww. kartę kredytową oraz numer PIN do ww. karty zostały dobrowolnie wydane przez Skarżącą osobie trzeciej, która nie była do tego umocowana, tj. P. K., w związku z czym Bank nie może ponosić odpowiedzialności za działania wykonane przy użyciu ww. karty i numeru PIN. Jednocześnie wskazać należy, że na podstawie art. 189 ustawy z dnia 17 listopada 1964 r. - Kodeks postępowania cywilnego (Dz. U. Nr 43, poz. 296 z późn. zm.), powód może żądać ustalenia przez sąd istnienia lub nieistnienia stosunku prawnego lub prawa, gdy ma w tym interes prawny. Zatem o ustaleniu nieistnienia stosunku cywilnoprawnego łączącego Skarżącą z Bankiem, a tym samym o zwolnieniu jej ze zobowiązania wobec Banku, może rozstrzygnąć wyłącznie sąd powszechny po rozpatrzeniu sprawy wniesionej w drodze powództwa cywilnego. Istotnym jest tu również stanowisko Wojewódzkiego Sądu Administracyjnego w Warszawie, który w wyroku z dnia 6 lipca 2006 r. (sygn. akt II SA/Wa 2226/05) stwierdził, że "dopóki ważność umowy nie zostanie podważona we właściwym trybie i formie, umowa stanowi dokument wywołujący określone skutki prawne podlegające także ocenie w świetle ustawy o ochronie danych osobowych." Dopiero w sytuacji, gdyby sąd cywilny stwierdził prawomocnym orzeczeniem, iż Skarżąca nie jest dłużnikiem Banku, Generalny Inspektor mógłby nakazać usunięcie jej danych z BIK S.A. w zakresie przedmiotowej umowy. Natomiast dopóki sąd powszechny nie stwierdzi powyższego prawomocnym wyrokiem, nie można oceniać działań Banku, polegających na przekazaniu danych osobowych Skarżącej do BIK S.A. w zakresie przedmiotowej umowy, w kontekście naruszenia przepisów ustawy o ochronie danych osobowych.

Natomiast odnosząc się do wniosku pełnomocnika Skarżącej cyt. "o zasądzenie od skarżonego podmiotu kosztów postępowania według norm przepisanych" wskazać należy, iż Generalny Inspektor nie jest podmiotem uprawnionym do rozstrzygania o kosztach postępowania.

Mając powyższe na względzie, w tym stanie prawnym i faktycznym, Generalny Inspektor Ochrony Danych Osobowych rozstrzygnął, jak na wstępie.

Decyzja niniejsza jest ostateczna. Na podstawie art. 21 ust. 1 ustawy o ochronie danych osobowych, w związku z art. 127 Kodeksu postępowania administracyjnego, stronie niezadowolonej z niniejszej decyzji przysługuje, w terminie 14 dni od dnia jej doręczenia, prawo złożenia do Generalnego Inspektora Ochrony Danych Osobowych wniosku o ponowne rozpatrzenie sprawy (adres: Biuro Generalnego Inspektora Ochrony Danych Osobowych, ul. Stawki 2, 00 - 193 Warszawa).