DOLiS/DEC - 849/12/55351 - Dopuszczalność przetwarzania danych osobowych przez bank dokonujący przelewu wierzytelności.
Pismo z dnia 12 września 2012 r. Generalny Inspektor Ochrony Danych Osobowych DOLiS/DEC - 849/12/55351 Dopuszczalność przetwarzania danych osobowych przez bank dokonujący przelewu wierzytelności.
DECYZJA
Na podstawie art. 104 § 1 ustawy z dnia 14 czerwca 1960 r. - Kodeks postępowania administracyjnego (Dz. U. z 2000 r. Nr 98, poz. 1071 z późn. zm.), art. 12 pkt 2, art. 22, art. 23 ust. 1 pkt 2 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. z 2002 r. Nr 101, poz. 926 z późn. zm.),
po przeprowadzeniu postępowania administracyjnego w sprawie skargi Pana W. P., na przetwarzanie jego danych osobowych przez Bank S. A. oraz B. (...) Fundusz Inwestycyjnych Zamknięty, zarządzany przez oraz B. Towarzystwo Funduszy Inwestycyjnych S.A.,
odmawiam uwzględnienia wniosku.
UZASADNIENIE
Do Biura Generalnego Inspektora Ochrony Danych Osobowych wpłynęła skarga Pana W. P, zwanego dalej Skarżącym, na przetwarzanie jego danych osobowych przez Bank S. A., zwany dalej również Bankiem, oraz B. (...) Fundusz Inwestycyjnych Zamknięty, zarządzany przez oraz B. Towarzystwo Funduszy Inwestycyjnych S.A., zwane dalej Towarzystwem.
W treści ww. skargi Skarżący wniósł o zbadanie procesu legalności przetwarzania jego danych osobowych przez Bank S.A. oraz B. Towarzystwo Funduszy Inwestycyjnych S.A., poprzez udostępnienie ich " (...) z jednej instytucji do drugiej (...)".
W celu rozpatrzenia przedmiotowego wniosku Generalny Inspektor Ochrony Danych Osobowych przeprowadził postępowanie wyjaśniające, w toku którego ustalił następujące okoliczności faktyczne.
Bank aktualnie przetwarza dane osobowe Skarżącego w celach archiwalnych w zakresie określonym w Raporcie (między innymi: imię i nazwisko, adres zamieszkania, numer i seria dowodu osobistego, numeru telefonu, stan cywilny) według stanu na dzień (...) grudnia 2011 r. w zbiorze danych o nazwie "R.".
Bank przekazał B.(...) FIZ na podstawie umowy sprzedaży wierzytelności zawartej w dniu (...)-04-2011 r. dane osobowe Skarżącego w szczególności: imię i nazwisko, adres zamieszkania, numer ewidencyjny PESEL, seria dowodu osobistego, numer telefonu,
Administratorem danych Skarżącego jest B.(...) Fundusz Inwestycyjny Zamknięty (zwany dalej Funduszem lub B.(...) FIZ) zarządzany przez B. Towarzystwo Funduszy Inwestycyjnych S.A., zwanej dalej Spółką.
Zawiadomienie o przelewie wierzytelności oraz informację o przetwarzaniu danych B. Towarzystwo Funduszy Inwestycyjnych S.A. przekazała W. P. pismami z dnia (...).08.2011 r. oraz pismem z dnia (...).08.2011 r. Skarżący został ponadto wezwany do zapłaty kwoty (...) zł. Kwota ta została przez Skarżącego uregulowana. Z chwilą spłaty zadłużenia B.(...) FIZ zaprzestał przetwarzania danych osobowych W. P. w celu windykacji wierzytelności i obecnie przetwarza je wyłącznie w celu wykonania obowiązku przechowywania ksiąg podatkowych i związanych z nimi dokumentów. Zakres przetwarzanych danych obejmuje informacje identyfikujące dłużnika (imię, nazwisko, PESEL) oraz spłaconą wierzytelność (dane zawarte w dokumentach, na podstawie których dokonano ujęcia wierzytelności lub zmian jej stanu w księgach rachunkowych wierzyciela - umowie kredytu, umowie sprzedaży wierzytelności, dowodach wpłat).
Po zapoznaniu się z całością zgromadzonego w sprawie materiału dowodowego, Generalny Inspektor Ochrony Danych Osobowych zważył, co następuje.
Generalny Inspektor Ochrony Danych Osobowych dokonał na podstawie zgromadzonego w niniejszej sprawie materiału dowodowego oceny legalności przetwarzania danych osobowych Skarżącego, w szczególności legalność udostępnienia przez ww. Bank jego danych osobowych na rzecz B.(...) Fundusz Inwestycyjny Zamknięty zarządzany przez B. Towarzystwo Funduszy Inwestycyjnych S.A. Organ ochrony danych osobowych, działając na podstawie i w granicach ustawowych kompetencji przyznanych mu ustawą o ochronie danych osobowych badał, czy u podstaw przetwarzania przez ww. podmioty znajduje się jedna z przesłanek legalizujących przetwarzanie danych osobowych określonych w art. 23 ust. 1 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. z 2002 r. Nr 101, poz. 926 z późn. zm.), zwanej dalej również ustawą. Przetwarzanie może być uznane za zgodne z prawem jedynie wówczas, gdy administrator danych wykaże się spełnieniem co najmniej jednej z materialnych przesłanek przetwarzania danych osobowych. Przesłanki te - co do zasady są równoprawne i zostały enumeratywnie wymienione w art. 23 ust. 1 ustawy. Na mocy tego przepisu przetwarzanie danych jest dopuszczalne nie tylko za zgodą osoby, której dane dotyczą (art. 23 ust. 1 pkt 1 ustawy), ale również wtedy, gdy jest to niezbędne dla zrealizowania uprawnienia lub spełnienia obowiązku wynikającego z przepisu prawa (art. 23 ust. 1 pkt 2), a także gdy jest to niezbędne dla wypełnienia prawnie usprawiedliwionych celów realizowanych przez administratorów danych albo odbiorców danych, a przetwarzanie nie narusza praw i wolności osoby, której dane dotyczą (art. 23 ust. 1 pkt 5 ustawy). Za prawnie usprawiedliwiony cel, o którym mowa w art. 23 ust. 1 pkt 5 ustawy, uważa się w szczególności dochodzenie roszczeń z tytułu prowadzonej działalności gospodarczej (art. 23 ust. 4 pkt 2 ustawy). określa zasady postępowania przy przetwarzaniu danych osobowych oraz prawa osób fizycznych, których dane osobowe są lub mogą być przetwarzane w zbiorach danych (art. 2 ust. 1 ustawy).
Na marginesie wskazać należy, że stosownie do brzmienia art. 7 pkt 2 ustawy o ochronie danych osobowych, pod pojęciem przetwarzania danych rozumieć należy jakiekolwiek operacje wykonywane na danych osobowych, takie jak zbieranie, utrwalanie, przechowywanie, opracowywanie, zmienianie, udostępnianie i usuwanie, a zwłaszcza te, które wykonuje się w systemach informatycznych.
Zgodnie z art. 92a ust. 1 pkt 1 ustawy z dnia 29 sierpnia 1997 r. - Prawo bankowe (Dz. U. z 2002 r. Nr 72, poz. 665 z późn. zm.) bank może zawrzeć z towarzystwem funduszy inwestycyjnych tworzącym fundusz sekurytyzacyjny albo z funduszem sekurytyzacyjnym umowę przelewu wierzytelności. Wobec powyższego stwierdzić należy, iż Bank miał prawo udostępnić dane osobowe Skarżącego na rzecz Funduszu, a przesłanką legalizującą ten proces jest art. 23 ust. 1 pkt 5 ustawy.
W tym miejscu przytoczyć trzeba również stanowisko orzekającego w składzie 7 sędziów Naczelnego Sądu Administracyjnego, który w wyroku z dnia 6 czerwca 2005 r. (sygn. akt I OPS 2/05) uznał, że prawnie usprawiedliwiony cel administratora danych, o którym mowa w art. 23 ust. 1 pkt 5 ustawy może być oparty na przepisach prawa cywilnego. Zdaniem NSA za taki prawnie usprawiedliwiony cel już sama ustawa uznaje dochodzenie roszczeń z tytułu prowadzonej działalności gospodarczej (art. 23 ust. 4 ustawy).
Mając na uwadze powyższe przepisy oraz okoliczności niniejszej sprawy, należy wskazać, iż Bank pozyskał dane osobowe Skarżącego w związku z zawarciem umowy kredytowej z dnia (...) lutego 2006 r. (art. 23 ust. 1 pkt 3 ustawy). Natomiast na podstawie umowy cesji wierzytelności z dnia 26 kwietnia 2011 r. i w oparciu o ww. przepisy zostały udostępnione dane osobowe Skarżącego Funduszowi (art. 23 ust. 1 pkt 5 ustawy).
Zgodnie z art. 4 ustawy z dnia 27 maja 2004 r. o funduszach inwestycyjnych (Dz. U. Nr 46, poz. 1546 z późn. zm.) Towarzystwo tworzy fundusz inwestycyjny, zarządza nim i reprezentuje fundusz w stosunkach z osobami trzecimi (ust. 1). Organem funduszu inwestycyjnego jest towarzystwo, utworzone zgodnie z przepisami ustawy (ust. 2). B. Towarzystwo Funduszy Inwestycyjnych S.A. zgodnie z art. 4 ww. ustawy "utworzyło ten fundusz i z mocy ustawy jest jego organem, uprawnionym do reprezentacji funduszu". Umocowanie B. TFI S.A. do reprezentowania B.(...) FIZ wynika z przepisów ww. ustawy.
Wobec powyższego podkreślić należy, iż przesłanką aktualnie legalizującą proces przetwarzania danych osobowych Skarżącego przez Bank jest art. 23 ust. 1 pkt 2 ustawy w zw. z art. 509 kodeksu cywilnego oraz w związku z art. 70 i art. 74 ustawy z dnia 29 września 1994 r. o rachunkowości (Dz. U. z 2009 r. Nr 152, poz. 1223 z późn. zm.) oraz § 49 rozporządzenia Ministra Finansów z dnia 1 października 2010 r. w sprawie szczególnych zasad rachunkowości banków (Dz. U. Nr 191, poz. 1279). Zgodnie z art. 71 ust. 1 ustawy o rachunkowości Bank ma obowiązek przechowywać dokumentację, księgi rachunkowe, dowody księgowe i inne dokumenty finansowe w sposób należyty chroniąc je przed niedozwolonymi zmianami, nieupoważnionym rozpowszechnianiem, uszkodzeniem lub zniszczeniem przez okres wskazany w art. 74 ww. ustawy. Aktualnym celem przetwarzania danych osobowych Skarżącego przez Bank jest cel archiwalny.
Ponadto wskazać należy, iż Fundusz do dnia spłaty przez Skarżącego jego zadłużenia przetwarzał jego dane osobowe na podstawie art. 23 ust. 1 pkt 5 ustawy, tj. w celu dochodzenia roszczeń z tytułu prowadzonej działalności. Jednakże aktualnie dane osobowe Skarżącego są przetwarzane przez administratora jego danych w celu wykonania obowiązku przechowywania ksiąg podatkowych i związanych z nimi dokumentów - art. 86 § 1 ustawy z dnia 29 sierpnia 1997 r. - Ordynacja podatkowa (Dz. U. z 2005 r. Nr 8, poz. 60 z późn. zm.) oraz w zw. z art. 71 i art. 74 ust. 2 pkt 5 ustawy o rachunkowości.
Reasumując, w analizowanej sprawie organ nie stwierdził podstaw do zakwestionowania legalności przetwarzania danych osobowych przez ww. podmioty, zatem brak jest podstaw do zastosowania przepisu art. 18 ust. 1 ustawy o ochronie danych osobowych, w myśl którego w przypadku naruszenia przepisów tej ustawy Generalny Inspektor Ochrony Danych Osobowych z urzędu lub na wniosek osoby zainteresowanej, w drodze decyzji administracyjnej, nakazuje przywrócenie stanu zgodnego z prawem. Z przywołanego przepisu wynika bowiem, iż warunkiem wydania przez organ rozstrzygnięcia, o którym mowa w tym artykule jest istnienie stanu naruszenia prawa do ochrony danych osobowych w chwili wydania decyzji administracyjnej.
W tym stanie faktycznym i prawnym Generalny Inspektor Ochrony Danych Osobowych rozstrzygnął, jak w sentencji.
Na podstawie art. 21 ust. 1 ustawy o ochronie danych osobowych i art. 129 § 2 Kodeksu postępowania administracyjnego strona niezadowolona z niniejszej decyzji może zwrócić się do Generalnego Inspektora Ochrony Danych Osobowych (adres: 00-193 Warszawa, ul. Stawki 2) z wnioskiem o ponowne rozpatrzenie sprawy, w terminie 14 dni od dnia doręczenia niniejszej decyzji.