DOLiS/DEC-967/09 - Decyzja GIODO z 24 września 2009 r. nakazująca bankowi usunięcie danych osobowych, zawartych w wyroku rozwodowym przedłożonym w celu oceny zdolności kredytowej.

Na podstawie art. 104 § 1 ustawy z dnia 14 czerwca 1960 r. - Kodeks postępowania administracyjnego (Dz. U. z 2000 r. Nr 98, poz. 1071 z późn. zm.) oraz art. 12 pkt 2 i art. 22 oraz art. 18 ust. 1 pkt 6 w zw. z art. 27 i art. 26 ust. 1 pkt 3 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. z 2002 r. Nr 101, poz. 926 z późn. zm.), po przeprowadzeniu postępowania administracyjnego w sprawie skargi Pani M, dotyczącej przetwarzania przez Bank, jej danych osobowych wynikających z wyroku Sądu Rejonowego z dnia 30 września 1977 r. (sygn. akt I C 78/77),

nakazuję Bankowi, usunięcie danych osobowych Pani M, przetwarzanych przez ww. Bank, zawartych w wyroku Sądu Rejonowego z dnia 30 września 1977 r. (sygn. akt I C 78/77).

Do Biura Generalnego Inspektora Ochrony Danych Osobowych wpłynęła skarga Pani M, zwanej dalej Skarżącą, dotycząca przetwarzania przez Bank, jej danych osobowych wynikających z wyroku Sądu Rejonowego z dnia 30 września 1977 r. (sygn. akt I C 78/77). W treści skargi Pani M podniosła, iż cyt.: "(...) przy załatwianiu kredytu w Banku (...) zażądano ode mnie sentencji wyroku sądu, ponieważ jestem rozwiedziona (...). Po co Bank zbiera informacje tak osobiste; z czyjej winy rozwód, o ograniczeniu praw rodzicielskich mojemu byłemu mężowi, o kwocie alimentów na syna (...)".

Na podstawie zebranego w sprawie materiału dowodowego dokonano następujących ustaleń:

Po zapoznaniu się z całością materiału dowodowego zgromadzonego w sprawie, Generalny Inspektor Ochrony Danych Osobowych zważył, co następuje:

Zgodnie z art. 7 pkt 2 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. z 2002 r. Nr 101, poz. 926 z późn. zm.), zwanej dalej ustawą, przez przetwarzanie danych rozumie się jakiekolwiek operacje wykonywane na danych osobowych, takie jak zbieranie, utrwalanie, przechowywanie, opracowywanie, zmienianie, udostępnianie i usuwanie, a zwłaszcza te, które wykonuje się w systemach informatycznych. Wskazania w tym miejscu wymaga, iż w art. 27 ust. 1 ustawy sformułowany został generalny zakaz przetwarzania danych tzw. wrażliwych, taksatywnie wymienionych w tym przepisie, do których zalicza się orzeczenia wydane w postępowaniu sądowym lub administracyjnym. Od ww. zasady, że przetwarzanie danych wrażliwych jest zakazane, ustawa wprowadza wiele wyjątków, ujętych w zamknięty katalog (art. 27 ust. 2 ustawy). I tak stosownie do art. 27 ust. 2 ustawy, przetwarzanie danych wrażliwych jest dopuszczalne między innymi, gdy osoba, której dane dotyczą, wyrazi na to zgodę na piśmie, chyba że chodzi o usunięcie dotyczących jej danych (art. 27 ust. 2 pkt 1 ustawy), a także gdy przepis szczególny innej ustawy zezwala na przetwarzanie takich danych bez zgody osoby, której dane dotyczą, i stwarza pełne gwarancje ich ochrony (art. 27 ust. 2 pkt 2 ustawy).

Zaznaczyć także należy, iż zgodnie z art. 26 ust. 1 pkt 3 ustawy, administrator danych przetwarzający dane powinien dołożyć szczególnej staranności w celu ochrony interesów osób, których dane dotyczą, a w szczególności jest obowiązany zapewnić aby dane te były merytorycznie poprawne i adekwatne w stosunku do celów, w jakich są przetwarzane. Jak podkreśla się w literaturze przedmiotu, wymóg adekwatności (relewantności) danych w stosunku do celu ich przetwarzania sprzeciwia się zbieraniu wszelkich danych dla tego celu nieistotnych, nie mających znaczenia, jak i danych o większym - niż uzasadniony z tego względu - stopniu szczegółowości. Relewantność danych powinna być oceniana najpóźniej w momencie ich zbierania (por. J. Barta, P. Fajgielski, R. Markiewicz "Ochrona danych osobowych. Komentarz" wydanie III, Zakamycze 2004, str. 556 i nast.). Podkreślenia wymaga przy tym niewątpliwa zasadność powyższego ustawowego ograniczenia zakresu przetwarzanych danych osobowych, które to dane, zarówno swym rodzajem jak i treścią nie powinny wykraczać poza potrzeby wynikające z celu ich zbierania. Przyjęcie odmiennego rozwiązania oznaczałoby bowiem aprobatę dla nieustannego poszerzania zakresu pozyskiwanych przez administratorów danych osobowych, motywowanego kolejnymi, nowymi potrzebami.

Odnosząc powyższe rozważania do okoliczności niniejszej sprawy, wskazać należy, iż Bank na potrzeby rozpatrzenia wniosku kredytowego Pani M z dnia 27 listopada 2008 r. pozyskał jej dane wynikające z ww. wyroku rozwodowego o rozwiązaniu przez rozwód jej małżeństwa zawartego z Panem G, a także powierzeniu Skarżącej wykonywania władzy rodzicielskiej nad małoletnim wówczas synem - Panem R oraz informacje dotyczące wysokości alimentów, które Skarżąca otrzymywała na syna i kosztach procesu.

Niewątpliwie ww. dane - w świetle art. 27 ust. 1 ustawy - należą do kategorii danych wrażliwych podlegających szczególnej ochronie, jako dane pochodzące z orzeczenia wydanego w postępowaniu cywilnym.

W ocenie Generalnego Inspektora Ochrony Danych Osobowych Bank nie wykazał żadnej z przesłanek wynikających z art. 27 ust. 2 ustawy uprawniających go do przetwarzania danych Skarżącej zawartych w ww. wyroku rozwodowym. W szczególności nie można zgodzić się ze stanowiskiem Banku wyrażonym w ww. piśmie z dnia 21 kwietnia 2009 r. o tym, że cyt.: "(...) Skarżąca wyraziła zgodę na przetwarzanie jej danych osobowych poprzez podpisanie wniosku o kredyt zawierającego taką klauzulę (...)". Jak bowiem wynika z art. 7 pkt 5 ustawy, zgoda na przetwarzanie danych nie może być domniemana lub dorozumiana z oświadczenia woli o innej treści, natomiast w przypadku danych wrażliwych dodatkowo wymaga na jest jej forma pisemna (art. 27 ust. 2 pkt 1 ustawy). Zatem wyrażenie przez Skarżącą we wniosku o udzielenie kredytu z dnia 27 listopada 2008 r. zgody na "przetwarzanie danych osobowych umieszczonych w bazie danych Banku w celu informowania o oferowanych przez Bank produktach i usługach bankowych" jest nieskuteczne w odniesieniu do przetwarzania danych wynikających z ww. wyroku rozwodowego w celu oceny zdolności kredytowej Skarżącej. Oczywistym jest, iż w świetle art. 7 pkt 5 ustawy, ww. zgoda udzielona na cel marketingowy nie może być jednocześnie uznana za zgodę na przetwarzanie ww. danych wrażliwych w celu oceny zdolności kredytowej.

Ponadto za podstawę prawną przetwarzania danych Skarżącej wynikających z ww. wyroku nie może zostać uznany art. 70 ust. 1 ustawy z dnia 29 sierpnia 1997 r. - Prawo bankowe (Dz. U. z 2002 r. Nr 72, poz. 665 z późn. zm.) w związku z art. 27 ust. 2 pkt 2 ustawy. Zgodnie z art. 70 ust. 1 Prawa bankowego, bank uzależnia przyznanie kredytu od zdolności kredytowej kredytobiorcy. Przez zdolność kredytową rozumie się zdolność do spłaty zaciągniętego kredytu wraz z odsetkami w terminach określonych w umowie. Kredytobiorca jest obowiązany przedłożyć na żądanie banku dokumenty i informacje niezbędne do dokonania oceny tej zdolności. W przypadku bowiem danych wrażliwych możliwość ich przetwarzania musi wyraźnie wynikać z przepisu prawa o randze ustawowej. Tymczasem w powołanym art. 70 ust. 1 Prawa bankowego brak jest sformułowanego wprost uprawnienia do przetwarzania danych szczególnie chronionych. Co więcej, ww. dane wynikające z przedmiotowego wyroku rozwodowego nie były niezbędne do rozpatrzenia ww. wniosku kredytowego, w szczególności oceny zdolności kredytowej Skarżącej, o której mowa w art. 70 ust. 1 Prawa bankowego. Zdaniem Generalnego Inspektora dane wynikające z ww. wyroku nie mają żadnego wpływu na określenie zdolności kredytowej Skarżącej, zatem ich pozyskanie narusza ww. zasadę adekwatności.

W tym miejscu wskazać należy, iż zgodnie ze stanowiskiem judykatury wspomnianą zasadę adekwatności narusza zbieranie przez banki danych osobowych klientów w zakresie poprzednich adresów zameldowania, kategorii i daty nadania uprawnienia do kierowania pojazdem silnikowym oraz danych zawartych w świadectwie pracy dotyczących przebiegu zatrudnienia (wyrok Wojewódzkiego Sądu Administracyjnego w Warszawie z dnia 24 listopada 2005 r., sygn. akt II SA/Wa 1335/05). Jeżeli zatem ww. zasadę narusza pozyskiwanie przez banki ww. danych zwykłych, to tym bardziej - w ocenie Generalnego Inspektora - narusza ją zbieranie danych wrażliwych pochodzących z wyroku rozwodowego, jak to miało miejsce w niniejszej sprawie.

Zatem pozyskanie przez Bank informacji wynikających z ww. wyroku pozostawało w sprzeczności zarówno z art. 27 ust. 1 i 2 ustawy, jak i z art. 26 ust. 1 pkt 3 ustawy, bowiem nie miało oparcia w przepisach prawa i pozbawione było zgody Skarżącej, a także było nieadekwatne w stosunku do celu, dla którego informacje te pozyskano, tj. ustalenia zdolności kredytowej Skarżącej i rozpatrzenia jej ww. wniosku kredytowego.

Wskazać w tym miejscu należy, iż sytuacji, gdy dochodzi do naruszenia przepisów ustawy o ochronie danych osobowych Generalny Inspektor zgodnie z art. 18 tej ustawy, w razie stwierdzenia tego naruszenia, w drodze decyzji administracyjnej, nakazuje przywrócenie stanu zgodnego z prawem, poprzez wydanie określonych nakazów, wymienionych w tym przepisie, w szczególności - zgodnie z art. 18 ust. 1 pkt 6 ustawy, Generalny Inspektor - nakazuje usunięcie danych osobowych.

Wobec naruszenia przez Bank przepisu art. 27 i art. 26 ust. 1 pkt 3 ustawy, poprzez pozyskanie przez Bank ww. danych Skarżącej bez podstawy prawnej, a nadto w zakresie szerszym niż wymagany dla rozpatrzenia ww. wniosku kredytowego Skarżącej, Generalny Inspektor Ochrony Danych Osobowych, działając na podstawie art. 18 ust. 1 pkt 6 ustawy, nakazał Bankowi usunięcie danych osobowych Pani M, przetwarzanych przez Bank, a wynikających z wyroku Sądu Rejonowego z dnia 30 września 1977 r. (sygn. akt I C 78/77).

Mając powyższe na uwadze, w tym stanie faktycznym i prawnym, Generalny Inspektor Ochrony Danych Osobowych rozstrzygnął, jak na wstępie.

Decyzja niniejsza jest ostateczna. Na podstawie art. 21 ust. 1 ustawy o ochronie danych osobowych i art. 129 § 2 w zw. z art. 127 § 3 Kodeksu postępowania administracyjnego, stronie niezadowolonej z niniejszej decyzji przysługuje, w terminie 14 dni od dnia jej doręczenia, prawo złożenia do Generalnego Inspektora Ochrony Danych Osobowych wniosku o ponowne rozpatrzenie sprawy (adres: Biuro Generalnego Inspektora Ochrony Danych Osobowych, ul. Stawki 2, 00 - 193 Warszawa).