NB/BPN/I/237/00 - Tajemnica bankowa a ochrona danych osobowych.

W związku z pismem z dn. 20.03.2000 r. Generalny Inspektorat Nadzoru Bankowego informuje, że poruszona w powyższym piśmie sprawa powinna być rozpatrywana w dwóch płaszczyznach. Z jednej strony należy rozpatrywać ją z punktu widzenia możliwości przekazywania przez bank informacji dotyczących klientów banku, które stanowią tajemnicę bankową, na rzecz innego podmiotu, z drugiej zaś strony należy rozważać ten problem z punktu widzenia możliwości przekazywania przez administratora danych, jakim jest Bank SA, informacji stanowiących dane osobowe na rzecz innego podmiotu, w celu ich dalszego przetwarzania.

W odniesieniu do pierwszego z powyższych problemów należy stwierdzić, że ustawa z dn. 29.08.1997 r. - Prawo bankowe określa w art. 104 ust. 1 zakres przedmiotowy tajemnicy bankowej. Zgodnie z postanowieniami tego przepisu tajemnica bankowa obejmuje wszystkie wiadomości, które:

* dotyczą czynności bankowych i osób będących stroną umowy i zostały uzyskane w czasie negocjacji oraz związane z zawarciem umowy z bankiem i jej realizacją, z wyjątkiem wiadomości, bez których ujawnienia nie jest możliwe należyte wykonanie zawartej przez bank umowy;

* dotyczą osób, które nie będąc stroną umowy, o której mowa w pkt 1, dokonały czynności pozostających w związku z zawarciem takiej umowy, z wyjątkiem przypadków, gdy ustawa przewiduje ujawnienie takich czynności.

Obowiązek zachowania tajemnicy bankowej dotyczy również osób, za pośrednictwem których bank wykonuje czynności bankowe.

Z powyższego wynika, że występują dwie kategorie osób zobowiązanych do zachowania tajemnicy bankowej. Pierwszą kategorię stanowią banki i osoby w nich zatrudnione, które mają w związku z prowadzoną przez nie działalnością stały dostęp do informacji stanowiących tajemnicę bankową. Drugą kategorią podmiotów są osoby, za pośrednictwem których bank wykonuje czynności bankowe. W tym przypadku osoby takie mają dostęp do informacji stanowiących tajemnicę bankową jedynie w zakresie wykonywanych przez nie czynności bankowych, jeżeli bank zleci im wykonywanie tego typu czynności. Brzmienie powyższych przepisów należy rozpatrywać w świetle postanowień zawartych w załączonej "Informacji administratora danych". Zawarte jest tam stwierdzenie, że "dane osobowe mogą być przekazane wyłącznie podmiotom wskazanym, art. 105 ustawy - Prawo bankowe, a w szczególności do banków i Biura Informacji Kredytowej SA, chyba że bank otrzymał upoważnienie do przetwarzania swoich danych osobowych w szerszym zakresie". Na tej podstawie należy przypuszczać, że przekazywanie informacji stanowiących tajemnicę bankową, które stanowią jednocześnie dane osobowe, będzie możliwe po uzyskaniu przez Bank SA stosownej zgody od klientów. Problem ten wiąże się z drugim z aspektów przedmiotowej sprawy.

W celu wyjaśnienia tej sytuacji należy rozważyć wzajemne relacje zachodzące pomiędzy przepisami ustawy - Prawo bankowe oraz ustawy z dn. 29.08.1997 r. o ochronie danych osobowych. Wprowadzenie do polskiego systemu prawnego tej ustawy ma na celu zunifikowanie rozwiązań dotyczących zbierania, przechowywania, opracowywania i udostępniania danych osobowych, poprzez które należy rozumieć informacje odnoszące się do osoby fizycznej, której tożsamość jest określona lub można ją ustalić na podstawie tych informacji. Postanowienia ustawy o ochronie danych osobowych znajdują między innymi zastosowanie do osób fizycznych i prawnych, które przetwarzają dane w związku z działalnością zarobkową lub zawodową. Z tego wynika, że przepisy te znajdują zastosowanie również w odniesieniu do banków. Z analizy przepisów powyższej ustawy i przy zestawieniu ich z przepisami ustawy - Prawo bankowe można wnioskować, że niektóre dane objęte tajemnicą bankową mają charakter danych osobowych i podlegają ochronie również z tego tytułu. Zasady ujawniania danych objętych tajemnicą bankową określa art. 104 i art. 105 ustawy - Prawo bankowe. Zgodnie z postanowieniami art. 5 ustawy o ochronie danych osobowych, w przypadku gdy przepis odrębnej ustawy przewiduje dalej idącą ochronę danych osobowych, to stosuje się przepisy tej ustawy. W związku z tym należy stwierdzić, że dane osobowe osób fizycznych i ich udostępnianie w zakresie objętym tajemnicą bankową są chronione przede wszystkim przepisami ustawy - Prawo bankowe. Wydaje się jednak, że zastosowanie w omawianym przypadku przepisów o ochronie tajemnicy bankowej nie wyczerpuje całości zagadnienia, bowiem przepisy o ochronie danych osobowych nie pokrywają się dokładnie z przepisami ustawy - Prawo bankowe.

Należy uznać, że w zakresie, w jakim przepisy ustawy o ochronie danych osobowych wykraczają poza przepisy ustawy - Prawo bankowe, do ochrony danych osobowych klientów banku, które nie są objęte tajemnicą bankową, mają zastosowanie przepisy tej ustawy. Zgodnie z brzmieniem art. 23 ust. 1 pkt 1 ustawy o ochronie danych osobowych, przetwarzanie danych osobowych jest możliwe tylko wtedy, gdy osoba, której dane dotyczą, wyrazi na to zgodę, chyba że chodzi o usunięcie dotyczących jej danych. Przetwarzanie danych osobowych zostało zdefiniowane w art. 7 ust. 2 ustawy o ochronie danych osobowych, który stanowi, że przez pojęcie przetwarzania danych rozumie się jakiekolwiek operacje wykonywane na danych osobowych, takie jak zbieranie, utrwalanie, przechowywanie, opracowywanie, zmienianie, udostępnianie i usuwanie, a zwłaszcza te, które wykonuje się w systemach informatycznych. W związku z powyższym zgoda osoby zainteresowanej konieczna jest również w przypadku przekazywania przez administratora danych, jakim jest Bank SA, danych klientów, które nie stanowią tajemnicy bankowej, na rzecz podmiotów trzecich.

Ponadto należy zaznaczyć, że brzmienie cytowanego powyżej fragmentu przesłanej "Informacji" dotyczy wszelkich danych osobowych, bez dokonywania ich podziału na dane osobowe objęte przepisami dotyczącymi tajemnicy bankowej oraz innego rodzaju dane osobowe. W związku z udostępnianiem tych informacji podmiotom nie wymienionym w treści powyższego dokumentu, zdaniem Generalnego Inspektoratu Nadzoru Bankowego wymagane będzie uzyskanie odrębnej zgody klientów.

Jednocześnie Generalny Inspektorat Nadzoru Bankowego informuje, że zgodnie z postanowieniami art. 8 ust. 1 ustawy o ochronie danych osobowych organem właściwym do spraw ochrony danych osobowych jest Generalny Inspektor Ochrony Danych Osobowych, który jest kompetentny do kontroli zgodności przetwarzania danych osobowych z przepisami o ochronie danych osobowych i w związku z tym szczegółowe kwestie dotyczące przekazywania danych osobowych klientów banku nie objętych przepisami o ochronie tajemnicy bankowej powinny być rozpatrywane przez ten organ.