Wojewódzki Sąd Administracyjny w Warszawie po rozpoznaniu na rozprawie w dniu 25 sierpnia 2004 r. sprawy ze skargi Banku na decyzj Generalnego Inspektora Ochrony Danych Osobowych z dnia 9 lutego 2004 r. nr GI-DEC-DS-27/04/59,60 w przedmiocie przetwarzania danych osobowych
oddala skargę
Wnioskiem z dnia 24 kwietnia 2003 r. Pan A zwrócił si do Generalnego Inspektora Ochrony Danych Osobowych o nakazanie Bankowi usunięcia jego danych osobowych ze zbioru danych Biura Informacji Kredytowej S.A. z siedzib w Warszawie.
W uzasadnieniu podniósł, e jego dane bank posiada z tytułu umowy kredytowej, jednakże kredyt w dniu 27 marca 2003 r. został w cało ci spłacony, a prowadzony rachunek bankowy zamknięty.
Podał równie, e w dniu 26 listopada 2002 r. jego dane osobowe bank przekazał do Biura Informacji Kredytowej pozostając ich właścicielem uprawnionym do ich zmiany i modyfikacji. W jego ocenie brak jego zgody na udostępnienie przez bank danych osobowych do BIK S.A. oraz dalsze ich przetwarzanie i udostępnianie jest niezgodne z prawem i narusza jego uzasadnione interesy.
Decyzją z dnia 18 lipca 2003 r. nr GI-DEC-DS-131/03/430,431 Generalny Inspektor Danych Osobowych, po przeprowadzeniu postpowania administracyjnego, na podstawie art. 104 § l Kodeksu postpowania administracyjnego oraz art. 12 pkt 2 w zw. z art. 23 ust. l pkt 2 i 3 Ustawy o ochronie danych osobowych oraz w zw. z art. 105 ust. l pkt l i 105 ust. 4 ustawy - Prawo bankowe, odmówił uwzględnienia wniosku.
W uzasadnieniu wskazał, e Bank przetwarzał dane osobowe Pana A na podstawie zawartej z nim umowy kredytowej, tj. w oparciu o przesłanką określoną w art. 23 ust. l pkt 3 ustawy o ochronie danych osobowych, nie będąc zobowiązany do odebrania od niego zgody na przetwarzanie danych dla realizacji umowy.
Natomiast po wygaśnięciu umowy bank może przetwarza dane osobowe w celach archiwizacji, stosownie do przepisów ustawy o narodowym zasobie archiwalnym i archiwach, a nadto w celu wywiązania si z obowiązków wynikających z przepisów ustawy o rachunkowo ci i rozporządzenia Ministra Finansów w sprawie szczególnych zasad rachunkowo ci banków.
GIODO powołał się równie na przepis art. 105 ust. 4 ustawy - Prawo bankowe wskazuj c, e o ile zostanie powołana do życia instytucja, która prowadzi rejestr kredytobiorców, w tym przypadku Biuro Informacji Kredytowej S.A., banki upoważnione będą do udostępniania jej wszelkich informacji o swoich wierzytelnościach wobec kredytobiorców.
Dodatkowo podniósł, e szczegóły udzielania przez banki informacji do BIK SA., a następnie ich przetwarzanie przez t spółkę, określa Regulamin zbierania i udostępniania informacji przez BIK S.A, który w § 4 ust. 3 pkt l stanowi, e okresy, przez jakie spółka jest zobowiązana do wykonywania nałożonych na niż zadać, w tym przechowywanie danych, wynoszą odpowiednio dla rachunków, które wykazały zaległości powyżej 30 dni, 7 lat od ich zamknięcia.
Z kolei art. 105 ust. l ustawy Prawo bankowe określa katalog podmiotów, którym bank ma obowiązek udzielania informacji stanowiących tajemnic bankową oraz cel udzielania informacji.
We wniosku o ponowne rozpatrzenie sprawy z dnia 5 sierpnia 2003 r. Pan A nie zgodził si z rozstrzygnięciem Generalnego Inspektora Ochrony Danych Osobowych.
Podkreślił, e po całkowitym rozliczeniu kredytu i zamknięciu rachunku bankowego nie istnieją żadne przesłanki określone w art. 23 ust. l pkt 2 i 3 Ustawy o ochronie danych osobowych uprawniaj ce bank i BIK S.A. do posługiwania si jego danymi osobowymi przez 7 lat bez jego zgody i w zakresie przekraczaj cym zwykłe cele archiwalne.
Wskazał przy tym, e z przepisu art. 105 ust. l pkt l oraz ust. 4 ustawy Prawo bankowe równie nie mona wywie delegacji ustawowej dla ustalenia 7-letniego terminu do udostpnienia tego rodzaju danych, za postanowienia Regulaminu BIK S.A. w § 4 ust. 3 pkt l s niezgodne z delegacj ustawow i naruszaj tajemnic bankow oraz przepisy o ochronie danych osobowych.
Powołał si w zwi zku z tym na regulacje ustawowe, które wprost normuj czy to procedur przetwarzania danych o dłunikach niewypłacalnych (ustawa o Krajowym Rejestrze S dowym), czy te okresy przetwarzania ich danych (ustawa o udostpnianiu informacji gospodarczych).
Decyzj z dnia 9 lutego 2004 r. nr GI-DEC-DS-27/04/59,60 Generalny Inspektor Ochrony Danych Osobowych, na podstawie art. 104 § l i art. 138 § l pkt 2 Kodeksu postpowania administracyjnego i art. 22 w zw. z art. 12 pkt 2 i art. 18 ust. l pkt 6 w zw. z art. 23 ust. l i art. 26 ust. l pkt l i 2 Ustawy o ochronie danych osobowych oraz w zw. z art. 105 ust. l pkt l i ust. 4 ustawy -Prawo bankowe, uchylił w cało ci decyzj z dnia 18 lipca 2003 r. nr GI-DEC-DS-131/03/430,431 oraz nakazał Bankowi usunicie danych osobowych Pana A ze zbioru prowadzonego przez Biuro Informacji Kredytowej S.A. w zwi zku ze spłacaniem w cało ci kredytu, jaki został udzielony przez Bank Panu A na podstawie umowy z dnia 17 grudnia 1997 r.
W uzasadnieniu wskazał, że ustawa o ochronie danych osobowych nakłada na administratorów danych szereg obowiązków, w tym obowiązek przetwarzania danych osobowych zgodnie z prawem. Przepis art. 23 ust. l ww. ustawy określa katalog przesłanek legalności przetwarzania, za pkt 2 tego przepisu jako jedn z nich wymienia przesłank, gdy zezwalaj na to przepisy prawne.
Przepisy ustawy - Prawo bankowe stanowi podstaw prawn do prowadzenia przez BIK SA. zbioru PN. Kredytobiorcy", lecz jednocze nie aden z nich nie precyzuje terminów przechowywania danych osobowych .
Stosownie do art. 105 ust. 4 ww. ustawy, banki mog w oparciu o ten przepis jedynie utworzy instytucje do zbierania i udostpniania bankom oraz innym instytucjom, ustawowo upowanionym do udzielania kredytów informacji o wierzytelno ciach oraz o obrotach i stanach rachunków bankowych w okre lonym zakresie i celu.
Organ zwrócił uwag., e zgodnie z art. 87 ust. l Konstytucji RP, ródłami powszechnie obowi zuj cego prawa Rzeczypospolitej Polskiej s : Konstytucja, ustawy, ratyfikowane umowy midzynarodowe oraz rozporz dzenia.
Tym samym postanowienia Regulaminu BIK S.A. nie s przepisami powszechnie obowi zuj cymi, zatem przesłanka dla dalszego przekazywania danych osobowych wnioskodawcy w zbiorze BIK S.A. po ustaniu zobowi zania nie wynika z art. 23 ust. l pkt 2 ustawy o ochronie danych osobowych.
Przesłanki takiej nie mona równie wywie z przepisu art. 23 ust. l pkt 2 ustawy w sytuacji wyga nicia umowy wi cej bank z Panem A.
W ocenie GIODO, w zwi zku z brakiem powszechnie obowi zuj cych przepisów reguluj cych kwesti terminów przechowywania danych osobowych w BIK S.A., naley stosowa przepis art. 26 ust. l pkt l i 2 ustawy o ochronie danych osobowych stanowi cy, e administrator danych przetwarzaj cy dane powinien dołoy szczególnej staranno ci w celu ochrony interesów osób, których dane dotycz , a w szczególno ci jest obowi zany zapewni , aby dane te były przetwarzane zgodnie z prawem oraz zbierane dla oznaczonych, zgodnych z prawem celów i nie poddawane dalszemu przetwarzaniu niezgodnemu z tymi celami, z zastrzeeniem ust. 2, który w odniesieniu do banku nie ma zastosowania.
W konkluzji Generalny Inspektor podniósł, e w niniejszej sprawie istotna jest okoliczno rozliczenia zobowi za w zwi zku z wyga niciem umowy kredytowej i ugody, które wi zały Pana A z bankiem, ustał zatem cel przetwarzania danych osobowych w zbiorze BIK S.A.
W skardze na powysz decyzj do Wojewódzkiego S du Administracyjnego w Warszawie, Bank wniósł o jej uchylenie w cało ci i przekazanie sprawy do ponownego rozpoznania Generalnemu Inspektorowi Ochrony Danych Osobowych oraz zas dzenie kosztów procesu według norm przepisanych.
Zaskaronej decyzji zarzucił:
rażącą obraz przepisów prawa materialnego, a w szczególno ci art. 23 ust. 2 ustawy o ochronie danych osobowych poprzez jego błdne zastosowanie polegaj ce midzy innymi na uznaniu, e bank nie ma podstaw prawnych do przekazywania i przetwarzania informacji poprzez Biuro Informacji Kredytowej przez okres ustalony w regulaminie tego Biura, jak równie art. 23 ust. 5 cyt. ustawy, art. 105 ust. l i 4 ustawy - Prawo bankowe, przepisów ustawy o narodowym zasobie archiwalnym i archiwach, jak równie ustawy o rachunkowo ci, poprzez ich niezastosowanie oraz przepisów Ustawy o udostpnianiu informacji gospodarczych, poprzez ich retroaktywne zastosowanie,
błąd w ustaleniach faktycznych przyjtych za podstaw orzeczenia, polegaj cy na bezpodstawnym uznaniu, e bank nie wykazał przesłanek legalno ci przetwarzania danych klientów, podczas, gdy przesłankami tymi s nade wszystko przepisy ustawy - Prawo bankowe, jak równie przepisy ustawy o ochronie danych osobowych.
W uzasadnieniu podał, e zakres działania Biura Informacji Kredytowej S.A. wyznaczaj: ustawa - Prawo bankowe, Ustawa o ochronie danych osobowych oraz akty wewntrzne w postaci umowy pomidzy BIK S.A. i Bankiem w sprawie zbierania i udostpniania informacji i Regulaminu zbierania i udostpniania informacji przez BIK S.A., które to akty wewntrzne zostały opracowane w oparciu o obowi zuj ce w Polsce prawo.
Bank podniósł te, e art. 105 ust. l ustawy - Prawo bankowe zobowi zuje banki do wymiany midzy sob informacji stanowi cych tajemnic bankow .
Powołał si ponadto na przepis art. 23 ust. l pkt 5 ustawy o ochronie danych osobowych uprawniaj cy do przetwarzania danych osobowych, gdy jest to niezbdne do wypełnienia prawnie usprawiedliwionych celów administratorów danych, o których mowa w art. 3 ust. 2 ustawy, gdy przetwarzaj oni dane w zwi zku z działalno ci zarobkow , zawodow lub dla realizacji celów statutowych, a przetwarzanie nie narusza praw i wolno ci osoby, której dane dotycz .
Skarżąca Spółka podkreśliła, że działalno Biura Informacji Kredytowej powstałego na podstawie art. 105 ust. 4 ustawy - Prawo bankowe ma ułatwi zrzeszonym w nim bankom ocen ryzyka kredytowego, które jest jednym z podstawowych ryzyk, na jakie naraone s banki. Aby dokona prawidłowej oceny ryzyka, niezbdne jest poznanie zarówno bie cej sytuacji kredytobiorcy, jak i jego historii.
Ponadto w oparciu o informacje o klientach przekazywane do BIK S.A. przez banki, moliwe jest sporz dzenie raportów kredytowych, bd cych odpowiedzi na zapytanie konkretnego banku.
Działalno Biura ma w szczególno ci na celu dbało o ogólne bezpiecze stwo banków, w tym ochron przed niesolidnymi i próbuj cymi wyłudzi kredyty klientami.
Skar ca podała równie, e kadej osobie, której dane dotycz , przysługuje prawo do dania uzupełnienia, uaktualnienia, sprostowania, czasowego lub stałego wstrzymania przetwarzania danych lub ich usunicia jeeli s niekompletne, nieaktualne, nieprawdziwe lub zostały zebrane z naruszeniem ustawy albo s ju zbdne do realizacji celu, dla którego zostały zebrane.
Siedmioletni okres przechowywania danych osobowych kredytobiorców, których kredyt został zakwalifikowany jako problematyczny" w bazie BIK S.A., został ustalony na podstawie do wiadcze biur informacji kredytowej działaj cych w krajach Europy Zachodniej.
W ocenie banku z przepisu ustawy o ochronie danych osobowych dopuszczaj cego przetwarzanie danych, gdy zezwalaj na to przepisy prawa, nie da si wywie , e musz to by przepisy rangi ustawowej, a nadto, e nie musz to by przepisy o charakterze powszechnie obowi zuj cym, o czym moe wiadczy brzmienie art. 105 ust. l i 4 ustawy - Prawo bankowe.
Za całkowicie niezrozumiały i gołosłowny uznała skarżąca pogląd GIODO, jakoby do niej nie odnosił się przepis art. 26 ust. 2 pkt l ustawy o ochronie danych osobowych oraz, e nie zostały przez bank dochowane przesłanki z art. 26 ust. 2 pkt 2 tej ustawy.
Dodatkowo Bank zarzucił organowi, e nie znajduje uzasadnienia odwołanie si przez GIODO do Ustawy o udostpnieniu informacji gospodarczych, bowiem zdarzenie bd ce przedmiotem skargi Pana A do Generalnego Inspektora miało miejsce 28 kwietnia 2003 r., a ustawa zaczła obowi zywa dopiero od 26 kwietnia 2003 r., natomiast organ pomimo jej obowi zywania wydał pierwsz decyzj korzystn dla banku.
W odpowiedzi na skarg Generalny Inspektor Ochrony Danych Osobowych wniósł o jej oddalenie i podtrzymał swoje stanowisko zawarte w zaskaronej decyzji.
Odniósł si ponadto szczegółowo do zarzutów skargi stwierdzaj c, e nie znajduj one uzasadnienia i podkre laj c, e w wietle argumentów uytych w zaskaronej decyzji nie mona zgodzi si z tez skar cej Spółki, i przetwarzanie danych osobowych Pana A przez okres siedmiu lat od dnia spłaty zadłuenia jest niezbdne do osi gnicia celów wskazanych przez bank w uzasadnieniu skargi.
Wojewódzki Sąd Administracyjny w Warszawie zważył, co następuje :
Skarga nie jest zasadna. Kwesti zasadnicz w rozpatrywanej sprawie jest kwestia oceny, czy Bank legitymował si przesłank zgodnego z prawem przetwarzania danych osobowych Pana A po wyga niciu umowy kredytowej ł cz cej strony i po rozliczeniu oraz zamkniciu rachunku bankowego.
Stosownie do tre ci art. 7 pkt 2 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. z 2002 r., Nr 101, póz. 926 z pón. zm.) przetwarzanie danych, to jakiekolwiek operacje wykonywane na danych osobowych, takie jak zbieranie, utrwalanie, przechowywanie, opracowywanie, zmienianie, udostpnianie i usuwanie, a zwłaszcza te, które wykonuje si w systemach informatycznych.
W myśl natomiast art. 23 ust. l ww. ustawy przetwarzanie danych jest dopuszczalne tylko wtedy, gdy:
1) osoba, której dane dotycz , wyrazi na to zgod, chyba e chodzi o usunicie dotycz cych jej danych,
2) zezwalaj na to przepisy prawa,
3) jest konieczne do realizacji umowy, gdy osoba, której dane dotycz , jest jej stron lub gdy jest to niezbdne do podjcia koniecznych działa przed zawarciem umowy,
4) jest niezbdne do wykonania okre lonych prawem zada realizowanych dla dobra publicznego,
5) jest niezbdne do wypełnienia prawnie usprawiedliwianych celów administratorów danych, o których mowa w art. 3 ust. 2 lub osób trzecich, którym s przekazywane te dane a przetwarzanie danych nie narusza praw i wolno ci osoby, której dane dotycz .
Z kolei przepis art. 105 ust. l pkt l i ust. 4 ustawy z dnia 29 sierpnia 1997 r. Prawo bankowe (Dz. U. Nr 72 z 2002 r., póz. 665 z pón. zm.) stanowi, i bank ma obowi zek udzielenia informacji stanowi cych tajemnic bankow m.in. innym bankom oraz - na zasadzie wzajemno ci innym instytucjom ustawowo upowanionym do udzielenia kredytów o wierzytelno ciach oraz o obrotach i stanach rachunków bankowych w zakresie, w jakim informacje te s niezbdne w zwi zku z udzielaniem kredytów, poyczek pieninych, gwarancji bankowych i porcze oraz czynno ciami obrotu dewizowego, a take w zwi zku z konsolidacj sprawozda finansowych (ust. l pkt l).
Banki mog , wspólnie z bankowymi izbami gospodarczymi, utworzy instytucje do zbierania i udostpniania bankom oraz innym instytucjom ustawowo upowanionym do udzielania kredytów informacji o wierzytelno ciach oraz o obrotach i stanach rachunków bankowych w zakresie, w jakim informacje te s potrzebne w zwi zku z udzielaniem kredytów, poyczek pieninych, gwarancji bankowych i porcze (ust. 4).
W wietle przywołanego przepisu ustawy - Prawo bankowe, nietrafne jest twierdzenie skar cego banku, e stanowi on przesłank przetwarzania danych w formie przechowywania ich i udostpniania przez okres siedmiu lat na podstawie art. 23 ust. l pkt 2 ustawy o ochronie danych osobowych. Przepis ten bowiem stanowi wył cznie podstaw do utworzenia Biura Informacji Kredytowej S.A. w celu realizacji okre lonych w nim zada . Nie mona z niego natomiast wywie delegacji ustawowej dla ustalenia takiego rozumienia art. 23 ust. l pkt 2 Ustawy o ochronie danych osobowych.
Przepisami zezwalaj cymi na przetwarzanie danych nie s równie postanowienia regulaminu zbierania i udostpniania informacji przez Biuro Informacji Kredytowej S.A., stanowi cego zał cznik do umowy zawartej pomidzy Bankiem a tym Biurem. Jest to bowiem akt wewntrzny nieposiadaj cy przymiotu ródła prawa powszechnie obowi zuj cego.
Zgodnie bowiem z przepisem art. 87 ust. l Konstytucji RP ródłami powszechnie obowi zuj cego prawa w Rzeczypospolitej Polskiej s : Konstytucja, ustawy, ratyfikowane umowy midzynarodowe oraz rozporz dzenia.
Nie mona zgodzi si przy tym z wywodem skar cej Spółki, e skoro art. 23 ust. l pkt 2 nie precyzuje o jakie przepisy prawa chodzi, to przepisami tymi mog by postanowienia regulaminu.
Jak słusznie zauwaył Generalny Inspektor, bank przetwarzał dane osobowe Pana A na podstawie zawartej z nim umowy kredytowej, a nastpnie ugody, tj. w oparciu o przesłank okre lon w przepisie art. 23 ust. l pkt 3 ustawy o ochronie danych osobowych, która jednake nie moe stanowi podstawy prawnej dla przetwarzania tych danych po wygaśnięciu umowy, czy te ugody.
Odnosząc się do zarzutu skargi, i niezrozumiały i gołosłowny jest pogl d Generalnego Inspektora jakoby do banku nie odnosił si przepis art. 26 ust. 2 pkt l oraz nie zostały dochowane przesłanki z art. 26 ust. 2 pkt 2 ustawy o ochronie danych osobowych naley stwierdzi , e jest on całkowicie chybiony.
Organ przytoczył bowiem treść tych przepisów i stwierdził, e pierwszy z nich nie znajduje zastosowania z oczywistych wzgldów (bank nie przetwarza danych w celach bada naukowych, dydaktycznych, historycznych lub statystycznych), natomiast odno nie drugiego stwierdził, e bank nie moe poddawa danych osobowych uczestnika dalszemu przetwarzaniu niezgodnemu z celami umowy kredytu i ugody, polegaj cemu na ich przetwarzaniu w zbiorze BIK S.A.
Zwrócił przy tym uwagę, że przetwarzanie jest dopuszczalne jedynie w oparciu o przepisy ustawy z dnia 14 lipca 1983 r. o narodowym zasobie archiwalnym i archiwach (Dz. U. z 2002 r., Nr 171, poz. 1396 z pón. zm.) oraz ustawy z dnia 29 wrze nia 1994 r. o rachunkowo ci (Dz. U. z 2002 r., Nr 76, poz. 694), a nadto rozporz dzenie Ministra Finansów z dnia 10 grudnia 2001 r. w sprawie szczególnych zasad rachunkowo ci banków (Dz. U. Nr 149, poz. 1673 z pón. zm.).
Odnosząc się do zarzutu dokonania przez GIODO bezpodstawnej subsumcji stanu faktycznego dotycz cego Pana A przepisem ustawy z dnia 14 lutego 2003 r. o udostpnianiu informacji gospodarczych (Dz. U. Nr 50, póz. 424)", naley podnie , e jest on bezzasadny.
Generalny Inspektor zasygnalizował jedynie, e istniej regulacje prawne, w tym ww. ustawa, które okre laj termin usunicia danych dłuników po całkowitej spłacie zobowi zania.
Ustosunkowując się natomiast do zarzutu skargi dotycz cego niezastosowania przez organ art. 23 ust. l pkt 5 ustawy o ochronie danych osobowych naley wskaza , e jest on niesłuszny.
Jednym z warunków legalności przetwarzania danych na jego podstawie jest to, aby przetwarzanie nie naruszało praw i wolności osoby, której dane dotyczą.
Nie budzi najmniejszej w tpliwo ci, e w rozpatrywanej sprawie ten warunek nie został spełniony, czego dowodem był uzasadniony wniosek Pana A skierowany do GIODO o podjcie przez niego działa zmierzaj cych do nakazania usunicia jego danych osobowych ze zbioru BIK S.A
Na marginesie trzeba zaznaczy, że Sąd zdaje sobie spraw ze znaczenia sektora bankowego dla gospodarki demokratycznego pa stwa prawa oraz zagroe zwi zanych z nieuczciwymi klientami, wyłudzeniami kredytów i praniem pieniądzy.
Nie ulega najmniejszej w tpliwo ci, e banki powinny posiada instrumenty chroni ce je przed tymi zagroeniami.
Jednakże należy z całą mocą podkreślić, że działania podejmowane przez banki w tym zakresie musz respektować obowiązujące prawo i nie mogą naruszać praw i wolności obywateli.
Mając powyszże na względzie, Wojewódzki Sąd Administracyjny w Warszawie, na podstawie art. 151 ustawy z dnia 30 sierpnia 2002 r. - Prawo o postpowaniu przed s dami administracyjnymi (Dz. U. Nr 153, póz. 1270 ze zm.) w zw. z art. 23 ust. l i art. 26 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych, orzekł jak w sentencji.
Przechowywanie danych w chmurze polega na zapisywaniu i zarządzaniu danymi na zdalnych serwerach, które są dostępne przez internet. Zamiast przechowywać pliki na lokalnych dyskach twardych lub serwerach, użytkownicy mogą korzystać z infrastruktury dostarczanej przez dostawców usług chmurowych. Jest to wygodne i efektywne rozwiązanie, które zapewnia dostęp do danych z dowolnego miejsca, elastyczność, skalowalność oraz wysoki poziom bezpieczeństwa i niezawodności.
© Portal Poradyodo.pl