Aktualny

NSA wyjaśnia, jak zrealizować dodatkowy obowiązek informacyjny banku

Dodano: 20 marca 2024
NSA wyjaśnia, jak zrealizować dodatkowy obowiązek informacyjny banku

Przetwarzanie danych osobowych dłużnika i innych informacji objętych tajemnicą bankową przez bank przez okres 5 lat po wygaśnięciu zobowiązania jest możliwe, o ile bank spełnił wobec klienta dodatkowy obowiązek informacyjny (art. 105a ust. 3 Prawa bankowego). Naczelny Sąd Administracyjny w niedawnym wyroku przedstawił praktyczne aspekty dotyczące realizacji tego obowiązku.

Dodatkowy obowiązek informacyjny ciążący na banku

Banki, instytucje oraz inne podmioty finansowe wskazane w art. 105a Prawa bankowego mogą przetwarzać informacje stanowiące tajemnicę bankową i informacje udostępnione przez instytucje pożyczkowe oraz podmioty, o których mowa w art. 59d ustawy o kredycie konsumenckim, dotyczące osób fizycznych - po wygaśnięciu umowy. Dane te są przetwarzane bez zgody podmiotu danych, gdy osoba ta:

  • nie wykonała zobowiązania lub

  • dopuściła się zwłoki powyżej 60 dni w spełnieniu świadczenia

Uwaga

Warunkiem tego przetwarzania jest poinformowanie tej osoby przez bank lub inną instytucję o zamiarze przetwarzania tych danych bez jej zgody. Przetwarzanie może nastąpić po upływie co najmniej 30 dni od przekazania tej informacji.

Bank wysyła informację, ale czy spełnia obowiązek informacyjny

Realizacji tego obowiązku informacyjnego dotyczy niedawny wyrok Naczelnego Sądu Administracyjnego. W sprawie rozpatrywanej przez NSA klient banku dopuścił się ponad 60-dniowej zwłoki w spłacie zobowiązania. Bank poinformował go w wezwaniu do zapłaty informację o zamiarze skorzystania przez bank z prawa do przetwarzania informacji stanowiących tajemnicę bankową przez okres 5 lat po wygaśnięciu zobowiązania, bez zgody klienta.

W odpowiedzi klient wniósł skargę do Prezesa Urzędu Ochrony Danych Osobowych, w której zażądał aktualizacji swoich danych osobowych w BIK. Zarzucił przy tym, że bank nie spełnił ww. obowiązku informacyjnego zgodnie z art. 105a ust. 3 Prawa bankowego. W toku postępowania Prezes UODO ustalił, że bank poinformował klienta o zamiarze przetwarzania ww. informacji listem poleconym, bez poświadczenia odbioru. Bank nie dysponował więc dowodem skutecznej realizacji obowiązku informacyjnego.

Uwaga

Zdaniem Prezesa UODO to bank winien wykazać, że skutecznie zrealizował ww. obowiązek informacyjny za pomocą dowodu doręczenia informacji a jedynie dowodu wysyłki.

Na tej podstawie Prezes UODO uznał, że bank przetwarzał dane osobowe klienta z naruszeniem art. 105a ust. 3 ustawy.

Klient banku musi otrzymać informację o przetwarzaniu

Sprawa trafiła do Wojewódzkiego Sądu Administracyjnego w Warszawie, który uwzględnił skargę banku. Do tego orzeczenia skargę kasacyjną złożył jednak Prezes UODO. NSA podzielił zaś stanowisko organu nadzorczego, uchylając wyrok WSA. W uzasadnieniu orzeczenia sąd dokonał interpretacji pojęcia „poinformować” z art. 105a ust. 3 Prawa oświatowego, wskazując, że oznacza to: „udzielić informacji, wskazówek, objaśnić, powiadomić o czymś, podać do wiadomości”. Innymi słowy, na banku spoczywa obowiązek nie tyle samego wysłania informacji, co spowodowania, że klient może się z tą informacją zapoznać. Do dodatkowego obowiązku informacyjnego banku nie należy więc podchodzić formalnie.

Bank musi zapewnić rozliczalność obowiązku informacyjnego

Do tego zdaniem sądu bank, choć ma wybór sposobu przekazania informacji o przetwarzaniu, to niezależnie od wybranego rozwiązania powinien dysponować dowodem skutecznego przekazania tej informacji. Innymi słowy, powinna istnieć możliwość zweryfikowania faktu poinformowania klienta banku o zamierzonym przetwarzaniu. Nie wystarczy tu wydruk z księgi nadawczej, którym w opisywanej sprawie dysponował bank.

Przykład

Bank może spełnić dodatkowy obowiązek informacyjny np.:

  • listownie (za potwierdzeniem odbioru),

  • drogą elektronicznie (jeżeli przewidziano to w umowie),

  • osobiście w placówce banku.

Przetwarzanie dopiero po 30 dniach od poinformowania a nie wysłania informacji

W konsekwencji rozpoczęcie przetwarzania informacji, w tym danych osobowych na podstawie art. 105a ust. 3 Prawa bankowego może nastąpić po upływie 30 dni od dnia poinformowania klienta a nie jedynie przesłania informacji. Termin ten nie został dochowany przez bank, stąd NSA uchylił zaskarżony wyrok i przekazał do ponownego rozpoznania.

  • wyrok Naczelnego Sądu Administracyjnego III OSK 3233/21

WIDEOSZKOLENIA »

Bezpieczne przechowywanie danych w chmurze

Bezpieczne przechowywanie danych w chmurze

Przechowywanie danych w chmurze polega na zapisywaniu i zarządzaniu danymi na zdalnych serwerach, które są dostępne przez internet. Zamiast przechowywać pliki na lokalnych dyskach twardych lub serwerach, użytkownicy mogą korzystać z infrastruktury dostarczanej przez dostawców usług chmurowych. Jest to wygodne i efektywne rozwiązanie, które zapewnia dostęp do danych z dowolnego miejsca, elastyczność, skalowalność oraz wysoki poziom bezpieczeństwa i niezawodności.

14.06.2024 czytaj więcej »

ZMIANY W PRAWIE »

Nasi partnerzy i zdobyte nagrody » 


Nagrody i wyróżnienia» 

Poznaj kluczowe zagadnienia, z jakimi możesz się zetknąć podczas codziennej pracy IODO.
E-kurs dla początkującego Inspektora Danych Osobowych. Rzetelna wiedza i praktyczne ćwiczenia.

24-h bezpłatny test portalu!
Zyskaj pełen dostęp do bazy porad i aktualności!

SPRAWDŹ »

x