Decyzja Generalnego Inspektora Ochrony Danych Osobowych z dnia 16 maja 2005 r. dotyczca nieuprawnionego udostpnienia Spółce danych osobowych klientów Banku. Bank przekazał powysze dane, wnoszc do spółki wierzytelnoci przysługujce mu od swoich klientów, w formie aportów. GI-DEC-DS-103/05 Warszawa, dnia 16 maja 2005 r. DECYZJA Na podstawie art. 104 1 ustawy z dnia 14 czerwca 1960 r. Kodeks postpowania administracyjnego (Dz. U. z 2000 r. Nr 98, poz. 1071 z pón. zm.) oraz art. 12 pkt 2, art. 18 ust. 1 pkt 1 i 6 w zwizku z art. 23 ust. 1 pkt 2 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. z 2002 r. Nr 101, poz. 926 z pón. zm.) i art. 104 ust. 1 i 2 ustawy z dnia 29 sierpnia 1997 r. Prawo bankowe (Dz. U. z 2002 r. Nr 72, poz. 665 z pón. zm.), po przeprowadzeniu postpowania administracyjnego w sprawie udostpnienia SPÓŁCE (z o.o.), przez Bank, danych osobowych Pana A.B., nakazuj 1) Bankowi, nieudostpnianie danych osobowych Pana A.B., w zwizku z przelewem wierzytelnoci, bez spełnienia przesłanek okrelonych w art. 104 ust. 2 ustawy z dnia 29 sierpnia 1997 r. Prawo bankowe (Dz. U. z 2002 r. Nr 72, poz. 665 z pón. zm.). 2) SPÓŁCE (z o.o.), usunicie ze zbiorów danych osobowych dłuników - danych osobowych Pana A.B., pozyskanych od Bank, jako pozyskanych bez podstawy prawnej. Uzasadnienie Do Biura Generalnego Inspektora Ochrony Danych Osobowych wpłynła skarga Pana A.B., zwanego dalej równie Skarcym, który zwrócił si o podjcie stosownych działa w zwizku z udostpnieniem przez Bank, jego danych osobowych SPÓŁCE (z o.o.), W toku postpowania administracyjnego przeprowadzonego w niniejszej sprawie, Generalny Inspektor Ochrony Danych Osobowych ustalił nastpujce okolicznoci faktyczne: 1. W dniu 30 lipca 1997 r. Pan A.B., jako osoba fizyczna, zawarł z innym Bankiem X., Filia, umow o kredyt na zakup pojazdów samochodowych nr... Porczycielem spłaty tego
kredytu został Bank, który wobec braku spłaty ze strony Skarcego uicił naleno z tytułu ww. kredytu na rzecz innego Banku X i stał si wierzycielem Skarcego z tytułu spełnionego wiadczenia. 2. Uchwał nr 1/50/2000 z dnia 7 grudnia 2000r. Zarzd Banku wniósł do SPÓŁKI (z o.o.) tytułem aportu grup przysługujcych Bankowi wierzytelnoci (w tym wierzytelno wobec Skarcego), udostpniajc jednoczenie dane osobowe swoich dłuników. Jak wynika z wyjanie Banku, o fakcie wniesienia wierzytelnoci do SPÓŁKI (z o.o.) strony transakcji powiadomiły wszystkich dłuników tych wierzytelnoci drog mailingu. Skarcego poinformowano o przeniesieniu wierzytelnoci w pimie z dnia 14 marca 2001 r. W ocenie obu ww. podmiotów przeniesienie wierzytelnoci nie wymagało zgody dłunika. 3. Bank jako podstaw udostpnienia danych osobowych Skarcego wskazał art. 509 Kodeksu cywilnego, art. 5 ustawy z dnia 29 sierpnia 1997 r. Prawo bankowe (Dz. U. z 2002 r., Nr 72, poz. 665 z pón. zm.) oraz przepisy ustawy z dnia 3 lutego 1993 r. o restrukturyzacji finansowej przedsibiorstw i banków oraz zmianie niektórych ustaw (Dz. U. Nr 18, poz. 82 z pón. zm.). 4. SPÓŁKA (z o.o.) jako podstaw przetwarzania danych osobowych Skarcego wskazała art. 23 ust. 3 i 5 ustawy o ochronie danych osobowych, bowiem przedmiotowe dane s przetwarzane w celu dochodzenia roszcze od Skarcego z tytułu umowy kredytowej, której stron w wyniku cesji wierzytelnoci jest obecnie Spółka. Jako podstaw pozyskania danych wskazano natomiast art. 509 Kodeksu cywilnego. Po zapoznaniu si z całoci zgromadzonego w sprawie materiału dowodowego, Generalny Inspektor Ochrony Danych Osobowych zwaył, co nastpuje: Ustawa o ochronie danych osobowych okrela zasady postpowania przy przetwarzaniu danych osobowych oraz prawa osób fizycznych, których dane s lub mog by przetwarzane w zbiorach danych (art. 2 ust. 1 ustawy). Przetwarzanie, w tym udostpnianie, danych osobowych jest zgodne z prawem jedynie wówczas, gdy administrator danych legitymuje si posiadaniem co najmniej jednej, sporód wymienionych w art. 23 ust. 1 ustawy, materialnych przesłanek dopuszczalnoci przetwarzania. Stosownie do art. 23 ust. 1 ustawy, przetwarzanie danych osobowych jest dopuszczalne wtedy, gdy: 1) osoba, której dane dotycz, wyrazi na to zgod, 2) gdy jest to niezbdne dla zrealizowania uprawnienia lub spełnienia obowizku wynikajcego z przepisu prawa, 3) jest to konieczne dla realizacji umowy, gdy osoba, której dane dotycz, jest jej stron lub gdy jest to niezbdne do podjcia działa przed zawarciem umowy na danie osoby, której dane dotycz, 4) jest niezbdne do wykonania okrelonych prawem zada realizowanych dla dobra 2
publicznego, 5) jest to niezbdne dla wypełnienia prawnie usprawiedliwionych celów realizowanych przez administratorów danych albo odbiorców danych, a przetwarzanie nie narusza praw i wolnoci osoby, której dane dotycz. Majc na uwadze powołane wyej przepisy oraz okolicznoci przedmiotowej sprawy naley wskaza, i administratorem danych osobowych Pana A.B. był Bank, który przetwarzał dane Skarcego w zwizku z zawart pomidzy Bankiem a Skarcym umow kredytu. Bank przetwarzał zatem dane Skarcego w oparciu o przesłank przetwarzania danych okrelon w art. 23 ust. 1 pkt 2 i 3 ustawy, tj. na podstawie ustawy z dnia 29 sierpnia 1997 r. Prawo bankowe (Dz. U. z 2002 r., Nr 72, poz. 665 z pón. zm.) w celu realizacji umowy kredytu. Rozpatrujc kwesti legalnoci udostpnienia przez Bank danych osobowych Skarcego Spółce, naley przede wszystkim wskaza, i przedmiotowe dane s objte tajemnic bankow. Stosownie do treci art. 104 ust. 1 pkt 1 Prawa bankowego, według stanu prawnego obowizujcego w dniu przekazania przez Bank danych osobowych Skarcego Spółce, banki i osoby w nich zatrudnione oraz osoby, za których porednictwem bank wykonuje czynnoci bankowe, s obowizane zachowa tajemnic bankow, która obejmuje wszystkie wiadomoci dotyczce czynnoci bankowych i osób bdcych stron umowy, uzyskane w czasie negocjacji oraz zwizane z zawarciem umowy z bankiem i jej realizacj, z wyjtkiem wiadomoci, bez których ujawnienia nie jest moliwe naleyte wykonanie zawartej przez bank umowy. W myl natomiast art. 104 ust. 2 Prawa bankowego, osobom trzecim wiadomoci te nie mog by ujawnione, poza przypadkami okrelonymi w art. 105, a take gdy osoba bdca stron umowy na pimie upowani bank do przekazania okrelonych informacji wskazanej przez siebie osobie. Powołane przepisy maj równie zastosowanie w przypadku dokonywania przez banki czynnoci bankowych polegajcych na zbywaniu wierzytelnoci, tj. czynnoci, o których mowa w art. 5 ust. 2 pkt 5 Prawa bankowego. Zatem Bank przekazujc SPÓŁCE (z o.o.) dane osobowe Skarcego w zwizku z cesj wierzytelnoci, powinien dysponowa upowanieniem Skarcego, o którym mowa w art. 104 ust. 2. Z zebranego w przedmiotowej sprawie materiału dowodowego, w tym zarówno z wyjanie Banku, jak i Spółki, wynika natomiast jednoznacznie, i przekazanie danych Skarcego nastpiło bez stosownego upowanienia, co stanowiło naruszenie tajemnicy bankowej. Doda naley, i równie w obecnie obowizujcym stanie prawnym banki mog wprawdzie ujawni osobom trzecim informacje objte tajemnic bankow, ale wyłcznie gdy osoba, której informacje te dotycz, na pimie upowani bank do przekazania okrelonych informacji wskazanej przez siebie osobie lub jednostce organizacyjnej (art. 104 ust. 3 Prawa bankowego). 3
Podkrelenia wymaga równie, i pozyskanie danych osobowych od podmiotu, który udostpnił je niezgodnie z art. 104 ust. 1 i 2 Prawa bankowego przesdza o nielegalnoci ich dalszego przetwarzania. Bezprzedmiotowe zatem byłoby prowadzenie rozwaa, co do dopuszczalnoci dokonania przelewu wierzytelnoci z punktu widzenia regulacji prawa cywilnego. W niniejszej sprawie nie znajduj równie zastosowania, wbrew stanowisku Banku, przepisy ustawy o restrukturyzacji finansowej przedsibiorstw i banków oraz zmianie niektórych ustaw. Stosownie bowiem do art. 41 pkt 1 powołanej ustawy, bank moe dokonywa publicznej sprzeday wierzytelnoci bankowych bez zgody dłunika, jednake po spełnieniu warunków okrelonych w art. 39 i art. 40 ww. ustawy. Natomiast okolicznoci przedmiotowej sprawy jednoznacznie wskazuj, i cesja midzy Bankiem a Spółk nie nastpiła w drodze publicznej sprzeday wierzytelnoci bankowej. Naley zatem uzna, i działanie Banku polegajce na przekazaniu Spółce danych osobowych Skarcego w zwizku z cesj przysługujcych Bankowi wierzytelnoci stanowi naruszenie tajemnicy bankowej, do zachowania, której Bank jest zobowizany przepisami prawa. Tym samym opisane działanie, jako niezgodne z przepisami Prawa bankowego, nie znajdowało podstaw w art. 23 ust. 1 pkt 2 ustawy. Podkrelenia równie wymaga, i wprawdzie przesłanki przetwarzania danych maj charakter autonomiczny i niezaleny, jednake fakt przetwarzania danych niezgodnie z przepisami prawa, co ma miejsce w przedmiotowej sprawie, przesdza o niedopuszczalnoci podejmowania na tych danych działa w oparciu o pozostałe przepisy art. 23 ust. 1, tj. pkt 1, 3, 4 i 5. Generalny Inspektor pragnie przy tym podkreli, i przedmiotem jego badania nie było ustalenie motywu, jakim kierował si Skarcy, wnoszc skarg do Biura GIODO na przetwarzanie jego danych osobowych przez Bank i Spółk, w szczególnoci, czy złoył oni przedmiotow skarg - jak twierdzi Spółka - w celu, uchylenia si od spłaty swoich zobowiza. Generalny Inspektor Ochrony Danych Osobowych badał wyłcznie, czy proces przetwarzania danych Skarcego przez wyej wymienione podmioty jest z zgodny obowizujcymi przepisami prawa, stwierdzajc istnienie uchybie w tym zakresie. Majc powysze na uwadze, w tym stanie prawnym i faktycznym, Generalny Inspektor Ochrony Danych Osobowych rozstrzygnł, jak na wstpie. Decyzja niniejsza jest ostateczna. Na podstawie art. 21 ust. 1 ustawy o ochronie danych osobowych oraz art. 129 2, w zw. z art. 127 3 Kodeksu postpowania administracyjnego, stronie 4
niezadowolonej z niniejszej decyzji przysługuje, w terminie 14 dni od daty jej dorczenia, prawo złoenia do Generalnego Inspektora Ochrony Danych Osobowych wniosku o ponowne rozpatrzenie sprawy (adres: Biuro Generalnego Inspektora Ochrony Danych Osobowych, ul. Stawki 2, 00-193 Warszawa). 5