Marek Dydyszko Ochrona danych osobowych w banku Część 5 Zasady przetwarzania danych osobowych Materiał pomocniczy do szkolenia e-learningowego Ochrona danych osobowych w banku przygotowanego przez Bankowy Ośrodek Doradztwa i Edukacji Sp. z o.o. Poznań 2015
Bankowy Ośrodek Doradztwa i Edukacji Sp. z o.o.
Ustawa wymaga, aby spełnione zostały jeszcze kryteria przestrzegania podstawowych zasad przetwarzania danych, określone w art. 26 Ustawy. Zasady te mają obligatoryjny charakter, a ich dochowanie jest obowiązkiem banku jako administrator danych. Wymogiem o charakterze ogólnym jest obowiązek dochowania szczególnej staranności w celu ochrony interesów osób, których dane dotyczą. Charakterystycznym jest, iż ustawodawca użył zwrotu szczególnej staranności, a nie często w prawie występującym określenia należytej staranności. Staranność szczególna jest niewątpliwie większa od staranności należytej. Ustawa wymaga więc od administratorów danych dołożenia starań ponadprzeciętnych nie standardowych, przy przetwarzaniu danych. Celem takiego postępowania jest ochrona interesów osób, których dane są przetwarzane. Interesy te to zarówno prawo do prywatności jak i inne prawa każdej osoby bez względu na ich charakter. Formułując taką dyrektywę o charakterze ogólnym art. 26 stanowi ponadto, iż podczas przetwarzania danych zachowane muszą być następujące zasady: 1. przetwarzanie danych musi być zgodne z prawem zasadą legalności 2. dane muszą być zbierane dla oznaczonych, zgodnych z prawem celów i niepoddawane przetwarzaniu niezgodnemu z tym celem zasada celowości 3. dane muszą być merytorycznie poprawne i adekwatne do celów dla jakich są gromadzone zasady merytorycznej poprawności i adekwatności 4. dane mogą być przechowywane w postaci umożliwiającej identyfikację osób, których dotyczą, nie dłużej niż jest to niezbędne zasada ograniczenia czasowego Zasada legalizmu oznacza, iż przetwarzanie danych musi być zgodna z przepisami prawa w rozumieniu zarówno Ustawy jak i innych aktów prawnych, również niższego rzędu. Bezwzględny wymóg przetwarzania danych zgodnie z prawem przez bank, był przedmiotem orzeczenia Naczelnego Sądu Administracyjnego z dnia 4 marca 2002 roku sygn. II SA 3144/01, w którym to orzeczeniu stwierdził, że : - żadne względy natury organizacyjno-finansowej nie powinny być traktowane jako podstawy do sprzecznego z prawem przetwarzania danych
Zasada celowości oznacza, iż przetwarzanie danych, zwłaszcza w płaszczyźnie ich rodzaju i zakresu musi być odpowiednia do celu dla jakiego mają być lub są wykorzystywane. Ten cel musi być określony, legalny i znany osobie, której dane dotyczą. Oczywistym jest, że nie można gromadzić danych dla celów sprzecznych z prawem czy wręcz przestępczych. Ten cel w praktyce bankowej wyznaczać będzie najczęściej treść stosunku umownego, łączącego bank z klientem czyli rodzaj czynności bankowej będącej przedmiotem umowy. Jeżeli bank zgromadził, wymagane prawem, dane kredytobiorcy niezbędna do zawarcia i wykonania umowy kredytowej to nie może ich przetwarzać bez spełnienia dodatkowych warunków, w celu np. reklamy swoich produktów. Podkreślić należy, że zasada celowości ma dwojakiego rodzaju znaczenie; po pierwsze zgodnie z nią, bank może zbierać i przetwarzać tylko te dane, które są niezbędne do zawarcia i realizacji umowy kredytowej (bezpodstawna więc będzie w tym przypadku zbieranie np. danych dotyczących upodobań kulinarnych klienta czy danych dotyczących jego życia intymnego). Po drugie dane te, choćby nadawały się do wykorzystania w innym celu, nie mogą być tak wykorzystane, chyba, że będą spełnione wymogi dalszego ich przetwarzania (np. zgoda klienta na wykorzystanie danych przekazanych w związku z zawarciem umowy kredytowej, również do celów marketingowych lub reklamowych). Zasada merytorycznej poprawności oznacza, iż przedmiotem przetwarzania winny być prawdziwe dane osobowe. Te prawdziwe dane winny być kompletne i aktualne. Zasada ta wymaga rozważenia problemu niezwykle istotnego czy administrator ma obowiązek aktywnie weryfikować dane osobowe w aspekcie ich prawdziwości i kompletności. Dla instytucji finansowych, a zwłaszcza braku problemu ten jest pozorny, bank ma prawny obowiązek weryfikować prawdziwość danych przedkładanych przez klientów, jest do tego zobowiązany nie Ustawą o ochronie danych, lecz przepisami Prawa bankowego i innych przepisów regulujących zasady postępowania banku przy zawieraniu umów o czynności bankowe. Występowanie ryzyk bankowych wymaga aktywności banku w celu ich likwidowania lub ograniczania. Bank realizuje te zadania m.in. poprzez weryfikowanie danych osobowych klientów. Zasada adekwatności oznacza, iż bank winien gromadzić i przetwarzać dane osobowe tylko w takim zakresie, w jakim jest to niezbędne dla celów przetwarzania. Zasada ta wyklucza możliwość gromadzenia danych nieprzydatnych, nie mających
żadnego znaczenia dla czynności w związku z którą są gromadzone. Jest oczywistym, iż jeżeli bank dokonuje sprzedaży obcej waluty osobie fizycznej, to nie ma żadnego uzasadnienia dla odbierania od takiej osoby danych dotyczących np. jego sytuacji majątkowej, sytuacji rodzinnej itp. co jest rutynowo i zasadnie czynione przy zawieraniu umowy kredytowej. Rodzaj i zakres danych niezbędnych jest zasadniczo inny dla pierwszej i drugiej czynności. Szeroki zakres niezbędny przy umowie kredytowej jest nieadekwatny przy prostej czynności sprzedaży walut. Zasada ta znalazła swoją interpretację w orzeczeniu NSA z 7 listopada 2003 roku, sygn. II SA 1432/02 i to właśnie w odniesieniu do praktyk bankowych. Sąd stwierdził, iż usprawiedliwionym i adekwatnym dla celów związanych z wykonaniem umowy i dochodzeniem roszczeń przez bank, jest kserowanie dowodów osobistych klientów zawierających np. umowy kredytowe z bankiem. Zasada ograniczenia czasowego oznacza obowiązek usunięcia danych lub ich anonimizacji z chwilą osiągnięcia celu przetwarzania. Zasada ta ma wykluczyć możliwość posiadania i przetwarzania danych gdy zrealizowany został cel dla jakiego je zgromadzono. Problemu funkcjonowania tej zasady w działalności bankowej dotknęło orzeczenie Wojewódzkiego Sądu Administracyjnego w Warszawie z dnia 22 lutego 2005 roku nr II SA/Wa 2030/04/. W rozstrzygnięciu tym sąd orzekł iż z chwilą całkowitej spłaty kredytu (zamknięcia rachunku bankowego) kończy się prawne zezwolenie na przetwarzanie danych osobowych tych osób, których rachunki zostały zamknięte. Osiągnięty zostaje wówczas cel, w jakim dane te były przetwarzane. Kwestie te znalazły swój nowy wymiar po nowelizacji 15 kwietnia 2005 roku Ustawy Prawo bankowe. Nowelę tę dodano do przepisów prawa bankowego art. 105a, który stanowi, że: - banki i inne podane w przepisie instytucje mogą przetwarzać dane osobowe osób fizycznych w celu oceny ich zdolności kredytowej i oceny ryzyka kredytowego po wygaśnięciu zobowiązania jeżeli uzyskają pisemną zgodę osoby, której dane dotyczą - jeżeli osoba nie wywiązała się z zobowiązania lub dopuściła się ponad 60 dniowej zwłoki w spełnieniu świadczenia bank może przetwarzać dane bez jej zgody, jeżeli upłynęło 30 dni od powiadomienia takiej osoby, iż jej dane będą przetworzone. Przetwarzanie danych w tej sytuacji może trwać 5 lat od czasu wygaśnięcia zobowiązania. Dane osobowe, które można przetwarzać według zasad art. 105 a Prawa
bankowego są niezwykle szerokie i zostały określone w Rozporządzeniu Ministra Finansów z dn. 20 września 2005 roku. Rozporządzenie to określa zarówno dane dotyczące samej osoby (klienta banku), jak i dane dotyczące zobowiązania (kwota, waluta, stan rachunku, datę powstania zobowiązania, warunki spłaty, ustanowione zabezpieczenia prawne itd.) Przepis art. 105a ma poważne znaczenie, gdyż umożliwia bankowi m.in. obrót wierzytelnościami straconymi (np. ich sprzedaż). Obrót ten był czysto blokowany gdyż klient nie wyrażał zgody na przetwarzanie swoich danych osobowych co powodowało brak ofert zakupu, gdyż nabywcy nie znali ważnych okoliczności związanych z wierzytelnością i rezygnowali z zawarcia umowy. Omówione wyżej podstawowe zasady przetwarzania danych mają charakter integralny, muszą być wszystkie spełnione, aby można było uznać przetwarzanie za zgodne z prawem. Odrębne, zaostrzone kryteria przetwarzania danych zostały określone w art. 27 Ustawy w stosunku do szczególnej kategorii danych osobowych zwanych danymi wrażliwymi lub sensytywnymi. Za dane szczególnie wrażliwe Ustawa uznaje: pochodzenie rasowe i etniczne, poglądy polityczne, przekonania religijne i filozoficzne, przynależność wyznaniową, partyjną lub związkową, stan zdrowia, kod genetyczny, nałogi, życie seksualne, informacje o skazaniach, ukaraniach i mandatach karnych. Katalog danych wrażliwych jest zamknięty i nie może być rozszerzony. Oceniając powyższe dane można stwierdzić, iż są to informacje o szczególnie prywatnych sferach życia człowieka, jego przekonaniach, preferencjach intelektualnych i fizycznych, poglądach i aktywności społecznej w tym politycznej wymagające szczególnej ochrony. Ochrona ta wynika też z faktu szczególnych dolegliwości szkód: krzywd jakie mogą dotknąć człowieka przy ujawnieniu i przetwarzaniu zwłaszcza upublicznieniu tych danych. W związku z powyższym zasadą wyrażoną w art. 27 Ustawy jest zakaz przetwarzania danych tej kategorii. Wyjątkowo dopuszczalne jest ich przetwarzanie w ściśle określonych w ust. 2 cytowanego przepisu, sytuacjach. W niniejszym opracowaniu nie ma potrzeby szczegółowego omawiania powyższych przypadków. Wspominając jedynie można, iż ustawa dopuszcza możliwość przetwarzania danych wrażliwych np. gdy: - uzyska się zgodę osoby, do której dane należą - przepis szczególny zezwala na przetwarzanie takich danych
- przetwarzanie jest niezbędne ze względu na żywotne interesy osoby, do której należą, a osoba ta nie jest fizycznie lub prawnie zdolna do wyrażenia zgody - jest to niezbędne do dochodzenia prawo przed sądem Z praktycznego punktu widzenia, istotnym jest rzetelna i głęboka ocena banku czy w związku z celem przetwarzania danych rzeczywiście koniecznym jest zgromadzenie również danych wrażliwych. Należy z niezwykłą ostrożnością podchodzić do tej kwestii. Jeżeli, a tak najczęściej będzie, zgromadzenie tych danych nie jest konieczne, należy zrezygnować z ich pozyskiwania np. w formule zgody osoby do której te dane należą. Drugi aspekt praktyczny to kwestia wyraźnego oznaczenia danych wrażliwych już zgromadzonych, które są przekazywane lub udostępniane innym osobom. Winny one mieć stosowne oznaczenia np. dane wrażliwe, aby odbiorca lub osoba zapoznająca się z nimi miała pełną świadomość co do ich charakteru. Kolejne zagadnienia wiążą się z uregulowanymi w art. 29 Ustawy zasadami udostępnienia danych osobowych przez administratorów w celach innych niż włączenie do zbioru. Udostępnienie w tym celu danych osobowych jest możliwe w dwóch sytuacjach: 1. gdy podmiot jest uprawniony do otrzymania danych na mocy przepisów prawa 2. gdy podmiot, nie mający takiego uprawnienia, złoży wniosek, w którym w sposób wiarygodny uzasadni potrzebę posiadania tych danych, a udostępnienie nie naruszy praw i wolności osoby, której dane dotyczą. 3. Wniosek o udostępnienie danych w każdym przypadku winien mieć formę pisemną, zawierać uzasadnienie oraz informacje, które pozwolą wyszukać dane w zbiorze. Podkreślić należy, iż administrator, np. bank, musi udostępnić żądane dane w sytuacji z pkt. 1, a może zadecydować o ich nieudostępnieniu w sytuacji opisanej w pkt. 2. Udostępnione dane osoba, która je otrzymała może wykorzystać tylko zgodnie z przeznaczeniem dla którego zostały jej przekazane. Zaznaczyć należy, że administrator musi odmówić udostępnienia danych podmiotowi, który ma uzasadnioną potrzebę ich posiadania (pkt. 2) jeżeli w jego ocenie udostępnienie istotnie naruszy dobra osobiste jakichkolwiek osób. W aspekcie działalności banków wyraźnie podkreślić należy, iż w zakresie
udostępnienia danych osobowych stanowiących jednocześnie tajemnicę bankową, obowiązują przepisy Ustawy Prawo bankowe (art. 105 i nast.) jako mocniej chroniące dane osobowe. Rozstrzyga tę kwestię omówiony wyżej art. 5 Ustawy o ochronie danych osobowych, stąd sygnalnie przedstawione zasady udostępniania danych opisane wyżej nie mają zastosowania do takich danych. Następny pakiet zagadnień związanych z zasadami przetwarzania danych osobowych dotyczy bardzo istotnych kwestii pojawiających się również w realiach funkcjonowania banku, a mianowicie, korzystania z podmiotów zewnętrznych, przetwarzających dane osobowe. Wiele banków szeroko korzysta z tzw. outsourcingu wykorzystując podmioty zewnętrzne do realizacji czynności bankowych. Zgodnie z art. 31 Ustawy bank jako administrator danych może powierzyć innemu podmiotowi przetwarzanie danych osobowych. Powierzenie musi nastąpić poprzez zawarcie pisemnej umowy. Forma pisemna umowy jest obligatoryjna. Podmiot któremu powierzono przetwarzanie danych musi: - przetwarzać je wyłącznie w zakresie i celu określonym w umowie - podjąć, przed rozpoczęciem przetwarzane środki zabezpieczające zbiory danych. Jeżeli podmiot zewnętrzny nie spełni wymogów bezpieczeństwa ponosi odpowiedzialność tak jak administrator danych. W kwestii odpowiedzialności banku, który przekazał przetwarzanie innej osobie, podkreślić należy, że: - za przestrzeganie przepisów Ustawy odpowiedzialność spoczywa zarówno na banku jako administratorze danych, jak i na podmiocie, któremu powierzono przetwarzanie gdy działa on sprzecznie z umową (ust. 4 art. 31). Tak więc, bank jako administrator nie może wyzbyć się odpowiedzialności, chociaż fizycznie nie przetwarza danych. Generuje to obowiązek należytej staranności po stronie banku w zakresie szczegółowego uregulowania w umowie, celów przetwarzania, rodzaju danych podlegających operacji, zakresu przetwarzania czy też sposobów zabezpieczenia. Bank decydując się na przekazanie przetwarzania powinien wnikliwie zbadać i ocenić, czy kontrahent umowy, spełnia wymogi odpowiedzialnego, bezpiecznego przetwarzania danych. Zaznaczyć należy, że pomimo powierzenia przetwarzania, to na banku ciążą
określone inne obowiązki np. obowiązek informacyjny w stosunku do klienta, obowiązek poddania się kontroli GIODO itd. Bank część tych obowiązków może w drodze umowy scedować na podmiot współpracujący. W zakresie odpowiedzialności powierzającego (banku) przetwarzanie danych stanowisko zajął GIODO, który wyraził pogląd odpowiedzialność za przestrzeganie przepisów Ustawy spoczywa na administratorze danych, co nie wyłącza odpowiedzialności podmiotu, z którym zawarto umowy o przetwarzanie. że Ostatnie zagadnienia dotyczące zasad przetwarzania danych związane są generalnie z prawami osób, których dane podlegają przetwarzaniu. Kwestie ta uregulowane zostały w art. 32 35 Ustawy. Zgodnie z treścią art. 32 Ustawy, każdej osobie której dane są przetwarzane przysługuje prawo do kontroli przetwarzania jej danych zawartych w zbiorach. To prawo do kontroli może zwłaszcza wyrażać się w prawie do: 1. pozyskania informacji, czy zbiór istnieje, kto jest jego administratorem, jego adresu i pełnej nazwy 2. uzyskaniu informacji o celu, zakresie i sposobie przetwarzania 3. uzyskania informacji o źródłach pozyskiwania danych 4. uzyskania informacji o odbiorcach danych 5. żądania uzupełnienia, uaktualnienia, sprostowania danych, wstrzymania ich przetwarzania oraz usunięcia 6. żądania zaprzestania przetwarzania danych 7. wniesienia sprzeciwu wobec przetwarzania danych w sytuacjach gdy dane są przetwarzane w związku z realizacją zadań dla dobra publicznego lub prawnych celów administratora. Katalog uprawnień osoby, której dane są przetwarzane jest więc szeroki i nie ma potrzeby ani możliwości szerokiego omawiania poszczególnych z nich. Zaznaczyć należy jednak, że: - jeżeli do banku wpłynie pisemne umotywowane żądanie zaprzestania przetwarzania danych w związku z realizacją zadań publicznych lub, co może często wystąpić w banku, w związku z realizacją prawnych, uzasadnionych celów banku, bank musi albo zaprzestać przetwarzania albo przekazać żądanie do GIODO celem rozstrzygnięcia. - jeżeli do banku wpłynie sprzeciw, opisany w pkt. 5, bank musi zaprzestać przetwarzania danych.
W celu wykluczenia złośliwego utrudniania pracy administratorom, Ustawa określa, że żądanie przekazania informacji z pkt. 1 4 osoba, której dane są przetwarzane może składać nie częściej niż raz na 6 miesięcy. Te prawa osób, których dane są przetwarzane mają swoje odbicie w uregulowaniach w art. 33 Ustawy obowiązkach banku jako administratora danych. Zgodnie z tym przepisem bank na wniosek osoby, której dane dotyczą jest zobowiązany w ciągu 30 dni od żądania poinformowania taką osobę o przysługujących jej prawach oraz odpowiedzieć na stawiane pytania. Informacje te udzielane są przez bank na wniosek, a nie z urzędu, forma wniosku jest dowolna. Istotne jest, aby informacje przekazane przez bank były konkretne i zrozumiałe dla żądającego. Ostatnia kwestia wymagająca zasygnalizowania to uregulowania dotyczące zasady merytorycznej poprawności danych. - Zgodnie z art. 35 Ustawy, jeżeli osoba, którą dane dotyczą wykażą, iż są one niekompletne, nieaktualne, nieprawdziwe, zbędne lub zostały zebrane z naruszeniem ustawy, bank jest zobowiązany do ich uzupełnienia, uaktualnienia, sprostowania, usunięcia lub powstrzymania się od przetwarzania. Jeżeli bank działań takich nie podejmie osoba wnioskująca może zwrócić się do Generalnego Inspektora z wnioskiem o nakazanie dopełnienia tego obowiązku.