eGospodarka.pl
eGospodarka.pl poleca

eGospodarka.plFinanseGrupypl.biznes.bankidość ciekawe - GIODO stwierdził że po spłacie zadłużenia dane dłużnika NIE MOGĄ być przechowywane w Międzybankowym Rejestrze
Ilość wypowiedzi w tym wątku: 3

  • 1. Data: 2004-08-03 13:05:25
    Temat: dość ciekawe - GIODO stwierdził że po spłacie zadłużenia dane dłużnika NIE MOGĄ być przechowywane w Międzybankowym Rejestrze
    Od: "Paweł" <n...@n...pl>

    niestety długie - ale może się niektórym przydać -


    Uzasadnienie



    W dniu 24 czerwca 2003 r. do Biura Generalnego Inspektora Ochrony Danych
    Osobowych, zwanego dalej Generalnym Inspektorem, wpłynęła skarga. Z
    przedmiotowej skargi wynikało, iż inny Bank S.A odmówił Skarżącemu "otwarcia
    linii kredytowej" w posiadanym przez niego rachunku
    oszczędnościowo-rozliczeniowym. Uzasadniając tę decyzję pracownik innego
    Banku S.A. wskazał, że "bank nie może otworzyć linii kredytowej, ponieważ
    dane Skarżącego figurują w bankowej bazie danych niesolidnych klientów". W
    przedmiotowej skardze Skarżący wskazał ponadto, iż - jak wynika z uzyskanych
    przez niego informacji - "(...) ww. baza danych nie jest prowadzona ani
    przez Biuro Informacji Kredytowej ani przez Biuro Informacji Gospodarczej
    (...). Przedmiotowa baza danych ma być administrowana i wykorzystywana przez
    kilka zrzeszonych banków'. W nomenklaturze bankowej nosi ona miano Bazy BR".

    Skarżący zażądał "wszczęcia przez Generalnego Inspektora Ochrony Danych
    Osobowych postępowania mającego w szczególności na celu:

    a.. wyjaśnienie kto, w jaki sposób i z jakich powodów dokonał niezgodnego
    z ustawą wpisu jego danych do ww. Bazy BR.

    b.. zbadanie legalności prowadzenia Bazy BR przez "zrzeszone banki"

    c.. wydanie decyzji administracyjnej nakazującej wykreślenie jego danych z
    ww. Bazy BR

    d.. wszczęcie postępowania karnego wobec osób, które nie dopełniły
    obowiązku poinformowania go o dokonaniu wpisu jego danych do bazy BR poprzez
    zgłoszenie powyższego faktu do właściwej (...) prokuratury rejonowej.".




    Generalny Inspektor podjął działania mające na celu wyjaśnienie
    przedmiotowej sprawy. Z ustaleń dokonanych w toku prowadzonego postępowania
    wyjaśniającego wynika, że:

    a.. Inny Bank S.A., odmówił Skarżącemu otwarcia linii kredytowej w
    rachunku ze względu na fakt, iż dotyczące go dane znajdowały się w Systemie
    Międzybankowej Informacji Gospodarczej - Bankowym Rejestrze prowadzonym
    przez Związek Banków Polskich, z siedzibą w Warszawie przy ul Smolnej 10a,
    zwanym dalej Bankowym Rejestrem.

    b.. Dane osobowe Skarżącego zostały przekazane do Bankowego Rejestru w
    dniu 30 października 2002 r. przez Bank S.A., "w związku z utrzymującym się
    na (należącym do Skarżącego) rachunku ROR zadłużeniem".

    c.. Bank S.A. pozyskał dane osobowe Skarżącego w dniu 2 stycznia 1998 r.,
    wskutek złożenia przez niego "Wniosku o otwarcie rachunku bankowego"
    (oszczędnościowo - rozliczeniowego).

    d.. Przed przekazaniem danych do Bankowego Rejestru Bank wysłał do
    Skarżącego - w dniu 5 września 2002 r. - pismo informujące o zadłużeniu na
    rachunku oszczędnościowo -rozliczeniowym, wzywające jednocześnie do
    uregulowania tego zadłużenia. Przedmiotowe pismo zostało zwrócone do Banku z
    adnotacją "adresat wyprowadził się" (jak wynika z wyjaśnień Banku,
    niedoręczenie przedmiotowego pisma spowodowane było niewypełnieniem przez
    Skarżącego, wynikającego z obowiązującego w Banku Regulaminu dla posiadacza
    rachunków oszczędnościowo - rozliczeniowych tzw. kont osobistych "obowiązku
    zawiadomienia placówki Banku prowadzącej rachunek o każdej zmianie danych
    personalnych jak również miejsca zamieszkania lub zatrudnienia").

    e.. "Dane Skarżącego zostały przekazane (do Bankowego Rejestru) w celu
    określonym w art. 105 ust. 1 pkt 1 ustawy z dnia 29.08.1997 r. Prawo
    bankowe, który jest podstawą funkcjonowania zbioru danych osobowych Bankowy
    Rejestr".

    f.. "Kryterium zakwalifikowania właściciela (...) rachunku do Bankowego
    Rejestru był - stosownie do postanowień dokumentu o nazwie "Kryteria
    klasyfikowania klientów do systemu Międzybankowej Informacji Gospodarczej
    Bankowy Rejestr" (Załącznik nr 1 do Regulaminu wymiany informacji w systemie
    Międzybankowej Informacji Gospodarczej - Bankowy Rejestr) - brak spłaty
    zadłużenia przeterminowanego z tytułu Umowy rachunku
    oszczędnościowo-rozliczeniowego, które utrzymywało się ponad 3 miesiące".

    g.. W dniu 2 lipca 2003 r. Skarżący uregulował zadłużenie na rachunku, w
    związku z czym jego dane - zgodnie z postanowieniami ww. regulaminu -
    zostaną usunięte z Bankowego Rejestru z dniem 2 lipca 2005 r. tj. w dwa lata
    po spłacie zadłużenia.

    W dniu 14 października 2003 r. Skarżący, korzystając z przysługującego mu
    prawa wypowiedzenia się co do zebranych dowodów i materiałów oraz
    zgłoszonych żądań, wskazał: "(...) Bank wszelką korespondencję dotyczącą
    zadłużenia na rachunku kierował wyłącznie na tymczasowy adres zamieszkania -
    żadne pismo nie zostało nigdy wysłane pod mój adres zameldowania. Adresem
    tym Bank zawsze dysponował (...)".

    W dniu 6 listopada 2003 r. Generalny Inspektor zwrócił się do Prezesa
    Związków Polskich o wyrażenie opinii dotyczącej legalności przechowywania
    danych osobowych klientów banków, którzy spłacili zadłużenie, w Bankowym
    Rejestrze.

    W odpowiedzi, w piśmie z dnia 29 grudnia 2003 r., Prezes Związku Banków
    Polskich wskazał w szczególności: "Wszyscy uczestnicy systemu MIG-BR (...)
    opowiedzieli się za przetwarzaniem danych [klientów banków, którzy spłacili
    zadłużenie] przez okres minimum siedmiu lat. Podstawą przetwarzania tych
    danych [w Bankowym Rejestrze] jest treść art. 105 ust. 4 ustawy Prawo
    bankowe oraz postanowienia regulaminu funkcjonowania ww. zbioru (...). Celem
    ujednolicenia praktyki w tym zakresie banki opowiedziały się za
    wprowadzeniem odpowiednich zapisów do ustawy Prawo bankowe".




    Po zapoznaniu się z całością zgromadzonego w sprawie materiału dowodowego,
    Generalny Inspektor Ochrony Danych Osobowych zważył, co następuje:




    Ustawa z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (tekst
    jednolity: Dz. U. z 2002 r. Nr 101, poz. 926 z późn. zm.), zwana dalej
    ustawą, określa zasady postępowania przy przetwarzaniu danych osobowych oraz
    prawa osób fizycznych, których dane są lub mogą być przetwarzane w zbiorach
    danych (art. 2 ust. 1 ustawy). Przesłanki przetwarzania danych określone
    zostały w art. 23 ust. 1 ustawy, przy czym podmiot przetwarzający dane
    powinien wykazać się co najmniej jedną z nich, aby jego działanie mogło być
    uznane za zgodne z prawem. Na podstawie ust. 1 pkt 2 wskazanego powyżej
    artykułu, przetwarzanie danych jest dopuszczalne, gdy zezwalają na to
    przepisy prawa, co oznacza, że ustawa odsyła do przepisów szczególnych
    regulujących działalność określonych podmiotów i instytucji, wskazujących w
    jakich przypadkach mogą one przetwarzać dane osobowe. Ponadto, stosownie do
    postanowień art. 23 ust. 1 pkt 3 ustawy, przetwarzanie danych jest
    dopuszczalne, gdy jest konieczne do realizacji umowy, gdy osoba, której dane
    dotyczą, jest jej stroną lub gdy jest to niezbędne do podjęcia koniecznych
    działań przed zawarciem umowy.

    Wskazać należy, iż samo przekazanie danych osobowych Skarżącego do Bankowego
    Rejestru, jak również dalsze przetwarzanie przedmiotowych danych w tym
    Rejestrze - do chwili spłaty zadłużenia przez Skarżącego, znajdowało swoje
    oparcie w przepisach ustawy z dnia 29 sierpnia 1997 r. Prawo bankowe (tekst
    jednolity: Dz. U. z 2002 r. Nr 72, poz. 665 z późn. zm.), zwanej dalej
    Prawem bankowym. Zgodnie bowiem z art. 105 ust. 4 Prawa bankowego, banki
    mogą, wspólnie z bankowymi izbami gospodarczymi, utworzyć instytucje do
    zbierania i udostępniania bankom oraz innym instytucjom ustawowo
    upoważnionym do udzielania kredytów informacji o wierzytelnościach oraz o
    obrotach i stanach rachunków bankowych w zakresie, w jakim informacje te są
    potrzebne w związku z udzielaniem kredytów, pożyczek pieniężnych, gwarancji
    bankowych i poręczeń. Natomiast, stosownie do postanowień art. 105 ust. 1
    pkt 1 Prawa bankowego, bank ma obowiązek udzielenia informacji stanowiących
    tajemnicę bankową m.in. innym bankom oraz - na zasadzie wzajemności - innym
    instytucjom ustawowo upoważnionym do udzielania kredytów o wierzytelnościach
    oraz o obrotach i stanach rachunków bankowych w zakresie, w jakim informacje
    te są niezbędne w związku udzielaniem kredytów, pożyczek pieniężnych,
    gwarancji bankowych i poręczeń oraz czynnościami obrotu dewizowego, a także
    w związku z konsolidacją sprawozdań finansowych.

    Przepisy Prawa bankowego nie określają jednak praw i obowiązków osób,
    których dane znalazły się w Bankowym Rejestrze, w szczególności zaś nie
    określają okresów przechowywania danych w ww. Rejestrze. Nie można zatem
    zgodzić się zarówno ze stanowiskiem Banku, jak i opinią Prezesa Związków
    Polskich - wyrażoną w piśmie z dnia z 29 grudnia 2003 r. - z których wynika,
    iż podstawą przetwarzania danych osobowych klientów banków, którzy spłacili
    zadłużenie w Bankowym Rejestrze jest treść art. 105 ust. 4 ustawy Prawo
    bankowe oraz postanowienia regulaminu wymiany informacji w Systemie
    Międzybankowej Informacji Gospodarczej - Bankowy Rejestr, zwanego dalej
    regulaminem. Przepis art. 105 ust. 4 Prawa bankowego nie określa bowiem
    szczegółowo zasad przetwarzania danych osobowych przez Związek Banków
    Polskich, w szczególności zaś nie precyzuje terminów przechowywania danych -
    po wygaśnięciu zobowiązania - w prowadzonym przez ten podmiot zbiorze.
    Wskazany przepis nie przyznaje Związkowi Banków Polskich prawa do
    przetwarzania danych osobowych kredytobiorców przez "okres 2 lat od dnia
    uregulowania przez Skarżącego zadłużenia na rachunku", a co za tym idzie nie
    może stanowić podstawy do ograniczenia w takim zakresie przysługującego
    klientowi banku prawa do ochrony dotyczących go danych osobowych.

    Podkreślić również należy, iż postanowienia powołanego powyżej regulaminu
    nie są przepisami powszechnie obowiązującymi. Zgodnie bowiem z przepisem
    art. 87 ust. 1 ustawy z dnia 2 kwietnia 1997 r. Konstytucja Rzeczypospolitej
    Polskiej (Dz. U. Nr 78, poz. 483), źródłami powszechnie obowiązującego prawa
    Rzeczypospolitej Polskiej są: Konstytucja, ustawy, ratyfikowane umowy
    międzynarodowe oraz rozporządzenia. Tym samym postanowienia tegoż
    regulaminu, uchwalonego bez stosownej delegacji ustawowej, nie mogą stanowić
    podstawy do przetwarzania danych osobowych Skarżącego w Bankowym Rejestrze.

    W tej sytuacji zastosowanie znajdują przepisy o ochronie danych osobowych.
    Zgodnie z art. 26 ust. 1 ustawy, administrator danych przetwarzający dane
    powinien dołożyć szczególnej staranności w celu ochrony interesów osób,
    których dane dotyczą, a w szczególności jest obowiązany zapewnić, aby dane
    te były: 1) przetwarzane zgodnie z prawem, 2) zbierane dla oznaczonych,
    zgodnych z prawem celów i nie poddawane dalszemu przetwarzaniu niezgodnemu z
    tymi celami, z zastrzeżeniem ust. 2.

    Stwierdzić jednoznacznie należy, iż ze względu na dokonaną przez
    Skarżącego - w dniu 2 lipca 2003 r. - spłatę zadłużenia wobec Banku
    (okoliczność ta została potwierdzona przez Bank w piśmie z dnia 20 sierpnia
    2003 r.) brak jest obecnie przesłanek dla dalszego przechowywania
    dotyczących go danych osobowych w Bankowym Rejestrze. Tymczasem, jak wynika
    z dokonanych przez Generalnego Inspektora ustaleń (wyjaśnień Banku), dane
    Skarżącego nadal znajdują się w tymże Rejestrze i stosownie do postanowień
    zawartych w dokumencie o nazwie "Kryteria klasyfikowania klientów do Systemu
    Międzybankowej Informacji Gospodarczej Bankowy Rejestr", stanowiącym
    załącznik nr 1 do regulaminu zostaną z niego usunięte po upływie 2 lat od
    dnia uregulowania przez Skarżącego zadłużenia na rachunku.

    W przypadku rozwiązania zawartej między tymi podmiotami umowy Bank jest
    uprawniony do przetwarzania danych osobowych Skarżącego wyłącznie w oparciu
    o przepisy ustawy z dnia 14 lipca 1983 r. o narodowym zasobie archiwalnym i
    archiwach (Dz. U. z 2002 r., Nr 171, poz. 1396 z późn. zm.), jak również
    ustawy z dnia 29 września 1994 r. o rachunkowości (Dz. U. z 2002 r. Nr 76,
    poz. 694 z późn. zm.) i rozporządzenia Ministra Finansów z dnia 10 grudnia
    2001 r. w sprawie szczególnych zasad rachunkowości banków (Dz. U. Nr 149,
    poz. 1673 z późn. zm.), czyli na podstawie przesłanki z art. 23 ust. 1 pkt 2
    ustawy.

    Reasumując, po spłacie przez Skarżącego zadłużenia wobec Banku nie istnieją
    jakiekolwiek przesłanki uzasadniające dalsze przetwarzanie danych osobowych
    Skarżącego w Bankowym Rejestrze, co oznacza, że należy przychylić się do
    wniosku Skarżącego o nakazanie usunięcia jego danych przez Bank z tego
    Rejestru.

    Jednocześnie, jako przykład aktu prawnego odnoszącego się do przechowywania
    informacji dotyczących wiarygodności płatniczej konsumentów, w którym
    przyjęto nieporównywalnie krótsze okresy przechowywania danych po
    uregulowaniu zobowiązania przez konsumenta, wskazać należy ustawę z dnia 14
    lutego 2003 r. o udostępnianiu informacji gospodarczych (Dz. U. Nr 50, poz.
    424). Istotnym jest, iż wśród podmiotów, które mogą na podstawie przepisów
    ww. ustawy przekazywać dane osobowe klientów do biur informacji
    gospodarczych są również banki. Oznacza to, iż w przypadku całkowitego
    zaspokojenia zobowiązania bank, który przekazał dane osobowe klienta do
    biura informacji gospodarczej jest obowiązany - stosownie do przepisów ww.
    ustawy - niezwłocznie, jednak nie później niż w terminie 14 dni, zażądać od
    tegoż biura usunięcie danych osobowych swojego klienta.

    Podkreślenia ponadto wymaga, iż nie ma podstaw aby uznać, że wskutek
    przekazania danych osobowych Skarżącego do Bankowego Rejestru doszło do
    wyczerpania przez osoby odpowiedzialne w Banku za przetwarzanie danych
    osobowych znamion przestępstwa określonego w art. 54 ustawy, w myśl którego
    kto administrując zbiorem danych nie dopełnia obowiązku poinformowania
    osoby, której dane dotyczą, o jej prawach lub przekazania tej osobie
    informacji umożliwiających korzystanie z praw przyznanych jej w niniejszej
    ustawie, podlega grzywnie, karze ograniczenia wolności albo pozbawienia
    wolności do roku. Wskazać bowiem należy, iż stosownie do postanowień
    przepisu art. 24 ustawy, administrator danych jest obowiązany wykonać
    obowiązek informacyjny przy zbieraniu danych od osoby, której dane dotyczą,
    co oznacza, iż wykonanie tego obowiązku jest ściśle związane z samym
    momentem pozyskania (zebrania) danych. W konsekwencji, Bank w chwili
    "dokonywania wpisu danych osobowych [Skarżącego] do Bazy BR" nie był
    obowiązany poinformować Skarżącego o tym fakcie. W świetle powyższego, dla
    oceny zgodności działań Banku z przepisami o ochronie danych osobowych, nie
    ma więc znaczenia, czy Bank miał możliwość skontaktowania się ze Skarżącym i
    czy dysponował jego aktualnym adresem. Natomiast kwestia przesyłania
    wszelkiej korespondencji między stronami powinna być ew. rozpatrywana z
    punktu widzenia prawidłowości wykonania obowiązków wynikających z zawartej
    między nimi umowy, we właściwym trybie.

    Niezależnie od powyższego stwierdzić należy, iż jak wynika z zebranego
    materiału dowodowego, Skarżący udostępnił swoje dane osobowe Bankowi -
    poprzez złożenie wniosku o otwarcie rachunku bankowego - w dniu 2 stycznia
    1998 r., tj. przed wejściem w życie ustawy. Ustawa o ochronie danych
    osobowych, na mocy jej art. 62, w pełnym zakresie zaczęła obowiązywać od
    dnia 30 kwietnia 1998 r. W konsekwencji na Banku, w chwili pozyskania danych
    osobowych Skarżącego, nie ciążył obowiązek informacyjny określony w ww. art.
    24 ustawy.







    W tym stanie faktycznym i prawnym Generalny Inspektor Ochrony Danych
    Osobowych rozstrzygnął, jak w sentencji.






















    Decyzja niniejsza jest ostateczna. Na podstawie art. 21 ust. 1 ustawy o
    ochronie danych osobowych stronie niezadowolonej z niniejszej decyzji
    przysługuje, w terminie 14 dni od daty jej doręczenia, prawo złożenia do
    Generalnego Inspektora Ochrony Danych Osobowych wniosku o ponowne
    rozpatrzenie sprawy (adres: Biuro Generalnego Inspektora Ochrony Danych
    Osobowych, ul. Stawki 2, 00 - 193 Warszawa).






  • 2. Data: 2004-08-03 13:45:43
    Temat: Re: dość ciekawe - GIODO stwierdził że po spłacie zadłużenia dane dłużnika NIE MOGĄ być przechowywane w Międzybankowym Rejestrze
    Od: Przemysław Maciuszko <s...@h...pl>

    "Paweł" <n...@n...pl> wrote:

    > niestety długie - ale może się niektórym przydać -

    Przyda się, przyda.

    --
    Przemysław Maciuszko


  • 3. Data: 2004-08-04 21:02:55
    Temat: Re: dość ciekawe - GIODO stwierdził że po spłacie zadłużenia dane dłużnika NIE MOGĄ być przechowywane w Międzybankowym Rejestrze
    Od: "plusz" <l...@p...niespamowanie.wp.pl>

    Użytkownik Paweł <n...@n...pl> napisał w wiadomości
    news:ceo2pg$2bc$1@nemesis.news.tpi.pl
    > niestety długie - ale może się niektórym przydać -
    > .....


    a czy mogliby koledzy, którzy poświęcili już czas na przeczytanie i
    zrozumienie w skrócie napisać o co chodzi :))
    i jakieś słowa kluczowe dodać, aby się wyszukiwało w archiwum



    --
    pozdrawiam
    plusz ( http://www.plusz.pl )
    /porada miesiąca: wysyłając list do wielu użytkowników korzystaj z pola UDW
    (BCC) /



strony : [ 1 ]


Szukaj w grupach

Szukaj w grupach

Eksperci egospodarka.pl

1 1 1