niestety długie - ale może się niektórym przydać -


Uzasadnienie



W dniu 24 czerwca 2003 r. do Biura Generalnego Inspektora Ochrony Danych
Osobowych, zwanego dalej Generalnym Inspektorem, wpłynęła skarga. Z
przedmiotowej skargi wynikało, iż inny Bank S.A odmówił Skarżącemu "otwarcia
linii kredytowej" w posiadanym przez niego rachunku
oszczędnościowo-rozliczeniowym. Uzasadniając tę decyzję pracownik innego
Banku S.A. wskazał, że "bank nie może otworzyć linii kredytowej, ponieważ
dane Skarżącego figurują w bankowej bazie danych niesolidnych klientów". W
przedmiotowej skardze Skarżący wskazał ponadto, iż - jak wynika z uzyskanych
przez niego informacji - "(...) ww. baza danych nie jest prowadzona ani
przez Biuro Informacji Kredytowej ani przez Biuro Informacji Gospodarczej
(...). Przedmiotowa baza danych ma być administrowana i wykorzystywana przez
kilka zrzeszonych banków'. W nomenklaturze bankowej nosi ona miano Bazy BR".

Skarżący zażądał "wszczęcia przez Generalnego Inspektora Ochrony Danych
Osobowych postępowania mającego w szczególności na celu:

a.. wyjaśnienie kto, w jaki sposób i z jakich powodów dokonał niezgodnego
z ustawą wpisu jego danych do ww. Bazy BR.

b.. zbadanie legalności prowadzenia Bazy BR przez "zrzeszone banki"

c.. wydanie decyzji administracyjnej nakazującej wykreślenie jego danych z
ww. Bazy BR

d.. wszczęcie postępowania karnego wobec osób, które nie dopełniły
obowiązku poinformowania go o dokonaniu wpisu jego danych do bazy BR poprzez
zgłoszenie powyższego faktu do właściwej (...) prokuratury rejonowej.".




Generalny Inspektor podjął działania mające na celu wyjaśnienie
przedmiotowej sprawy. Z ustaleń dokonanych w toku prowadzonego postępowania
wyjaśniającego wynika, że:

a.. Inny Bank S.A., odmówił Skarżącemu otwarcia linii kredytowej w
rachunku ze względu na fakt, iż dotyczące go dane znajdowały się w Systemie
Międzybankowej Informacji Gospodarczej - Bankowym Rejestrze prowadzonym
przez Związek Banków Polskich, z siedzibą w Warszawie przy ul Smolnej 10a,
zwanym dalej Bankowym Rejestrem.

b.. Dane osobowe Skarżącego zostały przekazane do Bankowego Rejestru w
dniu 30 października 2002 r. przez Bank S.A., "w związku z utrzymującym się
na (należącym do Skarżącego) rachunku ROR zadłużeniem".

c.. Bank S.A. pozyskał dane osobowe Skarżącego w dniu 2 stycznia 1998 r.,
wskutek złożenia przez niego "Wniosku o otwarcie rachunku bankowego"
(oszczędnościowo - rozliczeniowego).

d.. Przed przekazaniem danych do Bankowego Rejestru Bank wysłał do
Skarżącego - w dniu 5 września 2002 r. - pismo informujące o zadłużeniu na
rachunku oszczędnościowo -rozliczeniowym, wzywające jednocześnie do
uregulowania tego zadłużenia. Przedmiotowe pismo zostało zwrócone do Banku z
adnotacją "adresat wyprowadził się" (jak wynika z wyjaśnień Banku,
niedoręczenie przedmiotowego pisma spowodowane było niewypełnieniem przez
Skarżącego, wynikającego z obowiązującego w Banku Regulaminu dla posiadacza
rachunków oszczędnościowo - rozliczeniowych tzw. kont osobistych "obowiązku
zawiadomienia placówki Banku prowadzącej rachunek o każdej zmianie danych
personalnych jak również miejsca zamieszkania lub zatrudnienia").

e.. "Dane Skarżącego zostały przekazane (do Bankowego Rejestru) w celu
określonym w art. 105 ust. 1 pkt 1 ustawy z dnia 29.08.1997 r. Prawo
bankowe, który jest podstawą funkcjonowania zbioru danych osobowych Bankowy
Rejestr".

f.. "Kryterium zakwalifikowania właściciela (...) rachunku do Bankowego
Rejestru był - stosownie do postanowień dokumentu o nazwie "Kryteria
klasyfikowania klientów do systemu Międzybankowej Informacji Gospodarczej
Bankowy Rejestr" (Załącznik nr 1 do Regulaminu wymiany informacji w systemie
Międzybankowej Informacji Gospodarczej - Bankowy Rejestr) - brak spłaty
zadłużenia przeterminowanego z tytułu Umowy rachunku
oszczędnościowo-rozliczeniowego, które utrzymywało się ponad 3 miesiące".

g.. W dniu 2 lipca 2003 r. Skarżący uregulował zadłużenie na rachunku, w
związku z czym jego dane - zgodnie z postanowieniami ww. regulaminu -
zostaną usunięte z Bankowego Rejestru z dniem 2 lipca 2005 r. tj. w dwa lata
po spłacie zadłużenia.

W dniu 14 października 2003 r. Skarżący, korzystając z przysługującego mu
prawa wypowiedzenia się co do zebranych dowodów i materiałów oraz
zgłoszonych żądań, wskazał: "(...) Bank wszelką korespondencję dotyczącą
zadłużenia na rachunku kierował wyłącznie na tymczasowy adres zamieszkania -
żadne pismo nie zostało nigdy wysłane pod mój adres zameldowania. Adresem
tym Bank zawsze dysponował (...)".

W dniu 6 listopada 2003 r. Generalny Inspektor zwrócił się do Prezesa
Związków Polskich o wyrażenie opinii dotyczącej legalności przechowywania
danych osobowych klientów banków, którzy spłacili zadłużenie, w Bankowym
Rejestrze.

W odpowiedzi, w piśmie z dnia 29 grudnia 2003 r., Prezes Związku Banków
Polskich wskazał w szczególności: "Wszyscy uczestnicy systemu MIG-BR (...)
opowiedzieli się za przetwarzaniem danych [klientów banków, którzy spłacili
zadłużenie] przez okres minimum siedmiu lat. Podstawą przetwarzania tych
danych [w Bankowym Rejestrze] jest treść art. 105 ust. 4 ustawy Prawo
bankowe oraz postanowienia regulaminu funkcjonowania ww. zbioru (...). Celem
ujednolicenia praktyki w tym zakresie banki opowiedziały się za
wprowadzeniem odpowiednich zapisów do ustawy Prawo bankowe".




Po zapoznaniu się z całością zgromadzonego w sprawie materiału dowodowego,
Generalny Inspektor Ochrony Danych Osobowych zważył, co następuje:




Ustawa z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (tekst
jednolity: Dz. U. z 2002 r. Nr 101, poz. 926 z późn. zm.), zwana dalej
ustawą, określa zasady postępowania przy przetwarzaniu danych osobowych oraz
prawa osób fizycznych, których dane są lub mogą być przetwarzane w zbiorach
danych (art. 2 ust. 1 ustawy). Przesłanki przetwarzania danych określone
zostały w art. 23 ust. 1 ustawy, przy czym podmiot przetwarzający dane
powinien wykazać się co najmniej jedną z nich, aby jego działanie mogło być
uznane za zgodne z prawem. Na podstawie ust. 1 pkt 2 wskazanego powyżej
artykułu, przetwarzanie danych jest dopuszczalne, gdy zezwalają na to
przepisy prawa, co oznacza, że ustawa odsyła do przepisów szczególnych
regulujących działalność określonych podmiotów i instytucji, wskazujących w
jakich przypadkach mogą one przetwarzać dane osobowe. Ponadto, stosownie do
postanowień art. 23 ust. 1 pkt 3 ustawy, przetwarzanie danych jest
dopuszczalne, gdy jest konieczne do realizacji umowy, gdy osoba, której dane
dotyczą, jest jej stroną lub gdy jest to niezbędne do podjęcia koniecznych
działań przed zawarciem umowy.

Wskazać należy, iż samo przekazanie danych osobowych Skarżącego do Bankowego
Rejestru, jak również dalsze przetwarzanie przedmiotowych danych w tym
Rejestrze - do chwili spłaty zadłużenia przez Skarżącego, znajdowało swoje
oparcie w przepisach ustawy z dnia 29 sierpnia 1997 r. Prawo bankowe (tekst
jednolity: Dz. U. z 2002 r. Nr 72, poz. 665 z późn. zm.), zwanej dalej
Prawem bankowym. Zgodnie bowiem z art. 105 ust. 4 Prawa bankowego, banki
mogą, wspólnie z bankowymi izbami gospodarczymi, utworzyć instytucje do
zbierania i udostępniania bankom oraz innym instytucjom ustawowo
upoważnionym do udzielania kredytów informacji o wierzytelnościach oraz o
obrotach i stanach rachunków bankowych w zakresie, w jakim informacje te są
potrzebne w związku z udzielaniem kredytów, pożyczek pieniężnych, gwarancji
bankowych i poręczeń. Natomiast, stosownie do postanowień art. 105 ust. 1
pkt 1 Prawa bankowego, bank ma obowiązek udzielenia informacji stanowiących
tajemnicę bankową m.in. innym bankom oraz - na zasadzie wzajemności - innym
instytucjom ustawowo upoważnionym do udzielania kredytów o wierzytelnościach
oraz o obrotach i stanach rachunków bankowych w zakresie, w jakim informacje
te są niezbędne w związku udzielaniem kredytów, pożyczek pieniężnych,
gwarancji bankowych i poręczeń oraz czynnościami obrotu dewizowego, a także
w związku z konsolidacją sprawozdań finansowych.

Przepisy Prawa bankowego nie określają jednak praw i obowiązków osób,
których dane znalazły się w Bankowym Rejestrze, w szczególności zaś nie
określają okresów przechowywania danych w ww. Rejestrze. Nie można zatem
zgodzić się zarówno ze stanowiskiem Banku, jak i opinią Prezesa Związków
Polskich - wyrażoną w piśmie z dnia z 29 grudnia 2003 r. - z których wynika,
iż podstawą przetwarzania danych osobowych klientów banków, którzy spłacili
zadłużenie w Bankowym Rejestrze jest treść art. 105 ust. 4 ustawy Prawo
bankowe oraz postanowienia regulaminu wymiany informacji w Systemie
Międzybankowej Informacji Gospodarczej - Bankowy Rejestr, zwanego dalej
regulaminem. Przepis art. 105 ust. 4 Prawa bankowego nie określa bowiem
szczegółowo zasad przetwarzania danych osobowych przez Związek Banków
Polskich, w szczególności zaś nie precyzuje terminów przechowywania danych -
po wygaśnięciu zobowiązania - w prowadzonym przez ten podmiot zbiorze.
Wskazany przepis nie przyznaje Związkowi Banków Polskich prawa do
przetwarzania danych osobowych kredytobiorców przez "okres 2 lat od dnia
uregulowania przez Skarżącego zadłużenia na rachunku", a co za tym idzie nie
może stanowić podstawy do ograniczenia w takim zakresie przysługującego
klientowi banku prawa do ochrony dotyczących go danych osobowych.

Podkreślić również należy, iż postanowienia powołanego powyżej regulaminu
nie są przepisami powszechnie obowiązującymi. Zgodnie bowiem z przepisem
art. 87 ust. 1 ustawy z dnia 2 kwietnia 1997 r. Konstytucja Rzeczypospolitej
Polskiej (Dz. U. Nr 78, poz. 483), źródłami powszechnie obowiązującego prawa
Rzeczypospolitej Polskiej są: Konstytucja, ustawy, ratyfikowane umowy
międzynarodowe oraz rozporządzenia. Tym samym postanowienia tegoż
regulaminu, uchwalonego bez stosownej delegacji ustawowej, nie mogą stanowić
podstawy do przetwarzania danych osobowych Skarżącego w Bankowym Rejestrze.

W tej sytuacji zastosowanie znajdują przepisy o ochronie danych osobowych.
Zgodnie z art. 26 ust. 1 ustawy, administrator danych przetwarzający dane
powinien dołożyć szczególnej staranności w celu ochrony interesów osób,
których dane dotyczą, a w szczególności jest obowiązany zapewnić, aby dane
te były: 1) przetwarzane zgodnie z prawem, 2) zbierane dla oznaczonych,
zgodnych z prawem celów i nie poddawane dalszemu przetwarzaniu niezgodnemu z
tymi celami, z zastrzeżeniem ust. 2.

Stwierdzić jednoznacznie należy, iż ze względu na dokonaną przez
Skarżącego - w dniu 2 lipca 2003 r. - spłatę zadłużenia wobec Banku
(okoliczność ta została potwierdzona przez Bank w piśmie z dnia 20 sierpnia
2003 r.) brak jest obecnie przesłanek dla dalszego przechowywania
dotyczących go danych osobowych w Bankowym Rejestrze. Tymczasem, jak wynika
z dokonanych przez Generalnego Inspektora ustaleń (wyjaśnień Banku), dane
Skarżącego nadal znajdują się w tymże Rejestrze i stosownie do postanowień
zawartych w dokumencie o nazwie "Kryteria klasyfikowania klientów do Systemu
Międzybankowej Informacji Gospodarczej Bankowy Rejestr", stanowiącym
załącznik nr 1 do regulaminu zostaną z niego usunięte po upływie 2 lat od
dnia uregulowania przez Skarżącego zadłużenia na rachunku.

W przypadku rozwiązania zawartej między tymi podmiotami umowy Bank jest
uprawniony do przetwarzania danych osobowych Skarżącego wyłącznie w oparciu
o przepisy ustawy z dnia 14 lipca 1983 r. o narodowym zasobie archiwalnym i
archiwach (Dz. U. z 2002 r., Nr 171, poz. 1396 z późn. zm.), jak również
ustawy z dnia 29 września 1994 r. o rachunkowości (Dz. U. z 2002 r. Nr 76,
poz. 694 z późn. zm.) i rozporządzenia Ministra Finansów z dnia 10 grudnia
2001 r. w sprawie szczególnych zasad rachunkowości banków (Dz. U. Nr 149,
poz. 1673 z późn. zm.), czyli na podstawie przesłanki z art. 23 ust. 1 pkt 2
ustawy.

Reasumując, po spłacie przez Skarżącego zadłużenia wobec Banku nie istnieją
jakiekolwiek przesłanki uzasadniające dalsze przetwarzanie danych osobowych
Skarżącego w Bankowym Rejestrze, co oznacza, że należy przychylić się do
wniosku Skarżącego o nakazanie usunięcia jego danych przez Bank z tego
Rejestru.

Jednocześnie, jako przykład aktu prawnego odnoszącego się do przechowywania
informacji dotyczących wiarygodności płatniczej konsumentów, w którym
przyjęto nieporównywalnie krótsze okresy przechowywania danych po
uregulowaniu zobowiązania przez konsumenta, wskazać należy ustawę z dnia 14
lutego 2003 r. o udostępnianiu informacji gospodarczych (Dz. U. Nr 50, poz.
424). Istotnym jest, iż wśród podmiotów, które mogą na podstawie przepisów
ww. ustawy przekazywać dane osobowe klientów do biur informacji
gospodarczych są również banki. Oznacza to, iż w przypadku całkowitego
zaspokojenia zobowiązania bank, który przekazał dane osobowe klienta do
biura informacji gospodarczej jest obowiązany - stosownie do przepisów ww.
ustawy - niezwłocznie, jednak nie później niż w terminie 14 dni, zażądać od
tegoż biura usunięcie danych osobowych swojego klienta.

Podkreślenia ponadto wymaga, iż nie ma podstaw aby uznać, że wskutek
przekazania danych osobowych Skarżącego do Bankowego Rejestru doszło do
wyczerpania przez osoby odpowiedzialne w Banku za przetwarzanie danych
osobowych znamion przestępstwa określonego w art. 54 ustawy, w myśl którego
kto administrując zbiorem danych nie dopełnia obowiązku poinformowania
osoby, której dane dotyczą, o jej prawach lub przekazania tej osobie
informacji umożliwiających korzystanie z praw przyznanych jej w niniejszej
ustawie, podlega grzywnie, karze ograniczenia wolności albo pozbawienia
wolności do roku. Wskazać bowiem należy, iż stosownie do postanowień
przepisu art. 24 ustawy, administrator danych jest obowiązany wykonać
obowiązek informacyjny przy zbieraniu danych od osoby, której dane dotyczą,
co oznacza, iż wykonanie tego obowiązku jest ściśle związane z samym
momentem pozyskania (zebrania) danych. W konsekwencji, Bank w chwili
"dokonywania wpisu danych osobowych [Skarżącego] do Bazy BR" nie był
obowiązany poinformować Skarżącego o tym fakcie. W świetle powyższego, dla
oceny zgodności działań Banku z przepisami o ochronie danych osobowych, nie
ma więc znaczenia, czy Bank miał możliwość skontaktowania się ze Skarżącym i
czy dysponował jego aktualnym adresem. Natomiast kwestia przesyłania
wszelkiej korespondencji między stronami powinna być ew. rozpatrywana z
punktu widzenia prawidłowości wykonania obowiązków wynikających z zawartej
między nimi umowy, we właściwym trybie.

Niezależnie od powyższego stwierdzić należy, iż jak wynika z zebranego
materiału dowodowego, Skarżący udostępnił swoje dane osobowe Bankowi -
poprzez złożenie wniosku o otwarcie rachunku bankowego - w dniu 2 stycznia
1998 r., tj. przed wejściem w życie ustawy. Ustawa o ochronie danych
osobowych, na mocy jej art. 62, w pełnym zakresie zaczęła obowiązywać od
dnia 30 kwietnia 1998 r. W konsekwencji na Banku, w chwili pozyskania danych
osobowych Skarżącego, nie ciążył obowiązek informacyjny określony w ww. art.
24 ustawy.







W tym stanie faktycznym i prawnym Generalny Inspektor Ochrony Danych
Osobowych rozstrzygnął, jak w sentencji.






















Decyzja niniejsza jest ostateczna. Na podstawie art. 21 ust. 1 ustawy o
ochronie danych osobowych stronie niezadowolonej z niniejszej decyzji
przysługuje, w terminie 14 dni od daty jej doręczenia, prawo złożenia do
Generalnego Inspektora Ochrony Danych Osobowych wniosku o ponowne
rozpatrzenie sprawy (adres: Biuro Generalnego Inspektora Ochrony Danych
Osobowych, ul. Stawki 2, 00 - 193 Warszawa).