GI-DEC-DS-157/04
2007-05-15
Warszawa, dnia 3 sierpnia 2004 r.
D E C Y Z J A
Na podstawie art. 104 § 1 ustawy z dnia 14 czerwca 1960 r. - Kodeks postępowania administracyjnego (Dz. U. z 2000 r. Nr 98, poz. 1071 z późn. zm.), art. 12 pkt 2, art. 18 ust. 1 pkt 1 i 6, w zw. z art. 23 ust. 1 pkt 2 art. 26 ust. 1 i art. 33 ust. 1 pkt 4 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. z 2002 r. Nr 101, poz. 926 z późn. zm.) oraz art. 112 b ustawy z dnia 29 sierpnia 1997 r. Prawo bankowe (tekst jednolity: Dz. U. 2002 r. Nr 72 poz. 665 z późn. zm.), po przeprowadzeniu postępowania administracyjnego wszczętego na wniosek Pana X, w sprawie przetwarzania jego danych osobowych przez Bank (oddział zamiejscowy),
I nakazuję Bankowi usunięcie uchybień w procesie przetwarzania danych osobowych Pana X, poprzez:
1) usunięcie z posiadanych przez Bank zbiorów, danych osobowych pozyskanych z kserokopii prawa jazdy oraz świadectwa kwalifikacji Pana X,
2) wypełnienie w stosunku do Pana X obowiązku, o którym mowa w art. 33 ust. 1 pkt 4 ustawy o ochronie danych osobowych, tj. poinformowanie Pana X, w jakim zakresie oraz komu ww. Bank udostępnił jego dane osobowe, II w pozostałym zakresie odmawiam uwzględnienia wniosku.
U z a s a d n i e n i e:
Do Biura Generalnego Inspektora Ochrony Danych Osobowych wpłynęła skarga Pana X, zwanego również Skarżącym, w sprawie przetwarzania jego danych osobowych przez Bank (oddział zamiejscowy). W szczególności, Skarżący zwrócił się do Generalnego Inspektora Ochrony Danych Osobowych o nakazanie Bankowi usunięcia jego danych osobowych, zawartych w kopiach dokumentów złożonych przez niego w Banku, w związku z ubieganiem się o zwiększenie limitu transakcji na karcie kredytowej „PARTNER”, tj. w zaświadczeniu o zatrudnieniu i wynagrodzeniu Skarżącego, kserokopii prawa jazdy i świadectwa kwalifikacji, wniosków o wydanie i zwiększenie limitów na karcie „PARTNER”.
W toku postępowania toczącego się przed Generalnym Inspektorem ustalono następujący stan faktyczny:
1) w dniu 15 lipca 1996 r. Skarżący złożył w Banku podpisany wniosek, na postawie którego zawarto z nim umowę kredytu oraz wydano kartę kredytową „PARTNER”,
2) w dniu 15 lipca 2003 r., Skarżący złożył w Banku wnioski o wydanie karty „PARTNER” i zwiększenie na niej limitu kredytowego transakcji, kserokopię zaświadczenia o jego zatrudnieniu oraz wynagrodzeniu, jak również umożliwił pracownikowi Banku wykonanie kserokopii dwóch dokumentów, tj. prawa jazdy, oraz świadectwa kwalifikacji Skarżącego,
3) w dniu 21 lipca 2003 r. Skarżący został telefonicznie poinformowany, iż Bank odmówił mu zwiększenia limitu transakcji na karcie „PARTNER”,
4) w dniu 25 lipca 2003 r. Skarżący wystąpił do Banku o niezwłoczne usunięcie wszelkich danych oraz dokumentów związanych z wnioskiem o wydanie karty oraz zwiększeniem transakcji na karcie „PARTNER”, a w szczególności: zaświadczenia o zatrudnieniu i wynagrodzeniu Skarżącego, kserokopii prawa jazdy i świadectwa kwalifikacji, wniosków o wydanie i zwiększenie limitów na karcie „PARTNER”; w przedmiotowym piśmie Skarżący wystąpił do Banku o poinformowanie go, czy ww. dane były kiedykolwiek udostępniane i w jakim zakresie, 5) pismem z dnia 8 sierpnia 2003 r. Skarżący został poinformowany przez Bank, iż przedłożone przez niego dokumenty zostały zarchiwizowane, jako dowód złożenia wniosku o wydanie karty. Jednocześnie w przedmiotowym piśmie, poinformowano Skarżącego, iż jego dane osobowe przetwarzane były tylko w Oddziale i w związku ze sprawdzaniem jego zdolności kredytowej. W niniejszym piśmie wskazano również, że dokumenty Skarżącego związane ze złożeniem wniosku o zwiększenie limitu karty „PARTNER” nie będą udostępniane,
6) w dniu 4 listopada 2003 r. Skarżący skierował do Banku pismo, w którym wskazał, iż „z powodu likwidacji prowadzonego w waszym oddziale rachunku (...) wraz z wydanymi do niego kartami (...) proszę o pisemne poinformowanie komu udostępnione były moje dane dot. wymienionego rachunku i kart. Jednocześnie w związku z utratą zaufania do Banku, co ma odzwierciedlenie w likwidacji rachunku, wnoszę o usunięcie moich danych osobowych z Waszych baz danych”,
7) pismem z dnia 3 grudnia 2003 r. – będącego odpowiedzią na pismo Skarżącego – Bank poformował Pana X, iż w związku z okolicznością rozwiązania z Bankiem umowy rachunku bankowego nr (...), jak również zlikwidowania wydanych do rachunku kart (...), Bank wycofał wszystkie dane osobowe Skarżącego z bazy danych aktywnych klientów i obecnie dane te przechowywane są w celach archiwalnych. W przedmiotowym piśmie poinformowano Skarżącego, że jego dane osobowe przetwarzane były przez Bank wyłącznie w celu podjęcia przez Bank na życzenie Skarżącego niezbędnych działań związanych z rozpatrzeniem wniosku dotyczącego zwiększenia limitu pieniężnego na karcie „PARTNER”.
Do Biura GIODO wpłynęły wyjaśnienia Dyrektora Departamentu Prawnego Banku, w których poinformowano Generalnego Inspektora Ochrony Danych Osobowych, iż Bank przetwarza dane osobowe klientów ubiegających się o wydanie karty „PARTNER”
i podwyższenie limitów kredytowych na podstawie art. 23 ust. 1 pkt 2 i 5 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. z 2002 r. Nr 101, poz. 926 z późn. zm.), zwanej dalej ustawą. W złożonych wyjaśnieniach wskazano również, że stosowany przez Bank regulamin „Karta kredytowa PARTNER Banku (...)” w części dotyczącej podwyższenia limitu kredytowego w ramach karty „PARTNER” nie nakazuje żądania
od klientów dokumentów pozwalających na ich identyfikację. Jednakże Bank przed zawarciem umowy zobowiązany jest do identyfikacji klienta. Tym samym - w opinii Banku - identyfikacja klienta na podstawie prawa jazdy i świadectwa kwalifikacji konieczna jest do realizacji umowy z klientem lub do podjęcia koniecznych działań przed zawarciem umowy (art. 23 ust. 1 pkt 3 ustawy). Wskazano również, iż Bank przetwarzając dane, niezależnie od tego czy w konkretnym przypadku kopiuje dokumenty – ogranicza zebrane dane do danych adekwatnych do celów przetwarzania, w tym niezbędnej identyfikacji klienta.
Dyrektor Departamentu Prawnego Banku, wskazał również, iż „celem przetwarzania danych osobowych przez Bank – stosownie do art. 49 ust. 3 ustawy z dnia 29 sierpnia 1997 r. Prawo bankowe (tekst jednolity: Dz. U. 2002 r. Nr 72 poz. 665 z późn. zm.), jest zapewnienie bezpieczeństwa powierzonych środków pieniężnych klientów Banku”. Zdaniem Banku, cel ten jest w rozumieniu art. 23 ust. 1 pkt. 5 ustawy o ochronie danych osobowych, prawnie usprawiedliwionym celem administratora danych, tym bardziej, że naruszenie obowiązku zapewnienia bezpieczeństwa powierzonych środków rodzi cywilnoprawną odpowiedzialność Banku. Wskazano ponadto, iż kopiowanie dokumentów tożsamości ma na celu wyeliminowanie niebezpieczeństwa posłużenia się przez inną osobę dokumentem tożsamości należącym do posiadacza rachunku lub dokumentem podrobionym w celu dokonania operacji bankowej na szkodę posiadacza rachunku. Podstawową czynnością, jaką może Bank w tym celu wykonać jest porównanie przedkładanego dokumentu z kopią dokumentu oryginalnego zarchiwizowanego w aktach Banku. Dyrektor Departamentu Prawnego Banku wskazał również, iż „nie można uznać, że narusza dobra osobiste przetwarzanie tych danych polegające na wykonaniu kopii dokumentu, przechowywaniu jej w aktach klienta i wykorzystywanie jej w celu identyfikacji klienta, jeżeli w ten sposób chroni się dobro publiczne, jakim jest pewność obrotu bankowego i dobro samego klienta oraz bezpieczeństwo środków powierzonych przez niego Bankowi lub środków pozostających do dyspozycji w związku z udzieleniem mu kredytu”. W złożonych wyjaśnieniach Dyrektor Departamentu Prawnego Banku wskazał ponadto, iż obok kopiowanego dokumentu, tj. dowodu osobistego, kopiowany jest również drugi dokument ze zdjęciem, którym najczęściej jest prawo jazdy.
W złożonych wyjaśnieniach wskazano również, że w dniu 20 stycznia 2004 r. został wydany w Banku list instruktażowy (znak: DO/WPO/-1D/40-1/1452/2003), z którego wynika,
iż kopiować „należy strony dokumentu zawierające dane personalne i numer PESEL posiadacza dokumentu, adres zamieszkania (jeżeli jest w dokumencie) oraz cechy dokumentu tożsamości”.
W złożonych wyjaśnieniach Dyrektor Departamentu Prawnego Banku wskazał również, że zakres danych osobowych przetwarzanych przez Bank – pozyskanych przez Bank z kopii wniosków o przyznanie karty kredytowej „PARTNER” - wynika z przepisu art. 70 ust. 1 ustawy Prawa bankowego, na mocy którego Bank uprawniony jest do badania zdolności kredytowej. Wskazano również, iż ocena zdolności kredytowej dokonywana jest w procesie tzw. „scoringu” z uwzględnieniem wielu czynników w tym również związana jest z posiadaniem danych zawartych we wnioskach o wydanie i zwiększenie limitu transakcji na karcie kredytowej „PARTNER”.
Ponadto, Dyrektor Departamentu Prawnego Banku wskazał, iż Bank nigdy nie udostępniał danych osobowych Skarżącego innym podmiotom; natomiast dane osobowe Skarżącego pozyskane z kserokopii jego prawa jazdy i świadectwa kwalifikacji,
w dalszym ciągu są przechowywane w Banku.
Z materiału zgromadzonego w sprawie nie wynika aby Bank wypełnił wobec Skarżącego obowiązek informacyjny z art. 33 ustawy, w zakresie żądania Skarżącego wyrażonego w pismach z dnia 25 lipca 2003 r. oraz z dnia 4 listopada 2003 r.
Do akt postępowania prowadzonego przed Generalnym Inspektorem Ochrony Danych Osobowych dołączono Zarządzenie Prezesa Zarządu Banku z dnia 5 kwietnia 2001 r. (Nr A/32/2001) wraz z regulaminem Banku „Karta kredytowa PARTNER Banku (...)”, stanowiącego załącznik nr 2 do ww. Zarządzenia.
W tym stanie faktycznym Generalny Inspektor Ochrony Danych Osobowych zważył, co następuje:
I Uzasadniony jest zarzut Skarżącego, iż przetwarzanie przez Bank jego danych osobowych zawartych w prawie jazdy oraz świadectwie kwalifikacji, w związku ze złożeniem wniosków o wydanie i zwiększenie limitu transakcji na karcie kredytowej „PARTNER” nie znajduje uzasadnienia w obowiązującym stanie prawnym.
Na wstępnie podkreślić, należy, iż stosownie do art. 6 ust. 1 ustawy, za dane osobowe uważa się wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej. Osobą możliwą do zidentyfikowania jest osoba, której tożsamość można określić bezpośrednio lub pośrednio, w szczególności przez powołanie się na numer identyfikacyjny albo jeden lub kilka specyficznych czynników określających jej cechy fizyczne, fizjologiczne, umysłowe, ekonomiczne, kulturowe lub społeczne (ust. 2).
Z powyższego jednoznacznie wynika, że danymi osobowymi są wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej - a tym samym również informacje dotyczące zidentyfikowanej już osoby (w przedmiotowej sprawie Skarżącego) o posiadanych przez tę osobę uprawnieniach oraz kwalifikacjach do prowadzenia pojazdów silnikowych.
Przesłanki przetwarzania danych określone zostały w art. 23 ust. 1 ustawy, przy czym podmiot przetwarzający dane winien wykazać się co najmniej jedną z nich, aby jego działanie mogło być uznane za zgodne z prawem. Stosownie do art. 23 ust. 1 pkt 2 ustawy, przetwarzanie danych jest dopuszczalne, jeżeli jest to niezbędne dla zrealizowania uprawnienia lub spełnienia obowiązku wynikającego z przepisu prawa. Przetwarzanie danych jest również legalne, gdy jest to konieczne do realizacji umowy, gdy osoba, której dane dotyczą, jest jej stroną lub gdy jest to niezbędne do podjęcia działań przed zawarciem umowy na żądanie osoby, której dane dotyczą (art. 23 ust. 1 pkt 3 ustawy). Natomiast, stosownie
do art. 23 ust. 1 pkt 5 ustawy, przetwarzanie danych osobowych jest dopuszczalne, jeżeli jest to niezbędne dla wypełnienia prawnie usprawiedliwionych celów realizowanych przez administratorów danych albo odbiorców danych, a przetwarzanie nie narusza praw i wolności osoby, której dane dotyczą.
W myśl art. 26 ust. 1 ustawy, administrator danych przetwarzający dane – w przedmiotowej sprawie Bank - powinien dołożyć szczególnej staranności w celu ochrony interesów osób, których dane dotyczą. Administrator danych jest w szczególności obowiązany zapewnić, aby dane były merytorycznie poprawne i adekwatne w stosunku do celów, w jakich są przetwarzane (art. 26 ust. 1 pkt 3 ustawy). Adekwatność danych
w stosunku do celu ich przetwarzania powinna być rozumiana jak równowaga pomiędzy uprawnieniem osoby do dysponowania swoimi danymi, a interesem administratora danych. Administrator danych nie może w żaden sposób stawiać swego interesu ponad dobro osoby, której dane przetwarza. Równowaga będzie zachowana, jeżeli administrator zażąda danych tylko w takim zakresie, w jakim jest to niezbędne do wypełnienia celu, w jakim dane są przez niego przetwarzane. Ponadto, jak wskazuje się w literaturze przedmiotu, z przepisu art. 26 ust. 1 pkt 3 ustawy wynika w szczególności zakaz zbierania wszelkich danych dla celu zebrania danych nieistotnych, nie mających znaczenia, jak i danych o większym, niż uzasadniony tym celem, stopniu szczegółowości. Relewantność danych powinna być oceniana najpóźniej w momencie ich zbierania (J. Barta R. Markiewicz „Ochrona danych osobowych. Komentarz”, Zakamycze 2001, s. 416).
Dokonując analizy stanu prawnego niniejszej sprawy, Generalny Inspektor Ochrony Danych Osobowych miał również na względzie okoliczność, iż w dniu 1 maja 2004 r. weszły w życie przepisy ustawy z dnia 1 kwietnia 2004 r. o zmianie ustawy - Prawo bankowe oraz o zmianie innych ustawy (Dz. U. Nr 91, poz. 870), wprowadzające z dniem 1 maja 2004 r.
do ustawy Prawo bankowe przepis art. 112 b, w myśl którego, banki mogą przetwarzać dla celów prowadzonej działalności bankowej informacje zawarte w dokumentach tożsamości osób fizycznych. Jednakże, w przedmiotowej sprawie Bank skopiował prawo jazdy oraz świadectwo kwalifikacji Skarżącego przed dniem 1 maja 2004 r, dlatego też, Generalny Inspektor Ochrony Danych Osobowych dokonał analizy prawnej niniejszej sprawy także
w oparciu o przepisy w brzmieniu obowiązującym przed dniem 1 maja 2004 r., tj. w czasie udostępnienia Bankowi danych osobowych przez Skarżącego.
Mając na uwadze powyższe, wskazać należy, iż podstawę prawną do przetwarzania danych osobowych Skarżącego w związku z jego wnioskiem o wydanie i zwiększenie limitów transakcji na karcie „PARTNER” - stanowi dla Banku m.in. przepis art. 69 ust. 2 pkt 1 ustawy Prawo bankowe. W myśl wskazanego przepisu, umowa kredytu powinna być zawarta na piśmie i określać w szczególności strony umowy. Również przepis art. 70 ust. 1 ustawy Prawo bankowe, legalizował powyższe działanie. Zgodnie bowiem ze wskazanym przepisem, bank uzależnia przyznanie kredytu od zdolności kredytowej kredytobiorcy, przez którą rozumie się zdolność do spłaty zaciągniętego kredytu wraz z odsetkami w terminach określonych w umowie, a kredytobiorca jest obowiązany przedłożyć na żądanie banku dokumenty i informacje niezbędne do dokonania oceny tej zdolności, jak również do przeprowadzenia prawidłowej identyfikacji strony umowy kredytu.
Należy jednak kategorycznie podkreślić, iż powyższe prawo do przetwarzania danych osobowych Skarżącego, nie jest prawem nieograniczonym. Ograniczenie powyższego prawa wynika bowiem bezpośrednio z przepisu art. 26 ust. 1 pkt 3 ustawy, w którym ustawodawca wprowadził zasadę adekwatności w procesie przetwarzania danych oraz z przytoczonego wyżej przepisu art. 70 ust. 1 Prawa bankowego, na podstawie którego Bank mógł żądać od Skarżącego wyłącznie takich dokumentów, które były niezbędne do oceny zdolności kredytowej Skarżącego.
W ocenie Generalnego Inspektora Ochrony Danych Osobowych, przytoczone powyżej przepisy ustawy Prawo bankowe, nie dawały Bankowi podstawy prawnej do działania polegającego na skopiowaniu danych osobowych Skarżącego zawartych w jego prawie jazdy oraz świadectwie kwalifikacji. Powyższe działanie doprowadziło bowiem do pozyskania przez Bank danych osobowych Skarżącego (w zakresie: m in. jego wizerunku oraz informacji o uprawnieniach Skarżącego do prowadzenia pojazdów), które nie tylko były zbędne do dokonania oceny zdolności kredytowej Skarżącego, ale nadto były również nieadekwatne do celu przetwarzania. Dlatego też działanie Banku było niezgodne z art. 26 ust. 1 pkt 3 ustawy o ochronie danych osobowych.
Nie można również uznać, iż powyższe działanie Banku zostało „zalegalizowane” poprzez wprowadzenie do ustawy Prawo bankowe przepisu art. 112 b. Powyższy przepis stanowi bowiem, iż banki mogą przetwarzać dla celów prowadzonej działalności bankowej informacje zawarte w dokumentach tożsamości osób fizycznych. W kontekście tak sformułowanego przepisu przytoczyć należy art. 1 ust. 3 ustawy z dnia 10 kwietnia 1974 r.
o ewidencji ludności i dowodach osobistych (Dz. U. z 2001 r. Nr 87, poz., 960 z późn. zm.), z którego jednoznacznie wynika, iż dowód osobisty jest dokumentem stwierdzającym tożsamość, poświadczającym obywatelska polskie, uprawniającym obywateli polskich do przekraczania granic między państwami członkowskimi Unii Europejskiej. Także ustawa z dnia 29 listopada 1990 r. o paszportach (Dz. U. z 1991 r. Nr 2, poz. 5 z późn. zm.), jednoznacznie w art. 1 wskazuje, iż paszport jest dokumentem urzędowym uprawniającym do przekraczania granicy i pobytu zagranicą oraz poświadczającym obywatelstwo polskie, a także tożsamość osoby, w zakresie danych, jakie ten dokument zawiera. Natomiast w myśl art. 88 ustawy z dnia 20 czerwca 1997 r. Prawo o ruchu drogowym (Dz. U. z 2003 r. Nr 58, poz. 515 z późn. zm.) prawo jazdy jest dokumentem stwierdzającym uprawnienia do kierowania pojazdami silnikowymi (podkreślenie Generalnego Inspektora).
W oparciu o cytowane powyżej przepisy, uzasadnione jest twierdzenie Generalnego Inspektora, iż dokumentami tożsamości w rozumieniu art. 112 b ustawy Prawo bankowe, są m. in. paszporty oraz dowody osobiste; natomiast z całą pewnością nie są nimi dokumenty w postaci prawa jazdy oraz świadectwa kwalifikacji. Powyższe dokumenty – co zostało wskazane - nie stwierdzają bowiem tożsamości osoby, a jedynie potwierdzają jej uprawnienia do kierowania pojazdami silnikowymi. Dla potwierdzenia słuszności stanowiska Generalnego Inspektora warto przytoczyć pogląd Sądu Apelacyjnego w Białymstoku zaprezentowany w uzasadnieniu wyroku z dnia 29 kwietnia 2003 r., w którym to S.A. stwierdził m.in., iż „faktem jest natomiast, że pokrzywdzony w wyniku rozboju utracił nie dowód osobisty, a dowód rejestracyjny na samochód i prawo jazdy. Nie są to dokumenty stwierdzające tożsamość. Dokumentami stwierdzającymi tożsamość są: dowody osobiste, tymczasowe dowody osobiste oraz tymczasowe zaświadczenia tożsamości (w rozumieniu ustawy z dnia 10 kwietnia 1974 r. o ewidencji ludności i dowodach osobistych), paszporty, dokumenty paszportowe należące do cudzoziemca, karty stałego i czasowego pobytu, tymczasowe dokumenty podróży i tymczasowe zaświadczenia tożsamości (w rozumieniu ustawy z dnia 25 czerwca 1997 r. o cudzoziemcach). Z punktu widzenia prawa, prawo jazdy nie posiada charakteru dokumentu stwierdzającego tożsamość” ( II AKa 84/2003 OSA 2003/11 poz. 111 str. 29).
W złożonych w toku postępowania wyjaśnieniach Dyrektor Departamentu Prawnego Banku wskazał, iż przetwarzanie przez Bank danych osobowych Skarżącego
w kwestionowanym zakresie podyktowane jest m.in. koniecznością zapewnienia bezpieczeństwa powierzonych środków pieniężnych klientów Banku. Powyższy cel zdaniem Banku jest w rozumieniu art. 23 ust. 1 pkt 5 ustawy, prawnie usprawiedliwionym celem Banku. Generalny Inspektor nie zgadza się z powyższym stanowiskiem Banku.
Prawo do przetwarzania danych osobowych w ramach, tzw. „usprawiedliwionego celu” – o którym mowa w art. 23 ust. 1 pkt 5 ustawy - nie jest bowiem prawem nieograniczonym. Aby przetwarzanie danych osobowych na podstawie powołanego powyżej przepisu prawa mogło być uznane za legalne, musi być ono podjęte nie tylko dla wypełnienia prawnie usprawiedliwionego celu realizowanego przez administratora danych albo odbiorcę danych ale również, co istotne, proces przetwarzania danych nie może naruszać praw i wolności osoby, której dane dotyczą.Natomiast w ocenie Generalnego Inspektora, przetwarzanie przez Bank danych osobowych Skarżącego w kwestionowanym zakresie, w sytuacji gdy działanie Banku nie znajduje uzasadnienia w obowiązującym stanie prawnym, w sposób ewidentny narusza prawa i wolności Skarżącego, a w szczególności jego konstytucyjne prawo do prywatności, co szerzej zostanie wykazane w dalszej części uzasadniania.
Należy przy tym również podkreślić, iż Generalny Inspektor Ochrony Danych Osobowych w żaden sposób nie kwestionuje konieczności zapewnienia przez Bank bezpieczeństwa powierzonych środków pieniężnych klientów Banku. Niemniej weryfikacja danych klientów Banku, ze względu na ogólnie pojmowane dobro obu stron umowy, powinna następować w sposób dający możliwie największe gwarancje „ograniczenia nadużyć”, a jednocześnie zapewniający ochronę danych osobowych klienta, czyli w trakcie bezpośredniego kontaktu osoby działającej w imieniu Banku i klienta, na podstawie oryginału dokumentu, a nie jego kopii. Dyrektor Departamentu Prawnego Banku w złożonych wyjaśnieniach wskazał, iż „Bank korzysta z kopiowania dokumentów - ogranicza zbierane dane do danych adekwatnych do celów przetwarzania, w tym niezbędnej identyfikacji klienta (...) Bank jest instytucją zaufania publicznego, ponoszącą pełną odpowiedzialność za powierzone mu środki klientów i dlatego obowiązany jest zarówno w interesie swoim własnym jak i klientów działać ze szczególną wysoką starannością, co przejawia się także na etapie identyfikacji klienta”. Rozumiejąc wagę zadań postawionych Bankom do realizacji, w ocenie Generalnego Inspektora Ochrony Danych Osobowych nie można jednak stawiać dobra (interesu) Banku ponad konstytucyjnie chronione prawo do prywatności Skarżącego i tym też tłumaczyć przetwarzanie jego danych osobowych w kwestionowanym zakresie. Tym bardziej jest to nieuzasadnione - z uwagi na okoliczność - że Skarżący był klientem Banku, a tym samym Bank posiadał szczegółowe dane dotyczące Skarżącego, które pozwalały na weryfikację (identyfikację) jego osoby w sposób inny niż wykonanie kopii prawa jazdy oraz świadectwa kwalifikacji Skarżącego.
Warto również podkreślić, iż wprawdzie przepisy ustawy o ochronie danych osobowych określają zasady postępowania przy przetwarzaniu danych osobowych oraz prawa osób fizycznych, których dane osobowe są lub mogą być przetwarzane w zbiorach danych (art. 2 ust. 1 ustawy), to jednak źródło tej ochrony wynika przede wszystkim z przepisów ustawy z dnia 2 kwietnia 1997 r. – Konstytucja Rzeczypospolitej Polskiej (Dz. U. Nr 78, poz. 483). Stosownie bowiem do art. 51 ust. 5 Konstytucji Rzeczypospolitej Polskiej, zasady i tryb gromadzenia oraz udostępniania informacji o osobie określa ustawa. Natomiast dyspozycję powołanego powyżej przepisu wypełnia właśnie ustawa o ochronie danych osobowych. Ponadto, zgodnie z art. 47 Konstytucji Rzeczypospolitej Polskiej, każdy ma prawo do ochrony prawnej życia prywatnego, rodzinnego, czci i dobrego imienia oraz
do decydowania o swoim życiu osobistym. W orzecznictwie Trybunału Konstytucyjnego wielokrotnie podkreślano, iż „Konstytucja RP z 2 kwietnia 1997 r., w przeciwieństwie
do poprzednio obowiązujących przepisów konstytucyjnych, wprost normuje prawo do prywatności stanowiąc w art. 47, iż „każdy ma prawo do ochrony prawnej życia prywatnego, rodzinnego, czci i dobrego imienia oraz do decydowania o swoim życiu osobistym”. Konstytucja wprowadza też w art. 51 nową kategorię prawa jednostki do ochrony danych osobowych, w zakres którego wchodzi m.in. warunek ustawowej podstawy ujawnienia przez jednostkę informacji dotyczących jej osoby (....). Przytoczone powyżej przepisy konstytucji pozostają w określonej relacji wzajemnej: prawo do prywatności, statuowane w art. 47, zagwarantowane jest m.in. w aspekcie ochrony danych osobowych, przewidzianej w art. 51” (Wyrok Trybunału Konstytucyjnego z dnia 19 maja 1998 r. U. 5/97 OTK ZU 1998/4 poz. 46 Prokuratura i Prawo - dodatek 1998/9 poz. 51, podobnie Postanowienie Trybunału Konstytucyjnego z dnia 24 czerwca 1998 r. U. 4/97 OTK ZU 1998/4poz. 54). Natomiast, w wyroku z dnia 24 czerwca 1997 r. Trybunał Konstytucyjny wskazując rangę prawa do prywatności uznał m.in., iż nie ma ono charakteru absolutnego
i może podlegać ograniczeniom. Konieczne jest przy tym jednak, by ograniczenia tego prawa formułowane były w sposób czyniący zadość wymaganiom konstytucyjnym. Zdaniem Trybunału Konstytucyjnego oznacza to, że ograniczenie prawa bądź wolności może nastąpić tylko jeżeli przemawia za tym inna norma, zasada lub wartość konstytucyjna, a stopień tego ograniczenia musi pozostać w odpowiedniej proporcji do rangi interesu, któremu ograniczenie to ma służyć (Orzeczenie Trybunału Konstytucyjnego z dnia 24 czerwca 1997 r. K. 21/96 OTK ZU 1997/2 poz. 23 Prokuratura i Prawo - dodatek 1997/10 poz. 60).
Z powyższego jednoznacznie wynika, iż przepisy ustawy o ochronie danych osobowych odzwierciedlają konstytucyjne prawo każdej jednostki do ochrony prywatności, tj. prawa do ochrony danych osobowych. Natomiast w przedmiotowej sprawie Bank przetwarza dane osobowe Skarżącego w zakresie szerszym niż wynikający z unormowań ustawy Prawo bankowe (co w konsekwencji stanowi ingerencję Banku w prawo osobiste Skarżącego, jakim jest zagwarantowane konstytucyjnie prawo do ochrony prywatności), albowiem żaden przepis tej ustawy nie upoważnia Banku do przetwarzania danych osobowych Skarżącego w zakresie informacji o jego uprawnieniach do prowadzenia pojazdów silnikowych.
Podsumowując powyższe rozważania, Generalny Inspektor Ochrony Danych Osobowych stoi na stanowisku, iż Bank jako administrator danych uprawniony jest do przetwarzania danych osobowych swoich klientów w zakresie wskazanym przez przepisy ustawy Prawo bankowe. Nowelizacja przepisów ww. ustawy, umożliwiła bankom, a tym samym Bankowi (którego dotyczy powyższa decyzja) przetwarzanie danych osobowych pozyskanych z kserokopii dokumentów tożsamości (art. 112 b ustawy Prawo bankowe). W przedmiotowej sprawie, Bank przetwarza dane osobowe pozyskane z kopii prawa jazdy Skarżącego oraz kopii jego świadectwa kwalifikacji. Natomiast, w świetle obowiązującego prawa, powyższe dokumenty nie stwierdzają tożsamości Skarżącego a jedynie potwierdzają uprawniania Skarżącego do prowadzenia pojazdami mechanicznymi. Tym samym, Bank przetwarza dane osobowe w zakresie szerszym niż wynika to z powszechnie obowiązujących przepisów prawa. Zdaniem Generalnego Inspektora Ochrony Danych Osobowych, powyższe skutkuje naruszeniem przepisów ustawy o ochronie danych osobowych, ustawy Prawo bankowe, a także przepisów Konstytucji Rzeczypospolitej Polskiej, stanowiących gwarancję ochrony prawa do prywatności Skarżącego.
II Podkreślenia również wymaga, iż zgodnie z art. 33 ust. 1 ustawy, na wniosek osoby, której dane dotyczą, administrator danych jest obowiązany, w terminie 30 dni, poinformować o przysługujących jej prawach oraz udzielić, odnośnie jej danych osobowych, informacji, o których mowa w art. 32 ust. 1 pkt 1 – 5a. W myśl art. 33 ust. 1 pkt 4 ustawy, administrator danych na wniosek osoby, której dane dotyczą zobowiązany jest podać w formie zrozumiałej w jakim zakresie oraz komu dane zostały udostępnione. Na wniosek osoby, której dane dotyczą, informacji, o których mowa powyżej, udziela się na piśmie. (art. 33 ust. 2 ustawy). Dopełnienie ww. obowiązku stanowi gwarancję kontroli prawidłowego procesu przetwarzania danych osobowych przez osobę, której dane dotyczą. Powyższy przepis ściśle związany jest bowiem z art. 32 ust. 1 ustawy, w myśl którego, każdej osobie, której dane dotyczą przysługuje m.in. prawo do kontroli przetwarzania danych, zawartych w zbiorach danych. Zaznaczyć jednocześnie należy, iż uprawnieniom osób, których dane są przetwarzane w zbiorach, a które zostały ustanowione w przepisie art. 32 ustawy o ochronie danych osobowych, odpowiada symetryczny obowiązek dysponentów zbiorów danych, tj. administratorów danych (J. Barta, R. Markiewicz, „Ochrona danych osobowych. Komentarz”, Zakamycze 2001, s. 471 - 472).
W przedmiotowej sprawie, Skarżący wystąpił do Banku o poinformowanie komu Bank udostępnił jego dane związane z prowadzonym rachunkiem bankowym. Natomiast Bank ograniczył się w stosunku do Skarżącego jedynie do poinformowania go, iż jego dane osobowe zostaną w Banku zarchiwizowane i nie będą udostępnione. Dyrektor Departamentu Prawnego Banku dopiero w piśmie skierowanym do Generalnego Inspektora wskazał, że dane osobowe Skarżącego nie były udostępniane innym podmiotom. Powyższe działanie nie może być jednak w żaden sposób uznane za należyte wypełnienie obowiązku o którym mowa w art. 33 ust. 1 pkt 4 ustawy. Dlatego też, w ocenie Generalnego Inspektora Ochrony Danych Osobowych konieczne jest wypełnienie przez Bank w stosunku do Skarżącego obowiązku informacyjnego we wskazanym powyżej zakresie.
III Odnosząc się do wniosku Skarżącego dotyczącego nakazania Bankowi przez Generalnego Inspektora Ochrony Danych Osobowych usunięcia kopii zaświadczenia
o zatrudnieniu i wynagrodzeniu Skarżącego, jak również jego wniosków o wydanie i podwyższenie limitu transakcji na karcie kredytowej „PARTNER” podkreślić, należy, iż stosownie do § 32 ust. 1 rozporządzenia Ministra Finansów z dnia 10 grudnia 2001 r. w sprawie szczególnych zasad rachunkowości banków (Dz. U. Nr 149, poz. 1673 z późn. zm.), Bank przestrzega zasad dotyczących przechowywania i ochrony danych określonych
w przepisach art. 71 ustawy o rachunkowości i odrębnych przepisach. Zgodnie natomiast z art. 71 ust. 1 ustawy z dnia 29 września 1994 r. o rachunkowości (tekst jednolity: Dz. U. 2002 r. Nr 76 poz. 694 z późn. zm.), dokumentację, o której mowa w art. 10 ust. 1, księgi rachunkowe, dowody księgowe, dokumenty inwentaryzacyjne i sprawozdania finansowe, zwane dalej także „zbiorami”, należy przechowywać w należyty sposób i chronić przed niedozwolonymi zmianami, nieupoważnionym rozpowszechnianiem, uszkodzeniem lub zniszczeniem.
Podkreślenia również wymaga, iż stosownie do § 9 ust. 1 rozporządzenia Ministra Finansów w sprawie szczególnych zasad rachunkowości banków, dowodem księgowym stanowiącym podstawę ewidencji zdarzeń gospodarczych jest dyspozycja wystawiona przez klienta banku, dyspozycja własna banku lub inne dokumenty otrzymane bądź sporządzone w ustalonej formie i spełniające warunki, o których mowa w art. 21 ust. 1 ustaw o rachunkowości. W tym miejscu należy wskazać, iż w myśl § 4 ust. 1 Regulaminu „Karty Kredytowej Partner Banku (...)”, Bank podejmuje decyzję o wydaniu karty
i przyznaniu limitu kredytowego w oparciu o złożone w jednostce Banku m. in. prawidłowo wypełniony Wniosek, podpisany przez wnioskodawcę; podpis na Wniosku stanowi dla Banku stanowi wzór popisu wnioskodawcy (...). Ponadto, zgodnie z § 12 ust. 1 ww. regulaminu, posiadacz karty może, w okresie ważności, wystąpić o zmianę wysokości przyznanego limitu kredytowego. Pisemna dyspozycja w tej sprawie może być przesłana bezpośrednio do CKC lub złożona w dowolnej jednostce Banku. Natomiast, stosownie § 12 ust. 2 ww. regulaminu, w przypadku wystąpienia o podwyższenie limitu kredytowego posiadacz karty zobowiązany jest złożyć w jednostce Banku lub przesłać do CKC aktualne dokumenty wymagane przez Bank do ustalenia wysokości uzyskiwanych dochodów, oświadczenie o wysokości i tytule zobowiązań i uaktualnione oświadczenie o poddaniu się egzekucji, jeżeli upływa termin jego ważności.
W przedmiotowej sprawie Skarżący wystąpił do Banku z wnioskiem o wydanie karty kredytowej i podwyższenie limitu kredytowego transakcji na karcie załączając
do wniosków zaświadczenie o zatrudnieniu oraz wynagrodzeniu. Stosownie do § 4 ust. 1 oraz § 12 ust. 1 Regulaminu „Karty Kredytowej Partner Banku (...)”, powyższe wnioski miały charakter pisemnych dyspozycji klienta Banku (Skarżącego), natomiast zaświadczanie o zatrudnieniu i wynagrodzeniu Skarżącego, stanowiło integralną część ww. dyspozycji (§ 12 ust. 2 ww. regulaminu). Dlatego też, w opinii Generalnego Inspektora dokumenty te stanowią dowody księgowe w rozumieniu § 9 ust. 1 rozporządzenia Ministra Finansów w sprawie szczególnych zasad rachunkowości banków. Zgodnie z § 32 ust. 2 rozporządzenia Ministra Finansów w sprawie szczególnych zasad rachunkowości banków, Bank przechowuje dowody księgowe w oryginalnej postaci przez okres wynikający z przepisu art. 74 ustawy o rachunkowości. Natomiast, stosownie do art. 74 ust. 2 pkt 4 ustawy o rachunkowości, zbiory dowodów księgowych dotyczących wieloletnich inwestycji rozpoczętych, pożyczek, kredytów oraz umów handlowych, roszczeń dochodzonych w postępowaniu cywilnym lub objętych postępowaniem karnym albo podatkowym, podlegają trwałemu przechowywaniu przez okres 5 lat od początku roku następującego po roku obrotowym, w którym operacje, transakcje i postępowanie zostały ostatecznie zakończone, spłacone, rozliczone lub przedawnione. Należy podkreślić, iż z treści przepisu art. 74 ust. 2 pkt 8 ustawy o rachunkowości, wynika ponadto, iż pozostałe zbiory dowodów księgowych oraz dokumentów (nie wymienionych w art. 74 ww. ustawy) przechowuje się przez okres 5 lat od początku roku następującego po roku obrotowym, którego dane zbiory dotyczą.
Z przytoczonych powyżej przepisów prawa wynika zatem, iż Bank jest nie tylko uprawniony ale nadto zobligowany do przechowywania dokumentów złożonych przez Skarżącego w Banku, tj. dowodów księgowych w postaci jego dyspozycji o wydanie karty kredytowej oraz o podwyższenie limitu kredytowego transakcji na karcie, jak również stanowiącego integralną część ww. dyspozycji zaświadczenia o zatrudnieniu Skarżącego oraz o jego wynagrodzeniu, przez okres wskazany w art. 74 ustawy o rachunkowości.
Podkreślenia również wymaga, iż Generalny Inspektor Ochrony Danych Osobowych w toku prowadzonego przed nim postępowania administracyjnego badał m.in. podstawy legalności działania Banku, polegającego na przetwarzaniu danych osobowych Skarżącego, pozyskanych przez Bank z wniosku Skarżącego o przyznanie i zwiększenie limitu transakcji na karcie „PARTNER”, pomimo okoliczności, iż Skarżący rozwiązał z Bankiem umowę rachunku bankowego, jak również zlikwidował wszelkie inne produkty Banku (...). W ocenie Generalnego Inspektora, dane osobowe Skarżącego pozyskane przez Bank z przedmiotowych dokumentów, mogą być przetwarzane przez Bank pomimo rozwiązania ze Skarżącym umowy rachunku bankowego wyłącznie w celach archiwalnych - przez okres ściśle określony w ustawie o rachunkowości. Dlatego też, przetwarzanie przez Bank danych osobowych Skarżącego, pozyskanych z wniosków o wydanie oraz zwiększenie limitów kredytowych na karcie „PARTNER”, w sytuacji, gdy odbywa się ono w przedmiotowym celu (jak również przez okres wskazany w ustawie o rachunkowości), nie stanowi naruszenia przepisów ustawy o ochronie danych osobowych.
Odnosząc powyższe uwagi do stanu niniejszej sprawy oraz dokonując analizy wyżej przytoczonych przepisów prawa, wniosek Skarżącego, w zakresie dotyczącym nakazania Bankowi usunięcia uchybień w procesie przetwarzania jego danych osobowych, poprzez usunięcie z posiadanych zbiorów jego danych osobowych pozyskanych przez Bank z kserokopii prawa jazdy oraz świadectwa kwalifikacji Skarżącego, uznać należy za zasadny.
Natomiast działanie Banku, polegające na odmowie usunięcia danych osobowych Skarżącego pozyskanych przez Bank z zaświadczenia o jego zatrudnieniu i wynagrodzeniu, jak również danych pozyskanych z wniosków o wydanie i zwiększenie limitu transakcji na karcie kredytowej „PARTNER”, nie naruszyło przepisów prawa, gdyż znajdował uzasadnienie w art. 23 ust. 1 pkt 2 ustawy o ochronie danych osobowych.
W tym stanie faktycznym i prawnym Generalny Inspektor Ochrony Danych Osobowych rozstrzygnął, jak w sentencji.
Decyzja jest ostateczna. Na podstawie art. 21 ust. 1 ustawy o ochronie danych osobowych oraz art. 129 § 2 ustawy z dnia 14 czerwca 1960 r. - Kodeks postępowania administracyjnego (Dz. U. z 2000 r. Nr 98, poz. 1071 z późn. zm.), strona niezadowolona z niniejszej decyzji może zwrócić się do Generalnego Inspektora Ochrony Danych Osobowych (adres: Biuro Generalnego Inspektora Ochrony Danych Osobowych, ul. Stawki 2, 00 – 193 Warszawa) z wnioskiem o ponowne rozpatrzenie sprawy w terminie 14 dni od daty doręczenia decyzji.
