>Decyzje Giodo>2006 >

Decyzja Generalnego Inspektora Ochrony Danych Osobowych z dnia 12 kwietnia 2006 r. w sprawie przetwarzania danych osobowych w zbiorze o nazwie „System Międzybankowej Informacji Gospodarczej - Bankowy Rejestr” prowadzonym przez Związek Banków Polskich z siedzibą w Warszawie. Przedmiotem postępowania było ustalenie, czy Związek Banków Polskich jest administratorem danych zgromadzonych w Bankowym Rejestrze, i czy istnieją podstawy prawne do przetwarzania tych danych osobowych.

Warszawa, dnia 12 kwietnia 2006 r.
 

DECYZJA

Na podstawie art. 104 § 1 ustawy z dnia 14 czerwca 1960 r. Kodeks postępowania administracyjnego (Dz. U. z 2000 r. Nr 98, poz. 1071 z późn. zm.) oraz art. 12 pkt 2, art. 22
w związku z art. 7 pkt 4 i art. 23 ust. 1 pkt 2 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. z 2002 r. Nr 101, poz. 926 z późn. zm.) oraz art. 105 ust. 4 ustawy
z dnia 29 sierpnia 1997 r. Prawo bankowe (Dz. U. 2002 r. Nr 72, poz. 665 z późn. zm.),
po przeprowadzeniu postępowania administracyjnego w sprawie przetwarzania przez Związek Banków Polskich z siedzibą w Warszawie (...) danych osobowych w zbiorze
o nazwie „System Międzybankowej Informacji Gospodarczej - Bankowy Rejestr",

nie stwierdzam naruszenia przepisów o ochronie danych osobowych.

Uzasadnienie

Generalny Inspektor Ochrony Danych Osobowych wszczął z urzędu postępowanie administracyjne w sprawie przetwarzania danych osobowych w zbiorze o nazwie „System Międzybankowej Informacji Gospodarczej - Bankowy Rejestr”, zwanym dalej również
Bankowym Rejestrem, prowadzonym przez Związek Banków Polskich z siedzibą w Warszawie(...), zwany dalej również ZBP. Przedmiotem postępowania było ustalenie, czy ZBP jest administratorem danych zgromadzonych w Bankowym Rejestrze i czy istnieją podstawy prawne do przetwarzania tych danych osobowych.
W toku prowadzonego w niniejszej sprawie postępowania Związek Banków Polskich zaprezentował stanowisko, zgodnie z którym dane osobowe zgromadzone w Bankowym Rejestrze przetwarzane są w sposób zgodny z obowiązującymi przepisami, w tym ustawą z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. z 2002 r., Nr 101, poz. 926 z późn. zm.).
W szczególności ZBP stwierdził, że przetwarzanie to odbywa się na podstawie art. 23 ust. 1 pkt 2 ustawy o ochronie danych osobowych w zw. z art. 105 ust. 1 pkt 1 oraz art. 105 ust. 4 ustawy z dnia 29 sierpnia 1997 r. Prawo bankowe (Dz. U. 2002 r. Nr 72 poz. 665 z późn. zm.). Ponadto ZBP oświadczył, iż: „System MIG-BR jest instytucją prowadzoną przez Związek Banków Polskich jako administratora danych zgromadzonych w Systemie w rozumieniu art. 7 ust. 4 ustawy o ochronie danych osobowych”. Według ZBP „celem przetwarzania przez ZBP danych w Systemie MIG – BR jest usprawnienie i przyśpieszenie przepływu danych o charakterze tajemnicy bankowej między bankami, tak aby bank mógł je uzyskać w jednym miejscu. Informacje zawarte w Systemie MIG – BR służyć mają wypełnianiu przez banki jako instytucje zaufania publicznego ich ustawowych obowiązków związanych z koniecznością dokładania szczególnej staranności w zakresie zapewnienia bezpieczeństwa przechowywanych środków pieniężnych, czyli w zakresie ochrony depozytów (art. 50 ust. 2 Prawa bankowego), a także z koniecznością należytego badania zdolności kredytowej, której istnienie bank obowiązany jest stwierdzić zgodnie z art. 70 ust. 1 Prawa bankowego, aby udzielić kredytu. Badanie zdolności kredytowej, na którą składa się zdolność do spłaty zobowiązań i wiarygodność kredytowa, jest niezwykle istotnym elementem w działalności banku. System MIG – BR został utworzony właśnie w celu zmniejszenia dla banków i instytucji kredytowych ryzyka udzielania trudnych kredytów, przyśpieszenia i uproszczenia procedur kredytowych, wspomagania decyzji banków i udzieleniu kredytu. (...)”
Na podstawie wyjaśnień i dokumentów złożonych przez ZBP (w tym „Statutu Związku Banków Polskich”, „Regulaminu wymiany informacji w Systemie Międzybankowej Informacji Gospodarczej - Bankowy Rejestr” – zwanego dalej Regulaminem oraz treści  standardowej umowy zawieranej przez ZBP z bankami zgłaszającymi dane osobowe do Bankowego Rejestru) Generalny Inspektor Ochrony Danych Osobowych (zwany dalej GIODO) ustalił, co następuje:
1)    ZBP jest dobrowolną i samorządową organizacją banków, działającą na podstawie ustawy
z dnia 30 maja 1989 r. o izbach gospodarczych (Dz. U. Nr 35, poz. 195 z późn. zm.) - art. 1 ww. Statutu ZBP.
2)    Do zadań ZBP należy m.in. organizowanie współdziałania banków na rzecz rozwoju sektora bankowego i infrastruktury międzybankowej, w tym zwłaszcza w zakresie zbierania, przetwarzania i wymiany informacji bankowej i gospodarczej - art. 3 pkt 2 lit. c) Statutu ZBP. Cele i zadania Związku są realizowane poprzez prowadzenie działalności w zakresie wymiany informacji bankowej i gospodarczej (art. 4 pkt 10 Statutu ZBP). Związek może prowadzić działalność gospodarczą, której przedmiotem jest przetwarzanie danych (art. 5 pkt 4).
3)    Członkami ZBP są w szczególności banki działające na obszarze Rzeczypospolitej Polskiej, utworzone na podstawie prawa polskiego (art. 6 ust. 1 Statutu ZBP).
4)    W Bankowym Rejestrze gromadzone są informacje o osobach fizycznych i prawnych, dotyczące kredytów i pożyczek udzielonych przez banki uczestniczące w tym rejestrze.
W przypadku osób fizycznych nie będących przedsiębiorcami są to takie dane osobowe, jak: imię i nazwisko, seria i numer dokumentu tożsamości, PESEL i dokładny adres zamieszkania (rozdział II ww. „Regulaminu wymiany informacji w systemie Międzybankowej Informacji Gospodarczej Bankowy Rejestr” – zwanego dalej Regulaminem).
5)    Banki chcące korzystać z informacji zgromadzonych w Bankowym Rejestrze podpisują z ZBP ramową „Umowę o zasadach uczestnictwa i współpracy w zakresie wymiany informacji
w systemie Międzybankowej Informacji Gospodarczej Bankowy Rejestr” – zwaną dalej Umową. Szczegółowe zasady funkcjonowania Bankowego Rejestru oraz sposób korzystania
z wchodzącej w jego skład bazy danych określa Regulamin, który stanowi załącznik nr 1 do Umowy).
6)    ZBP posiada wyłączne prawo do zarządzania danymi zawartymi w Bankowym Rejestrze. ZBP jest administratorem danych zgromadzonych w Bankowym Rejestrze w rozumieniu ustawy
o ochronie danych osobowych (§ 8 Umowy).
7)    Z Regulaminu i Umowy wynika, że usunięcia informacji z Bankowego Rejestru dokonuje ZBP na wniosek banku odpowiedzialnego za ich umieszczenie, a w pewnych sytuacjach decyzję
w tym zakresie podejmuje samodzielnie ZBP.
8)    ZBP administruje i nadzoruje prawidłowe funkcjonowanie Bankowego Rejestru poprzez m.in. gromadzenie i przetwarzanie w tym zbiorze danych o klientach przekazanych przez banki, udostępnianie tych informacji innym bankom uczestniczącym w wymianie informacji, umożliwienie zgłaszającym bankom dokonywania zmian w przekazanych informacjach oraz sprawdza poprawność przekazanych danych i odrzuca dane niepoprawne (§ 16 ust. 1 Regulaminu). ZBP zabezpiecza dostęp do Bankowego Rejestru poprzez stosowanie procedur certyfikacji połączeń, autoryzacji użytkowników i szyfrowania danych (§ 16 ust. 3 Regulaminu).

Po zapoznaniu się z całością materiału dowodowego zgromadzonego w tej sprawie Generalny Inspektor Ochrony Danych Osobowych zważył, co następuje:

Podstawową kwestią budzącą wątpliwości Generalnego Inspektora wobec przetwarzania danych osobowych w Bankowym Rejestrze jest to, czy ZBP można uznać za administratora danych zawartych
w tym zbiorze, w rozumieniu art. 7 pkt 4 ww. ustawy o ochronie danych osobowych, zwanej dalej ustawą.
Z przepisu art. 7 pkt 4 w zw. z art. 3 ustawy wynika, że administratorem danych jest organ państwowy, samorządu terytorialnego, państwowa i komunalna jednostka organizacyjna, jak również podmiot niepubliczny realizujący zadania publiczne oraz osoba fizyczna, prawna
i jednostka organizacyjna nie będąca osobą prawną, które przetwarzają dane osobowe w związku ze swoją działalnością zarobkową, zawodową lub dla realizacji celów statutowych, decydujące
o celach i środkach przetwarzania danych osobowych. W świetle powyższej definicji nie jest zatem administratorem danych podmiot, który przetwarza dane wyłącznie według polecenia, czy wskazówek innego podmiotu. Rozstrzygające znaczenie w tym względzie ustawodawca przypisał bowiem samodzielności podmiotu przetwarzającego dane, tj. czy podejmując na danych osobowych jakieś czynności składające się na pojęcie przetwarzania danych (jakiekolwiek operacje, jak zbieranie, utrwalanie, przechowywanie, opracowywanie, zmienianie, udostępnianie i usuwanie), działa on we własnym imieniu i na własną rzecz, oraz czy może decydować o tym co z tymi danymi zrobi i w jaki sposób. Odnosząc powyższe do przetwarzania danych w Bankowym Rejestrze, uznać należy, że Związkowi Banków Polskich przysługuje status administratora tych danych.
Z analizy wyjaśnień złożonych przez ZBP w toku postępowania wyjaśniającego, jak też przesłanych na ich potwierdzenie ww. dokumentów, wynika, że banki przystępujące do wymiany informacji w ramach Bankowego Rejestru przekazują dane do tego zbioru, natomiast dalsze czynności na tych danych podejmuje ZBP, działając co do zasady na ich wniosek. W szczególności ZBP sprawdza poprawność przekazanych mu przez banki danych, w tym ma prawo do odrzucenia danych niepoprawnych. Ponadto ZBP udostępnia bankom dane z Bankowego Rejestru oraz odpowiada za ich usunięcie z tego zbioru. Usunięcie to następuje zasadniczo na wniosek zainteresowanego banku – zasadniczo po uregulowaniu zobowiązania przez osobę, której dane dotyczą, jednakże w sytuacji, kiedy bank nie wystąpi z takim wnioskiem w określonym terminie, dane wykreślane są z tego rejestru z inicjatywy samego ZBP. Jednocześnie ZBP odpowiada za wszelkie sprawy techniczno – organizacyjne związane z prowadzeniem Bankowego Rejestru.
Do uznania, czy Związkowi Banków Polskich przysługuje status administratora danych
z Bankowego Rejestru istotne znaczenie mają jednak przepisy Prawa bankowego. Informacje zgromadzone w Bankowym Rejestrze dotyczą bowiem czynności bankowych, a zatem na podstawie art. 104 ust. 1 Prawa bankowego objęte są tajemnicą bankową. Katalog podmiotów uprawnionych do pozyskiwania takich informacji zawiera art. 105 ust. 1 tej ustawy i – jak należy zauważyć - nie ma wśród nich Związku Banków Polskich. Powstaje zatem pytanie, czy można uznać Bankowy Rejestr prowadzony przez Związek Banków Polskich za instytucję, o której mowa w art. 105 ust. 4 Prawa bankowego. Przepis ten stanowi, że banki mogą, wspólnie z bankowymi izbami gospodarczymi, utworzyć instytucje do gromadzenia, przetwarzania i udostępniania:
1) bankom – informacji stanowiących tajemnicę bankową w zakresie, w jakim informacje te są potrzebne w związku z wykonywaniem czynności bankowych, 2) innym instytucjom ustawowo upoważnionym do udzielania kredytów – informacji o wierzytelnościach oraz o obrotach i stanach rachunków bankowych w zakresie, w jakim informacje te są niezbędne w związku z udzielaniem kredytów, pożyczek pieniężnych, gwarancji bankowych i poręczeń.
W świetle treści powołanego przepisu i poczynionych w niniejszej sprawie ustaleń faktycznych stwierdzić przede wszystkim należy, że nie można uznać za instytucję, o której tam mowa samego Bankowego Rejestru, ponieważ nie ma on żadnej samodzielności organizacyjno – prawnej. Bankowy Rejestr jest jedynie zbiorem prowadzonym w systemie informatycznym, za którego funkcjonowanie odpowiedzialność ponosi ZBP i banki uczestniczące w wymianie informacji w nim zawartych. Jednocześnie z ww. Statutu ZBP wynika, że zakres działalności Związku Banków Polskich obejmuje m.in. zbieranie, przetwarzanie i wymianę informacji „bankowej i gospodarczej”. Należy przy tym zauważyć, że art. 105 ust. 4 Prawa bankowego nie określa formy prawnej, jaką powinna mieć instytucja, o której stanowi. To Związek Banków Polskich jest zatem instytucją gromadzącą, przetwarzającą i udostępniającą informacje, w tym dane osobowe, objęte tajemnicą bankową, które zawarte są w Bankowym Rejestrze.
Wobec tego, że w systemie wymiany informacji zawartych w Bankowym Rejestrze uczestniczą wyłącznie banki, a nie inne instytucje upoważnione do udzielania kredytów – wskazane w pkt 2 art. 105 Prawa bankowego, rozważenia wymaga, czy spełniona jest przesłanka z pkt 1 tego przepisu, odnosząca się do banków, a dotycząca przetwarzania informacji potrzebnych w związku
z wykonywaniem czynności bankowych. W wyjaśnieniach złożonych w niniejszej sprawie ZBP szeroko argumentował potrzebę przetwarzania danych w Bankowym Rejestrze. ZBP wskazał m.in. na przepisy art. 50 i 70 Prawa bankowego, z których wynika obowiązek banków zapewnienia bezpieczeństwa powierzonym im środkom pieniężnym oraz związany z nim obowiązek zbadania zdolności kredytowej osoby ubiegającej się o uzyskanie środków banku. Stanowisko to należy uznać za przekonywujące. Informacje zgromadzone w Bankowym Rejestrze są niewątpliwie potrzebne bankom przy udzielaniu kredytów i pożyczek pieniężnych. Wobec powyższego stwierdzić należy, iż Związek Banków Polskich jest administratorem danych osobowych zawartych w Bankowym Rejestrze.
Podstawowym obowiązkiem administratora danych jest przetwarzanie danych osobowych zgodnie z odpowiednimi przepisami prawa. Wskazać wobec tego należy, że w momencie wszczęcia niniejszego postępowania wątpliwości GIODO budził brak przepisów powszechnie obowiązujących, które regulowałyby zasady przetwarzania danych osobowych zawartych
w zbiorach prowadzonych przez instytucje, o których mowa w art. 105 ust. 4 Prawa bankowego. Sytuacja ta zmieniła się jednak z dniem 16 czerwca 2005 r., kiedy obowiązywać zaczął art. 105a tej ustawy, wypełniający lukę prawną w tym zakresie. Przepis ten określa w szczególności warunki przetwarzania danych po wygaśnięciu zobowiązania, co dotychczas było kwestią sporną między ZBP i GIODO. Uregulowanie zasad przetwarzania danych wprost w Prawie bankowym koresponduje z przepisem art. 23 ust. 1 pkt 2 ustawy o ochronie danych osobowych, który przewiduje, że przetwarzanie danych osobowych jest dopuszczalne, gdy jest to niezbędne dla zrealizowania uprawnienia lub spełnienia obowiązku wynikającego z przepisu prawa.

W związku z powyższym Generalny Inspektor Ochrony Danych Osobowych rozstrzygnął jak w sentencji.


Decyzja niniejsza jest ostateczna. Stronie, na podstawie art. 21 ust. 1 ustawy o ochronie danych osobowych, w związku z art. 22 tej ustawy i art. 127 § 3 i art. 129 § 2 Kodeksu postępowania administracyjnego, przysługuje, w terminie 14 dni od dnia doręczenia niniejszej decyzji, prawo złożenia do Generalnego Inspektora Ochrony Danych Osobowych wniosku
o ponowne rozpatrzenie sprawy (adres: Biuro Generalnego Inspektora Ochrony Danych Osobowych, ul. Stawki 2, 00 – 193 Warszawa).