GI-DEC-DS-33/06
2007-05-03
Decyzja Generalnego Inspektora Ochrony Danych Osobowych z dnia 31 stycznia 2006 r. odmawiająca uwzględnienia wniosku, o nakazanie usunięcia danych osobowych Pana X, ze zbioru o nazwie „System Międzybankowej Informacji Gospodarczej - Bankowy Rejestr”, prowadzonego przez Związek Banków Polskich. W trakcie prowadzonego postępowania administracyjnego Generalny Inspektor ustalił, że Pan X, był członkiem zarządu postawionej w stan upadłości spółki z o.o. , którą to Spółkę Bank umieścił w Bankowym Rejestrze z powodu niespłacenia wobec Banku zobowiązania z tytułu kredytu płatniczego, a tym samym - ponieważ Pan X pełnił funkcję Prezesa Zarządu tej Spółki - w rejestrze umieszczone zostały również jego dane osobowe. Do Bankowego Rejestru przekazane zostały: nazwa i adres firmy, regon oraz nazwiska i imiona reprezentantów, którzy w dniu ogłoszenia upadłości spółki pełnili te funkcje, i którzy, działając w imieniu firmy, dokonali czynności powodujących zaciągnięcie zobowiązania wobec Banku. Powodem przekazania wyżej wymienionych danych był niespłacony kredyt, zaciągnięty w imieniu firmy przez jej reprezentantów, między innymi przez Pana X.
Warszawa, dnia 31 stycznia 2006 r.
DECYZJA
Na podstawie art. 104 § 1 ustawy z dnia 14 czerwca 1960 r. Kodeks postępowania administracyjnego (Dz. U. z 2000 r. Nr 98, poz. 1071 z późn. zm.) oraz art. 12 pkt 2, art. 22 w związku z art. 23 ust. 1 pkt 2 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. z 2002 r. Nr 101, poz. 926 z późn. zm.) i art. 105 ust. 4 ustawy z dnia 29 sierpnia 1997 r. Prawo bankowe (Dz. U. 2002 r. Nr 72 poz. 665 z późn. zm.), po przeprowadzeniu postępowania administracyjnego w sprawie wniosku Pana X, reprezentowanego przez Pana A oraz Pana B,Kancelaria Radców Prawnych (..), o nakazanie Bankowi (...), usunięcia danych osobowych Pana X ze zbioru o nazwie „System Międzybankowej Informacji Gospodarczej - Bankowy Rejestr”, prowadzonego przez Związek Banków Polskich, z siedzibą w Warszawie (...),
odmawiam uwzględnienia wniosku.
Uzasadnienie
Do Biura Generalnego Inspektora Ochrony Danych Osobowych (zwanego dalej również Generalnym Inspektorem) wpłynęła skarga Pana X, zam. (...) (zwanego dalej również Skarżącym) z dnia 16 sierpnia 2005 r., reprezentowanego przez Pana A oraz Pana B, Kancelaria Radców Prawnych (...), w której wniesiono o nakazanie Bankowi (...)(zwanemu dalej Bankiem), usunięcia danych osobowych Skarżącego ze zbioru o nazwie „System Międzybankowej Informacji Gospodarczej - Bankowy Rejestr” (zwanego dalej Bankowym Rejestrem), prowadzonego przez Związek Banków Polskich, z siedzibą w Warszawie (...) (zwany dalej ZBP).
W uzasadnieniu skargi wskazano w szczególności:
1. „X (...) w okresie od 1998 r. do 2003 r. był członkiem zarządu Spółki MN z o.o.. W okresie tym firma ta była klientem Banku (...). W dniu 23 stycznia 2003 r. Spółka MN z o.o. została postawiona w stan upadłości. W wyniku powyższego w dniu 26 maja 2003 r. (...) Bank umieścił spółkę MN z o.o. w Bankowym Rejestrze (...) z powodu niespłacenia wobec Banku zobowiązania z tytułu kredytu płatniczego. W dniu składania przez Bank powyższego wniosku Skarżący pełnił funkcję Prezesa Zarządu Spółki MN z o.o.. W rejestrze powyższym umieszczone zostały również dane osobowe Skarżącego”.
2. „Udostępnienie danych osobowych (...) może być uznane za zgodne z prawem jedynie w sytuacji gdy administrator danych wykaże spełnienie co najmniej jednej z przesłanek zawartych w art. 23 ust. 1-5 ustawy (...). Mając na uwadze treść przywołanego przepisu wskazać należy, iż: 1) Skarżący nie wyraził zgody na udostępnienie jego danych, 2) umieszczenie danych Skarżącego nie było konieczne dla zrealizowania uprawnienia lub spełnienia wymagania wynikającego z przepisu prawa, gdyż Regulamin Wymiany Informacji MIG-Bankowy Rejestr, na który powołuje się Bank, nie jest przepisem prawa w rozumieniu ustawy o ochronie danych osobowych, 3) umieszczenie danych Skarżącego nie było konieczne do realizacji umowy, gdyż Skarżący jako osoba fizyczna nie był i nie jest stroną umowy kredytu zawartej pomiędzy Bankiem a Spółką, którą reprezentował jako członek zarządu, 4) umieszczenie danych Skarżącego oczywiście nie było niezbędne do wykonania określonych prawem zadań realizowanych dla dobra publicznego, 5) umieszczenie danych Skarżącego nie było niezbędne dla wypełnienia prawnie usprawiedliwionych celów realizowanych przez Bank (w szczególności roszczeń z tytułu prowadzonej działalności gospodarczej (...)) gdyż Skarżący jako członek organu osoby prawnej nie był ani nie jest stroną umowy kredytu z Bankiem, zatem Bank nie legitymuje się jakimkolwiek roszczeniem uznanym za prawnie usprawiedliwiony cel w rozumieniu ustawy o ochronie danych osobowych”.
3. „(...) podstawą przekazania danych osobowych Skarżącego w zakresie jego imienia i nazwiska nie mogą być przepisy (...) art. 105 ust. 1 pkt 1 i art. 105 ust. 4 Prawo bankowe (...). Wskazać tu należy, iż w przedmiotowej sprawie przekazanie danych Skarżącego do Bankowego Rejestru prowadzonego przez ZBP nie odbyło się na zasadzie wzajemności ani wobec innego banku i instytucji kredytowej czy innej instytucji upoważnionej do udzielania kredytów (art. 105 ust. 1 pkt 1 i 1a Prawa bankowego). Ponadto ZBP jako izba gospodarcza w rozumieniu przepisów ustawy z dnia 30 maja 1989 r. o izbach gospodarczych nie jest samodzielną instytucją, której przedmiot działania ograniczony jest wyłącznie do gromadzenia, przetwarzania i udostępniania bankom informacji stanowiących tajemnicę bankowym, w zakresie w jakim informacje te są potrzebne w związku z wykonywaniem czynności bankowych”.
W wyjaśnieniach złożonych w toku postępowania wyjaśniającego ZBP wskazał w szczególności: „(...) Zakres informacji dotyczący Spółki MN z o.o. nie zawiera żadnych danych umożliwiających identyfikację osoby fizycznej, oprócz (...) imion i nazwiska (...). Spółki kapitałowe, które posiadają osobowość prawną są reprezentowane w obrocie gospodarczym przez swój organ zarządzający, zgodnie z ustalonymi zasadami reprezentacji. Jeśli więc osoba pełniąca funkcję członka zarządu, jako uprawniona, podpisała w imieniu spółki z umowę z bankiem (art. 23 ust. 1 ustawy o ochronie danych osobowych), było to wystarczającą przesłanką legalizującą przetwarzania danych w postaci imienia i nazwiska tej osoby (...). W związku z zarzutem, iż ZBP nie jest instytucją, o której mowa w art. 105 ust. 4 Prawa bankowego, podnieść należy, że przepis ten nie określa formy prawnej instytucji, ani nie stanowi, że ma ona być jednostką samodzielną. Ograniczeń takich nie zawiera również ustawa z dnia 30 maja 1989 r. o izbach gospodarczych”.
Bank poinformował natomiast m.in.: „Przekazane dane nie dotyczyły osoby fizycznej – X, zamieszkałego (...) lecz reprezentanta firmy Spółki MN z o.o.jej prezesa i dyrektora generalnego jednocześnie. Do Bankowego Rejestru przekazane zostały: nazwa i adres firmy, regon oraz nazwiska i imiona reprezentantów którzy w dniu ogłoszenia upadłości firmy Spółki MN z o.o. pełnili te funkcje i którzy, działając w imieniu firmy, dokonali czynności powodujących zaciągnięcie zobowiązania wobec Banku. Osoby te funkcje reprezentantów firmy pełnią nadal (...). Powodem przekazania wyżej wymienionych danych był niespłacony do dzisiaj kredyt, zaciągnięty w imieniu firmy przez jej reprezentantów, między innymi przez Skarżącego (...)”. Do wyjaśnień Banku załączono odpis z Rejestru przedsiębiorców (z Krajowego Rejestru Sądowego) – stan na dzień 27 października 2005 r., w którym Pan X ujawniony jest jako Prezes zarządu Spółki.
Po zapoznaniu się z całością zgromadzonego w sprawie materiału dowodowego, Generalny Inspektor Ochrony Danych Osobowych zważył, co następuje:
Ustawa z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. z 2002 r. Nr 101, poz. 926 z późn. zm.), zwana dalej ustawą o ochronie danych osobowych, określa zasady postępowania przy przetwarzaniu danych osobowych oraz prawa osób fizycznych, których dane osobowe są lub mogą być przetwarzane w zbiorach danych (art. 2 ust. 1). Za dane osobowe uważa się wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej; osobą możliwą do zidentyfikowania jest osoba, której tożsamość można określić bezpośrednio lub pośrednio, w szczególności przez powołanie się na numer identyfikacyjny albo jeden lub kilka specyficznych czynników określających jej cechy fizyczne, fizjologiczne, umysłowe, ekonomiczne, kulturowe lub społeczne; informacji nie uważa się za umożliwiającą określenie tożsamości osoby, jeżeli wymagałoby to nadmiernych kosztów, czasu lub działań (art. 6 ustawy o ochronie danych osobowych). Mając na względzie powyższe, stwierdzić należy, iż w niniejszej sprawie przetwarzaniu podlegają dane osobowe Pana X. Imiona i nazwisko Skarżącego przetwarzane przez ZBP występują bowiem w połączeniu z nazwą i adresem siedziby Spółki MN z o.o., co - ze względu na zakres informacji zawartych w rejestrze przedsiębiorców Krajowego Rejestru Sądowego odnośnie tej Spółki (m.in. imiona i nazwisko oraz numer PESEL Skarżącego, jako Prezesa jej zarządu) – pozwala bezbłędnie i bez nadmiernych kosztów, czasu lub działań ustalić tożsamość Skarżącego przez podmioty korzystające z Bankowego Rejestru.
Administratorem przedmiotowych danych jest Bank, który decyduje o celach i środkach przetwarzania danych osobowych Skarżącego, w konsekwencji czego, to na Banku spoczywa obowiązek zgodnego z prawem przetwarzania tych danych, w tym decydowania w jakich sytuacjach i jakim podmiotom dane te mogą być udostępnione.
Przetwarzanie danych osobowych może być uznane za zgodne z prawem jedynie wówczas, gdy administrator danych wykaże się co najmniej jedną z materialnych przesłanek przetwarzania danych osobowych, określonych w art. 23 ust. 1 pkt 1-5 ustawy o ochronie danych osobowych. Zgodnie z powołanym przepisem ustawy, przetwarzanie danych jest dopuszczalne tylko wtedy, gdy: 1) osoba, której dane dotyczą, wyrazi na to zgodę, chyba że chodzi o usunięcie dotyczących jej danych, 2) jest to niezbędne dla zrealizowania uprawnienia lub spełnienia obowiązku wynikającego z przepisu prawa, 3) jest to konieczne do realizacji umowy, gdy osoba, której dane dotyczą, jest jej stroną lub gdy jest to niezbędne do podjęcia działań przed zawarciem umowy na żądanie osoby, której dane dotyczą, 4) jest niezbędne do wykonania określonych prawem zadań realizowanych dla dobra publicznego, 5) jest to niezbędne dla wypełnienia prawnie usprawiedliwionych celów realizowanych przez administratorów danych albo odbiorców danych, a przetwarzanie nie narusza praw i wolności osoby, której dane dotyczą. Za prawnie usprawiedliwiony cel, zgodnie z art. 23 ust. 4 ustawy o ochronie danych osobowych, uważa się natomiast marketing bezpośredni własnych produktów lub usług administratora danych oraz dochodzenie roszczeń z tytułu prowadzonej działalności gospodarczej.
W ocenie Generalnego Inspektora podstawą prawną przetwarzania danych osobowych Skarżącego w Bankowym Rejestrze jest ww. przesłanka z art. 23 ust. 1 pkt 2 ustawy o ochronie danych osobowych w związku z przepisem art. 105 ust. 4 ustawy z dnia 29 sierpnia 1997 r. Prawo bankowe (Dz. U. 2002 r. Nr 72 poz. 665 z późn. zm.). Stosownie bowiem do przepisu art. 105 ust. 4 Prawa bankowego, banki mogą, wspólnie z bankowymi izbami gospodarczymi, utworzyć instytucje do gromadzenia, przetwarzania i udostępniania: 1) bankom - informacji stanowiących tajemnicę bankową w zakresie, w jakim informacje te są potrzebne w związku z wykonywaniem czynności bankowych, 2) innym instytucjom ustawowo upoważnionym do udzielania kredytów - informacji o wierzytelnościach oraz o obrotach i stanach rachunków bankowych w zakresie, w jakim informacje te są niezbędne w związku z udzielaniem kredytów, pożyczek pieniężnych, gwarancji bankowych i poręczeń.
Nie może budzić wątpliwości, iż dane osobowe Skarżącego przekazane przez Bank do ZBP to informacja, w posiadanie której Bank wszedł w związku z zawarciem umowy kredytowej ze Spółką MN z o.o. i jako taka jest ona objęta tajemnicą bankową. Jak wynika ze złożonych przez strony wyjaśnień oraz przesłanych przez nie dokumentów, Pan X był członkiem zarządu ww. Spółki w okresie od 1998 r. do 2003 r. W jej imieniu zawarł również z Bankiem „Umowę o Kredyt Płatniczy w Walucie Obcej” z dnia 1 marca 2002 r. W dniu 23 stycznia 2003 r. Spółka MN z o.o. została postawiona w stan upadłości, w związku z czym, wobec niespłacenia zobowiązania z tytułu ww. kredytu - w dniu 26 maja 2003 r. - Bank „umieścił” ją w Bankowym Rejestrze. Do Bankowego Rejestru przekazano zarazem dane osobowe Skarżącego, jako „informacje dotyczące czynności bankowej, uzyskane w czasie negocjacji, w trakcie zawierania i realizacji umowy, na podstawie której bank tę czynność wykonuje”, jak wskazał sam Bank. W ocenie Generalnego Inspektora należy przychylić się do stanowiska wyrażonego przez ZBP, iż „spółki kapitałowe, które posiadają osobowość prawną są reprezentowane w obrocie gospodarczym przez swój organ zarządzający, zgodnie z ustalonymi zasadami reprezentacji. Jeśli więc osoba pełniąca funkcję członka zarządu, jako uprawniona, podpisała w imieniu spółki z umowę z bankiem (...), było to wystarczającą przesłanką legalizującą przetwarzania danych w postaci imienia i nazwiska tej osoby”.
W skardze, w kontekście braku przesłanki z art. 23 ust. 1 pkt 5 ustawy o ochronie danych osobowych przy przetwarzania danych Pana X, podkreślono, że „Skarżący jako członek organu osoby prawnej nie był ani nie jest stroną umową kredytu z Bankiem, zatem bank nie legitymuje się jakimkolwiek roszczeniem uznanym za prawnie usprawiedliwiony cel w rozumieniu ustawy o ochronie danych osobowych”. Mając na względzie fakt, iż podstawą prawną przetwarzania przedmiotowych danych w Bankowym Rejestrze jest przesłanka z art. 23 ust. 1 pkt 2 ustawy o ochronie danych osobowych, a nie przesłanka z art. 23 ust. 1 pkt 5 tej ustawy, zauważyć wyłącznie należy, iż fakt, że Skarżący nie jest stroną umowy zawartej z Bankiem nie wyklucza sytuacji, w której Bank będzie miał wobec niego roszczenie z tej umowy. Wierzytelność wynikająca ze wskazanej powyżej umowy kredytowej nadal istnieje, a Bank może (ma prawo) podejmować działania zmierzające do zaspokojenia swoich roszczeń. Co istotne, w ustawie z dnia 15 września 2000 r. Kodeks spółek handlowych (Dz. U. Nr 94, poz. 1037 z późn. zm.) przewidziano instytucję odpowiedzialności członków zarządu spółki z ograniczoną odpowiedzialnością za jej zobowiązania, w przypadku gdy egzekucja prowadzona z majątku spółki okazała się bezskuteczna (art. 299 § 1). O ile więc nie zaistnieją przesłanki zwalniające członka zarządu danej spółki od odpowiedzialności (art. 299 § 2 ksh) będzie on odpowiadał za jej zobowiązania.
Reasumując, stwierdzić należy, że stosownie do ww. przepisu art. 105 ust. 4 Prawa bankowego, w związku z art. 299 ksh, dane osobowe Skarżącego, jako informacje stanowiące tajemnicę bankową, mogą być przetwarzane w Bankowym Rejestrze do czasu zaspokojenia
Banku (wierzyciela) w ramach postępowania upadłościowego prowadzonego w stosunku do Spółki z o.o.
W tym stanie faktycznym i prawnym Generalny Inspektor Ochrony Danych Osobowych rozstrzygnął, jak w sentencji.
