GI-DEC-DS- 215/05
2007-05-26
Decyzja Generalnego Inspektora Ochrony Danych Osobowych z dnia 27 lipca 2005 r. dotycząca udostępnienia przez Bank, danych osobowych Skarżącego Kancelarii Prawnej.
Warszawa, dnia 27 lipca 2005 r.
DECYZJA
Na podstawie art. 138 § l pkt 1 ustawy z dnia 14 czerwca 1960 r. Kodeks postępowania administracyjnego (Dz. U. 2000 r. Nr 98 poz. 1071 ze zm.) i art. 12 pkt 2, art. 22, w zw. z art. 23 ust. 1 pkt 3 i 5 oraz art. 31 ustawy z dnia 29 sierpnia 1997 r. ustawy o ochronie danych osobowych (Dz. U. z 2002 r. Nr 101, poz. 926 ze zm.), po przeprowadzeniu postępowania administracyjnego w sprawie wniosku Z, o ponowne rozpatrzenie sprawy zakończonej decyzją Generalnego Inspektora Ochrony Danych Osobowych z dnia 11 marca 2005 r. (znak: GI – DEC - DS – 51/05/137/138/139), odmawiającą uwzględnienia jego wniosku w sprawie nielegalności udostępnienia przez Bank, jego danych osobowych jak również danych Pana W, Kancelarii Prawnej,
utrzymuję w mocy zaskarżoną decyzję.
Uzasadnienie
Do Biura Generalnego Inspektora Ochrony Danych Osobowych wpłynęła skarga Pana Z, zwanego dalej również Skarżącym, na udostępnienie przez Bank (zwany dalej Bankiem), Kancelarii Prawnej (zwanej dalej Kancelarią) jego danych osobowych, a także danych osobowych jego ojca Pana W.
W celu ustalenia okoliczności przedmiotowej sprawy Generalny Inspektor Ochrony Danych Osobowych wszczął postępowanie wyjaśniające. Na podstawie zebranego w sprawie materiału dowodowego dokonano następujących ustaleń:
Bank pozyskał dane osobowe Skarżącego z dokumentów, które Skarżący złożył w Spółce A, gdy ubiegał się w 1999 r. o otwarcie konta osobistego i wydanie karty kredytowej (kopia wniosku w aktach sprawy).
Dane osobowe Pana W zostały podane przez Skarżącego w ww. wniosku, jako dane „osoby z którą należy się skontaktować w razie potrzeby”.
Bank informował Skarżącego, jako dłużnika Banku, iż w przypadku uchylania się od spłaty długu, windykacja należności zostanie powierzona kancelarii prawnej. Dowodem są listy wysłane do Skarżącego 2 i 13 sierpnia 2004 r., których fragment brzmi „Niedokonanie powyższej płatności może skutkować wypowiedzeniem umowy linii kredytowej (karty kredytowej) Spółki A (...) sprawa może zostać skierowania do kancelarii prawnej specjalizującej się w dochodzeniu roszczeń finansowych.” (kopia przykładowego listu w aktach sprawy).
Bank zawarł z Kancelarią w dniu 20 lutego 2004 r. umowę o świadczenie usług (kopia umowy w aktach sprawy), w której zlecił Kancelarii dochodzenie zapłaty roszczeń pieniężnych Banku. Zgodnie z postanowieniami tej umowy, Bank jako administrator danych osobowych, na podstawie art. 31 ustawy o ochronie danych osobowych powierza Kancelarii przetwarzanie danych osobowych wyłącznie w zakresie i celu zawartym w ww. umowie i umowach szczegółowych. Na tej podstawie Bank przekazał Kancelarii dane Skarżącego wraz z dokumentacją dotyczącą dochodzenia roszczeń.
W wyniku fuzji Banku i Spółki A w marcu 2001 r., Bank stał się członkiem grupy Spółki A. W związku z powyższym aktualnie Bank jest wierzycielem Skarżącego z tytułu umowy, o której mowa w pkt. 1.
Po przeprowadzeniu postępowania administracyjnego w przedmiotowej sprawie, Generalny Inspektor Ochrony Danych Osobowych w dniu 11 marca 2005 r. wydał decyzję administracyjną (znak: GI-DEC-DS-51/05/137,138,139), w której odmówił uwzględnienia wniosku.
W dniu 15 marca 2005 r., w ustawowym terminie, Skarżący złożył wniosek o ponowne rozpatrzenie sprawy zakończonej ww. decyzją Generalnego Inspektora Ochrony Danych Osobowych. W uzasadnieniu do wniosku Skarżący sformułował szereg pytań, w szczególności: „Czy Bank nie powinien powiadomić mnie jak i mojego Ojca o fakcie przekazywania danych osobowych do zewnętrznej agencji? ". Ponadto Skarżący wskazał, iż „ z prawa bankowego i z ustawy o ochronie danych osobowych -wynika bezwzględny zakaz ujawniania tajemnicy bankowej osobom postronnym ". Jednocześnie, Skarżący w treści wniosku o ponowne rozpatrzenie sprawy wskazał, iż Pan W nie został poinformowany przez Bank o przetwarzaniu przez ten podmiot jego danych osobowych.
W związku z powyższym na wstępie należy wskazać, iż przed wydaniem pierwszej decyzji w przedmiotowej sprawie Skarżący nie wnosił o zbadanie okoliczności przedstawionej we wniosku o ponowne rozpatrzenie sprawy tj. o zbadanie kwestii wypełnienia w stosunku do Pana W obowiązku informacyjnego wynikającego z art. 25 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. 2002 r. Nr 101 póz. 926 ze zm.), zwanej dalej ustawą. Ze zgromadzonego w sprawie materiału dowodowego bezsprzecznie wynikało bowiem, iż przedmiotem skargi jest stwierdzenie nielegalności udostępnienia danych osobowych Skarżącego jak i danych Pana W Kancelarii, jak również nie poinformowanie o powyższym ww. i w tym przedmiocie Generalny Inspektor Ochrony Danych Osobowych wydał ww. decyzję administracyjną o odmowie uwzględnienia wniosku.
W tym miejscu zaznaczyć trzeba, iż celem postępowania odwoławczego jest zbadanie, czy zaskarżone rozstrzygnięcie, wydane w oparciu o zgromadzony materiał dowodowy, jest słuszne i prawidłowe. Dlatego też, poruszone przez Skarżącego, we wniosku o ponowne rozpatrzenie sprawy tj. niewypełnienie przez Bank obowiązku informacyjnego nie może być przedmiotem rozpoznania na obecnym etapie postępowania, bowiem organ administracyjny nie może w trakcie prowadzonego postępowania rozszerzać jego istoty. Pogląd ten potwierdził również w wyroku z 15 września 1995 r. (IV S.A. 368/95) Naczelny Sąd Administracyjny stwierdzając, iż : „Z użytego przez ustawodawcę w art. 138 § 1 KPA sformułowania <<w tym zakresie>> wynika oczywiste ograniczenie dla organu odwoławczego, zasadzające się na tym, że organ odwoławczy nie może orzekać w zakresie innym niż to uczynił przed nim organ pierwszoinstancyjny”. Z powyższego jednoznacznie wynika, iż organ odwoławczy, jakim w przedstawionym stanie faktycznym jest Generalny Inspektor, może orzec tylko i wyłącznie o mocy prawnej zaskarżonej decyzji.
Reasumując, po dokonaniu ponownej analizy materiału dowodowego zgromadzonego w sprawie stwierdzenia nielegalności udostępnienia przez Bank danych osobowych Skarżącego jak i danych Pana W Kancelarii, Generalny Inspektor Ochrony Danych Osobowych podtrzymuje swoje stanowisko wyrażone w decyzji 11 marca 2005 r. (znak: GI-DEC-DS - 51/05/137,138,139).
Należy zatem powtórzyć, iż ustawa o ochronie danych osobowych, określa zasady postępowania przy przetwarzaniu danych osobowych oraz prawa osób fizycznych, których dane są lub mogą być przetwarzane w zbiorach danych osobowych, jak stanowi art. 2 ust. l ustawy. Przesłanki przetwarzania (m. in. udostępniania) danych osobowych zostały enumeratywnie wymienione w art. 23 ust. l ustawy. Dopuszczalność przetwarzania (m. in. udostępniania) danych osobowych jest więc uwarunkowana zaistnieniem co najmniej jednej z przesłanek wymienionych w tym przepisie, które co do zasady są równoprawne. Obok i niezależnie od zgody osoby, której dane dotyczą (pkt l) przetwarzanie danych osobowych jest możliwe m.in., gdy jest to konieczne do realizacji umowy, gdy osoba, której dane dotyczą, jest jej stroną lub gdy jest to niezbędne do podjęcia działań przed zawarciem umowy na żądanie osoby, której dane dotyczą (pkt 3). Jednocześnie, art. 23 ust. l pkt 5 ustawy stanowi, iż przetwarzanie danych osobowych jest dopuszczalne, jeżeli jest to niezbędne do wypełnienia prawnie usprawiedliwionych celów realizowanych przez administratorów danych albo odbiorców danych, a przetwarzanie nie narusza praw i wolności osoby, której dane dotyczą. Za prawnie usprawiedliwiony cel, o którym mowa w art. 23 ust. l pkt 5 ustawy, uważa się m.in. dochodzenie roszczeń z tytułu prowadzonej działalności gospodarczej (art. 23 ust. 4 pkt 2 ustawy). Zgoda osoby, której dane dotyczą, o której mowa w art. 23 ust. l pkt l ustawy, nie jest więc jedyną i wyłączną przesłanką przetwarzania danych osobowych osoby, której dane dotyczą
Jednocześnie, zgodnie z art. 31 ust. l ustawy, administrator danych może powierzyć innemu podmiotowi, w drodze umowy zawartej na piśmie, przetwarzanie danych. Stosownie do ust. 2 przytoczonego powyżej przepisu, podmiot, o którym mowa w ust. l, może przetwarzać dane wyłącznie w zakresie i celu przewidzianym w umowie. Powierzenie danych osobowych przez administratora na podstawie stosownej umowy nie wymaga uzyskania odrębnej zgody od osoby, której dane dotyczą. Stwierdzenie konieczności zawarcia umowy powierzenia, a co za tym idzie związanego z nią udostępnienia danych osobowych, należy do wyłącznej kompetencji administratora danych. To administrator danych stosownie do art. 7 pkt 4 decyduje o celach i środkach przetwarzania danych osobowych zawartych w jego zbiorze. Zatem dla wykonania określonych czynności administrator danych, korzystając z uprawnień przyznanych mu w ustawie o ochronie danych osobowych, może wyznaczyć do ich zrealizowania wyspecjalizowany w danej dziedzinie podmiot. W przedstawionym stanie faktycznym Bank w celu przeprowadzenia czynności windykacyjnych zawarł stosowną umowę zlecenia z Kancelarią. Ww. umowa zlecenia stanowi umowę powierzenia w rozumieniu art. 31 ustawy. Uchwalając art. 31 ustawy o ochronie danych osobowych ustawodawca wyszedł z założenia, iż uzależnianie powierzenia danych osobowych od każdorazowej zgody osoby, której dane dotyczą mogłoby spowodować sytuację, w której administrator danych jako przedsiębiorca działający w obrocie handlowym, nie mógłby korzystać w pełni z przyznanej mu przepisami prawa swobody działalności gospodarczej. Odnosząc powyższe do działalności bankowej należy uznać, iż brak zgody dłużnika sprawiłby, iż dochodzenie wierzytelności przez bank poprzez firmy windykacyjne byłoby niemożliwe.
Z materiału dowodowego oraz okoliczności przedmiotowej sprawy bezsprzecznie wynika, iż Bank, jako strona umowy o otwarcie konta osobistego Skarżącego jest administratorem tych danych i jako taki decyduje o celach i środkach przetwarzania danych osobowych zawartych w jego zbiorze, w tym o celu sposobie przetwarzania danych Skarżącego. Nie oznacza to jednak, iż Bank może dokonywać wszelkich czynności na zbiorze danych, którym administruje. Bank może przetwarzać te dane jedynie w celu dla jakiego zostały pozyskane. W niniejszej sprawie Bank przetwarza dane Skarżącego jako klienta Banku, co znajduje umocowanie w art. 23 ust. l pkt 3 ustawy tj. w celu realizacji ww. umowy, a zatem i związanych z nią czynności bankowych.
Kwestie obrotu bankowego reguluje ustawa szczególna w stosunku do ustawy o ochronie danych osobowych tj. ustawa z dnia 29 sierpnia 1997 r. Prawo bankowe (Dz.U. z 2002 r. Nr 72, poz.665). Stosownie do art. 104 ust. 2 pkt 2 tej ustawy obowiązek dochowania tajemnicy bankowej nie dotyczy przypadków, w których następuje ujawnienie informacji objętych tajemnica bankowa przedsiębiorcom lub przedsiębiorcom zagranicznym, którym bank, zgodnie z art. 6a-6d, powierzył wykonywanie, stale lub okresowo, czynności związanych z wykonywaniem działalności bankowej, w zakresie niezbędnym do należytego wykonywania tych czynności. W związku z powyższym w żaden sposób nie można się zgodzić z tezą, zawartą we wniosku o ponowne rozpatrzenie sprawy, stanowiącą, iż „z prawa bankowego i z ustawy o ochronie danych osobowych wynika bezwzględny zakaz ujawniania tajemnicy bankowej osobom postronnym ".
Reasumując, Bank na podstawie umowy o obsługę wierzytelności z dnia 20 lutego 2004 r. zawartej z Kancelarią powierzył ww. dane osobowe Skarżącego wraz z niezbędną dokumentacją dotyczącą roszczeń należnych Bankowi od Skarżącego. Działanie powyższe znajduje umocowanie w usprawiedliwionym celu administratora danych, o którym stanowi art. 23 ust. l pkt 5 ustawy. Umowa o powierzeniu zawarta między Bankiem a Kancelarią wypełnia przesłanki zawarte w art. 31 ust. l ustawy. Podkreślenia zatem wymaga, iż działanie Banku polegające na dochodzeniu swoich wierzytelności poprzez firmę windykacyjną na podstawie stosownej umowy powierzenia znajduje oparcie w postanowieniach nie tylko ustawy o ochronie danych osobowych ale również w postanowieniach cytowanego powyżej Prawa bankowego. Ponownie należy zaznaczyć, iż w świetle postanowień ustawy o ochrony danych osobowych - art. 31 ust. l ustawy, administrator danych nie ma obowiązku powiadamiania osoby, której dane dotyczą o powierzeniu jego danych, a co za tym idzie nie musi on uzyskiwać od takie osoby odrębnej zgody na ww. powierzenie. Dla oceny legalności procesu przetwarzania danych poprzez powierzenie istotnym jest, czy takie powierzenie odbyło się zgodnie z zakresem oraz celem określonym w zawartej, pomiędzy podmiotem powierzającym a podmiotem, który ma przetwarzać dane osobowe, umowie.
Jednocześnie, po raz kolejny wskazać należy, iż Bank nie udostępnił Kancelarii danych osobowych Pana W zawartych w rubryce „dane osoby z którą należy się skontaktować w razie potrzeby", co potwierdziła w swych wyjaśnieniach Kancelaria, wskazując jednocześnie, iż ww. dane pozyskała z ogólnie dostępnych źródeł informacji. W rezultacie, Kancelaria miała prawo, działając w imieniu i na rzecz Banku, pozyskiwać informacje niezbędne do przeprowadzenia procedury windykacyjnej, którą realizowała, m.in. wobec Skarżącego, w ramach umowy powierzenia zawartej z ww. Bankiem.
Odnotowania wymaga, iż poprzez udostępnienie przez Bank danych osobowych Skarżącego Kancelarii na podstawie ww. umowy powierzenia przetwarzania danych, nie doszło do cesji wierzytelności tj. zmiany administratora danych, którym nadal pozostaje Bank, zaś Kancelaria w oparciu o art. 31 ust. l ustawy. Zgodnie, bowiem z przepisami prawa cywilnego cesja jest to przelew wierzytelności, który prowadzi do zmiany wierzyciela, co łączy się z przeniesieniem na nabywcę wierzytelności wszelkich praw i obowiązków wynikających z zadłużenia, jak również wynikających ze zmiany administratora danych osobowych dłużnika, co jednak nie miało miejsca w przedstawionym stanie faktycznym.
Odnosząc się do zażalenia złożonego przez Skarżącego dotyczącego postanowienia Generalnego Inspektora Ochrony Danych Osobowych z dnia 20 maja 2005 r. w przedmiocie odmowy uwzględnienia wniosku z dnia 27 kwietnia 2005 r. (GI - DS - 430/802/04/2836/05) o zwolnienie z opłat i kosztów postępowania ze względu na status osoby bezrobotnej zaznaczyć trzeba, iż stosownie do art. 267 ustawy z dnia 14 czerwca 1960 r. Kodeks postępowania administracyjnego (Dz.U. z 2000 r. Nr 98 póz. 1071), zwanej dalej kpa, w razie niewątpliwej niemożności poniesienia przez stronę opłat, kosztów i należności związanych z tokiem postępowania organ administracji publicznej może ją zwolnić w całości lub w części od ponoszenia tych opłat, kosztów i należności. Zwolnienie od opłat skarbowych następuje z zachowaniem przepisów o tych opłatach. Powyższe zwolnienie następuje w oparciu o przepisy ustawy z dnia 9 września 2000 r. o opłacie skarbowej (Dz.U. z 2004 r. Nr 253 póz 2532 ze zm.). W myśl art. 2 ust. l pkt 6 tej ustawy, nie podlegają opłacie skarbowej: podania i załączniki do podań wnoszone przez osoby, które stan ubóstwa udokumentują organowi mającemu rozpatrzyć podanie, czynności urzędowe dokonywane na wniosek tych osób, a także wydawane im zaświadczenia. Mając powyższe na względzie, Generalny Inspektor Ochrony Danych Osobowych podtrzymuje stanowisko wyrażone w ww. postanowieniu z dnia 20 maja 2005 r. o odmowie zwolnienia z opłat i kosztów postępowania uznając iż Skarżący nie udokumentował w sposób wystarczający faktycznego braku możliwości finansowych do wniesienia stosownej opłaty w związku ze złożeniem wniosku o ponowne rozpatrzenie sprawy. Należy podkreślić, iż zgodnie z postanowieniami ww. art. 267 kpa to organ, działając na zasadzie uznania administracyjnego, orzeka o zwolnieniu bądź nie osoby wnioskującej z opłat i kosztów postępowania.
Konkludując, okoliczności przedstawione przez Skarżącego we wniosku o ponowne rozpatrzenie sprawy dotyczące zarzutu nielegalności udostępnienia przez Bank danych osobowych Skarżącego jak i danych Pana W, w żaden sposób nie podważają zasadności wydania przez Generalnego Inspektora Ochrony Danych Osobowych decyzji administracyjnej z dnia 11 marca 2005 r. (GI-DEC-DS-51/05/137,138,139), ani też rozstrzygnięcia, jakie w niej zapadło.
W tym stanie faktycznym i prawnym Generalny Inspektor Ochrony Danych Osobowych rozstrzygnął, jak w sentencji.
Decyzja jest ostateczna. Na podstawie art. 21 ust. 2 ustawy o ochronie danych osobowych w związku z art. 13 § l, art. 53 § l i art. 54 § l ustawy z dnia 30 sierpnia 2002 r. Prawo o postępowaniu przed sądami administracyjnymi (Dz. U. Nr 153, póz. 1270), od niniejszej decyzji stronie przysługuje prawo wniesienia skargi do Wojewódzkiego Sądu Administracyjnego w Warszawie, w terminie 30 dni od dnia doręczenia niniejszej decyzji, za pośrednictwem Generalnego Inspektora Ochrony Danych Osobowych (adres: Biuro Generalnego Inspektora Ochrony Danych Osobowych, ul. Stawki 2, 00-193 Warszawa).
