GI-DEC-DS-329/05
2007-05-26
Decyzja Generalnego Inspektora Ochrony Danych Osobowych z dnia 5 października 2005 r. dotycząca przetwarzania danych osobowych Skarżącego przez Bank w związku z przelewem wierzytelności.
Warszawa, dnia 5 października 2005 r.
DECYZJA
Na podstawie art. 138 § 1 pkt 2 ustawy z dnia 14 czerwca 1960 r. Kodeks postępowania administracyjnego (Dz. U. z 2000 r. Nr 98, poz. 1071 z późn. zm.) oraz art. 12 pkt 2, art. 22 i art. 23 ust. 1 pkt 2 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. z 2002 r. Nr 101, poz. 926 z późn. zm.) i w zw. z art. 104 ust. 2 pkt 4 ustawy z dnia 29 sierpnia 1997 r. Prawo bankowe (Dz. U. z 2002 r. Nr 72, poz. 665 z późn. zm.), po przeprowadzeniu postępowania administracyjnego w sprawie wniosków Sp. z o.o.1, (...) oraz Bank S.A. 2, z siedzibą (...) o ponowne rozpatrzenie sprawy dotyczącej legalności udostępnienia Sp. z o.o. 1 przez Bank S.A. 2 danych osobowych Pana A.B., zam. w (...), zakończonej decyzją Generalnego Inspektora Ochrony Danych Osobowych z dnia 16 maja 2005 r. (znak: GI-DEC-DS-103/05/293,294,295), nakazującą: 1) Bank S.A. 2, z siedzibą (...), nieudostępnianie danych osobowych Pana A.B., zam. (...), w związku z przelewem wierzytelności, bez spełnienia przesłanek określonych w art. 104 ust. 2 ustawy z dnia 29 sierpnia 1997 r. Prawo bankowe (Dz. U. z 2002 r. Nr 72, poz. 665 z późn. zm.), 2) Sp. z o.o. 1, z siedzibą (...), usunięcie – ze zbiorów danych osobowych dłużników - danych osobowych Pana A.B., pozyskanych bez podstawy prawnej od Bank S.A. 2, z siedzibą (...).
1) uchylam w całości zaskarżoną decyzję z dnia 16 maja 2005 r. (znak: GI-DEC-DS-103/05/293,294,295),
2) odmawiam uwzględnienia wniosku Pana A.B.
Uzasadnienie
Do Biura Generalnego Inspektora Ochrony Danych Osobowych wpłynęła skarga Pana A.B., zwanego dalej również Skarżącym, który zwrócił się o podjęcie stosownych działań w związku z udostępnieniem przez Bank S.A. 2, z siedzibą (...), zwany dalej Bankiem, jego danych osobowych Sp. z o.o. 1, z siedzibą (...), zwanej dalej Spółką.
W toku postępowania administracyjnego przeprowadzonego w niniejszej sprawie, Generalny Inspektor Ochrony Danych Osobowych ustalił następujące okoliczności faktyczne:
1. W dniu 30 lipca 1997 r. Pan A.B., jako osoba fizyczna, zawarł z Bankiem 3 S.A., Filia, umowę o kredyt na zakup pojazdów samochodowych nr 0620320004. Poręczycielem spłaty tego kredytu został Bank S.A. 2, który wobec braku spłaty ze strony Skarżącego uiścił należność z tytułu ww. kredytu na rzecz Banku 3 S.A. i stał się wierzycielem Skarżącego z tytułu spełnionego świadczenia.
2. Uchwałą nr 1/50/2000 z dnia 7 grudnia 2000r. Zarząd Bank S.A. 2 wniósł do Sp. z o.o. 1 tytułem aportu grupę przysługujących Bankowi wierzytelności (w tym wierzytelność wobec Skarżącego), udostępniając jednocześnie dane osobowe swoich dłużników. Jak wynika z wyjaśnień Banku, „o fakcie wniesienia wierzytelności do Sp. z o.o. 1 strony transakcji powiadomiły wszystkich dłużników tych wierzytelności drogą mailingu”. Skarżącego poinformowano o przeniesieniu wierzytelności w piśmie z dnia 14 marca 2001 r. W ocenie obu ww. podmiotów przeniesienie wierzytelności nie wymagało zgody dłużnika.
3. Bank jako podstawę udostępnienia danych osobowych Skarżącego wskazał art. 509 Kodeksu cywilnego, art. 5 ustawy z dnia 29 sierpnia 1997 r. Prawo bankowe (Dz. U. z 2002 r., Nr 72, poz. 665 z późn. zm.) oraz przepisy ustawy z dnia 3 lutego 1993 r. o restrukturyzacji finansowej przedsiębiorstw i banków oraz zmianie niektórych ustaw (Dz. U. Nr 18, poz. 82 z późn. zm.).
Wobec powyższych ustaleń faktycznych Generalny Inspektor, decyzją z dnia 16 maja 2005 r. (znak: GI-DEC-DS-103/05/293,294,295), nakazał: 1) Bank S.A. 2, z siedzibą (...) nieudostępnianie danych osobowych Pana A.B., w związku z przelewem wierzytelności, bez spełnienia przesłanek określonych w art. 104 ust. 2 ustawy z dnia 29 sierpnia 1997 r. Prawo bankowe (Dz. U. z 2002 r. Nr 72, poz. 665 z późn. zm.), 2) Sp. z o.o. 1, z siedzibą (...) usunięcie – ze zbiorów danych osobowych dłużników - danych osobowych Pana A.B. pozyskanych bez podstawy prawnej od Bank S.A. 2, z siedzibą (...).
W ustawowym terminie do Biura GIODO wpłynęły wnioski Spółki oraz Banku o ponowne rozpatrzenie sprawy zakończonej wydaniem przez Generalnego Inspektora powyższej decyzji. W złożonych wnioskach ww. podmioty, wnosząc o uchylenie w całości decyzji z dnia 16 maja 2005 r., zarzuciły jej naruszenie przepisów ustawy o ochronie danych osobowych, przepisów procedury administracyjnej oraz błędną interpretację Prawa bankowego.
Jednocześnie, Spółka wskazała w uzasadnieniu swojego wniosku, iż „kredyt zaciągnięty przez Skarżącego stał się tzw. kredytem trudnym w Banku, (...) ten status kredytu spowodował, iż Bank wytypował go do przekazania do Spółki z o.o.1.”
Powyższe potwierdził Bank, który w toku postępowania podjętego przez Generalnego Inspektora Ochrony Danych Osobowych na skutek złożenia wniosków o ponowne rozpatrzenie sprawy, w piśmie z dnia 30 sierpnia 2005 r. oświadczył, iż w dniu przekazania wierzytelności Banku wobec Skarżącego były one zaklasyfikowane do kategorii wierzytelności straconych w rozumieniu rozporządzenia Ministra Finansów z dnia 10 grudnia 2003 r. w sprawie zasad tworzenia rezerw na ryzyko związane z działalnością banków (Dz. U. Nr 218, poz. 2147), bowiem opóźnienie w ich spłacie przekraczało 6 miesięcy.
Ponadto, w piśmie z dnia 4 sierpnia 2005 r. Prezes Związku Banków Polskich wyraził stanowisko, iż stosownie do art. 104 ust. 2 pkt 5 Prawa bankowego, obowiązek zachowania tajemnicy bankowej nie dotyczy przypadku, gdy udzielenie informacji objętych tajemnicą bankową jest niezbędne do zawarcia i wykonywania umów sprzedaży wierzytelności zaklasyfikowanych zgodnie z odrębnymi przepisami do kategorii straconych.
Po zapoznaniu się z całością zgromadzonego w sprawie materiału dowodowego, Generalny Inspektor Ochrony Danych Osobowych zważył, co następuje:
Ustawa z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. z 2002 r. Nr 101, poz. 926 z późn. zm) określa zasady postępowania przy przetwarzaniu danych osobowych oraz prawa osób fizycznych, których dane są lub mogą być przetwarzane w zbiorach danych (art. 2 ust. 1 ustawy). Przetwarzanie danych osobowych jest zgodne z prawem jedynie wówczas, gdy administrator danych legitymuje się posiadaniem co najmniej jednej, spośród wymienionych w art. 23 ust. 1 ustawy, materialnych przesłanek dopuszczalności przetwarzania. Wskazane tam przesłanki należy traktować rozłącznie, tzn. w przypadku zaistnienia jednej z nich, zbędne jest wykazywanie posiadania pozostałych. W związku z powyższym oświadczenie zgody osoby, której dane dotyczą nie jest wyłączną przesłanką przetwarzania jej danych osobowych. Stosownie do treści art. 23 ust. 1 pkt. 2 ustawy o ochronie danych osobowych, przetwarzanie danych jest dopuszczalne, gdy jest to niezbędne do zrealizowania uprawnienia lub spełnienia obowiązku wynikającego z przepisu prawa. Stosownie do art. 104 ust. 1 Prawa bankowego, bank, osoby w nim zatrudnione oraz osoby, za których pośrednictwem bank wykonuje czynności bankowe, są obowiązane zachować tajemnicę bankową, która obejmuje wszystkie informacje dotyczące czynności bankowej, uzyskane w czasie negocjacji, w trakcie zawierania i realizacji umowy, na podstawie której bank tę czynność wykonuje. Bank jest jednak zwolniony z obowiązku zachowania tajemnicy bankowej w przypadku, gdy udzielenie informacji objętych tą tajemnicą jest niezbędne do zawarcia i wykonywania umów sprzedaży wierzytelności zaklasyfikowanych zgodnie z odrębnymi przepisami do kategorii straconych (art. 104 ust. 2 pkt 4 Prawa bankowego).
Mając na uwadze powołane wyżej przepisy oraz dodatkowe, nie wskazywane przez Bank przed wydaniem zaskarżonej decyzji, okoliczności niniejszej sprawy, należy uznać, iż Bank, zbywając na rzecz Spółki wierzytelność, jaka mu przysługiwała względem Skarżącego, co wiązało się z przekazaniem jego danych osobowych Spółce, działał w oparciu o przesłankę wymienioną w art. 23 ust. 1 pkt 2 ustawy o ochronie danych osobowych w związku z art. 104 ust. 2 pkt 4 Prawa bankowego, tj. w celu zrealizowania uprawnienia wynikającego z przepisu prawa, w postaci przelewu wierzytelności uznanej na podstawie właściwych przepisów prawa za stracone. W rozpatrywanym stanie faktycznym Bank miał bowiem prawo do sprzedaży przedmiotowej wierzytelności, z uwagi na fakt spełnienia warunku zaklasyfikowania jej do kategorii wierzytelności straconych. Powyższe oznacza zaś, że Bank, na podstawie art. 104 ust. 2 pkt 4 Prawa bankowego, był zwolniony z obowiązku zachowania w tajemnicy informacji, jakie uzyskał w związku z zawarciem ze Skarżącym umowy kredytowej, co niewątpliwie obejmuje również informacje dotyczące danych osobowych Skarżącego. Dodać należy, iż słuszność powyższej interpretacji Prawa bankowego potwierdził Prezes Związku Banków Polskich w opinii uzyskanej od niego przez Generalnego Inspektora Ochrony Danych osobowych w tej sprawie, w ocenie którego, art. 104 ust. 2 pkt 4 Prawa bankowego wyłącza obowiązek zachowania tajemnicy bankowej w sytuacji dokonywania cesji wierzytelności.
Reasumując, po przeprowadzeniu ponownej analizy materiału dowodowego w przedmiotowej sprawie, dokonanej przede wszystkim w oparciu o dodatkowe okoliczności ustalone w toku postępowania przeprowadzonego po zaskarżeniu przez strony przedmiotowej decyzji, stwierdzić należy, że udostępnienie Spółce przez Bank danych osobowych Pana A.B. znajdowało uzasadnienie w obowiązujących przepisach prawa. Tym samym niezbędne stało się uchylenie całości decyzji Generalnego Inspektora Ochrony Danych Osobowych z dnia 16 maja 2005 r. (znak: GI-DEC-DS-103/05/293,294,295).
Mając powyższe na uwadze, w tym stanie prawnym i faktycznym, Generalny Inspektor Ochrony Danych Osobowych rozstrzygnął, jak na wstępie.
Decyzja jest ostateczna. Na podstawie art. 21 ust. 2 ustawy o ochronie danych osobowych, w związku z art. 13 § 2 oraz art. 53 § 1 i 54 § 1 ustawy z dnia 30 sierpnia 2002 r. Prawo o postępowaniu przed sądami administracyjnymi (Dz. U. Nr 153, poz. 1270), od niniejszej decyzji stronie przysługuje prawo wniesienia skargi do Wojewódzkiego Sądu Administracyjnego w Warszawie, w terminie 30 dni od dnia doręczenia niniejszej decyzji, za pośrednictwem Generalnego Inspektora Ochrony Danych Osobowych (na adres: ul. Stawki 2, 00 – 193 Warszawa).
