GI-DEC-DS-57/05
2007-05-26
Decyzja Generalnego Inspektora Ochrony Danych Osobowych z dnia 21 marca 2005 r. odmawiająca uwzględnienia wniosku o zobowiązanie Zarządu Banku, do wykreślenia danych osobowych dotyczących Skarżącego z Bankowego Rejestru, prowadzonego przez Związek Banków Polskich. – decyzja nieprawomocna
Warszawa, dnia 21 marca 2005 r.
DECYZJA
Na podstawie art. 104 § l ustawy z dnia 14 czerwca 1960 r. - Kodeks postępowania administracyjnego (Dz. U. z 2000 r. Nr 98, poz. 1071 z późn. zm.) oraz art. 12 pkt 2 w związku z art. 1 ust. 1, art. 2 ust. 1 i art. 6 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. z 2002 r. Nr 101, poz. 926 z późn. zm.), po przeprowadzeniu postępowania administracyjnego w sprawie wniosku PanaX, o zobowiązanie Banku, do wykreślenia dotyczących go danych osobowych z Bankowego Rejestru, prowadzonego przez Związek Banków
odmawiam uwzględnienia wniosku.
Uzasadnienie
Do Biura Generalnego Inspektora Ochrony Danych Osobowych wpłynęło pismo Pana X, zwanego dalej także Skarżącym, z dnia 8 listopada 2004 r., w którym wniósł „o zobowiązanie do wykreślenia [jego] danych osobowych z Bankowego Rejestru
W uzasadnieniu przedmiotowego pisma Skarżący wskazał w szczególności: „W roku 1997, prowadząc działalność gospodarczą pod firmą „A”, opartą o wpis do ewidencji działalności gospodarczej, zawarłem umowę leasingu z, Spółka z o.o., w Chorzowie (...)”. W wyniku rozwiązania umowy przedmiotowej umowy, pozostały mi do uregulowania pewne zaległości płatnicze z tytułu rat leasingowych (...) B S.A., z którym nigdy żadnych kontaktów nie miałem, oraz w którym żadnych kredytów nigdy nie zaciągałem, z niewiadomego powodu dokonał w dniu 15.07.2001 roku, wpisania moich danych osobowych do Rejestru Bankowego, jako niesolidnego dłużnika, którym de facto wobec tego Banku nie byłem, nie jestem, i prawdopodobnie nigdy nie będę. (...) to „Sp. z o.o” zobowiązany jest do rozliczenia się z Bankiem z tytułu umów kredytowych, zawartych na zakup przedmiotów leasingu, przeznaczonych do realizacji umów zawartych ze mną, a nie ja. Nie mniej jednak, jeżeli stało się tak, że B S.A., uzyskał wobec mnie nakaz zapłaty (...), to wówczas przed wpisaniem mnie do Rejestru Bankowego, zobowiązany był, przez obowiązujące w tej mierze przepisy Ustawy „o Ochronie danych osobowych” do powiadomienia mnie na piśmie, o zamiarze dokonania takiego wpisu (...). Ewidentnie jednak, Bank tego obowiązku nie dopełnił, naruszając tym samym obowiązujące prawo, i pozbawił mnie wynikających dla mnie z obowiązujących przepisów prawa przywilejów”. Natomiast w piśmie z dnia 27 stycznia 2005 r. Skarżący podniósł m.in.: „Firmę „A” prowadziłem w oparciu o wpis do ewidencji działalności gospodarczej, a zatem jako osoba fizyczna, ponieważ tak prowadzona działalność nie posiada osobowości prawnej, dlatego moje dane w tym przypadku podlegają bezwzględnej ochronie, bez względu na to, czy przy wpisie podano nazwę firmy, którą prowadzę. Firmę zlikwidowałem w dniu 31.12.2000 r., natomiast wpisu do Rejestru Bankowego B S.A., dokonał w dniu 15.07.2001 r., a więc również i w tym przypadku wprowadził do Rejestru fałszywe dane (...) w Rejestrze figuruje moje nazwisko, a nie wyłącznie nazwa mojej były firmy, co wprost kwalifikuje moje dane do ochrony, w oparciu o obowiązującą ustawę o ochronie danych osobowych (...)”.
W wyjaśnieniach złożonych przez Bank S.A, zwany dalej B S.A., wskazano w szczególności: „dane osobowe p. X (...), prowadzącego działalność gospodarczą pod A” zostały umieszczone w Bankowym Rejestrze (...) w związku z nieuregulowaniem zobowiązań wynikających z nabytej wierzytelności leasingowej od sp. z o.o.. Do powyższych wyjaśnień załączono kopię umowy o wykup wierzytelności z dnia 7 lipca 1998 r., zawartej pomiędzy B S.A. a Sp. z o.o., w której Sp. z o.o. oświadcza, iż posiada „wierzytelność pieniężną przysługującą jej z tytułu okresowych opłat leasingowych, ustalonych w umowie leasingu (...) zawartej z Panem X prowadzącym działalność gospodarczą pod nazwą A.
Z wyjaśnień złożonych przez Dyrektora Generalnego Związku Banków, zwanego dalej ZB, wynika natomiast, iż dane osobowe Skarżącego w zakresie: imienia, nazwiska, serii i numeru dowodu osobistego oraz miejsca zamieszkania zostały przekazane do ZB przez B S.A. łącznie z informacjami o firmie, numerze REGON oraz „adresie firmy”. W tym też zakresie dotyczące Skarżącego informacje, przekazane przez B S.A., są obecnie przetwarzane w Bankowym Rejestrze.
Po zapoznaniu się z całością materiału zgromadzonego w sprawie Generalny Inspektor Ochrony Danych Osobowych zważył, co następuje:
Z dokonanych w niniejszej sprawie ustaleń wynika, iż Pan X prowadził działalność gospodarczą pod nazwą „A” i jako przedsiębiorca zawarł umowę leasingową z Sp. z o.o. Wobec nieuregulowania przez Skarżącego zobowiązań wynikających z nabytej przez B S.A. od Sp. z o.o. „wierzytelności leasingowej”, dotyczące go dane osobowe zostały przekazane do Bankowego Rejestru, prowadzonego przez ZB. Podkreślenia wymaga, iż B S.A. przekazał do ZB dane osobowe Skarżącego, którymi „posługiwał się” w obrocie gospodarczym, a więc dane w zakresie obejmującym: imię, nazwisko, serię i numer dowodu osobistego oraz miejsca zamieszkania łącznie z informacjami o firmie, numerze REGON oraz „adresie firmy”.
Obecnie obowiązujące przepisy prawa wprost wyłączają stosowanie ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. z 2002 r. Nr 101, poz. 926 z późn. zm.), zwanej dalej ustawą, do przetwarzania danych zawartych w ewidencji działalności gospodarczej. Zgodnie bowiem z art. 7a ust. 2 (dodanym w dniu 1 stycznia 2004 r.) ustawy z dnia 19 listopada 1999 r. Prawo działalności gospodarczej (Dz. U. Nr 101, poz. 1178, z późn. zm.), zwanej dalej Prawem działalności gospodarczej, ewidencja działalności gospodarczej jest jawna a dane osobowe w niej zawarte, czyli dane dotyczące przedsiębiorców, nie podlegają przepisom ustawy o ochronie danych osobowych.
W skierowanym do Biura GIODO piśmie Skarżący podkreślił: „Firmę zlikwidowałem w dniu 31.12.2000 r., natomiast wpisu do Rejestru Bankowego B S.A., dokonał w dniu 15.07.2001 r., a więc również i w tym przypadku wprowadził do Rejestru fałszywe dane (...)”. Zauważyć w związku z tym należy, iż również przed wejściem w życie ww. przepisu art. 7 a ust. 2 Prawa działalności gospodarczej, ochrona wynikająca z ustawy o ochronie danych osobowych nie obejmowała danych osób fizycznych prowadzących działalność w oparciu te ustawę, jak i w oparciu o uprzednio obowiązujący akt prawny, tj. ustawę z dnia 23 grudnia 1998 r. o działalności gospodarczej (Dz. U. Nr 41, poz. 324 z późn. zm.), zwaną dalej ustawą o działalności gospodarczej, w zakresie w jakim dane te identyfikowały osoby w obrocie gospodarczym. Zgodnie z art. 16 ust. 1 ustawy o działalności gospodarczej (uchylonej z dniem 1 stycznia 2001 r.), jawna ewidencja działalności gospodarczej zawierała w szczególności oznaczenie przedsiębiorcy i jego siedziby (miejsca zamieszkania). Natomiast stosownie do obowiązujących w dniu przekazania danych osobowych Skarżącego do ZB przepisów ustawy Prawo działalności gospodarczej, jawna ewidencja działalności gospodarczej zawierała m.in. oznaczenie przedsiębiorcy oraz oznaczenie miejsca zamieszkania i adresu przedsiębiorcy.
Ustawa o ochronie danych osobowych określa zasady postępowania przy przetwarzaniu danych osobowych oraz prawa osób fizycznych, których dane osobowe są lub mogą być przetwarzane w zbiorach danych (art. 2 ust. 1 ustawy). Zgodnie z art. 6 ust. 1 ustawy, za dane osobowe uważa się wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej (w myśl art. 6 ustawy o ochronie danych osobowych w brzmieniu przed zmianą wprowadzoną ustawą z dnia 25 sierpnia 2001 r. o zmianie ustawy o ochronie danych osobowych, Dz. U. Nr 100, poz. 1087 - za dane osobowe uważało się każdą informację dotyczącą osoby fizycznej, pozwalającą na określenie tożsamości tej osoby). Osobą możliwą do zidentyfikowania jest osoba, której tożsamość można określić bezpośrednio lub pośrednio, w szczególności przez powołanie się na numer identyfikacyjny albo jeden lub kilka specyficznych czynników określających jej cechy fizyczne, fizjologiczne, umysłowe, ekonomiczne, kulturowe lub społeczne (ust. 2). Informacji nie uważa się za umożliwiającą określenie tożsamości osoby, jeżeli wymagałoby to nadmiernych kosztów, czasu lub działań (ust. 3).
Z ww. przepisów wynika więc, iż ochrona danych osobowych odnosi się jedynie do praw osób fizycznych, których dane osobowe są lub mogą być przetwarzane w zbiorach danych. Z przepisów ustawy wynika także i to, iż nie wszystkim osobom fizycznym ochrona ta przysługuje w równym stopniu. Istotą ochrony danych osobowych jest bowiem ochrona prywatności osoby, której dane dotyczą. Znajduje to wyraz w szczególności w przepisie art. 1 ust.1 ustawy, którego treść nawiązuje do art. 47 Konstytucji RP z dnia 2 kwietnia 1997 r. (Dz. U. Nr 78, poz. 483 z późn. zm.). Stosownie do przepisu art. 1 ust. 1 ustawy, każdy ma prawo do ochrony dotyczących go danych osobowych. W myśl natomiast art. 47 Konstytucji RP, każdy ma prawo do ochrony prawnej życia prywatnego, rodzinnego, czci i dobrego imienia oraz decydowania o swoim życiu osobistym. W świetle powyższego nie może więc budzić wątpliwości, iż ochrona przewidziana przepisami ustawy o ochronie danych osobowych dotyczy życia prywatnego osoby fizycznej, której dane dotyczą. Informacje w zakresie identyfikującym podmiot – osobę fizyczną w obrocie gospodarczym są informacjami o przedsiębiorcy i w stosunku do tego rodzaju informacji ustawa o ochronie danych osobowych nie miała i nie ma obecnie zastosowania. W konsekwencji, brak jest podstaw do stosowania przepisów ustawy do ochrony danych Skarżącego przetwarzanych przez B S.A. i ZB, w związku z nieuregulowaniem przez niego należności wynikającej z umowy, jaką zawarł prowadząc działalność gospodarczą. W takiej sytuacji nie można bowiem mówić o naruszeniu prywatności osoby, której dane osobowe są przetwarzane. Skarżący podejmując i prowadząc działalność gospodarczą - z istoty tej działalności - godził się na ograniczenie swojego prawa do prywatności w tym zakresie. Przejawem tego ograniczenia jest w szczególności, wynikająca z Prawa działalności gospodarczej, jak i z uprzednio obowiązującej ustawy o działalności gospodarczej, jawność danych zawartych w ewidencji działalności gospodarczej.
Dla potwierdzenia słuszności stanowiska Generalnego Inspektora warto również przytoczyć pogląd Naczelnego Sądu Administracyjnego zaprezentowanego w wyroku z dnia 28 listopada 2002 r. (sygn. akt II S.A. 3389/01), w którym to NSA, na gruncie obowiązujących wówczas przepisów Prawa działalności gospodarczej, wskazał, iż „w sytuacji, gdy przedsiębiorca objął swoim zakresem danych indywidualnych dotyczących firmy swoje dane osobowe (...), nie może on domagać się, jako osoba fizyczna ochrony swoich danych osobowych, które są wykorzystywane nie jako dane osobowe, lecz jako dane firmy. Decydując się na utożsamianie tych danych, godzi się bowiem na szersze ich ujawnianie i słabszą ochronę”. Warto jednocześnie podkreślić, iż NSA wskazał w sposób wyraźny, iż „w zamierzeniu ustawodawcy ochrona prawa prywatności zmierza do tego, aby większą ochronę zapewnić osobom fizycznym. Jednostki organizacyjne i osoby prawne, w szczególności prowadzące działalność gospodarczą podlegają tej ochronie w mniejszym stopniu. (...) Stąd osoba decydująca się na taką działalność, godzi się na ograniczenie swego prawa do prywatności w większym zakresie”.
W tym stanie faktycznym i prawnym Generalny Inspektor Ochrony Danych Osobowych rozstrzygnął, jak w sentencji.
Decyzja jest ostateczna. Na podstawie art. 21 ust. 1 ustawy o ochronie danych osobowych oraz art. 129 § 2 ustawy Kodeks postępowania administracyjnego, strona niezadowolona z niniejszej decyzji może zwrócić się do Generalnego Inspektora Ochrony Danych Osobowych (adres: Biuro Generalnego Inspektora Ochrony Danych Osobowych, ul. Stawki 2, 00 – 193 Warszawa) z wnioskiem o ponowne rozpatrzenie sprawy w terminie 14 dni od daty doręczenia decyzji.
