Projekt Unijnego Rozporządzenia dot. ochrony danych osobowych
Na stronie internetowej KE możemy zapoznać się z projektem nowego aktu prawnego, który ma obowiązywać również w Polsce....

  
Wyszukiwarka orzeczeń i decyzji

Jeśli są Państwo zainteresowani otrzymaniem darmowego newslettera z informacjami dotyczącymi prawnej ochrony danych prosimy o podanie adresu e-mail:


Dodaj Usuń

Administratorem Twoich danych osobowych, udostępnionych dobrowolnie, jest Omni Modo z siedzibą w Warszawie (03-937), przy ul. Zwycięzców 45/29. Dane osobowe będą przetwarzane w celu przesyłania newslettera oraz będą udostępniane innym podmiotom współpracującym z Administratorem. Przysługuje Ci prawo dostępu do treści swoich danych oraz ich poprawiania.

Wyrażam zgodę na przesyłanie na udostępniony przeze mnie adres poczty elektronicznej newslettera zawierającego informację handlową w rozumieniu ustawy z dnia 18 lipca 2002 r. o świadczeniu usług drogą elektroniczną (Dz. U. 2002 nr 144 poz. 1204 z późn. zm.).

Więcej informacji dotyczących ochrony danych osobowych Użytkowników i Regulamin świadczenia usług drogą elektroniczną tutaj


  

>Decyzje Giodo>2009 >



DOLiS/DEC- 36/09 Dot. DOLiS-440-701/08
2009-08-24

 GENERALNY INSPEKTOROCHRONY DANYCHOSOBOWYCH
Michał Serzycki

 

Warszawa, dnia 14 stycznia 2009 r.

 

D E C Y Z J A

Na podstawie art. 104 § 1 ustawy z dnia 14 czerwca 1960 r. - Kodeks postępowania administracyjnego (tekst jedn. Dz. U. z 2000 r. Nr 98, poz. 1071 z późn. zm.), art. 12 pkt 2 i art. 18 ust. 1 pkt 6, w związku z art. 23 ust. 1 pkt 2 i art. 26 ust. 1 pkt 3 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (tekst jedn. Dz. U. z 2002 r. Nr 101, poz. 926 z późn. zm.), po przeprowadzeniu postępowania administracyjnego z wniosku Pana E, o nakazanie usunięcia jego danych osobowych z prowadzonego przez Związek Banków Polskich zbioru o nazwie „System Międzybankowej Informacji Gospodarczej - Bankowy Rejestr”, przekazanych do powyższego zbioru przez Bank,

nakazuję Bankowi usunięcie danych osobowych Pana E – związanych z niespłaconymi kredytami zaciągniętymi przez Spółdzielcze Zrzeszenie Budowy Domków – z prowadzonego przez Związek Banków Polskich zbioru o nazwie „System Międzybankowej Informacji Gospodarczej - Bankowy Rejestr”.

 

 


Uzasadnienie

W dniu 11 września 2008 r. do Biura Generalnego Inspektora Ochrony Danych Osobowych wpłynęło pismo Pana E (zwanego dalej Skarżącym), w którym ww. wnosi o zobowiązanie Banku (zwanego dalej Bankiem) do wykreślenia jego danych osobowych wpisanych na wniosek Banku do „Centralnej Bazy Danych «Bankowego Rejestru Niesolidnych Klientów»” prowadzonego przez Związek Banków Polskich (zwany dalej ZBP), które to dane zostały umieszczone w ww. bazie w związku z nieuregulowaniem przez Spółdzielcze Zrzeszenie Budowy Domków (zwane dalej SZBD) zobowiązań wynikających z zawartej umowy kredytowej.


W celu ustalenia okoliczności przedmiotowej sprawy Generalny Inspektor Ochrony Danych Osobowych wszczął postępowanie administracyjne. Na podstawie zebranego w sprawie materiału dowodowego dokonano następujących ustaleń:


1. Skarżący pełnił funkcję Prezesa Zarządu SZBD w okresie 1988 r. – lipiec 2000 r., oraz był członkiem zarządu ww. podmiotu w okresie lipiec 2001 r. – maj 2002 r. W trakcie sprawowania funkcji Prezesa Zarządu Skarżący reprezentował SZBD w związku z udzieleniem przez Bank dwóch kredytów (w dniach 27 października i 14 grudnia 1999 r.).Skarżący jako Prezes Zarządu występował zarówno z wnioskiem o przyznanie ww. kredytów, jak również podpisywał w imieniu kredytobiorcy dokumenty związane z zabezpieczeniami. W związku z niespłaceniem ww. kredytów w terminie, dane osobowe Skarżącego w zakresie imienia i nazwiska, wraz z danymi SZBD, zostały przekazane przez Bank do prowadzonego przez ZBP Systemu Międzybankowej Informacji Gospodarczej – Bankowy Rejestr (zwanego dalej SMIG - Bankowy Rejestr). Przekazanie ww. danych nastąpiło w dniach 22 stycznia i 18 maja 2001 r. Skarżący pismem z dnia 20 września 2007 r. wystąpił do Banku z wnioskiem o usunięcie jego danych, jako członka zarządu SZBD, zamieszczonych w SMIG - Bankowy Rejestr. Bank w piśmie z dnia 11 października 2007 r. odmówił usunięcia danych argumentując, że zgodnie z obowiązującymi przepisami, w przypadku umieszczenia klienta w SMIG - Bankowy Rejestr bank ma obowiązek wprowadzić dane osób wchodzących w skład organów zarządzających, podpisujących umowę, z której wynikają zobowiązania wobec banku.


2. Z wyjaśnień udzielonych przez Bank wynika, że zobowiązania będące powodem przekazania danych Skarżącego do SMIG - Bankowy Rejestr nie zostały spłacone i są wymagalne.


3. ZBP i Bank w swoich wyjaśnieniach jako podstawę do przetwarzania ww. danych osobowych wskazują art. 105 ust. 4 i art. 105a ustawy z dnia 29 sierpnia 1997 r. Prawo bankowe (tekst jedn. Dz. U. z 2002 r. Nr 72, poz. 665 z późn. zm.). Jako cel przetwarzania danych w zbiorze wskazywane jest zwiększenie bezpieczeństwa systemu bankowego i płatniczego, ochrona depozytów bankowych oraz ocena zdolności kredytowej i analiza ryzyka kredytowego. Przekazywanie danych do SMIG - Bankowy Rejestr następuje zgodnie z postanowieniami „Regulaminu wymiany informacji w systemie Międzybankowej Informacji Gospodarczej – Bankowy Rejestr”.


Po zapoznaniu się z całością materiału dowodowego zgromadzonego w tej sprawie Generalny Inspektor Ochrony Danych Osobowych zważył, co następuje:


Ustawa z dnia 29 sierpnia 1997 r. o ochronie danych osobowych, zwana dalej ustawą, określa zasady postępowania przy przetwarzaniu danych osobowych oraz prawa osób fizycznych, których dane osobowe są lub mogą być przetwarzane w zbiorach danych (art. 2 ust. 1 ustawy). W świetle przepisów powołanego aktu prawnego, podstawowym obowiązkiem każdego administratora jest przetwarzanie danych osobowych z zachowaniem przesłanek określonych w ustawie. Przetwarzanie danych osobowych jest dopuszczalne m.in., gdy jest to niezbędne dla zrealizowania uprawnienia lub spełnienia obowiązku wynikającego z przepisu prawa (art. 23 ust. 1 pkt 2 ustawy). W niniejszej sprawie na tę przesłankę wskazują wyjaśnienia Banku i ZBP w których ww. podmioty powołują się na przepisy art. 105 ust. 4 i art. 105a ustawy z dnia 29 sierpnia 1997 r. Prawo bankowe, jako podstawę przetwarzania danych Skarżącego w SMIG - Bankowy Rejestr. Zgodnie z art. 105 ust. 4 Prawa bankowego banki mogą wspólnie z bankowymi izbami gospodarczymi, utworzyć instytucje upoważnione do gromadzenia, przetwarzania i udostępniania:
1) bankom - informacji stanowiących tajemnicę bankową w zakresie, w jakim informacje te są potrzebne w związku z wykonywaniem czynności bankowych oraz w związku ze stosowaniem metod statystycznych, o których mowa w art. 128 ust. 3 oraz w art. 128d ust. 1,
2) innym instytucjom ustawowo upoważnionym do udzielania kredytów - informacji stanowiących tajemnicę bankową w zakresie, w jakim informacje te są niezbędne w związku z udzielaniem kredytów, pożyczek pieniężnych, gwarancji bankowych i poręczeń. Na podstawie art. 105a ust. 1 Prawa bankowego przetwarzanie przez banki, inne instytucje ustawowo upoważnione do udzielania kredytów oraz instytucje utworzone na podstawie art. 105 ust. 4, informacji stanowiących tajemnicę bankową w zakresie dotyczącym osób fizycznych może być wykonywane, z zastrzeżeniem art. 104, art. 105 i art. 106-106c, w celu oceny zdolności kredytowej i analizy ryzyka kredytowego.
W kontekście powoływanych powyżej przepisów Prawa bankowego istnieje możliwość przekazywania danych dłużników do SMIG - Bankowy Rejestr. Mając jednak na uwadze, że Skarżący w swoim wniosku podnosi fakt przetwarzania w ww. zbiorze jego danych osobowych, podczas, gdy dłużnikiem jest Spółdzielnia, należy zauważyć, iż przepisy ustawy
o ochronie danych osobowych nakładają na administratora danych m.in. obowiązek zapewnienia, aby przetwarzane dane były adekwatne w stosunku do celów, w jakich są przetwarzane (art. 26 ust. 1 pkt 3). Konieczne jest zatem stwierdzenie, czy przetwarzanie danych Skarżącego w związku z niespłaconymi przez SZBD kredytami jest adekwatne w stosunku do celu w jakim ono następuje. Należy mieć na uwadze wskazywane przez Skarżącego utrudnienia w funkcjonowaniu w obrocie jako osoba fizyczna, w związku z faktem przetwarzania jego danych w SMIG – Bankowy Rejestr (pozbawienie możliwości posiadania karty kredytowej oraz zaciągnięcia kredytu). Bank i ZBP jako cel przetwarzania danych osobowych Skarżącego w SMIG – Bankowy Rejestr wskazują zapewnienie bezpieczeństwa systemu bankowego, ochronę depozytów bankowych a także ocenę zdolności kredytowej i analizy ryzyka kredytowego. Z brzmienia art. 105a ust. 1 Prawa bankowego wynika jednak, że przetwarzanie przez banki, inne instytucje ustawowo upoważnione do udzielania kredytów oraz instytucje utworzone na podstawie art. 105 ust. 4 (do których należy zaliczyć ZBP), informacji stanowiących tajemnicę bankową w zakresie dotyczącym osób fizycznych może być wykonywane, z zastrzeżeniem art. 104, art. 105 i art. 106-106c, jedynie w celu oceny zdolności kredytowej i analizy ryzyka kredytowego. W związku z powyższym przetwarzanie danych osobowych osób fizycznych w SMIG - Bankowy Rejestr, może mieć miejsce tylko w ww., określonych ustawowo celach i nie powinno poza te cele wykraczać. W tym też zakresie należy oceniać adekwatność przetwarzania danych osobowych Skarżącego w stosunku do celów przetwarzania.


Mając na uwadze powyższe, należy zauważyć, że SMIG - Bankowy Rejestr zawiera dane przekazywane przez banki o klientach nie wywiązujących się ze swoich zobowiązań. Powyższe dane - w zakresie dotyczącym osób fizycznych - mogą być przetwarzane w celu oceny zdolności kredytowej i analizy ryzyka kredytowego. W przypadku będącym przedmiotem niniejszego postępowania dłużnikiem jest SZBD, mające formę prawną spółdzielni. Skarżący był jego Prezesem, w czasie gdy zostały zaciągnięte zobowiązania, które stały się później powodem umieszczenia SZBD w SMIG - Bankowy Rejestr. Bank przekazując dane osobowe Skarżącego, łącznie z danymi SZBD, do SMIG - Bankowy Rejestr uczynił go niejako odpowiedzialnym za długi spółdzielni, którą Skarżący reprezentował. Należy zauważyć, że przepisy ustawy z dnia 16 września 1982 r. Prawo spółdzielcze (tekst jedn. Dz. U. 2003 r. Nr 188, poz. 1848), przewidują odpowiedzialność członka zarządu jedynie wobec spółdzielni, za szkodę wyrządzoną działaniem lub zaniechaniem sprzecznym z prawem lub postanowieniami statutu spółdzielni, chyba że nie ponosi winy (art. 58).
Nie występuje natomiast odpowiedzialność cywilnoprawna członków zarządu spółdzielni za jej zobowiązania wobec wierzycieli, np. w przypadku, gdy egzekucja wobec spółdzielni okazała się bezskuteczna. Odpowiedzialność taka, przewidziana np. przepisami Kodeksu spółek handlowych w odniesieniu do spółek z ograniczoną odpowiedzialnością, mogłaby uzasadniać przetwarzanie danych członka zarządu w rejestrze prowadzonym przez ZBP, chociażby ze względu na fakt, że możliwość wszczęcia egzekucji wobec członka zarządu, ma wpływ na ocenę ryzyka i zdolności kredytowej w jego przypadku. Ze względu na brak analogicznych uregulowań odnoszących się do spółdzielni należy uznać, że przetwarzanie danych osobowych Skarżącego w SMIG-Bankowy Rejestr – w związku z niespłaconymi kredytami, zaciągniętymi przez SZBD– jest nieadekwatne w stosunku do celu tego przetwarzania, który został określony w art. 105a ust. 1 ustawy Prawo bankowe.

W tym stanie faktycznym i prawnym Generalny Inspektor Ochrony Danych Osobowych rozstrzygnął, jak w sentencji. Decyzja niniejsza jest ostateczna. 

Copyright (c) 2007 by E-Ochronadanych.pl - Wszelkie prawa zastrzeżone Polityka prywatności | Regulamin | Nota prawna
Kopiowanie materiałów - zabronione Ustawa o ochronie danych osobowych | GIODO | Administrator bezpieczeństwa informacji