>Decyzje Giodo>2009 >

GENERALNY INSPEKTOROCHRONY DANYCHOSOBOWYCH
Michał Serzycki

Warszawa, dnia 12 maja 2009 r.

DECYZJA

Na podstawie art. 138 § 1 pkt 1 ustawy z dnia 14 czerwca 1960 r. Kodeks postępowania administracyjnego (tekst jedn. Dz. U. z 2000 r. Nr 98, poz. 1071 z późn. zm.), art. 12 pkt 2 i art. 22 w związku z art. 18 ust. 1 pkt 6, art. 23 ust. 1 pkt 2 i art. 26 ust. 1 pkt 3 ustawy z dnia 29 sierpnia 1997r. o ochronie danych osobowych (tekst jedn. Dz. U. z 2002 r. Nr 101, poz. 926 z późn. zm.), po przeprowadzeniu postępowania w sprawie wniosku Związku Banków Polskich, o ponowne rozpatrzenie sprawy zakończonej decyzją Generalnego Inspektora Ochrony Danych Osobowych z dnia 14 stycznia 2009 r. (znak: DOLiS/DEC-36/09/1068,1073,1079), nakazującą Bankowi usunięcie danych osobowych Pana E - związanych z niespłaconymi kredytami zaciągniętymi przez Spółdzielcze Zrzeszenie Budowy Domków - z prowadzonego przez Związek Banków Polskich zbioru o nazwie „System Międzybankowej Informacji Gospodarczej - Bankowy Rejestr”,

utrzymuję w mocy zaskarżoną decyzję.

Uzasadnienie

W dniu 11 września 2008 r. do Biura Generalnego Inspektora Ochrony Danych Osobowych wpłynęło pismo Pana E (zwanego dalej Skarżącym), w którym ww. wniósł o zobowiązanie banku (zwanego dalej Bankiem) do wykreślenia jego danych osobowych wpisanych na wniosek Banku do „Centralnej Bazy Danych «Bankowego Rejestru Niesolidnych Klientów»” prowadzonego przez Związek Banków Polskich (zwany dalej ZBP). Dane te zostały umieszczone w ww. bazie w związku z nieuregulowaniem przez Spółdzielcze Zrzeszenie Budowy Domków (zwane dalej SZBD zobowiązań wynikających z zawartej umowy kredytowej. W celu ustalenia okoliczności przedmiotowej sprawy Generalny Inspektor Ochrony Danych Osobowych wszczął postępowanie administracyjne. Na podstawie zebranego w sprawie materiału dowodowego dokonano następujących ustaleń:
1. Skarżący pełnił funkcję Prezesa Zarządu SZBD w okresie 1988 r. – lipiec 2000 r. oraz był członkiem zarządu ww. podmiotu w okresie lipiec 2001 r. – maj 2002 r. W trakcie sprawowania funkcji Prezesa Zarządu Skarżący reprezentował SZBD w związku z udzieleniem przez Bank dwóch kredytów (w dniach 27 października i 14 grudnia 1999 r.). Skarżący jako Prezes Zarządu występował zarówno z wnioskiem o przyznanie ww. kredytów, jak również podpisywał w imieniu kredytobiorcy dokumenty związane z zabezpieczeniami. W związku z niespłaceniem ww. kredytów w terminie, dane osobowe Skarżącego w zakresie imienia i nazwiska, wraz z danymi SZBD, zostały przekazane przez Bank do prowadzonego przez ZBP Systemu Międzybankowej Informacji Gospodarczej – Bankowy Rejestr (zwanego dalej SMIG - Bankowy Rejestr). Przekazanie ww. danych nastąpiło w dniach 22 stycznia i 18 maja 2001 r. Skarżący pismem z dnia 20 września 2007 r. wystąpił do Banku z wnioskiem o usunięcie jego danych, jako członka zarządu SZBD, zamieszczonych w SMIG - Bankowy Rejestr. Bank w piśmie z dnia 11 października 2007 r. odmówił usunięcia danych argumentując, że zgodnie z obowiązującymi przepisami,
w przypadku umieszczenia klienta w SMIG - Bankowy Rejestr bank ma obowiązek wprowadzić dane osób wchodzących w skład organów zarządzających, podpisujących umowę, z której wynikają zobowiązania wobec banku.
2. Z wyjaśnień udzielonych przez Bank wynika, że zobowiązania będące powodem przekazania danych Skarżącego do SMIG - Bankowy Rejestr nie zostały spłacone i są wymagalne.
3. ZBP i Bank w swoich wyjaśnieniach jako podstawę do przetwarzania ww. danych osobowych wskazują art. 105 ust. 4 i art. 105a ustawy z dnia 29 sierpnia 1997 r. Prawo bankowe (tekst jedn. Dz. U. z 2002 r. Nr 72, poz. 665 z późn. zm.). Jako cel przetwarzania danych w zbiorze wskazywane było zwiększenie bezpieczeństwa systemu bankowego i płatniczego, ochrona depozytów bankowych oraz ocena zdolności kredytowej i analiza ryzyka kredytowego. Przekazywanie danych do SMIG - Bankowy Rejestr następuje zgodnie z postanowieniami „Regulaminu wymiany informacji w systemie Międzybankowej Informacji Gospodarczej – Bankowy Rejestr”. Decyzją administracyjną z dnia 14 stycznia 2009 r. (znak: DOLiS/DEC- 36/09/1068,1073,1079) Generalny Inspektor nakazał Bankowi usunięcie danych osobowych Skarżącego - związanych z niespłaconymi kredytami zaciągniętymi przez SZBD - z prowadzonego przez ZBP zbioru o nazwie „System Międzybankowej Informacji Gospodarczej - Bankowy Rejestr”. W dniu 2 lutego 2009 r. do Biura Generalnego Inspektora wpłynęło pismo ZBP z dnia 30 stycznia 2009 r. stanowiące wniosek o ponowne rozpatrzenie niniejszej sprawy (złożony w terminie). W treści przedmiotowego wniosku ZBP przedstawił swoje stanowisko, w którym wskazał, iż przetwarzanie danych osobowych Skarżącego nie jest nieadekwatne w stosunku do celu przetwarzania, który został określony w art. 105a ust. 1 ustawy Prawo bankowe. Swoje stanowisko ZBP uzasadnił tym, iż „(...) informacją przetwarzaną w celu oceny zdolności kredytowej i analizy ryzyka kredytowego jest informacja o spółdzielni jako o ww. osobie prawnej, w której oprócz
danych ją identyfikujących znajduje się informacja dotycząca samego imienia i nazwiska członka zarządu (informacja jawna, dostępna zgodnie z ustawą o Krajowym Rejestrze Sądowym i pozbawiona innych danych niezbędnych do identyfikacji ww. osoby jako osoby fizycznej)”.
Odnosząc się do podniesionych w uzasadnieniu decyzji rozważań dotyczących braku odpowiedzialności członków zarządu spółdzielni, za jej wierzytelności, w stosunku do osób trzecich, ZBP stwierdził, iż odpowiedzialność taką wywieść można z art. 39 § 1 ustawy z dnia 23 kwietnia 1964 r. Kodeks cywilny (Dz. U. Nr 16, poz. 93 ze zm.), zgodnie z którym, kto jako organ osoby prawnej zawarł umowę w jej imieniu nie będąc jej organem albo przekraczając zakres umocowania takiego organu, obowiązany jest do zwrotu tego, co otrzymał od drugiej strony w wykonaniu umowy, oraz do naprawienia szkody, którą druga strona poniosła przez to, że zawarła umowę nie wiedząc o braku umocowania. ZBP podniósł również, iż sama informacja o imieniu i nazwisku jest informacją, która w żaden sposób nie pozwala na pełną identyfikację takiej osoby w celu oceny jej zdolności kredytowej, ponieważ imię i nazwisko są danymi powtarzalnymi.
We wniosku podkreślono również, że wymóg przekazywania do SMIG - Bankowy Rejestr informacji w zakresie imion i nazwisk osób fizycznych wchodzących w skład organów zarządzających ustanowiony został w § 4 ust. 1 pkt 2 Regulaminu Systemu Bankowy Rejestr, stanowiącego załącznik nr 1 do Umowy o zasadach uczestnictwa w Systemie Bankowy Rejestr. ZBP wniósł o ponowne rozpatrzenie sprawy i uchylenie decyzji z dnia 14 stycznia 2009 r. (znak: DOLiS/DEC-36/09/1068,1073,1079) w całości.
Po rozpatrzeniu zgromadzonego w sprawie materiału dowodowego i przeanalizowaniu wniosku o ponowne rozpatrzenie sprawy, Generalny Inspektor zważył, co następuje: Rozstrzygnięcie zawarte w zaskarżonej decyzji Generalnego Inspektora z dnia 14 stycznia 2009 r. (znak: DOLiS/DEC-36/09/1068,1073,1079) jest prawidłowe. Argumenty ZBP wskazane we wniosku o ponowne rozpatrzenie sprawy nie uzasadniają konieczności zmiany tej decyzji. Wziąwszy pod uwagę wyjaśnienia zawarte we wniosku o ponowne rozpatrzenie sprawy, z których wynika, iż dane osobowe Skarżącego są przetwarzane nie w celu analizy ryzyka i oceny jego zdolności kredytowej, lecz ryzyka i zdolności kredytowej SZBD, nadal nie sposób przyznać przetwarzaniu tych danych cechy adekwatności i celowości. Zauważyć należy, że nie jest zasadne powoływanie się przez ZBP w piśmie z dnia 27 października 2008 r. na przetwarzanie danych osobowych Skarżącego w oparciu o art. 105a ust. 1 ustawy Prawo bankowe, który stanowi, iż przetwarzanie przez banki, inne instytucje ustawowo upoważnione do udzielania kredytów oraz instytucje utworzone na podstawie art. 105 ust. 4, informacji stanowiących tajemnicę bankową w zakresie dotyczącym osób fizycznych może być wykonywane, z zastrzeżeniem art. 104, art. 105 i art. 106-106c, w celu oceny zdolności kredytowej i analizy ryzyka kredytowego. Przepis powyższy odnosi się bowiem do przetwarzania danych osób fizycznych w zakresie oceny ich zdolności kredytowej i analizy dotyczącego ich ryzyka kredytowego. W przypadku, gdy dane są
przetwarzane w celu oceny zdolności kredytowej i ryzyka kredytowego związanego z osobą prawną – na co wskazują wyjaśnienia ZBP, że informacja w zakresie samego imienia i nazwiska członku zarządu jest dla banku jedynie informacją o osobach wchodzących w skład organu uprawnionego do reprezentacji - wówczas zastosowanie będzie miał art. 105 ust. 4 Prawa bankowego, stanowiący iż banki mogą, wspólnie z bankowymi izbami gospodarczymi, utworzyć instytucje upoważnione do gromadzenia, przetwarzania i udostępniania:
1) bankom - informacji stanowiących tajemnicę bankową w zakresie, w jakim informacje te są potrzebne w związku z wykonywaniem czynności bankowych oraz w związku ze stosowaniem metod statystycznych, o których mowa w art. 128 ust. 3 oraz w art. 128d ust. 1,
2) innym instytucjom ustawowo upoważnionym do udzielania kredytów - informacji stanowiących tajemnicę bankową w zakresie, w jakim informacje te są niezbędne w związku z udzielaniem kredytów, pożyczek pieniężnych, gwarancji bankowych i poręczeń.
Zdaniem Generalnego Inspektora Ochrony Danych Osobowych nie można uzasadnić zamieszczania danych osobowych Skarżącego - nie wchodzącego w chwili udostępnienia danych ZBP w skład władz SZBD - przy informacji o zadłużeniu tego podmiotu, dokonywaniem tego w celu oceny zdolności kredytowej i analizy ryzyka kredytowego SZBD. Faktem jest, że jak wskazuje ZBP, Krajowy Rejestr Sądowy, w którym zawarte są dane osobowe osób reprezentujących podmioty w nim figurujące jest jawny (art. 8 ust. 1 ustawy z dnia 20 sierpnia 1997 r. o Krajowym Rejestrze Sądowym). Jednak nie oznacza to, że osoby, których dane osobowe są tam zamieszczone zostały całkowicie pozbawione ochrony przewidzianej przepisami ustawy. Ustawa o Krajowym Rejestrze Sądowym nie zawiera bowiem przepisów, które wyłączałyby zastosowanie ustawy o ochronie danych osobowych w odniesieniu do danych o osobach fizycznych wpisanych do tego rejestru. Dlatego przetwarzając dane osobowe Skarżącego należy uwzględniać zasady określone przepisami ustawy o ochronie danych osobowych, w tym zaś w szczególności zasadę adekwatności, o której mowa w art. 26 ust. 1 pkt 3 ustawy.
Biorąc pod uwagę, że zgodnie z wyjaśnieniami ZBP, zawierające dane Skarżącego wpisy dotyczące SZBD, są przetwarzanie w celu oceny ryzyka i zdolności kredytowej SZBD, wskazać należy oczywistą bezzasadność takiego działania. W ocenie Generalnego Inspektora dane w zakresie imienia i nazwiska Skarżącego są zbyteczne dla udzielenia informacji o posiadanym przez SZBD zadłużeniu.
Nieadekwatność przetwarzania danych osobowych Skarżącego, łącznie z danymi SZBD. Jest szczególnie zauważalna, jeżeli weźmie się pod uwagę fakt, iż od dłuższego czasu nie wchodzi on w skład zarządu powyższego podmiotu. Mając na uwadze, że ZBP we wniosku o ponowne rozpatrzenie sprawy wskazuje, iż wymóg przekazania do SMIG – Bankowy Rejestr informacji w zakresie imion i nazwisk osób wchodzących w skład organów zarządzających wynika z przepisów Regulaminu Systemu Bankowy Rejestr, zauważyć należy, iż przetwarzanie przez ZBP danych osobowych w związku z prowadzeniem SMIG – Bankowy Rejestr opiera się na przesłance z art. 23 ust. 1 pkt 2 ustawy o ochronie danych
osobowych, który stanowi, iż przetwarzanie danych jest dopuszczalne tylko wtedy, gdy jest to niezbędne dla zrealizowania uprawnienia lub spełnienia obowiązku wynikającego z przepisu prawa. Przesłanka powyższa wyklucza przetwarzanie danych osobowych w oparciu o przepisy regulaminu.
Regulamin będący załącznikiem do umowy zawartej pomiędzy ZBP a Bankiem, nie stanowi bowiem źródła prawa w znaczeniu określonym w Konstytucji Rzeczypospolitej Polskiej. Zgodnie z art. 87 ust 1 Konstytucji źródłami powszechnie obowiązującego prawa Rzeczypospolitej Polskiej są: Konstytucja, ustawy, ratyfikowane umowy międzynarodowe oraz rozporządzenia. Powyższe stanowisko znalazło potwierdzenie w orzecznictwie sądowym. W uzasadnieniu wyroku
Wojewódzkiego Sądu Administracyjnego w Warszawie z dnia 25 sierpnia 2004 r. wydanego w sprawie o sygn. akt. II SA/Wa 547/04 stwierdzono, iż: „przepisami zezwalającymi na przetwarzanie danych nie są również postanowienia regulaminu zbierania i udostępniania informacji przez (...) stanowiącego załącznik do umowy zawartej pomiędzy (....) a (...). Jest to bowiem akt wewnętrzny nieposiadający przymiotu źródła prawa powszechnie obowiązującego”.
Odnosząc się do zamieszczonych we wniosku o ponowne rozpatrzenie sprawy rozważań dotyczących odpowiedzialności członków organów osób prawnych, które mają związek z zawartym w decyzji z dnia 14 stycznia 2009 r. (znak: DOLiS/DEC-36/09/1068,1073,1079) stanowiskiem Generalnego Inspektora, iż Bank przekazując dane osobowe Skarżącego, łącznie z danymi SZBD, do SMIG - Bankowy Rejestr uczynił go niejako odpowiedzialnym za długi spółdzielni, którą Skarżący reprezentował, pomimo braku przepisów, które by to uzasadniały, stwierdzić należy, iż zastosowanie w okolicznościach niniejszej sprawy art. 39 § 1 Kodeksu cywilnego, zgodnie z którym, kto jako organ osoby prawnej zawarł umowę w jej imieniu nie będąc jej organem albo przekraczając zakres umocowania takiego organu, obowiązany jest do zwrotu tego, co otrzymał od drugiej strony w wykonaniu umowy, oraz do naprawienia szkody, którą druga strona poniosła przez to, że zawarła umowę nie wiedząc o braku umocowania, byłoby niezasadne. Jak wskazało ZBP cytując wyrok Sądu Najwyższego z dnia 26 sierpnia 1999 r. (sygn. III CKN 682/98), jeżeli osoba
fizyczna działała z przekroczeniem uprawnień, wówczas czynność taka, jako sprzeczna z art. 38 Kodeksu cywilnego, nie wywołuje skutków prawnych dla podmiotu, w imieniu którego ta osoba występowała. Z powoływanych przez ZBP przepisów wynika, iż odpowiedzialności za
zobowiązania zaciągnięte w imieniu osoby prawnej nie może jednocześnie ponosić osoba fizyczna i podmiot przez nią reprezentowany. Odnosząc powyższe do okoliczności niniejszej sprawy zauważyć należy, że z wyjaśnień złożonych przez strony wynika, iż dłużnikiem jest SZBD, nie zaś Skarżący oraz że jej zobowiązania są wymagalne. W związku z powyższym, Skarżący nie może ponosić odpowiedzialności wobec osób trzecich za zobowiązania z tytułu zaciągniętych przez SZBD
kredytów, a tym samym brak jest uzasadnienia dla przetwarzania jego danych osobowych w SMIG - Bankowy Rejestr, w związku z tymi kredytami.
Na marginesie zauważyć należy, że gdyby zamiarem ustawodawcy - posiadającego przecież
przymiot racjonalności - byłoby uczynienie zarówno spółdzielni jak i osób wchodzących w skład jej organów odpowiedzialnymi wobec osób trzecich za zobowiązania zaciągnięte przez spółdzielnię, to wówczas uregulowałby tę kwestię podobnie, jak zrobił to np. odnośnie spółek z ograniczoną odpowiedzialnością, gdzie ma zastosowanie art. 299 § 1 ustawy z dnia 15 września 2000 r. Kodeks spółek handlowych (Dz. U. Nr 94, poz. 1037 ze zm.), który wprost stwierdza, że jeżeli egzekucja przeciwko spółce okaże się bezskuteczna, członkowie zarządu odpowiadają solidarnie za jej zobowiązania.
Odnosząc się do podnoszonego przez ZBP argumentu, że imię i nazwisko nie pozwala na pełną identyfikację osoby, należy wskazać, iż kwestia, czy określone informacje są danymi osobowymi w rozumieniu ustawy o ochronie danych osobowych musi być oceniana w okolicznościach konkretnej sprawy. Zgodnie bowiem z art. 6 ustawy za dane osobowe uważa się wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej (ust. 1). Osobą możliwą do zidentyfikowania jest osoba, której tożsamość można określić bezpośrednio lub pośrednio, w szczególności przez powołanie się na numer identyfikacyjny albo jeden lub kilka specyficznych czynników określających jej cechy fizyczne, fizjologiczne, umysłowe, ekonomiczne, kulturowe lub społeczne (ust. 2). Skarżący pisze w skardze, iż „dochodzi bowiem do absurdalnych sytuacji, w której banki odmawiają podmiotom gospodarczym, w którym jestem udziałowcem lub prokurentem udzielenia kredytu, otwarcia rachunku bankowego, występowania w roli pełnomocnika do rachunku bankowego, nie mówiąc już o możliwości posiadania przeze mnie karty kredytowej czy zaciągnięcia kredytu jako osoba fizyczna na zakup podstawowego sprzętu AGD”. Powyższe wskazuje, iż banki uznają dane w zakresie imienia i nazwiska Skarżącego, w powiązaniu z danymi reprezentowanej przez niego spółdzielni, zamieszczone w SMIG - Bankowy Rejestr, za wystarczające w celu jego identyfikacji jako osoby fizycznej. W związku z powyższym nie ulega wątpliwości, iż będą miały tutaj zastosowanie przepisy ustawy o ochronie danych osobowych.
Podsumowując, zdaniem Generalnego Inspektora przetwarzanie danych osobowych Skarżącego w SMIG - Bankowy Rejestr wśród danych SZBD nie znajdowało uzasadnienia ze
względu na nieadekwatność i niecelowość przetwarzania tych danych dla oceny ryzyka i zdolności kredytowej SZBD.
W tym stanie faktycznym i prawnym Generalny Inspektor Ochrony Danych Osobowych
rozstrzygnął, jak na wstępie.
Decyzja niniejsza jest ostateczna. Na podstawie art. 21 ust. 2 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. z 2002 r. Nr 101, poz. 926 z późn. zm.), w związku z art. 13 § 2, art. 53 § 1 i art. 54 § 1 ustawy z dnia 30 sierpnia 2002 r. Prawo o postępowaniu przed sądami administracyjnymi (Dz. U. Nr 153, poz. 1270 z późn. zm.), od niniejszej decyzji stronie przysługuje prawo wniesienia skargi do Wojewódzkiego Sądu Administracyjnego w Warszawie, w terminie 30 dni od dnia doręczenia niniejszej decyzji, za pośrednictwem Generalnego Inspektora Ochrony Danych Osobowych (na adres: Biuro Generalnego Inspektora Ochrony Danych Osobowych, ul. Stawki 2, 00 – 193 Warszawa).