PREZES URZĘDU OCHRONY DANYCH OSOBOWYCH Warszawa, dnia 24 lipca 2019 r.

Decyzja

ZSPR.440.1552.2018

Na podstawie art. 138 § 1 ustawy z dnia 14 czerwca 1960 r. Kodeks postępowania administracyjnego (Dz. U. z 2018 r. poz. 2096 t.j.) art. 160 ust. 1 i 2 ustawy o ochronie danych osobowych z dnia 10 maja 2018 roku (Dz. U. z 2018 r. poz. 1000 ze zm.) w zw. z  art. 18 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. z 2016 r. poz. 922 oraz z 2018 r. poz. 138) w zw. z art. 6 ust. 1 lit. c) rozporządzenia Parlamentu Europejskiego
i Rady UE 2016/679 z 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych (Dz.U.UE.L.2016.119.1 z dnia 04.05.2016 r. oraz Dz. Urz. UE. L.2018.127.2 z dnia 23.05.2018 r.) oraz w związku z art. 105 ust. 4, art. 105a ust. 1 i art. 105a ust. 3 ustawy z dnia 29 sierpnia 1997 r. Prawo bankowe (Dz. U. z 2018 r. poz. 2187 t.j.), po przeprowadzeniu postępowania administracyjnego w sprawie skargi Pana A. M. zam. w W., na przetwarzanie jego danych osobowych przez P. S.A. w W., w tym na ich udostępnienie na rzecz B S.A. z siedzibą w W. zakończonej decyzją administracyjną Prezesa Urzędu Ochrony Danych Osobowych […] grudnia 2018 r. (dot. […]),

utrzymuję w mocy zaskarżoną decyzję. 

Uzasadnienie

W dniu […] września 2017 roku do Biura Generalnego Inspektora Ochrony Danych Osobowych wpłynęła skarga Pana A. M. zam. w W. (zwanego dalej Skarżącym), reprezentowanego przez Panią A.G., na bezprawne przetwarzanie, udostępnianie i administrowanie jego danymi osobowymi przez P. S.A., z siedzibą przy (zwanej dalej Bankiem), polegające na udostępnieniu ich do B. S.A. z siedzibą w W., (zwanego dalej B.).

Skarżący w treści skargi wskazał, że Bank nie spełnił wymagań uprawniających go do rozpoczęcia przetwarzania jego danych osobowych w bazach B., w związku z wierzytelnością wynikającą z zobowiązania zdnia […] września 2007 r., ponieważ Bank nie spełnił łącznie wszystkich warunków z art. 105a ust. 3 ustawy z dnia 29 sierpnia 1997 r. Prawo bankowe (Dz. U. z 2018 r. poz. 2187 t.j.), zwanej dalej Prawem bankowym, tzn. Bank nie poinformował Skarżącego o zamiarze przetwarzania jego danych osobowych bez jego zgody w bazach B.  

W toku postępowania przeprowadzonego w niniejszej sprawie Generalny Inspektor Ochrony Danych Osobowych ustalił następujący stan faktyczn

1. Dane osobowe Skarżącego zostały przez Bank zebrane w związku z zawartą przez niego umową kredytu gotówkowego nr […] z dnia […] września 2007 roku  i obecnie przetwarzane są w zbiorze „Baza Klientów B” w zakresie imienia, nazwiska, nazwiska rodowego, imion rodziców, nazwiska panieńskiego matki, płci, daty i miejsca urodzenia, PESEL, typu i numeru dokumentu tożsamości, stanowiska, stanu cywilnego, adresu zamieszkania, adresu korespondencyjnego i numeru telefonu.

2. Bank przekazał dane osobowe Skarżącego powiązane z umową kredytu gotówkowego nr […] z dnia […] września 2007 roku do B. na podstawie umowy zawartej pomiędzy Bankiem a B., która określa zasady współpracy w zakresie zbierania i udostępniania informacji na podstawie art. 105 ust. 4 Prawa bankowego, w związku z odnotowanymi opóźnieniami spłat zobowiązania z dnia […] września 2007 r.

3. Z uwagi na dopuszczenie się przez Skarżącego zwłoki powyżej 60 dni w spłacie zobowiązania, pismem z dnia […] października 2014 roku Bank wysłał do Skarżącego pismo informujące o zamiarze przetwarzania jego danych osobowych bez jego zgody na podstawie art. 105a ust. 3 Prawa bankowego. Pismo zostało wysłane listem zwykłym na adres: W , tj. na wskazany przez Skarżącego adres do korespondencji. W związku z tym Bank nie dysponuje pocztowym dowodem nadania pisma do Skarżącego.

4. Na potwierdzenie wysłania w/w korespondencji do Skarżącego Bank przesłał wydruk z aplikacji, w której archiwizowane są dane o pismach skierowanych do Klientów, stanowiących zawiadomienie o zamiarze przetwarzania ich danych osobowych po wygaśnięciu zobowiązania.

5. Zobowiązanie wynikające z ww. umowy z dnia […] września 2007 roku r. zostało zamknięte w dniu […] kwietnia 2016 roku.

6. Z wyjaśnień B. wynika, że powyższa umowaz […] września 2007 r. została wprowadzona do zbioru danych B. […] października 2007 roku i ma w bazie B. status rachunku zamkniętego i przetwarzany jest w celu oceny zdolności kredytowej i analizy ryzyka kredytowego na podstawie art. 105a ust. 3 w zw. z art. 105 ust 4 Prawo bankowe. Jednocześnie B. przetwarza dane Skarżącego w zakresie zapytań zarządzanie klientem i monitorujących złożonych przez Bank.

 W tym stanie faktycznym Prezes Urzędu Ochrony Danych Osobowych, (zwany również Prezesem UODO),  w dniu […] grudnia 2018 r., wydał decyzję administracyjną (dot. […]), mocą której nakazał Bankowi zaprzestanie przetwarzania danych osobowych Skarżącego, dotyczących rachunku nr […], w systemie B., przetwarzanych na podstawie art. 105a ust. 3 ustawy Prawo bankowe.

W dniu […] grudnia 2018 r., w ustawowym terminie do Urzędu Ochrony Danych Osobowych wpłynął wniosek Banku o ponowne rozpatrzenie sprawy zakończonej w/w decyzją, w treści którego Bank wskazał, iż cyt.: „na podstawie art. 105a ustawy Prawo bankowe w związku z faktem, iż Klient dopuścił się zwłoki powyżej 60 dni w spłacie zobowiązania w dniu […] października 2014 r. zostało wygenerowane, a w dniu […]  października 2014 r. wysłane, pismo informujące o powstaniu zadłużenia oraz stanowiące wezwanie do zapłaty w terminie 30 dni pod rygorem przetwarzania informacji stanowiących tajemnicę bankową po wygaśnięciu zobowiązania bez zgody Klienta przez Bank S.A. oraz inne instytucje ustawo upoważnione (...) na podstawie 105 ust. 4 ustawy Prawo bankowe.”. Jednocześnie Bank podniósł, iż przedmiotową wysyłkę realizował profesjonalny podmiot, który zobowiązał się do wykonania usługi polegającej na doręczeniu przesyłki pocztowej i „nie ma interesu prawnego, żeby wprowadzić w błąd Bank, jako swojego kontrahenta.”.

Ponadto Bank zarzucił, iż Prezes UODO w ww. decyzji nie uznał za dowód w sprawie przedstawiony przez Bank wydruk z aplikacji, w której archiwizowane są dane o pismach skierowanych do Klientów, stanowiących zawiadomienie o zamiarze przetwarzania ich danych osobowych po wygaśnięciu zobowiązania.

Po powtórnym rozpatrzeniu zgromadzonego w sprawie materiału dowodowego i przeanalizowaniu wniosku Banku o ponowne rozpatrzenie sprawy Prezes Urzędu Ochrony Danych Osobowych zważył, co następuje.

Rozstrzygnięcie zawarte w zaskarżonej decyzji Prezesa UODO z dnia […] grudnia 2018 r. dot.. […]) jest prawidłowe. Zgodnie z art. 160 ustawy z 10 maja 2018 r. o ochronie danych osobowych (Dz. U. 2018 r. poz. 1000 zm.) z dniem wejścia w życie tej ustawy, tj. 25 maja 2018 r., Biuro Generalnego Inspektora Ochrony Danych Osobowych stało się Urzędem Ochrony Danych Osobowych. Postępowania prowadzone przez Generalnego Inspektora Ochrony Danych Osobowych, wszczęte i niezakończone przed 25 maja 2018 r. prowadzone są przez Prezesa Urzędu Ochrony Danych Osobowych, na podstawie ustawy z 29 sierpnia 1997 r. (Dz. U. 2016 r. poz. 922 ze zm.) zgodnie z zasadami określonymi w ustawie z dnia 14 czerwca 1960 r. Kodeks postępowania administracyjnego (Dz. U. z 2018 r. poz. 2096 t.j.) – dalej jako Kpa. Wszelkie czynności podejmowane przez Generalnego Inspektora Ochrony Danych Osobowych przed 25 maja 2018 r. pozostają skuteczne.

Prezes Urzędu Ochrony Danych Osobowych wydając decyzję administracyjną, zobowiązany jest do rozstrzygania w oparciu o stan faktyczny istniejący w chwili wydania tej decyzji. Jak podnosi doktryna „organ administracji publicznej ocenia stan faktyczny sprawy według chwili wydania decyzji administracyjnej. Reguła ta odnosi się także do oceny stanu prawnego sprawy, co oznacza, że organ administracji publicznej wydaje decyzję administracyjną na podstawie przepisów prawa obowiązujących w chwili jej wydania (…). Rozstrzyganie w postępowaniu administracyjnym polega na zastosowaniu obowiązującego prawa do ustalonego stanu faktycznego sprawy administracyjnej. W ten sposób organ administracji publicznej realizuje cel postępowania administracyjnego, jakim jest urzeczywistnienie obowiązującej normy prawnej w zakresie stosunków administracyjno-prawnych, gdy stosunki te tego wymagają” (Komentarz do ustawy  z dnia 14 czerwca 1960 r. Kodeks postępowania administracyjnego M. Jaśkowska, A. Wróbel, Lex., el/2012).  Z dniem 25 maja 2018 r., w stosunku do procesów przetwarzania danych osobowych, zaczęło być w krajach członkowskich Unii Europejskiej stosowane rozporządzenie Parlamentu Europejskiego i Rady UE 2016/679 z 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych)  (Dz.U.UE.L.2016.119.1 z dnia 04.05.2016 r. oraz Dz. Urz. UE. L.2018.127.2 z dnia 23.05.2018 r.).

Prezes UODO ponownie przeanalizował czy Skarżący został poinformowany w myśl art. 105a ust. 3 ustawy Prawo bankowego o zamiarze przetwarzania, bez jego zgody, informacji stanowiących tajemnicę bankową po wygaśnięciu zobowiązania. Na wezwanie organu Bank załączył wydruk z aplikacji potwierdzający, w ocenie Banku, datę i adres wysyłki oraz przyczynę kierowanego listu, a także kopię pisma mającego na celu poinformowanie Skarżącego o niewykonaniu zobowiązania lub dopuszczeniu się zwłoki powyżej 60 dni  w spełnieniu świadczenia wynikającego z zawartej z P. SA umowy (kredytu gotówkowego nr […] z […] września 2007 roku. W dniu [...] października 2014 r. przedmiotowy list został skierowany przesyłką zwykłą.

W opinii Prezesa  UODO Bank nie przedstawił dowodu potwierdzającego, że Skarżący został skutecznie przez niego poinformowany o zamiarze powierzenia jego danych osobowych bez jego zgody, zgodnie z obowiązkiem wynikającym z przepisu art. 105a Prawa bankowego. Samo uprawdopodobnienie wysłania pism od Skarżącego zawierających zawiadomienie o zamiarze przetwarzania jego danych osobowych bez jego zgody, nie oznacza, że skarżący o tym fakcie został poinformowany w trybie art. 105a ust. 3 ustawy Prawo bankowe.

W świetle cytowanych przepisów należy podkreślić, że choć zobowiązanie Skarżącego, wynikające z umowy zawartej we wrześniu 2007 r. wobec Banku wygasło, to jednak jak wynika ze zgromadzonego materiału dowodowego odnośnie spłaty zadłużenia, Skarżący dopuścił się zwłoki trwającej dłużej niż 60 dni w przypadku ww. zobowiązania. Istotnym, jednakże w powyższej sprawie jest brak dowodu na to, że Bank spełnił wobec Skarżącego obowiązek określony w art. 105a ust. 3 Prawa bankowego, tj. poinformował go skutecznie o zamiarze przetwarzania dotyczących jego informacji stanowiących tajemnicę bankową, bez jego zgody po wygaśnięciu zobowiązania wynikającego z ww. umowy. Sam fakt wysłania do Skarżącego listem zwykłym zawiadomienia z dnia .. października 2014 roku o zamiarze przetwarzania informacji stanowiących tajemnicę bankową bez gody Skarżącego, nie upoważnia Banku do przetwarzania jego danych na warunkach określonych w art. 105a ust. 3 Prawa bankowego. Moment, od którego należy liczyć sześćdziesięciodniowy termin, w którym konsument dopuszcza się zwłoki w wykonaniu zobowiązania, to termin wykonania zobowiązania. Dopiero po upływie 60 dni zaczyna biec trzydziestodniowy termin, w którym instytucja jeszcze oczekuje na wykonanie zobowiązania klienta. Termin trzydziestodniowy nie biegnie jednak z mocy prawa, a dopiero od momentu, w którym nastąpi skuteczne poinformowanie konsumenta przez instytucję o zamiarze przetwarzania. Ostatecznie to bezskuteczny upływ 30 dni od momentu poinformowania stanowi wypełnienie przesłanek z art. 105a ust. 3 Prawa bankowego. Z powyższego wynika zatem, iż w sytuacji gdy Bank przetwarza dane Skarżącego na warunkach określonych w ww. przepisie, to na Banku spoczywa ciężar udowodnienia spełnienia przesłanek z art. 105a ust. 3 Prawa bankowego. Wskazać należy, że wprawdzie nie ma obowiązku przesyłania listami poleconymi takiej korespondencji, niemniej jednak w niniejszym stanie faktycznym Bank nie dysponuje dowodem, iż korespondencja taka w zakresie ww. zobowiązania została Skarżącemu kiedykolwiek skutecznie doręczona, a zatem, że został on skutecznie poinformowany.

W szczególności za taki dowód nie można uznać przesłanego przez Bank pisma z dnia [...] października 2014 roku stanowiącego wydruk z aplikacji, w której archiwizowane są dane o pismach skierowanych do Klientów, stanowiących zawiadomienie o zamiarze przetwarzania ich danych osobowych po wygaśnięciu zobowiązania. Należy bowiem wskazać, że powyższy dowód nie może świadczyć nawet o przesłaniu Skarżącemu ww. pisma z […] października 2014 r., a tym bardziej nie stanowi on dowodu na okoliczność, iż korespondencja ta została Skarżącemu skutecznie doręczona a w konsekwencji, że został on poinformowany. Podkreślenia wymaga, że to na Banku spoczywa ciężar udowodnienia, że poinformował Skarżącego o zamiarze przetwarzania jego danych bez jego zgody.

Zdaniem Prezesa Urzędu Ochrony Danych Osobowych niedopuszczalna jest taka wykładnia art. 105a ust. 3 Prawa bankowego, że to na osobie fizycznej (w niniejszej sprawie na Skarżącym) spoczywa ciężar udowodnienia, że nie został poinformowany o ww. zamiarze przetwarzania danych osobowych. W ocenie organu nie można na podstawie ww. przedstawionych dokumentów uznać, że warunki, o których mowa w art. 105a ust. 3 Prawa bankowego zostały spełnione. Bank nie dysponuje bowiem zwrotnym potwierdzeniem odbioru ani innym dokumentem potwierdzającym odbiór ww. korespondencji przez Skarżącego.

Prezes UODO wskazuje także na stanowisko zawarte w wyroku NSA z dnia 25 lipca 2017 r. (I OSK 2859/16), w którym to wskazał Bank, że jako administrator danych osobowych, musi dysponować dowodem, iż osoba, której dane dotyczą, została poinformowana o zamiarze przetwarzania ich bez jej zgody, a nie to Klient powinien udowodnić, że nie został poinformowany. W tym zakresie nie mogą mieć miejsca jakiekolwiek domniemania faktyczne.  Informacje o dokonaniu wysyłki takiej wiadomości nie mogą stanowić o uczynieniu zadość obowiązkowi z art. 105a ust. 3 Prawa bankowego. W powyższym wyroku Sąd zwrócił także uwagę na fakt, iż brak jest dowodu, że w stosunku do strony taka korespondencja – informująca o zamiarze przetwarzania danych bez jej zgody – została w istocie wysłana i skutecznie doręczona. W tym zakresie zarówno oświadczenie Banku o przesłaniu listu zwykłego, jak i treść wzoru pisma kierowanego we wskazanym okresie do Klientów Banku jest niewystarczające. Wymaga on w sposób kategoryczny „poinformowania”, a nie „wysłania zawiadomienia”.

Zdaniem Prezesa UODO nie zostały spełnione przesłanki z art. 105a ust 3 Prawa bankowego, zgodnie z którym Bank może przetwarzać informacje stanowiące tajemnicę bankową dotyczące osób fizycznych po wygaśnięciu zobowiązania wynikającego z umowy bez ich zgody, a zatem zasadnym jest nakazanie zaprzestania przetwarzania danych osobowych Skarżącego przez Bank w celu oceny zdolności kredytowej i analizy ryzyka kredytowego. W opinii Prezesa Urzędu Ochrony Danych Osobowych i zgodnie z wyrokiem Wojewódzkiego Sądu Administracyjnego w Warszawie z dnia 2 sierpnia 2018 r. w sprawie o sygn. akt II SA/Wa 1957/17,  niedopuszczalna jest taka wykładnia art. 105a ust. 3 Prawa bankowego, że to na osobie fizycznej (w niniejszej sprawie na Skarżącym) spoczywał ciężar udowodnienia, że nie został poinformowany o ww. zamiarze przetwarzania danych osobowych. W ocenie organu nie można na podstawie ww. przedstawionych przez Bank dokumentów w sprawie uznać, że warunki, o których mowa w art. 105a ust. 3 Prawa bankowego zostały spełnione. Bank nie dysponuje bowiem zwrotnym potwierdzeniem odbioru ani innym dokumentem potwierdzającym odbiór ww. korespondencji przez Skarżącego.

Prezes UODO podziela stanowisko i rozważania zawarte w wyroku Wojewódzkiego Sądu Administracyjnego w Warszawie z 2 sierpnia 2018 r. w sprawie o sygn. akt II SA/Wa 1957/17, a odsyłającym również do wyroku Naczelnego Sądu Administracyjnego z 25 lipca 2017 r. w sprawie o sygn. akt I OSK 2859/16. W powyższych wyrokach WSA  i NSA stwierdziły, że przepis art. 105a ust. 3 Prawa bankowego ma charakter materialny (ochronny), a nie formalny. Wymaga on w sposób kategoryczny „poinformowania”, a nie „wysłania zawiadomienia”. Z uwagi na fakt, że dane osobowe są wartością chronioną ustawowo, a prawo od ich ochrony - jak przyjmuje się w piśmiennictwie – stanowi swego rodzaju emanację ogólnego prawa gwarantowanego Konstytucją RP (art. 47), to wszelkie regulacje znoszące tę ochronę muszą być odczytywane i wykładane ściśle, z uwzględnieniem funkcji jakiej mają służyć. Przy takiej wykładni, sformułowanie użyte w przepisie art. 105a ust. 3 Prawa bankowego, dotyczące obowiązku informacyjnego banku, musi oznaczać, że nie jest to tylko obowiązek formalny. W każdym wypadku sposób i forma zawiadomienia powinna umożliwić zweryfikowanie faktu poinformowania klienta banku o zamierzonym przetwarzaniu jego danych osobowych lub też przynajmniej potwierdzenie, że klientowi umożliwiono zapoznanie się z taką informacją. W tym zakresie nie mogą mieć miejsca jakiekolwiek domniemania faktyczne.

Wobec powyższego w ocenie  Prezesa Urzędu Ochrony Danych Osobowych nie zostały spełnione przesłanki z art. 105a ust 3 Prawa bankowego, zgodnie z którym Bank może przetwarzać informacje stanowiące tajemnicę bankową dotyczące osób fizycznych po wygaśnięciu zobowiązania wynikającego z umowy bez ich zgody, a zatem zasadnym jest nakazanie zaprzestania przetwarzania danych osobowych Skarżącego przez Bank w celu oceny zdolności kredytowej i analizy ryzyka kredytowego.

Stosownie bowiem do art. 58 ust. 2 lit. g) rozporządzenia 2016/679, organowi nadzorczemu przysługuje uprawnienie naprawcze w postaci nakazania na mocy art. 16, 17 i 18 sprostowania lub usunięcia danych osobowych lub ograniczenia ich przetwarzania oraz nakazanie na mocy art. 17 ust. 2 i art. 19 powiadomienia o tych czynnościach odbiorców, którym dane osobowe ujawniono. Powyżej opisane okoliczności faktyczne i prawne powodują, że konieczne jest, na podstawie art. 58 ust. 2 lit. g), nakazanie wyeliminowania nieprawidłowości w procesie przetwarzania danych osobowych Skarżącego w sposób określony w sentencji rozstrzygnięcia niniejszej decyzji.

W tym stanie faktycznym i prawnym Prezes Urzędu Ochrony Danych Osobowych rozstrzygnął, jak we wstępie.

Decyzja jest ostateczna. Na podstawie art. 21 ust. 2 ustawy o ochronie danych osobowych i w zw. z art. 13 § 2, art. 53 § 1 i art. 54 ustawy z dnia 30 sierpnia 2002 r. Prawo o postępowaniu przed sądami administracyjnymi (Dz. U. 2018 r. poz. 1302), od niniejszej decyzji stronie przysługuje prawo wniesienia skargi do Wojewódzkiego Sądu Administracyjnego w Warszawie, w terminie 30 dni od dnia doręczenia niniejszej decyzji, za pośrednictwem Prezesa Urzędu Ochrony Danych Osobowych (adres: Urząd Ochrony Danych Osobowych, ul. Stawki 2, 00 – 193 Warszawa).

Podmiot udostępniający: Departament Orzecznictwa i Legislacji
Wytworzył informację:
user Jan Nowak
date 2019-07-24
Wprowadził informację:
user Magdalena Senderska
date 2019-08-30 14:36:42
Ostatnio modyfikował:
user Izabela Pawelczyk
date 2020-02-27 11:47:51