Decyzja

Na podstawie art. 104 § 1 ustawy z dnia 14 czerwca 1960 r. Kodeks postępowania administracyjnego (Dz. U. z 2020 r., poz. 256) w związku z art. 160 ust. 1 i 2 ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych (Dz. U. z 2019 r., poz. 1781), art. 18 ust. 1 ustawy z dnia 29 sierpnia 1997 o ochronie danych osobowych (Dz. U. z 2016 r. poz. 922 ze zm.) oraz art. 6 ust. 1 lit. f) Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (Dz. Urz. UE L 119 z 04.05.2016, str. 1 oraz Dz. Urz. UE L 127 z 23.05.2018, str. 2), po przeprowadzeniu postępowania administracyjnego w sprawie skargi Pana J. G., reprezentowanego przez pełnomocnika – adwokat H. U., o nakazanie B. S.A. udostępnienia mu danych osobowych pełnomocników oraz osób trzecich, które w okresie od […] stycznia 2012 r. do chwili obecnej dokonywały w imieniu Pani A. Z. transakcji, operacji i wypłat na jej rachunkach bankowych, produktach bankowych i finansowych wraz ze wskazaniem dat dokonanych czynności i kwoty rozporządzenia, Prezes Urzędu Ochrony Danych Osobowych:

1. nakazuje B. S.A. udostępnienie Skarżącemu danych osobowych w zakresie imienia i nazwiska, adresu zamieszkania oraz numeru PESEL pełnomocnika ustanowionego przez Panią A. Z. do dysponowania jej rachunkiem bankowym o numerze PL […],
2. odmawia uwzględnienia wniosku w pozostałym zakresie.

Uzasadnienie

Do Biura Generalnego Inspektora Ochrony Danych Osobowych (obecnie: Urzędu Ochrony Danych Osobowych) wpłynęła skarga Pana J. G. (zwanego dalej „Skarżącym”), reprezentowanego przez adwokat H. U. prowadzącą kancelarię Adwokacką, na odmowę udostępnienia mu przez B. S.A. (zwany dalej „Bankiem”) dokumentów i informacji dotyczących produktów bankowych należących do zmarłej Pani A. Z., której Skarżący jest jedynym spadkobiercą. Precyzując i ograniczając jednocześnie zakres żądań, pełnomocnik Skarżącego wniósł ostatecznie o udostępnienie Skarżącemu następujących danych osobowych:

1. imion i nazwisk, numerów PESEL, numerów dowodów osobistych oraz miejsca zamieszkania pełnomocników ustanowionych przez zmarłą Panią A. Z. do dokonywania czynności na rachunkach należących do zmarłej w ramach […], w tym:
1. na rachunkach: papierów wartościowych, bankowych prowadzonych dla obsługi rachunków papierów wartościowych, bankowych prowadzonych dla obsługi rachunku zagranicznych instrumentów finansowych, technicznych prowadzonych w ramach Departamentu […],
2. na koncie internetowym nr […],
3. na koncie osobistym nr […],
4. na koncie walutowym w EURO nr […],
5. na koncie walutowym w USD nr […],
6. na koncie oszczędnościowym nr […],
7. na rejestrach zagranicznych instrumentów finansowych,
8. na rachunkach kart płatniczych i kart kredytowych,

2. imion i nazwisk, numerów PESEL, numerów dowodów osobistych oraz miejsca zamieszkania pełnomocników ustanowionych przez Panią A. Z. do dokonywania czynności:
1. w ramach produktu Bankowych Papierów Wartościowych […] oraz […], ewentualnie innych posiadanych przez Panią A. Z. produktów bankowych,
2. w ramach produktu Wielowalutowego Programu Inwestycyjnego […], […], […], ewentualnie innych posiadanych przez Panią A. Z. produktów bankowych,

3. imion i nazwisk, numerów PESEL, numerów dowodów osobistych oraz miejsca zamieszkania osób trzecich, które w okresie od […] stycznia 2012 roku do nadal dokonywały w imieniu Pani A. Z. transakcji, operacji i wypłat na wskazanych wyżej rachunkach bankowych, produktach bankowych i finansowych oraz wskazania daty dokonanej czynności i kwoty rozporządzenia.

W toku postępowania przeprowadzonego w niniejszej sprawie Prezes Urzędu Ochrony Danych Osobowych ustalił następujący stan faktyczny:

1. Skarżący jest jedynym spadkobiercą Pani A. Z., swojej siostry zmarłej […] stycznia 2015 r., co potwierdziła notariusz B. W. prowadząca Kancelarię Notarialną aktem poświadczenia dziedziczenia z […] stycznia 2015 r.
2. Pani A. Z. była klientką Banku w okresie od […] lipca 2000 r. do chwili śmierci czyli do […] stycznia 2015 r. Bank świadczył w tym okresie na rzecz Pani A. Z. szereg usług bankowych, w tym prowadził bieżący rachunek bankowy o numerze PL […], bieżący rachunek internetowy o numerze PL […] oraz inne rachunki oszczędnościowe i inwestycyjne. Do dysponowania środkami pieniężnymi zgromadzonymi na rachunku bankowym o numerze PL […] upoważniała wydana Pani A. Z. przez Bank karta płatnicza o numerze […].
3. Do dysponowania bieżącym rachunkiem internetowym o numerze PL […] Pani A. Z. ustanowiła […] sierpnia 2011 r. pełnomocnika z pełnym (takim samym jak posiadacz rachunku) zakresem uprawnień, zwanego dalej „Pełnomocnikiem”. Zgodnie z wyjaśnieniami Banku, Pełnomocnik był „osobą, która pomagała Pani A. Z. w codziennych sprawach, między innymi przywożąc ją do placówki Banku”. W dniu […] stycznia 2015 Bank przyjął odwołanie pełnomocnictwa w oparciu o przedstawiony mu akt zgonu Pani A. Z.
4. Pani A. Z. nie ustanawiała żadnych innych pełnomocników upoważnionych do dysponowania jej rachunkami prowadzonymi przez Bank.
5. Dane osobowe Pani A. Z. oraz Pełnomocnika – zgodnie z oświadczeniem Banku złożonym w niniejszym postępowaniu – przetwarzana były „na podstawie art. 23 ust. 1 ustawy z dnia 29.08.1997 r. o ochronie danych osobowych, w zakresie oraz w celu realizacji postanowień zawartych umów oraz dla wypełnienia prawnie usprawiedliwionych celów realizowanych przez administratorów danych”.
6. Rachunek bankowy o numerze PL […], do dysponowania którym upoważniony był Pełnomocnik, w momencie śmierci Pani A. Z. nie był używany. Ostatnie transakcje na nim (wpłata z rachunku bieżącego Pani A. Z. o numerze PL […] i wypłata na rachunek bankowy Pełnomocnika kwoty 4.000 zł) miały miejsce […] lipca 2012 r.
7. W okresie ostatnich trzech lat przed śmiercią Pani A. Z. (od […] stycznia 2012 r. do […] stycznia 2015 r.) w sposób ciągły używany był przez Panią A. Z. rachunek bankowy o numerze PL […]. Poza transakcjami bezgotówkowymi odzwierciedlającymi bieżące zarządzanie finansami Pani A. Z. (np. wpływy z tytułu świadczeń ZUS, zapłaty bieżących zobowiązań) oraz zarządzaniem produktami bankowymi Pani A. Z. (lokatami bankowymi, produktami inwestycyjnymi), na rachunku tym odnotowano (od stycznia 2013 r.) regularne i częste wypłaty gotówki z rachunku za pośrednictwem bankomatów przy użyciu karty płatniczej o numerze […]. W okresie bezpośrednio poprzedzającym śmierć Pani A. Z., od […] grudnia 2014 r. do […] stycznia 2015 r. włącznie, były to 32 operacje wypłaty środków po 2.000 zł (łącznie: 64.000 zł). Po dacie śmierci Pani A. Z. (w dniach […] i […] stycznia 2015 r.) miały miejsce jeszcze trzy transakcje wypłaty z rachunku kwot w wysokości 2.000 zł.
8. W związku z podejrzeniem bezprawnego pobrania i zadysponowania przez osoby trzecie środków pieniężnych zdeponowanych przez Panią A. Z. w Banku, pełnomocnik Skarżącego – pismem z […] marca 2015 r. – zwrócił się do Banku z wnioskiem o udostępnienie historii operacji na wszystkich rachunkach produktów bankowych Pani A. Z. za okres od […] stycznia 2012 r. do daty udzielenia tych informacji, odpisów umów łączących Panią A. Z. z Bankiem, odpisów udzielonych przez nią pełnomocnictw, danych osobowych „osób, które w okresie od […] stycznia 2012 roku do nadal dokonywały w imieniu A. Z. transakcji, operacji i wypłat […]” oraz informacji o ewentualnie posiadanych przez Panią A. Z. kartach kredytowych lub innych tego typu produktów bankowych.
9. W odpowiedzi na wniosek pełnomocnika Skarżącego z […] marca 2015 r., pismem doręczonym pełnomocnikowi Skarżącego […] kwietnia 2015 r., Bank odmówił udzielenia żądanych danych z okresu sprzed daty śmierci Pani A. Z., gdyż – jak wskazano – „zgodnie z opinią arbitra bankowego spadkobiercy nie mają prawa do informacji o tym, jak posiadacz konta dysponował swoimi środkami za życia”. Bank dopuścił jedynie możliwość wystawienia zaświadczenia o stanie środków na rachunkach zmarłej na dzień jej śmierci i zestawienia transakcji mających na nich miejsce od dnia jej śmierci.
10. Na skutek skargi na nieudostępnienie przez Bank żądanych przez Skarżącego dokumentów i informacji, skierowanej przez pełnomocnika Skarżącego do Komisji Nadzoru Finansowego, pismem z […] czerwca 2015 r., Bank przedstawił pełnomocnikowi Skarżącego zestawienia zawierające historię transakcji na wszystkich rachunkach bankowych i rachunkach funduszy inwestycyjnych Pani A. Z. za okres od […] stycznia 2012 r. do […] czerwca 2015 r.
11. Bank nie udostępnił Skarżącemu danych osobowych Pełnomocnika zmarłej A. Z. W wyjaśnieniach złożonych w niniejszym postępowaniu Bank wskazał, że nie znajduje podstaw prawnych do przekazania Skarżącemu danych Pełnomocnika, i że „stoi na stanowisku, że w ramach nabytych praw [Skarżący] nie nabył prawa do dysponowania danymi osobowymi pełnomocnika. Przekazanie do Skarżącego danych pełnomocnika nie jest również niezbędne do realizacji jego praw.”

Po zapoznaniu się z całością zgromadzonego w sprawie materiału dowodowego, Prezes Urzędu Ochrony Danych Osobowych zważył, co następuje.

Z dniem 25 maja 2018 r. w krajach członkowskich Unii Europejskiej zaczęły być stosowane w przedmiocie ochrony danych osobowych przepisy Rozporządzenia Parlamentu Europejskiego i Rady UE 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz. Urz. UE L 119 z dnia 04.05.2016, str. 1, ze zmianą ogłoszoną w Dz. Urz. UE L 127 z dnia 23.05.2018, str. 2), zwane dalej „Rozporządzeniem 2016/679”. Również z dniem 25 maja 2018 r. weszła w życie na terytorium Rzeczpospolitej Polskiej ustawa z dnia 10 maja 2018 r. o ochronie danych osobowych (Dz. U. z 2019 r., poz. 1781), zwana dalej „u.o.d.o. 2018”, wdrażająca na terytorium Rzeczpospolitej Polskiej Rozporządzenie 2016/679 i uzupełniająca regulacje w tym akcie prawnym przewidziane.

W myśl art. 160 ust. 1 i 2 u.o.d.o. 2018, postępowania prowadzone przez Generalnego Inspektora Ochrony Danych Osobowych, wszczęte i niezakończone przed dniem wejścia w życie tej ustawy, prowadzone są przez Prezesa Urzędu Ochrony Danych Osobowych na podstawie ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. z 2016 r., poz. 922 ze zm.), zwanej dalej „u.o.d.o. 1997”, zgodnie z zasadami określonymi w ustawie z dnia 14 czerwca 1960 r. Kodeks postępowania administracyjnego (Dz. U. z 2020 r. poz. 256 ze zm.), zwanej dalej „k.p.a.”. Jednocześnie, zgodnie z art. 160 ust. 3 u.o.d.o. 2018, czynności dokonane w postępowaniach wszczętych i niezakończonych przed dniem wejścia w życie jej przepisów, pozostają skuteczne.

Uwzględniając powyższe regulacje prawne stwierdzić zatem należy, iż niniejsze postępowanie, wszczęte i niezakończone przed dniem 25 maja 2018 r., prowadzone jest – w zakresie obejmującym przepisy regulujące procedurę postępowania – w oparciu o przepisy u.o.d.o. 1997 oraz K.p.a. W szczególności przepisy te określają środki mające na celu przywrócenie stanu zgodnego z prawem, które – w drodze decyzji administracyjnej – zastosować może Prezes Urzędu Ochrony Danych Osobowych w przypadku stwierdzenia naruszenia przepisów o ochronie danych osobowych. Zgodnie z art. 18 ust. 1 u.o.d.o. 1997 Prezes Urzędu Ochrony Danych Osobowych może mianowicie nakazać: 1) usunięcie uchybień, 2) uzupełnienie, uaktualnienie, sprostowanie, udostępnienie lub nieudostępnienie danych osobowych, 3) zastosowanie dodatkowych środków zabezpieczających zgromadzone dane osobowe, 4) wstrzymanie przekazywania danych osobowych do państwa trzeciego, 5) zabezpieczenie danych lub przekazanie ich innym podmiotom, 6) usunięcie danych osobowych.

Zgodnie z powyższymi regulacjami prawnymi, materialnoprawna ocena legalności i zgodności z prawem przetwarzania danych osobowych w niniejszej sprawie powinna natomiast nastąpić w oparciu o przepisy Rozporządzenia 2016/679. Powyższe stwierdzenie zgodne jest z ugruntowanym stanowiskiem doktryny, zgodnie z którym „organ administracji publicznej ocenia stan faktyczny sprawy według chwili wydania decyzji administracyjnej. Reguła ta odnosi się także do oceny stanu prawnego sprawy, co oznacza, że organ administracji publicznej wydaje decyzję administracyjną na podstawie przepisów prawa obowiązujących w chwili jej wydania” (Komentarz do ustawy z dnia 14 czerwca 1960 r. Kodeks postępowania administracyjnego (Dz. U. 00.98.1071) M. Jaśkowska, A. Wróbel, Lex., el/2012). Jak stwierdził zaś Naczelny Sąd Administracyjny w wyroku z dnia 7 maja 2008 r. w sprawie o sygn. akt I OSK 761/07 cyt.: „badając […] legalność przetwarzania danych osobowych, GIODO ma obowiązek ustalenia, czy na datę wydawania rozstrzygnięcia w sprawie dane konkretnego podmiotu są przetwarzane oraz czy czynione to jest w sposób zgodny z prawem”. Stwierdzenie w niniejszej sprawie niezgodności przetwarzania danych osobowych z przepisami Rozporządzenia 2016/679 spowoduje konieczność zastosowania przez Prezesa Urzędu Ochrony Danych Osobowych jednego lub kilku środków naprawczych wskazanych w art. 18 ust. 1 u.o.d.o. 1997.

W niniejszej sprawie zasadniczym zagadnieniem wymagającym rozstrzygnięcia jest odpowiedź na pytanie, czy przetwarzanie żądanych przez Skarżącego danych osobowych polegające na ich udostępnieniu przez administratora (Bank) osobie trzeciej (Skarżącemu) jest dopuszczalne – czy znajduje podstawę prawną w jednej z przesłanek wskazanych w przepisach o ochronie danych osobowych. W tym miejscu podkreślić należy, że – w świetle definicji przetwarzania danych osobowych zawartej zarówno w u.o.d.o. 1997 (art. 7 pkt 2) jak i w Rozporządzeniu 2016/679 (art. 4 pkt. 2) – udostępnianie danych osobowych (w tym ich udostępnianie osobom trzecim – nie będącym podmiotami tych danych) jest jedną z operacji wykonywanych na danych osobowych w ramach ich przetwarzania. Jak wskazuje się w doktrynie, w Rozporządzeniu 2016/679 „…nie została wyraźnie (odrębnie) uregulowana kwestia dopuszczalności udostępniania danych osobowych – a więc jedno z kluczowych zagadnień w procesie przetwarzania danych. […] Niezamieszczenie w rozporządzeniu odrębnych reguł udostępniania danych nie oznacza niedopuszczalności udostępniania danych, a skutkuje koniecznością stosowania do udostępniania danych osobowych ogólnych podstaw dopuszczalności przetwarzania danych (uregulowanych w komentowanym artykule [art. 6]) albo szczególnych podstaw dopuszczalności przetwarzania danych, o których mowa w art. 9 i 10 rozporządzenia). Podstawą udostępnienia może więc być zgoda osoby, której dane dotyczą; konieczność wykonania umowy; konieczność wypełnienia obowiązku prawnego ciążącego na administratorze; konieczność ochrony żywotnych interesów osoby, której dane dotyczą, lub innej osoby; konieczność wykonania zadania realizowanego w interesie publicznym albo w ramach sprawowania władzy publicznej, a także realizacja prawnie uzasadnionego interesu administratora lub strony trzeciej […]” (Fajgielski Paweł w: Komentarz do art. 6 rozporządzenia nr 2016/679 w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych), [w:] Ogólne rozporządzenie o ochronie danych. Ustawa o ochronie danych osobowych. Komentarz [online]. Wolters Kluwer Polska, 2020-04-10 10:15. Dostępny w Internecie: https://sip.lex.pl/#/commentary/587773150/570590).

Zgodnie z brzmieniem przepisu art. 23 ust. 1 u.o.d.o. 1997, obowiązującej w okresie, w którym Skarżący złożył wniosek o udostępnienie przez Bank danych osobowych, i w którym Skarżący wniósł do Generalnego Inspektora Ochrony Danych Osobowych skargę w niniejszej sprawie, przetwarzanie danych osobowych było dopuszczalne gdy: osoba, której dane dotyczą, wyrazi na to zgodę, chyba że chodzi o usunięcie dotyczących jej danych (pkt 1), jest to niezbędne dla zrealizowania uprawnienia lub spełnienia obowiązku wynikającego z przepisu prawa (pkt 2), jest to konieczne do realizacji umowy, gdy osoba, której dane dotyczą, jest jej stroną lub gdy jest to niezbędne do podjęcia działań przed zawarciem umowy na żądanie osoby, której dane dotyczą (pkt 3), jest niezbędne do wykonania określonych prawem zadań realizowanych dla dobra publicznego (pkt 4), jest to niezbędne dla wypełnienia prawnie usprawiedliwionych celów realizowanych przez administratorów danych albo odbiorców danych, a przetwarzanie nie narusza praw i wolności osoby, której dane dotyczą (pkt 5).

Zgodnie z obecnie obowiązującą regulacją (art. 6 ust. 1 Rozporządzenia 2016/679), przetwarzanie danych (każda czynność mieszcząca się w tym pojęciu) jest zgodne z prawem wyłącznie w przypadkach, gdy - i w takim zakresie, w jakim - spełniony jest co najmniej jeden z poniższych warunków: a) osoba, której dane dotyczą wyraziła zgodę na przetwarzanie swoich danych osobowych w jednym lub większej liczbie określonych celów; b) przetwarzanie jest niezbędne do wykonania umowy, której stroną jest osoba, której dane dotyczą, lub do podjęcia działań na żądanie osoby, której dane dotyczą, przed zawarciem umowy; c) przetwarzanie jest niezbędne do wypełnienia obowiązku prawnego ciążącego na administratorze; d) przetwarzanie jest niezbędne do ochrony żywotnych interesów osoby, której dane dotyczą, lub innej osoby fizycznej; e) przetwarzanie jest niezbędne do wykonania zadania realizowanego w interesie publicznym lub w ramach sprawowania władzy publicznej powierzonej administratorowi; f) przetwarzanie jest niezbędne do celów wynikających z prawnie uzasadnionych interesów realizowanych przez administratora lub przez stronę trzecią, z wyjątkiem sytuacji, w których nadrzędny charakter wobec tych interesów mają interesy lub podstawowe prawa i wolności osoby, której dane dotyczą, wymagające ochrony danych osobowych, w szczególności gdy osoba, której dane dotyczą, jest dzieckiem.

Odnosząc wyżej przywołane przepisy do stanu faktycznego niniejszej sprawy stwierdzić należy, że zarówno w stanie prawnym obowiązującym do 24 maja 2018 r. (regulowanym przepisami u.o.d.o. 1997), jak i w stanie prawnym obowiązującym obecnie (od 25 maja 2018 r., to jest od daty rozpoczęcia stosowania przepisów Rozporządzenia 2016/679), jedną z kilku samoistnych podstaw przetwarzania danych osobowych jest niezbędność tego przetwarzania dla realizacji prawnie usprawiedliwionych celów (interesów) administratora lub – co ma miejsce w niniejszej sprawie – odbiorcy danych (strony trzeciej).

W ocenie Prezesa Urzędu Ochrony Danych Osobowych wniosek Skarżącego o udostępnienie mu danych osobowych w zakresie imion i nazwisk, numerów PESEL, numerów dowodów osobistych oraz miejsc zamieszkania pełnomocników i innych osób trzecich, które w okresie po […] stycznia 2012 roku dokonywały w imieniu Pani A. Z. transakcji, operacji i wypłat na jej rachunkach bankowych, produktach bankowych i finansowych, znajdował uzasadnienie prawne w art. 23 ust. 1 pkt 5 u.o.d.o. 1997, a obecnie ma podstawę w art. 6 ust. 1 lit. f) Rozporządzenia 2016/679. Skarżący przekonująco uzasadnił bowiem swój wniosek zamiarem ochrony swoich – przynależnych spadkobiercy zmarłej A. Z. – prawnie uzasadnionych interesów majątkowych. Potrzeba ochrony tych interesów (również na drodze cywilnoprawnej w postępowaniu sądowym) uzasadniona została okolicznościami sprawy wskazującymi, że po śmierci A. Z., a przed objęciem spadku przez Skarżącego, z rachunku bankowego A. Z. o numerze PL […] miały miejsce wypłaty środków pieniężnych, których dysponentem w sposób oczywisty nie była ani zmarła ani żadna inna osoba uprawniona do ich dysponowania. Transakcje te Skarżący miał prawo w sposób uzasadniony uznać za godzące bezpośrednio w jego – spadkobiercy Pani A. Z. – interesy majątkowe.

Również duża wartość i częstotliwość wypłat dokonywanych przed śmiercią A. Z. z jej rachunku bankowego za pomocą karty płatniczej o numerze […] (32 wypłaty na łączną kwotę 64.000 zł tylko w ostatnich 36 dniach życia Pani A. Z.), w połączeniu z okolicznością, że ze względów zdrowotnych wypłat tych prawdopodobnie nie dokonywała osobiście Pani A. Z., uzasadnia potrzebę sprawdzenia czy operacje te dokonywane były za wiedzą i wolą pani A. Z. oraz – jeśli dokonywane były przez jej pełnomocnika – w granicach umocowania; czy ewentualnie nie były to czynności dokonane na jej szkodę. W przypadku stwierdzenia, że transakcje te dokonane były na szkodę Pani A. Z., po jej stronie pojawiłyby się roszczenia majątkowe wobec osoby lub osób ich dokonujących. Nie przesądzając w niniejszej sprawie o konkretnej podstawie prawnej odpowiedzialności sprawcy lub sprawców szkody – deliktowej z art. 415 i nast. Ustawy z dnia 23 kwietnia 1964 r. Kodeks cywilny (Dz. U. z 2019 r. poz. 1145 ze zm.), zwanej dalej „k.c.”, kontraktowej z art. 471 i nast. k.c. (związanej ewentualnie ze stosunkiem umownym leżącym u podstaw udzielonego przez Panią A. Z. pełnomocnictwa), z tytułu bezpodstawnego wzbogacenia z art. 405 k.c. – nie ulega wątpliwości że roszczenia te jako prawa majątkowe przeszłyby, zgodnie z art. 922 § 1 k.c., na Skarżącego jako spadkobiercę Pani A. Z. Tak więc również w przypadku operacji wypłat dokonywanych przed śmiercią Pani A. Z., Skarżący ma uzasadniony interes prawny (o charakterze majątkowym) w ustaleniu osób działających na szkodę Pani A. Z. (a pośrednio – na jego szkodę) i uzyskaniu ich danych osobowych niezbędnych w postępowaniu sądowym.

Zindywidualizowanie sprawców szkody stanowi niezbędny warunek dochodzenia wobec nich roszczeń cywilnoprawnych. Przepisy normujące procedurę cywilną wymagają bowiem, aby pierwsze pismo procesowe w sprawie cywilnej (w tym pozew) zawierało m.in. imiona i nazwiska oraz adresy zamieszkania stron postępowania będących osobami fizycznymi, co wynika z art. 126 § 1 i 2 ustawy z dnia 17 listopada 1964 r. Kodeks postępowania cywilnego (Dz. U. z 2019 r. poz. 1460 ze zm.), zwanej dalej „K.p.c.”. Za niezbędne dla celów uzyskania ochrony interesów prawnych na drodze postępowania cywilnego uznać należy również dysponowanie numerem Powszechnego Elektronicznego Systemu Ewidencji Ludności (PESEL) osoby, przeciwko której chce się skierować roszczenia. Jest on wymagany do złożenia pozwu w elektronicznym postępowaniu upominawczym (art. 505²⁸-505³⁹ K.p.c.), w którym można dochodzić roszczeń cywilnoprawnych. Identyfikator ten ponadto jednoznacznie identyfikuje osobę, przeciwko której chce się skierować roszczenia, co jest niezwykle istotne szczególnie w sytuacji gdy nie dysponuje się pewnym i aktualnym adresem zamieszkania tej osoby.

Za nieuzasadnione w świetle zasady minimalizacji danych sformułowanej w art. 5 ust. 1 pkt c) Rozporządzenia 2016/679, należy natomiast uznać żądanie Skarżącego udostępnienia numerów dowodów osobistych pełnomocników i innych osób trzecich, które w okresie po […] stycznia 2012 roku dokonywały w imieniu Pani A. Z. transakcji, operacji i wypłat na jej rachunkach bankowych, produktach bankowych i finansowych. Przepisy regulujące postępowanie cywilne nie wymagają posiadania i przedstawiania w postępowaniu tego rodzaju danych. Natomiast dla jednoznacznej identyfikacji osoby fizycznej wystarczające jest dysponowanie jej numerem PESEL. Zasada minimalizacji danych, o której mowa w art. 5 ust. 1 pkt c) Rozporządzenia 2016/679 nakazuje ograniczenie zakresu przetwarzanych (w tym przypadku udostępnianych) danych do danych „niezbędnych” do celów, w których są przetwarzane.

Uznając co do zasady prawnie uzasadniony interes Skarżącego („strony trzeciej”, o której mowa w art. 6 ust. 1 lit. f) Rozporządzenia 2016/679) w uzyskaniu danych osobowych pełnomocników i innych osób trzecich, które dokonywały w imieniu Pani A. Z. transakcji na jej rachunkach prowadzonych przez Bank, należy – jak w każdym przypadku przetwarzania danych w oparciu o art. 6 ust. 1 lit. f) Rozporządzenia 2016/679 – dokonać w tej konkretnej sprawie „wyważenia interesów” Skarżącego i osób, których dotyczą dane stanowiące przedmiot wniosku Skarżącego. Jak wynika bowiem z tego przepisu, niedopuszczalne jest przetwarzanie danych osobowych w „sytuacji, w których nadrzędny charakter wobec tych interesów [prawnie uzasadnionych interesów realizowanych przez stronę trzecią] mają interesy lub podstawowe prawa i wolności osoby, której dane dotyczą.” Przesłanka „prawnie uzasadnionego interesu” nie ma więc charakteru bezwzględnego - skonstruowana jest na zasadzie ważenia interesów. „Na jednej szali nakazuje umieścić prawnie uzasadniony interes administratora danych (lub osoby trzeciej), a na drugiej – wymagające ochrony podstawowe prawa i wolności osoby, której dane dotyczą. Jeżeli wynik tego ważenia interesów będzie wskazywał, że za przeważające należy uznać wymagające ochrony prawa podmiotu danych, to administrator nie powinien opierać przetwarzania danych na omawianej tu podstawie prawnej” (Fajgielski Paweł w: Komentarz do art. 6 rozporządzenia nr 2016/679 w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych), [w:] Ogólne rozporządzenie o ochronie danych. Ustawa o ochronie danych osobowych. Komentarz [online]. Wolters Kluwer Polska, 2020-04-10 10:15. Dostępny w Internecie: https://sip.lex.pl/#/ commentary/ 587773150/570590).

W ocenie Prezesa Urzędu Ochrony Danych Osobowych nie można uznać w niniejszej sprawie interesów, praw i wolności osób, których danych osobowych żąda Skarżący, za przeważające nad interesem majątkowym Skarżącego. Rozsądne oczekiwania osób, które dokonywały wypłat z rachunków Pani A. Z. w Banku (na podstawie i w granicach formalnego, złożonego w Banku, pełnomocnictwa, albo z przekroczeniem umocowania określonego w tym pełnomocnictwie, albo bez jakiegokolwiek upoważnienia Pani A. Z.) powinny wskazywać na konieczność złożenia jakiegoś rodzaju sprawozdania z tych czynności i w konsekwencji przyjęcia za nie odpowiedzialności przed właścicielką rachunków bankowych lub też przed jej następcami prawnymi, którzy na podstawie przepisów o dziedziczeniu weszli w jej sytuację prawną w zakresie stosunków majątkowych. Należy wskazać, że pociągnięcie osób dysponujących w imieniu Pani A. Z. środkami z jej rachunków bankowych do odpowiedzialności cywilnoprawnej (lub ewentualnie karnej), będące rezultatem sprawdzenia prawidłowości ich działań, należy do kompetencji niezależnych i bezstronnych organów wymiaru sprawiedliwości, i realizowane może być jedynie w ściśle określonych przepisami prawa postępowaniach, gwarantujących realizację ich podstawowych praw oraz zapewniających obiektywne rozpatrzenie sprawy. Gwarancje, które daje wymiar sprawiedliwości, pozwalają stwierdzić, że nie można mówić o naruszeniu w jego ramach interesów, praw i wolności tych osób, jeśli działały one, kierując się należytą starannością, zgodnie z prawem oraz zgodnie z wolą, dyspozycjami i interesem Pani A. Z. i – w dalszej kolejności – jej następców prawnych. Jeśli natomiast miały w sprawie miejsce naruszenia o charakterze deliktowym lub kontraktowym, prawa i interesy osób ich dopuszczających się nie zasługują na ochronę w zakresie, jaki zapewniałby im anonimowość i w sposób nieuzasadniony zwalniał od odpowiedzialności za własne działania wyrządzające szkodę innym osobom.

Podsumowując powyższe rozważania stwierdzić należy, że Bank bezpodstawnie odmówił Skarżącemu udostępnienia wnioskowanych danych. W tym miejscu stwierdzić należy, że Bank nie wskazał – ani w odpowiedzi na wniosek Skarżącego, ani w wyjaśnieniach złożonych Prezesowi Urzędu Ochrony Danych Osobowych – podstawy prawnej odmowy udostępnienia żądanych przez Skarżącego danych.

W swoim piśmie stanowiącym odpowiedź na wniosek Skarżącego z […] marca 2015 r. Bank wskazał: „Odnośnie uzyskania danych sprzed daty śmierci zmarłego informujemy, że zgodnie z opinią arbitra bankowego spadkobiercy nie mają prawa do informacji o tym, jak posiadacz konta dysponował swoimi środkami za życia”. Domniemywać jedynie można, że Bank swoje stanowisko oparł na nałożonym na niego przepisami ustawy z dnia 29 sierpnia 1997 r. Prawo bankowe (Dz. U. z 2019 r. poz. 2357 ze zm.), zwanej dalej „Prawem bankowym”, obowiązku zachowania tzw. „tajemnicy bankowej”. Obowiązek ten określony został w art. 104 ust. 1 Prawa bankowego stanowiącym, że „bank, osoby w nim zatrudnione oraz osoby, za których pośrednictwem bank wykonuje czynności bankowe, są obowiązane zachować tajemnicę bankową, która obejmuje wszystkie informacje dotyczące czynności bankowej, uzyskane w czasie negocjacji, w trakcie zawierania i realizacji umowy, na podstawie której bank tę czynność wykonuje.” Stanowisko Banku nie uwzględnia jednak odstępstwa od tej zasady, określonego w art. 104 ust 3 Prawa bankowego, który to przepis stanowi, że banku nie obowiązuje, z określonymi zastrzeżeniami wskazanymi szczegółowo w tym artykule, zachowanie tajemnicy bankowej wobec osoby, której dotyczą informacje objęte tajemnicą. W ocenie Prezesa Urzędu Ochrony Danych Osobowych spadkobierca zmarłego posiadacza rachunku bankowego jest „osobą, której dotyczą informacje objęte tajemnicą” w rozumieniu tego przepisu, z chwilą otwarcia spadku staje się bowiem stroną umowy rachunku bankowego w miejsce zmarłego posiadacza rachunku. Takie stanowisko jest ugruntowane w orzecznictwie sądów powszechnych. Warte przytoczenia są tytułem przykładu rozważania zawarte w uzasadnieniu wyroku Sądu Okręgowego w Nowym Sączu z 28 kwietnia 2016 r. w sprawie o sygn. akt III Ca 132/16. Sąd stwierdza w nim co następuje: „[…] stosunek prawny łączący bank z kontrahentem posiadającym rachunek bankowy w kategoriach prawnych jest zobowiązaniem mającym swoje źródło w umowie. […] W czasie trwania umowy może dojść do zmian podmiotowych […]. Zmiana po stronie posiadacza rachunku może nastąpić w drodze czynności prawnej dokonanej między żyjącymi, np. w razie cesji wierzytelności (art. 509 i n. k.c.), ale również w przypadku następstwa prawnego na wypadek śmierci […]. W chwili otwarcia spadku następcy prawni posiadacza rachunku stają się stroną umowy rachunku bankowego wstępując w prawa zmarłego posiadacza rachunku. […] Spadkobiercy, wstępując w prawa i obowiązki strony umowy z bankiem nabywają zarówno uprawnienie w odniesieniu do wierzytelności z rachunków bankowych spadkodawcy, jakie istniały w dniu śmierci spadkodawcy (postanowienie SN z dnia 15 kwietnia 1997 r., I CKU 30/97, OSNC 1997, nr 10, poz. 149), jak i w ocenie Sądu Okręgowego, również do podejmowania wszelkich czynności i wydawania bankowi poleceń, do jakich uprawniony jest posiadacz rachunku. Jedną z takich dyspozycji jest także uprawnienie do przeglądania historii rachunku, za cały okres trwania umowy, czego domagała się powódka. Jest to bowiem związane ściśle z możliwością kontroli prawidłowości wykonania przez bank poleceń posiadacza rachunku. Kontroli takiej nie sposób powódce odmówić. Przepis art. 104 prawa bankowego stanowi zobowiązanie pracowników banku do przestrzegania tajemnicy bankowej polegającej na ograniczeniu możliwości przekazywania informacji uzyskanych w ramach udziału w czynnościach bankowych w stosunku do osób trzecich z wyłączeniami wynikającymi z art. 105 w/w ustawy. Jednak już z treści przepisu art. 104 ust 3 prawa bankowego wynika, iż banku nie obowiązuje, z zastrzeżeniem ust. 4, zachowanie tajemnicy wobec osoby, której dotyczą informacje objęte tajemnicą. Prawo do takiej informacji przysługuje spadkobiercy po posiadaczu rachunku bankowego, albowiem to jego, jako aktualnej strony umowy, dotyczą wszelkie informacje wynikające z prowadzenia rachunku przez bank. Próba ograniczenia dostępu do takich informacji przez bank stanowi, w ocenie Sądu Okręgowego, niedopuszczalne nadużycie uprawnień […].” Prezes Urzędu Ochrony Danych Osobowych w pełni akceptuje powyższe stanowisko. Wydaje się, że Bank również – po interwencji Komisji Nadzoru Finansowego podjętej na wniosek pełnomocnika Skarżącego – uznał powyższe stanowisko za prawidłowe, skoro przedstawił Skarżącemu - pismem z […] czerwca 2015 r. – żądane przez niego zestawienia zawierające historię transakcji na wszystkich rachunkach bankowych i rachunkach funduszy inwestycyjnych Pani A. Z. za okres od […] stycznia 2012 r. do […] czerwca 2015 r. (nie przedstawił jedynie danych osobowych pełnomocników i innych osób trzecich dokonujących w imieniu Pani A. Z. transakcji na jej rachunkach w Banku).

W wyjaśnieniach złożonych w niniejszym postępowaniu pismem z […] października 2016 r. Bank – nie wskazując konkretnych przepisów prawnych, na których oparł się odmawiając udostępnienia danych tych osób – wskazał, że „stoi na stanowisku, że w ramach nabytych praw [Skarżący] nie nabył prawa do dysponowania danymi osobowymi pełnomocnika. Przekazanie do Skarżącego danych pełnomocnika, nie jest również niezbędne do realizacji jego praw.” Stanowisko to, jak zostało to wyżej wykazane, jest nietrafne. Po pierwsze bowiem, Skarżący stając się w drodze dziedziczenia stroną wszystkich umów rachunku bankowych i inwestycyjnych zawartych z Bankiem przez Panią A. Z., nabył wszystkie prawa majątkowe wynikające z tych umów oraz uprawnienia do żądania od Banku informacji tych praw dotyczących. Po drugie zaś, dane osobowe pełnomocników i innych osób trzecich dokonujących w imieniu Pani A. Z. transakcji na jej rachunkach w Banku, niezbędne są w celu zidentyfikowania osoby, która mogła dysponować środkami Pani A. Z. zarówno przed jak i tuż po jej śmierci, następnie sprawdzenia ich upoważnienia do dokonywania takich dyspozycji, i następnie ewentualnie do pociągnięcia ich do odpowiedzialności za stwierdzone naruszenia. Bez podstawowych danych osobowych tych osób żaden z tych kroków nie byłby możliwy do zrealizowania. Ich ustalenie ze źródeł innych niż Bank byłoby niemożliwe lub co najmniej utrudnione w stopniu oznaczającym w praktyce konieczność zaniechania przez Skarżącego próby dochodzenia swoich praw.

Podsumowując stwierdzić należy, że Bank bezpodstawnie odmówił udostępnienia żądanych przez Skarżącego danych osobowych w zakresie imienia, nazwiska, adresu zamieszkania oraz numeru PESEL pełnomocnika ustanowionego przez Panią A. Z. do dysponowania jej rachunkiem bankowym o numerze PL […]. Jak ustalono w niniejszym postępowaniu, Pani A. Z. nie ustanowiła żadnych innych pełnomocników upoważnionych do dysponowania w jej imieniu posiadanymi przez nią w Banku rachunkami bankowymi i rachunkami inwestycyjnymi. Bank nie dysponuje ponadto danymi osobowymi innych – poza wskazanym wyżej pełnomocnikiem – osób trzecich, które w jej imieniu dokonywałyby transakcji na jej rachunkach w Banku. Z powyższego wynika zakres nakazu orzeczonego – w oparciu o art. 18 ust. 1 pkt 2 u.o.d.o. 1997 – w punkcie 1 sentencji niniejszej decyzji.

Oddalenie wniosku Skarżącego w pozostałym zakresie, orzeczone w punkcie 2 sentencji niniejszej decyzji, dotyczy wniosku Skarżącego o udostępnienie numeru dowodu osobistego pełnomocnika ustanowionego przez Panią A. Z. do dysponowania jej rachunkiem bankowym o numerze PL […] (jak wykazano wyżej dana ta nie jest niezbędna do realizacji wskazanego przez Skarżącego prawnie uzasadnionego interesu) oraz wniosku o wskazanie dat i kwot transakcji dokonanych przez osoby trzecie w imieniu A. Z. na jej rachunkach w Banku (w toku postępowania Bank przedstawił pełnomocnikowi Skarżącego historię transakcji na wszystkich rachunkach bankowych i rachunkach funduszy inwestycyjnych Pani A. Z. za okres od […] stycznia 2012 r. do […] czerwca 2015 r.; zestawienie to wyczerpało żądanie Skarżącego w tym zakresie).

W tym stanie faktycznym i prawnym Prezes Urzędu Ochrony Danych Osobowych rozstrzygnął, jak w sentencji.

Na podstawie art. 127 § 3 k.p.a. od decyzji przysługuje stronie prawo do wniesienia wniosku o ponowne rozpatrzenie sprawy w terminie 14 dni od dnia jej doręczenia stronie. Jeżeli strona nie chce skorzystać z prawa do złożenia wniosku o ponowne rozpatrzenie sprawy, ma prawo do wniesienia skargi na decyzję do Wojewódzkiego Sądu Administracyjnego w Warszawie w terminie 30 dni od dnia doręczenia jej stronie. Skargę wnosi się za pośrednictwem Prezesa Urzędu Ochrony Danych Osobowych (adres: ul. Stawki 2, 00-193 Warszawa). Wpis od skargi wynosi 200 złotych. Strona ma prawo ubiegania się o prawo pomocy, w tym zwolnienie od kosztów sądowych.