Decyzja

Na podstawie art. 104 § 1 ustawy z dnia 14 czerwca 1960 r. Kodeks postępowania administracyjnego (Dz. U. z 2018 r. poz. 2096 ze zm.) oraz na podstawie art. 160 ust. 1 i 2 ustawy o ochronie danych osobowych z dnia 10 maja 2018 roku (Dz. U. z 2018 r. poz. 1000 ze zm.) oraz art. 12 pkt 2, art. 22, art. 23 ust. l pkt 2 ustawy z dnia 29 sierpnia 1997 o ochronie danych osobowych (Dz. U. z 2016 r. poz. 922 oraz z 2018 r. poz. 138), w związku z art. 6 ust. 1 lit. c oraz lit. f Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (Dz. Urz. UE L 119 z 04.05.2016, str. 1 oraz Dz. Urz. UE L 127 z 23.05.2018, str. 2), w związku z art. 105 ust. 4 i art. 105a ust. 4 i 5 ustawy z dnia 29 sierpnia 1997 r. Prawo bankowe (t.j. Dz. U. z 2018 r. poz. 2187 z późn. zm.), po przeprowadzeniu postępowania administracyjnego w sprawie skargi Pani N. D., zam. […], na przetwarzanie jej danych osobowych przez A. S.A., z siedzibą w W. oraz BIK S.A., z siedzibą w W., Prezes Urzędu Ochrony Danych Osobowych

odmawia uwzględnienia wniosku.

Uzasadnienie

Do Biura Generalnego Inspektora Ochrony Danych Osobowych wpłynęła skarga Pani N. D., zam. [...], zwanej dalej Skarżącą, na przetwarzanie jej danych osobowych przez A. S.A., z siedzibą w W., zw. dalej Bankiem, w tym na ich udostępnienie oraz na przetwarzanie ww. danych przez BIK S.A., z siedzibą w W., zw. dalej BIK. Skarżąca w treści skargi wniosła o usunięcie jej danych osobowych w zakresie dotyczącym umowy z […] marca 2003 r., nr identyfikacyjny […].

W toku przeprowadzonego postępowania wyjaśniającego w niniejszej sprawie Prezes Urzędu Ochrony Danych Osobowych ustalił następujący stan faktyczny:

1. Dane osobowe Skarżącej zostały pozyskane przez Bank w związku z zawarciem umowy z […] marca 2003 r., nr. […], zawartą z G. S.A., którego następcą prawnym jest A. S.A.
2. W dniu […] grudnia 2008 r., wierzytelność wynikająca z umowy nr […], której stroną była Skarżąca, została zbyta przez Bank na rzecz firmy U., w związku z czym nastąpiło zamknięcie rachunku dot. ww. umowy.
3. Bank przetwarzał dane osobowe Skarżącej na podstawie art. 23 ust 1 pkt 5 w zw. z art. 23 ust. 4 pkt 2 w celu dochodzenia roszczeń powstałych w związku z wykonywaniem czynności bankowych. Po 25 maja 2018 r. podstawę przetwarzania stanowił art. 6 ust. 1 lit. f Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679.
4. Dane osobowe Skarżącej zostały przekazane do BIK w związku z zobowiązaniem wynikającym z umowy z dnia […] marca 2003 r., nr. […] na podstawie art. 105 ust. 4 ustawy Prawo bankowe.  
5. Aktualnie Bank oraz BIK nie przetwarzają danych osobowych Skarżącej w zakresie dot. umowy z dnia […] marca 2003 r., nr. […] w celu oceny zdolności kredytowej i analizy ryzyka kredytowego na podstawie art. 105a ust. 3 ustawy Prawo bankowe.
6. W wyjaśnieniach przed Generalnym Inspektorem BIK oświadczył, że rachunek dot. umowy z dnia […] marca 2003 r., nr. […] ma  obecnie status rachunku zamkniętego i przetwarzany jest w celu stosowania metod wewnętrznych oraz innych metod, na podstawie art. 105a ust. 4 i 5 ustawy Prawo bankowe.

W tym stanie faktycznym, Prezes Urzędu Ochrony Danych Osobowych zważył, co następuje.

Z dniem wejścia w życie uodo 2018, Biuro Generalnego Inspektora Ochrony Danych Osobowych stało się Urzędem Ochrony Danych Osobowych. Postępowania prowadzone przez Generalnego Inspektora Ochrony Danych Osobowych, wszczęte i niezakończone przed 25 maja 2018 r. prowadzone są przez Prezesa Urzędu Ochrony Danych Osobowych, na podstawie uodo 1997, zgodnie z zasadami określonymi w ustawie z dnia 14 czerwca 1960 r. Kodeks postępowania administracyjnego (Dz. U. z 2018 r. poz. 2096), zwanej dalej Kpa. Wszelkie czynności podejmowane przez Generalnego Inspektora Ochrony Danych Osobowych przed 25 maja 2018 r. pozostają skuteczne. Od 25 maja 2018 r. obowiązują przepisy Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (Dz. Urz. UE L 119 z 04.05.2016, str. 1 oraz Dz. Urz. UE L 127 z 23.05.2018, str. 2), zwanego dalej rozporządzeniem 2016/679.

Prezes UODO wydając decyzję administracyjną zobowiązany jest do rozstrzygania w oparciu o stan faktyczny istniejący w chwili wydania tej decyzji. Jak podnosi doktryna „organ administracji publicznej ocenia stan faktyczny sprawy według chwili wydania decyzji administracyjnej. Reguła ta odnosi się także do oceny stanu prawnego sprawy, co oznacza, że organ administracji publicznej wydaje decyzję administracyjną na podstawie przepisów prawa obowiązujących w chwili jej wydania (…) Rozstrzyganie w postępowaniu administracyjnym polega na zastosowaniu obowiązującego prawa do ustalonego stanu faktycznego sprawy administracyjnej. W ten sposób organ administracji publicznej realizuje cel postępowania administracyjnego, jakim jest urzeczywistnienie obowiązującej normy prawnej w zakresie stosunków administracyjno-prawnych, gdy stosunki te tego wymagają” (Komentarz do ustawy z dnia 14 czerwca 1960 r. Kodeks postępowania administracyjnego (Dz. U. 00.98.1071) M. Jaśkowska, A. Wróbel, Lex., el/2012).

W wyroku z dnia 7 maja 2008 r. w sprawie o sygn. akt I OSK 761/07 Naczelny Sądu Administracyjny stwierdził, iż „badając bowiem legalność przetwarzania danych osobowych, GIODO ma obowiązek ustalenia, czy na datę wydawania rozstrzygnięcia w sprawie dane konkretnego podmiotu są przetwarzane oraz czy czynione to jest w sposób zgodny z prawem”.

Rozporządzenie 2016/679 stanowi przepisy o ochronie osób fizycznych w związku z przetwarzaniem danych osobowych oraz przepisy o swobodnym przepływie danych osobowych oraz  chroni podstawowe prawa i wolności osób fizycznych, w szczególności ich prawo do ochrony danych osobowych (art. 1 ust 1 i 2 rozporządzenia 2016/679). Odpowiednio regulował tę kwestię art. 2 ust. 1 ustawy. W świetle przepisów powołanego aktu prawnego, przetwarzanie danych osobowych jest uprawnione, gdy spełniona zostanie którakolwiek z przesłanek wymienionych w art. 6 ust. 1 rozporządzenia 2016/679 (uprzednio art. 23 ust. 1 ustawy). Przesłanki te odnoszą się do wszelkich form przetwarzania danych wymienionych w art. 4 pkt 2 rozporządzenia 2016/679 (art. 7 pkt 2 ustawy), w tym w szczególności do ich udostępnienia. Warunki te są także względem siebie równoprawne, co oznacza, że dla legalności procesu przetwarzania danych wystarczające jest spełnienie jednej z nich.

Odnosząc się do żądania Skarżącej w przedmiocie kwestii stwierdzenia legalności dokonywanego aktualnie przetwarzania danych osobowych Skarżącej zarówno przez Bank, jak i BIK, wskazać należy, że dane osobowe Skarżącej zostały przekazane do BIK w zakresie informacji stanowiących tajemnicę bankową zgodnie z art. 105 ust. 4 Prawa bankowego. Zgodnie z tym przepisem, banki mogą, wspólnie z bankowymi izbami gospodarczymi, utworzyć instytucje upoważnione do gromadzenia, przetwarzania i udostępniania: bankom – informacji stanowiących tajemnicę bankową w zakresie, w jakim informacje te są potrzebne w związku z wykonywaniem czynności bankowych oraz w związku ze stosowaniem metod wewnętrznych oraz innych metod i modeli, o których mowa w części trzeciej rozporządzenia nr 575/2013; innym instytucjom ustawowo upoważnionym do udzielania kredytów – informacji stanowiących tajemnicę bankową w zakresie, w jakim informacje te są niezbędne w związku z udzielaniem kredytów, pożyczek pieniężnych, gwarancji bankowych i poręczeń; instytucjom kredytowym – informacji stanowiących tajemnicę bankową w zakresie niezbędnym do oceny zdolności kredytowej konsumenta, o której mowa w art. 9 ustawy z dnia 12 maja 2011 r. o kredycie konsumenckim; instytucjom pożyczkowym i podmiotom, o których mowa w art. 59d ustawy z dnia 12 maja 2011 r. o kredycie konsumenckim – na zasadzie wzajemności, informacji stanowiących odpowiednio tajemnicę bankową oraz informacje udostępnione przez instytucje pożyczkowe oraz podmioty, o których mowa w art. 59d ustawy z dnia 12 maja 2011 r. o kredycie konsumenckim, w zakresie niezbędnym do oceny zdolności kredytowej konsumenta, o której mowa w art. 9 tej ustawy, i analizy ryzyka kredytowego. Podstawę prawną do przetwarzania danych osobowych Skarżącej w tym zakresie do dnia 25 maja 2018 r. stanowił  art. 23. ust. 1 pkt 5) uodo 1997, tj. przetwarzanie danych było dopuszczalne wtedy, gdy było to niezbędne dla wypełnienia prawnie usprawiedliwionych celów realizowanych przez administratorów danych albo odbiorców danych, a przetwarzanie nie naruszało praw i wolności osoby, której dane dotyczyły. Od 25 maja 2018 r. podstawę prawną przetwarzania danych w tym zakresie określa art. 6 ust 1 rozporządzenia 2016/679, tj. przetwarzanie jest zgodne z prawem wyłącznie w przypadkach, gdy – i w takim zakresie, w jakim – spełniony jest co najmniej jeden z poniższych warunków, z których  przepis z lit. f) stanowi, że przetwarzanie jest niezbędne do celów wynikających z prawnie uzasadnionych interesów realizowanych przez administratora.

Ustosunkowując się zatem do żądania Skarżącej, dotyczącego usunięcia jej danych osobowych w zakresie dotyczącym umowy z […] marca 2003 r., nr identyfikacyjny […]  należy stwierdzić, że zgodnie z  art. 23 ust 1 pkt 5 w zw. z art. 23 ust. 4 pkt 2 uodo Bank miał podstawę prawną do przetwarzania danych osobowych Skarżącej po wygaśnięciu zobowiązania tj. do […] grudnia 2018 r. Po 25 maja 2018 r., podstawę przetwarzania stanowił art. 6 ust. 1 lit. f Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679. Odnosząc się natomiast do kwestii przetwarzania danych osobowych Skarzącej przez BIK, podstawą prawną przetwarzania jej danych osobowych jest art. 6 ust. 1 lit. c) rozporządzenia 2016/679, tj. przetwarzanie jest niezbędne do wypełnienia obowiązku prawnego ciążącego na administratorze na podstawie art. 105a ust. 4 i 5 ustawy z dnia 29 sierpnia 1997 r. Prawo bankowe (t.j. Dz. U. z 2018 r. poz. 2187 z późn. zm.). W związku z powyższym dane osobowe Skarzącej będą przetwarzane przez okres 12 lat od dnia wygaśnięcia zobowiązania Skarżacej, tj. do […] grudnia 2020 r. Nie zaistniała zatem niezbędna przesłanka do wydania przez Prezesa UODO decyzji nakazującej przywrócenie stanu zgodnego z prawem, dlatego zasadnym jest wydanie decyzji odmawiającej spełnienia żądania osoby, której dane dotyczą.

W tym stanie faktycznym i prawnym Prezes Urzędu Ochrony Danych Osobowych rozstrzygnął, jak w sentencji.

Na podstawie art. 127 § 3 Kpa od niniejszej decyzji stronie przysługuje prawo do wniesienia wniosku o ponowne rozpatrzenie sprawy w terminie 14 dni od dnia doręczenia decyzji stronie. Jeżeli strona nie chce skorzystać z prawa do złożenia wniosku o ponowne rozpatrzenie sprawy, ma prawo do wniesienia skargi na decyzję do Wojewódzkiego Sądu Administracyjnego w Warszawie w terminie 30 dni od dnia doręczenia jej stronie. Skargę wnosi się za pośrednictwem Prezesa Urzędu Ochrony Danych Osobowych.