24.10.2019

Przetwarzanie danych osobowych przez banki

opublikowano: 2014-09-01 przez: Mika Ewelina

W związku ze wzrostem popularności usług bankowych – czy to świadczonych w formie tradycyjnej czy też drogą elektroniczną – pojawiają się pytania o to, jak bardzo banki czy też inne podmioty, za pośrednictwem których korzystamy z ofert kredytowych, mogą „ingerować” w naszą prywatność. Coraz częściej bowiem można spotkać się z praktyką polegającą na weryfikowaniu przez bank naszych danych osobowych czy z żądaniem odpisów aktów stanu cywilnego (np. małżeństwa). Żądania te są obwarowane rygorem odmowy przeprowadzenia czynności bankowej. Należy zatem rozważyć, czy tego typu praktyki stosowane przez instytucje zaufania publicznego, jakimi niewątpliwie są banki, są legalne i mieszczą się w granicach wyznaczonych przez obowiązujące przepisy prawa, zwłaszcza przez ustawę o ochronie danych osobowych[1] oraz Prawo bankowe[2].

Legalność gromadzenia i przechowywania danych przez banki

Pierwszym etapem do zapewnienia legalności gromadzenia przez bank danych „zwykłych” – a taki charakter mają dane niewymienione przez ustawodawcę w art. 27 ust. 1 ustawy o ochronie danych osobowych, jak np. imię, nazwisko, adres zamieszkania, nr PESEL, numer telefonu, informacje o naszym wynagrodzeniu czy stanie cywilnym – jest spełnienie co najmniej jednej z przesłanek wskazanych w art. 23 ust. 1 ustawy o ochronie danych osobowych. Banki często żądają wyrażenia zgody na zbieranie, przetwarzanie czy przechowywanie danych osobowych stron czynności bankowych. Zgoda na przetwarzanie danych osobowych przez bank nie jest jedyną przesłanką uprawniającą, tzn. legalizującą, te czynności – wprawdzie stanowi ona przesłankę optymalną – chociażby z uwagi na to, że mamy pewność, iż ten, kogo dotyczą dane, ma świadomość przetwarzania tych informacji i w pełni to akceptuje, skoro zgodę tę wyraził – jednakże nie jest konieczna w przypadku banku. Ustawa o ochronie danych osobowych stanowi bowiem, że przetwarzanie jest dopuszczalne również wtedy, gdy jest to konieczne do realizacji umowy, a osoba, której dane dotyczą, jest jej stroną lub gdy jest to niezbędne do podjęcia działań przed zawarciem umowy na żądanie osoby, której dane dotyczą, a także wtedy, gdy zezwalają na to przepisy prawa[3]. Banki uzyskały taką legitymację przede wszystkim w przepisach Prawa bankowego, ale także w wielu innych przepisach. Niecelowe jest wskazywanie wszystkich, można jedynie w tym miejscu wskazać te o istotniejszym znaczeniu, jak: ustawa o przeciwdziałaniu praniu pieniędzy oraz finansowaniu terroryzmu[4], ustawa o elektronicznych instrumentach płatniczych[5] czy akty niższego rzędu, jak: rozporządzenie Ministra Finansów w sprawie szczegółowego zakresu przetwarzanych informacji dotyczących osób fizycznych po wygaśnięciu zobowiązania wynikającego z umowy zawartej z bankiem lub inną instytucją ustawowo upoważnioną do udzielania kredytów oraz trybu usuwania tych informacji[6].

Na zasadzie lex specialis w stosunku do ustawy o ochronie danych osobowych normują one kwestie ochrony danych osobowych klientów. Na przykład w myśl art. 52 ust. 2 pkt 1 Prawa bankowego umowa rachunku bankowego powinna określać w szczególności strony umowy, co skutkuje koniecznością określenia tożsamości osoby, która taki rachunek zamierza otworzyć. Inny przepis Prawa bankowego, art. 70, odnosi się do przetwarzania danych innej, szczególnej grupy klientów banków – tj. kredytobiorców. Bank uzależnia przyznanie kredytu od zdolności kredytowej kredytobiorcy. Przez zdolność kredytową rozumie się natomiast zdolność do spłaty zaciągniętego kredytu wraz z odsetkami w terminach określonych w umowie. Z treści powołanego przepisu wynika, że kredytobiorca jest zobowiązany przedłożyć na żądanie banku dokumenty i informacje niezbędne do dokonania oceny tej zdolności.

Przepisy Prawa bankowego nie wskazują katalogu informacji, które mieszczą się w granicach wyznaczonych przez wspomnianą normę. Katalogu takiego – zdaniem przedstawicieli judykatury – nie może określać również Generalny Inspektor Ochrony Danych Osobowych ani sąd administracyjny. Takie stanowisko wynika z orzeczenia z 13 lipca 2004 r.[7], w którym sąd wyraził pogląd, że ani Generalny Inspektor, ani sąd nie mogą zastępować ustawodawcy przez ustalanie, jakie dane osobowe możliwe są wyłącznie do przetwarzania przy zawieraniu i wykonywaniu umów dotyczących udzielania kredytów. Z uwagi na wątpliwości w tym zakresie, które obejmowały również legalność przetwarzania danych klientów po wygaśnięciu zobowiązania, kwestie te zostały doprecyzowane przez Ministra Finansów w rozporządzeniu, które wskazuje katalog danych, jakie mogą podlegać przetwarzaniu w celu oceny zdolności kredytowej i analizy ryzyka kredytowego lub dla celów stosowania metod statystycznych. Obejmuje on, z jednej strony, dane dotyczące osoby fizycznej, z drugiej zaś, dane dotyczące zobowiązania[8].

Z innej ustawy natomiast, tj. z art. 8 ust. 1 ustawy o przeciwdziałaniu praniu pieniędzy oraz finansowaniu terroryzmu, wynika, że instytucja obowiązana – a taki status służy bankowi przeprowadzającemu transakcję, której równowartość przekracza 15 000 euro – ma obowiązek zarejestrować taką transakcję również w przypadku, gdy jest ona przeprowadzana za pomocą więcej niż jednej operacji, których okoliczności wskazują, że są one ze sobą powiązane i zostały podzielone na operacje o mniejszej wartości z zamiarem uniknięcia obowiązku rejestracji. Bank przeprowadzający transakcję, której okoliczności wskazują, że może ona mieć związek z praniem pieniędzy lub finansowaniem terroryzmu, ma obowiązek rejestrować taką transakcję, bez względu na jej wartość i charakter. Zgodnie natomiast z art. 8b ust. 1 w zw. z ust. 3 tego artykułu banki stosują wobec swoich klientów środki bezpieczeństwa finansowego, które polegają m.in. na identyfikacji klienta i weryfikacji jego tożsamości na podstawie dokumentów lub informacji publicznie dostępnych. Identyfikacja dotyczy również stron transakcji niebędących klientami i obejmuje ustalenie i zapisanie ich nazwy (firmy) lub imienia i nazwiska oraz adresu w zakresie, w jakim dane te instytucja może ustalić przy zachowaniu należytej staranności. Powyższa weryfikacja polega na sprawdzeniu i potwierdzeniu danych i następuje przed zawarciem umowy z klientem lub przeprowadzaniem transakcji.

Odpis aktu poproszę, czyli adekwatność zbieranych danych

Jedną z zasad zawartych w art. 26 ust. 1 pkt 3 ustawy o ochronie danych osobowych jest zasada adekwatności (relewantności) danych. W myśl tej zasady bank, jako administrator danych, powinien zadbać o to, aby zbierane dane były adekwatne w stosunku do celów, dla których są przetwarzane. Swym rodzajem i swą treścią dane nie powinny wykraczać poza potrzeby wynikające z celu ich zbierania. Omawiany wymóg sprzeciwia się też zbieraniu wszelkich danych dla tego celu nieistotnych, niemających znaczenia, jak i danych o „większym – niż uzasadniony z tego względu – stopniu szczegółowości”[9].

Często jednak można spotkać się z praktyką zbierania przez banki danych, które wydają się mało istotne z punktu widzenia czynności bankowych, jak żądanie odpisów aktów stanu cywilnego, wyroków sądowych itp. Jak wynika z powyższego, bank, żądając takich danych, musi spełniać co najmniej jedną z pięciu przesłanek przetwarzania danych, które są wymienione w art. 23 ust. 1 pkt. 1–5 ustawy o ochronie danych osobowych. Ponieważ Prawo bankowe nie zawiera przepisu, który wprost uprawniałby do gromadzenia informacji takich jak wskazane wyżej, nie ma podstaw do zażądania od klienta, by przedłożył takie dokumenty w celu weryfikacji zmiany nazwiska czy zdolności kredytowej. Niemniej jednak takie dane są niejednokrotnie niezbędne do dokonania czynności bankowej. W takich sytuacjach należy się posiłkować katalogiem danych wskazanym w § 3 rozporządzenia Ministra Finansów w sprawie szczegółowego zakresu przetwarzanych informacji dotyczących osób fizycznych po wygaśnięciu zobowiązania wynikającego z umowy zawartej z bankiem lub inną instytucją ustawowo upoważnioną do udzielania kredytów oraz trybu usuwania tych informacji w powoływanych wyżej przypadkach. W mojej ocenie nie jest on jednak wyczerpujący.

Incydentalnie bowiem, do rozpatrzenia konkretnego przypadku, zakres danych powinien być szerszy. Jako przykład można wskazać hipotetyczną sytuację, gdzie po stronie kredytobiorcy występują małżonkowie, między którymi istnieje ustawowa wspólnota majątkowa i dochodzi między nimi do rozwodu. Jednym ze skutków rozwodu jest rozdzielność. Abstrahując od tego, czy ma to wpływ na ich status i odpowiedzialność wobec banku z tytułu zobowiązania, którego źródłem była umowa kredytowa, bank – w razie rozpatrywania możliwości zwolnienia jednego z małżonków z odpowiedzialności, gdyż np. drugi posiada wystarczającą zdolność do spłaty kredytu i wyraża taką chęć – może żądać potwierdzenia pewnych okoliczności, w tym przypadku rozwodu. Dyskusyjną kwestią jest to, czy uprawnia do tego przepis prawa, tj. art. 70 Prawa bankowego, w myśl którego kredytobiorca jest zobowiązany przedstawić bankowi dokumenty mówiące o jego zdolności kredytowej. W zasadzie bank, badając zdolność kredytową kredytobiorcy, może zażądać wszelkich dokumentów niezbędnych do oceny ryzyka związanego z zawarciem umowy kredytowej. W mojej ocenie przepis ten jednak nie uprawnia wprost do przetwarzania danych poddanych szczególnej ochronie, a taki status służy wyrokom sądowym. Stąd konieczne jest spełnienie innej przesłanki niż uprawnienie wynikające z przepisu prawa. W tym przypadku może być to jedynie zgoda osoby, której dane dotyczą, i to w kwalifikowanej postaci, tj. w formie pisemnej[10]. Adekwatność zakresu danych osobowych powinna zatem każdorazowo podlegać ocenie przez pryzmat celu ich przetwarzania, w kontekście konkretnych okoliczności.

Należy się również odnieść do technik zbierania danych za pomocą kopiowania czy skanowania dokumentów. Były one niejednokrotnie przedmiotem sprzeciwu Generalnego Inspektora Ochrony Danych Osobowych, niemniej jednak nie z uwagi na sam sposób pozyskiwania danych, ale właśnie z uwagi na szerszy zakres danych, który przez utrwalenie kopii dokumentu może znaleźć się w zbiorze administratora[11]. Jak trafnie zauważył NSA w sentencji jednego z wyroków, gromadzenie danych osobowych przez wykonanie kopii dokumentu zawierającego te dane jest kwestią techniczną; posługiwanie się taką czy inną techniką utrwalania tych danych (kopiowanie lub przepisywanie) nie przesądza samo przez się o legalności albo nielegalności tego utrwalania (przetwarzania)[12]. W przypadku utrwalania danych w taki sposób należy zadbać o to, aby dane, które nie są konieczne, zostały zanonimizowane.

Tajemnica bankowa a udostępnianie danych

Jednym z najistotniejszych obowiązków nałożonych na banki jest ochrona informacji dotyczących czynności bankowych. Obowiązek zachowania tajemnicy bankowej wynika w sposób bezpośredni z przepisu ustawy. W myśl art. 104 ust. 1 Prawa bankowego bank, osoby w nim zatrudnione oraz osoby, za których pośrednictwem bank wykonuje czynności bankowe, są zobowiązane zachować tajemnicę bankową, która obejmuje wszystkie informacje dotyczące czynności bankowej uzyskane w czasie negocjacji, w trakcie zawierania i realizacji umowy, na podstawie której bank tę czynność wykonuje. Źródłem obowiązku „dyskrecji” banku jest zatem ustawa. Wskazany przepis ma charakter dyspozytywny – wolą beneficjenta tajemnicy zakres jego obowiązywania może być zmieniony[13]. Należy dodać, że banku nie obowiązuje w określonych przepisem przypadkach zachowanie tajemnicy bankowej wobec osoby, której dotyczą informacje objęte tajemnicą[14]. Informacje te mogą być ujawnione osobom trzecim wyłącznie wtedy, gdy osoba, której te informacje dotyczą, na piśmie upoważni bank do przekazania określonych informacji wskazanej przez siebie osobie lub jednostce organizacyjnej (art. 104 ust. 3).

Od tej generalnej zasady zakazu udostępniania informacji stanowiących tajemnicę bankową ustawodawca wprowadził wyjątki. Zostały one wskazane w art. 105 tej ustawy, a ich katalog jest bardzo obszerny. Jedynie jako przykład można wskazać, że bank ma obowiązek udzielenia informacji stanowiących tajemnicę bankową:

  1. innym bankom i instytucjom kredytowym w zakresie, w jakim informacje te są niezbędne w związku z wykonywaniem czynności bankowych oraz nabywaniem i zbywaniem wierzytelności, w tym na zasadzie wzajemności – innym instytucjom ustawowo upoważnionym do udzielania kredytów,

  2. sądom lub prokuratorom w związku z toczącymi się postępowaniami o przestępstwo lub przestępstwo skarbowe,

  3. sądom w związku z prowadzonym postępowaniem spadkowym lub o podział majątku między małżonkami albo prowadzoną przeciwko osobie fizycznej będącej stroną umowy sprawą o alimenty lub o rentę o charakterze alimentacyjnym,

  4. służbom ochrony państwa, Agencji Wywiadu, Centralnego Biura Antykorupcyjnego, Policji,

  5. komornikom sądowym.

W tych przypadkach mamy zatem do czynienia z udostępnieniem danych ex lege.

Bank ponosi odpowiedzialność za niezachowanie tajemnicy bankowej. Z literatury przedmiotu wynika, że odpowiedzialność ta ma charakter kontraktowy i deliktowy[15]. Takie stanowisko jest potwierdzone w orzecznictwie. Jako przykład można wskazać orzeczenie z 19 lutego 2010 r., w którym Sąd Najwyższy uznał, że art. 105 ust. 5 ustawy z 1997 r. – Prawo bankowe może stanowić – w powiązaniu z właściwymi przepisami Kodeksu cywilnego – podstawę odpowiedzialności banku, bądź to kontraktowej (art. 471, 474 Kc), bądź to deliktowej (art. 415, 429, 430 Kc)[16]. We wspomnianym orzeczeniu SN odniósł się również do czasu, kiedy informacje są objęte tajemnicą, stanowiąc, że: przepis art. 104 ust. 1 ustawy z 1997 r. Prawo bankowe nie precyzuje, czy wymienione w nim podmioty są zobowiązane do zachowania tajemnicy bankowej także po utracie określonego w nim statusu. Nie wskazuje też końcowego terminu związania tych podmiotów obowiązkiem zachowania tajemnicy. Trzeba zatem uznać, że obowiązek ten jest bezterminowy. Zastosowanie odmiennego rozwiązania ograniczyłoby w sposób istotny efektywność ochrony beneficjentów tajemnicy bankowej.

Naruszenie instytucji tajemnicy bankowej może rodzić odpowiedzialność z tytułu naruszenia dóbr osobistych, których katalog nie jest przecież zamknięty.

Instytucje Wymiany Informacji Kredytowej

W działalności bankowej istotne znaczenie ma możliwość wymiany danych z instytucjami upoważnionymi do wymiany informacji stanowiących tajemnicę bankową. Takie instytucje tworzone są na podstawie przepisów Prawa bankowego. Zgodnie z art. 105 ust. 4 Prawa bankowego banki mogą, wspólnie z bankowymi izbami gospodarczymi, utworzyć instytucje upoważnione do gromadzenia, przetwarzania i udostępniania:

  1. bankom – informacji stanowiących tajemnicę bankową w zakresie, w jakim informacje te są potrzebne w związku z wykonywaniem czynności bankowych oraz w związku ze stosowaniem metod statystycznych, o których mowa w art. 128 ust. 3 oraz w art. 128d ust. 1,

  2. innym instytucjom ustawowo upoważnionym do udzielania kredytów – informacji stanowiących tajemnicę bankową w zakresie, w jakim informacje te są niezbędne w związku z udzielaniem kredytów, pożyczek pieniężnych, gwarancji bankowych i poręczeń.

Przepis ten legalizuje przekazywanie danych stanowiących tajemnicę bankową instytucjom takim, jak np. Biuro Informacji Kredytowej S.A. (BIK S.A.), które przetwarzają dane niezbędne w związku z udzielaniem kredytów, pożyczek pieniężnych, gwarancji bankowych i poręczeń, co ma być pomocne m.in. przy ocenie zdolności kredytowej i analizie ryzyka kredytowego.

Powstaje zatem pytanie, dlaczego tak często przekazanie do BIK S.A. czy innego zbioru zawierającego dane o zaległościach czy „dłużnikach” budzi taki sprzeciw. W mojej ocenie jest to kwestia braku rzetelnej informacji na ten temat. Nie oznacza to, że jej nie ma. Taka informacja pojawia się, ale jest mało czytelna, biorąc pod uwagę sposób przekazu o możliwości udostępnienia naszych danych, czasie ich przechowywania w kontekście okoliczności, w których informacja ta jest udzielana, tj. jeszcze nie jesteśmy zadłużeni, a wyrażenie zgody na udostępnienie tych danych ma często wpływ na czynność bankową (np. przyznanie kredytu). Te okoliczności mają wpływ na brak przywiązywania należytej uwagi do tego zagadnienia, a zainteresowanie nim jest dopiero potęgowane w momencie wystąpienia negatywnych skutków. Stąd tak ważną rolę odgrywa obowiązek informacyjny, o którym mowa w ustawie o ochronie danych osobowych. Powinien być on spełniony już na etapie gromadzenia danych. Poinformowanie osoby, której dane dotyczą, o zasadach ich wykorzystania jest obowiązkiem administratora. Obowiązek ten powstaje niezależnie od tego, czy osoba, której dane dotyczą, zwróciła się z wnioskiem o taką informację, czy też nie. Zakładając, że bank pozyskuje dane bezpośrednio od tej osoby, ten obowiązek wynika z art. 24 ust. 1 ustawy, co oznacza, że bank powinien poinformować tę osobę o:

  • adresie swojej siedziby i pełnej nazwie,

  • celu zbierania danych,

  • znanych mu w czasie udzielania informacji lub przewidywanych odbiorcach lub kategoriach odbiorców danych,

  • prawie do dostępu do treści swoich danych oraz do ich poprawiania,

  • dobrowolności albo obowiązku podania danych, a jeżeli taki obowiązek istnieje, o jego podstawie prawnej.

Obowiązek poinformowania wynikający z art. 24 ust. 1 powinien być wykonany w momencie zbierania danych. Jest on jednak wyłączony, gdy przepis innej ustawy zezwala na przetwarzanie danych bez ujawniania faktycznego celu ich zbierania lub osoba, której dane dotyczą, jest już poinformowana.

Z powyższego wynika, że już na etapie pozyskiwania danych powinna być udzielona informacja o kategoriach odbiorców, a więc o tym, że mogą być one przekazane do BIK czy do Związku Banków Polskich. Te informacje są wprawdzie przekazywane, ale w mało czytelnej formie (drobnym drukiem), i tak naprawdę nie wiadomo, kiedy i w jakich okolicznościach dane zostaną udostępnione i przez jaki okres będą przetwarzane. Ustawodawca podjął próbę minimalizacji negatywnych skutków „niedoinformowania” przez wprowadzenie przepisów statuujących prawo do informacji. Ich celem było m.in. umożliwienie zapewnienia dostępu do wiedzy na temat tego, kto przetwarza dane, oraz umożliwienie skorzystania m.in. z uprawnień kontrolnych przyznanych w art. 32 ustawy o ochronie danych osobowych.

Po wygaśnięciu zobowiązania łączącego klienta z bankiem instytucje tworzone dla wymiany informacji stanowiących tajemnicę bankową (nie banki, które są upoważnione w przepisach prawa) – w celu oceny zdolności kredytowej i analizy ryzyka kredytowego – mogą przetwarzać dane tzw. rzetelnych klientów (tj. wywiązujących się ze swoich zobowiązań względem banku) wyłącznie pod warunkiem uzyskania pisemnej zgody. Natomiast dane osobowe tzw. dłużników (tj. osób dopuszczających się zwłoki w spełnieniu świadczenia wynikającego z umowy powyżej 60 dni) mogą być przetwarzane bez ich zgody, ale z zachowaniem warunków określonych w art. 105a ust. 3 Prawa bankowego. Okres przetwarzania danych w takich przypadkach wynosi pięć lat od dnia wygaśnięcia zobowiązania, chyba że dane są przetwarzane w celu stosowania metod statystycznych, dla których okres przechowywania wynosi 12 lat (art. 105a ust. 5 Prawa bankowego)[17].

Odnośnie do czasu i celu przetwarzania danych przez takie podmioty jak BIK S.A. znaczenia nabiera orzecznictwo – wprawdzie nie ma ono mocy wiążącej, niemniej jednak stanowi w tym przypadku wskazówkę interpretacyjną. Jako przykład można podać orzeczenie Wojewódzkiego Sądu Administracyjnego w Warszawie, który w wyroku z 6 lipca 2006 r.[18] stwierdził, że: dopóki ważność umowy nie zostanie podważona we właściwym trybie i formie, umowa stanowi dokument wywołujący określone skutki prawne podlegające także ocenie w świetle ustawy o ochronie danych osobowych. Oznacza to, że Generalny Inspektor Ochrony Danych Osobowych, jako organ stojący na straży ochrony danych osobowych, może nakazać usunięcie danych osoby, która zawarła z bankiem umowę, ale dopiero wówczas, gdy sąd cywilny stwierdzi prawomocnym orzeczeniem, że kredytobiorca nie jest dłużnikiem banku. Liberalne stanowisko odnośnie do przetwarzania danych przez tego typu instytucje, jak BIK S.A., zajął Naczelny Sąd Administracyjny w wyroku z 7 maja 2009 r., stwierdzając, że: zarówno banki, jak i instytucje utworzone na podstawie art. 105 ust. 4 Prawa bankowego (a więc i Biuro Informacji Kredytowej) mogą przetwarzać informacje stanowiące tajemnicę bankową dotyczącą osób fizycznych po wygaśnięciu zobowiązania wynikającego z umowy zawartej z bankiem lub inną instytucją ustawowo upoważnioną do udzielania kredytów, bez zgody osoby, której informacje dotyczą, dla stosowania metod statystycznych, o których mowa w art. 128 ust. 3 Prawa bankowego. Z żadnego przepisu nie wynika, by powyższy przepis dotyczył wyłącznie informacji uzyskanych tylko w tym celu[19].

Jednak de facto to banki są administratorami danych, a więc to one powinny być beneficjentem żądań, zarzutów i sprzeciwów co do przetwarzania danych. To na bankach zatem spoczywa zapewnienie merytorycznej poprawności przetwarzanych danych. Tak więc w przypadku, gdy dane przetwarzane przez administratora są niepoprawne, osoba, której dane dotyczą, może skorzystać z uprawnienia, którego istotą jest doprowadzenie do zweryfikowania błędnych informacji. W myśl bowiem art. 32 ust. 1 pkt 6 ustawy o ochronie danych osobowych każdej osobie przysługuje prawo do kontroli przetwarzania danych, które jej dotyczą, zawartych w zbiorach danych, a zwłaszcza prawo do żądania uzupełnienia, uaktualnienia, sprostowania danych osobowych, czasowego lub stałego wstrzymania ich przetwarzania lub ich usunięcia, jeżeli są one niekompletne, nieaktualne, nieprawdziwe lub zostały zebrane z naruszeniem ustawy albo są już zbędne do realizacji celu, dla którego zostały zebrane. Wprawdzie wyrok ten dotyczył innego podmiotu niż BIK S.A., ale jego treść jest istotna także w tym przypadku. Wynika z niej bowiem, że względy natury technicznej (np. brak możliwości stosowania w programie określonych znaków) nie mogą usprawiedliwiać przetwarzania danych nieprawdziwych, niekompletnych czy nieaktualnych[20].

Na marginesie można jedynie wskazać, że zarówno BIK S.A., jak i Związek Banków Polskich widnieją w jawnym i publicznie udostępnionym rejestrze w wersji elektronicznej[21] jako administratorzy danych, co nie jest zgodne ze stanem faktycznym – nie dysponują bowiem władztwem decyzyjnym w stosunku do tych danych. Takie uprawnienie służy bowiem bankom.

Marketing produktów bankowych

Do przetwarzania danych osobowych przez bank w celach marketingowych nie jest konieczna zgoda klienta banku. Podstawą legalności przetwarzania danych w celach marketingowych może być art. 23 ust. 1 pkt 5 ustawy o ochronie danych osobowych. Oznacza to, że przetwarzanie danych klientów banków może odbywać się na podstawie zgody osób, których dane dotyczą, lub w prawnie usprawiedliwionym celu, do którego ustawa zalicza m.in. marketing bezpośredni własnych produktów lub usług z zastrzeżeniem, że przetwarzanie danych nie narusza praw i wolności osoby, której dane dotyczą. Ograniczeniem dla banku jest w tym przypadku sprzeciw klienta wobec przetwarzania danych w takim celu bądź żądanie zaprzestania przetwarzania danych ze względu na szczególną sytuację. Takie stanowisko wynika z art. 32 ustawy. Zgodnie z treścią ust. 1 pkt 8 osoba, której dane dotyczą, ma prawo wniesienia sprzeciwu wobec przetwarzania jej danych w celach marketingowych lub wobec przekazywania jej danych osobowych innemu administratorowi danych. Stosownie natomiast do art. 32 ust. 3 ustawy w razie wniesienia sprzeciwu, o którym mowa w ust. 1 pkt 8, dalsze przetwarzanie kwestionowanych danych jest niedopuszczalne. Administrator danych (bank) może jednak pozostawić w zbiorze imię lub imiona i nazwisko osoby oraz numer PESEL lub adres wyłącznie w celu uniknięcia ponownego wykorzystania danych tej osoby w celach objętych sprzeciwem. Tak więc złożenie sprzeciwu wobec przetwarzania danych w celach marketingowych oznacza, że przetwarzanie danych w tym celu staje się niedopuszczalne. Dalsze przetwarzanie danych w takim celu, mimo złożonego do banku sprzeciwu, prowadzi w konsekwencji do naruszenia praw i wolności, o których mowa w art. 23 ust. 1 pkt 5 ustawy.

Wprawdzie bank ma umocowanie w przepisach prawa do przechowywania danych także po wygaśnięciu zobowiązania (np. dla celów rachunkowych, archiwalnych), jednak nie mieszczą się w jego granicach cele marketingowe. Stąd legalizacja takiej formy przetwarzania może nastąpić tylko przez zgodę osoby, której dane dotyczą.

W dobie internetu nie można pominąć kwestii wyrażania zgody na przetwarzanie danych w celach marketingowych przy wykorzystaniu elektronicznych środków komunikacji. Należy dodać, że pojęcie środka komunikacji elektronicznej zostało zdefiniowane w ustawie o świadczeniu usług drogą elektroniczną[22], która precyzuje obowiązki usługodawcy związane ze świadczeniem usług drogą elektroniczną oraz zasady ochrony danych osobowych osób korzystających z usług świadczonych drogą elektroniczną. W myśl art. 2 pkt 5 tej ustawy przez środki komunikacji elektronicznej rozumie się rozwiązania techniczne, w tym urządzenia teleinformatyczne i współpracujące z nimi narzędzia programowe, umożliwiające indywidualne porozumiewanie się na odległość przy wykorzystaniu transmisji danych między systemami teleinformatycznymi, w szczególności zaś pocztę elektroniczną. Zgodnie z jej przepisami zakazane jest przesyłanie za pomocą środków komunikacji elektronicznej, zwłaszcza poczty elektronicznej, niezamówionej informacji handlowej skierowanej do oznaczonego odbiorcy. Informację handlową uważa się za zamówioną, jeżeli odbiorca wyraził zgodę na jej otrzymywanie. Przesyłanie niezamówionej informacji handlowej (tzw. spamming) stanowi czyn nieuczciwej konkurencji w rozumieniu przepisów ustawy o zwalczaniu nieuczciwej konkurencji.[23]

W świetle powyższego banki dysponują podstawą uprawniającą do przetwarzania danych swoich aktualnych klientów w celach marketingowych wynikającą z art. 23 ust. 1 pkt 1 i 5, jeśli osoba, której dane dotyczą, nie zgłosiła w tym zakresie sprzeciwu. Jednak po wygaśnięciu zobowiązania podstawę do wykorzystywania danych byłych klientów w celach reklamowych może stanowić wyłącznie ich zgoda.

Podsumowanie

Ustawa o ochronie danych osobowych nałożyła na podmioty uczestniczące w procesie przetwarzania danych liczne obowiązki. Ma ona charakter lex generalis – szczegółowe zasady przewidują szczególne przepisy prawa, zwłaszcza zaś przepisy Prawa bankowego. Bankom służy status administratorów danych, gdyż to one de facto decydują o tym, w jaki sposób i w jakim zakresie dane te są przetwarzane. Niejednokrotnie mają ogromną wiedzę na temat naszego życia prywatnego, stąd są zobowiązane do zachowania szczególnej staranności w celu zapewnienia bezpieczeństwa systemom informatycznym, za pomocą których są gromadzone i wymieniane informacje o posiadaczach rachunków i kredytobiorcach. Ustawodawca zobowiązał ponadto pracowników tych instytucji do zachowania w tajemnicy wszelkich informacji dotyczących czynności bankowej, w tym danych osobowych uzyskanych w czasie negocjacji czy podczas zawierania i realizacji umowy, na podstawie której bank wykonuje czynność. Od tej generalnej zasady zakazu udostępniania informacji stanowiących tajemnicę bankową ustawodawca wprowadził wyjątki – są one jednak ściśle określone.

Bank ponosi odpowiedzialność za niezachowanie tajemnicy bankowej. Odpowiedzialność ta ma charakter kontraktowy i deliktowy. Ponadto naruszenie instytucji tajemnicy bankowej może rodzić odpowiedzialność z tytułu naruszenia dóbr osobistych, których katalog nie jest przecież zamknięty. Nie stanowi jednak naruszenia tej tajemnicy udostępnienie danych podmiotom utworzonym w celu wymiany informacji stanowiących tajemnicę bankową w zakresie, w jakim informacje te są potrzebne w związku z wykonywaniem czynności bankowych oraz stosowaniem metod statystycznych. Jedną z popularniejszych instytucji tego typu jest Biuro Informacji Kredytowej S.A. Przetwarzanie danych przez tego typu instytucje budzi niejednokrotnie sprzeciw klientów banków. Należy jednak pamiętać, że to bank jako administrator danych decyduje o ich umieszczeniu w bazie rzetelnych klientów bądź tych, którzy mają na swoim koncie uchybienia związane z nieterminowymi płatnościami. Tych zarzutów można uniknąć przez rzetelną informację co do tego, w jakich okolicznościach może dojść do przekazania danych i przez jaki czas będą one przetwarzane, a także kto będzie miał do nich dostęp. Do udzielania takich informacji bank jest zobligowany na podstawie ustawy o ochronie danych osobowych. Przepisy tej ustawy obligują go ponadto do tego, aby dane o klientach były merytorycznie poprawne i adekwatne do celu, w jakim są gromadzone.

 

Ewa Łęcka
Doktorantka na Wydziale Prawa i Administracji UMCS

 

Źródło: Temidium 1 (62) 2011


[1] Ustawa z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (tekst jednolity Dz.U. z 2002 r. Nr 101, poz. 926 ze zm.).
[2] Ustawa z dnia 29 sierpnia 1997 r. – Prawo bankowe (tekst jednolity Dz.U. z 2002 r. Nr 72, poz. 665 ze zm.).
[3] Artykuł 23 ust. 1 pkt 2.
[4] Ustawa z dnia 16 listopada 2000 r. o przeciwdziałaniu praniu pieniędzy oraz finansowaniu terroryzmu (tekst jednolity Dz.U. z 2010 r. Nr 46, poz. 276 ze zm.).
[5] Ustawa z dnia 12 września 2002 r. o elektronicznych instrumentach płatniczych (Dz.U. Nr 169, poz. 1385 ze zm.).
[6] Rozporządzenie z dnia 27 marca 2007 r. w sprawie szczegółowego zakresu przetwarzanych informacji dotyczących osób fizycznych po wygaśnięciu zobowiązania wynikającego z umowy zawartej z bankiem lub inną instytucją ustawowo upoważnioną do udzielania kredytów oraz trybu usuwania tych informacji (Dz.U. Nr 56, poz. 373).
[7] OSK 420/2004.
[8] Patrz § 3 pkt 1 i 2 rozporządzenia Ministra Finansów w sprawie szczegółowego zakresu przetwarzanych informacji dotyczących osób fizycznych po wygaśnięciu zobowiązania wynikającego z umowy zawartej z bankiem lub inną instytucją ustawowo upoważnioną do udzielania kredytów oraz trybu usuwania tych informacji.
[9] J. Barta, P. Fajgielski, R. Markiewicz, Komentarz do art. 26 ustawy o ochronie danych osobowych, LEX.
[10] Pisemna zgoda jest konieczna w przypadku przetwarzania danych wymienionych przez ustawodawcę w art. 27 ust. 1 ustawy o ochronie danych osobowych.
[11] Miało to miejsce zwłaszcza przy „starych” dowodach osobistych, które zawierały informacje o poprzednich miejscach zameldowania, informacje o dzieciach itp.
[12] Wyrok z 19 grudnia 2001 r. o sygn. IISA 2869/2000.
[13] Komentarz do art. 104 Prawa bankowego [w:] F. Zoll (red.), A. Adamek, K. Bitner-Przybylska, M. Brożyna, M. Chudzik, A. Frań, I. Karasek, K. Kohutek, K. Korus, R. Kwaśnicki, J. Lachner, J. Molis, M. Olczyk, K. Płończyk, P. Podlasko, M. Porzycki, A. Rataj, D. Rogoń, M. Rusinek, M. Spyra, T. Spyra, S. Szuster, P. Tereszkiewicz, A. Wacławik, F. Wejman, M. Wyrwiński, Prawo bankowe. Komentarz, tom I i II, Zakamycze 2005, Lex Omega.
[14] Bank ma jednak obowiązek zachowania w tajemnicy informacji o tym, że takie dane zostały udostępnione Policji (art. 104 ust. 4 Prawa bankowego).
[15] Prawo bankowe. Komentarz, pod red. E. Fojcik-Mastalskiej, Wydawnictwo Prawnicze LexisNexis, Warszawa 2002, s. 458.
[16]  V CSK 428/09.
[17] ABC Przetwarzania danych w sektorze bankowym, oprac. GIODO, Warszawa 2009, s. 9.
[18] Sygn. akt II SA/Wa 2226/05.
[19]  I OSK 674/08.
[20] Wyrok WSA z 2 kwietnia 2007 r. o sygn. II SA/Wa 2328/06.
[21] Na stronie egiodo.giodo.gov.pl.
[22] Ustawa z dnia 18 lipca 2002 r. o świadczeniu usług drogą elektroniczną (Dz.U. Nr 144, poz. 1204 ze zm.).
[23] Ustawa z dnia 16 kwietnia 1993 r. o zwalczaniu nieuczciwej konkurencji (tekst jednolity Dz.U. z 2003 r. Nr 153, poz. 1503 ze zm.).

Prawo i praktyka

Przygody Radcy Antoniego

Odwiedź także

Nasze inicjatywy