ZSPR.440.493

PostanowieniePrezes UODO2019-03-20

Analiza orzeczenia

Sekcja wygenerowana przez AI na podstawie treści orzeczenia — nie stanowi cytatu.

Zagadnienie prawne
Czy przetwarzanie danych osobowych po wygaśnięciu umowy kredytowej oraz ich udostępnienie do instytucji oceniających zdolność kredytową jest zgodne z RODO i ustawą o ochronie danych osobowych?
Ratio decidendi
Organ ocenia stan faktyczny i prawny sprawy na dzień wydania decyzji. Przetwarzanie danych po wygaśnięciu zobowiązania jest dozwolone, gdy służy prawnie usprawiedliwionym interesom administratora (art. 6 ust. 1 lit. f RODO) lub wypełnieniu obowiązku prawnego (art. 6 ust. 1 lit. c RODO w zw. z Prawem bankowym). W niniejszej sprawie dane są przetwarzane legalnie w celu oceny zdolności kredytowej i analizy ryzyka, co uzasadnia odmowę usunięcia danych.
Stan faktyczny
Skarżąca złożyła skargę na przetwarzanie jej danych osobowych przez bank oraz firmę M. S.A. w związku z zamkniętą umową z 2003 r., domagając się ich usunięcia. Bank pozyskał dane na podstawie umowy, a następnie zbył wierzytelność. Po wygaśnięciu zobowiązania dane były przetwarzane w celu dochodzenia roszczeń, a następnie w celu oceny zdolności kredytowej i analizy ryzyka kredytowego na podstawie przepisów ustawy Prawo bankowe oraz RODO. Organ ustalił, że przetwarzanie jest zgodne z prawem, a dane będą przechowywane przez okres 12 lat od wygaśnięcia zobowiązania.
Rozstrzygnięcie
Odmawia uwzględnienia wniosku.

Pełny tekst orzeczenia

Warszawa, 20 marca 2019prawomocna Decyzja ZSPR.440.493.2019 Na podstawie art. 104 § 1 ustawy z dnia 14 czerwca 1960 r. Kodeks postępowania administracyjnego (Dz. U. z 2018 r. poz. 2096 ze zm.) oraz na podstawie art. 160 ust. 1 i 2 ustawy o ochronie danych osobowych z dnia 10 maja 2018 roku (Dz. U. z 2018 r. poz. 1000 ze zm.) oraz art. 12 pkt 2, art. 22, art. 23 ust. l pkt 2 ustawy z dnia 29 sierpnia 1997 o ochronie danych osobowych (Dz. U. z 2016 r. poz. 922 oraz z 2018 r. poz. 138), w związku z art. 6 ust. 1 lit. c oraz lit. f Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (Dz. Urz. UE L 119 z 04.05.2016, str. 1 oraz Dz. Urz. UE L 127 z 23.05.2018, str. 2), w związku z art. 105 ust. 4 i art. 105a ust. 4 i 5 ustawy z dnia 29 sierpnia 1997 r. Prawo bankowe (t.j. Dz. U. z 2018 r. poz. 2187 z późn. zm.), po przeprowadzeniu postępowania administracyjnego w sprawie skargi Pani N. D., zam. (…), na przetwarzanie jej danych osobowych przez A. S.A., z siedzibą w W. oraz M. S.A., z siedzibą w W., Prezes Urzędu Ochrony Danych Osobowych odmawia uwzględnienia wniosku. Uzasadnienie Do Biura Generalnego Inspektora Ochrony Danych Osobowych wpłynęła skarga Pani N. D., zam. (…), zwanej dalej Skarżącą, na przetwarzanie jej danych osobowych przez A. S.A., z siedzibą w W., zw. dalej Bankiem, w tym na ich udostępnienie oraz na przetwarzanie ww. danych przez M. S.A., z siedzibą w W., zw. dalej M.. Skarżąca w treści skargi wniosła o usunięcie jej danych osobowych w zakresie dotyczącym umowy z (…) marca 2003 r., nr identyfikacyjny (…). W toku przeprowadzonego postępowania wyjaśniającego w niniejszej sprawie Prezes Urzędu Ochrony Danych Osobowych ustalił następujący stan faktyczny: 1. Dane osobowe Skarżącej zostały pozyskane przez Bank w związku z zawarciem umowy z (…) marca 2003 r., nr. (…), zawartą z G. S.A., którego następcą prawnym jest A. S.A. 2. W dniu (…) grudnia 2008 r., wierzytelność wynikająca z umowy nr (…), której stroną była Skarżąca, została zbyta przez Bank na rzecz firmy U., w związku z czym nastąpiło zamknięcie rachunku dot. ww. umowy. 3. Bank przetwarzał dane osobowe Skarżącej na podstawie art. 23 ust 1 pkt 5 w zw. z art. 23 ust. 4 pkt 2 w celu dochodzenia roszczeń powstałych w związku z wykonywaniem czynności bankowych. Po 25 maja 2018 r. podstawę przetwarzania stanowił art. 6 ust. 1 lit. f Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679. 4. Dane osobowe Skarżącej zostały przekazane do M. w związku z zobowiązaniem wynikającym z umowy z dnia (…) marca 2003 r., nr. (…) na podstawie art. 105 ust. 4 ustawy Prawo bankowe. 5. Aktualnie Bank oraz M. nie przetwarzają danych osobowych Skarżącej w zakresie dot. umowy z dnia (…) marca 2003 r., nr. (…) w celu oceny zdolności kredytowej i analizy ryzyka kredytowego na podstawie art. 105a ust. 3 ustawy Prawo bankowe. 6. W wyjaśnieniach przed Generalnym Inspektorem M. oświadczył, że rachunek dot. umowy z dnia (…) marca 2003 r., nr. (…) ma obecnie status rachunku zamkniętego i przetwarzany jest w celu stosowania metod wewnętrznych oraz innych metod, na podstawie art. 105a ust. 4 i 5 ustawy Prawo bankowe. W tym stanie faktycznym, Prezes Urzędu Ochrony Danych Osobowych zważył, co następuje. Z dniem wejścia w życie uodo 2018, Biuro Generalnego Inspektora Ochrony Danych Osobowych stało się Urzędem Ochrony Danych Osobowych. Postępowania prowadzone przez Generalnego Inspektora Ochrony Danych Osobowych, wszczęte i niezakończone przed 25 maja 2018 r. prowadzone są przez Prezesa Urzędu Ochrony Danych Osobowych, na podstawie uodo 1997, zgodnie z zasadami określonymi w ustawie z dnia 14 czerwca 1960 r. Kodeks postępowania administracyjnego (Dz. U. z 2018 r. poz. 2096), zwanej dalej Kpa. Wszelkie czynności podejmowane przez Generalnego Inspektora Ochrony Danych Osobowych przed 25 maja 2018 r. pozostają skuteczne. Od 25 maja 2018 r. obowiązują przepisy Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (Dz. Urz. UE L 119 z 04.05.2016, str. 1 oraz Dz. Urz. UE L 127 z 23.05.2018, str. 2), zwanego dalej rozporządzeniem 2016/679. Prezes UODO wydając decyzję administracyjną zobowiązany jest do rozstrzygania w oparciu o stan faktyczny istniejący w chwili wydania tej decyzji. Jak podnosi doktryna „organ administracji publicznej ocenia stan faktyczny sprawy według chwili wydania decyzji administracyjnej. Reguła ta odnosi się także do oceny stanu prawnego sprawy, co oznacza, że organ administracji publicznej wydaje decyzję administracyjną na podstawie przepisów prawa obowiązujących w chwili jej wydania (…) Rozstrzyganie w postępowaniu administracyjnym polega na zastosowaniu obowiązującego prawa do ustalonego stanu faktycznego sprawy administracyjnej. W ten sposób organ administracji publicznej realizuje cel postępowania administracyjnego, jakim jest urzeczywistnienie obowiązującej normy prawnej w zakresie stosunków administracyjno-prawnych, gdy stosunki te tego wymagają” (Komentarz do ustawy z dnia 14 czerwca 1960 r. Kodeks postępowania administracyjnego (Dz. U. 00.98.1071) M. Jaśkowska, A. Wróbel, Lex., el/2012). W wyroku z dnia 7 maja 2008 r. w sprawie o sygn. akt I OSK 761/07 Naczelny Sądu Administracyjny stwierdził, iż „badając bowiem legalność przetwarzania danych osobowych, GIODO ma obowiązek ustalenia, czy na datę wydawania rozstrzygnięcia w sprawie dane konkretnego podmiotu są przetwarzane oraz czy czynione to jest w sposób zgodny z prawem”. Rozporządzenie 2016/679 stanowi przepisy o ochronie osób fizycznych w związku z przetwarzaniem danych osobowych oraz przepisy o swobodnym przepływie danych osobowych oraz chroni podstawowe prawa i wolności osób fizycznych, w szczególności ich prawo do ochrony danych osobowych (art. 1 ust 1 i 2 rozporządzenia 2016/679). Odpowiednio regulował tę kwestię art. 2 ust. 1 ustawy. W świetle przepisów powołanego aktu prawnego, przetwarzanie danych osobowych jest uprawnione, gdy spełniona zostanie którakolwiek z przesłanek wymienionych w art. 6 ust. 1 rozporządzenia 2016/679 (uprzednio art. 23 ust. 1 ustawy). Przesłanki te odnoszą się do wszelkich form przetwarzania danych wymienionych w art. 4 pkt 2 rozporządzenia 2016/679 (art. 7 pkt 2 ustawy), w tym w szczególności do ich udostępnienia. Warunki te są także względem siebie równoprawne, co oznacza, że dla legalności procesu przetwarzania danych wystarczające jest spełnienie jednej z nich. Odnosząc się do żądania Skarżącej w przedmiocie kwestii stwierdzenia legalności dokonywanego aktualnie przetwarzania danych osobowych Skarżącej zarówno przez Bank, jak i M., wskazać należy, że dane osobowe Skarżącej zostały przekazane do M. w zakresie informacji stanowiących tajemnicę bankową zgodnie z art. 105 ust. 4 Prawa bankowego. Zgodnie z tym przepisem, banki mogą, wspólnie z bankowymi izbami gospodarczymi, utworzyć instytucje upoważnione do gromadzenia, przetwarzania i udostępniania: bankom – informacji stanowiących tajemnicę bankową w zakresie, w jakim informacje te są potrzebne w związku z wykonywaniem czynności bankowych oraz w związku ze stosowaniem metod wewnętrznych oraz innych metod i modeli, o których mowa w części trzeciej rozporządzenia nr 575/2013; innym instytucjom ustawowo upoważnionym do udzielania kredytów – informacji stanowiących tajemnicę bankową w zakresie, w jakim informacje te są niezbędne w związku z udzielaniem kredytów, pożyczek pieniężnych, gwarancji bankowych i poręczeń; instytucjom kredytowym – informacji stanowiących tajemnicę bankową w zakresie niezbędnym do oceny zdolności kredytowej konsumenta, o której mowa w art. 9 ustawy z dnia 12 maja 2011 r. o kredycie konsumenckim; instytucjom pożyczkowym i podmiotom, o których mowa w art. 59d ustawy z dnia 12 maja 2011 r. o kredycie konsumenckim – na zasadzie wzajemności, informacji stanowiących odpowiednio tajemnicę bankową oraz informacje udostępnione przez instytucje pożyczkowe oraz podmioty, o których mowa w art. 59d ustawy z dnia 12 maja 2011 r. o kredycie konsumenckim, w zakresie niezbędnym do oceny zdolności kredytowej konsumenta, o której mowa w art. 9 tej ustawy, i analizy ryzyka kredytowego. Podstawę prawną do przetwarzania danych osobowych Skarżącej w tym zakresie do dnia 25 maja 2018 r. stanowił art. 23. ust. 1 pkt 5) uodo 1997, tj. przetwarzanie danych było dopuszczalne wtedy, gdy było to niezbędne dla wypełnienia prawnie usprawiedliwionych celów realizowanych przez administratorów danych albo odbiorców danych, a przetwarzanie nie naruszało praw i wolności osoby, której dane dotyczyły. Od 25 maja 2018 r. podstawę prawną przetwarzania danych w tym zakresie określa art. 6 ust 1 rozporządzenia 2016/679, tj. przetwarzanie jest zgodne z prawem wyłącznie w przypadkach, gdy – i w takim zakresie, w jakim – spełniony jest co najmniej jeden z poniższych warunków, z których przepis z lit. f) stanowi, że przetwarzanie jest niezbędne do celów wynikających z prawnie uzasadnionych interesów realizowanych przez administratora. Ustosunkowując się zatem do żądania Skarżącej, dotyczącego usunięcia jej danych osobowych w zakresie dotyczącym umowy z (…) marca 2003 r., nr identyfikacyjny (…) należy stwierdzić, że zgodnie z art. 23 ust 1 pkt 5 w zw. z art. 23 ust. 4 pkt 2 uodo Bank miał podstawę prawną do przetwarzania danych osobowych Skarżącej po wygaśnięciu zobowiązania tj. do (…) grudnia 2018 r. Po 25 maja 2018 r., podstawę przetwarzania stanowił art. 6 ust. 1 lit. f Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679. Odnosząc się natomiast do kwestii przetwarzania danych osobowych Skarżącej przez M., podstawą prawną przetwarzania jej danych osobowych jest art. 6 ust. 1 lit. c) rozporządzenia 2016/679, tj. przetwarzanie jest niezbędne do wypełnienia obowiązku prawnego ciążącego na administratorze na podstawie art. 105a ust. 4 i 5 ustawy z dnia 29 sierpnia 1997 r. Prawo bankowe (t.j. Dz. U. z 2018 r. poz. 2187 z późn. zm.). W związku z powyższym dane osobowe Skarzącej będą przetwarzane przez okres 12 lat od dnia wygaśnięcia zobowiązania Skarżącej, tj. do (…) grudnia 2020 r. Nie zaistniała zatem niezbędna przesłanka do wydania przez Prezesa UODO decyzji nakazującej przywrócenie stanu zgodnego z prawem, dlatego zasadnym jest wydanie decyzji odmawiającej spełnienia żądania osoby, której dane dotyczą. W tym stanie faktycznym i prawnym Prezes Urzędu Ochrony Danych Osobowych rozstrzygnął, jak w sentencji.

Źródło: Urząd Ochrony Danych Osobowych (uodo.gov.pl), pozyskano 15.07.2026. · Źródło