Czy bank może przekazać do BIK dane osobowe klienta bez jego zgody?

Kończąc krótki serial z bankowością w tle dziś kilka zdań o tym czy bank może przekazać dane osobowe zadłużonego kredytobiorcy do BIK bez zgody klienta? (wyrok NSA z 27 października 2017 r., I OSK 3362/15).


przekazanie danych osobowych zadłużonego kredytobiorcy bik

Przekazanie danych osobowych zadłużonego kredytobiorcy do BIK jest możliwe bez zgody klienta, ale wymaga spełnienia obowiązku informacyjnego (fot. Olgierd Rudak, CC-BY-SA 3.0)


Spór dotyczył dopuszczalności przekazania przez bank danych osobowych kredytobiorcy do BIK. Klientka wniosła skargę do GIODO zarzucając, iż bank nie miał prawa przetwarzać danych osobowych bez jej zgody w celu oceny zdolności kredytowej i analizy ryzyka kredytowego, a ponadto nie poinformował jej o zamiarze przetwarzania danych osobowych stanowiących tajemnicę bankową po wygaśnięciu zobowiązania — zatem niezależnie od tego, że dopuściła się przekraczającej 60 dni zwłoki w spłacie kredytu, jej dane nie miały prawa trafić do BIK.

GIODO w wydanej decyzji stwierdził, że bank ma prawo przetwarzać dane osobowe klienta przed zawarciem umowy kredytu, bez uzyskania zgody, a podstawę przetwarzania stanowi art. 23 ust. 1 pkt 2 d. uoodo w zw. z art. 105a ust. 1 i art. 105 ust. 4 prawa bankowego. Jednakże przekazanie do BIK danych związanych z brakiem spłaty naruszało przepisy o przetwarzaniu danych stanowiących tajemnicę bankową — ponieważ jest to dopuszczalne, ale tylko jeśli klient spóźni się o co najmniej 60 dni oraz pod warunkiem uprzedniego poinformowania klienta o możliwości przetwarzania jego danych i wyznaczeniu dodatkowego (30-dniowego) terminu na uregulowanie zaległości (art. 105a ust. 3 pr.bank.).
Oznacza to, że bank musi wykazać spełnienie obowiązku informacyjnego, a skoro dowodu na to nie ma, istnieją podstawy do zastosowania przepisu nakazującego przywrócenie stanu zgodnego z prawem — czyli zaprzestania przetwarzania danych osobowych (art. 18 ust. 1 d. uoodo).

art. 105a ust. 3 prawa bankowego 
Banki (…) mogą przetwarzać informacje stanowiące tajemnicę bankową i informacje udostępnione przez instytucje pożyczkowe (…) dotyczące osób fizycznych po wygaśnięciu zobowiązania wynikającego z umowy (…) bez zgody osoby, której informacje dotyczą, gdy osoba ta nie wykonała zobowiązania lub dopuściła się zwłoki powyżej 60 dni w spełnieniu świadczenia wynikającego z umowy (…) a po zaistnieniu tych okoliczności upłynęło co najmniej 30 dni od poinformowania tej osoby (…) o zamiarze przetwarzania dotyczących jej tych informacji, bez jej zgody.

Bezskuteczna okazała się skarga wniesiona przez bank do sądu administracyjnego: bank nie udowodnił, że klientka została poinformowana o przekazaniu danych dotyczących niespłaconego kredytu do BIK, a przynajmniej dowodem na to nie są „wzór zawiadomienia kierowanego do klientów w sprawie opóźnień, zrzut z ekranu pliku z aplikacji AXSOne, wydruk struktury pliku RIHP60”. Żaden z tych dokumentów nie potwierdza, że klientka została skutecznie poinformowana o przetwarzaniu jej danych osobowych, ale wynika z nich tylko to, że generowana jest korespondencja masowa z centralnego systemu księgowego — zaś samo oświadczenie banku nie zastąpi dowodu, że pismo zostało wysłane i doręczone (wyrok WSA w Warszawie z 18 sierpnia 2015 r., II SA/Wa 11/15).

W skardze kasacyjnej bank wskazał, że okoliczności niewymagające urzędowego potwierdzenia powinny być uznane za udowodnione na podstawie samego oświadczenia — zatem skoro GIODO uznał, że dokumenty elektroniczne nie są dowodem potwierdzającym wykonanie obowiązku informacyjnego, to powinien był uwzględnić samo oświadczenie — a chociaż powołać biegłego na okoliczność prawdziwości i danych przetwarzanych w systemach banku.

NSA oddalił skargę kasacyjną: żaden przepis nie zwalnia strony od aktywności dowodowej przed organem (w tym przypadku GIODO) i sądem administracyjnym. Konstrukcja art. 105a ust. 3 prawa bankowego wskazuje, że to na instytucji finansowej ciąży obowiązek wykazania spełnienia przesłanek pozwalających na przekazanie danych osobowych dłużnika do BIK. Owszem, ustawa nie precyzuje w jakiej formie informacja o planowanym przekazaniu danych powinna być przekazana, jednak przyjęty sposób powinien umożliwić zweryfikowanie prawidłowości złożenia oświadczenia (przynajmniej potwierdzenia, że klientowi umożliwiono zapoznanie się z taką informacją). W zakresie wykonania obowiązku informacyjnego nie są dopuszczalne żadnego rodzaju domniemania faktyczne.

Skoro zatem żaden przedstawiony dowód nie potwierdzał niezbicie, że klientka została uprzednio skutecznie powiadomiona o zamiarze przekazania informacji o zadłużeniu, bankowi nie było wolno jej danych osobowych przekazać do BIK. Oznacza to, że przetwarzanie danych nastąpiło z naruszeniem przepisów prawa, stąd też wydana przez GIODO decyzja jest prawidłowa.

PS spór ociera się oczywiście o magiczne cztery literki, zatem warto dodać, że wejście w życie GDPR niekoniecznie zmieniłoby ocenę prawną sytuacji: nadal dopuszczane jest przecież przetwarzanie danych osobowych bez zgody zainteresowanej osoby, zaś przepis prawa bankowego pozwalający na ujawnienie informacji stanowiących tajemnicą bankową po spełnieniu obowiązku informacyjnego się nie zmienił.

4 comments for “Czy bank może przekazać do BIK dane osobowe klienta bez jego zgody?

  1. 16 czerwca 2018 at 18:19

    A jak to się ma po RODO?

    • Olgierd Rudak
      16 czerwca 2018 at 19:44

      RODO nie zmieniło tych przepisów (ani nawet nowa uodo).

  2. 16 czerwca 2018 at 18:21

    A teraz, inne pytanie, czy mogę pisać do BIK by mnie zapomniał? Ew. zaprzestał przetwarzać moje dane. Lub jako właściciel swoich danych mogę żądać od BIK usunięcia tylko_negatywnych swoich danych.

    • Olgierd Rudak
      16 czerwca 2018 at 19:42

      Żądać możesz zawsze, wszystkiego, podobnie jak np. wykreślenia z listy PESEL, etc.

Dodaj komentarz

This site uses Akismet to reduce spam. Learn how your comment data is processed.