Czy bank może przekazać do BIK dane osobowe klienta bez jego zgody?

Kończąc krótki serial z bankowością w tle dziś kilka zdań o tym czy bank może przekazać dane osobowe zadłużonego kredytobiorcy do BIK bez zgody klienta? (wyrok NSA z 27 października 2017 r., I OSK 3362/15).


przekazanie danych osobowych zadłużonego kredytobiorcy bik

Przekazanie danych osobowych zadłużonego kredytobiorcy do BIK jest możliwe bez zgody klienta, ale wymaga spełnienia obowiązku informacyjnego (fot. Olgierd Rudak, CC-BY-SA 3.0)


Spór dotyczył dopuszczalności przekazania przez bank danych osobowych kredytobiorcy do BIK. Klientka wniosła skargę do GIODO zarzucając, iż bank nie miał prawa przetwarzać danych osobowych bez jej zgody w celu oceny zdolności kredytowej i analizy ryzyka kredytowego, a ponadto nie poinformował jej o zamiarze przetwarzania danych osobowych stanowiących tajemnicę bankową po wygaśnięciu zobowiązania — zatem niezależnie od tego, że dopuściła się przekraczającej 60 dni zwłoki w spłacie kredytu, jej dane nie miały prawa trafić do BIK.

GIODO w wydanej decyzji stwierdził, że bank ma prawo przetwarzać dane osobowe klienta przed zawarciem umowy kredytu, bez uzyskania zgody, a podstawę przetwarzania stanowi art. 23 ust. 1 pkt 2 d. uoodo w zw. z art. 105a ust. 1 i art. 105 ust. 4 prawa bankowego. Jednakże przekazanie do BIK danych związanych z brakiem spłaty naruszało przepisy o przetwarzaniu danych stanowiących tajemnicę bankową — ponieważ jest to dopuszczalne, ale tylko jeśli klient spóźni się o co najmniej 60 dni oraz pod warunkiem uprzedniego poinformowania klienta o możliwości przetwarzania jego danych i wyznaczeniu dodatkowego (30-dniowego) terminu na uregulowanie zaległości (art. 105a ust. 3 pr.bank.).
Oznacza to, że bank musi wykazać spełnienie obowiązku informacyjnego, a skoro dowodu na to nie ma, istnieją podstawy do zastosowania przepisu nakazującego przywrócenie stanu zgodnego z prawem — czyli zaprzestania przetwarzania danych osobowych (art. 18 ust. 1 d. uoodo).

art. 105a ust. 3 prawa bankowego 
Banki (…) mogą przetwarzać informacje stanowiące tajemnicę bankową i informacje udostępnione przez instytucje pożyczkowe (…) dotyczące osób fizycznych po wygaśnięciu zobowiązania wynikającego z umowy (…) bez zgody osoby, której informacje dotyczą, gdy osoba ta nie wykonała zobowiązania lub dopuściła się zwłoki powyżej 60 dni w spełnieniu świadczenia wynikającego z umowy (…) a po zaistnieniu tych okoliczności upłynęło co najmniej 30 dni od poinformowania tej osoby (…) o zamiarze przetwarzania dotyczących jej tych informacji, bez jej zgody.

Bezskuteczna okazała się skarga wniesiona przez bank do sądu administracyjnego: bank nie udowodnił, że klientka została poinformowana o przekazaniu danych dotyczących niespłaconego kredytu do BIK, a przynajmniej dowodem na to nie są „wzór zawiadomienia kierowanego do klientów w sprawie opóźnień, zrzut z ekranu pliku z aplikacji AXSOne, wydruk struktury pliku RIHP60”. Żaden z tych dokumentów nie potwierdza, że klientka została skutecznie poinformowana o przetwarzaniu jej danych osobowych, ale wynika z nich tylko to, że generowana jest korespondencja masowa z centralnego systemu księgowego — zaś samo oświadczenie banku nie zastąpi dowodu, że pismo zostało wysłane i doręczone (wyrok WSA w Warszawie z 18 sierpnia 2015 r., II SA/Wa 11/15).

W skardze kasacyjnej bank wskazał, że okoliczności niewymagające urzędowego potwierdzenia powinny być uznane za udowodnione na podstawie samego oświadczenia — zatem skoro GIODO uznał, że dokumenty elektroniczne nie są dowodem potwierdzającym wykonanie obowiązku informacyjnego, to powinien był uwzględnić samo oświadczenie — a chociaż powołać biegłego na okoliczność prawdziwości i danych przetwarzanych w systemach banku.

NSA oddalił skargę kasacyjną: żaden przepis nie zwalnia strony od aktywności dowodowej przed organem (w tym przypadku GIODO) i sądem administracyjnym. Konstrukcja art. 105a ust. 3 prawa bankowego wskazuje, że to na instytucji finansowej ciąży obowiązek wykazania spełnienia przesłanek pozwalających na przekazanie danych osobowych dłużnika do BIK. Owszem, ustawa nie precyzuje w jakiej formie informacja o planowanym przekazaniu danych powinna być przekazana, jednak przyjęty sposób powinien umożliwić zweryfikowanie prawidłowości złożenia oświadczenia (przynajmniej potwierdzenia, że klientowi umożliwiono zapoznanie się z taką informacją). W zakresie wykonania obowiązku informacyjnego nie są dopuszczalne żadnego rodzaju domniemania faktyczne.

Skoro zatem żaden przedstawiony dowód nie potwierdzał niezbicie, że klientka została uprzednio skutecznie powiadomiona o zamiarze przekazania informacji o zadłużeniu, bankowi nie było wolno jej danych osobowych przekazać do BIK. Oznacza to, że przetwarzanie danych nastąpiło z naruszeniem przepisów prawa, stąd też wydana przez GIODO decyzja jest prawidłowa.

PS spór ociera się oczywiście o magiczne cztery literki, zatem warto dodać, że wejście w życie GDPR niekoniecznie zmieniłoby ocenę prawną sytuacji: nadal dopuszczane jest przecież przetwarzanie danych osobowych bez zgody zainteresowanej osoby, zaś przepis prawa bankowego pozwalający na ujawnienie informacji stanowiących tajemnicą bankową po spełnieniu obowiązku informacyjnego się nie zmienił.

subskrybuj
Powiadom o
guest

Witryna wykorzystuje Akismet, aby ograniczyć spam. Dowiedz się więcej jak przetwarzane są dane komentarzy.

6 komentarzy
Oldest
Newest
Inline Feedbacks
zerknij na wszystkie komentarze