Kończąc krótki serial z bankowością w tle dziś kilka zdań o tym czy bank może przekazać dane osobowe zadłużonego kredytobiorcy do BIK bez zgody klienta? (wyrok NSA z 27 października 2017 r., I OSK 3362/15).
Spór dotyczył dopuszczalności przekazania przez bank danych osobowych kredytobiorcy do BIK. Klientka wniosła skargę do GIODO zarzucając, iż bank nie miał prawa przetwarzać danych osobowych bez jej zgody w celu oceny zdolności kredytowej i analizy ryzyka kredytowego, a ponadto nie poinformował jej o zamiarze przetwarzania danych osobowych stanowiących tajemnicę bankową po wygaśnięciu zobowiązania — zatem niezależnie od tego, że dopuściła się przekraczającej 60 dni zwłoki w spłacie kredytu, jej dane nie miały prawa trafić do BIK.
GIODO w wydanej decyzji stwierdził, że bank ma prawo przetwarzać dane osobowe klienta przed zawarciem umowy kredytu, bez uzyskania zgody, a podstawę przetwarzania stanowi art. 23 ust. 1 pkt 2 d. uoodo w zw. z art. 105a ust. 1 i art. 105 ust. 4 prawa bankowego. Jednakże przekazanie do BIK danych związanych z brakiem spłaty naruszało przepisy o przetwarzaniu danych stanowiących tajemnicę bankową — ponieważ jest to dopuszczalne, ale tylko jeśli klient spóźni się o co najmniej 60 dni oraz pod warunkiem uprzedniego poinformowania klienta o możliwości przetwarzania jego danych i wyznaczeniu dodatkowego (30-dniowego) terminu na uregulowanie zaległości (art. 105a ust. 3 pr.bank.).
Oznacza to, że bank musi wykazać spełnienie obowiązku informacyjnego, a skoro dowodu na to nie ma, istnieją podstawy do zastosowania przepisu nakazującego przywrócenie stanu zgodnego z prawem — czyli zaprzestania przetwarzania danych osobowych (art. 18 ust. 1 d. uoodo).
art. 105a ust. 3 prawa bankowego
Banki (…) mogą przetwarzać informacje stanowiące tajemnicę bankową i informacje udostępnione przez instytucje pożyczkowe (…) dotyczące osób fizycznych po wygaśnięciu zobowiązania wynikającego z umowy (…) bez zgody osoby, której informacje dotyczą, gdy osoba ta nie wykonała zobowiązania lub dopuściła się zwłoki powyżej 60 dni w spełnieniu świadczenia wynikającego z umowy (…) a po zaistnieniu tych okoliczności upłynęło co najmniej 30 dni od poinformowania tej osoby (…) o zamiarze przetwarzania dotyczących jej tych informacji, bez jej zgody.
Bezskuteczna okazała się skarga wniesiona przez bank do sądu administracyjnego: bank nie udowodnił, że klientka została poinformowana o przekazaniu danych dotyczących niespłaconego kredytu do BIK, a przynajmniej dowodem na to nie są „wzór zawiadomienia kierowanego do klientów w sprawie opóźnień, zrzut z ekranu pliku z aplikacji AXSOne, wydruk struktury pliku RIHP60”. Żaden z tych dokumentów nie potwierdza, że klientka została skutecznie poinformowana o przetwarzaniu jej danych osobowych, ale wynika z nich tylko to, że generowana jest korespondencja masowa z centralnego systemu księgowego — zaś samo oświadczenie banku nie zastąpi dowodu, że pismo zostało wysłane i doręczone (wyrok WSA w Warszawie z 18 sierpnia 2015 r., II SA/Wa 11/15).
W skardze kasacyjnej bank wskazał, że okoliczności niewymagające urzędowego potwierdzenia powinny być uznane za udowodnione na podstawie samego oświadczenia — zatem skoro GIODO uznał, że dokumenty elektroniczne nie są dowodem potwierdzającym wykonanie obowiązku informacyjnego, to powinien był uwzględnić samo oświadczenie — a chociaż powołać biegłego na okoliczność prawdziwości i danych przetwarzanych w systemach banku.
NSA oddalił skargę kasacyjną: żaden przepis nie zwalnia strony od aktywności dowodowej przed organem (w tym przypadku GIODO) i sądem administracyjnym. Konstrukcja art. 105a ust. 3 prawa bankowego wskazuje, że to na instytucji finansowej ciąży obowiązek wykazania spełnienia przesłanek pozwalających na przekazanie danych osobowych dłużnika do BIK. Owszem, ustawa nie precyzuje w jakiej formie informacja o planowanym przekazaniu danych powinna być przekazana, jednak przyjęty sposób powinien umożliwić zweryfikowanie prawidłowości złożenia oświadczenia (przynajmniej potwierdzenia, że klientowi umożliwiono zapoznanie się z taką informacją). W zakresie wykonania obowiązku informacyjnego nie są dopuszczalne żadnego rodzaju domniemania faktyczne.
Skoro zatem żaden przedstawiony dowód nie potwierdzał niezbicie, że klientka została uprzednio skutecznie powiadomiona o zamiarze przekazania informacji o zadłużeniu, bankowi nie było wolno jej danych osobowych przekazać do BIK. Oznacza to, że przetwarzanie danych nastąpiło z naruszeniem przepisów prawa, stąd też wydana przez GIODO decyzja jest prawidłowa.
PS spór ociera się oczywiście o magiczne cztery literki, zatem warto dodać, że wejście w życie GDPR niekoniecznie zmieniłoby ocenę prawną sytuacji: nadal dopuszczane jest przecież przetwarzanie danych osobowych bez zgody zainteresowanej osoby, zaś przepis prawa bankowego pozwalający na ujawnienie informacji stanowiących tajemnicą bankową po spełnieniu obowiązku informacyjnego się nie zmienił.