Prezes UODO o tym, że numer umowy kredytowej nie stanowi danych osobowych
Z decyzji Prezes UODO opublikowanej jedynie w serwisie Judykatura.pl wynika, że numer umowy kredytowej przekazanej przez bank ubezpieczycielowi nie stanowi dla tego odbiorcy danych osobowych.
Sprawa zaczęła się od skargi pewnego małżeństwa skierowanej do Generalnego Inspektora Ochrony Danych Osobowych, a dotyczącej tego, że pewien Bank przekazał pewnemu Towarzystwu Ubezpieczeniowemu numer umowy kredytowej w związku z ubezpieczeniem niskiego wkładu portfela kredytu hipotecznego.
GIODO w połowie grudnia 2017 r. wydał decyzję administracyjną mocą której nakazał TU E. usunięcie uchybień w procesie przetwarzania danych osobowych Skarżących poprzez zaprzestanie przetwarzania ich danych osobowych w zakresie numeru umowy kredytowej nr (…).
Zarówno Bank jak i Towarzystwo ubezpieczeniowe wniosło o ponowne rozpoznanie sprawy.
W lipcu 2020 r. już Prezes UODO podjął decyzję o utrzymaniu w mocy decyzji GIODO z grudnia 2017 r.
GIODO tak uzasadnił, że numer umowy kredytowej stanowi dane osobowe dla Towarzystwa Ubezpieczeniowego:
organ stwierdził, że odnośnie okoliczności niniejszej sprawy numer umowy kredytowej skarżących należy potraktować jako numer identyfikacyjny, na podstawie którego można zidentyfikować ich tożsamość. Nie ulega przy tym wątpliwości, że dla Banku numer umowy kredytowej stanowi daną osobową skarżących, ponieważ Bank jest stroną tej umowy. Z kolei, o ile TU […] S.A. po samym numerze umowy kredytowej nie jest w stanie bezpośrednio określić tożsamości skarżących, o tyle numer ten daje mu ewentualną, pośrednią możliwość do ustalenia tej tożsamości, bez nadmiernych kosztów, czasu i działań, w sytuacji gdy będzie przysługiwało mu roszczenie regresowe względem skarżących z tytułu niespłacenia wymaganego zobowiązania. Na podstawie numeru umowy kredytowej TU […] S.A. przysługuje bowiem roszczenie regresowe wobec skarżących, jeśli Bank zgłosi wniosek o wypłatę świadczenia ubezpieczeniowego. Tym samym, zdaniem GIODO, TU […] S.A. na podstawie numeru umowy kredytowej posiada możliwość ustalenia tożsamości skarżących.
Szkolenie z RODO
- Praktyczna wiedza zbudowana na najistotniejszej teorii
- Elastyczny czas szkolenia – dwa dni po cztery godziny
- Certyfikat oraz prezentacja z linkami do orzeczeń i wytycznych
- Darmowy dostęp na 30 dni do wyszukiwarki Judykatura.pl
Wybieram
Prezes UODO w decyzji z lipca 2020 r. wzmocnił tę argumentację wskazując, że:
brzmienie art. 6 u.o.d.o. z 1997 r., którego odpowiednikiem na gruncie obowiązujących aktualnie przepisów jest art. 4 pkt 1 RODO, Prezes UODO stwierdził, że numer umowy kredytowej stanowi dla TU […] S.A. daną osobową, ponieważ na jego podstawie TU […] S.A. ma co najmniej pośrednią możliwość ustalenia tożsamości skarżących bez nadmiernych kosztów, czasu i działań. Co prawda, w kwestionowanej decyzji organ na takową ewentualną, pośrednią możliwość wskazał jedynie sytuację posiadania przez TU […] S.A. tzw. roszczenia regresowego względem skarżących na skutek wniosku Banku o wypłatę ubezpieczenia, jednak sytuacja taka zachodzi również w sytuacji pozyskania przez TU […] S.A. danych osobowych skarżących w trakcie toczącego się postępowania przed Prezesem UODO. Prezes UODO przyznał jednocześnie, że po samym numerze umowy kredytowej TU […] S.A. nie byłoby w stanie ustalić tożsamości skarżących, jak również nie mogłoby tego zrobić w oparciu o roszczenie regresowe, niemniej jednak zainicjowanie skargi przez M. i L.K. dało TU […] S.A. takową możliwość. Zatem mając na uwadze definicję danych osobowych Prezes UODO uznał, że numer umowy kredytu jest daną osobową dla TU […] S.A. w rozumieniu ustawy o ochronie danych osobowych, ponieważ TU […] S.A. może ustalić tożsamość skarżących w oparciu o zestawienie tego numeru z danymi pozyskanymi w toku niniejszego postępowania, a procedura ta – zdaniem Prezesa UODO – nie jest w istocie skomplikowana, wobec czego nie wymaga nadmiernych kosztów, czasu i działań.
Od takiej decyzji skargę do WSA w Warszawie złożył zarówno Bank jak i Towarzystwo Ubezpieczeniowej.
Szkolenie z RODO
- Praktyczna wiedza zbudowana na najistotniejszej teorii
- Elastyczny czas szkolenia – dwa dni po cztery godziny
- Certyfikat oraz prezentacja z linkami do orzeczeń i wytycznych
- Darmowy dostęp na 30 dni do wyszukiwarki Judykatura.pl
Wybieram
WSA w Warszawie w kwietniu 2021 r. uchylił decyzję Prezesa UODO i wskazał, że:
należy zwrócić uwagę, że postępowanie w niniejszej sprawie zostało zainicjowane skargą wniesioną przez M. i L.K. do GIODO, w której zarzucili Bankowi […] S.A. nieuprawnione udostępnienie ich danych osobowych TU […] S.A.
zasadniczą kwestią, która wymagała rozstrzygnięcia w niniejszej sprawie w związku ze sprawą zawisłą przed GIODO było to, czy informacje dotyczące kredytu M. i L.K., które zostały przekazane przez Bank […] S.A. do TU […] S.A. w związku z zawartą Umową ubezpieczenia niskiego wkładu portfela kredytów hipotecznych z dnia […] lipca 2010 r. mieszczą się w pojęciu danych osobowych w rozumieniu art. 6 u.o.d.o. z 1997 r., a następnie art. 4 pkt 1 RODO.
nie ulega wątpliwości, że dla Banku […] S.A. numer umowy kredytowej M. i L.K. jest ich daną osobową, ponieważ Bank jest stroną tej umowy i w oparciu o numer umowy kredytowej jest w stanie ustalić tożsamość kredytobiorców.
TU […] S.A. po samym numerze umowy kredytowej nie było zaś w stanie określić tożsamości kredytobiorców. Nie mogłoby tego też zrobić w oparciu o roszczenie regresowe, gdyż mu ono nie przysługiwało.
należy jednak mieć na uwadze, że informacja, która składa się z wiadomości dotyczących czynności bankowych i wiadomości dotyczących osoby będącej stroną umowy z bankiem, zgodnie z art. 104 ust. 1 pkt 1 ustawy z dnia 29 sierpnia 1997 r. Prawo bankowe, stanowi informację bankową i objęta jest tajemnicą bankową. Pojęcie danych osobowych klienta banku mieści się więc w pojęciu informacji i tajemnicy bankowej.
uzyskanie przez TU […] S.A. danych osobowych M. i L.K., w ramach niniejszego postępowania zainicjowanego ich skargą przed GIODO nie może natomiast uzasadniać wydania decyzji nakazującej usunięcie danych osobowych.
TU […] S.A. przetwarza bowiem obecnie dane osobowe M. i L.K., które zostały przekazane przez samych skarżących oraz przez organ ochrony danych osobowych, w związku z wszczętym postępowaniem administracyjnym. Wystąpiła więc przesłanka legalizująca przetwarzanie danych osobowych z art. 23 ust. 1 pkt 5 u.o.d.o. z 1997 r. (do 25 maja 2018 r.), a obecnie przesłanka legalizująca z art. 6 ust. 1 lit. f RODO w celu realizacji prawnie uzasadnionych interesów TU […] S.A. w postępowaniu administracyjnym i sądowoadministracyjnym. Tym samym nie ma podstaw do twierdzenia, by TU […] S.A. przetwarzało obecnie dane osobowe L. i M.K. bez podstawy prawnej.
Prezes UODO rozpoznając na nową sprawę podejmuje w lipcu 2022 r. zgoła odmienną decyzję niż dwa lata temu.
Szkolenie z RODO
- Praktyczna wiedza zbudowana na najistotniejszej teorii
- Elastyczny czas szkolenia – dwa dni po cztery godziny
- Certyfikat oraz prezentacja z linkami do orzeczeń i wytycznych
- Darmowy dostęp na 30 dni do wyszukiwarki Judykatura.pl
Wybieram
Odmawia uwzględnienia wniosku złożonego w 2017 r., gdyż uznał, że numer umowy kredytowej jednak nie stanowi danych osobowych.
Prezes UODO wskazuje takie argumenty:
w świetle powyższej definicji – tej na gruncie przepisów RODO jak i na gruncie uchylonej ustawy z 1997 r. – należy przyjąć, że danymi osobowymi nie będą więc pojedyncze informacje o dużym stopniu ogólności, np. nazwa ulicy, czy też numer domu. Informacja ta będzie jednak stanowić daną osobową tylko wówczas, gdy zostanie zestawiona z innymi dodatkowymi informacjami, które w konsekwencji będzie można odnieść do konkretnej osoby.
w ocenie Prezesa UODO sam numer umowy kredytowej w niniejszej sprawie nie jest daną osobową dla TU E., ponieważ nie dotyczy osoby fizycznej zidentyfikowanej lub możliwej do zidentyfikowania przez tenże podmiot. TU E. nie dysponuje żadnymi środkami umożliwiającymi zidentyfikowanie Skarżących w oparciu o numer umowy kredytowej. Obowiązujące przepisy prawa nie umożliwiają Towarzystwu identyfikację Skarżących, np. art. 828 k.c. – z uwagi na zrzeczenie się roszczeń regresowych, czy też art. 104 ust. 3 prawa bankowego – z uwagi na brak dysponowania przez Bank upoważnieniem Skarżących do przekazania informacji objętych tajemnicą bankową osobie trzeciej (w tym przypadku TU E.).
należy w związku z tym przyjąć, że Bank nie udostępnił Towarzystwu danych osobowych Skarżących w rozumieniu art. 6 u.o.d.o. z 1997 r. jak również w rozumieniu art. 4 RODO i tym samym nie doszło do naruszenia przepisów o ochronie danych osobowych. Z materiału dowodowego zgromadzonego w niniejszej sprawie wynika, że zapisy Umowy ubezpieczenia niskiego wkładu portfela kredytów hipotecznych z dnia 19 lipca 2010 r. zawartej pomiędzy Towarzystwem, a Bankiem wykluczały możliwość przekazania przez Bank informacji umożliwiających identyfikację danych osobowych kredytobiorców z uwagi na brak ich zgody na ujawnienie tychże informacji.
Towarzystwo nie było więc w stanie po samym numerze umowy kredytowej ustalić tożsamości Skarżących i nie mogło tego również zrobić m.in. w oparciu o roszczenie regresowe skoro z prawa do takiego roszczenia regresowego zrezygnowało. W niniejszej sprawie nie można więc mówić o przetwarzaniu przez Towarzystwo danych osobowych Skarżących z uwagi na brak możliwości ustalenia przez Towarzystwo ich tożsamości.
uzyskanie przez Towarzystwo danych osobowych Skarżących w ramach postępowania zainicjowanego ich skargą również nie może uzasadniać wydania decyzji nakazującej, ponieważ Towarzystwo przetwarza obecnie dane osobowe Skarżących, które zostały przekazane przez nich samych oraz przez organ ochrony danych, wyłącznie do celów związanych ze wszczętym postępowaniem administracyjnym i sądowoadministracyjnym, nie zaś w celu identyfikacji Skarżących bądź zrealizowania umowy ubezpieczenia.
wystąpiła więc przesłanka legalizująca przetwarzanie danych osobowych z art. 23 ust. 1 pkt 5 u.o.d.o. z 1997 r., a obecnie przesłanka legalizująca z art. 6 ust. 1 lit. f) RODO, w związku z czym brak jest podstaw do twierdzenia, aby Towarzystwo przetwarzało obecnie dane osobowe Skarżących bez podstawy prawnej.
W związku z powyższym, wobec braku stwierdzenia naruszenia przepisów o ochronie danych osobowych, Prezes UODO nie ma podstaw do wydania decyzji nakazującej przywrócenie stanu zgodnego z prawem w świetle art. 18 ust. 1 u.o.d.o. z 1997 r.
Szkolenie z RODO
- Praktyczna wiedza zbudowana na najistotniejszej teorii
- Elastyczny czas szkolenia – dwa dni po cztery godziny
- Certyfikat oraz prezentacja z linkami do orzeczeń i wytycznych
- Darmowy dostęp na 30 dni do wyszukiwarki Judykatura.pl
Wybieram