Podstawa prawna przetwarzania danych osobowych przez bank

Bank, tak jak każdy inny administrator danych, powinien się legitymować jedną z przesłanek przetwarzania danych osobowych określonych w art. 23 ust. 1 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych[1]. W przypadku przetwarzania przez bank danych osobowych swoich klientów, jako podstawę prawną przetwarzania tych danych należy wskazać art. 23 ust. 1 pkt 2 i pkt 3 Uodo. Zgodnie z art. 23 ust. 1 pkt 2 tej ustawy, bank upoważniają do przetwarzania ww. danych przepisy ustawy z 29 sierpnia 1997 r. Prawo bankowe[2]. Ponadto dane te są przetwarzane w celu zawarcia i wykonania umów zawartych przez klientów z bankiem. Ww. przesłanki stanowią wystarczającą podstawę przetwarzania danych klientów i dlatego niezasadna jest praktyka, stosowana czasami przez banki, pozyskiwania od klientów zgody na przetwarzanie ich danych w celu wykonania umowy. Jednakże w umowie zawartej z klientem bank powinien poinformować o warunkach przetwarzania danych osobowych, a więc m.in. o wszystkich celach ich zbierania, a zwłaszcza o znanych mu w czasie udzielania informacji lub przewidywanych odbiorcach[3] bądź kategoriach odbiorców danych (np. BIK lub ZBP)[4]. Po rozwiązaniu umowy zaś banki są zobowiązane do dalszego przetwarzania danych, ale w innych celach, tj. w przypadkach określonych w przepisach prawa, czyli np. dla celów archiwalnych bądź rachunkowych, lub za odrębną zgodą byłego klienta – w celach marketingowych[5], o czym szerzej napisano poniżej.

Zgodnie z art. 112b Prawa bankowego banki mogą przetwarzać dla celów prowadzonej działalności bankowej informacje zawarte w dokumentach tożsamości osób fizycznych. Prawo bankowe nie definiuje pojęcia dokumentu tożsamości. Należy przyjąć, iż dokumentem tożsamości jest dowód osobisty, paszport, prawo jazdy lub książeczka wojskowa. W wyroku z dnia 6 października 2004 r., sygn. OSK 755/2004, Wojewódzki Sąd Administracyjny uznał, że adekwatne jest przetwarzanie także tych danych znajdujących się w tzw. starych dowodach osobistych, których nie zawierają tzw. nowe dowody osobiste. Naczelny Sąd Administracyjny w wyroku z dnia 13 lipca 2004 r. sygn. OSK 420/2004, uznał, iż bank może kserować dowody osobiste przy zawieraniu umów kredytowych.

Banki przetwarzają dane osobowe klientów oraz potencjalnych klientów również w celach marketingowych. W przypadku prowadzenia przez bank marketingu własnych produktów lub usług wobec własnych klientów podstawę prawną przetwarzania stanowi art. 23 ust. 1 pkt 5 Uodo. Natomiast w przypadku przetwarzania danych potencjalnych klientów bank powinien pozyskiwać od tych osób zgodę na przetwarzanie danych ich dotyczących w celach marketingowych. Podobnie w przypadku przetwarzania danych osobowych w celu prowadzenia marketingu cudzych produktów i usług bądź też przekazywania w celach marketingowych innym podmiotom, bank powinien uzyskać odrębną zgodę od osób, których te dane dotyczą.

Prawo bankowe zawiera również regulacje precyzujące zasady przetwarzania informacji objętych tajemnicą bankową, a dotyczących osób fizycznych będących kredytobiorcami, już po wygaśnięciu zobowiązania. I tak w myśl art. 105a ust. 1 przetwarzanie przez banki informacji stanowiących tajemnicę bankową w zakresie dotyczącym osób fizycznych może być wykonywane, z zastrzeżeniem art. 104, art. 105 i art. 106-106c, w celu oceny zdolności kredytowej i analizy ryzyka kredytowego. Bank może przetwarzać informacje stanowiące tajemnicę bankową w zakresie dotyczącym osób fizycznych, po wygaśnięciu zobowiązania wynikającego z umowy zawartej z bankiem, pod warunkiem uzyskania pisemnej zgody osoby, której informacje te dotyczą. Zgoda ta może być w każdym czasie odwołana.

Jednakże banki mogą przetwarzać ww. informacje po wygaśnięciu zobowiązania wynikającego z umowy zawartej z bankiem, bez zgody osoby, której informacje dotyczą, gdy osoba ta nie wykonała zobowiązania lub dopuściła się zwłoki powyżej 60 dni w spełnieniu świadczenia wynikającego z umowy zawartej z bankiem lub inną instytucją ustawowo upoważnioną do udzielania kredytów, a po zaistnieniu tych okoliczności upłynęło co najmniej 30 dni od poinformowania tej osoby przez bank lub inną instytucję ustawowo upoważnioną do udzielania kredytów o zamiarze przetwarzania dotyczących jej informacji stanowiących tajemnicę bankową, bez jej zgody. W takim przypadku banki mogą przetwarzać te informacje przez okres nie dłuższy niż 5 lat od dnia wygaśnięcia zobowiązania.

Ponadto banki  mogą przetwarzać powyższe informacje bez zgody osoby, której informacje dotyczą, dla celów stosowania metod statystycznych  do obliczania wymogów kapitałowych, przez okres 12 lat od dnia wygaśnięcia zobowiązania. Zakres przetwarzanych informacji, które bank może przetwarzać bez zgody osoby, której dane dotyczą, może obejmować dane dotyczące osoby fizycznej lub dane dotyczące zobowiązania.

Rozporządzenie Ministra Finansów z dnia 27 marca 2007 r. w sprawie szczegółowego zakresu przetwarzanych informacji dotyczących osób fizycznych po wygaśnięciu zobowiązania wynikającego z umowy zawartej z bankiem lub inną instytucją ustawowo upoważnioną do udzielania kredytów oraz trybu usuwania tych informacji[6] określa w § 3 zakres informacji przetwarzanych w celu oceny zdolności kredytowej i analizy ryzyka kredytowego lub dla celów stosowania metod statystycznych do obliczania wymogów kapitałowych. W dniu wygaśnięcia zobowiązania osoby fizycznej bank jest obowiązany wprowadzić do zbioru, w którym przetwarzane są informacje, komunikat dotyczący daty usunięcia informacji. W dniu określonym w komunikacie bank jest zobowiązany usunąć informacje ze zbioru.

Natomiast przepisy ustawy z 16 listopada 2000 r. o przeciwdziałaniu wprowadzaniu do obrotu finansowego wartości majątkowych pochodzących z nielegalnych lub nieujawnionych źródeł oraz o przeciwdziałaniu finansowaniu terroryzmu[7], nakładają na banki obowiązki, których realizacja wymaga prowadzenia zbiorów danych osobowych. Banki, jako instytucje obowiązane, prowadzą dla potrzeb Generalnego Inspektora Informacji Finansowej (GIIF) określone tą ustawą rejestry transakcji i są zobowiązane przekazywać informacje o ww. transakcjach GIIF. Podstawę prawną przetwarzania ww. danych oraz zakres danych, jakie bank może przetwarzać, określają przepisy ww. ustawy.