Rejestracja zbiorów danych osobowych prowadzonych przez banki

Na bankach, podobnie jak na innych administratorach danych osobowych, ciąży obowiązek zgłoszenia do rejestracji Generalnemu Inspektorowi Ochrony Danych Osobowych większości prowadzonych przez nie zbiorów danych osobowych. Są to przede wszystkim zbiory danych osobowych dotyczące ich klientów i oraz dane innych osób, których dane bank przetwarza w związku z realizacją umów, które klienci zawarli z bankiem, np. użytkowników systemów bankowości internetowej, poręczycieli, użytkowników kart płatniczych, pełnomocników klientów, osób umocowanych na wypadek śmierci. Banki są również zobowiązane do zgłaszania do rejestracji zbiory danych przetwarzanych w celach marketingowych, przy czym banki często obok jednego, można ująć, że głównego, zbioru, prowadzą również zbiory ze względu na rodzaj prowadzonej akcji marketingowej, np. adresatów ofert specjalnych, uczestników konkursów i promocji, uczestników programów lojalnościowych oraz konkursów. Ponadto banki zgłaszają do rejestracji zbiory danych osobowych dotyczące: akcjonariuszy, osób zgłaszających skargi i wnioski, użytkowników portalu lub serwisu internetowego.

Jednakże nie wszystkie zbiory danych będące w dyspozycji banku podlegają obowiązkowi rejestracji. Dzieje się tak wówczas, gdy bank, przetwarzając dane, nie jest ich administratorem, a tym samym nie jest podmiotem zobowiązanym do zgłoszenia zbioru takich danych do rejestracji Generalnemu Inspektorowi Ochrony Danych Osobowych albo kiedy bank, będąc administratorem przetwarzanych danych, jest zwolniony z obowiązku zgłoszenia zbioru do rejestracji mocą przepisu szczególnego ustawy o ochronie danych osobowych[1].

Z pierwszym omawianym przypadkiem, tj. brakiem obowiązku rejestracji, mamy do czynienia w sytuacji, o której mowa w art. 31 ust. 1 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych[2]. Zgodnie z którym, administrator danych może powierzyć innemu podmiotowi, w drodze umowy zawartej na piśmie, przetwarzanie danych. Zatem gdy bank występuje w procesie przetwarzania danych osobowych jako podmiot, któremu na podstawie art. 31 Uodo powierzono przetwarzanie danych, wówczas obowiązek rejestracji nie będzie spoczywał na nim, lecz na podmiocie, który, będąc administratorem danych, powierzył bankowi ich przetwarzanie. Przykładem zbioru, który nie musiał być zgłoszony do rejestracji Generalnemu Inspektorowi Ochrony Danych Osobowych jest zbiór danych klientów, którzy zastrzegli dokumenty zagubione lub utracone w inny sposób. Administratorem danych przetwarzanych w zgłoszonym zbiorze jest bowiem Związek Banków Polskich (ZBP), który gromadzi te dane w zarejestrowanym zbiorze o nazwie „System Międzybankowej Informacji Gospodarczej (Dokumenty Zastrzeżone)”, natomiast bank przetwarza je i wykorzystuje system informatyczny służący do ich przetwarzania na podstawie umowy ze ZBP. W takiej sytuacji każdy z banków, który dokonał zgłoszenia takiego zbioru do rejestracji, został poinformowany przez Generalnego Inspektora Ochrony Danych Osobowych, iż jako podmiot, który nie jest administratorem danych przetwarzanych w takim zbiorze, nie podlega obowiązkowi rejestracyjnemu[3].

Z drugim przypadkiem braku obowiązku rejestracji zbioru przez bank, który jest administratorem przetwarzanych danych, mamy do czynienia wówczas, gdy występuje jedna z sytuacji, o których mowa w art. 43 ust. 1 Uodo. Wśród zbiorów danych osobowych, które banki są zwolnione z obowiązku zgłoszenia do rejestracji należy wymienić: zbiory rejestry transakcji, o których mowa w ustawie o przeciwdziałaniu wprowadzaniu do obrotu finansowego wartości majątkowych pochodzących z nielegalnych lub nieujawnionych źródeł oraz o przeciwdziałaniu finansowaniu terroryzmu; zbiory danych osobowych obecnych i byłych pracowników banków, a także kandydatów do pracy oraz zbiory danych osób świadczących bankowi usługi na podstawie umów cywilnoprawnych (np. na podstawie umowy zlecenia lub umowy o dzieło); zbiory danych przetwarzanych wyłącznie w celu wystawienia faktury, rachunku lub prowadzenia sprawozdawczości finansowej; zbiory danych osobowych przetwarzanych w zakresie drobnych bieżących spraw życia codziennego, czyli np. prowadzonych w celu kontroli wstępu na teren określonych obiektów, tzw. księgi wejść i wyjść albo prowadzonych w celu utrzymywania kontaktu z osobą reprezentującą określony podmiot[4].