GDPR.pl – ochrona danych osobowych w UE, RODO, IOD

Bank odpowiada za dane przekazywane do BIK  – wyrok WSA

Bank odpowiada za przekazwyanie danych do BIK

Bank odpowiada za przekazywanie danych do BIK

Czy jeśli sąd przyznał zabezpieczenia roszczenia w postaci wstrzymania spłaty rat, a bank i tak przekazał dane do BIK o zaległościach w spłacie, to czy bank naruszył RODO? Mamy rozstrzygnięcie WSA.

Kontekst sprawy

Sprawa dotyczyła powództwa o stwierdzenie nieważności kredytu walutowego. W trakcie postępowania sąd przyznał kredytobiorcom zabezpieczenie roszczenia w postaci wstrzymania spłaty rat. Kredytobiorcy poinformowali bank o skorzystaniu z tego uprawnienia, jednak miesiąc później bank przekazał do Biura Informacji Kredytowej informację o opóźnieniu w spłacie zobowiązań. W związku z tym kredytobiorcy zażądali od banku zaprzestania naruszenia zasad przetwarzania danych oraz złożyli skargę do Prezesa UODO.

W wydanej decyzji Prezes Urzędu Ochrony Danych Osobowych stwierdził, że bank nie miał podstaw prawnych do przetwarzania danych osobowych skarżących dotyczących opóźnień w spłacie umowy kredytowej w systemie BIK. Jak wskazał UODO w odniesieniu do powyższego przetwarzania danych osobowych Skarżących nie zaistniała żadna, z wyrażonych w art. 6 ust. 1 RODO przesłanek, która stanowiłaby o legalności tego przetwarzania.

UODO nakłada na Santander Bank S.A. karę za niewłaściwe postępowanie z naruszeniem ochrony danych osobowych

Jak wskazano, co do zasady podstawą prawną przetwarzania danych klientów przez bank w BIK może być obecnie art. 6 ust. 1 lit. f RODO, wtedy gdy przetwarzanie to jest niezbędne do celów wynikających z prawnie uzasadnionych interesów realizowanych przez administratora. Jednakże UODO podkreślił, że dane gromadzone przez Biuro Informacji Kredytowej powinny odzwierciedlać rzeczywisty stan zobowiązań kredytowych, więc w tym wypadku ta przesłanka nie miała zastosowania. Prezes UODO w związku z tym udzielił upomnienia bankowi

Sam bank odwołał się od tej decyzji do WSA.  W skardze na tę decyzję argumentował, że ponieważ dane osobowe były przetwarzane przez BIK, który jest odrębnym podmiotem i samodzielnym administratorem danych osobowych, to BIK powinien być stroną postępowania i decyzji.

Stanowisko WSA

WSA odnosząc się do argumentów banku zgodził się ze stanowiskiem UODO, że celem postępowania była ocena legalności procesu przetwarzania danych osobowych przez bank, w szczególności dotycząca przekazania informacji o opóźnieniach w spłacie zobowiązania do BIK. Postępowanie to nie dotyczyło realizacji przez Bank wniosku o sprostowanie lub usunięcie danych osobowych.

Jak podkreślił WSA, bank miał obowiązek poinformować BIK o udzielonym zabezpieczeniu zgodnie z przepisami prawa. Opóźnienie ze strony Banku w przekazaniu informacji o zabezpieczeniu przyznanym przez sąd skutkowało nieprawidłowym przetwarzaniem danych w BIK, polegającym na błędnej informacji o zaległościach w spłacie zobowiązania.

 

 

WSA wskazał również, że BIK nie aktualizuje samodzielnie danych o zobowiązaniach, a jedynie przetwarza informacje zgodnie z danymi otrzymanymi od banków. To banki posiadają te informacje, więc prawidłowość danych przetwarzanych przez BIK zależy od działań lub zaniechań banku. To bank decyduje czy udostępnia dane osobowe do BIK, a jeśli tak, to również o terminie oraz zakresie przekazanych informacji. Bank jest również odpowiedzialny za sprawdzenie ich poprawności. BIK nie dokonuje bowiem samodzielnych zmian dotyczących danych osobowych klienta bez uprzedniego przekazania ich przez bank.

W związku z powyższym PUODO słusznie stwierdził, że bank nie spełnił obowiązku wynikającego z przepisów prawa w wyznaczonym terminie i wydał decyzję, w której udzielił bankowi upomnienia za naruszenie art. 6 ust. 1 RODO. Decyzja ta była skierowana wyłącznie do Banku jako podmiotu odpowiedzialnego za aktualizację danych w systemie BIK.

Banki a RODO

Banki dokonując zgłoszeń do BIK, nie mogą pomijać udzielonych zabezpieczeń. W tym konkretnym sporze RODO było użytecznym choć dość nieoczywistym narzędziem w sporze, umożliwiającym egzekwowanie praw (klientów) i obowiązków (banków) wynikających z przetwarzania danych osobowych.

Źródło:

https://orzeczenia.nsa.gov.pl/doc/E1C47F70B3