UWAGA!

Od 25 maja 2018 r. organem właściwym w zakresie ochrony danych osobowych jest Prezes Urzędu Ochrony Danych Osobowych. Nowa strona internetowa urzędu jest dostępna pod adresem: www.uodo.gov.pl.

Materiały zamieszczone na stronie Generalnego Inspektora Ochrony Danych Osobowych (GIODO) dostępnej pod adresem www.giodo.gov.pl mają charakter archiwalny.

POZOSTAŃ NA STRONIE ARCHIWALNEJ (GIODO)

Czy bank na podstawie art. 70 Prawa bankowego ma prawo pozyskiwać dane szczególnie chronione, w rozumieniu ustawy o ochronie danych osobowych?

Metadane
Podmiot udostępniający: Zespół Rzecznika Prasowego Biura GIODO
Wytworzył informację: Małgorzata Kałużyńska-Jasak 2009-11-16
Wprowadził‚ informację: Rafał Kreusch 2009-11-16 13:15:53
Ostatnio modyfikował: Rafał Kreusch 2013-11-28 12:56:59

Nie, bowiem przepis ten nie uprawnia banku do pozyskiwania danych szczególnie chronionych .

Uzasadnienie

Zgodnie z art. 7 pkt 2 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych, przez przetwarzanie danych rozumie się jakiekolwiek operacje wykonywane na danych osobowych, takie jak zbieranie, utrwalanie, przechowywanie, opracowywanie, zmienianie, udostępnianie i usuwanie, a zwłaszcza te, które wykonuje się w systemach informatycznych.

W art. 27 ust. 1 ustawy sformułowany został generalny zakaz przetwarzania danych tzw. wrażliwych (do których zalicza się m.in. orzeczenia wydane w postępowaniu sądowym lub administracyjnym). Aczkolwiek od powyższej zasady zakazującej przetwarzanie danych szczególnie chronionych ustawodawca przewidział wiele wyjątków, których zamkniętych katalog znajduje się w art. 27 ust. 2 ustawy. Stosownie do tego artykułu, przetwarzanie tych danych jest dopuszczalne między innymi, gdy osoba, której dane dotyczą, wyrazi na to zgodę na piśmie, chyba że chodzi o usunięcie dotyczących jej danych (art. 27 ust. 2 pkt 1 ustawy), a także gdy przepis szczególny rangi ustawy zezwala na przetwarzanie takich danych bez zgody osoby, której dane dotyczą, i stwarza pełne gwarancje ich ochrony (art. 27 ust. 2 pkt 2 ustawy).

Biorąc powyższe pod uwagę bank mógłby żądać informacji dotyczących danych wrażliwych, o ile zostałby spełniony jeden z ww. warunków. Tymczasem ustawa Prawo bankowe nie wymienia wprost uprawnienia do przetwarzania takich danych. Zgodnie bowiem z jej art. 70 ust. 1, bank uzależnia przyznanie kredytu od zdolności kredytowej kredytobiorcy. Przez zdolność kredytową rozumie się zdolność do spłaty zaciągniętego kredytu wraz z odsetkami w terminach określonych w umowie. Kredytobiorca jest obowiązany przedłożyć na żądanie banku dokumenty i informacje niezbędne do dokonania oceny tej zdolności.  Mimo, że przepis ten jest dość ogólnie sformułowany i pozostawia bankom swobodę w ocenie, które dokumenty i informacje są niezbędne do oceny zdolności kredytowej, to biorąc pod uwagę zapisy ustawy o ochronie danych osobowych odnoszące się do przetwarzania danych szczególnie chronionych, nie wydaje się, aby w takiej sytuacji bank mógł żądać od kredytobiorców danych szczególnie chronionych, np. orzeczeń sądowych, czy informacji o stanie zdrowia.

Dodatkowo, rozważając możliwość żądania przez bank od klienta danych szczególnie chronionych należy wziąć również pod uwagę przepis art. 26 ustawy o ochronie danych osobowych. Zgodnie z jego brzmieniem administrator danych (czyli bank) przetwarzając dane powinien dołożyć szczególnej staranności w celu ochrony interesów osób, których dane dotyczą. W szczególności zobowiązany jest zapewnić aby dane te były m.in. adekwatne w stosunku do celów, w jakich są przetwarzane. Jak podkreśla się w literaturze przedmiotu, wymóg adekwatności (relewantności) danych w stosunku do celu ich przetwarzania sprzeciwia się zbieraniu wszelkich danych dla tego celu nieistotnych, nie mających znaczenia, jak i danych o większym – niż uzasadniony z tego względu – stopniu szczegółowości. Relewantność danych powinna być oceniana najpóźniej w momencie ich zbierania (por. J. Barta, P. Fajgielski, R. Markiewicz „Ochrona danych osobowych. Komentarz” wydanie III, Zakamycze 2004, str. 556 i nast.). Zatem zasadne jest to ustawowe ograniczenie zakresu przetwarzanych danych osobowych, które to dane zarówno swym rodzajem jak i treścią nie powinny wykraczać poza potrzeby wynikające z celu ich zbierania. Przyjęcie bowiem odmiennego rozwiązania oznaczałoby aprobatę dla nieustannego poszerzania zakresu pozyskiwanych przez administratorów danych osobowych, motywowanego kolejnymi, nowymi potrzebami.

Dlatego raz jeszcze należy podkreślić, że nieuprawnionym jest wskazanie, że podstawą przetwarzania przez bank danych szczególnie chronionych jest art. 70 Prawa bankowego. W przypadku bowiem danych wrażliwych możliwość ich przetwarzania musi wyraźnie wynikać z przepisu prawa o randze ustawowej. Tymczasem w powołanym art. 70 ust. 1 Prawa bankowego brak jest sformułowanego wprost uprawnienia do przetwarzania danych szczególnie chronionych.

 

Ostatnie aktualności