Czy banki muszą posiadać zgodę osoby, której dane dotyczą na weryfikację jej zobowiązań kredytowych w BIK?
Powszechnie przyjmuje się, iż aby zweryfikować jakość zobowiązań danej osoby w Biurze Informacji Kredytowej (BIK), konieczna jest zgoda takiej osoby (osoby, której dane dotyczą). Inaczej mówiąc, zakłada się, iż podstawą prawną takiej weryfikacji jest art. 6 ust. 1 lit. a) RODO, tj. zgoda wyrażona przez osobę, której dane dotyczą. Jak się okazuję, nie jest to prawdą, co nie znaczy, że banki mogą weryfikować w BIK zobowiązania danej osoby jak chcą i kiedy chcą. Ale po kolei… Wyjaśnijmy najpierw różnicę pomiędzy BIK a BIG.
1. BIK a BIG
Biuro Informacji Kredytowej (BIK), to instytucja, które gromadzi i udostępnia informacje dotyczące jakości zobowiązań kredytowych osób i firm, czyli ich wiarygodności kredytowej. Informacje te dotyczą terminowości spłat kredytów i pożyczek. BIK jest jedynym tego typu zbiorem danych w Polsce. Biuro Informacji Gospodarczej nie jest pojedynczą instytucja, jak w przypadku BIK, lecz „systemem biur”, które gromadzą i udostępniają informacje dotyczące terminowego opłacania rachunków i faktur przez osoby i firmy, pochodzące z różnych sektorów i branż. Oba podmioty działają na podstawie różnych podstaw prawnych. W przypadku BIK jest to przede wszystkim ustawa Prawo bankowe (dalej „prawo bankowe”) oraz – w zakresie przetwarzania danych osobowych – Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (dalej „RODO”). W przypadku BIG jest to ustawa z dnia 9 kwietnia 2010 r. o udostępnianiu informacji gospodarczej i wymianie danych gospodarczych (dalej „UIG”), a w zakresie ochrony danych osobowych – RODO. Częściowo zakres działalności dotyczącej BIG określa prawo bankowe.
2. Weryfikacja w BIG – podstawa prawna
W przypadku BIG podstawa prawna przetwarzania danych osoby, której dane dotyczą jest jasna. Zgodnie z art. 24 UIG . Podmiot, który chce wystąpić do biura o ujawnienie informacji gospodarczych o zobowiązaniach dłużnika będącego konsumentem, musi zawrzeć z biurem umowę o ujawnianie informacji gospodarczych oraz obowiązkowo musi posiadać zgodę osoby, której dane dotyczą (jej upoważnienie). Zatem prawną podstawą takiego przetwarzania jest art. 6 ust. 1 lit. a) RODO, tj. zgoda wyrażona przez osobę, której dane dotyczą. Z danych biur informacji gospodarczej mogą korzystać przedsiębiorstwa, instytucje, jednostki samorządu terytorialnego i konsumenci, którzy zawarli z BIG umowę. Do biur informacji gospodarczej dane mogą trafić do rejestru po spełnieniu kilku warunków:
- Niespłacona należność wynosi co najmniej 200 zł w przypadku konsumentów i odpowiednio 500 zł w odniesieniu do przedsiębiorców;
- Opóźnienie w spłacie wynosi co najmniej 30 dni;
- Upłynęło co najmniej 30 dni od wysłania przez wierzyciela wezwania do zapłaty, zawierającego informację dla dłużnika o zamiarze przekazania przez wierzyciela danych do biura informacji gospodarczej, z podaniem nazwy i adresu danego biura.
Co ważne, jeżeli zobowiązanie zostanie spłacone przez dłużnika, wierzyciel, który przekazał informację o długu do BIG, ma obowiązek usunąć wpis w ciągu 14 dni. W przypadku braku spłaty długu, informacje o tym będzie przetwarzana przez BIG przez 6 lat w przypadku konsumentów i 10 lat w przypadku przedsiębiorców. Po tym czasie BIG usuwa dane.
3. Weryfikacja w BIK – podstawa prawna
Zgodnie z art. 105 ust. 4 prawa bankowego Banki mogą, wspólnie z bankowymi izbami gospodarczymi, utworzyć instytucje upoważnione do gromadzenia, przetwarzania i udostępniania bankom informacji stanowiących tajemnicę bankową w zakresie, w jakim informacje te są potrzebne w związku z wykonywaniem czynności bankowych. Prawo bankowe nie mówi nic o ewentualnej zgodzie osoby, której dane dotyczą na takie udostępnianie, natomiast wyraźnie ogranicza sytuacje, w których banki mogą wnioskować do BIK o udostępnienie im danych osobowych swoich klientów. Mogą to bowiem robić wyłącznie "w związku z wykonywaniem czynności bankowych". Definicje „czynności bankowych” zawiera art. 5 prawa bankowego, zgodnie z którym czynnościami takimi są między innymi udzielanie kredytów oraz udzielanie pożyczek pieniężnych, o ile są one wykonywane przez banki. Wynikałoby z tego, iż banki, zawsze gdy w ramach wykonywania czynności bankowych (np. udzielania kredytów lub pożyczek) zechcą sprawdzić jakość zobowiązań danego klienta, nie muszą pozyskiwać od niego zgody na takie sprawdzenie. Byłoby tak tym bardziej, iż zgodnie z art. 105 ust. 4a instytucje utworzone na podstawie art. 105 ust. 4 prawa bankowego (np. BIK) mogą udostępniać, biurom informacji gospodarczej działającym na podstawie UIG dane w drodze teletransmisji, przy czym udostępnianie takich danych może nastąpić wyłącznie, jeżeli wierzyciel występujący o udostępnienie tych danych uzyskał pisemne upoważnienie osoby, której dotyczą te dane. Upoważnienie określa zakres danych przeznaczonych do udostępnienia.
Znaczy to, że:
- Instytucje działające w trybie art. 105 ust. 4 (np. banki) nie muszą posiadać pisemnego upoważnienia (zgody) osoby, której dotyczą te dane;
- Jest tak, ponieważ BIK jest instytucją utworzoną przez banki wspólnie z bankowymi izbami gospodarczymi w trybie art. 105 ust. 4 ustawy Prawo bankowe, a nie podmiotem działającym na podstawie UIG;
- W przypadku podmiotów działających na podstawie UIG, tj. BIG warunkiem udostępnienia innym podmiotom danych dotyczących jakości zobowiązań osoby, której dane dotyczą, jest posiadanie stosownego upoważnienia takiej osoby. Wnika to jasno, zarówno z treści art. 105 ust. 4a prawa bankowego, jak również art. 24 ust. 1 UIG;
- Zgodnie z art. 105 ust. 4 prawa bankowego BIK jest instytucją ustawowo upoważnioną do gromadzenia, przetwarzania i udostępniania bankom informacji stanowiących tajemnicę bankową w zakresie, w jakim informacje te są potrzebne w związku z wykonywaniem czynności bankowych;
- Prawo bankowe nie warunkuje udostępnienia bankom takich informacji od posiadania przez nich zgody lub pełnomocnictwa w tym zakresie od osoby, której dane dotyczą;
- Czynnością bankową jest m.in. udzielanie kredytów oraz udzielanie pożyczek pieniężnych, o ile są one wykonywane przez banki;
Wynika z tego, iż banki nie muszą posiadać odrębnej zgody od osoby, której dane dotyczą na zweryfikowanie jej danych dotyczących zobowiązań finansowych w BIK. W przypadku firm pożyczkowych do zweryfikowania informacji niezbędna jest zgoda osoby zainteresowanej. Koniecznie należy tu podkreślić, iż prawo bankowe wyraźnie ogranicza sytuacje, w których banki mogą wnioskować do BIK o udostępnienie im danych osobowych osób, których dane dotyczą. Mogą to robić wyłącznie „w związku z wykonywaniem czynności bankowych”, np. w przypadku udzielanie kredytów oraz udzielanie pożyczek pieniężnych. Jeśli więc przesłanką prawną weryfikacji przez banki w BIK sytuacji finansowej osoby, której dane dotyczą nie jest jej zgoda, to na jakiej podstawie prawnej działają banki dokonując takiej weryfikacji?
Zgodnie z art. 70. Ust. 1 prawa bankowego Bank zobowiązany jest do uzależnienia przyznanie kredytu od zdolności kredytowej kredytobiorcy, przy czym przez zdolność kredytową rozumie się zdolność do spłaty zaciągniętego kredytu wraz z odsetkami w terminach określonych w umowie. W tym celu kredytobiorca jest zobowiązany przedłożyć na żądanie banku dokumenty i informacje niezbędne do dokonania oceny tej zdolności oraz umożliwić podejmowanie przez bank czynności związanych z oceną sytuacji finansowej i gospodarczej oraz kontrolę wykorzystania i spłaty kredytu. Inaczej mówiąc, osobie fizycznej, która nie ma zdolności kredytowej, bank może udzielić kredytu jedynie pod warunkiem ustanowienia szczególnego sposobu zabezpieczenia jego spłaty. Niezależnie od tego, zgodnie z art. 9 ustawy z dnia 12 maja 2011 r. o kredycie konsumenckim bank przed zawarciem umowy o kredyt konsumencki jest zobowiązany do dokonania oceny zdolności kredytowej konsumenta, która dokonywana jest na podstawie informacji uzyskanych od konsumenta lub na podstawie informacji pozyskanych z odpowiednich baz danych lub zbiorów danych kredytodawcy. Ustawa dopowiada, iż konsument jest zobowiązany do przedstawienia, na żądanie kredytodawcy, dokumentów i informacji niezbędnych do dokonania oceny zdolności kredytowej. Jak więc widać, przepisy powszechnie obowiązujące wprost nakładają na bank obowiązek weryfikacji zdolności kredytowej potencjalnego kredytobiorcy, w tym w szczególności na podstawie informacji pozyskanych z odpowiednich baz danych lub zbiorów danych kredytodawcy. Skoro tak, podstawą prawną takiej czynności wynikającą z RODO jest art. 6 ust. 1 lit. c) RODO, tj. obowiązek prawny ciążący na administratorze w związku z art. 70 prawa bankowego oraz art. 9 ustawy z dnia 12 maja 2011 r. o kredycie konsumenckim.
4. Okresy retencji po wydaniu przez bank negatywnej decyzji kredytowej lub po odstąpieniu przez wnioskodawcę od podpisania umowy z bankiem
Przypomnijmy (pisaliśmy o tym w jednym z wcześniejszych wpisów), iż zarówno KNF, jak sądy, zwróciły uwagę na konieczność zmiany w podejściu banków do sposobu traktowania przez nie danych osobowych klientów, w stosunku do których banki wydały negatywną decyzję kredytową lub którzy odstąpili od podpisania takiej umowy z bankiem. Chodzi zatem o sytuacje, w których nie dochodzi do podpisania umowy kredytowej z wnioskującym. Praktyka większości banków w tym zakresie do niedawna była taka, iż Bank po wydaniu negatywnej decyzji kredytowej zwracały wnioskodawcy dokumenty załączone do wniosku kredytowego, jednak pozostawiały sobie sam wniosek, przetwarzając w ten sposób wszystkie dane osobowe w nim zawarte, argumentując, iż takie dane będą przetwarzania w celach archiwalnych lub w celu ewentualnego ustalenia, dochodzenia lub obrony przed roszczeniami. Podobna praktyka funkcjonowała w przypadku rezygnacji przez klienta z podpisania umowy kredytowej po wydaniu przez bank pozytywnej decyzji kredytowej. Dotyczyło to także danych osobowych klientów banków przetwarzanych przez BIK po tym, jak banki weryfikując sytuację finansową klientów, kierowały do BIK zapytania sprawdzające. Po wydaniu negatywnej decyzji kredytowej lub po rezygnacji klienta z podpisania umowy, BIK nadal przetwarzał dane osobowe takich osób. Było tak pomimo tego, iż WSA uznał, że w sytuacji, gdy w następstwie złożenia wniosku kredytowego nie dochodzi do zawarcia umowy kredytowej z bankiem, brak jest przesłanek ustawowych legalizujących dalsze przetwarzanie przez bank (oraz analogicznie przez BIK) danych osobowych niedoszłego klienta. Sąd zwrócił uwagę na fakt, iż co prawda w następstwie złożenia wniosku kredytowego przez wnioskodawcę bank (oraz BIK) jest uprawniony w świetle art. 105a ust. 1 prawa bankowego do przetwarzania danych osobowych wnioskodawcy w celu oceny jego zdolności kredytowej, jednak w sytuacji, gdy w wyniku podjętych czynności sprawdzających nie doszło do zawarcia umowy kredytowej, odpadła przesłanka legalizująca dalsze przetwarzanie przez bank danych osobowych wnioskodawcy. Sąd podkreślił także, iż pomiędzy wnioskodawcą a bankiem nie zawiązał się żaden stosunek zobowiązaniowy, który w świetle art. 105a ust. 1 – 6 prawa bankowego dawałby podstawę do dalszego przetwarzania jego danych osobowych przez bank. Nie znajduje ono zatem obecnie podstawy w przepisach prawa i nie jest niezbędne dla wypełnienia prawnie usprawiedliwionych celów realizowanych przez bank, a w szczególności podjęcia obrony przed ewentualnymi reklamacjami lub roszczeniami odszkodowawczymi. Analogicznie, także BIK tracił podstawę prawną do przetwarzania danych takich osób. Zdaniem Sądu, niedopuszczalne jest także przetwarzanie danych osobowych niejako "na zapas", z założeniem, że mogą być one ewentualnie przydatne w przyszłości oraz z odwołaniem się przy tym do przepisów dotyczących przedawnienia roszczeń cywilnoprawnych. Stanowisko WSA podzielił w swoim wyroku z dnia 27 sierpnia 2019 roku NSA (I OSK 2567/17), który oddalił skargę kasacyjną Banku.
Niezależnie od tego, zgodnie ze stanowiskiem Prezesa UODO, aby zapobiec przechowywaniu danych osobowych przez okres dłuższy, niż jest to niezbędne, administrator powinien samodzielnie ustalić termin ich usuwania lub okresowego przeglądu (motyw 39 RODO). W tym celu administrator powinien dokonać analizy dotyczących jego działalności przepisów prawa. Konieczność samodzielnego określenia przez administratora okresu przechowywania danych osobowych może zachodzić nawet w sytuacji, w której cele przetwarzania danych określone są w przepisach prawa. W takich sytuacjach obowiązkiem administratora jest dokonanie oceny, czy cele zostały osiągnięte i czy dane są mu nadal potrzebne.
5. Okresy retencji po podpisaniu umowy kredytowej
Do BIK dane przekazują banki, SKOK-i, firmy pożyczkowe oraz bankowe firmy leasingowe i faktoringowe. Są to dane o wszystkich czynnych zobowiązaniach kredytowych, od momentu udzielenia kredytu, aż do całkowitej spłaty. Przechowywanie danych po tym czasie uzależnione jest przede wszystkim od terminowości spłat, bez względu na wysokość kwoty zobowiązania. Klient banku może sobie w ten sposób budować w BIK swoją historię kredytową. Jeśli zobowiązanie spłacone było bez opóźnień (lub opóźnienie nie przekroczyło 60 dni), to po jego zamknięciu dane zostają przeniesione do bazy danych statystycznych i nie są widoczne dla banków i innych instytucji. Aby „historia takiego zobowiązania klienta” mogła być przetwarzana w BIK po wygaśnięciu zobowiązania, klient banku musi wyrazić na to swoją zgodę na ich przetwarzanie. Zgoda taka może być w każdej chwili odwołana. Jeśli jednak zobowiązanie było spłacane z opóźnieniem powyżej 60 dni i bank poinformował klienta o możliwości przetwarzaniu jego danych po zamknięciu zobowiązania bez jego zgody, o ile nie zostanie ono spłacone w ciągu 30 dni, to po jego spłacie dane będą przetwarzane przez 5 lat. BIK nie bazuje wówczas na zgodzie klienta na przetwarzanie jego danych w swoich bazach. W takiej sytuacji w BIK buduje się „negatywna historia klienta”. Po tym okresie zostają przeniesione do bazy danych statystycznych. Tam przechowywane są przez 12 lat. Powyższe okresy przetwarzania danych wynikają z ustawy Prawo bankowe.
Opracował
Arkadiusz Kraus
A2KP KANCELARIA Sp. z o.o.