Zasady przetwarzania danych osobowych obowiązują wszystkich, czyli krótka historia „walki” z BIK-em
Dzisiaj historia o walce Dawida z Goliatem, a w rolach głównych Pani X (podmiot danych) oraz BIK (Biuro Informacji Kredytowej).
Czym jest BIK?
Biuro Informacji Kredytowej (BIK) to niezwykle istotna instytucja z perspektywy wszystkich potencjalnych kredytobiorców. Gromadzi dane o kredytobiorcach i na podstawie tychże danych wystawiana jest tzw. ocena punktowa BIK. Mówiąc potocznie, albo „świecimy” się w BIK na zielono (co pozwoli nam uzyskać kredyt hipoteczny czy choćby raty na wymarzony sprzęt RTV) albo „na czerwono” (i nic z tego nie będzie). BIK gromadzi bowiem dane dotyczące między innymi terminowości spłaty zadłużeń, a taka baza stanowi cenne źródło informacji dla banków czy firm pożyczkowych, ponieważ pozwala na szybkie sprawdzenie wiarygodność kredytowej klienta i prześledzenie jego dotychczasowej historii.
BIK a dane osobowe
Co oczywiste, BIK przetwarza dane osobowe kredytobiorców i to w dużej ilości. Informacje, którymi dysponuje BIK, pochodzą od samych banków oraz firm pożyczkowych, które współpracują z Biurem. Przekazywane są tam zazwyczaj całe wnioski pożyczkowe, wraz ze szczegółowymi danymi na temat klientów, ich sytuacji finansowej oraz planowanej spłaty kredytu. Kiedy dana osoba zaciąga swój pierwszy kredyt, jednocześnie zaczyna się tworzyć jej historia kredytowa.
BIK przetwarza dane osobowe kredytobiorców m.in. w celu oceny zdolności kredytowej i analizy ryzyka kredytowego, a podstawą prawną przetwarzania danych osobowych są przepisy Prawa bankowego (dalej „Ustawa”). Art. 105a ust. 1b Ustawy wskazuje zamknięty katalog danych osobowych, jakie mogą być przetwarzane we wskazanym powyżej celu:
- dane dotyczące osoby fizycznej:
imię (imiona) i nazwisko, nazwisko rodowe, imiona rodziców, datę i miejsce urodzenia, wiek, płeć, obywatelstwo, stan cywilny, serię i numer dowodu osobistego lub innego dokumentu potwierdzającego tożsamość, numer PESEL, NIP, adres zamieszkania, adres zameldowania na pobyt stały lub czasowy, aktualny adres pobytu czasowego inny niż adres zamieszkania lub zameldowania, adres do korespondencji, tytuł prawny do zajmowanego lokalu, miejsce pracy, zawód, wykształcenie, formę zatrudnienia, sytuację finansową, w tym dochody i wydatki, osoby pozostające na utrzymaniu, ustrój majątkowy małżonków;
- dane dotyczące zobowiązania:
źródło zobowiązania, kwotę i walutę, numer i stan rachunku prowadzonego w banku lub innej instytucji ustawowo upoważnionej do udzielania kredytów, nazwę i adres siedziby lub oddziału banku lub innej instytucji ustawowo upoważnionej do udzielania kredytów, datę powstania zobowiązania, warunki spłaty zobowiązania, ustanowione zabezpieczenia prawne, przebieg realizacji zobowiązania, stan zadłużenia z tytułu zobowiązania, datę wygaśnięcia zobowiązania, przyczyny niewykonania zobowiązania lub dopuszczenia się zwłoki, przyczyny wygaśnięcia zobowiązania.
Dlaczego zatem Dawid walczył z Goliatem?
Spór dotyczył przetwarzania przez BIK danych o upadłości konsumenckiej Pani X, do czego, zdaniem skarżącej, brak było podstaw prawnych. Taka informacja wyraźnie wpływała na scoring kredytowy, przez co Pani X „świeciła” w BIK-u na czerwono.
Upadłość konsumencka ogłoszona wobec Pani X, dotyczyła zobowiązań z umowy kredytu mieszkaniowego zawartej z Getin Bankiem (niestety Pani X należy do grona frankowiczów, którzy mieli jeszcze dodatkowo to nieszczęście, że zaciągnęli kredyt w Getin Banku). Jak wyraźnie wynikało z raportu dotyczącego kredytobiorczyni, zobowiązania te wygasły w 2013 i 2015 r. (dług odzyskany), natomiast banki oraz BIK mogą przetwarzać informacje dotyczące osób fizycznych po wygaśnięciu zobowiązania wynikającego z umowy zawartej z bankiem, przez okres nie dłuższy niż 5 lat od dnia wygaśnięcia zobowiązania. Zobowiązania Pani X, odnośnie których przetwarzana była informacja o upadłości konsumenckiej, wygasły najpóźniej w dniu 30.12.2015 r. Zatem podstawa prawna do przetwarzania wskazanej informacji odpadła w dniu 31.12.2020 r. i od tej daty dane te przetwarzane były z naruszeniem zasady legalności (czyli bez podstawy prawnej), co dawało kredytobiorczyni uprawnienie do żądania ich usunięcia.
Co ciekawe, dane na temat upadłości konsumenckiej Pani X, zostały przekazane do BIK-u nie przez Getin Bank, ale przez zupełnie inny bank, który w 2016 r. pozyskał je z Monitora Sądowego i Gospodarczego. Zgodnie z raportem, nie istniały żadne zobowiązania kredytowe w trakcie spłaty ani żadne zamknięte zobowiązania kredytobiorczyni wobec tego banku. Nie istniały w ogóle żadne zaległe zobowiązania wobec jakiegokolwiek banku czy instytucji kredytowej. Czyli – informacja o upadłości nie była związana z żadnym aktywnym zobowiązaniem Pani X.
W związku z powyższym, wezwałyśmy BIK do niezwłocznego usunięcia danych Pani X w zakresie informacji o upadłości konsumenckiej. Jak łatwo się domyślić, BIK odmówił. Wskazał przy tym, że przetwarza je „w celu wykonywania czynności bankowych, w szczególności w celu oceny zdolności kredytowej i analizy ryzyka kredytowego”.
Co było dalej?
Dalej była skarga do PUODO, czyli do Prezesa Urzędu Ochrony Danych Osobowych, a po dwóch latach walki, wyczekiwana decyzja:
PUODO przyznał nam rację i nakazał BIK-owi zaprzestanie przetwarzania danych Pani X dotyczących upadłości konsumenckiej w celach innych niż statystyczne.
Co bardzo istotne – dane przetwarzane w celach statystycznych nie są prezentowane w raportach BIK udostępnianych bankom i nie są wykorzystywane do oceny zdolności kredytowej.
Jak wskazano w decyzji, nie jest możliwe przetwarzanie danych osobowych w celu oceny zdolności kredytowej i analizy ryzyka kredytowego bez powiązania tych danych z jakąkolwiek czynnością bankową. W ocenie PUODO, przetwarzanie przez BIK danych Pani X w zakresie informacji o upadłości konsumenckiej w celu związanym z przyszłą, aktualnie nieskonkretyzowaną potrzebą dokonania oceny zdolności kredytowej, stanowi niedopuszczalne przetwarzanie danych osobowych na zapas.
PODSUMOWUJĄC:
Jaki morał z tej historii?
Ano taki, że zawsze warto bronić swoich praw, nawet jeśli oznacza to walkę z instytucją, która wydaje się być „nietykalna”, czy po prostu poza naszym zasięgiem. Decyzja, która zapadła w opisanej sprawie, a także inne decyzje PUODO wydane w ostatnich latach, pokazują, że zasady przetwarzania danych osobowych nie pozostawiają miejsca na dowolność, a obowiązek przestrzegania RODO dotyczy wszystkich.
Zapraszam do śledzenia kolejnych wpisów!