Numer umowy kredytowej jako dana osobowa
Monitor Prawa Bankowego 2022/02 Luty
Glosa do wyroku Wojewódzkiego Sądu Administracyjnego w Warszawie z 22 kwietnia 2021 r. (II SA/Wa 1865/20)
Numer umowy kredytowej przekazany przez bank ubezpieczycielowi nie stanowi danej osobowej kredytobiorcy, gdy na tej podstawie ubezpieczyciel nie jest w stanie określić tożsamości kredytobiorcy.
Damian Karwala
Adriana Zdanowicz-Leśniak
I. Numer umowy kredytowej może mieścić się w pojęciu „danych osobowych”. Każdorazowo jednak należy wziąć pod uwagę kontekst przetwarzania, a oceny dokonywać w odniesieniu do możliwości identyfikacyjnych, jakie posiada podmiot dysponujący określonym zasobem informacji. Do takich wniosków doszedł Wojewódzki Sąd Administracyjny w Warszawie (dalej: „WSA” lub „sąd”) w wyroku będącym przedmiotem niniejszej glosy (dalej: „Wyrok” lub „Glosowany Wyrok”).
Wyrok ten ma istotne znaczenie prawne, jako że dostarcza argumentów w kontekście trwającej aktualnie dyskusji dotyczącej tego, która z koncepcji „identyfikowalności” osoby fizycznej – subiektywna czy też obiektywna – jest aktualna. Praktyczne znaczenie wyroku, w szczególności dla podmiotów z sektora finansowego, przejawia się zaś w przedstawieniu przez sąd tych aspektów, na które należy zwracać uwagę, podejmując czynności przekazywania danych (w tym danych osobowych) na potrzeby realizacji umów, w tym umów o kredyt hipoteczny, której zabezpieczeniem jest UNWW[1].
II. Glosowany Wyrok zapadł na skutek skarg wniesionych przez bank oraz towarzystwo ubezpieczeń na decyzję Prezesa Urzędu Ochrony Danych Osobowych (dalej: „PUODO”, „organ nadzorczy” lub „organ”). Osią sporu było pytanie, czy informacje przekazane towarzystwu ubezpieczeń przez bank, w szczególności numer umowy kredytowej, mieszczą się w definicji „danych osobowych”. Jest to kolejne w ostatnim czasie rozstrzygnięcie sądu administracyjnego odnoszące się do przedmiotowej kwestii definicyjnej, kluczowej w kontekście stosowania przepisów o ochronie danych osobowych.
W Glosowanym Wyroku WSA zauważył w szczególności, że określona informacja dla jednego podmiotu (np. dla banku) może stanowić dane osobowe z uwagi na stosunkowo łatwą możliwość identyfikacji osób fizycznych (np. po numerze umowy kredytowej), z uwzględnieniem pozostałych danych, jakimi dysponuje ten podmiot. Natomiast ta sama informacja dla innego podmiotu (np. zakładu ubezpieczeń) nie będzie stanowiła danej osobowej. Sąd Glosowanym Wyrokiem włączył się również (nawet jeśli nie wybrzmiało to jednoznacznie w treści uzasadnienia Wyroku) w dyskusję dotyczącą wyboru właściwej koncepcji identyfikowalności osoby fizycznej, której dane dotyczą: subiektywnej bądź obiektywnej. Dyskusja ta przybrała na sile w ostatnich latach po wydaniu w 2016 r. przez Trybunał Sprawiedliwości Unii Europejskiej (TSUE) wyroku w sprawie Breyer[2]. Glosowany Wyrok zawiera tym samym istotne wskazówki co do tego, gdzie należy wytyczać granicę pomiędzy „danymi osobowymi” a informacjami niemającymi takiego charakteru.
III. Sprawa rozpatrywana przez WSA zainicjowana została jeszcze w okresie obowiązywania u.o.d.o. z 1997 r.[3]. Z uwagi jednakże na brzmienie art. 160 ust. 2 u.o.d.o., jak również biorąc pod uwagę daleko posuniętą zbieżność podstawowych konstrukcji i definicji funkcjonujących na gruncie poprzednio oraz aktualnie obowiązującego stanu prawnego (w szczególności definicji „danych osobowych”), ana (...)