Ustawowy bełkot nie może być źródłem prawa

Taki stan rzeczy jest oszukańczy, gdyż szkodzi konsumentom, których rzekomo miano chronić. Opisanie relacji między art. 23 ustawy o ochronie danych osobowych (uodo) i art. 150 ust. 4 oraz 105a prawa bankowego (pr. bank.) wymaga oprócz wiedzy prawnej umiejętności wróżbiarskich.Poruszony kazus świetnie obrazuje chorobę toczącą polski system stanowienia prawa, dlatego warto uważniej mu się przyjrzeć. Doraźność zmian prawa tylko potwierdza słuszność powiedzenia: more haste, less speed. Tak już jest, że jak się człowiek spieszy, to się diabeł cieszy.

Wojewódzki Sąd Administracyjny w Warszawie w wyroku z 22 lutego 2005 r. (II SA/Wa 2030/04) stwierdził: „z chwilą całkowitej spłaty kredytu (zamknięcia rachunku bankowego) kończy się prawne zezwolenie na przetwarzanie danych osobowych tych osób, których rachunki zostały zamknięte. Osiągnięty zostaje wówczas cel, w jakim dane te były przetwarzane”. Innymi słowy, sąd uznał, iż skoro klient spłacił kredyt, to bank nie może przetwarzać jego danych, co oznacza niedopuszczalność wysyłania także materiałów promocyjnych (reklamowych) dotyczących tego banku.

Dziś wiemy, że ów wyrok nie obronił się podczas instancyjnej kontroli orzeczeń, ale w 2005 r. wywołał prawdziwy biały szkwał. Formalnie dotyczył tylko Biura Informacji Kredytowej SA (a nie banków), lecz został odczytany jako istotnie wpływający na sytuację wszystkich banków. Jakoś umknęło z pola widzenia, że w ramach postępowania generalny inspektor ochrony danych osobowych (GIODO) wyraźnie stwierdził, iż zaskarżona do sądu administracyjnego decyzja GIODO „dotyczy przetwarzania danych osobowych przez BIK SA, a nie przez banki i inne instytucje ustawowo upoważnione do przetwarzania danych osobowych, z którymi BIK SA podpisało umowę w sprawie zbierania i udostępniania informacji”. GIODO wprost uznał, że dysponowanie informacjami przez same banki o ich klientach jest legalne („podmioty te będą zatem dysponowały informacjami o zamkniętych rachunkach”).

Rozróżnienie sytuacji prawnej banku zależnie od tego, czy marketing bezpośredni dotyczy usług kredytowych czy innych, powinno zostać wyrugowane z prawa

Machina szybkich nowelizacji prawa jako uniwersalnej odpowiedzi na pojawiające się problemy w praktyce została na skutek nieprawomocnego wyroku z 22 lutego 2005 r. uruchomiona i niecałe dwa miesiące później do pr. bank. wprowadzono zadziwiający art. 105a. Ów przepis został dodany przez art. 3 pkt 2 ustawy z 15 kwietnia 2005 r., która znowelizowała ustawę o ochronie informacji niejawnych.

Zadziwiający z kilku powodów. Między innymi zasadnicze rozbieżności dotyczą określenia momentu, od którego wywołuje on skutki prawne, gdyż zgodnie z art. 6 ustawy z 15 kwietnia 2005 r.: „banki obowiązane są dostosować przetwarzanie informacji zgromadzonych przed dniem wejścia w życie niniejszej ustawy do wymagań w niej określonych w terminie nie dłuższym niż trzy lata od wejścia w życie niniejszej ustawy”, co wskazywałoby na 16 czerwca 2008 r.

Inaczej jednak uznał WSA w Warszawie, który podważył wynik jednoznacznej wykładni językowej i przyjął, że „wykładnia celowościowa nie przemawia za stosowaniem przepisu art. 105a (...) dopiero po upływie trzech lat od wejścia w życie ustawy z 15 kwietnia 2005 r. (wyrok z 30 listopada 2006 r.; II SA/Wa 1734/06). Sąd wskazał zatem na 16 czerwca 2005 r. jako moment pełnej skuteczności regulacji z art. 105a pr. bank.

Kolejna z wielu wątpliwości na gruncie art. 105a ust. 1 pr. bank. dotyczy jego zakresu. Przepis głosi, że „przetwarzanie przez banki (...) informacji stanowiących tajemnicę bankową w zakresie dotyczącym osób fizycznych może być wykonywane (...) w celu oceny zdolności kredytowej i analizy ryzyka kredytowego”. Jak widać, nie posłużono się pojęciem „dane osobowe”, lecz „informacje stanowiące tajemnicę bankową”. Nadto mówi się o „przetwarzaniu informacji”, co w kontekście art. 105 ust. 4 pr. bank., który wspomina o „gromadzeniu, przetwarzaniu i udostępnianiu”, jest szczególnie niejednoznaczne.

Czyżby cały art. 105a pr. bank. nie dotyczył „gromadzenia i udostępniania” informacji? Jaki jest sens budowania ochrony klientów banków w zakresie przetwarzania danych osobowych, skoro poza zakresem regulacji jest „gromadzenie i udostępnianie” tychże danych? Oczywiste jest, że z perspektywy art. 7 pkt 2 uodo „przetwarzaniem danych” jest każda operacja wykonywana na danych osobowych, taka jak „zbieranie, utrwalanie, przechowywanie, opracowywanie, zmienianie, udostępnianie i usuwanie”, lecz w pr. bank. postanowiono stworzyć swoistą siatkę pojęć w zakresie przetwarzania danych osobowych. Źródłem wątpliwości jest nieszczęśliwa redakcja art. 105 ust. 4 pr. bank. i użycie oprócz słowa „przetwarzanie” także słów „gromadzenie i udostępnianie”. Ów przepis był „leczony” i „okaleczany” w ciągu dziesięciu lat (sic!) w drodze 28 nowelizacji i zapewne będą następne.

Z art. 105a ust. 2 pr. bank. wynika, że „informacje stanowiące tajemnicę bankową w zakresie dotyczącym osób fizycznych po wygaśnięciu zobowiązania wynikającego z umowy zawartej z bankiem” mogą być przetwarzane „pod warunkiem uzyskania pisemnej zgody osoby, której informacje te dotyczą. Zgoda ta może być w każdym czasie odwołana”.

Jego skutkiem jest niezasadne przełamanie zasady równorzędności pięciu podstaw legalnego przetwarzania danych osobowych wyliczonych w art. 23 ust. 1 uodo i uprzywilejowanie „zgody” jako głównej przesłanki legalizującej przetwarzanie.

Tak samo istotną jak „zgoda osoby, której dane dotyczą”, przesłanką przetwarzania danych jest wystąpienie „prawnie usprawiedliwionego celu realizowanego przez administratora danych”. Takim celem jest „marketing bezpośredni własnych produktów lub usług”.

Podsumowując ten fragment, wprowadzenie do systemu art. 105a ust. 2 de facto skutkuje dyskryminacją instytucji finansowych w obrocie prawnym. Prima facie krawiec mógłby reklamować swoje usługi, przesyłając informację do byłych klientów na podstawie art. 23 ust. 1 pkt 5 w zw. z ust. 4 uodo (przesłanka prawnie usprawiedliwionego celu administratora), natomiast instytucji finansowej byłoby to zabronione. Jakie względy przemawiają za innym traktowaniem banku, a innym krawca czy towarzystwa ubezpieczeniowego?

W mojej ocenie wykładnia art. 105a ust. 2 musi następować z uwzględnieniem kontekstu tworzonego przez ust. 1 tego przepisu. Skoro zatem odnosi się on do informacji gromadzonych „w celu oceny zdolności kredytowej i analizy ryzyka kredytowego”, to znaczy, iż nie znajduje zastosowania do przetwarzania danych osobowych związanych z produktami depozytowymi banków czy – precyzyjniej – „innych niż kredytowe”.

Konkluzja jest zaskakująca: w zakresie działalności „innej niż kredytowa” i produktów innych niż kredytowe bank może się kontaktować ze swoimi byłymi klientami zgodnie z regułami art. 23 uodo i dopiero wyraźny sprzeciw „osoby, której dane dotyczą” (bazujący na art. 32 ust. 1 pkt 8 uodo), uniemożliwi dalsze przesyłanie materiałów reklamowych takiej osobie. W zakresie marketingu bezpośredniego własnych usług kredytowych zastosowanie znajdowałby art. 105a pr. bank., a na przesłanie niezamówionego druku reklamowego trzeba zgody byłego klienta banku.Co się zaś tyczy przyszłości, to dziwaczne rozróżnienie sytuacji prawnej banku w zależności od tego, czy marketing bezpośredni dotyczy usług kredytowych czy innych, powinno zostać wyrugowane z systemu prawnego, i to na korzyść stosowania ogólnych zasad z uodo. Jeśli art. 105a pr. bank. miałby w ogóle przetrwać, to wyłącznie jako regulacja dotycząca przekazywania informacji między bankami a biurami informacji kredytowej – i vice versa – w związku z działalnością kredytową.

To wszystko wymaga jednak przesądzenia relacji między formułą „gromadzenie, przetwarzanie i udostępnianie” a słowem „przetwarzanie”, gdyż jeden z wariantów może prowadzić do wniosku, że ze względu na niechlujną redakcję art. 105 ust. 4 i 105a pr. bank. ten drugi jest praktycznie niestosowalny, ponieważ – jak stwierdził ostatnio jeden z wybitnych polskich prawników – „bełkot nie może być źródłem prawa”.

Dane Osobowe

Pozostało 93% artykułu