Usunięcie danych osobowych z BIK

W art. 17 ust. 1 lit. a RODO przyznano osobie, której dane dotyczą, prawo żądania od administratora niezwłocznego usunięcia dotyczących jej danych osobowych, jeżeli:

• dane osobowe nie są już niezbędne do celów, w których zostały zebrane lub w inny sposób przetwarzane;
• osoba, której dane dotyczą, cofnęła zgodę, na której opiera się przetwarzanie i nie ma innej podstawy prawnej przetwarzania – i właśnie z takim przypadkiem mamy do czynienia w pytaniu;
• osoba, której dane dotyczą, wnosi sprzeciw na mocy art. 21 ust. 1 RODO wobec przetwarzania i nie występują nadrzędne prawnie uzasadnione podstawy przetwarzania lub osoba, której dane dotyczą, wnosi sprzeciw na mocy art. 21 ust. 2 RODO wobec przetwarzania;
• dane osobowe były przetwarzane niezgodnie z prawem;
• dane osobowe muszą zostać usunięte w celu wywiązania się z obowiązku prawnego przewidzianego w prawie Unii lub prawie państwa członkowskiego, któremu podlega administrator;
• dane osobowe zostały zebrane w związku z oferowaniem usług społeczeństwa informacyjnego, o których mowa w art. 8 ust. 1 RODO.

Dane osobowe można nadal przetwarzać mimo żądania ich usunięcia tylko jeżeli zachodzi inna przesłanka ich przetwarzania określona w art. 6 ust. 1 RODO. Przykładowo jeżeli przepis prawa daje administratorowi prawo dalszego przetwarzania danych osobowych, wówczas spełniona jest przesłanka z art. 6 ust. 1 lit. c RODO („przetwarzanie jest niezbędne do wypełnienia obowiązku prawnego ciążącego na administratorze”).

Należy zauważyć, że art. 105a Prawa bankowego stanowi podstawę prawną przetwarzania danych osobowych przez BIK. Art. 105a ust. 2 Prawa bankowego pozwala BIK na samodzielne przetwarzanie danych osobowych klienta na podstawie jego pisemnej (lub elektronicznej) zgody – zgoda jest więc udzielana BIK przez samego klienta. Jeżeli natomiast to spółka zbiera dane osobowe klienta i jest administratorem jego danych osobowych, wówczas nie potrzebuje żadnej zgody na przekazywanie danych do BIK, co może nastąpić np. na podstawie umowy powierzenia przetwarzania.

Z pytania wynika, że wystąpił drugi z ww. przypadków, co oznacza, że spółka jest administratorem danych osobowych i udostępnia je BIK jako odrębnemu administratorowi danych osobowych. W takim przypadku decyzja o usunięciu danych z BIK jest decyzją tego administratora danych (BIK), który ocenia istnienie swoich przesłanek przetwarzania danych osobowych. Natomiast spółka jako administrator danych osobowych klienta ocenia tylko zasadność żądania usunięcia jego danych ze swoich rejestrów.