Centralna Baza Orzeczeń Sądów Administracyjnych

Naczelny Sąd Administracyjny w składzie następującym: Przewodniczący Sędzia NSA Małgorzata Jaśkowska, Sędzia NSA Aleksandra Łaskarzewska (spr.), Sędzia del. WSA Agnieszka Miernik, Protokolant starszy inspektor sądowy Kamil Wertyński, po rozpoznaniu w dniu 27 października 2017 r. na rozprawie w Izbie Ogólnoadministracyjnej skargi kasacyjnej P. S.A. z siedzibą w W. od wyroku Wojewódzkiego Sądu Administracyjnego w Warszawie z dnia 18 sierpnia 2015 r. sygn. akt II SA/Wa 11/15 w sprawie ze skargi P. S.A. z siedzibą w W. na decyzję Generalnego Inspektora Ochrony Danych Osobowych z dnia [...] października 2014 r. nr [...] w przedmiocie przetwarzania danych osobowych 1. oddala skargę kasacyjną; 2. zasądza od P. S.A. z siedzibą w W. na rzecz Generalnego Inspektora Ochrony Danych Osobowych kwotę 180 (sto osiemdziesiąt) złotych tytułem zwrotu kosztów postępowania kasacyjnego.

Wojewódzki Sąd Administracyjny w Warszawie wyrokiem z dnia 18 sierpnia 2015 r., sygn. akt II SA/Wa 11/15 oddalił skargę P. S. A. z siedzibą w W. na decyzję Generalnego Inspektora Ochrony Danych Osobowych z dnia [...] października 2014 r. nr [...] w przedmiocie przetwarzania danych osobowych.

Wyrok zapadł w następującym stanie faktycznym i prawnym sprawy.

M. G. zwróciła się Generalnego Inspektora Ochrony Danych Osobowych ze skargą na przetwarzanie jej danych osobowych przez P. S. A. z siedzibą w W., polegające na ich przekazaniu do zbioru B. S. A. z siedzibą w W. Podniosła, że Bank nie spełnił wymagań uprawniających go do przetwarzania jej danych osobowych, bo nie dopełnił spoczywającego na nim wymogu poinformowania skarżącej o: zamiarze przetwarzania dotyczących jej informacji, stanowiących tajemnicę bankową, bez jego zgody, po ustaniu zobowiązania.

Generalny Inspektor Ochrony Danych Osobowych przeprowadził w sprawie postępowanie wyjaśniające i ustalił, że skarżąca zawarła z Bankiem P. S. A dwie umowy: umowę pożyczki z dnia [...] lipca 2009 r. nr [...], zwaną dalej Rachunkiem I, oraz umowę karty kredytowej z dnia [...] lipca 2009 r. nr [...], zwaną dalej Rachunkiem II. Dane osobowe skarżącej w zakresie: imienia i nazwiska, daty urodzenia, adresu zamieszkania, serii i numeru dowodu osobistego i numeru PESEL zostały przekazane do B. S. A. zgodnie z zawartą dnia 22 czerwca 2001 r. "Umową w sprawie zbierania i udostępniania informacji". Owo przekazanie danych osobowych nastąpiło w celu oceny zdolności kredytowej i analizy ryzyka kredytowego w trakcie trwania stosunków zobowiązaniowych, czyli zgodnie z przesłanką określoną w art. 23 ust. 1 pkt 2 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz.U. z 2014 r., poz. 1182) w związku z art. 105a ust. 1 i art. 105 ust. 4 ustawy z dnia 29 sierpnia 1997 r. Prawo bankowe (Dz.U. z 2012 r., poz. 1376 ze zm.). Dla legalności tego udostępnienia zgoda skarżącej nie była wymagana. Dalej organ ustalił, że choć zobowiązanie skarżącej wobec Banku wygasło, to jednak w zakresie spłaty zadłużenia skarżąca dopuściła się zwłoki trwającej dłużej niż 60 dni w przypadku obu rachunków.

Okoliczności te potwierdził też B. oraz wyjaśnił, że Bank dnia 10 sierpnia 2012 r. dokonał korekty danych skarżącej odnośnie obu rachunków polegającej na przekazaniu informacji o wycofaniu zgody skarżącej na przetwarzanie jej danych po wygaśnięciu zobowiązania. Korekta ta w ocenie B. nie miała wpływu na cel przetwarzania danych skarżącej z uwagi na zaistnienie przesłanek z art. 105a ust. 3 ustawy Prawo bankowe.

Po przeprowadzeniu w sprawie postępowania wyjaśniającego Generalny Inspektor Ochrony Danych Osobowych wydał decyzję administracyjną z dnia [...] stycznia 2014 r., w której w pkt 1 nakazał Bankowi zaprzestanie przetwarzania danych osobowych skarżącej dotyczących rachunku nr [...] w systemie B. w trybie określonym w art. 105a ust. 3 ustawy Prawo bankowe, a w pkt 2 odmówił uwzględnienia wniosku w pozostałym zakresie.

Decyzją z dnia [...] października 2014 r., po rozpoznaniu wniosku Banku o ponowne rozpatrzenie sprawy, Generalny Inspektor Ochrony Danych Osobowych utrzymał w mocy rozstrzygnięcie z dnia [...] stycznia 2014 r. Organ odwoławczy stwierdził, że sam fakt, iż klient nie wykonał zobowiązania lub spóźnił się z jego wykonaniem co najmniej 60 dni, nie upoważnia Banku do przetwarzania jego danych na warunkach określonych w art. 105a ust. 3 Prawa bankowego. Klient musi bowiem zostać poinformowany o możliwości przetwarzania jego danych bez uzyskania od niego zgody. Dopiero bezskuteczny upływ 30 dni od momentu poinformowania stanowi wypełnienie przesłanek z ww. przepisu. Moment, od którego należy liczyć sześćdziesięciodniowy termin, w którym konsument dopuszcza się zwłoki w wykonaniu zobowiązania, to termin wykonania zobowiązania. Dopiero po upływie 60 dni zaczyna biec 30-dniowy termin, w którym instytucja jeszcze oczekuje na wykonanie zobowiązania klienta. Termin 30-dniowy nie biegnie jednak ex lege, a dopiero od momentu, w którym konsument zostanie skutecznie poinformowany przez instytucję o zamiarze przetwarzania. Zdaniem Generalnego Inspektora, z powyższego wynika zatem, że aby przetwarzać dane klienta na warunkach określonych w ww. przepisie, Bank musi dysponować dowodem, że osoba, której dane dotyczą, została poinformowana o zamiarze przetwarzania ich bez jej zgody.

Generalny Inspektor wskazał, że Bank jako administrator danych osobowych swego klienta, w przypadku przetwarzania ich na podstawie art. 105a ust. 3 Prawa bankowego, musi być zdolny do wykazania legitymacji do przekazania danych do B. w postaci rzeczywistego spełnienia obowiązku informacyjnego. Organ wyjaśnił, że odnośnie Rachunku II Bank taki dowód wysyłki przedstawił w postaci wygenerowanego z elektronicznego archiwum zawiadomienia z dnia 24 maja 2010 r. skierowanego do skarżącej w przedmiocie wypełnienia obowiązku informacyjnego z art. 105a ust. 3 ustawy Prawo bankowe. Zatem dane osobowe skarżącej związane z zamkniętym Rachunkiem II są przetwarzane przez B. w celu stosowania metod statystycznych na podstawie art. 105a ust. 4 i 5 w zw. z art. 105 ust. 4 Prawa bankowego, a ponadto przez B. i Bank zgodnie z art. 105a ust. 3 Prawa bankowego, czyli zgodnie z przesłanką określoną w art. 23 ust. 1 pkt 2 ustawy. W zakresie tych danych osobowych skarżącej nie ma podstaw do zastosowania art. 18 ust. 1 ustawy, tj. nakazania przywrócenie stanu zgodnego z prawem. Natomiast odnośnie Rachunku I Bank takim dowodem nie dysponuje. Dlatego organ uznał, że brak jest dowodu wskazującego, że Bank wypełnił ten warunek i przesłał do skarżącej informację, stosownie do art. 105a ust. 3 Prawa bankowego.

Powyższa decyzja stała się przedmiotem skargi Banku do Wojewódzkiego Sądu Administracyjnego w Warszawie.

W odpowiedzi na skargę Generalny Inspektor Ochrony Danych Osobowych wniósł o jej oddalenie, podtrzymując stanowisko wyrażone w zaskarżonych decyzjach.

Wojewódzki Sąd Administracyjny w Warszawie uznał, że skarga nie zasługuje na uwzględnienie. Wskazał, że w rozpoznawanej sprawie Generalny Inspektor Ochrony Danych Osobowych nakazał skarżącemu Bankowi zaprzestania przetwarzania danych osobowych M. G., będącej klientką tego Banku. Organ doszedł bowiem do przekonania, że skarżący Bank nie wykazał, że dopełnił wymaganego cyt. powyżej art. 105a ust. 3 ustawy Prawo bankowe obowiązku poinformowania M. G. o zamiarze przetwarzania dotyczących jej informacji stanowiących tajemnicę bankową, w zakresie Rachunku I, bez jej zgody.

W ocenie Sądu I instancji, stanowisko to jest prawidłowe. W aktach administracyjnych brak jest bowiem dowodów wskazujących na fakt, że Bank poinformował swoją klientkę o zamiarze przetwarzania powyższych danych. Nie zasługują w tym zakresie na uwzględnienie zarzuty skargi dotyczące przeprowadzonego postępowania dowodowego. Przedstawione przez skarżący Bank dokumenty (wzór zawiadomienia kierowanego do klientów w sprawie opóźnień, zrzut z ekranu pliku z aplikacji AXSOne, wydruk struktury pliku RIHP60 wygenerowanego za dzień 27.12.2011 r.) zostały ocenione przez organ w trakcie postępowania administracyjnego, ale nie wynika z nich fakt wykonania przez Bank w stosunku do M. G. obowiązku informacyjnego. Sąd I instancji zgodził się z organem, że z dokumentów i wyjaśnień Banku wynika jedynie to, że Bank archiwizuje w postaci plików danych, informacje dotyczące klientów i ich zobowiązań, dla których zostało przekazane zlecenie wysłania do klienta stosownego zawiadomienia. Pliki te generowane są w ramach korespondencji masowej z centralnego systemu księgowego Banku oraz z aplikacji do obsługi kart kredytowych i przekazywane odpowiednio, w przypadku umów kredytowych - do odpowiedniego operatora pocztowego, w przypadku umów kart kredytowych - do wydziału Banku zajmującego się obsługą korespondencji masowej, w celu dokonania wydruku zawiadomienia oraz jego wysłania pod wskazany przez klienta adres do korespondencji. Brak jest natomiast dowodu, że w stosunku do M. G. taka korespondencja – informująca ją o zamiarze przetwarzania jej danych bez jej zgody, została jej wysłana i doręczona. W tym zakresie samo oświadczenie Banku, jak i nadesłanie wzoru pisma kierowanego w tamtym czasie do klientów – jak twierdzi Bank również do M. G., jest niewystarczające.

W ocenie Sądu I instancji, organ prawidłowo ustalił stan faktyczny w sprawie, dopuszczając jako dowód wszelkie oświadczenia i dowody przedstawione przez skarżący Bank, ocenił je i wydał rozstrzygniecie odpowiadające prawu. Dlatego też Wojewódzki Sąd Administracyjny w Warszawie, na podstawie art. 151 ustawy z dnia 30 sierpnia 2002 r. – Prawo o postępowaniu przed sądami administracyjnymi (Dz. U. z 2012 r., poz. 270 ze zm., dalej jako: P.p.s.a.), orzekł o oddaleniu skargi.

Skargę kasacyjną od powyższego wyroku wywiódł Bank wnosząc o jego uchylenie w całości i przekazanie sprawy Sądowi I instancji do ponownego rozpoznania oraz o zasądzenie kosztów postępowania według norm przepisanych. Opierając skargę kasacyjną na podstawie naruszenia przepisów postępowania, które to uchybienia miały istotny wpływ na wynik sprawy, Bank zarzucił orzeczeniu Sądu I instancji:

1) naruszenie art. 3 § 1 i art. 145 § 1 pkt 1 lit. c P.p.s.a. w zw. z art. 7, art. 77 § 1, art. 80, art. 107 K.p.a. w ten sposób, że Sąd w wyniku niewłaściwej kontroli legalności działalności administracji publicznej nie zastosował środka określonego w ustawie, mimo iż organ administracji wydający zaskarżoną decyzję zaniechał podjęcia czynności niezbędnych do przeprowadzenia postępowania dowodowego w sposób prawidłowy i wyczerpujący, co się przełożyło na wydanie decyzji w oparciu o niepełny i wadliwie oceniony materiał dowodowy i błędnie ustalony stan faktyczny, prowadząc w konsekwencji do wadliwego uzasadnienia decyzji,

2) art. 3 § 1 i art. 145 § 1 pkt 1 lit. c P.p.s.a. w zw. z art. 77 § 1 K.p.a. w zw. z art. 84 § 1 K.p.a. w ten sposób, że Sąd w wyniku niewłaściwej kontroli legalności działalności administracji publicznej nie zastosował środka określonego w ustawie, mimo iż organ administracji publicznej nie powołał biegłego w sytuacji, gdy powziął wątpliwości w zakresie charakteru i prawdziwości danych przetwarzanych w systemach Banku, przez co nie uznał przedstawionych dokumentów elektronicznych za dowód wykonania obowiązku informacyjnego przez Bank względem M. G.,

3) art. 3 § 1 i art. 145 § 1 pkt 1 lit. c P.p.s.a. w zw. z art. 75 § 2 K.p.a. w zw. z art. 107 K.p.a. w ten sposób, że Sąd w wyniku niewłaściwej kontroli legalności działalności administracji publicznej nie zastosował środka określonego w ustawie, mimo iż organ administracji wydający zaskarżoną decyzję niesłusznie odmówił przyjęcia oświadczenia Banku w zakresie okoliczności niewymagających urzędowego potwierdzenia, podczas gdy w sytuacji niesłusznego uznania przez GIODO, że dokumenty elektroniczne przedstawione przez Bank nie stanowią dowodu na okoliczność poinformowania M. G. o zamiarze przetwarzania jej danych osobowych w B., konieczne było poprzestanie na oświadczeniu Banku o dokonaniu w dniu 27 grudnia 2011 r. wysyłki odpowiedniej korespondencji do M. G..

Na rozprawie przed Naczelnym Sądem Administracyjnym P. S.A. z/s w W. podtrzymał skargę kasacyjną. Podniósł, że dowód zlecenia wysyłki świadczy o wypełnieniu obowiązku przez pracowników banku.

Generalny Inspektor Ochrony Danych Osobowych zawnioskował o oddalenie skargi kasacyjnej. Zarzucił, że w sprawie istotnym jest, czy dysponuje się dowodem polecenia wysyłania, czy doręczenia.

Naczelny Sąd Administracyjny zważył, co następuje.

Stosownie do art. 183 § 1 ustawy z dnia 30 sierpnia 2002 r. - Prawo o postępowaniu przed sądami administracyjnymi (Dz. U. z 2017 r. poz. 1369 ze zm., dalej jako: P.p.s.a.), Naczelny Sąd Administracyjny rozpoznaje sprawę w granicach skargi kasacyjnej, biorąc pod rozwagę z urzędu jedynie nieważność postępowania. W niniejszej sprawie nie stwierdzono żadnej z przesłanek nieważności wymienionych w art. 183 § 2 P.p.s.a., wobec czego rozpoznanie sprawy nastąpiło w granicach zgłoszonych podstaw i zarzutów skargi kasacyjnej.

W skardze kasacyjnej zarzucono Sądowi I instancji naruszenie przepisów postępowania mające istotny wpływ na wynik sprawy. W ocenie jej autora, organ administracji i w ślad za tym Sąd I instancji, pominął część materiału dowodowego, a przynajmniej nie przydał mu cech wiarygodności (chodzi tu o zapisy w systemie informatycznym Banku) oraz nie przeprowadził postępowania dowodowego we własnym zakresie w celu wyjaśnienia czy w istocie do M. G. przesłano zawiadomienie o zamiarze przetwarzania jej danych osobowych.

Zarzuty te należy uznać za bezzasadne, gdyż nie znajdują one odzwierciedlenia w aktach sprawy. W analizowanym przypadku nie można przede wszystkim przyjąć, że organ administracji nie dopełnił obowiązków przewidzianych w art. 7, art. 77 § 1, art. 80 i art. 107 § 3 k.p.a. Z art. 7 i 77 K.p.a. wynika, że postępowanie dowodowe oparte jest na zasadzie oficjalności, a organ administracji publicznej zobowiązany jest z urzędu przeprowadzić dowody służące ustaleniu stanu faktycznego sprawy. Nie znaczy to jednak, że strona jest zwolniona od współudziału w realizacji tego obowiązku, zwłaszcza, gdy nieudowodnienie określonej okoliczności faktycznej może prowadzić do rezultatów dla niej niekorzystnych. Oznacza to, że obowiązek poszukiwania dowodów ciąży nie tylko na organie administracyjnym, ale obarcza także stronę, która w swym własnym, dobrze rozumianym interesie, powinna wykazywać należytą dbałość o przedstawienie odpowiednich i przekonujących środków dowodowych.

W rozpoznawanej sprawie Bank nie był stroną inicjującą postępowanie administracyjne przed GIODO, ale ze względu na konstrukcję przepisu art. 105a ust. 3 Prawa bankowego, to na Banku ciążył obowiązek wykazania spełnienia przesłanek umożliwiających zastosowanie tej regulacji. Dopuszczalność przetwarzania danych osobowych na podstawie tego przepisu, obwarowana jest spełnieniem kilku przesłanek. W sprawie sporna była jedynie przesłanka poinformowania M. G. przez Bank o zamiarze przetwarzania dotyczących jej informacji, bez jej zgody. Ustawodawca nie stworzył w tym zakresie żadnych szczególnych wymogów formalnych co do sposobu i treści takiego poinformowania klienta lub byłego klienta banku. Nie oznacza to jednak całkowitej dowolności w tym zakresie. Jakkolwiek ustawodawca w żaden sposób nie ograniczył sposobów i form takiego zawiadomienia, jednakże w każdym wypadku sposób ten powinien umożliwić zweryfikowanie faktu poinformowania klienta banku o zamierzonym przetwarzaniu jego danych osobowych lub też przynajmniej potwierdzenie, że klientowi umożliwiono zapoznanie się z taką informacją. W tym zakresie nie mogą mieć miejsca jakiekolwiek domniemania faktyczne. Żaden z dowodów przedstawionych przez Bank (wzór zawiadomienia kierowanego do klientów w sprawie opóźnień, zrzut z ekranu pliku z aplkacji AXSOne i wydruk struktury pliku RIHP60 wygenerowanego za dzień 27 grudnia 2011 r.) nie potwierdziły by M. G. otrzymała informację o zamiarze przetwarzania. Informacje o dokonaniu wysyłki takiej wiadomości nie mogą stanowić o uczynieniu zadość obowiązkowi z art. 105a ust. 3 Prawa bankowego. W celu weryfikacji dopuszczalności przetwarzania danych osobowych na podstawie art. 105a ust. 3 Prawa bankowego, GIODO musi dysponować stosownymi dowodami na rzeczywiste wykonanie wymienionego w tym przepisie obowiązku informacyjnego i w tym zakresie nie może opierać się wyłącznie na oświadczeniu Banku. Zarzut naruszenia przez organ art. 75 § 2 K.p.a. jest więc nieuzasadniony. Podobnie, nie sposób uwzględnić zarzutu naruszenia art. 84 § 1 K.p.a. poprzez nieskorzystanie przez organ z możliwości zasięgnięcia opinii biegłego, w sytuacji gdy ze skargi kasacyjnej w istocie nie wynika o powołanie jakiego biegłego chodzi, z jakiej dziedziny i czego miałaby dotyczyć ewentualna opinia.

W konsekwencji chybiony okazał się zarzut naruszenia przez Sąd I instancji art. 145 § 1 pkt 1 lit. c P.p.s.a. albowiem Generalny Inspektor Ochrony Danych Osobowych nie dopuścił się naruszenia przepisów postępowania w zakresie zebrania i oceny materiału dowodowego, mających wpływ na ustalenie prawidłowego stanu faktycznego sprawy, stąd brak było podstaw do zastosowania tego przepisu.

W tym stanie rzeczy skargę kasacyjną, jako opartą na nieusprawiedliwionych podstawach, na mocy art. 184 P.p.s.a., należało oddalić. O kosztach postępowania kasacyjnego orzeczono na podstawie art. 204 pkt 1 P.p.s.a.