Centralna Baza Orzeczeń Sądów Administracyjnych

Wojewódzki Sąd Administracyjny w Warszawie w składzie następującym: Przewodniczący Sędzia WSA – Anna Mierzejewska Sędzia WSA – Ewa Grochowska – Jung (sprawozdawca) Sędzia WSA – Danuta Kania Protokolant – specjalista Marek Kozłowski po rozpoznaniu na rozprawie w dniu 18 sierpnia 2015 r. sprawy ze skargi Powszechnej Kasy Oszczędności Banku Polskiego S. A. z siedzibą w W. na decyzję Generalnego Inspektora Ochrony Danych Osobowych z dnia [...] października 2014 r. nr [...] w przedmiocie przetwarzania danych osobowych – oddala skargę w całości –

Generalny Inspektor Ochrony Danych Osobowych decyzją nr [...] dot. [...] z dnia [...] października 2014 r. na podstawie art. 138 § 1 pkt 1 kpa oraz art. 12 pkt 2, art. 22 i z art. 23 ust. 1 pkt 2 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz.U. z 2014 r. poz. 1182) w zw. z art. 105 ust. 4 oraz art. 105a ust. 3 i 4 ustawy z dnia 29 sierpnia 1997 r. Prawo bankowe (Dz.U. z 2012 r. poz. 1376 ze zm.) utrzymał w mocy własną decyzję z dnia [...] stycznia 2014 r. (znak: [...]), nakazującą Powszechnej Kasie Oszczędności Bank Polski S. A. zaprzestanie przetwarzania danych osobowych M. G. dotyczących rachunku nr [...] w systemie Biura [...] w trybie określonym w art. 105a ust. 3 ustawy Prawo bankowe.

W sprawie ustalono stan faktyczny. M. G. zwróciła się Generalnego Inspektora Ochrony Danych Osobowych ze skargą na przetwarzanie jej danych osobowych przez Powszechną Kasę Oszczędności Bank Polski S. A. z siedzibą w [...], polegające na ich przekazaniu do zbioru Biura [...] z siedzibą w [...]. Podniosła, że Bank nie spełnił wymagań uprawniających go do przetwarzania jej danych osobowych, bo nie dopełnił spoczywającego na nim wymogu poinformowania skarżącej o: zamiarze przetwarzania dotyczących jej informacji, stanowiących tajemnicę bankową, bez jego zgody, po ustaniu zobowiązania.

Generalny Inspektor Ochrony Danych Osobowych przeprowadził w sprawie postępowanie wyjaśniające i ustalił, że skarżąca zawarła z Bankiem PKO BP S. A dwie umowy: umowę pożyczki z dnia [...] lipca 2009 r. nr [...], zwaną dalej Rachunkiem I, oraz umowę karty kredytowej z dnia [...] lipca 2009 r. nr [...], zwaną dalej Rachunkiem II. Dane osobowe skarżącej w zakresie: imienia i nazwiska, daty urodzenia, adresu zamieszkania, serii i numeru dowodu osobistego i numeru PESEL zostały przekazane do B [...] zgodnie z zawartą dnia [...] czerwca 2001 r. "Umową w sprawie zbierania i udostępniania informacji". Owo przekazanie danych osobowych nastąpiło w celu oceny zdolności kredytowej i analizy ryzyka kredytowego w trakcie trwania stosunków zobowiązaniowych, czyli zgodnie z przesłanką określoną w art. 23 ust. 1 pkt 2 ustawy w związku z art. 105a ust. 1 i art. 105 ust. 4 Prawa bankowego. Dla legalności tego udostępnienia zgoda skarżącej nie była wymagana. Dalej organ ustalił, że choć zobowiązanie skarżącej wobec Banku wygasło, to jednak w zakresie spłaty zadłużenia skarżąca dopuściła się zwłoki trwającej dłużej niż 60 dni w przypadku obu rachunków.

Okoliczności te potwierdził też B [...] oraz wyjaśnił, że Bank dnia [...] sierpnia 2012 r. dokonał korekty danych skarżącej odnośnie obu rachunków polegającej na przekazaniu informacji o wycofaniu zgody skarżącej na przetwarzanie jej danych po wygaśnięciu zobowiązania. Korekta ta w ocenie B [...] nie miała wpływu na cel przetwarzania danych skarżącej z uwagi na zaistnienie przesłanek z art. 105a ust. 3 ustawy Prawo bankowe.

Po przeprowadzeniu w sprawie postępowania wyjaśniającego Generalny Inspektor Ochrony Danych Osobowych wydał decyzję administracyjną z dnia [...] stycznia 2014 r. (znak: [...]), w której w pkt 1 nakazał Bankowi zaprzestanie przetwarzania danych osobowych skarżącej dotyczących rachunku nr [...] w systemie B [...] w trybie określonym w art. 105a ust. 3 ustawy Prawo bankowe, a w pkt 2 odmówił uwzględnienia wniosku w pozostałym zakresie.

Dnia 7 lutego 2014 r. do Biura GIODO wpłynął wniosek Banku o ponowne rozpatrzenie sprawy rozstrzygniętej ww. decyzją. Wskazano w nim, że: "W dniu [...] grudnia 2011 r. zaległości w spłacie zobowiązania Rachunku I "przekroczyły 60 dni i wówczas do skarżącej wysłane zostało pismo informujące, że na podstawie art. 105a ust. 3 ustawy Prawo Bankowe, w przypadku braku spłaty całego zadłużenia wymagalnego w terminie 30 dni, Bank nabędzie prawa do przetwarzania informacji stanowiących tajemnicę bankową, dla celów oceny zdolności kredytowej i analizy ryzyka kredytowego po wygaśnięciu zobowiązania, bez jej zgody. W związku z tym, że nie dokonano spłaty wymaganej kwoty w określonym terminie 30 dni od daty wysłania ww. pisma, Bank nabył prawa do przetwarzania danych osobowych skarżącej.

W uzasadnieniu decyzji z dnia [...] października 2014 r., utrzymującej w mocy decyzje organu I instancji, Generalny Inspektor Ochrony Danych Osobowych stwierdził, że sam fakt, że klient nie wykonał zobowiązania lub spóźnił się z jego wykonaniem co najmniej 60 dni, nie upoważnia Banku do przetwarzania jego danych na warunkach określonych w art. 105a ust. 3 Prawa bankowego. Klient musi bowiem zostać poinformowany o możliwości przetwarzania jego danych bez uzyskania od niego zgody. Dopiero bezskuteczny upływ 30 dni od momentu poinformowania stanowi wypełnienie przesłanek z ww. przepisu. Moment, od którego należy liczyć sześćdziesięciodniowy termin, w którym konsument dopuszcza się zwłoki w wykonaniu zobowiązania, to termin wykonania zobowiązania. Dopiero po upływie 60 dni zaczyna biec 30-dniowy termin, w którym instytucja jeszcze oczekuje na wykonanie zobowiązania klienta. Termin 30-dniowy nie biegnie jednak ex lege, a dopiero od momentu, w którym konsument zostanie skutecznie poinformowany przez instytucję o zamiarze przetwarzania. Z powyższego wynika zatem, że aby przetwarzać dane klienta na warunkach określonych w ww. przepisie, Bank musi dysponować dowodem, że osoba, której dane dotyczą, została poinformowana o zamiarze przetwarzania ich bez jej zgody.

Organ wskazał, że Bank jako administrator danych osobowych swego klienta w przypadku przetwarzania ich na podstawie art. 105a ust. 3 Prawa bankowego musi być zdolny do wykazania legitymacji do przekazania danych do BIK w postaci rzeczywistego spełnienia obowiązku informacyjnego. Organ wyjaśnił, że odnośnie Rachunku II Bank taki dowód wysyłki przedstawił w postaci wygenerowanego z elektronicznego archiwum zawiadomienia z dnia [...] maja 2010 r. skierowanego do skarżącej w przedmiocie wypełnienia obowiązku informacyjnego z art. 105a ust. 3 ustawy Prawo bankowe. Zatem dane osobowe skarżącej związane z zamkniętym Rachunkiem II są przetwarzane przez B [...] w celu stosowania metod statystycznych na podstawie art. 105a ust. 4 i 5 w zw. z art. 105 ust. 4 Prawa bankowego, a ponadto przez B [...] i Bank zgodnie z art. 105a ust. 3 Prawa bankowego, czyli zgodnie z przesłanką określoną w art. 23 ust. 1 pkt 2 ustawy. W zakresie tych danych osobowych skarżącej nie ma podstaw do zastosowania art. 18 ust. 1 ustawy, tj. nakazania przywrócenie stanu zgodnego z prawem. Natomiast odnośnie Rachunku I Bank takim dowodem nie dysponuje. Dlatego organ uznał, że brak jest dowodu wskazującego, że Bank wypełnił ten warunek i przesłał do skarżącej informację stosownie do art. 105a ust. 3 Prawa bankowego.

Powyższa decyzja stała się przedmiotem skargi Banku do Wojewódzkiego Sądu Administracyjnego w Warszawie, w której zarzucono jej naruszenie: a) przepisów postępowania, które mogło mieć wpływ na wynik sprawy, tj. art. 7, art. 77 § 1, art. 80, oraz art. 107 kpa poprzez zaniechanie podjęcia czynności niezbędnych do przeprowadzenia postępowaniu dowodowego w sposób prawidłowy i wyczerpujący, co się przełożyło na wydanie decyzji w oparciu o wadliwie zebrany i oceniony materiał dowodowy oraz błędnie ustalony stan faktyczny, w tym nie wskazanie przyczyn dla których poszczególnym dowodom GIODO odmówił wiarygodności i mocy dowodowej; b) naruszenie przepisów postępowania, które mogło mieć wpływ na wynik sprawy, tj. art. 75 § 1 kpa poprzez odmowę uznania za dowód w sprawie przedstawionych przez Bank materiałów (wzoru zawiadomienia kierowanego do klientów w sprawie opóźnień, zrzutu z ekranu pliku z aplikacji [...], wydruku struktury pliku [...] wygenerowanego za dzień [...].12.2011r.) pomimo, iż dokumenty te stanowiły pełnowartościowe środki dowodowe w świetle art. 75 § 1 kpa; c) naruszenie przepisów postępowania, które mogło mieć istotny wpływ na wynik sprawy tj. art. 75 § 2 kpa, poprzez odmowę przyjęcia oświadczenia Banku w zakresie okoliczności nie wymagających urzędowego potwierdzenia, podczas gdy w sytuacji (wadliwego) uznania przez GIODO, że dokumenty przestawione przez Bank nie stanowią środków dowodowych, konieczne było poprzestanie na oświadczeniu Banku o dokonaniu w dniu [...].12.2011 r. wysyłki odpowiedniej korespondencji do M. G.; d) naruszenie przepisów postępowania, które mogło mieć wpływ na wynik sprawy, tj. art. 77 § 1 poprzez brak powołania biegłego, w sytuacji, gdy GIODO miał wątpliwości w zakresie charakteru i prawdziwości danych przetwarzanych w systemach Banku, przez co wątpliwości te zostały arbitralnie i bezpodstawnie uznane za brak dowodu ze strony Banku, e) naruszenie art. 6 kc poprzez bezpodstawne przyjęcie, że to na Banku spoczywał ciężar dowodu w zakresie wykazania poinformowania Klientki o zamiarze przetwarzania jej danych osobowych w B [...], podczas gdy to na organie prowadzącym postępowanie administracyjne spoczywał obowiązek weryfikacji informacji zawartych w skardze M. G., uznanie, że Bank nie przedstawił dowodów na okoliczność poinformowania M. G. o zamiarze przetwarzania jej danych osobowych po wygaśnięciu zobowiązania, podczas gdy Bank w toku postępowania administracyjnego oraz przy wniosku o ponowne rozpatrzenie sprawy złożył do akt dowody, z których wynika, że korespondencja została do pani M. G. wysłana w stosownym terminie. Skarżący wniósł o uchylenie zaskarżonej decyzji.

W odpowiedzi na skargę Generalny Inspektor Ochrony Danych Osobowych wniósł o jej oddalenie, podtrzymując stanowisko wyrażone w zaskarżonych decyzjach.

Wojewódzki Sąd Administracyjny w Warszawie zważył, co następuje.

Zgodnie z brzmieniem art. 1 § 1 i 2 ustawy z dnia 25 lipca 2002 r. – Prawo o ustroju sądów administracyjnych (tekst jedn. Dz. U. z 2014 r. poz. 1647), sąd administracyjny sprawuje wymiar sprawiedliwości poprzez kontrolę pod względem zgodności z prawem zaskarżonej decyzji administracyjnej i to z przepisami obowiązującymi w dacie jej wydania. Oznacza to, iż sąd administracyjny kontroluje legalność rozstrzygnięcia zapadłego w postępowaniu z punktu widzenia jego zgodności z obowiązującymi przepisami prawa.

Rozpatrywana pod tym kątem skarga Powszechnej Kasy Oszczędności Bank Polski S. A. nie zasługuje na uwzględnienie.

Rozważania należy rozpocząć od stwierdzenia, że zadaniem ustawy 29 sierpnia 1997 r. o ochronie danych osobowych (tekst jedn. Dz. U. z 2014 r., poz. 1182 ze zm.) nie jest jedynie stanie na straży interesów tych, których przetwarzane dane osobowe dotyczą. Naczelną zasadą ustawy nie jest też zakaz przetwarzania danych osobowych, lecz przestrzeganie zakresu i trybu ich przetwarzania. Powyższa ustawa w art. 1 stwierdza bowiem, że dane osobowe mogą być przetwarzane, jeżeli służy to dobru publicznemu, dobru osoby, której dane dotyczą lub dobru osób trzecich. Ochrona danych osobowych, na podstawie przepisów powołanej ustawy, nie powinna być oderwana od przepisów służących ochronie innych wartości.

Stosownie do treści art. 7 pkt 2 cytowanej ustawy, przez przetwarzanie danych osobowych rozumie się jakiekolwiek operacje wykonywane na danych osobowych, takie jak zbieranie, utrwalanie, przechowywanie, opracowywanie, zmienianie, udostępnianie i usuwanie, a zwłaszcza te, które wykonuje się w systemach informatycznych.

Z kolei w art. 23 § 1 ustawy zostały wymienione przesłanki legalizujące przetwarzanie danych osobowych. Zgodnie z treścią tego przepisu przetwarzanie danych jest dopuszczalne tylko wtedy, gdy:

1) osoba, której dane dotyczą, wyrazi na to zgodę, chyba że chodzi o usunięcie dotyczących jej danych,

2) jest to niezbędne dla zrealizowania uprawnienia lub spełnienia obowiązku wynikającego z przepisu prawa,

3) jest to konieczne do realizacji umowy, gdy osoba, której dane dotyczą, jest jej stroną lub gdy jest to niezbędne do podjęcia działań przed zawarciem umowy na żądanie osoby, której dane dotyczą,

4) jest niezbędne do wykonania określonych prawem zadań realizowanych dla dobra publicznego,

5) jest to niezbędne dla wypełnienia prawnie usprawiedliwionych celów realizowanych przez administratorów danych albo odbiorców danych, a przetwarzanie nie narusza praw i wolności osoby, której dane dotyczą.

Cytowany powyżej przepis ustawy określa ogólne materialne przesłanki przetwarzania danych osobowych. Przesłanki te mają charakter generalny, odnoszą się do wszelkich form przetwarzania danych, w tym zarówno do przetwarzania "na własne potrzeby" administratora, jak i "na zewnątrz". Są one co do zasady równoprawne, mają charakter autonomiczny i niezależny, co oznacza, że wystarczy wystąpienie jednej z nich, by przetwarzanie danych mogło być uznane za usprawiedliwione. Oznacza to także, że zgoda osoby, której dane dotyczą, nie jest wyłączną przesłanką przetwarzania danych osobowych. (por. J. Barta, P. Fajgielski, R. Markiewicz "Ochrona danych osobowych. Komentarz.", publ. LEX Nr 106659, wyrok Wojewódzkiego Sądu Administracyjnego w Warszawie z dnia 19 lipca 2007 sygn. akt II SA/Wa 678/07, publ. LEX nr 368229).

Zgodnie z art. 105 ust. 4 ustawy z dnia 27 sierpnia 1997 r. – Prawo bankowe (tekst jedn. Dz. U. z 2015 r., poz. 128). Banki mogą, wspólnie z bankowymi izbami gospodarczymi, utworzyć instytucje upoważnione do gromadzenia, przetwarzania i udostępniania:

1) bankom - informacji stanowiących tajemnicę bankową w zakresie, w jakim informacje te są potrzebne w związku z wykonywaniem czynności bankowych oraz w związku ze stosowaniem metod statystycznych, o których mowa w art. 128 ust. 3 oraz w art. 128d ust. 1;

2) innym instytucjom ustawowo upoważnionym do udzielania kredytów - informacji stanowiących tajemnicę bankową w zakresie, w jakim informacje te są niezbędne w związku z udzielaniem kredytów, pożyczek pieniężnych, gwarancji bankowych i poręczeń;

3) instytucjom kredytowym - informacji stanowiących tajemnicę bankową w zakresie niezbędnym do oceny zdolności kredytowej konsumenta, o której mowa w art. 9 ustawy z dnia 12 maja 2011 r. o kredycie konsumenckim.

Stosownie zaś do art. 105a cytowanej ustawy przetwarzanie przez banki, inne instytucje ustawowo upoważnione do udzielania kredytów oraz instytucje utworzone na podstawie art. 105 ust. 4, informacji stanowiących tajemnicę bankową w zakresie dotyczącym osób fizycznych może być wykonywane, z zastrzeżeniem art. 104, art. 105 i art. 106-106c, w celu oceny zdolności kredytowej i analizy ryzyka kredytowego (ust. 1). Instytucje, o których mowa w ust. 1, mogą przetwarzać informacje stanowiące tajemnicę bankową dotyczące osób fizycznych po wygaśnięciu zobowiązania wynikającego z umowy zawartej z bankiem lub inną instytucją ustawowo upoważnioną do udzielania kredytów, bez zgody osoby, której informacje dotyczą, gdy osoba ta nie wykonała zobowiązania lub dopuściła się zwłoki powyżej 60 dni w spełnieniu świadczenia wynikającego z umowy zawartej z bankiem lub inną instytucją ustawowo upoważnioną do udzielania kredytów, a po zaistnieniu tych okoliczności upłynęło co najmniej 30 dni od poinformowania tej osoby przez bank lub inną instytucję ustawowo upoważnioną do udzielania kredytów o zamiarze przetwarzania dotyczących jej informacji stanowiących tajemnicę bankową, bez jej zgody (ust. 3). Banki oraz instytucje, o których mowa w art. 105 ust. 4, mogą przetwarzać informacje stanowiące tajemnicę bankową dotyczące osób fizycznych po wygaśnięciu zobowiązania wynikającego z umowy zawartej z bankiem lub inną instytucją ustawowo upoważnioną do udzielania kredytów, bez zgody osoby, której informacje dotyczą, dla celów stosowania metod statystycznych, o których mowa w art. 128 ust. 3 (ust 4.).

W rozpoznawanej sprawie Generalny Inspektor Ochrony Danych Osobowych nakazał skarżącemu Bankowi zaprzestania przetwarzania danych osobowych M. G., będącej klientką tego Banku. Organ doszedł bowiem do przekonania, że skarżący Bank nie wykazał, że dopełnił wymaganego cyt. powyżej art. 105a ust. 3 ustawy Prawo bankowe obowiązku poinformowania M. G. o zamiarze przetwarzania dotyczących jej informacji stanowiących tajemnicę bankową, w zakresie Rachunku I, bez jej zgody.

W ocenie Sądu stanowisko to jest prawidłowe. W aktach administracyjnych brak jest bowiem dowodów wskazujących na fakt, że Bank poinformował swoją klientkę o zamiarze przetwarzania powyższych danych.

Nie zasługują w tym zakresie na uwzględnienie zarzuty skargi dotyczące przeprowadzonego postępowania dowodowego. Przedstawione przez skarżący Bank dokumenty (wzór zawiadomienia kierowanego do klientów w sprawie opóźnień, zrzut z ekranu pliku z aplikacji [...], wydruk struktury pliku [...] wygenerowanego za dzień [...].12.2011r.) zostały ocenione przez organ w trakcie postępowania administracyjnego, ale nie wynika z nich fakt wykonania przez Bank w stosunku do M. G. obowiązku informacyjnego. Zgodzić należy się z organem, że z dokumentów i wyjaśnień Banku wynika jedynie to, że Bank archiwizuje w postaci plików danych, informacje dotyczące klientów i ich zobowiązań, dla których zostało przekazane zlecenie wysłania do klienta stosownego zawiadomienia. Pliki te generowane są w ramach korespondencji masowej z centralnego systemu księgowego Banku oraz z aplikacji do obsługi kart kredytowych i przekazywane odpowiednio, w przypadku umów kredytowych - do odpowiedniego operatora pocztowego, w przypadku umów kart kredytowych - do wydziału Banku zajmującego się obsługą korespondencji masowej, w celu dokonania wydruku zawiadomienia oraz jego wysłania pod wskazany przez klienta adres do korespondencji. Brak jest natomiast dowodu, że w stosunku do M. G. taka korespondencja – informująca ją o zamiarze przetwarzania jej danych bez jej zgody, została jej wysłana i doręczona. W tym zakresie samo oświadczenie Banku, jak i nadesłanie wzoru pisma kierowanego w tamtym czasie do klientów – jak twierdzi Bank również do M. G., jest niewystarczające.

Konsekwencją powyższych stwierdzeń jest to, że również pozostałe zarzuty, podniesione przez skarżący Bank, dotyczące błędnie i częściowo ustalonego stanu faktycznego oraz niewyczerpującego uzasadnienia zapadłego rozstrzygnięcia w sprawie, są niezasadne. W ocenie Sądu organ prawidłowo ustalił stan faktyczny w sprawie, dopuszczając jako dowód wszelkie oświadczenia i dowody przedstawione przez skarżący Bank, ocenił je i wydał rozstrzygniecie odpowiadające prawu. Dlatego też skarga jako niezasadna podlega oddaleniu.

Mając powyższe na uwadze Wojewódzki Sąd Administracyjny w Warszawie na podstawie art. 151 ustawy z dnia 30 sierpnia 2002 r. – Prawo o postępowaniu przed sądami administracyjnymi (tekst jednolity Dz. U. z 2012 r., poz. 270 ze zm.) orzekł jak w sentencji.