![]() |
Centralna Baza Orzeczeń Sądów Administracyjnych
|
| drukuj zapisz |
647 Sprawy związane z ochroną danych osobowych, Ochrona danych osobowych, Generalny Inspektor Ochrony Danych Osobowych, Oddalono skargę, II SA/Wa 1000/14 - Wyrok WSA w Warszawie z 2015-03-10, Centralna Baza Orzeczeń Naczelnego (NSA) i Wojewódzkich (WSA) Sądów Administracyjnych, Orzecznictwo NSA i WSA
II SA/Wa 1000/14 - Wyrok WSA w Warszawie
|
|
|||
|
2014-06-02 | |||
|
Wojewódzki Sąd Administracyjny w Warszawie | |||
|
Ewa Grochowska-Jung /przewodniczący sprawozdawca/ Olga Żurawska-Matusiak Sławomir Antoniuk |
|||
|
647 Sprawy związane z ochroną danych osobowych | |||
|
Ochrona danych osobowych | |||
|
I OSK 2776/15 - Wyrok NSA z 2017-07-21 I OZ 953/14 - Postanowienie NSA z 2014-11-05 |
|||
|
Generalny Inspektor Ochrony Danych Osobowych | |||
|
Oddalono skargę | |||
|
Dz.U. 2002 nr 101 poz 926 art. 23 par. 1 Ustawa z dnia 29 sierpnia 1997 r. o ochronie danych osobowych - tekst jedn. |
|||
|
Sentencja
Wojewódzki Sąd Administracyjny w Warszawie w składzie następującym: Przewodniczący Sędzia WSA Ewa Grochowska – Jung (spr.), Sędziowie WSA Olga Żurawska – Matusiak, Sławomir Antoniuk, , Protokolant specjalista Elwira Sipak, po rozpoznaniu na rozprawie w dniu 10 marca 2015 r. sprawy ze skargi C. P. na decyzję Generalnego Inspektora Ochrony Danych Osobowych z dnia [...] marca 2014 r. nr [...] w przedmiocie przetwarzania danych osobowych – oddala skargę – |
||||
|
Uzasadnienie
Generalny Inspektor Ochrony Danych Osobowych decyzją z dnia [...] marca 2014r. nr [...] wydaną na podstawie art. 138 § 1 pkt 1 i 2 ustawy z dnia 14 czerwca 1960 r. – Kodeks postępowania administracyjnego (Dz. U. z 2013 r., poz. 267), art. 12 pkt 2, art. 18 ust. 1 pkt 6 w zw. z art. 23 ust. 1 pkt 5 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. z 2002 r. Nr 101, poz. 926 ze zm.), uchylił własną decyzję z dnia [...] lutego 2013 r. nr [...] w części dotyczącej umorzenia postępowania w sprawie przetwarzania danych osobowych C. P. przez Biuro [...] SA z siedzibą w W. i w tym zakresie nakazał Biuru [...] SA usunięcie danych osobowych C. P., w pozostałym zakresie utrzymał w mocy zaskarżoną decyzję. W sprawie ustalono następujący stan faktyczny. W dniu 16 kwietnia 2012 r. do Biura Generalnego Inspektora Ochrony Danych Osobowych wpłynęła skarga C. P. na przetwarzanie jego danych osobowych przez [...] Bank [...] S.A. z siedzibą w W. przy ul. [...] (dalej jako Bank) oraz Biuro [...] S.A. z siedzibą w W. przy ul. [...] (dalej jako B [...]). Skarżący wyjaśnił, że prowadził w okresie aplikowania o kredyt działalność gospodarczą pod firmą [...] oraz złożył wniosek o kredyt konsumencki, niemający związku z prowadzoną działalnością gospodarczą, w dniu [...] stycznia 2006 r. Bank w dniu [...] stycznia 2006 r., składając zapytanie na temat zobowiązań skarżącego w innych bankach, przekazał informacje stanowiące tajemnicę bankową, zawarte we wniosku kredytowym, do Biura [...] S.A. Skarżący wskazał, iż Bank nie otrzymał zgody na przekazywanie danych osobowych w powyższym zakresie do B[...] SA, twierdząc, że taka zgoda nie jest wymagana. Zdaniem skarżącego, we wniosku kredytowym nie zostało złożone oświadczenie woli, które w sposób bezpośredni uprawniało Bank do przekazywania danych do B [...] SA. W związku z powyższym, w ocenie skarżącego, zasadnym jest twierdzenie o naruszeniu przepisów ustawy o ochronie danych osobowych, w szczególności art. 23 ust. 1 w zw. z art. 24 ust. 1 oraz art. 32 ust. 1 pkt 4. Generalny Inspektor Ochrony Danych Osobowych, po przeprowadzeniu postępowania wyjaśniającego, decyzją z dnia [...] lutego 2013 r. nr [...] umorzył postępowanie w przedmiotowej sprawie w zakresie przetwarzania danych osobowych C. P. przez Biuro [...] SA z siedzibą w W., w pozostałym zakresie odmówił uwzględnienia wniosku. W uzasadnieniu organ wskazał, iż z uwagi na fakt, iż B [...] aktualnie nie przetwarza danych osobowych skarżącego, postępowanie w tym zakresie podlega obligatoryjnemu umorzeniu na podstawie art. 105 § 1 kpa jako bezprzedmiotowe. W pozostałym zakresie wniosku organ uznał, iż Bank przetwarza aktualnie dane osobowe skarżącego w celach archiwalnych. W dniu [...] marca 2013 r. C. P. zwrócił się do Generalnego Inspektora Ochrony Danych Osobowych z wnioskiem o ponowne rozpatrzenie sprawy, w którym wniósł o uchylenie zaskarżonej decyzji i zażądał usunięcia danych z B [...] dotyczących zapytań kredytowych złożonych przez [...] SA oraz o usunięcie przez [...] SA wszystkich informacji o skarżącym, które nie są publicznie dostępne, a które w nieuprawniony sposób są przez Bank przetwarzane. Generalny Inspektor Ochrony Danych Osobowych, po ponownym rozpoznaniu sprawy, decyzją z dnia [...] marca 2014 r. uchylił własną decyzję z dnia [...] lutego 2013 r. w części dotyczącej umorzenia postępowania w zakresie przetwarzania danych osobowych skarżącego przez Biuro [...] SA w W. i w tym zakresie nakazał Biuru [...] SA usunięcie danych osobowych skarżącego, w pozostałym zakresie utrzymał w mocy zaskarżoną decyzję. W uzasadnieniu organ wskazał, iż umorzenie postępowania w zakresie przetwarzania danych osobowych skarżącego przez B [...], sformułowane przez Generalnego Inspektora Ochrony Danych Osobowych w decyzji z dnia [...] lutego 2013 r., wymaga jej uchylenia w tym zakresie. W kwestii udostępnienia danych osobowych skarżącego przez Bank na rzecz B[...], organ wskazał, iż B[...] jest instytucją utworzoną na podstawie art. 105 ust. 4 Prawa bankowego w celu zmniejszenia dla banków i instytucji kredytowych ryzyka udzielania trudnych kredytów, przyśpieszenia i uproszczenia procedur kredytowych, wspomagania decyzji banków dotyczących udzielania kredytu. Wyjaśnił, że przekazanie danych osobowych skarżącego przez Bank do B[...] nastąpiło w oparciu o art. 105 ust. 4 Prawa bankowego, a dla legalności tego udostępnienia zgoda skarżącego nie była wymagana. W ocenie organu Bank, przetwarzając dane osobowe skarżącego, podjął działania zgodne z dyspozycją przepisów ustawy – Prawo bankowe, ale również miał uzasadniony interes w dokonaniu sprawdzenia historii kredytowej skarżącego nie tylko jako konsumenta, lecz także jako przedsiębiorcy odpowiadającego za zobowiązania związane z prowadzeniem działalności gospodarczej całym swoim majątkiem. Katalog przesłanek, w oparciu o które B[...] może przetwarzać dane osobowe pozyskane od banków, został określony enumeratywnie w przepisach Prawa bankowego. Również cele, dla których te dane mogą być przetwarzane, wynikają wprost z przepisów ww. ustawy. B[...] nie wykazał podstaw prawnych dla przetwarzania danych skarżącego w tzw. celach "ewentualnych reklamacji bądź roszczeń klientów oraz w celu kontroli przetwarzania danych". Przetwarzanie danych w tych celach może dodatkowo zostać uznane za przetwarzanie "na zapas", co narusza zasady adekwatności i celowości, wyrażone w ww. art. 26 ust. 1 ustawy z dnia 29 sierpnia 1997r. o ochronie danych osobowych (Dz. U. z 2002 r. Nr 101, poz. 926 z późn. zm.), zwanej dalej ustawą. Jednocześnie organ podkreślił, że zgodnie z zapisami ustawy o ochronie danych osobowych, przetwarzanie danych osobowych jest dopuszczalne wtedy, kiedy zezwalają na to przepisy prawa i takim szczególnym upoważnieniem ustawowym dla B[...] do przetwarzania danych objętych tajemnicą bankową, jest właśnie art. 105 ust. 4 ustawy – Prawo bankowe. B[...] wskazał natomiast, że przetwarza dane osobowe skarżącego, pozyskane z dniem [...] stycznia 2006 r., w celu rozpatrywania ewentualnych reklamacji pozostających w związku z m. in. niniejszym postępowaniem. Zdaniem organu B[...] nie legitymuje się podstawą prawną do przetwarzania danych osobowych skarżącego, pozyskanych od Banku, w jakimkolwiek innym celu, niż wskazane w ustawie – Prawo bankowe, dlatego też nie sposób zgodzić się z tezą, przedstawioną przez ten podmiot w złożonych w niniejszej sprawie wyjaśnieniach, iż przetwarzanie przez niego danych osobowych może odbywać się dla realizacji innego celu realizowanego przez administratora danych (tu: B[...]), którym w niniejszej sprawie jest potrzeba realizowania ewentualnych reklamacji skarżącego. W tej sytuacji organ uznał, iż konieczne jest uchylenie decyzji w zakresie dotyczącym naruszenia postępowania co do przetwarzania danych osobowych skarżącego przez B[...] i na podstawie art. 18 ust. 1 pkt 6 ustawy, nakazanie administratorowi danych osobowych skarżącego, wyeliminowanie nieprawidłowości w procesie przetwarzania danych osobowych skarżącego w sposób określony w punkcie pierwszym rozstrzygnięcia. Odnosząc się do kwestii przetwarzania danych osobowych skarżącego przez Bank, organ odwoławczy wskazał, iż przedmiotowe przetwarzanie danych znajduje swoje uzasadnienie w art. 23 ust. 1 pkt 5 ustawy. Jak bowiem wynika z analizy materiału dowodowego zebranego w sprawie Bank przetwarza dane osobowe skarżącego w zbiorze "[...]" w oparciu o prawnie usprawiedliwiony cel. Organ wskazał, iż za prawnie usprawiedliwiony cel, o którym mowa w art. 23 ust. 1 pkt 5 ustawy, uważa się w szczególności dochodzenie roszczeń z tytułu prowadzonej działalności gospodarczej (art. 23 ust. 4 pkt 2 ustawy). Bezspornym jest fakt, iż Bank przetwarza dane osobowe skarżącego w związku ze skierowaniem przez niego kolejnego już pozwu do Sądu [...]. Dodatkowo dwa wcześniejsze roszczenia cywilnoprawne, skierowane przeciwko Bankowi przez skarżącego, zostały prawomocnie oddalone. Nie sposób przy tym uznać, aby przetwarzanie danych w celu obrony praw przed sądem, gdzie obu stronom sporu przysługuje możliwość odpierania przedstawionych im zarzutów, mogło naruszyć prawa i wolności skarżącego. Powyższa decyzja stała się przedmiotem skargi C. P. do Wojewódzkiego Sądu Administracyjnego w Warszawie, w której wniósł o uchylenie zaskarżonej decyzji w punkcie 2 i zobowiązanie GIODO do wydania decyzji nakazującej usunięcie jego danych osobowych, stanowiących tajemnicę bankową, przetwarzanych przez B[...], które zostały przekazane przez [...] oraz zakazania przekazywania danych osobowych skarżącego przetwarzanych w [...] do B[...]. Ponadto wniósł o "stwierdzenie, iż w roku 2006 doszło do nieuprawnionego przekazania danych z [...] do B[...] i vice versa". Skarżący wniósł również o zasądzenie kosztów postępowania. W odpowiedzi na skargę Generalny Inspektor Ochrony Danych Osobowych wniósł o jej oddalenie, podtrzymując swoje dotychczasowe argumenty faktyczne i prawne. Wojewódzki Sąd Administracyjny w Warszawie zważył, co następuje. Zgodnie z brzmieniem art. 1 § 1 i 2 ustawy z dnia 25 lipca 2002 r. – Prawo o ustroju sądów administracyjnych (Dz. U. Nr 153, poz. 1269 ze zm.), sąd administracyjny sprawuje wymiar sprawiedliwości poprzez kontrolę pod względem zgodności z prawem zaskarżonej decyzji administracyjnej i to z przepisami obowiązującym w dacie jej wydania. Oznacza to, iż sąd administracyjny kontroluje legalność rozstrzygnięcia zapadłego w postępowaniu z punktu widzenia jego zgodności z obowiązującymi przepisami prawa. Rozpatrywana pod tym względem skarga C. P. nie zasługuje na uwzględnienie. Na wstępie rozważań należy wskazać, że ochrona danych osobowych polega przede wszystkim na określeniu kiedy dozwolone, a kiedy zabronione jest ich przetwarzanie. Ustawa z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. z 2002 r. Nr 101, poz. 926 ze zm.) wskazuje zasady przetwarzania danych osobowych (rozdz. 3 ustawy). W art. 23 § 1 ustawy zostały wymienione przesłanki legalizujące przetwarzanie danych osobowych. Zgodnie z treścią tego przepisu, przetwarzanie danych jest dopuszczalne tylko wtedy, gdy: 1) osoba, której dane dotyczą, wyrazi na to zgodę, chyba, że chodzi o usunięcie dotyczących jej danych, 2) jest to niezbędne dla zrealizowania uprawnienia lub spełnienia obowiązku wynikającego z przepisu prawa, 3) jest to konieczne do realizacji umowy, gdy osoba, której dane dotyczą, jest jej stroną lub gdy jest to niezbędne do podjęcia działań przed zawarciem umowy na żądanie osoby, której dane dotyczą, 4) Jest niezbędne do wykonania określonych prawem zadań realizowanych dla dobra publicznego, 5) Jest to niezbędne dla wypełnienia prawnie usprawiedliwionych celów realizowanych przez administratorów danych albo odbiorców danych, a przetwarzanie nie narusza praw i wolności osoby, której dane dotyczą. Cytowany powyżej przepis ustawy określa ogólne materialne przesłanki przetwarzania danych osobowych. Przesłanki te mają charakter generalny, odnoszą się do wszelkich form przetwarzania danych, w tym zarówno do przetwarzania "na własne potrzeby" administratora, jak i "na zewnątrz". Są one co do zasady równoprawne, mają charakter autonomiczny i niezależny, co oznacza, że wystarczy wystąpienie jednej z nich, by przetwarzanie danych mogło być uznane za usprawiedliwione. Oznacza to także, że zgoda osoby, której dane dotyczą, nie jest wyłączną przesłanką przetwarzania danych osobowych (por. J. Barta, P. Fajgielski, R. Markiewicz "Ochrona danych osobowych. Komentarz", publ. LEX nr 106659, wyrok Wojewódzkiego Sądu Administracyjnego w Warszawie z dnia 19 lipca 2007 r., sygn. akt II SA/Wa 678/07, publ. LEX nr 368229). W rozpoznawanej sprawie skarżący w dniu [...] stycznia 2006 r. złożył w Banku wniosek o kredyt konsumpcyjny, natomiast w chwili obecnej Bank przetwarza dane osobowe skarżącego w zbiorze "[...]". Zgodzić się należy z organem, iż przedmiotowe przetwarzanie znajduje swoje uzasadnienie w art. 23 ust. 1 pkt 5 ustawy. Za prawnie usprawiedliwiony cel, o którym mowa w art. 23 ust. 1 pkt 5 ustawy, uważa się w szczególności dochodzenie roszczeń z tytułu prowadzonej działalności gospodarczej (art. 23 ust. 4 pkt 2 ustawy). Bezspornym jest fakt, iż Bank przetwarza dane osobowe skarżącego w związku ze skierowaniem przez niego szeregu pozwów zarówno do Sądu [...], jak również do Sądu powszechnego. Dwa wcześniejsze roszczenia cywilnoprawne, skierowane przez skarżącego przeciwko Bankowi, zostały już prawomocnie oddalone (wyroki [...] – k. 48 akt administracyjnych, [...] – k. 39, [...] – k. 63, wyrok k. 59). W tej sytuacji nie sposób uznać aby przetwarzanie danych osobowych w celu obrony praw przed sądem, gdzie obu stronom sporu przysługują możliwości odpierania przedstawionych im zarzutów, mogło naruszać prawa i wolności skarżącego. Odnosząc się do kwestii udostępnienia danych osobowych skarżącego przez Bank, wskazać należy, że B[...] jest instytucją utworzoną na podstawie art. 105 ust. 4 Prawa bankowego, który stanowi, że banki mogą, wspólnie z bankowymi izbami gospodarczymi, utworzyć instytucje do gromadzenia, przetwarzania i udostępniania: bankom – informacji stanowiących tajemnicę bankową w zakresie, w jaki informacje te są potrzebne w związku z wykonywaniem czynności bankowych, innym instytucjom ustawowo upoważnionym do udzielania kredytów – informacji o wierzytelnościach oraz o obrotach i stanach rachunków bankowych w zakresie, w jakim informacje te są niezbędne w związku z udzielaniem kredytów, pożyczek pieniężnych, gwarancji bankowych i poręczeń. Zgodnie z art. 105a ust. 1 Prawa bankowego, przetwarzanie przez banki, inne instytucje ustawowo upoważnione do udzielania kredytów oraz instytucje utworzone na podstawie art. 105 ust. 4 (np. B[...]), informacji stanowiących tajemnicę bankową w zakresie dotyczącym osób fizycznych może być wykonywane, z zastrzeżeniem art. 104, 105 i art. 106-106c, w celu oceny zdolności kredytowej i analizy ryzyka kredytowego. Informacje zawarte w B[...] służyć mają wypełnianiu przez banki jako instytucje zaufania publicznego ich ustawowych obowiązków związanych z koniecznością dokładania szczególnej staranności w zakresie zapewnienia bezpieczeństwa przechowywanych środków pieniężnych, czyli w zakresie ochrony depozytów (art. 50 ust. 2 Prawa bankowego), a także z koniecznością należytego badania zdolności kredytowej, od której istnienia (zgodnie z art. 70 ust. 1 Prawa bankowego), bank uzależnia udzielenie kredytu. Badanie zdolności kredytowej, na którą składa się zdolność do spłaty zobowiązań i wiarygodność kredytowa, jest niezwykle istotnym elementem w działalności banku. Biuro Informacji Kredytowej zostało utworzone właśnie w celu zmniejszenia dla banków i instytucji kredytowych ryzyka udzielania trudnych kredytów, przyśpieszenia i uproszczenia procedur kredytowych, wspomagania decyzji banków dotyczących udzielania kredytu. Konkludując, przekazanie danych osobowych przez Bank do B[...] nastąpiło w związku z art. 105 ust. 4 Prawa bankowego, a dla legalności tego udostępnienia (na mocy art. 105 ust. 4 Prawa bankowego), zgoda skarżącego nie była wymagana. Mając na uwadze powyższe, wskazać należy, że w ocenie Sądu Bank, przetwarzając dane osobowe skarżącego, podjął działania zgodne z dyspozycją przepisów ustawy Prawo bankowe, ale również miał uzasadniony interes w dokonaniu sprawdzenia historii kredytowej skarżącego nie tylko jako konsumenta, lecz także jako przedsiębiorcy odpowiadającego za zobowiązania związane z prowadzeniem działalności gospodarczej całym swoim majtkiem. Odnosząc się natomiast do przytoczonych przez skarżącego orzeczeń, należy wskazać, że dotyczą one innych spraw, o różnych od rozpoznawanej sprawy stanach faktycznych i nie mają charakteru wiążącego dla niniejszej sprawy. Przytoczone natomiast stanowiska doktryny nie dotyczą wprost przetwarzania danych na podstawie ustawy – Prawo bankowe, ale odnoszą się generalnie do wyrażania zgody na przetwarzanie danych osobowych, a jak zostało przedstawione powyżej – zgoda na przetwarzanie danych nie była koniecznym wymogiem do legalnego ich przetwarzania w rozpoznawanej sprawie. Konkludując, organ prawidłowo zebrał i ocenił materiał dowodowy, a następnie na tej podstawie wydał rozstrzygnięcie odpowiadające prawu. Dlatego też skarga, jako bezzasadna, podlega oddaleniu. Mając powyższe na uwadze, Wojewódzki Sąd Administracyjny w Warszawie, na podstawie art. 151 ustawy z dnia 30 sierpnia 2002 r. – Prawo o postępowaniu przed sądami administracyjnymi (tekst jednolity: Dz. U. z 2012 r., poz. 270 ze zm.), orzekł, jak w sentencji. |
||||