Centralna Baza Orzeczeń Sądów Administracyjnych

Wojewódzki Sąd Administracyjny w Warszawie w składzie następującym: Przewodniczący Sędzia WSA – Andrzej Kołodziej (sprawozdawca) Sędzia WSA – Ewa Marcinkowska Sędzia WSA – Stanisław Marek Pietras Protokolant – specjalista Marek Kozłowski po rozpoznaniu na rozprawie w dniu 7 stycznia 2016 r. sprawy ze skargi C. P. na decyzję Generalnego Inspektora Ochrony Danych Osobowych z dnia [...] maja 2015 r. nr [...] w przedmiocie przetwarzania danych osobowych 1. uchyla zaskarżoną decyzję oraz poprzedzającą ją decyzję z dnia z dnia [...] marca 2014 r. nr [...] w zakresie punktu 3; 2. zasądza od Generalnego Inspektora Ochrony Danych Osobowych na rzecz skarżącego C. P. kwotę 200 zł (słownie: dwieście) złotych, tytułem zwrotu kosztów postępowania.

Generalny Inspektor Ochrony Danych Osobowych decyzją nr [...] z dnia [...] marca 2014 r., na podstawie art. 109 § 1 ustawy z dnia 27 marca 2014 r. na podstawie art. 104 § 1 ustawy z dnia 14 czerwca 1960 r. Kodeks postępowania administracyjnego (j.t. Dz.U. z 2013 r., poz. 267 ze zm.), art. 12 pkt 2, art. 18 ust. 1 pkt 6, art. 22 i art. 23 ust. 1 pkt 2 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz.U. z 2002 r. Nr 101, poz. 926 ze zm.) oraz art. 105 ust. 4 i art. 105a ust. 1 ustawy z dnia 29 sierpnia 1997 r. Prawo bankowe (Dz.U. z 2012 r., poz. 1376 ze zm.), po przeprowadzeniu postępowania administracyjnego w sprawie skargi C. P. na przetwarzanie jego danych osobowych przez Bank [...] S.A. z siedzibą w W. oraz Biuro Informacji Kredytowej S.A. z siedzibą w W.:

1. nakazał Biuru Informacji Kredytowej S.A. usunięcie z zasobów archiwalnych danych osobowych C. P., przetwarzanych w związku

z zapytaniem złożonym w dniu [...] sierpnia 2007 r. do Biura Informacji Kredytowej S.A. przez Bank [...] S.A. (obecnie Bank [...] S.A.),

2. nakazał Biuru Informacji Kredytowej S.A. usunięcie danych osobowych C. P. ze zbioru SI BIK "Kredytobiorcy", przetwarzanych w zakresie zapytania monitorującego złożonego przez Bank [...] S. A. do Biura Informacji Kredytowej S.A. w dniu [...] lipca 2012 r.,

3. w pozostałym zakresie odmówił uwzględnienia wniosku.

We wniosku o ponowne rozpatrzenie sprawy C. P. wniósł o uchylenie pkt 3 i "usunięcie uchybień poprzez wytknięcie nieprawidłowego przekazywania danych osobowych skarżącego w roku 2007 jak i 2012 oraz zakazania przekazywania danych osobowych skarżącego do BIK".

Zaskarżonej w ww. części decyzji zarzucił:

1. niewłaściwe zastosowanie art. 23 ust. 1 ustawy o ochronie danych osobowych w zw. art. 105a ust.1, art. 104 ust. 2 i ust. 3 oraz art. 105 ust. 4 ustawy Prawo bankowe, poprzez ustalenie, iż bank mógł bez zgody klienta banku przekazywać dane stanowiące tajemnicę bankową do instytucji ustawowych na podstawie art. 105 ust. 4 ustawy Prawo bankowe (w brzmieniu sprzed 1 kwietnia 2007 r. oraz związku Banków Polskich),

2. niewłaściwe zastosowanie art. 105 ust. 4 ustawy Prawo bankowe w zw. z art. 104 ust. 2 i art. 70 tej ustawy wskutek braku zastosowania jej art. 5 i art. 6, poprzez nieprawidłowe ustalenie, iż bank dokonując oceny zdolności kredytowej jest upoważniony do przekazywania danych stanowiących tajemnicę bankową do podmiotów takich jak Biuro Informacji Kredytowej S.A., bez zgody potencjalnego klienta banku,

3. niewłaściwe zastosowanie przepisów Kodeksu spółek handlowych, a w szczególności art. 229 par. 1 Ksh w zw. z art. 23 ust. 1 ustawy o ochronie danych osobowych, art. 105 ust. 4 ustawy Prawo bankowe w brzmieniu z dnia zdarzenia w zw. z art. 104 ust. 2 i art. 70 ust. 1 Prawa bakowego, poprzez uznanie, że dane osobowe organu Spółki, która składała wniosek kredytowy, mogą być przetwarzane i przekazywane do BIK S.A. bez zgody skarżącego.

Generalny Inspektor Ochrony Danych Osobowych decyzją nr [...] z dnia [...] maja 2015 r., na podstawie art. 138 § 1 pkt 1 Kpa w związku z art.12 pkt 2, art. 18 ust. 1 pkt 6, art. 22 i art. 23 ust. 1 pkt 2 ustawy o ochronie danych osobowych oraz art. 105 ust. 4 i art. 105a ust. 1 ustawy Prawo bankowe, po ponownym rozpatrzeniu sprawy, utrzymał w mocy zaskarżoną decyzję.

W uzasadnieniu podał, iż przedmiotowe postępowanie było prowadzone w przedmiocie przetwarzania danych osobowych C. P. przez Bank [...] S.A. (dalej "Bank") oraz Biuro Informacji Kredytowej S.A. (dalej "BIK").

Organ wskazał, iż zgodnie z art. 18 ust.1 pkt 6 ustawy o ochronie danych osobowych, w przypadku naruszenia przepisów o ochronie danych osobowych Generalny Inspektor z urzędu lub na wniosek osoby zainteresowanej, w drodze decyzji administracyjnej, nakazuje przywrócenie stanu zgodnego z prawem, a w szczególności usunięcie danych osobowych.

W świetle przepisów powołanego aktu prawnego, przetwarzanie danych osobowych jest uprawnione, gdy spełniona zostanie którakolwiek z przesłanek wymienionych w art. 23 ust. 1 ustawy. Przesłanki te odnoszą się do wszelkich form przetwarzania danych wymienionych w art. 7 pkt 2 ustawy, w tym w szczególności do ich udostępniania. Są także względem siebie równoprawne, co oznacza, że dla legalności procesu przetwarzania danych wystarczające jest spełnienie jednej z nich.

Zgodnie natomiast z art. 23 ust. 1 ustawy, przetwarzanie danych osobowych jest dopuszczalne wtedy, gdy jest to niezbędne dla zrealizowania uprawnienia lub spełnienia obowiązku wynikającego z przepisu prawa (pkt 2) lub jest to niezbędne dla wypełnienia prawnie usprawiedliwionych celów realizowanych przez administratorów danych albo odbiorców danych, a przetwarzanie nie narusza praw i wolności osoby, której dane dotyczą (pkt 5). Tym samym, zgoda na przetwarzanie danych, o której mowa w art. 23 ust. 1 pkt 1 ustawy, nie jest jedyną przesłanką legalizującą proces przetwarzania danych osobowych.

Aktem prawnym zawierającym szczegółowe regulacje dotyczące procesu przetwarzania danych osobowych klientów banków jest przede wszystkim ustawa Prawo bankowe. Odnosząc się do kwestii udostępnienia danych osobowych skarżącego przez Bank na rzecz BIK w związku ze złożonym przez niego w dniu [...] sierpnia 2007 r. wnioskiem kredytowym, organ wskazał, że BIK jest instytucją utworzoną na podstawie art. 105 ust. 4 Prawa bankowego, który stanowi, że banki mogą, wspólnie z bankowymi izbami gospodarczymi, utworzyć instytucje do gromadzenia, przetwarzania i udostępniania: bankom - informacji stanowiących tajemnicę bankową w zakresie, w jakim informacje te są potrzebne w związku z wykonywaniem czynności bankowych, innym instytucjom ustawowo upoważnionym do udzielania kredytów - informacji o wierzytelnościach oraz o obrotach i stanach rachunków bankowych w zakresie, w jakim informacje te są niezbędne w związku z udzielaniem kredytów, pożyczek pieniężnych, gwarancji bankowych i poręczeń.

Zgodnie z art. 105a ust. 1 Prawa bankowego, przetwarzanie przez banki, inne instytucje ustawowo upoważnione do udzielania kredytów oraz instytucje utworzone na podstawie art. 105 ust. 4 (np.: BIK), informacji stanowiących tajemnicę bankową w zakresie dotyczącym osób fizycznych, może być wykonywane, z zastrzeżeniem art. 104, 105 i art. 106-106c, w celu oceny zdolności kredytowej i analizy ryzyka kredytowego. Informacje zawarte w BIK służyć mają wypełnianiu przez banki jako instytucje zaufania publicznego, ich ustawowych obowiązków związanych z koniecznością dokładania szczególnej staranności w zakresie zapewnienia bezpieczeństwa przechowywanych środków pieniężnych, czyli w zakresie ochrony depozytów (art. 50 ust. 2 Prawa bankowego), a także z koniecznością należytego badania zdolności kredytowej, od której istnienia (zgodnie z art. 70 ust. 1 Prawa bankowego), bank uzależnia udzielenie kredytu. Badanie zdolności kredytowej, na którą składa się zdolność do spłaty zobowiązań i wiarygodność kredytowa, jest niezwykle istotnym elementem w działalności banku. Biuro Informacji Kredytowej zostało utworzone właśnie w celu zmniejszenia dla banków i instytucji kredytowych ryzyka udzielania trudnych kredytów, przyśpieszenia i uproszczenia procedur kredytowych, wspomagania decyzji banków dotyczących udzielania kredytu.

GIODO ponownie podniósł, iż strona wystąpiła do Banku z wnioskiem kredytowym w imieniu C. P. Sp. z o.o. z siedzibą w W., jako prezes zarządu, w miesiącu sierpniu 2007 r. Jak wynika ze zgromadzonego w sprawie materiału dowodowego, przekazanie przez Bank do BIK danych osobowych nastąpiło w związku z wnioskiem kredytowym, czyli na podstawie art. 23 ust. 1 pkt 2 ustawy w zw. z art. 105 ust. 4 i art. 105a ust. 1 Prawa bankowego. Podkreślił ponownie, że dla legalności tego udostępnienia zgoda skarżącego nie była wymagana.

Wątpliwości skarżącego wzbudza fakt, iż wniosek kredytowy składał on jako prezes zarządu C. P. Sp. z o.o., a w związku z powyższym jego dane osobowe jako osoby fizycznej nie powinny były zostać przekazane przez Bank do BIK, gdyż nigdy nie wyraził na to zgody. Organ zauważył, że dane skarżącego nie zostały przekazane przez Bank do BIK jako dane osoby fizycznej, ale jako osoby działającej w imieniu podmiotu, tj. spółki z ograniczoną odpowiedzialnością, w imieniu której wystąpił z wnioskiem kredytowym w celu zawarcia umowy kredytowej przez Spółkę.

Konkludując organ stwierdził, iż przekazanie danych osobowych przez Bank do BIK w związku ze złożonym wnioskiem kredytowym z dnia [...] sierpnia 2007 r. nastąpiło w związku z art. 105 ust. 4 Prawa bankowego, a dla legalności tego przekazania zgoda strony nie była wymagana. Mając na uwadze powyższe wskazał, że w jego ocenie Bank przetwarzając dane osobowe strony w tym zakresie podjął działania zgodne z dyspozycją przepisów ustawy Prawo bankowe, ale również miał uzasadniony interes w dokonaniu sprawdzenia historii kredytowej skarżącego nie jako osoby fizycznej, lecz jako prezesa zarządu i jedynego wspólnika Spółki mogącego odpowiadać za zobowiązania związane z prowadzoną przez ww. podmiot działalnością gospodarczą uzyskanego kredytu.

W świetle ustalonego stanu faktycznego sprawy oraz powołanych przepisów prawa nie można w ocenie organu podzielić stanowiska strony, że doszło do naruszenia ustawy o ochronie danych osobowych w procesie przetwarzania przez Bank jej danych osobowych w związku ze złożonym przez niego jako prezesa zarządu C. P. Sp. z o.o. wnioskiem kredytowym oraz zapytaniem Banku do BIK z dnia [...] sierpnia 2007 r.

Ponadto, Generalny Inspektor Ochrony Danych Osobowych wskazał, iż jak wynika z poczynionych w ramach niniejszego postępowania administracyjnego ustaleń faktycznych, w związku z podziałem i przeniesieniem części majątku Banku [...] S.A. na Bank w trybie art. 529 § 1 pkt 4 Ksh, Bank przejął prawa, obowiązki, należności i zobowiązania z umów zawartych z klientami w przenoszonych oddziałach w tym, dane dotyczące Spółki. Jednakże z uwagi na fakt, iż wnioskującym o udzielenie kredytu była Spółka, a nie osoba fizyczna, na Banku nie ciążył wymóg wypełnienia obowiązku informacyjnego wynikającego z art. 24 ust. 1 ustawy.

Odnosząc się do zarzutów naruszenia przez Bank przepisów art. 30-40 ustawy o ochronie danych osobowych Generalny Inspektor stwierdził, że kwestie dotyczące zabezpieczenia danych osobowych oraz obowiązek rejestracji zbiorów mogą być jedynie przedmiotem postępowania wszczętego przez organ z urzędu.

Natomiast w odniesieniu żądania skierowania zawiadomienia o popełnieniu przestępstwa do właściwej prokuratury wskazał, iż ustawa nie daje mu uprawnień do zakończenia prowadzonego postępowania poprzez skierowanie w formie decyzji administracyjnej zawiadomienia o popełnienia przestępstwa do organów ścigania, co potwierdza orzecznictwo. W świetle art. 18 ust. 1 ustawy o ochronie danych osobowych, strona może domagać się od Generalnego Inspektora wyłącznie podjęcia działań w tym przepisie określanych, które mogą być rozstrzygnięte w formie decyzji administracyjnej.

W skardze na powyższą decyzję do Wojewódzkiego Sądu Administracyjnego w Warszawie C. P. wniósł o jej uchylenie w całości i "konsekwencji usunięcie uchybień poprzez zobowiązanie GIODO do wytknięcia nieprawidłowego przekazania danych osobowych skarżącego przez Bank [...] S.A. w roku 2007 jak i 2012 oraz zakazania dalszego przekazywania danych osobowych skarżącego do BIK", podnosząc zarzuty identyczne z zarzutami wniosku o ponowne rozpatrzenia sprawy.

W odpowiedzi na skargę Generalny Inspektor Ochrony Danych Osobowych wniósł o jej oddalenie i podtrzymał w całości swoje dotychczasowe stanowisko faktyczne oraz prawne.

Wojewódzki Sąd Administracyjny w Warszawie zważył, co następuje.

Zgodnie z przepisem art. 1 § 1 i § 2 ustawy z dnia 25 lipca 2002 r. Prawo

o ustroju sądów administracyjnych (Dz.U. Nr 153, poz. 1269 ze zm.), sądy administracyjne sprawują wymiar sprawiedliwości m.in. przez kontrolę działalności administracji publicznej, a kontrola ta sprawowana jest pod względem zgodności

z prawem, jeżeli nie stanowią inaczej.

Skarga oceniana w świetle powyższych kryteriów zasługuje na uwzględnienie, jednakże z innych powodów niż podniesione w jej zarzutach.

Stosownie bowiem do treści art. 134 § 1 ustawy z dnia 30 sierpnia 2002 r. Prawo o postepowaniu przed Sądami administracyjnymi (Dz.U. z 2012 r., poz. 270 ze zm.) dalej: "Ppsa", Sąd orzeka w granicach danej sprawy, nie będąc jednak związany zarzutami i wnioskami skargi oraz powołaną podstawą prawną.

Stosownie do przepisu art. 12 pkt 1 i 2 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (t. j. Dz. U. z 2014 r., poz. 1182 ze zm.), dalej "uodo", do zadań Generalnego Inspektora w szczególności należy kontrola zgodności przetwarzania danych z przepisami o ochronie danych osobowych oraz wydawanie decyzji administracyjnych i rozpatrywanie skarg w sprawach wykonania przepisów o ochronie danych osobowych. Natomiast w myśl art. 18 ust. 1 uodo, w przypadku naruszenia przepisów o ochronie danych osobowych Generalny Inspektor z urzędu lub na wniosek osoby zainteresowanej, w drodze decyzji administracyjnej, nakazuje przywrócenie stanu zgodnego z prawem, a w szczególności:

1) usunięcie uchybień,

2) uzupełnienie, uaktualnienie, sprostowanie, udostępnienie lub nieudostępnienie danych osobowych,

3) zastosowanie dodatkowych środków zabezpieczających zgromadzone dane osobowe,

4) wstrzymanie przekazywania danych osobowych do państwa trzeciego,

5) zabezpieczenie danych lub przekazanie ich innym podmiotom,

6) usunięcie danych osobowych.

Generalny Inspektor Ochrony Danych Osobowych, jako organ administracji publicznej, wydając decyzję administracyjną rozstrzyga w oparciu o stan faktyczny istniejący w dacie jej wydania. Pogląd taki jest utrwalony zarówno w orzecznictwie, jak i w doktrynie.

Naczelny Sąd Administracyjny w Warszawie w wyroku z dnia 4 października 2000 r., sygn. akt V SA 283/00 stwierdził: "Należy wskazać (...) na potrzebę stosowania norm prawa materialnego obowiązującego w dniu wydania decyzji. Zaznaczyć wyraźnie należy, że przepisy Kodeksu postępowania administracyjnego nie wiążą z datą wszczęcia postępowania podstawy faktycznej i prawnej. Miarodajny w tym zakresie jest stan obowiązujący w dacie wydania decyzji." (zob. również B. Adamiak, J. Borkowski, Kodeks postępowania administracyjnego, Komentarze, 7. wydanie, C.H. Beck, Warszawa 2005, s. 352). Natomiast w wyroku z dnia 7 maja 2008 r. o sygn. akt I OSK 761/07 (publ. www.orzeczenia.nsa.gov.pl) Naczelny Sąd Administracyjny wskazał, iż "badając (...) legalność przetwarzania danych osobowych GIODO ma obowiązek ustalenia, czy na datę wydawania rozstrzygnięcia w sprawie dane konkretnego podmiotu są przetwarzane oraz czy czynione jest to w sposób zgodny z prawem."

Wskazać ponadto należy, że zgodnie z przepisem art. 22 uodo, postępowanie w sprawach uregulowanych w niniejszej ustawie prowadzi się według przepisów Kodeksu postępowania administracyjnego, o ile przepisy nie stanowią inaczej.

Oznacza to w szczególności, że Generalny Inspektor obowiązany jest do przestrzegania wyrażonej w art. 7 ustawy z dnia 14 czerwca 1960 r. Kodeks postepowania administracyjnego (t. j. Dz. U. z 2012 r., poz. 267 ze zm.), dalej "Kpa", zasady prawdy obiektywnej, a więc stania na straży praworządności i podejmowania wszelkich kroków niezbędnych do dokładnego wyjaśnienia stanu faktycznego oraz do załatwienia sprawy, mając na względzie interes społeczny i słuszny interes obywateli. Obowiązany jest też w sposób wyczerpujący zebrać i rozpatrzyć cały materiał dowodowy (art. 77 § 1 Kpa) oraz ocenić na podstawie całokształtu materiału dowodowego, czy dana okoliczność została udowodniona (art. 80 Kpa). Musi też swoje rozstrzygnięcie uzasadnić zgodnie z wymogami zawartymi w art. 107 § 3 Kpa.

W niniejszej sprawie Generalny Inspektor Ochrony Danych Osobowych uchybił powyższym regulacjom i to w sposób mogący mieć istotny wpływ na wynik sprawy.

Odmawiając uwzględnienia skargi C. P. na niezgodne zdaniem skarżącego przetwarzanie jego danych osobowych przez Bank [...] S. A., skupił się w istocie na badaniu dopuszczalności przekazania danych skarżącego do Biura Informacji Kredytowej w 2007 r. i 2012 r., zamiast badać legalność przetwarzania przedmiotowych danych w dacie rozstrzygania sprawy.

Stwierdził bowiem lakonicznie, opierając się na wyjaśnieniach Banku, że przetwarza on aktualnie dane osobowe C. P. wyłącznie jako jedynego wspólnika i jednocześnie prezesa zarządu Spółki na podstawie art. 105 a ust. 4 ustawy Prawo bankowe dla celów stosowania metod statystycznych, przepisów ustawy z dnia 14 lipca 1983 r. o narodowy, zasobie archiwalnym i archiwach (Dz. U. z 2011 r. Nr 123, poz. 698) w celu archiwalnym, art. 23 ust. 4 ustawy w celu prowadzenia postępowania sądowego z powództwa Spółki przeciwko Bankowi, w zbiorach "CODAS – Centralne Repozytorium Danych z Systemów Bankowych" oraz "Baza Spraw Spornych". Nie dokonał zaś analizy wskazanych przepisów statystycznych i archiwalnych pod katem wskazania w nich podstawy do zgodnego z prawem przetwarzania danych osobowych skarżącego. Nie wyjaśnił też ponad wszelką wątpliwość, czy istotnie toczy się postępowanie sądowe z powództwa Spółki przeciwko Bankowi, a jeśli tak, to na jakim jest etapie, czy może się zakończyło. Kwestie te mają w ocenie Sądu znaczenie w punktu widzenia przesłanek legalnego przetwarzania danych osobowych.

Powyższe uchybienia w zakresie postępowania dowodowego powodują, że niemożliwa jest merytoryczna ocena zasadności podjętej przez organ decyzji w części dotyczącej Banku.

Z uwagi na wskazane naruszenia prawa procesowego, koniecznym stało się uchylenie zaskarżonej decyzji w zakresie jej pkt 3.

Nie jest natomiast uzasadniony zarzut naruszenia przez Bank przepisów art. 36 – 40 uodo oraz nieuprawnione jest żądanie dotyczące skierowania zawiadomienia o popełnieniu przestępstwa do właściwej prokuratury.

Odnośnie pierwszej kwestii Sąd podziela stanowisko organu, iż sprawy dotyczące zabezpieczenia danych osobowych oraz obowiązek rejestracji zbiorów, mogą być jedynie przedmiotem postępowania wszczętego z urzędu przez Generalnego Inspektora, natomiast przedmiotem niniejszego postępowania jest tylko legalność przetwarzania danych osobowych skarżącego przez Bank i BIK.

Z kolei gdy chodzi o żądanie skierowania przez organ zawiadomienia o popełnieniu przestępstwa należy podnieść, że strona może domagać się od Generalnego Inspektora wyłącznie działań określonych w art. 18 ust. 1 uodo oraz może składać jedynie wnioski, które mogą być załatwione poprzez wydanie decyzji administracyjnej.

Sąd w pełni podziela stanowisko Naczelnego Sądu Administracyjnego w tej kwestii, wyrażone w wyroku z dnia 19 listopada 2001 r., sygn. akt II SA 2702/02, zgodnie z którym: "osoba dochodząca ochrony swych praw w trybie ustawy o ochronie danych osobowych nie jest podmiotem postępowania obliczonego na wydanie decyzji o zawiadomieniu stosownego organu o przestępstwo w zakresie przetwarzania danych osobowych i nie może się tego domagać od GIODO w administracyjno-prawnych formach tego postępowania. Przepis art. 19 ustawy nie daje bowiem stronie roszczenia w tym względzie."

Rozpoznając sprawę ponownie organ winien wyjaśnić wskazane przez Sąd kwestie, biorąc pod uwagę wymogi przewidziane w Kodeksie postępowania administracyjnego.

Mając powyższe na względzie Wojewódzki Sąd Administracyjny w Warszawie, na podstawie art. 145 § 1 pkt 1 lit. c Ppsa, orzekł jak w sentencji wyroku. O kosztach orzeczono w oparciu o art. 200 w związku z art. 205 § 1 Ppsa.