Centralna Baza Orzeczeń Sądów Administracyjnych

Wojewódzki Sąd Administracyjny w Warszawie w składzie następującym: Przewodnicząca Sędzia WSA Anna Mierzejewska, Sędziowie WSA Danuta Kania (sprawozdawca), Ewa Marcinkowska, Protokolant specjalista Monika Gieroń, po rozpoznaniu na rozprawie w dniu 26 sierpnia 2016 r. sprawy ze skargi [...] S. A. z siedzibą w [...] na decyzję Generalnego Inspektora Ochrony Danych Osobowych z dnia [...] listopada 2015 r. nr [...] w przedmiocie przetwarzania danych osobowych - oddala skargę -

Generalny Inspektor Ochrony Danych Osobowych (dalej: "Generalny Inspektor", "GIODO") decyzją z dnia [...] listopada 2015 r. nr [...], powołując w podstawie prawnej art. 138 § 1 pkt 1 ustawy z dnia 14 czerwca 1960 r. - Kodeks postępowania administracyjnego (Dz. U. z 2013 r., poz. 267 ze zm.), dalej: "k.p.a.", art. 12 pkt 2, art. 22 w zw. z art. 23 ust. 1 pkt 2 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. z 2014 r., poz. 1182 z zm.), dalej: "u.o.d.o.", w zw. z art. 105 ust. 4 oraz art. 105a ust. 3, 4 i 5 ustawy z dnia 29 sierpnia 1997 r. Prawo bankowe (Dz. U. z 2015 r., poz. 128 ze zm.), utrzymał w mocy własną decyzję z dnia [...] października 2014 r. [...]: (1) nakazującą P. S. A. z siedzibą w [...] (dalej: "Bank") zaprzestanie przetwarzania danych osobowych M. K. (dalej: "skarżący"), dotyczących rachunków: nr [...], nr [...], nr [...], nr [...], nr [...] w systemie B. S.A. z siedzibą w [...] (dalej: "B[...] S.A.") w trybie określonym w art. 105a ust. 3 ustawy Prawo bankowe, (2) nakazującą ww. Bankowi zaprzestania przetwarzania danych osobowych M. K. w zbiorze o nazwie "Centralna Baza Danych Systemu BANKOWY REJESTR", prowadzonym przez Związek Banków Polskich z siedzibą w [...] (dalej: "ZBP") w trybie określonym w art. 105a ust. 3 ustawy Prawo bankowe, (3) w pozostałym zakresie odmawiającą uwzględnienia wniosku.

W uzasadnieniu powyższej decyzji Generalny Inspektor przedstawił dotychczasowy tok postępowania wskazując, co następuje:

Do Biura GIODO wpłynęła skarga M. K., dotycząca przetwarzania jego danych osobowych przez P. S.A. z siedzibą w [...]. W treści skargi skarżący wskazał na nieprawidłowości w procesie przetwarzania jego danych osobowych przez Bank, który pomimo wygaśnięcia jego zobowiązań i wycofania zgody na przetwarzanie danych nie dokonał ich usunięcia z odpowiednich rejestrów. W uzasadnieniu skargi podniósł, iż w dniu [...] lipca 2011 r. Sąd Rejonowy dla [...] ogłosił upadłość jego firmy [...] M. K. Po prawomocnym zakończeniu postępowania upadłościowego skarżący powiadomił Bank o umorzeniu i wygaśnięciu jego zobowiązań wobec tego podmiotu i złożył oświadczenie o wycofaniu zgody na przetwarzanie jego danych osobowych we wszelkich rejestrach, jednakże Bank odmówił zaprzestania przetwarzania jego danych i wykreślenia ich z rejestrów.

Wezwany do sprecyzowania przedmiotu skargi i żądania M. K. wskazał, iż Bank "nie dopełnił formalności cofnięcia zgody na przetwarzanie danych osobowych w B[...] i ZBP" pomimo jego oświadczenia woli zawartego w piśmie z dnia [...] lutego 2013 r. o wycofaniu zgody na udostępnienie i przetwarzanie danych osobowych po wygaśnięciu wszelkich zobowiązań oraz usunięciu informacji o wygasłych zobowiązaniach z wszelkich rejestrów tj. z B[...] i ZBP. Skarżący wniósł o wydanie decyzji administracyjnej nakazującej Bankowi przywrócenie stanu zgodnego z prawem poprzez usunięcie jego danych osobowych i zobowiązań przekazanych do ww. rejestrów.

Generalny Inspektor przeprowadził w sprawie postępowanie wyjaśniające i ustalił następujący stan faktyczny:

Skarżący w okresie od dnia [...] września 1992 r. do dnia [...] października 2012 r. prowadził działalność gospodarczą pod firmą [...] M. K. w siedzibą w [...].

Skarżący zawarł z Bankiem kilkanaście umów: umowę o kredyt z dnia [...] września 2009 r. nr [...] (zwaną dalej: umową nr 1), umowę o kredyt z dnia [...] września 2008 r. nr [...] (zwaną dalej: umową nr 2), umowę o kredyt z dnia [...] lutego 2008 r. nr [...] (zwaną dalej: umową nr 3), umowę o kredyt z dnia [...] czerwca 2010 r. nr [...] (zwaną dalej: umową nr 4), umowę o kredyt z dnia [...] lutego 2010 r. nr [...] (zwaną dalej: umową nr 5), umowę o kredyt z dnia [...] marca 2009 r. nr [...] (zwaną dalej: umową nr 6), umowę o kredyt z dnia [...] listopada 2009 r. nr [...] (zwaną dalej: umową nr 7), umowę o kredyt z dnia [...] stycznia 2010 r. nr [...] (zwaną dalej: umową nr 8), umowę o kredyt z dnia [...] marca 2010 r. nr [...] (zwaną dalej: umową nr 9), umowę o kredyt z dnia [...] sierpnia 2010 r. nr [...] (zwaną dalej: umową nr 10), umowę o kredyt z dnia [...] grudnia 2007 r. nr [...] (zwaną dalej: umową nr 11), umowę o kredyt z dnia [...] lipca 2009 r. nr [...] (zwaną dalej: umową nr 12), umowę o kartę kredytową z dnia [...] czerwca 2010 r. nr [...] (zwaną dalej: umową nr 13).

W piśmie z dnia [...] sierpnia 2013 r. Bank wyjaśnił, że w związku z posiadanymi rachunkami dane skarżącego w zakresie: imienia i nazwiska, daty urodzenia, adresu zamieszkania, serii i numeru dowodu osobistego, numeru PESEL oraz płci przekazane zostały do B. S.A. na podstawie umowy zawartej między Bankiem, a B[...] w dniu [...] czerwca 2001 r.

W dniu [...] lipca 2011 r. Sąd Rejonowy dla [...], Sąd Gospodarczy [...] Wydział [...] dla spraw upadłościowych i naprawczych ogłosił upadłość M. K. prowadzącego działalność gospodarczą pod firmą [...] M. K. obejmującą likwidację majątku dłużnika.

Postanowieniem z dnia [...] września 2012 r. Sąd Rejonowy dla [...] w [...][...] Wydział [...] stwierdził zakończenie postępowania upadłościowego M. K. prowadzącego działalność gospodarczą pod nazwą [...] i umorzył w całości zobowiązania upadłego, które nie zostały zaspokojone w toku postępowania upadłościowego.

W dniu [...] lutego 2013 r. M. K. skierował do Banku pismo, w którego treści wskazał, iż po prawomocnym umorzeniu jego zobowiązań, wszelkie próby dochodzenia od niego przez Bank roszczeń uważa za nieuzasadnione. Jednocześnie oświadczył: "wycofuję zgodę na udostępnienie moich danych po wygaśnięciu wszelkich zobowiązań. W związku z powyższym wnoszę o usunięcie informacji o wygasłych wobec mojej osoby zobowiązaniach z wszelkich rejestrów".

W odpowiedzi na powyższe, pismem z dnia [...] marca 2013 r. Bank poinformował skarżącego, iż nie znajduje podstaw do pełnego wykreślenia wpisów z rejestrów B[...] i ZBP na podstawie ww. postanowienia Sądu, w zakresie umorzonych wierzytelności. Bank dokona tylko aktualizacji wpisów zgodnie z aktualnym stanem faktycznym. Wierzytelności bowiem zostały umorzone, a nie spłacone.

Zgłoszeniem z dnia [...] lipca 2013 r. Skarżący cofnął zgodę na przetwarzanie przez Bank jego danych osobowych po wygaśnięciu zobowiązania w związku z umową nr 4 i 13. Informacja ta została przekazana przez Bank do B[...].

W piśmie z dnia [...] sierpnia 2013 r. Bank wskazał, iż podstawą prawną przetwarzania danych osobowych skarżącego przez Bank są przepisy ustawy Prawo bankowe. Działając na tej podstawie banki spełniają przesłanki legalności przetwarzania danych osobowych określone w art. 23 ust. 1 pkt 2 u.o.d.o. Tym samym przesłanką dla przetwarzania danych osobowych klientów Banku nie jest zgoda osoby, której dane dotyczą lecz fakt, iż jest to niezbędne dla zrealizowania uprawnienia lub spełnienia obowiązku wynikającego z przepisu prawa. Dane osobowe M. K. przetwarzane są przez Bank w zbiorze danych o nazwie Baza Klientów P[...] w następującym zakresie: imiona, nazwisko, nazwisko rodowe, imię ojca, imię matki, nazwisko panieńskie matki, płeć, data urodzenia, miejscowość urodzenia, kraj urodzenia, obywatelstwo, pesel, adres zamieszkania, typ dokumentu, numer dokumentu.

W piśmie z dnia [...] sierpnia 2013 r. Bank wskazał ponadto, że:

- zobowiązanie skarżącego wobec Banku wynikające z umowy nr 1 zostało spłacone regularnie, aktualnie rachunek ten ma status zamkniętego. Dane dotyczące tego rachunku są przetwarzane przez Bank w bazie B[...] dla celów oceny zdolności kredytowej ze względu na udzieloną przez skarżącego, w dniu [...] września 2009 r., zgodę na udostępnianie danych po wygaśnięciu zobowiązania,

- w spłacie kredytu wynikającego z umowy nr 2 skarżący popadł w zwłokę, maksymalna historyczna ilość dni opóźnienia w spłacie tego zobowiązania wyniosła 790. Wobec skarżącego prowadzona była windykacja tej należności, która została umorzona, a rachunek zamknięty w dniu [...] października 2012 r. Dane dotyczące tej należności Bank przetwarza w bazie B[...] dla oceny zdolności kredytowej, ze względu na udzieloną przez skarżącego, w dniu [...] września 2008 r., zgodę na udostępnianie danych po wygaśnięciu zobowiązania,

- w spłacie należności wynikającej z umowy nr 3 skarżący popadł w zwłokę, maksymalna historyczna ilość dni opóźnienia w spłacie tego zobowiązania wyniosła 794. Wobec skarżącego prowadzona była windykacja tej należności, która została umorzona, a rachunek zamknięty w dniu [...] października 2012 r. Dane dotyczące tej należności Bank przetwarza w bazie B[...] dla oceny zdolności kredytowej, ze względu na udzieloną przez skarżącego, w dniu [...] lutego 2008 r., zgodę na udostępnianie danych po wygaśnięciu zobowiązania, jak również spełnione zostały przez Bank warunki do przetwarzania tych informacji po spłacie zobowiązania, bez zgody klienta. Informacja w tym zakresie skierowana została do skarżącego w dniu [...] maja 2011 r.,

- zobowiązanie skarżącego wobec Banku wynikające z umowy nr 4 aktualnie ma status rachunku zamkniętego - windykacja spłacona. Dane dotyczące tego rachunku przetwarzane są przez Bank w bazie B[...] dla celów oceny zdolności kredytowej, ze względu na zapisane warunki spełnione na przetwarzanie danych po spłacie. Data wysłania zawiadomienia do skarżącego o zamiarze przetwarzania danych - [...] sierpnia 2011 r. Data wycofania zgody na przetwarzanie danych osobowych po wygaśnięciu zobowiązania - [...] lipca 2013 r.,

- zobowiązanie skarżącego wobec Banku wynikające z umowy nr 5 zostało spłacone regularnie, aktualnie rachunek ten ma status zamkniętego. Dane dotyczące tego rachunku przetwarzane są przez Bank w bazie B[...] dla celów oceny zdolności kredytowej ze względu na udzieloną przez skarżącego, w dniu [...] lutego 2010 r., zgodę na udostępnianie danych po wygaśnięciu zobowiązania,

- w spłacie należności wynikającej z umowy nr 6 skarżący popadł w zwłokę, maksymalna historyczna ilość dni opóźnienia w spłacie tego zobowiązania wyniosła 765. Wobec skarżącego prowadzona była windykacja tej należności, która została umorzona, a rachunek zamknięty w dniu [...] października 2012 r. Dane dotyczące tej należności Bank przetwarza w B[...] dla oceny zdolności kredytowej, ze względu na udzieloną przez skarżącego, w dniu [...] marca 2009 r., zgodę na udostępnianie danych po wygaśnięciu zobowiązania, jak również spełnione zostały przez Bank warunki do przetwarzania tych informacji po spłacie zobowiązania, bez zgody klienta. Informacja w tym zakresie skierowana została do skarżącego w dniu [...] czerwca 2011 r.,

- zobowiązanie skarżącego wobec Banku wynikające z umowy nr 7 zostało spłacone regularnie, aktualnie rachunek ten ma status zamkniętego. Dane dotyczące tego rachunku są przetwarzane przez Bank w bazie B[...] dla celów oceny zdolności kredytowej, ze względu na udzieloną przez skarżącego, w dniu [...] listopada 2009 r., zgodę na udostępnianie danych po wygaśnięciu zobowiązania,

- w spłacie należności wynikającej z umowy nr 8 skarżący popadł w zwłokę, maksymalna historyczna ilość dni opóźnienia w spłacie tego zobowiązania wyniosła 788. Wobec skarżącego prowadzona była windykacja tej należności, która została umorzona, a rachunek zamknięty w dniu [...] października 2012 r. Dane dotyczące tej należności Bank przetwarza w B[...] dla oceny zdolności kredytowej, ze względu na udzieloną przez skarżącego, w dniu [...] stycznia 2010 r., zgodę na udostępnianie danych po wygaśnięciu zobowiązania, jak również spełnione zostały przez Bank warunki do przetwarzania tych informacji po spłacie zobowiązania, bez zgody klienta. Informacja w tym zakresie skierowana została do skarżącego w dniu [...] maja 2011 r.,

- w spłacie należności wynikającej z umowy nr 9 skarżący popadł w zwłokę, maksymalna historyczna ilość dni opóźnienia w spłacie tego zobowiązania wyniosła 784. Wobec skarżącego prowadzona była windykacja tej należności, która została umorzona, a rachunek zamknięty w dniu [...] października 2012 r. Dane dotyczące tej należności Bank przetwarza w B[...] dla oceny zdolności kredytowej, ze względu na udzieloną przez skarżącego, w dniu [...] marca 2010 r., zgodę na udostępnianie danych po wygaśnięciu zobowiązania, jak również spełnione zostały przez Bank warunki do przetwarzania tych informacji po spłacie zobowiązania, bez zgody klienta. Informacja w tym zakresie skierowana została do skarżącego w dniu [...] maja 2011 r.,

- w spłacie należności wynikającej z umowy nr 10 skarżący popadł w zwłokę, maksymalna historyczna ilość dni opóźnienia w spłacie tego zobowiązania wyniosła 789. Wobec skarżącego prowadzona była windykacja tej należności, która została umorzona, a rachunek zamknięty w dniu [...] października 2012 r. Dane dotyczące tej należności Bank przetwarza w B[...] dla oceny zdolności kredytowej, ze względu na udzieloną przez skarżącego, w dniu [...] sierpnia 2010 r., zgodę na udostępnienie danych po wygaśnięciu zobowiązania,

- w spłacie należności wynikającej z umowy nr 11 skarżący popadł w zwłokę, maksymalna historyczna ilość dni opóźnienia w spłacie tego zobowiązania wyniosła 773. Wobec skarżącego prowadzona była windykacja tej należności, która została umorzona, a rachunek zamknięty w dniu [...] października 2012 r. Dane dotyczące tej należności Bank przetwarza w B[...] dla oceny zdolności kredytowej, ze względu na udzieloną przez skarżącego, w dniu [...] grudnia 2007 r., zgodę na udostępnianie danych po wygaśnięciu zobowiązania, jak również spełnione zostały przez Bank warunki do przetwarzania tych informacji po spłacie zobowiązania, bez zgody klienta. Informacja w tym zakresie skierowana została do skarżącego w dniu [...] czerwca 2011 r.,

- zobowiązanie skarżącego wobec Banku wynikające z umowy nr 12 zostało spłacone regularnie, aktualnie rachunek ten ma status zamkniętego. Dane dotyczące tego rachunku skarżącego są przetwarzane przez Bank w bazie B[...] dla celów oceny zdolności kredytowej, ze względu na udzieloną przez skarżącego, w dniu [...] lipca 2009r., zgodę na udostępnianie danych po wygaśnięciu zobowiązania,

- w spłacie kredytu wynikającego z umowy nr 13 skarżący popadł w zwłokę, maksymalna historyczna ilość dni opóźnienia w spłacie tego zobowiązania wyniosła 785. Umowa została przekazana do windykacji. Rachunek pozostaje otwarty. Dane dotyczące tej należności Bank przetwarza w B[...] dla oceny zdolności kredytowej, ze względu na udzieloną przez skarżącego zgodę na udostępnianie danych po wygaśnięciu zobowiązania, data wycofania zgody - [...] lipca 2013 r., jak również spełnione zostały przez Bank warunki do przetwarzania tych informacji po spłacie zobowiązania, bez zgody klienta. Informacja w tym zakresie skierowana została do skarżącego w dniu [...] sierpnia 2011 r.

W piśmie z dnia [...] lutego 2014 r. Bank wskazał, że w związku z wystąpieniem zaległości w spłacie zobowiązań wynikających z umowy nr 3, umowy nr 4, umowy nr 6, umowy nr 8, umowy nr 9, umowy nr 11, do M. K. odpowiednio w dniach: [...] maja 2011 r., [...] sierpnia 2011 r., [...] czerwca 2011 r., [...] maja 2011 r., [...] maja 2011 r. oraz [...] czerwca 2011 r. zostały wysłane, zgodnie z obowiązującym w Banku wzorem, pisma informujące, że na podstawie art. 105a ust. 3 ustawy Prawo bankowe, w przypadku braku spłaty całego zadłużenia wymagalnego w terminie 30 dni, Bank nabędzie prawo do przetwarzania informacji stanowiących tajemnicę bankową, dla celów oceny zdolności kredytowej i analizy ryzyka kredytowego po wygaśnięciu zobowiązania, bez jego zgody. Na dowód powyższego Bank przedstawił ekstrakty plików, wygenerowanych z aplikacji [...], w której archiwizowane są pliki dotyczące przedmiotowych zawiadomień. Wskazał, iż struktura wygenerowanych plików zawiera imię, nazwisko, adres oraz inne dane w postaci ciągu liczb, w tym datę generacji listów do M. K. Ponadto Bank załączył kopię obowiązującego w Banku wzoru pisma informującego o prawie tego podmiotu do przetwarzania danych osobowych po wygaśnięciu zobowiązania.

W dniu [...] sierpnia 2011 r., [...] września 2011 r. oraz [...] stycznia 2012 r. Bank przekazał dane osobowe skarżącego do Systemu Bankowy Rejestr prowadzonego przez Związek Banków Polskich.

W piśmie doręczonym Generalnemu Inspektorowi B[...] wskazał: "B[...] przetwarza dane osobowe skarżącego, przekazane przez Bank P. S.A. i wprowadzone do zbioru danych ("[...] B. "[...]") przez B[...]:

- w dniu [...] kwietnia 2010 r., w zakresie umowy kredytu z dnia [...] marca 2010 r. ([...]) zwanej dalej: "Rachunkiem 1",

- w dniu [...] kwietnia 2009 r., w zakresie umowy kredytu z dnia [...] marca 2009 r. ([...]) zwanej dalej: "Rachunkiem 2",

- w dniu [...] marca 2008 r., w zakresie umowy kredytu z dnia [...] lutego 2008 r. ([...]) zwanej dalej: "Rachunkiem 3",

- w dniu [...] lutego 2010 r., w zakresie umowy kredytu z dnia [...] stycznia 2010 r. ([...]) zwanej dalej: "Rachunkiem 4",

w dniu [...] stycznia 2008 r., w zakresie umowy kredytu z dnia [...] grudnia 2007 r. ([...]) zwanej dalej: "Rachunkiem 5",

- w dniu [...] listopada 2013 r., w zakresie umowy karty kredytowej z dnia [...] czerwca 2010 r. ([...]) zwanej dalej: "Rachunkiem 6",

- w dniu [...] grudnia 2009 r., w zakresie umowy kredytu z dnia [...] listopada 2009 r. ([...]) zwanej dalej: "Rachunkiem 7",

- w dniu [...] października 2009 r., w zakresie umowy kredytu z dnia [...] września 2009r. ([...]) zwanej dalej: "Rachunkiem 8",

- w dniu [...] lipca 2009 r., w zakresie umowy kredytu z dnia [...] lipca 2009 r. ([...]) zwanej dalej: "Rachunkiem 9",

- w dniu [...] marca 2010 r., w zakresie umowy kredytu z dnia [...] lutego 2010 r. ([...]) zwanej dalej: "Rachunkiem 10",

- w dniu [...] października 2008 r., w zakresie umowy kredytu z dnia [...] września 2008r. ([...]) zwanej dalej: "Rachunkiem 11",

- w dniu [...] września 2010 r., w zakresie umowy kredytu z dnia [...] sierpnia 2010 r. ([...]) zwanej dalej: "Rachunkiem 13".

Dane dotyczące ww. rachunków zostały przekazane do B[...] przez Bank na podstawie art. 105 ust. 4 ustawy Prawo bankowe i na podstawie łączącej strony umowy. Rachunki 1-5 mają status rachunków zamkniętych i przetwarzane są w celu oceny zdolności kredytowej i analizy ryzyka kredytowego na podstawie art. 105a ust.

3 w zw. z art. 105 ust. 4 ustawy Prawo bankowe oraz w celu stosowania metod statystycznych, na podstawie art. 105a ust. 4 i 5 ww. ustawy. Rachunek 6 jest rachunkiem otwartym w windykacji i przetwarzany jest w celu oceny zdolności kredytowej i analizy ryzyka kredytowego na podstawie art. 105 ust. 4 ustawy Prawo bankowe oraz w celu stosowania metod statystycznych, na podstawie art. 105a ust.

4 i 5 ww. ustawy. Rachunki 7-10 mają status rachunków zamkniętych i przetwarzane są w celu oceny zdolności kredytowej i analizy ryzyka kredytowego na podstawie art. 105a ust. 2 w zw. z art. 105 ust. 4 ustawy Prawo bankowe oraz w celu stosowania metod statystycznych, na podstawie art. 105a ust. 4 i 5 ww. ustawy. Rachunki 11-15 mają status rachunków zamkniętych i przetwarzane są w celu stosowania metod statystycznych, na podstawie art. 105a ust. 4 i 5 ustawy Prawo bankowe.

W wyjaśnieniach udzielonych Generalnemu Inspektorowi ZBP oświadczył, iż przetwarza dane osobowe skarżącego w związku z dokonanymi przez Bank pięcioma wpisami. Dane te przetwarzane są na podstawie art. 105 ust. 4 i art. 105a ust. 3 ustawy Prawo bankowe oraz zgodnie z przepisami u.o.d.o. Dane osobowe skarżącego zostały zgłoszone do Systemu BANKOWY REJESTR przez P. S.A. z Centralą w [...] w dniach [...] sierpnia 2011 r. i [...] stycznia 2012 r. W Systemie BR są gromadzone i przetwarzane wyłącznie informacje wprowadzone przez Uczestników Systemu (tj. obecnie tylko banki), którzy podpisali z ZBP umowy o zasadach uczestnictwa i współpracy w zakresie wymiany informacji w Systemie BR. Dane skarżącego są przetwarzane w CBD-BR w oparciu o przesłanki wskazane w ust. 3 art. 105a ustawy Prawo bankowe, tj. skarżący nie wykonał zobowiązania lub dopuścił się zwłoki powyżej 60 dni w spełnieniu świadczenia wynikającego z umowy zawartej z bankiem, a po zaistnieniu tych okoliczności upłynęło co najmniej 30 dni od poinformowania go przez bank o zamiarze przetwarzania dotyczących go informacji stanowiących tajemnice bankową, bez jego zgody.

W piśmie z dnia [...] maja 2014 r. Bank, odnosząc się do zobowiązania skarżącego z umowy nr 4 wskazał, iż zgodnie z zasadami aktualizacji w banku, obowiązującymi do września 2013 r., karta kredytowa nr [...], była przekonwertowana na kredyt gotówkowy nr [...]. Karta kredytowa została zamknięta w statusie "windykacja spłacona", natomiast pozostałe zadłużenie z tej karty, zostało przeniesione na nowo otwarty kredyt gotówkowy nr [...]. Po zmianie zasad aktualizacji przeterminowanych zobowiązań kartowych przenoszonych na kredyt gotówkowy, karta kredytowa nr [...] została przekazana do usunięcia we wsadzie za październik 2013 r. Zgodnie z nowymi zasadami Bank przekazał do B[...] S.A. kredyt gotówkowy nr [...] z typem transakcji: [...] (co oznacza kartę kredytową).

Ponadto Bank oświadczył, iż w związku z tym, że ze skarg skarżącego na przetwarzanie jego danych osobowych wynika, że dokonane przez skarżącego w jego piśmie z dnia [...] lutego 2013 r. odwołanie zgody na przetwarzanie danych osobowych dotyczyło wszystkich zobowiązań, zgoda skarżącego co do przetwarzania jego danych osobowych po wygaśnięciu zobowiązań wynikających z umowy nr 1, 2, 5, 7, 10, 12 została wycofana. Korekty na wycofanie zgody w tym zakresie zostały przekazane do B[...] w następujących terminach: umowa nr 10 w dniu [...] sierpnia 2013 r., umowa nr 2 w dniu [...] sierpnia 2013 r., umowa nr 1 w dniu [...] maja 2014 r., umowa nr 7 w dniu [...] maja 2014 r., umowa nr 5 w dniu [...] maja 2014 r., umowa nr 12 w dniu [...] maja 2013 r.

W piśmie z dnia [...] czerwca 2014 r. B[...] wskazał z kolei, że nie zmienił się status Rachunków 1-6 dotyczących skarżącego. Zatem analogicznie do poprzedniego pisma B[...] rachunki 1-5 mają status rachunków zamkniętych i przetwarzane są w celu oceny zdolności kredytowej i analizy ryzyka kredytowego na podstawie art. 105a ust. 3 w zw. z art. 105 ust. 4 ustawy Prawo bankowe oraz w celu stosowania metod statystycznych na podstawie art. 105a ust. 4 i 5 ww. ustawy, a rachunek 6 pozostaje nadal rachunkiem otwartym w windykacji i przetwarzany jest w celu oceny zdolności kredytowej i analizy ryzyka kredytowego na podstawie art. 105 ust. 4 ustawy Prawo bankowe oraz w celu stosowania metod statystycznych, na podstawie art. 105a ust. 4 i 5 ww. ustawy. Natomiast rachunki 7-15 mają obecnie status rachunków zamkniętych i przetwarzane są w celu stosowania metod statystycznych, na podstawie art. 105a ust. 4 i 5 ww. ustawy. Odnośnie zaś Rachunków 7-10 została przez Bank wycofana zgoda na przetwarzanie danych po wygaśnięciu zobowiązania.

Mając powyższe na względzie, Generalny Inspektor decyzją z dnia [...] października 2014 r. nr [...]: (1) nakazał Bankowi zaprzestania przetwarzania danych osobowych M. K. dotyczących rachunków: nr [...], nr [...], nr [...], nr [...], nr [...] w systemie B. S.A. w trybie określonym w art. 105a ust. 3 ustawy Prawo bankowe, (2) nakazał Bankowi zaprzestania przetwarzania danych osobowych skarżącego w zbiorze o nazwie "Centralna Baza Danych Systemu BANKOWY REJESTR", prowadzonym przez ZBP w trybie określonym w art. 105a ust. 3 ustawy Prawo bankowe, (3) w pozostałym zakresie odmówił uwzględnienia wniosku.

Pismem z dnia [...] października 2014 r. Związek Banków Polskich wystąpił o ponowne rozpatrzenie sprawy wnosząc o uchylenie powyższej decyzji w całości.

W uzasadnieniu ZBP podniósł, że zgodnie z regulaminem Systemu Bankowy Rejestr stanowiącym załącznik nr 1 do umowy o zasadach uczestnictwa w Systemie

BANKOWY REJESTR, zgłaszający zgodnie z § 4 ust. 2 pkt 1 wprowadza do Centralnej Bazy Danych - Bankowy Rejestr informacje, które powinny zawierać następujące dane konsumenta: imię i nazwisko, seria i numer dokumentu tożsamości, PESEL, oraz dokładny adres zamieszkania.

ZBP wskazał, że kluczową kwestią w legitymacji banku do przetwarzania danych klienta na podstawie art. 105a ust. 3 Prawa bankowego jest wyłącznie poinformowanie go o zamiarze przetwarzania jego danych, przy czym wystarczającymi dokumentami stwierdzającymi poinformowanie klienta o zamiarze wpisu do Systemu, mogą być księgi/programy archiwizujące informacje na temat wysyłanej korespondencji.

W ocenie ZBP błędne jest stanowisko GIODO, że Bank powinien dysponować dowodem na to, że osoba której dane dotyczą została poinformowana o zamiarze przetwarzania ich bez jej zgody. Jeśli na Bank nałożony byłby obowiązek posiadania za każdym razem potwierdzenia odbioru powiadomienia, oznaczałoby to de facto blokadę całego procesu, bowiem dłużnicy mogliby się uchylać od składania stosownych oświadczeń. Odmienne podejście do tego zagadnienia i "wymaganie by wierzyciel musiał udowodnić, że dłużnik odebrał korespondencję miałoby ten skutek, że niesolidni dłużnicy, starający się uniemożliwić skuteczne dochodzenie roszczenia, nagminnie uchylaliby się od odebrania przesyłek i w rezultacie nie dochodziłoby do przekazania informacji o niesolidnych dłużnikach lub informacje te przekazywane byłyby za znacznym opóźnieniem lub w ograniczonym zakresie. W takim wypadku dochodziłoby również do całkowitego zniweczenia celu istnienia systemu BANKOWY REJESTR, który został ustawowo stworzony w celu zwiększenia ochrony przed nieuczciwymi kredytobiorcami, a ty samym w celu ochrony depozytów złożonych w bankach".

W dniu [...] października 2014 r. wpłynął wniosek Banku o ponowne rozpatrzenie sprawy zakończonej powyższą decyzją nakazującą zaprzestania przetwarzania danych osobowych M. K. w zakresie rachunków: nr [...], nr [...], nr [...], nr [...], nr [...] w systemie B[...] S.A. oraz w zbiorze o nazwie "Centralna Baza Danych Systemu BANKOWY REJESTR", prowadzonym przez ZBP, w trybie określonym w art. 105a ust. 3 ustawy Prawo bankowe.

Bank wskazał, że z uwagi na spełnienie warunków umożliwiających przetwarzanie danych skarżącego bez jego zgody, dane jego zostały przekazane do B[...] oraz ZBP na podstawie art. 105a ust. 3 Prawa bankowego. Bank powołał się na przesłane do Biura GIODO pisma z dnia [...] sierpnia 2013 r. oraz z dnia [...] lutego 2014r., w których wskazał, że zawiadomienia o zamiarze przetwarzania danych w B[...] oraz ZBP zostały wysłane do skarżącego odpowiednio w dniach: [...] maja 2011r., [...] czerwca 2011 r., [...] maja 2011 r., [...] maja 2011 r. oraz [...] czerwca 2011 r.

W celu wykazania powyższego Bank przedstawił w korespondencji z dnia [...] lutego 2014 r. ekstrakty z plików, wygenerowanych z aplikacji [...], w której archiwizowane są pliki dotyczące przedmiotowych zobowiązań oraz treść dokumentu, który kierowany był do klientów Banku w związku z realizacją obowiązku wynikającego z art. 105a ust. 3 ustawy Prawo bankowe, w tym również do skarżącego.

Bank wyjaśnił ponadto, że potwierdzeniem wysłanej korespondencji do klienta jest informacja z wykorzystywanej w Banku aplikacji [...], w której archiwizowane są pliki dotyczące zawiadomień o zamiarze przetwarzania danych klientów bez ich zgody po wygaśnięciu zobowiązań. Bank wskazał, iż w [...] w raportach [...] wygenerowanych określonego dnia przechowywane są dane klientów, u których wystąpiło opóźnienie w spłacie zobowiązania wskazane w art. 105a ust. 3 ustawy Prawo bankowe i do których Bank w związku z powyższym skierował zawiadomienia o zamiarze przetwarzania danych. Na podstawie przedmiotowych informacji przygotowywane są wydruki oraz wysyłka zawiadomień o zamiarze przetwarzania danych klientów bez ich zgody po wygaśnięciu zobowiązań przez podmiot zewnętrzny. Tekst danych umieszczanych w zawiadomieniu, jest generowany zgodnie z danymi zawartymi w [...]. Struktura danych generowanych w zawiadomieniu, wskazanych w piśmie Banku z dnia [...] lutego 2014 r., przedstawiona jest w formie tabeli złączonej do wniosku. Podmiot zewnętrzny realizuje wysyłkę listem zwykłym, zgodnie z umową w sprawie powierzenia czynności faktycznych związanych z działalnością bankową, łączącą go z Bankiem, zawartą w dniu [...] sierpnia 2010 r. Zgodnie z przedmiotową umową wydruk, zakopertowanie i dostarczenie operatorowi pocztowemu zawartości wszystkich przesłanych przez Bank plików następuje w terminie nie przekraczającym 1 dnia roboczego od dnia otrzymania przez wykonawcę plików zawierających dane do wydruku. W przypadku otrzymania danych po godz. 16:00 wykonawca ma nadać przesyłki w drugim dniu roboczym, licząc od dnia przekazania danych. W ocenie Banku, z powyższego wynika, że uprawdopodobnił on wysłanie pism do skarżącego zawierających zawiadomienie o zamiarze przetwarzania danych bez jego zgody po wygaśnięciu zobowiązania.

Za pismem z dnia [...] kwietnia 2015 r. do akt sprawy zostało załączone pismo Przewodniczącego Komisji Nadzoru Finansowego skierowane do GIODO w dniu [...] marca 2015 r., dotyczące interpretacji art. 105a ust. 3 ustawy Prawo bankowe.

Powołaną na wstępie decyzją z dnia [...] listopada 2015 r. nr [...] Generalny Inspektor utrzymał w mocy zaskarżoną decyzję.

W uzasadnieniu organ wskazał, iż kwestią rzutującą na całość powyższego postępowania jest treść art. 105a ust. 3 ustawy Prawo bankowe. Przepis ten stanowi, iż banki, instytucje oraz podmioty, o których mowa w ust. 1, mogą przetwarzać informacje stanowiące tajemnicę bankową i informacje udostępnione przez instytucje pożyczkowe oraz podmioty, o których mowa w art. 59d ustawy z dnia 12 maja 2011 r. o kredycie konsumenckim, dotyczące osób fizycznych po wygaśnięciu zobowiązania wynikającego z umowy zawartej z bankiem, inną instytucją ustawowo upoważnioną do udzielania kredytów, instytucją pożyczkową lub podmiotem, o którym mowa w art. 59d ustawy z dnia 12 maja 2011 r. o kredycie konsumenckim, bez zgody osoby, której informacje dotyczą, gdy osoba ta nie wykonała zobowiązania lub dopuściła się zwłoki powyżej 60 dni w spełnieniu świadczenia wynikającego z umowy zawartej z bankiem, inną instytucją ustawowo upoważnioną do udzielania kredytów, instytucją pożyczkową lub podmiotem, o którym mowa w art. 59d ustawy z dnia 12 maja 2011r. o kredycie konsumenckim, a po zaistnieniu tych okoliczności upłynęło co najmniej 30 dni od poinformowania tej osoby przez bank, inną instytucję ustawowo upoważnioną do udzielania kredytów, instytucję pożyczkową albo podmiot, o którym mowa w art. 59d ustawy z dnia 12 maja 2011 r. o kredycie konsumenckim, o zamiarze przetwarzania dotyczących jej tych informacji, bez jej zgody.

Organ stwierdził, iż z zebranego w sprawie materiału dowodowego wynika, że w zakresie spłaty zadłużenia skarżący dopuścił się zwłoki trwającej dłużej niż 60 dni w przypadku umów: nr 3, (nr [...]), nr 6 (nr [...]), nr 8 (nr [...]), nr 9 (nr [...]) i nr 11 (nr [...]). Jednakże sam fakt, że klient nie wykonał zobowiązania lub spóźnił się z jego wykonaniem co najmniej 60 dni, nie upoważnia Banku do przetwarzania jego danych na warunkach określonych w art. 105a ust. 3 ustawy Prawo bankowe. Klient musi bowiem zostać poinformowany o możliwości przetwarzania jego danych bez uzyskania od niego zgody. Dopiero bezskuteczny upływ 30 dni od momentu poinformowania stanowi wypełnienie przesłanek zawartych w ww. przepisie. Moment, od którego należy liczyć 60-dniowy termin, w którym konsument dopuszcza się zwłoki w wykonaniu zobowiązania, to termin wykonania zobowiązania. Dopiero po upływie 60 dni zaczyna biec 30-dniowy termin, w którym instytucja jeszcze oczekuje na wykonanie zobowiązania klienta. Termin 30-dniowy nie biegnie jednak ex lege, a dopiero od momentu, w którym konsument zostanie skutecznie poinformowany przez instytucję o zamiarze przetwarzania. Z powyższego wynika zatem, że aby przetwarzać dane klienta na warunkach określonych w ww. przepisie, Bank musi dysponować dowodem, że osoba, której dane dotyczą, została poinformowana o zamiarze przetwarzania ich bez jej zgody, a nie - jak podnosi Związek Banków Polskich - że to skarżący powinien udowodnić, że nie został poinformowany.

Generalny Inspektor wskazał, iż w niniejszej sprawie istotnym jest fakt, iż Bank nie spełnił wobec skarżącego obowiązku określonego w art. 105a pkt 3 ustawy Prawo bankowe, tj. nie poinformował go skutecznie o zamiarze przetwarzania dotyczących go informacji stanowiących tajemnicę bankową, bez jego zgody po wygaśnięciu zobowiązań wynikających z umów nr 3, 6, 8, 9 i 11.

Organ podkreślił, iż ustawodawca posługując się terminem "poinformowanie" miał na myśli skuteczne przekazanie klientowi informacji o zamiarze przetwarzania dotyczących go informacji, stanowiących tajemnicę bankową. Nie oznacza to, że z ww. przepisu wynika obowiązek wysyłania korespondencji za zwrotnym potwierdzeniem odbioru. Jednakże dowód w postaci wygenerowanego systemowo potwierdzenia skierowania do skarżącego określonego pisma nie przesądza o zapoznaniu się skarżącego z treścią tego pisma, a tym samym nie jest jednoznaczne ze skutecznym poinformowaniem skarżącego o zamiarze przetwarzania dotyczących go danych osobowych, w tym przekazaniem ich do B[...], czy ZBP. Za dowód w sprawie nie można również uznać powoływanych przez Bank ekstraktów z plików wygenerowanych z aplikacji [...], w której archiwizowane są pliki dotyczące przedmiotowych zobowiązań, ani treści dokumentu, który kierowany był do klientów

Banku w związku z realizacją obowiązku wynikającego z art. 105a ust. 3 ustawy Prawo bankowe.

W powyższym przypadku Bank nie udowodnił, czy a jeśli tak to kiedy, skarżący otrzymał pisma zawierające informacje o zamiarze przetwarzania danych osobowych bez jego zgody. Wskazał jedynie, kiedy wysyłka korespondencji nastąpiła (w dniach [...] maja 2011 r., [...] czerwca 2011 r., [...] maja 2011 r., [...] maja 2011 r. oraz [...] czerwca 2011 r.), co nie przesądza o jej odebraniu i zapoznaniu się z nią przez skarżącego. W związku z powyższym organ nie mógł uznać, że skarżący został skutecznie poinformowany przez Bank o zamiarze przetwarzania dotyczących go danych bez jego zgody, w tym o udostępnieniu tych danych do B[...] i ZBP.

Organ zaznaczył, iż przesłany przez Bank wzór dokumentu, który został skierowany do skarżącego w związku z realizacją obowiązku wynikającego z art. 105a ust. 3 ustawy Prawo bankowe, stanowi przykład korespondencji generowanej przez Bank. Nie jest natomiast dowodem, że Bank wypełnił wobec skarżącego ww. obowiązek. Pismo to nie zawiera bowiem żadnych danych osobowych skarżącego, w szczególności imienia, nazwiska i adresu, ponadto nie zostało opatrzone datą.

Organ przywołał również treść pisma Przewodniczącego Komisji Nadzoru Finansowego z dnia [...] marca 2015 r., dotyczącego interpretacji art. 105a ust. 3 Prawa bankowego. W treści powyższego pisma została wyrażona opinia Komisji, zgodnie z którą "poinformowanie" nie będzie stanowiło oświadczenia woli, gdyż samo w sobie nie wywołuje skutków prawnych w sferze cywilnoprawnej i jest jedynie jednym z warunków, które muszą być spełnione, aby bank mógł przetwarzać informacje stanowiące tajemnicę bankową w wypadku, w którym mowa w art. 105a ust. 1 pkt 3 ustawy Prawo bankowe. Tym samym, zdaniem Komisji, "uprawnione wydaje się stanowisko, że skuteczny będzie każdy rodzaj poinformowania, na skutek którego klient banku będzie mógł zapoznać się z jego treścią, przy czym w interesie banku leży, aby odbyło się to w sposób, który umożliwi łatwe wykazanie skutecznego poinformowania w przypadku ewentualnego późniejszego sporu".

W ocenie Generalnego Inspektora, za dowody potwierdzające realizację przez Bank obowiązku wynikającego z art. 105a ust. 3 ustawy Prawo bankowe nie mogą być też uznane: wydruk dokumentu elektronicznego i tabela - załączone do wniosku o ponowne rozpatrzenie sprawy. Za dowód taki nie może być również uznana informacja określona przez Bank jako: "ekstrakty z plików wygenerowanych z aplikacji [...], w której archiwizowane są pliki dotyczące przedmiotowych zawiadomień". Struktura wygenerowanych plików zawiera wprawdzie informację w zakresie imienia, nazwiska, adresu zamieszkania skarżącego oraz dat generacji ww. pism, jednakże nie można na jej podstawie uznać, że warunki, o których mowa w art. 105a ust. 3 ustawy Prawo bankowe, zostały spełnione. Zatem nadal istnieje tylko oświadczenie Banku o wypełnieniu wobec skarżącego ww. obowiązku informacyjnego. Brak jest natomiast dowodów na rzeczywiste spełnienie tego obowiązku. W niniejszym przypadku Bank nie dysponuje bowiem nawet dowodem wysyłki informacji do skarżącego, ani też dowodem jej doręczenia i umożliwienia skarżącemu zapoznania się z jej treścią.

Odnosząc się zaś do argumentacji ZBP, iż "dochodziłoby do całkowitego zniweczenia celu istnienia systemu BANKOWY REJESTR, który został ustawowo stworzony w celu zwiększenia ochrony przed nieuczciwymi kredytobiorcami, a tym samym w celu ochrony depozytów złożonych w bankach", organ zwrócił uwagę, iż Bank nie może wykorzystywać swojej pozycji dominującej w relacjach bank - klient.

Podsumowując Generalny Inspektor wskazał, iż w niniejszej sprawie nie zostały spełnione przesłanki z art. 105a ust 3 ustawy Prawo bankowe, warunkujące przetwarzanie informacji stanowiących tajemnicę bankową, dotyczące osób fizycznych po wygaśnięciu zobowiązania wynikającego z umowy bez ich zgody. Z tego względu Generalny Inspektor nakazał Bankowi zaprzestanie przetwarzania danych osobowych skarżącego przez B[...] i ZBP w celu oceny zdolności kredytowej i analizy ryzyka kredytowego. Wskazał, iż stosownie do art. 18 ust. 1 pkt 6 u.o.d.o., w przypadku naruszenia przepisów o ochronie danych osobowych, organ z urzędu lub na wniosek osoby zainteresowanej, w drodze decyzji administracyjnej, nakazuje przywrócenie stanu zgodnego z prawem, w szczególności poprzez usunięcie danych osobowych.

Organ stwierdził, iż bez wpływu na powyższe stanowisko pozostają okoliczności przedstawione przez Bank we wniosku o ponowne rozpatrzenie sprawy oraz załączone do niego pisma, a także argumentacja ZBP.

Jednocześnie Generalny Inspektor podtrzymał zaskarżoną decyzję w zakresie przetwarzania przez Bank danych osobowych skarżącego w B[...] w związku z jego zobowiązaniami wynikającymi z umów nr 1, 2, 5, 7, 10, 12. Obecnie proces przetwarzania danych osobowych skarżącego w tym zakresie przez Bank w B[...] realizowany jest w oparciu o art. 23 ust. 1 pkt 2 u.o.d.o. w zw. z art. 105a ust. 4 i 5 ustawy Prawo bankowe, zatem w celu stosowania metod statystycznych. Powyższe nie zostało zanegowane w zarzutach wniosków o ponowne rozpatrzenie sprawy.

Oceniając zaś podstawę prawną przetwarzania danych osobowych skarżącego przez Bank w B[...] w związku z jego zobowiązaniem wynikającym z umowy nr 4, organ wskazał, iż informacje o tym zobowiązaniu nie są przetwarzane w B[...]. Odnośnie zaś oceny legalności przetwarzania przez Bank w B[...] danych osobowych skarżącego w związku z umową nr 13 organ wskazał, iż z informacji przekazanych przez B[...] wynika, że aktualnie jest to przetwarzanie w celu stosowania metod statystycznych, na podstawie art. 105a ust. 4 i 5 ustawy Prawo bankowe, co znajduje uzasadnienie w przesłane legalizującej przetwarzanie danych osobowych, o której mowa w art. 23 ust. 1 pkt 2 u.o d.o.

Powyższa decyzja Generalnego Inspektora z dnia [...] listopada 2015 r. stała się przedmiotem skargi P. S. A. z siedzibą w [...] do Wojewódzkiego Sądu Administracyjnego w Warszawie. Bank zarzucił w skardze:

1) naruszenie art. 75 § 1 k.p.a. poprzez nieprzeprowadzenie dowodu z dokumentacji przedłożonej do akt sprawy przez Bank, w tym w szczególności ze wzoru dokumentu, który w 2011 r. kierowany był do klientów Banku w związku z realizacją obowiązku wynikającego art. 105a ust. 3 Prawa bankowego oraz z ekstraktu z pliku wygenerowanego z aplikacji bankowej [...], podczas gdy przeprowadzenie dowodu z tych dokumentów umożliwiłoby prawidłowe ustalenie, że M. K. był skutecznie i prawidłowo zawiadomiony przez Bank o możliwości przetwarzania należących do niego danych osobowych na podstawie art. 105a ust. 3 ustawy Prawo bankowe, a w konsekwencji wydanie decyzji administracyjnej w oparciu o niekompletny materiał dowodowy w sprawie,

2) naruszenie art. 7, art. 77 § 1 i art. 80 k.p.a. poprzez przekroczenie granic swobodnej oceny dowodów - dowolną ocenę zebranego w sprawie materiału dowodowego, to jest błędne przyjęcie, iż złożone przez M. K. dokumenty i oświadczenia są wystarczające do przyjęcia, że Bank przetwarza należące do niego dane osobowe w sposób sprzeczny z dyspozycją art. 105a ust. 3 ustawy Prawo bankowe, podczas gdy z całokształtu materiału dowodowego przedstawionego w sprawie jednoznacznie wynika, że Bank jest podmiotem uprawnionym do przetwarzania tychże danych wobec spowodowania przez kredytobiorcę zadłużenia związanego z zawartymi z Bankiem umowami kredytowymi i zawiadomienia go o możliwości przetwarzania tychże danych, dokonanego z zachowaniem przewidzianych prawem terminów,

3) naruszenie art. 107 k.p.a. poprzez niedokonanie w uzasadnieniu decyzji analizy i oceny całokształtu materiału dowodowego, a w szczególności brak wskazania, jakie fakty organ uznał za udowodnione lub nieudowodnione, na jakich dowodach - poza twierdzeniami M. K. - oparł rozstrzygnięcie i dlaczego nie uznał dowodów przeciwnych, w szczególności wzoru dokumentu, który w 2011 r. kierowany był do klientów Banku w związku z realizacją obowiązku wynikającego z art. 105a ust. 3 ustawy Prawo bankowe oraz ekstraktu z pliku wygenerowanego z aplikacji bankowej [...], ograniczając się wyłącznie do arbitralnych stwierdzeń oraz powtórzenia w uzasadnieniu zaskarżonej decyzji konkluzji z decyzji z dnia [...] października 2014 r., co skutkowało sprzecznością ustaleń organu z treścią zebranego w sprawie materiału dowodowego oraz brakiem możliwości weryfikacji procesu podejmowania przez organ rozstrzygnięć w niniejszej sprawie,

3) naruszenie art. 8 i 107 § 3 k.p.a. poprzez nienależyte uzasadnienie zaskarżonej decyzji z uwagi na zawarcie w nim zbyt ogólnych stwierdzeń, brak precyzyjnego wyjaśnienia podstawy faktycznej i prawnej tej decyzji, co uniemożliwia właściwe zapoznanie się z motywami działania organu administracji, zrozumienie tych motywów, a w rezultacie ustosunkowanie się do nich w sposób rzeczowy i wyczerpujący, co uniemożliwia realizację zasady pogłębiania zaufania obywateli do organów państwa.

W związku z powyższymi zarzutami Bank wniósł o uchylenie w całości zaskarżonej decyzji oraz poprzedzającej ją decyzji z dnia [...] października 2014 r., zasądzenie kosztów postępowania według norm przepisanych oraz wstrzymanie wykonania zaskarżonej decyzji.

W motywach skargi Bank podkreślił, iż przedstawił w korespondencji z dnia [...] lutego 2014 r. ekstrakty z plików, wygenerowanych z aplikacji [...], w której archiwizowane są pliki dotyczące przedmiotowych w sprawie zobowiązań oraz treść dokumentu, który kierowany był do klientów Banku w związku z realizacją obowiązku wynikającego z art. 105a ust. 3 ustawy Prawo bankowe, w tym również do M. K. Bank wyjaśnił ponadto, że potwierdzeniem wysłanej korespondencji do klienta jest informacja z wykorzystywanej w Banku aplikacji [...], w której archiwizowane są pliki, dotyczące zawiadomień o zamiarze przetwarzania danych klientów, bez ich zgody po wygaśnięciu zobowiązań. W [...] w raportach [...] wygenerowanych określonego dnia przechowywane są dane klientów, u których wystąpiło opóźnienie w spłacie zobowiązania wskazane w art. 105a ust. 3 ustawy Prawo bankowe i do których Bank w związku z powyższym skierował zawiadomienia o zamiarze przetwarzania danych. Na podstawie przedmiotowych informacji przygotowywane zostały wydruki zawiadomień o zamiarze przetwarzania danych klientów bez ich zgody po wygaśnięciu zobowiązań przez podmiot zewnętrzny. Tekst danych umieszczanych w zawiadomieniu jest generowany zgodnie z danymi zawartymi w [...]. Struktura danych generowanych w zawiadomieniu, wskazanych w piśmie P. S.A. z dnia [...] lutego 2014 r. przedstawiona została w formie tabeli załączonej do wniosku. Podmiot zewnętrzny realizuje wysyłkę listem zwykłym, zgodnie z łączącą go z Bankiem umową w sprawie powierzenia czynności faktycznych związanych z działalnością bankową, zawartą w dniu [...] sierpnia 2010 r. Umowa ta stanowi, iż wydrukowanie, zakopertowanie i dostarczenie operatorowi pocztowemu zawartości wszystkich przesłanych przez Bank plików następuje w terminie nie przekraczającym 1 dnia roboczego od dnia otrzymania przez wykonawcę plików zawierających dane do wydruku. W przypadku otrzymania danych po godz. 16 wykonawca ma nadać przesyłki w drugim dniu roboczym, licząc od dnia przekazania danych. Powyższe oznacza, że Bank uprawdopodobnił wysłanie do M. K. pism zawierających zawiadomienie o zamiarze przetwarzania danych bez jego zgody po wygaśnięciu zobowiązania.

Bank zarzucił, iż Generalny Inspektor odmówił uznania za dowód w sprawie wzoru dokumentu, który w 2011 r. kierowany był do klientów Banku w związku z realizacją obowiązku informacyjnego wynikającego z art. 105a ust. 3 ustawy Prawo bankowe oraz ekstraktu z pliku wygenerowanego z aplikacji [...]. Bank zaznaczył, iż dokument elektroniczny posiada moc prawną równą dokumentowi sporządzonemu w formie papierowej. Natomiast z zaskarżonej decyzji wynika, że w ocenie Generalnego Inspektora dokumenty elektroniczne przedstawione przez Bank nie stanowią dokumentów na gruncie k.p.a. Stanowisko to stoi w sprzeczności z art. 8 ustawy z dnia 18 września 2011 r. o podpisie elektronicznym.

Bank podkreślił, iż aplikacje bankowe prowadzone są m.in. w celu prawidłowego wykonywania czynności bankowych i wprowadzanie do niej fałszywych danych mogłoby narazić Bank na utratę korzyści materialnych albo brak zaufania ze strony obecnych, jak również potencjalnych klientów. Bank, jako profesjonalny podmiot prawny prowadzący działalność gospodarczą, zobowiązany jest do zachowania należytej staranności w zakresie wykonywanej działalności. W świetle zasad doświadczenia życiowego i logiki należy uznać, że skoro dane klienta znajdują w się w elektronicznym systemie Banku, w którym archiwizowane są dane dotyczące wysyłanej do klientów korespondencji, to takowa wysyłka została wykonana. Tym samym dołączone do akt sprawy wydruki wygenerowane z systemu bankowego należy uznać za materiał dowodowy, pozwalający na podjęcie merytorycznych rozstrzygnięć w sprawie i świadczący o skutecznym zawiadomieniu M. K. o możliwości przetwarzania należących do niego danych osobowych bez jego zgody.

Bank zarzucił również, że wydając zaskarżoną decyzję organ oparł ustalenia faktyczne na oświadczeniu M. K. dotyczącym nieprawidłowości w procesie przetwarzania jego danych osobowych, które to oświadczenie nie zostało poparte żadnym należytym dowodem. W szczególności M. K. nie wykazał, że nie została mu doręczona korespondencja zawierająca informację Banku o możliwości przetwarzania należących do niego danych osobowych. Bank zaznaczył, iż to M. K. był podmiotem wywodzącym skutki prawne z udowodnienia ww. okoliczności. Tym samym był on także podmiotem obowiązanym do przeprowadzenia dowodu na poparcie przytoczonych przez siebie okoliczności.

W odpowiedzi na skargę Generalny Inspektor Ochrony Danych Osobowych wniósł o oddalenie skargi jako nieuzasadnionej, podtrzymując dotychczasowe stanowisko w sprawie

Postanowieniem z dnia 28 października 2015 r., sygn. akt II SA/Wa 1713/15 Wojewódzki Sąd Administracyjny w Warszawie odmówił wstrzymania wykonania zaskarżonej decyzji.

Obecny na rozprawie w dniu 26 sierpnia 2016 r. pełnomocnik uczestnika postępowania - Związku Banków Polskich - poparł zarzuty i wnioski podniesione w skardze.

Wojewódzki Sąd Administracyjny w Warszawie zważył, co następuje:

Zgodnie z przepisem art. 1 § 1 ustawy z dnia 25 lipca 2002 r. - Prawo o ustroju sądów administracyjnych (Dz. U. z 2014 r., poz. 1647), dalej: "p.u.s.a.", sądy administracyjne sprawują wymiar sprawiedliwości m.in. przez kontrolę działalności administracji publicznej, przy czym w świetle § 2 powołanego wyżej artykułu, kontrola ta jest sprawowana pod względem zgodności z prawem, jeżeli ustawy nie stanowią inaczej. Stosownie do treści art. 134 § 1 ustawy z dnia 30 sierpnia 2002 r. - Prawo o postępowaniu przed sądami administracyjnymi (Dz. U. z 2016 r., poz. 718 ze zm.), dalej: "p.p.s.a.", sąd rozstrzyga w granicach danej sprawy nie będąc związany zarzutami i wnioskami skargi oraz powołaną podstawą prawną. Sąd nie może wydać orzeczenia na niekorzyść skarżącego, chyba że stwierdzi naruszenie prawa skutkujące stwierdzeniem nieważności zaskarżonego aktu lub czynności (§ 2).

W ocenie Sądu, skarga oceniana w świetle powyższych kryteriów nie zasługuje na uwzględnienie, albowiem zaskarżona decyzja Generalnego Inspektora Ochrony Danych Osobowych z dnia [...] listopada 2015 r. oraz poprzedzająca ją decyzja z dnia [...] października 2014 r. nie naruszają prawa.

Na wstępie wskazać należy, iż zadaniem ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (tekst jedn. Dz. U. z 2014 r., poz. 1182 ze zm.) nie jest jedynie stanie na straży interesów tych, których przetwarzane dane osobowe dotyczą. Naczelną zasadą ustawy nie jest też zakaz przetwarzania danych osobowych, lecz przestrzeganie zakresu i trybu ich przetwarzania. W art. 1 u.o.d.o. stwierdza się bowiem, że przetwarzanie danych osobowych może mieć miejsce, jeżeli służy to dobru publicznemu, dobru osoby, której dane dotyczą lub dobru osób trzecich. Ochrona danych osobowych, na podstawie przepisów powołanej ustawy, nie powinna być oderwana od przepisów służących ochronie innych wartości.

Przepis art. 12 pkt 1 i 2 u.o.d.o. stanowi, iż organem powołanym do kontroli zgodności przetwarzania danych z przepisami ustawy o ochronie danych osobowych jest Generalny Inspektor Ochrony Danych Osobowych, którego zadaniem jest m.in. wydawanie decyzji administracyjnych i rozpatrywanie skarg w sprawach wykonania przepisów o ochronie danych osobowych. W przypadku naruszenia przepisów o ochronie danych osobowych Generalny Inspektor z urzędu lub na wniosek osoby zainteresowanej, w drodze decyzji administracyjnej, nakazuje przywrócenie stanu zgodnego z prawem, a w szczególności usunięcie danych osobowych (art. 18 ust. 1 pkt 6 u.o.d.o.)

Stosownie do treści art. 7 pkt 2 u.o.d.o., przez przetwarzanie danych osobowych rozumie się jakiekolwiek operacje wykonywane na danych osobowych, takie jak zbieranie, utrwalanie, przechowywanie, opracowywanie, zmienianie, udostępnianie i usuwanie, a zwłaszcza te, które wykonuje się w systemach informatycznych.

Z kolei w art. 23 § 1 u.o.d.o. zostały wymienione przesłanki legalizujące przetwarzanie danych osobowych. Zgodnie z treścią tego przepisu przetwarzanie danych jest dopuszczalne tylko wtedy, gdy: (1) osoba, której dane dotyczą, wyrazi na to zgodę, chyba że chodzi o usunięcie dotyczących jej danych, (2) jest to niezbędne dla zrealizowania uprawnienia lub spełnienia obowiązku wynikającego z przepisu prawa, (3) jest to konieczne do realizacji umowy, gdy osoba, której dane dotyczą, jest jej stroną lub gdy jest to niezbędne do podjęcia działań przed zawarciem umowy na żądanie osoby, której dane dotyczą, (4) jest niezbędne do wykonania określonych prawem zadań realizowanych dla dobra publicznego, (5) jest to niezbędne dla wypełnienia prawnie usprawiedliwionych celów realizowanych przez administratorów danych albo odbiorców danych, a przetwarzanie nie narusza praw i wolności osoby, której dane dotyczą.

Cytowany powyżej przepis ustawy określa ogólne materialne przesłanki przetwarzania danych osobowych. Przesłanki te mają charakter generalny, odnoszą się do wszelkich form przetwarzania danych, w tym zarówno do przetwarzania "na własne potrzeby" administratora, jak i "na zewnątrz". Są one co do zasady równoprawne, mają charakter autonomiczny i niezależny, co oznacza, że wystarczy wystąpienie jednej z nich, by przetwarzanie danych mogło być uznane za usprawiedliwione. Oznacza to także, że zgoda osoby, której dane dotyczą, nie jest wyłączną przesłanką przetwarzania danych osobowych, (por. J. Barta, P. Fajgielski, R. Markiewicz "Ochrona danych osobowych. Komentarz.", publ. System Informacji Prawnej LEX 2015).

Aktem prawnym zawierającym szczegółowe regulacje dotyczące procesu przetwarzania danych osobowych klientów banków jest ustawa z dnia 27 sierpnia 1997r. - Prawo bankowe (Dz. U. z 2015 r., poz. 128 ze zm.).

Zgodnie z art. 105 ust. 4 tejże ustawy Banki mogą, wspólnie z bankowymi izbami gospodarczymi, utworzyć instytucje upoważnione do gromadzenia, przetwarzania i udostępniania: (1) bankom - informacji stanowiących tajemnicę bankową w zakresie, w jakim informacje te są potrzebne w związku z wykonywaniem czynności bankowych oraz w związku ze stosowaniem metod wewnętrznych oraz innych metod i modeli, o których mowa w części trzeciej rozporządzenia nr 575/2013; (2) innym instytucjom ustawowo upoważnionym do udzielania kredytów - informacji stanowiących tajemnicę bankową w zakresie, w jakim informacje te są niezbędne w związku z udzielaniem kredytów, pożyczek pieniężnych, gwarancji bankowych i poręczeń; (3) instytucjom kredytowym - informacji stanowiących tajemnicę bankową w zakresie niezbędnym do oceny zdolności kredytowej konsumenta, o której mowa w art. 9 ustawy z dnia 12 maja 2011 r. o kredycie konsumenckim; (4) instytucjom pożyczkowym i podmiotom, o których mowa w art. 59d ustawy z dnia 12 maja 2011 r. o kredycie konsumenckim - na zasadzie wzajemności, informacji stanowiących odpowiednio tajemnicę bankową oraz informacje udostępnione przez instytucje pożyczkowe oraz podmioty, o których mowa w art. 59d ustawy z dnia 12 maja 2011 r. o kredycie konsumenckim, w zakresie niezbędnym do oceny zdolności kredytowej konsumenta, o której mowa w art. 9 tej ustawy, i analizy ryzyka kredytowego.

Stosownie zaś do art. 105a ww. ustawy w brzmieniu obowiązującym w dacie wydania zaskarżonej decyzji, przetwarzanie przez banki, inne instytucje ustawowo upoważnione do udzielania kredytów oraz instytucje pożyczkowe oraz podmioty, o których mowa w art. 59d ustawy z dnia 12 maja 2011 r. o kredycie konsumenckim, w zakresie dotyczącym osób fizycznych może być wykonywane, z zastrzeżeniem art. 104, art. 105 i art. 106-106d, w celu oceny zdolności kredytowej i analizy ryzyka kredytowego (ust. 1). Z zastrzeżeniem ust. 3, instytucje, o których mowa w ust. 1, mogą przetwarzać informacje stanowiące tajemnicę bankową oraz informacje udostępnione przez instytucje pożyczkowe oraz podmioty, o których mowa w art. 59d ustawy z dnia 12 maja 2011 r. o kredycie konsumenckim, w zakresie dotyczącym osób fizycznych po wygaśnięciu zobowiązania wynikającego z umowy zawartej z bankiem, inną instytucją ustawowo upoważnioną do udzielania kredytów, instytucją pożyczkową lub podmiotem, o którym mowa w art. 59d ustawy z dnia 12 maja 2011 r. o kredycie konsumenckim, pod warunkiem uzyskania pisemnej zgody osoby, której informacje te dotyczą, z zastrzeżeniem ust. 2a. Zgoda ta może być w każdym czasie odwołana (ust. 2). Zgoda osoby może być także wyrażona w postaci elektronicznej. W takim przypadku banki, instytucje oraz podmioty, o których mowa w ust. 1, obowiązane są do utrwalania wyrażonej w ten sposób zgody na informatycznym nośniku danych w rozumieniu art. 3 pkt 1 ustawy z dnia 17 lutego 2005 r. o informatyzacji działalności podmiotów realizujących zadania publiczne (ust. 2a). Banki, instytucje oraz podmioty, o których mowa w ust. 1, mogą przetwarzać informacje stanowiące tajemnicę bankową i informacje udostępnione przez instytucje pożyczkowe oraz podmioty, o których mowa w art. 59d ustawy z dnia 12 maja 2011 r. o kredycie konsumenckim, dotyczące osób fizycznych po wygaśnięciu zobowiązania wynikającego z umowy zawartej z bankiem, inną instytucją ustawowo upoważnioną do udzielania kredytów, instytucją pożyczkową lub podmiotem, o którym mowa w art. 59d ustawy z dnia 12 maja 2011 r. o kredycie konsumenckim, bez zgody osoby, której informacje dotyczą, gdy osoba ta nie wykonała zobowiązania lub dopuściła się zwłoki powyżej 60 dni w spełnieniu świadczenia wynikającego z umowy zawartej z bankiem, inną instytucją ustawowo upoważnioną do udzielania kredytów, instytucją pożyczkową lub podmiotem, o którym mowa w art, 59d ustawy z dnia 12 maja 2011r. o kredycie konsumenckim, a po zaistnieniu tych okoliczności upłynęło co najmniej 30 dni od poinformowania tej osoby przez bank, inną instytucję ustawowo upoważnioną do udzielania kredytów, instytucję pożyczkową albo podmiot, o którym mowa w art. 59d ustawy z dnia 12 maja 2011 r. o kredycie konsumenckim, o zamiarze przetwarzania dotyczących jej tych informacji, bez jej zgody (ust. 3). Banki oraz instytucje, o których mowa w art. 105 ust. 4, mogą przetwarzać stanowiące tajemnicę bankową informacje dotyczące osoby fizycznej po wygaśnięciu zobowiązania wynikającego z umowy zawartej z bankiem lub inną instytucją ustawowo upoważnioną do udzielania kredytów bez zgody osoby, której informacje dotyczą, do celów stosowania metod wewnętrznych oraz innych metod i modeli, o których mowa w części trzeciej rozporządzenia nr 575/2013 (ust. 4). Przetwarzanie informacji stanowiących tajemnicę bankową w przypadkach, o których mowa w ust. 3, może być wykonywane przez okres nie dłuższy niż 5 lat od dnia wygaśnięcia zobowiązania, a w przypadku, o którym mowa w ust. 4, przez okres 12 lat od dnia wygaśnięcia zobowiązania (ust. 5).

W niniejszej sprawie, na skutek skargi M. K. na nieprawidłowości w procesie przetwarzania jego danych osobowych przez P. S.A., Generalny Inspektor nakazał zaprzestania przetwarzania przez Bank ww. danych w systemie B[...] S.A. oraz w zbiorze o nazwie "Centralna Baza Danych Systemu BANKOWY REJESTR", prowadzonym przez Związek Banków Polskich, w trybie art. 105a ust. 3 ustawy Prawo bankowe. Organ stwierdził bowiem, że Bank nie spełnił, wynikającego z ww. przepisu, obowiązku informacyjnego, warunkującego przetwarzanie informacji stanowiących tajemnicę bankową dotyczących osoby fizycznej po wygaśnięciu zobowiązania wynikającego z umowy, bez jej zgody.

Stanowisko organu, zdaniem Sądu w składzie orzekającym, jest prawidłowe.

Zaznaczyć należy, że informacje zawarte w B[...] i ZBP (instytucjach utworzonych na podstawie art. 105 ust. 4 ustawy Prawo bankowe) służyć mają wypełnianiu przez banki - jako instytucje zaufania publicznego - ich ustawowych obowiązków związanych z koniecznością dokładania szczególnej staranności w zakresie zapewnienia bezpieczeństwa przechowywanych środków pieniężnych, czyli w zakresie ochrony depozytów (art. 50 ust. 2 ww. ustawy), a także z koniecznością należytego badania zdolności kredytowej, od której istnienia (zgodnie z art. 70 ust. 1 ww. ustawy) bank uzależnia udzielenie kredytu.

W niniejszej sprawie przekazanie danych osobowych M. K. przez Bank do B[...] i ZBP w celu oceny zdolności kredytowej i analizy ryzyka kredytowego nastąpiło w trakcie trwania stosunków zobowiązaniowych wynikających z ww. umów, czyli zgodnie z przesłanką określoną w art. 23 ust. 1 pkt 2 u.o.d.o. w związku z art. 105a ust. 1 i art. 105 ust 4 ustawy Prawo bankowe. Dla legalności tego udostępnienia zgoda klienta nie była wymagana.

Zgromadzony w sprawie materiał dowodowy wskazuje, iż w zakresie spłaty zadłużenia M. K. dopuścił się zwłoki trwającej dłużej niż 60 dni w przypadku umów: nr 3 (nr rachunku [...]), nr 6 (nr rachunku [...]), nr 8 (nr rachunku [...]), nr 9 (nr rachunku [...]), nr 11 (nr rachunku [...]).

Jednakże okoliczność, że klient nie wykonał zobowiązania lub popadł w zwłokę w jego wykonaniu, trwającą co najmniej 60 dni, nie upoważnia Banku do przetwarzania jego danych na warunkach określonych w art. 105a ust. 3 ustawy Prawo bankowe. Klient musi bowiem zostać poinformowany o możliwości przetwarzania jego danych bez uzyskania od niego zgody. Dopiero bezskuteczny upływ 30 dni od momentu poinformowania stanowi wypełnienie przesłanek z ww. przepisu. Moment, od którego należy liczyć 60-dniowy termin, w którym klient dopuszcza się zwłoki w wykonaniu zobowiązania, to termin niewykonania zobowiązania. Dopiero po upływie 60 dni zaczyna biec 30-dniowy termin, w którym instytucja jeszcze oczekuje na wykonanie zobowiązania klienta. Termin 30-dniowy nie biegnie jednak ex lege, a dopiero od momentu, w którym klient zostanie skutecznie poinformowany przez Bank o zamiarze przetwarzania jego danych osobowych. Aby zatem przetwarzać dane klienta na warunkach określonych w ww. przepisie, Bank musi dysponować dowodem, że osoba, której dane dotyczą, została poinformowana o zamiarze przetwarzania ich - bez jej zgody. Przy czym to na Banku, jako administratorze danych osobowych, spoczywa ciężar udowodnienia, że obowiązek informacyjny względem klienta, wynikający z ww. przepisu, został dopełniony.

Zgodzić należy się z organem, że w rozpoznawanej sprawie Bank nie wykazał, że dopełnił określonego w art. 105a ust. 3 ustawy Prawo bankowe obowiązku poinformowania M. K. o zamiarze przetwarzania dotyczących go informacji stanowiących tajemnicę bankową, wynikających z ww. umów, bez jego zgody.

W toku postępowania skarżący Bank przedstawił materiały w postaci: danych z aplikacji [...] w postaci zrzutów z ekranów raportów [...] z dnia: [...] maja 2011r., [...] czerwca 2011 r., [...] maja 2011 r., [...] maja 2011 r. oraz [...] czerwca 2011 r., tabele obrazujące strukturę plików [...] oraz wydrukowany z systemu wzór zawiadomienia kierowanego do klientów w 2011 r. o zamiarze przetwarzania przez Bank informacji stanowiących tajemnicę bankową - nie wskazujący imiennie adresata, ani innych indywidualnych danych.

Powyższe materiały, jak wynika z uzasadnienia zaskarżonej decyzji, zostały poddane analizie i ocenie w toku postępowania administracyjnego, jednak jak trafnie stwierdził organ - nie wynika z nich fakt wykonania przez Bank w stosunku do M. K. obowiązku informacyjnego, o którym mowa w art. 105a ust. 3 ustawy Prawo Bankowe.

Zgodzić należy się z organem, że z ww. materiałów oraz wyjaśnień Banku wynika jedynie to, że Bank archiwizuje, w postaci elektronicznych plików danych, informacje dotyczące klientów i ich zobowiązań, dla których zostało przekazane - firmie zewnętrznej działającej na podstawie umowy z Bankiem - zlecenie wysłania do klienta stosownej korespondencji. Brak jest natomiast dowodu, że w stosunku do M. K. taka korespondencja - informująca o zamiarze przetwarzania danych osobowych bez jego zgody - została w istocie wysłana i skutecznie doręczona. W tym zakresie zarówno oświadczenie Banku o przesłaniu listu zwykłego, jak i treść wzoru pisma (niespersonalizowanego) kierowanego we wskazanym okresie do klientów Banku - jak twierdzi Bank również do M. K. - jest niewystarczające. Analogicznie należy ocenić zrzuty z ekranów raportów [...] oraz tabele obrazujące strukturę plików wygenerowane z aplikacji [...]. Jest to bowiem jedynie wewnętrzna informacja Banku, z której wynika, że Bank w swoim systemie odznaczył skierowanie do M. K. korespondencji, co nie oznacza, że czynność ta faktycznie została wykonana oraz, że korespondencja dotarła do adresata w taki sposób, aby mógł on zapoznać się z jej treścią.

W tym miejscu zauważyć należy, iż z oświadczenia Banku zawartego we wniosku o ponowne rozpatrzenie sprawy wynika, że wysyłka zawiadomień o zamiarze przetwarzania danych klientów bez ich zgody po wygaśnięciu zobowiązania jest realizowana przez podmiot zewnętrzny listem zwykłym, zgodnie z zawartą z Bankiem umową z dnia [...] sierpnia 2010 r. w sprawie powierzenia czynności faktycznych związanych z działalnością bankową. Jednocześnie Bank nie wyjaśnił, w jaki sposób weryfikuje faktyczną realizację powyższych czynności. Abstrahując jednak od przyjętego przez Bank sposobu realizacji obowiązku informacyjnego z art. 105a ust. 3 ustawy Prawo bankowe, istotne w sprawie pozostaje to, że w niniejszej sprawie Bank nie wykazał, że przedmiotowe zawiadomienie o zamiarze przetwarzania danych osobowych M. K. przez Bank - bez jego zgody - zostało do niego wysłane, a przede wszystkim, że mógł on zapoznać się z jego treścią.

Warto zauważyć, iż na ten element, warunkujący wypełnienie obowiązku informacyjnego przez Bank, zwróciła również uwagę Komisja Nadzoru Finansowego w piśmie z dnia [...] marca 2015 r., skierowanym do Generalnego Inspektora. Komisja zaznaczyła, że "poinformowanie nie będzie stanowiło oświadczenia woli, gdyż samo z siebie nie wywołuje skutków prawnych w sferze cywilnoprawnej", a nadto, że "skuteczny będzie każdy rodzaj poinformowania, na skutek którego klient banku będzie mógł zapoznać się z jego treścią, przy czym w interesie banku leży, aby odbyło się to w taki sposób, który umożliwi łatwe wykazanie skutecznego poinformowania w przypadku ewentualnego późniejszego sporu".

W świetle powyższego, w ocenie Sądu uzasadnione jest twierdzenie organu, że skarżący Bank, jako administrator danych osobowych swego klienta, w przypadku przetwarzania tychże danych na podstawie art. 105a ust 3 ustawy Prawo bankowe, winien być zdolny do wykazania legitymacji do przekazania danych do B[...] S.A. oraz do zbioru "Centralna Baza Danych Systemu BANKOWY REJESTR" w postaci rzeczywistego spełnienia obowiązku informacyjnego. Wbrew twierdzeniom skargi, to na Banku spoczywa ciężar dowodu w zakresie wykazania poinformowania klienta o zamiarze przetwarzania jego danych osobowych - bez jego zgody. Nie można tym samym zgodzić się ze stanowiskiem Banku, że to M. K. winien wykazać, że nie została mu doręczona korespondencja zawierająca informację o zamiarze przetwarzania jego danych osobowych przez Bank, w sytuacji, gdy w skardze do Generalnego Inspektora zarzucił on nieprawidłowości w procesie przetwarzania jego danych osobowych przez Bank, zaś rzeczą organu było zbadanie legalności działań Banku w ww. zakresie - jak administratora danych.

Konkludując stwierdzić należy, iż w niniejszej sprawie Bank nie wykazał, że osoba, której dane dotyczą, została skutecznie poinformowana o zamiarze przetwarzania jej danych osobowych w trybie art. 105a ust 3 ustawy Prawo bankowe, zaś przeciwne w tym względzie stanowisko Banku nie znajduje faktycznego, ani prawnego uzasadnienia.

Nieuzasadnione są zarzuty skargi dotyczące naruszenia przepisów postępowania administracyjnego.

Przede wszystkim brak jest podstaw do uznania, że postępowanie to zostało przeprowadzone z naruszeniem reguł postępowania dowodowego, w tym art. 75 § 1, art. 77 § 1 i art. 80 k.p.a. Ustalenia faktyczne organu zostały bowiem dokonane w oparciu o całość materiału dowodowego, zgromadzonego i zbadanego w sposób wyczerpujący, a więc przy podjęciu wszelkich kroków niezbędnych do dokładnego wyjaśnienia okoliczności sprawy. Wbrew zarzutom skargi, organ nie odmówił mocy dowodowej dokumentom elektronicznym złożonym przez Bank do akt administracyjnych. Organ stwierdził natomiast, iż nie stanowią one dowodu na wypełnienie obowiązku informacyjnego Banku, o którym mowa w art. 105a ust. 3 ustawy Prawo bankowe. Zdaniem Sądu, ocena materiału dowodowego została dokonana przez organ zgodnie z zasadą swobodnej oceny dowodów i nie nosi cech dowolności. Organ przeanalizował wyjaśnienia skarżącego Banku oraz przesłane materiały, wziął również pod uwagę stanowisko M. K. trafnie uznając, iż istnieją podstawy do wydania decyzji nakazującej Bankowi zaprzestanie przetwarzania danych osobowych wyżej wymienionego w B[...] oraz w zbiorze Bankowy Rejestr zgodnie z art. 18 ust. 1 pkt 6 u.o.d.o.

Nie ma również zgodzić się z zarzutem skargi, iż zaskarżona decyzja została wydana z naruszeniem art. 107 § 3 k.p.a. Uzasadnienie rozstrzygnięcia spełnia bowiem wymogi określone w ww. przepisie. Zawiera ocenę zebranego w postępowaniu materiału dowodowego, wykładnię stosowanych przepisów oraz ocenę przyjętego stanu faktycznego w świetle obowiązującego prawa. Uzasadnienie zaskarżonej decyzji jest spójne wewnętrznie i logiczne, nie zawiera przy tym luk ani sprzeczności. Stąd nie jest trafny zarzut naruszenia wyrażonej w art. 8 k.p.a. zasady zaufania uczestników postępowania do organu władzy publicznej, poprzez brak zawarcia przekonującej argumentacji dla podjętego w sprawie rozstrzygnięcia.

Końcowo, mając na względzie żądanie skargi dotyczące uchylenia obu wydanych w sprawie decyzji w całości, Sąd zauważa, że organ prawidłowo ocenił kwestię przetwarzania danych osobowych M. K. w B[...] w związku z jego zobowiązaniami wynikającymi z umów nr 1, 2, 5, 7, 10, 12 wskazując, iż obecnie proces przetwarzania danych osobowych skarżącego w tym zakresie realizowany jest w oparciu o art. 23 ust. 1 pkt 2 u.o.d.o. w zw. z art. 105a ust. 4 i 5 ustawy Prawo bankowe, a zatem w celu stosowania metod statystycznych. Oceniając zaś podstawę prawną przetwarzania danych osobowych M. K. w związku z jego zobowiązaniem wynikającym z umowy nr 4, organ wskazał, iż informacje o tym zobowiązaniu nie są przetwarzane w B[...]. Odnośnie zaś oceny legalności przetwarzania danych osobowych ww. w związku z umową nr 13 organ stwierdził, iż z informacji przekazanych przez B[...] wynika, że aktualnie jest to przetwarzanie w celu stosowania metod statystycznych, na podstawie art. 105a ust. 4 i 5 ustawy Prawo bankowe, co znajduje uzasadnienie w przesłance legalizującej przetwarzanie danych osobowych, o której mowa w art. 23 ust. 1 pkt 2 u.o.d.o. Poczynione ustalenia skutkowały podjęciem przez organ prawidłowego rozstrzygnięcia o odmowie uwzględnienia wniosku M. K. w ww. zakresie.

W świetle powyższego, uznając iż zaskarżona decyzja nie narusza prawa, zaś zarzuty podniesione w skardze nie zasługują na uwzględnienie, Wojewódzki Sąd Administracyjny w Warszawie, na podstawie art. 151 p.p.s.a., orzekł jak w sentencji.