Centralna Baza Orzeczeń Sądów Administracyjnych

Wojewódzki Sąd Administracyjny w Warszawie w składzie następującym: Przewodniczący Sędzia WSA Adam Lipiński, Sędziowie WSA Maria Werpachowska (spr.), Iwona Dąbrowska, Protokolant specjalista Monika Gieroń, po rozpoznaniu na rozprawie w dniu 2 sierpnia 2018 r. sprawy ze skargi A. L. na decyzję Generalnego Inspektora Ochrony Danych Osobowych z dnia [...] października 2017 r. nr [...] w przedmiocie przetwarzania danych osobowych 1. uchyla zaskarżoną decyzję oraz poprzedzającą ją decyzję z dnia [...] kwietnia 2017 r., 2. zasądza od Prezesa Urzędu Ochrony Danych Osobowych na rzecz A. L. kwotę 697 (słownie: sześćset dziewięćdziesiąt siedem) złotych tytułem zwrotu kosztów postępowania.

Do Biura Generalnego Inspektora Ochrony Danych Osobowych wpłynęła skarga A.L. (dalej jako "skarżący") reprezentowanego przez pełnomocnika, na przetwarzanie jego danych osobowych przez Bank [...]. z siedzibą w [...] (dalej jako "Bank") oraz Biuro Informacji Kredytowej S.A. z siedzibą w [...] (zwane dalej "BIK").

W treści skargi pełnomocnik skarżącego wskazał, iż wezwał Bank do usunięcia wszelkich danych skarżącego, w tym dotyczących jego zobowiązań przetwarzanych przez Bank, oraz do złożenia skutecznego oświadczenia o usunięciu tychże danych, przetwarzanych przez BIK. Podkreślił, iż Bank odpowiedź na powyższe wezwanie przesłał na adres skarżącego, a nie działającego w jego imieniu pełnomocnika, i poinformował skarżącego, iż Bankowi przysługuje prawo do przetwarzania jego danych dotyczących zobowiązań w okresie 5 lat od ich spłaty, z uwagi na fakt, że w historii spłat tychże zobowiązań występowały zaległości. Jednocześnie w piśmie tym Bank potwierdził, iż w BIK widoczne są informacje dotyczące danych osobowych skarżącego powiązane z trzema produktami, ponadto do wyjaśnień Bank załączył kopię pism, które skierował do skarżącego informując go, o możliwości nabycia praw do przetwarzania jego danych osobowych bez jego zgody.

W związku ze stanowiskiem Banku pełnomocnik wskazał, iż ponowił żądanie usunięcia danych skarżącego, w odpowiedzi na ten wniosek Bank podtrzymał swoje stanowisko, wskazując zarazem że jego stanowisko w tym przedmiocie jest ostateczne.

W związku z powyższym pełnomocnik skarżącego wniósł do Generalnego Inspektora Ochrony Danych Osobowych o wydanie na podstawie art. 18 ust. 1 ustawy o ochronie danych osobowych decyzji, nakazującej bankowi [...] przywrócenie stanu zgodnego z prawem.

Generalny Inspektor Ochrony Danych Osobowych (dalej jako "Generalny Inspektor") przeprowadził postępowanie wyjaśniające, w toku którego ustalił, że dane osobowe skarżącego zostały przez Bank zebrane w związku z wnioskiem z dnia [...] marca 2009 r. o kartę kredytową potwierdzonym w dniu [..] marca 2009 r. zawartą umową o kartę kredytową [...] (numer umowy [...]), wnioskiem z dnia [...] czerwca 2009 r. o kartę kredytową potwierdzonym w dniu [...] czerwca 2009 r. zawartą umową o kartę [...] (numer umowy [...]), wnioskiem z dnia [...] sierpnia 2009 r. o pożyczkę gotówkową potwierdzoną, zawartą w dniu [...] sierpnia 2009 r. umową [...] nr [...] zaewidencjonowaną na rachunku nr [...].

W związku z opóźnieniem się skarżącego w spłacie zobowiązań z tytułu umowy o kartę kredytową [...], umowy o kartę [...] oraz umowy o [...], jak wyjaśnił Bank, podjął w stosunku do skarżącego działania windykacyjne tj. wysłał "wezwania do zapłaty" z dnia [...] października 2009 r. odnośnie wszystkich trzech rachunków.

Wobec niewywiązania się skarżącego ze spłaty zobowiązań z tytułu umowy o kartę kredytową [...], umowy o kartę [...], umowy o [...], jak wyjaśnił Bank, wysłał też do skarżącego pismo z informacją o zamiarze przetwarzania jego danych osobowych po wygaśnięciu zobowiązania bez jego zgody, jeżeli w terminie 30 dni nie ureguluje zaległych należności odpowiednio w dniu [...] marca 2010 r. odnośnie karty [...] i karty [...], w dniu [...] lutego 2010 r. odnośnie [...]. Okoliczność ta była kwestionowana przez skarżącego.

Bank załączył do wyjaśnień udzielonych Generalnemu Inspektorowi kopię ww. pism stanowiących informację o zamiarze przetwarzania danych osobowych skarżącego po wygaśnięciu zobowiązania bez jego zgody oraz zdjęcie z systemu [...] z widniejącą datą wygenerowania pism: z dnia [...] lutego 2010 r. oraz [...] marca 2010. Przy dacie [...] luty 2010 r., powiązanej z rachunkiem [...] oraz dwóch wpisach z [...] marca 2010 r. dotyczących poszczególnych kart kredytowych, na co wskazują odpowiednie numery rachunków, widniała adnotacja status [...]. Adnotacja ta według Banku oznaczała, że cyt. "(...) dokument został zatwierdzony i przekazany do wysłania do skarżącego - zgodnie z przyjętą w Banku procedurą".

W związku z brakiem spłaty zaległości, Bank wysłał do skarżącego "Ostateczne wezwanie do zapłaty" w dniu [...] marca 2010 r. w związku z rachunkiem [...] i [...] marca 2010 r. w związku z umowami o karty kredytowe, a następnie w dniu [...] maja 2010 r. wysłał oświadczenie o wypowiedzeniu umowy karty kredytowej [...], karty kredytowej [...] oraz [...] nr [...].

Bank przekazał, na podstawie art. 105 ust. 4 Prawa bankowego i "Umowy w sprawie gromadzenia, przetwarzania i udostępniania informacji" między Bankiem a BIK z dnia [...] września 2006 r., dane osobowe skarżącego do BIK dotyczące umowy karty kredytowej [...], umowy karty kredytowej [...] oraz [...] nr [...].

Ponadto Bank potwierdził, że wyrażona przez skarżącego zgoda na przetwarzanie i udostępnianie przez Bank i BIK jego danych osobowych została wycofana w dniu [...] grudnia 2014 r. BIK potwierdził, że przetwarza dane osobowe skarżącego powiązane z ww. rachunkami przekazane przez Bank w celu oceny zdolności kredytowej i analizy ryzyka kredytowego na podstawie art. 105a ust. 3 w związku z art. 105 ust. 4 Prawa bankowego. Rachunki mają status rachunków zamkniętych.

W wyniku przelewu wierzytelności na rzecz [...] zobowiązanie skarżącego wynikające z ww. umów wygasło w dniu [...] września 2014 r.

Generalny Inspektor Ochrony Danych Osobowych decyzją z dnia [...] kwietnia 2017 r. nr [...], na podstawie art. 104 § 1 ustawy z dnia 14 czerwca 1960 r. Kodeks postępowania administracyjnego (Dz. U. z 2017 r. poz. 1257 – dalej jako "k.p.a.") oraz art. 12 pkt 2, art. 22, art. 23 ust. 1 pkt 2 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. z 2016 r. poz. 922 – dalej jako "u.o.d.o.") w związku z art. 105 ust. 4 i art. 105a ust. 1 i 3 ustawy z dnia 29 sierpnia 1997 r. Prawo bankowe (Dz. U. z 2015 r. poz. 128 z późn. zm.), po przeprowadzeniu postępowania administracyjnego w sprawie skargi A. L. na przetwarzanie jego danych osobowych przez Bank oraz BIK, odmówił uwzględnienia wniosku.

Skarżący pismem z dnia [...] maja 2017 r. złożył wniosek o ponowne rozpatrzenie sprawy zakończonej ww. decyzją Generalnego Inspektora. We wniosku podniósł, że warunkiem sine qua non przetwarzania danych na podstawie art. 105 a ust. 3 ustawy Prawo bankowe jest poinformowanie osoby, której takie działanie miałoby dotyczyć, o zamiarze przetwarzania dotyczących jej informacji, bez jej zgody. Przetwarzanie danych może się odbyć najwcześniej po 30 dniach od dnia poinformowania zainteresowanego o tym fakcie przez administratora. Bank nie poinformował skuteczne skarżącego o zamiarze przetwarzania jego danych osobowych bez jego zgody, co oznacza, iż przetwarzał jego dane z naruszeniem prawa. Podkreślił przy tym, iż Bank nie załączył do akt sprawy żadnego nie budzącego wątpliwości dowodu spełnienia ww. obowiązku z art. 105a ust. 3 Prawa bankowego. Skarżący zaznaczył, że nie kwestionuje sposobu przetwarzania danych osobowych przez Bank, a osią sporu w sprawie nie jest to, czy jego dane osobowe przetwarzane przez Bank były należycie chronione.

Generalny Inspektor ochrony Danych Osobowych decyzją z dnia [...] października 2017 r. nr [...], na podstawie art. 138 § 1 pkt 1 k.p.a. w zw. z art. 12 pkt 2, art. 22, art. 23 ust. 1 pkt 2 u.o.d.o. w związku z art. 105 ust. 4 i art. 105a ust. 1 i 3 ustawy z dnia 29 sierpnia 1997 r. Prawo bankowe, utrzymał w mocy decyzję Generalnego Inspektora Ochrony Danych Osobowych z dnia [...] kwietnia 2017 r. nr [...].

Generalny Inspektor wskazał, że ustawa o ochronie danych osobowych określa zasady postępowania przy przetwarzaniu danych osobowych oraz prawa osób fizycznych, których dane osobowe są lub mogą być przetwarzane w zbiorach danych (art. 2 ust. 1 ustawy). W świetle przepisów powołanego aktu prawnego, przetwarzanie danych osobowych jest uprawnione, gdy spełniona zostanie którakolwiek z przesłanek wymienionych w art. 23 ust, 1 ustawy. Przesłanki te odnoszą się do wszelkich form przetwarzania danych wymienionych w art. 7 pkt 2 ustawy, w tym w szczególności do ich udostępnienia. Są także względem siebie równoprawne, co oznacza, że dla legalności procesu przetwarzania danych wystarczające jest spełnienie jednej z nich. Zgodnie natomiast z art. 23 ust. 1 pkt 2 ustawy, przetwarzanie danych osobowych jest dopuszczalne wtedy, gdy jest to niezbędne dla zrealizowania uprawnienia lub spełnienia obowiązku wynikającego z przepisu prawa. Tym samym, zgoda na przetwarzanie danych, o której mowa w art. 23 ust. 1 pkt 1 ustawy, nie jest jedyną przesłanką legalizującą proces przetwarzania danych osobowych.

Wskazał, że w niniejszej sprawie skarżący zakwestionował przetwarzanie jego danych osobowych przez Bank w celu oceny zdolności kredytowej i analizy ryzyka kredytowego po wygaśnięciu zobowiązania na podstawie art. 105a ust. 3 Prawa bankowego zarówno w systemach Banku jak i w BIK.

Podał, że aktem prawnym zawierającym szczegółowe regulacje dotyczące procesu przetwarzania danych osobowych klientów banków jest przede wszystkim ustawa Prawo bankowe. Dlatego ocena przetwarzania danych osobowych skarżącego przez ww. podmioty powinna być dokonywana w powiązaniu z przepisami tej ustawy. Odwołując się do ww. ustawy organ wskazał, iż BIK jest instytucją utworzoną na podstawie art. 105 ust. 4 Prawa bankowego.

Generalny Inspektor podał, że jak wynika ze zgromadzonego w sprawie materiału dowodowego przekazanie przez Bank do BIK danych osobowych skarżącego nastąpiło w związku z zawarciem z nim umów o kartę kredytową [...] numer umowy [...], kartę kredytową [...] numer umowy [...] oraz [...] nr [...] w czasie trwania wynikającego z tychże umów stosunku zobowiązaniowego, czyli na podstawie art. 23 ust. 1 pkt 2 ustawy w związku z art. 105 ust. 4 i art. 105a ust. 1 Prawa bankowego. Organ podkreślił, że dla legalności tego udostępnienia zgoda skarżącego nie była wymagana.

Zgodnie zaś z treścią art. 105a ust. 3 zarówno Bank jak i BIK mogą przetwarzać informacje stanowiące tajemnicę bankową i informacje udostępnione przez instytucje pożyczkowe oraz podmioty, o których mowa w art. 59d ustawy z dnia 12 maja 2011 r. o kredycie konsumenckim, dotyczące osób fizycznych po wygaśnięciu zobowiązania wynikającego z umowy zawartej z bankiem, inną instytucją ustawowo upoważnioną do udzielania kredytów, instytucją pożyczkową lub podmiotem, o którym mowa w art. 59d ustawy z dnia 12 maja 2011 r. o kredycie konsumenckim, bez zgody osoby, której informacje dotyczą, gdy osoba ta nie wykonała zobowiązania lub dopuściła się zwłoki powyżej 60 dni w spełnieniu świadczenia wynikającego z umowy zawartej z bankiem, inną instytucją ustawowo upoważnioną do udzielania kredytów, instytucją pożyczkową lub podmiotem, o którym mowa w art. 59d ustawy z dnia 12 maja 2011 r. o kredycie konsumenckim, a po zaistnieniu tych okoliczności upłynęło co najmniej 30 dni od poinformowania tej osoby przez bank, inną instytucję ustawowo upoważnioną do udzielania kredytów, instytucję pożyczkową albo podmiot, o którym mowa w art. 59d ustawy z dnia 12 maja 2011 r. o kredycie konsumenckim, o zamiarze przetwarzania dotyczących jej tych informacji, bez jej zgody. Natomiast w myśl art. 105a ust.4 Prawa bankowego banki oraz instytucje, o których mowa w art. 105 ust. 4, mogą przetwarzać stanowiące tajemnicę bankową informacje dotyczące osoby fizycznej po wygaśnięciu zobowiązania wynikającego z umowy zawartej z bankiem lub inną instytucją ustawowo upoważnioną do udzielania kredytów bez zgody osoby, której informacje dotyczą, do celów stosowania metod wewnętrznych oraz innych metod i modeli, o których mowa w części trzeciej rozporządzenia nr [...]. Stosownie do art. 105a ust. 5 Prawa bankowego przetwarzanie informacji stanowiących tajemnicę bankową w przypadkach, o których mowa w ust. 3, może być wykonywane przez okres nie dłuższy niż 5 lat od dnia wygaśnięcia zobowiązania, a w przypadku, o którym mowa w ust. 4, przez okres 12 lat od dnia wygaśnięcia zobowiązania. Zakres przetwarzanych informacji, o których mowa w ust. 3 i 4, może obejmować dane dotyczące osoby fizycznej lub dane dotyczące zobowiązania (ust. 6).

Przepis art. 105a ust. 3 Prawa bankowego stanowi szczególny przypadek dotyczący przetwarzania przez banki informacji stanowiących tajemnicę bankową, mianowicie - informacji dotyczących osób fizycznych po wygaśnięciu zobowiązania wynikającego z umowy zawartej z bankiem lub inną instytucją ustawowo upoważnioną do udzielania kredytów, bez zgody osoby, której informacje dotyczą.

Organ wskazał, że w stanie faktycznym niniejszej sprawy nie było wątpliwości co do tego, że zobowiązanie skarżącego, wynikające z umów o kartę kredytową o numerach umowy [...] i [...] oraz umowy [...] nr [...], skonsolidowanych następnie w trzech umowach ugody zawartych w dniu [...] lipca 2011 r., wygasło z dniem [...] września 2014 r. Jak wynika z przytoczonego wyżej art. 105a ust. 3 Prawa bankowego przedmiotowe przetwarzanie danych przez Bank może mieć miejsce jedynie wtedy, gdy łącznie zostaną spełnione następujące warunki: osoba ta nie wykonała zobowiązania lub dopuściła się zwłoki powyżej 60 dni w spełnieniu świadczenia wynikającego z umowy zawartej z bankiem lub inną instytucją ustawowo upoważnioną do udzielania kredytów, po zaistnieniu wyżej wymienionych okoliczności upłynęło co najmniej 30 dni od poinformowania tej osoby przez bank lub inną instytucję ustawowo upoważnioną do udzielania kredytów o zamiarze przetwarzania dotyczących jej informacji stanowiących tajemnicę bankową.

Jeżeli nie wystąpiły wyżej wymienione przesłanki, to bank może przetwarzać dane osobowe klienta po wygaśnięciu zobowiązania i w celu oceny ryzyka kredytowego i zdolności kredytowej wyłącznie za pisemną zgodą klienta na podstawie art. 105a ust. 2 Prawa bankowego. Bez zgody osoby fizycznej przetwarzanie informacji stanowiących tajemnicę bankową może być wykonywane przez okres nie dłuższy niż 5 lat od dnia wygaśnięcia zobowiązania.

W tym miejscu organ wskazał, że skarżący dopuścił się zwłoki powyżej 60 dni w spełnieniu zobowiązania wobec Banku wynikającego z ww. umów.

Podał, że po ponownym przeanalizowaniu materiału dowodowego zgromadzonego w sprawie Generalny Inspektor doszedł do wniosków analogicznych jak te zawarte w decyzji wydanej w pierwszej instancji.

Generalny Inspektor uznał za wiarygodne wyjaśnienia udzielone w sprawie przez Bank. Kluczową kwestią w legitymacji Banku do przetwarzania danych klienta na podstawie art. 105a ust. 3 Prawa bankowego jest wyłącznie poinformowanie go o zamiarze przetwarzania jego danych, przy czym w ocenie Generalnego Inspektora wystarczającymi dokumentami stwierdzającymi poinformowanie klienta o zamiarze wpisu do Biura Informacji Kredytowej, mogą być księgi/programy/aplikacje archiwizujące informacje na temat wysyłanej korespondencji. Odmienne podejście do tego zagadnienia i wymaganie by wierzyciel musiał udowodnić, że dłużnik odebrał korespondencję zdaniem organu ochrony danych osobowych mogłoby skutkować tym, że niesolidni dłużnicy, starający się uniemożliwić skuteczne dochodzenie roszczenia, nagminnie uchylaliby się od odebrania przesyłek i w rezultacie nie dochodziłoby do przekazania informacji o niesolidnych dłużnikach do Biura Informacji Kredytowej lub informacje te przekazywane byłyby za znacznym opóźnieniem lub w ograniczonym zakresie. W takim wypadku dochodziłoby również do całkowitego zniweczenia ustawowego celu istnienia Biura Informacji Kredytowej, który został ustawowo stworzony w celu zwiększenia ochrony przed nieuczciwymi kredytobiorcami, a tym samym także w celu ochrony depozytów złożonych w bankach. Stan taki byłby zaś sprzeczny z zamierzeniami ustawodawcy.

Jak wynika z akt sprawy Bank sporządził w dniach [...] lutego 2010 r. oraz [...] marca 2010 r. pisma do skarżącego, które nie stanowiły druków automatycznie generowanych przez Bank, bowiem zawierały dokładne dane dłużnika i zaciągniętych przez niego zobowiązań. Przedmiotowe pisma zawierały także informację o zamiarze przetwarzania danych osobowych skarżącego przez okres 5 lat od wygaśnięcia jego zobowiązań wobec Banku bez jego zgody oraz zamiarze przekazania jego danych osobowych do Biura Informacji Kredytowej, w przypadku niespłacenia przez skarżącego w ciągu 30 dni od otrzymania przedmiotowej informacji zobowiązań wynikających z umowy kredytu/pożyczki oraz dwóch umów o kartę kredytową. Załączone przez Bank do akt sprawy zdjęcia z ekranu aplikacji [...] zawierające daty wysyłki i znajdujący się przy tych datach status [...] oraz odniesienie tych czynności do rachunków kart kredytowych oraz rachunku [...] oznacza, iż ww. pisma zostały potwierdzone i przekazane do wysłania do skarżącego - zgodnie z przyjętą w Banku procedurą.

W ocenie Generalnego Inspektora, Bank uprawdopodobnił wysłanie pism do skarżącego zawierających zawiadomienie o zamiarze przetwarzania jego danych osobowych bez jego zgody po wygaśnięciu zobowiązania. Tym samym skarżący został poinformowany o zamiarze przetwarzania jego danych osobowych na podstawie art. 105a ust. 3 Prawa bankowego, a zatem została spełniona druga z ww. przesłanek z przedmiotowego przepisu prawa, tj. obowiązek informacyjny.

Decyzja Generalnego Inspektora Ochrony danych Osobowych z dnia [...]października 2017 r. stała się przedmiotem skargi A. L. do Wojewódzkiego Sądu Administracyjnego w Warszawie.

Skarżący podniósł zarzut naruszenia:

1. art. 80 k.p.a. poprzez przekroczenie granic swobodnej oceny dowodów i dokonanie oceny materiału dowodowego w sposób sprzeczny z zasadami doświadczenia życiowego polegające na uznaniu, że wystarczającymi dokumentami stwierdzającymi poinformowanie klienta o zamiarze przekazania jego danych osobowych do BIK S.A. są aplikacje archiwizujące informacje na temat wysyłanej korespondencji, które nie stanowią jednak żadnego dowodu doręczenia korespondencji adresatowi.

2. naruszenie art. 7 k.p.a. oraz art. 77 § 1 k.p.a. polegające na ich niezastosowaniu, poprzez naruszenie zasady praworządności, z rażącym uchybieniem słusznego interesu skarżącego, jak również interesu społecznego poprzez nieuprawnione, aprioryczne założenie wynikające z analizy decyzji z dnia [...] października 2017 r.

3. naruszenie art. 8 § 1 k.p.a. oraz art. 32 k.p.a. polegające na ich niezastosowaniu poprzez prowadzenie postępowania w sposób niebudzący zaufania jego uczestnika do władzy publicznej w postępowaniu, które ma istotny wpływ na ukształtowanie sytuacji prawnej skarżącego, w szczególności poprzez ignorowanie istotnych elementów stanu faktycznego i brak skierowania części korespondencji do aktualnego pełnomocnika skarżącego.

4. w konsekwencji powyższych uchybień naruszenie prawa materialnego, a mianowicie art. 105a ust. 3 ustawy Prawo bankowe poprzez jego niewłaściwe zastosowanie i uznanie, że doszło do skutecznego poinformowania A. L. o zamiarze przetwarzania informacji dotyczących zaciągniętych przez niego zobowiązań, bez jego zgody i możliwe było przekazanie danych skarżącego do rejestru BIK S.A., a przez to przyjęcie, że nie doszło naruszenia przepisów o ochronie danych osobowych.

Mając na uwadze powyższe zarzuty, wniósł o uchylenie zaskarżonej decyzji w całości oraz przekazanie sprawy do ponownego rozpatrzenia Generalnemu Inspektorowi Danych Osobowych oraz o zasądzenie od Generalnego Inspektora Ochrony Danych Osobowych na rzecz skarżącego kosztów postępowania według norm przepisanych.

W uzasadnieniu skargi pełnomocnik skarżącego podkreślił, że Bank nie poinformował skutecznie A. L. o zamiarze przetwarzania danych osobowych bez jego zgody, a tym samym dopuścił się przetwarzania tych danych z naruszeniem prawa. W pełni zasadny jest zatem zarzut dotyczący braku wskazania jakiegokolwiek dowodu w postaci potwierdzeń nadania oraz odbioru przesyłek listowych kierowanych do skarżącego. Zrzuty ekranu aplikacji stosowanej przez Bank do monitorowania wysyłanej korespondencji świadczą co najwyżej o tym, że takie pisma zostały wysłane, ale nie mogą stanowić dowodu skutecznego złożenia oświadczenia woli drugiej stronie. Wysyłka stosownego pisma nie może automatycznie równać się poinformowaniu. Na potwierdzenie przedstawionej argumentacji pełnomocnik skarżącego przytoczył orzeczenia Naczelnego Sadu Administracyjnego i Sądu Najwyższego.

Generalny Inspektor Ochrony Danych Osobowych w odpowiedzi na skargę wniósł o jej oddalenie, podtrzymując argumentację zawartą w zaskarżonej decyzji. Generalny Inspektor przytoczył stan faktyczny sprawy oraz podał, że zebrany w sprawie materiał dowodowy został wszechstronnie oceniony, a organ administracji nie pozostawił poza swoimi rozważaniami jakichkolwiek argumentów podnoszonych przez stronę i nie pominął istotnych dla sprawy materiałów dowodowych lub nie dokonał ich oceny wbrew zasadom logiki lub doświadczenia życiowego.

Wojewódzki Sąd Administracyjny w Warszawie zważył, co następuje.

Zgodnie art. 1 § 1 i 2 ustawy z dnia 25 lipca 2002 r. – Prawo o ustroju sądów administracyjnych (Dz. U. z 2016 r., poz.1066), sąd administracyjny sprawuje wymiar sprawiedliwości poprzez kontrolę pod względem zgodności z prawem zaskarżonego aktu administracyjnego i to z przepisami obowiązującymi w dacie jego wydania.

Oceniając zaskarżoną decyzję w świetle powyższych kryteriów Sąd stwierdził, że skarga jest zasadna.

Na wstępie wskazać należy, iż zadaniem ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (tekst jedn. Dz. U. z 2016 r. poz. 922) nie jest jedynie stanie na straży interesów tych, których przetwarzane dane osobowe dotyczą. Naczelną zasadą ustawy nie jest też zakaz przetwarzania danych osobowych, lecz przestrzeganie zakresu i trybu ich przetwarzania. W art. 1 u.o.d.o. stwierdza się bowiem, że przetwarzanie danych osobowych może mieć miejsce, jeżeli służy to dobru publicznemu, dobru osoby, której dane dotyczą lub dobru osób trzecich. Ochrona danych osobowych, na podstawie przepisów powołanej ustawy, nie powinna być oderwana od przepisów służących ochronie innych wartości.

Przepis art. 12 pkt 1 i 2 u.o.d.o. stanowi, iż organem powołanym do kontroli zgodności przetwarzania danych z przepisami ustawy o ochronie danych osobowych jest Generalny Inspektor Ochrony Danych Osobowych, którego zadaniem jest m.in. wydawanie decyzji administracyjnych i rozpatrywanie skarg w sprawach wykonania przepisów o ochronie danych osobowych. W przypadku naruszenia przepisów o ochronie danych osobowych Generalny Inspektor z urzędu lub na wniosek osoby zainteresowanej, w drodze decyzji administracyjnej, nakazuje przywrócenie stanu zgodnego z prawem, a w szczególności usunięcie danych osobowych (art. 18 ust. 1 pkt 6 u.o.d.o.)

Stosownie do treści art. 7 pkt 2 u.o.d.o., przez przetwarzanie danych osobowych rozumie się jakiekolwiek operacje wykonywane na danych osobowych, takie jak zbieranie, utrwalanie, przechowywanie, opracowywanie, zmienianie, udostępnianie i usuwanie, a zwłaszcza te, które wykonuje się w systemach informatycznych.

Z kolei w art. 23 § 1 u.o.d.o. zostały wymienione przesłanki legalizujące przetwarzanie danych osobowych. Zgodnie z treścią tego przepisu przetwarzanie danych jest dopuszczalne tylko wtedy, gdy: (1) osoba, której dane dotyczą, wyrazi na to zgodę, chyba że chodzi o usunięcie dotyczących jej danych, (2) jest to niezbędne dla zrealizowania uprawnienia lub spełnienia obowiązku wynikającego z przepisu prawa, (3) jest to konieczne do realizacji umowy, gdy osoba, której dane dotyczą, jest jej stroną lub gdy jest to niezbędne do podjęcia działań przed zawarciem umowy na żądanie osoby, której dane dotyczą, (4) jest niezbędne do wykonania określonych prawem zadań realizowanych dla dobra publicznego, (5) jest to niezbędne dla wypełnienia prawnie usprawiedliwionych celów realizowanych przez administratorów danych albo odbiorców danych, a przetwarzanie nie narusza praw i wolności osoby, której dane dotyczą. Cytowany powyżej przepis ustawy określa ogólne materialne przesłanki przetwarzania danych osobowych. Przesłanki te mają charakter generalny, odnoszą się do wszelkich form przetwarzania danych, w tym zarówno do przetwarzania "na własne potrzeby" administratora, jak i "na zewnątrz". Są one co do zasady równoprawne, mają charakter autonomiczny i niezależny, co oznacza, że wystarczy wystąpienie jednej z nich, by przetwarzanie danych mogło być uznane za usprawiedliwione. Oznacza to także, że zgoda osoby, której dane dotyczą, nie jest wyłączną przesłanką przetwarzania danych osobowych, (por. J. Barta, P. Fajgielski, R. Markiewicz "Ochrona danych osobowych. Komentarz.", publ. System Informacji Prawnej LEX 2015).

Aktem prawnym zawierającym szczegółowe regulacje dotyczące procesu przetwarzania danych osobowych klientów banków jest ustawa z dnia 29 sierpnia 1997 r. - Prawo bankowe (tekst jedn. Dz. U. z 2016 r., poz. 1988 ze zm.).

Zgodnie z art. 105 ust. 4 tejże ustawy Banki mogą, wspólnie z bankowymi izbami gospodarczymi, utworzyć instytucje upoważnione do gromadzenia, przetwarzania i udostępniania: (1) bankom - informacji stanowiących tajemnicę bankową w zakresie, w jakim informacje te są potrzebne w związku z wykonywaniem czynności bankowych oraz w związku ze stosowaniem metod wewnętrznych oraz innych metod i modeli, o których mowa w części trzeciej rozporządzenia nr [...]; (2) innym instytucjom ustawowo upoważnionym do udzielania kredytów - informacji stanowiących tajemnicę bankową w zakresie, w jakim informacje te są niezbędne w związku z udzielaniem kredytów, pożyczek pieniężnych, gwarancji bankowych i poręczeń; (3) instytucjom kredytowym - informacji stanowiących tajemnicę bankową w zakresie niezbędnym do oceny zdolności kredytowej konsumenta, o której mowa w art. 9 ustawy z dnia 12 maja 2011 r. o kredycie konsumenckim; (4) instytucjom pożyczkowym i podmiotom, o których mowa w art. 59d ustawy z dnia 12 maja 2011 r. o kredycie konsumenckim - na zasadzie wzajemności, informacji stanowiących odpowiednio tajemnicę bankową oraz informacje udostępnione przez instytucje pożyczkowe oraz podmioty, o których mowa w art. 59d ustawy z dnia 12 maja 2011 r. o kredycie konsumenckim, w zakresie niezbędnym do oceny zdolności kredytowej konsumenta, o której mowa w art. 9 tej ustawy, i analizy ryzyka kredytowego.

Stosownie zaś do art. 105a ww. ustawy w brzmieniu obowiązującym w dacie wydania zaskarżonej decyzji, przetwarzanie przez banki, inne instytucje ustawowo upoważnione do udzielania kredytów, instytucje pożyczkowe oraz podmioty, o których mowa w art. 59d ustawy z dnia 12 maja 2011 r. o kredycie konsumenckim, a także instytucje utworzone na podstawie art. 105 ust. 4, informacji stanowiących tajemnicę bankową i informacji udostępnionych przez instytucje pożyczkowe oraz podmioty, o których mowa w art. 59d ustawy z dnia 12 maja 2011 r. o kredycie konsumenckim, w zakresie dotyczącym osób fizycznych może być wykonywane, z zastrzeżeniem art. 104, art. 105 i art. 106-106d, w celu oceny zdolności kredytowej i analizy ryzyka kredytowego (ust. 1). Z zastrzeżeniem ust. 3, instytucje, o których mowa w ust. 1, mogą przetwarzać informacje stanowiące tajemnicę bankową oraz informacje udostępnione przez instytucje pożyczkowe oraz podmioty, o których mowa w art. 59d ustawy z dnia 12 maja 2011 r. o kredycie konsumenckim, w zakresie dotyczącym osób fizycznych po wygaśnięciu zobowiązania wynikającego z umowy zawartej z bankiem, inną instytucją ustawowo upoważnioną do udzielania kredytów, instytucją pożyczkową lub podmiotem, o którym mowa w art. 59d ustawy z dnia 12 maja 2011 r. o kredycie konsumenckim, pod warunkiem uzyskania pisemnej zgody osoby, której informacje te dotyczą, z zastrzeżeniem ust. 2a. Zgoda ta może być w każdym czasie odwołana (ust. 2). Zgoda osoby może być także wyrażona w postaci elektronicznej. W takim przypadku banki, instytucje oraz podmioty, o których mowa w ust. 1, obowiązane są do utrwalania wyrażonej w ten sposób zgody na informatycznym nośniku danych w rozumieniu art. 3 pkt 1 ustawy z dnia 17 lutego 2005 r. o informatyzacji działalności podmiotów realizujących zadania publiczne (ust. 2a). Banki, instytucje oraz podmioty, o których mowa w ust. 1, mogą przetwarzać informacje stanowiące tajemnicę bankową i informacje udostępnione przez instytucje pożyczkowe oraz podmioty, o których mowa w art. 59d ustawy z dnia 12 maja 2011 r. o kredycie konsumenckim, dotyczące osób fizycznych po wygaśnięciu zobowiązania wynikającego z umowy zawartej z bankiem, inną instytucją ustawowo upoważnioną do udzielania kredytów, instytucją pożyczkową lub podmiotem, o którym mowa w art. 59d ustawy z dnia 12 maja 2011 r. o kredycie konsumenckim, bez zgody osoby, której informacje dotyczą, gdy osoba ta nie wykonała zobowiązania lub dopuściła się zwłoki powyżej 60 dni w spełnieniu świadczenia wynikającego z umowy zawartej z bankiem, inną instytucją ustawowo upoważnioną do udzielania kredytów, instytucją pożyczkową lub podmiotem, o którym mowa w art, 59d ustawy z dnia 12 maja 2011r. o kredycie konsumenckim, a po zaistnieniu tych okoliczności upłynęło co najmniej 30 dni od poinformowania tej osoby przez bank, inną instytucję ustawowo upoważnioną do udzielania kredytów, instytucję pożyczkową albo podmiot, o którym mowa w art. 59d ustawy z dnia 12 maja 2011 r. o kredycie konsumenckim, o zamiarze przetwarzania dotyczących jej tych informacji, bez jej zgody (ust. 3). Banki oraz instytucje, o których mowa w art. 105 ust. 4, mogą przetwarzać stanowiące tajemnicę bankową informacje dotyczące osoby fizycznej po wygaśnięciu zobowiązania wynikającego z umowy zawartej z bankiem lub inną instytucją ustawowo upoważnioną do udzielania kredytów bez zgody osoby, której informacje dotyczą, do celów stosowania metod wewnętrznych oraz innych metod i modeli, o których mowa w części trzeciej rozporządzenia nr [...] (ust. 4). Przetwarzanie informacji stanowiących tajemnicę bankową w przypadkach, o których mowa w ust. 3, może być wykonywane przez okres nie dłuższy niż 5 lat od dnia wygaśnięcia zobowiązania, a w przypadku, o którym mowa w ust. 4, przez okres 12 lat od dnia wygaśnięcia zobowiązania (ust. 5).

W niniejszej sprawie, na skutek skargi A. L. na nieprawidłowości w procesie przetwarzania jego danych osobowych przez Bank [...] z siedzibą w [...] oraz Biuro Informacji Kredytowej z siedzibą w [...], Generalny Inspektor odmówił uwzględnienia wniosku. Organ stwierdził bowiem, że Bank uprawdopodobnił wysłanie pism do skarżącego zawierających zawiadomienie o zamiarze przetwarzania jego danych osobowych bez jego zgody po wygaśnięciu zobowiązania. Tym samym skarżący został poinformowany o zamiarze przetwarzania jego danych osobowych na podstawie art. 105a ust. 3 Prawa bankowego, zatem została spełniona druga z przesłanek z przedmiotowego przepisu prawa, tj. obowiązek informacyjny.

Sąd w składzie orzekającym stwierdza, że stanowisko Generalnego Inspektora jest błędne.

W niniejszej sprawie przekazanie danych osobowych A. L. przez Bank do BIK w celu oceny zdolności kredytowej i analizy ryzyka kredytowego nastąpiło w trakcie trwania stosunków zobowiązaniowych wynikających z zawartych umów, czyli zgodnie z przesłanką określoną w art. 23 ust. 1 pkt 2 u.o.d.o. w związku z art. 105a ust. 1 i art. 105 ust 4 ustawy Prawo bankowe. Dla legalności tego udostępnienia zgoda klienta nie była wymagana.

Zgromadzony w sprawie materiał dowodowy jednoznacznie wskazuje, iż w zakresie spłaty zadłużenia skarżący dopuścił się zwłoki trwającej dłużej niż 60 dni. Okoliczność ta nie jest sporna pomiędzy stronami. Sąd stwierdza, że sama zwłoka w spłacie zadłużenia trwająca dłużej niż 60 dni nie upoważnia Banku do przetwarzania danych skarżącego na warunkach określonych w art. 105a ust. 3 ustawy Prawo bankowe. Klient musi bowiem zostać poinformowany o zamiarze przetwarzania jego danych bez uzyskania od niego zgody. Dopiero bezskuteczny upływ 30 dni od momentu poinformowania stanowi wypełnienie przesłanek z ww. przepisu. Moment, od którego należy liczyć 60-dniowy termin, w którym klient dopuszcza się zwłoki w wykonaniu zobowiązania, to termin niewykonania zobowiązania. Dopiero po upływie 60 dni zaczyna biec 30-dniowy termin, w którym instytucja jeszcze oczekuje na wykonanie zobowiązania klienta. Termin 30-dniowy nie biegnie jednak ex lege, a dopiero od momentu, w którym klient zostanie skutecznie poinformowany przez Bank o zamiarze przetwarzania jego danych osobowych. Aby zatem przetwarzać dane klienta na warunkach określonych w ww. przepisie, Bank musi dysponować dowodem, że osoba, której dane dotyczą, została poinformowana o zamiarze przetwarzania ich - bez jej zgody. Przy czym to na Banku, jako administratorze danych osobowych, spoczywa ciężar udowodnienia, że obowiązek informacyjny względem klienta, wynikający z ww. przepisu, został dopełniony.

Zgodzić należy się ze skarżącym, że Bank nie wykazał, że dopełnił określonego w art. 105a ust. 3 ustawy Prawo bankowe obowiązku poinformowania A. L. o zamiarze przetwarzania dotyczących go informacji stanowiących tajemnicę bankową, wynikających z zawartych umów, bez jego zgody.

W toku postępowania administracyjnego wobec niewywiązywania się skarżącego ze spłaty zobowiązań z tytułu umowy o kartę kredytową [...], umowy o kartę [...] i Bank i przedłożył pismo z [...] marca 2010 r. skierowane do skarżącego z informacją o zamiarze przetwarzania jego danych osobowych po wygaśnięciu zobowiązania bez jego zgody i zamiarze przekazania danych osobowych skarżącego do BIK. Podobnej treści pismo zostało wystosowane do skarżącego [...] lutego 2010 odnośnie [...]. Bank przedstawił też zdjęcie z systemu [...] z widniejącą datą wygenerowania pism z [...] lutego 2010 r. i z [...] marca 2010 r. W pismach tych znajdował się rachunek [...] i oraz rachunki powiązane z kartami kredytowymi. Zawarte w tych pismach były dane skarżącego oraz dane dotyczące zaciągniętych zobowiązań. Załączone przez Bank do akt sprawy zdjęcia z ekranu aplikacji [...] zawierały daty wysyłki i znajdujący się przy tych datach status [...], co oznacza, że pisma zostały potwierdzone i przekazane do wysłania do skarżącego. W ocenie organu tym samym Bank wykazał wysłanie pism do skarżącego zawierających informację o zamiarze przetwarzania jego danych bez jego zgody po wygaśnięciu zobowiązania, bowiem wystarczającymi dokumentami stwierdzającymi poinformowanie klienta o zamiarze wpisu do BIK mogą być księgi/programy/aplikacje informujące na temat wysyłanej korespondencji, do których należy aplikacja [...].

Zdaniem Sądu Generalny Inspektor błędnie przyjął, że informacje uzyskane na podstawie aplikacji [...] stanowią dowód dostarczenia tej korespondencji skarżącemu. Co najwyżej na tej podstawie można przyjąć, że taka korespondencja została do skarżącego wysłana. Samo uprawdopodobnienie, jak przyjmuje Generalny Inspektor, wysłania przez Bank pism do skarżącego zawierających zawiadomienie o zamiarze przetwarzania jego danych osobowych bez jego zgody, nie oznacza, że skarżący o tym fakcie został poinformowany w trybie art. 105a ust. 3 ustawy Prawo bankowe. Bank nie przedstawił bowiem żadnego dowodu, że skarżący pisma te otrzymał, a A. L. neguje tę okoliczność.

Sąd stwierdza, że na podstawie przedstawionych dowodów Bank nie wykazał, że przedmiotowe zawiadomienie o zamiarze przetwarzania danych osobowych skarżącego, bez jego zgody dotarło do adresata i co istotne, że mógł on zapoznać się z jego treścią.

Naczelny Sąd Administracyjny w wyroku z dnia 25 lipca 2017 r. sygn. akt I OSK 2859/16 (http://orzeczenia.nsa.gov.pl) stwierdził, że przepis art. 105a ust. 3 Prawa bankowego ma charakter materialny (ochronny), a nie formalny. Wymaga on w sposób kategoryczny "poinformowania", a nie "wysłania zawiadomienia". Zaznaczył, że dane osobowe są wartością chronioną ustawowo, a prawo od ich ochrony - jak przyjmuje się w piśmiennictwie – stanowi swego rodzaju emanację ogólnego prawa gwarantowanego Konstytucją RP (art. 47). Powyższe oznacza, że wszelkie regulacje znoszące tę ochronę muszą być odczytywane i wykładane ściśle, z uwzględnieniem funkcji jakiej mają służyć. Przy takiej wykładni, sformułowanie użyte w przepisie art. 105a ust. 3 Prawa bankowego, dotyczące obowiązku informacyjnego banku, musi oznaczać, że nie jest to li tylko obowiązek formalny. Wprawdzie ustawodawca w żaden sposób nie ograniczył sposobów i form takiego zawiadomienia (nie można również wykluczyć możliwości zawiadomienia drogą elektroniczną, o ile strony w zawartej umowie taką formę korespondencji przewidziały lub też posługiwania się przez bank w tym zakresie podmiotem zewnętrznym), ale w każdym wypadku sposób ten powinien umożliwić zweryfikowanie faktu poinformowania klienta banku o zamierzonym przetwarzaniu jego danych osobowych lub też przynajmniej potwierdzenie, że klientowi umożliwiono zapoznanie się z taką informacją. W tym zakresie nie mogą mieć miejsca jakiekolwiek domniemania faktyczne.

Sąd w pełni podziela argumentację przedstawioną w wyżej przytoczonym wyroku Naczelnego Sądu Administracyjnego. Wykonanie obowiązku informacyjnego nie może sprowadzać się do wysłania zawiadomienia. Skuteczne poinformowanie wynikające z art. 105a ust. 3 ustawy Prawo bankowe to takie poinformowanie, na skutek którego klient banku będzie mógł zapoznać się z jego treścią. Bank w przypadku przetwarzania danych osobowych klienta na podstawie art. 105a ust. 3 Prawa bankowego, winien być zdolny do wykazania legitymacji do przekazania danych do BIK w postaci rzeczywistego spełnienia obowiązku informacyjnego, czego w niniejszej sprawie zabrakło. To na Banku spoczywa ciężar dowodu w zakresie wykazania poinformowania klienta o zamiarze przetwarzania jego danych osobowych bez jego zgody. Natomiast rzeczą Generalnego Inspektora było zbadanie legalności przetwarzania przez Bank danych osobowych skarżącego.

Sąd stwierdza, że Generalny inspektor dokonał błędnej wykładni art. 105a ust. 3 Prawa bankowego przyjmując, że uprawdopodobnienie przez Bank wysłania pism do skarżącego o zamiarze przetwarzania jego danych osobowych bez jego zgody po wygaśnięciu zobowiązania, stanowi spełnienie obowiązku informacyjnego zawartego wyżej wskazanym przepisie. Stanowi to naruszenie prawa materialnego, które miało wpływ na wynik sprawy.

Odnosząc się do pozostałych zarzutów skargi, brak jest podstaw do uznania, że postępowanie to zostało przeprowadzone z naruszeniem reguł postępowania dowodowego. Ustalenia faktyczne zostały dokonane w oparciu o całość zgromadzonego materiału, a zatem przy podjęciu wszelkich kroków niezbędnych do dokładnego wyjaśnienia sprawy. Przy czym na podstawie tak zebranego materiału organ dokonał błędnej wykładni przepisu prawa materialnego art. 105a ust. 3 Prawa bankowego.

Nie jest trafny zarzut kierowania części korespondencji do aktualnego pełnomocnika skarżącego. Skarżący ustanowił w sprawie dwóch pełnomocników adwokata K. K. oraz adwokata M. S. Pełnomocnictwo pierwszego z pełnomocników nie było ograniczone. Zgodnie z art. 40 § 2 k.p.a. strona może w sprawie ustanowić kilku pełnomocników. W takim przypadku strona może wskazać pełnomocnika, któremu organ ma doręczać pisma. Skarżący nie wskazał pełnomocnika, któremu należało doręczać pisma. W takim przypadku organ miał prawo doręczyć pisma pełnomocnikowi według własnego uznania. Tym samym doręczenie decyzji adwokatowi nie stanowi naruszenia prawa.

Ponownie rozpoznając sprawę Generalny Inspektor dokona ponownej oceny zgodności z prawem przetwarzania danych osobowych skarżącego przez Bank i BIK z uwzględnieniem rozważań poczynionych przez Sąd w niniejszym uzasadnieniu.

Mając na uwadze powyższe Wojewódzki Sąd Administracyjny w Warszawie, na podstawie art. 145 § 1 pkt 1 a ustawy z dnia 30 sierpnia 2002 r. Prawo o postępowaniu przed sądami administracyjnymi (tekst jedn. Dz. U. z 2017 r. poz. 1369 ze zm.) orzekł jak w pkt 1 wyroku. W punkcie 2 wyroku Sąd orzekł na podstawie art. 200 w zw. z art. 205 § 2 powołanej ustawy. W skład kosztów wchodzi wpis od skargi 200 zł, wynagrodzenie adwokata 480 zł oraz opłata skarbowa od pełnomocnictwa, łącznie 697 zł.