Centralna Baza Orzeczeń Sądów Administracyjnych

Naczelny Sąd Administracyjny w składzie: Przewodniczący: sędzia NSA Elżbieta Kremer sędzia NSA Monika Nowicka sędzia del. WSA Ewa Kręcichwost-Durchowska (spr.) Protokolant starszy asystent sędziego Maciej Kozłowski po rozpoznaniu w dniu 6 marca 2019 r. na rozprawie w Izbie Ogólnoadministracyjnej skargi kasacyjnej [...] Bank S.A. z siedzibą [...]. od wyroku Wojewódzkiego Sądu Administracyjnego w Warszawie z dnia 11 stycznia 2017 r. sygn. akt II SA/Wa 1574/16 w sprawie ze skargi [...] Bank S.A. z siedzibą [...] na decyzję Generalnego Inspektora Ochrony Danych Osobowych z dnia [...] czerwca 2016 r. nr [...] w przedmiocie przetwarzania danych osobowych 1) oddala skargę kasacyjną; 2) zasądza od [...] Bank S.A. z siedzibą [...] na rzecz Prezesa Urzędu Ochrony Danych Osobowych kwotę 360 (trzysta sześćdziesiąt) złotych tytułem zwrotu kosztów postępowania kasacyjnego.

Generalny Inspektor Ochrony Danych Osobowych (dalej jako "GIODO") decyzją z dnia [...] czerwca 2016 r. nr [...] działając na podstawie art. 138 § 1 pkt 1 K.p.a., art. 12 pkt 2, art. 18 ust. 1 pkt 6, art. 22 oraz art. 23 ust. 1 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. z 2015 r., poz. 2135 ze zm. – dalej jako "u.o.d.o."), utrzymał w mocy swoją wcześniejszą decyzję z dnia [...] lipca 2015 r. [...] nakazującą [...] Bank S.A. z siedzibą [...] (dalej jako "Bank") usunięcie danych osobowych W. L., zam. w K., przy ul [...], ze zbioru danych "Klienci [...] Bank S.A."

Do wydania powyższych decyzji doszło w następującym stanie faktycznym i prawnym:

W. L. wniósł do Biura GIODO skargę na odmowę usunięcia jego danych osobowych przetwarzanych przez [...] Bank S.A. z siedzibą [...]. W treści skargi wskazał, że wnosi o nakazanie dopełnienia obowiązku usunięcia jego danych osobowych związanych z wnioskiem o kredyt. Oświadczył, że nie był, nie jest i nie będzie klientem Banku.

GIODO decyzją z dnia [...] lipca 2015 r. [...], działając na podstawie art. 12 pkt 2, art. 18 ust. 1 pkt 6, art. 22 u.o.d.o. nakazał [...] Bank S.A. z siedzibą [...] usunięcie danych osobowych W. L. ze zbioru danych "Klienci [...] Bank S.A."

W uzasadnieniu decyzji organ wskazał, że W. L. wnioskował o przyznanie kredytu hipotecznego. Jednak pomiędzy nim, a Bankiem nie została zawarta ostatecznie żadna umowa.

Bank pozyskał dane osobowe W.L. w zakresie: imię, nazwisko, numer PESEL, adres zamieszkania, adres korespondencyjny, telefon komórkowy, prywatny, telefon komórkowy do pracy, data urodzenia, miejsce urodzenia, nazwisko rodowe matki, imię matki, imię ojca, obywatelstwo, stan cywilny, numer i seria dowodu osobistego, adres e-mail, źródło i wysokość dochodu, sumę wydatków na życie i informacje o majątku.

Dane osobowe W.L. są przetwarzane przez Bank w zbiorze danych "Klienci [...] Bank S.A." w celach archiwalnych i dowodowych.

Pismem z dnia 15 stycznia 2013 r. W.L. zwrócił się do Banku z wnioskiem o usunięcie jego danych osobowych wynikających z ww. wniosku oraz o zwrot dołączonych do wniosku dokumentów lub ich trwale zniszczenie.

W odpowiedzi na powyższe, pismem z dnia 12 marca 2013 r., Bank odmówił usunięcia danych osobowych W.L. powołując się na art. 74 pkt 8 ustawy z dnia 29 września 1994 r. o rachunkowości (Dz. U. z 2013 r., poz. 330, ze zm.) oraz art. 23 ust. 1 pkt 5 u.o.d.o. Jednocześnie Bank zwrócił wszystkie dokumenty, które zostały dołączone do wniosku o udzielenie kredytu hipotecznego.

Bank, w swoich wyjaśnieniach złożonych w sprawie poinformował, że przetwarzając dane osobowe W.L. działa w prawnie usprawiedliwionym celu, jakim jest realizacja obowiązku udzielenia odpowiedzi na ewentualne reklamacje oraz możliwość obrony przed ewentualnymi roszczeniami cywilnoprawnymi, a także zarzutami karnymi związanymi z przetwarzaniem danych osobowych osób, które złożyły wniosek kredytowy, choć do zawarcia umowy ostatecznie nie doszło. Bank wskazał, że złożenie wniosku kredytowego rozpoczyna proces przetwarzania danych osobowych wnioskodawcy oraz inicjuje obowiązek Banku zachowania tajemnicy bankowej wynikający z art. 104 ust. 1 ustawy z dnia 29 sierpnia 1997 r. Prawo bankowe. Dane wnioskodawcy są następnie udostępniane do BIK S.A. oraz biur informacji gospodarczej w ramach badania zdolności kredytowej, co stanowi kolejny przejaw przetwarzania jego danych osobowych.

Dalej GIODO podniósł, że W.L. nie wyraził zgody na przetwarzanie jego danych osobowych, dlatego w sprawie nie występuje przesłanka z art. 23 ust. 1 pkt 1 u.o.d.o.. Skoro zaś W.L. nie wiązała z Bankiem żadna umowa, to nie została w sprawie spełniona przesłanka z art. 23 ust. 1 pkt 3 u.o.d.o. W ocenie GIODO przetwarzanie przez Bank danych osobowych W.L. nie znajduje oparcia w przepisach prawa, w szczególności ustawy z dnia 29 sierpnia 1997 r. Prawo bankowe (Dz.U. z 2015 r. poz. 128). Nie zachodzi w sprawie przesłanka z art. 23 ust. 1 pkt 2 u.o.d.o. GIODO stwierdził także, że przetwarzania dany nie uzasadnia także jakiekolwiek dobro publiczne, o którym mowa w art. 23 ust. 1 pkt 4 u.o.d.o.

Bank jako przesłankę przetwarzania danych osobowych skarżącego wskazał art. 23 ust. 1 pkt 5 u.o.d.o, wymieniając następujące cele: realizacja obowiązku udzielenia odpowiedzi na ewentualne reklamacje oraz możliwość obrony przed ewentualnymi roszczeniami cywilnoprawnymi, a także zarzutami karnymi.

Odnosząc się do wskazywanych przez Bank przesłanek przetwarzania danych osobowych W.L. organ wskazał, że pismem z dnia 15 stycznia 2013 r. zwrócił się on o usunięcie jego danych wynikających z wniosku o przyznanie kredytu hipotecznego oraz zwrot dołączonych do ww. wniosku dokumentów lub ich trwałe zniszczenie. Bank pismem z dnia 12 marca 2013 r. odmówił usunięcia ww. danych i zwrócił dokumenty, o których mowa powyżej. Zdaniem GIODO z tym dniem postępowanie reklamacyjne zostało zakończone ze względu na brak odpowiedzi W.L. na pismo Banku.

Jako niezrozumiały GIODO określił argument Banku o konieczności zabezpieczenia jego roszczeń na wypadek ewentualnych roszczeń W.L. związanych z reklamacją. W ocenie GIODO nie można podzielić argumentacji, że archiwizacja dokumentów, jak i innych danych pobranych przy dokonywaniu czynności bankowych jedynie w celach dowodowych jest prawnie usprawiedliwioną działalnością Banku, np. na wypadek jakiejkolwiek reklamacji i nie jest to niezgodne z prawem, zasadami współżycia społecznego, ani dobrymi obyczajami i nie narusza praw, ani wolności osoby, której dane dotyczą.

GIODO stwierdził, że dalsze przetwarzanie przez Bank danych osobowych W.L. w prawnie usprawiedliwionym celu, jakim jest realizacja obowiązku udzielenia odpowiedzi na ewentualne reklamacje oraz możliwość obrony przed ewentualnymi roszczeniami cywilnoprawnymi a także zarzutami karnymi związanymi z przetwarzaniem danych, byłoby przetwarzaniem tych danych na zapas, na wszelki wypadek, bez wykazania niezbędności dla realizacji zadań Banku jako administratora danych. Takie działanie nie może być uznane za zgodne z przepisami ustawy o ochronie danych osobowych.

Jedynym roszczeniem W.L. jest żądanie usunięcia jego danych osobowych przez Bank, z którym nie łączy go żaden stosunek prawny.

Od powyższej decyzji [...] Bank S.A. złożył wniosek o ponowne rozpatrzenie sprawy.

GIODO decyzją z dnia [...] czerwca 2016 r. nr [...] działając na podstawie art. 138 § 1 pkt 1 K.p.a., art. 12 pkt 2, art. 18 ust. 1 pkt 6, art. 22 oraz art. 23 ust. 1 u.o.d.o. utrzymał w mocy swoją wcześniejszą decyzję z dnia [...] lipca 2015 r.

Uzasadniając swoje rozstrzygnięcie organ podtrzymał argumentację zawartą w zaskarżonej decyzji. Dodatkowo podniósł, że Bank w momencie rozpatrywania wniosku o udzielenie kredytu, działał w oparciu o przesłankę wskazaną w art. 23 ust. 1 pkt 3 u.o.d.o., bowiem przetwarzanie danych W.L. było niezbędne do podjęcia działań przed zawarciem umowy, jednakże do jej zawarcia nie doszło. Oznacza to, że przytoczone we wniosku o ponowne rozpatrzenie sprawy przepisy: art. 70 Prawa bankowego, art. 9 ustawy o kredycie konsumenckim nie stanowią podstawy prawnej do dalszego przetwarzania takich danych. Przepisy te upoważniają m.in. banki do badania zdolności kredytowej osoby zgłaszającej chęć wzięcia kredytu/pożyczki. Jednakże nie stanowią one podstawy prawnej do dalszego przetwarzania danych takiej osoby, w przypadku, gdy nie dojdzie do zawarcia umowy. Nie może być w tym przypadku również mowy o celach archiwalnych przetwarzania danych skarżącego, w związku z brakiem zawarcia umowy.

Organ wskazał również, że w literaturze przedmiotu podkreśla się, iż nawet wówczas, gdy określone dane odpowiadają celowi, dla którego są zbierane i są dla tego celu adekwatne, to nie wynika z tego, iż mogą być one przetwarzane (...) ad infinitum. Czasowym wyznacznikiem jest tu osiągnięcie zamierzonego celu przetwarzania.

Odnosząc się natomiast do twierdzenia Banku, że przetwarzanie danych W.L. jest konieczne dla obrony praw pracowników Banku i członków jego zarządu przed ewentualnymi zarzutami o popełnieniu przestępstw określonych w art. 49, 51, 54 u.o.d.o., organ wskazał, że argumenty te są nietrafne. Generalny Inspektor w zaskarżonej decyzji uznał, iż dalsze przetwarzanie danych wymienionej wyżej osoby jest przez Bank niedopuszczalne, albowiem Bank nie ma podstawy prawnej do ich przetwarzania. Pomimo tego Bank upatruje konieczność przetwarzania danych osobowych z uwagi m.in. na art. 49 ust. 1 u.o.d.o., który to przepis stanowi, że kto przetwarza w zbiorze dane osobowe, choć ich przetwarzanie nie jest dopuszczalne albo do których przetwarzania nie jest uprawniony, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do lat 2. Taka konstrukcja argumentacji Banku jest więc całkowicie, w ocenie organu, nietrafiona.

Na powyższą decyzję [...] Bank S.A. wniósł skargę do Wojewódzkiego Sądu Administracyjnego w Warszawie. Zaskarżonej decyzji zarzucił naruszenie:

1) art. 23 ust. 1 pkt 2 u.o.d.o. poprzez przyjęcie, że przetwarzanie przez Bank danych osobowych W.L. nie znajduje podstawy w przepisach prawa, a w szczególności, że brak zawarcia umowy kredytu między skarżącym , a Bankiem powoduje, iż Bankowi nie przysługuje prawo do archiwizowania w celu dowodowym danych osobowych wynikających ze złożonego przez niego wniosku kredytowego;

2) art. 23 ust. 1 pkt 5 u.o.d.o. poprzez przyjęcie, że archiwizacja przez Bank danych osobowych W.L. wynikających ze złożonego przez niego wniosku kredytowego nie jest niezbędna do realizacji przez Bank usprawiedliwionego celu, jakim jest prawo do podjęcia obrony przed ewentualnymi roszczeniami lub zarzutami dotyczącymi przetwarzania danych skarżącego w celu obsługi jego wniosku kredytowego, w tym dotyczącymi udostępnienia tych danych do BIK S.A. w wyniku zapytania skierowanego do bazy BIOZ;

3) art. 23 ust. 1 pkt 5 u.o.d.o. poprzez brak wyważenia interesów Banku jako administratora danych oraz W.L. jako osoby, której dane dotyczą i uwzględnienie przy ocenie sprawy jedynie interesu skarżącego;

4) art. 156 § 1 pkt 2 K.p.a. w zw. z art.107 K.p.a. poprzez brak stwierdzenia nieważności decyzji o sygn. [...], pomimo że nie zawiera w swej treści daty jej wydania, co stanowi rażące naruszenie prawa, które powinno skutkować usunięciem jej z obrotu prawnego.

W oparciu o powyższe zarzuty Bank wniósł o uchylenie zaskarżonej decyzji w całości i poprzedzającej ją decyzji o sygn. [...]. Ponadto wniósł o dopuszczenie dowodów z dokumentów powołanych w uzasadnieniu skargi oraz o zasądzenie od organu na jego rzecz kosztów postępowania, w tym kosztów zastępstwa procesowego według norm przepisanych.

W odpowiedzi na skargę GIODO wniósł o jej oddalenie, podtrzymując stanowisko wyrażone w uzasadnieniu zaskarżonej decyzji.

Na rozprawie w dniu 11 stycznia 2017 r. Sąd dopuścił dowód z dokumentów załączonych do skargi.

Wojewódzki Sąd Administracyjny w Warszawie oddalając skargę wskazał m.in., że zaskarżona decyzja Generalnego Inspektora Ochrony Danych Osobowych z dnia [...] czerwca 2016 r. oraz poprzedzająca ją decyzja z dnia [...] lipca 2015 r. nie naruszają prawa.

Odnosząc się w pierwszej kolejności do podniesionego przez pełnomocnika strony skarżącej zarzutu naruszenia przez organ art. 156 § 1 pkt 2 K.p.a. w zw. z art.107 K.p.a. poprzez brak stwierdzenia nieważności decyzji o sygn. [...] pomimo, że nie zawiera w swej treści daty jej wydania wskazać należy, iż decyzja o nr [...], która znajduje się w aktach administracyjnych opatrzona jest datą wydania [...] lipca 2015 r. Na taką datę wydania tej decyzji powołał się też GIODO w decyzji z dnia [...] czerwca 2016 r., wydanej w następstwie rozpoznania wniosku [...] Bank S.A. o ponowne rozpatrzenie sprawy. Jeżeli natomiast egzemplarz decyzji wysłany do strony skarżącej nie zawierał pełnej daty jej wydania (brakowało wpisanego dnia) to nie stanowiło to przesłanki ani do stwierdzenia nieważności tej decyzji GIODO, ani też wydawania postanowienia o jej sprostowaniu w trybie art. 113 § 1 K.p.a., lecz uzasadniało co najwyżej ponowne przesłanie stronie kompletnego egzemplarza tej decyzji z pełną datą jej wydania. GIODO wydał wprawdzie postanowienie z dnia [...] września 2016 r. o sprostowaniu omyłki pisarskiej w egzemplarzu decyzji skierowanym do Banku poprzez zastąpienie daty wydania decyzji "dnia ... lipca 2015 r.", datą "[...] lipca 2015 r." nie stanowiło to jednak w ocenie Sądu takiego naruszenia przepisów postępowania, które uzasadniałoby wyeliminowanie z obrotu prawnego zaskarżonej decyzji GIODO.

Przechodząc do meritum sprawy Sąd zaznaczył, iż zadaniem ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych nie jest jedynie stanie na straży interesów tych, których przetwarzane dane osobowe dotyczą. Naczelną zasadą ustawy nie jest też zakaz przetwarzania danych osobowych, lecz przestrzeganie zakresu i trybu ich przetwarzania. W art. 1 u.o.d.o. stwierdza się bowiem, że przetwarzanie danych osobowych może mieć miejsce jeżeli służy to dobru publicznemu, dobru osoby, której dane dotyczą lub dobru osób trzecich. Ochrona danych osobowych, na podstawie przepisów powołanej ustawy, nie powinna być oderwana od przepisów służących ochronie innych wartości.

Stosownie do treści art. 7 pkt 2 u.o.d.o., przez przetwarzanie danych osobowych rozumie się jakiekolwiek operacje wykonywane na danych osobowych, takie jak zbieranie, utrwalanie, przechowywanie, opracowywanie, zmienianie, udostępnianie i usuwanie, a zwłaszcza te, które wykonuje się w systemach informatycznych.

Z kolei w art. 23 § 1 u.o.d.o. zostały wymienione przesłanki legalizujące przetwarzanie danych osobowych. Zgodnie z treścią tego przepisu przetwarzanie danych jest dopuszczalne tylko wtedy, gdy: (1) osoba, której dane dotyczą, wyrazi na to zgodę, chyba że chodzi o usunięcie dotyczących jej danych, (2) jest to niezbędne dla zrealizowania uprawnienia lub spełnienia obowiązku wynikającego z przepisu prawa, (3) jest to konieczne do realizacji umowy, gdy osoba, której dane dotyczą, jest jej stroną lub gdy jest to niezbędne do podjęcia działań przed zawarciem umowy na żądanie osoby, której dane dotyczą, (4) jest niezbędne do wykonania określonych prawem zadań realizowanych dla dobra publicznego, (5) jest to niezbędne dla wypełnienia prawnie usprawiedliwionych celów realizowanych przez administratorów danych albo odbiorców danych, a przetwarzanie nie narusza praw i wolności osoby, której dane dotyczą.

Cytowany powyżej przepis ustawy określa ogólne materialne przesłanki przetwarzania danych osobowych. Przesłanki te mają charakter generalny, odnoszą się do wszelkich form przetwarzania danych, w tym zarówno do przetwarzania "na własne potrzeby" administratora, jak i "na zewnątrz". Są one co do zasady równoprawne, mają charakter autonomiczny i niezależny, co oznacza, że wystarczy wystąpienie jednej z nich, by przetwarzanie danych mogło być uznane za usprawiedliwione. Oznacza to także, że zgoda osoby, której dane dotyczą, nie jest wyłączną przesłanką przetwarzania danych osobowych (por. J. Barta, P. Fajgielski, R. Markiewicz, System Informacji Prawnej LEX, Komentarz2015).

Aktem prawnym zawierającym szczegółowe regulacje dotyczące procesu przetwarzania danych osobowych klientów banków jest ustawa z dnia 27 sierpnia 1997r. - Prawo bankowe (tekst jedn. Dz. U. z 2015 r., poz. 128). Zgodnie z art. 105 ust. 4 tejże ustawy Banki mogą, wspólnie z bankowymi izbami gospodarczymi, utworzyć instytucje upoważnione do gromadzenia, przetwarzania i udostępniania: (1) bankom - informacji stanowiących tajemnicę bankową w zakresie, w jakim informacje te są potrzebne w związku z wykonywaniem czynności bankowych oraz w związku ze stosowaniem metod statystycznych, o których mowa w art. 128 ust. 3 oraz w art. 128d ust. 1; (2) innym instytucjom ustawowo upoważnionym do udzielania kredytów - informacji stanowiących tajemnicę bankową w zakresie, w jakim informacje te są niezbędne w związku z udzielaniem kredytów, pożyczek pieniężnych, gwarancji bankowych i poręczeń; (3) instytucjom kredytowym - informacji stanowiących tajemnicę bankową w zakresie niezbędnym do oceny zdolności kredytowej konsumenta, o której mowa w art. 9 ustawy z dnia 12 maja 2011 r. o kredycie konsumenckim.

Stosownie zaś do art. 105a cytowanej ustawy przetwarzanie przez banki, inne instytucje ustawowo upoważnione do udzielania kredytów oraz instytucje utworzone na podstawie art. 105 ust. 4, informacji stanowiących tajemnicę bankową w zakresie dotyczącym osób fizycznych może być wykonywane, z zastrzeżeniem art. 104, art. 105 i art. 106-106c, w celu oceny zdolności kredytowej i analizy ryzyka kredytowego (ust. 1). Instytucje, o których mowa w ust. 1, mogą, z zastrzeżeniem ust. 3, przetwarzać informacje stanowiące tajemnicę bankową w zakresie dotyczącym osób fizycznych po wygaśnięciu zobowiązania wynikającego z umowy zawartej z bankiem lub inną instytucją ustawowo upoważnioną do udzielania kredytów, pod warunkiem uzyskania pisemnej zgody osoby, której informacje te dotyczą. Zgoda ta może być w każdym czasie odwołana (ust. 2). Instytucje, o których mowa w ust. 1, mogą przetwarzać informacje stanowiące tajemnicę bankową dotyczące osób fizycznych po wygaśnięciu zobowiązania wynikającego z umowy zawartej z bankiem lub inną instytucją ustawowo upoważnioną do udzielania kredytów, bez zgody osoby, której informacje dotyczą, gdy osoba ta nie wykonała zobowiązania lub dopuściła się zwłoki powyżej 60 dni w spełnieniu świadczenia wynikającego z umowy zawartej z bankiem lub inną instytucją ustawowo upoważnioną do udzielania kredytów, a po zaistnieniu tych okoliczności upłynęło co najmniej 30 dni od poinformowania tej osoby przez bank lub inną instytucję ustawowo upoważnioną do udzielania kredytów o zamiarze przetwarzania dotyczących jej informacji stanowiących tajemnicę bankową, bez jej zgody (ust. 3). Banki oraz instytucje, o których mowa w art. 105 ust. 4, mogą przetwarzać informacje stanowiące tajemnicę bankową dotyczące osób fizycznych po wygaśnięciu zobowiązania wynikającego z umowy zawartej z bankiem lub inną instytucją ustawowo upoważnioną do udzielania kredytów, bez zgody osoby, której informacje dotyczą, dla celów stosowania metod statystycznych, o których mowa w art. 128 ust. 3 (ust. 4). Przetwarzanie informacji stanowiących tajemnicę bankową w przypadkach, o których mowa w ust. 3, może być wykonywane przez okres nie dłuższy niż 5 lat od dnia wygaśnięcia zobowiązania, a w przypadku, o którym mowa w ust. 4, przez okres 12 lat od dnia wygaśnięcia zobowiązania (ust. 5). Zakres przetwarzanych informacji, o których mowa w ust. 3 i 4, może obejmować dane dotyczące osoby fizycznej lub dane dotyczące zobowiązania (ust. 6).

W świetle powyższych uregulowań uzasadnione jest w ocenie Sądu stanowisko GIODO, iż w sytuacji, gdy w następstwie złożenia wniosku kredytowego nie dochodzi do zawarcia umowy kredytowej z bankiem brak przesłanek ustawowych legalizujących dalsze przetwarzanie przez bank danych osobowych niedoszłego klienta.

W niniejszej sprawie jest niesporne, że W. L. w grudniu 2012 r. wystąpił do Banku z wnioskiem o udzielenie kredytu hipotecznego. W następstwie złożenia tego wniosku Bank był uprawniony w świetle art. 105a ust. 1 Prawa bankowego do przetwarzania danych osobowych wnioskodawcy w celu oceny jego zdolności kredytowej. Postanowienia art. 105a ust. 1 Prawa bankowego dotyczą bowiem przetwarzania informacji objętych tajemnicą bankową zarówno w okresie przed powstaniem, jak i w okresie istnienia zobowiązania osoby fizycznej. W sytuacji jednak, gdy w wyniku podjętych czynności sprawdzających nie doszło w efekcie do zawarcia umowy kredytowej, odpadła przesłanka legalizująca dalsze przetwarzanie przez Bank danych osobowych wnioskodawcy. Pomiędzy W. L., a [...] Bank S.A. nie zawiązał się bowiem, w następstwie złożenia wniosku kredytowego, żaden stosunek zobowiązaniowy, który w świetle przepisów art. 105a ust. 1-6 Prawa bankowego dawałby podstawę do dalszego przetwarzania jego danych osobowych przez bank. Przetwarzanie przez Bank danych osobowych W. L. nie znajduje zatem obecnie podstawy w przepisach prawa. Przywołany przez Bank w toku postępowania administracyjnego przepis art. 74 ust. 2 pkt 8 ustawy z dnia 29 września 1994 r. o rachunkowości (Dz. U. z 2013 r. poz. 330 ze zm.) uprawnia do przechowywania danych osobowych klientów związanych z posiadanymi przez nich produktami bankowymi. Nie stanowi natomiast podstawy do przechowywania danych osobowych pozyskanych przez Bank w związku ze złożeniem wniosku o udzielenie kredytu hipotecznego. Do tych danych nie mają bowiem zastosowania przepisy ustawy o rachunkowości dotyczące przechowywania dokumentacji księgowej, w tym pozostałych dowodów księgowych i dokumentów w rozumieniu art. 74 ust. 2 pkt 8 tej ustawy.

Przetwarzanie danych osobowych W. L nie jest też obecnie niezbędne dla wypełnienia prawnie usprawiedliwionych celów realizowanych przez [...] Bank S.A., a w szczególności celu, jakim jest prawo do podjęcia obrony przed ewentualnymi roszczeniami lub zarzutami dotyczącymi przetwarzania danych w celu obsługi wniosku kredytowego. Należy zwrócić uwagę, że przepis art. 23 ust. 1 pkt 5 u.o.d.o. na pierwszym miejscu wymienia warunek, że przetwarzanie danych winno być niezbędne dla wypełnienia prawnie usprawiedliwionych celów. Niedopuszczalne jest więc przetwarzanie danych osobowych niejako "na zapas" z założeniem, że mogą być one ewentualnie przydatne w przyszłości oraz z odwołaniem się przy tym do przepisów dotyczących przedawnienia roszczeń cywilnoprawnych. Gdyby uznać za zasadną argumentację Banku to mogłoby to prowadzić do absurdalnych wniosków, że banki są uprawnione dłużej przetwarzać dane osób z którymi nie łączył je nigdy żaden stosunek prawny, niż dane osób z którymi doszło do zawarcia umowy kredytowej, a w stosunku do których mają zastosowanie ograniczenia wynikające z przepisów art. 105a Prawa bankowego. Odwoływanie się w tym wypadku do celów dowodowych na potrzeby ewentualnych postępowań cywilnych, karnych, czy też administracyjnych jakie W. L. mógłby potencjalnie wytoczyć Bankowi na tle nieistniejącego miedzy stronami stosunku zobowiązaniowego nie znajduje żadnego logicznego, ani prawnego uzasadnienia.

Gdyby Bank zaprzestał przetwarzać dane osobowe wnioskodawcy w momencie, gdy nie doszło do zawarcia miedzy stronami umowy kredytowej to W. L. nie musiałby domagać się usunięcia tych danych ze zbioru danych "Klienci [...] Bank S.A.", a także kierować skargi do GIODO na nieuprawnione przetwarzanie jego danych osobowych przez Bank. W sytuacji bowiem, gdy do zawarcia umowy kredytowej nie doszło dalsze przetwarzanie przez Bank danych osobowych wnioskodawcy nie znajdowało oparcia w przepisach prawa.

Skargę kasacyjną do Naczelnego Sądu Administracyjnego od powyższego wyroku wniósł [...] Bank S.A. Bank, który zaskarżył powyższy wyrok w całości. Wniósł o jego uchylenie w całości i przekazanie sprawy do ponownego rozpoznania Wojewódzkiemu Sądowi Administracyjnemu w Warszawie, ewentualnie o merytoryczne rozpoznanie skargi. Jednocześnie wniósł o rozpoznanie sprawy na rozprawie oraz o zasądzenie od organu na jego rzecz kosztów postępowania, w tym kosztów zastępstwa procesowego wg norm przepisanych.

Zaskarżonemu wyrokowi zarzucił naruszenie:

na podstawie art. 174 pkt 2 P.p.s.a. naruszenie przepisów postępowania, które miało istotny wpływ na wynik sprawy, tj. art. 141 § 4 P.p.s.a., jako że na podstawie treści uzasadnienia zaskarżonego wyroku i powołanych tam przepisów prawa nie da się jednoznacznie ustalić, jaka jest podstawa rozstrzygnięcia w związku z przedmiotem skargi, skoro Sąd powołał przepis art.105a ustawy z dnia 29 sierpnia 1997 r. Prawo bankowe, który dotyczy przetwarzania danych w celu analizy ryzyka kredytowego oraz oceny zdolności kredytowej oraz w celach statystycznych a przedmiotem skargi była kwestia przetwarzania w celu dowodowym danych klientów banku, którzy złożyli wnioski kredytowe ale umowy kredytu z bankiem nie zawarli;

na podstawie art. 174 pkt 1 P.p.s.a. - naruszenie przepisów prawa materialnego, tj. art. 23 ust. 1 pkt 2 u.o.d.o. poprzez jego niezastosowanie, gdy tymczasem poszczególne przepisy procedury cywilnej (6 K.c. w zw. z art. 232 zdanie pierwsze K.p.c.), karnej (art. 6 i art. 167 K.p.k.), administracyjnej regulując ciężar dowodzenia nakładają na stronę powołującą określone twierdzenia obowiązek ich dowodzenia pod rygorem przegrania sprawy, a zatem tworzą uprawnienie do zachowania dowodów i przetwarzania danych z nich wynikających w celu dowodowym, aby realizacja prawa do obrony mogła być realna a nie iluzoryczna, przy czym uprawnienie to trwa do czasu, gdy możliwe jest zwalczenie roszczenia innymi środkami niż przedstawienie dowodów, w szczególności poprzez powołanie się w sprawie cywilnej na zarzut przedawnienia roszczenia;

na podstawie art. 174 pkt 1 P.p.s.a. naruszenie przepisów prawa materialnego, tj. art. 105a ust. 1, 2, 3, 4, 5, 6 ustawy z dnia z dnia 29 sierpnia 1997 r. Prawo bankowe poprzez błędną wykładnię prowadzącą w konsekwencji do niewłaściwego zastosowania tego przepisu i przyjęcie, że przepis ten stanowi wyczerpującą i całościową regulację podstaw przetwarzania danych klientów banku, w tym danych wynikających z wniosku kredytowego, w sytuacji gdy nie dochodzi następnie do zawarcia umowy kredytu a w konsekwencji błędne zastosowanie tego przepisu do oceny podstawy przetwarzania przez Bank danych W. L. w celu dowodowym, gdy tymczasem przepis powyższy dotyczy przetwarzania danych w celu analizy ryzyka kredytowego oraz oceny zdolności kredytowej oraz w celach statystycznych a przetwarzanie danych klientów banku w celu dowodowym znajduje oparcie w art. 23 ust.1 pkt 2 u.o.d.o. w zw. z poszczególnymi przepisami proceduralnymi regulującymi obowiązek dowodzenia (art. 6 K.c. w zw. z art. 232 zdanie pierwsze K.p.c., art. 6 i art.167 K.p.k.);

4 na podstawie art. 174 pkt 1 P.p.s.a. - naruszenie przepisów prawa materialnego, tj. art. 23 ust.1 pkt 5 u.o.d.o. poprzez błędne jego zastosowanie i w konsekwencji przyjęcie, że archiwizacja przez Bank danych osobowych W. L. wynikających ze złożonego przez niego wniosku kredytowego nie jest niezbędna do realizacji przez Bank usprawiedliwionego celu, jakim jest prawo do podjęcia obrony przed ewentualnymi roszczeniami lub zarzutami dotyczącymi przetwarzania danych skarżącego w celu obsługi jego wniosku kredytowego, w tym zarzutami dotyczącymi udostępnienia tych danych do B. S.A. w wyniku zapytania skierowanego do bazy BIOZ, gdy tymczasem poszczególne przepisy procedury cywilnej (art. 6 K.c. w zw. z art. 232 zdanie pierwsze K.p.c.), karnej (art. 6 i art. 167 K.p.k.), administracyjnej regulując ciężar dowodzenia nakładają na stronę powołującą określone twierdzenia obowiązek ich dowodzenia pod rygorem przegrania sprawy a brak zachowania tych dowodów czyniłby prawo do obrony iluzorycznym.

W uzasadnieniu skargi kasacyjnej zawarto argumentację na poparcie wyżej wskazanych zarzutów.

W odpowiedzi na skargę kasacyjną GIODO wniósł o jej oddalenie. W uzasadnieniu podtrzymał swoje dotychczasowe stanowisko. Zwrócił uwagę, że wszelkie zastrzeżenia Banku co do zaskarżonego wyroku, stanowią uprzednio wskazywane zastrzeżenia co do stanowiska organu, co do których organ wypowiedział się już w kwestionowanych decyzjach.

Na rozprawie w dniu 6 marca 2019 r. pełnomocnik GIODO wniósł o zasądzenie od skarżącego kasacyjnie na rzecz organu kosztów postępowania kasacyjnego.

Naczelny Sąd Administracyjny zważył, co następuje:

Zgodnie z art. 183 § 1 ustawy z dnia 30 sierpnia 2002 r. Prawo o postępowaniu przed sądami administracyjnymi (Dz. U. z 2018 r., poz. 1302 ze zm. - dalej jako "P.p.s.a".), Naczelny Sąd Administracyjny rozpoznaje sprawę w granicach skargi kasacyjnej, bierze jednak z urzędu pod rozwagę nieważność postępowania. W sprawie nie występują, enumeratywnie wyliczone w art. 183 § 2 P.p.s.a., przesłanki nieważności postępowania sądowoadministracyjnego. Z tego względu, przy rozpoznaniu sprawy, Naczelny Sąd Administracyjny związany był granicami skargi kasacyjnej.

Skargę kasacyjną można oprzeć na następujących podstawach:

1) naruszeniu prawa materialnego przez błędną jego wykładnię lub niewłaściwe zastosowanie;

2) naruszeniu przepisów postępowania, jeżeli uchybienie to mogło mieć istotny wpływ na wynik sprawy (art. 174 P.p.s.a.).

Granice skargi kasacyjnej wyznaczają wskazane w niej podstawy. Oznacza to, że przytoczone w skardze kasacyjnej przyczyny wadliwości prawnej zaskarżonego wyroku determinują zakres kontroli dokonywanej przez sąd drugiej instancji, który w odróżnieniu od sądu pierwszej instancji nie bada całokształtu sprawy, lecz tylko weryfikuje zasadność zarzutów podniesionych w skardze kasacyjnej.

W sytuacji, kiedy skarga kasacyjna zarzuca naruszenie prawa materialnego oraz naruszenie przepisów postępowania, co do zasady w pierwszej kolejności rozpoznaniu podlegają zarzuty naruszenia przepisów postępowania, ponieważ dopiero po przesądzeniu, że stan faktyczny przyjęty przez sąd w zaskarżonym wyroku jest prawidłowy albo nie został dostatecznie podważony, można przejść do skontrolowania procesu subsumcji danego stanu faktycznego pod zastosowany przez sąd pierwszej instancji przepisu prawa materialnego (por. wyrok NSA z dnia 27 czerwca 2012 r., sygn. akt II GSK 819/11, Lex nr 1217424; wyrok NSA z dnia 26 marca 2010 r., sygn. akt II FSK 1842/08, Lex nr 596025; wyrok NSA z dnia 4 czerwca 2014 r., sygn. akt II GSK 402/13, Lex nr 1488113).

Odnosząc się do zarzutu naruszenia art. 141 § 4 P.p.s.a wskazać należy, że jest on nieuzasadniony. Na tej podstawie można kwestionować kompletność elementów uzasadnienia, a nie jego prawidłowość merytoryczną. Ewentualna wadliwość argumentacji bądź prezentowanie przez stronę innego poglądu, niż wskazany w uzasadnieniu, nie stanowi o naruszeniu przez sąd art. 141 § 4 P.p.s.a. Uzasadnienie zaskarżonego w niniejszej sprawie wyroku sporządzone zostało w sposób umożliwiający zapoznanie się ze stanowiskiem Sądu pierwszej instancji jak również zawiera wszystkie elementy wymienione w tym przepisie. Polemika z merytorycznym stanowiskiem sądu pierwszej instancji nie może sprowadzać się do zarzutu naruszenia art. 141 § 4 P.p.s.a., poprzez który nie można skutecznie zwalczać, ani prawidłowości przyjętego za podstawę orzekania stanu faktycznego ani stanowiska sądu co do wykładni bądź zastosowania prawa (por. wyrok NSA z dnia 26 listopada 2014 r. sygn. akt II OSK 1131/13; wyrok NSA z dnia 20 stycznia 2015 r. sygn. akt I FSK 2081/13; wyrok NSA z dnia 12 marca 2015r. sygn. akt I OSK 2338/13; wyrok NSA z dnia18 marca 2015 r. sygn. akt I GSK 1779/13, wyrok NSA z dnia 10 kwietnia 2018 r. sygn. akt II GSK 1995/16, opubl. na stronie internetowej - Centralna Baza Orzeczeń Sądów Administracyjnych – dalej jako "CBOSA").

Także podniesione w skardze kasacyjnej zarzuty naruszenia prawa materialnego nie są uzasadnione.

Prawidłowe jest stanowisko Sądu pierwszej instancji, że zgodnie z art. 1 u.o.d.o. przetwarzanie danych osobowych może mieć miejsce jeżeli służy to dobru publicznemu, dobru osoby, której dane dotyczą lub dobru osób trzecich. Ochrona danych osobowych, na podstawie przepisów powołanej ustawy, nie powinna być oderwana od przepisów służących ochronie innych wartości. Przetwarzanie może być uznane za zgodne z prawem jedynie wówczas, gdy administrator danych wykaże się spełnieniem co najmniej jednej z materialnych przesłanek przetwarzania danych osobowych. Przesłanki te zaś zostały enumeratywnie wymienione m.in. w art. 23 ust. 1 u.o.d.o.

Przesłanki wskazane w art. 23 ust. 1 u.o.d.o. maja charakter generalny i odnoszą się do wszelkich form przetwarzania danych. Wskazać także należy, że każda z wymienionych w tym przepisie przesłanek ma charakter autonomiczny. Może się jednak zdarzyć, że określone przetwarzanie danych będzie realizowane na podstawie więcej niż jedna przesłanka.

[...] Bank S.A. jako podstawę prawną przetwarzania danych osobowych skarżącego wskazał art. 23 ust. 1 pkt 2 i 5 u.o.d.o,

Przepis art. 23 ust. 1 pkt 5 u.o.d.o. zezwala na przetwarzanie danych gdy jest to niezbędne dla wypełnienia prawnie usprawiedliwionych celów realizowanych przez administratorów danych albo odbiorców danych, a przetwarzanie nie narusza praw i wolności osoby, której dane dotyczą. Dokonując wykładni tego przepisu należy zatem zwrócić uwagę, że stosowanie ww. przepisu wymaga wykazania, że chodzi o realizowanie prawnie usprawiedliwionego celu, ale także dokonanie oceny czy dla realizacji tego celu niezbędne jest przekazanie danych, pomimo braku zgody osoby której dane te dotyczą. Ocena ta sprowadza się do wyważania racji i interesów osoby, której danych sprawa dotyczy, a która jest objęta ochroną prawną, a z drugiej administratora danych, również chronionego przez prawo w zakresie w jakim może realizować prawnie usprawiedliwione cele i uprawnienia. Naczelny Sąd Administracyjny w wyroku z dnia 23 września 2005 r. (sygn. akt I OSK 712/05,CBOSA) już wskazywał, że rozstrzygając o legalności przetwarzania danych trzeba każdorazowo, ważąc interesy stron, znaleźć równowagę między prawami i wolnościami jednostki z jednej strony a prawnie usprawiedliwionym interesem osoby trzeciej z drugiej strony. Oznacza to obowiązek zapewnienia właściwej równowagi praw i interesów stron w tym praw podstawowych.

Zdaniem Naczelnego Sądu Administracyjnego przetwarzanie danych osobowych W. L., który cofnął zgodę na ich przetwarzanie, nie jest niezbędne dla wypełnienia prawnie usprawiedliwionych celów realizowanych przez [...] Bank S.A., a którym jest prawo do podjęcia obrony przed ewentualnymi roszczeniami lub zarzutami dotyczącymi przetwarzania danych W. L. w celu obsługi wniosku kredytowego. Wskazać, należy że przepis art. 23 ust. 1 pkt 5 ustawy na pierwszym miejscu wymienia warunek, że przetwarzanie danych winno być niezbędne dla wypełnienia prawnie usprawiedliwionych celów. Prawidłowe jest stanowisko Sądu pierwszej instancji, że niedopuszczalne jest przetwarzanie danych osobowych niejako "na zapas" z założeniem, że mogą być one ewentualnie przydatne w przyszłości.

Zauważyć należy, że w rozpoznawanej sprawie znaczenie ma, a no co wskazał organ i Sąd pierwszej instancji, że W.L. co prawda w 2012 r. złożył wniosek kredytowy ale strony nie zawarły umowy, a zatem nie powstał między stronami stosunek zobowiązaniowy. Pomiędzy stronami nie toczy się także żadne postepowanie reklamacyjne. Zatem przetwarzania danych strony, a więc na wszelki wypadek, nie można uznać za przetwarzanie niezbędne dla wypełnienia prawnie usprawiedliwionych celów.

Zgodnie z art. 23 ust. 1 pkt 2 u.o.d.o. przetwarzanie danych osobowych jest dopuszczalne wtedy, gdy jest to niezbędne dla zrealizowania uprawnienia lub spełnienia obowiązku wynikającego z przepisu prawa. Przepis ten dopuszcza możliwość przetwarzania danych, uzależnia jednak legalność tego procesu od spełnienia dwóch istotnych wymogów, tj. istnienia odpowiedniego przepisu prawa, który przyznaje podmiotowi uprawnienie lub nakłada na niego obowiązek oraz niezbędności przetwarzania danych dla zrealizowania tego uprawnienia lub spełnienia obowiązku wynikającego z tego przepisu. Wymogi te powinny być spełnione łącznie.

Skarżący kasacyjnie wskazał, że przepisy procedury cywilnej (6 K.c. w zw. z art. 232 zdanie pierwsze K.p.c.), karnej (art. 6 i art. 167 K.p.k.) i administracyjnej regulując ciężar dowodzenia nakładają na stronę powołującą określone twierdzenia obowiązek ich dowodzenia pod rygorem przegrania sprawy, a zatem tworzą uprawnienie do zachowania dowodów i przetwarzania danych z nich wynikających w celu dowodowym, aby realizacja prawa do obrony mogła być realna a nie iluzoryczna, przy czym uprawnienie to trwa do czasu, gdy możliwe jest zwalczenie roszczenia innymi środkami niż przedstawienie dowodów, w szczególności poprzez powołanie się w sprawie cywilnej na zarzut przedawnienia roszczenia.

Zdaniem Naczelnego Sądu Administracyjnego sam fakt, że poszczególne procedury zawierają przepisy dotyczące ciężaru dowodu nie może uzasadniać przetwarzania danych osobowych dotyczących W. L skoro między stronami nie toczy się żadne postepowanie. Tego rodzaju działanie uznać należy także za sprzeczne z art. 26 ust. 1 u.o.d.o, który stanowi, że administrator danych, przetwarzający dane, powinien dołożyć szczególnej staranności w celu ochrony interesów osób, których dane dotyczą, a w szczególności jest obowiązany zapewnić, aby dane te były przetwarzane zgodnie z prawem, a także merytorycznie poprawne i adekwatne w stosunku do celów, w jakich są przetwarzane.

Sąd pierwszej instancji nie naruszył także art. 105 a ust. 1, 2,3,4,5 i 6 ustawy Prawo bankowe. Sąd pierwszej instancji wbrew twierdzeniom skarżącego kasacyjnie nie sformułował kategorycznego poglądu, że powyższy przepis stanowi całościową regulację. Sąd wskazał jedynie, że aktem prawnym zawierającym szczegółowe regulacje dotyczące procesu przetwarzania danych osobowych klientów banków jest ustawa z dnia 27 sierpnia 1997r. - Prawo bankowe. Ponadto w uzasadnieniu wyroku Sąd odniósł się również do regulacji zawartych w art. 23 ust. 1 u.o.d.o. i ocenił zaskarżoną decyzję pod kątem przesłanek wskazanych w tym przepisie.

Z tych względów i na podstawie art. 184 P.p.s.a. Naczelny Sąd Administracyjny oddalił skargę kasacyjną z powodu braku usprawiedliwionych podstaw. O kosztach postępowania kasacyjnego orzeczono na podstawie art. 204 pkt 1 P.p.s.a.