Centralna Baza Orzeczeń Sądów Administracyjnych

Wojewódzki Sąd Administracyjny w Warszawie w składzie następującym: Przewodniczący Sędzia WSA Maria Werpachowska, Sędziowie WSA Anna Mierzejewska (spr.), Stanisław Marek Pietras, Protokolant Maria Zawada, po rozpoznaniu na rozprawie w dniu 16 stycznia 2008 r. sprawy ze skargi S. Spółka Akcyjna Oddział w Polsce na decyzję Generalnego Inspektora Ochrony Danych Osobowych z dnia [...] sierpnia 2007 r. nr [...] w przedmiocie ochrony danych osobowych oddala skargę

Generalny Inspektor Ochrony Danych Osobowych decyzją Nr [...] z dnia [...] sierpnia 2007 r., na podstawie art. 138 § 1 pkt 1 z dnia 14 czerwca 1960 r. Kodeks postępowania administracyjnego (Dz. U. z 2000 r. Nr 98, poz. 1071 ze zm.), art. 12 pkt 2, art. 22, art. 18 ust. 1 pkt 6 w zw. z art. 23 ust. 1 i art. 26 ust. 1 pkt 2 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. z 2002 r. Nr 101, poz. 926 ze zm.) po przeprowadzeniu postępowania administracyjnego w sprawie wniosku S. [...] S.A. Oddział w Polsce z siedzibą w W. przy ulicy [...], o ponowne rozpatrzenie sprawy z wniosku Pana A. J. zam. w K. przy [...], dotyczącego nakazania S. [...] S.A. Oddział w Polsce usunięcia jego danych osobowych, rozstrzygniętej decyzją Generalnego Inspektora Ochrony Danych Osobowych z dnia [...] maja 2007 r. Nr [...], utrzymał w mocy zaskarżoną decyzję.

W uzasadnieniu decyzji organ podał, że do Biura Generalnego Inspektora Ochrony Danych Osobowych wpłynął wniosek Pana A. J., dotyczący nakazania S. [...] S.A. Oddział w Polsce z siedzibą w W., usunięcia jego danych osobowych. We wniosku ww. podał, że otrzymał od G. Polska Sp. z o. o. z siedzibą w W., ofertę marketingową, z której wynikała propozycja wymiany "żółtej karty [...] na srebrną". Chcąc wymienić kartę wypełnił dwa formularze wniosku o kartę kredytową skierowane do Banku. Z uwagi na jego wiek wniosek został rozpoznany negatywnie i wobec powyższego wystąpił do Banku o zwrot wypełnionych formularzy ww. wniosku, jednak spotkał się z odmową Banku.

W tej sytuacji Pan A. J. domaga się od Generalnego Inspektora Ochrony Danych Osobowych, nakazania Bankowi zwrotu jego pisemnych danych osobowych, oraz zniszczenia tych danych elektronicznych z przysłaniem oświadczenia o dokonaniu tej czynności. Dalej podał, że otrzymał pismo z informacją, że jego dane osobowe zostały usunięte z systemu bankowego, ale nie podano mu, ani gdzie, ani u kogo, ani kto tego dokonał, w jaki sposób, brak protokołu zniszczenia tych danych, nie zwrócono mu też pisemnych kwestionariuszy z szerokimi danymi.

W celu ustalenia okoliczności przedmiotowej sprawy Generalny Inspektor Ochrony Danych Osobowych wszczął postępowanie administracyjne i dokonał następujących ustaleń:

1. Bank pozyskał dane osobowe Pana A. J. w dniu 14 października 2005 r., na podstawie jego wniosku o kartę kredytową w zakresie: imienia, nazwiska, daty urodzenia, nazwiska rodowego matki, serii i nr dowodu osobistego, nr PESEL, serii i nr paszportu, adresu zameldowania, sytuacji finansowej,

2. w piśmie z dnia 5 czerwca 2006 r., Bank wskazał, że nabył w dniu 1 lutego 2005 r. przedsiębiorstwo G. [...] S.A. W ramach wewnętrznej struktury organizacyjnej Banku funkcjonuje jednostka zajmująca się zawieraniem umów kredytu, w tym związanego z kartą płatniczą, we współpracy z G. Polska Sp. z o. o.,

3. pismem z dnia 9 października 2006 r. Bank poinformował, iż dokonał operacji usunięcia danych osobowych skarżącego z systemu informatycznego obsługującego wnioski kredytowe.

Następnie w pismach z dnia 2 listopada 2006 r. i z dnia 26 stycznia 2007 r. Bank doprecyzował ww. pismo i wskazał, że nie przetwarza danych Pana A. J. w żadnym innym zbiorze, jednak dane te są przechowywane jedynie w tzw. kopiach zapasowych, obrazujących stan danych zapisanych w systemie komputerowym Banku w dacie utworzenia określonej kopii zapasowej. Dane te są przechowywane wyłącznie w celach archiwalnych i w celu zapewnienia bezpieczeństwa operacyjnego Banku.

Wobec tak ustalonego stanu faktycznego Generalny Inspektor Ochrony Danych Osobowych decyzją nr [...] z dnia [...] maja 2007 r., nakazał S. [...] S.A. Oddział w Polsce, usunięcie danych osobowych Pana A. J., przetwarzanych przez Bank w tzw. kopiach zapasowych, zaś w pozostałym zakresie odmówił uwzględnienia wniosku.

W stosunku do decyzji Bank złożył wniosek o ponowne rozpatrzenie sprawy i wniósł o uchylenie zaskarżonej decyzji w zakresie pkt 1.

Zarzucił naruszenie art. 23 ust. 1 pkt 5 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. z 2002 r. Nr 1001, poz. 926 ze zm.), poprzez nakazanie usunięcia danych w sytuacji, gdy przetwarzanie danych osobowych ww. w tzw. kopiach zapasowych jest dopuszczalne na podstawie tego przepisu, ponieważ Bank posiada prawnie usprawiedliwiony interes przetwarzania tych danych a przetwarzanie danych nie narusza praw i wolności skarżącego.

Podkreślił, że jego obowiązek tworzenia kopii zapasowych wynika z Rekomendacji D wydanej przez Głównego Inspektora Nadzoru Bankowego, a ponadto wskazał, że GIODO pominął okoliczność, iż przetwarzanie danych osobowych w kopiach zapasowych odbywa się w innym celu niż przetwarzanie danych w systemach operacyjnych Banku, w związku z czym inna jest podstawa prawna ich przetwarzania i Generalny Inspektor nie ocenił istnienia upoważnienia do ich przetwarzania na podstawie art. 23 ust. 1 pkt 5 ustawy, natomiast zapewnienie bezpieczeństwa funkcjonowania systemu informatycznego Banku, stanowi niewątpliwie prawnie usprawiedliwiony cel administrowania danych.

Dodatkowo Bank wyjaśnił, iż w związku z celem tworzenia i przechowywania kopii zapasowych, Bank nie ma możliwości wprowadzenia w nich zmian i usuwania danych. Kopie zapasowe są zabezpieczone przed modyfikacjami i zniszczeniem. Kopia zapasowa systemu operacyjnego Banku nie jest wyłącznie zapasowym zbiorem danych osobowych, ale kopią całego systemu informatycznego Banku według stanu z chwili utworzenia tej kopii. Wskazał również, że usunięcie danych zawartych w kopii zapasowej mogłoby polegać jedynie na zniszczeniu wszystkich kopii zapasowych z okresu, w którym dane osobowe Pana A. J. były przetworzone przez Bank lub poprzez odczytanie takiej kopii w systemie informatycznym, wprowadzeniu zmian, sporządzeniu nowego zapisu na taśmie magnetycznej i zniszczeniu pierwotnego nośnika danych. Takie działania pozbawiłyby Bank możliwości stwierdzenia stanu systemu informatycznego w określonym dniu, co naruszyłoby bezpieczeństwo informatyczne Banku.

Rozpoznając wniosek o ponowne rozpoznanie sprawy, Generalny Inspektor Ochrony Danych Osobowych podkreślił, że dane Pana A. J. zostały pozyskane przez Bank na podstawie wniosku o kartę kredytową i były przetwarzane przez Bank dla celów związanych z rozpoznaniem wniosku i wówczas przetwarzanie tych danych znajdowało oparcie w art. 23 ust. 1 pkt 3 ustawy, było bowiem niezbędne w celu podjęcia działań przed zawarcie ewentualnej umowy kredytowej. Jednak wniosek został przez Bank rozpoznany negatywnie i do zawarcia przedmiotowej umowy nie doszło. Wobec tego Bank uznał, że nie ma podstaw prawnych do przetwarzania danych osobowych Pana A. J. i dane usunął.

Dalej organ przytoczył art. 26 ust. 1 pkt 2 i podkreślił, że administrator danych przetwarzający dane powinien dołożyć szczególnej staranności w celu ochrony interesów osób, których dane dotyczą, a w szczególności jest obowiązany zapewnić, aby dane te były zbierane dla oznaczonych, zgodnych z prawem celów i nie były poddawane dalszemu przetwarzaniu niezgodnemu z tymi celami.

Jeżeli dane osobowe skarżącego zostały usunięte ze zbioru danych osobowych prowadzonych przez Bank, wobec braku podstaw do ich przetwarzania, to nie ma również podstaw prawnych, by dane te przetwarzane były na kopii zapasowej. Zgodnie z art. 2 ust. 2 pkt 2 ustawy, ustawę stosuje się do przetwarzania danych osobowych w systemach informatycznych, także w przypadku przetwarzania danych, poza zbiorem danych. Przetwarzanie danych w kopii zapasowej w sytuacji, gdy nie ma danych w zbiorze, jest ponadto sprzeczne z celem, dla którego kopie są tworzone. Kopia zapasowa powinna być odzwierciedleniem rzeczywistego stanu zbioru.

Organ wskazał ponadto na przepisy rozporządzenia Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące przetwarzaniu danych osobowych (Dz. U. Nr 100, poz. 1024), które przewidują tworzenie kopii zapasowych zbiorów danych oraz programów i narzędzi programowych służących do ich przetwarzania (§ 5 pkt 4 rozporządzenia), jednak nie uzasadniają one przetwarzania danych w kopii zapasowej zbioru w sytuacji, gdy danych nie ma w żadnym zbiorze. Istotą bowiem tworzenia kopii zapasowej zbioru, o której mowa w ww. rozporządzeniu, jest zabezpieczenie danych przetwarzanych w zbiorze przed ich ewentualną utratą, uszkodzeniem czy zniszczeniem.

Dodatkowo organ wskazał, że Bank podkreśla, iż obowiązek tworzenia i przechowywania takich kopii wynika z Rekomendacji D wydanej przez Głównego Inspektora Nadzoru Bankowego, dotyczącej zarządzania ryzykami towarzyszącymi systemom informatycznym i telekomunikacyjnym używanym przez banki. Rekomendacja nie stanowi przepisu prawa powszechnie obowiązującego, zatem nie ma ona charakteru wiążącego, tym samym nie ma po stronie Banku prawnie usprawiedliwionego interesu w przetwarzaniu danych osobowych ww. zawartych w kopiach.

Organ podkreślił, że system informatyczny pełni wyłącznie rolę służebną w stosunku do administratora danych osobowych. Jeżeli zatem na administratorze danych osobowych spoczywają z mocy obowiązujących przepisów prawa i obowiązki dotyczące przetwarzania danych osobowych i jest związany pewnymi zasadami dotyczącymi ich przetwarzania to tym samym system informatyczny powinien być tak skonstruowany, by administrator mógł przetwarzać dane osobowe zgodnie z tymi zasadami. To system ma być dostosowany do wymogów płynących z przepisów prawa a nie odwrotnie.

Powyższa decyzja stała się przedmiotem skargi wniesionej do Wojewódzkiego Sądu Administracyjnego w Warszawie, w której skarżący wniósł o jej uchylenie, zarzucając:

- naruszenie art. 7, 77 § 1 i art. 80 ustawy z dnia 14 czerwca 1960 r. Kodeks postępowania administracyjnego (Dz. U. z 2000 r. Nr 98, poz. 1071 ze zm.), polegające na błędnej i nierzetelnej ocenie zgromadzonych dowodów, co skutkowało błędnym ustaleniem podstaw faktycznych decyzji, w szczególności poprzez: nieprawidłową ocenę charakteru kopii zapasowych systemu informatycznego Banku, stwierdzenie, iż cel, w jakim Bank przetwarza dane osobowe nie mieści się w pojęciu celu, dla którego dane zostały zebrane, oraz uznanie, że Bank, nie ma prawnie usprawiedliwionego interesu w przetwarzaniu danych osobowych Pana A. J. w kopiach zapasowych systemu,

- naruszenie art. 107 § 3 kpa, poprzez niewyjaśnienie podstawy prawnej decyzji,

- naruszenie art. 26 ust. 1 pkt 2 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych przez błędne przyjęcie, iż Bank nie ma podstaw do dalszego przetwarzania danych osobowych ww., a także naruszenie art. 23 ust. 1 pkt 5 ustawy, zarówno przez uznanie, iż prawnie usprawiedliwiony interes, w rozumieniu tego przepisu musi wynikać wprost z powszechnie obowiązującego przepisu prawa, jak i poprzez niezastosowanie tego przepisu w sytuacji, gdy Bank posiada prawnie usprawiedliwiony interes prawny w przetwarzaniu danych osobowych Pana A. J., a przetwarzanie nie narusza jego praw i wolności.

W odpowiedzi na skargę organ wniósł o jej oddalenie, powołując argumenty jak w uzasadnieniu zaskarżonej decyzji.

Wojewódzki Sąd Administracyjny w Warszawie zważył, co następuje:

Stosownie do treści art. 13 § 2 Prawa o postępowaniu przed sądami administracyjnymi (Dz. U. Nr 153, poz. 1270 ze zm.) do rozpoznawania sprawy właściwy jest wojewódzki sąd administracyjny, na którego obszarze właściwości ma siedzibę organ administracji publicznej, którego działalność została zaskarżona.

Natomiast zgodnie z treścią art. 1 § 1 i § 2 ustawy z dnia 25 lipca 2002 r. – Prawo o ustroju sądów administracyjnych (Dz. U. Nr 153, poz. 1269), sąd administracyjny sprawuje wymiar sprawiedliwości przez kontrolę pod względem zgodności z prawem zaskarżonej decyzji administracyjnej i to z przepisami obowiązującymi w dacie jej wydania.

Skarga analizowana pod tym kątem nie zasługuje na uwzględnienie.

Podkreślić należy, że dane Pana A. J. zostały pozyskane przez Bank, na podstawie wniosku o kartę kredytową i były przetwarzane przez Bank dla celów związanych z rozpatrywaniem ww. wniosku. Takie przetwarzanie danych znajdowało oparcie w art. 23 ust. 1 pkt 3 ustawy o ochronie danych osobowych, było bowiem niezbędne dla celu podjęcia działań związanych z zawarciem umowy kredytowej.

Jednak wniosek kredytowy został rozpatrzony przez Bank negatywnie i do zawarcia przedmiotowej umowy nie doszło. Wskutek powyższego Bank, prawidłowo uznał, że nie ma podstaw prawnych do przetwarzania danych osobowych Pana A. J. i dane usunął, jednak pozostawił je w kopiach zapasowych.

Wobec powyższego zupełnie nieuzasadnione jest stanowisko reprezentowane przez Bank, jakoby pozyskał dane z zamiarem ich archiwalnego przetwarzania związanego z zapewnieniem bezpieczeństwa operacyjnego Banku.

Zgodnie z art. 26 ust. 1 pkt 2 ustawy, administrator danych, przetwarzający dane, powinien dołożyć szczególnej staranności w celu ochrony interesów osób, których dane dotyczą, a w szczególności jest obowiązany zapewnić aby dane te były zbierane dla oznaczonych zgodnie z prawem celów i nie były poddawane dalszemu przetwarzaniu niezgodnie z tymi celami.

Jeżeli zatem dane osobowe Pana A. J. zostały usunięte ze zbiorów danych osobowych prowadzonych przez Bank, wobec braku podstaw prawnych do ich przetwarzania, to nie ma żadnych podstaw prawnych, by dane te były przetwarzane w kopii zapasowej. Stosownie do treści art. 2 ust. 2 pkt 2 ustawy o ochronie danych osobowych, ustawę tę stosuje się do przetwarzania danych osobowych w systemach informatycznych, także w przypadku przetwarzania danych poza zbiorem danych. Zatem przetwarzanie danych w kopii zapasowej w sytuacji, gdy nie ma danych w zbiorze, jest sprzeczne z celem, dla którego kopie takie są tworzone. Kopia zapasowa powinna odzwierciedlać stan rzeczywisty zbioru, faktyczną jego zawartość.

Również przepisy rozporządzenia Ministra Spraw Wewnętrznych i Administracji w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych, przewidują tworzenie kopii zapasowych zbiorów danych oraz programów i narzędzi programowych służących do ich przetwarzania (§ 5 pkt 4 rozporządzenia), jednak nie uzasadniają one przetwarzania danych w kopii zapasowej zbioru, gdy danych nie ma w żadnym ze zbiorów.

Istotą tworzenia kopii zapasowej zbioru, o której mowa w ww. rozporządzeniu, jest zabezpieczenie danych przetwarzanych w zbiorze przed ich ewentualną utratą, uszkodzeniem czy zniszczeniem. Wobec powyższego, jeżeli danych nie ma w zbiorze, to nie ma podstaw do ich przetwarzania, a więc danych nie powinno być w kopii zapasowej.

Wskazać również należy, że Rekomendacja D wydana przez Głównego Inspektora Nadzoru Bankowego dotycząca zarządzania ryzykami towarzyszącymi systemom informatycznym i telekomunikacyjnym używanym przez banki, nie stanowi powszechnie obowiązującego prawa, a ponieważ jest sprzeczna z przepisami cytowanego rozporządzenia Ministra Spraw Wewnętrznych i Administracji nie może stanowić podstawy do przetwarzania danych w kopiach zapasowych.

Należy również podkreślić, że na administratorze danych spoczywają z mocy przepisów prawa określone obowiązki dotyczące przetwarzania danych osobowych i wobec tego jest związany zasadami dotyczącymi ich przetwarzania. Zatem system informatyczny powinien być tak skonstruowany, aby administrator mógł przetwarzać dane osobowe zgodnie z tymi zasadami, czyli to system musi być dostosowany do wymogów płynących z przepisów prawa w tym zakresie, a nie odwrotnie.

Wobec powyższych ustaleń zdaniem Sądu, zaskarżona decyzja nie narusza prawa.

Mając powyższe na uwadze na podstawie art. 151 w zw. z art. 132 – Prawa o postępowaniu przed sądami administracyjnymi Wojewódzki Sąd Administracyjny w Warszawie, orzekł jak w sentencji.