Centralna Baza Orzeczeń Sądów Administracyjnych

Wojewódzki Sąd Administracyjny w Warszawie w składzie następującym: Przewodniczący Sędzia WSA Ewa Marcinkowska Sędziowie WSA Andrzej Góraj Danuta Kania (spr.) Protokolant starszy referent Marcin Borkowski po rozpoznaniu na rozprawie w dniu 17 kwietnia 2013 r. sprawy ze skargi D. S. na decyzję Generalnego Inspektora Ochrony Danych Osobowych z dnia [...] grudnia 2012 r. nr [...] w przedmiocie przetwarzania danych osobowych oddala skargę.

Generalny Inspektor Ochrony Danych Osobowych decyzją z dnia [...] października 2012 r. nr [...], wydaną na podstawie art. 104 § 1 ustawy z dnia 14 czerwca 1960 r. - Kodeks postępowania administracyjnego (Dz. U. z 2000 r. nr 98, poz. 1071 ze zm.) - dalej: "K.p.a.", art. 12 pkt 2, art. 22, art. 23 ust. 1 pkt 2 i 3 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. z 2002 r. nr 101, poz. 926 ze zm.), po przeprowadzeniu postępowania w sprawie skargi D. S. na przetwarzanie przez Bank [...] S.A. z siedzibą w W. jego danych osobowych, odmówił uwzględnienia wniosku.

Pismem z dnia [...] października 2012 r. D. S. złożył wniosek o ponowne rozpatrzenie sprawy, rozstrzygniętej decyzją GIODO z dnia [...] października 2012 r., wnosząc o jej uchylenie oraz uwzględnienie jego wniosku w sprawie przetwarzania danych osobowych przez Bank [...] S.A. z siedzibą w W.

Generalny Inspektor Ochrony Danych Osobowych, po rozpatrzeniu przedmiotowego wniosku, działając na podstawie art. 138 § 1 pkt 1 K.p.a. oraz art. 12 pkt 2, art. 22 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. z 2002 r. nr 101, poz. 926 ze zm.), decyzją z dnia [...] grudnia 2012 r. nr [...], utrzymał w mocy zaskarżoną decyzję.

W uzasadnieniu ww. decyzji Generalny Inspektor Ochrony Danych Osobowych wyjaśnił, że w dniu [...] marca 2012 r. do Biura GIODO wpłynęła skarga D. S. (dalej: skarżący) na przetwarzanie jego danych osobowych przez Bank [...] S.A. z siedzibą w W. (dalej: Bank).

Generalny Inspektor Ochrony Danych Osobowych, na podstawie zebranego w sprawie materiału dowodowego, ustalił, że:

- D. S. w dniu [...] grudnia 2006 r. zawarł z Bankiem umowę o prowadzenie rachunku bankowego,

- z wyjaśnień Banku wynika, iż "(...) wobec faktu, że D. S. (...) w październiku 2010 r. poinformował telefonicznie Bank [...], że nie wyraża zgody na przesyłanie mu pism o treści marketingowej, Bank [...] zaprzestał przetwarzania danych osobowych klienta w celach marketingowych. Oświadczenie klienta (...) Bank uznał za sprzeciw w rozumieniu art. 32 ust. 1 pkt 8 ustawy o ochronie danych osobowych (...)",

- pismem z dnia [...] stycznia 2012 r. Bank przesłał D. S. zestawienie operacji, wykonywanych w związku z prowadzeniem rachunku bankowego wraz z ofertą marketingową. Z wyjaśnień Banku wynikało, że przesłanie D. S. treści marketingowej nastąpiło na skutek błędu, a Bank w wyniku skargi ww. podjął stosowne działania w celu uniknięcia podobnych pomyłek w przyszłości,

- w piśmie z dnia [...] lipca 2012 r., skierowanym do GIODO, Bank wskazał, że "(...) dane osobowe D. S. przetwarzane są aktualnie przez Bank [...] w zbiorze [...] – Klienci – nr książki [...] – w celu wykonania obowiązującej umowy z dnia [...] grudnia 2006 r. (...)", aktualnie zaś Bank nie przetwarza danych osobowych D. S. w celach marketingowych.

W tym stanie faktycznym Generalny Inspektor Ochrony Danych Osobowych w dniu [...] października 2012 r. wydał decyzję, którą odmówił uwzględnienia wniosku D. S. w sprawie jego skargi na przetwarzanie jego danych osobowych przez Bank [...] S.A. z siedzibą w W.

W treści wniosku o ponowne rozpatrzenie sprawy, rozstrzygniętej ww. decyzją, D. S. wniósł o jej uchylenie oraz uwzględnienie jego wniosku w sprawie przetwarzania danych osobowych przez Bank [...] S.A. z siedzibą w W.

Po powtórnym rozpatrzeniu sprawy organ II instancji podniósł, iż zgodnie z art. 7 pkt 2 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. z 2002 r. nr 101, poz. 926 ze zm.), przetwarzanie danych to jakiekolwiek operacje wykonywane na danych osobowych, takie jak zbieranie, utrwalanie, przechowywanie, opracowywanie, zmienianie, udostępnianie i usuwanie, a zwłaszcza te, które wykonuje się w systemach informatycznych.

Ustawa o ochronie danych osobowych określa obowiązki administratora danych, do których należy przetwarzanie danych osobowych z zachowaniem przesłanek określonych w ustawie. Przepisem uprawniającym administratorów danych do przetwarzania danych osób fizycznych, w tym ich udostępnienia, jest art. 23 ust. 1 ustawy, zgodnie z którym przetwarzanie danych jest dopuszczalne tylko wtedy, gdy spełniona jest jedna z przesłanek wskazanych w tym przepisie. Stosownie do treści powołanego przepisu, przetwarzanie danych jest dopuszczalne wtedy, gdy: osoba, której dane dotyczą, wyrazi na to zgodę, chyba że chodzi o usunięcie dotyczących jej danych (pkt 1), jest to niezbędne dla zrealizowania uprawnienia lub spełnienia obowiązku wynikającego z przepisu prawa (pkt 2), jest to konieczne do realizacji umowy, gdy osoba, której dane dotyczą, jest jej stroną lub gdy jest to niezbędne do podjęcia działań przed zawarciem umowy na żądanie osoby, której dane dotyczą (pkt 3), jest niezbędne do wykonania określonych prawem zadań realizowanych dla dobra publicznego (pkt 4), jest niezbędne dla wypełnienia prawnie usprawiedliwionych celów realizowanych przez administratorów danych albo odbiorców danych, a przetwarzanie nie narusza praw i wolności osoby, której dane dotyczą (pkt 5). Każda z przesłanek legalizujących proces przetwarzania danych osobowych ma charakter autonomiczny i niezależny, co oznacza, że przesłanki te co do zasady są równoprawne, a wobec tego spełnienie co najmniej jednej z nich stanowi o zgodnym z prawem przetwarzaniu danych osobowych. W konsekwencji zgoda osoby, której dane dotyczą, nie jest jedyną podstawą przetwarzania danych osobowych, bowiem proces przetwarzania danych będzie zgodny z ustawą również wówczas, gdy administrator danych wykaże spełnienie innej z wyżej wymienionych przesłanek.

Generalny Inspektor Ochrony Danych Osobowych podkreślił, że legalność przetwarzania danych osobowych skarżącego przez Bank znajduje oparcie w przepisach ustawy z dnia 29 sierpnia 1997 r. – Prawo bankowe (Dz. U. z 2002 r. nr 72, poz. 665 ze zm.), w której określone zostały prawa i obowiązki banku względem posiadaczy rachunków bankowych. Ponadto, zgodnie z art. 728 § 2 ustawy z dnia 23 kwietnia 1964 r. – Kodeks cywilny (Dz. U. nr 16, poz. 93), bank jest obowiązany przesyłać posiadaczowi, co najmniej raz w miesiącu, bezpłatnie, wyciąg z rachunku z informacją o zmianach stanu rachunku i ustaleniem salda, chyba że posiadacz wyraził pisemnie zgodę na inny sposób informowania o zmianach stanu rachunku i ustaleniu salda.

W związku z powyższym, w ocenie GIODO, w decyzji organu I instancji trafnie wskazano, że aktualnie Bank przetwarza dane osobowe skarżącego na podstawie art. 23 ust. 1 pkt 3 ustawy w związku z łączącą Bank i skarżącego umową z dnia [...] grudnia 2006 r.

Odnosząc się do zarzutu skarżącego, dotyczącego przesyłania mu wyciągu operacji dokonanych na prowadzonym przez Bank koncie bankowym, GIODO wskazał, że art. 728 § 2 ustawy – Kodeks cywilny nakłada na bank obowiązek przesyłania co najmniej raz w miesiącu wyciągu z rachunku z informacją o zmianach stanu rachunku i ustaleniem konta.

W związku z powyższym, organ II instancji podkreślił, że przetwarzanie danych osobowych skarżącego poprzez przesłanie przez Bank skarżącemu samego wyciągu operacji dokonywanych na koncie bankowym skarżącego, było działaniem zgodnym z prawem na podstawie art. 23 ust. 1 pkt 2 ustawy o ochronie danych osobowych w związku z art. 728 § 2 ustawy – Kodeks cywilny.

Odnosząc się do zarzutu skarżącego, dotyczącego zawarcia przez Bank w wyciągu nr [...] z dnia [...] stycznia 2012 r. oferty marketingowej po uprzednim otrzymaniu od skarżącego sprzeciwu w tym zakresie, GIODO stwierdził, że działanie to było działaniem nieuprawnionym. Niemniej jednak, wobec oświadczenia Banku, że powyższe nastąpiło na skutek błędu i miało charakter incydentalny, GIODO podniósł, że brak jest podstaw do uznania, by w niniejszej sprawie aktualnie istniał stan naruszenia przepisów ustawy o ochronie danych osobowych, a tym samym brak jest podstaw do wydania przez GIODO jakiegokolwiek nakazu, ukierunkowanego na przywrócenie stanu zgodnego z prawem. Generalny Inspektor Ochrony Danych Osobowych bowiem, w myśl art. 18 ust. 1 ustawy, wyłącznie w razie stwierdzenia naruszenia przepisów o ochronie danych osobowych w drodze decyzji administracyjnej nakazuje przywrócenie stanu zgodnego z prawem, a w szczególności: 1) usuniecie uchybień, 2) uzupełnienie, uaktualnienie, sprostowanie, udostępnienie lub nieudostępnienie danych osobowych, 3) zastosowanie dodatkowych środków zabezpieczających zgromadzone dane osobowe, 4) wstrzymanie przekazywania danych osobowych do państwa trzeciego, 5) zabezpieczenie danych lub przekazanie ich innym podmiotom, 6) usunięcie danych osobowych. Organ w przedmiotowej sprawie nie stwierdził, aby stan naruszenia istniał obecnie.

GIODO podniósł dodatkowo, że jeśli wskutek działań Banku doszło w ocenie skarżącego do naruszenia jego dóbr osobistych, może on dochodzić ich ochrony na gruncie przepisów Kodeksu cywilnego.

Pismem z dnia 3 stycznia 2013 r. D. S., działając przez profesjonalnego pełnomocnika, złożył do Wojewódzkiego Sądu Administracyjnego w Warszawie skargę na decyzję GIODO z dnia [...] grudnia 2012 r. nr [...], wnosząc o jej uchylenie w całości, uchylenie decyzji ją poprzedzającej z dnia [...] października 2012 r. oraz o zasądzenie od organu na rzecz skarżącego kosztów postępowania, w tym kosztów zastępstwa procesowego według norm przepisanych.

Skarżący zarzucił zaskarżonej decyzji naruszenie art. 18 ust. 1 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych poprzez nieuwzględnienie wniosku strony o przywrócenie stanu zgodnego z prawem, pomimo stwierdzenia naruszenia przepisów o ochronie danych osobowych przy przetwarzaniu danych osobowych strony przez Bank [...] S.A. z siedzibą w W.

W uzasadnieniu skargi wskazano, iż przepis art. 18 ust. 1 ustawy o ochronie danych osobowych nie pozwala organowi na nieuwzględnienie wniosku strony w przypadku stwierdzenia naruszenia przepisów ustawy przez podmiot te dane przetwarzający. W niniejszej sprawie takie naruszenie nie budzi wątpliwości. Okoliczność, czy konkretnie w dacie wydawania decyzji takie bezprawne przetwarzanie danych osobowych miało miejsce jest dowodowo niesprawdzalne, a nadto pozostaje bez znaczenia na gruncie ww. przepisu. Tym samym w realiach niniejszej sprawy organ nie mógł odmówić uwzględnienia wniosku strony, co stanowi o wadliwości zaskarżonej decyzji.

W odpowiedzi na skargę organ wniósł o jej oddalenie, podtrzymując stanowisko wyrażone w zaskarżonej decyzji.

W piśmie procesowym z dnia 18 marca 2013 r. uczestnik postępowania - Bank [...] S.A. z siedzibą w W. również wniósł o oddalenie skargi.

Wojewódzki Sąd Administracyjny w Warszawie zważył, co następuje:

Uprawnienia wojewódzkich sądów administracyjnych, określone przepisami m.in. art. 1 § 1 i § 2 ustawy z dnia 25 lipca 2002 r. - Prawo o ustroju sądów administracyjnych (Dz. U. nr 153, poz. 1269, ze zm.) oraz art. 3 § 1 ustawy z dnia 30 sierpnia 2002 r. - Prawo o postępowaniu przed sądami administracyjnymi (tekst jedn. Dz. U. z 2012 r., poz. 270), dalej powoływanej jako: "P.p.s.a.", sprowadzają się do kontroli działalności administracji publicznej pod względem zgodności z prawem, tj. kontroli zgodności zaskarżonego aktu z przepisami postępowania administracyjnego, a także prawidłowości zastosowania i wykładni norm prawa materialnego. Stosownie do art. 134 § 1 P.p.s.a., sąd rozstrzyga w granicach danej sprawy, nie będąc jednak związany zarzutami i wnioskami skargi oraz powołaną podstawą prawną.

W ocenie Sądu, skarga oceniana w świetle powyższych kryteriów nie zasługuje na uwzględnienie, bowiem zaskarżona decyzja Generalnego Inspektora Ochrony Danych Osobowych została wydana zgodnie z prawem.

Na wstępie wskazać należy, że zgodnie z art. 7 pkt 2 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. z 2002 r. nr 101, poz. 926 ze zm.), przetwarzanie danych to jakiekolwiek operacje wykonywane na danych osobowych, takie jak zbieranie, utrwalanie, przechowywanie, opracowywanie, zmienianie, udostępnianie i usuwanie, a zawłaszcza te, które wykonuje się w systemach informatycznych. Zgodnie z art. 23 ust. 1 ustawy, przetwarzanie danych jest dopuszczalne tylko wtedy, gdy: osoba, której dane dotyczą, wyrazi na to zgodę, chyba że chodzi o usunięcie dotyczących jej danych (pkt 1), jest to niezbędne dla zrealizowania uprawnienia lub spełnienia obowiązku wynikającego z przepisu prawa (pkt 2), jest to konieczne do realizacji umowy, gdy osoba, której dane dotyczą, jest jej stroną lub gdy jest to niezbędne do podjęcia działań przed zawarciem umowy na żądanie osoby, której dane dotyczą (pkt 3), jest niezbędne do wykonania określonych prawem zadań realizowanych dla dobra publicznego (pkt 4), jest niezbędne dla wypełnienia prawnie usprawiedliwionych celów realizowanych przez administratorów danych albo odbiorców danych, a przetwarzanie nie narusza praw i wolności osoby, której dane dotyczą (pkt 5). Spełnienie co najmniej jednej z ww. przesłanek stanowi o zgodnym z prawem przetwarzaniu danych osobowych.

W świetle powyższych regulacji zgodzić należy się z organem orzekającym, że wobec zawartej w dniu [...] grudnia 2006 r. pomiędzy skarżącym a Bankiem [...] S.A. z siedzibą w W. umowy o prowadzenie rachunku bankowego, aktualnie Bank przetwarza dane osobowe skarżącego na podstawie art. 23 ust. 1 pkt 3 ustawy o ochronie danych osobowych.

Legalność przetwarzania danych osobowych znajduje również oparcie w przepisach ustawy z dnia 29 sierpnia 1997 r. - Prawo bankowe (Dz. U. z 2002 r. nr 72, poz. 665 ze zm.), która w rozdziale 3 określa prawa i obowiązki Banku względem posiadaczy rachunków bankowych. Nadto, zgodnie z art. 728 § 2 ustawy z dnia 23 kwietnia 1964 r. - Kodeks cywilny (Dz. U. nr 16, poz. 93 ze zm.), bank jest obowiązany przesyłać posiadaczowi rachunku co najmniej raz w miesiącu bezpłatnie wyciąg z rachunku z informacją o zmianach stanu rachunku i ustaleniem salda, chyba że posiadacz wyraził pisemnie zgodę na inny sposób informowania o zmianach stanu rachunku i ustaleniu salda. Wobec powyższego, uzasadnione jest stanowisko organu, iż przetwarzanie danych osobowych skarżącego poprzez przesyłanie skarżącemu przez Bank wyciągu operacji dokonywanych na koncie bankowym skarżącego jest działaniem zgodnym z prawem w myśl art. 23 ust. 1 pkt 2 ustawy o ochronie danych osobowych w związku z art. 728 § 2 Kodeksu cywilnego.

Z kolei, odnosząc się do kwestii zawarcia przy wyciągu z rachunku bankowego nr [...] z dnia [...] stycznia 2012 r. treści marketingowych, po uprzednim otrzymaniu przez Bank od skarżącego sprzeciwu w tym zakresie w rozumieniu art. 32 ust. 1 pkt 8 ustawy o ochronie danych osobowych, stwierdzić należy za organem orzekającym, że powyższe działanie było działaniem nieuprawnionym.

Jednakże, w wyjaśnieniach złożonych przez Bank w piśmie z dnia [...] lipca 2012 r., skierowanym do Generalnego Inspektora, wskazano, że "przesłanie D. S. treści marketingowych przy wyciągu nr [...] z dnia [...] stycznia 2012 r. nastąpiło na skutek błędu, a Bank [...], w wyniku ww. skargi, podjął stosowne działania w celu uniknięcia podobnych pomyłek w przyszłości".

Zgodzić należy się z organem orzekającym, iż wobec ww. oświadczenia Banku, wskazującego na incydentalny charakter nieuprawnionego działania, brak było podstaw do uznania, by w niniejszej sprawie aktualnie (w dacie wydania zaskarżonej decyzji) istniał stan naruszenia przepisów ustawy o ochronie danych osobowych. Tym samym brak było podstaw do wydania przez Generalnego Inspektora jakiegokolwiek nakazu, ukierunkowanego na przywrócenie stanu zgodnego z prawem w rozumieniu art. 18 ust. 1 ustawy o ochronie danych osobowych. Stosownie do powołanego przepisu, w przypadku naruszenia przepisów o ochronie danych osobowych Generalny Inspektor z urzędu lub na wniosek osoby zainteresowanej, w drodze decyzji administracyjnej, nakazuje przywrócenie stanu zgodnego z prawem, a w szczególności: 1) usuniecie uchybień, 2) uzupełnienie, uaktualnienie, sprostowanie, udostępnienie lub nieudostępnienie danych osobowych, 3) zastosowanie dodatkowych środków zabezpieczających zgromadzone dane osobowe, 4) wstrzymanie przekazywania danych osobowych do państwa trzeciego, 5) zabezpieczenie danych lub przekazanie ich innym podmiotom, 6) usunięcie danych osobowych.

W ocenie Sądu nieuzasadniony jest zarzut skargi, dotyczący naruszenia art. 18 ust. 1 ustawy o ochronie danych osobowych poprzez nieuwzględnienie wniosku skarżącego o przywrócenie stanu zgodnego z prawem, pomimo stwierdzenia naruszenia przepisów ustawy o ochronie danych osobowych przy przetwarzaniu danych osobowych skarżącego przez Bank.

Podkreślić należy, że sam fakt stwierdzenia przez organ w toku postępowania wyjaśniającego naruszenia przepisów ustawy o ochronie danych osobowych nie daje jeszcze podstaw do uwzględnienia wniosku i wydania decyzji w trybie art. 18 ust. 1 ustawy. Ocena legalności przetwarzania danych następuje bowiem według stanu na dzień wydania decyzji, zaś Generalny Inspektor stosuje konkretne nakazy z uwzględnieniem wszystkich okoliczności ujawnionych w toku postępowania wyjaśniającego oraz charakteru stwierdzonego naruszenia prawa, tj. adekwatnie do stopnia naruszenia i zagrożenia praw osoby, której dane dotyczą.

W świetle powyższego uznać należy, że organ prawidłowo odmówił uwzględnienia wniosku skarżącego "o wydanie decyzji administracyjnej w celu zapobieżenia bezprawnym działaniom". Stwierdzone naruszenie (przesłanie skarżącemu treści marketingowych przy wyciągu nr [...] z dnia [...] stycznia 2012 r.) miało bowiem charakter incydentalny i było skutkiem pomyłki, przy czym - jak wynika z akt sprawy - Bank niezwłocznie podjął niezbędne działania w celu uniknięcia podobnych pomyłek w przyszłości. Skoro Bank, poza ww. jednostkowym przypadkiem, nie przetwarzał danych osobowych skarżącego w celach marketingowych, brak było podstaw do wydania przez organ decyzji w trybie art. 18 ust. 1 ustawy o ochronie danych osobowych. Cel postępowania, jakim jest zgodność przetwarzania danych osobowych z przepisami ustawy, został osiągnięty bez konieczności wydawania wnioskowanej decyzji.

W konkluzji Sąd stwierdza, iż Generalny Inspektor Ochrony Danych Osobowych dokonał właściwej analizy całości sprawy i zasadnie odmówił uwzględnienia wniosku nakazującego wydanie decyzji administracyjnej na podstawie art. 18 ust. 1 ustawy o ochronie danych osobowych.

Z tych względów Wojewódzki Sąd Administracyjny w Warszawie, działając na podstawie art. 151 P.p.s.a., orzekł jak w sentencji wyroku.