Centralna Baza Orzeczeń Sądów Administracyjnych

W przedmiotowej sprawie doszło niewątpliwie do naruszenia ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych /Dz.U. 2002 nr 101 poz. 926/. Kasjerka wykorzystała bowiem dane osobowe klienta w sytuacji, w której nie miała do tego upoważnienia w oparciu o art. 104 i art. 105 ustawy z dnia 29 sierpnia 1997 r. Prawo bankowe /Dz.U. 2002 nr 72 poz. 665/. W przypadku naruszenia przepisów o ochronie danych osobowych /wraz z bardziej rygorystycznymi wymogami z Prawa bankowego/ Generalny Inspektor Ochrony Danych Osobowych jest zobowiązany zastosować w stosunku do administratora danych środki przewidziane w art. 18 ustawy.

Naczelny Sąd Administracyjny po rozpoznaniu sprawy ze skargi Wiesława D. na decyzję Generalnego Inspektora Ochrony Danych Osobowych z dnia 25 lipca 2002 r. (...) w przedmiocie ochrony danych osobowych - uchyla zaskarżoną decyzję.

Stan sprawy przedstawiał się następująco. Do biura Generalnego Inspektora Ochrony Danych Osobowych wpłynęła 14 lutego 2002 r. skarga Wiesława D. na Bank Polska Kasa Opieki SA I Odział w B.-B., który niezgodnie z ustawą o ochronie danych osobowych udostępnił jego dane osobowe kasjerce - Małgorzacie D., wykorzystującej jego dane do celów prywatnych.

W toku ustaleń stwierdzono, że kasjerka oddziału, w którym Wiesław D. wpłacał 300 zł zadłużenia z karty kredytowej, omyłkowo pokwitowała przyjęcie 3 tysięcy zł. Gdy Bank zażądał od niej zwrotu 2,7 tys. zł, kasjerka zwróciła się o to do klienta, a następnie przekazała jego dane kancelarii prawniczej dla wyegzekwowania roszczeń. Wyczerpała w związku z tym znamiona czynu z art. 51 ustawy, gdyż ujawniła tajemnicę bankową niezgodnie z upoważnieniem.

GIODO zawiadomił więc 24 maja 2002 r. prokuraturę rejonową o popełnieniu przez kasjerkę przestępstwa z art. 51 ustawy i art. 171 ust. 5 Prawa bankowego. Decyzją z dnia 18 czerwca 2002 r. nakazał zaś Bankowi Polska Kasa Opieki SA wprowadzenie w procedurach wewnętrznych postanowień zabraniających pracownikom Banku wykorzystywania danych osobowych klientów Banku w innych celach niż związane z obowiązkami służbowymi tych pracowników /GI-DEC-DS.-108/02/380,381/. W uzasadnieniu wskazał, że w celu dochodzenia roszczeń kasjerka kontaktowała się telefonicznie z wnioskodawcą i przekazała jego dane Kancelarii Prawniczej. Przyjął przy tym odpowiedzialność Banku za działania kasjerki.

W dniu 5 lipca 2002 r. Bank Polska Kasa Opieki SA złożył wniosek o ponowne rozpatrzenie sprawy, uchylenie decyzji i umorzenie postępowania. Powołał się przy tym na obowiązujące procedury : Zarządzenie Prezesa Zarządu Banku z 25 sierpnia 1999 r. nr D/17/99 - Ochrona Danych, Urządzeń i Technologii Informacyjnej, zał. nr 1 do ww. zarządzenia - Instrukcję Służbową nr D/28 Ochrona Danych Urządzeń i Technologii Informacyjnej w Banku Polska Kasa Opieki SA oraz zał. Nr 2 do ww. zarządzenia - wzór oświadczenia pracownika. Podkreślił, że udostępnienie danych nastąpiło bez wiedzy i woli Banku, a par. 7 Instrukcji zezwala pracownikom na wykorzystanie danych wyłącznie dla celów związanych z ich obowiązkami.

Pismem z 17 lipca 2002 r. skarżący podtrzymał swoje zarzuty wobec Banku, wskazując że udostępnia mimo braku zgody jego dane kasjerce, która wykorzystuje je do celów prywatnych.

W dniu 25 lipca 2002 r. GIODO decyzją (...) uchylił w całości swoje poprzednie rozstrzygnięcie i nie stwierdził naruszenia przepisów o ochronie danych osobowych w procesie przetwarzania danych Wiesława D. przez Bank Polska Kasa Opieki SA w W. Stwierdził bowiem, że Bank nie naruszył przepisów, lecz jedynie jego kasjerka bez woli i wiedzy Banku, o czym zawiadomiono prokuraturę.

W dniu 27 sierpnia 2002 r. Wiesław D. zaskarżył tę decyzję do Naczelnego Sądu Administracyjnego z powodu jej niezgodności z prawem. Podkreślił, że mimo obowiązujących procedur jego dane były wykorzystane przez kasjerkę do celów prywatnych. GIODO zawiadomił o przestępstwie, a jednocześnie zaprzecza, aby Bank naruszył przepisy ustawy.

W odpowiedzi na skargę GIODO wniósł o jej oddalenie. Wskazał, że co prawda Bank bronił swego pracownika, który przetwarzał dane osobowe skarżącego w celu uzyskania odszkodowania od faktycznego sprawcy szkody powstałej na skutek błędu w trakcie dokonywania czynności bankowych związanych z umową o obsługę karty bankowej skarżącego, jednakże było to zdarzenie incydentalne. Nie jest bowiem praktyką Banku udostępnianie danych osobowych jego klientów dla prywatnych potrzeb. Dowodem tego są istniejące procedury. Brak jest więc podstaw do stwierdzenia, że Bank naruszył ustawę o ochronie danych osobowych. Dołożył on bowiem należytej staranności w procesie przetwarzania danych. Przepisy ustawy naruszyła zaś kasjerka, dlatego zawiadomiono prokuraturę o naruszeniu przepisów ustawy.

Naczelny Sąd Administracyjny zważył że:

Skarga jest zasadna. Zgodnie z art. 21 ustawy z dnia 11 maja 1995 r. o Naczelnym Sądzie Administracyjnym /Dz.U. nr 74 poz. 368 ze zm./ Sąd sprawuje w zakresie swojej właściwości kontrolę pod względem zgodności z prawem, jeżeli ustawa nie stanowi inaczej. W przedmiotowej sprawie brak jest takiej odrębnej regulacji, stąd Naczelny Sąd Administracyjny oceniał zaskarżoną decyzję jedynie z punktu widzenia legalności.

Zasadnicze znaczenie dla oceny legalności zaskarżonej decyzji miały dwie kwestie, po pierwsze możliwość przetwarzania danych, które stanowią tzw. tajemnicę bankową, po drugie odpowiedzialność administratora danych za działania jego pracownika.

W odniesieniu do pierwszej z tych kwestii, należało podkreślić, że przedmiotem skargi było przetwarzanie danych osobowych polegające na ich udostępnieniu. W świetle zaś art. 5 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych /Dz.U. 2002 nr 101 poz. 926/, jeżeli przepisy odrębnych ustaw, które odnoszą się do przetwarzania danych, przewidują dalej idącą ich ochronę, niż wynika z niniejszej ustawy, stosuje się przepisy tych ustaw.

Należało w związku z tym podkreślić, że przepisy ustawy z dnia 29 sierpnia 1997 r. Prawo bankowe /Dz.U. 2002 nr 72 poz. 665/ przewidują bardziej rygorystyczne wymogi z zakresie udostępniania informacji bankowej, aniżeli przepisy ustawy o ochronie danych osobowych. Zgodnie z art. 105 ustawy Prawo bankowe, bank ma obowiązek udzielenia informacji stanowiących tajemnicę bankową wyłącznie podmiotom wyraźnie wymienionym w tym artykule. Katalog ten jest bardziej rygorystyczny niż możliwości przetwarzania danych osobowych, przewidziane w art. 23 ustawy o ochronie danych osobowych.

Jednocześnie zgodnie z art. 104 ust. 1 pkt 1 ustawy Prawo bankowe, Banki i osoby w nich zatrudnione oraz osoby, za których pośrednictwem bank wykonuje czynności bankowe, są obowiązane zachować tajemnicę bankową, która obejmuje wszystkie wiadomości dotyczące czynności bankowych i osób będących stroną uzyskane w czasie negocjacji, oraz związane z zawarciem umowy z bankiem i jej realizacją, z wyjątkiem wiadomości, bez których nie jest możliwe należyte wykonanie zawartej przez bank umowy.

W świetle tego artykułu można więc stwierdzić, że informację bankową i odpowiadającą jej tajemnicę bankową stanowi informacja, która składa się z wiadomości dotyczących czynności bankowych i wiadomości dotyczących osoby będącej stroną umowy /Juchno R., Kaszubski R.,W., Outsourcing wybranych czynności bankowych, Glosa 2001 nr 8 str. 5-1/. W tym znaczeniu pojęcie danych osobowych klienta banku mieści się w pojęciu informacji i tajemnicy bankowej. W związku zaś z treścią art. 104 i art. 105 ustawy Prawo bankowe przekazywanie tego typu danych osobowych odbywa się według bardziej rygorystycznych zasad określonych w zakresie art. 105 ustawy Prawo bankowe.

W odniesieniu do drugiej kwestii należy podkreślić, że ustawa o ochronie danych osobowych i ustawa Prawo bankowe przewidują różne rodzaje odpowiedzialności związane z naruszeniem jej przepisów. Może być to przede wszystkim odpowiedzialność karna związana z ujawnieniem tajemnicy bankowej. Odpowiedzialność tę ponosi konkretna osoba, która będąc obowiązana do zachowania tajemnicy bankowej, ujawnia lub wykorzystuje informacje stanowiące tajemnicę bankową niezgodnie z upoważnieniem określonym w ustawie /art. 171 ust. 5 ustawy Prawo bankowe/. W odniesieniu do tej odpowiedzialności stosuje się przepisy kodeksu postępowania karnego, a przesłanką odpowiedzialności może być jedynie wina konkretnej osoby fizycznej.

Inny rodzaj odpowiedzialności to odpowiedzialność cywilna i administracyjna związane z ujawnieniem tajemnicy. Pierwsza z nich wiąże się z pojęciem szkody. Zgodnie też z art. 105 ust. 5 ustawy Prawo bankowe ponosi za nią odpowiedzialność Bank.

Podobnie wygląda kwestia odpowiedzialności administracyjnej za naruszenie przepisów o ochronie danych osobowych, w tym opartych na bardziej rygorystycznych zasadach, wynikających z prawa bankowego. Tę odpowiedzialność ponosi administrator danych, czyli zgodnie z art. 7 pkt 4 ustawy o ochronie danych osobowych - organ, instytucja, jednostka organizacyjna, podmiot lub osoba, o której mowa w art. 3 ust. 1 i 2, decydujące o celach i środkach przetwarzania danych osobowych. W przedmiotowej sytuacji administratorem danych był bank.

Bank działa przez swoich pracowników. W zakresie odpowiedzialności administracyjnej przyjmuje się też odpowiedzialność jednostki organizacyjnej za działania jego personelu. I tak w przypadku doręczeń pism na podstawie art. 45 ustawy z dnia 14 czerwca 1960 r. Kodeks postępowania administracyjnego /Dz.U. 2000 nr 98 poz. 1071 ze zm./ przyjmuje się, że błędne działanie podległego personelu nie mogą stanowić o braku winy jednostki organizacyjnej, dającym podstawę do przywrócenia terminu na podstawie art. 58 par. 1 Kpa. Wskazuje się bowiem, że jednostka organizacyjna odpowiada za działania swoich pracowników./wyrok NSA z dnia 20 września 2001 r. IV SA 1340/99, czy wyrok NSA z dnia 9 marca 2000 r. I SA/Gd 1288/99, czy postanowienie NSA z dnia 26 stycznia 2001 r. III SA 8291/98/.

Podobny rodzaj odpowiedzialności wynika z ustawy o ochronie danych osobowych. Obok zindywidualizowanej odpowiedzialności karnej przetwarzającego lub administrującego danymi z rozdziału 8 tej ustawy, wchodzi w grę możliwość stosowania środków administracyjnych wobec administratora. Zgodnie bowiem z art. 18 ust. 1 ustawy, w razie stwierdzenia naruszenia przepisów o ochronie danych osobowych, Generalny Inspektor z urzędu lub na wniosek osoby zainteresowanej nakazuje administratorowi danych w drodze decyzji administracyjnej przywrócenie stanu zgodnego z prawem, a w szczególności zastosowanie wskazanych poniżej enumeratywnych środków.

Administrator odpowiada więc za czyny swoich pracowników w zakresie naruszenia ustawy o ochronie danych osobowych. Nie może się przy tym ekskulpować, w oparciu o art. 26, że dołożył szczególnej staranności w celu ochrony tych danych.

W przedmiotowej sprawie doszło niewątpliwie do naruszenia przepisów o ochronie danych osobowych i prawa bankowego. Kasjerka wykorzystała bowiem dane osobowe klienta w sytuacji, w której nie miała do tego upoważnienia w oparciu o art. 104 i art. 105 ustawy Prawo bankowe. W przypadku naruszenia przepisów o ochronie danych osobowych /wraz z bardziej rygorystycznymi wymogami z prawa bankowego/ GIODO jest zobowiązany zastosować w stosunku do administratora danych środki przewidziane w art. 18 ustawy. Są one niezależne od doniesienia opartego o art. 19, które dotyczy osoby fizycznej. Tymczasem GIODO stwierdził, że do takiego naruszenia ze strony Banku nie doszło, przyjmując tym samym brak odpowiedzialności administratora za działania podległych mu pracowników. Z tego punktu widzenia zaskarżona decyzja naruszała art. 18 ust. 1 ustawy.

W trakcie rozprawy przed Sądem pełnomocnik Banku wskazał na konkretne zabezpieczenia, które zostały podjęte przez Bank w celu zapobieżenia powstałym nieprawidłowościom. Działania te, mogą być oceniane przez GIODO z punktu widzenia przedmiotowości postępowania administracyjnego, w nowo podjętym postępowaniu. Naczelny Sąd Administracyjny nie może jednak zastępować organu w orzekaniu co do celowości zastosowania środka zabezpieczenia.

Dlatego Naczelny Sąd Administracyjny orzekł na podstawie art. 22 ust. 1 pkt 1 i ust. 2 pkt 1 oraz art. 53 ust. 2 ustawy o NSA w związku z art. 5 i art. 18 ust. 1 ustawy o ochronie danych osobowych oraz art. 104 i art. 105 ustawy Prawo bankowe jak w sentencji.