Centralna Baza Orzeczeń Sądów Administracyjnych

Wojewódzki Sąd Administracyjny w Warszawie w składzie następującym: Przewodniczący Sędzia WSA Iwona Maciejuk, Sędziowie WSA Andrzej Góraj, Ewa Marcinkowska (spr.), , Protokolant specjalista Maria Zawada, po rozpoznaniu na rozprawie w dniu 11 stycznia 2017 r. sprawy ze skargi E. S.A. z siedzibą w [...] na decyzję Generalnego Inspektora Ochrony Danych Osobowych z dnia [...] czerwca 2016 r. nr [...] w przedmiocie przetwarzania danych osobowych oddala skargę

Generalny Inspektor Ochrony Danych Osobowych (dalej "GIODO") decyzją

z dnia [...] czerwca 2016 r. nr [...] działając na podstawie art. 138 § 1 pkt 1 k.p.a., art. 12 pkt 2, art. 18 ust. 1 pkt 6, art. 22 oraz art. 23 ust. 1 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (t. j. Dz. U. z 2015 r., poz. 2135 ze zm.), utrzymał w mocy swoją wcześniejszą decyzję z dnia [...] lipca 2015 r. [...] nakazującą [...] S.A. z siedzibą w W. usunięcie danych osobowych W. L., zam. w K., przy ul [...], ze zbioru danych "[...]"

Do wydania powyższych decyzji doszło w następującym stanie faktycznym i prawnym:

W. L. wniósł do Biura GIODO skargę na odmowę usunięcia jego danych osobowych przetwarzanych przez [...]S.A. z siedzibą w W. W treści skargi wskazał, że wnosi o nakazanie dopełnienia obowiązku usunięcia jego danych osobowych związanych z wnioskiem o kredyt. Oświadczył, że nie był, nie jest i nie będzie klientem Banku.

Wskazaną wyżej decyzją z dnia [...] lipca 2016 r. GIODO, działając na podstawie art. 12 pkt 2, art. 18 ust. 1 pkt 6, art. 22 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (t. j. Dz. U. z 2014 r., poz. 1182 ze zm.) nakazał [...] S.A. z siedzibą w W. usunięcie danych osobowych W.L. ze zbioru danych "[...]"

W uzasadnieniu decyzji organ wskazał, że ustalił następujący stan faktyczny:

W. L. wnioskował o przyznanie kredytu hipotecznego. Jednak pomiędzy nim, a Bankiem nie została zawarta ostatecznie żadna umowa.

Bank pozyskał dane osobowe W.L. w zakresie: imię, nazwisko, numer PESEL, adres zamieszkania, adres korespondencyjny, telefon komórkowy, prywatny, telefon komórkowy do pracy, data urodzenia, miejsce urodzenia, nazwisko rodowe matki, imię matki, imię ojca, obywatelstwo, stan cywilny, numer i seria dowodu osobistego, adres e-mail, źródło i wysokość dochodu, sumę wydatków na życie i informacje o majątku.

Dane osobowe W.L. są przetwarzane przez Bank w zbiorze danych "[...]" w celach archiwalnych i dowodowych.

Pismem z dnia [...] stycznia 2013 r. W. L. zwrócił się do Banku z wnioskiem o usunięcie jego danych osobowych wynikających z ww. wniosku oraz o zwrot dołączonych do wniosku dokumentów lub ich trwale zniszczenie.

W odpowiedzi na powyższe, pismem z dnia [...] marca 2013 r., Bank odmówił usunięcia danych osobowych W. L. powołując się na art. 74 pkt 8 ustawy z dnia 29 września 1994 r. o rachunkowości (Dz. U. z 2013 r., poz. 330, z późn. zm.) oraz art. 23 ust. 1 pkt 5 ustawy o ochronie danych osobowych. Jednocześnie Bank zwrócił wszystkie dokumenty, które zostały dołączone do wniosku o udzielenie kredytu hipotecznego.

Bank, w swoich wyjaśnieniach złożonych w sprawie poinformował, że przetwarzając dane osobowe W. L. działa w prawnie usprawiedliwionym celu, jakim jest realizacja obowiązku udzielenia odpowiedzi na ewentualne reklamacje oraz możliwość obrony przed ewentualnymi roszczeniami cywilnoprawnymi, a także zarzutami karnymi związanymi z przetwarzaniem danych osobowych osób, które złożyły wniosek kredytowy, choć do zawarcia umowy ostatecznie nie doszło. Bank wskazał, że złożenie wniosku kredytowego rozpoczyna proces przetwarzania danych osobowych wnioskodawcy oraz inicjuje obowiązek Banku zachowania tajemnicy bankowej wynikający z art. 104 ust. 1 ustawy z dnia 29 sierpnia 1997 r. Prawo bankowe. Dane wnioskodawcy są następnie udostępniane do BIK S.A. oraz biur informacji gospodarczej w ramach badania zdolności kredytowej, co stanowi kolejny przejaw przetwarzania jego danych osobowych.

Dalej GIODO podniósł, że W. L. nie wyraził zgody na przetwarzanie jego danych osobowych, dlatego w sprawie nie występuje przesłanka z art. 23 ust. 1 pkt 1 ustawy o ochronie danych osobowych. Skoro zaś W. L. nie wiązała z Bankiem żadna umowa, to nie została w sprawie spełniona przesłanka z art. 23 ust. 1 pkt 3 ustawy. W ocenie GIODO przetwarzanie przez Bank danych osobowych W. L. nie znajduje oparcia w przepisach prawa, w szczególności ustawy z dnia 29 sierpnia 1997 r. Prawo bankowe (Dz.U. z 2015 r. poz. 128). Nie zachodzi w sprawie przesłanka z art. 23 ust. 1 pkt 2 ustawy. GIODO stwierdził także, że przetwarzania dany nie uzasadnia także jakiekolwiek dobro publiczne, o którym mowa w art. 23 ust. 1 pkt 4 ww. ustawy.

Bank jako przesłankę przetwarzania danych osobowych skarżącego wskazał art. 23 ust. 1 pkt 5 ustawy, wymieniając następujące cele: realizacja obowiązku udzielenia odpowiedzi na ewentualne reklamacje oraz możliwość obrony przed ewentualnymi roszczeniami cywilnoprawnymi, a także zarzutami karnymi.

Odnosząc się do wskazywanych przez Bank przesłanek przetwarzania danych osobowych W. L. organ wskazał, że pismem z dnia [...] stycznia 2013 r. zwrócił się on o usunięcie jego danych wynikających z wniosku o przyznanie kredytu hipotecznego oraz zwrot dołączonych do ww. wniosku dokumentów lub ich trwałe zniszczenie. Bank pismem z dnia [...] marca 2013 r. odmówił usunięcia ww. danych i zwrócił dokumenty, o których mowa powyżej. Zdaniem GIODO z tym dniem postępowanie reklamacyjne zostało zakończone ze względu na brak odpowiedzi W. L. na pismo Banku.

Jako niezrozumiały GIODO określił argument Banku o konieczności zabezpieczenia jego roszczeń na wypadek ewentualnych roszczeń W. L. związanych z reklamacją. W ocenie GIODO nie można podzielić argumentacji, że archiwizacja dokumentów, jak i innych danych pobranych przy dokonywaniu czynności bankowych jedynie w celach dowodowych jest prawnie usprawiedliwioną działalnością Banku, np. na wypadek jakiejkolwiek reklamacji i nie jest to niezgodne z prawem, zasadami współżycia społecznego, ani dobrymi obyczajami i nie narusza praw, ani wolności osoby, której dane dotyczą.

GIODO stwierdził, że dalsze przetwarzanie przez Bank danych osobowych W. L. w prawnie usprawiedliwionym celu, jakim jest realizacja obowiązku udzielenia odpowiedzi na ewentualne reklamacje oraz możliwość obrony przed ewentualnymi roszczeniami cywilnoprawnymi a także zarzutami karnymi związanymi z przetwarzaniem danych, byłoby przetwarzaniem tych danych na zapas, na wszelki wypadek, bez wykazania niezbędności dla realizacji zadań Banku jako administratora danych. Takie działanie nie może być uznane za zgodne z przepisami ustawy o ochronie danych osobowych.

Jedynym roszczeniem W. L. jest żądanie usunięcia jego danych osobowych przez Bank, z którym nie łączy go żaden stosunek prawny.

Od powyższej decyzji [...] S.A. złożył wniosek o ponowne rozpatrzenie sprawy. We wniosku tym Bank podniósł, że wzwiązku z przetwarzaniem danych w procesie obsługi wniosku kredytowego klienta pracownicy Banku, w tym członkowie zarządu narażeni są na zarzut popełnienia przestępstw dotyczących przetwarzania danych osobowych lub mających związek z tym przetwarzaniem, w tym przede wszystkim przestępstw określonych w art. 49, 51, 54 ustawy o ochronie danych osobowych. W takim wypadku za usprawiedliwione należy uznać, w ocenie Banku, zapewnienie sobie możliwości podjęcia obrony i realizacji prawa do obrony i inicjatywy dowodowej wynikających z art. 6 i art. 167 Kodeksu postępowania karnego.

Dalej wskazał, że z jego praktyki, a także z doświadczenia życiowego wynika, że nie jest możliwe przewidzenie daty zgłoszenia roszczenia, postawienia zarzutu, czy też konieczności podjęcia obrony przez bank we wszczętym i toczącym się postępowaniu. Prawo Banku, jak i każdego innego podmiotu, do obrony swego interesu prawnego byłoby iluzoryczne, gdyby istniał obowiązek pozbycia się wszelkich dowodów zawiązanej relacji prawnej z klientem. W ocenie Banku W. L. nie ma racji, że nie był jego klientem. Już wskutek samego złożenia wniosku kredytowego, czyli na etapie przedkontraktowym nawiązuje się relacja prawna bank - klient, co potwierdza art. 104 ust. 1 ustawy Prawo bankowe, statuujący obowiązek banków zachowania w tajemnicy wszelkich informacji dotyczących czynności bankowych uzyskanych już na etapie choćby negocjacji, czyli przed zawarciem umowy. Już wówczas rozpoczyna się także proces przetwarzania danych, który jest obwarowany przepisami ustawy o ochronie danych osobowych i za który bank, jako administrator danych, ponosi odpowiedzialność cywilną, karną, administracyjną.

Ponadto Bank podniósł, że z praktyki wynika, że za reklamacją, które nie zostaje uwzględniona, wpływają kolejne reklamacje danego klienta, a niejednokrotnie dochodzi ostatecznie do sporu sądowego. W przypadkach takich jak rozpatrywany w niniejszej sprawie, gdy pozyskanie danych nastąpiło na podstawie złożonego przez klienta wniosku kredytowego, dane wnioskodawcy są następnie udostępniane do BIK S.A. oraz biur informacji gospodarczej w ramach badania zdolności kredytowej, co stanowi kolejny przejaw przetwarzania danych osobowych. W związku z powyższym możliwe jest wystąpienie przez wnioskodawców z reklamacjami oraz roszczeniami cywilnoprawnymi (o charakterze pieniężnym lub niepieniężnym) z tytułu bezprawnego przetwarzania danych osobowych lub niedopełnienia obowiązku zachowania tajemnicy bankowej. Tego rodzaju reklamacje/roszczenia są zgłaszane najczęściej w związku z faktem udostępnienia danych osób wnioskujących o kredyt do BIK S.A w ramach składania zapytania kredytowego, oraz biur informacji gospodarczej w celu zbadania zdolności kredytowej, ponieważ ma to wpływ na ocenę zdolności kredytowej tych osób dokonywanej przez inne banki lub instytucje korzystające z ww. baz. Klienci, którzy złożyli wniosek o kredyt, ale umowy z bankiem nie zawarli żądają często od [...] S.A. dowodu legitymującego powyższe udostępnienie danych. Dowodem takim jest wniosek kredytowy, na podstawie którego bank jest w stanie wykazać, że zobowiązany był do zbadania zdolności kredytowej klienta (art. 70 ustawy Prawo bankowe, art. 9 ust.1 ustawy o kredycie konsumenckim) i wypełniając ten obowiązek oraz korzystając z uprawnienia wynikającego z art. 105a ust. 1 ustawy Prawo bankowe udostępnił dane klienta do BIK S.A. oraz biur informacji gospodarczej w celu złożenia zapytania o aktualny stan zobowiązań klienta oraz w celu pozyskania informacji o jego wiarygodności kredytowej, tj. przetwarzał dane osobowe klienta w oparciu o art. 23 ust. 1 pkt 2 ustawy o ochronie danych osobowych.

GIODO, w wyniku ponownego rozpatrzenia sprawy, działając na podstawie art. 138 § 1 pkt 1 K.p.a., art. 12 pkt 2, art. 18 ust. 1 pkt 6, art. 22 oraz art. 23 ust. 1 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych, utrzymał w mocy zaskarżoną decyzję.

Uzasadniając swoje rozstrzygnięcie organ podtrzymał argumentację zawartą w zaskarżonej decyzji. Dodatkowo podniósł, że Bank w momencie rozpatrywania wniosku o udzielenie kredytu, działał w oparciu o przesłankę wskazaną w art. 23 ust. 1 pkt 3 ustawy o ochronie danych osobowych, bowiem przetwarzanie danych W. L. było niezbędne do podjęcia działań przed zawarciem umowy, jednakże do jej zawarcia nie doszło. Oznacza to, że przytoczone we wniosku o ponowne rozpatrzenie sprawy przepisy: art. 70 Prawa bankowego, art. 9 ustawy o kredycie konsumenckim nie stanowią podstawy prawnej do dalszego przetwarzania takich danych. Przepisy te upoważniają m.in. banki do badania zdolności kredytowej osoby zgłaszającej chęć wzięcia kredytu/pożyczki. Jednakże nie stanowią one podstawy prawnej do dalszego przetwarzania danych takiej osoby, w przypadku, gdy nie dojdzie do zawarcia umowy. Nie może być w tym przypadku również mowy o celach archiwalnych przetwarzania danych skarżącego, w związku z brakiem zawarcia umowy.

Organ wskazał również, że w literaturze przedmiotu podkreśla się, iż nawet wówczas, gdy określone dane odpowiadają celowi, dla którego są zbierane i są dla tego celu adekwatne, to nie wynika z tego, iż mogą być one przetwarzane (...) ad infinitum. Czasowym wyznacznikiem jest tu osiągnięcie zamierzonego celu przetwarzania

Odnosząc się natomiast do twierdzenia Banku, że przetwarzanie danych W. L. jest konieczne dla obrony praw pracowników Banku i członków jego zarządu przed ewentualnymi zarzutami o popełnieniu przestępstw określonych w art. 49, 51, 54 ustawy o ochronie danych osobowych, organ wskazał, że argumenty te są nietrafne. Generalny Inspektor w zaskarżonej decyzji uznał, iż dalsze przetwarzanie danych wymienionej wyżej osoby jest przez Bank niedopuszczalne, albowiem Bank nie ma podstawy prawnej do ich przetwarzania. Pomimo tego Bank upatruje konieczność przetwarzania danych osobowych z uwagi m.in. na art. 49 ust. 1 ustawy o ochronie danych osobowych, który to przepis stanowi, że kto przetwarza w zbiorze dane osobowe, choć ich przetwarzanie nie jest dopuszczalne albo do których przetwarzania nie jest uprawniony, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do lat 2. Taka konstrukcja argumentacji Banku jest więc całkowicie, w ocenie organu, nietrafiona.

Na powyższą decyzję [...] S.A. wniósł skargę do Wojewódzkiego Sądu Administracyjnego w Warszawie. Zaskarżonej decyzji zarzucił naruszenie:

1) art. 23 ust. 1 pkt 2 ustawy o ochronie danych osobowych poprzez przyjęcie, że przetwarzanie przez Bank danych osobowych W. L. nie znajduje podstawy w przepisach prawa, a w szczególności, że brak zawarcia umowy kredytu między skarżącym , a Bankiem powoduje, iż Bankowi nie przysługuje prawo do archiwizowania w celu dowodowym danych osobowych wynikających ze złożonego przez niego wniosku kredytowego;

2) art. 23 ust. 1 pkt 5 ustawy o ochronie danych osobowych poprzez przyjęcie, że archiwizacja przez Bank danych osobowych W. L. wynikających ze złożonego przez niego wniosku kredytowego nie jest niezbędna do realizacji przez Bank usprawiedliwionego celu, jakim jest prawo do podjęcia obrony przed ewentualnymi roszczeniami lub zarzutami dotyczącymi przetwarzania danych skarżącego w celu obsługi jego wniosku kredytowego, w tym dotyczącymi udostępnienia tych danych do BIK S.A. w wyniku zapytania skierowanego do bazy BIOZ;

3) art. 23 ust. 1 pkt 5 ustawy o ochronie danych osobowych poprzez brak wyważenia interesów Banku jako administratora danych oraz W. L. jako osoby, której dane dotyczą i uwzględnienie przy ocenie sprawy jedynie interesu skarżącego;

4) art. 156 § 1 pkt 2 K.p.a. w zw. z art.107 K.p.a. poprzez brak stwierdzenia nieważności decyzji o sygn. [...], pomimo że nie zawiera

w swej treści daty jej wydania, co stanowi rażące naruszenie prawa, które powinno skutkować usunięciem jej z obrotu prawnego.

W oparciu o powyższe zarzuty Bank wniósł o uchylenie zaskarżonej decyzji

w całości i poprzedzającej ją decyzji o sygn. [...]. Ponadto wniósł o dopuszczenie dowodów z dokumentów powołanych w uzasadnieniu skargi oraz o zasądzenie od organu na jego rzecz kosztów postępowania, w tym kosztów zastępstwa procesowego według norm przepisanych.

W uzasadnieniu skargi Bank powtórzył argumentację zawartą we wniosku

o ponowne rozpatrzenie sprawy. Na poparcie swoich twierdzeń dotyczących reklamacji wszczynanych przez swoich niedoszłych klientów Bank wniósł o przeprowadzenie dowodu z kopii przykładowych reklamacji na skierowane przez Bank zapytania do bazy BIOZ prowadzonej przez BIK S. A. w wyniku złożonego wniosku kredytowego oraz kopie odpowiedzi Banku w tych sprawach. Bank podniósł, iż z powyższych reklamacji wynika, iż klienci wnoszą je w różnym czasie od dnia złożenia wniosku kredytowego, zaprzeczają, aby składali wniosek kredytowy albo żądają wylegitymowania się przez bank tym dokumentem, w razie nieusunięcia ich danych z bazy BIOZ uprzedzają o zamiarze skierowania skargi do GIODO, dochodzenia na drodze sądowej żądania zadośćuczynienia z powodu naruszenia ich dóbr osobistych lub też podjęcia innych dalszych kroków prawnych.

Zdaniem Banku uzasadnione prawnie jest zatem przetwarzanie w celach dowodowych danych osobowych osób wnioskujących o kredyt nawet w sytuacji, gdy ostatecznie do zawarcia umowy nie dojdzie. Nie tylko bowiem umowa łącząca klienta i bank stanowi zdarzenie stanowiące źródło przetwarzania danych osobowych klienta. Bank powinien mieć możliwość odpowiedzi na reklamację oraz podjęcia obrony przed roszczeniami i zarzutami, a także wykazania, że jako administrator danych dopełnił obowiązku informacyjnego z art. 24 ustawy o ochronie danych osobowych i że wnioskodawca udzielił mu upoważnienia do wystąpienia o informacje do biur informacji gospodarczej.

Bank zaznaczył jednocześnie, że do stycznia 2011 r. nie archiwizował wniosków kredytowych, w sytuacji gdy ostatecznie nie dochodziło do zawarcia umowy kredytu. Z tego powodu w postępowaniu prowadzonym przez GIODO sygn. akt [...], które jeszcze jest w toku, nie był w stanie przedstawić dowodu odpierającego zarzut klienta, że jego dane osobowe zostały bezprawnie przekazane przez Bank do BIK S.A. Klient ten oprócz wniesienia skargi do GIODO złożył również wniosek o wszczęcie postępowania przez Arbitrem Bankowym przy Związku Banków Polskich, żądając zapłaty kwoty 8 000 zł tytułem zadośćuczynienia za naruszenie dób osobistych oraz upublicznił ten spór w prasie. Przed styczniem 2011 r. Bank postępował zatem zgodnie ze stanowiskiem organu prezentowanym w niniejszym postępowaniu, tj. niszczył wnioski kredytowe, gdy do zawarcia umowy kredytu nie dochodziło. Nie był jednak wówczas w stanie odeprzeć reklamacji, zarzutów i roszczeń klientów.

Ponadto Bank zwrócił uwagę, że z żądaniem usunięcia danych osobowych W. L. zwrócił się w dniu [...] stycznia 2013 r., odmowna odpowiedź Banku została sporządzona i wysłana w dniu [...] marca 2013 r., a więc już w czasie toczącego się postępowania przed GIODO, do którego skargę W. L. skierował na początku lutego 2013 r. Zdaniem Banku niezrozumiałe jest zatem oczekiwanie organu, że w trakcie toczącego się sporu z klientem (sporu przed organem), który może mieć swój dalszy ciąg w następnych instancjach, pozbędzie się on dowodu potwierdzającego legalność przetwarzania danych skarżącego.

Poza wyżej przytoczoną podstawą archiwizowania danych osobowych W. L. przez Bank w celu dowodowym, istnieje jeszcze jedna, zdaniem Banku, niezależna od pierwszej i autonomiczna wobec niej, oparta na art. 23 ust.1 pkt 5 ustawy o ochronie danych osobowych. Podstawa ta legitymizuje przetwarzanie jedynie danych niezbędnych do realizacji usprawiedliwionego celu administratora danych. Jednocześnie przetwarzanie danych nie może naruszać praw i wolności osoby, której dane są przetwarzane, przede wszystkim prawa do prywatności. Prawo do prywatności nie zostało w tym przypadku naruszone

w stopniu większym niż jest to wymagane do realizacji uzasadnionego prawnie

i usprawiedliwionego interesu Banku. Przetwarzanie danych osobowych W. L. zostało w istotnym stopniu ograniczone - polega tylko na archiwizacji, dane nie są wykorzystywane w toku bieżącej działalności operacyjnej Banku, upoważnienie do dostępu do tych danych posiada ograniczony krąg pracowników Banku. Jego dane nie są udostępniane innym odbiorcom.

Bank podniósł także, że w stosowanym przez niego procesie przetwarzania danych archiwalnych zostało przyjęte, że archiwizacja danych klientów i zachowanie dokumentów, które mogą stanowić dowód w ewentualnym postępowaniu może trwać przez okres 10 lat od ustania stosunku prawnego z klientem, w tym przypadku od dnia zakończenia obsługi wniosku kredytowego, ponieważ tyle wnosi okres przedawnienia roszczeń cywilnoprawnych klientów wobec banku jako przedsiębiorcy (art. 118 K.c.). Obecnie cel dowody jeszcze trwa, a więc i przetwarzanie (archiwizowanie) danych W. L. przez Bank w tym celu z wyżej opisanych względów i na wyżej wskazanych podstawach jest uprawnione.

W odpowiedzi na skargę GIODO wniósł o jej oddalenie, podtrzymując stanowisko wyrażone w uzasadnieniu zaskarżonej decyzji.

Na rozprawie w dniu 11 stycznia 2017 r. sąd dopuścił dowód z dokumentów załączonych do skargi.

Wojewódzki Sąd Administracyjny w Warszawie, zważył co następuje:

Zgodnie z art. 1 § 1 ustawy z dnia 25 lipca 2002 r. Prawo o ustroju sądów administracyjnych sądy administracyjne sprawują wymiar sprawiedliwości przez kontrolę działalności administracji publicznej, przy czym w świetle § 2 powołanego wyżej artykułu kontrola ta sprawowana jest pod względem zgodności z prawem, jeżeli ustawy nie stanowią inaczej. Innymi słowy, wchodzi tutaj w grę kontrola aktów lub czynności z zakresu administracji publicznej dokonywana pod względem ich zgodności z prawem materialnym i przepisami procesowymi, nie zaś według kryteriów słusznościowych.

Ponadto Sąd rozstrzyga w granicach danej sprawy nie będąc jednak związany zarzutami i wnioskami skargi oraz powołaną podstawą prawną (art. 134 § 1 ustawy z dnia 30 sierpnia 2002 r. – Prawo o postępowaniu przed sądami administracyjnymi).

Oceniając zasadność skargi w świetle wskazanych wyżej kryteriów Sąd stwierdził, iż skarga nie zasługuje na uwzględnienie, albowiem zaskarżona decyzja Generalnego Inspektora Ochrony Danych Osobowych z dnia [...] czerwca 2016 r. oraz poprzedzająca ją decyzja z dnia [...] lipca 2015 r. nie naruszają prawa.

Odnosząc się w pierwszej kolejności do podniesionego przez pełnomocnika strony skarżącej zarzutu naruszenia przez organ art. 156 § 1 pkt 2 K.p.a. w zw. z art.107 K.p.a. poprzez brak stwierdzenia nieważności decyzji o sygn. [...] pomimo, że nie zawiera w swej treści daty jej wydania wskazać należy, iż decyzja o nr [...], która znajduje się w aktach administracyjnych opatrzona jest datą wydania [...] lipca 2015 r. Na taką datę wydania tej decyzji powołał się też GIODO w decyzji z dnia [...] czerwca 2016 r., wydanej w następstwie rozpoznania wniosku [...] S.A. o ponowne rozpatrzenie sprawy. Jeżeli natomiast egzemplarz decyzji wysłany do strony skarżącej nie zawierał pełnej daty jej wydania (brakowało wpisanego dnia) to nie stanowiło to przesłanki ani do stwierdzenia nieważności tej decyzji GIODO, ani też wydawania postanowienia o jej sprostowaniu w trybie art. 113 § 1 K.p.a., lecz uzasadniało co najwyżej ponowne przesłanie stronie kompletnego egzemplarza tej decyzji z pełną datą jej wydania. GIODO wydał wprawdzie postanowienie z dnia 8 września 2016 r. o sprostowaniu omyłki psarskiej w egzemplarzu decyzji skierowanym do Banku poprzez zastąpienie daty wydania decyzji "dnia ... lipca 2015 r.", datą "[...] lipca 2015 r." nie stanowiło to jednak w ocenie Sądu takiego naruszenia przepisów postępowania, które uzasadniałoby wyeliminowanie z obrotu prawnego zaskarżonej decyzji GIODO.

Przechodząc do meritum sprawy zaznaczyć należy, iż zadaniem ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. z 2015 r., poz. 2135 ze zm.) nie jest jedynie stanie na straży interesów tych, których przetwarzane dane osobowe dotyczą. Naczelną zasadą ustawy nie jest też zakaz przetwarzania danych osobowych, lecz przestrzeganie zakresu i trybu ich przetwarzania. W art. 1 u.o.d.o. stwierdza się bowiem, że przetwarzanie danych osobowych może mieć miejsce jeżeli służy to dobru publicznemu, dobru osoby, której dane dotyczą lub dobru osób trzecich. Ochrona danych osobowych, na podstawie przepisów powołanej ustawy, nie powinna być oderwana od przepisów służących ochronie innych wartości.

Stosownie do treści art. 7 pkt 2 u.o.d.o., przez przetwarzanie danych osobowych rozumie się jakiekolwiek operacje wykonywane na danych osobowych, takie jak zbieranie, utrwalanie, przechowywanie, opracowywanie, zmienianie, udostępnianie i usuwanie, a zwłaszcza te, które wykonuje się w systemach informatycznych.

Z kolei w art. 23 § 1 u.o.d.o. zostały wymienione przesłanki legalizujące przetwarzanie danych osobowych. Zgodnie z treścią tego przepisu przetwarzanie danych jest dopuszczalne tylko wtedy, gdy: (1) osoba, której dane dotyczą, wyrazi na to zgodę, chyba że chodzi o usunięcie dotyczących jej danych, (2) jest to niezbędne dla zrealizowania uprawnienia lub spełnienia obowiązku wynikającego z przepisu prawa, (3) jest to konieczne do realizacji umowy, gdy osoba, której dane dotyczą, jest jej stroną lub gdy jest to niezbędne do podjęcia działań przed zawarciem umowy na żądanie osoby, której dane dotyczą, (4) jest niezbędne do wykonania określonych prawem zadań realizowanych dla dobra publicznego, (5) jest to niezbędne dla wypełnienia prawnie usprawiedliwionych celów realizowanych przez administratorów danych albo odbiorców danych, a przetwarzanie nie narusza praw i wolności osoby, której dane dotyczą.

Cytowany powyżej przepis ustawy określa ogólne materialne przesłanki przetwarzania danych osobowych. Przesłanki te mają charakter generalny, odnoszą się do wszelkich form przetwarzania danych, w tym zarówno do przetwarzania "na własne potrzeby" administratora, jak i "na zewnątrz". Są one co do zasady równoprawne, mają charakter autonomiczny i niezależny, co oznacza, że wystarczy wystąpienie jednej z nich, by przetwarzanie danych mogło być uznane za usprawiedliwione. Oznacza to także, że zgoda osoby, której dane dotyczą, nie jest wyłączną przesłanką przetwarzania danych osobowych (por. J. Barta, P. Fajgielski, R. Markiewicz, System Informacji Prawnej LEX, Komentarz2015).

Aktem prawnym zawierającym szczegółowe regulacje dotyczące procesu przetwarzania danych osobowych klientów banków jest ustawa z dnia 27 sierpnia 1997r. - Prawo bankowe (tekst jedn. Dz. U. z 2015 r., poz. 128). Zgodnie z art. 105 ust. 4 tejże ustawy Banki mogą, wspólnie z bankowymi izbami gospodarczymi, utworzyć instytucje upoważnione do gromadzenia, przetwarzania i udostępniania: (1) bankom - informacji stanowiących tajemnicę bankową w zakresie, w jakim informacje te są potrzebne w związku z wykonywaniem czynności bankowych oraz w związku ze stosowaniem metod statystycznych, o których mowa w art. 128 ust. 3 oraz w art. 128d ust. 1; (2) innym instytucjom ustawowo upoważnionym do udzielania kredytów - informacji stanowiących tajemnicę bankową w zakresie, w jakim informacje te są niezbędne w związku z udzielaniem kredytów, pożyczek pieniężnych, gwarancji bankowych i poręczeń; (3) instytucjom kredytowym - informacji stanowiących tajemnicę bankową w zakresie niezbędnym do oceny zdolności kredytowej konsumenta, o której mowa w art. 9 ustawy z dnia 12 maja 2011 r. o kredycie konsumenckim.

Stosownie zaś do art. 105a cytowanej ustawy przetwarzanie przez banki, inne instytucje ustawowo upoważnione do udzielania kredytów oraz instytucje utworzone na podstawie art. 105 ust. 4, informacji stanowiących tajemnicę bankową w zakresie dotyczącym osób fizycznych może być wykonywane, z zastrzeżeniem art. 104, art. 105 i art. 106-106c, w celu oceny zdolności kredytowej i analizy ryzyka kredytowego (ust. 1). Instytucje, o których mowa w ust. 1, mogą, z zastrzeżeniem ust. 3, przetwarzać informacje stanowiące tajemnicę bankową w zakresie dotyczącym osób fizycznych po wygaśnięciu zobowiązania wynikającego z umowy zawartej z bankiem lub inną instytucją ustawowo upoważnioną do udzielania kredytów, pod warunkiem uzyskania pisemnej zgody osoby, której informacje te dotyczą. Zgoda ta może być w każdym czasie odwołana (ust. 2). Instytucje, o których mowa w ust. 1, mogą przetwarzać informacje stanowiące tajemnicę bankową dotyczące osób fizycznych po wygaśnięciu zobowiązania wynikającego z umowy zawartej z bankiem lub inną instytucją ustawowo upoważnioną do udzielania kredytów, bez zgody osoby, której informacje dotyczą, gdy osoba ta nie wykonała zobowiązania lub dopuściła się zwłoki powyżej 60 dni w spełnieniu świadczenia wynikającego z umowy zawartej z bankiem lub inną instytucją ustawowo upoważnioną do udzielania kredytów, a po zaistnieniu tych okoliczności upłynęło co najmniej 30 dni od poinformowania tej osoby przez bank lub inną instytucję ustawowo upoważnioną do udzielania kredytów o zamiarze przetwarzania dotyczących jej informacji stanowiących tajemnicę bankową, bez jej zgody (ust. 3). Banki oraz instytucje, o których mowa w art. 105 ust. 4, mogą przetwarzać informacje stanowiące tajemnicę bankową dotyczące osób fizycznych po wygaśnięciu zobowiązania wynikającego z umowy zawartej z bankiem lub inną instytucją ustawowo upoważnioną do udzielania kredytów, bez zgody osoby, której informacje dotyczą, dla celów stosowania metod statystycznych, o których mowa w art. 128 ust. 3 (ust. 4). Przetwarzanie informacji stanowiących tajemnicę bankową w przypadkach, o których mowa w ust. 3, może być wykonywane przez okres nie dłuższy niż 5 lat od dnia wygaśnięcia zobowiązania, a w przypadku, o którym mowa w ust. 4, przez okres 12 lat od dnia wygaśnięcia zobowiązania (ust. 5). Zakres przetwarzanych informacji, o których mowa w ust. 3 i 4, może obejmować dane dotyczące osoby fizycznej lub dane dotyczące zobowiązania (ust. 6).

W świetle powyższych uregulowań uzasadnione jest w ocenie Sądu stanowisko GIODO, iż w sytuacji, gdy w następstwie złożenia wniosku kredytowego nie dochodzi do zawarcia umowy kredytowej z bankiem brak przesłanek ustawowych legalizujących dalsze przetwarzanie przez bank danych osobowych niedoszłego klienta.

W niniejszej sprawie jest niesporne, że W. L. w grudniu 2012 r. wystąpił do [...] S.A. z wnioskiem o udzielenie kredytu hipotecznego. W następstwie złożenia tego wniosku [...] S.A. był uprawniony w świetle art. 105a ust. 1 Prawa bankowego do przetwarzania danych osobowych wnioskodawcy w celu oceny jego zdolności kredytowej. Postanowienia art. 105a ust. 1 Prawa bankowego dotyczą bowiem przetwarzania informacji objętych tajemnicą bankową zarówno w okresie przed powstaniem, jak i w okresie istnienia zobowiązania osoby fizycznej. W sytuacji jednak, gdy w wyniku podjętych czynności sprawdzających nie doszło w efekcie do zawarcia umowy kredytowej, odpadła przesłanka legalizująca dalsze przetwarzanie przez Bank danych osobowych wnioskodawcy. Pomiędzy W. L., a [...] S.A. nie zawiązał się bowiem, w następstwie złożenia wniosku kredytowego, żaden stosunek zobowiązaniowy, który w świetle przepisów art. 105a ust. 1-6 Prawa bankowego dawałby podstawę do dalszego przetwarzania jego danych osobowych przez bank. Przetwarzanie przez [...] S.A. danych osobowych W. L. nie znajduje zatem obecnie podstawy w przepisach prawa. Przywołany przez Bank w toku postępowania administracyjnego przepis art. 74 ust. 2 pkt 8 ustawy z dnia 29 września 1994 r. o rachunkowości (Dz. U. z 2013 r. poz. 330 ze zm.) uprawnia do przechowywania danych osobowych klientów związanych z posiadanymi przez nich produktami bankowymi. Nie stanowi natomiast podstawy do przechowywania danych osobowych pozyskanych przez Bank w związku ze złożeniem wniosku o udzielenie kredytu hipotecznego. Do tych danych nie mają bowiem zastosowania przepisy ustawy o rachunkowości dotyczące przechowywania dokumentacji księgowej, w tym pozostałych dowodów księgowych i dokumentów w rozumieniu art. 74 ust. 2 pkt 8 tej ustawy.

Przetwarzanie danych osobowych W. L. nie jest też obecnie niezbędne dla wypełnienia prawnie usprawiedliwionych celów realizowanych przez [...] S.A., a w szczególności celu, jakim jest prawo do podjęcia obrony przed ewentualnymi roszczeniami lub zarzutami dotyczącymi przetwarzania danych w celu obsługi wniosku kredytowego. Należy zwrócić uwagę, że przepis art. 23 ust. 1 pkt 5 u.o.d.o. na pierwszym miejscu wymienia warunek, że przetwarzanie danych winno być niezbędne dla wypełnienia prawnie usprawiedliwionych celów. Niedopuszczalne jest więc przetwarzanie danych osobowych niejako "na zapas" z założeniem, że mogą być one ewentualnie przydatne w przyszłości oraz z odwołaniem się przy tym do przepisów dotyczących przedawnienia roszczeń cywilnoprawnych. Gdyby uznać za zasadną argumentację [...] S.A. to mogłoby to prowadzić do absurdalnych wniosków, że banki są uprawnione dłużej przetwarzać dane osób z którymi nie łączył je nigdy żaden stosunek prawny, niż dane osób z którymi doszło do zawarcia umowy kredytowej, a w stosunku do których mają zastosowanie ograniczenia wynikające z przepisów art. 105a Prawa bankowego. Odwoływanie się w tym wypadku do celów dowodowych na potrzeby ewentualnych postępowań cywilnych, karnych, czy też administracyjnych jakie W. L. mógłby potencjalnie wtoczyć Bankowi na tle nieistniejącego miedzy stronami stosunku zobowiązaniowego nie znajduje żadnego logicznego, ani prawnego uzasadnienia.

Gdyby Bank zaprzestał przetwarzać dane osobowe wnioskodawcy w momencie, gdy nie doszło do zawarcia miedzy stronami umowy kredytowej to W. L. nie musiałby domagać się usunięcia tych danych ze zbioru danych "[...]", a także kierować skargi do GIODO na nieuprawnione przetwarzanie jego danych osobowych przez Bank.

W sytuacji bowiem, gdy do zawarcia umowy kredytowej nie doszło dalsze przetwarzanie przez Bank danych osobowych wnioskodawcy nie znajdowało oparcia w przepisach prawa.

Reasumując stwierdzić należy, iż w świetle zebranego w sprawie materiału dowodowego organ prawidłowo ustalił, że w niniejszej sprawie nie wystąpiła żadna z przesłanek legalizujących przetwarzanie danych osobowych W. L., określonych w przepisach art. 23 ust. 1 u.o.d.o.

Zasadnie w tej sytuacji GIODO, na podstawie art. 18 ust 1 pkt 6 u.o.d.o., nakazał skarżącemu Bankowi usunięcie danych osobowych W. L. ze zbioru danych "[...]"

Powyższe rozważania prowadzą do wniosku, że zarówno zaskarżona decyzja GIODO, jak również poprzedzająca ją decyzja z dnia [...] lipca 2015 r. odpowiadają prawu.

Mając powyższe na uwadze, Wojewódzki Sąd Administracyjny w Warszawie, na podstawie art. 151 ustawy z dnia 30 sierpnia 2002 r. – Prawo o postępowaniu przed sądami administracyjnymi orzekł, jak w sentencji wyroku.