II SA 291/03
WyrokWSA w Warszawie2004-02-27
Skład orzekający: Małgorzata Jaśkowska, Joanna Kube, Andrzej Kołodziej
Analiza orzeczenia
Sekcja wygenerowana przez AI na podstawie treści orzeczenia — nie stanowi cytatu.
Zagadnienie prawne
Czy przetwarzanie przez bank danych osobowych kredytobiorców, w tym wizerunku, rysopisu, imion rodziców i nieaktualnych adresów zamieszkania, poprzez kopiowanie dowodów osobistych, jest niezbędne do oceny zdolności kredytowej i zgodne z przepisami ustawy o ochronie danych osobowych?Ratio decidendi
Sąd uchylił zaskarżoną decyzję Generalnego Inspektora Ochrony Danych Osobowych, uznając, że dane w postaci wizerunku czy rysopisu mogą być niezbędne do identyfikacji kredytobiorcy, zwłaszcza w kontekście ryzyka wyłudzeń kredytów i prania pieniędzy. Sąd podkreślił, że banki, jako instytucje zaufania publicznego, podlegają szczególnym regulacjom i powinny mieć możliwość minimalizacji ryzyka, co uzasadnia szersze gromadzenie danych. W ocenie sądu, Generalny Inspektor nie wykazał w sposób przekonujący, że te dane są zbędne do oceny zdolności kredytowej.Stan faktyczny
Sprawa dotyczyła decyzji Generalnego Inspektora Ochrony Danych Osobowych (GIODO), która nakazała L. S.A. zaprzestanie zbierania danych osobowych kredytobiorców, takich jak imiona rodziców, wizerunek, rysopis i nieaktualne adresy zamieszkania, uzyskanych poprzez kopiowanie dowodów osobistych. GIODO uznał, że te dane są zbędne do oceny zdolności kredytowej i naruszają zasadę adekwatności przetwarzania danych. L. S.A. wniosła skargę do sądu, argumentując, że szersze gromadzenie danych jest niezbędne do weryfikacji tożsamości, minimalizacji ryzyka wyłudzeń oraz wynika z obowiązków banku jako instytucji zaufania publicznego.Rozstrzygnięcie
Wojewódzki Sąd Administracyjny w Warszawie uchylił zaskarżoną decyzję GIODO oraz decyzję ją poprzedzającą, zasądził od GIODO na rzecz N. S.A. zwrot kosztów postępowania sądowego i orzekł, że zaskarżona decyzja nie podlega wykonaniu w całości.Pełny tekst orzeczenia
Wojewódzki Sąd Administracyjny w Warszawie w składzie następującym: Przewodniczący Sędzia NSA (del.) Małgorzata Jaśkowska, Sędziowie A. WSA Joanna Kube, A. WSA Andrzej Kołodziej (spr.), Protokolant Paweł Groński, po rozpoznaniu na rozprawie w dniu 27 lutego 2004 r. sprawy ze skargi L. SA na decyzję Generalnego Inspektora Ochrony Danych Osobowych z dnia[...] grudnia 2002 r. Nr [...] w przedmiocie przetwarzania danych osobowych 1. uchyla zaskarżoną decyzję oraz decyzję ją poprzedzającą z dnia [...]października 2002 r. nr [....] 2. zasadza od Generalnego Inspektora Ochrony Danych Osobowych na rzecz N.S.A. z siedzibą w G. kwotę 265 zł (dwieście sześćdziesiąt pięć złotych) tytułem zwrotu kosztów postępowania sądowego 3. zaskarżona decyzja nie podlega wykonaniu w całości
Generalny Inspektor Ochrony Danych Osobowych decyzją z dnia [...] października 2002 r. nr [...] nakazał L. S.A. z siedzibą w L. przywrócenie stanu zgodnego z prawem w procesie przetwarzania danych osobowych kredytobiorców, poprzez zaprzestanie zbierania, uzyskanych w wyniku kopiowania dowodów osobistych, danych osobowych, w zakresie: - imiona rodziców,
- wizerunek
- rysopis
- nieaktualne adresy zamieszkania
W uzasadnieniu decyzji GIODO podał, że uzyskał informację, że L. S.A. z siedzibą w L. przetwarza dane osobowe kredytobiorców w zakresie: imiona rodziców, wizerunek, rysopis oraz nieaktualne adresy zamieszkania. Bank żąda od osób występujących do niego z wnioskiem o udzielenie kredytu złożenia również kilku innych dokumentów, w tym kopii dowodu osobistego wraz ze zdjęciem a kopie te są następnie przez Bank przechowywane.
W toku postępowania administracyjnego GIODO ustalił, iż:
1. Bank zbiera od kredytobiorców dane osobowe poprzez wnioski o udzielenie kredytu, w zakresie: imię, nazwisko, nazwisko rodowe, obywatelstwo, numer PESEL, stan cywilny, data urodzenia (dzień, miesiąc, rok), seria i numer dowodu osobistego, wykształcenie oraz adres zamieszkania.
2. Poprzez kopiowanie stron dowodów osobistych Bank zbiera od kredytobiorców także dane osobowe, w zakresie: imiona rodziców, wizerunek, rysopis oraz nieaktualne adresy zamieszkania.
3. W L. S.A. obowiązuje określona procedura przyjmowania i weryfikacji dokumentów służących do badania zdolności kredytowej, stworzona po części na podstawie negatywnych doświadczeń Banku na skutek nieprawidłowej oceny zdolności kredytowej. Dane zawarte w dokumentach tożsamości wykorzystywane są do prawidłowego sporządzenia umowy kredytowej i dokumentów związanych z prawnym zabezpieczeniem kredytu oraz analizy sytuacji klientów, zdjęcie natomiast umożliwia identyfikację klienta i stwierdzenie, czy osoba dysponująca tymi dokumentami nie weszła w ich posiadanie na drodze kradzieży.
4. Posiadanie przez Bank kserokopii stron dowodu zawierających m.in. wizerunek pozwala stwierdzić, w szczególności w sytuacji, gdy kredyt nie jest spłacony, jakiej osobie kredyt został wypłacony i czy pracownik banku obsługujący klienta nie był w zmowie z osobą, która wyłudziła kredyt.
5. Na podstawie art. 105 Prawa bankowego Bank wielokrotnie udzielał informacji na potrzeby postępowań karnych a do udzielenia prawidłowej i pełnej informacji potrzeba szczegółowych informacji dotyczących osób fizycznych.
6. Przetwarzanie danych osobowych w zakresie rysopisu, imion ojca i matki, wizerunku jest dopuszczalne, zdaniem Banku bowiem jest niezbędne do realizacji celów statutowych i w żaden sposób nie narusza praw i wolności osoby, której dane dotyczą.
Zdaniem GIODO główne zasady postępowania przy przetwarzaniu danych wyznacza art. 26 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. z 2002 r. Nr 101, poz. 926) i ujmuje je w formę podstawowych obowiązków, które powinien spełnić administrator danych. Nadrzędną powinnością każdego administratora danych jest dołożenie szczególnej staranności w celu ochrony interesu osób, których dane dotyczą (art. 26 ust. 1 ustawy). Ponadto administrator danych jest obowiązany zapewnić, aby dane te były przetwarzane zgodnie z prawem (art. 26 ust 1 pkt 1) oraz merytorycznie poprawne i adekwatne do celów, w jakich są przetwarzane (art. 23 ust. 1 pkt 3).
W niniejszej sprawie dane zbierane są w celu zawarcia umowy kredytu, która to umowa została uregulowana w ustawie z dnia 29 sierpnia 1997 r. Prawo bankowe (Dz. U. Nr 140, poz. 939 z późn. zm.). Zgodnie z art. 69 ust. 1 tej ustawy, przez umowę kredytu bank zobowiązuje się oddać do dyspozycji kredytobiorcy na czas oznaczony w umowie kwotę środków pieniężnych z przeznaczeniem na ustalony cel, a kredytobiorca zobowiązuje się do korzystania z niej na warunkach określonych w umowie, zwrotu kwoty wykorzystanego kredytu wraz z odsetkami w oznaczonych terminach spłaty oraz zapłaty prowizji od udzielonego kredytu. Stosownie do art. 70 ust. 1 Prawa bankowego, bank uzależnia przyznanie kredytu od zdolności kredytowej kredytobiorcy. Przez zdolność kredytową rozumie się zdolność do spłaty zaciągniętego kredytu wraz z odsetkami w terminach określonych w umowie. Kredytobiorca jest obowiązany przedłożyć na żądanie banku dokumenty i informacje niezbędne do dokonania oceny tej zdolności, celem zbierania zatem przez bank danych osobowych kredytobiorców jest ocena ich zdolności kredytowej.
W opinii GIODO przetwarzanie przez bank danych osobowych w zakresie obejmującym również rysopis, imiona rodziców, wizerunek i nieaktualne adresy zamieszkania, wykracza poza potrzeby wynikające z celu zbierania danych czym narusza przepis art. 26 ust. 1 pkt 3 ustawy o ochronie danych osobowych.
Przepis ten statuuje jedną z podstawowych zasad przetwarzania danych i wynika z niej , że przetworzone mogą być tylko takie dane, które są adekwatne, tj. istotne w stosunku do celu, w jakim są zbierane. Bank natomiast nie wykazał jaki wpływ na ocenę zdolności kredytowej kredytobiorców mają dane w postaci: wizerunku, rysopisu, imion rodziców i nieaktualnych adresów zamieszkania, GIODO uznał więc, że ich zbieranie było zbędne.
Odnosząc się do art. 105 Prawa bankowego, regulującego kwestie udostępniania przez banki danych klientów organom ścigania, Generalny Inspektor wskazał, że Bank ma jedynie obowiązek udzielania informacji o klientach a nie obowiązek zbierania danych w możliwie szerokim zakresie dla potrzeb tych organów.
W ocenie GIODO przetwarzanie wizerunku kredytobiorcy w celu zabezpieczenia się na wypadek, gdyby kredyt nie był spłacany i była wtedy możliwość ustalenia jakiej osobie został wypłacony oraz czy klient nie działał w zmowie z pracownikiem banku, nosi cechy zbierania na zapas.
GIODO podważył też celowość zbierania wizerunku klienta w celu jego identyfikacji stwierdzając, iż temu celowi w sposób jednoznaczny służy numer PESEL.
We wniosku o ponowne rozpatrzenie sprawy z dnia 5 listopada 2002 r. L. S.A. zarzucił GIODO, że decyzja jest niezrozumiała oraz nie uwzględnia okoliczności, że jej adresatem jest podmiot o szczególnym charakterze podlegający określonym przez prawo regulacjom i posiadający określone prawem obowiązki i uprawnienia.
Podkreślił, że w procesie udzielania kredytów bank jako instytucja zaufania publicznego zobowiązany jest do postępowania z najwyższą starannością aby kredyt został udzielony tej osobie, której dane zostaną odnotowane jako biorącego kredyt. Sam numer PESEL jest niewystarczający do identyfikacji, a sprawdzenie danych klienta w systemie PESEL jest kosztowne i czasochłonne. Kserograficzna odbitka dowodu osobistego czy innego dowodu tożsamości pozwala wyjaśnić ewentualne podejrzenia co do właściwej identyfikacji kredytobiorcy.
Bank stwierdził ponadto, że polskie prawo nie ogranicza banków co do sposobów ustalania tożsamości klientów, istnieją natomiast przepisy, które upoważniają banki do ustalenia wewnętrznych procedur dotyczących realizowania identyfikacji klienta i przedawnienia informacji objętych tą identyfikacją. Upoważnienie takie wynika wprost z przepisu art. 28 ustawy z dnia 16 listopada 2000 r. o przeciwdziałaniu wprowadzaniu do obrotu finansowego wartości majątkowych pochodzących z nielegalnych lub nieujawnionych źródeł (Dz. U. 116, poz. 1216) i banki jako instytucje obowiązane mają obowiązek rejestracji określonych transakcji oraz opracowanie akceptowanego przez Generalnego Inspektora Informacji Finansowej "Programu przeciwdziałania praniu pieniędzy", gdzie wyraźnie wskazuje się, że m.in. obsługa operacji kredytowych jest tym obszarem działalności banku, który narażony jest na ww. proceder.
W opinii Banku zbieranie informacji o osobach do zbioru klientów banku może następować, z uwagi na wszystkie hipotetyczne nawet w danej chwili potrzeby banku, przed zawarciem umowy kredytowej, ponieważ ich niezebranie w tym momencie pozbawia banki możliwości skorzystania z nich w sytuacjach koniecznych.
Ponadto L. S.A. podniósł, że zgłosił zbiór danych osobowych do rejestracji GIODO i zbiór ten został zarejestrowany [...] czerwca 2000 r. GIODO, po ponownym rozpatrzeniu sprawy, w dniu [...] grudnia 2002 r. wydał decyzję nr [...]utrzymującą w mocy decyzję z dnia [...] października 2002 r.
W uzasadnieniu ponownie przytoczył argumenty użyte w uzasadnieniu wcześniejszej decyzji oraz stwierdził, że Bank nie wykazał, iż zbieranie przez niego danych dotyczących kredytobiorców, w zakresie: imiona rodziców, wizerunek, rysopis i nieaktualne adresy zamieszkania, jest niezbędne do dokonania oceny zdolności kredytowej, a w konsekwencji, że jest zgodne z przepisami art. 26 ust. 1 pkt 3 i art. 23 ust. 1 pkt 3 ustawy.
Odnosząc się do zarzutów podniesionych we wniosku wskazał, że z zasady adekwatności danych osobowych wynika iż niezbędność zbieranych danych, z punktu widzenia realizacji aktu przetwarzania, powinna być oceniana najpóźniej w momencie zbierania danych. Stosownie do art. 26 ust. 1 pkt 4 ustawy administrator danych jest obowiązany zapewnić, aby dane były przechowywane w postaci umożliwiającej identyfikację osób, których dotyczą, nie dłużej niż to jest niezbędne do osiągnięcia celu przetwarzania. Celem przetwarzania, stosownie do art. 7 pkt 2 ustawy, danych jest ocena zdolności kredytowej a nie tworzenia zbioru na ewentualne przyszłe potrzeby organów ścigania czy wewnętrznej kontroli bankowej.
Wyjaśnił, że przepisy ustawy o przeciwdziałaniu wprowadzaniu do obrotu... regulują zakres identyfikacji klienta. Określony on został w art. 9 ust. 2 pkt 1 ustawy. Jest to ustalenie i zapisanie cech dokumentu stwierdzającego na podstawie odrębnych przepisów tożsamość lub paszportu, a także imiona, nazwiska, obywatelstwa oraz adresu osoby dokonującej transakcji a nadto numer PESEL w przypadku ustalenia tożsamości na podstawie dowodu osobistego lub kod kraju w przypadku paszportu. Zatem nie obejmuje on spornych danych.
Wskazał również, że zgłoszenie do rejestracji przez Bank a następnie zarejestrowanie zbioru danych osobowych zawierających również sporne dane nie oznacza, że dane te mogą być przez Bank przetwarzane, bowiem czynności te w istocie mają charakter jedynie informacyjny i formalny.
GIODO nie zgodził się również z zarzutem, że decyzja jest niezrozumiała.
W skardze do Naczelnego Sądu Administracyjnego z dnia 24 stycznia 2003 r. L. S.A. z siedzibą w L. wniósł o uchylenie zaskarżonej decyzji oraz decyzji poprzedzającej, zarzucając im:
obrazę art. 18 ust. 1, art. 23 ust. 1 pkt 3 i art. 26 ust. 1 pkt 3 ustawy o ochronie danych osobowych poprzez przyjęcie, że zbieranie (przetwarzanie) przez L. S.A. danych kredytobiorców w zakresie imion rodziców, wizerunku, rysopisu, nieaktualnych adresów zamieszkania poprzez kopiowanie dowodów osobistych stanowi stwierdzone naruszenie przepisów ustawy o ochronie danych osobowych, a w szczególności art. 26 ust. 1 pkt 3 tej ustawy w sytuacji, gdy prawo nie zabrania kopiowania dowodów, a dokonujący tego administrator danych dokonuje przetwarzanie w celu weryfikacji tożsamości osób ubiegających się o uzyskanie kredytu,
obrazę art. 107 § 1 i § 3 kpa przez wydanie decyzji, która nie posiada wewnętrznej spójności pomiędzy osnową i uzasadnieniem oraz o zasądzenie kosztów postępowania według norm przepisanych.
W uzasadnieniu wskazał, że decyzja posiada wadę polegającą na możliwości wieloznacznego odczytania zawartego w niej nakazu, na co skarżący zwracał uwagę we wniosku o ponowne rozpatrzenie sprawy.
Podniósł, że gromadzenie danych osobowych przez kopiowanie dokumentów nie narusza, samo przez się, zasady adekwatności przetwarzania danych określonej w art. 26 ust. 1 pkt 3 ustawy o ochronie danych osobowych a forma gromadzenia danych przez kopiowanie dokumentu je zawierającego jest kwestią czysto formalną.
Zakres zbierania danych kredytobiorców wynika z konieczności minimalizowania możliwości wyłudzenia kredytów przez osoby, których tożsamości nie można następnie ustalić.
Skarżący podkreślił, że kserowanie dowodów osobistych ma miejsce za zgodą klientów występujących o kredyt, a nadto osoba występująca z wnioskiem o kredyt jest każdorazowo informowana o celu i zakresie przetwarzania jej danych osobowych.
Stwierdził ponadto, że przepis art. 26 ust. 1 pkt 3 nie precyzuje, na czym ma polegać merytoryczna poprawność i adekwatność przetwarzania danych osobowych, a tym samym przepis jest w rzeczywistości decyzją opartą o swobodne uznanie organu administracyjnego i dodatkowo ma charakter nakazu narzucającego stronie określone zachowanie.
Zdaniem skarżącego na organie spoczywa obowiązek wskazania, na czym polega naruszenie prawa.
W jego opinii nie jest słuszna argumentacja organu, iż w procesie zbierania danych osób ubiegających się o kredyt, Bank winien poprzestać na uzyskaniu numeru PESEL.
Skarżący stwierdził też, że konstytucyjna zasada wolności gospodarczej sformułowana w art. 22 nie powinna doznawać ograniczeń decyzjami, które w swej istocie opierają się o swobodne uznanie organu administracyjnego.
W odpowiedzi na skargę GIODO wniósł o jej oddalenie. W obszernym uzasadnieniu wskazał zarówno na okoliczności faktyczne, jak i prawne zaskarżonej decyzji, podtrzymując w całości swoje dotychczasowe stanowisko. Odniósł się również szczegółowo do zarzutów skargi, nie zgodził się z nimi uznając je za bezzasadne.
Wojewódzki Sąd Administracyjny zważył, co następuje:
Stosownie do art. 97 § 1 ustawy z dnia 30 sierpnia 2002 r. - Przepisy wprowadzające ustawę - Prawo o ustroju sądów administracyjnych i ustawę - Prawo o postępowaniu przed sądami administracyjnymi (Dz. U. Nr 153, poz. 1271 z późn. zm.) sprawy, w których skargi zostały wniesione do Naczelnego Sądu Administracyjnego przed dniem 1 stycznia 2004 r. i postępowanie nie zostało zakończone, podlegają rozpoznaniu przez właściwe wojewódzkie sądy administracyjne na podstawie przepisów ustawy - Prawo o postępowaniu przed sądami administracyjnymi.
Na podstawie art. 13 § 2 ustawy z dnia 30 sierpnia 2002 r. Prawo o postępowaniu przed sądami administracyjnymi (Dz. U. Nr 153, poz. 1270), do rozpoznania sprawy właściwy jest wojewódzki sąd administracyjny, na którego obszarze właściwości ma siedzibę organ administracji publicznej, którego działalność została zaskarżona.
Ponadto, zgodnie z art. 1 ustawy z dnia 25 lipca 2002 r. - Prawo o ustroju sądów administracyjnych (Dz. U. Nr 153, poz. 1269), sądy administracyjne sprawują wymiar sprawiedliwości m.in. przez kontrolę działalności administracji publicznej (§ 1). Kontrola, o której mowa w § 1, sprawowana jest pod względem zgodności z prawem, jeżeli ustawy nie stanowią inaczej.
W rozpatrywanej sprawie zasadniczym przedmiotem sporu jest zakres przetwarzania danych osobowych przez L.z siedzibą w L., dotyczących osób występujących z wnioskami o udzielenie kredytu.
Ustawa z dnia 29 sierpnia 1997 r. - Prawo bankowe (Dz. U. Nr 140, poz. 939 z późn. zm.) nie zawiera regulacji określających zakres gromadzenia przez banki danych osobowych kredytobiorców w związku z zawarciem i realizacją umowy kredytu. Definicję umowy kredytu zawiera przepis art. 69 ust. 1 ustawy Prawo bankowe, który stanowi, że przez umowę kredytu bank zobowiązuje się oddać do dyspozycji kredytobiorcy na czas oznaczony w umowie kwotę środków pieniężnych z przeznaczeniem na ustalony cel, a kredytobiorca zobowiązuje się do korzystania z niej na warunkach określonych w umowie, zwrotu kwoty wykorzystanego kredytu wraz z odsetkami w oznaczonych terminach spłaty oraz zapłaty prowizji od udzielonego kredytu. Stosownie zaś do art. 70 tej ustawy, bank uzależnia przyznanie kredytu od zdolności kredytowej kredytobiorcy. Przez zdolność kredytową rozumie się zdolność do spłaty zaciągniętego kredytu wraz z odsetkami w terminach określonych w umowie. Kredytobiorca jest obowiązany przedłożyć na żądanie banku dokumenty i informacje niezbędne do dokonania oceny tej zdolności (ust. 1).
Kredytobiorca jest obowiązany umożliwić podejmowanie przez bank czynności związanych z oceną sytuacji finansowej i gospodarczej oraz kontrolę wykorzystania i spłaty kredytu (ust. 3). W piśmie z dnia[...]kwietnia 2002 r., znak: [...]skierowanym do prezesów wszystkich banków, Generalny Inspektor Nadzoru Bankowego wyjaśnił, że użyte w art. 70 ust. 1 określenie "kredytobiorca" ma szersze znaczenie, obejmujące również osobę występującą z wnioskiem o udzielenie kredytu.
W związku z tym znajdują w tej materii zastosowanie przepisy ustawy o ochronie danych osobowych. Przepis art. 26 ust. 1 pkt 3 powołany jako podstawa prawna zaskarżonej decyzji stanowi, że administrator danych przetwarzający dane powinien dołożyć szczególnej staranności w celu ochrony interesów osób, których dane dotyczą, w szczególności jest zobowiązany zapewnić, aby dane te były merytorycznie poprawne i adekwatne w stosunku do celów, w jakich są przetwarzane. Wynika z tego dość oczywisty wniosek, że zakres danych osobowych przetwarzanych w związku z koniecznością wywiązania się z umowy (art. 23 ust. 1 pkt 3 ustawy) powinien być zróżnicowany w zależności od charakteru i znaczenia umowy.
W powszechnych umowach ze sfery życia codziennego kontrahenci mogą zachować wobec siebie anonimowość. Nie jest to jednak dopuszczane w przypadku umów o znacznym ciężarze gospodarczym, finansowym lub społecznym. Bezpieczeństwo obrotu prawnego wymaga wtedy dokładnej identyfikacji stron zawierających umowę, co w konsekwencji może uzasadniać gromadzenie przez nie danych osobowych w zakresie gwarantującym należyte wywiązanie się ze zobowiązań.
Generalny Inspektor Ochrony Danych Osobowych nie uzasadnił w sposób całkowicie przekonywujący, że dla identyfikacji kredytobiorcy wystarczą dane obejmujące: imię, nazwisko, nazwisko rodowe, obywatelstwo, nr PESEL, stan cywilny, data urodzenia, a zbędne są: wizerunek, rysopis, imiona rodziców oraz nieaktualne adresy zamieszkania.
W ocenie Sądu, dane w postaci wizerunku czy rysopisu są niezbędne do identyfikacji osoby będącej kredytobiorcą w wielu sytuacjach. Przykładowo można wymienić przypadek, kiedy realizacja umowy kredytowej następuje w kilku tzw. transzach. Bank musi mieć możliwość sprawdzenia, czy osoba zgłaszająca się po odbiór kolejnej transzy kredytu jest tą osobą, która kredyt uzyskała.
Nie bez znaczenia dla oceny praktyki banków w tym zakresie są również częste przypadki wyłudzeń kredytów przez osoby posługujące się skradzionymi dowodami osobistymi, jak również proceder tzw. prania brudnych pieniędzy.
Minimalizacja zagrożeń i ryzyka banków w tym obszarze wydaje się uzasadniać zastosowanie przez nie opisanych działań.
Generalny Inspektor nie uwzględnił w tym kontekście argumentacji skarżącego, wskazującej na uwarunkowania, w jakich funkcjonują banki, niemożliwych do pominięcia przy zawieraniu umów, a także roli, jaką spełniają te instytucje we współczesnym życiu. Zgodnie z poglądem ukształtowanym w piśmiennictwie "rozwój bankowości i towarzyszący mu wzrost jej znaczenia dla rozwiniętej gospodarki, narzuciły niejako konieczność stworzenia szczególnych uregulowań interwencyjno-ochronnych w tym zakresie. Ich podstawowym celem pozostawało (i pozostaje) wytyczenie legalnych granic immanentnie związanego z działalnością bankową ryzyka, a tym samym ochrona interesów klientów banku, a także zapewnienie całemu systemowi bankowemu niezbędnej stabilności. Stabilność działalności banków i bezpieczeństwo gromadzonych w nich środków pieniężnych słusznie uznano za elementy na tyle istotne w znaczeniu makroekonomicznym, by objąć je szczególną publiczno-prawną ochroną" (L. Góral, M. Karlikowska, K. Koperkiewicz-Mordel - Polskie prawo bankowe - Wydawnictwo Prawnicze LexisNexis, Warszawa 2003, wyd. 2, str. 2-22).
Uwzględniając również obowiązki banków wynikające z przepisów art. 105-107 Prawa bankowego oraz ustawy z dnia 16 listopada 2000 r. o przeciwdziałaniu w prowadzeniu do obrotu finansowego wartości majątkowych pochodzących z nielegalnych lub nieujawnionych źródeł oraz przeciwdziałaniu finansowaniu terroryzmu, nakładającej na nie obowiązki jako instytucji obowiązanej, należy przyjąć że banki są w istocie instytucjami zaufania publicznego.
Konsekwencją powyższych rozważań jest zastanowienie się, czy w odniesieniu do banków nie należy stosować przesłanki legalizującej przetwarzanie danych osobowych, wynikającej z art. 23 ust. 1 pkt 4, czyli przyjęcia, że przetwarzanie danych osobowych jest niezbędne do wykonywania określonych prawem zadań realizowanych dla dobra publicznego.
Zdaniem sądu, w rozpatrywanej sprawie przyjęcie tego punktu widzenia znajduje uzasadnienie w świetle zgromadzonego materiału dowodowego.
Odnosząc się do kwestii kserowania dowodów osobistych, należy zgodzić się z GIODO, że orzeczony decyzją zakaz nie dotyczy kserowania dokumentów jako sposobu pozyskiwania danych osobowych kredytobiorców.
Naczelny Sąd Administracyjny w swoim orzecznictwie wielokrotnie wskazywał, że posługiwanie się taką czy inną techniką utrwalania danych (kopiowanie lub przepisywanie) nie przesądza o legalności albo nielegalności tego utrwalania (przetwarzania). Dla takich ocen istotne znaczenie mają przede wszystkim podstawa prawna przetwarzania danych, rodzaj przetwarzanych danych oraz granice przetwarzania.
Należy dodatkowo wyjaśnić, że zgodnie z pismem procesowym strony skarżącej, które wpłynęło do Sądu w dniu 8 grudnia 2003 r., następcą prawnym L. S.A. w L. stał się N. S.A. w G., na podstawie postanowienia z dnia [...] czerwca 2003 r. Sądu Rejestrowego w G. - XVI Wydział Gospodarczy Krajowego Rejestru Sądowego sygn. akt [...].
Z tych wszystkich względów, Wojewódzki Sąd Administracyjny, na podstawie art. 145 § 1 pkt a i c w zw. z art. 134 § 1 i ustawy - Prawo o postępowaniu przed sądami administracyjnymi i art. 26 ust. 1 pkt 3 ustawy o ochronie danych osobowych uchylił zaskarżoną decyzję oraz decyzję ją poprzedzająca. O wykonalności zaskarżonej decyzji orzeczono na podstawie art. 152 a o kosztach na podstawie art. 200 ustawy - Prawo o postępowaniu przed sądami administracyjnymi.
Źródło: Centralna Baza Orzeczeń Sądów Administracyjnych (orzeczenia.nsa.gov.pl), pozyskano 14.07.2026. · Źródło