I OSK 820/10

WyrokNaczelny Sąd Administracyjny2011-04-07

Skład orzekający: Irena Kamińska, Janina Antosiewicz, Anna Łukaszewska - Macioch

Analiza orzeczenia

Sekcja wygenerowana przez AI na podstawie treści orzeczenia — nie stanowi cytatu.

Zagadnienie prawne
Czy dane osobowe osoby fizycznej, która działała w imieniu spółki zaciągającej kredyt, mogą być przetwarzane w Bankowym Rejestrze Dłużników Niewypłacalnych, nawet jeśli osoba ta nie była bezpośrednim dłużnikiem banku?
Ratio decidendi
Naczelny Sąd Administracyjny uznał, że dane osobowe osoby fizycznej działającej w imieniu spółki zaciągającej kredyt mogą być przetwarzane w Bankowym Rejestrze Dłużników Niewypłacalnych, jeśli dane te nie dotyczą jej jako dłużnika, lecz jako osoby reprezentującej spółkę. Legalność przetwarzania danych jest oceniana według stanu prawnego obowiązującego w dacie wydania decyzji, a nie w momencie pierwotnego zgromadzenia danych. Dane dotyczące reprezentacji spółki, ujawnione w rejestrach handlowych, są powszechnie dostępne i ich podanie nie narusza dóbr osobistych ani prawa do prywatności.
Stan faktyczny
Skarżący M.M. domagał się usunięcia jego danych osobowych z Bankowego Rejestru Dłużników Niewypłacalnych, twierdząc, że nie był dłużnikiem banku. Jego dane zostały tam umieszczone w związku z umową kredytową zawartą przez spółkę, którą reprezentował jako prezes zarządu. Zarówno Generalny Inspektor Ochrony Danych Osobowych, jak i Wojewódzki Sąd Administracyjny, odmówili uwzględnienia wniosku, uznając przetwarzanie danych za legalne. M.M. wniósł skargę kasacyjną do Naczelnego Sądu Administracyjnego.
Rozstrzygnięcie
Oddalono skargę kasacyjną. Zasądzono od M.M. na rzecz Generalnego Inspektora Ochrony Danych Osobowych kwotę 137,00 zł tytułem zwrotu kosztów postępowania kasacyjnego.

Pełny tekst orzeczenia

Naczelny Sąd Administracyjny w składzie: Przewodniczący: sędzia NSA Irena Kamińska Sędziowie: sędzia NSA Janina Antosiewicz (spr.) sędzia NSA Anna Łukaszewska - Macioch Protokolant sekretarz sądowy Monika Myślak - Kordjak po rozpoznaniu w dniu 7 kwietnia 2011 r. na rozprawie w Izbie Ogólnoadministracyjnej skargi kasacyjnej M.M. od wyroku Wojewódzkiego Sądu Administracyjnego w Warszawie z dnia 17 grudnia 2009 r. sygn. akt II SA/Wa 938/09 w sprawie ze skargi M.M. na decyzję Generalnego Inspektora Ochrony Danych Osobowych z dnia [...] kwietnia 2009 r. nr [...] w przedmiocie ochrony danych osobowych 1. oddala skargę kasacyjną; 2. zasądza od M.M. na rzecz Generalnego Inspektora Ochrony Danych Osobowych kwotę 137,00 (sto trzydzieści siedem) złotych tytułem zwrotu kosztów postępowania kasacyjnego. Wojewódzki Sąd Administracyjny w Warszawie wyrokiem z dnia 17 grudnia 2009 r. sygn. akt II SA/Wa 938/09 oddalił skargę M.M. na decyzję Generalnego Inspektora Ochrony Danych Osobowych z dnia [...] kwietnia 2009 r. nr [...] w przedmiocie danych osobowych. W uzasadnieniu wyroku Sąd przedstawił następujący stan sprawy. Na skutek skargi M.M. na bezpodstawne umieszczenie jego danych osobowych w "Bankowym Rejestrze Dłużników Niewypłacalnych" Generalny Inspektor Ochrony Danych Osobowych wszczął postępowanie i ustalił, iż w dniu [...] października 1998 r. [...] Sp. z o.o. z siedzibą w Warszawie, reprezentowana przez prezesa zarządu M.M. zawarła z [...] S.A. z siedzibą w W. umowę nr [...] o kredyt obrotowy na rachunku bieżącym. W wyniku pogarszającej się sytuacji ekonomiczno-finansowej Spółki [...] kwietnia 1999 r. Bank wypowiedział umowę o kredyt wyznaczając siedmiodniowy termin spłaty zadłużenia. Nieuregulowanie zobowiązań wynikających z zawartej umowy skutkowało zgłoszeniem klienta do Międzybankowej Informacji Gospodarczej – Bankowy Rejestr. W Rejestrze znajdują się dane skarżącego wyłącznie w zakresie imienia i nazwiska w rekordzie dotyczącym podmiotu [...] Sp. z o.o., jako dane osoby, która w imieniu Spółki zawarła umowę o kredyt. Decyzją z dnia [...] stycznia 2009 r. wydaną na podstawie art. 104 § 1 k.p.a., art. 12 pkt 2, art. 22 i 23 ust. 1 pkt 2 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz.U. z 2002 r. Nr 101, poz. 926 ze zm., zw. dalej u.o.d.o.) w zw. z art. 105 ust. 4 i art. 105a ust. 1 ustawy z dnia 29 sierpnia 1997 r. – Prawo bankowe (Dz.U. z 2002 r. Nr 72, poz. 665 ze zm.) GIODO odmówił uwzględnienia wniosku. Organ przyjął, iż przesłanką legalizującą przetwarzanie danych osobowych strony w Bankowym Rejestrze jest art. 23 ust. 1 pkt 2 u.o.d.o. w zw. z art. 105 ust. 4 i art. 105a ust. 1 ustawy – Prawo bankowe. Powołane przepisy Prawa bankowego stanowią podstawę przetwarzania danych osobowych klientów banków przez banki i instytucje takie, jak Związek Banków Polskich w czasie trwania zobowiązania łączącego bank i klienta banku. Skoro zatem istnieje wyraźny przepis Prawa bankowego zezwalający na przetwarzanie danych osobowych przez banki i ZBP, to przetwarzanie znajduje oparcie w powołanym art. 23 ust. 1 pkt 2 u.o.d.o. Generalny Inspektor stwierdził, iż dane osobowe skarżącego przekazane przez Bank do Związku Banków Polskich, to informacja, w posiadanie której Bank wszedł w związku z zawarciem umowy kredytowej z [...] Sp. z o.o. w czasie, gdy członkiem zarządu Spółki był M.M.. Wobec niespłacenia przez Spółkę zobowiązania, Bank w dniu [...] stycznia 2000 r. umieścił je w Bankowym Rejestrze i przekazano zarazem dane osobowe skarżącego, jako informacje dotyczące wymienionej czynności bankowej. W ocenie Generalnego Inspektora podpisanie przez skarżącego pełniącego funkcję członka zarządu w imieniu Spółki umowy z bankiem, było wystarczającą przesłanką legalizującą przetwarzanie danych w zakresie imienia i nazwiska tej osoby. Po ponownym rozpatrzeniu sprawy Generalny Inspektor Ochrony Danych Osobowych decyzją nr [...] z dnia [...] kwietnia 2009 r., utrzymał w mocy zaskarżoną decyzję. Uznał ją za prawidłową tak pod względem ustaleń faktycznych, jak i ocen prawnych. Ponownie wskazując na treść przepisów art. 23 ust. 1 pkt 2 u.o.d.o. oraz art. 105 ust. 4 i art. 105a ust. 1 Prawa bankowego stwierdził, iż stanowią one podstawę prawną przetwarzania danych osobowych skarżącego w Bankowym Rejestrze. Organ podkreślił, iż dane osobowe skarżącego figurują w Rejestrze wyłącznie w zakresie jego imienia i nazwiska w powiązaniu z wpisem o treści [...] Sp. z o.o., datą zgłoszenia tej informacji do rejestru oraz nazwą podmiotu, który dokonał zgłoszenia, tj. Bankiem. Zatem z wpisu nie wynika, jak podnosi skarżący, fakt pełnienia przez niego funkcji członka zarządu Spółki, ani tym bardziej by funkcję tę pełnił nadal. W skardze do Wojewódzkiego Sądu Administracyjnego w Warszawie M.M. zarzucił powyższej decyzji: 1) naruszenie prawa materialnego, tj.: – art. 23 ust. 1 pkt 2 u.o.d.o. w związku z art. 105 ust. 4, art. 105a ust. 1 Prawa bankowego poprzez przyjęcie, że przepisy te stanowią podstawę prawną przetwarzania jego danych osobowych, w sytuacji gdy nie był on klientem ani dłużnikiem Banku Ochrony Środowiska S.A., który bezpodstawnie przekazał dane do Związku Banków Polskich, powodując umieszczenie ich w "Bankowym Rejestrze Dłużników Niewypłacalnych, tj. Systemie Międzybankowej Informacji Gospodarczej – Bankowy Rejestr, – art. 105 ust. 4 Prawa bankowego poprzez jego błędną interpretację prowadzącą do nietrafnego przyjęcia, że przepis ten jest źródłem uprawnienia, o którym mowa w art. 23 ust. 1 pkt 2 u.o.d.o., w sytuacji gdy przepis ten stanowi wyłącznie podstawę do utworzenia Związku Banków Polskich w celu realizacji określonych w nim zadań, a nie daje podstaw do przetwarzania danych w formie przekazywania, gromadzenia, udostępniania, – art. 105a ust. 1 Prawa bankowego w zw. z art. 23 ust. 1 pkt 2 u.o.d.o. poprzez jego niewłaściwe zastosowanie polegające na uznaniu, że przepis ten uprawniał [...] i Związek Banków Polskich do przetwarzania danych osobowych skarżącego, w sytuacji gdy przekazanie danych osobowych skarżącego nastąpiło w styczniu 2000 r., a art. 105a ust. 1 został dodany do Prawa bankowego przez art. 3 pkt 2 ustawy z dnia 15 kwietnia 2005 r. o zmianie ustawy o ochronie informacji niejawnych oraz niektórych innych ustaw (Dz.U. z 2005 r. Nr 85, poz. 727) z dniem 16 czerwca 2005 r., – art. 23 k.c., art. 47 Konstytucji RP poprzez nieusunięcie danych osobowych skarżącego z Rejestru, prowadzące do naruszenia jego dóbr osobistych, w szczególności wizerunku, dobrego imienia, 2) naruszenie przepisów postępowania mające istotny wpływ na wynik sprawy, tj. art. 7 k.p.a. poprzez niedokładne wyjaśnienie stanu faktycznego sprawy i nieuwzględnienie słusznego interesu skarżącego. Wskazując na powyższe, skarżący wniósł o uchylenie zaskarżonej decyzji oraz utrzymanej nią w mocy decyzji GIODO z dnia [...] stycznia 2009 r. i zasądzenie kosztów postępowania. W odpowiedzi na skargę Generalny Inspektor Ochrony Danych Osobowych wniósł o jej oddalenie oraz podtrzymał argumentację przedstawioną w uzasadnieniu zaskarżonej decyzji. Oddalając skargę Wojewódzki Sąd Administracyjny w Warszawie uznał, iż decyzje Generalnego Inspektora Ochrony Danych Osobowych nie naruszają prawa. W ocenie Sądu Generalny Inspektor Ochrony Danych Osobowych trafnie wskazuje, iż przesłankę legalności przetwarzania danych osobowych Skarżącego stanowił art. 23 ust. 1 pkt 2 u.o.d.o. Jak wynika z tego przepisu, przetwarzanie danych osobowych jest dopuszczalne, jeżeli jest to niezbędne dla zrealizowania uprawnienia lub spełnienia obowiązku wynikającego z przepisu prawa. Uprawnienia takie dla Banku wynikają z art. 105 ust. 4 ustawy – Prawo bankowe, według którego banki mogą wspólnie z bankowymi izbami gospodarczymi utworzyć instytucje upoważnione do gromadzenia, przetwarzania i udostępniania: 1) bankom – informacji stanowiących tajemnicę bankową w zakresie, w jakim informacje te są potrzebne w związku z wykonywaniem czynności bankowych oraz w związku ze stosowaniem metod statystycznych, o których mowa w art. 128 ust. 3 oraz w art. 128d ust. 1, 2) innym instytucjom ustawowo upoważnionym do udzielania kredytów – informacji stanowiących tajemnicę bankową w zakresie, w jakim informacje te są niezbędne w związku z udzielaniem kredytów, pożyczek pieniężnych, gwarancji bankowych i poręczeń. Powyższa regulacja została uzupełniona przepisem art. 105a ust. 1 Prawa bankowego, który stanowi, iż przetwarzanie przez banki, inne instytucje ustawowo upoważnione do udzielania kredytów oraz instytucje utworzone na podstawie art. 105 ust. 4, informacji stanowiących tajemnicę bankową w zakresie dotyczącym osób fizycznych może być wykonywane, z zastrzeżeniem art. 104, art. 105 i art. 106-106c, w celu oceny zdolności kredytowej i analizy rynku kredytowego. Powołane przepisy stanowią podstawę do przetwarzania danych osobowych osób fizycznych objętych tajemnicą bankową przez banki i instytucje takie, jak Związek Banków Polskich. Sąd uznał, że jakkolwiek dane osobowe skarżącego zostały przekazane w styczniu 2000 r., zanim zaczął obowiązywać art. 105a ust. 1 Prawa bankowego, to jak słusznie zauważa Generalny Inspektor, ocena legalności przetwarzania danych następuje według stanu na dzień wydania decyzji, zaś na ten moment brak było podstaw prawnych do sformułowania nakazu usunięcia danych skarżącego, o którym mowa w art. 18 ust. 1 pkt 6 u.o.d.o. Niezależnie od powyższego organ trafnie wskazuje, iż z art. 6 wyżej powołanej ustawy o zmianie ustawy o ochronie informacji niejawnych i niektórych ustaw, zgodnie z którym banki, inne instytucje ustawowo upoważnione do udzielania kredytów oraz instytucje utworzone na podstawie art. 105 ust. 4 Prawa bankowego obowiązane są dostosować przetwarzanie informacji zgromadzonych przed dniem wejścia w życie tej ustawy do wymagań w niej określonych, w terminie nie dłuższym niż 3 lata od wejścia w życie ustawy, wynika, iż dyspozycją przepisu art. 105a ust. 1 Prawa bankowego objęte jest również przetwarzanie danych, które miało miejsce w momencie wejścia w życie tego przepisu. W sprawie jest bezsporne, iż skarżący nie jest dłużnikiem Banku Ochrony Środowiska. Zobowiązanie zaciągnęła [...] Sp. z o.o., w imieniu której działał skarżący jako prezes zarządu. Jego dane osobowe w zakresie imienia i nazwiska "M.M." zostały zgłoszone do Systemu – Bankowy Rejestr przez [...] S.A. w dniu [...] stycznia 2000 r. i umieszczone w rekordzie podmiotu [...] Sp. z o.o. jako informacja dotycząca zawartej z jego udziałem umowy kredytowej. W sprawie nie ma znaczenia, iż skład zarządu Spółki zmienił się po zawarciu tej umowy zwłaszcza jeśli się zważy, że zmiany te nie zostały ujawnione w Rejestrze Handlowym i M.M. figuruje w nim jako osoba uprawniona do reprezentowania Spółki "[...]", co wynika ze złożonego na rozprawie odpisu z Rejestru. Z tych względów Sąd uznał, iż organ dokonał właściwej analizy całości sprawy i zasadnie odmówił uwzględnienia wniosku nakazującego usunięcie danych z Bankowego Rejestru. Co do pozostałych zarzutów Sąd uznał, iż nie zasługują one na uwzględnienie. W przeprowadzonym postępowaniu administracyjnym organ nie naruszył art. 7 k.p.a. i stosownie do dyspozycji tego przepisu podjął wszelkie kroki niezbędne do dokładnego wyjaśnienia stanu faktycznego oraz załatwienia sprawy, mając na względzie interes społeczny i słuszny interes obywateli. Uzasadnienie zaskarżonej decyzji spełnia wymogi, o których mowa w art. 107 § 3 k.p.a. Organ odniósł się także do wniosków i zarzutów skarżącego oraz dokonał właściwej analizy całości sprawy i wydał prawidłowe rozstrzygnięcie. Generalny Inspektor dokonał oceny legalności udostępnienia danych skarżącego na rzecz Związku Banków Polskich pod kątem zgodności z przepisami ustawy o ochronie danych osobowych, zatem zarzuty naruszenia art. 47 Konstytucji i art. 23 Kodeksu cywilnego, nie mogą być uznane za trafne. Wobec powyższego Wojewódzki Sąd Administracyjny w Warszawie, na podstawie art. 151 ustawy z dnia 30 sierpnia 2002 r. – Prawo o postępowaniu przed sądami administracyjnymi (Dz.U. Nr 153, poz. 1270 ze zm.), zw. dalej ustawą P.p.s.a., oddalił skargę. Skargę kasacyjną od powyższego wyroku wniósł M.M. reprezentowany przez adw. T. B. i zaskarżając wyrok w całości skargę kasacyjną oparł na obu podstawach z art. 174 ustawy P.p.s.a. zarzucając: 1) naruszenie prawa materialnego przez błędną jego wykładnię i niewłaściwe zastosowania, a to: – art. 23 ust. 1 pkt 2 ustawy z dnia 29 sierpnia 1997 r. u.o.d.o., art. 105 ust. 4 i art. 105a ust. 1 ustawy z dnia 29 sierpnia 1997 r. – Prawo bankowe poprzez błędne przyjęcie, że przepisy te stanowią podstawę do przetwarzania danych osobowych M.M. objętych tajemnicą banków przez [...] S.A. i Związek Banków Polskich w sytuacji gdy art. 105a ust 1 ustawy – Prawo bankowe uprawnia banki i instytucje takie jak Związek Banków Polskich do przetwarzania informacji stanowiących tajemnicę bankową tylko w zakresie osób fizycznych będących klientami banku w czasie trwania zobowiązania, a M.M. nigdy nie był klientem Banku Ochrony Środowiska S.A. i nie łączy go z tym bankiem żaden stosunek zobowiązaniowy, – art. 47 Konstytucji RP, art. 23 k.c. poprzez utrzymanie w mocy decyzji GIODO naruszających prawo do prywatności oraz dobra osobiste skarżącego. 2) naruszenie przepisów postępowania mające istotny wpływ na wynik sprawy, a to: – art. 134 § 1 ustawy P.p.s.a. poprzez brak merytorycznego rozstrzygnięcia całości sprawy, tj. odniesienie się w zakresie zarzutu naruszenia art. 105a ust. 1 Prawa bankowego tylko do zarzutu braku legalności przetwarzania danych osobowych w okresie sprzed wejście w życie art. 105a ust. 1 Prawa bankowego, brak analizy art. 105a ust. 1 ustawy Prawo bankowe w brzmieniu aktualnym na dzień wydania decyzji przez GIODO w zakresie zastosowania go w stanie faktycznym niniejszej sprawy i poprzestanie na powtórzeniu stanowiska GIODO bez uzasadnienia zastosowania w niniejszej sprawie art. 105a ust. 1 Prawa bankowego. Skarga kasacyjna wnosi o uchylenie zaskarżonego wyroku, przekazanie sprawy do ponownego rozpoznania Sądowi I instancji oraz zasądzenie kosztów postępowania. W uzasadnieniu skargi kasacyjnej odnosząc się do pierwszego zarzutu autor skargi kasacyjnej powołuje się na art. 105a ust. 1 Prawa bankowego, który stanowi, że przetwarzanie przez banki, inne instytucje ustawowo upoważnione do udzielania kredytów oraz instytucje utworzone na podstawie art. 105 ust. 4, informacji stanowiących tajemnicę bankową w zakresie dotyczącym osób fizycznych może być wykonywane, z zastrzeżeniem art. 104, art. 105 i art. 106–106c, w celu oceny zdolności kredytowej i analizy ryzyka kredytowego. Wykładnię tego artykułu należy przeprowadzić z uwzględnieniem przyczyn jego zmiany dokonanej przez art. 1 pkt 13 ustawy z dnia 26 stycznia 2007 r. o zmianie ustawy – Prawo bankowe (Dz.U. z 2007 r. Nr 42, poz. 272). Przed wejściem w życie tejże zmiany, tj. przed dniem [...] kwietnia 2007 r. przepis art. 105a ust. 1 ustawy Prawo bankowe dodany przez art. 3 pkt 2 ustawy z dnia 15 kwietnia 2005 r. o zmianie ustawy o ochronie informacji niejawnych oraz niektórych innych ustaw (Dz.U. z 2005 r. Nr 85, poz. 727) obowiązujący z dniem 16 czerwca 2005 r. stanowił, że przetwarzanie przez banki, inne instytucje ustawowo upoważnione do udzielania kredytów oraz instytucje utworzone na podstawie art. 105 ust. 4, informacji stanowiących tajemnicę bankową w zakresie dotyczącym osób fizycznych (konsumentów) może być wykonywane, z zastrzeżeniem art. 104, 105 i 106-106c, w celu oceny zdolności kredytowej i analizy ryzyka kredytowego. Porównanie brzmienia tego przepisu sprzed zmiany i po zmianie prowadzi do wniosku, że skreślono tylko – a może aż – słowo konsument. Przyczyna tejże zmiany została wyjaśniona w uzasadnieniu wprowadzenia zmian ustawą z dnia 26 stycznia 2007 r. W myśl tego uzasadnienia zmiana w art. 105a ust. 1 polega na usunięciu dookreślenia osoby fizycznej jako konsumenta i została wprowadzona w celu wyeliminowania analogii do pojęcia konsument w rozumieniu ustawy z dnia 20 lipca 2001 r. o kredycie konsumenckim (Dz.U. z 2003 r. Nr 109, poz. 1030), bowiem nie wszystkie umowy zawierane przez bank z osobami fizycznymi będą umowami konsumenckimi ([...] internetowy system bankowości spółdzielczej). Wykreślenie słowa konsument nie oznacza zatem rozszerzenia uprawnienia do przetwarzania informacji objętych tajemnicą bankową na dane osobowe wszystkich osób fizycznych, jakie zostały pozyskane przez bank w związku z wykonywanymi czynnościami bankowymi, a tylko na informacje objęte tajemnicą bankową dotyczące osób fizycznych, które zawarły z bankiem umowę. Taką samą interpretację art. 105a ust. 1 ustawy – Prawo bankowe przyjmuje GIODO w uzasadnieniu decyzji z dnia [...] kwietnia 2009 r. twierdząc, że przepis art. 105 ust. 4 i art. 105a ust. 1 Prawa bankowego stanowi podstawę przetwarzania danych osobowych klientów banków przez banki i instytucie takie jak ZBP w czasie trwania zobowiązania łączącego bank i klienta banku. Skarżący nie zawierał z [...] S.A. umowy o kredyt obrotowy we własnym imieniu, działał jako organ osoby prawnej – [...] Sp. z o.o. Skarżącego nie łączył i nie łączy z [...] S.A. żaden stosunek zobowiązaniowy. Sąd I instancji w uzasadnieniu skarżonego wyroku przyznaje, iż jest w sprawie bezspornym, że skarżący nie jest dłużnikiem Banku Ochrony Środowiska S.A. i że dane osobowe skarżącego zostały umieszczone w rekordzie podmiotu [...] Sp. z o.o. jako informacja dotycząca zawartej z jego udziałem umowy kredytowej. Jednakże mieszczenie danych osobowych skarżącego w zakresie imienia i nazwiska w systemie Międzybankowej Informacji Kredytowej Bankowy Rejestr – nawet jako tylko informacja dotycząca zawartej z jego udziałem umowy kredytowej – zostało dokonane na podstawie Regulaminu wymiany informacji w systemie Międzybankowej Informacji Gospodarczej – Bankowy Rejestr – obowiązującego w okresie od dnia 6 maja 1993 r. do dnia 6 maja 2003 r., a więc bezprawnie, ponieważ regulamin niebędący źródłem powszechnie obowiązującego prawa nie może być podstawa prawną uprawnienia do przetwarzania danych osobowych, o którym mowa w art. 23 ust. 1 pkt 2 u.o.d.o. Wobec tego, że ani regulamin, ani art. 105a ust. 1 w zw. z art. 105 ust. 4 ustawy – Prawo bankowe nie legalizuje przetwarzania danych osobowych skarżącego przez ZBP w systemie Międzybankowej Informacji Gospodarczej Bankowy Rejestr dane te powinny być z tegoż systemu usunięte. O braku możliwości uznania art. 105a ust. 1 ustawy – Prawo bankowe za podstawę przetwarzania danych osobowych skarżącego przesądza również niespełnienie przesłanki celu, dla którego przetwarzanie danych osobowych jest legalne w świetle tego przepisu, tj. ocena zdolności kredytowej i analiza rynku kredytowego. Sąd I instancji potwierdził, że skarżący nie jest dłużnikiem Banku Ochrony Środowiska S.A. Stąd też umieszczenie danych osobowych skarżącego w systemie Międzybankowej Informacji Gospodarczej Bankowy Rejestr nie jest potrzebne do oceny wiarygodności i ryzyka, z jakim wiąże się ewentualne udzielenie kredytu skarżącemu. Brak realizacji powyższego celu narusza także ustawę o ochronie danych osobowych oraz art. 6 ust. 1 Dyrektywy 95/64/WE Parlamentu Europejskiego i Rady (Dziennik Urzędowy L 281, 23/11/1995 P. 0031 – 0050), z którego wynika, że dane osobowe mogą być gromadzone do określonych, jednoznacznych i legalnych celów oraz nie mogą być poddawane dalszemu przetwarzaniu w sposób niezgodny z tym celem. W świetle powyższych okoliczności nietrafne jest stanowisko Sądu I instancji, że przetwarzanie danych osobowych skarżącego przez [...] S.A. i Związek Banków Polskich nie narusza art. 47 Konstytucji i art. 23 Kodeksu cywilnego. Nie ulega wątpliwości, że bezprawne przetwarzanie danych osobowych skarżącego objętych tajemnicą bankową w rejestrze potocznie nazywanym "rejestrem niesolidnych dłużników" stanowi naruszenie konstytucyjnego prawa do prywatności oraz naruszenie dóbr osobistych skarżącego. Wiarygodność skarżącego jako potencjalnego klienta banków została zachwiana, naruszone zostało dobre imię skarżącego. Naczelny Sąd Administracyjny zważył, co następuje: Skarga kasacyjna nie posiada usprawiedliwionych podstaw. Rozpoznając sprawę w granicach skargi kasacyjnej – jak tego wymaga przepis art. 183 § 1 ustawy P.p.s.a. – Naczelny Sąd Administracyjny nie uznał za zasadne zarzutów naruszenia przepisów postępowania w stopniu mającym istotny wpływ na wynik sprawy, jak również zarzutów naruszenia prawa materialnego. Przepis art. 23 ust. 1 pkt 2 u.o.d.o. zezwala na przetwarzanie danych osobowych gdy jest to niezbędne dla zrealizowania uprawnienia lub spełnienia obowiązku wynikającego z przepisu prawa. W ocenie Naczelnego Sądu Administracyjnego Sąd pierwszej instancji prawidłowo jako podstawę do legalizacji przetwarzania danych przez banki wskazuje przepis art. 105 ust. 4 ustawy – Prawo bankowe, który nie tylko stanowi podstawę do tworzenia instytucji upoważnionych do gromadzenia, przetwarzania i udostępniania danych, lecz także określa zakres przekazywanych informacji, stanowiących tajemnice bankową oraz cel – ich związek z wykonywaniem czynności bankowych oraz stosowaniem metod statystycznych. Wbrew zarzutom skargi kasacyjnej Wojewódzki Sąd Administracyjny wyjaśnił w uzasadnieniu zaskarżonego wyroku, iż ocena legalności decyzji nastąpiła według stanu prawnego obowiązującego w tej dacie, nie zaś według stanu ze stycznia 2000 r., kiedy dane dotyczące zawartej umowy kredytowej i zaniechania jej realizacji przez dłużnika podlegały przetwarzaniu. Istotną okolicznością w tej sprawie tak w aspekcie faktycznym jak i prawnym jest to (co zostało uwzględnione zarówno przez organ i Sąd pierwszej instancji), że dane dotyczące skarżącego nie zostały użyte jako określenie dłużnika Banku, lecz jako osoby działającej w imieniu zawierającej umowę o kredyt Spółki [...]. Spółka ta ma status osoby prawnej. Zarówno pod rządami przepisów Kodeksu handlowego, jak i obecnie obowiązującej ustawy z dnia 15 września 2000 r. Kodeks spółek handlowych (Dz.U. Nr 94, poz. 1037 ze zm.) do prowadzenia spraw spółki i reprezentowania jej upoważniony jest zarząd spółki. Prawo to dotyczy wszystkich czynności sądowych i pozasądowych spółki (obecnie art. 204 § 1 k.s.h.). Nie może być ono ograniczone ze skutkiem prawnym wobec osób trzecich. Szczególne umocowanie zarządu spółki z ograniczoną odpowiedzialnością znalazło swe odzwierciedlenie także w sposobie rejestracji spółki, który to moment (wpis do rejestru handlowego, obecnie KRS) przesądza ostatecznie o uzyskaniu przez tworzony podmiot osobowości prawnej. Dane dotyczące zarządu spółki i sposobu jej reprezentowania – podlegają ujawnieniu w rejestrach – stanowiących zbiór powszechnie dostępnych danych – a wszelkie zmiany – władze spółki (zarząd) winny zgłaszać niezwłocznie do stosownego rejestru. Zasadnie zatem w świetle obowiązujących przepisów Sąd pierwszej instancji nie dopatrzył się naruszenia prawa w działaniu Generalnego Inspektora, który odmówił uwzględnienia wniosku strony o usunięcie jej nazwiska z "Bankowego Rejestru Dłużników Niewypłacalnych". Po pierwsze z tego powodu, iż nazwisko skarżącego nie figurowało w tymże rejestrze jako dłużnika Banku, lecz jako osoby reprezentującej Spółkę, która w imieniu Spółki zawierała umowę, co znajduje uzasadnienie zarówno w przepisach ustrojowych regulujących status osoby prawnej, jak również w Statucie Spółki "[...]", po drugie zaś przepisy intertemporalne ustawy z dnia 15 kwietnia 2005 r. o zmianie ustawy o ochronie informacji niejawnych oraz niektórych innych ustaw (Dz.U. Nr 85, poz. 727) nakazywały bowiem, innym instytucjom upoważnionym do udzielania kredytów oraz instytucjom utworzonym na podstawie art. 105 ust. 4 ustawy – Prawo bankowe dostosowanie przetwarzania informacji zgromadzonych przed dniem wejścia w życie tej ustawy do wymagań w niej określonych w terminie nie dłuższym niż 3 lata od dnia wejścia w życie ustawy. Redakcja przepisu art. 6 ustawy zmieniającej z dnia 15 kwietnia 2005 r. wskazuje, iż odnosi się on do przetwarzania informacji zgromadzonych przed wejściem w życie noweli, a zatem obejmuje stany faktyczne i prawne sprzed wejścia w życie przepisów nowelizujących ustawy – Prawo bankowe. Rozpatrując wniosek strony pod rządami przepisu art. 105a ust. 1 ustawy – Prawo bankowe, po znowelizowaniu go ustawą z dnia 27 stycznia 2007 r. o zmianie ustawy – Prawo bankowe (Dz.U. Nr 42, poz. 272) Generalny Inspektor prawidłowo zinterpretował ten przepis jako usprawiedliwiający pozostawienie nazwiska skarżącego w Rejestrze prowadzonym przez ZBP, z uwagi na niekwestionowane działanie M.M., jako osoby reprezentującej Spółkę, zawierającą umowę o kredyt. Jak już wspomniano Spółka, będąca osobą prawną, działa poprzez swe statutowe organy i osoby upoważnione do jej reprezentacji. Samo ujęcie nazwy Spółki w Rejestrze Dłużników Niewypłacalnych, nawet w połączeniu z określeniem siedziby nie byłoby wystarczające do realizacji celu jakiemu służyło zalegalizowanie przetwarzania danych objętych tajemnicą bankową – ocena zdolności kredytowej i analizy ryzyka kredytowego. Ustawodawca w art. 70 ust. 1 Prawa bankowego uzależnił przyznanie kredytu od zdolności kredytowej kredytobiorcy. Jednocześnie w przepisie tym zawarto definicję zdolności kredytowej rozumiejąc pod tym pojęciem zdolność do spłaty zaciągniętego kredytu wraz z odsetkami w terminach określonych w umowie. Kredytobiorcę obciąża ustawowy obowiązek przedłożenia na żądanie banku dokumentów i informacji niezbędnych do dokonania oceny tej zdolności. Aby te zadania banków w zakresie udzielania kredytów i oceny zdolności kredytowej ewentualnych klientów banków były prawidłowo realizowane – prowadzony rejestr winien zawierać te dane, które są niezbędne do oceny zdolności kredytowej i analizy ryzyka kredytowego. Dane osoby działającej w imieniu podmiotu zawierającego z [...] umowę o kredyt, zgodnie z istniejącym wpisem do Rejestru Handlowego nie naruszały ani przepisów ustawy o ochronie danych osobowych, ani też przepisu art. 105a ust. 1 ustawy Prawo bankowe. Nie można także dopatrzyć się naruszenia przepisu art. 47 Konstytucji Rzeczypospolitej Polskiej, który chroni życie prywatne, rodzinne, cześć i dobre imię oraz prawo do decydowania o swoim życiu osobistym. Działalność w sferze gospodarczej, bądź usługowej czy finansowej przez podmioty prawa handlowego jest regulowana przepisami prawa, a legalność ich działania, reprezentowania i rejestracji poddana jest reglamentacji prawnej, stanowiącej, jeśli chodzi o sposób reprezentacji, dane dostępne powszechnie w rejestrach – dawniej Handlowym, obecnie Krajowym Rejestrze Sądowym. Podanie informacji o osobie działającej w imieniu Spółki, reprezentującej ten podmiot zgodnie z unormowaniami prawnymi, regulacjami Statutu nie narusza życia prywatnego, dobrego imienia, bądź czci tej osoby, jeśli pozostaje w zgodzie z danymi ogólnodostępnymi w prowadzonych rejestrach. Zasadnie na tę okoliczność zwrócił uwagę Sąd I instancji odnosząc się do zarzutu skarżącego co do zmiany składu zarządu Spółki, iż okoliczność ta nie ma znaczenia w kwestii usunięcia nazwiska skarżącego z Bankowego Rejestru Dłużników, skoro nadal figuruje on w tymże Rejestrze Handlowym jako osoba reprezentująca Spółkę. Wprowadzenie zmian w tym rejestrze, jeżeli miałyby one miejsce po zawarciu umowy kredytu, co zdaje się potwierdzać przedłożony do akt sądowych odpis aktu notarialnego z dnia [...] marca 1999 r. Rep. A Nr [...] winno stosownie do art. 168 k.s.h. zostać zgłoszone do sądu rejestrowego w celu wpisania ich do rejestru. Z tą chwilą skarżący – jako niewątpliwie posiadający interes prawny – może zwrócić się do ZBP – Międzybankowej Informacji Gospodarczej – Bankowy Rejestr o wpisanie danych osoby aktualnie reprezentującej zadłużoną Spółkę, jednakże kwestia ta przekracza ramy rozpatrywanej sprawy i pozostawała poza kontrolą Sądu. Z powyższych względów Naczelny Sąd Administracyjny uznał, iż zarzuty naruszenia przez Sąd pierwszej instancji przepisów prawa materialnego nie są trafne, a Sąd ten nie naruszył także przepisu art. 134 § 1 ustawy P.p.s.a., który określa granice orzekania Sądu pierwszej instancji, ograniczając kontrolę legalności do granic "danej sprawy". Stawiając ten zarzut autor skargi kasacyjnej nie uzasadnił na czym polegało naruszenie tego przepisu, a ponadto czy mogło ono mieć istotny wpływ na wynik sprawy. Tylko zaś taki zarzut mógłby skutkować uchyleniem zaskarżonego wyroku. Wobec powyższego uznając, że skarga nie posiada usprawiedliwionych zarzutów a zaskarżony wyrok odpowiada prawu Naczelny Sąd Administracyjny na podstawie art. 184 ustawy P.p.s.a. orzekł jak w sentencji. O kosztach Sąd orzekł na podstawie art. 204 pkt 1 powołanej ustawy oraz § 14 ust. 1 i 2 pkt 2 lit. c rozporządzenia Ministra Sprawiedliwości z dnia 28 września 2002 r. w sprawie opłat za czynności radców prawnych oraz ponoszenia przez Skarb Państwa kosztów pomocy prawnej udzielonej przez radcę prawnego ustanowionego z urzędu (Dz.U. Nr 163, poz. 1349) uznając zasądzoną kwotę za współmierną do udziału pełnomocnika w sprawie.

Źródło: Centralna Baza Orzeczeń Sądów Administracyjnych (orzeczenia.nsa.gov.pl), pozyskano 14.07.2026. · Źródło