II SA/Wa 1161/12
WyrokWSA w Warszawie2012-10-10
Skład orzekający: Eugeniusz Wasilewski, Adam Lipiński, Stanisław Marek Pietras
Analiza orzeczenia
Sekcja wygenerowana przez AI na podstawie treści orzeczenia — nie stanowi cytatu.
Zagadnienie prawne
Czy Generalny Inspektor Ochrony Danych Osobowych prawidłowo odmówił uwzględnienia wniosku o skasowanie danych osobowych, uznając, że ich przetwarzanie przez bank jest dopuszczalne na podstawie przepisów o ochronie danych osobowych i prawa bankowego, nawet w sytuacji, gdy dłużnik kwestionuje zasadność roszczenia?Ratio decidendi
Przetwarzanie danych osobowych przez bank w celu dochodzenia roszczeń z tytułu prowadzonej działalności gospodarczej, w tym przez podmioty zewnętrzne na podstawie umowy powierzenia, jest dopuszczalne na podstawie art. 23 ust. 1 pkt 5 ustawy o ochronie danych osobowych, zwłaszcza gdy zobowiązanie nie zostało wykonane lub wystąpiła zwłoka w jego spełnieniu, zgodnie z przepisami prawa bankowego. Organ ochrony danych osobowych nie jest właściwy do rozstrzygania sporów prawnych dotyczących zasadności roszczeń banku, a jedynie do oceny legalności przetwarzania danych.Stan faktyczny
Skarżący J. T. zwrócił się do Generalnego Inspektora Ochrony Danych Osobowych (GIODO) ze skargą na przetwarzanie jego danych osobowych przez bank, domagając się ich skasowania i powiadomienia prokuratury o rzekomym procederze. Bank wyjaśnił, że przetwarza dane w związku z postępowaniem windykacyjnym i przekazuje je do Biura Informacji Kredytowej oraz sądu. GIODO decyzją odmówił uwzględnienia wniosku, uznając przetwarzanie danych za legalne na podstawie przepisów o ochronie danych osobowych i prawa bankowego. Po ponownym rozpatrzeniu sprawy, GIODO utrzymał w mocy swoją poprzednią decyzję, szczegółowo opisując stan faktyczny dotyczący umowy kredytowej, wpłat skarżącego i prowadzonego postępowania windykacyjnego.Rozstrzygnięcie
Oddala skargę.Pełny tekst orzeczenia
Wojewódzki Sąd Administracyjny w Warszawie w składzie następującym: Przewodniczący Sędzia WSA – Eugeniusz Wasilewski Sędzia WSA – Adam Lipiński Sędzia WSA – Stanisław Marek Pietras (spraw.) Protokolant – referent stażysta Małgorzata Ciach po rozpoznaniu na rozprawie w dniu 10 października 2012 r. sprawy ze skargi J. T. na decyzję Generalnego Inspektora Ochrony Danych Osobowych z dnia [...] kwietnia 2012 r. nr [...] w przedmiocie odmowy uwzględnienia wniosku – oddala skargę –
Pismem z dnia [...] stycznia 2011 r. skarżący J. T. zwrócił się do Generalnego Inspektora Ochrony Danych Osobowych ze skargą na przetwarzanie jego danych osobowych przez E. S.A. Spółka Akcyjna Oddział w Polsce z siedzibą w W. przy ul. [...] i wniósł o "przywrócenie stanu zgodnego z prawem – w szczególności skasowanie (...) danych w bazie P., anulowanie danych przekazanych operatorom zewnętrznym (...) a w razie odmowy powiadomienie prokuratury o zaistniałym procederze". Ponadto wskazał na naruszenie prawa, a to "kradzieży, przetwarzaniu, zafałszowaniu i rozpowszechnianiu jego danych osobowych".
W związku z powyższym Bank wyjaśnił, że przetwarza dane osobowe skarżącego, jako osoby fizycznej prowadzącej działalność gospodarczą, w związku z toczącym się postępowaniem windykacyjnym i wobec powyższego jego dane zgłosił do "[...]", prowadzonej przy Związku Banków Polskich. Oprócz tego dane skarżącego są przekazywane w formie raportów do Biura Informacji Kredytowej przez cały okres spłaty kredytu. Ponadto dane skarżącego są przetwarzane, jako byłego przedsiębiorcy, w związku z prowadzonym postępowaniem windykacyjnym i są przekazywane Sądowi Rejonowemu w L., Wydział Cywilny wraz z wnioskiem o nadanie klauzuli wykonalności bankowemu tytułowi egzekucyjnemu przeciwko skarżącemu oraz Firmie D. sp. z o.o. ul. [...], która z upoważnienia Banku prowadzi windykację niespłaconej kwoty kredytu. Niezależnie od powyższego wskazano, że u podstaw przetwarzania danych osobowych J. T., tj. jego imię i nazwisko, numer telefonu, adres zamieszkania legła przyczyna składania pism reklamacyjnych oraz pism skarżącego, jak i również złożenie niniejszej skargi oraz ustalono, iż niniejsze dane osobowe znajdują się w zbiorze o nazwie "[...]" – w związku ze świadczeniem usług bankowych przez E. S.A. Spółka Akcyjna Oddział w Polsce".
Generalny Inspektor Ochrony Danych Osobowych decyzją z dnia [...] września 2011 r. nr [...], działając na podstawie art. 12 pkt 2, art. 22 w zw. z art. 23 ust. 1 pkt 2 i 5 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (tekst jedn. Dz. U. z 2002 r. nr 101, poz. 926 ze zm.), odmówił skarżącemu J. T. uwzględnienia wniosku. W uzasadnieniu podano, że poczynione ustalenia faktyczne wskazują, że Bank przetwarza dane osobowe skarżącego w oparciu o przesłanki legalizujące ten proces, o których mowa w przepisie art. 23 ust. 1 pkt 2 i 5 ustawy, bowiem zgodnie z jego treścią przetwarzanie danych jest dopuszczalne m.in. gdy: jest to niezbędne dla zrealizowania uprawnienia lub spełnienia obowiązku wynikającego z przepisu prawa (pkt 2), jest to niezbędne dla wypełnienia prawnie usprawiedliwionych celów realizowanych przez administratorów danych albo odbiorców danych, a przetwarzanie nie narusza praw i wolności osoby, której dane dotyczą (pkt 5). Natomiast w zakresie przetwarzania danych osobowych klientów banków, szczegółową regulację prawną zawarto w ustawie z dnia 29 sierpnia 1997 r. Prawo bankowe (Dz. U. z 2002 r. nr 72, poz. 665 z późn. zm.), i stąd też ocena legalności przetwarzania powyższych danych osobowych nie może się obejść bez powiązania ustawy z przepisami Prawa bankowego. W dalszej części stwierdzono, że Generalny Inspektor nie ocenia zasadności uznania przez bank jego klienta za dłużnika w związku z niedokonanymi płatnościami, bowiem rozstrzyganie sporów prawnych z tego tytułu należy do właściwości sądów powszechnych. Zatem podlegać rozpoznaniu może w tej sprawie jedynie udostępnienie danych osobowych skarżącego przez bank innemu podmiotowi tj. firmie windykacyjnej, na podstawie zawartej odpowiedniej umowy, zgodnie z art. 31 ustawy. Ponadto, w kompetencjach Generalnego Inspektora mieści się również ocena, czy sposób przetwarzania danych osobowych znajduje uzasadnienie w przepisach ustawy i wobec powyższego Generalny Inspektor nie jest organem właściwym do stwierdzenia, czy roszczenie banku, z którym skarżący zawarł umowę z dnia [...] grudnia 2007 r. nr [...] jest zasadne, ponieważ ocena tej kwestii należy do sądów powszechnych. Jak wynika z wyjaśnień banku, dane osobowe skarżącego przetwarza do Związku Banków Polskich oraz do Biura Informacji Kredytowej w związku z prowadzoną przez wymienionego działalnością gospodarczą i zgodnie z art. 105a ust. 1 tej ustawy, przetwarzanie przez banki, inne instytucje ustawowo upoważnione do udzielania kredytów oraz instytucje utworzone na podstawie art. 105 ust. 4, informacji stanowiących tajemnicę bankową w zakresie dotyczącym osób fizycznych może być wykonywane, z zastrzeżeniem art.104,105 i art. 106 – 106c , w celu oceny zdolności kredytowej i analizy ryzyka kredytowego. W myśl zaś przepisu art. 105a ust. 3, instytucje, o których mowa w ust. 1, mogą przetwarzać informacje stanowiące tajemnicę bankową dotyczące osób fizycznych po wygaśnięciu zobowiązania wynikającego z umowy zawartej z bankiem lub inną instytucją ustawowo upoważnioną do udzielania kredytów, bez zgody osoby, której informacje dotyczą, gdy osoba ta nie wykonała zobowiązania lub dopuściła się zwłoki powyżej 60 dni w spełnieniu świadczenia wynikającego z umowy zawartej z bankiem lub inną instytucją ustawowo upoważnioną do udzielania kredytów, a po zaistnieniu tych okoliczności upłynęło co najmniej 30 dni od poinformowania tej osoby przez bank lub inną instytucję ustawowo upoważnioną do udzielania kredytów o zamiarze przetwarzania dotyczących jej informacji stanowiących tajemnicę bankową, bez jej zgody. W myśl zaś art. 105a ust. 4, banki oraz instytucje, o których mowa w art. 105 ust. 4, mogą przetwarzać informacje stanowiące tajemnicę bankową dotyczące osób fizycznych po wygaśnięciu zobowiązania wynikającego z umowy zawartej z bankiem lub inną instytucją ustawowo upoważnioną do udzielania kredytów, bez zgody osoby, której informacje dotyczą, dla celów stosowania metod statystycznych, o których mowa w art. 128 ust. 3. Zatem przetwarzanie danych osobowych skarżącego przez bank znajduje uzasadnienie w przepisie art. 23 ust. 1 pkt 2 ustawy w zw. z unormowaniami ustawy Prawo bankowe. Niniejsza ocena wynika z treści pisma wyjaśniającego banku, w którym podano, iż przetwarzanie danych osobowych skarżącego, jako osoby fizycznej prowadzącej działalność gospodarczą, nastąpiło z powodu toczącego się postępowania windykacyjnego wobec niego. W zakresie postępowania egzekucyjnego bank udostępnia dane osobowe Sądowi Rejonowemu w L., ponieważ chce uzyskać klauzule wykonalności bankowego tytułu egzekucyjnego przeciwko skarżącemu, jako byłemu przedsiębiorcy w celu dochodzenia wierzytelności. Zgodnie z art. 96 ust. 1 ustawy Prawo bankowe, banki mogą wystawiać bankowe tytuły egzekucyjne na podstawie ksiąg banków lub innych dokumentów związanych z dokonywaniem czynności bankowych. Dodatkowo, bankowy tytuł egzekucyjny może być podstawą egzekucji prowadzonej według przepisów Kodeksu postępowania cywilnego po nadaniu mu przez sąd klauzuli wykonalności, wyłącznie przeciwko osobie, która bezpośrednio z bankiem dokonywała czynności bankowej albo jest dłużnikiem banku z tytułu zabezpieczenia wierzytelności banku wynikającej z czynności bankowej i złożyła pisemne oświadczenie o poddaniu się egzekucji oraz gdy roszczenie objęte tytułem wynika bezpośrednio z tej czynności bankowej lub jej zabezpieczenia (art. 97 ust. 1 ustawy Prawo bankowe). Dlatego też w tej sytuacji Bank miał prawo zgodnie z art. 23 ust. 1 pkt 2 ustawy w związku z przytoczonymi przepisami ustawy Prawo bankowe, przetwarzać dane osobowe skarżącego. Wynika to także z załączonej do akt sprawy umowy kredytowej nr [...] pomiędzy skarżącym i bankiem oraz jej załącznika nr 1, w którym poinformowano skarżącego o poddaniu się egzekucji w zakresie ewentualnych roszczeń wobec Banku. Odnosząc się do kwestii prowadzonego postępowania windykacyjnego z upoważnienia Banku przez firmę windykacyjną D. Sp. z o.o., zwaną dalej Spółką, w celu prowadzenia windykacji niespłaconej kwoty kredytu należy uznać, iż Bank również nie naruszył przepisów o ochronie danych osobowych, bowiem w myśl art. 23 ust. 4 pkt 2 ustawy, za prawnie usprawiedliwiony cel, o którym mowa w ust. 1 pkt 5, uważa się w szczególności dochodzenie roszczeń z tytułu prowadzonej działalności gospodarczej. Prawo wierzyciela do dochodzenia swych roszczeń wynika także z przepisów ustawy z dnia 23 kwietnia 1964 r. Kodeks cywilny, gdzie w art. 353 § 1 stanowi się, iż zobowiązanie polega na tym, że wierzyciel może żądać od dłużnika świadczenia, a dłużnik powinien świadczenie spełnić. Dlatego też w analizowanej sprawie Bank zmierzając do wyegzekwowania należnej wierzytelności, działał w oparciu o przepis art. 23 ust. 1 pkt 5 ustawy. Wspomniany ustawowy zapis nie może służyć jako podstawa uchylenia się od spełnienia zaległych zobowiązań wobec podmiotu prowadzącego działalność gospodarczą. Dlatego też dłużnik musi mieć na uwadze, że jego prawo do prywatności może być naruszone względem dochodzenia przez wierzyciela należnych kwot, bowiem w innej sytuacji mogłoby dojść do tego, iż dłużnik powołując się na prawo do ochrony danych osobowych, skutecznie uchyliłby się od spoczywającego na nim obowiązku spełnienia świadczenia, a przez to ograniczałaby prawo wierzyciela do uzyskania należnej zapłaty. Co istotne, przetwarzając dane administrator danych może działać samodzielnie, lecz jest również upoważniony do korzystania z pośrednictwa innych podmiotów. Zgodnie bowiem z art. 31 ustawy, administrator danych może powierzyć innemu podmiotowi, w drodze umowy zawartej na piśmie, przetwarzanie danych (ust. 1). W takiej sytuacji podmiot, któremu dane powierzono, może je przetwarzać wyłącznie w zakresie i celu przewidzianym w umowie (ust. 2). Skorzystanie z przewidzianej w art. 31 ustawy możliwości powierzenia przetwarzania danych innemu podmiotowi nie powoduje zmiany administratora tych danych i pozostaje nim nadal podmiot, który powierzył przetwarzanie danych. Konsekwencją powyższego jest fakt, iż odpowiedzialność za przetwarzanie powierzonych danych w sposób zgodny z przepisami ustawy, spoczywa nadal na powierzającym (administratorze), natomiast podmiot, któremu dane powierzono odpowiada za ich przetwarzanie w sposób zgodny z postanowieniami umowy powierzenia (art. 31 ust. 4 ustawy). Na podstawie umów, jakie bank zawarł ze spółką, zostały zlecone spółce wykonanie działań związanych z wierzytelnością skarżącego dotyczącą niespłaconej kwoty kredytu. W ten sposób spółka stała się podmiotem, o którym mowa w art. 31 ust. 1 ustawy. Zatem dane osobowe skarżącego zostały udostępnione przez bank w celu dochodzenia zapłaty należności wynikających z umów łączących ten podmiot ze spółką. W związku z tym przetwarzanie danych osobowych przez bank dla firmy windykacyjnej, nie może być postrzegane jako naruszenie nie zgodne z przepisami o ochronie danych osobowych. Odnosząc się zaś do wniosku skarżącego o powiadomieniu prokuratury w przypadku braku skasowania jego danych osobowych przez Bank wskazać należy, iż ustawa nie uprawnia Generalnego Inspektora do kończenia prowadzonego postępowania poprzez skierowanie w formie decyzji administracyjnej zawiadomienia do organów ścigania o popełnieniu przestępstwa. Stosownie do treści art. 19 w razie stwierdzenia, że działanie lub zaniechanie kierownika jednostki organizacyjnej, jej pracownika lub innej osoby fizycznej będącej administratorem danych wyczerpuje znamiona przestępstwa określonego w ustawie, Generalny Inspektor kieruje do organu powołanego do ścigania przestępstw zawiadomienie o popełnieniu przestępstwa, dołączając dowody dokumentujące podejrzenie. Z powyższego wynika zatem, że skierowanie przez Generalnego Inspektora zawiadomienia o popełnieniu przestępstwa następuje poprzez wystąpienie do organu właściwego do wszczęcia postępowania karnego w danej sprawie, przy czym jako należące do autonomicznych kompetencji organu realizowane jest z urzędu, nie zaś na wniosek osób zainteresowanych.
We wniosku z dnia [...] września 2011 r. do Generalnego Inspektora Ochrony Danych Osobowych, skarżący wniósł o należyte załatwienie sprawy, a w szczególności o wyegzekwowanie od prezesa P. zaprzestania prowadzenia wobec niego działalności przestępczej i zastosowanie odpowiednich sankcji mieszczących się w zakresie organu. W uzasadnieniu stwierdził, że ze skargą wystąpił w styczniu i została ona załatwiona dopiero teraz. Natomiast co do uznania, że organ nie bada oceny zasadności uznania przez bank jego klienta za dłużnika, zgodził się z powyższym jednakże urzędnik ma rzetelnie sprawdzić dokumentację i gdyby to zrobił, to wierzytelność banku określoną przez ten bank na piśmie, znalazłby leżącą sobie od kilku lat w tymże banku, a obok tego stosowny przelew świadczący, że saldo wierzytelności zostało skutecznie i natychmiast wyzerowane, na dowód czego załączył powyższe dokumenty. Natomiast co do odesłania do sądów powszechnych, to winien ostrożniej występować z takimi sugestiami i nie posiada informacji, aby organ "wysłał" Prezesa Banku do Sądu po korzystny dla siebie wyrok.
Generalny Inspektor Ochrony Danych Osobowych decyzją z dnia [...] kwietnia 2012 r. nr [...], utrzymał w mocy zaskarżoną decyzję z dnia [...] września 2011 r. W uzasadnieniu ustalono następujący stan faktyczny. Otóż skarżący prowadząc działalność gospodarczą zawarł w dniu [...] grudnia 2007 r. z bankiem [...] Kredytu [...] nr [...] i załącznik do tej umowy zawiera podpisane przez niego oświadczenie, że w zakresie roszczeń wynikających z umowy, poddaje się egzekucji w trybie art. 97 ust. 1 – 2 ustawy z 29 sierpnia 1997 r. Prawo Bankowe oraz wyraża zgodę na wystawienie przez Bank bankowego tytułu egzekucyjnego do kwoty (...) [miejsce zaczernione] w przypadku niewywiązania się z zobowiązań. Następnie w dniu [...] października 2008 r. dokonał on wpłaty środków z zamiarem całkowitej spłaty kredytu. Jak wskazał bank w udzielonych wyjaśnieniach: "Według uzyskanych informacji od Skarżącego, bezpośrednią przyczyną decyzji o spłacie Kredytu była likwidacja działalności gospodarczej. Otrzymane środki okazały się niewystarczające na dokonanie całkowitej spłaty Kredytu. Dlatego, też Bank w dniu [...] października 2008 r. dokonał częściowej spłaty kapitału Kredytu z wykorzystaniem otrzymanych środków". W konsekwencji bank prowadzi przeciwko skarżącemu, jako osobie fizycznej oraz jako byłemu przedsiębiorcy postępowanie windykacyjne oraz egzekucyjne i zgłosił jego dane osobowe do "[...]", prowadzonej przez Związek Banków Polskich. Ponadto dane Skarżącego są przekazywane przez bank w formie raportów do Biura Informacji Kredytowej przez cały okres spłaty kredytu. Dane osobowe skarżącego zostały udostępnione przez Bank również Sądowi Rejonowemu w L Wydział Cywilny wraz z wnioskiem z dnia [...] grudnia 2010 r. o nadanie klauzuli wykonalności bankowemu tytułowi egzekucyjnemu przeciwko skarżącemu, jako byłemu przedsiębiorcy oraz firmie windykacyjnej D. sp. z o.o. z siedzibą w G. przy ul. [...], "współpracującej z Bankiem na podstawie oddzielnych umów (...) w celu prowadzenia z upoważnienia Banku windykacji niespłaconej kwoty kredytu". Ponadto w udzielonych wyjaśnieniach bank wskazał, że przetwarza dane osobowe skarżącego w zakresie: imię i nazwisko, numer telefonu, adres zamieszkania w zbiorze o nazwie "[...]" w związku ze składanymi przez niego reklamacjami oraz prowadzoną z Bankiem korespondencją, a także skargą wniesioną do Biura GIODO. Wskazano też, że Bank przetwarza dane osobowe skarżącego w prawnie usprawiedliwionym celu dochodzenia roszczeń na podstawie art. 23 ust. 1 pkt 5 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. z 2002 r. nr 101, poz. 926 ze zm.). Dodatkowo bank wskazał, że dnia [...] października 2008 r. otrzymał podpisany przez skarżącego formularz "Dyspozycja klienta – kredyt dla małych firm", zawierający dyspozycję całkowitej spłaty zaciągniętego przez niego kredytu. Zgodnie z § [...] obowiązującego wówczas Regulaminu [...], klient zobowiązany jest do poinformowania banku na nie mniej niż 3 dni robocze wcześniej przed dokonaniem wpłaty na rachunek bieżący służący m.in. do spłaty rat kredytu w celu zrealizowania dyspozycji wcześniejszej całkowitej spłaty kredytu. Skarżący dokonał wpłaty środków w wysokości [...] zł w dniu [...] października 2008 r. Wskutek tej wpłaty rata wymagana na dzień [...] września 2008 r. nie została uregulowana w całości, dlatego z powyższej wpłaty pobrano brakującą kwotę [...] zł. Po pobraniu ponadto opłaty za prowadzenie rachunku w wysokości [...] zł, na rachunku skarżącego pozostały środki w kwocie [...] zł. Bank z tej kwoty dokonał w dniu [...] października 2008 r. spłaty części kredytu, w tym kapitału w wysokości [...] zł, odsetek w wysokości [...] zł oraz prowizji za wcześniejszą spłatę kredytu zgodną z Tabelą Opłat i Prowizji ([...]% od kwoty spłacanego kapitału) w kwocie [...] (natomiast saldo do spłaty na dzień [...] października 2008 r. wynosiło: kapitał [...] zł, prowizja [...] zł, odsetki [...] zł). Po dokonaniu częściowej spłaty kredytu bank przesłał skarżącemu wyciąg z nowym harmonogramem spłat kredytu, informując go tym samym, że kredyt nie został w całości spłacony. Na przyjętą w dniu [...] października 2008 r. reklamację skarżącego bank odpowiedział pismem z dnia [...] listopada 2008 r. (nr [...]), a na pismo skarżącego z dnia [...] listopada 2008 r. (do Banku wpłynęło w dniu [...] grudnia 2008 r.) – pismem z dnia [...] grudnia 2008 r. (nr [...]), w których poinformowano skarżącego, że środki przez niego wpłacone i zapewnione na rachunku rozliczeniowym, nie były wystarczające do całkowitej spłaty kredytu. W dalszej zaś części powołał się na argumenty zawarte już w zaskarżonej decyzji.
W skardze do Wojewódzkiego Sądu Administracyjnego w Warszawie, skarżący J. T. wniósł o stwierdzenie rażącego naruszenia prawa w zaskarżonej decyzji. W uzasadnieniu zaś podał, że organ potrzebował aż roku na załatwienie sprawy i nadal bezprawnie uznaje, że nie jest od rozstrzygania czy klient banku jest jego dłużnikiem, natomiast wobec banku stosuje odmienną regułę.
W odpowiedzi na skargę Generalny Inspektor Ochrony Danych Osobowych wniósł o jej oddalenie, wskazując na dotychczasowe ustalenia faktyczne i prawne.
Wojewódzki Sąd Administracyjny w Warszawie zważył, co następuje:
Zgodnie z brzmieniem art. 1 § 1 i 2 ustawy z dnia 25 lipca 2002 r. – Prawo o ustroju sądów administracyjnych (Dz. U. nr 153, poz. 1269 ze zm.), sąd administracyjny sprawuje wymiar sprawiedliwości m.in. poprzez kontrolę działalności administracji publicznej pod względem zgodności z prawem.
Skarga analizowana pod tym kątem podlega oddaleniu, bowiem zaskarżona decyzja została wydana zgodnie z prawem.
Na wstępie należy wskazać, że stosownie do postanowień art. 18 ust. 1 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (t.j. z 2002 r. Dz. U. nr 101, poz. 926 ze zm.) w przypadku naruszenia przepisów o ochronie danych osobowych Generalny Inspektor z urzędu lub na wniosek osoby zainteresowanej, w drodze decyzji administracyjnej, nakazuje przywrócenie stanu zgodnego z prawem, a w szczególności:
1) usunięcie uchybień,
2) uzupełnienie, uaktualnienie, sprostowanie, udostępnienie lub nieudostępnienie danych osobowych,
3) zastosowanie dodatkowych środków zabezpieczających zgromadzone dane osobowe,
4) wstrzymanie przekazywania danych osobowych do państwa trzeciego,
5) zabezpieczenie danych lub przekazanie ich innym podmiotom,
6) usunięcie danych osobowych.
Jednocześnie, stosownie do uregulowań art. 23 ust. 1 cyt. ustawy przetwarzanie danych osobowych jest dopuszczalne tylko wtedy gdy:
1) osoba, której dane dotyczą, wyrazi na to zgodę, chyba że chodzi o usunięcie dotyczących jej danych,
2) jest to niezbędne dla zrealizowania uprawnienia lub spełnienia obowiązku wynikającego z przepisu prawa,
3) jest to konieczne do realizacji umowy, gdy osoba, której dane dotyczą, jest jej stroną lub gdy jest to niezbędne do podjęcia działań przed zawarciem umowy na żądanie osoby, której dane dotyczą,
4) jest niezbędne do wykonania określonych prawem zadań realizowanych dla dobra publicznego,
5) jest to niezbędne dla wypełnienia prawnie usprawiedliwionych celów realizowanych przez administratorów danych albo odbiorców danych, a przetwarzanie nie narusza praw i wolności osoby, której dane dotyczą.
W rozpoznawanej sprawie organ, jako podstawę odmowy uwzględnienia wniosku J. T. wskazał art. 23 ust. 1 pkt 2 i 5 cyt. wyżej ustawy.
Należy podkreślić, że zgodnie z art. 105a ust. 3 ustawy 29 sierpnia 1997 r. – Prawo bankowe (t.j .Dz. U. z 2002 r. nr 72, poz. 665 ze zm.) instytucje, o których mowa w ust. 1 (m.in. banki), mogą przetwarzać informacje stanowiące tajemnicę bankową dotyczące osób fizycznych po wygaśnięciu zobowiązania wynikającego z umowy zawartej z bankiem lub inną instytucją ustawowo upoważnioną do udzielania kredytów, bez zgody osoby, której informacje dotyczą, gdy osoba ta nie wykonała zobowiązania lub dopuściła się zwłoki powyżej 60 dni w spełnieniu świadczenia wynikającego z umowy zawartej z bankiem lub inną instytucją ustawowo upoważnioną do udzielania kredytów, a po zaistnieniu tych okoliczności upłynęło co najmniej 30 dni od poinformowania tej osoby przez bank lub inną instytucję ustawowo upoważnioną do udzielania kredytów o zamiarze przetwarzania dotyczących jej informacji stanowiących tajemnicę bankową, bez jej zgody.
Jednocześnie za prawnie usprawiedliwiony cel, o którym mowa w ust. 1 pkt 5, uważa się w szczególności dochodzenie roszczeń z tytułu prowadzonej działalności gospodarczej (ust. 4 pkt 2 powołanego artykułu). Zgodnie zaś z art. 31 ust. 1 i 2 tej ustawy, administrator danych może powierzyć innemu podmiotowi, w drodze umowy zawartej na piśmie, przetwarzanie danych. Podmiot taki (zleceniobiorca) może przetwarzać dane wyłącznie w zakresie i celu przewidzianym w umowie.
Dokonując wykładni przepisów ustawy o ochronie danych osobowych, należałoby również wziąć pod uwagę cele i podstawowe założenia tej ustawy, określone w jej art. 1 ust. 2, gdzie podano, że przetwarzanie danych osobowych może mieć miejsce ze względu na dobro publiczne, dobro osoby, której dane dotyczą lub dobro osób trzecich i że należy za każdym razem wyważyć dobra, które legły u jej podstaw. Prawo do ochrony danych osobowych jako jeden z elementów prawa do ochrony własnej prywatności ulega ograniczeniu z uwagi na interes publiczny lub usprawiedliwiony interes innych osób, czyli nie jest to prawo o charakterze absolutnym, jak większość praw chronionych konstytucyjnie. Zasadą wypracowaną przy stosowaniu ustawy o ochronie danych osobowych stało się przetwarzanie danych osobowych za zgodą osoby zainteresowanej, której dane te dotyczą (art. 23 ust. 1 pkt 1 ustawy). Nie oznacza to jednak, iż przesłanka uzyskania zgody na przetwarzanie danych osobowych ma pierwszeństwo stosowania przed innymi przesłankami dopuszczającymi przetwarzanie danych osobowych, wg. określonych ustawowo zawężonych kryteriów, bez zgody osoby zainteresowanej. Przesłanki zawarte w przepisie art. 23 ust. 1 pkt 1-5 ustawy o ochronie danych osobowych są równorzędne, niezależne od siebie i dla przesądzenia o tym, że przetwarzanie danych jest dopuszczalne wystarczy wykazanie zaistnienia jednej z nich (por. wyrok WSA w W-wie z dnia 26 sierpnia 2009 r. sygn. II SA/Wa 297/09 publ. Centralna Baza Orzeczeń Sądów Administracyjnych, orzeczenia.nsa.gov.pl).
Przechodząc na grunt rozpoznawanej sprawy należy wskazać, iż w ocenie Sądu Generalny Inspektor Ochrony Danych Osobowych prawidłowo uznał, iż w sprawie zachodziły przesłanki legalizujące przetwarzanie danych osobowych skarżącego. Bezspornym jest bowiem, że skarżący, prowadzący działalność gospodarczą, w dniu [...] grudnia 2007 r. zawarł z bankiem umowę obrotowego kredytu firmowego. Obecnie strony pozostają w sporze co do tego, czy kredyt został w całości przez skarżącego spłacony, a bank prowadzi w stosunku do skarżącego postępowanie windykacyjne niespłaconej przez niego, zdaniem banku, kwoty kredytu. Przetwarzanie zatem danych osobowych skarżącego przez bank jest usprawiedliwione wskazanymi wyżej przesłankami. W związku z tym, bank w celu dochodzenia swoich roszczeń, był upoważniony również na podstawie art. 31 ust. 1 cyt. ustawy o ochronie danych osobowych, do przekazania danych osobowych skarżącego podmiotowi zewnętrznemu tj. D. sp. z o.o. w celu przeprowadzenia postępowania windykacyjnego z powołaniem się na łączącą ich wcześniejszą umowę.
Jednocześnie prawidłowo organ wywodzi, co znajduje oparcie w orzecznictwie sądowoadministracyjnym, w tym także powołanym przez organ w zaskarżonej decyzji, iż w ramach prowadzonego postępowania, dotyczącego prawidłowości przetwarzania danych osobowych, nie jest uprawniony do rozstrzygania, co do zasadności roszczeń kierowanych przez bank w stosunku do skarżącego. Kompetencję w tym przedmiocie posiadają natomiast sądy powszechne. Generalny Inspektor Ochrony Danych Osobowych nie mógł zatem weryfikować przedstawionych przez skarżącego przy wniosku o ponowne rozpatrzenie sprawy dokumentów.
Wskazać także należy, Generalny Inspektor Ochrony Danych nie jest związany żądaniem wnioskodawcy, zawiadomienia organów ścigania co do możliwości popełnienia przestępstwa przy przetwarzaniu jego danych osobowych, a organ może dokonać tego z urzędu, jeżeli uzna to za konieczne.
Natomiast zasadnie skarżący zarzuca, że postępowanie administracyjne w niniejszej sprawie zostało przeprowadzone z naruszeniem art. 35 kpa. Świadczy o tym chociażby fakt, że już pismem organu z dnia [...] maja 2011 r. strony zostały poinformowane o zgromadzeniu materiału dowodowego wystarczającego do wydania decyzji oraz o możliwości zapoznania się aktami, podczas gdy decyzja została wydana dopiero w dniu [...] września 2011 r. Uchybienie to jednak pozostaje bez wpływu na wynik sprawy.
W tym stanie rzeczy, na mocy art. 151 w zw. z art. 132 ustawy z dnia 30 sierpnia 2002 r. – Prawo o postępowaniu przed sądami administracyjnymi (tekst jedn. Dz. U. z 2012 r., poz. 270), należało orzec jak w sentencji wyroku.
Źródło: Centralna Baza Orzeczeń Sądów Administracyjnych (orzeczenia.nsa.gov.pl), pozyskano 16.07.2026. · Źródło