I OSK 1318/14

WyrokNaczelny Sąd Administracyjny2015-11-10

Skład orzekający: Małgorzata Borowiec, Joanna Runge - Lissowska, Jerzy Krupiński

Analiza orzeczenia

Sekcja wygenerowana przez AI na podstawie treści orzeczenia — nie stanowi cytatu.

Zagadnienie prawne
Czy przekazanie przez bank danych osobowych klienta stanowiących tajemnicę bankową do Biura Informacji Kredytowej (BIK) i Związku Banków Polskich (ZBP) jest legalne bez wyraźnej zgody klienta, jeśli zobowiązania kredytowe nie wygasły?
Ratio decidendi
Przekazanie przez bank danych osobowych klienta stanowiących tajemnicę bankową do BIK i ZBP, gdy zobowiązania kredytowe nie wygasły, jest legalne na podstawie art. 23 ust. 1 pkt 2 w zw. z art. 105 ust. 4 Prawa bankowego. W takiej sytuacji zgoda klienta nie jest wymagana, ponieważ przetwarzanie danych jest niezbędne do realizacji obowiązku wynikającego z przepisów prawa, w tym oceny zdolności kredytowej i analizy ryzyka kredytowego.
Stan faktyczny
C.P. zarzucił bankowi przetwarzanie jego danych osobowych, stanowiących tajemnicę bankową, bez jego zgody poprzez udostępnienie ich Biuru Informacji Kredytowej (BIK) i Związkowi Banków Polskich (ZBP). Skarżący twierdził, że nie wyraził zgody na takie udostępnienie. Generalny Inspektor Ochrony Danych Osobowych (GIODO) odmówił uwzględnienia wniosku, uznając przekazanie danych za legalne na podstawie przepisów Prawa bankowego i ustawy o ochronie danych osobowych, gdyż zobowiązania kredytowe skarżącego nie wygasły. Wojewódzki Sąd Administracyjny (WSA) oddalił skargę, a Naczelny Sąd Administracyjny (NSA) oddalił skargę kasacyjną.
Rozstrzygnięcie
Oddalono skargę kasacyjną.

Pełny tekst orzeczenia

Naczelny Sąd Administracyjny w składzie: Przewodniczący: Sędzia NSA Małgorzata Borowiec (spr.) Sędziowie: Sędzia NSA Joanna Runge - Lissowska Sędzia del. NSA Jerzy Krupiński Protokolant starszy asystent sędziego Łukasz Mazur po rozpoznaniu w dniu 10 listopada 2015 r. na rozprawie w Izbie Ogólnoadministracyjnej skargi kasacyjnej C.P. od wyroku Wojewódzkiego Sądu Administracyjnego w Warszawie z dnia 19 lutego 2014 r. sygn. akt II SA/Wa 1945/13 w sprawie ze skargi C.P. na decyzję Generalnego Inspektora Ochrony Danych Osobowych z dnia [...] września 2013 r. nr [...] w przedmiocie przetwarzania danych osobowych oddala skargę kasacyjną. Wojewódzki Sąd Administracyjny w Warszawie wyrokiem z dnia 19 lutego 2014 r. sygn. akt II SA/Wa 1945/13 oddalił skargę C.P. na decyzję Generalnego Inspektora Ochrony Danych Osobowych z dnia [...] września 2013 r. nr [...] w przedmiocie przetwarzania danych osobowych. Wyrok został wydany w następującym stanie faktycznym i prawnym sprawy. W dniu 26 marca 2012 r. C.P. wniósł do Generalnego Inspektora Ochrony Danych Osobowych skargę dotyczącą przetwarzania jego danych osobowych przez [...] Bank S.A. z siedzibą w W. przy ul. [...] (zwany dalej również Bankiem). Wyjaśnił, że zawarł dwie umowy kredytowe – kredyt na budowę [...] w 2001 r. oraz kredyt na [...] w 2003 r. W trakcie trwania zobowiązania wynikającego z umów kredytowych wyraził zgodę na przetwarzanie danych osobowych przez Bank oraz ich udostępnianie podmiotom uprawnionym przez przepisy prawa bankowego (a więc takich jak sąd, policja, etc., wymienionych w art. 105 Prawa bankowego). Natomiast nie wyrażał zgody na ujawnienie informacji stanowiących tajemnicę bankową bezpośrednio do Biura Informacji Kredytowej S.A. czy też do Związku Banków Polskich. Podał, że w dniu 2 czerwca 2003 r. Bank dokonał przekazania jego danych osobowych wraz z informacjami dotyczącymi zobowiązań kredytowych do bazy danych prowadzonej przez Biuro Informacji Kredytowej S.A. w Warszawie, a w dniu 22 marca 2005 r. przekazał jego dane osobowe, wraz z informacjami dotyczącymi zobowiązań kredytowych, do bazy danych prowadzonej przez Związek Banków Polskich. W ocenie skarżącego, zasadnym jest twierdzenie, że w sprawie naruszono przepisy ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (t.j.: Dz. U. z 2002 r. Nr 101, poz. 926 ze zm., dalej w skrócie u.o.d.o.), w szczególności art. 23 ust. 1 w zw. art. 24 ust. 1 oraz art. 32 ust. 1 pkt 4 u.o.d.o. Zdaniem skarżącego, powinno to skutkować przeprowadzeniem kontroli, a następnie wydaniem decyzji w zakresie m.in. usunięcia uchybień i usunięcia danych osobowych skarżącego z baz danych Biura Informacji Kredytowej S.A. (zwanej dalej również BIK) oraz Związku Banków Polskich (zwanego dalej również ZBP). Generalny Inspektor Ochrony Danych Osobowych, po przeprowadzeniu postępowania administracyjnego w sprawie skargi C.P. dotyczącej przetwarzania jego danych osobowych przez [...] Bank S.A. z siedzibą w Warszawie przy ul. [...], polegającego na udostępnieniu jego danych osobowych na rzecz Biura Informacji Kredytowej S.A. z siedzibą w Warszawie przy ul. Modzelewskiego 77a i Związku Banków Polskich z siedzibą w Warszawie przy ul. Kruczkowskiego 8 oraz niezrealizowaniu wobec niego obowiązku informacyjnego, o którym mowa w art. 24 ust. 1 i 33 u.o.d.o., decyzją z dnia [...] marca 2013 r. nr [...] na podstawie art. 104 § 1 ustawy z dnia 14 czerwca 1960 r. Kodeks postępowania administracyjnego (t.j.: Dz. U. z 2000 r. Nr 98, poz. 1071 ze zm., dalej w skrócie K.p.a.), art. 12 pkt 2, art. 22 w zw. z art. 23 ust. 1 pkt 2 i 3 u.o.d.o. oraz art. 105 ust. 4 i art. 105a ust. 1 ustawy z dnia 29 sierpnia 1997 r. Prawo bankowe (t.j.: Dz. U. z 2012 r., poz. 1376 ze zm.), odmówił uwzględnienia wniosku. W uzasadnieniu decyzji podał, że w ocenie organu brak jest podstaw do sformułowania wobec Banku nakazu usunięcia danych osobowych skarżącego z BIK i ZBP. Nie stwierdził również nieprawidłowości w zakresie stosowania przez Bank art. 24 u.o.d.o. Wskazał także, iż Bank nie mógł wypełnić obowiązku określonego w art. 33 u.o.d.o., gdyż nie wpłynął do niego wniosek skarżącego o realizację uprawnień kontrolnych z art. 32 i art. 33 u.o.d.o. W dniu 2 kwietnia 2013 r. C.P. zwrócił się do Generalnego Inspektora Ochrony Danych Osobowych z wnioskiem o ponowne rozpatrzenie sprawy, w którym wniósł o uchylenie zaskarżonej decyzji i zażądał usunięcia danych osobowych, stanowiących tajemnicę bankową, przetwarzanych przez BIK i ZBP. Ponadto podniósł, że dla przekazywania danych do tych podmiotów konieczne było uzyskanie od niego jego wyraźnej zgody. Jednocześnie podał, że w jego ocenie baza prowadzona przez ZBP jest nielegalna. Generalny Inspektor Ochrony Danych Osobowych, po rozpatrzeniu wniosku C.P. o ponowne rozpatrzenie sprawy, decyzją z dnia [...] września 2013 r. nr [...], na podstawie art. 138 § 1 pkt 1 K.p.a. i art. 12 pkt 2, art. 22 w zw. z art. 23 ust. 1 pkt 2 i 3 u.o.d.o., utrzymał w mocy zaskarżoną decyzję. W uzasadnieniu decyzji podał, że strona przedmiotem skargi uczyniła zarzut nielegalnego udostępnienia przez Bank jej danych osobowych na rzecz BIK w 2003 r. oraz ZBP w 2005 r. Rolą organu było zatem dokonanie oceny, czy u podstaw tego procesu znajdowała się przesłanka go legalizująca. Wskazał, że C.P. jest klientem Banku z uwagi na zawarte z tym podmiotem dwie umowy kredytowe, a wynikające z nich zobowiązania nie wygasły. Podstawę przetwarzania przez Bank danych osobowych skarżącego stanowi przesłanka określona w art. 23 ust. 1 pkt 3 u.o.d.o., tj. konieczność realizacji przedmiotowych umów kredytowych. Odnosząc się do kwestii udostępnienia danych osobowych skarżącego przez Bank na rzecz BIK i ZBP wyjaśnił, że wyżej wymienione instytucje zostały utworzone na podstawie art. 105 ust. 4 ustawy z dnia 27 sierpnia 1997 r. Prawo bankowe w celu zmniejszenia dla banków i instytucji kredytowych ryzyka udzielania trudnych kredytów, przyśpieszenia i uproszczenia procedur kredytowych, wspomagania decyzji banków dotyczących udzielania kredytu. Organ stwierdził, że przekazanie przez Bank danych osobowych C.P. do BIK i ZBP nastąpiło w oparciu o przesłankę wymienioną w art. 23 ust. 1 pkt 2 u.o.d.o. (w zw. z art. 105 ust. 4 ustawy Prawo bankowe), a dla legalności tego udostępnienia (na mocy art. 105 ust. 4 ustawy Prawo bankowe) zgoda skarżącego nie była wymagana. Zgoda skarżącego byłaby wymagana jedynie do przetwarzania przez BIK i ZBP jego danych osobowych po wygaśnięciu zobowiązania wynikającego z umów zawartych z Bankiem w celu oceny zdolności kredytowej i analizy ryzyka kredytowego (art. 105a ust. 2 ustawy Prawo bankowe). Z zebranego w sprawie materiału dowodowego wynika, że w okresie udostępnienia przez Bank danych osobowych skarżącego na rzecz wyżej wymienionych podmiotów jego zobowiązania wobec Banku nie wygasły. W konsekwencji Generalny Inspektor Ochrony Danych Osobowych uznał, że w sprawie brak jest podstaw do sformułowania wobec Banku nakazu usunięcia danych osobowych skarżącego z BIK i ZBP. Ponadto organ podał, że nie dopatrzył się również nieprawidłowości Banku w zakresie naruszenia wobec skarżącego art. 24 u.o.d.o. W przedmiotowej sprawie Bank udzielił skarżącemu informacji wymienionych w art. 24 u.o.d.o., odbierając od niego w dniu 15 października 2001 r. oraz w dniu 13 grudnia 2002 r. oświadczenia dotyczące przetwarzania przez ten podmiot jego danych osobowych. W szczególności Bank poinformował skarżącego o znanych mu wówczas odbiorcach jego danych osobowych. Wskazał, że zebrane dane osobowe mogą być udostępniane podmiotom upoważnionym przez przepisy Prawa bankowego. Odnosząc się do zarzutu skarżącego, że wyraził on zgodę jedynie na udostępnienie przez bank jego danych osobowych podmiotom uprawnionym przez przepisy prawa bankowego (wymienione w art. 105 ustawy Prawo bankowe), a nie wyraził zgody na ich udostępnienie BIK i ZBP, wyjaśnił, że jak uprzednio wskazano, Bank nie musiał dysponować przedmiotową zgodą skarżącego na przekazanie jego danych wyżej wymienionym podmiotom. BIK i ZBP zostały utworzone na podstawie art. 105 ust. 4 ustawy Prawo bankowe i są podmiotami, którym Bank mógł udostępniać i ujawniać dane osobowe skarżącego. Odnosząc się do zarzutu naruszenia przez Bank art. 32 ust. 4 u.o.d.o. podał, że skarżący nie wystąpił do Banku z pytaniem o treści wskazanej w art. 32 ust. 4 u.o.d.o., poprzez skierowanie do niego wniosku w trybie art. 33 u.o.d.o. Powyższa decyzja stała się przedmiotem skargi C.P. do Wojewódzkiego Sądu Administracyjny w Warszawie, w której wniósł o jej uchylenie oraz o uchylenie poprzedzającej ją decyzji z dnia 26 marca 2013 r. oraz zażądał usunięcia danych osobowych, stanowiących tajemnicę bankową, przetwarzanych przez BIK i ZBP, które zostały przekazane i są nadal przekazywane przez Bank. Ponadto skarżący podał, że w jego ocenie zarówno w 2003 r., jak i dalej w kolejnych miesiącach przekazywania danych, koniecznym było uzyskanie wyraźnej jego zgody na ujawnianie tego typu informacji, stanowiących tajemnicę bankową. Zarzucił także, iż organ w uzasadnieniu zaskarżonych decyzji nie odniósł się do orzecznictwa, które zostało podane w skardze, zbieżne z poglądami skarżącego, że przekazywanie danych do BIK i ZBP bez uzyskania jego zgody było i jest nieuprawnione. Generalny Inspektor Ochrony Danych Osobowych w odpowiedzi na skargę wniósł o jej oddalenie i podtrzymał stanowisko wyrażone w uzasadnieniu zaskarżonej decyzji. Wojewódzki Sąd Administracyjny w Warszawie uznał, że skarga nie zasługuje na uwzględnienie. W uzasadnieniu wyroku przedstawił stan prawny dotyczący przetwarzania danych osobowych. Podał, że ustawa o ochronie danych osobowych określa zasady przetwarzania danych osobowych (rozdz. 3 ustawy). W art. 23 § 1 u.o.d.o. zostały wymienione przesłanki legalizujące przetwarzanie danych osobowych. Przepis ten stanowi, że przetwarzanie danych jest dopuszczalne tylko wtedy, gdy: 1) osoba, której dane dotyczą, wyrazi na to zgodę, chyba że chodzi o usunięcie dotyczących jej danych, 2) jest to niezbędne dla zrealizowania uprawnienia lub spełnienia obowiązku wynikającego z przepisu prawa, 3) jest to konieczne do realizacji umowy, gdy osoba, której dane dotyczą, jest jej stroną lub gdy jest to niezbędne do podjęcia działań przed zawarciem umowy na żądanie osoby, której dane dotyczą, 4) jest niezbędne do wykonania określonych prawem zadań realizowanych dla dobra publicznego, 5) jest to niezbędne dla wypełnienia prawnie usprawiedliwionych celów realizowanych przez administratorów danych albo odbiorców danych, a przetwarzanie nie narusza praw i wolności osoby, której dane dotyczą. Przytoczony powyżej przepis ustawy określa ogólne materialne przesłanki przetwarzania danych osobowych. Przesłanki te mają charakter generalny, odnoszą się do wszelkich form przetwarzania danych, w tym zarówno do przetwarzania "na własne potrzeby" administratora, jak i "na zewnątrz". Są one co do zasady równoprawne, mają charakter autonomiczny i niezależny. Oznacza to, że wystarczy wystąpienie jednej z nich, aby przetwarzanie danych mogło być uznane za usprawiedliwione. Przy czym zgoda osoby, której dane dotyczą, nie jest wyłączną przesłanką przetwarzania danych osobowych (por. J. Barta, P. Fajgielski, R. Markiewicz "Ochrona danych osobowych. Komentarz.", LEX nr 106659 oraz wyrok Wojewódzkiego Sądu Administracyjnego w Warszawie z dnia 19 lipca 2007 r. sygn. akt II SA/Wa 678/07, LEX nr 368229). Sąd pierwszej instancji wskazał, że skarżący jest klientem Banku z uwagi na zawarte z nim dwie umowy kredytowe, a wynikające z nich zobowiązania nie wygasły. Dla oceny przetwarzania danych osobowych skarżącego niezbędne jest odniesienie się również do ustawy z dnia 27 sierpnia 1997 r. Prawo bankowe. Zdaniem Wojewódzkiego Sądu Administracyjnego w Warszawie, w rozpoznawanej sprawie organ prawidłowo uznał, że przesłanką legalizującą przetwarzanie przez Bank danych osobowych skarżącego (jako klienta Banku i strony umowy) jest przesłanka określona w art. 23 ust. 1 pkt 3 u.o.d.o. W odniesieniu do przekazania przez Bank danych osobowych skarżącego do BIK i ZBP przesłanką legalizującą jest przesłanka podana w art. 23 ust.1 pkt 2 u.o.d.o. w zw. z art.105 ust. 4 i art. 105 a ust. 1 ustawy Prawo bankowe. Stosownie do art. 105 ust. 4 ustawy Prawo bankowe, banki mogą, wspólnie z bankowymi izbami gospodarczymi, utworzyć instytucje upoważnione do gromadzenia, przetwarzania i udostępniania: 1) bankom - informacji stanowiących tajemnicę bankową w zakresie, w jakim informacje te są potrzebne w związku z wykonywaniem czynności bankowych oraz w związku ze stosowaniem metod statystycznych, o których mowa w art. 128 ust. 3 oraz w art. 128d ust. 1; 2) innym instytucjom ustawowo upoważnionym do udzielania kredytów - informacji stanowiących tajemnicę bankową w zakresie, w jakim informacje te są niezbędne w związku z udzielaniem kredytów, pożyczek pieniężnych, gwarancji bankowych i poręczeń; 3) instytucjom kredytowym - informacji stanowiących tajemnicę bankową w zakresie niezbędnym do oceny ryzyka kredytowego konsumenta, o którym mowa w art. 9 ustawy z dnia 12 maja 2011 r. o kredycie konsumenckim. Zgodnie z art. 105 a ust. 1 ustawy Prawo bankowe, przetwarzanie przez banki, inne instytucje ustawowo upoważnione do udzielania kredytów oraz instytucje utworzone na podstawie art. 105 ust. 4, informacji stanowiących tajemnicę bankową w zakresie dotyczącym osób fizycznych może być wykonywane, z zastrzeżeniem art. 104, art. 105 i art. 106-106c, w celu oceny zdolności kredytowej i analizy ryzyka kredytowego. Sąd pierwszej instancji stwierdził, że zarówno BIK, jak i ZBP, należy do instytucji wymienionych w art. 105 ust. 4 ustawy Prawo bankowe, a celem przetwarzania danych zawartych w BIK i ZBP, jest zwiększenie bezpieczeństwa systemu bankowego i płatniczego oraz ochrona depozytów bankowych oraz ocena zdolności kredytowej i analiza ryzyka kredytowego. Organ prawidłowo ocenił, że do przetwarzania danych osobowych na podstawie art. 23 ust. 1 pkt 2 u.o.d.o. w zw. z art. 105 ust. 4 i art. 105a ust. 1 ustawy Prawo bankowe – zgoda osoby, której dane są przetwarzane, nie jest wymagana. Powołane przepisy prawa wymogu takiego nie ustanawiają. O zgodzie na przetwarzanie danych osobowych stanowiących tajemnicę bankową przez instytucje wymienione w art. 105 ust. 4 ustawy Prawo bankowe mowa jest dopiero w art. 105a ust. 2, tj. po wygaśnięciu zobowiązania wynikającego z umowy zawartej z bankiem lub inną instytucją ustawowo upoważnioną do udzielania kredytów. Tymczasem w niniejszej sprawie zobowiązanie skarżącego wynikające z umów zawartych z Bankiem nie wygasło. Odnosząc się do przytoczonych przez skarżącego w skardze orzeczeń wskazał, że dotyczą one spraw o innych stanach faktycznych i nie mają dla rozpoznawanej sprawy charakteru wiążącego. Z kolei przytoczone stanowiska doktryny nie dotyczą wprost przetwarzania danych osobowych na podstawie ustawy Prawo bankowe. Generalnie odnoszą się do wyrażania zgody na przetwarzanie danych osobowych, a jak wyżej wyjaśniono w niniejszej sprawie – zgoda skarżącego na przetwarzanie danych nie była wymogiem koniecznym do ich legalnego przetwarzania. Mając powyższe na uwadze, Wojewódzki Sąd Administracyjny w Warszawie, na podstawie art. 151 ustawy z dnia 30 sierpnia 2002 r. Prawo o postępowaniu przed sądami administracyjnymi (t. j. Dz. U. z 2012 r., poz. 270 ze zm., dalej w skrócie p.p.s.a.), skargę oddalił. Skargę kasacyjną od powyższego wyroku do Naczelnego Sądu Administracyjnego wniósł C.P., reprezentowany przez adwokata i zaskarżając wyrok w całości zarzucił: 1. niewłaściwe zastosowanie art. 105 ust. 4 ustawy z dnia 27 sierpnia 1997 r. Prawo bankowe (t.j.: Dz. U. z 2012 r., poz. 1376 ze zm.), poprzez ustalenie, że Związek Banków Polskich działający na podstawie ustawy z dnia 30 maja 1989 r. o izbach gospodarczych jest samodzielnie uprawniony do przetwarzania danych stanowiących tajemnicę bankową. 2. niewłaściwe zastosowanie art. 23 ust. 1 pkt 2 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (t.j.: Dz. U. z 2002 r. Nr 101, poz. 926 ze zm.) w zw. z art. 5, art. 6, art. 70 ust. 1 art. 104 ust. 2, art. 104 ust. 3, art. 105a ust. 1 oraz art. 105 ust. 4 ustawy Prawo bankowe, poprzez ustalenie, iż Bank mógł, bez zgody klienta Banku, przekazywać dane stanowiące tajemnicę bankową do instytucji utworzonych na podstawie art. 105 ust. 4 ustawy Prawo bankowe (w brzmieniu sprzed 1 kwietnia 2007 r., jak i po tej dacie), takich jak Biuro Informacji Kredytowej oraz Związek Banków Polskich. 3. niewłaściwe zastosowanie art. 23 ust. 1 pkt 1 u.o.d.o. w zw. z art. 65 § 1, art. 385 § 2 i art. 385¹ § 1 Kodeksu cywilnego, poprzez ocenę złożonego przez skarżącego oświadczenia woli, które jego zdaniem nie było zgodą na udostępnienie danych stanowiących tajemnicę bankową do Biura Informacji Kredytowej oraz Związku Banków Polskich. 4. niewłaściwe zastosowanie art. 105a ust. 3 ustawy Prawo bankowe, poprzez ustalenie, iż Związek Banków Polskich (pomijając ustawową legitymację do przetwarzania danych) był uprawniony do przetwarzania danych przekazanych w marcu 2005 r. przez Bank [...], gdy tymczasem przepis ten obowiązywał od dnia 16 czerwca 2005 r., a ponadto wymagane jest uprzednie powiadomienie o przekazywaniu danych klienta bez jego zgody do instytucji utworzonych na podstawie art. 105 ust. 4 ustawy Prawo bankowe. Ponadto wadliwe było przekazanie w 2009 r. danych do Biura Informacji Kredytowej bez uprzedniego powiadomienia klienta Banku. 5. niewłaściwe zastosowanie art. 18 ust. 1 u.o.d.o., poprzez uznanie, iż nie jest możliwym wydanie decyzji na "przyszłość", gdy tymczasem GIODO może zakazać udostępniania danych osobom trzecim, a będącym w przetwarzaniu przez Bank, nakazać zastosowanie środków zabezpieczających, uniemożliwiających przekazywanie danych przez Bank, nakazać usunięcia danych przekazanych przez Bank do ZBP, jak i przetwarzanych przez ZBP. Wskazując na powyższe podstawy kasacyjne wniósł o uchylenie zaskarżonego wyroku, uchylenie obu wydanych w sprawie decyzji i zobowiązanie GIODO do wydania decyzji nakazującej usunięcie danych osobowych stanowiących tajemnicę bankową, przetwarzanych przez Biuro Informacji Kredytowej oraz Związek Banków Polskich, które zostały przekazane i są nadal przekazywane tym instytucjom przez [...] Bank S.A. Ponadto wniósł o zasądzenie zwrotu kosztów postępowania za obie instancje. Generalny Inspektor Ochrony Danych Osobowych w odpowiedzi na skargę kasacyjną wniósł o jej oddalenie, wskazując, iż zaskarżony wyrok odpowiada prawu. [...] Bank S.A. z siedzibą w W. w odpowiedzi na skargę kasacyjną wniósł o jej oddalenie, wskazując, iż zaskarżony wyrok odpowiada prawu. Związek Banków Polskich w odpowiedzi na skargę kasacyjną wniósł o jej oddalenie oraz zasądzenie zwrotu kosztów postępowania kasacyjnego według norm przepisanych, wskazując, iż zaskarżony wyrok odpowiada prawu. Dodatkowo wyjaśnił, że Generalny Inspektor Ochrony Danych Osobowych prowadził z urzędu postępowanie administracyjne w sprawie przetwarzania danych osobowych w zbiorze o nazwie "System Międzybankowej Informacji Gospodarczej – Bankowy Rejestr" (obecnie nosi on nazwę "System Bankowy Rejestr") przez Związek Banków Polskich. Przedmiotem postępowania było ustalenie, czy ZBP jest administratorem danych gromadzonych w Bankowym Rejestrze i czy istnieją podstawy prawne do przetwarzania tych danych osobowych. Generalny Inspektor Ochrony Danych Osobowych nie stwierdził naruszenia przepisów o ochronie danych osobowych i uznał, że ZBP przysługuje status administratora tych danych. Jednocześnie, w świetle art. 105 ust. 4 ustawy Prawo bankowe, powołując się na Statut ZBP, z którego wynika, iż zakres działalności ZBP obejmuje m.in. zbieranie, przetwarzanie i wymianę informacji bankowej i gospodarczej, Generalny Inspektor Ochrony Danych Osobowych uznał ZBP za instytucję, o której mowa w art. 105 ust. 4 ustawy Prawo bankowe, tj. instytucję gromadzącą, przetwarzającą i udostępniającą informacje, w tym dane osobowe objęte tajemnicą bankową, które zawarte są w systemie Bankowy Rejestr (decyzja Generalnego Inspektora Ochrony Danych Osobowych z dnia [...] kwietnia 2006 r. nr [...]). Naczelny Sąd Administracyjny zważył, co następuje: Zgodnie z art. 183 § 1 p.p.s.a. Naczelny Sąd Administracyjny rozpoznaje sprawę w granicach skargi kasacyjnej, bierze jednak z urzędu pod rozwagę nieważność postępowania, której przesłanki enumeratywnie wymienione w art. 183 § 2 p.p.s.a. w rozpoznawanej sprawie nie występują. Oznacza to, że przytoczone w skardze kasacyjnej przyczyny wadliwości prawnej zaskarżonego wyroku determinują zakres kontroli dokonywanej przez Sąd drugiej instancji, który w odróżnieniu od wojewódzkiego sądu administracyjnego nie bada całokształtu sprawy, lecz tylko weryfikuje zasadność zarzutów podniesionych w skardze kasacyjnej. W ocenie Naczelnego Sądu Administracyjnego, podniesione w skardze kasacyjnej zarzuty naruszenia wskazanych w niej przepisów prawa materialnego nie mogły odnieść zamierzonego skutku. Odnosząc się do pierwszego z zarzutów dotyczącego niewłaściwego zastosowania art. 105 ust. 4 ustawy Prawo bankowe, uznać należy, iż jest on nietrafny. Istota tego zarzutu sprowadza się do zakwestionowania stwierdzenia Wojewódzkiego Sądu Administracyjnego w Warszawie, który zaaprobował stanowisko organu przyjmujące, że Związek Banków Polskich utworzony w oparciu o w/w przepis, działający na podstawie ustawy z dnia 30 maja 1989 r. o izbach gospodarczych jest uprawniony do przetwarzania danych stanowiących tajemnicę bankową. Zdaniem skarżącego System Międzybankowej Informacji Gospodarczej – Bankowy Rejestr jest prowadzony przez Związek Banków Polskich, a nie instytucję utworzoną wspólnie przez banki i bankową izbę gospodarczą (jaką jest ZBP). Skoro Związek Banków Polskich nie jest "instytucją", o której mowa w art. 105 ust. 4 ustawy Prawo bankowe, to nie może samodzielnie gromadzić, przetwarzać i udostępniać bankom informacji stanowiących tajemnicę bankową. Na wstępie zauważyć należy, iż powołany przepis nie określa formy organizacyjnej "instytucji" upoważnionej do gromadzenia, przetwarzania i udostępniania bankom informacji stanowiących tajemnicę bankową. Związek Banków Polskich można uznać za taką instytucję. Jest on administratorem danych zawartych w Systemie Międzybankowej Informacji Gospodarczej – Bankowy Rejestr, który funkcjonuje w oparciu o statut ZBP i umowy z poszczególnymi bankami "o zasadach uczestnictwa i współpracy w zakresie wymiany informacji w systemie Międzybankowej Informacji Gospodarczej – Bankowy Rejestr", do których załącznik stanowi odpowiedni regulamin (por. ustalenia zawarte w decyzji Generalnego Inspektora Ochrony Danych Osobowych z dnia 12 kwietnia 2006 r. załączonej przez ZBP do odpowiedzi na skargę kasacyjną). Na mocy Regulaminu Wymiany Informacji w Systemie Międzybankowej Informacji Gospodarczej – Bankowy Rejestr, system ten polega na przyjmowaniu i gromadzeniu przez Związek Banków Polskich informacji o klientach banków, a następnie kontaktowaniu się banków zainteresowanych tymi informacjami. W załączniku nr 1 do regulaminu zostały określone kryteria klasyfikowania klientów do systemu z uwzględnieniem postanowień uchwały Komisji Nadzoru Bankowego z dnia 22 grudnia 1998 r. nr 13/98 w sprawie zasad tworzenia rezerw na ryzyko związane z działalnością banków (Dz. Urz. NBP Nr 29, poz. 65). Dane klientów, wraz z informacjami o wierzytelnościach są przetwarzane w w/w Rejestrze w związku z tym, że informacje te są potrzebne w celu udzielenia kredytów, pożyczek pieniężnych, gwarancji bankowych i poręczeń. Związek Banków Polskich, przetwarzając dane osobowe w Systemie Międzybankowej Informacji Gospodarczej – Bankowy Rejestr, czyni to na podstawie art. 23 ust. 1 pkt 2 u.o.d.o. Powyższe rozważania prowadzą do wniosku, iż Sąd pierwszej instancji prawidłowo zastosował przepis art. 105 ust. 4 ustawy Prawo bankowe i zasadnie uznał, że w rozumieniu tego przepisu Związek Banków Polskich jest instytucją upoważnioną – do gromadzenia, przetwarzania i udostępniania bankom informacji stanowiących tajemnicę bankową w zakresie, w jakim informacje te są potrzebne w związku z wykonywaniem czynności bankowych. Podane w art. 5 ustawy Prawo bankowe czynności bankowe są elementem składowym szeroko rozumianej "działalności bankowej", obejmującej ponadto wykonywanie przez bank innych działań wymienionych w art. 6 tej ustawy. Zdaniem Naczelnego Sądu Administracyjnego nietrafny jest również kolejny zarzut skargi kasacyjnej – niewłaściwego zastosowania art. 23 ust. 1 pkt 2 u.o.d.o. w zw. z art. 5, art. 6, art. 70 ust. 1, art. 104 ust. 2, art. 104 ust. 3, art. 105a ust. 1 oraz art. 105 ust. 4 ustawy Prawo bankowe. Wskazać należy, iż zgoda na przetwarzanie danych, o której mowa w art. 23 ust. 1 pkt 1 u.o.d.o., nie jest jedyną przesłanką legalizującą proces przetwarzania danych. Dla legalności procesu przetwarzania danych osobowych wystarczające jest spełnienie jednej z przesłanek wymienionych w art. 23 ust. 1 u.o.d.o. Przesłanki te odnoszą się do wszelkich form przetwarzania danych wymienionych w art. 7 pkt 2 u.o.d.o., w tym w szczególności do ich udostępnienia. Są także względem siebie równoprawne. W przedmiotowej sprawie przekazanie danych skarżącego stanowiących tajemnicę bankową przez Bank do ZBP i BIK nastąpiło w oparciu o przesłankę określoną w art. 23 ust.1 pkt 2 (w zw. z art. 105 ust. 4 ustawy Prawo bankowe), a dla legalności tego udostępnienia (na mocy art. 105 ust. 4 ustawy Prawo bankowe) zgoda skarżącego nie była wymagana. Stosownie do art. 23 ust. 1 pkt 2 u.o.d.o., przetwarzanie danych osobowych jest dopuszczalne wtedy, gdy jest to niezbędne dla zrealizowania uprawnienia lub spełnienia obowiązku wynikającego z przepisu prawa. Z art. 70 ust. 1 ustawy Prawo bankowe wynika, że bank uzależnia przyznanie kredytu od zdolności kredytowej kredytobiorcy. Przez zdolność kredytową rozumie się zdolność do spłaty zaciągniętego kredytu wraz z odsetkami w terminach określonych w umowie. Kredytobiorca jest obowiązany przedłożyć na żądanie banku dokumenty i informacje niezbędne do dokonania oceny tej zdolności. Bank, wypełniając ten obowiązek, był uprawniony do przekazania ZBP i BIK danych osobowych skarżącego wraz z informacjami dotyczącymi jego zobowiązań kredytowych (art. 105 ust. 4 i art. 105a ust. 1 ustawy Prawo bankowe). Wbrew zarzutowi skargi kasacyjnej, nie stoi temu na przeszkodzie wskazany jako naruszony art. 104 ust. 3 ustawy Prawo bankowe. Przepis ten stanowi, że banku nie obowiązuje, z zastrzeżeniem ust. 4, zachowanie tajemnicy bankowej wobec osoby, której dotyczą informacje objęte tajemnicą. Osobom trzecim informacje te mogą być ujawnione, z zastrzeżeniem art. 105, art. 106a i art. 106b, wyłącznie gdy osoba, której informacje te dotyczą, na piśmie upoważni bank do przekazania określonych informacji wskazanej przez siebie osobie lub jednostce organizacyjnej. Użyty w tym przepisie zwrot "z zastrzeżeniem art. 105" oznacza, że zgoda nie jest wymagana, gdy przetwarzanie danych dotyczy instytucji utworzonej w oparciu o art. 105 ust. 4 ustawy Prawo bankowe (por. wyrok NSA z dnia 11 kwietnia 2011 r. sygn. akt I OSK 820/10 M.Pr.Bank. 2012/2/19-23). Dodanie od dnia 1 kwietnia 2007 r. w art. 105 ust. 4 powołanej ustawy słowa "upoważnione" nie zmienia wcześniejszego znaczenia tego przepisu, a jedynie doprecyzowuje jego treść, gdyż po to stworzono możliwość tworzenia instytucji do gromadzenia, przetwarzania i udostępniania danych, aby banki mogły właściwe wypełniać ustawowe obowiązki. BIK i ZBP zostały utworzone właśnie w celu zmniejszenia dla banków i instytucji kredytowych ryzyka udzielania trudnych kredytów, przyśpieszenia i uproszczenia procedur kredytowych, wspomagania decyzji banków dotyczących udzielania kredytu. Przepis art. 105a ust. 1 tej ustawy potwierdza tylko takie ustalenia, a wnioski wypływające z odesłania do art. 104 ust. 3 cyt. ustawy zostały wyżej omówione. Odnoszenie się do zarzutu skargi kasacyjnej podanego w pkt 3 dotyczącym kwestii braku zgody skarżącego na udostępnienie przez Bank danych stanowiących tajemnicę bankową do BIK i ZBP nie było konieczne, gdyż zagadnienie to zostało wyjaśnione przy omawianiu zarzutu określonego w pkt 2, poprzez stwierdzenie, że w tym przypadku zgoda skarżącego nie była wymagana. Nietrafny okazał się także zarzut naruszenia art. 105a ust. 3 ustawy Prawo bankowe, poprzez jego niewłaściwe zastosowanie. Powołany przepis dotyczy wyrażenia przez osobę, której dane dotyczą, zgody na przetwarzanie danych po wygaśnięciu zobowiązania. W niniejszej sprawie nie miał on zastosowania albowiem zobowiązania skarżącego wynikające z umów kredytowych wobec Banku nie wygasły. Dla obowiązku uzyskania takiej zgody bez znaczenia jest okoliczność, że ZBP pozyskał dane skarżącego przed dniem wejścia w życie ustawy z dnia 15 kwietnia 2005 r. o zmianie ustawy o ochronie informacji niejawnych oraz niektórych innych ustaw (Dz. U. Nr 85, poz. 727), tj. przed dniem 16 czerwca 2005 r. Fakt ten oznacza jedynie, że przed tą datą ZBP nie mógłby przetwarzać danych osobowych skarżącego po wykonaniu przez niego zobowiązania, po tej dacie mógłby to robić w przypadku, gdy zaistniałyby przesłanki z art. 105a ust. 3 ustawy Prawo bankowe. Niezasadny jest również zarzut podany w pkt 4 skargi kasacyjnej, dotyczący niewłaściwego zastosowania art. 18 ust. 1 u.o.d.o. Przepis ten stanowi, że w przypadku naruszenia przepisów o ochronie danych osobowych Generalny Inspektor z urzędu lub na wniosek osoby zainteresowanej, w drodze decyzji administracyjnej, nakazuje przywrócenie stanu zgodnego z prawem (stosuje nakazy wymienione w pkt 1-6). Skoro w niniejszej sprawie nie doszło do naruszenia przepisów o ochronie danych osobowych, zastosowanie przez Generalnego Inspektora Ochrony Danych Osobowych środka wymienionego w powołanym przepisie nie było możliwe. Mając powyższe na uwadze Naczelny Sąd Administracyjny uznał, że skarga kasacyjna nie zawiera usprawiedliwionych podstaw i w oparciu o art. 184 p.p.s.a. podlega oddaleniu. Wniosek uczestnika postępowania Związku Banków Polskich o zwrot kosztów postępowania kasacyjnego nie mógł zostać uwzględniony, bowiem przepisy art. 204 pkt 1 i 2 p.p.s.a., regulujące zwrot kosztów postępowania kasacyjnego w razie oddalenia skargi kasacyjnej, nie przewidują zwrotu kosztów postępowania kasacyjnego na rzecz uczestnika postępowania (por. postanowienie Naczelnego Sądu Administracyjnego z dnia 5 grudnia 2012 r. sygn. akt II GSK 887/12).

Źródło: Centralna Baza Orzeczeń Sądów Administracyjnych (orzeczenia.nsa.gov.pl), pozyskano 13.07.2026. · Źródło