II SA/Wa 1945/13
WyrokWSA w Warszawie2014-02-19
Skład orzekający: Ewa Grochowska-Jung, Danuta Kania, Andrzej Góraj
Analiza orzeczenia
Sekcja wygenerowana przez AI na podstawie treści orzeczenia — nie stanowi cytatu.
Zagadnienie prawne
Czy udostępnienie danych osobowych klienta banku do Biura Informacji Kredytowej (BIK) i Związku Banków Polskich (ZBP) w trakcie trwania zobowiązań kredytowych, bez wyraźnej zgody klienta, jest legalne na gruncie ustawy o ochronie danych osobowych i Prawa bankowego?Ratio decidendi
Udostępnienie danych osobowych klienta banku do BIK i ZBP w trakcie trwania zobowiązań kredytowych jest legalne, jeśli opiera się na przesłance niezbędności do realizacji umowy (art. 23 ust. 1 pkt 3 ustawy o ochronie danych osobowych) oraz na przepisach Prawa bankowego (art. 105 ust. 4 i art. 105a ust. 1), które nie wymagają zgody klienta w takiej sytuacji. Zgoda wymagana jest dopiero po wygaśnięciu zobowiązania.Stan faktyczny
Skarżący C.P. wniósł skargę do Generalnego Inspektora Ochrony Danych Osobowych (GIODO) na bank, zarzucając mu nielegalne udostępnienie jego danych osobowych do Biura Informacji Kredytowej (BIK) i Związku Banków Polskich (ZBP) w latach 2003 i 2005, mimo braku wyraźnej zgody. GIODO odmówił uwzględnienia wniosku, uznając udostępnienie za legalne na podstawie istniejących umów kredytowych i przepisów Prawa bankowego. Po ponownym rozpatrzeniu sprawy, GIODO utrzymał swoją decyzję w mocy. Skarżący zaskarżył decyzję GIODO do WSA, podtrzymując swoje stanowisko o konieczności uzyskania zgody na udostępnienie danych stanowiących tajemnicę bankową.Rozstrzygnięcie
Oddalono skargę.Pełny tekst orzeczenia
Wojewódzki Sąd Administracyjny w Warszawie w składzie następującym: Przewodniczący Sędzia WSA Ewa Grochowska-Jung (spr.), Sędziowie WSA Danuta Kania, Andrzej Góraj, Protokolant Starszy sekretarz sądowy Sylwia Mikuła, po rozpoznaniu na rozprawie w dniu 19 lutego 2014 r. sprawy ze skargi C.P. na decyzję Generalnego Inspektora Ochrony Danych Osobowych z dnia [...] września 2013 r. nr [...] w przedmiocie przetwarzania danych osobowych - oddala skargę -
Generalny Inspektor Ochrony Danych Osobowych, działając na podstawie art. 138 § 1 pkt 1 kpa, art. 12 pkt 2, art. 22 w zw. z art. 23 ust. 1 pkt 2 i 3 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. z 2002 r. Nr 101, poz. 926 ze zm.), wydał decyzję z dnia [...] września 2013 r. nr [...], którą utrzymał w mocy decyzję własną z dnia [...] marca 2013 r. (znak: [...]) odmawiającą uwzględnienia wniosku w sprawie skargi C. P. dotyczącej przetwarzania jego danych osobowych przez [...] z siedzibą w W. (Bank), polegającego na udostępnieniu jego danych osobowych na rzecz Biura Informacji Kredytowej S.A. z siedzibą w W. (BIK) i Związku Banków Polskich (ZBP) oraz niezrealizowaniu wobec niego obowiązku informacyjnego, o którym mowa w art. 24 ust. 1 i 33 ustawy o ochronie danych osobowych.
W sprawie ustalono następujący stan faktyczny. W dniu 26 marca 2012 r. C. P. wniósł do Generalnego Inspektora Ochrony Danych Osobowych skargę dotyczącą przetwarzania jego danych osobowych przez [...] z siedzibą w W. przy ul. [...]. Skarżący wyjaśnił, że zawarł on dwie umowy kredytowe - kredyt na budowę garażu w roku 2001 oraz kredyt na zagospodarowanie terenu w roku 2003. W trakcie trwania zobowiązania wynikającego z umów kredytowych wyraził zgodę na przetwarzanie danych osobowych przez bank oraz udostępnianie podmiotom uprawnionym przez przepisy prawa bankowego (a więc takich jak sąd, policja etc.). Natomiast nie wyrażał on zgody na ujawnienie informacji stanowiących tajemnicę bankową bezpośrednio do Biura Informacji Kredytowej S.A. czy też do Związku Banków Polskich. Dalej, skarżący podał, że w dniu [...] czerwca 2003 r. Bank dokonał przekazania jego danych osobowych wraz z informacjami dotyczącymi zobowiązań kredytowych do bazy danych prowadzonej przez Biuro Informacji Kredytowej, a dnia [...] marca 2005 r. przekazano dane osobowe skarżącego wraz z informacjami dotyczącymi zobowiązań kredytowych do bazy danych prowadzonej przez Związek Banków Polskich. (...) W związku z powyższym, w ocenie skarżącego, zasadnym jest twierdzenie o naruszeniu (...) przepisów ustawy o ochronie danych osobowych, w szczególności art. 23 ust. 1 w zw. art. 24 ust. 1 oraz art. 32 ust. 1 pkt 4.". Skarżący zawnioskował o przeprowadzenie kontroli, a następnie wydanie decyzji w zakresie m. in. usunięcia uchybień, usunięcia danych osobowych skarżącego z baz danych BIK oraz ZBP.
Generalny Inspektor Ochrony Danych Osobowych, po przeprowadzeniu postępowania wyjaśniającego, decyzją z dnia [...] marca 2013 r. (znak: [...]) odmówił uwzględnienia wniosku. W uzasadnieniu wskazał, że w jego ocenie brak jest podstaw do sformułowania wobec Banku nakazu usunięcia danych osobowych skarżącego z BIK i ZBP. Organ nie dopatrzył się też nieprawidłowości w zakresie stosowania przez Bank art. 24 ustawy o ochronie danych osobowych.
W dniu [...] kwietnia 2013 r. C. P. zwrócił się do Generalnego Inspektora Ochrony Danych Osobowych z wnioskiem o ponowne rozpatrzenie sprawy, w którym wniósł o uchylenie zaskarżonej decyzji i zażądał usunięcia danych osobowych stanowiących tajemnicę bankową przetwarzanych przez BIK i ZBP.
Generalny Inspektor Ochrony Danych Osobowych, po ponownym rozpoznaniu sprawy, w decyzji z dnia [...] września 2013 r., utrzymującej w mocy decyzję organu I instancji, wskazał, że skarżący przedmiotem swojej skargi uczynił zarzut nielegalnego udostępnienia przez Bank jego danych osobowych na rzecz BIK w 2003 r. oraz ZBP w 2005 r., zatem rolą organu było dokonanie oceny czy u podstaw tego procesu znajdowała się przesłanka go legalizująca. Dalej wyjaśnił, że C. P. jest klientem Banku z uwagi na zawarte z tym podmiotem dwie umowy kredytowe, a wynikające z nich zobowiązania nie wygasły. Zatem podstawę przetwarzania przez Bank danych osobowych skarżącego stanowi przesłanka wymieniona w art. 23 ust. 1 pkt 3 ustawy, tj. konieczność realizacji przedmiotowych umów.
W kwestii udostępnienia danych osobowych skarżącego przez Bank na rzecz BIK i ZBP, organ wskazał, że instytucje te zostały utworzone na podstawie art. 105 ust. 4 - Prawa bankowego w celu zmniejszenia dla banków i instytucji kredytowych ryzyka udzielania trudnych kredytów, przyśpieszenia i uproszczenia procedur kredytowych, wspomagania decyzji banków dotyczących udzielania kredytu. Wyjaśnił, że przekazanie danych osobowych przez Bank do BIK i ZBP nastąpiło w oparciu o przesłankę wymienioną w art. 23 ust. 1 pkt 2 ustawy (w zw. z art. 105 ust. 4 Prawa bankowego), a dla legalności tego udostępnienia (na mocy art. 105 ust. 4 Prawa bankowego) zgoda skarżącego nie była wymagana. Podkreślił, że zgoda skarżącego byłaby wymagana jedynie do przetwarzania przez BIK i ZBP jego danych osobowych po wygaśnięciu zobowiązania wynikającego z umów zawartych z Bankiem w celu oceny zdolności kredytowej i analizy ryzyka kredytowego (art. 105a ust. 2 Prawa bankowego). Jednak z materiału dowodowego zebranego w sprawie wynika, że w okresie udostępnienia przez Bank danych osobowych skarżącego na rzecz ww. pomiotów zobowiązania skarżącego wobec Banku nie wygasły, co potwierdził również Bank. Zatem, w ocenie organu, brak jest podstaw do sformułowania wobec Banku nakazu usunięcia danych osobowych skarżącego z BIK i ZBP.
Dodatkowo organ wskazał, że również w zakresie naruszenia przez Bank wobec skarżącego art. 24 ustawy Generalny Inspektor Ochrony Danych Osobowych nie dopatrzył się nieprawidłowości. W przedmiotowej sprawie Bank udzielił skarżącemu wymienionych w art. 24 ustawy informacji odbierając od niego w dniu [...] października 2001 r. oraz w dniu [...] grudnia 2002 r. oświadczenia dotyczące przetwarzania przez ten podmiot jego danych osobowych. W szczególności bank poinformował skarżącego o znanych mu wówczas odbiorcach jego danych osobowych.
Powyższa decyzja stała się przedmiotem skargi C. P. do Wojewódzkiego Sądu Administracyjny w Warszawie, w której wniósł on o uchylenie zaskarżonej i poprzedzającej decyzji GIODO i zażądał usunięcia danych osobowych stanowiących tajemnicę bankową przetwarzanych przez BIK i ZBP, które zostały i są nadal przekazywane przez Bank. Ponadto skarżący nie zgodził się z organem, wskazując, że w jego ocenie, zarówno w roku 2003 i dalej w kolejnych miesiącach przekazywania danych koniecznym było uzyskanie wyraźnej zgody skarżącego na tego typu ujawnianie informacji stanowiących tajemnicę bankową. Zarzucił też organowi, że w uzasadnieniu zaskarżonych decyzji zupełnie nie odniósł się do orzecznictwa, które zostało zawarte w skardze, a które w pełni jest zbieżne z poglądami skarżącego - bez uzyskania zgody przekazywanie danych do BIK i ZBP było i jest nieuprawnione.
W odpowiedzi na skargę Generalny Inspektor Ochrony Danych Osobowych wniósł o jej oddalenie, podtrzymując stanowisko wyrażone w zaskarżonych decyzjach.
Wojewódzki Sąd Administracyjny w Warszawie zważył, co następuje.
Zgodnie z brzmieniem art. 1 § 1 i 2 ustawy z dnia 25 lipca 2002 r. – Prawo o ustroju sądów administracyjnych (Dz. U. Nr 153, poz. 1269 ze zm.), sąd administracyjny sprawuje wymiar sprawiedliwości poprzez kontrolę pod względem zgodności z prawem zaskarżonej decyzji administracyjnej i to z przepisami obowiązującymi w dacie jej wydania. Oznacza to, iż sąd administracyjny kontroluje legalność rozstrzygnięcia zapadłego w postępowaniu z punktu widzenia jego zgodności z obowiązującymi przepisami prawa.
Rozpatrywana pod tym względem skarga C. P. nie zasługuje na uwzględnienie.
Na wstępie rozważań należy wskazać, że ochrona danych osobowych polega przede wszystkim na określeniu kiedy dozwolone, a kiedy zabronione jest ich przetwarzanie. Ustawa z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. z 2002 r. Nr 101, poz. 926 ze zm.) wskazuje zasady przetwarzania danych osobowych (rozdz. 3 ustawy). W art. 23 § 1 ustawy zostały wymienione przesłanki legalizujące przetwarzanie danych osobowych. Zgodnie z jego treścią tego przepisu przetwarzanie danych jest dopuszczalne tylko wtedy, gdy:
1) osoba, której dane dotyczą, wyrazi na to zgodę, chyba że chodzi o usunięcie dotyczących jej danych,
2) jest to niezbędne dla zrealizowania uprawnienia lub spełnienia obowiązku wynikającego z przepisu prawa,
3) jest to konieczne do realizacji umowy, gdy osoba, której dane dotyczą, jest jej stroną lub gdy jest to niezbędne do podjęcia działań przed zawarciem umowy na żądanie osoby, której dane dotyczą,
4) jest niezbędne do wykonania określonych prawem zadań realizowanych dla dobra publicznego,
5) jest to niezbędne dla wypełnienia prawnie usprawiedliwionych celów realizowanych przez administratorów danych albo odbiorców danych, a przetwarzanie nie narusza praw i wolności osoby, której dane dotyczą.
Cytowany powyżej przepis ustawy określa ogólne materialne przesłanki przetwarzania danych osobowych. Przesłanki te mają charakter generalny, odnoszą się do wszelkich form przetwarzania danych, w tym zarówno do przetwarzania "na własne potrzeby" administratora, jak i "na zewnątrz". Są one co do zasady równoprawne, charakter autonomiczny i niezależny, co oznacza, że wystarczy wystąpienie jednej z nich, by przetwarzanie danych mogło być uznane za usprawiedliwione. Oznacza to także, że zgoda osoby, której dane dotyczą, nie jest wyłączną przesłanką przetwarzania danych osobowych (por. J. Barta, P. Fajgielski, R. Markiewicz "Ochrona danych osobowych. Komentarz.", publ. LEX nr 106659, wyrok Wojewódzkiego Sądu Administracyjnego w Warszawie z dnia 19 lipca 2007 r. sygn. akt II SA/Wa 678/07, publ. LEX nr 368229).
W rozpoznawanej sprawie skarżący jest klientem Banku z uwagi na zawarte z nim dwie umowy kredytowe, a wynikające z nich zobowiązania nie wygasły, zatem dla oceny przetwarzania danych osobowych skarżącego niezbędne jest też odniesienie się do ustawy z dnia 27 sierpnia 1997 r. – Prawo bankowe (tekst jedn. Dz. U. z 2012 r., poz. 1376 ze zm.).
W ocenie Sądu organ prawidłowo ocenił, że przesłanką legalizującą przetwarzanie danych osobowych skarżącego przez Bank (jako klienta banku i strony umowy) jest przesłanka wskazana w art. 23 ust. 1 pkt 3 cytowanej ustawy.
W odniesieniu zaś do przekazania danych osobowych skarżącego przez Bank do BIK i ZBP przesłanką legalizującą jest okoliczność opisana w art. 23 ust. 1 pkt 2 cytowanej ustawy w zw. z art. 105 ust. 4 i 105a ust. 1 ustawy Prawo bankowe.
Stosownie bowiem do art. 105 ust. 4 ustawy Prawo bankowe banki mogą, wspólnie z bankowymi izbami gospodarczymi, utworzyć instytucje upoważnione do gromadzenia, przetwarzania i udostępniania:
1) bankom - informacji stanowiących tajemnicę bankową w zakresie, w jakim informacje te są potrzebne w związku z wykonywaniem czynności bankowych oraz w związku ze stosowaniem metod statystycznych, o których mowa w art. 128 ust. 3 oraz w art. 128d ust. 1;
2) innym instytucjom ustawowo upoważnionym do udzielania kredytów - informacji stanowiących tajemnicę bankową w zakresie, w jakim informacje te są niezbędne w związku z udzielaniem kredytów, pożyczek pieniężnych, gwarancji bankowych i poręczeń;
3) instytucjom kredytowym - informacji stanowiących tajemnicę bankową w zakresie niezbędnym do oceny ryzyka kredytowego konsumenta, o którym mowa w art. 9 ustawy z dnia 12 maja 2011 r. o kredycie konsumenckim.
Zgodnie zaś z art. 105a ust. 1 ustawy Prawo bankowe przetwarzanie przez banki, inne instytucje ustawowo upoważnione do udzielania kredytów oraz instytucje utworzone na podstawie art. 105 ust. 4, informacji stanowiących tajemnicę bankową w zakresie dotyczącym osób fizycznych może być wykonywane, z zastrzeżeniem art. 104, art. 105 i art. 106-106c, w celu oceny zdolności kredytowej i analizy ryzyka kredytowego.
Nie ulega wątpliwości, że zarówno BIK należy do instytucji wymienionych w art. 105 ust. 4, a celem przetwarzania danych zawartych w BIK, jak i ZBP jest zwiększenie bezpieczeństwa systemu bankowego i płatniczego oraz ochrona depozytów bankowych oraz ocena zdolności kredytowej i analiza ryzyka kredytowego. Zatem w ocenie Sądu organ prawidłowo ocenił, że do przetwarzania danych na podstawie art. 23 ust. 1 pkt 2 ustawy o ochronie danych osobowych w zw. z art. 105 ust. 4 i 105a ust. 1 ustawy Prawo bankowe - zgoda osoby, której dane są przetwarzane, nie jest wymagana. Powołane przepisy prawa nie ustanawiają bowiem takiego wymogu. O zgodzie na przetwarzanie danych stanowiących tajemnicę bankową przez instytucje wymienione w art. 105 ust. 4 ustawy mowa dopiero w art. 105a ust. 2, tj. po wygaśnięciu zobowiązania wynikającego z umowy zawartej z bankiem lub inną instytucją ustawowo upoważnioną do udzielania kredytów. Tymczasem w rozpoznawanej sprawie zobowiązanie wynikające z umowy zawartej z bankiem nie wygasło.
Odnosząc się natomiast do przytoczonych przez skarżącego w skardze orzeczeń należy wskazać, że dotyczą one innych spraw, o różnych, od rozpoznawanej sprawy, stanach faktycznych i nie mają one charakteru wiążącego dla niniejszej sprawy. Przytoczone natomiast stanowiska doktryny nie dotyczą wprost przetwarzania danych na podstawie ustawy Prawo bankowe, ale odnoszą się generalnie do wyrażania zgody na przetwarzanie danych osobowych, a jak zostało przedstawione powyżej - zgoda na przetwarzanie danych, nie była koniecznym wymogiem do legalnego ich przetwarzania w rozpoznawanej sprawie.
Konkludując organ prawidłowo zebrał i ocenił materiał dowodowy, a następnie na tej podstawie wydał rozstrzygnięcie odpowiadające prawu. Dlatego też skarga jako bezzasadna i podlega oddaleniu.
Mając powyższe na uwadze, Wojewódzki Sąd Administracyjny w Warszawie, na podstawie art. 151 ustawy z dnia 30 sierpnia 2002 r. – Prawo o postępowaniu przed sądami administracyjnymi (tekst jednolity Dz. U. z 2012 r., poz. 270 ze zm.), orzekł jak w sentencji.
Źródło: Centralna Baza Orzeczeń Sądów Administracyjnych (orzeczenia.nsa.gov.pl), pozyskano 14.07.2026. · Źródło