I OSK 2584/15

WyrokNaczelny Sąd Administracyjny2017-07-21

Skład orzekający: Jolanta Sikorska, Małgorzata Jaśkowska, Mirosław Wincenciak

Analiza orzeczenia

Sekcja wygenerowana przez AI na podstawie treści orzeczenia — nie stanowi cytatu.

Zagadnienie prawne
Czy bank, przekazując dane osobowe wnioskodawcy ubiegającego się o kredyt do Biura Informacji Kredytowej (BIK) i Związku Banków Polskich (ZBP), naruszył przepisy ustawy o ochronie danych osobowych, w szczególności obowiązek informacyjny, oraz czy ZBP jest uprawniony do przetwarzania danych stanowiących tajemnicę bankową?
Ratio decidendi
Naczelny Sąd Administracyjny oddalił skargi kasacyjne, uznając, że bank, przekazując dane osobowe wnioskodawcy ubiegającego się o kredyt do BIK i ZBP, działał w ramach obowiązujących przepisów prawa bankowego, które uzasadniały przetwarzanie tych danych bez zgody wnioskodawcy w celu oceny zdolności kredytowej. Sąd stwierdził również, że Związek Banków Polskich, jako instytucja utworzona wspólnie przez banki i bankową izbę gospodarczą, jest uprawniony do przetwarzania danych stanowiących tajemnicę bankową w określonym zakresie. NSA uznał, że obowiązek informacyjny z art. 24 ust. 1 ustawy o ochronie danych osobowych powinien zostać spełniony przez bank w momencie pozyskiwania danych od wnioskodawcy ubiegającego się o kredyt, a nie w późniejszym momencie, np. przy zawieraniu innej umowy.
Stan faktyczny
C. P. złożył skargę do Generalnego Inspektora Ochrony Danych Osobowych (GIODO) na Bank [...] S.A. z powodu przekazania jego danych osobowych do Biura Informacji Kredytowej (BIK) i Związku Banków Polskich (ZBP) bez jego zgody w 2005 roku, podczas ubiegania się o kredyt. GIODO nakazał bankowi spełnienie obowiązku informacyjnego i nakazał BIK usunięcie danych. Wojewódzki Sąd Administracyjny w Warszawie oddalił skargi C. P. i Banku. Naczelny Sąd Administracyjny rozpoznał skargi kasacyjne obu stron.
Rozstrzygnięcie
Oddalono skargi kasacyjne C. P. oraz Banku [...] S.A.

Pełny tekst orzeczenia

Naczelny Sąd Administracyjny w składzie: Przewodniczący: sędzia NSA Jolanta Sikorska sędzia NSA Małgorzata Jaśkowska (spr.) sędzia del. WSA Mirosław Wincenciak Protokolant sekretarz sądowy Cezary Ciwiński po rozpoznaniu w dniu 21 lipca 2017 roku na rozprawie w Izbie Ogólnoadministracyjnej skarg kasacyjnych C. P. oraz Banku [...] S.A. z siedzibą we W. od wyroku Wojewódzkiego Sądu Administracyjnego w Warszawie z dnia 2 marca 2015 r. sygn. akt II SA/Wa 998/14 w sprawie ze skarg C. P. oraz Banku [...] S.A. z siedzibą we W. na decyzję Generalnego Inspektora Ochrony Danych Osobowych z dnia [...] marca 2014 r. nr [...] w przedmiocie ochrony danych osobowych 1. oddala skargi kasacyjne; 2. zasądza od C. P. na rzecz Generalnego Inspektora Ochrony Danych Osobowych kwotę 360 (trzysta sześćdziesiąt) złotych tytułem zwrotu kosztów postępowania kasacyjnego; 3. zasądza od Banku [...] S.A. z siedzibą we W. na rzecz Generalnego Inspektora Ochrony Danych Osobowych kwotę 360 (trzysta sześćdziesiąt) złotych tytułem zwrotu kosztów postępowania kasacyjnego. Zaskarżonym wyrokiem z dnia 2 marca 2015 r. (sygn. akt II SA/Wa 998/14) Wojewódzki Sąd Administracyjny w Warszawie oddalił skargi C. P. oraz Banku [...] S.A. na decyzję Generalnego Inspektora Ochrony Danych Osobowych z dnia [...] marca 2014 r. nr [...] w przedmiocie ochrony danych osobowych. Sąd I instancji orzekał w następującym stanie sprawy. C. P. wniósł do Generalnego Inspektora Ochrony Danych Osobowych (dalej także jako: GIODO) skargę dotyczącą przetwarzania jego danych osobowych przez Bank [...] S.A. z siedzibą w W. Wskazał, że w październiku 2005 r. złożył w Banku wniosek o kredyt. W dniu 20 października 2005 r. Bank bez jego zgody przekazał do Biura Informacji Kredytowej S.A. w Warszawie oraz do Związku Banków Polskich informacje tj. numer PESEL, numer dowodu osobistego, datę urodzenia, wysokość wnioskowanego kredytu, wysokość raty kredytowej, stanowiące tajemnicę bankową. Tym samym w ocenie skarżącego Bank naruszył art. 23 ust. 1 w zw. art. 24 ust. 1 oraz art. 32 ust. 1 pkt 4 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (obecnie tekst jedn. Dz. U. z 2016 r., poz. 922). C. P. wniósł do GIODO o przeprowadzenie kontroli, a następnie wydanie decyzji w zakresie stwierdzonych uchybień. Na skutek wspomnianej skargi GIODO wszczął postępowanie wyjaśniające, w trakcie którego ustalił, że C. P., prowadzący działalność gospodarczą pod firmą [...] wystąpił w 2005 r. do Banku z wnioskiem o udzielenie kredytu. W związku z tym Bank skierował zapytanie do bazy prowadzonej przez Biuro Informacji Kredytowej S.A. (dalej również BIK) oraz do bazy Bankowy Rejestr, której administratorem jest Związek Banków Polskich (dalej również ZBP), udostępniając w tym celu jego dane osobowe. Po uzyskaniu informacji z BIK – Bank odmówił skarżącemu udzielenia kredytu. W wyniku powyższego C. P. wystąpił przeciwko Bankowi o zapłatę tytułem odszkodowania za szkodę poniesioną wskutek naruszenia przez Bank tajemnicy bankowej, polegającej na przekazaniu bez jego zgody do BIK jego danych osobowych. Sąd Apelacyjny we Wrocławiu wyrokiem z dnia 12 marca 2010 r. (sygn. akt [...]) oddalił apelację. W wyjaśnieniach udzielonych GIODO Bank wskazał, że dane skarżącego są przetwarzane w Zbiorze Danych Klientów Banku [...] S.A. na podstawie art. 23 ust. 1 pkt 2 ustawy o ochronie danych osobowych oraz art. 74 ust. 2 pkt 8 ustawy z dnia 29 września 1994 r. o rachunkowości (obecnie Dz. U. z 2016 r., poz. 1047 ze zm.). Bank [...] S.A. prowadzi rachunek bankowy dla Spółki [...] Sp. z o.o., której Prezesem jest C. P. W związku z wykonywaniem powyższej umowy Bank uprawniony był do przetwarzania danych osobowych osób fizycznych reprezentujących osobę prawną. Ponadto ze względu na toczące się postępowanie sądowe z powództwa skarżącego, jego dane osobowe były przetwarzane również w celu archiwalnym. Podstawę prawną skierowania zapytania do wyżej wymienionych baz stanowił art. 70 ust. 1 ustawy z dnia 29 sierpnia 1997 r. Prawo bankowe (obecnie tekst jedn. Dz. U. z 2016 r., poz. 1988 ze zm.), zgodnie z którym Bank uzależnia przyznanie kredytu od zdolności kredytowej kredytobiorcy, a także art. 105 ustawy Prawo bankowe, zgodnie z którym Bank ma obowiązek udzielania informacji stanowiących tajemnicę bankową wyłącznie innym bankom i instytucjom kredytowym w zakresie, w jakim informacje te są niezbędne w związku z wykonywaniem czynności bankowych, a na zasadzie wzajemności innym instytucjom ustawowo upoważnionym do udzielania kredytów oraz zgodnie z pkt 4 art. 105 ww. ustawy. Ponadto Bank oświadczył, że w zakresie składanych przez skarżącego wniosków kredytowych z 2005, 2006 oraz 2007 r. nie wypełnił on wobec skarżącego obowiązku informacyjnego z art. 24 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych. W dniu 10 kwietnia 2006 r. skarżący, reprezentujący spółkę [...] Sp. z o.o. podpisał jednakże z Bankiem umowę rachunku bieżącego, której integralną częścią są karty identyfikacyjne. Karta identyfikacyjna Firmy, obowiązująca na dzień 10 kwietnia 2006 r., zawierała w treści obowiązek informacyjny. Odnosząc się do kwestii realizacji obowiązku informacyjnego wynikającego z art. 33 ustawy Bank wskazał z kolei, że wpłynął do niego wniosek skarżącego z dnia 17 stycznia 2007 r., w którym na podstawie art. 32 i 33 ustawy wniósł on o udostępnienie kopii wszystkich danych osobowych gromadzonych w Banku [...] S.A. i przesłanie ich pocztą. Pismem z dnia 17 stycznia 2007 r. Bank udzielił skarżącemu odpowiedzi na ww. wniosek. Związek Banków Polskich wyjaśnił organowi ochrony danych osobowych, że według stanu bazy danych na dzień 4 października 2012 r. nie stwierdzono obecności danych dotyczących skarżącego zgłoszonych przez Bank [...] S.A. W związku z tym, że ZBP nie prowadzi zbiorów archiwalnych Systemu BANKOWY REJESTR, nie było możliwe udzielenie precyzyjnej odpowiedzi na temat danych historycznych. Z kolei BIK wskazało, że nie przetwarza danych osobowych skarżącego w zakresie pochodzącym z Banku [...] S.A., zarówno jeżeli chodzi o Bazę SI BIK "Kredytobiorca", jak również o bazę SI BIK "Przedsiębiorcy". Uzupełniając przedmiotowe wyjaśnienia podmiot ten oświadczył, że BIK przetwarza dane pochodzące z zapytań w bazie BIOZ, przez okres 24 miesięcy liczonych od dnia złożenia zapytania, a udostępniane są one bankom na raportach kredytowych przez okres 12 miesięcy. Po tym okresie dane dotyczące zapytań są usuwane z bazy BIOZ i przetwarzane są jedynie w celach archiwalnych. Przedmiotowe zapytanie zostało złożone przez Bank [...] S.A. w dniu 20 października 2005 r., na podstawie art. 105 ust. 4 ustawy Prawo bankowe oraz na podstawie łączącej strony umowy w sprawie gromadzenia, przetwarzania i udostępniania informacji. Generalny Inspektor Ochrony Danych Osobowych decyzją z dnia [...] kwietnia 2013 r. nakazał Bankowi [...] S.A. spełnienie obowiązku informacyjnego, określanego w art. 24 ust. 1 ustawy, natomiast w pozostałej części odmówił uwzględnienia skargi C. P. Zarówno C. P., jak też Bank wnieśli o ponowne rozpatrzenie sprawy. GIODO decyzją z dnia [...] marca 2014 r. nr [...] uchylił zaskarżoną decyzję z dnia 19 kwietnia 2013 r. w zakresie przetwarzania danych osobowych C. P. przez Biuro Informacji Kredytowej S.A. i nakazał usunięcie danych osobowych C.P., pozyskanych w związku ze złożeniem przez Bank [...] S.A. zapytania w dniu 20 października 2005 r., z repliki produkcyjnej zbioru "BIOZ", zaś w pozostałej części utrzymał decyzję w mocy. Uzasadniając swoją decyzję organ wskazał, że w omawianym stanie faktycznym obowiązywał przepis art. 7a ust. 2 ustawy z dnia 19 listopada 1999 r. – Prawo działalności gospodarczej (Dz. U. Nr 101, poz. 1178 ze. zm.), który stanowił, że ewidencja działalności gospodarczej jest jawna i dane osobowe w niej zawarte nie podlegają przepisom ustawy o ochronie danych osobowych. Podmioty gromadzące, w tamtym okresie, dane o osobach prowadzących działalność gospodarczą, nie były zatem obowiązane do przestrzegania przepisów i zasad wynikających z ustawy o ochronie danych osobowych. Legalność przetworzenia danych osobowych skarżącego w zakresie wykraczającym poza informacje ujawnione w ewidencji działalności gospodarczej (płeć, data urodzenia, obywatelstwo, seria i nr dowodu osobistego, rodzaj kredytu, kwota i waluta wnioskowanego kredytu, częstotliwość spłat), zdaniem organu należało ocenić na podstawie przepisów ustawy o ochronie danych osobowych oraz ustawy Prawo bankowe. Zgodnie z art. 23 ust. 1 pkt 2 ustawy przetwarzanie danych jest dopuszczalne tylko wtedy, gdy jest to niezbędne dla zrealizowania uprawnienia lub spełnienia obowiązku wynikającego z przepisu prawa. Natomiast w ocenie Generalnego Inspektora wspomniane uprawnienie Banku do przekazania ww. danych skarżącego wynika z art. 105 ust. 4 Prawa bankowego. GIODO uznał, że dla legalności procesu przetwarzania danych osobowych nie zawsze wymagana jest zgoda osoby, której dane dotyczą. U podstaw tego procesu może znajdować się bowiem inna autonomiczna przesłanka wymieniona w art. 23 ust. 1 ustawy, niż zgoda osoby, której dane dotyczą. W przedmiotowym stanie faktycznym tą przesłanką było uprawnienie wynikające z mocy prawa. Odnosząc się do zarzutu skarżącego, dotyczącego usunięcia danych z BIK i ZBP GIODO podtrzymał swoje wcześniejsze stanowisko, że ZBP nie przetwarza danych skarżącego. Zmianie uległo zaś stanowisko organu co do przetwarzania danych skarżącego przez BIK. GIODO zauważył, że BIK w piśmie z dnia 27 listopada 2012 r. podkreślił, że przetwarza dane pochodzące z zapytań w bazie BIOZ, przez okres 24 miesięcy liczonych od dnia złożenia zapytania, a udostępniane są bankom w raportach kredytowych przez okres 12 miesięcy. Po tym okresie dane dotyczące zapytań są usuwane z bazy BIOZ i przetwarzane są jedynie w celach archiwalnych, tj. w celu rozpatrywania ewentualnych reklamacji bądź roszczeń klientów oraz w celu kontroli przetwarzania danych. Dane te są przetwarzane w replice produkcyjnej bazy danych. Katalog przesłanek, na podstawie których BIK może przetwarzać dane osobowe pozyskane od banków, został określony enumeratywnie w przepisach Prawa bankowego. BIK nie wykazał podstaw prawnych dla przetwarzania danych skarżącego w tzw. celach "ewentualnych reklamacji". Przetwarzanie danych w tych celach może dodatkowo zostać uznane za przetwarzanie "na zapas", co narusza zasady adekwatności i celowości wyrażone w art. 26 ust. 1 ustawy o ochronie danych osobowych. W ocenie GIODO BIK S.A. nie legitymował się podstawą prawną do przetwarzania danych osobowych skarżącego pozyskanych od Banku w jakimkolwiek innym celu, niż wskazane w ustawie Prawo bankowe, dlatego też nie sposób zgodzić się z tezą przedstawioną przez ten podmiot, iż przetwarzanie przez niego danych osobowych może odbywać się dla innego celu realizowanego przez administratora danych, którym w niniejszej sprawie jest potrzeba realizowania ewentualnych reklamacji skarżącego. Stąd też GIODO stwierdził, że konieczne jest nakazanie BIK S.A., na podstawie art. 18 ust. 1 pkt 6 ustawy, wyeliminowania nieprawidłowości w procesie przetwarzania danych osobowych skarżącego w sposób określony w punkcie pierwszym rozstrzygnięcia decyzji. Nawiązując do zarzutów Banku GIODO podtrzymał wcześniejsze stanowisko, że Bank gromadząc dane osobowe osoby prowadzącej działalność gospodarczą w zakresie tożsamym z zawartym w ewidencji działalności gospodarczej, nie był zobowiązany do wypełnienia wobec tej osoby obowiązku informacyjnego, o którym mowa w art. 24 ust. 1 ustawy o ochronie danych osobowych. Obowiązek ten natomiast powinien być zrealizowany, jeżeli Bank pozyskał dane w zakresie wykraczającym poza zakres informacji ujęty w ewidencji działalności gospodarczej. W przedmiotowej sprawie Bank pozyskał dane osobowe skarżącego poprzez wypełnienie przez niego w 2005 r. dokumentów związanych z wnioskowaniem o kredyt. Wśród danych osobowych, jakie skarżący ujawnił w tych dokumentach, oprócz jego oznaczenia jako przedsiębiorcy, adresu zamieszkania, numeru PESEL, numeru PKD, wskazania daty rozpoczęcia działalności gospodarczej, podał także inne informacje o sobie, m.in. numer dowodu osobistego, a także szereg innych informacji tj. informację, że działa w więcej niż jednej branży, informację o łącznej wartości należącej do niego nieruchomości, o niezaleganiu z należnościami wobec Urzędu Skarbowego i wobec Zakładu Ubezpieczeń Społecznych. Zestawiając wymienione dane z zakresem informacji o osobie prowadzącej działalność gospodarczą, który zgodnie z art. 7b ustawy – Prawo działalności gospodarczej, w okresie, w którym miało miejsce zakwestionowane przez skarżącego zdarzenie, był w niej ujawniany, należy stwierdzić, że wykraczał on poza ten zakres informacji ujawnionych w ewidencji działalności gospodarczej. Wobec tego Bank był obowiązany do wypełnienia wobec skarżącego, w zakresie odnoszącym się do tych danych, obowiązku informacyjnego z art. 24 ust. 1 ustawy. Obowiązek ten nie został zrealizowany wbrew twierdzeniom Banku w dniu 10 kwietnia 2006 r., kiedy to skarżący reprezentujący wówczas Spółkę z o.o. [...] zawarł z Bankiem umowę rachunku bieżącego, której integralną częścią były karty identyfikacyjne, zawierające w treści obowiązek informacyjny. Administrator danych obowiązany jest udzielić osobie, której dane osobowe pozyskuje, informacji, o których mowa w art. 24 ust. 1 ustawy, w momencie ich pozyskiwania. W przedmiotowej sprawie Bank pozyskał dane osobowe skarżącego w 2005 r., w dniu złożenia przez niego dokumentów związanych z ubieganiem się o kredyt i wówczas powinien dopełnić wobec niego tego obowiązku. Od opisanej decyzji skargi złożyli C. P., a także Bank [...]. W odpowiedzi na skargi organ wniósł o ich oddalenie wywodząc jak w uzasadnieniu zaskarżonej decyzji. Wspomnianym na wstępie wyrokiem WSA w Warszawie oddalił skargi. Uzasadniając orzeczenie Sąd I instancji wskazał, że skarżący był klientem Banku z uwagi na złożenie przez niego aplikacji kredytowej w 2005 r., następnie w 2006 r. podpisanie umowy rachunku bieżącego, w imieniu reprezentowanej przez niego spółki [...] Sp. z o.o. W ocenie Sądu I instancji organ prawidłowo uznał, że przesłanka legalizująca przetwarzanie danych osobowych skarżącego przez Bank (jako aplikującego o udzielenie kredytu) jest określona w art. 23 ust. 1 pkt 3 ustawy, zaś podstawę prawną przekazania danych do BIK i ZBP stanowi art. 23 ust. 1 pkt 2 ustawy w zw. z art. 105 ust. 4 i art. 105a ust. 1 ustawy – Prawo bankowe. Nie ulega wątpliwości, że zarówno BIK, jak też ZBP należą do instytucji wymienionych w art. 105 ust. 4 ustawy Prawo bankowe, a celem przetwarzania danych zawartych w BIK jest zwiększenie bezpieczeństwa systemu bankowego i płatniczego oraz ochrona depozytów bankowych i ocena zdolności kredytowej i analiza ryzyka kredytowego. Zatem w ocenie Sądu I instancji organ prawidłowo stwierdził, że do przetwarzania danych na podstawie art. 23 ust. 1 pkt 2 ustawy o ochronie danych osobowych w zw. z art. 105 ust. 4 i art. 105a ust. 1 ustawy – Prawo bankowe – zgoda osoby, której dane są przetwarzane, nie jest wymagana. Powołane przepisy prawa nie ustanawiają bowiem takiego wymogu. O zgodzie na przetwarzanie danych stanowiących tajemnicę bankową przez instytucje wymienione w art. 105 ust. 4 ustawy mowa dopiero w art. 105a ust. 2, tj. po wygaśnięciu zobowiązania wynikającego z umowy zawartej z bankiem lub inną instytucją ustawowo upoważnioną do udzielania kredytów. WSA w Warszawie podkreślił, że informacje zamieszczone w zbiorze BIK służyć mają wypełnianiu przez banki, jako instytucje zaufania publicznego, ich ustawowych obowiązków związanych z koniecznością dokładania szczególnej staranności w zakresie zapewnienia bezpieczeństwa przechowywanych środków pieniężnych (art. 50 ust. 2 Prawa bankowego), czyli w zakresie ochrony depozytów, a także z koniecznością należytego badania zdolności kredytowej, od której istnienia bank uzależnia udzielenie kredytu (art. 70 ust. 1 Prawa bankowego). Badanie zdolności kredytowej, która obejmuje zdolność do spłaty zobowiązań i wiarygodność kredytową, jest istotnym elementem działalności banku. BIK został utworzony właśnie w celu zmniejszenia ryzyka udzielania przez banki i instytucje kredytowe trudnych kredytów, przyśpieszenia i uproszczenia procedur kredytowych, wspomagania decyzji banków dotyczących udzielania kredytu. W dalszej kolejności Sąd I instancji stwierdził, że w momencie aplikowania przez skarżącego o kredyt w 2005 r. Bank oprócz jego danych osobowych, które w tamtym czasie nie podlegały ochronie gwarantowanej przepisami ustawy o ochronie danych osobowych, pozyskał także jego dane osobowe w zakresie, który takiej ochronie podlegał. Bank zatem obowiązany był do wypełnienia wobec skarżącego w zakresie odnoszącym się do tych danych, obowiązku informacyjnego z art. 24 ust. 1 ustawy. Obowiązek wynikający z art. 24 ust. 1 ustawy nie został przez Bank wykonany w dniu 10 kwietnia 2006 r., kiedy to skarżący reprezentujący wówczas Sp. z o.o. [...] zawarł z Bankiem umowę rachunku bieżącego, której integralną częścią były karty identyfikacyjne, zawierające w treści obowiązek informacyjny. WSA podkreślił, że w dniu 10 kwietnia 2006 r. Bank nie zrealizował ww. obowiązku wobec skarżącego jako osoby fizycznej prowadzącej działalność gospodarczą pod firmą [...], tylko jako osoby fizycznej reprezentującej osobę prawną, tj. spółkę [...] Sp. z o.o. Odnosząc się do zarzutu przetwarzania danych osobowych skarżącego przez BIK Sąd I instancji uznał, że podmiot ten nie legitymuje się podstawą prawną do przetwarzania danych osobowych skarżącego pozyskanych od Banku w jakimkolwiek innym celu niż wskazany w Prawie bankowym i dlatego GIODO zasadnie, na podstawie art. 18 ust. 1 pkt 6 ustawy, nakazał BIK wyeliminowanie nieprawidłowości w procesie przetwarzania danych skarżącego poprzez ich usunięcie z repliki produkcyjnej zbioru "BIOZ". Sąd I instancji wskazał również, że z materiału dowodowego sprawy wynika, że Bank pozyskał dane osobowe skarżącego z dniem 20 października 2005 r., czyli w okresie obowiązywania art. 7a ust. 2 ustawy z dnia 19 listopada 1999 r. – Prawo działalności gospodarczej (Dz. U. Nr 101, poz. 1178 ze zm.), który stanowił, że ewidencja działalności gospodarczej jest jawna i dane osobowe w niej zawarte nie podlegają przepisom ustawy o ochronie danych osobowych. Przepis ten stracił moc obowiązującą z dniem 31 grudnia 2011 r. To oznacza, że do dnia 1 stycznia 2012 r. przepisy ustawy o ochronie danych osobowych nie dotyczyły informacji identyfikujących przedsiębiorców w obrocie gospodarczym, dlatego administratorzy danych osobowych dotyczących przedsiębiorców nie musieli wypełniać obowiązków wynikających z ustawy o ochronie danych osobowych, w tym informacyjnych oraz w zakresie przesłanek legalności przetwarzania danych. GIODO prawidłowo uznał, że z zebranego w sprawie materiału dowodowego nie wynika, aby skarżący zwracał się do Banku z wnioskiem o spełnienie wobec niego obowiązku informacyjnego określonego w art. 33 ustawy. Nawiązując do wniosku skarżącego o "przeprowadzenie kontroli" Sąd I instancji podzielił pogląd organu, że kontrola zgodności przetwarzania danych z przepisami ustawy o ochronie danych osobowych, jako kompetencja ustawowa organu, jest przeprowadzana z urzędu, a nie na wniosek zainteresowanego czy skarżącego, bowiem organ samodzielnie decyduje o sposobie realizacji własnych uprawnień. Ustawa o ochronie danych osobowych nie uprawnia organu do zakończenia prowadzonego postępowania poprzez skierowanie w formie decyzji administracyjnej zawiadomienia do organów ścigania o popełnieniu przestępstwa. Od powyższego wyroku skargę kasacyjną złożył zarówno C. P., jak też Bank [...] S.A. C. P. zaskarżył wyrok w całości. Orzeczeniu wydanemu przez Sąd I instancji zarzucił naruszenie prawa materialnego poprzez: 1. niewłaściwe zastosowanie art. 105 ust. 4 ustawy Prawo bankowe poprzez błędne ustalenie, iż Związek Banków Polskich działający na podstawie ustawy z dnia 30 maja 1989 r. o izbach gospodarczych jest samodzielnie uprawniony do przetwarzania danych stanowiących tajemnicę bankową, 2. niewłaściwe zastosowanie art. 23 ust. 1 pkt 2 ustawy o ochronie danych osobowych w związku z art. 5, art. 6, art. 70 ust. 1, art. 105a ust. 1, art. 104 ust. 2, art. 104 ust. 3 i art. 105 ust. 4 ustawy Prawa bankowego oraz art. 7b ustawy Prawo działalności gospodarczej, poprzez błędne ustalenie, iż bank mógł bez zgody klienta przekazywać publicznie niedostępne dane osobowe przedsiębiorcy stanowiące tajemnicę bankową do instytucji utworzonych na podstawie art. 105 ust. 4 Prawa bankowego (w brzmieniu sprzed 1 kwietnia 2007 r. jak i po 1 kwietnia 2007 r.), takich jak BIK a także ZBP. 3. niewłaściwe zastosowanie art. 18 ust. 1 ustawy o ochronie danych osobowych poprzez uznanie, iż nie jest możliwym wydanie decyzji na "przyszłość", gdy tymczasem GIODO może nakazać nieudostępnianie danych osobom trzecim a będącym w przetwarzaniu przez Bank, nakazać zastosowanie środków zabezpieczających uniemożliwiających przekazywanie danych przez Bank, nakazać usunięcie danych przekazanych przez Bank do ZBP jak i przetwarzanych przez ZBP. W związku z powyższym C. P. wniósł o uchylenie wyroku WSA w Warszawie w całości, a następnie uchylenie zaskarżonej decyzji GIODO w pkt 2 i w konsekwencji zobowiązanie GIODO do wydania decyzji nakazującej nieprzekazywanie danych osobowych stanowiących tajemnicę bankową przetwarzanych przez BIK i ZBP, które zostały przekazane przez Bank [...] oraz nakazanie nieudostępniania danych osobowych skarżącego przetwarzanych w Banku do ZBP i BIK. Ponadto wniósł o stwierdzenie, iż w roku 2005 doszło do nieuprawnionego przekazywania danych z Banku [...] do BIK i ZBP. C. P. wniósł również o zwrotu poniesionych wpisów sądowych, zasądzenie na jego rzecz kosztów postępowania przed WSA oraz kosztów zastępstwa prawnego za instancję kasacyjną według norm przepisanych. W uzasadnieniu skargi kasacyjnej jej autor powtórzył dotychczasową argumentację. Wskazał, że organ i Sąd I instancji błędnie zinterpretowali ówczesny stan prawny. Powołując się na orzecznictwo sądowe stwierdził m.in., że art. 105 ust. 4 ustawy Prawo bankowe nie stanowi podstawy do przetwarzania danych osobowych bez zgody osób, których dane dotyczą (por. wyrok NSA z dnia 14 września 2005 r., sygn. akt I OSK 39/05). Pełnomocnik C. P. zauważył ponadto, że art. 105 ust. 4 Prawa bankowego w brzmieniu sprzed 1 kwietnia 2007 r. wskazuje, iż "instytucję" do gromadzenia informacji współtworzyć musi co najmniej jeden bank oraz bankowa izba gospodarcza, za którą można uznać ZBP, gdyż funkcjonuje w oparciu o ustawę o izbach gospodarczych. W takim stanie rzeczy wątpliwa jest legitymacja ZBP do gromadzenia danych stanowiących tajemnicę bankową. WSA jak i GIODO nie dokonały oceny w tym zakresie. Zdaniem skarżącego kasacyjnie nie jest to "instytucją" w rozumieniu art. 105 ust. 4 prawa bankowego. Także przekazanie danych z BIK do Banku nie ma umocowania w przepisach prawa bankowego. Zasadnym byłoby więc stwierdzenie, iż przekazanie danych z BIK do Banku było nielegalne. Z kolei Bank [...] S.A. zarzucił zaskarżonemu wyrokowi: 1. naruszenie prawa materialnego przez błędną jego wykładnię oraz niewłaściwie zastosowanie, o którym mowa w art. 174 pkt 1 ustawy z dnia 30 sierpnia 2002 r. - Prawo o postępowaniu przed sądami administracyjnymi (obecnie Dz. U. z 2017 r., poz. 1369 ze zm. dalej jako p.p.s.a.), tj. naruszenie art. 24 ust. 1 ustawy o ochronie danych osobowych poprzez przyjęcie, że administrator danych osobowych ma obowiązek wykonać obowiązek informacyjny określony w powołanym wyżej artykule w zależności od tego czy osoba, której dane dotyczą, występuje jako osoba fizyczna prowadząca działalność gospodarczą czy też jako osoba fizyczna reprezentująca osobę prawną; 2. mogące mieć istotny wpływ na wynik sprawy naruszenie przepisów postępowania, o którym mowa w 174 pkt 1 p.p.s.a tj. naruszenie art. 141 § 4 poprzez niewyjaśnienie podstawy prawnej w zakresie nieuwzględnienia zarzutu skarżącej dotyczącego wykonania obowiązku informacyjnego wobec uczestnika C. P., co w praktyce uniemożliwia zapoznanie się z wyjaśnieniem oceny prawnej stanu sprawy. Bank wniósł o uchylenie zaskarżonego wyroku w zakresie oddalenia skargi Banku i przekazanie sprawy do ponownego rozpoznania, na podstawie art. 185 § 1 p.p.s.a. oraz o zasądzenie zwrotu kosztów postępowania sądowego na podstawie art. 203 pkt 1 p.p.s.a. Uzasadniając skargę kasacyjną pełnomocnik Banku podtrzymał stanowisko prezentowane na wcześniejszych etapach postępowania, że obowiązek informacyjny został wobec skarżącego wykonany w dniu 10 kwietnia 2006 r. Zdaniem Banku, obowiązek informacyjny dotyczy samego podmiotu, którego dane przetwarza administrator danych - tj. danej osoby fizycznej, której dane dotyczą, a nie funkcji, w jakiej ta osoba działa - czy to jako osoba fizyczna prowadząca działalność gospodarczą czy też jako osoba fizyczna reprezentująca osobę prawną. Tym samym okoliczność, iż C. P. występował w różnych funkcjach w stosunkach z administratorem danych jest prawnie irrelewantna. Zdaniem Banku w uzasadnieniu zaskarżonego wyroku Sąd I instancji szeroko odniósł się do zarzutów C. P., natomiast w części dotyczącej zarzutów Banku ograniczył się wyłącznie do lakonicznego przytoczenia przepisu oraz powtórzenia stanowiska GIODO w zakresie niewykonania obowiązku informacyjnego wobec uczestnika postępowania działającego jako osoba prowadząca działalność gospodarczą i podkreślenia, iż Bank wykonał obowiązek informacyjny gdy uczestnik występował wobec Banku w innej funkcji tj. osoby fizycznej reprezentującej osobę prawną. Tym samym w ocenie wnoszącego skargę kasacyjną nie wypełnił płynącego z art. 141 § 4 p.p.s.a. nakazu wyjaśnienia w uzasadnieniu podstawy prawnej swego rozstrzygnięcia. Generalny Inspektor Ochrony Danych Osobowych w odpowiedziach na skargi kasacyjne wniósł o ich oddalenie, podtrzymując swoje dotychczasowe stanowisko w sprawie. W odpowiedzi na skargę kasacyjną Banku [...] C. P. wniósł o jej oddalenie. Naczelny Sąd Administracyjny zważył, co następuje. Zgodnie z art. 183 § 1 ustawy z dnia 30 sierpnia 2002 r. – Prawo o postępowaniu przed sądami administracyjnymi (obecnie tekst jednolity: Dz. U. z 2017 r. poz. 1369 ze zm., dalej jako p.p.s.a.) Naczelny Sąd Administracyjny rozpoznaje sprawę w granicach skargi kasacyjnej, biorąc z urzędu pod rozwagę jedynie przesłanki uzasadniające nieważność postępowania określone w art. 183 § 2 p.p.s.a. Oznacza to, że postępowanie kasacyjne oparte jest na zasadzie związania Naczelnego Sądu Administracyjnego granicami skargi kasacyjnej i podstawami zaskarżenia wskazanymi w tej skardze. Sąd ten, w odróżnieniu od Sądu I instancji, nie bada całokształtu sprawy z punktu widzenia stanu prawnego, który legł u podstaw zaskarżonego orzeczenia. Bada natomiast zasadność przedstawionych w skardze kasacyjnej zarzutów. Zakres kontroli jest zatem określony i ograniczony wskazanymi w skardze kasacyjnej przyczynami wadliwości prawnej zaskarżonego wyroku wojewódzkiego sądu administracyjnego, z wyjątkiem przesłanek nieważności. W rozpoznawanej sprawie przesłanki nieważności postępowania sądowego nie wystąpiły. Tym samym sprawa podlegała rozpoznaniu w granicach zgłoszonych zarzutów kasacyjnych. Skarga kasacyjna C. P. nie zasługuje na uwzględnienie. Wszystkie zarzuty w niej przedstawione dotyczą naruszenia prawa materialnego i żaden z nich nie jest uzasadniony. W ramach pierwszego zarzutu kasacyjnego autor skargi kasacyjnej wskazał na niewłaściwe zastosowanie przez Sąd I instancji art. 105 ust. 4 ustawy z dnia 29 sierpnia 1997 r. Prawo bankowe (obecnie tekst jedn. Dz. U. z 2016 r., poz. 1988 ze zm.) poprzez błędne ustalenie, iż Związek Banków Polskich działający na podstawie ustawy z dnia 30 maja 1989 r. o izbach gospodarczych jest samodzielnie uprawniony do przetwarzania danych stanowiących tajemnicę bankową. Zgodnie z art. 105 ust. 4 ustawy Prawo bankowe, w brzmieniu obowiązującym przed 1 kwietnia 2007 r., banki mogą, wspólnie z bankowymi izbami gospodarczymi, utworzyć instytucje do gromadzenia, przetwarzania i udostępniania bankom informacji stanowiących tajemnicę bankową w zakresie, w jakim informacje te są potrzebne w związku z wykonywaniem czynności bankowych, a także innym instytucjom ustawowo upoważnionym do udzielania kredytów informacji o wierzytelnościach oraz o obrotach i stanach rachunków bankowych w zakresie, w jakim informacje te są niezbędne w związku z udzielaniem kredytów, pożyczek pieniężnych, gwarancji bankowych i poręczeń. Zdaniem strony wnoszącej skargę kasacyjną z pierwszego zdania powołanego przepisu (którego brzmienie do dnia dzisiejszego nie uległo zmianie) wynika, iż pojęcie "instytucji" oznacza odrębną organizację utworzoną wspólnie przez bank i bankową izbę gospodarczą. Wobec tego Związek Banków Polskich, który nie został utworzony przez bank, a wyłącznie przez bankową izbę gospodarczą nie jest uprawniony do przetwarzania danych stanowiących tajemnicę bankową w zakresie, w jakim informacje te są potrzebne w związku z wykonywaniem czynności bankowych. Zdaniem Naczelnego Sądu Administracyjnego teza przedstawiona przez wnoszącego skargę kasacyjną jest nieuzasadniona. Artykuł 105 ust. 4 ustawy Prawo bankowe nie określa formy organizacyjnej "instytucji" upoważnionej do gromadzenia, przetwarzania i udostępniania bankom informacji stanowiących tajemnicę bankową. Związek Banków Polskich można uznać za taką instytucję. Jest on administratorem danych zawartych w Systemie Międzybankowej Informacji Gospodarczej – Bankowy Rejestr. Jak wynika z ustaleń poczynionych w innych sprawach ze skarg C. P. na nielegalne przetwarzanie jego danych przez inne niż Bank [...] banki (wyroki NSA z dnia 10 listopada 2015 r. sygn. akt I OSK 1935/13 oraz z dnia 24 kwietnia 2015 r. sygn. akt I OSK 1935/13) System Międzybankowej Informacji Gospodarczej – Bankowy Rejestr funkcjonuje na podstawie statutu ZBP i umowy z poszczególnymi bankami "o zasadach uczestnictwa i współpracy w zakresie wymiany informacji w systemie Międzybankowej Informacji Gospodarczej – Bankowy Rejestr", do których załącznik stanowi odpowiedni regulamin. Gromadzenie, przetwarzanie i udostępnianie bankom informacji stanowiących tajemnicę bankową odbywa się zatem w oparciu o system utworzony wspólnie przez banki i bankową izbę gospodarczą, przy czym z uwagi na brak ograniczeń co do formy organizacyjnej takiej "instytucji" administrowanie nią zostało powierzone Związkowi Banków Polskich zgodnie ze stosownymi umowami z bankami oraz na podstawie statutu ZBP, co czyni ze Związku Banków Polskich instytucję upoważnioną – w rozumieniu art. 105 ust. 4 Prawa bankowego – do gromadzenia, przetwarzania i udostępniania bankom informacji stanowiących tajemnicę bankową w zakresie, w jakim informacje te są potrzebne w związku z wykonywaniem czynności bankowych. Niezależnie od powyższego należy wskazać, że jak wynika z niekwestionowanych ustaleń organu, Związek Banków Polskich w momencie złożenia skargi przez C. P. nie przetwarzał danych skarżącego zgłoszonych przez Bank [...] S.A. i nie miał możliwości dokonania dokładnych ustaleń związanych z danymi historycznymi. Wobec powyższego stwierdzić należy, że organ nie mógł w tej sytuacji nakazać zaprzestania ich przetwarzania. Wbrew twierdzeniu skarżącego kasacyjnie pogląd wyrażony w powołanym przez niego wyroku NSA z dnia 14 września 2005 r. (sygn. akt I OSK 39/15) nie znajduje zastosowania w niniejszej sprawie, gdyż został wydany w innym stanie faktycznym i prawnym. Orzeczenie to dotyczyło stanu prawnego obowiązującego przed wejściem w życie dnia 16 czerwca 2005 r. art. 105a ustawy Prawo bankowe, który bezpośrednio odnosi się do uprawnienia banków i instytucji utworzonych na podstawie art. 105 ust. 4 do przetwarzania danych osobowych w celu oceny zdolności kredytowej i analizy ryzyka kredytowego. Wobec powyższego zarzut naruszenia przez Sąd I instancji art. 105 ust. 4 ustawy Prawo bankowe poprzez błędne ustalenie, iż Związek Banków Polskich był samodzielnie uprawniony do przetwarzania danych stanowiących tajemnicę bankową jest nieuzasadniony. Kolejny zarzut kasacyjny polegający na niewłaściwym zastosowaniu przez Sąd I instancji art. 23 ust. 1 pkt 2 ustawy o ochronie danych osobowych w związku z art. 5, art. 6, art. 70 ust. 1, art. 105a ust. 1, art. 104 ust. 2, art. 104 ust. 3 i art. 105 ust. 4 ustawy Prawo bankowe oraz art. 7b ustawy Prawo działalności gospodarczej, sprowadza się do zakwestionowania przez skarżącego kasacyjnie możliwości legalnego przekazania danych osobowych stanowiących tajemnicę bankową do instytucji utworzonych na podstawie art. 105 ust. 4 ustawy Prawo bankowe. Zgodnie z art. 23 ust. 1 pkt 2 ustawy o ochronie danych osobowych, przetwarzanie danych osobowych jest dopuszczalne wtedy, gdy jest to niezbędne dla zrealizowania uprawnienia lub spełnienia obowiązku wynikającego z przepisu prawa. Z art. 70 ust. 1 ustawy Prawo bankowe wynika, że bank uzależnia przyznanie kredytu od zdolności kredytowej kredytobiorcy. Przez zdolność kredytową rozumie się zdolność do spłaty zaciągniętego kredytu wraz z odsetkami w terminach określonych w umowie. Kredytobiorca jest obowiązany przedłożyć na żądanie banku dokumenty i informacje niezbędne do dokonania oceny tej zdolności. Bank, wypełniając ten obowiązek, był zatem uprawniony do przekazania ZBP i BIK danych osobowych skarżącego wraz z informacjami dotyczącymi jego zobowiązań kredytowych (art. 105 ust. 4 i art. 105a ust. 1 ustawy Prawo bankowe). Z kolei powołany przez stronę wnoszącą skargę kasacyjną art. 5 ustawy Prawo bankowe zawiera katalog czynności bankowych, a więc czynności, które stanowią istotę funkcjonowania banków. Zgodnie z art. 5 ust. 1 pkt 3 czynnością bankową jest udzielanie kredytów. Udzielenie kredytu wiąże się ze spełnieniem przez zainteresowany podmiot określonych warunków m.in. w myśl wspomnianego art. 70 ust. 1 ustawy tj. posiadania zdolności kredytowej. Stąd też należy przyjąć, że do czynności bankowych określonych w art. 5 ust. 1 pkt 3 ustawy Prawo bankowe należy zaliczyć także czynności poprzedzające udzielenie kredytu, czyli dokonywane jeszcze przed przekazaniem kredytobiorcy środków pieniężnych przez bank, niezależnie od tego czy doszło do zawarcia umowy kredytowej. Przepis ten jest kolejnym, który uzasadnia przetwarzanie przez Bank [...] danych osobowych skarżącego, jako niezbędnych do spełnienia obowiązku wynikającego z przepisu prawa (art. 23 ust. 1 pkt 2 ustawy o ochronie danych osobowych). Jednocześnie należy zauważyć, że skarżący kasacyjnie nie wskazał, w jaki sposób miały być naruszony art. 6 ustawy Prawo bankowe, który określa inne niż wymienione w art. 5 czynności, do których uprawnione są banki. W ocenie Naczelnego Sądu Administracyjnego Bank przekazując dane skarżącego do BIK i ZBP nie naruszył art. 104 ust. 3 i 4 ustawy Prawo bankowe. Artykuł 104 ust. 3 ustawy stanowi, że banku nie obowiązuje, z zastrzeżeniem ust. 4, zachowanie tajemnicy bankowej wobec osoby, której dotyczą informacje objęte tajemnicą. Osobom trzecim informacje te mogą być ujawnione, z zastrzeżeniem art. 105, art. 106a i art. 106b, wyłącznie gdy osoba, której informacje te dotyczą, na piśmie upoważni bank do przekazania określonych informacji wskazanej przez siebie osobie lub jednostce organizacyjnej. Użyty w tym przepisie zwrot "z zastrzeżeniem art. 105" oznacza, że zgoda nie jest wymagana, gdy przetwarzanie danych dotyczy instytucji utworzonej na podstawie art. 105 ust. 4 ustawy Prawo bankowe (por. wyrok NSA z dnia 11 kwietnia 2011 r. sygn. akt I OSK 820/10 M.Pr.Bank. 2012/2/19-23). Dodanie od dnia 1 kwietnia 2007 r. w art. 105 ust. 4 powołanej ustawy słowa "upoważnione" nie zmienia wcześniejszego znaczenia tego przepisu, a jedynie doprecyzowuje jego treść, gdyż po to stworzono możliwość tworzenia instytucji do gromadzenia, przetwarzania i udostępniania danych, aby banki mogły właściwe wypełniać ustawowe obowiązki. BIK i ZBP zostały utworzone właśnie w celu zmniejszenia dla banków i instytucji kredytowych ryzyka udzielania trudnych kredytów, przyśpieszenia i uproszczenia procedur kredytowych, wspomagania decyzji banków dotyczących udzielania kredytu. Nie jest usprawiedliwiony zarzutu naruszenia przez Sąd I instancji art. 18 ust. 1 ustawy o ochronie danych osobowych, który stanowi, że w przypadku naruszenia przepisów o ochronie danych osobowych Generalny Inspektor Ochrony Danych Osobowych z urzędu lub na wniosek osoby zainteresowanej, w drodze decyzji administracyjnej, nakazuje przywrócenie stanu zgodnego z prawem. GIODO rozpoznając niniejszą sprawę skorzystał z uprawnień wynikających z powołanego przepisu nakazując Bankowi [...] S.A. spełnienie obowiązku informacyjnego, określanego w art. 24 ust. 1 ustawy o ochronie danych osobowych, czego C. P. nie negował, a także nakazał usunięcie przez BIK danych osobowych C. P., pozyskanych w związku ze złożeniem przez Bank [...] S.A. zapytania w dniu 20 października 2005 r., z repliki produkcyjnej zbioru "BIOZ". W pozostałym zakresie, skoro nie doszło do naruszenia przepisów o ochronie danych osobowych, nie było możliwe zastosowanie przez GIODO żadnego środka, wymienionego w pkt 1-6 ust. 1 art. 18 ustawy o ochronie danych osobowych. Nie zasługuje na uwzględnienie również skarga kasacyjna wniesiona przez Bank [...] S.A. Skarżący kasacyjnie zarzucił zaskarżonemu wyrokowi zarówno naruszenie przepisów prawa materialnego, jak też przepisów postępowania. W takiej sytuacji, co do zasady, jako pierwsze podlegają rozpatrzeniu zarzuty naruszenia przepisów postępowania, gdyż weryfikacja prawidłowości wykładni przepisów prawa materialnego, dokonanej przez Sąd I instancji, jest możliwa jedynie w przypadku stwierdzenia braku uchybień natury procesowej, mogących mieć istotny wpływ na treść rozstrzygnięcia. W ramach podstawy kasacyjnej określonej w art. 174 pkt 2 p.p.s.a. wnoszący skargę kasacyjną zarzucił WSA w Warszawie naruszenie art. 141 § 4 p.p.s.a. Artykuł 141 § 4 p.p.s.a określający wymogi uzasadnienia może stanowić samodzielną podstawę kasacyjną wówczas, gdy uzasadnienie nie zawiera stanowiska co do stanu faktycznego przyjętego jako podstawa zaskarżonego rozstrzygnięcia (por. uchwała NSA z 15 lutego 2010 r. II FPS 8/09) bądź gdy treść uzasadnienia nie pozwala prześledzić toku rozumowania sądu i poznania racji, które stały za rozstrzygnięciem o zgodności z prawem zaskarżonego aktu (por. wyrok NSA z 25 stycznia 2013 r. II OSK 1751/11). Wadliwość uzasadnienia wyroku może stanowić przedmiot skutecznego zarzutu kasacyjnego z art. 174 pkt 2 p.p.s.a. wtedy, gdy uzasadnienie jest sporządzone w taki sposób, że niemożliwa jest kontrola instancyjna zaskarżonego wyroku. W takim bowiem przypadku wadliwość uzasadnienia wyroku może być uznana za naruszenie przepisów postępowania mogące mieć istotny wpływ na wynik sprawy. Żadna z tych okoliczności nie ma miejsca w rozpoznawanej sprawie. W uzasadnieniu Sąd I instancji przedstawił bowiem opis tego, co działo się w sprawie w postępowaniu przed organami administracji publicznej oraz przedstawił stan faktyczny przyjęty za podstawę wyroku, wskazując z jakich przyczyn i na podstawie jakich przepisów zarzuty skargi nie zasługują na uwzględnienie, co umożliwia przeprowadzenie kontroli instancyjnej ustaleń Sądu w kwestionowanym zakresie. Wbrew twierdzeniu strony wnoszącej skargę kasacyjną Sąd I instancji odniósł się do zarzutu naruszenia przez Bank art. 24 ust. 1 ustawy o ochronie danych osobowych poprzez zaniechanie wykonania tzw. obowiązku informacyjnego wobec C. P. (str. 15-16 uzasadnienia). Nie może stanowić podstawy skutecznego zarzutu naruszenia art. 141 § 4 p.p.s.a. argument, że wojewódzki sąd administracyjny powtórzył w uzasadnieniu stanowisko organu przedstawione w zaskarżonej decyzji. Nie jest to jednoznaczne z brakiem odniesienia się do zarzutu w ogóle, a zatem nie uniemożliwia kontroli instancyjnej. Sąd II instancji ma bowiem możliwość zapoznania się ze stanowiskiem wojewódzkiego sądu administracyjnego. Zdaniem Naczelnego Sądu Administracyjnego Sąd I instancji nie naruszył swoim rozstrzygnięciem art. 24 ust. 1 ustawy o ochronie danych osobowych. Zgodnie z tym przepisem w przypadku zbierania danych osobowych od osoby, której one dotyczą, administrator danych jest obowiązany poinformować tę osobę o: adresie swojej siedziby i pełnej nazwie, a w przypadku, gdy administratorem danych jest osoba fizyczna - o miejscu swojego zamieszkania oraz imieniu i nazwisku; celu zbierania danych, a w szczególności o znanych mu w czasie udzielania informacji lub przewidywanych odbiorcach lub kategoriach odbiorców danych; prawie dostępu do treści swoich danych oraz ich poprawiania, a także o dobrowolności albo obowiązku podania danych, a jeżeli taki obowiązek istnieje, o jego podstawie prawnej. Sąd I instancji dokonał prawidłowej wykładni przytoczonego przepisu i prawidłowo go zastosował. Bank [...] nie kwestionował, że w dniu złożenia wniosku o kredyt przez skarżącego w roku 2005 nie wykonał on obowiązku informacyjnego. Nie może natomiast zostać uwzględnione twierdzenie skarżącego kasacyjnie Banku, że skoro udzielił skarżącemu informacji określonych w art. 24 ust. 1 ustawy o ochronie danych osobowych w związku z zawarciem przez skarżącego reprezentującego wówczas Spółkę umowy rachunku bankowego w kwietniu 2006 r. to wykonał również obowiązek informacyjny dotyczący czynności polegającej na rozpatrzeniu wniosku kredytowego złożonego przez skarżącego prowadzącego jednoosobową działalność gospodarczą. Naczelny Sąd Administracyjny stwierdził, że obowiązek udzielenia informacji, zgodnie z art. 24 ust. 1 ustawy o ochronie danych osobowych ciążący na administratorze danych, dotyczy informacji związanych z konkretną czynnością. Jak słusznie przyjął Sąd I instancji, jeżeli skarżący w roku 2005 przekazał Bankowi swoje dane w związku z wnioskiem o udzielenie kredytu, wówczas powinien zostać przez Bank poinformowany o okolicznościach wymienionych w art. 24 ust. 1 ustawy o ochronie danych osobowych. Biorąc pod uwagę powyższe Naczelny Sąd Administracyjny działając na podstawie art. 184 p.p.s.a. oddalił skargi kasacyjne C. P. i Banku [...]S.A. O kosztach postępowania orzeczono na podstawie art. 204 pkt 1 p.p.s.a.

Źródło: Centralna Baza Orzeczeń Sądów Administracyjnych (orzeczenia.nsa.gov.pl), pozyskano 14.07.2026. · Źródło