I OSK 2776/15

WyrokNaczelny Sąd Administracyjny2017-07-21

Skład orzekający: Jolanta Sikorska, Małgorzata Jaśkowska, Mirosław Wincenciak

Analiza orzeczenia

Sekcja wygenerowana przez AI na podstawie treści orzeczenia — nie stanowi cytatu.

Zagadnienie prawne
Czy bank może przekazać dane osobowe stanowiące tajemnicę bankową do Biura Informacji Kredytowej (BIK) bez zgody osoby, której dane dotyczą, na podstawie przepisów Prawa bankowego i ustawy o ochronie danych osobowych?
Ratio decidendi
Naczelny Sąd Administracyjny uznał, że bank jest uprawniony do przekazania danych osobowych kredytobiorcy do BIK w celu oceny zdolności kredytowej i analizy ryzyka kredytowego, co wynika z przepisów Prawa bankowego (art. 105 ust. 4, art. 105a ust. 1) oraz ustawy o ochronie danych osobowych (art. 23 ust. 1 pkt 2). Przekazanie danych do BIK, jako instytucji utworzonej na podstawie art. 105 ust. 4 Prawa bankowego, nie wymaga zgody osoby, której dane dotyczą, ze względu na szczególne uregulowania ustawowe.
Stan faktyczny
Skarga dotyczyła przetwarzania danych osobowych skarżącego przez bank i przekazania ich do BIK. Skarżący twierdził, że bank nie uzyskał jego zgody na przekazanie danych stanowiących tajemnicę bankową do BIK, co naruszało przepisy ustawy o ochronie danych osobowych i Prawa bankowego. Zarzucał również brak obowiązku informacyjnego ze strony banku w zakresie przetwarzania danych w zbiorze "Wnioskodawcy odrzuceni RB". Organ ochrony danych osobowych pierwotnie umorzył postępowanie, następnie uchylił własną decyzję i nakazał BIK usunięcie danych, uznając jednak legalność przetwarzania danych przez bank w celu obrony praw przed sądem. WSA oddalił skargę, a NSA rozpoznał skargę kasacyjną.
Rozstrzygnięcie
Naczelny Sąd Administracyjny oddalił skargę kasacyjną.

Pełny tekst orzeczenia

Naczelny Sąd Administracyjny w składzie: Przewodniczący: sędzia NSA Jolanta Sikorska (spr.) sędzia NSA Małgorzata Jaśkowska sędzia del. WSA Mirosław Wincenciak Protokolant sekretarz sądowy Cezary Ciwiński po rozpoznaniu w dniu 21 lipca 2017 roku na rozprawie w Izbie Ogólnoadministracyjnej skargi kasacyjnej C.P. od wyroku Wojewódzkiego Sądu Administracyjnego w Warszawie z dnia 10 marca 2015 r. sygn. akt II SA/Wa 1000/14 w sprawie ze skargi C.P. na decyzję Generalnego Inspektora Ochrony Danych Osobowych z dnia [...] w przedmiocie przetwarzania danych osobowych 1. oddala skargę kasacyjną; 2. zasądza od C.P. na rzecz Generalnego Inspektora Ochrony Danych Osobowych kwotę 360 (trzysta sześćdziesiąt) złotych tytułem zwrotu kosztów postępowania kasacyjnego. Wyrokiem z dnia 10 marca 2015 r., sygn. akt II SA/Wa 1000/14 Wojewódzki Sąd Administracyjny w Warszawie oddalił skargę C.P. na decyzję Generalnego Inspektora Ochrony Danych Osobowych z dnia [...] w przedmiocie przetwarzania danych osobowych. Wyrok ten zapadł w następującym stanie faktycznym i prawnym sprawy. W dniu 16 kwietnia 2012 r. do Biura Generalnego Inspektora Ochrony Danych Osobowych wpłynęła skarga C.P. na przetwarzanie jego danych osobowych przez R. S.A. z siedzibą w Warszawie przy ul. [...] oraz B. S.A. z siedzibą w Warszawie przy ul. [...]. Skarżący wyjaśnił, że prowadził w okresie aplikowania o kredyt działalność gospodarczą pod firmą International C.P. oraz złożył wniosek o kredyt konsumencki, niemający związku z prowadzoną działalnością gospodarczą, w dniu 31 stycznia 2006 r. Bank w dniu 31 stycznia 2006 r., składając zapytanie na temat zobowiązań skarżącego w innych bankach, przekazał informacje stanowiące tajemnicę bankową, zawarte we wniosku kredytowym, do B. S.A. Skarżący podniósł, że Bank nie otrzymał zgody na przekazywanie danych osobowych w powyższym zakresie do B. SA, twierdząc, że taka zgoda nie jest wymagana. Zdaniem skarżącego, we wniosku kredytowym nie zostało złożone oświadczenie woli, które w sposób bezpośredni uprawniało Bank do przekazywania danych do B. SA. A zatem, w ocenie skarżącego, zasadnym jest twierdzenie o naruszeniu przepisów ustawy o ochronie danych osobowych, tj. art. 23 ust. 1 w zw. z art. 24 ust. 1 oraz art. 32 ust. 1 pkt 4. Generalny Inspektor Ochrony Danych Osobowych, po przeprowadzeniu postępowania wyjaśniającego, decyzją z dnia [...] umorzył postępowanie w przedmiotowej sprawie w zakresie przetwarzania danych osobowych C. P. przez B. S.A. z siedzibą w Warszawie, w pozostałym zakresie odmówił uwzględnienia wniosku. W uzasadnieniu organ wskazał, że z uwagi na fakt, iż B. aktualnie nie przetwarza danych osobowych skarżącego, postępowanie w tym zakresie podlega obligatoryjnemu umorzeniu na podstawie art. 105 § 1 k.p.a. jako bezprzedmiotowe. W pozostałym zakresie wniosku organ uznał, iż Bank przetwarza aktualnie dane osobowe skarżącego w celach archiwalnych. C.P. zwrócił się do Generalnego Inspektora Ochrony Danych Osobowych z wnioskiem o ponowne rozpatrzenie sprawy, w którym wniósł o uchylenie zaskarżonej decyzji i zażądał usunięcia danych z B. dotyczących zapytań kredytowych złożonych przez R. S.A. oraz o usunięcie przez R. S.A. wszystkich informacji o skarżącym, które nie są publicznie dostępne, a które w nieuprawniony sposób są przez Bank przetwarzane. Generalny Inspektor Ochrony Danych Osobowych, po ponownym rozpoznaniu sprawy, decyzją z dnia 17 marca 2014 r. uchylił własną decyzję z dnia [...] w części dotyczącej umorzenia postępowania w zakresie przetwarzania danych osobowych skarżącego przez B. S.A. w Warszawie i w tym zakresie nakazał B. S.A. usunięcie danych osobowych skarżącego, w pozostałym zakresie utrzymał w mocy zaskarżoną decyzję. W uzasadnieniu organ wskazał, iż umorzenie postępowania w zakresie przetwarzania danych osobowych skarżącego przez B., sformułowane przez Generalnego Inspektora Ochrony Danych Osobowych w decyzji z dnia [...], wymaga jej uchylenia w tym zakresie. W kwestii udostępnienia danych osobowych skarżącego przez Bank na rzecz B., organ wskazał, iż B. jest instytucją utworzoną na podstawie art. 105 ust. 4 Prawa bankowego w celu zmniejszenia dla banków i instytucji kredytowych ryzyka udzielania trudnych kredytów, przyśpieszenia i uproszczenia procedur kredytowych, wspomagania decyzji banków dotyczących udzielania kredytu. Wyjaśnił, że przekazanie danych osobowych skarżącego przez Bank do B. nastąpiło w oparciu o art. 105 ust. 4 Prawa bankowego, a dla legalności tego udostępnienia zgoda skarżącego nie była wymagana. W ocenie organu Bank, przetwarzając dane osobowe skarżącego, podjął działania zgodne z dyspozycją przepisów ustawy – Prawo bankowe, ale również miał uzasadniony interes w dokonaniu sprawdzenia historii kredytowej skarżącego nie tylko jako konsumenta, lecz także jako przedsiębiorcy odpowiadającego za zobowiązania związane z prowadzeniem działalności gospodarczej całym swoim majątkiem. Katalog przesłanek, w oparciu o które B. może przetwarzać dane osobowe pozyskane od banków, został określony enumeratywnie w przepisach Prawa bankowego. Również cele, dla których te dane mogą być przetwarzane, wynikają wprost z przepisów ww. ustawy. B. nie wykazał podstaw prawnych dla przetwarzania danych skarżącego w tzw. celach "ewentualnych reklamacji bądź roszczeń klientów oraz w celu kontroli przetwarzania danych". Przetwarzanie danych w tych celach może dodatkowo zostać uznane za przetwarzanie "na zapas", co narusza zasady adekwatności i celowości, wyrażone w ww. art. 26 ust. 1 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. z 2002 r. Nr 101, poz. 926 z późn. zm.), dalej ustawa. Organ podkreślił, że zgodnie z zapisami ustawy o ochronie danych osobowych, przetwarzanie danych osobowych jest dopuszczalne wtedy, kiedy zezwalają na to przepisy prawa i takim szczególnym upoważnieniem ustawowym dla B. do przetwarzania danych objętych tajemnicą bankową, jest art. 105 ust. 4 ustawy – Prawo bankowe. B. wskazał natomiast, że przetwarza dane osobowe skarżącego, pozyskane z dniem 31 stycznia 2006 r., w celu rozpatrywania ewentualnych reklamacji pozostających w związku z m. in. niniejszym postępowaniem. Zdaniem organu, B. nie legitymuje się podstawą prawną do przetwarzania danych osobowych skarżącego, pozyskanych od Banku, w jakimkolwiek innym celu, niż wskazane w ustawie – Prawo bankowe. Organ uznał, iż konieczne jest uchylenie decyzji w zakresie dotyczącym naruszenia postępowania co do przetwarzania danych osobowych skarżącego przez B. i na podstawie art. 18 ust. 1 pkt 6 ustawy, nakazanie administratorowi danych osobowych skarżącego, wyeliminowanie nieprawidłowości w procesie przetwarzania danych osobowych skarżącego w sposób określony w punkcie pierwszym rozstrzygnięcia. Odnosząc się do kwestii przetwarzania danych osobowych skarżącego przez Bank, organ odwoławczy wskazał, iż przedmiotowe przetwarzanie danych znajduje swoje uzasadnienie w art. 23 ust. 1 pkt 5 ustawy. Bank przetwarza dane osobowe skarżącego w zbiorze "Wnioskodawcy odrzuceni RB" w oparciu o prawnie usprawiedliwiony cel. Organ wskazał, iż za prawnie usprawiedliwiony cel, o którym mowa w art. 23 ust. 1 pkt 5 ustawy, uważa się w szczególności dochodzenie roszczeń z tytułu prowadzonej działalności gospodarczej (art. 23 ust. 4 pkt 2 ustawy). Bezspornym jest fakt, iż Bank przetwarza dane osobowe skarżącego w związku ze skierowaniem przez niego kolejnego już pozwu do Sądu Ochrony Konkurencji i Konsumentów. Dodatkowo dwa wcześniejsze roszczenia cywilnoprawne, skierowane przeciwko Bankowi przez skarżącego, zostały prawomocnie oddalone. Nie sposób przy tym uznać, aby przetwarzanie danych w celu obrony praw przed sądem, gdzie obu stronom sporu przysługuje możliwość odpierania przedstawionych im zarzutów, mogło naruszyć prawa i wolności skarżącego. Powyższa decyzja stała się przedmiotem skargi C.P. do Wojewódzkiego Sądu Administracyjnego w Warszawie, w której wniósł o uchylenie zaskarżonej decyzji w punkcie 2 i zobowiązanie GIODO do wydania decyzji nakazującej usunięcie jego danych osobowych, stanowiących tajemnicę bankową, przetwarzanych przez BIK, które zostały przekazane przez R. oraz zakazania przekazywania danych osobowych skarżącego przetwarzanych w R. do B. Ponadto wniósł o "stwierdzenie, iż w roku 2006 doszło do nieuprawnionego przekazania danych z R. do B. i vice versa". Skarżący wniósł również o zasądzenie kosztów postępowania. W odpowiedzi na skargę Generalny Inspektor Ochrony Danych Osobowych wniósł o jej oddalenie, podtrzymując swoje dotychczasowe argumenty faktyczne i prawne. Wojewódzki Sąd Administracyjny w Warszawie oddalił skargę. Sąd ten podał, że w art. 23 § 1 ustawy o ochronie danych osobowych zostały wymienione przesłanki legalizujące przetwarzanie danych osobowych. Zgodnie z treścią tego przepisu, przetwarzanie danych jest dopuszczalne tylko wtedy, gdy: 1) osoba, której dane dotyczą, wyrazi na to zgodę, chyba, że chodzi o usunięcie dotyczących jej danych, 2) jest to niezbędne dla zrealizowania uprawnienia lub spełnienia obowiązku wynikającego z przepisu prawa, 3) jest to konieczne do realizacji umowy, gdy osoba, której dane dotyczą, jest jej stroną lub gdy jest to niezbędne do podjęcia działań przed zawarciem umowy na żądanie osoby, której dane dotyczą, 4) jest niezbędne do wykonania określonych prawem zadań realizowanych dla dobra publicznego, 5) jest to niezbędne dla wypełnienia prawnie usprawiedliwionych celów realizowanych przez administratorów danych albo odbiorców danych, a przetwarzanie nie narusza praw i wolności osoby, której dane dotyczą. Powyższy przepis ustawy określa ogólne materialne przesłanki przetwarzania danych osobowych. Przesłanki te mają charakter generalny, odnoszą się do wszelkich form przetwarzania danych, w tym zarówno do przetwarzania "na własne potrzeby" administratora, jak i "na zewnątrz". Są one co do zasady równoprawne, mają charakter autonomiczny i niezależny, co oznacza, że wystarczy wystąpienie jednej z nich, by przetwarzanie danych mogło być uznane za usprawiedliwione. Oznacza to także, że zgoda osoby, której dane dotyczą, nie jest wyłączną przesłanką przetwarzania danych osobowych (por. J. Barta, P. Fajgielski, R. Markiewicz "Ochrona danych osobowych. Komentarz", publ. LEX nr 106659, wyrok Wojewódzkiego Sądu Administracyjnego w Warszawie z dnia 19 lipca 2007 r., sygn. akt II SA/Wa 678/07, publ. LEX nr 368229). Sąd I instancji podał, że w rozpoznawanej sprawie skarżący w dniu 31 stycznia 2006 r. złożył w Banku wniosek o kredyt konsumpcyjny, natomiast w chwili obecnej Bank przetwarza dane osobowe skarżącego w zbiorze "Wnioskodawcy odrzuceni RB". Sąd ten zgodził się z organem, że przedmiotowe przetwarzanie znajduje swoje uzasadnienie w art. 23 ust. 1 pkt 5 ustawy. Za prawnie usprawiedliwiony cel, o którym mowa w art. 23 ust. 1 pkt 5 ustawy, uważa się w szczególności dochodzenie roszczeń z tytułu prowadzonej działalności gospodarczej (art. 23 ust. 4 pkt 2 ustawy). Bezspornym jest fakt, iż Bank przetwarza dane osobowe skarżącego w związku ze skierowaniem przez niego szeregu pozwów zarówno do Sądu Ochrony Konkurencji i Konsumentów, jak również do Sądu powszechnego. Dwa wcześniejsze roszczenia cywilnoprawne, skierowane przez skarżącego przeciwko Bankowi, zostały już prawomocnie oddalone (wyroki VIC 531/10 – k. 48 akt administracyjnych, V Ca 2920/10 – k. 39, II C 37/09 – k. 63, wyrok k. 59). W tej sytuacji nie sposób uznać aby przetwarzanie danych osobowych w celu obrony praw przed sądem, gdzie obu stronom sporu przysługują możliwości odpierania przedstawionych im zarzutów, mogło naruszać prawa i wolności skarżącego. Odnosząc się do kwestii udostępnienia danych osobowych skarżącego przez Bank, Sąd wskazał, że B. jest instytucją utworzoną na podstawie art. 105 ust. 4 Prawa bankowego, który stanowi, że banki mogą, wspólnie z bankowymi izbami gospodarczymi, utworzyć instytucje do gromadzenia, przetwarzania i udostępniania: bankom – informacji stanowiących tajemnicę bankową w zakresie, w jaki informacje te są potrzebne w związku z wykonywaniem czynności bankowych, innym instytucjom ustawowo upoważnionym do udzielania kredytów – informacji o wierzytelnościach oraz o obrotach i stanach rachunków bankowych w zakresie, w jakim informacje te są niezbędne w związku z udzielaniem kredytów, pożyczek pieniężnych, gwarancji bankowych i poręczeń. Zgodnie z art. 105a ust. 1 Prawa bankowego, przetwarzanie przez banki, inne instytucje ustawowo upoważnione do udzielania kredytów oraz instytucje utworzone na podstawie art. 105 ust. 4 (np. BIK), informacji stanowiących tajemnicę bankową w zakresie dotyczącym osób fizycznych może być wykonywane, z zastrzeżeniem art. 104, 105 i art. 106-106c, w celu oceny zdolności kredytowej i analizy ryzyka kredytowego. Informacje zawarte w BIK służyć mają wypełnianiu przez banki jako instytucje zaufania publicznego ich ustawowych obowiązków związanych z koniecznością dokładania szczególnej staranności w zakresie zapewnienia bezpieczeństwa przechowywanych środków pieniężnych, czyli w zakresie ochrony depozytów (art. 50 ust. 2 Prawa bankowego), a także z koniecznością należytego badania zdolności kredytowej, od której istnienia (zgodnie z art. 70 ust. 1 Prawa bankowego), bank uzależnia udzielenie kredytu. Badanie zdolności kredytowej, na którą składa się zdolność do spłaty zobowiązań i wiarygodność kredytowa, jest niezwykle istotnym elementem w działalności banku. Biuro Informacji Kredytowej zostało utworzone właśnie w celu zmniejszenia dla banków i instytucji kredytowych ryzyka udzielania trudnych kredytów, przyśpieszenia i uproszczenia procedur kredytowych, wspomagania decyzji banków dotyczących udzielania kredytu. Konkludując, Sąd I instancji podał, że przekazanie danych osobowych przez Bank do B. nastąpiło w związku z art. 105 ust. 4 Prawa bankowego, a dla legalności tego udostępnienia (na mocy art. 105 ust. 4 Prawa bankowego), zgoda skarżącego nie była wymagana. W ocenie tego Sądu, Bank, przetwarzając dane osobowe skarżącego, podjął działania zgodne z dyspozycją przepisów ustawy Prawo bankowe, ale również miał uzasadniony interes w dokonaniu sprawdzenia historii kredytowej skarżącego nie tylko jako konsumenta, lecz także jako przedsiębiorcy odpowiadającego za zobowiązania związane z prowadzeniem działalności gospodarczej całym swoim majątkiem. Odnosząc się natomiast do przytoczonych przez skarżącego orzeczeń, Sąd I instancji wskazał, że dotyczą one innych spraw, o różnych od rozpoznawanej sprawy stanach faktycznych i nie mają charakteru wiążącego dla niniejszej sprawy. Przytoczone natomiast stanowiska doktryny nie dotyczą wprost przetwarzania danych na podstawie ustawy – Prawo bankowe, ale odnoszą się generalnie do wyrażania zgody na przetwarzanie danych osobowych, a jak zostało przedstawione powyżej – zgoda na przetwarzanie danych nie była koniecznym wymogiem do legalnego ich przetwarzania w rozpoznawanej sprawie. A zatem w ocenie Sądu I instancji, organ prawidłowo zebrał i ocenił materiał dowodowy, a następnie na tej podstawie wydał rozstrzygnięcie odpowiadające prawu. W skardze kasacyjnej, C.P. zaskarżył powyższy wyrok w całości, zarzucając mu naruszenie prawa materialnego, tj.: 1) niewłaściwe zastosowanie art. 23 ust. 1 pkt 2 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz.U z 2002 r. Nr 101, poz. 926 z późn. zm.) w zw. z art. 5, art. 6, art. 70 ust. 1, art. 105a ust. 1, 104 ust. 2, 104 ust. 3 i 105 ust. 4 prawa bankowego oraz art. 7b ustawy - prawo działalności gospodarczej, poprzez błędne ustalenie, iż bank mógł, bez zgody klienta banku, przekazywać publicznie niedostępne dane osobowe przedsiębiorcy stanowiące tajemnicę bankową do instytucji utworzonych na podstawie art. 105 ust. 4 prawa bankowego (w brzmieniu sprzed 1 kwietnia 2007 r. jak i po 1 kwietnia 2007 r.), takich jak B.; 2) brak zastosowania art. 24 ust. 1 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych obligujących R. do obowiązku informacyjnego w przedmiocie celów i zakresu danych przetwarzanych w bazie danych: "Wnioskodawcy odrzuceni RB"; 3) niewłaściwe zastosowanie art. 18 ust. 1 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych poprzez uznanie, iż nie jest możliwym wydanie decyzji na "przyszłość", gdy tymczasem GIODO może nakazać nieudostępniania danych osobom trzecim, a będącym w przetwarzaniu przez Bank, nakazać zastosowanie środków zabezpieczających uniemożliwiających przekazywanie danych przez Bank do B. W oparciu o powyższe zarzuty wniesiono o uchylenie lub uchylenie i zmianę orzeczenia z oznaczeniem zakresu żądanego uchylenia i zmiany. Skarżący podał, że w związku z wyrokiem Wojewódzkiego Sądu Administracyjny w Warszawie, sygn. akt II SA/Wa 1000/14 z dnia 10 marca 2015 r. oddalającym skargę skarżącego na decyzją Generalnego Inspektora Danych Osobowych (dalej GIODO) z dnia [...] wnioskuje o uchylenie wyroku WSA w Warszawie w całości a następnie uchylenie zaskarżonej decyzji GIODO w części 2 i w konsekwencji zobowiązanie GIODO do wydania decyzji nakazującej nieprzekazywania danych osobowych stanowiących tajemnicę bankową przetwarzanych przez BIK, które zostały przekazywane przez R. oraz zakazania przekazywania danych osobowych skarżącego przetwarzanych w R. do B. oraz nakazanie obowiązku informacyjnego o zakresie i celach przetwarzania danych w zbiorze "Wnioskodawcy odrzuceni RB". Ponadto wniósł o stwierdzenie, że w roku 2005 doszło do nieuprawnionego przekazywania danych z R. do B. i vice versa. Skarżący wniósł też o zasądzenie zwrotu poniesionych kosztów, w tym zwrotu kosztów zastępstwa procesowego, według norm przepisanych. W uzasadnieniu podniesiono, że bank nie uzyskał zgody skarżącego na przekazanie danych do B., która była wymagana przez ówczesne prawo bankowe (art. 105 ust. 4 w zw. z art. 104 ust. 3). Bank mógł przekazać dane do B. ale dopiero po zawarciu umowy kredytowej, do której nie doszło. Oświadczenie złożone przez skarżącego nie uprawniało do przekazania danych stanowiących tajemnicę bankową jeszcze przed zawiązaniem umowy kredytowej, co miało faktycznie miejsce. Bank winien usunąć ze wszystkich zbiorów danych wszystkie informacje o skarżącym, które nie są publicznie dostępne, które w nieuprawniony sposób są przez Bank przetwarzane. W szczególności dotyczy to danych pochodzących z B. GIODO powinien skorzystać z uprawnień wynikłych z art. 18 ust. 1 ustawy o ochronie danych osobowych i nakazać nieudostępnianie danych w przyszłości do B. bez zgody skarżącego. Nadto skarżący zwrócił uwagę na brak zastosowania przez Sąd I instancji art. 24 ust. 1 ustawy o ochronie danych osobowych w sytuacji, gdy R. przetwarza dane osobowe w zbiorze "Wnioskodawcy odrzuceni RB". W ocenie skarżącego kasacyjnie, GIODO jak i WSA niewłaściwie oceniło legalność przetwarzania danych osobowych skarżącego w zbiorze "Wnioskodawcy odrzuceni RB" prowadzonym przez R. Bank, w odróżnieniu od prawnie usprawiedliwionej archiwizacji dokumentów skarżącego - w tym wypadku wniosku kredytowego i załączonych do wniosku dokumentów oraz wyroków i pism procesowych w sprawach skarżącego. W odpowiedzi na skargę kasacyjną, R. S.A. wniósł o oddalenie skargi kasacyjnej jako bezzasadnej oraz zasądzenie na rzecz uczestnika kosztów postępowania, w tym kosztów zastępstwa procesowego według norm przepisanych. W ocenie uczestnika, zarówno przetwarzanie danych osobowych skarżącego, jak i ich przekazanie przez bank do B. S.A. miało podstawy prawne w przepisach ustawy o ochronie danych osobowych oraz ustawie Prawo bankowe. Generalny Inspektor Danych Osobowych w odpowiedzi na skargę kasacyjną wniósł o jej oddalenie podnosząc, że Bank przetwarzając dane osobowe skarżącego podjął działania zgodne z prawem, ustawy Prawo bankowe, jak również miał uzasadniony interes w dokonaniu sprawdzenia historii kredytowej skarżącego nie tylko jako konsumenta, ale jako przedsiębiorcy odpowiadającego za zobowiązania związane z prowadzoną działalnością gospodarczą całym swoim majątkiem. Naczelny Sąd Administracyjny zważył, co następuje: Zgodnie z art. 183 § 1 ustawy z dnia 30 sierpnia 2002 r. - Prawo o postępowaniu przed sądami administracyjnymi (obecnie tekst jednolity: Dz. U. z 2017 r. poz. 1369 ze zm., dalej jako p.p.s.a.) Naczelny Sąd Administracyjny rozpoznaje sprawę w granicach skargi kasacyjnej, biorąc z urzędu pod rozwagę jedynie przesłanki uzasadniające nieważność postępowania określone w art. 183 § 2 p.p.s.a. Oznacza to, że postępowanie kasacyjne oparte jest na zasadzie związania Naczelnego Sądu Administracyjnego granicami skargi kasacyjnej i podstawami zaskarżenia wskazanymi w tej skardze. Sąd ten, w odróżnieniu od Sądu I instancji, nie bada całokształtu sprawy z punktu widzenia stanu prawnego, który legł u podstaw zaskarżonego orzeczenia. Bada natomiast zasadność przedstawionych w skardze kasacyjnej zarzutów. Zakres kontroli jest zatem określony i ograniczony wskazanymi w skardze kasacyjnej przyczynami wadliwości prawnej zaskarżonego wyroku wojewódzkiego sądu administracyjnego, z wyjątkiem przesłanek nieważności. W rozpoznawanej sprawie przesłanki nieważności postępowania sądowego nie wystąpiły. Tym samym sprawa podlegała rozpoznaniu w granicach zgłoszonych zarzutów kasacyjnych. Skarga kasacyjna nie zasługuje na uwzględnienie. Wszystkie zarzuty w niej podniesione dotyczą naruszenia prawa materialnego i żaden z nich nie jest zasadny. Podniesiony w skardze kasacyjnej zarzut polegający na niewłaściwym zastosowaniu przez Sąd I instancji art. 23 ust. 1 pkt 2 ustawy o ochronie danych osobowych w związku z art. 5, art. 6, art. 70 ust. 1, art. 105a ust. 1, art. 104 ust. 2, art. 104 ust. 3 i art. 105 ust. 4 ustawy Prawo bankowe oraz art. 7b ustawy Prawo działalności gospodarczej, sprowadza się do zakwestionowania przez skarżącego kasacyjnie możliwości legalnego przekazania danych osobowych stanowiących tajemnicę bankową do instytucji utworzonych na podstawie art. 105 ust. 4 ustawy Prawo bankowe. Zgodnie z art. 23 ust. 1 pkt 2 ustawy o ochronie danych osobowych, przetwarzanie danych osobowych jest dopuszczalne wtedy, gdy jest to niezbędne dla zrealizowania uprawnienia lub spełnienia obowiązku wynikającego z przepisu prawa. Z art. 70 ust. 1 ustawy Prawo bankowe wynika, że bank uzależnia przyznanie kredytu od zdolności kredytowej kredytobiorcy. Przez zdolność kredytową rozumie się zdolność do spłaty zaciągniętego kredytu wraz z odsetkami w terminach określonych w umowie. Kredytobiorca jest obowiązany przedłożyć na żądanie banku dokumenty i informacje niezbędne do dokonania oceny tej zdolności. Bank, wypełniając ten obowiązek, był zatem uprawniony do przekazania B. danych osobowych skarżącego wraz z informacjami dotyczącymi jego zobowiązań kredytowych (art. 105 ust. 4 i art. 105a ust. 1 ustawy Prawo bankowe). Z kolei powołany przez skarżącego kasacyjnie art. 5 ustawy Prawo bankowe zawiera katalog czynności bankowych, a więc czynności, które stanowią istotę funkcjonowania banków. Zgodnie z art. 5 ust. 1 pkt 3 czynnością bankową jest udzielanie kredytów. Udzielenie kredytu wiąże się ze spełnieniem przez zainteresowany podmiot określonych warunków m.in. w myśl wspomnianego art. 70 ust. 1 ustawy, tj. posiadania zdolności kredytowej. Stąd też należy przyjąć, że do czynności bankowych określonych w art. 5 ust. 1 pkt 3 ustawy Prawo bankowe należy zaliczyć także czynności poprzedzające udzielenie kredytu, czyli dokonywane jeszcze przed przekazaniem kredytobiorcy środków pieniężnych przez bank, niezależnie od tego czy doszło do zawarcia umowy kredytowej. Przepis ten jest kolejnym, który uzasadnia przetwarzanie przez Bank danych osobowych skarżącego, jako niezbędnych do spełnienia obowiązku wynikającego z przepisu prawa (art. 23 ust. 1 pkt 2 ustawy o ochronie danych osobowych). Jednocześnie należy zauważyć, że skarżący kasacyjnie nie wskazał, w jaki sposób miały być naruszony art. 6 ustawy Prawo bankowe, który określa inne niż wymienione w art. 5 czynności, do których uprawnione są banki. W ocenie Naczelnego Sądu Administracyjnego Bank przekazując dane skarżącego do B. nie naruszył art. 104 ust. 3 i 4 ustawy Prawo bankowe. Artykuł 104 ust. 3 ustawy stanowi, że banku nie obowiązuje, z zastrzeżeniem ust. 4, zachowanie tajemnicy bankowej wobec osoby, której dotyczą informacje objęte tajemnicą. Osobom trzecim informacje te mogą być ujawnione, z zastrzeżeniem art. 105, art. 106a i art. 106b, wyłącznie gdy osoba, której informacje te dotyczą, na piśmie upoważni bank do przekazania określonych informacji wskazanej przez siebie osobie lub jednostce organizacyjnej. Użyty w tym przepisie zwrot "z zastrzeżeniem art. 105" oznacza, że zgoda nie jest wymagana, gdy przetwarzanie danych dotyczy instytucji utworzonej na podstawie art. 105 ust. 4 ustawy Prawo bankowe (por. wyrok NSA z dnia 11 kwietnia 2011 r. sygn. akt I OSK 820/10 M.Pr.Bank. 2012/2/19-23). Dodanie od dnia 1 kwietnia 2007 r. w art. 105 ust. 4 powołanej ustawy słowa "upoważnione" nie zmienia wcześniejszego znaczenia tego przepisu, a jedynie doprecyzowuje jego treść, gdyż po to stworzono możliwość tworzenia instytucji do gromadzenia, przetwarzania i udostępniania danych, aby banki mogły właściwe wypełniać ustawowe obowiązki. B. został utworzony właśnie w celu zmniejszenia dla banków i instytucji kredytowych ryzyka udzielania trudnych kredytów, przyśpieszenia i uproszczenia procedur kredytowych, wspomagania decyzji banków dotyczących udzielania kredytu. Nie jest też usprawiedliwiony zarzutu naruszenia przez Sąd I instancji art. 18 ust. 1 ustawy o ochronie danych osobowych, który stanowi, że w przypadku naruszenia przepisów o ochronie danych osobowych Generalny Inspektor Ochrony Danych Osobowych z urzędu lub na wniosek osoby zainteresowanej, w drodze decyzji administracyjnej, nakazuje przywrócenie stanu zgodnego z prawem. GIODO rozpoznając niniejszą sprawę skorzystał z uprawnień wynikających z powołanego przepisu nakazując Biuru Informacji Kredytowej usunięcie danych osobowych skarżącego C. P., pozyskanych z dniem 31 stycznia 2006 r. W pozostałym zakresie, skoro nie doszło do naruszenia przepisów o ochronie danych osobowych, nie było możliwe zastosowanie przez GIODO żadnego środka wymienionego w pkt 1 – 6 ust. 1 art. 18 ustawy o ochronie danych osobowych. Nie mógł także odnieść zamierzonego skutku podniesiony w skardze kasacyjnej zarzut braku zastosowania art. 24 ust. 1 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych obligujących R. do obowiązku informacyjnego w przedmiocie celów i zakresu danych przetwarzanych w bazie danych: "Wnioskodawcy odrzuceni RB". Zgodnie z owym przepisem prawa, w przypadku zbierania danych osobowych od osoby, której one dotyczą, administrator danych jest obowiązany poinformować tę osobę o: 1) adresie swojej siedziby i pełnej nazwie, a w przypadku gdy administratorem danych jest osoba fizyczna - o miejscu swojego zamieszkania oraz imieniu i nazwisku, 2) celu zbierania danych, a w szczególności o znanych mu w czasie udzielania informacji lub przewidywanych odbiorcach lub kategoriach odbiorców danych, 3) prawie dostępu do treści swoich danych oraz ich poprawiania, 4) dobrowolności albo obowiązku podania danych, a jeżeli taki obowiązek istnieje, o jego podstawie prawnej. Przepis ten w ust. 2 stanowi, że przepisu ust. 1 nie stosuje się, jeżeli: 1) przepis innej ustawy zezwala na przetwarzanie danych bez ujawniania faktycznego celu ich zbierania, 2) osoba, której dane dotyczą, posiada informacje, o których mowa w ust. 1. Odnosząc się do powyższego zarzutu zauważyć należy, że w toku całego postępowania administracyjnego skarżący nie zarzucał naruszenia ww. przepisu prawa. W tej sytuacji nie może on inicjować postępowania administracyjnego dotyczącego art. 24 ust. 1 ustawy o ochronie danych osobowych na etapie postępowania sądowoadministracyjnego. Z tych względów powyższy zarzut nie mógł odnieść zamierzonego skutku. Mając powyższe na uwadze Naczelny Sąd Administracyjny na podstawie art. 184 p.p.s.a. oddalił skargę kasacyjną. O kosztach postępowania orzeczono na podstawie art. 204 pkt 1 p.p.s.a.

Źródło: Centralna Baza Orzeczeń Sądów Administracyjnych (orzeczenia.nsa.gov.pl), pozyskano 12.07.2026. · Źródło