II SA/Wa 998/14
WyrokWSA w Warszawie2015-03-02
Skład orzekający: Adam Lipiński, Anna Mierzejewska, Eugeniusz Wasilewski
Analiza orzeczenia
Sekcja wygenerowana przez AI na podstawie treści orzeczenia — nie stanowi cytatu.
Zagadnienie prawne
Czy Generalny Inspektor Ochrony Danych Osobowych prawidłowo uchylił decyzję w części dotyczącej przetwarzania danych osobowych przez Biuro Informacji Kredytowej S.A. i nakazał usunięcie danych, a także czy Bank prawidłowo wypełnił obowiązek informacyjny wobec osoby prowadzącej działalność gospodarczą?Ratio decidendi
Sąd uznał, że Generalny Inspektor Ochrony Danych Osobowych prawidłowo ocenił, iż Biuro Informacji Kredytowej S.A. nie miało podstaw prawnych do przetwarzania danych osobowych skarżącego w celu rozpatrywania ewentualnych reklamacji, co uzasadniało nakaz ich usunięcia. Sąd stwierdził również, że Bank prawidłowo wypełnił obowiązek informacyjny wobec skarżącego jako przedsiębiorcy w zakresie danych wykraczających poza informacje jawne w ewidencji działalności gospodarczej, ale nie w zakresie danych jawnych.Stan faktyczny
Sprawa dotyczyła skarg C. P. i Banku S.A. na decyzję Generalnego Inspektora Ochrony Danych Osobowych (GIODO) dotyczącą przetwarzania danych osobowych C. P. przez Bank i Biuro Informacji Kredytowej (BIK). C. P. zarzucił Bankowi udostępnienie jego danych osobowych (w tym PESEL, numer dowodu, data urodzenia, wysokość kredytu) do BIK i Związku Banków Polskich bez jego zgody, a także niezrealizowanie obowiązku informacyjnego. GIODO uchylił decyzję w części dotyczącej przetwarzania danych przez BIK i nakazał usunięcie danych, a w pozostałej części utrzymał decyzję w mocy. Skarżący i Bank wnieśli skargi do WSA.Rozstrzygnięcie
Oddalono skargi C. P. oraz B. S.A.Pełny tekst orzeczenia
Wojewódzki Sąd Administracyjny w Warszawie w składzie następującym: Przewodniczący Sędzia WSA Adam Lipiński, Sędziowie WSA Anna Mierzejewska (spr.), Eugeniusz Wasilewski, Protokolant Starszy sekretarz sądowy Maria Zawada, po rozpoznaniu na rozprawie w dniu 2 marca 2015 r. sprawy ze skarg C. P. oraz B. S.A. na decyzję Generalnego Inspektora Ochrony Danych Osobowych z dnia [...] marca 2014 r. nr [...] w przedmiocie ochrony danych osobowych oddala skargi
Generalny Inspektor Ochrony Danych Osobowych decyzją z dnia [...] marca
2014 r. nr [...], dot. [...], na podstawie art. 138 § 1 pkt 1 i 2 ustawy z dnia 14 czerwca 1960 r. – Kodeks postępowania administracyjnego (t.j. Dz. U. z 2013 r., poz. 267), art. 12 pkt 2, art. 22 w zw. z art. 23 ust. 1 pkt 2 i art. 24 ust. 1, art. 18 ust. 1 pkt 6 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. z 2002 r. Nr 101, poz. 926 z późn. zm.), art. 105 ust. 4 oraz art. 105a ust. 1 ustawy z dnia 29 sierpnia 1997 r. – Prawo bankowe (t.j. Dz. U. z 2012 r., poz. 1376 z późn. zm.), po przeprowadzeniu postępowania administracyjnego z wniosków o ponowne rozpatrzenie sprawy C.P. (adres do doręczeń: ul. [...], skr. [...],[...]) oraz Banku [...] z siedzibą [...] przy ul. [...], dotyczącej przetwarzania danych osobowych C. P. prowadzącego w 2005 r. działalność gospodarczą pod firmą [...], C. P. ul. [...],[...] przez Bank [...] S.A., polegającego na udostępnianiu jego danych osobowych na rzecz Biura Informacji Kredytowej S.A. z siedzibą w [...] przy ul. [...] i Związku Banków Polskich z siedzibą przy ul. [...] oraz niezrealizowaniu wobec niego obowiązku informacyjnego, o którym mowa w art. 24 ust. 1 i 33 ustawy o ochronie danych osobowych, zakończonej decyzją Generalnego Inspektora Ochrony Danych Osobowych z dnia [...] kwietnia 2013 r. (znak: [...]),
1) uchylił zaskarżoną decyzję administracyjną z dnia [...] kwietnia 2013 r. (znak: [...]) w zakresie przetwarzania danych osobowych C. P. przez Biuro Informacji Kredytowej S.A. z siedzibą w [...] przy ul. [...] i nakazał usunięcie danych osobowych C. P., pozyskanych w związku ze złożeniem przez Bank [...] S.A. zapytania w dniu [...] października 2005 r., z repliki produkcyjnej zbioru "[...]",
2) w pozostałej części utrzymał decyzję w mocy.
W uzasadnieniu decyzji organ podał, że do Biura Generalnego Inspektora Ochrony Danych Osobowych wpłynęła skarga C. P., zwanego dalej również skarżącym, dotycząca przetwarzania jego danych osobowych przez Bank [...] S.A. z siedzibą [...] przy ul. [...], zwany dalej również Bankiem. W jej treści wskazał on cyt. "Skarżący prowadził w okresie aplikowania o kredyt działalność gospodarczą pod firmą [...], C. P. Publicznie dostępne informacje dotyczące przedsiębiorcy to firma, imię, nazwisko, adres siedziby, adresy prowadzonej działalności gospodarczej, rodzaj prowadzonej działalności gospodarczej. Skarżący złożył wniosek o kredyt w październiku 2005 roku. Bank [...] S.A. w dniu [...] października 2005 roku przekazał informację stanowiącą tajemnicę bankową zawarte we wniosku kredytowym do Biura Informacji Kredytowej S.A. w [...] (...) oraz do Związku Banków Polskich (...). Bank oprócz publicznie dostępnych danych identyfikujących przedsiębiorcę przekazał takie dane osobowe jak numer PESEL, numer dowodu osobistego, datę urodzenia, wysokość wnioskowanego kredytu, wysokość raty kredytowej. Bank nie otrzymał zgody na przekazywanie danych osobowych do Biura Informacji Kredytowej S.A. w [...] oraz Związku Banków Polskich. (...) W związku z powyższym zasadnym jest twierdzenie o naruszeniu (...) przepisów ustawy o ochronie danych osobowych, szczególności art. 23 ust. 1 w zw. art. 24 ust. 1 oraz art. 32 ust. 1 pkt 4". Skarżący zawnioskował o przeprowadzenie kontroli, a następnie wydanie decyzji w zakresie m. in. usunięcia uchybień.
W celu rozpatrzenia przedmiotowego wniosku, Generalny Inspektor Ochrony Danych Osobowych przeprowadził postępowanie wyjaśniające, w toku którego ustalił następujące okoliczności faktyczne:
1) C. P., jako osoba prowadząca działalność gospodarczą pod firmą [...], C.P., wystąpił w 2005 r. do Banku z wnioskiem o udzielenie kredytu.
2) Podejmując działania związane z wnioskowaniem o udzielenie ww. kredytu Bank skierował dotyczące jego osoby zapytania do bazy prowadzonej przez Biuro Informacji Kredytowej S.A., zwane dalej również BIK, oraz do bazy Bankowy Rejestr, której administratorem jest Związek Banków Polskich, zwany dalej również ZBP, udostępniając tym podmiotom, w tym celu, jego dane osobowe. Po uzyskaniu informacji z BIK – Bank odmówił skarżącemu udzielenia kredytu.
3) W wyniku powyższego, C. P. wystąpił przeciwko Bankowi z powództwem do Sądu Okręgowego [...] (sygnatura akt [...]) o zapłatę tytułem odszkodowania za szkody poniesione wskutek naruszenia przez Bank tajemnicy bankowej, polegającej na przekazaniu, bez jego zgody, jego danych osobowych do BIK, podanych we wniosku o udzielenie kredytu. Finalnie, wskutek złożenia apelacji przez C. P., Sąd Apelacyjny [...] – [...] Wydział Cywilny (sygnatura akt [...]) w wyroku z dnia [...] marca 2010 r. oddalił apelację skarżącego.
4) W wyjaśnieniach udzielonych Generalnemu Inspektorowi Ochrony Danych Osobowych Bank wskazał, że "dane skarżącego są przetwarzane w Zbiorze Danych Klientów Banku [...] S.A. a) na podstawie art. 23 ust. 1 pkt 2 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (...) na podstawie art. 74 ust. 2 pkt 8 ustawy z dnia 29 września 1994 r. o rachunkowości (...), b) na podstawie art. 23 ust. 1 pkt 2 ustawy (...). Na Bank [...] S.A., jako instytucję obowiązaną nałożony został obowiązek przestrzegania przepisów ustawy z dnia 16.11.2000 r. o przeciwdziałaniu praniu pieniędzy oraz finansowaniu terroryzmu, w szczególności (...) w zakresie obowiązku identyfikacji osób fizycznych reprezentujących osobę prawną. Bank [...] S.A. prowadzi rachunek bankowy dla Spółki C. P. Sp. z o.o., której Prezesem jest C. P. W związku z wykonywaniem powyższej umowy Bank uprawniony jest do przetwarzania danych osobowych osób fizycznych reprezentujących osobę prawną. Ponadto (...) ze względu na toczące się postępowanie sądowe z powództwa skarżącego jego dane osobowe są przetwarzane również w celu archiwalnym (...). Biorąc pod uwagę fakt, że składając wniosek o kredyt w 2005 r. w związku z prowadzoną działalnością, Bank skierował zapytanie do bazy prowadzonej przez Biuro Informacji Kredytowej S.A. oraz zapytanie do bazy Bankowy Rejestr (MIG RB), której administratorem jest Związek Banków Polskich. (...) zakres danych przy zapytaniu do bazy BIK S.A. to: imię i nazwisko, PESEL, adres, płeć, data urodzenia, obywatelstwo, seria i nr dowodu osobistego, rodzaj kredytu, kwota i waluta wnioskowanego kredytu, częstotliwość spłat, natomiast przy zapytaniu do bazy Bankowy Rejestr (MIG – RB) to PESEL. Podstawa prawna skierowania zapytania do wyżej wymienionych baz to: a) art. 70 ust. 1 ustawy (...) Prawo bankowe, który stanowi: "1. Bank uzależnia przyznanie kredytu od zdolności kredytowej kredytobiorcy. Przez zdolność kredytową rozumie się zdolność do spłaty zaciągniętego kredytu wraz z odsetkami w terminach określonych w umowie. (...)" b) art. 105 ustawy (...) Prawo bankowe, zgodnie z którym Bank ma obowiązek udzielania informacji stanowiących tajemnicę bankową wyłącznie innym bankom i instytucjom kredytowym w zakresie, w jakim informacje te są niezbędne w związku z wykonywaniem czynności bankowych, a na zasadzie wzajemności innym instytucjom ustawowo upoważnionym do udzielania kredytów oraz zgodnie z pkt 4 art. 105 ww. ustawy) (...)". Ponadto Bank oświadczył cyt: "w zakresie składanych przez skarżącego wniosków kredytowych z 2005, 2006 oraz 2007 (...) Bank nie wypełnił wobec skarżącego obowiązku informacyjnego z art. 24 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych. W dniu [...].04.06 r. jednakże, skarżący, reprezentujący spółkę C. P., Sp. z o.o. podpisał z Bankiem umowę rachunku bieżącego, której integralną częścią są karty identyfikacyjne. Karta identyfikacyjna Firmy, obowiązująca na dzień [...].04.06 (...) zawierała w treści obowiązek informacyjny (...)". Odnosząc się do kwestii realizacji obowiązku informacyjnego z art. 33 ustawy Bank wskazał z kolei cyt: "tak, do Banku wpłynął wniosek skarżącego, datowany na dzień [...].01.2007 r., w którym Skarżący na podstawie art. 32 i 33 ustawy o ochronie danych osobowych złożył wniosek o udostępnienie kopii wszystkich danych osobowych gromadzonych w Banku [...] S.A. i przesłanie ich pocztą na wskazany adres". Pismem z dnia [...] stycznia 2007 r. Bank udzieli skarżącemu odpowiedzi na ww. wniosek.
5) W wyjaśnieniach udzielonych Generalnemu Inspektorowi Ochrony Danych Osobowych ZBP wyjaśnił cyt: "według stanu bazy danych na dzień [...].10.2012 r. – w Centralnej Bazie Danych Systemu BANKOWY REJESTR nie stwierdza się obecności danych dotyczących skarżącego zgłoszonych przez Bank [...] S.A. W związku z faktem, że Związek Banków Polskich nie prowadzi zbiorów archiwalnych Systemu BANKOWY REJESTR nie jest możliwe udzielenie precyzyjnej odpowiedzi na temat danych historycznych".
6) BIK wskazało natomiast, że nie przetwarza danych osobowych skarżącego w zakresie pochodzącym z Banku [...] S.A. zarówno jeżeli chodzi o Bazę SI BIK "Kredytobiorca", jak również o bazę SI BIK "Przedsiębiorcy". Uzupełniając przedmiotowe wyjaśnienia podmiot ten oświadczył cyt. "(...) BIK przetwarza dane pochodzące z zapytań w bazie BIOZ, przez okres 24 miesięcy liczonych od dnia złożenia zapytania, a udostępniane są bankom na raportach kredytowych przez okres 12 miesięcy. Po tym okresie dane dotyczące zapytań są usuwane z bazy BIOZ i przetwarzane są jedynie w celach archiwalnych (...) przedmiotowe zapytanie zostało złożone przez Bank [...] S.A. w dniu [...] października 2005 r., na podstawie art. 105 ust. 4 ustawy Prawo bankowe oraz na podstawie łączącej strony umowy w sprawie gromadzenia, przetwarzania i udostępniania informacji z dnia [...] listopada 2004 r.".
W tym stanie faktycznym Generalny Inspektor Ochrony Danych Osobowych w dniu [...] kwietnia 2013 r. wydał decyzję administracyjną (znak: [...]), w której nakazał Bankowi [...] S.A. z siedzibą [...] przy ul. [...] spełnienie obowiązku informacyjnego, określanego w art. 24 ust. 1 ustawy, wobec skarżącego, natomiast w pozostałej części odmówił uwzględnienia skargi C. P.
Skarżący w dniu [...] kwietnia 2013 r. wniósł o ponowne rozpatrzenie sprawy w zakresie w jakim odmówiono uwzględnienia jego wniosków, wnosząc o cyt.: "(...) usunięcie uchybień, usunięcie danych osobowych z bazy danych BIK oraz ZBP (...), zabezpieczenie danych w [...] S.A. i wydanie decyzji zakazującej przekazywania danych z [...]".
Skarżący argumentował, że cyt.: "(...) GIODO błędnie interpretuje ówczesny stan prawny", a jako dowód przytoczył fragmenty treści wyroku NSA z dnia 14 września 2005 r., sygn. akt I OSK 39/05. Z sentencji wyroku wynika, że cyt. "Artykuł 105 ust. 4 ustawy z dnia 29 sierpnia 1997 r. – Prawo bankowe (Dz. U. z 2002 r. Nr 72, poz. 665 ze zm.) nie stanowi podstawy do przetwarzania danych osobowych bez zgody osób, których dane dotyczą".
W toku postępowania również Bank w dniu [...] maja 2013 r. złożył wniosek o ponowne rozpatrzenie sprawy, zaskarżając pkt 1 decyzji z dnia [...] kwietnia 2013 r. ([...]). Bank argumentował w swoim piśmie, że cyt. "(...) podmiot danych (tj. skarżący – przyp. GIODO) posiada już informacje, o których mowa w art. 24 ust. 1 w związku z czym Bank jest zwolniony z wypełnienia obowiązku informacyjnego na podstawie art. 24 ust. 2 pkt 2. W związku z powyższym Bank uznał, że cyt. "(...) zrealizował wobec skarżącego obowiązek informacyjny, o którym mowa w art. 24 ust. 1 ustawy".
Po ponownym przeanalizowaniu materiału zgromadzonego w niniejszej sprawie, Generalny Inspektor Ochrony Danych Osobowych zważył, co następuje.
Odnosząc się do zarzutu skarżącego, podkreślił, że w omawianym stanie faktycznym obowiązywał przepis art. 7a ust. 2 ustawy z dnia 19 listopada 1999 r. – Prawo działalności gospodarczej (Dz. U. Nr 101, poz. 1178 z późn. zm.), który stanowił, że ewidencja działalności gospodarczej jest jawna i dane osobowe w niej zawarte nie podlegają przepisom ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. z 2002 r. Nr 101, poz. 926 z późn. zm.), zwanej dalej także ustawą. Stosownie do tego zapisu spod działania ustawy wyłączone były wówczas dane o osobach fizycznych prowadzących działalność gospodarczą w oparciu o przepisy ustawy z dnia 2 lipca 2004 r. o swobodzie działalności gospodarczej (Dz. U. Nr 173, poz. 1807). Podmioty gromadzące, w tamtym okresie, dane o osobach prowadzących działalność gospodarczą, nie były zatem obowiązane do przestrzegania przepisów i zasad wynikających z ustawy o ochronie danych osobowych.
Legalność przetworzenia danych osobowych skarżącego w zakresie wykraczającym poza informacje ujawnione o nim w ewidencji działalności gospodarczej (płeć, data urodzenia, obywatelstwo, seria i nr dowodu osobistego, rodzaj kredytu, kwota i waluta wnioskowanego kredytu, częstotliwość spłat) należy ocenić na podstawie przepisów ustawy o ochronie danych osobowych oraz ustawy z dnia 29 sierpnia 1997 r. – Prawo bankowe (Dz. U. z 2012 r., poz. 1376), zwaną dalej Prawo bankowe. Zgodnie z treścią art. 23 ust. 1 pkt 2 ustawy przetwarzanie danych jest dopuszczalne tylko wtedy, gdy jest to niezbędne dla zrealizowania uprawnienia lub spełnienia obowiązku wynikającego z przepisu prawa. Natomiast w ocenie Generalnego Inspektora wspomniane uprawnienie Banku dla przekazania ww. danych skarżącego wynika właśnie z art. 105 ust. 4 Prawa bankowego. Generalny Inspektor zatem przyjął, że podstawę prawną przetworzenia stanowią przepisy ustawy o ochronie danych osobowych, które wymieniają w art. 23 ust. 1 zamknięty katalog przesłanek legalizujących przetwarzanie danych osobowych. Każda z nich ma charakter autonomiczny i niezależny. Oznacza to, iż przesłanki te co do zasady są równoprawne, a wobec tego spełnienie co najmniej jednej z nich stanowi już o zgodnym z prawem przetwarzaniu danych osobowych. Z powyższego wynika zatem, że dla legalności procesu przetwarzania danych osobowych nie zawsze wymagana jest zgoda osoby, której dane dotyczą. U podstaw tego procesu może znajdować się bowiem inna z przesłanek wymienionych w art. 23 ust. 1 ustawy, niż "zgoda osoby", której dane dotyczą.
W przedmiotowym stanie faktycznym tą przesłanką jest właśnie uprawnienie wynikające z przepisu prawa.
Odnosząc się do zarzutu skarżącego, dotyczącego usunięcia danych z BIK i ZBP, należy wskazać, iż Generalny Inspektor podtrzymuje swoje ustalenia dotyczące ZBP, w zakresie nie przetwarzania danych skarżącego przez tę instytucję.
Jednakże ponowna analiza zebranego w sprawie materiału dowodowego, uzasadnia zmianę stanowiska w zakresie przetwarzania danych osobowych skarżącego przez BIK. Należy wskazać, iż BIK w piśmie z dnia [...] listopada 2012 r. podkreślił, że "(...) przetwarza dane pochodzące z zapytań w bazie BIOZ, przez okres 24 miesięcy liczonych od dnia złożenia zapytania, a udostępniane są bankom na raportach kredytowych przez okres 12 miesięcy. Po tym okresie dane dotyczące zapytań są usuwane z bazy BIOZ i przetwarzane są jedynie w celach archiwalnych, tj. w celu rozpatrywania ewentualnych reklamacji bądź roszczeń klientów oraz w celu kontroli przetwarzania danych. Dane te są przetwarzane w replice produkcyjnej bazy danych".
Katalog przesłanek, w oparciu o które BIK może przetwarzać dane osobowe pozyskane od banków został określony enumeratywnie w przepisach Prawa bankowego. Również cele, dla których te dane mogą być przetwarzane, wynikają wprost z przepisów ww. ustawy. BIK nie wykazał podstaw prawnych dla przetwarzania danych skarżącego w tzw. celach "ewentualnych reklamacji". Przetwarzanie danych w tych celach może dodatkowo zostać uznane za przetwarzanie "na zapas", co narusza zasady adekwatności i celowości wyrażone w art. 26 ust. 1 ustawy o ochronie danych osobowych.
Mając na uwadze powyższe, GIODO podkreślił, iż zgodnie z zapisami ustawy o ochronie danych osobowych, przetwarzanie danych osobowych jest dopuszczalne wtedy, kiedy zezwalają na to przepisy prawa i takim szczególnym upoważnieniem ustawowym dla BIK S.A. do przetwarzania danych obejmujących tajemnicę bankową, jest właśnie art. 105 ust. 4 ustawy – Prawo bankowe. BIK wskazał natomiast, że przetwarza dane osobowe skarżącego, pozyskane z dniem [...] października 2005 r., w celu rozpatrywania ewentualnych reklamacji pozostających w związku z m.in. niniejszym postępowaniem. Zaznaczyć zatem należy, że zgodnie z art. 5 ustawy, jeżeli przepisy odrębnych ustaw, które odnoszą się do przetwarzania danych, przewidują dalej idącą ich ochronę, niż wynika to z niniejszej ustawy, stosuje się przepisy tych ustaw. Tym samym, w ocenie Generalnego Inspektora, BIK S.A. nie legitymuje się podstawą prawną do przetwarzania danych osobowych skarżącego pozyskanych od Banku w jakimkolwiek innym celu, niż wskazane w ustawie Prawo bankowe, dlatego też nie sposób zgodzić się z tezą przedstawioną przez ten podmiot w złożonych w niniejszej sprawie wyjaśnieniach, iż przetwarzanie przez niego danych osobowych może odbywać się dla realizacji innego celu realizowanego przez administratora danych (tu: BIK S.A.), którym w niniejszej sprawie jest potrzeba realizowania ewentualnych reklamacji skarżącego.
Powyżej opisane okoliczności faktyczne i prawne powodują, że konieczne jest, na podstawie art. 18 ust. 1 pkt 6 ustawy, nakazanie administratorowi danych osobowych skarżącego, jakim jest BIK S.A., wyeliminowania nieprawidłowości w procesie przetwarzania danych osobowych skarżącego w sposób określony w punkcie pierwszym rozstrzygnięcia niniejszej decyzji.
Wobec takiego stanu rzeczy żądanie skarżącego w zakresie usunięcia jego danych z repliki produkcyjnej zbioru jest uzasadnione.
Odnosząc się do zarzutów Banku sformułowanych we wniosku z dnia [...] maja 2013 r. o ponowne rozpatrzenie sprawy Generalny Inspektor w tym względzie podtrzymał wcześniejsze stanowisko, że Bank gromadząc dane osobowe osoby prowadzącej działalność gospodarczą w zakresie tożsamym z zawartym w ewidencji działalności gospodarczej, nie miał obowiązku wypełniania wobec tej osoby obowiązku informacyjnego, o którym mowa w art. 24 ust. 1 ustawy. Obowiązek ten natomiast powinien być przez Bank zrealizowany jeżeli pozyskał on dane o osobie w zakresie wykraczającym poza zakres informacji o niej ujęty w ewidencji działalności gospodarczej.
W przedmiotowej sprawie Bank pozyskał dane osobowe skarżącego poprzez wypełnienie przez niego w 2005 r. dokumentów związanych z wnioskowaniem o kredyt. Wśród danych osobowych jakie skarżący ujawnił w tych dokumentach, oprócz jego oznaczenia jako przedsiębiorcy, adresu zamieszkania, numeru PESEL, numeru PKD, wskazania daty rozpoczęcia działalności gospodarczej, także inne informacje o sobie, m.in. numer dowodu osobistego, a także szereg innych informacji o nim m.in. informacja, że działa w więcej niż jednej branży, o łącznej wartości należącej do niego nieruchomości, o niezaleganiu wobec Urzędu Skarbowego i wobec Zakładu Ubezpieczeń Społecznych.
Zestawiając ww. zakres danych z zakresem informacji o osobie prowadzącej działalność gospodarczą, jaki zgodnie z art. 7b ustawy – Prawo działalności gospodarczej, w okresie, w którym miało miejsce zakwestionowane przez skarżącego zdarzenie, był w niej ujawniany, można zauważyć, że zakres danych osobowych skarżącego jaki Bank poprzez wypełnienie przez niego dokumentów związanych z aplikowaniem o kredyt w 2005 r. wykraczał poza ten zakres ujawnionych o nim informacji w ewidencji działalności gospodarczej. Z powyższego wynika zatem, że w momencie aplikowania przez skarżącego o kredyt w 2005 r. Bank, oprócz jego danych osobowych, które w tamtym czasie nie podlegały ochronie gwarantowanej przepisami ustawy o ochronie danych osobowych, pozyskał także jego dane osobowe w zakresie, który takiej ochronie podlegał. Obowiązany był więc do wypełnienia wobec skarżącego, w zakresie odnoszącym się do tych danych, obowiązku informacyjnego z art. 24 ust. 1 ustawy.
Generalny Inspektor podtrzymał swoje stanowisko, że obowiązek wynikający z art. 24 ust. 1 ustawy nie został przez Bank wykonany wobec skarżącego w dniu [...]kwietnia 2006 r., kiedy to skarżący reprezentujący wówczas Spółkę z o.o. C. P. zawarł z Bankiem umowę rachunku bieżącego, której integralną częścią były karty identyfikacyjne, zawierające w treści obowiązek informacyjny.
Artykuł 24 ustawy stanowi, iż w przypadku zbierania danych osobowych od osoby, której dane dotyczą, administrator danych jest obowiązany poinformować tę osobę o: 1) adresie swojej siedziby i pełnej nazwie, a w przypadku gdy administratorem danych jest osoba fizyczna – o miejscu swojego zamieszkania oraz imieniu i nazwisku, 2) celu zbierania danych, a w szczególności o znanych mu w czasie udzielania informacji lub przewidywanych odbiorcach lub kategoriach odbiorców danych, 3) prawie dostępu do treści swoich danych oraz ich poprawiania, 4) dobrowolności albo obowiązku podania danych, a jeżeli taki obowiązek istnieje, o jego podstawie prawnej. Z powyższego wynika, że administrator danych gromadzący je obowiązany jest udzielić osobie, której dane osobowe pozyskuje, informacji, o których mowa w art. 24 ust. 1 ustawy, w momencie ich pozyskiwania. W przedmiotowej sprawie Bank pozyskał dane osobowe skarżącego w 2005 r., w dniu złożenia przez niego dokumentów związanych z ubieganiem się o kredyt i wówczas powinien dopełnić wobec niego tego obowiązku. Dodatkowo GIODO wskazał, że we wskazanym przez Bank dniu [...] kwietnia 2006 r. Bank nie zrealizował ww. obowiązku wobec skarżącego jako osoby fizycznej prowadzącej działalność gospodarczą pod firmą [...], C. P., tylko jako osoby fizycznej reprezentującej osobę prawną, mianowicie spółkę C. P. Sp. z o.o.
Powyższa decyzja stała się przedmiotem skarg wniesionych do Wojewódzkiego Sądu Administracyjnego w Warszawie.
C. P. w swojej skardze wniósł o uchylenie punktu 2 decyzji i w konsekwencji wnioskował o wydanie decyzji w przedmiocie usunięcia z BIK jak i ZBP danych pochodzących od [...] S.A. oraz usunięcia danych ze zbioru danych przetwarzanych przez [...] S.A., które nie są publicznie dostępne, a które w nieuprawniony sposób są przez Bank przetwarzane w szczególności dotyczy to danych pochodzących z BIK.
W uzasadnieniu skargi C. P. podkreślił, że Bank nie otrzymał zgody na przekazywanie danych osobowych do Biura Informacji Kredytowej S.A. w [...]oraz Związku Banków Polskich.
Skargę na decyzję złożył również Bank [...] S.A. z siedzibą [...] i wniósł:
1. uchylenie decyzji Generalnego Inspektora Ochrony Danych Osobowych z dnia [...] marca 2014 r. w części dotyczącej pkt 2, tj. utrzymania w mocy decyzji z dnia [...] kwietnia 2013 r. oraz uchylenie decyzji z dnia [...] kwietnia 2013 r.,
2. o zasądzenie kosztów.
Zaskarżonym decyzjom zarzucił:
1. naruszenie prawa materialnego, które miało wpływ na wynik sprawy, poprzez naruszenie art. 24 ust. 2 pkt 2 ustawy o ochronie danych osobowych, poprzez błędne przyjęcie przez organ, iż nie ma zastosowania w przedmiotowej sprawie,
2. naruszenie prawa materialnego, które miało wpływ na wynik sprawy, poprzez naruszenia art. 24 ust. 1 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych, poprzez przyjęcie, że administrator danych osobowych ma obowiązek informacyjny określony w powołanym wyżej artykule w zależności od tego, czy osoba, której dane dotyczą występuje jako osoba fizyczna prowadząca działalność gospodarczą, czy też jako osoba fizyczna reprezentująca osobę prawną,
3. naruszenie przepisów postępowania, które miało istotny wpływ na wynik sprawy, poprzez naruszenie art. 18 ust. 1 pkt 2 ustawy o ochronie danych osobowych, poprzez wydanie decyzji administracyjnej nakazującej przywrócenie stanu zgodnego z prawem, przy braku naruszenia przez skarżącą na dzień wydania decyzji przepisów o ochronie danych osobowych z uwagi na wykonywanie przez skarżącą obowiązku informacyjnego wobec C.P,
4. naruszenie przepisów postępowania, które miało istotny wpływ na wynik sprawy, tj. art. 107 § 1, art. 8 i art. 11 kpa.
W odpowiedzi na skargi organ wniósł o ich oddalenie wywodząc jak w uzasadnieniu zaskarżonej decyzji.
Wojewódzki Sąd Administracyjny w Warszawie zważył, co następuje.
Zgodnie z brzmieniem art. 1 § 1 i 2 ustawy z dnia 25 lipca 2002 r. – Prawo o ustroju sądów administracyjnych (Dz. U. Nr 153, poz. 1269 ze zm.), sąd administracyjny sprawuje wymiar sprawiedliwości poprzez kontrolę pod względem zgodności z prawem zaskarżonej decyzji administracyjnej i to z przepisami obowiązującymi w dacie jej wydania. Oznacza to, iż sąd administracyjny kontroluje legalność rozstrzygnięcia zapadłego w postępowaniu z punktu widzenia jego zgodności z obowiązującymi przepisami prawa.
Rozpatrywane pod tym względem skargi C. P. i Banku [...] S.A. [...]nie zasługują na uwzględnienie.
Na wstępie rozważań należy wskazać, że ochrona danych osobowych polega przede wszystkim na określeniu kiedy dozwolone, a kiedy zabronione jest ich przetwarzanie. Ustawa z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. z 2002 r. Nr 101, poz. 926 ze zm.) wskazuje zasady przetwarzania danych osobowych (rozdz. 3 ustawy). W art. 23 § 1 ustawy zostały wymienione przesłanki legalizujące przetwarzanie danych osobowych. Zgodnie z treścią tego przepisu przetwarzanie danych jest dopuszczalne tylko wtedy, gdy:
1) osoba, której dane dotyczą, wyrazi na to zgodę, chyba że chodzi o usunięcie dotyczących jej danych,
2) jest to niezbędne dla zrealizowania uprawnienia lub spełnienia obowiązku wynikającego z przepisu prawa,
3) jest to konieczne do realizacji umowy, gdy osoba, której dane dotyczą, jest jej stroną lub gdy jest to niezbędne do podjęcia działań przed zawarciem umowy na żądanie osoby, której dane dotyczą,
4) jest niezbędne do wykonania określonych prawem zadań realizowanych dla dobra publicznego,
5) jest to niezbędne dla wypełnienia prawnie usprawiedliwionych celów realizowanych przez administratorów danych albo odbiorców danych, a przetwarzanie nie narusza praw i wolności osoby, której dane dotyczą.
Cytowany powyżej przepis ustawy określa ogólne materialne przesłanki przetwarzania danych osobowych. Przesłanki te mają charakter generalny, odnoszą się do wszelkich form przetwarzania danych, w tym zarówno do przetwarzania "na własne potrzeby" administratora, jak i "na zewnątrz". Są one co do zasady równoprawne, autonomiczne i niezależne, co oznacza, że wystarczy wystąpienie jednej z nich, by przetwarzanie danych mogło być uznane za usprawiedliwione. Oznacza to także, że zgoda osoby, której dane dotyczą, nie jest wyłączną przesłanką przetwarzania danych osobowych (por. J. Barta, P. Fajgielski, R. Markiewicz "Ochrona danych osobowych. Komentarz.", publ. LEX nr 106659, wyrok Wojewódzkiego Sądu Administracyjnego w Warszawie z dnia 19 lipca 2007 r., sygn. akt II SA/Wa 678/07, publ. LEX nr 368229).
W rozpoznawanej sprawie skarżący był klientem Banku z uwagi na złożenie przez niego aplikacji kredytowej w 2005 r., następnie w 2006 r. jako reprezentujący spółkę C. P. Sp. z o.o. podpisał z Bankiem umowę rachunku bieżącego.
W ocenie Sądu organ prawidłowo ocenił, że przesłanką legalizującą przetwarzanie danych osobowych skarżącego przez Bank (jako aplikującego o udzielenie kredytu) jest przesłanka wskazana w art. 23 ust. 1 pkt 3 cytowanej ustawy.
W odniesieniu zaś do przekazania danych osobowych skarżącego przez Bank do BIK i ZBP przesłanką legalizującą jest okoliczność opisana w art. 23 ust. 1 pkt 2 cytowanej ustawy w zw. z art. 105 ust. 4 i art. 105a ust. 1 ustawy – Prawo bankowe.
Stosownie bowiem do art. 105 ust. 4 ustawy – Prawo bankowe banki mogą, wspólnie z bankowymi izbami gospodarczymi, utworzyć instytucje upoważnione do gromadzenia, przetwarzania i udostępniania:
1) bankom – informacji stanowiących tajemnicę bankową w zakresie, w jakim informacje te są potrzebne w związku z wykonywaniem czynności bankowych oraz w związku ze stosowaniem metod statystycznych, o których mowa w art. 128 ust. 3 oraz w art. 128d ust. 1;
2) innym instytucjom ustawowo upoważnionym do udzielania kredytów – informacji stanowiących tajemnicę bankową w zakresie, w jakim informacje te są niezbędne w związku z udzielaniem kredytów, pożyczek pieniężnych, gwarancji bankowych i poręczeń;
3) instytucjom kredytowym – informacji stanowiących tajemnicę bankową w zakresie niezbędnym do oceny ryzyka kredytowego konsumenta, o którym mowa w art. 9 ustawy z dnia 12 maja 2011 r. o kredycie konsumenckim.
Zgodnie zaś z art. 105a ust. 1 ustawy – Prawo bankowe przetwarzanie przez banki, inne instytucje ustawowo upoważnione do udzielania kredytów oraz instytucje utworzone na podstawie art. 105 ust. 4, informacji stanowiących tajemnicę bankową w zakresie dotyczącym osób fizycznych może być wykonywane, z zastrzeżeniem art. 104, art. 105 i art. 106-106c, w celu oceny zdolności kredytowej i analizy ryzyka kredytowego.
Nie ulega wątpliwości, że zarówno BIK należy do instytucji wymienionych w art. 105 ust. 4, jak i ZBP, a celem przetwarzania danych zawartych w BIK jest zwiększenie bezpieczeństwa systemu bankowego i płatniczego oraz ochrona depozytów bankowych oraz ocena zdolności kredytowej i analiza ryzyka kredytowego. Zatem w ocenie Sądu organ prawidłowo ocenił, że do przetwarzania danych na podstawie art. 23 ust. 1 pkt 2 ustawy o ochronie danych osobowych w zw. z art. 105 ust. 4 i art. 105a ust. 1 ustawy – Prawo bankowe – zgoda osoby, której dane są przetwarzane, nie jest wymagana. Powołane przepisy prawa nie ustanawiają bowiem takiego wymogu. O zgodzie na przetwarzanie danych stanowiących tajemnicę bankową przez instytucje wymienione w art. 105 ust. 4 ustawy mowa dopiero w art. 105a ust. 2, tj. po wygaśnięciu zobowiązania wynikającego z umowy zawartej z bankiem lub inną instytucją ustawowo upoważnioną do udzielania kredytów.
Podkreślenia wymaga, że informacje zamieszczone w zbiorze BIK służyć mają wypełnianiu przez banki jako instytucje zaufania publicznego ich ustawowych obowiązków związanych z koniecznością dokładania szczególnej staranności w zakresie zapewnienia bezpieczeństwa przechowywanych środków pieniężnych (art. 50 ust. 2 Prawa bankowego), czyli w zakresie ochrony depozytów, a także z koniecznością należytego badania zdolności kredytowej, od której istnienia bank uzależnia udzielenie kredytu (art. 70 ust. 1 Prawa bankowego). Badanie zdolności kredytowej, która obejmuje zdolność do spłaty zobowiązań i wiarygodność kredytową, jest istotnym elementem działalności banku. BIK został utworzony właśnie w celu zmniejszenia ryzyka udzielania przez banki i instytucje kredytowe trudnych kredytów, przyśpieszenia i uproszczenia procedur kredytowych, wspomagania decyzji banków dotyczących udzielania kredytu.
Przekazanie danych osobowych skarżącego przez Bank do BIK nastąpiło w związku z art. 105 ust. 4 Prawa bankowego, a dla legalności tego udostępnienia zgoda skarżącego nie była wymagana. W ocenie Sądu GIODO prawidłowo ocenił, iż Bank posiadał uzasadniony interes w dokonaniu sprawdzenia historii kredytowej skarżącego nie tylko jako konsumenta, lecz także jako przedsiębiorcy odpowiadającego za związane z prowadzeniem działalności gospodarczej całym swoim majątkiem.
Zgodnie z art. 104 ust. 1 Prawa bankowego, bank, osoby w nim zatrudnione oraz osoby, za których pośrednictwem bank wykonuje czynności bankowe, są obowiązane zachować tajemnicę bankową, która obejmuje wszystkie informacje dotyczące czynności bankowej, uzyskane w czasie negocjacji, w trakcie zawierania i realizacji umowy, na podstawie której bank tę czynność wykonuje. Zgodnie z ust. 3 tego przepisu banku nie obowiązuje, z zastrzeżeniem ust. 4, zachowanie tajemnicy bankowej wobec osoby, której dotyczą informacje objęte tajemnicą. Osobom trzecim informacje te mogą być ujawnione, z zastrzeżeniem art. 105, art. 106a i art. 106b, wyłącznie, gdy osoba, której informacje te dotyczą, na piśmie upoważni bank do przekazania określonych informacji wskazanej przez siebie osobie lub jednostce organizacyjnej. Art. 104 ust. 2 ww. ustawy wymienia wyjątki od obowiązku zachowania tajemnicy bankowej. W niniejszej sprawie istotne znaczenie posiada wyjątek określony w pkt 1 tego przepisu. Stanowi on, że obowiązek, o którym mowa w ust. 1, nie dotyczy przypadków, w których bez ujawnienia informacji objętej tajemnicą bankową – ze względu na istotę i charakter czynności bankowej lub obowiązujące przepisy – nie jest możliwe należyte wykonanie umowy, na podstawie której jest wykonywana ta czynność bankowa, lub należyte wykonanie czynności pozostających w związku z zawarciem i wykonaniem tej umowy.
Przypomnieć należy, że bank uzależnia przyznanie kredytu od zdolności kredytowej kredytobiorcy. Przez zdolność kredytową rozumie się zdolność do spłaty zaciągniętego kredytu wraz z odsetkami w terminach określonych w umowie. Kredytobiorca jest obowiązany przedłożyć na żądanie banku dokumenty i informacje niezbędne do dokonania oceny tej zdolności. Podkreślić należy, że z powyższego wynika w sposób niebudzący wątpliwości, że wystosowanie przez Bank zapytania kredytowego do BIK po złożeniu przez skarżącego wniosku kredytowego w Banku stanowiło czynność podjętą w ramach udzielania kredytu i w tym kontekście stanowiło czynność bankową, o której mowa w powołanym przepisie. Dlatego nie można zarzucić Bankowi naruszenia tajemnicy bankowej w związku z powyższym działaniem.
Skarżący złożył wniosek o kredyt w 2005 r., kredytu jednak nie uzyskał, ale od 2007 r. regularnie kierował korespondencję do Banku, na którą otrzymywał odpowiedzi. W tym miejscu przypomnieć należy, że Bank przechowuje korespondencję reklamacyjną do 5 lat, więc nie posiada już w swoim archiwum tej korespondencji. Jednocześnie podkreślono, że: "Bank nie przetwarzał i nie przetwarza w swoich systemach żadnych danych osobowych skarżącego, gdyż nigdy nie zawierał ze skarżącym umów, a przedstawionego wniosku papierowego Bank nie ma obowiązku przechowywać tak długi okres czasu, nawet dla celów dowodowych".
Bank gromadząc dane osobowe osoby prowadzącej działalność gospodarczą w zakresie tożsamym z zawartymi w ewidencji działalności gospodarczej nie miał obowiązku wypełniać wobec tej osoby obowiązku informacyjnego, o którym mowa w art. 24 ust. 1 ustawy. Obowiązek ten natomiast powinien być przez Bank zrealizowany, jeżeli pozyskał on dane o osobie w zakresie wykraczającym poza zakres informacji o niej ujęty w ewidencji działalności gospodarczej.
W przedmiotowej sprawie Bank pozyskał dane osobowe skarżącego poprzez wypełnienie przez niego w 2005 r. dokumentów związanych z wnioskiem o kredyt. Wśród danych osobowych jakie skarżący ujawnił w tych dokumentach, oprócz jego oznaczenia jako przedsiębiorcy, adresu zamieszkania, numeru PESEL, numeru PKD, wskazania daty rozpoczęcia działalności gospodarczej, także inne informacje o osobie m.in. numer dowodu osobistego, a także szereg innych informacji o nim, między innymi informacja, że działa w więcej niż jednej branży, o łącznej wartości należącej do niego nieruchomości, o niezaleganiu wobec Urzędu Skarbowego i wobec Zakładu Ubezpieczeń Społecznych.
Zestawiając ww. zakres danych z zakresem informacji o osobie prowadzącej działalność gospodarczą, jaki zgodnie z art. 7b ustawy – Prawo działalności gospodarczej, w okresie którym miało miejsce zakwestionowane przez skarżącego zdarzenie, był w niej ujawniony, zakres danych osobowych skarżącego jaki bank poprzez wypełnienie przez niego dokumentów związanych z aplikowaniem o kredyt w 2005 r. wykraczał poza ten zakres ujawnionych w nim informacji w ewidencji działalności gospodarczej.
Z powyższego wynika, że w momencie aplikowania przez skarżącego o kredyt w 2005 r. Bank oprócz jego danych osobowych, które w tamtym czasie nie podlegały ochronie gwarantowanej przepisami ustawy o ochronie danych osobowych, pozyskał także jego dane osobowe w zakresie, który takiej ochronie podlegał. Bank zatem obowiązany był do wypełnienia wobec skarżącego w zakresie odnoszącym się do tych danych, obowiązku informacyjnego z art. 24 ust. 1 ustawy.
Obowiązek wynikający z art. 24 ust. 1 ustawy nie został przez Bank wykonany w dniu [...] kwietnia 2006 r., kiedy to skarżący reprezentujący wówczas Sp. z o.o. C.P. zawarł z Bankiem umowę rachunku bieżącego, której integralną częścią były karty identyfikacyjne, zawierające w treści obowiązek informacyjny.
Należy przypomnieć, że art. 24 ustawy stanowi, iż w przypadku zbierania danych osobowych od osoby, której dane dotyczą, administrator danych jest obowiązany poinformować tę osobę o: 1. adresie swojej siedziby i pełnej nazwie, a w przypadku gdy administratorem danych jest osoba fizyczna – o miejscu jego zamieszkania, oraz imieniu i nazwisku, 2. celu zbierania danych, a w szczególności o znanych mu w czasie udzielania informacji lub przewidzianych odbiorcach lub kategoriach danych, 3. prawie dostępu do treści swoich danych oraz ich poprawiania, 4. dobrowolności albo obowiązku podania danych, a jeżeli taki obowiązek istnieje o jego podstawie prawnej.
Wobec powyższego administrator danych gromadzący dane obowiązany jest udzielić osobie, której dane osobowe pozyskuje, informacje, o których mowa w art. 24 ust. 1 ustawy, w momencie ich pozyskiwania. Bank pozyskał dane osoby skarżącego w 2005 r., w dniu złożenia przez niego dokumentów związanych z ubieganiem się o kredyt i wówczas powinien dopełnić wobec niego tego obowiązku.
Podkreślić należy, że we wskazanym przez Bank dniu [...] kwietnia 2006 r. Bank nie zrealizował ww. obowiązku wobec skarżącego jako osoby fizycznej prowadzącej działalność gospodarczą pod firmą [...] C. P., tylko jako osoby fizycznej reprezentującej osobę prawną, tj. spółkę C. P. Sp. z o.o.
Odnosząc się do zarzutu przetwarzania danych osobowych skarżącego przez BIK, podnieść należy, że zarówno przesłanki, jak i cele, w jakich BIK może przetwarzać dane osobowe pozyskane od banków, określają enumeratywnie przepisy Prawa bankowego. W niniejszej sprawie BIK podał, że przetwarza dane osobowe skarżącego, pozyskane z dniem [...] października 2005 r., w celu rozpatrywania ewentualnych reklamacji pozostających w związku m.in. z niniejszym postępowaniem. Jednak BIK nie wykazał podstaw prawnych dla przetwarzania danych skarżącego w ww. celu. Dodać należy, że przetwarzanie danych w ww. celu może zostać uznane za przetwarzanie "na zapas", "na wszelki wypadek", co narusza zasady adekwatności oraz celowości wyrażone w art. 26 ust. 1 pkt 2 i 3 ustawy o ochronie danych osobowych.
BIK nie legitymuje się podstawą prawną do przetwarzania danych osobowych skarżącego pozyskanych od Banku w jakimkolwiek innym celu niż wskazane w Prawie bankowym i dlatego GIODO zasadnie, na podstawie art. 18 ust. 1 pkt 6 ustawy, nakazał BIK jako administratorowi danych osobowych skarżącego wyeliminowanie nieprawidłowości w procesie ich przetwarzania poprzez ich usunięcie, tj. z repliki produkcyjnej zbioru "[...]".
Z materiału dowodowego sprawy wynika, że Bank pozyskał dane osobowe skarżącego z dniem [...] października 2005 r., czyli w okresie obowiązywania art. 7a ust. 2 ustawy z dnia 19 listopada 1999 r. – Prawo działalności gospodarczej (Dz. U. Nr 101, poz. 1178 ze zm.), który stanowił, że ewidencja działalności gospodarczej jest jawna i dane osobowe w niej zawarte nie podlegają przepisom ustawy o ochronie danych osobowych. Przepis ten stracił moc obowiązującą z dniem 31 grudnia 2011 r. To oznacza, że do dnia 1 stycznia 2012 r. przepisy ustawy o ochronie danych osobowych nie dotyczyły informacji identyfikujących przedsiębiorców w obrocie gospodarczym, dlatego administratorzy danych osobowych dotyczących przedsiębiorców nie musieli wypełniać obowiązków wynikających z ustawy o ochronie danych osobowych, w tym informacyjnych oraz w zakresie przesłanek legalności przetwarzania danych.
Generalny Inspektor prawidłowo uznał, że z zebranego w sprawie materiału dowodowego nie wynika, aby skarżący zwracał się do Banku z wnioskiem o spełnienie wobec niego obowiązku informacyjnego określonego w art. 33 ustawy.
Odnośnie wniosku skarżącego o "przeprowadzenie kontroli", GIODO słusznie wskazał, że kontrola zgodności przetwarzania danych z przepisami ustawy o ochronie danych osobowych, jako kompetencja ustawowa organu, jest przeprowadzana z urzędu, a nie na wniosek zainteresowanego czy skarżącego, bowiem organ samodzielnie decyduje o sposobie realizacji własnych uprawnień.
Z uwagi na wniosek skarżącego o "skorzystanie z uprawnień wynikłych z art. 19 ustawy" również słusznie Generalny Inspektor zaznaczył, że ustawa o ochronie danych osobowych nie uprawnia organu do zakończenia prowadzonego postępowania poprzez skierowanie w formie decyzji administracyjnej zawiadomienia do organów ścigania o popełnieniu przestępstwa. Na uzasadnienie tego stanowiska organ powołał orzecznictwo sądowoadministracyjne (wyrok Naczelnego Sądu Administracyjnego z dnia 19 listopada 2001 r., sygn. akt II SA 2702/00; wyrok Wojewódzkiego Sądu Administracyjnego w Warszawie z dnia 13 listopada 2009 r., sygn. akt II SA/Wa 612/09). Jednocześnie GIODO wskazał w zaskarżonej decyzji, że jeśli według Skarżącego w przedstawionej w skardze sprawie doszło do popełnienia przestępstwa, to może on złożyć stosowne zawiadomienie do właściwych organów ścigania (Policji, Prokuratury) w trybie przepisów ustawy z dnia 6 czerwca 1997 r. – Kodeks postępowania karnego (Dz. U. Nr 89, poz. 555 ze zm.).
Odnosząc się natomiast do przytoczonych przez skarżącego w skardze orzeczeń, należy wskazać, że dotyczą one innych spraw, o różnych, od rozpoznawanej sprawy, stanach faktycznych i nie mają one charakteru wiążącego dla niniejszej sprawy. Przytoczone natomiast stanowiska doktryny nie dotyczą wprost przetwarzania danych na podstawie ustawy – Prawo bankowe, ale odnoszą się generalnie do wyrażania zgody na przetwarzanie danych osobowych, a jak zostało przedstawione powyżej – zgoda na przetwarzanie danych, nie była koniecznym wymogiem do legalnego ich przetwarzania w rozpoznawanej sprawie.
Konkludując, organ prawidłowo zebrał i ocenił materiał dowodowy, a następnie na tej podstawie wydał rozstrzygnięcie odpowiadające prawu. Dlatego też skargi jako bezzasadne podlegają oddaleniu.
Mając powyższe na uwadze, Wojewódzki Sąd Administracyjny w Warszawie, na podstawie art. 151 ustawy z dnia 30 sierpnia 2002 r. – Prawo o postępowaniu przed sądami administracyjnymi (tekst jednolity Dz. U. z 2012 r., poz. 270 ze zm.), orzekł jak w sentencji wyroku.
Źródło: Centralna Baza Orzeczeń Sądów Administracyjnych (orzeczenia.nsa.gov.pl), pozyskano 13.07.2026. · Źródło