II SA/Wa 1652/15
WyrokWSA w Warszawie2016-05-20
Skład orzekający: Andrzej Kołodziej, Andrzej Góraj, Danuta Kania
Analiza orzeczenia
Sekcja wygenerowana przez AI na podstawie treści orzeczenia — nie stanowi cytatu.
Zagadnienie prawne
Czy Generalny Inspektor Ochrony Danych Osobowych prawidłowo utrzymał w mocy decyzję odmawiającą uwzględnienia wniosku o usunięcie danych osobowych z Biura Informacji Kredytowej S.A. i Związku Banków Polskich, w sytuacji gdy dane te zostały udostępnione w celu zarządzania klientem na podstawie zapytań monitorujących, a nie w celu oceny zdolności kredytowej?Ratio decidendi
Przetwarzanie danych osobowych przez banki, BIK S.A. i ZBP w celu oceny zdolności kredytowej i analizy ryzyka kredytowego jest dopuszczalne na podstawie art. 105a ust. 1 Prawa bankowego, nawet po wygaśnięciu zobowiązania, jeśli osoba nie wykonała zobowiązania lub dopuściła się zwłoki. W przypadku zapytań monitorujących w celu zarządzania klientem, brak jest podstaw do nakazania usunięcia danych, jeśli nie naruszają one praw i wolności osoby, której dane dotyczą, a bank ma uzasadnione interesy w ich przetwarzaniu. Obowiązek informacyjny wynikający z art. 24 i 33 ustawy o ochronie danych osobowych został spełniony poprzez zawarcie informacji we wnioskach o wydanie kart kredytowych.Stan faktyczny
Skarga dotyczyła decyzji Generalnego Inspektora Ochrony Danych Osobowych (GIODO), która utrzymała w mocy wcześniejszą decyzję nakazującą Biuru Informacji Kredytowej S.A. (BIK S.A.) usunięcie danych osobowych C. P. w zakresie dwóch zapytań złożonych przez Bank [...] w celu zarządzania klientem, a w pozostałym zakresie odmówiła uwzględnienia wniosku. C. P. kwestionował legalność przetwarzania jego danych przez Bank, BIK S.A. i Związek Banków Polskich (ZBP), zarzucając naruszenie przepisów prawa bankowego i ustawy o ochronie danych osobowych. Sąd rozpoznał sprawę pod kątem zgodności z prawem decyzji GIODO.Rozstrzygnięcie
Oddalono skargę.Pełny tekst orzeczenia
Wojewódzki Sąd Administracyjny w Warszawie w składzie następującym: Przewodniczący Sędzia WSA Andrzej Kołodziej(spr.), Sędziowie WSA Andrzej Góraj, Danuta Kania, Protokolant specjalista Bogumiła Kobierska, po rozpoznaniu na rozprawie w dniu 20 maja 2016 r. sprawy ze skargi C.P. na decyzję Generalnego Inspektora Ochrony Danych Osobowych z dnia [...] sierpnia 2015 r. nr [...] w przedmiocie przetwarzania danych osobowych oddala skargę.
Generalny Inspektor Ochrony Danych Osobowych decyzją nr [...] z dnia [...] marca 2014 r., na podstawie art. 104 § 1 ustawy z dnia 14 czerwca 1960 r. Kodeks postępowania administracyjnego (Dz. U. z 2013 r., poz. 267 ze zm.), art. 12 pkt 2, art. 18 ust. 1 pkt 6, art. 22 w zw. z art. 23 ust. 1 pkt 2, art. 33 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. z 2002 r. Nr 101, poz. 926 ze zm.) oraz art. 105 ust. 4 i art. 105a ust. 1 ustawy z dnia 29 sierpnia 1997 r. Prawo bankowe (Dz. U. z 2012 r., poz. 1376 ze zm.), po przeprowadzeniu postępowania administracyjnego w sprawie skargi C. P. na przetwarzanie jego danych osobowych przez Bank [...] w W. S. A. z siedzibą w W. i Związku Banków Polskich z siedzibą w W. i niezrealizowaniu wobec niego obowiązku informacyjnego, o którym mowa w art. 24 ust. 1 i art. 33 ustawy o ochronie danych osobowych, 1) nakazał Biuru Informacji Kredytowej S.A. z siedzibą w W. usunięcie ze zbioru danych BIK S.A. danych osobowych C. P., przetwarzanych w zakresie dwóch zapytań złożonych przez Bank [...] w W. S. A. z siedzibą w W. w dniu [...] maja 2012 r. oraz jednego złożonego przez Bank [...] w W. S.A. w dniu [...] listopada 2012 r., w celu zarządzania klientem, 2) w pozostałym zakresie odmówił uwzględnienia wniosku.
We wniosku o ponowne rozpatrzenie sprawy C. P. wniósł o uchylenie powyższej decyzji w zakresie jej pkt 2 i uwzględnienie wniosku w zakresie zobowiązania Banku [...] w W. S.A. do udostępnienia informacji o wysokości jego zobowiązania z tytułu użytkowania karty kredytowej w formie wyciągu z ksiąg bankowych, podpisanego przez upoważnione osoby, a następnie do usunięcia danych przekazywanych przez Bank do Związku Banków Polskich oraz Biura Informacji Kredytowej oraz zakazania dalszego przekazywania danych do ZBP i BIK, a następnie wytknięcie nieprawidłowego przekazywania danych osobowych wnioskodawcy do ww. instytucji.
Wymienionej decyzji we wskazanym zakresie zarzucił naruszenie przepisów ustawy Prawo bankowe oraz ustawy o ochronie danych osobowych.
Generalny Inspektor Ochrony Danych Osobowych decyzją nr [...] z dnia [...] sierpnia 2015 r., na podstawie art. 138 § 1 pkt 1 Kpa w związku z art. 12 pkt 2, art. 18 ust. 1 pkt 6, art. 22 i art. 23 ust. 1, art. 33 ustawy o ochronie danych osobowych oraz art. 105 ust. 4 i art. 105a ust. 1 ustawy Prawo bankowe, po rozpatrzeniu wniosku o ponowne rozpatrzenie sprawy, utrzymał w mocy zaskarżoną decyzję.
W uzasadnieniu podał, iż w oparciu o pisemne wyjaśnienia i dowody uzyskane od Banku [...] S.A. (Bank), Biura Informacji Kredytowej S.A. (BIK S.A.) oraz Związku Banków Polskich (ZBP) ustalił, co następuje:
Skarżącego łączyła z Bankiem umowa o korzystanie z karty kredytowej. Umowa została zawarta w wyniku złożenia przez wnioskodawcę wniosku z [...] grudnia 1998 r. o wydanie karty kredytowej [...]. Jej wydanie nie było wówczas uzależnione od podpisania stosownej umowy. Zgodnie zaś z oświadczeniem zawartym we wniosku (pkt 2 sekcji oświadczenia), zawarcie umowy następowało na podstawie akceptacji Regulaminu Kart Kredytowych oraz dokonania przez posiadacza karty pierwszej transakcji przy jej użyciu.
C. P. posiadał wyłącznie jedną kartę kredytową [...] (typu [...]) przyznaną na wniosek z [...] grudnia 1998 r. Wymieniony [...] września 2002 r. złożył kolejny wniosek o kartę kredytową [...] (typu [...]), jednakże z uwagi na zaległości w spłacie karty [...], Bank odrzucił ww. wniosek. Następnie pismem z [...] marca 2004 r. wypowiedział umowę o korzystanie z karty kredytowej [...], zaś [...] czerwca 2004 r., w związku z nieuregulowaniem przez zainteresowanego zobowiązań wobec Banku, jego dane osobowe zostały przekazane do Rejestru Bankowego prowadzonego przez ZBP oraz [...] października 2006 r. do BIK S.A. Bank aktualnie przetwarza dane osobowe strony w celu dochodzenia wobec niej wierzytelności z tytułu niespłacenia zadłużenia z karty kredytowej, w zakresie zawartym we wnioskach o wydanie kart kredytowych (z [...] grudnia 1998 r. i [...] września 2002 r.) oraz wynikającym z postępowania sądowego zakończonego dwoma wyrokami – z [...] września 2009 r. i [...] stycznia 2010 r. – zasądzającymi od strony na rzecz Banku kwoty pieniężne. Są one przetwarzane w zbiorze o nazwie "[...]".
Zainteresowany nie zwracał się do Banku z wnioskiem o zrealizowanie wobec niego obowiązku wynikającego z art. 33 ustawy o ochronie danych osobowych.
ZBP przetwarza dane osobowe wymienionego, udostępnione przez Bank [...] czerwca 2004 r. w zakresie: imienia, nazwiska, serii i numeru dowodu osobistego, numeru PESEL, adresu zamieszkania. Z kolei dane osobowe strony zostały przekazane przez Bank i wprowadzone przez BIK S.A. do zbioru danych [...] października 2006 r. w zakresie dotyczącym umowy o korzystanie z karty kredytowej z [...] stycznia 1999 r. na podstawie art. 105 ust. 4 prawa bankowego oraz łączącej strony umowy. Rachunek strony ma status rachunku otwartego w windykacji i przetwarzany jest w celu oceny zdolności kredytowej, analizy ryzyka kredytowego oraz w celu stosowania metod statystycznych. Stosownie do złożonych wyjaśnień, dane osobowe strony są przetwarzane w BIK S.A. w zbiorze danych w zakresie trzech zapytań złożonych przez Bank [...] maja 2012 r. i [...] listopada 2012 r., w celu zarządzania klientem na podstawie art. 105 ust. 4 prawa bankowego oraz łączącej BIK S.A. z Bankiem umowy.
Organ wskazał następnie, że przedmiotowe postępowanie było prowadzone w przedmiocie przetwarzania danych osobowych C. P. przez Bank, BIK S.A. oraz ZBP.
W świetle przepisów ustawy o ochronie danych osobowych, przetwarzanie danych osobowych jest uprawnione, gdy spełniona zostanie którakolwiek z przesłanek wymienionych w art. 23 ust. 1 ustawy. Przesłanki te odnoszą się do wszelkich form przetwarzania danych wymienionych w art. 7 pkt 2 ustawy, w tym w szczególności do ich udostępniania. Są także względem siebie równoprawne, co oznacza, że dla legalności procesu przetwarzania danych wystarczające jest spełnienie jednej z nich. Zgodnie zaś z art. 23 ust. 1 ustawy, przetwarzanie danych osobowych jest dopuszczalne, gdy jest to niezbędne dla zrealizowania uprawnienia lub spełnienia obowiązku wynikającego z przepisu prawa (pkt 2) lub jest to niezbędne dla wypełnienia prawnie usprawiedliwionych celów realizowanych przez administratorów danych albo odbiorców danych, a przetwarzanie nie narusza praw i wolności osoby, której dane dotyczą (pkt 5).
Tym samym zgoda na przetwarzanie danych, o której mowa w art. 23 ust. 1 pkt 1 ustawy, nie jest jedyną przesłanką legalizującą proces przetwarzania danych osobowych.
Generalny Inspektor stwierdził następnie, iż aktem prawnym zawierającym szczegółowe regulacje dotyczące procesu przetwarzania danych osobowych klientów banków jest przede wszystkim ustawa Prawo bankowe. BIK S.A. jest instytucją utworzoną na podstawie art. 105 ust. 4 prawa bankowego, zaś w myśl art. 105a ust. 1 tej ustawy przetwarzanie przez banki, inne instytucje ustawowo upoważnione do udzielania kredytów oraz instytucje utworzone na podstawie art. 105 ust. 4 (np. BIK S.A. czy ZBP), informacji stanowiących tajemnicę bankową w zakresie dotyczącym osób fizycznych, może być wykonywane, z zastrzeżeniem art. 104, 105 i art. 106-106c, w celu oceny zdolności kredytowej i analizy ryzyka kredytowego. Informacje zgromadzone w BIK S.A. i ZBP mają służyć wypełnianiu przez banki jako instytucje zaufania publicznego, ich ustawowych obowiązków w tym wynikających z art. 50 ust. 2 ii art. 70 ust. 1 prawa bankowego.
Organ wskazał również, że stosownie do art. 105a ust. 3 prawa bankowego, instytucje, o których mowa w ust. 1, mogą przetwarzać informacje stanowiące tajemnicę bankową dotyczącą osób fizycznych, po wygaśnięciu zobowiązania wynikającego z umowy zawartej z bankiem lub inną instytucję ustawowo upoważnioną do udzielania kredytów, bez zgody osoby, której informacje dotyczą, gdy osoba ta nie wykonała zobowiązania lub dopuściła się zwłoki powyżej 60 dni w spełnieniu świadczenia wynikającego z umowy zawartej z bankiem lub inną instytucją ustawowo upoważnioną do udzielania kredytów, a po zaistnieniu tych okoliczności upłynęło co najmniej 30 dni od poinformowania tej osoby przez bank lub tę instytucję, o zamiarze przetwarzania dotyczących jej informacji stanowiących tajemnice bankową, bez jej zgody.
Warunkiem zastosowania ww. przepisu jest wygaśnięcie zobowiązania, co w niniejszej sprawie nie nastąpiło, a zatem bank nie musiał dysponować zgodą klienta na przekazanie jego danych do BIK S.A. i ZBP, gdyż upoważniają go do tego przypisy prawa bankowego.
W tej sytuacji brak jest podstaw do formułowania wobec Banku nakazu usunięcia danych osobowych strony z BIK S.A. i ZBP w zakresie danych udostępnianych w związku z wierzytelnością wynikającą z umowy a korzystaniem z karty kredytowej.
Organ podniósł, że przepisem rangi ustawowej regulującym możliwość zatrzymania (retencji) danych osobowych jest art. 105a prawa bankowego. Jednakże przepis ten w żaden sposób nie odnosi się do niniejszego postępowania, które dotyczy przetwarzania danych osobowych strony pochodzących z zapytań monitorujących skierowanych przez Bank do BIK S.A.
Powoływany przez BIK S.A. przepis art. 105 ust. 4 prawa bankowego, jedynie ogólnie reguluje prawo banków do oceny zdolności kredytowej i oceny ryzyka kredytowego, nie wynika zaś z niego umocowanie BIK S.A. do przetwarzania danych osobowych klientów banków pozyskanych uprzednio w ramach zapytań monitorujących. Nie stanowią jej ani regulaminy ani umowy zawierania przez poszczególne instytucje oraz banki.
Stąd też organ nakazał usunięcie danych osobowych C. P. w zakresie zapytań monitorujących.
Generalny Inspektor ponownie odniósł się do treści art. 24 ustawy o ochronie danych osobowych i stwierdził, że Bank udzielił stronie wymienionej w tym przepisie informacji poprzez wskazanie ich w formularzach wniosków o wydanie kart kredytowych, wypełnionych przez nią [...] grudnia 1998 r. i [...] września 2002 r.
Ponadto w ocenie organu z materiału dowodowego nie wynika, aby strona zwracała się do Banku z wnioskiem o spełnienie wobec niej obowiązku informacyjnego, o którym mowa w art. 33 ustawy o ochronie danych osobowych.
Wbrew jej twierdzeniom, wniosku takiego nie stanowi pismo z [...] września 2012 r., co wynika z jego treści.
Organ podkreślił także, ze zawarte w treści art. 33 ust. 1 ustawy odesłanie do art. 32 ust. 1 pkt 1-5a, wyznacza maksymalne granice informacji o udzielenie jakich wnosi osoba, której dane osobowe są przetwarzane.
W skardze na powyższą decyzję do Wojewódzkiego Sądu Administracyjnego w Warszawie C. P. wniósł o jej uchylenie w całości oraz w konsekwencji uwzględnienie wniosku o zobowiązanie Banku [...] S.A. do udostępnienia skarżącemu informacji o jego transakcjach z tytułu użytkowania karty kredytowej w formie wyciągu z ksiąg bankowych, podpisanego przez uprawnione osoby, a następnie do usunięcia danych przekazanych przez Bank do ZBP oraz BIK S.A. oraz zakazania dalszego przekazywania danych do ZBP oraz BIK S.A., a następnie wytknięcie nieprawidłowego przekazywania danych osobowych skarżącego do BIK S.A. i ZBP.
Zaskarżonej decyzji zarzucił:
1) niewłaściwe zastosowanie art. 105 ust. 4 prawa bankowego poprzez ustalenie, iż Związek Banków Polskich działający na podstawie ustawy z dnia 30 maja 1989 r. o izbach gospodarczych, jest samodzielnie uprawniony do przetwarzania danych stanowiących tajemnicę bankową, gdy tymczasem art. 105 ust. 4 obliguje do powstania instytucji, która byłaby pod kontrolą co najmniej dwóch banków i bankowej izby gospodarczej,
2) niewłaściwe zastosowanie art. 23 ust. 1 ustawy o chronię danych osobowych w związku z art. 105a ust. 1, art. 104 ust. 2, art. 104 ust. 3 i art. 105 ust. 4 prawa bankowego, poprzez ustalenie, że bank mógł bez zgody klienta przekazywać dane stanowiące tajemnicę bankową do instytucji utworzonych na podstawie art. 105 ust. 4 prawa bankowego (w brzmieniu sprzed 1 kwietnia 2007 r.) oraz Związku Banków Polskich,
3) naruszenie art. 105 a prawa bankowego stanowiącego, iż przekazywanie danych osobowych następuje z zastrzeżeniem art. 104 prawa bankowego, zaś art. 104 ust. 3 prawa bankowego obliguje do uzyskania wyraźnej zgody klienta banku o przekazywaniu określonych danych określonemu podmiotowi; jednocześnie art. 104 ust. 2 prawa bankowego nie zwalnia od zachowania tajemnicy bankowej podczas dokonywania oceny zdolności kredytowej; organ pominął przy tym art. 5 i art. 6 prawa bankowego, które definiują zamknięty katalog czynności bankowych; czynnością bankową jest udzielenie kredytu lecz nie ocena zdolności kredytowej,
4) niewłaściwe zastosowanie art. 23 ust. 1 pkt 1 ustawy o ochronie danych osobowych w związku z art. 65 § 1 Kc, art. 385 § 2 Kc i art. 385 1 § 1 Kc, poprzez ocenę złożonego przez skarżącego oświadczenia woli we wniosku o wydanie karty kredytowej, jak i w regulaminie karty, które jego zdaniem nie stanowiły zgody na udostępnienie danych stanowiących tajemnicę bankową do Związku Banków Polskich i Biura Informacji Kredytowej S.A.,
5) niewłaściwe zastosowanie art. 105a ust. 3 prawa bankowego, poprzez ustalenie, że Związek Banków Polskich (pomijając ustawową legitymację do przetwarzania danych) był uprawniony do przetwarzania danych przekazanych w 2004 r. przez Bank [...] S.A., gdyż przepis ten obowiązywał od 16 czerwca 2005 r., a ponadto wymagane jest uprzednie powiadomienie o przekazywaniu danych klienta bez jego zgody do instytucji utworzonych na podstawie art. 105 ust. 4 prawa bankowego; wadliwe było również przekazanie danych osobowych do Bira Informacji Kredytowej S.A. bez uprzedniego powiadomienia w 2006 r.
W odpowiedzi na skargę Generalny Inspektor Ochrony Danych Osobowych wniósł o jej oddalenie i podtrzymał w całości swoje dotychczasowe stanowisko faktyczne i prawne.
Wojewódzki Sąd Administracyjny w Warszawie zważył, co następuje:
Zgodnie z przepisem art. 1 § 1 i § 2 ustawy z dnia 25 lipca 2002 r. Prawo o ustroju sądów administracyjnych (Dz. U. Nr 153, poz. 1269 ze zm.), sądy administracyjne sprawują wymiar sprawiedliwości m.in. poprzez kontrolę działalności administracji publicznej, a kontrola ta sprawowana jest pod względem zgodności z prawem, jeżeli ustawy nie stanowią inaczej.
Skarga oceniana w świetle powyższych kryteriów nie zasługuje na uwzględnienie.
Stosownie do treści art. 18 ust. 1 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (j.t. Dz. U. z 2015 r., poz. 2135 ze zm., dalej jako "uodo"), w przypadku naruszenia przepisów o ochronie danych osobowych Generalny Inspektor z urzędu lub na wniosek osoby zainteresowanej, w drodze decyzji administracyjnej, nakazuje przywrócenie stanu zgodnego z prawem, a w szczególności:
1) usunięcie uchybień,
2) uzupełnienie, uaktualnienie, sprostowanie, udostępnienie lub nieudostępnienie danych osobowych,
3) zastosowanie dodatkowych środków zabezpieczających zgromadzone dane osobowe,
4) wstrzymanie przekazywania danych osobowych do państwa trzeciego,
5) zabezpieczenie danych lub przekazanie ich innym podmiotom,
6) usunięcie danych osobowych.
Powyższe oznacza, iż stwierdzony przez organ ochrony danych osobowych stan naruszenia przepisów o ochronie danych osobowych powinien istnieć w dacie wydawania decyzji. Pogląd taki jest powszechnie akceptowany w piśmiennictwie (por. J. Barta, P. Fajgielski, R. Markiewicz, Ochrona Danych Osobowych, Komentarz, 5 wydanie, Wolters Kluwer, Warszawa 2011, s. 431).
Zatem Generalny Inspektor Ochrony Danych Osobowych zasadnie przyjął w niniejszej sprawie, że jej badanie należało przeprowadzić w oparciu o stan faktyczny i prawny obowiązujący w dacie wydania zaskarżonej decyzji. Z tego względu podniesiony w skardze zarzut niedokonania przez organ oceny przetwarzania danych osobowych skarżącego przez Bank [...] w W. S.A. (dalej: Bank), Biuro Informacji Kredytowej S.A. (dalej: BIK) oraz Związek Banków Polskich (dalej: ZBP) w oparciu o stan prawny aktualny na dzień zdarzenia, jest chybiony.
Ustalony w niniejszej sprawie przez organ stan faktyczny nie budzi wątpliwości i nie jest kwestionowany przez skarżącego. Sporna jest natomiast ocena prawna przetwarzania danych osobowych C. P. przez wskazane wyżej podmioty. Kwestia legalnego przetwarzania danych osobowych została uregulowana przede wszystkim w przepisie art. 23 ust. 1 uodo, zgodnie z którym przetwarzanie danych jest dopuszczalne tylko wtedy, gdy:
1) osoba, której dane dotyczą, wyrazi na to zgodę, chyba że chodzi o usunięcie dotyczących jej danych,
2) jest to niezbędne dla zrealizowania uprawnienia lub spełniania obowiązku wynikającego z przepisu prawa,
3) jest to konieczne do realizacji umowy, gdy osoba, której dane dotyczą, jest jej stroną lub gdy jest to niezbędne do podjęcia działań przed zawarciem umowy na żądanie osoby, której dane dotyczą,
4) jest to niezbędne do wykonania określonych prawem zadań realizowanych dla dobra publicznego,
5) jest to niezbędne dla wypełnienia prawnie usprawiedliwionych celów realizowanych przez administratorów danych albo odbiorców danych, a przetwarzanie nie narusza praw i wolności osoby, której dane dotyczą.
Każda z wymienionych w powyższym przepisie okoliczności usprawiedliwiających przetwarzanie danych ma charakter autonomiczny i niezależny co oznacza, że dla legalności przetwarzania danych wystarczające jest spełnienie jednej z nich.
Zatem zgoda osoby, której dane dotyczą, nie jest, jak zdaje się sugerować skarżący, jedyną przesłanką zgodnego z prawem przetwarzania danych osobowych.
Podkreślenia wymaga okoliczność, iż szczegółowe regulacje dotyczące przetwarzania danych osobowych klientów banków zawiera ustawa z dnia 29 sierpnia 1997 r. Prawo bankowe (j.t. Dz. U. z 2015 r., poz. 128 ze zm.).
W tej sytuacji Generalny Inspektor zasadnie odwołał się w swojej decyzji do ww. aktu prawnego analizując kwestię udostępnienia przez Bank na rzecz BIK oraz ZBP danych osobowych skarżącego, w związku ze złożonymi przez niego wnioskami o wydanie kart kredytowych z [...] grudnia 1998 r. i [...] września 2002 r.
W pierwszej kolejności należy zauważyć, że BIK jest instytucją utworzoną na podstawie art. 105 ust. 4 Prawa bankowego, w świetle którego banki mogą, wspólnie z bankowymi izbami gospodarczymi, utworzyć instytucje do gromadzenia, przetwarzania i udostępniania: bankom informacji stanowiących tajemnicę bankową w zakresie, w jakim informacje te są potrzebne w związku z wykonywaniem czynności bankowych, innym instytucjom ustawowo upoważnionym do udzielania kredytów – informacji o wierzytelnościach oraz o obrotach i stanach rachunków bankowych w zakresie, w jakim informacje te są niezbędne w związku z udzielaniem kredytów, pożyczek pieniężnych, gwarancji bankowych i poręczeń. Podobnie należy potraktować Związek Banków Polskich.
Stosownie zaś do przepisu art. 105a ust. 1 Prawa bankowego, przetwarzanie przez banki, inne instytucje ustawowo upoważnione do udzielania kredytów oraz instytucje utworzone na podstawie art. 105 ust. 4 (BIK czy też ZBP), informacji stanowiących tajemnicę bankową w zakresie dotyczącym osób fizycznych może być wykonywane, z zastrzeżeniem art. 104, 105 i art. 106-106c, w celu oceny zdolności kredytowej i analizy ryzyka kredytowego.
Należy podzielić pogląd organu, iż informacje zgromadzone przez BIK i ZBP służą wypełnianiu przez banki jako instytucje zaufania publicznego ich ustawowych obowiązków związanych z koniecznością dokładania szczególnej staranności w zakresie zapewnienia bezpieczeństwa przechowywania środków pieniężnych, czyli w zakresie ochrony depozytów (art. 50 ust. 2 Prawa bankowego), a także z koniecznością należytego badania zdolności kredytowej, od której wystąpienia bank uzależnia udzielenie kredytu (art. 70 ust. 1 Prawa bankowego).
Sąd podziela również stanowisko organu, że na podstawie art. 105a ust. 3 Prawa bankowego, instytucje, o których mowa w ust. 1, mogą przetwarzać informacje stanowiące tajemnicę bankową dotyczące osób fizycznych po wygaśnięciu zobowiązania wynikającego z umowy zawartej z bankiem lub inną instytucją ustawowo upoważnioną do udzielania kredytów, bez zgody osoby, której informacje dotyczą, gdy osoba ta nie wykonała zobowiązania lub dopuściła się zwłoki w spełnieniu świadczenia wynikającego z umowy zawartej z bankiem lub inną instytucją ustawowo uprawnioną do udzielania kredytów, a po zaistnieniu tych okoliczności upłynęło co najmniej 30 dni od poinformowania tej osoby przez bank lub inną instytucję ustawowo upoważnioną do udzielania kredytów o zamiarze przetwarzania jej informacji stanowiących tajemnicę bankową bez jej zgody.
W niniejszej sprawie jednak zobowiązanie skarżącego nie wygasło, by mógł być stosowany ww. przepis, zaś Bank przetwarza jego dane osobowe w celu dochodzenia roszczeń. Nie istniał więc wymóg uzyskania przez Bank zgody skarżącego na przekazanie jego danych osobowych do BIK oraz ZBP. Podstawę do takiego działania przewidują przepisy art. 105 ust. 4 w związku z art. 105a ust. 1 Prawa bankowego.
W takiej sytuacji istniało uzasadnienie do odmowy uwzględnienia wniosku skarżącego nakazania Bankowi usunięcia danych osobowych skarżącego z BIK i ZBP.
Odnosząc się do zarzutu skarżącego naruszenia art. 24 ustawy o ochronie danych osobowych należy wskazać, że informacje o adresie siedziby i pełnej nazwie podmiotu zbierającego dane osobowe skarżącego, celu zbierania danych, przewidywanych odbiorcach danych, prawie dostępu do treści danych oraz ich poprawiania i dobrowolności albo obowiązku ich podania, jeżeli taki istniej, zostały zawarte w formularzach wniosków o wydanie kart kredytowych z [...] grudnia 1998 r. i [...] września 2002 r. (rubryka: "Oświadczenia"), które skarżący wypełnił i podpisał.
Jeśli zaś idzie o zarzut niewypełnienia przez Bank obowiązku informacyjnego, o którym mowa w art. 33 ust. 1 uodo, należy wskazać, iż w aktach administracyjnych brak jest dowodu, by skarżący z wnioskiem w tym przedmiocie zwracał się do Banku.
Pismo z [...] września 2012 r., na które powołuje się skarżący, w swojej treści nie zawiera sformułowania o takim charakterze. W tym stanie rzeczy Sąd podniesione w skardze zarzuty uznał za chybione, zaś skarżona decyzja odpowiada prawu.
Mając powyższe na względzie Wojewódzki Sąd Administracyjny w Warszawie na podstawie art. 151 ustawy z dnia 30 sierpnia 2002 r. Prawo o postępowaniu przed sądami administracyjnymi (Dz. U. z 2012 r., poz. 270 ze zm.) orzekł, jak w sentencji wyroku.
Źródło: Centralna Baza Orzeczeń Sądów Administracyjnych (orzeczenia.nsa.gov.pl), pozyskano 13.07.2026. · Źródło