I OSK 1935/13

WyrokNaczelny Sąd Administracyjny2015-04-21

Skład orzekający: Małgorzata Masternak - Kubiak, Joanna Runge – Lissowska, Dariusz Chaciński

Analiza orzeczenia

Sekcja wygenerowana przez AI na podstawie treści orzeczenia — nie stanowi cytatu.

Zagadnienie prawne
Czy przekazanie danych osobowych stanowiących tajemnicę bankową do Związku Banków Polskich w celu oceny zdolności kredytowej jest dopuszczalne bez zgody osoby, której dane dotyczą, na podstawie art. 105 ust. 4 Prawa bankowego?
Ratio decidendi
Przekazanie danych osobowych stanowiących tajemnicę bankową do Związku Banków Polskich w celu oceny zdolności kredytowej jest dopuszczalne bez zgody osoby, której dane dotyczą, na podstawie art. 105 ust. 4 Prawa bankowego. Związek Banków Polskich, działając na podstawie swojego statutu i umów z bankami, może być uznany za instytucję upoważnioną do gromadzenia, przetwarzania i udostępniania bankom informacji stanowiących tajemnicę bankową w zakresie niezbędnym do wykonywania czynności bankowych, w tym oceny zdolności kredytowej. Działanie to jest zgodne z art. 23 ust. 1 pkt 2 ustawy o ochronie danych osobowych, gdyż jest niezbędne dla zrealizowania obowiązku banku wynikającego z przepisu prawa (ocena zdolności kredytowej).
Stan faktyczny
C. P. złożył wniosek o kredyt bankowy, który został odmówiony z powodu negatywnej historii kredytowej uzyskanej przez bank z Międzybankowej Informacji Gospodarczej (MIG) prowadzonej przez Związek Banków Polskich (ZBP). C. P. złożył skargę do Generalnego Inspektora Ochrony Danych Osobowych (GIODO) na przetwarzanie jego danych osobowych przez Bank i ZBP, domagając się usunięcia danych i wstrzymania ich przekazywania. GIODO odmówił uwzględnienia wniosku, uznając przekazanie danych do ZBP za legalne na podstawie przepisów Prawa bankowego. Wojewódzki Sąd Administracyjny (WSA) oddalił skargę C. P. na decyzję GIODO. C. P. wniósł skargę kasacyjną do Naczelnego Sądu Administracyjnego (NSA).
Rozstrzygnięcie
Oddalono skargę kasacyjną.

Pełny tekst orzeczenia

Naczelny Sąd Administracyjny w składzie następującym: Przewodniczący Sędzia NSA Małgorzata Masternak - Kubiak, Sędzia NSA Joanna Runge – Lissowska, Sędzia del. WSA Dariusz Chaciński (spr.), Protokolant starszy inspektor sądowy Kamil Wertyński, po rozpoznaniu w dniu 21 kwietnia 2015 r. na rozprawie w Izbie Ogólnoadministracyjnej skargi kasacyjnej C. P. od wyroku Wojewódzkiego Sądu Administracyjnego w Warszawie z dnia 22 maja 2013 r. sygn. akt II SA/Wa 416/13 w sprawie ze skargi C. P. na decyzję Generalnego Inspektora Ochrony Danych Osobowych z dnia [...] stycznia 2013 r. nr [...] w przedmiocie odmowy uwzględnienia skargi o przetwarzanie danych osobowych oddalono skargę kasacyjną Zaskarżonym skargą kasacyjną wyrokiem z dnia 22 maja 2013 r., sygn. akt II SA/Wa 416/13, Wojewódzki Sąd Administracyjny w Warszawie oddalił skargę C. P. na decyzję Generalnego Inspektora Ochrony Danych Osobowych z dnia [...] stycznia 2013 r., nr [...], w przedmiocie odmowy uwzględnienia skargi o przetwarzanie danych osobowych. W uzasadnieniu wyroku Sąd przedstawił następujący stan sprawy. W dniu 31 stycznia 2006 r. C. P. złożył w Banku [...] S.A. z siedzibą w W. wniosek o przyznanie kredytu bankowego konsumpcyjnego dla osób fizycznych i poinformowano go, że jego dane osobowe, zawarte w dokumentach składanych do Banku, umowach i dokumentach sporządzanych w związku z czynnościami bankowymi, są przetwarzane przez Bank w oparciu o informacje przekazane przez skarżącego i nawet w przypadku braku stosownej zgody, której udzielenie jest dobrowolne, będą przetwarzane w celu należytego wykonywania umów zawartych między stronami oraz w celu przekazywania informacji o produktach i usługach oferowanych przez Bank. Ponadto Bank poinformował skarżącego, że w przypadku braku zgody, dane osobowe skarżącego będą przekazywane wyłącznie podmiotom uprawnionym na podstawie przepisów prawa, jak również upoważnionym na podstawie zawartych przez Bank umów, służących realizacji czynności bankowych ze szczególnym uwzględnieniem firm windykacyjnych. Następnie w związku ze złożonym przez skarżącego wnioskiem, Bank zwrócił się do Międzybankowej Informacji Gospodarczej (prowadzonej przez Związek Banków Polskich) w celu uzyskania informacji o historii kredytowej o wymienionym i po uzyskaniu informacji, że nie uregulował on zobowiązań wobec innych instytucji bankowych, odmówiono mu udzielenia kredytu. W wyniku powyższego, C. P. wystąpił przeciwko Bankowi z powództwem do Sądu Okręgowego w Warszawie (sygn. akt XXIV C 32/09) o zapłatę tytułem odszkodowania za szkody poniesione wskutek naruszenia przez Bank tajemnicy bankowej, polegającej na przekazaniu bez jego zgody ZBP jego danych osobowych podanych we wniosku o udzielenie kredytu konsumpcyjnego. Powództwo i apelacja powoda zostały oddalone (zob. wyrok Sądu Apelacyjnego w Warszawie z dnia 10 listopada 2009 r., I ACa 766/09). Następnie do Generalnego Inspektora Ochrony Danych Osobowych wpłynęła skarga C. P. dotycząca przetwarzania jego danych osobowych przez Bank [...] S.A. z siedzibą w Warszawie oraz przez Związek Banków Polskich z siedzibą w Warszawie, w której wskazał, że złożył wniosek o kredyt konsumencki w dniu 31 stycznia 2006 roku. Bank przekazał informacje stanowiące tajemnicę bankową zawartą we wniosku kredytowym do działającego przy Związku Banków Polskich w Warszawie, Międzybankowej Informacji Gospodarczej. Bank nie otrzymał zgody na przekazywanie danych osobowych do Związku Banków Polskich. W związku z powyższym doszło do naruszenia tajemnicy bakowej. Jego żądanie dotyczy usunięcia uchybień, usunięcia danych osobowych z bazy danych MIG przy ZBP, zabezpieczenia danych w Banku [...] i wstrzymanie przekazywania danych z Banku [...] innym podmiotom oraz rejestracji zbioru danych zawierających dane osobowe skarżącego. Z wyjaśnień złożonych Generalnemu Inspektorowi przez ZBP wynika, że dane osobowe skarżącego zostały zgłoszone do Systemu Bankowy Rejestr przez [...] S.A. z Centralą w Warszawie w dniu 22 marca 2005 r. oraz przez Bank [...] w Warszawie S.A. w dniu 8 czerwca 2004 r. Bank [...] S.A. nie umieścił danych skarżącego w Systemie Bankowy Rejestr. Jednak, jak wskazał ZBP, w Systemie BR [Bankowy Rejestr] są gromadzone i przetwarzanie wyłącznie informacje wprowadzone przez uczestników systemu (obecnie tylko banki), którzy podpisali z ZBP Umowy o zasadach uczestnictwa i współpracy w zakresie wymiany informacji w Systemie BR. Z chwilą podpisania Umowy przystępujący Uczestnik jest uprawniony do korzystania z danych gromadzonych w tym systemie, które ZBP udostępnia Uczestnikom Systemu, za pośrednictwem infrastruktury technicznej i organizacyjnej, wydzielonej do obsługi tej bazy. Generalny Inspektor Ochrony Danych Osobowych, działając na podstawie art. 12 pkt 2, art. 22 w zw. z art. 23 ust. 1 pkt 2 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. z 2002 r. Nr 101, poz. 926 ze zm.) oraz art. 105 ust. 4, art. 105a ust. 1 ustawy z dnia 29 sierpnia 1997 r. Prawo bankowe (Dz. U. z 2002 r. Nr 72, poz. 665 ze zm.), decyzją z dnia [...] października 2012 r. odmówił uwzględnienia wniosku skarżącego. W uzasadnieniu – powołując się na opisany wyżej stan faktyczny – podał, że ustawa o ochronie danych osobowych, określa zasady postępowania przy przetwarzaniu danych osobowych oraz prawa osób fizycznych, których dane osobowe są lub mogą być przetwarzane w zbiorach danych (art. 2 ust. 1 ustawy). W świetle przepisów powołanego aktu prawnego, przetwarzanie danych osobowych jest uprawnione, gdy spełniona zostanie którakolwiek z przesłanek wymienionych w art. 23 ust. 1 ustawy. Przesłanki te odnoszą się do wszelkich form przetwarzania danych wymienionych w art. 7 pkt 2 ustawy, w tym w szczególności do ich udostępnienia i są także względem siebie równoprawne, co oznacza, że dla legalności procesu przetwarzania danych wystarczające jest spełnienie jednej z nich. Zgodnie natomiast z art. 23 ust. 1 pkt 2 ustawy, przetwarzanie danych osobowych jest dopuszczalne wtedy, gdy jest to niezbędne dla zrealizowania uprawnienia lub spełnienia obowiązku wynikającego z przepisu prawa. Tym samym, zgoda na przetwarzanie danych, o której mowa w art. 23 ust. 1 pkt 1 ustawy, nie jest jedyną przesłanką legalizującą proces przetwarzania danych osobowych. Aktem prawnym zawierającym szczegółowe regulacje dotyczące procesu przetwarzania danych osobowych klientów banków jest przede wszystkim ustawa z dnia 29 sierpnia 1997 r. Prawo bankowe. Ocena legalności przetwarzania danych osobowych skarżącego przez Bank, a także przez ZBP, musi być zatem dokonywana w powiązaniu z przepisami Prawa bankowego. ZBP jest instytucją utworzoną na podstawie art. 105 ust. 4 Prawa bankowego stanowiącego, że banki mogą, wspólnie z bankowymi izbami gospodarczymi, utworzyć instytucje do gromadzenia, przetwarzania i udostępniania: bankom – informacji stanowiących tajemnicę bankową w zakresie, w jakim informacje te są potrzebne w związku z wykonywaniem czynności bankowych, innym instytucjom ustawowo upoważnionym do udzielania kredytów – informacji o wierzytelnościach oraz o obrotach i stanach rachunków bankowych w zakresie, w jakim informacje te są niezbędne w związku z udzielaniem kredytów, pożyczek pieniężnych, gwarancji bankowych i poręczeń. Zgodnie z art. 105a ust. 1 Prawa bankowego, przetwarzanie przez banki, inne instytucje ustawowo upoważnione do udzielania kredytów oraz instytucje utworzone na podstawie art. 105 ust. 4 (np. ZBP), informacji stanowiących tajemnicę bankową w zakresie dotyczącym osób fizycznych może być wykonywane, z zastrzeżeniem art. 104, art. 105 i art. 106-106c, w celu oceny zdolności kredytowej i analizy ryzyka kredytowego. Informacje ZBP służyć mają wypełnianiu przez banki, jako instytucje zaufania publicznego, ich ustawowych obowiązków związanych z koniecznością dokładania szczególnej staranności w zakresie zapewnienia bezpieczeństwa przechowywanych środków pieniężnych, czyli w zakresie ochrony depozytów (art. 50 ust. 2 Prawa bankowego), a także z koniecznością należytego badania zdolności kredytowej, od której istnienia (zgodnie z art. 70 ust. 1 Prawa bankowego), bank uzależnia udzielenie kredytu. Badanie zdolności kredytowej, na którą składa się zdolność do spłaty zobowiązań i wiarygodność kredytowa, jest niezwykle istotnym elementem w działalności banku. Związek Banków Polskich został utworzony właśnie w celu zmniejszenia dla banków i instytucji kredytowych ryzyka udzielania trudnych kredytów, przyśpieszenia i uproszczenia procedur kredytowych, wspomagania decyzji banków dotyczących udzielania kredytu. ZBP aktualnie przetwarza dane osobowe skarżącego udostępnione mu przez [...] S.A. oraz Bank [...] w Warszawie S.A., zaś Bank [...] S.A. zwrócił się do ZBP jedynie w celu uzyskania informacji o historii kredytowej skarżącego. Przekazanie danych osobowych przez Bank do ZBP nastąpiło w oparciu o przesłankę wymienioną w art. 23 ust. 1 pkt 2 ustawy (w związku z art. 105 ust. 4 Prawa bankowego), a dla legalności tego udostępnienia (na mocy art. 105 ust. 4 Prawa bankowego) zgoda skarżącego nie była wymagana. Podkreślono, że jego zgoda byłaby wymagana jedynie do przetwarzania przez ZBP jego danych osobowych po wygaśnięciu zobowiązania wynikającego z umowy zawartej z Bankiem w celu oceny zdolności kredytowej i analizy ryzyka kredytowego (art. 105a ust. 2 Prawa bankowego), jednakże – jak wynika z materiału dowodowego – pomiędzy skarżącym a Bankiem nie doszło do zawarcia umowy o udzieleniu kredytu konsumpcyjnego. Zgodnie z art. 61 § 1 k.p.a., postępowanie administracyjne wszczyna się na żądanie strony lub z urzędu. Organ ochrony danych osobowych poprzez postępowanie administracyjne przeprowadził kontrolę, celem której było ustalenie czy doszło do naruszeń w związku z przetwarzaniem danych osobowych skarżącego. Jednocześnie wskazano, że kontrola przetwarzania danych osobowych w siedzibie danego podmiotu, przeprowadzana przez inspektorów Biura Generalnego Inspektora Ochrony Danych Osobowych, może zostać wszczęta jedynie z urzędu, a nie na wniosek. Ponadto z zebranego materiału dowodowego wynika, że udostępnienie danych osobowych skarżącego odbyło się z uwzględnieniem zasad ochrony danych osobowych. Co do nakazu wstrzymania przekazywania danych z Banku [...] innym podmiotom stwierdzono, że organ ochrony danych osobowych ocenia stan faktyczny na dzień wydania decyzji. Nie jest zatem możliwe wydanie przez organ decyzji administracyjnej "na przyszłość" i obejmującej nieograniczony krąg podmiotów. Ponadto zakres niniejszego postępowania dotyczył jedynie zbadania legalności przetwarzania danych osobowych skarżącego w odniesieniu do Banku i ZBP. W dalszej części wskazano, że postępowanie prowadzone w związku z rejestracją zbioru danych osobowych (o co wnosił skarżący), nie może być zainicjowane wnioskiem osoby, której dane osobowe miałyby znaleźć się w tymże zbiorze i stroną takiego postępowania jest wyłącznie podmiot zgłaszający zbiór do rejestracji. Na marginesie stwierdzono, że z uwagi na to, iż zakres przedmiotowy skargi nie obejmował przetwarzania danych osobowych przez Bank [...] w Warszawie S.A. oraz [...] S.A., Generalny Inspektor Ochrony Danych Osobowych analizował jedynie legalność przetwarzania danych osobowych skarżącego przez Bank [...] S.A. w związku z udostępnieniem ich ZBP. Przedmiot postępowania wszczętego nie z urzędu, lecz na wniosek osoby zainteresowanej, jest ograniczony wyłącznie do przetwarzania jej danych osobowych i to w zakresie wskazanym we wniosku. Organ nie jest zaś uprawniony do wykraczania poza zakreślone w ten sposób ramy postępowania administracyjnego. We wniosku o ponowne rozpatrzenie sprawy skarżący zarzucił, że GIODO twierdzi, iż przekazanie danych przez Bank [...] do ZBP nie nosiło znamion bezprawności, gdyż nastąpiło w oparciu o przesłankę wymienioną w art. 23 ust. 1 pkt 2 ustawy (w związku z art. 105 ust. 4 prawa bankowego), a dla legalności tego udostępnienia zgoda skarżącego nie była wymagana. GIODO posiłkuje się przy tym wadliwą interpretacją art. 105a ust. 1 prawa bankowego, który zdaniem GIODO uprawnia banki do przekazywania danych instytucjom utworzonym na podstawie art. 105 ust. 4 prawa bankowego celem oceny zdolności kredytowej. GIODO winien zrekapitulować stanowisko w tym zakresie mając także na względzie orzecznictwo zawarte w skardze. W związku z powyższym wniósł o wydanie decyzji w zakresie usunięcia uchybień, usunięcia danych osobowych z bazy danych MIG przy ZBP, zabezpieczenia danych w Banku [...] i wydanie decyzji zakazującej przekazywania danych z Banku [...] do innych podmiotów ustawowo nieuprawnionych, mając na względzie, iż nie złożył oświadczenia woli wyrażającego zgodę na przekazywanie danych. Decyzja w tym zakresie dotycząca stosunków "przyszłych", nie jest wykluczona zarówno przez k.p.a., jak i uodo oraz wniósł o nadanie decyzji rygoru natychmiastowej wykonalności, z uwagi na ważny interes strony, jakim jest ochrona prawa do prywatności. Jednocześnie wniósł o wydanie odrębnej decyzji nakazującej wykreślenie jego danych z bazy danych MIG i nadaniu tej decyzji również rygoru natychmiastowej. Generalny Inspektor Ochrony Danych Osobowych decyzją z dnia [...] stycznia 2013 r. utrzymał w mocy zaskarżoną decyzję z dnia [...] października 2012 r. W uzasadnieniu podał, że wniosek skarżącego o wydanie odrębnej decyzji nakazującej wykreślenie danych skarżącego z bazy danych MIG i nadaniu decyzji rygoru natychmiastowej wykonalności nie może być uwzględniony, bowiem na tym etapie postępowania, tj. po rozstrzygnięciu sprawy decyzją administracyjną, rozszerzenie jego zakresu przedmiotowego i podmiotowego jest niedopuszczalne z uwagi na zasadę dwuinstancyjności postępowania administracyjnego. Rozszerzenie zakresu podmiotowego lub przedmiotowego sprawy na etapie postępowania zainicjowanego wnioskiem o jej ponowne rozpatrzenie oznaczałoby naruszenie zasady dwuinstancyjności rozpoznania i rozstrzygnięcia tożsamej sprawy, co stanowiłoby istotne naruszenie prawa w rozumieniu art. 156 § 1 k.p.a. Podsumowując, organ administracji publicznej wydaje decyzję administracyjną w oparciu o stan faktyczny i prawny istniejący w dacie wydawania decyzji. Nie jest zatem możliwe wydanie przez organ decyzji administracyjnej "na przyszłość" i obejmującej w swej treści nieograniczony krąg podmiotów. Ponadto zakres niniejszego postępowania dotyczył jedynie zbadania legalności przetwarzania danych osobowych skarżącego w odniesieniu do Banku i ZBP. W skardze do Wojewódzkiego Sądu Administracyjnego w Warszawie, skarżący C. P. wniósł o uchylenie zaskarżonej i poprzedzającej ją decyzji oraz zobowiązanie organu do wydania decyzji uwzględniającej żądanie zawarte we wniosku. W uzasadnieniu podał, że organ posiłkuje się wadliwą interpretacją art. 105a Prawa bankowego, która zdaniem GIODO uprawnia banki do przekazywania danych instytucjom utworzonym na podstawie art. 105 ust. 4 Prawa bankowego celem oceny zdolności kredytowej. Tymczasem wspomniany art. 105a Prawa bankowego stanowi, iż przekazywanie danych następuje z zastrzeżeniem m.in. art. 104 Prawa bankowego. Natomiast art. 104 ust. 3 Prawa bankowego obliguje do uzyskania wyraźnej zgody klienta banku do przekazywania określonych danych określonemu podmiotowi. Jednocześnie zaś art. 10 ust. 2 Prawa bankowego nie zwalnia banków od zachowania tajemnicy bankowej podczas wykonywania zadania oceny zdolności kredytowej, zatem organ winien zrekapitulować stanowisko w tym zakresie. W dalszej części powołał się na treść art. 104 i 105 Prawa bankowego i skonstatował, że bank jest zobligowany do uzyskania w formie pisemnej upoważnienia od beneficjenta do ujawnienia adresatowi określonych informacji. Na koniec zaś zaakcentował, że art. 105 ust. 4 Prawa bankowego wskazuje, iż "instytucję" do gromadzenia informacji, współtworzyć musi co najmniej jeden bank oraz bankowa izba gospodarcza, za którą można uznać ZBP, gdyż funkcjonuje w oparciu o ustawę o izbach gospodarczych. W takim stanie rzeczy wątpliwym jest legitymacja MIG działającego przy ZBP do gromadzenia danych stanowiących tajemnicę bankową. Organ zatem nie dokonał sprawdzenia i oceny, co to jest MIG, a możliwym i najbardziej prawdopodobnym jest, iż MIG jest bazą danych administrowaną przez ZBP i niezarejestrowaną w GIODO. Zatem nie mamy wówczas do czynienia z "instytucją" w rozumieniu art. 105 ust. 4 Prawa bankowego, a jedynie z przetwarzaniem danych przez ZBP bez ustawowego uprawnienia. W takim stanie rzeczy nieuprawnionym było i jest przekazywanie danych do ZBP przez jakiekolwiek banki. W odpowiedzi na skargę Generalny Inspektor Ochrony Danych Osobowych wniósł o jej oddalenie. Oddalając skargę wskazanym na wstępie wyrokiem z dnia 22 maja 2013 r., II SA/Wa 416/13, Wojewódzki Sąd Administracyjny w Warszawie stwierdził, że stosownie do art. 23 ust. 1 pkt 1 ustawy o ochronie danych osobowych, przetwarzanie danych jest dopuszczalne tylko wtedy, gdy osoba, której dane dotyczą, wyrazi na to zgodę, chyba że chodzi o usunięcie jej danych, natomiast w myśl pkt 2, gdy jest to niezbędne dla zrealizowania uprawnienia lub spełnienia obowiązku wynikającego z przepisu prawa. W rozpoznawanej sprawie skarżący C. P. w dniu 31 stycznia 2006 r. zwrócił się do Banku [...] S.A. z siedzibą w W. z wnioskiem o przyznanie kredytu bankowego konsumpcyjnego dla osób fizycznych i wobec powyższego, w procedurze przyznawania kredytu miały zastosowanie przepisy ustawy z dnia 27 sierpnia 1997 r. – Prawo bankowe. Według zaś art. 105 ust. 4 pkt 1 Prawa bankowego, banki mogą, wspólnie z bankowymi izbami gospodarczymi, utworzyć instytucje upoważnione do gromadzenia, przetwarzania i udostępniania bankom – informacji stanowiących tajemnicę bankową m.in. w zakresie, w jakim informacje te są potrzebne w związku z wykonywaniem czynności bankowych, a w rozpoznawanej sprawie instytucją tą jest Związek Banków Polskich prowadzący Międzybankową Informację Gospodarczą. Z kolei, zgodnie z art. 105a ust. 1 tej ustawy, przetwarzanie przez banki, inne instytucje ustawowo upoważnione do udzielania kredytów oraz instytucje utworzone na podstawie art. 105 ust. 4, informacji stanowiących tajemnicę bankową w zakresie dotyczącym osób fizycznych może być wykonywane, z zastrzeżeniem art. 104, art. 105 i art. 106 – 106c, w celu oceny zdolności kredytowej i analizy ryzyka kredytowego. Instytucje, o których mowa w ust. 1, mogą, z zastrzeżeniem ust. 3, przetwarzać informacje stanowiące tajemnicę bankową w zakresie dotyczącym osób fizycznych po wygaśnięciu zobowiązania wynikającego z umowy zawartej z bankiem lub inną instytucją ustawowo upoważnioną do udzielania kredytów, pod warunkiem uzyskania pisemnej zgody osoby, której informacje te dotyczą. Zgoda ta może być w każdym czasie odwołana (ust. 2). Jednakże w myśl ust. 3 tegoż przepisu, instytucje, o których mowa w ust. 1, mogą przetwarzać informacje stanowiące tajemnicę bankową dotyczące osób fizycznych po wygaśnięciu zobowiązania wynikającego z umowy zawartej z bankiem lub inną instytucją ustawowo upoważnioną do udzielania kredytów, bez zgody osoby, której informacje dotyczą, gdy osoba ta nie wykonała zobowiązania lub dopuściła się zwłoki powyżej 60 dni w spełnieniu świadczenia wynikającego z umowy zawartej z bankiem lub inną instytucją ustawowo upoważnioną do udzielania kredytów, a po zaistnieniu tych okoliczności upłynęło co najmniej 30 dni od poinformowania tej osoby przez bank lub inną instytucję ustawowo upoważnioną do udzielania kredytów o zamiarze przetwarzania dotyczących jej informacji stanowiących tajemnicę bankową, bez jej zgody. Zatem Bank [...] S.A., skoro skarżący zwrócił się do niego o udzielenie kredytu konsumpcyjnego, miał prawo przetwarzać jego dane osobowe w celu oceny zdolności kredytowej i analizy ryzyka kredytowego. Miał też prawo zwrócić się o powyższe dane do Międzybankowej Informacji Gospodarczej prowadzonej przez Związek Banków Polskich, utworzonej na mocy wspomnianego już wyżej art. 105 ust. 4 pkt 1 Prawa bankowego, który jednocześnie uprawnia do wykonania tej czynności bez zgody skarżącego. Ponadto dane osobowe skarżącego mogły być przetwarzane stosownie do art. 105a ust. 3 ustawy, bowiem – jak wynika z pisma Związku Banków Polskich z dnia 20 czerwca 2012 r. i czemu skarżący nie zaprzecza – dane te zostały przekazane nie przez Bank [...] S.A., a przez [...] S.A. z Centralą w W. w dniu 22 marca 2005 r. i przez Bank [...] w Warszawie S.A. z Centralą w W. i są przetwarzane bez jego zgody właśnie na podstawie art. 105a ust. 3 Prawa bankowego. Sąd I instancji zgodził się z organem, że przekazanie danych osobowych skarżącego bez jego zgody przez Związek Banków Polskich Bankowi [...] S.A., w konsekwencji miało swoje uzasadnienie w treści art. 105 ust. 4 Prawa bankowego. Sąd Wojewódzki zgodził się też z organem, że nakazanie wydania decyzji zakazującej przekazywanie danych z Banku [...] S.A. do innych podmiotów "na przyszłość" jest nieuprawnione, bowiem w myśl art. 18 ust. 1 ustawy o ochronie danych osobowych, w przypadku naruszenia przepisów o ochronie danych osobowych Generalny Inspektor z urzędu lub na wniosek osoby zainteresowanej, w drodze decyzji administracyjnej, nakazuje przywrócenie stanu zgodnego z prawem, a w szczególności: 1) usunięcie uchybień, 2) uzupełnienie, uaktualnienie, sprostowanie, udostępnienie lub nieudostępnienie danych osobowych, 3) zastosowanie dodatkowych środków zabezpieczających zgromadzone dane osobowe, 4) wstrzymanie przekazywania danych osobowych do państwa trzeciego, 5) zabezpieczenie danych lub przekazanie ich innym podmiotom, 6) usunięcie danych osobowych. Zatem po pierwsze, Generalny Inspektor Ochrony Danych Osobowych musi stwierdzić rzeczywiste naruszenie prawa, a nie hipotetyczne, a po drugie, w konsekwencji powyższego stwierdzenia, nakazać przywrócić stan zgodny z prawem. Ponadto postępowanie prowadzone w związku z rejestracją zbioru danych osobowych nie może być wszczęte na wniosek osoby, której dane osobowe miałyby się znaleźć w tym zbiorze i stroną w takim postępowaniu może być jedynie podmiot zgłaszający zbiór do rejestracji. Skargę kasacyjną od wyroku Wojewódzkiego Sądu Administracyjnego w Warszawie z dnia 22 maja 2013 r., II SA/Wa 416/13, wniósł C. P.. Zaskarżając wyrok w całości zarzucił mu naruszenie prawa materialnego i procesowego: 1. niewłaściwe zastosowanie art. 105 ust. 4 prawa bankowego z dnia 29 sierpnia 1997 r. poprzez uznanie, iż Związek Banków Polskich działający na podstawie ustawy z dnia 30 maja 1989 o izbach gospodarczych jest samodzielnie uprawniony do przetwarzania danych stanowiących tajemnicę bankową; 2. niewłaściwe zastosowanie art. 23 ust. 1 pkt 2 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych w zw. z art. 70 ust. 1 prawa bankowego w zw. z art. 105a ust. 1, art. 104 ust. 2, art. 104 ust. 3 i art. 105 ust. 4 prawa bankowego, poprzez uznanie, iż w celu oceny zdolności kredytowej bank [...] mógł w roku 2006, bez zgody klienta banku, przekazywać dane stanowiące tajemnicę bankową do instytucji utworzonych na podstawie art. 105 ust. 4 prawa bankowego (w brzmieniu sprzed 1 kwietnia 2007) oraz Związku Banków Polskich; 3. brak zastosowania art. 23 ust. 1 pkt 1 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych w zw. z art. 233 k.p.c., art. 65 § 1 k.c., art. 385 § 2 k.c. i art. 3851 § 1 k.c. poprzez niedokonanie przez Sąd oceny złożonego przez skarżącego oświadczenia woli, które jego zdaniem nie było zgodą na udostępnienie danych stanowiących tajemnicę bankową do Związku Banków Polskich; 4. niewłaściwe zastosowanie art. 105a ust. 3 prawa bankowego w zw. z art. 233 k.p.c. poprzez niewłaściwe ustalenie, iż Związek Banków Polskich (pomijając ustawową legitymację do przetwarzania danych) był uprawniony do przetwarzania danych przekazanych w roku 2004 przez Bank [...] i 22 marca 2005 r. przez PKO BP, gdy tymczasem przepis ten obowiązywał od 16 czerwca 2005 r., a ponadto wymagane jest uprzednie powiadomienie o przekazywaniu danych klienta bez jego zgody do instytucji utworzonych na podstawie art. 105 ust. 4 prawa bankowego; 5. Niewłaściwe zastosowanie art. 18 ust. 1 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych poprzez uznanie, iż nie jest możliwym wydanie decyzji na "przyszłość", gdy tymczasem GIODO może zakazać udostępniania danych osobom trzecim a będącym w przetwarzaniu przez Bank, nakazać zastosowanie środków zabezpieczających, uniemożliwiających przekazywanie danych przez Bank, nakazać usunięcia danych przekazanych przez Bank do ZBP jak i przetwarzanych przez ZBP. Z uwagi na powyższe skarżący kasacyjnie wniósł o uchylenie wyroku WSA w Warszawie w całości, uchylenie wszystkich decyzji GIODO, a następnie zobowiązanie GIODO do wydania decyzji uwzględniającej żądania wyrażone we wniosku jak i w uzupełnieniach, tj. usunięcia danych w ZBP a przekazanych przez Bank [...], usunięcia danych gromadzonych w ZBP a przekazanych przez PKO BP i Bank [...] , usunięcia danych otrzymanych od ZBP a gromadzonych w Banku [...] i zakazanie przekazywania danych osobowych skarżącego przetwarzanych w Banku [...] do ZBP. Ponadto wniósł o zasądzenie na rzecz skarżącego kosztów postępowania za obydwie instancje. W odpowiedzi na skargę kasacyjną Generalny Inspektor Ochrony Danych Osobowych wniósł o jej oddalenie, podtrzymując dotychczasowe stanowisko. Odpowiedzi na skargę kasacyjną udzielił też Związek Banków Polskich, jako uczestnik postępowania, wnosząc o jej oddalenie i zasądzenie kosztów postępowania kasacyjnego. W odpowiedzi tej podkreślono, że Generalny Inspektor Ochrony Danych Osobowych prowadził z urzędu postępowanie administracyjne w sprawie przetwarzania danych osobowych w zbiorze o nazwie "System Międzybankowej Informacji Gospodarczej - Bankowy Rejestr" (obecnie nosi on nazwę "System Bankowy Rejestr") przez Związek Banków Polskich. Przedmiotem postępowania było ustalenie, czy ZBP jest administratorem danych gromadzonych w Bankowym Rejestrze i czy istnieją podstawy prawne do przetwarzania tych danych osobowych. Generalny Inspektor Ochrony Danych Osobowych nie stwierdził naruszenia przepisów o ochronie danych osobowych i uznał, że ZBP przysługuje status administratora tych danych. Jednocześnie, w świetle art. 105 ust. 4 Prawa bankowego, powołując się na Statut ZBP, z którego wynika, iż zakres działalności ZBP obejmuje m.in. zbieranie, przetwarzanie i wymianę informacji bankowej i gospodarczej, Generalny Inspektor Ochrony Danych Osobowych uznał ZBP za instytucję, o której mowa w art. 105 ust. 4 Prawa bankowego, tj. instytucję gromadzącą, przetwarzającą i udostępniającą informacje, w tym dane osobowe objęte tajemnicą bankową, które zawarte są w systemie Bankowy Rejestr (decyzja Generalnego Inspektora Ochrony Danych Osobowych z dnia 12 kwietnia 2006 r.). W świetle powyższego, chybione są dalsze podstawy kasacyjne. Naczelny Sąd Administracyjny zważył, co następuje. W ocenie Naczelnego Sądu Administracyjnego skarga kasacyjna nie ma usprawiedliwionych podstaw. Zgodnie z art. 174 ustawy z dnia 30 sierpnia 2002 r. Prawo o postępowaniu przed sądami administracyjnymi (Dz. U. z 2012 r., poz. 270, ze zm.) – p.p.s.a. – skargę kasacyjną można oprzeć na następujących podstawach: 1) naruszeniu prawa materialnego przez błędną jego wykładnię lub niewłaściwe zastosowanie; 2) naruszeniu przepisów postępowania, jeżeli uchybienie to mogło mieć istotny wpływ na wynik sprawy. Naczelny Sąd Administracyjny jest związany podstawami skargi kasacyjnej, albowiem zgodnie z art. 183 § 1 p.p.s.a. rozpoznając sprawę w granicach skargi kasacyjnej, bierze z urzędu pod rozwagę jedynie nieważność postępowania. Przesłanki nieważności określone w art. 183 § 2 p.p.s.a. w tej sprawie nie wystąpiły. Kontrolując zatem zgodność z prawem zaskarżonego wyroku w granicach skargi kasacyjnej, Naczelny Sąd Administracyjny ograniczył tę kontrolę do wskazanych w niej zarzutów. Zwrócić przy tym należy uwagę na nieprawidłową konstrukcję podstaw kasacyjnych, gdyż autor skargi kasacyjnej podnosząc, że zaskarżonemu wyrokowi zarzuca naruszenie prawa materialnego i procesowego, nie wyodrębnił, które zarzuty stawia w ramach naruszenia prawa materialnego (art. 174 pkt 1 p.p.s.a.), a które w ramach naruszenia przepisów postępowania (art. 174 pkt 2 p.p.s.a.). W ocenie Naczelnego Sądu Administracyjnego wszystkie zarzuty dotyczą naruszenia prawa materialnego i żaden z nich nie zasługiwał na uwzględnienie. Punkt wyjścia do dalszych rozważań stanowi zarzut pierwszy, a mianowicie, czy art. 105 ust. 4 ustawy z dnia 29 sierpnia 1997 r. – Prawo bankowe (Dz. U. z 2002 r. Nr 72, poz. 665 ze zm. – publikacja z dnia rozstrzygania sprawy przez GIODO, obecnie Dz. U. z 2015 r., poz. 128) daje podstawę do wnioskowania, że Związek Banków Polskich działający na podstawie ustawy z dnia 30 maja 1989 r. o izbach gospodarczych jest uprawniony do przetwarzania danych stanowiących tajemnicę bankową. Przepis art. 105 ust. 4 Prawa bankowego stanowi, że "Banki mogą, wspólnie z bankowymi izbami gospodarczymi, utworzyć instytucje upoważnione do gromadzenia, przetwarzania i udostępniania: 1) bankom - informacji stanowiących tajemnicę bankową w zakresie, w jakim informacje te są potrzebne w związku z wykonywaniem czynności bankowych oraz w związku ze stosowaniem metod statystycznych, o których mowa w art. 128 ust. 3 oraz w art. 128d ust. 1; 2) innym instytucjom ustawowo upoważnionym do udzielania kredytów - informacji stanowiących tajemnicę bankową w zakresie, w jakim informacje te są niezbędne w związku z udzielaniem kredytów, pożyczek pieniężnych, gwarancji bankowych i poręczeń; 3) instytucjom kredytowym - informacji stanowiących tajemnicę bankową w zakresie niezbędnym do oceny zdolności kredytowej konsumenta, o której mowa w art. 9 ustawy z dnia 12 maja 2011 r. o kredycie konsumenckim." Z początkowej treści tego przepisu stanowiącego, że banki mogą, wspólnie z bankowymi izbami gospodarczymi, utworzyć instytucje upoważnione do gromadzenia, przetwarzania i udostępniania bankom informacji stanowiących tajemnicę bankową w zakresie, w jakim informacje te są potrzebne w związku z wykonywaniem czynności bankowych – skarżący kasacyjnie wyprowadza wniosek, że "instytucja", o jakiej mowa w tym przepisie, musi być odrębna, utworzona wspólnie przez banki i bankową izbę gospodarczą. Ponieważ System Międzybankowej Informacji Gospodarczej – Bankowy Rejestr prowadzony jest przez Związek Banków Polskich, a nie instytucję utworzoną wspólnie przez banki i bankową izbę gospodarczą (jaką jest ZBP), skarżący kasacyjnie uważa, że Związek Banków Polskich samodzielnie nie może gromadzić, przetwarzać i udostępniać bankom informacji stanowiących tajemnicę bankową, gdyż nie jest "instytucją", o jakiej mowa w art. 105 ust. 4 Prawa bankowego. Naczelny Sąd Administracyjny w obecnym składzie tej opinii nie podziela. Powołany przepis nie określa formy organizacyjnej "instytucji" upoważnionej do gromadzenia, przetwarzania i udostępniania bankom informacji stanowiących tajemnicę bankową, funkcjonującej w oparciu o ten przepis. W ocenie Naczelnego Sądu Administracyjnego za instytucję taką można uznać Związek Banków Polskich, który jest administratorem danych zawartych w Systemie Międzybankowej Informacji Gospodarczej – Bankowy Rejestr, a ten z kolei funkcjonuje w oparciu o statut ZBP i umowy z poszczególnymi bankami "o zasadach uczestnictwa i współpracy w zakresie wymiany informacji w systemie Międzybankowej Informacji Gospodarczej – Bankowy Rejestr", do których załącznik stanowi odpowiedni regulamin (zob. ustalenia zawarte w decyzji Generalnego Inspektora Ochrony Danych Osobowych z dnia 12 kwietnia 2006 r. załączonej przez ZBP do odpowiedzi na skargę kasacyjną). Gromadzenie, przetwarzanie i udostępnianie bankom informacji stanowiących tajemnicę bankową odbywa się zatem w oparciu o system utworzony wspólnie przez banki i bankową izbę gospodarczą (System Międzybankowej Informacji Gospodarczej – Bankowy Rejestr), przy czym z uwagi na brak ograniczeń co do formy organizacyjnej takiej "instytucji" administrowanie nią zostało powierzone Związkowi Banków Polskich w oparciu o stosowne umowy z bankami i w zgodzie ze statutem ZBP, co czyni ze Związku Banków Polskich instytucję upoważnioną – w rozumieniu art. 105 ust. 4 Prawa bankowego – do gromadzenia, przetwarzania i udostępniania bankom informacji stanowiących tajemnicę bankową w zakresie, w jakim informacje te są potrzebne w związku z wykonywaniem czynności bankowych. To zaś oznacza, że zgoda skarżącego kasacyjnie na przetwarzanie jego danych osobowych przez Bank [...] S.A. w postaci przekazania danych zawartych we wniosku kredytowym do Związku Banków Polskich w celu uzyskania informacji na temat zdolności kredytowej wnioskodawcy, nie była wymagana. Zgodnie z art. 23 ust. 1 pkt 2 ustawy o ochronie danych osobowych, przetwarzanie danych osobowych jest dopuszczalne wtedy, gdy jest to niezbędne dla zrealizowania uprawnienia lub spełnienia obowiązku wynikającego z przepisu prawa. Ustawodawca w art. 70 ust. 1 Prawa bankowego uzależnił przyznanie kredytu od zdolności kredytowej kredytobiorcy. Jednocześnie w przepisie tym zawarto definicję zdolności kredytowej, rozumiejąc przez to pojęcie zdolność do spłaty zaciągniętego kredytu wraz z odsetkami w terminach określonych w umowie. Badanie zdolności kredytowej kredytobiorcy jest publicznoprawnym obowiązkiem banku. Wypełniając ten obowiązek bank mógł zatem, w oparciu o art. 105 ust. 4 w zw. z art. 70 ust. 1 Prawa bankowego, przetwarzać dane osobowe skarżącego kasacyjnie bez jego zgody, co odpowiada również normie z art. 23 ust. 1 pkt 2 ustawy o ochronie danych osobowych. Wbrew zarzutowi skargi kasacyjnej nie stoi temu na przeszkodzie art. 104 ust. 3 Prawa bankowego, który w zdaniu drugim stanowi, że "Osobom trzecim informacje te [stanowiące tajemnicę bankową] mogą być ujawnione, z zastrzeżeniem art. 105, 106a i 106b, wyłącznie gdy osoba, której informacje te dotyczą, na piśmie upoważni bank do przekazania określonych informacji wskazanej przez siebie osobie lub jednostce organizacyjnej." Zwrot z zastrzeżeniem art. 105 oznacza w tej sytuacji, że zgoda nie jest wymagana, gdy przetwarzanie danych dotyczy instytucji utworzonej w oparciu o art. 105 ust. 4 Prawa bankowego. Znajduje to potwierdzenie w orzecznictwie. Dla przykładu w wyroku z dnia 11 kwietnia 2011 r., I OSK 820/10, Naczelny Sąd Administracyjny stwierdził, że "(...) Sąd pierwszej instancji prawidłowo jako podstawę do legalizacji przetwarzania danych przez banki wskazuje przepis art. 105 ust. 4 p.b., który nie tylko stanowi podstawę do tworzenia instytucji upoważnionych do gromadzenia, przetwarzania i udostępniania danych, lecz także określa zakres przekazywanych informacji stanowiących tajemnicę bankową oraz cel - ich związek z wykonywaniem czynności bankowych oraz stosowaniem metod statystycznych" (M.Pr.Bank. 2012/2/19-23). Dodanie w ust. 4 art. 105 od dnia 1 kwietnia 2007 r. słowa "upoważnione" nie zmienia wcześniejszego znaczenia tego przepisu, a jedynie doprecyzowuje jego treść, gdyż po to była możliwość tworzenia instytucji do gromadzenia, przetwarzania i udostępniania danych, aby było możliwe właściwe wypełnianie obowiązków przez banki. Przepis art. 105a ust. 1 Prawa bankowego potwierdza tylko takie ustalenia, a wnioski wypływające z odesłania do art. 104 ust 3 zostały już omówione. Natomiast przepis ust. 3 art. 105 Prawa bankowego mówi o zgodzie na przetwarzanie danych po wygaśnięciu zobowiązania, co w tym przypadku nie miało miejsca. Do rozstrzygnięcia sprawy nie była więc konieczna analiza oświadczenia woli skarżącego kasacyjnie w zakresie zgody na przetwarzanie jego danych osobowych, co czyni bezpodstawnym zarzut wskazany w pkt 3 skargi kasacyjnej. Zarzut ujęty w pkt 4 skargi kasacyjnej nie dotyczy zaś tej sprawy, gdyż zakresem wniosku C. P. z dnia 16 kwietnia 2012 r., uzupełnionego pismem z dnia 31 maja 2012 r., było jedynie przetwarzanie jego danych osobowych przez Bank [...] S.A. i Związek Banków Polskich w związku z wnioskiem kredytowym złożonym do pierwszego z tych podmiotów. Przedmiotem postępowania nie była natomiast kwestia legalności przekazania danych osobowych skarżącego kasacyjnie przez [...] S.A. i Bank [...] w W. S.A. do ZBP, stąd też te dwa banki nawet nie brały udziału w postępowaniu. Jeśli zaś chodzi o zarzut niewłaściwego zastosowania art. 18 ust. 1 ustawy o ochronie danych osobowych, to przepis ten stanowi, że Generalny Inspektor z urzędu lub na wniosek osoby zainteresowanej, w drodze decyzji administracyjnej, nakazuje przywrócenie stanu zgodnego z prawem (stosuje nakazy wymienione w pkt 1-6), w przypadku naruszenia przepisów o ochronie danych osobowych. Skoro do naruszenia przepisów o ochronie danych osobowych w tym wypadku nie doszło, to nie było możliwe zastosowanie przez GIODO żadnego środka, wymienionego w pkt 1-6 ust. 1 art. 18. Zatem i ten zarzut należy uznać za nieusprawiedliwiony. Mając to wszystko na uwadze, Naczelny Sąd Administracyjny na podstawie art. 184 p.p.s.a. oddalił skargę kasacyjną.

Źródło: Centralna Baza Orzeczeń Sądów Administracyjnych (orzeczenia.nsa.gov.pl), pozyskano 14.07.2026. · Źródło