II SA/Wa 416/13
WyrokWSA w Warszawie2013-05-22
Skład orzekający: Jacek Fronczyk, Adam Lipiński, Stanisław Marek Pietras
Analiza orzeczenia
Sekcja wygenerowana przez AI na podstawie treści orzeczenia — nie stanowi cytatu.
Zagadnienie prawne
Czy przekazanie danych osobowych klienta banku do Związku Banków Polskich (ZBP) w celu oceny zdolności kredytowej i analizy ryzyka kredytowego, bez wyraźnej zgody klienta, jest zgodne z przepisami ustawy o ochronie danych osobowych i prawa bankowego?Ratio decidendi
Przekazanie danych osobowych klienta banku do Związku Banków Polskich (ZBP) w celu oceny zdolności kredytowej i analizy ryzyka kredytowego, na podstawie art. 105 ust. 4 Prawa bankowego, jest legalne nawet bez wyraźnej zgody klienta, ponieważ przepis ten stanowi podstawę prawną do utworzenia takich instytucji i przetwarzania informacji stanowiących tajemnicę bankową w określonym zakresie. Legalność tego działania jest również potwierdzona przez art. 105a ust. 3 Prawa bankowego, który dopuszcza przetwarzanie danych bez zgody w przypadku niewykonania zobowiązania lub zwłoki w jego spłacie.Stan faktyczny
Skarżący złożył wniosek o kredyt, a bank odmówił jego udzielenia po uzyskaniu informacji o jego historii kredytowej z Międzybankowej Informacji Gospodarczej (MIG) prowadzonej przez Związek Banków Polskich (ZBP). Skarżący wniósł skargę do Generalnego Inspektora Ochrony Danych Osobowych (GIODO), zarzucając naruszenie tajemnicy bankowej i przetwarzanie danych osobowych bez zgody. GIODO odmówił uwzględnienia skargi, uznając przekazanie danych do ZBP za legalne na podstawie przepisów prawa bankowego. Po utrzymaniu w mocy tej decyzji przez GIODO w postępowaniu wpadkowym, skarżący wniósł skargę do WSA.Rozstrzygnięcie
Oddalono skargę.Pełny tekst orzeczenia
Wojewódzki Sąd Administracyjny w Warszawie w składzie następującym: Przewodniczący Sędzia WSA – Jacek Fronczyk Sędzia WSA – Adam Lipiński Sędzia WSA – Stanisław Marek Pietras (spraw.) Protokolant – sekretarz sądowy Sylwia Mikuła po rozpoznaniu na rozprawie w dniu 22 maja 2013 r. sprawy ze skargi C. P. na decyzję Generalnego Inspektora Ochrony Danych Osobowych z dnia [...] stycznia 2013 r. nr [...] w przedmiocie odmowy uwzględnienia skargi o przetwarzanie danych osobowych – oddala skargę –
W dniu [...] stycznia 2006 r. skarżący C. P. złożył w Banku [...] S.A. z siedzibą w W. wniosek o przyznanie kredytu bankowego konsumpcyjnego dla osób fizycznych i poinformowano go, że jego dane osobowe, zawarte w dokumentach składanych do Banku, umowach i dokumentach sporządzanych w związku z czynnościami bankowymi, są przetwarzane przez Bank w oparciu o informacje przekazane przez skarżącego i nawet w przypadku braku stosownej zgody, której udzielenie jest dobrowolne, będą przetwarzane w celu należytego wykonywania umów zawartych między stronami oraz w celu przekazywania informacji o produktach i usługach oferowanych przez Bank. Ponadto Bank poinformował skarżącego, że w przypadku braku zgody, dane osobowe skarżącego będą przekazywane wyłącznie podmiotom uprawnionym na podstawie przepisów prawa, jak również upoważnionym na podstawie zawartych przez Bank umów, służących realizacji czynności bankowych ze szczególnym uwzględnieniem firm windykacyjnych.
Następnie w związku ze złożonym przez skarżącego wnioskiem, Bank zwrócił się do Międzybankowej Informacji Gospodarczej (prowadzonej przez Związek Banków Polskich) w celu uzyskania informacji o historii kredytowej o wymienionym i po uzyskaniu informacji, że nie uregulował on zobowiązań wobec innych instytucji bankowych, odmówiono mu udzielenia kredytu.
W wyniku powyższego, skarżący wystąpił przeciwko Bankowi z powództwem do Sądu Okręgowego w W. (sygn. akt [...]) o zapłatę tytułem odszkodowania za szkody poniesione wskutek naruszenia przez Bank tajemnicy bankowej, polegającej na przekazaniu bez jego zgody ZBP jego danych osobowych podanych we wniosku o udzielenie kredytu konsumpcyjnego i po złożeniu apelacji, Sąd Apelacyjny w W. [...] Wydział Cywilny wyrokiem z dnia [...] listopada 2009 r. sygn. akt [...], oddalił apelację skarżącego.
Następnie do Biura Generalnego Inspektora Ochrony Danych Osobowych wpłynęła skarga (wniosek) skarżącego dotycząca przetwarzania jego danych osobowych przez Bank [...] S.A. z siedzibą w W. przy ul. [...] oraz przez Związek Banków Polskich z siedzibą w W. przy ul. [...] w której wskazał, że "(...) złożył wniosek o kredyt konsumencki w dniu [....] stycznia 2006 roku. Bank przekazał informację [informacje] stanowiące tajemnicę bankową zawartą we wniosku kredytowym do działającego przy Związku Banków Polskich w W., Międzybankowej Informacji Gospodarczej (...). Bank nie otrzymał zgody na przekazywanie danych osobowych do Związku Banków Polskich w W. (...) W związku z powyższym doszło do naruszenia tajemnicy bakowej (...)". Ponadto, że jego żądanie dotyczy, "(...) usunięcia uchybień, usunięcia danych osobowych z bazy danych MIG przy ZBP, zabezpieczenia danych w Banku [...] i wstrzymanie przekazywania danych z Banku [...] innych podmiotom oraz rejestracji zbioru danych zawierających dane osobowe skarżącego (...)".
Natomiast z wyjaśnień złożonych Generalnemu Inspektorowi przez ZBP wynika, że "(...) dane osobowe Skarżącego zostały zgłoszone do Systemu Bankowy Rejestr przez Bank [...] S.A. z Centralą w W. (...) w dniu [...] marca 2005 r. oraz przez Bank [...] w W. S.A. (...) w dniu [...] czerwca 2004 r. Bank [...] S.A. nie umieścił danych Skarżącego w Systemie Bankowy Rejestr (...)". Jednak, jak wskazał ZBP, "(...) w Systemie BR [Bankowy Rejestr] są gromadzone i przetwarzanie wyłącznie informacje wprowadzone przez uczestników Systemu (tj. obecnie tylko banki), którzy podpisali z ZBP Umowy o zasadach uczestnictwa i współpracy w zakresie wymiany informacji w Systemie BR. Z chwilą podpisania Umowy przystępujący Uczestnik jest uprawniony do korzystania z danych gromadzonych w tym systemie, które ZBP udostępnia Uczestnikom Systemu, za pośrednictwem infrastruktury technicznej i organizacyjnej, wydzielonej do obsługi tej bazy.
Generalny Inspektor Ochrony Danych Osobowych decyzją z dnia [...] października 2012 r. nr [...], działając na podstawie art. 12 pkt 2, art. 22 w zw. z art. 23 ust. 1 pkt 2 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (tekst jedn. z 2002 r. Dz. U. Nr 101, poz. 926 z późn. zm.) oraz art. 105 ust. 4 oraz art. 105a ust. 1 ustawy z dnia 29 sierpnia 1997 r. Prawo bankowe (Dz. U. z 2002 r. Nr 72, poz. 665 z późn. zm.), odmówił uwzględnienia wniosku skarżącego. W uzasadnieniu – powołując się na opisany powyżej stan faktyczny – podał, że ustawa o ochronie danych osobowych, określa zasady postępowania przy przetwarzaniu danych osobowych oraz prawa osób fizycznych, których dane osobowe są lub mogą być przetwarzane w zbiorach danych (art. 2 ust. 1 ustawy). W świetle przepisów powołanego aktu prawnego, przetwarzanie danych osobowych jest uprawnione, gdy spełniona zostanie którakolwiek z przesłanek wymienionych w art. 23 ust. 1 ustawy. Przesłanki te odnoszą się do wszelkich form przetwarzania danych wymienionych w art. 7 pkt 2 ustawy, w tym w szczególności do ich udostępnienia i są także względem siebie równoprawne, co oznacza, że dla legalności procesu przetwarzania danych wystarczające jest spełnienie jednej z nich. Zgodnie natomiast z art. 23 ust. 1 pkt 2 ustawy, przetwarzanie danych osobowych jest dopuszczalne wtedy, gdy jest to niezbędne dla zrealizowania uprawnienia lub spełnienia obowiązku wynikającego z przepisu prawa. Tym samym, zgoda na przetwarzanie danych, o której mowa w art. 23 ust. 1 pkt 1 ustawy, nie jest jedyną przesłanką legalizującą proces przetwarzania danych osobowych. Aktem prawnym zawierającym szczegółowe regulacje dotyczące procesu przetwarzania danych osobowych klientów banków jest przede wszystkim ustawa z dnia 29 sierpnia 1997 r. Prawo bankowe (Dz. U. z 2002 r. Nr 72, poz. 665 z późn. zm.). Ocena legalności przetwarzania danych osobowych skarżącego przez Bank, a także przez ZBP musi być zatem dokonywana w powiązaniu z przepisami Prawa bankowego. W dalszej części, odnosząc się do kwestii przetwarzania danych osobowych przez ZBP udostępnionych mu przez Bank, wskazano, że ZBP jest instytucją utworzoną na podstawie art. 105 ust. 4 Prawa bankowego stanowiącego, że banki mogą, wspólnie z bankowymi izbami gospodarczymi, utworzyć instytucje do gromadzenia, przetwarzania i udostępniania: bankom – informacji stanowiących tajemnicę bankową w zakresie, w jakim informacje te są potrzebne w związku z wykonywaniem czynności bankowych, innym instytucjom ustawowo upoważnionym do udzielania kredytów – informacji o wierzytelnościach oraz o obrotach i stanach rachunków bankowych w zakresie, w jakim informacje te są niezbędne w związku z udzielaniem kredytów, pożyczek pieniężnych, gwarancji bankowych i poręczeń. Zgodnie z art. 105a ust. 1 Prawa bankowego, przetwarzanie przez banki, inne instytucje ustawowo upoważnione do udzielania kredytów oraz instytucje utworzone na podstawie art. 105 ust. 4 (np. ZBP), informacji stanowiących tajemnicę bankową w zakresie dotyczącym osób fizycznych może być wykonywane, z zastrzeżeniem art. 104, art. 105 i art. 106-106c, w celu oceny zdolności kredytowej i analizy ryzyka kredytowego. Informacje zawarte w ZBP służyć mają wypełnianiu przez banki, jako instytucję zaufania publicznego ich ustawowych obowiązków związanych z koniecznością dokładania szczególnej staranności w zakresie zapewnienia bezpieczeństwa przechowywanych środków pieniężnych, czyli w zakresie ochrony depozytów (art. 50 ust. 2 Prawa bankowego), a także z koniecznością należytego badania zdolności kredytowej, od której istnienia (zgodnie z art. 70 ust. 1 Prawa bankowego), bank uzależnia udzielenie kredytu. Badanie zdolności kredytowej, na którą składa się zdolność do spłaty zobowiązań i wiarygodność kredytowa, jest niezwykle istotnym elementem w działalności banku. Związek Banków Polskich został utworzony właśnie w celu zmniejszenia dla banków i instytucji kredytowych ryzyka udzielania trudnych kredytów, przyśpieszenia i uproszczenia procedur kredytowych, wspomagania decyzji banków dotyczących udzielania kredytu. Tymczasem z materiału dowodowego zebranego w rozpoznawanej sprawie wynika, że ZBP aktualnie przetwarza dane osobowe skarżącego udostępnione mu jedynie przez Bank [...] S.A. oraz Bank [...] w W. S.A., zaś Bank [...] S.A. zwrócił się do ZBP jedynie w celu uzyskania informacji o historii kredytowej skarżącego. Przekazanie danych osobowych przez Bank do ZBP nastąpiło w oparciu o przesłankę wymienioną w art. 23 ust. 1 pkt 2 ustawy (w związku z art. 105 ust. 4 Prawa bankowego), a dla legalności tego udostępnienia (na mocy art. 105 ust. 4 Prawa bankowego) zgoda skarżącego nie była wymagana. Podkreślono, że jego zgoda byłaby wymagana jedynie do przetwarzania przez ZBP jego danych osobowych po wygaśnięciu zobowiązania wynikającego z umowy zawartej z Bankiem w celu oceny zdolności kredytowej i analizy ryzyka kredytowego (art. 105a ust. 2 Prawa bankowego), jednakże – jak wynika z materiału dowodowego – pomiędzy skarżącym a Bankiem nie doszło do zawarcia umowy o udzieleniu kredytu konsumpcyjnego wnioskowanego przez niego. Odnosząc się z kolei do żądania skarżącego wskazanego w piśmie z dnia [...] kwietnia 2012 r. w zakresie "(...) przeprowadzenia kontroli (...)", wskazano, iż zgodnie z art. 61 § 1 ustawy z dnia 14 czerwca 1960 r. Kodeks postępowania administracyjnego, postępowanie administracyjne wszczyna się na żądanie strony lub z urzędu. Organ ochrony danych osobowych poprzez postępowanie administracyjne przeprowadził kontrolę, celem której było ustalenie czy doszło do naruszeń w związku z przetwarzaniem danych osobowych skarżącego. Jednocześnie wskazano, że kontrola przetwarzania danych osobowych w siedzibie danego podmiotu, przeprowadzana przez inspektorów Biura Generalnego Inspektora Ochrony Danych Osobowych, może zostać wszczęta jedynie z urzędu, a nie na wniosek. Ponadto z zebranego w toku prowadzenia niniejszego postępowania materiału dowodowego wynika, że udostępnienie danych osobowych skarżącego odbyło się z uwzględnieniem zasad ochrony danych osobowych. Co do nakazania Bankowi "(...) wstrzymania przekazywania danych z Banku [...] innym podmiotom (...)" stwierdzono, że organ ochrony danych osobowych ocenia stan faktyczny w odniesieniu do konkretnie wskazanych podmiotów na dzień wydania decyzji. Nie jest zatem możliwe wydanie przez organ decyzji administracyjnej "na przyszłość" i obejmującej w swej treści nieograniczony krąg podmiotów. Ponadto zakres niniejszego postępowania dotyczył jedynie zbadania legalności przetwarzania danych osobowych skarżącego w odniesieniu do Banku i ZBP. W dalszej części wskazano, że postępowanie prowadzone w związku z rejestracją zbioru danych osobowych (o co wnosił skarżący), nie może być zainicjowane wnioskiem osoby, której dane osobowe miałyby znaleźć się w tymże zbiorze i stroną takiego postępowania jest wyłącznie podmiot zgłaszający zbiór do rejestracji. Na marginesie stwierdzono, że z uwagi na fakt, iż zakres przedmiotowy skargi nie obejmował przetwarzania jego danych osobowych przez Bank [...] w W. S.A. oraz Bank [...] S.A., Generalny Inspektor Ochrony Danych Osobowych analizował jedynie legalność przetwarzania danych osobowych skarżącego przez Bank [...] S.A. w związku z udostępnieniem ich ZBP i w tym miejscu przytoczono fragment z uzasadnienia wyroku Wojewódzkiego Sądu Administracyjnego w Warszawie z dnia 13 lipca 2010 r. sygn. akt II SA/Wa 444/10 z którego wynika, że przedmiot postępowania wszczętego nie z urzędu, lecz na wniosek osoby zainteresowanej, jest ograniczony wyłącznie do przetwarzania jej danych osobowych i to w zakresie wskazanym we wniosku. Organ nie jest zaś uprawniony do wykraczania poza zakreślone w ten sposób ramy postępowania administracyjnego.
We wniosku z dnia [...] listopada 2012 r. do Generalnego Inspektora Ochrony Danych Osobowych o ponowne rozpatrzenie sprawy, skarżący zarzucił, że "GIODO twierdzi, iż przekazanie danych przez Bank [...] do ZBP nie nosiło znamion bezprawności, gdyż nastąpiło w oparciu o przesłankę wymienioną w art. 23 ust. 1 pkt 2 ustawy (w związku z art. 105 ust. 4 prawa bankowego), a dla legalności tego udostępnienia zgoda skarżącego nie była wymagana. GIODO posiłkuje się przy tym wadliwą interpretacją art. 105a ust. 1 prawa bankowego, który zdaniem GIODO uprawnia banki do przekazywania danych instytucjom utworzonym na podstawie art. 105 ust. 4 prawa bankowego celem oceny zdolności kredytowej. (...) GIODO winien zrekapitulować stanowisko w tym zakresie mając także na względzie orzecznictwo zawarte w skardze". W związku z powyższym wniósł o wydanie decyzji w zakresie usunięcia uchybień, usunięcia danych osobowych z bazy danych MIG przy ZBP, zabezpieczenia danych w Banku [...] i wydanie decyzji zakazującej przekazywania danych z Banku [...] do innych podmiotów ustawowo nieuprawnionych, mając na względzie, iż nie złożył oświadczenia woli wyrażającego zgodę na przekazywanie danych. Decyzja w tym zakresie dotycząca stosunków "przyszłych", nie jest wykluczona zarówno przez k.p.a., jak i uodo oraz wniósł o nadanie decyzji rygoru natychmiastowej wykonalności, z uwagi na ważny interes strony, jakim jest ochrona prawa do prywatności. Jednocześnie wniósł o wydanie odrębnej decyzji nakazującej wykreślenie jego danych z bazy danych MIG i nadaniu tej decyzji również rygoru natychmiastowej.
Generalny Inspektor Ochrony Danych Osobowych decyzją z dnia [...] stycznia 2013 r. nr [...], mając za podstawę art. 138 § 1 pkt 1 k.p.a., utrzymał w mocy zaskarżoną decyzję z dnia [...] października 2012 r. W uzasadnieniu – powołując się na argumentację w niej zawartą – podał, że wniosek skarżącego o wydanie odrębnej decyzji nakazującej wykreślenie danych skarżącego z bazy danych MIG i nadaniu decyzji rygoru natychmiastowej wykonalności nie może być uwzględniony w niniejszej sprawie, bowiem na tym etapie przedmiotowego postępowania, tj. po rozstrzygnięciu sprawy decyzją administracyjną, rozszerzenie jego zakresu przedmiotowego i podmiotowego jest niedopuszczalne. Respektując zasadę dwuinstancyjności postępowania administracyjnego, na skutek wniosku o ponowne rozpatrzenie sprawy, Generalny Inspektor Ochrony Danych Osobowych zobligowany jest do ponownego rozpatrzenia tej samej sprawy zarówno w aspekcie podmiotowym, jak i przedmiotowym, która była przedmiotem jego rozpoznania w ramach postępowania w pierwszej instancji. W związku z tym organ nie ma możliwości na tym etapie rozdzielenia postępowania i wydania odrębnej decyzji. Również w literaturze przedmiotu podkreśla się, że "(...) zakres rozstrzygnięcia sprawy administracyjnej decyzją odwoławczą wyznaczony jest zakresem rozstrzygnięcia sprawy decyzją organu I instancji. Organ odwoławczy nie może zmieniać rodzaju sprawy, a zatem w postępowaniu odwoławczym może być rozpoznana i rozstrzygnięta wyłącznie tożsama pod względem podmiotowym i przedmiotowym sprawa (...)" (B. Adamiak. J. Borkowski: Kodeks postępowania administracyjnego. Komentarz, 7 wydanie, Wydawnictwo C.H. Beck, Warszawa 2005, s. 599 i nast.). Rozszerzenie zakresu podmiotowego lub przedmiotowego sprawy na etapie postępowania zainicjowanego wnioskiem o jej ponowne rozpatrzenie oznaczałoby naruszenie zasady dwuinstancyjności rozpoznania i rozstrzygnięcia tożsamej sprawy, co stanowiłoby z kolei istotne naruszenie prawa w rozumieniu art. 156 § 1 k.p.a. Podsumowując, organ administracji publicznej wydaje decyzję administracyjną w oparciu o stan faktyczny i prawny istniejący w dacie wydawania decyzji. Nie jest zatem możliwe wydanie przez organ decyzji administracyjnej "na przyszłość" i obejmującej w swej treści nieograniczony krąg podmiotów. Ponadto zakres niniejszego postępowania dotyczył jedynie zbadania legalności przetwarzania danych osobowych skarżącego w odniesieniu do Banku i ZBP.
W skardze do Wojewódzkiego Sądu Administracyjnego w Warszawie, skarżący C. P. wniósł o uchylenie zaskarżonej i poprzedzającej ją decyzji oraz zobowiązanie organu do wydania decyzji uwzględniającej żądanie zawarte we wniosku. W uzasadnieniu – powołując się na przedstawiony powyżej stan faktyczny oraz wcześniejszą argumentację – podał, że organ posiłkuje się wadliwą interpretacją art. 105a Prawa bankowego, która zdaniem GIODO uprawnia banki do przekazywania danych instytucjom utworzonym na podstawie art. 105 ust. 4 Prawa bankowego celem oceny zdolności kredytowej. Tymczasem wspomniany art. 105a Prawa bankowego formułuje, iż przekazywanie danych następuje z zastrzeżeniem m.in. art 104 Prawa bankowego. Natomiast art. 104 ust. 3 Prawa bankowego obliguje do uzyskania wyraźnej zgody klienta banku do przekazywania określonych danych określonemu podmiotowi. Jednocześnie zaś art. 10 ust. 2 Prawa bankowego, nie zwalnia banków od zachowania tajemnicy bankowej podczas wykonywania zadania oceny zdolności kredytowej, zatem organ winien zrekapitulować stanowisko w tym zakresie. W dalszej części powołał się na treść art. 104 i 105 Prawa bankowego i skonstatował, że – powołując się na doktrynę i orzecznictwo – bank jest zobligowany do uzyskania w formie pisemnej upoważnienia od beneficjenta do ujawnienia adresatowi określonych informacji. Na koniec zaś zaakcentował, że art. 105 ust. 4 Prawa bankowego wskazuje, iż "instytucję" do gromadzenia informacji, współtworzyć musi co najmniej jeden bank oraz bankowa izba gospodarcza, za którą można uznać ZBP, gdyż funkcjonuje w oparciu o ustawę o izbach gospodarczych. W takim stanie rzeczy wątpliwym jest legitymacja MIG działającego przy ZBP do gromadzenia danych stanowiących tajemnicę bankową. Organ zatem nie dokonał sprawdzenia i oceny, co to jest MIG, a możliwym i najbardziej prawdopodobnym jest, iż MIG jest bazą danych administrowaną przez ZBP i niezarejestrowaną w GIODO. Wówczas zatem nie mamy wówczas do czynienia z "instytucją" w rozumieniu art. 105 ust. 4 Prawa bankowego, a jedynie z przetwarzaniem danych przez ZBP bez ustawowego uprawnienia. W takim stanie rzeczy nieuprawnionym było i jest przekazywanie danych do ZBP przez jakiekolwiek banki.
W odpowiedzi na skargę Generalny Inspektor Ochrony Danych Osobowych wniósł o jej oddalenie, wskazując na dotychczasowe ustalenia faktyczne i prawne.
Wojewódzki Sąd Administracyjny w Warszawie zważył, co następuje:
Zgodnie z brzmieniem art. 1 § 1 i 2 ustawy z dnia 25 lipca 2002 r. – Prawo o ustroju sądów administracyjnych (Dz. U. Nr 153, poz. 1269 ze zm.), sąd administracyjny sprawuje wymiar sprawiedliwości m.in. poprzez kontrolę działalności administracji publicznej pod względem zgodności z prawem.
Skarga analizowana pod tym kątem podlega oddaleniu, bowiem zaskarżony rozkaz personalny został wydany zgodnie z prawem. Stosownie do treści art. 23 ust. 1 pkt 1 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (tekst jedn. z 2002 r. Dz. U. Nr 101, poz. 926 z późn. zm.), przetwarzanie danych jest dopuszczalne tylko wtedy, gdy osoba, której dane dotyczą, wyrazi na to zgodę, chyba że chodzi o usunięcie jej danych, natomiast w myśl pkt 2, gdy jest to niezbędne dla zrealizowania uprawnienia lub spełnienia obowiązku wynikającego z przepisu prawa.
Natomiast w rozpoznawanej sprawie skarżący C. P. w dniu [...] stycznia 2006 r. zwrócił się do Banku [...] S.A. z siedzibą w W. z wnioskiem o przyznanie kredytu bankowego konsumpcyjnego dla osób fizycznych i wobec powyższego, w celu dalszej procedury, miały zastosowanie przepisy ustawy z dnia 27 sierpnia 1997 r. – Prawo bankowe (tekst jedn. Dz. U. z 2012 r., poz. 1376 z późn. zm.).
Według zaś art. 105 ust. 4 pkt 1 powyższej ustawy, banki mogą, wspólnie z bankowymi izbami gospodarczymi, utworzyć instytucje upoważnione do gromadzenia, przetwarzania i udostępniania bankom – informacji stanowiących tajemnicę bankową m.in. w zakresie, w jakim informacje te są potrzebne w związku z wykonywaniem czynności bankowych, a w rozpoznawanej sprawie instytucją tą jest Związek Banków Polskich prowadzący Międzybankową Informację Gospodarczą.
Z kolei zgodnie z treścią art. 105a ust. 1 tej ustawy, przetwarzanie przez banki, inne instytucje ustawowo upoważnione do udzielania kredytów oraz instytucje utworzone na podstawie art. 105 ust. 4, informacji stanowiących tajemnicę bankową w zakresie dotyczącym osób fizycznych może być wykonywane, z zastrzeżeniem art. 104, art. 105 i art. 106 – 106c, w celu oceny zdolności kredytowej i analizy ryzyka kredytowego. Instytucje, o których mowa w ust. 1, mogą, z zastrzeżeniem ust. 3, przetwarzać informacje stanowiące tajemnicę bankową w zakresie dotyczącym osób fizycznych po wygaśnięciu zobowiązania wynikającego z umowy zawartej z bankiem lub inną instytucją ustawowo upoważnioną do udzielania kredytów, pod warunkiem uzyskania pisemnej zgody osoby, której informacje te dotyczą. Zgoda ta może być w każdym czasie odwołana (ust. 2). Jednakże w myśl ust. 3 tegoż przepisu, instytucje, o których mowa w ust. 1, mogą przetwarzać informacje stanowiące tajemnicę bankową dotyczące osób fizycznych po wygaśnięciu zobowiązania wynikającego z umowy zawartej z bankiem lub inną instytucją ustawowo upoważnioną do udzielania kredytów, bez zgody osoby, której informacje dotyczą, gdy osoba ta nie wykonała zobowiązania lub dopuściła się zwłoki powyżej 60 dni w spełnieniu świadczenia wynikającego z umowy zawartej z bankiem lub inną instytucją ustawowo upoważnioną do udzielania kredytów, a po zaistnieniu tych okoliczności upłynęło co najmniej 30 dni od poinformowania tej osoby przez bank lub inną instytucję ustawowo upoważnioną do udzielania kredytów o zamiarze przetwarzania dotyczących jej informacji stanowiących tajemnicę bankową, bez jej zgody.
Zatem Bank [...] S.A., skoro skarżący zwrócił się do niego o udzielenie kredytu konsumpcyjnego, miał prawo przetwarzać jego dane osobowe w celu oceny zdolności kredytowej i analizy ryzyka kredytowego. Miał też prawo, zgodnie z treścią cytowanych już wyżej przepisów, zwrócić się o powyższe dane do Międzybankowej Informacji Gospodarczej prowadzonej przez Związek Banków Polskich, utworzonego na mocy wspomnianego już wyżej przepisu art. 105 ust. 4 pkt 1 ustawy, który jednocześnie daje legitymację prawną do braku zgody skarżącego na powyższą czynność. Ponadto dane osobowe skarżącego mogły być przetwarzane stosownie do treści art. 105a ust. 3 ustawy, bowiem – jak wynika z pisma Związku Banków Polskich z dnia [...] czerwca 2012 r. i czemu skarżący nie zaprzecza – dane te zostały przekazane nie przez Bank [...] S.A., a przez Bank [...] S.A. z Centralą w W. w dniu [...] marca 2005 r. i przez Bank [...] w W. S.A. z Centralą w W. i są przetwarzane bez jego zgody właśnie na podstawie art. 105a ust. 3 ustawy – Prawo bankowe. W tym miejscu należy się zgodzić z organem, że przekazanie danych osobowych skarżącego bez jego zgody przez Związek Banków Polskich Bankowi [...] S.A., w konsekwencji miało swoje uzasadnienie w treści art. 105 ust. 4 ustawy – Prawo bankowe.
Niezależnie od powyższego zgodzić się należy z organem, że nakazanie wydania decyzji zakazującej przekazywanie danych z Banku [...] S.A. do innych podmiotów niejako "na przyszłość", jest nieuprawnione, bowiem w myśl art. 18 ust. 1 ustawy o ochronie danych osobowych, w przypadku naruszenia przepisów o ochronie danych osobowych Generalny Inspektor z urzędu lub na wniosek osoby zainteresowanej, w drodze decyzji administracyjnej, nakazuje przywrócenie stanu zgodnego z prawem, a w szczególności:
1) usunięcie uchybień,
2) uzupełnienie, uaktualnienie, sprostowanie, udostępnienie lub nieudostępnienie danych osobowych,
3) zastosowanie dodatkowych środków zabezpieczających zgromadzone dane osobowe,
4) wstrzymanie przekazywania danych osobowych do państwa trzeciego,
5) zabezpieczenie danych lub przekazanie ich innym podmiotom,
6) usunięcie danych osobowych.
Zatem po pierwsze Generalny Inspektor Ochrony Danych Osobowych musi stwierdzić rzeczywiste naruszenie prawa, a nie hipotetyczne, a po drugie, w konsekwencji powyższego stwierdzenia, nakazać przywrócić stan zgodny z prawem.
Na koniec zaś dodać należy, że postępowanie prowadzone w związku z rejestracją zbioru danych osobowych, nie może być wszczęte na wniosek osoby, której dane osobowe miałyby się znaleźć w tym zbiorze i stroną w takim postępowaniu może być jedynie podmiot zgłaszający zbiór do rejestracji.
W tym stanie rzeczy, na mocy art. 151 w zw. z art. 132 ustawy z dnia 30 sierpnia 2002 r. – Prawo o postępowaniu przed sądami administracyjnymi (tekst jedn. Dz. U. z 2012 r., poz. 270 ze zm.), należało orzec, jak w sentencji wyroku.
Źródło: Centralna Baza Orzeczeń Sądów Administracyjnych (orzeczenia.nsa.gov.pl), pozyskano 13.07.2026. · Źródło