II SA/Wa 2018/15

WyrokWSA w Warszawie2016-06-13

Skład orzekający: Adam Lipiński, Ewa Grochowska – Jung, Ewa Pisula – Dąbrowska

Analiza orzeczenia

Sekcja wygenerowana przez AI na podstawie treści orzeczenia — nie stanowi cytatu.

Zagadnienie prawne
Czy udostępnienie danych osobowych biegłego rewidenta przez Komisję Nadzoru Finansowego, Komisję Nadzoru Audytowego oraz Bank zrzeszający bankom spółdzielczym, w kontekście stwierdzonych nieprawidłowości w sporządzonych przez niego sprawozdaniach finansowych, było legalne na gruncie ustawy o ochronie danych osobowych?
Ratio decidendi
Przetwarzanie danych osobowych biegłego rewidenta przez Komisję Nadzoru Finansowego, Komisję Nadzoru Audytowego oraz Bank zrzeszający było legalne, ponieważ spełniona została przesłanka niezbędności do realizacji obowiązku wynikającego z przepisów prawa (art. 23 ust. 1 pkt 2 uodo). Działania te były zgodne z ustawą o nadzorze nad rynkiem finansowym, ustawą o funkcjonowaniu banków spółdzielczych oraz Prawem bankowym, a miały na celu zapewnienie prawidłowego funkcjonowania rynku finansowego i ochronę jego uczestników.
Stan faktyczny
Skarżący, biegły rewident S.C., wniósł skargę na decyzję Generalnego Inspektora Ochrony Danych Osobowych (GIODO), która utrzymała w mocy własną decyzję odmawiającą uwzględnienia skargi na udostępnienie jego danych osobowych przez Komisję Nadzoru Finansowego (KNF). Dane skarżącego, obejmujące imię, nazwisko i numer ewidencyjny, zostały zawarte w wykazie przekazanym przez KNF do Komisji Nadzoru Audytowego, a następnie przez Bank zrzeszający do banków spółdzielczych. Skarżący zarzucił naruszenie przepisów o ochronie danych osobowych oraz dóbr osobistych, twierdząc, że udostępnienie jego danych było bezprawne. GIODO uznał przetwarzanie danych za legalne na podstawie art. 23 ust. 1 pkt 2 uodo, wskazując na realizację ustawowych obowiązków KNF i Banku zrzeszającego.
Rozstrzygnięcie
Oddalono skargę.

Pełny tekst orzeczenia

Wojewódzki Sąd Administracyjny w Warszawie w składzie następującym: Przewodniczący Sędzia WSA Adam Lipiński, Sędziowie WSA Ewa Grochowska – Jung, Ewa Pisula – Dąbrowska (spr.), Protokolant specjalista Ewa Kielak, po rozpoznaniu na rozprawie w dniu 13 czerwca 2016 r. sprawy ze skargi S.C. na decyzję Generalnego Inspektora Ochrony Danych Osobowych z dnia [...] września 2015 r. nr [...] w przedmiocie ochrony danych osobowych oddala skargę Generalny Inspektor Ochrony Danych Osobowych decyzją z [...] września 2015 r. nr [...] na podstawie art. 138 § 1 pkt 1 k.p.a., utrzymał w mocy własną decyzję z [...] września 2014 r., którą to decyzją odmówiono S. C. uwzględnienia jego skargi na udostępnienie jego danych osobowych przez Komisję Nadzoru Finansowego. Jako podstawę materialnoprawną rozstrzygnięcia organ podał art. 23 ust. 1 pkt 2 ustawy z 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. z 2014 r., poz. 1182), wskazując, że przetwarzanie danych osobowych jest dopuszczalne, gdy jest to niezbędne dla zrealizowana uprawnienia lub spełnienia obowiązku wynikającego z przepisu prawa. Organ wyjaśnił, że S. C. domagał się ochrony twierdząc, że bezprawnie upubliczniano (udostępniano) jego dane osobowe biegłego rewidenta. Skarżący twierdził, że jego dane osobowe udostępniła Komisja Nadzoru Finansowego [...] na rzecz Komisji Nadzoru Audytowego. Organ ustalił, że Komisja Nadzoru Finansowego rzeczywiście przekazała Komisji Nadzoru Audytowego wykaz 10 biegłych rewidentów, którzy zbadali największą liczbę sprawozdań finansowych banków w 2012 r. i w wykazie tym w rubryce "kluczowy biegły rewident" zostały zawarte dane osobowe skarżącego – imię nazwisko i numer ewidencyjny. Komisja Nadzoru Audytowego przekazała dalej dane osobowe S. C. Bankowi [...] [...], albowiem jego dane zawarte były w załączniku do pisma Komisji Nadzoru Finansowego z [...] września 2013 r. Pismo to zawierało zarzuty odnoszące się do biegłych rewidentów (w tym skarżącego) dotyczące rzetelności, jakości i wiarygodności przeprowadzonych sprawozdań finansowych w bankach spółdzielczych (m. in. F. S.). Pozyskane dane osobowe S. C. Bank [...] z/s w [...] udostępnił następnie zrzeszonym bankom spółdzielczym. Dokonując oceny legalności przetwarzania danych osobowych biegłego rewidenta S. C., Generalny Inspektor Ochrony Danych Osobowych uznał, że przetwarzanie jego danych było dopuszczalne w oparciu o art. 23 ust. 1 pkt 2 uodo. Organ wyjaśnił, że przekazanie danych skarżącego przez Komisję do banków zrzeszających nastąpiło w ramach realizacji zadań określonych w art. 2, art. 3 ust. 2 ustawy z 21 lipca 2006 r. o nadzorze nad rynkiem finansowym. Podał, że zgodnie z art. 19 ust. 2 pkt 5 ustawy z 7 grudnia 2000 r. o funkcjonowaniu banków spółdzielczych, ich zrzeszaniu się i bankach zrzeszających (Dz. U. z 2014 r., poz. 109), organ ten kontroluje działalność zrzeszonych banków. W ramach tych obowiązków nastąpiło przekazanie wykazu bankom zrzeszonym w celu zapobiegania nieprawidłowościom, do których doszło podczas badania sprawozdań finansowych przez biegłych rewidentów w bankach spółdzielczych. Wskazał, że stosownie do art. 15 cyt. wyżej ustawy, opinie i raporty biegłych rewidentów związki rewizyjne przekazują bankowi zrzeszającemu. Stosownie zaś do art. 111 ust. 1 pkt 5 ustawy - Prawo bankowe, banki obowiązane są ogłaszać bilans z opinią biegłego za ostatni okres podlegający badaniu. W konkluzji organ stwierdził, że dane skarżącego jako biegłego rewidenta nie zostały upublicznione wbrew postanowieniom ustawy o nadzorze nad rynkiem finansowym. Komisja oraz Bank udostępniły dane osobowe skarżącego na mocy przepisów ustawy - Prawo bankowe, ustawy o biegłych rewidentach i ich samorządzie, podmiotach uprawnionych do badania sprawozdań finansowych oraz o nadzorze publicznym, ustawy o funkcjonowaniu banków spółdzielczych, ich zrzeszaniu się i bankach zrzeszających oraz ustawy o nadzorze nad rynkiem finansowym, a więc zgodnie z art. 23 ust. 1 pkt 2 uodo. Od powyższej decyzji skargę do tutejszego Sądu wniósł S. C.. Wnosząc o uchylenie zaskarżonej decyzji oraz decyzji ją poprzedzającej i zasądzenie kosztów postępowania skarżący podniósł naruszenie: 1. art. 23 ust. 1 pkt 2 Ustawy o ochronie danych osobowych; 2. art. 2, art. 3 ust. 2, art. 17b ustawy o nadzorze nad rynkiem finansowym; 3. art. 19 ust. 2 pkt 5, art. 15 ustawy o funkcjonowaniu banków spółdzielczych, ich zrzeszaniu się i bankach zrzeszających; 4. art. 2 pkt 5 ustawy o biegłych rewidentach i ich samorządzie, podmiotach uprawnionych do badania sprawozdań finansowych oraz nadzorze publicznym; 5. art. 134 ust. 1 i 2, art. 135 ust. 1, art. 138 ust. 1 pkt 6, art. 111 ust. 1 pkt 5 ustawy - Prawo bankowe. W uzasadnieniu skargi skarżący stwierdził, że art. 23 ust. 1 pkt 2 uodo nie mógł stanowić przesłanki legalizującej przetwarzanie jego danych osobowych. Podniósł, że przywołane przez organ przepisy mają charakter norm ogólnych. Nadto, że przekazanie pisma do Komisji Nadzoru Audytowego nie uzasadniało przekazania tego pisma do wiadomości bankom zrzeszającym oraz przez Bank zrzeszający - bankom spółdzielczym. W skardze zarzucono naruszenie dóbr osobistych (zawarte w piśmie z [...] września 2013 r.) godzące w dobre imię skarżącego. W odpowiedzi na skargę Generalny Inspektor Ochrony Danych Osobowych wniósł o jej oddalenie podtrzymując stanowisko, iż dane osobowe skarżącego zostały udostępnione w oparciu o przepisy prawa. Wojewódzki Sąd Administracyjny w Warszawie zważył, co następuje. Skarga nie mogła zostać uwzględniona, albowiem zaskarżona decyzja odpowiada prawu. Istota sporu sprowadzała się do oceny, czy przetwarzanie danych osobowych skarżącego (co jest bezsporne) wykonującego funkcję publiczną – biegłego rewidenta - ich udostępnienie przez Komisję Nadzoru Finansowego, Komisję Nadzoru Audytowego, Bank [...] w [...], odbyło się w oparciu o obowiązujące przepisy prawa. W ocenie Sądu, organ prawidłowo uznał, że w sprawie wystąpiły przesłanki legalizujące przetwarzanie danych osobowych skarżącego w oparciu o przesłankę art. 23 ust. 1 pkt 2 uodo. Inaczej mówiąc przetwarzanie danych osobowych skarżącego było legalne – zgodne z prawiem - z uwagi na usprawiedliwiony interes prawny Komisji Nadzoru Finansowego, Komisji Nadzoru Audytowego oraz Banku [...] z/s w [...]. Zgodnie z art. 23 ust. 1 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. z 2015 r., poz. 2135 ze zm.), zwanej dalej ustawą, przetwarzanie danych osobowych jest dopuszczalne tylko wtedy, gdy spełniona zostanie jedna z wymienionych w tym przepisie przesłanek. Przesłanki te odnoszą się do wszelkich form przetwarzania danych wymienionych w art. 7 pkt 2 ustawy, w tym w szczególności do ich udostępniania. Są także względem siebie równoprawne, co oznacza, że dla legalności procesu przetwarzania danych wystarczające jest spełnienie jednej z nich. Zgodnie natomiast z art. 23 ust. 1 pkt 2 ustawy, przetwarzanie danych jest dopuszczalne, gdy jest to niezbędne dla zrealizowania uprawnienia lub spełnienia obowiązku wynikającego z przepisu prawa. Tym samym, zgoda na przetwarzanie danych, o której mowa w art. 23 ust. 1 pkt 1 ustawy, nie jest jedyną przesłanką legalizującą proces przetwarzania danych osobowych. W ocenie Sądu, przetwarzanie danych osobowych skarżącego przez Komisję Nadzoru Finansowego oraz Komisję Nadzoru Audytowego odbyło się zgodnie z prawem w ramach realizacji zadań określonych ustawą z 21 lipca 2006 r. o nadzorze nad rynkiem finansowym (Dz. U. z 2016 r., poz. 174 ze zm.). Zgodnie z art. 2 ww. ustawy, celem nadzoru nad rynkiem finansowym jest zapewnienie prawidłowego funkcjonowania tego rynku, jego stabilności, bezpieczeństwa oraz przejrzystości, zaufania do rynku finansowego, a także zapewnienie ochrony interesów uczestników tego rynku, również poprzez rzetelną informację dotyczącą funkcjonowania rynku, przez realizację celów określonych w szczególności w ustawie z dnia 29 sierpnia 1997 r. - Prawo bankowe, ustawie z dnia 22 maja 2003 r. o nadzorze ubezpieczeniowym i emerytalnym oraz Rzeczniku Ubezpieczonych, ustawie z dnia 15 kwietnia 2005 r. o nadzorze uzupełniającym nad instytucjami kredytowymi, zakładami ubezpieczeń, zakładami reasekuracji i firmami inwestycyjnymi wchodzącymi w skład konglomeratu finansowego, ustawie z dnia 29 lipca 2005 r. o nadzorze nad rynkiem kapitałowym, ustawie z dnia 5 listopada 2009 r. o spółdzielczych kasach oszczędnościowo-kredytowych oraz ustawie z dnia 19 sierpnia 2011 r. o usługach płatniczych. W myśl art. 3 ust. 2 ustawy o nadzorze nad rynkiem finansowym, Komisja Nadzoru Finansowego jest organem właściwym w sprawach nadzoru nad rynkiem finansowym. Zauważyć należy, iż dane osobowe biegłych rewidentów mogą być zbierane i przetwarzane na podstawie art. 17b ustawy o nadzorze nad rynkiem finansowym, zgodnie z którym Przewodniczący Komisji i przewodniczący lub zastępca przewodniczącego Komisji Nadzoru Audytowego, o której mowa w ustawie z dnia 7 maja 2009 r. o biegłych rewidentach i ich samorządzie, podmiotach uprawnionych do badania sprawozdań finansowych oraz o nadzorze publicznym (Dz. U. z 2015 r., poz. 1011 ze zm.), mogą przekazywać sobie informacje w zakresie niezbędnym dla wykonywania ich ustawowo określonych zadań. Wskazać również trzeba, że zgodnie z art. 15 ustawy o funkcjonowaniu banków spółdzielczych ich zrzeszania się i bankach zrzeszających (Dz. U. z 2015 r., poz. 2170 ze zm.), związki rewizyjne opinie i raporty biegłych rewidentów przekazują bankowi zrzeszającemu. W myśl art. 135 ust. 1 ustawy z 7 maja 2009 r. o biegłych rewidentach, w przypadku stwierdzenia nieprawidłowości w przeprowadzonym badaniu na zlecenie banku, Komisja Nadzoru Finansowego może zobowiązać bank do zlecenia wskazanemu biegłemu rewidentowi zbadania prawidłowości i rzetelności wszystkich sprawozdań finansowych sporządzanych przez bank, kontroli ksiąg rachunkowych, analizy portfela kredytowego oraz dokonania innych czynności określonych w art. 133 ust. 2. Dodać należy, że zgodnie z art. 111 ust. 1 pkt 5 ustawy z 29 sierpnia 1997 r. - Prawo bankowe (Dz. U. z 2015 r., poz. 128 ze zm.), banki obowiązane są ogłaszać w miejscu wykonywania czynności, w sposób ogólnie dostępny bilans z opinią biegłego rewidenta za ostatni okres podlegający badaniu. Oczywistym jest fakt, że powyższa opinia biegłego rewidenta jest sygnowana jego imieniem i nazwiskiem. Reasumując, przekazanie przez Bank wykazu zawierającego dane osobowe skarżącego biegłego rewidenta, było zgodne z art. 19 ust. 2 pkt 5 ustawy z 7 grudnia 2000 r. o funkcjonowaniu banków spółdzielczych, ich zrzeszaniu się i bankach zrzeszających. Zgodnie z tym przepisem Bank zrzeszający wykonuje czynności bankowe oraz inne czynności określone w ustawie - Prawo bankowe lub w innych ustawach, w zakresie ustalonym w statucie banku, kontroluje zgodność działalności zrzeszonych banków spółdzielczych z postanowieniami umowy zrzeszenia, przepisami prawa i statutami. Natomiast przekazanie danych osobowych skarżącego przez Komisję do banków zrzeszonych nastąpiło w ramach realizacji zadań określonych w ustawie z 21 lipca 2006 r. o nadzorze nad rynkiem finansowym. Powyższe oznacza, że zarówno Komisja, jak i Bank, przetwarzały dane osobowe skarżącego jako osoby publicznej (biegły rewident) w oparciu o przesłanki legalizujące, wymienione w art. 23 ust. 1 pkt 2 uodo. Na koniec stwierdzić należy, iż ustawa o ochronie danych osobowych nie może być absolutyzowana. W przedmiotowej sprawie domaganie się przez skarżącego ochrony prawnej w oparciu o ustawę o ochronie danych osobowych nie znajduje żadnego uzasadnienia w kontekście nieprawidłowości stwierdzonych w sporządzonych przez niego sprawozdaniach finansowych. Działania organu w zakresie przetwarzania jego danych nie tylko miały umocowanie w przepisach prawa, ale też były działaniami zabezpieczającymi, prewencyjnymi. Oddalenie przedmiotowej skargi nie tamuje skarżącemu możliwości wniesienia powództwa o ochronę dóbr osobistych w oparciu o przepisy Kodeksu cywilnego (art. 24 kc). Mając powyższe na uwadze, Wojewódzki Sąd Administracyjny w Warszawie, na podstawie art. 151 ustawy z dnia 30 sierpnia 2002 r. - Prawo o postępowaniu przed sądami administracyjnymi (Dz. U. z 2012 r., poz. 270 ze zm.), orzekł jak w sentencji.

Źródło: Centralna Baza Orzeczeń Sądów Administracyjnych (orzeczenia.nsa.gov.pl), pozyskano 13.07.2026. · Źródło