II SA/Wa 324/17
WyrokWSA w Warszawie2017-12-11
Skład orzekający: Andrzej Kołodziej, Ewa Marcinkowska, Janusz Walawski
Analiza orzeczenia
Sekcja wygenerowana przez AI na podstawie treści orzeczenia — nie stanowi cytatu.
Zagadnienie prawne
Czy bank, przetwarzając dane osobowe klienta po wygaśnięciu zobowiązania, spełnił obowiązek informacyjny wynikający z art. 105a ust. 3 Prawa bankowego, jeśli przedstawił jedynie wzór korespondencji i wyciąg z systemu archiwizującego, a nie dowód faktycznego wysłania i doręczenia informacji klientowi?Ratio decidendi
Sąd oddalił skargę banku, uznając, że bank nie wykazał skutecznego poinformowania klienta o zamiarze przetwarzania jego danych osobowych po wygaśnięciu zobowiązania, zgodnie z art. 105a ust. 3 Prawa bankowego. Przedstawione przez bank dowody (wzór korespondencji, wyciąg z systemu) nie stanowiły wystarczającego dowodu na spełnienie tego obowiązku, a ciężar dowodu spoczywał na banku.Stan faktyczny
A. Z. złożył skargę do GIODO na przetwarzanie jego danych osobowych przez Bank, w tym ich udostępnianie, po spłaceniu zobowiązania. Bank twierdził, że spełnił obowiązek informacyjny z art. 105a ust. 3 Prawa bankowego, wysyłając zawiadomienie o zamiarze przetwarzania danych po wygaśnięciu zobowiązania. GIODO nakazał Bankowi zaprzestanie przetwarzania danych w tym celu, uznając, że Bank nie udowodnił skutecznego poinformowania klienta. Bank zaskarżył decyzję GIODO do WSA w Warszawie, zarzucając naruszenie przepisów proceduralnych i materialnych. WSA oddalił skargę.Rozstrzygnięcie
Oddalono skargę.Pełny tekst orzeczenia
Wojewódzki Sąd Administracyjny w Warszawie w składzie następującym: Przewodniczący Sędzia WSA Andrzej Kołodziej, Sędziowie WSA Ewa Marcinkowska (spr.), Janusz Walawski, Protokolant spec. Wiesława Jesiotr, po rozpoznaniu na rozprawie w dniu 11 grudnia 2017 r. sprawy ze skargi P. S.A. z siedzibą w [...] na decyzję Generalnego Inspektora Ochrony Danych Osobowych z dnia [...] grudnia 2016 r. nr [...] w przedmiocie przetwarzania danych osobowych oddala skargę.
Generalny Inspektor Ochrony Danych Osobowych (dalej: GIODO) decyzją nr [...] z dnia [...] grudnia 2016 r. wydaną na podstawie art. 138 § 1 pkt 1 K.p.a. oraz art. 12 pkt 2, art. 22, art. 23 ust. 1 pkt 2 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. z 2016 r., poz. 922), w związku z art. 105 ust. 4 oraz art. 105a ust. 3 i 4 ustawy z dnia 29 sierpnia 1997 r. Prawo bankowe (Dz. U. 2015 r. poz. 128 ze zm.), po ponownym rozpatrzeniu sprawy, utrzymał w mocy swoją wcześniejszą decyzję z dnia [...] lipca 2016 r. nr [...] nakazującą [...] S.A. z siedzibą w W. zaprzestanie przetwarzania danych osobowych A. Z. dotyczących umowy nr [...] w celu oceny zdolności kredytowej i analizy ryzyka kredytowego na podstawie art. 105a ust. 3 Prawa bankowego oraz odmawiającą uwzględnienia wniosku w pozostałym zakresie.
Do wydania powyższych decyzji doszło w następującym stanie faktycznym i prawnym:
Do Biura GIODO wpłynęła skarga A. Z. z dnia [...] października 2014 r., na przetwarzanie jego danych osobowych przez [...] S.A., z siedzibą w W. (dalej: Bank), w tym na ich udostępnienie na rzecz [...] S.A., z siedzibą w W. (dalej: [...]).
Skarżący podniósł, że Bank przetwarza jego dane osobowe w związku z widniejącymi w rejestrze [...] zobowiązaniami o numerach: [...] oraz [...]. Wyjaśnił, iż [...] października 2010 r. podpisał umowę o kredyt gotówkowy z [...] i zaciągnął zobowiązanie, które na dzień dzisiejszy jest całkowicie spłacone. Zobowiązanie widnieje w raporcie [...] pod nr [...]. Poinformował też, że w dniu [...] sierpnia 2014 r. wysłał do Banku żądanie z wycofaniem zgody na przetwarzanie jego danych osobowych odnośnie obu ww. zobowiązań. W odpowiedzi Bank udzielił mu informacji, że spełnione zostały warunki do przetwarzania danych osobowych bez jego zgody z powodu spełnienia przesłanek przewidzianych w art. 105a ust. 3 ustawy Prawo bankowe. Skarżący zastrzegł, iż nie neguje faktu zaistnienia zwłoki w spłacie zobowiązania, jednak nie został w jego ocenie spełniony przez Bank obowiązek informacyjny wynikający z przepisów ustawy Prawo bankowe. Mając powyższe na uwadze wniósł o nakazanie Bankowi wykreślenia jego danych osobowych z [...].
W toku przeprowadzonego postępowania wyjaśniającego GIODO ustalił, że dane osobowe skarżącego zostały przez Bank zebrane w związku z zawartymi przez niego umowami: umowa kredytu gotówkowego z dnia [...] października 2010 r., nr [...] (zwana dalej Rachunkiem I); umowa kredytu gotówkowego z dnia [...] listopada 2011 r., nr [...] (zwana dalej Rachunkiem II).
Obecnie dane osobowe skarżącego powiązane z Rachunkiem I przetwarzane są w celu oceny zdolności i wiarygodności kredytowej w związku ze spełnieniem warunków dotyczących przetwarzania danych skarżącego bez jego zgody tzn. skarżący dopuścił się zwłoki w spłacie powyżej 60 dni i upłynęło, co najmniej 30 dni od poinformowania go przez Bank o możliwości przetwarzania danych bez jego zgody. Bank wyjaśnił, że zawiadomienie o zamiarze przetwarzania danych osobowych bez zgody skarżącego zostało do niego wysłane listem zwykłym w dniu 4 czerwca 2012 r. Korespondencja ta była generowana automatycznie w ramach korespondencji masowej. Jako dowód w sprawie, potwierdzający ww. wyjaśnienia, Bank przedstawił treść dokumentu, który kierowany był do klientów Banku w 2014 r. w związku z realizacją obowiązku wynikającego z art. 105a ust. 3 ustawy Prawo bankowe. Przedstawiony dokument nie zawierał jednak w swej treści danych osobowych skarżącego, a stanowił jedynie wzór przesłanej informacji. Jako potwierdzenie wysłanej korespondencji Bank załączył dowód - treść pliku (w postaci ciągu liter i cyfr) z wykorzystywanej w Banku aplikacji "[...]", w której archiwizowane są pliki dotyczące przedmiotowych zawiadomień.
Bank wyjaśnił też, że dane osobowe skarżącego zostały przekazane do [...] w związku z zobowiązaniami nr [...] oraz nr [...] na podstawie zawartej w dniu [...] czerwca 2001 r. pomiędzy Bankiem i [...] umowy, która określa zasady współpracy w sprawie zbierania i udostępniania informacji na podstawie art. 105 ust. 4 ustawy Prawo bankowe.
W bazie [...] przy zobowiązaniach wynikających z Rachunku I oraz Rachunku II znajdują się dane osobowe skarżącego w zakresie obejmującym jego: imię, nazwisko, nr PESEL, datę urodzenia, rodzaj i nr głównego dokumentu tożsamości, adres zamieszkania z oznaczeniem kodu pocztowego oraz kraju, a także płeć.
W sprawie przetwarzania danych osobowych skarżącego z tytułu ww. umów wpłynęły do Banku dwa pisma skarżącego, oba datowane na dzień [...] sierpnia 2014 r., a dotyczące zobowiązań wynikających z Rachunku I oraz Rachunku II. W pismach tych skarżący zwrócił się o zaprzestanie przetwarzania jego danych osobowych oraz usunięcie ich z [...].
W wyjaśnieniach przesłanych do organu [...] potwierdził, że przetwarza dane osobowe skarżącego przekazane przez Bank na podstawie art. 105 ust. 4 ustawy Prawo bankowe i na podstawie łączącej strony (Bank oraz [...]) umowy. [...] wyjaśnił, że Rachunek I ma status rachunku zamkniętego i przetwarzany jest w celu oceny zdolności kredytowej i analizy ryzyka kredytowego skarżącego oraz w celu stosowania metod statystycznych - odpowiednio na podstawie art. 105a ust. 2 w zw. z art. 105 ust. 4 oraz art. 105a ust. 4 i 5 ww. ustawy. Rachunek II ma natomiast status rachunku zamkniętego i przetwarzany jest w celu stosowania metod statystycznych.
Pismem z dnia [...] grudnia 2015 r. GIODO, w związku ze zmianą przepisów ustawy Prawo bankowe oraz uchyleniem art. 128 ust. 3 tej ustawy, zwrócił się o do Banku oraz do [...] celem wyjaśnienia dla jakiej konkretnie metody wskazanej w Rozporządzeniu Parlamentu Europejskiego i Rady (UE) z dnia 26 czerwca 2013 r. nr 575/2013 podmioty te przetwarzają dane osobowe skarżącego.
W odpowiedzi Bank wyjaśnił, że przetwarza dane w celach związanych z "budową modeli ryzyka kredytowego klientów aplikujących o produkty kredytowe stosując metody wewnętrzne oraz metody i modele wynikające z [ww.] rozporządzenia. Dane, które Bank wykorzystuje obejmują: historię kredytową klienta, historię behawioralną (zachowanie na wszystkich produktach klienta), dane aplikacyjne i demograficzne.
[...] wyjaśnił natomiast, że jako zewnętrzny dostawca tworzący użyteczne produkty, wspomagające bank w procesach budowy własnych systemów IRB [Internal Ratings - Based], gromadzi i przetwarza na potrzeby banków dane oraz tworzy w oparciu o te dane różnorodne metody statystyczne (modele) charakterystyczna dla tych instytucji finansowych, które stosują w zarządzaniu ryzykiem metody IRB (i podlegają wymogom kapitałowym).
W oparciu o zgromadzony w sprawie materiał dowodowy GIODO decyzją z dnia [...] lipca 2016 r. nr [...] wydaną na podstawie art. 12 pkt 2, art. 22, art. 23 ust. 1 pkt 2 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych w związku z art. 105 ust. 4 oraz art. 105a ust. 3 i 4 ustawy z dnia [...] sierpnia 1997 r. Prawo bankowe, nakazał [...] S.A. z siedzibą w W. przy ul. [...], zaprzestanie przetwarzania danych osobowych A. Z. dotyczących umowy nr [...] w celu oceny zdolności kredytowej i analizy ryzyka kredytowego na podstawie art. 105a ust. 3 Prawa bankowego oraz odmówił uwzględnienia wniosku w pozostałym zakresie.
W złożonym do GIODO wniosku o ponowne rozpatrzenie sprawy Bank wskazał, że w związku z faktem, iż skarżący dopuścił się zwłoki powyżej 60 dni w spłacie zobowiązania umową kredytową nr [...], w dniu [...] czerwca 2012 r. zostało wysłane, zgodnie z obowiązującym wzorem pismo informujące o powstaniu zadłużenia oraz stanowiące wezwanie do zapłaty w terminie 30 dni pod rygorem przetwarzania informacji stanowiących tajemnicę bankową po wygaśnięciu zobowiązania bez zgody Klienta [...] SA oraz inne instytucje ustawowo upoważnione do udzielania kredytów, a także instytucje utworzone na podstawie art. 105 ust. 4 ustawy Prawo Bankowe. Potwierdzeniem wysłanej korespondencji jest informacja z wykorzystanej w Banku aplikacji [...], w której archiwizowane są pliki dotyczące przedmiotowych zawiadomień. Struktura wygenerowanych plików zawiera imię, nazwisko, adres oraz inne dane w postaci ciągu liczb, w tym datę generacji listu (ekstrakt z pliku został przedstawiony z wyjaśnieniami z dnia [...] stycznia 2015 r.). W opinii Banku, powyższe informacje wskazują na fakt, iż Bank poinformował skarżącego o zamiarze przetwarzania bez jego zgody, informacji stanowiących tajemnicę bankową i tym samym spełnił obowiązek wynikający z art. 105a ust. 3 ustawy Prawo bankowe.
GIODO, w wyniku ponownego rozpatrzenia sprawy, decyzją nr [...] z dnia [...] grudnia 2016 r. wydaną na podstawie art. 138 § 1 pkt 1 K.p.a. oraz art. 12 pkt 2, art. 22, art. 23 ust. 1 pkt 2 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych w związku z art. 105 ust. 4 oraz art. 105a ust. 3 i 4 ustawy z dnia 29 sierpnia 1997 r. Prawo bankowe, utrzymał w mocy swoją wcześniejszą decyzję z dnia [...] lipca 2016 r. nr [...].
W uzasadnieniu decyzji organ wskazał, iż ustawa z dnia [...] sierpnia 1997 r. o ochronie danych osobowych (dalej u.d.i.p.), określa zasady postępowania przy przetwarzaniu danych osobowych oraz prawa osób fizycznych, których dane osobowe są lub mogą być przetwarzane w zbiorach danych (art. 2 ust. 1). W świetle przepisów powołanego aktu prawnego, przetwarzanie danych osobowych jest uprawnione, gdy spełniona zostanie którakolwiek z przesłanek wymienionych w art. 23 ust. 1 u.o.d.o. Przesłanki te odnoszą się do wszelkich form przetwarzania danych wymienionych w art. 7 pkt 2 u.o.d.o., w tym w szczególności do ich udostępnienia. Są także względem siebie równoprawne, co oznacza, że dla legalności procesu przetwarzania danych wystarczające jest spełnienie jednej z nich. Zgodnie natomiast z art. 23 ust. 1 pkt 2 u.o.d.o., przetwarzanie danych osobowych jest dopuszczalne wtedy, gdy jest to niezbędne dla zrealizowania uprawnienia lub spełnienia obowiązku wynikającego z przepisu prawa. Tym samym, zgoda na przetwarzanie danych, o której mowa w art. 23 ust. 1 pkt 1 u.o.d.o., nie jest jedyną przesłanką legalizującą proces przetwarzania danych osobowych.
Aktem prawnym zawierającym szczegółowe regulacje dotyczące procesu przetwarzania danych osobowych klientów banków jest przede wszystkim ustawa z dnia 29 sierpnia 1997 r. Prawo bankowe. Ocena legalności przetwarzania danych osobowych skarżącego przez Bank, a także przez [...] musi być zatem dokonywana w powiązaniu z przepisami Prawa bankowego.
Odnosząc się do kwestii przetwarzania danych osobowych skarżącego zarówno przez Bank, jak i [...], organ przywołał treść art. 105 ust. 4 oraz art. 105a ust. 1 Prawa bankowego,
Zaznaczył, że informacje zawarte w [...] służyć mają wypełnianiu przez banki, jako instytucje zaufania publicznego, ich ustawowych obowiązków związanych z koniecznością dokładania szczególnej staranności w zakresie zapewnienia bezpieczeństwa przechowywanych środków pieniężnych, czyli w zakresie ochrony depozytów (art. 50 ust. 2 Prawa bankowego), a także z koniecznością należytego badania zdolności kredytowej, od której istnienia (zgodnie z art. 70 ust. 1 Prawa bankowego) bank uzależnia udzielenie kredytu.
Wskazując na powyższe regulacje organ podkreślił, że pomimo wygaśnięcia zobowiązania skarżącego wynikającego z Rachunku I wobec Banku, co wynika ze zgromadzonego materiału dowodowego odnośnie spłaty zadłużenia, skarżący dopuścił się zwłoki trwającej dłużej niż 60 dni w przypadku ww. rachunku. Istotnym jednakże w powyższej sprawie jest zarzut skarżącego, że Bank nie spełnił wobec niego obowiązku określonego w art. 105a pkt 3 Prawa bankowego, tj. nie poinformował go skutecznie o zamiarze przetwarzania dotyczących jego informacji stanowiących tajemnicę bankową, bez jego zgody po wygaśnięciu zobowiązania wynikającego z ww. umowy. Organ zaznaczył, że sam fakt, iż skarżący nie wykonał zobowiązania lub spóźnił się z jego wykonaniem co najmniej 60 dni, nie upoważnia Banku do przetwarzania jego danych na warunkach określonych w art. 105a ust. 3 Prawa bankowego. Moment, od którego należy liczyć sześćdziesięciodniowy termin, w którym konsument dopuszcza się zwłoki w wykonaniu zobowiązania, to termin wykonania zobowiązania. Dopiero po upływie 60 dni zaczyna biec trzydziestodniowy termin, w którym instytucja jeszcze oczekuje na wykonanie zobowiązania klienta. Termin trzydziestodniowy nie biegnie jednak ex lege, a dopiero od momentu, w którym konsument zostanie skutecznie poinformowany przez instytucję o zamiarze przetwarzania. Ostatecznie to bezskuteczny upływ 30 dni od momentu poinformowania stanowi wypełnienie przesłanek z art. 105a ust. 3 Prawa bankowego.
Z powyższego wynika zatem, iż Bank przetwarzając dane skarżącego na warunkach określonych w ww. przepisie, musi dysponować dowodem na to, że skarżący został poinformowany o zamiarze przetwarzania ich bez jego zgody. Wprawdzie nie ma obowiązku przesyłania listami poleconymi takiej korespondencji, niemniej jednak w niniejszym stanie faktycznym Bank nie dysponuje dowodem, iż korespondencja taka w zakresie Rachunku I została do skarżącego kiedykolwiek skierowana, a tym bardziej skutecznie jemu doręczona. Powyższe nie zostało również udowodnione przez Bank we wniosku o ponowne rozpatrzenie sprawy. Przesłany do GIODO wzór dokumentu, który został skierowany do skarżącego w związku z realizacją obowiązku wynikającego z art. 105a ust. 3 ustawy Prawo bankowe stanowi przykład korespondencji generowanej przez Bank. Nie jest natomiast dowodem, że Bank wypełnił wobec skarżącego ww. obowiązek. Pismo to nie zawiera bowiem żadnych danych osobowych skarżącego, w szczególności imienia, nazwiska i adresu, a także nie zostało opatrzone datą.
Za dowód wysłania i dostarczenia korespondencji do skarżącego nie można też uznać załączonej do pisma Banku z dnia [...] stycznia 2015 r. informacji stanowiącej wyciąg z aplikacji [...], w której archiwizowane są pliki dotyczące przedmiotowych zawiadomień, w tym zawiadomienia, które zdaniem Banku zostało wysłane do skarżącego. Struktura wygenerowanych plików zawiera wprawdzie informację w zakresie imienia, nazwiska, adresu zamieszkania skarżącego oraz dat generacji wspomnianych listów, jednakże nie można na jej podstawie uznać, że warunki, o których mowa w art. 105a ust. 3 Prawa bankowego zostały spełnione, tj. że pismo zostało rzeczywiście wysłane i doręczone do skarżącego. Organ zaznaczył, iż ww. zrzut z ekranu nie stanowi dowodu faktycznego wysłania do skarżącego pisma informującego go o zamiarze Banku przetwarzania jego danych osobowych w trybie wynikającym z art. 105a ust 3 Prawa bankowego. Jest to bowiem jedynie informacja, iż Bank w swoim systemie odznaczył skierowanie do skarżącego korespondencji, co nie znaczy, że tą czynność wykonał.
Na potwierdzenie słuszności swojego stanowiska organ przywołał wyroki Wojewódzkiego Sądu Administracyjnego w Warszawie - z dnia 28 lipca 2016 r. sygn. II SA/Wa 461/16 oraz z dnia 12 maja 2016 r. sygn. II SA/Wa 1713/15.
Powołał się także na pismo Przewodniczącego Komisji Nadzoru Finansowego z dnia [...] marca 2015 r., znak: [...], dotyczące interpretacji art. 105a ust. 3 Prawa bankowego.
Reasumując GIODO stwierdził, iż w niniejszej sprawie Bank nie udowodnił spełnienia wobec skarżącego obowiązku informacyjnego z art. 105a ust. 3 Prawa bankowego, a zatem zasadnym jest nakazanie zaprzestania przetwarzania danych osobowych skarżącego przez Bank w celu oceny zdolności kredytowej i analizy ryzyka kredytowego. Stosownie bowiem do art. 18 ust. 1 u.o.d.o., w przypadku naruszenia przepisów o ochronie danych osobowych Generalny Inspektor z urzędu lub na wniosek osoby zainteresowanej, w drodze decyzji administracyjnej, nakazuje przywrócenie stanu zgodnego z prawem. Powyżej opisane okoliczności faktyczne i prawne powodują, że konieczne jest, na podstawie art. 18 ust. 1 pkt 6 u.o.d.o., nakazanie wyeliminowania nieprawidłowości w procesie przetwarzania danych osobowych skarżącego.
Odnośnie natomiast przetwarzania przez Bank danych osobowych skarżącego w zakresie Rachunku II organ stwierdził, że na skutek odwołania przez skarżącego zgody na przetwarzanie jego danych w celu oceny zdolności i wiarygodności kredytowej po spłacie zobowiązania, Bank nie przetwarza aktualnie danych osobowych skarżącego w ww. celu. W ocenie GIODO, w związku z art. 105 ust. 4 Prawa bankowego, zasługuje na akceptację stanowisko Banku dotyczące faktu, że dane skarżącego mogą być przetwarzane przez Bank w celach związanych z budową modeli ryzyka kredytowego klientów aplikujących o produkty kredytowe stosując metody wewnętrzne oraz metody i modele wynikające z rozporządzenia Parlamentu Europejskiego i Rady (UE) nr 575/2013 r. z dnia 26 czerwca 2013 r. w sprawie wymogów ostrożnościowych dla instytucji kredytowych i firm inwestycyjnych, zmieniającego rozporządzenie (UE) nr 648/2012 (Dz. U. UE. L. 2013.176.1). W związku z czym w zakresie danych osobowych skarżącego związanych z Rachunkiem II brak jest podstaw do zastosowania przepisu art. 18 ust. 1 u.o.d.o.
W skardze na powyższą decyzję skierowanej do Wojewódzkiego Sądu Administracyjnego w Warszawie [...] S.A. z siedzibą w W. zarzuciła organowi:
1. naruszenie przepisów postępowania, mające istotny wpływ na wynik sprawy, tj. art 75 § 1 K.p.a., poprzez odmowę uznania za dowód i nieprzeprowadzenie dowodu z dokumentacji przedłożonej do akt sprawy przez Bank, w tym w szczególności w postaci:
a) wzoru dokumentu, który w czerwcu 2012 r. kierowany był do klientów Banku w sprawie opóźnień i związanych z tym konsekwencji w postaci przetwarzania danych w BIK w związku z realizacją obowiązku wynikającego z art. 105a ust. 3 Prawa bankowego,
b) ekstraktu z pliku z wykorzystywanej w Banku aplikacji [...], w której archiwizowane są pliki dotyczące przedmiotowych zawiadomień, z którego wynika, że w dniu [...] czerwca 2012 r. zostało wysłane do klienta zawiadomienie o zamiarze przetwarzania danych klienta po wygaśnięciu zobowiązania,
pomimo, iż dokumenty te stanowiły pełnowartościowe środki dowodowe w świetle art. 75 § 1 K.p.a. oraz podczas gdy przeprowadzenie dowodu z tychże dokumentów umożliwiłoby prawidłowe ustalenie, że klient został skutecznie i prawidłowo zawiadomiony przez Bank o możliwości przetwarzania jego danych osobowych na podstawie art. 105a ust. 3 Prawa bankowego, a w konsekwencji wydanie decyzji administracyjnej w oparciu o niekompletny materiał dowodowy;
2. naruszenie przepisów postępowania, mające istotny wpływ na wynik sprawy, tj. art. 75 § 2 K.p.a., poprzez odmowę przyjęcia oświadczenia Banku w zakresie okoliczności nie wymagających urzędowego potwierdzenia, podczas gdy w sytuacji (wadliwego) uznania przez GIODO, że dokumenty przestawione przez Bank nie stanowią środków dowodowych, zwłaszcza wzór pisma wysyłanego do klientów w czerwcu 2012 r., konieczne było poprzestanie na oświadczeniu Banku o dokonaniu w dniu [...] czerwca 2012 r. wysyłki odpowiedniej korespondencji do klienta;
3. naruszenie przepisów postępowania, mające istotny wpływ na wynik sprawy, tj. art 7, art. 77 § 1 oraz art. 80 K.p.a., poprzez zaniechanie podjęcia czynności niezbędnych do przeprowadzenia postępowania dowodowego w sposób prawidłowy i wyczerpujący, co się przełożyło na wydanie decyzji w oparciu o wadliwie zebrany i oceniony materiał dowodowy oraz błędnie ustalony stan faktyczny oraz poprzez przekroczenie granic swobodnej oceny dowodów - dowolną ocenę zebranego w sprawie materiału dowodowego, to jest błędne przyjęcie, iż złożone przez klienta dokumenty i oświadczenia są wystarczające do przyjęcia, że Bank przetwarza jego dane osobowe w sposób sprzeczny z dyspozycją art. 105a ust. 3 Prawa bankowego, podczas gdy z całokształtu materiału dowodowego przedstawionego w sprawie jednoznacznie wynika, że pomimo wycofania przez klienta zgody na przetwarzanie danych osobowych, Bank jest podmiotem uprawnionym do przetwarzania tychże danych wobec spowodowania przez kredytobiorcę zadłużenia związanego z zawartą z Bankiem umową kredytową i zawiadomienia go o możliwości przetwarzania tychże danych dokonanego z zachowaniem przewidzianych prawem terminów;
4. naruszenie przepisów postępowania, tj. art. 107 K.p.a., poprzez niedokonanie w uzasadnieniu decyzji analizy i oceny całokształtu materiału dowodowego, a w szczególności brak wskazania, jakie fakty GIODO uznał za udowodnione lub nieudowodnione, na jakich dowodach - poza twierdzeniami klienta - oparł rozstrzygnięcie i dlaczego nie uznał dowodów przeciwnych, w szczególności wzoru dokumentu, który w czerwcu 2012 r. kierowany był do klientów Banku w sprawie opóźnień i związanych z tym konsekwencji w postaci przetwarzania danych w [...] w związku z realizacją obowiązku wynikającego z art. 105a ust. 3 Prawa bankowego oraz ekstraktu z pliku z wykorzystywanej w Banku aplikacji [...], w której archiwizowane są pliki dotyczące przedmiotowych zawiadomień, z którego wynika, że w dniu [...] czerwca 2012 r. zostało wysłane do klienta zawiadomienie o zamiarze przetwarzania danych klienta po wygaśnięciu zobowiązania, ograniczając się wyłącznie do arbitralnych twierdzeń i powtórzenia w uzasadnieniu konkluzji decyzji pierwotnej, co skutkowało sprzecznością ustaleń GIODO z treścią zebranego w sprawie materiału dowodowego oraz brakiem możliwości weryfikacji procesu podejmowania przez GIODO rozstrzygnięć w niniejszej sprawie;
5. naruszenie przepisów postępowania, tj. art. 8 i 107 § 3 K.p.a., poprzez nienależyte uzasadnienie decyzji z uwagi na zawarcie w nim zbyt ogólnych twierdzeń, brak precyzyjnego wyjaśnienia podstawy faktycznej i prawnej rozstrzygnięcia, co uniemożliwia zapoznanie się z motywami działania organu administracji, zrozumienie tych motywów, a w rezultacie ustosunkowanie się do nich w rzeczowy i wyczerpujący sposób, przez co nie została zrealizowana zasada pogłębiania zaufania obywateli do organów administracji publicznej;
6. naruszenie art. 6 ustawy z dnia 23 kwietnia 1964r. Kodeks cywilny poprzez:
a) bezpodstawne przyjęcie, że to na Banku spoczywał ciężar dowodu w zakresie wykazania poinformowania klienta o zamiarze przetwarzania jego danych osobowych w [...], podczas gdy to na organie prowadzącym postępowanie administracyjne spoczywał obowiązek weryfikacji informacji zawartych w skardze A. Ż.,
b) uznanie, że Bank nie przedstawił dowodów na okoliczność poinformowania klienta o zamiarze przetwarzania danych osobowych po wygaśnięciu zobowiązania, podczas gdy Bank w toku postępowania administracyjnego oraz przy wniosku o ponowne rozpatrzenie sprawy złożył do akt dowody, z których wynika, że korespondencja została do klienta wysłana w stosownym terminie;
7. naruszenie przepisów prawa materialnego tj. art 105a ust. 3 ustawy z dnia 29 sierpnia 1997 r. Prawo bankowe, poprzez zastosowanie rozszerzającej wykładni treści przepisu, co w konsekwencji doprowadziło do uznania, że Bank nie spełnił ustawowego obowiązku informacyjnego, podczas gdy treść przepisu nie nakazuje przesyłania korespondencji listem poleconym za potwierdzeniem odbioru, przez co wnioski jakoby tylko taki sposób działania Banku mógł stanowić prawidłowy sposób realizacji obowiązku informacyjnego, stanowi wyraz nieuprawnionej wykładni rozszerzającej.
W związku z powyższymi zarzutami strona skarżąca wniosła o uchylenie w całości zaskarżonej decyzji oraz decyzji ją poprzedzającej z dnia [...] lipca 2016 r. oraz zasądzenie na rzecz Banku zwrotu kosztów postępowania, w tym kosztów zastępstwa procesowego, według norm przepisanych.
GIODO w odpowiedzi na skargę wniósł o jej oddalenie podtrzymując w całości argumentację przedstawioną w uzasadnieniu zaskarżonej decyzji. Odnosząc się do podniesionych w skardze zarzutów naruszenia przepisów K.p.a. organ podkreślił, że rozstrzygając przedmiotową sprawę, oparł się przede wszystkim na pisemnych wyjaśnieniach stron i przesłanych przez nie dowodach. Zebrany w toku postępowania materiał dowodowy nie wskazuje na okoliczność doręczenia skarżącemu zawiadomienia, o którym mowa w art. 105a ust. 3 Prawa Bankowego. Zarówno decyzja z dnia [...] lipca 2016 r., jak i utrzymująca ją w mocy decyzja z dnia [...] grudnia 2016 r., wbrew zaś twierdzeniom Banku, zawierają wskazanie dowodów wraz z okolicznościami uznanymi za udowodnione i uzasadnienie dokonanych ocen oraz pozostałe elementy wskazane w przepisie art. 107 K.p.a. Ponadto, GIODO w ww. decyzjach omówił i precyzyjnie wskazał przesłanki określone w art. 105a ust. 3 Prawa bankowego uprawniające Bank do przetwarzania danych osobowych skarżącego bez jego zgody, których to przesłanek podmiot ten nie spełnił.
Wojewódzki Sąd Administracyjny w Warszawie zważył, co następuje:
Sąd administracyjny wykonuje wymiar sprawiedliwości, poddając kontroli decyzje wydawane przez organy administracji publicznej pod względem ich zgodności z prawem, badając czy właściwie zastosowano przepisy prawa materialnego i przestrzegano przepisów proceduralnych w postępowaniu administracyjnym. Sąd jest władny wzruszyć zaskarżoną decyzję jedynie w przypadku stwierdzenia naruszenia prawa. Art. 145 ustawy Prawo o postępowaniu przed sądami administracyjnymi (dalej jako P.p.s.a.) określa w jakich sytuacjach decyzje lub postanowienia podlegają uchyleniu.
Oceniając zaskarżoną decyzję w świetle powyższych kryteriów Sąd stwierdził, iż skarga nie zasługuje na uwzględnienie.
Na wstępie wskazać należy, iż zadaniem ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. z 2016 r., poz. 922 ze zm.) nie jest jedynie stanie na straży interesów tych, których przetwarzane dane osobowe dotyczą. Naczelną zasadą ustawy nie jest też zakaz przetwarzania danych osobowych, lecz przestrzeganie zakresu i trybu ich przetwarzania. W art. 1 u.o.d.o. stwierdza się bowiem, że przetwarzanie danych osobowych może mieć miejsce, jeżeli służy to dobru publicznemu, dobru osoby, której dane dotyczą lub dobru osób trzecich. Ochrona danych osobowych, na podstawie przepisów powołanej ustawy, nie powinna być oderwana od przepisów służących ochronie innych wartości.
Przepis art. 12 pkt 1 i 2 u.o.d.o. stanowi, iż organem powołanym do kontroli zgodności przetwarzania danych z przepisami ustawy o ochronie danych osobowych jest Generalny Inspektor Ochrony Danych Osobowych, którego zadaniem jest m.in. wydawanie decyzji administracyjnych i rozpatrywanie skarg w sprawach wykonania przepisów o ochronie danych osobowych. W przypadku naruszenia przepisów o ochronie danych osobowych GIODO z urzędu lub na wniosek osoby zainteresowanej, w drodze decyzji administracyjnej, nakazuje przywrócenie stanu zgodnego z prawem, a w szczególności usunięcie danych osobowych (art. 18 ust. 1 pkt 6 u.o.d.o.)
Stosownie do treści art. 7 pkt 2 u.o.d.o., przez przetwarzanie danych osobowych rozumie się jakiekolwiek operacje wykonywane na danych osobowych, takie jak zbieranie, utrwalanie, przechowywanie, opracowywanie, zmienianie, udostępnianie i usuwanie, a zwłaszcza te, które wykonuje się w systemach informatycznych.
Z kolei w art. 23 § 1 u.o.d.o. zostały wymienione przesłanki legalizujące przetwarzanie danych osobowych. Zgodnie z treścią tego przepisu przetwarzanie danych jest dopuszczalne tylko wtedy, gdy: (1) osoba, której dane dotyczą, wyrazi na to zgodę, chyba że chodzi o usunięcie dotyczących jej danych, (2) jest to niezbędne dla zrealizowania uprawnienia lub spełnienia obowiązku wynikającego z przepisu prawa, (3) jest to konieczne do realizacji umowy, gdy osoba, której dane dotyczą, jest jej stroną lub gdy jest to niezbędne do podjęcia działań przed zawarciem umowy na żądanie osoby, której dane dotyczą, (4) jest niezbędne do wykonania określonych prawem zadań realizowanych dla dobra publicznego, (5) jest to niezbędne dla wypełnienia prawnie usprawiedliwionych celów realizowanych przez administratorów danych albo odbiorców danych, a przetwarzanie nie narusza praw i wolności osoby, której dane dotyczą.
Cytowany powyżej przepis ustawy określa ogólne materialne przesłanki przetwarzania danych osobowych. Przesłanki te mają charakter generalny, odnoszą się do wszelkich form przetwarzania danych, w tym zarówno do przetwarzania "na własne potrzeby" administratora, jak i "na zewnątrz". Są one co do zasady równoprawne, mają charakter autonomiczny i niezależny, co oznacza, że wystarczy wystąpienie jednej z nich, by przetwarzanie danych mogło być uznane za usprawiedliwione. Oznacza to także, że zgoda osoby, której dane dotyczą, nie jest wyłączną przesłanką przetwarzania danych osobowych, (por. J. Barta, P. Fajgielski, R. Markiewicz "Ochrona danych osobowych. Komentarz.", publ. System Informacji Prawnej LEX 2017).
Aktem prawnym zawierającym szczegółowe regulacje dotyczące procesu przetwarzania danych osobowych klientów banków jest ustawa z dnia 27 sierpnia 1997r. - Prawo bankowe (Dz. U. z 2017 r., poz.1876).
Zgodnie z art. 105 ust. 4 tejże ustawy Banki mogą, wspólnie z bankowymi izbami gospodarczymi, utworzyć instytucje upoważnione do gromadzenia, przetwarzania i udostępniania: (1) bankom - informacji stanowiących tajemnicę bankową w zakresie, w jakim informacje te są potrzebne w związku z wykonywaniem czynności bankowych oraz w związku ze stosowaniem metod wewnętrznych oraz innych metod i modeli, o których mowa w części trzeciej rozporządzenia nr [...]; (2) innym instytucjom ustawowo upoważnionym do udzielania kredytów - informacji stanowiących tajemnicę bankową w zakresie, w jakim informacje te są niezbędne w związku z udzielaniem kredytów, pożyczek pieniężnych, gwarancji bankowych i poręczeń; (3) instytucjom kredytowym - informacji stanowiących tajemnicę bankową w zakresie niezbędnym do oceny zdolności kredytowej konsumenta, o której mowa w art. 9 ustawy z dnia 12 maja 2011 r. o kredycie konsumenckim; (4) instytucjom pożyczkowym i podmiotom, o których mowa w art. 59d ustawy z dnia 12 maja 2011 r. o kredycie konsumenckim - na zasadzie wzajemności, informacji stanowiących odpowiednio tajemnicę bankową oraz informacje udostępnione przez instytucje pożyczkowe oraz podmioty, o których mowa w art. 59d ustawy z dnia 12 maja 2011 r. o kredycie konsumenckim, w zakresie niezbędnym do oceny zdolności kredytowej konsumenta, o której mowa w art. 9 tej ustawy, i analizy ryzyka kredytowego.
Stosownie zaś do art. 105a ww. ustawy w brzmieniu obowiązującym w dacie wydania zaskarżonej decyzji, przetwarzanie przez banki, inne instytucje ustawowo upoważnione do udzielania kredytów, instytucje pożyczkowe oraz podmioty, o których mowa w art. 59d ustawy z dnia 12 maja 2011 r. o kredycie konsumenckim, a także instytucje utworzone na podstawie art. 105 ust. 4, informacji stanowiących tajemnicę bankową i informacji udostępnionych przez instytucje pożyczkowe oraz podmioty, o których mowa w art. 59d ustawy z dnia 12 maja 2011 r. o kredycie konsumenckim, w zakresie dotyczącym osób fizycznych może być wykonywane, z zastrzeżeniem art. 104, art. 105 i art. 106-106d, w celu oceny zdolności kredytowej i analizy ryzyka kredytowego (ust. 1). Z zastrzeżeniem ust. 3, instytucje, o których mowa w ust. 1, mogą przetwarzać informacje stanowiące tajemnicę bankową oraz informacje udostępnione przez instytucje pożyczkowe oraz podmioty, o których mowa w art. 59d ustawy z dnia 12 maja 2011 r. o kredycie konsumenckim, w zakresie dotyczącym osób fizycznych po wygaśnięciu zobowiązania wynikającego z umowy zawartej z bankiem, inną instytucją ustawowo upoważnioną do udzielania kredytów, instytucją pożyczkową lub podmiotem, o którym mowa w art. 59d ustawy z dnia 12 maja 2011 r. o kredycie konsumenckim, pod warunkiem uzyskania pisemnej zgody osoby, której informacje te dotyczą, z zastrzeżeniem ust. 2a. Zgoda ta może być w każdym czasie odwołana (ust. 2). Zgoda osoby może być także wyrażona w postaci elektronicznej. W takim przypadku banki, instytucje oraz podmioty, o których mowa w ust. 1, obowiązane są do utrwalania wyrażonej w ten sposób zgody na informatycznym nośniku danych w rozumieniu art. 3 pkt 1 ustawy z dnia 17 lutego 2005 r. o informatyzacji działalności podmiotów realizujących zadania publiczne 9ust. 2a). Banki, instytucje oraz podmioty, o których mowa w ust. 1, mogą przetwarzać informacje stanowiące tajemnicę bankową i informacje udostępnione przez instytucje pożyczkowe oraz podmioty, o których mowa w art. 59d ustawy z dnia 12 maja 2011 r. o kredycie konsumenckim, dotyczące osób fizycznych po wygaśnięciu zobowiązania wynikającego z umowy zawartej z bankiem, inną instytucją ustawowo upoważnioną do udzielania kredytów, instytucją pożyczkową lub podmiotem, o którym mowa w art. 59d ustawy z dnia 12 maja 2011 r. o kredycie konsumenckim, bez zgody osoby, której informacje dotyczą, gdy osoba ta nie wykonała zobowiązania lub dopuściła się zwłoki powyżej 60 dni w spełnieniu świadczenia wynikającego z umowy zawartej z bankiem, inną instytucją ustawowo upoważnioną do udzielania kredytów, instytucją pożyczkową lub podmiotem, o którym mowa w art. 59d ustawy z dnia 12 maja 2011 r. o kredycie konsumenckim, a po zaistnieniu tych okoliczności upłynęło co najmniej 30 dni od poinformowania tej osoby przez bank, inną instytucję ustawowo upoważnioną do udzielania kredytów, instytucję pożyczkową albo podmiot, o którym mowa w art. 59d ustawy z dnia 12 maja 2011 r. o kredycie konsumenckim, o zamiarze przetwarzania dotyczących jej tych informacji, bez jej zgody (ust. 3). Banki oraz instytucje, o których mowa w art. 105 ust. 4, mogą przetwarzać stanowiące tajemnicę bankową informacje dotyczące osoby fizycznej po wygaśnięciu zobowiązania wynikającego z umowy zawartej z bankiem lub inną instytucją ustawowo upoważnioną do udzielania kredytów bez zgody osoby, której informacje dotyczą, do celów stosowania metod wewnętrznych oraz innych metod i modeli, o których mowa w części trzeciej rozporządzenia nr [...] (ust. 4). Przetwarzanie informacji stanowiących tajemnicę bankową w przypadkach, o których mowa w ust. 3, może być wykonywane przez okres nie dłuższy niż 5 lat od dnia wygaśnięcia zobowiązania, a w przypadku, o którym mowa w ust. 4, przez okres 12 lat od dnia wygaśnięcia zobowiązania (ust. 5).
W niniejszej sprawie, na skutek skargi A. Z. na nieprawidłowości w procesie przetwarzania jego danych osobowych przez [...] S.A., GIODO nakazał zaprzestanie przetwarzania przez Bank danych osobowych ww. dotyczących umowy nr [...] w celu oceny zdolności kredytowej i analizy ryzyka kredytowego na podstawie art. 105a ust. 3 Prawa bankowego. Organ stwierdził bowiem, że Bank nie spełnił, wynikającego z tego przepisu, obowiązku informacyjnego, warunkującego przetwarzanie informacji stanowiących tajemnicę bankową dotyczących osoby fizycznej po wygaśnięciu zobowiązania wynikającego z umowy, bez jej zgody.
Zgromadzony w sprawie materiał dowodowy wskazuje w sposób niesporny, iż w zakresie spłaty zadłużenia wynikającego z umowy nr [...] A. Z. dopuścił się zwłoki trwającej dłużej niż 60 dni.
Jednakże okoliczność, że klient nie wykonał zobowiązania lub popadł w zwłokę w jego wykonaniu, trwającą co najmniej 60 dni, nie upoważnia Banku do przetwarzania jego danych na warunkach określonych w art. 105a ust. 3 ustawy Prawo bankowe. Klient musi bowiem zostać poinformowany o możliwości przetwarzania jego danych bez uzyskania od niego zgody. Dopiero bezskuteczny upływ 30 dni od momentu poinformowania stanowi wypełnienie przesłanek z ww. przepisu. Moment, od którego należy liczyć 60-dniowy termin, w którym klient dopuszcza się zwłoki w wykonaniu zobowiązania, to termin niewykonania zobowiązania. Dopiero po upływie 60 dni zaczyna biec 30-dniowy termin, w którym instytucja jeszcze oczekuje na wykonanie zobowiązania klienta. Termin 30-dniowy nie biegnie jednak ex lege, a dopiero od momentu, w którym klient zostanie skutecznie poinformowany przez Bank o zamiarze przetwarzania jego danych osobowych. Aby zatem przetwarzać dane klienta na warunkach określonych w ww. przepisie, Bank musi dysponować dowodem, że osoba, której dane dotyczą, została poinformowana o zamiarze przetwarzania ich - bez jej zgody. Przy czym to na Banku, jako administratorze danych osobowych, spoczywa ciężar udowodnienia, że obowiązek informacyjny względem klienta, wynikający z ww. przepisu, został dopełniony.
Zgodzić należy się z organem, że w rozpoznawanej sprawie Bank nie wykazał, że dopełnił określonego w art. 105a ust. 3 ustawy Prawo bankowe obowiązku poinformowania A. Z. o zamiarze przetwarzania dotyczących go informacji stanowiących tajemnicę bankową, wynikających z ww. umowy, bez jego zgody.
Jako dowód w sprawie, potwierdzający wypełnienie powyższego obowiązku, Bank przedstawił treść dokumentu, który kierowany był do klientów Banku w 2014 r. w związku z realizacją obowiązku wynikającego z art. 105a ust. 3 ustawy Prawo bankowe. Przedstawiony dokument nie zawierał jednak w swej treści danych osobowych skarżącego, a stanowił jedynie wzór przesłanej informacji. Jako potwierdzenie wysłanej korespondencji Bank załączył natomiast treść pliku (w postaci ciągu liter i cyfr) z wykorzystywanej w Banku aplikacji "[...]", w której archiwizowane są pliki dotyczące przedmiotowych zawiadomień.
Powyższe materiały, jak wynika z uzasadnienia zaskarżonej decyzji, zostały poddane analizie i ocenie w toku postępowania administracyjnego,
W ocenie Sądu należy zgodzić się z organem, że przesłany do GIODO wzór dokumentu, który według oświadczenia Banku został skierowany do skarżącego w związku z realizacją obowiązku wynikającego z art. 105a ust. 3 ustawy Prawo bankowe stanowi jedynie przykład korespondencji generowanej przez Bank. Nie jest natomiast dowodem, że Bank wypełnił wobec skarżącego ww. obowiązek. Pismo to nie zawiera żadnych danych osobowych skarżącego, w szczególności imienia, nazwiska i adresu, a także nie zostało opatrzone datą.
Za dowód wysłania i dostarczenia korespondencji do skarżącego nie można uznać także przedstawionej przez Bank informacji stanowiącej wyciąg z aplikacji [...], w której archiwizowane są pliki dotyczące przedmiotowych zawiadomień, w tym zawiadomienia, które zdaniem Banku zostało wysłane do skarżącego. Struktura wygenerowanych plików zawiera wprawdzie informację w zakresie imienia, nazwiska, adresu zamieszkania skarżącego oraz dat generacji listów, jednakże nie można na jej podstawie uznać, że warunki, o których mowa w art. 105a ust. 3 Prawa bankowego zostały spełnione, tj. że pismo to zostało rzeczywiście wysłane i doręczone do skarżącego. Należy podzielić stanowisko organu, iż ww. zrzut z ekranu nie stanowi dowodu faktycznego wysłania do skarżącego pisma informującego go o zamiarze Banku przetwarzania jego danych osobowych w trybie wynikającym z art. 105a ust. 3 Prawa bankowego. Jest to jedynie informacja, że Bank w swoim systemie odznaczył skierowanie do skarżącego korespondencji, co nie znaczy, że tą czynność wykonał.
Tym samym Bank nie wykazał, że przedmiotowe zawiadomienie o zamiarze przetwarzania danych osobowych A. Z. przez Bank - bez jego zgody - zostało do niego wysłane, a przede wszystkim, że mógł on zapoznać się z jego treścią.
Naczelny Sąd Administracyjny w wyroku z dnia 25 lipca 2017 r. sygn. akt I OSK 2859/16 (opubl. http://orzeczenia.nsa.gov.pl) zwrócił uwagę, że przepis art. 105a ust. 3 Prawa bankowego ma charakter materialny (ochronny), a nie formalny. Wymaga on zatem w sposób kategoryczny "poinformowania", a nie "wysłania zawiadomienia". NSA zaznaczył przy tym, że dane osobowe są wartością chronioną ustawowo, a prawo od ich ochrony - jak przyjmuje się w piśmiennictwie – "stanowi swego rodzaju emanację ogólnego prawa gwarantowanego Konstytucją RP (art. 47), w myśl którego: . Powyższe oznacza, że wszelkie regulacje znoszące tę ochronę muszą być odczytywane i wykładane ściśle, z uwzględnieniem funkcji jakiej mają służyć. Przy takiej wykładni, sformułowanie użyte w przepisie art. 105a ust. 3 Prawa bankowego, dotyczące obowiązku informacyjnego banku, musi oznaczać, że nie jest to li tylko obowiązek formalny. Wprawdzie ustawodawca w żaden sposób nie ograniczył sposobów i form takiego zawiadomienia (nie można również wykluczyć możliwości zawiadomienia drogą elektroniczną, o ile strony w zawartej umowie taką formę korespondencji przewidziały lub też posługiwania się przez bank w tym zakresie podmiotem zewnętrznym), ale w każdym wypadku sposób ten powinien umożliwić zweryfikowanie faktu poinformowania klienta banku o zamierzonym przetwarzaniu jego danych osobowych lub też przynajmniej potwierdzenie, że klientowi umożliwiono zapoznanie się z taką informacją. W tym zakresie nie mogą mieć miejsca jakiekolwiek domniemania faktyczne, a w szczególności nie jest wystarczające przedstawienie wzorów elektronicznych pism kierowanych do klientów w tym przedmiocie.
Na ten element, warunkujący wypełnienie obowiązku informacyjnego przez Bank, zwróciła również uwagę Komisja Nadzoru Finansowego w piśmie z dnia [...] marca 2015 r., skierowanym do GIODO. Komisja zaznaczyła, że "poinformowanie nie będzie stanowiło oświadczenia woli, gdyż samo z siebie nie wywołuje skutków prawnych w sferze cywilnoprawnej", a nadto, że "skuteczny będzie każdy rodzaj poinformowania, na skutek którego klient banku będzie mógł zapoznać się z jego treścią, przy czym w interesie banku leży, aby odbyło się to w taki sposób, który umożliwi łatwe wykazanie skutecznego poinformowania w przypadku ewentualnego późniejszego sporu".
W świetle powyższego, w ocenie Sądu uzasadnione jest twierdzenie organu, że skarżący Bank, jako administrator danych osobowych swego klienta, w przypadku przetwarzania tychże danych na podstawie art. 105a ust 3 ustawy Prawo bankowe, winien być zdolny do wykazania legitymacji do przekazania danych do [...] S.A. w postaci rzeczywistego spełnienia obowiązku informacyjnego. Wbrew twierdzeniom skargi, to na Banku spoczywa ciężar dowodu w zakresie wykazania poinformowania klienta o zamiarze przetwarzania jego danych osobowych - bez jego zgody. Nie można tym samym oczekiwać, że to A. Z. na żądnie organu winien wykazać, iż nie została mu doręczona korespondencja zawierająca informację o zamiarze przetwarzania jego danych osobowych przez Bank, w sytuacji, gdy w skardze do GIODO zarzucił on nieprawidłowości w procesie przetwarzania jego danych osobowych przez Bank, zaś rzeczą organu było zbadanie legalności działań Banku w ww. zakresie - jak administratora danych.
Konkludując stwierdzić należy, iż w niniejszej sprawie Bank nie wykazał, że osoba, której dane dotyczą, została skutecznie poinformowana o zamiarze przetwarzania jej danych osobowych w trybie art. 105a ust 3 ustawy Prawo bankowe, zaś przeciwne w tym względzie stanowisko Banku nie znajduje faktycznego, ani prawnego uzasadnienia.
Nieuzasadnione są zarzuty skargi dotyczące naruszenia przepisów postępowania administracyjnego.
Przede wszystkim brak jest podstaw do uznania, że postępowanie to zostało przeprowadzone z naruszeniem reguł postępowania dowodowego, w tym art. 75 § 1, art. 77 § 1 i art. 80 k.p.a. Ustalenia faktyczne organu zostały bowiem dokonane w oparciu o całość materiału dowodowego, zgromadzonego i zbadanego w sposób wyczerpujący, a więc przy podjęciu wszelkich kroków niezbędnych do dokładnego wyjaśnienia okoliczności sprawy. Wbrew zarzutom skargi, organ nie odmówił mocy dowodowej dokumentom elektronicznym złożonym przez Bank do akt administracyjnych. Organ stwierdził natomiast, iż nie stanowią one dowodu na wypełnienie obowiązku informacyjnego Banku, o którym mowa w art. 105a ust. 3 ustawy Prawo bankowe. Zdaniem Sądu, ocena materiału dowodowego została dokonana przez organ zgodnie z zasadą swobodnej oceny dowodów i nie nosi cech dowolności. Organ przeanalizował wyjaśnienia skarżącego Banku oraz przesłane materiały, wziął również pod uwagę stanowisko A. Z. trafnie uznając, iż istnieją podstawy do wydania decyzji nakazującej Bankowi zaprzestanie przetwarzania danych osobowych wyżej wymienionego dotyczących umowy nr [...] w celu oceny zdolności kredytowej i analizy ryzyka kredytowego.
Nie ma również zgodzić się z zarzutem skargi, iż zaskarżona decyzja została wydana z naruszeniem art. 107 § 3 K.p.a. Uzasadnienie rozstrzygnięcia spełnia bowiem wymogi określone w ww. przepisie. Zawiera ocenę zebranego w postępowaniu materiału dowodowego, wykładnię stosowanych przepisów oraz ocenę przyjętego stanu faktycznego w świetle obowiązującego prawa. Uzasadnienie zaskarżonej decyzji jest spójne wewnętrznie i logiczne, nie zawiera przy tym luk ani sprzeczności. Stąd nie jest trafny zarzut naruszenia wyrażonej w art. 8 K.p.a. zasady zaufania uczestników postępowania do organu władzy publicznej, poprzez brak zawarcia przekonującej argumentacji dla podjętego w sprawie rozstrzygnięcia.
Końcowo, mając na względzie żądanie skargi dotyczące uchylenia obu wydanych w sprawie decyzji w całości, Sąd zauważa, że organ prawidłowo ocenił kwestię przetwarzania danych osobowych A. Z. w związku z jego zobowiązaniami wynikającymi z umowy nr [...] wskazując, iż obecnie proces przetwarzania danych osobowych skarżącego w tym zakresie realizowany jest w oparciu o art. 105a ust. 4 ustawy Prawo bankowe, a zatem w celach związanych z budową modeli ryzyka kredytowego klientów aplikujących o produkty kredytowe stosując metody wewnętrzne oraz metody i modele wynikające z rozporządzenia Parlamentu Europejskiego i Rady (UE) nr 575/2013 r. z dnia 26 czerwca 2013 r. w sprawie wymogów ostrożnościowych dla instytucji kredytowych i firm inwestycyjnych, zmieniającego rozporządzenie (UE) nr 648/2012 (Dz. U. UE. L. 2013.176.1). Poczynione ustalenia skutkowały podjęciem przez organ prawidłowego rozstrzygnięcia o odmowie uwzględnienia wniosku A. Z. w ww. zakresie.
W świetle powyższego, uznając iż zaskarżona decyzja nie narusza prawa, zaś zarzuty podniesione w skardze nie zasługują na uwzględnienie, Wojewódzki Sąd Administracyjny w Warszawie, na podstawie art. 151 P.p.s.a., orzekł jak w sentencji wyroku.
Źródło: Centralna Baza Orzeczeń Sądów Administracyjnych (orzeczenia.nsa.gov.pl), pozyskano 15.07.2026. · Źródło