II SA/Wa 188/12
WyrokWSA w Warszawie2012-05-29
Skład orzekający: Ewa Grochowska – Jung, Ewa Pisula – Dąbrowska, Ewa Marcinkowska
Analiza orzeczenia
Sekcja wygenerowana przez AI na podstawie treści orzeczenia — nie stanowi cytatu.
Zagadnienie prawne
Czy Generalny Inspektor Ochrony Danych Osobowych miał podstawę prawną do nakazania Bankowi udostępnienia danych osobowych osoby objętej tajemnicą bankową na podstawie art. 29 ustawy o ochronie danych osobowych, pomimo obowiązku zachowania tajemnicy bankowej?Ratio decidendi
Sąd uchylił decyzję Generalnego Inspektora Ochrony Danych Osobowych z uwagi na niewyczerpujące rozpatrzenie zarzutu dotyczącego tajemnicy bankowej. Organ powinien był odnieść się do przepisów ustawy Prawo bankowe i ocenić, czy tajemnica bankowa wyłącza zastosowanie art. 29 ustawy o ochronie danych osobowych. W związku z tym sprawa wymaga ponownego rozpoznania z uwzględnieniem tych okoliczności.Stan faktyczny
P. J. złożył wniosek do Generalnego Inspektora Ochrony Danych Osobowych o nakazanie Bankowi udostępnienia danych osobowych D. L., w tym adresu zamieszkania i numeru PESEL, w związku z omyłkową wpłatą na rachunek D. L. Bank odmówił udostępnienia danych powołując się na tajemnicę bankową. Generalny Inspektor nakazał udostępnienie części danych, co zostało zaskarżone przez Bank do Wojewódzkiego Sądu Administracyjnego w Warszawie.Rozstrzygnięcie
Uchylił zaskarżoną decyzję Generalnego Inspektora Ochrony Danych Osobowych oraz poprzedzającą ją decyzję, stwierdził, że zaskarżona decyzja nie podlega wykonaniu w całości, oraz zasądził od Generalnego Inspektora na rzecz Banku kwotę 457 zł tytułem zwrotu kosztów procesu.Pełny tekst orzeczenia
Wojewódzki Sąd Administracyjny w Warszawie w składzie następującym: Przewodniczący Sędzia WSA Ewa Grochowska – Jung (spr.), Sędziowie WSA Ewa Pisula – Dąbrowska, Ewa Marcinkowska, Protokolant spec. Marek Kozłowski, po rozpoznaniu na rozprawie w dniu 29 maja 2012 r. sprawy ze skargi B. S. A. z siedzibą w W. na decyzję Generalnego Inspektora Ochrony Danych Osobowych z dnia [...] listopada 2011 r. nr [...] w przedmiocie ochrony danych osobowych 1. uchyla zaskarżoną decyzję oraz poprzedzającą ją decyzję z dnia [...] lipca 2011 r.; 2. stwierdza, że zaskarżona decyzja nie podlega wykonaniu w całości; 3. zasądza od Generalnego Inspektora Danych Osobowych na rzecz B. S. A. z siedzibą w W. kwotę 457 (czterysta pięćdziesiąt siedem) złotych tytułem zwrotu kosztów procesu.
Generalny Inspektor Ochrony Danych Osobowych decyzją z dnia [...] listopada 2011 r. nr [...] na podstawie art. 138 § 1 pkt 1 kpa, art. 12 pkt 2, art. 22, art. 18 ust. 1 pkt 2 w zw. z art. 29 ust. 2 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (t. j. Dz. U. 2002 r. Nr 101, poz. 926 ze zm.) w zw. z art. 5 ustawy z dnia 29 października 2010 r. o zmianie ustawy o ochronie danych osobowych oraz niektórych innych ustaw (Dz. U. Nr 229, poz. 1497) utrzymał w mocy własną decyzję z dnia [...] lipca 2011 r. nr [...] o nakazaniu Bankowi [...] S. A. z siedzibą w W. udostępnienia P. J. danych osobowych D. L.
W uzasadnieniu organ wskazał na następujący stan faktyczny w sprawie. W dniu [...] listopada 2011 r. P. J. złożył do Generalnego Inspektora Ochrony Danych Osobowych wniosek o nakazanie udostępnienia mu przez Bank [...] S. A. z siedzibą w W. danych osobowych w zakresie adresu zamieszkania D. L. i jego numeru PESEL. W uzasadnieniu wnioskodawca wyjaśnił, że w dniu [...] października 2009 r. dokonał w Banku omyłkowo wpłaty gotówkowej na rachunek bankowy D. L. Wskazał, że rutynowo dokonuje w przedmiotowym banku wpłat gotówkowych, na rachunek bankowy firmy [...] Firma [...] sp. j. z siedzibą w P., z którą stale współpracuje i to ten podmiot powinien być beneficjentem powyższej czynności. Dodatkowo wyjaśnił, że podał kasjerce na kartce papieru, dane powyższej spółki, celem dokonania wpłaty. Niestety, z niewiadomego powodu, została mu przedstawiona do podpisu dyspozycja dokonania wpłaty na rachunek bankowy D. L. Wnioskodawca tego nie sprawdził, w związku z powyższym omyłkowo wyraził zgodę na dokonanie przelewu składając swój podpis. Stwierdził, że z D. L. nie dokonywał żadnych czynności, w wyniku których mogłoby po jego stronie powstać jakiekolwiek zobowiązanie. W związku z powyższym, w dniu [...] października 2010 r. zwrócił się do Banku z wnioskiem o udostępnienie danych osobowych D. L. Bank odmówił jednak udostępnienia mu wnioskowanych danych osobowych.
W dniu [...] lipca 2011 r. Generalny Inspektor Ochrony Danych Osobowych decyzją nr [...] nakazał Bankowi [...] S. A. z siedzibą w W. udostępnić wnioskodawcy adres zamieszkania D. L. posiadającego numer rachunku bankowego [...], w pozostałym zakresie odmówił uwzględnienia wniosku.
W dniu [...] sierpnia 2011 r. Bank [...] S. A. z siedzibą w W. złożył wniosek o ponowne rozpatrzenie sprawy. Wskazując, że organ nie odniósł się do faktu, że dane osobowe D. L. – klienta banku, objęte są tajemnicą bankową w rozumieniu art. 104 ust. 1 ustawy z dnia 29 sierpnia 1997 r. Prawo bankowe (Dz. U. z 2002 r. Nr 72, poz. 665 ze zm.).
Po ponownym rozpatrzeniu sprawy, w decyzji z dnia [...] listopada 2011 r. utrzymującej w mocy decyzję z dnia [...] lipca 2011 r. Generalny Inspektor Ochrony Danych Osobowych wskazał na art. 29 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych, zgodnie z którym w przypadku udostępniania danych osobowych w ww. celach, administrator danych udostępnia posiadane w zbiorze dane osobom lub podmiotom uprawnionym do ich otrzymania na mocy przepisów prawa (ust. 1). Dane osobowe, z wyłączeniem danych, o których mowa w art. 27 ust. 1, mogą być także udostępnione w celach innych niż włączenie do zbioru, innym osobom i podmiotom niż wymienione w ust. 1, jeżeli w sposób wiarygodny uzasadnia potrzebę posiadania tych danych, a ich udostępnienie nie naruszy praw i wolności osób, których dane dotyczą (ust. 2). Dane osobowe udostępnia się na pisemny, umotywowany wniosek, chyba że przepis innej ustawy stanowi inaczej. Wniosek powinien zawierać informacje umożliwiające wyszukanie w zbiorze żądanych danych osobowych oraz wskazywać ich zakres i przeznaczenie (ust. 3). Udostępnione dane osobowe można wykorzystać wyłącznie zgodnie z przeznaczeniem, dla którego zostały udostępnione (ust. 4).
Organ stwierdził, że skarżący taki wniosek złożył i uzasadnił potrzebę uzyskania danych osobowych koniecznością wskazania ich w piśmie procesowym w celu wytoczenia stosownego powództwa. Zatem, w ocenie Generalnego Inspektora, przedmiotowy wniosek spełnił przesłanki z art. 29 ustawy. Natomiast odmowa Banku udostępnienia skarżącemu żądanych danych osobowych stanowiła naruszenie cytowanego art. 29 ust. 2 ustawy. Dlatego też w pełni uzasadnione było skorzystanie przez Generalnego Inspektora z kompetencji określonej w art. 12 pkt 2 w zw. z art. 18 ust. 1 pkt 2 ustawy i nakazanie Bankowi w drodze decyzji administracyjnej udostępnienia skarżącemu wnioskowanych danych. Jednocześnie w ocenie organu nie zachodzą żadne z okoliczności wymienionych w art. 30 ustawy, które dałyby podstawę do odmowy udostępnienia przedmiotowych danych. Odnośnie zarzutu nieodniesienia się do faktu, że informacja o adresie D. L. jest objęta tajemnicą bankową w rozumieniu art. 104 ust. 1 ustawy Prawo bankowe, oraz że w przedmiotowej sprawie nie ma zastosowania żadne z wyłączeń wskazanych enumeratywnie w art. 104 ust. 2 i 3, bądź dyspozycją art. 105 ustawy Prawo bankowe, w tym w szczególności dyspozycją art. 150 ust. 1 pkt 2 lit. ww. ustawy, a także, że żadne inne przepisy szczególne nie dają skarżącemu możliwości pozyskania danych osobowych, które są mu niezbędne w celu dochodzenia swoich praw przed sądem, organ wskazał, że z treści cytowanego art. 29 ust. 1 i 2 ustawy wynika, iż wolą racjonalnego ustawodawcy było, aby dane osobowe mogły być udostępniane - przy założeniu, iż spełnione zostały wskazane warunki - osobom, które nie są uprawnione do ich pozyskania wprost na mocy innych, szczególnych przepisów prawa.
Powyższa decyzja stała się przedmiotem skargi Banku [...] S. A. z siedzibą w W. do Wojewódzkiego Sądu Administracyjnego w Warszawie. W uzasadnieniu skarżący zarzucił decyzji naruszenie art. 29 ust. 2 ustawy o ochronie danych osobowych, poprzez błędne przyjęcie, iż ma on zastosowanie w przedmiotowej sprawie; naruszenie art. 18 ust. 1 pkt 2) cytowanej ustawy, poprzez wydanie decyzji administracyjnej nakazującej przywrócenie stanu zgodnego z prawem przy braku naruszenia przez bank przepisów o ochronie danych osobowych oraz naruszenie art. 7 kpa, poprzez nieodniesienie się do wszystkich okoliczności sprawy mających istotne znaczenie dla jej rozstrzygnięcia. W związku z powyższym, wniósł o uchylenie zaskarżonej decyzji w części, tj. w zakresie dotyczącym nakazania Bankowi udostępnienia P. J. adresu zamieszkania D. L. oraz zasądzenie kosztów postępowania według norm przepisanych.
W odpowiedzi na skargę Generalny Inspektor Ochrony Danych Osobowych wniósł o jej oddalenie, podtrzymując swoje dotychczasowe argumenty faktyczne i prawne.
Wojewódzki Sąd Administracyjny w Warszawie zważył, co następuje.
Zgodnie z treścią art. 1 § 1 i § 2 ustawy z dnia 25 lipca 2002 r. - Prawo o ustroju sądów administracyjnych (Dz. U. Nr 153, poz. 1269 ze zm.), sądy administracyjne sprawują wymiar sprawiedliwości przez kontrolę działalności administracji publicznej, przy czym kontrola ta sprawowana jest pod względem zgodności z prawem, jeżeli ustawy nie stanowią inaczej.
Skarga Banku [...] S. A. z siedzibą w W. analizowana pod tym kątem zasługuje na uwzględnienie.
W pierwszej kolejności należy wskazać, że w rozpoznawanej sprawie zastosowanie mają przepisy ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (tekst jednolity Dz. U. z 2002 r. Nr 101, poz. 926 ze zm.) w brzmieniu obowiązującym przed dniem 7 marca 2011 r. Zgodnie bowiem z art. 5 ustawy z dnia 29 października 2010 r. o zmianie ustawy o ochronie danych osobowych oraz niektórych innych ustaw (Dz. U. Nr 229, poz. 1497), która weszła w życie w dniu 7 marca 2011 r., do postępowań wszczętych i niezakończonych na podstawie ustawy, o której mowa w art. 1, przed dniem wejścia w życie niniejszej ustawy, stosuje się przepisy dotychczasowe. Skoro niniejsza sprawa została wszczęta wnioskiem P. J. z dnia [...] listopada 2010 r., to sprawa była rozpoznawana na podstawie przepisów ustawy o ochronie danych osobowych w brzmieniu obowiązującym przed dniem 7 marca 2011 r.
Stosownie do treści art. 29 ust. 1 cytowanej ustawy o ochronie danych osobowych, w przypadku udostępniania danych osobowych w celach innych niż włączenie do zbioru, administrator danych udostępnia posiadane w zbiorze dane osobom lub podmiotom uprawnionym do ich otrzymania na mocy przepisów prawa. Dane osobowe, z wyłączeniem danych, o których mowa w art. 27 ust. 1, mogą być także udostępnione w celach innych niż włączenie do zbioru, innym osobom i podmiotom niż wymienione w ust. 1, jeżeli w sposób wiarygodny uzasadnią potrzebę posiadania tych danych, a ich udostępnienie nie naruszy praw i wolności osób, których dane dotyczą (ust. 2). Dane osobowe udostępnia się na pisemny, umotywowany wniosek, chyba że przepis innej ustawy stanowi inaczej. Wniosek powinien zawierać informacje umożliwiające wyszukanie w zbiorze żądanych danych osobowych oraz wskazywać ich zakres i przeznaczenie (ust. 3). Udostępnione dane osobowe można wykorzystać wyłącznie zgodnie z przeznaczeniem, dla którego zostały udostępnione (ust. 4).
Ustawodawca w cytowanym art. 29 ustawy rozróżnia dwie kategorie podmiotów starających się o udostępnienie danych: uprawnionych do otrzymania danych na podstawie przepisów ustawy oraz takich, które nie mogą wykazać się prawną podstawą domagania się uzyskania danych. W pierwszym przypadku na administratorze ciąży obowiązek udostępniania danych i udostępnienie to ma charakter obligatoryjny, w przypadku zaistnienia okoliczności opisanych w ust. 1 cytowanego przepisu. W drugim przypadku udostępnienie ma charakter fakultatywny i może do niego dojść pod warunkiem, że podmiot złoży w tej sprawie pisemny wniosek, w którym w sposób wiarygodny uzasadni potrzebę posiadania określonych danych; poda informacje umożliwiające wyszukanie w zbiorze żądanych danych osobowych oraz wskaże ich zakres i przeznaczenie, a ponadto udostępnienie to nie naruszy praw i wolności osób, których dane dotyczą. Podmiot nie otrzyma jednak takich danych (otrzyma ze strony administratora danych decyzję o odmowie udostępnienia), jeżeli spowodowałoby ono ujawnienie wiadomości stanowiącej tajemnicę państwową, zagrożenie dla obronności lub bezpieczeństwa państwa, życia i zdrowia ludzi lub bezpieczeństwa i porządku publicznego, zagrożenie dla podstawowego interesu gospodarczego lub finansowego państwa, istotne naruszenie dóbr osobistych osób, których dane dotyczą, lub innych osób (por. J. Barta, P. Fajgielski, R. Markiewicz. Ochrona danych osobowych. Komentarz, wyd. IV, publ. LEX, 2007, nr: 7672).
O tym czy potrzeba posiadania danych osobowych jest uzasadniona oraz czy zostało to w sposób wiarygodny przedstawione rozstrzyga sam administrator (por. wyrok WSA w Warszawie z dnia 12 maja 2006 r. sygn. akt II SA/Wa 15/06 publ. Centralna Baza Orzeczeń Sądów Administracyjnych, orzeczenia.nsa.gov.pl). Ocena ta jest natomiast dokonywana w trakcie postępowania administracyjnego, stosownie bowiem do art. 22 cytowanej ustawy postępowanie w sprawach uregulowanych w ustawie o ochronie danych osobowych prowadzi się według przepisów Kodeksu postępowania administracyjnego, o ile przepisy ustawy nie stanowią inaczej. Zatem Generalny Inspektor Ochrony Danych Osobowych, jako organ prowadzący postępowanie administracyjne i podejmujący decyzję administracyjną wskazaną w art. 18 ustawy o ochronie danych osobowych obowiązany jest przestrzegać ogólnych zasad postępowania uregulowanych w Kodeksie postępowania administracyjnego. W szczególności winien przestrzegać zasady dochodzenia do prawdy materialnej (art. 7 kpa), a więc podejmować wszelkie niezbędne kroki zmierzające do dokładnego wyjaśnienia stanu faktycznego i załatwienia sprawy. Jest zobowiązany również do należytego i wyczerpującego informowania stron o okolicznościach faktycznych i prawnych, które mogą mieć wpływ na ustalenie ich praw i obowiązków będących przedmiotem postępowania administracyjnego (art. 9 kpa). Musi wreszcie w sposób wyczerpujący zebrać, rozpatrzyć i ocenić cały materiał dowodowy (art. 77 § 1 i art. 80 kpa) oraz uzasadnić swoje rozstrzygnięcie zgodnie z wymogami określonymi w art. 107 § 3 kpa.
Tymczasem w rozpoznawanej sprawie organ uchybił wskazanym regułom postępowania, i to w sposób mający istotny wpływ na wynik rozstrzygnięcia, w szczególności, poprzez niewyczerpujące i mało wnikliwe rozpatrzenie całokształtu materiału dowodowego. W szczególności organ nie rozważył zarzutu strony skarżącej dotyczącej niemożności udostępnienia P. J. danych osobowych D. L. z uwagi na obowiązującą Bank tajemnicę bankową. Co prawda organ stwierdził, iż w jego ocenie wolą ustawodawcy było, aby dane osobowe mogły być udostępniane - przy założeniu, iż spełnione zostały wskazane warunki - osobom, które nie są uprawnione do ich pozyskania wprost na mocy innych, szczególnych przepisów prawa, jednak nie odniósł swoich rozważań do art. 5 cytowanej ustawy o ochronie danych osobowych, zgodnie z którym, jeżeli przepisy odrębnych ustaw, które odnoszą się do przetwarzania danych, przewidują dalej idącą ich ochronę, niż wynika to z niniejszej ustawy, stosuje się przepisy tych ustaw. W doktrynie przyjmuje się natomiast, że przepisy o tajemnicy bankowej nie wyłączają stosowania ustawy o ochronie danych osobowych w całości, czynią to jednak w zakresie, w jakim zapewniają ochronę dalej idącą niż ta ustawa, a więc tylko jeśli chodzi o zasady udostępniania osobom i podmiotom trzecim informacji, o których mowa w art. 104 ustawy z dnia 29 sierpnia 1997 r. - Prawo bankowe (tekst jedn.: Dz. U. z 2002 r. Nr 72, poz. 665 z późn. zm.), o ile oczywiście są to dane osobowe (por. J. Barta, P. Fajgielski, R. Markiewicz. Ochrona danych osobowych. Komentarz, wyd. IV, publ. LEX, 2007, nr: 7672).
W tym znaczeniu wydaje się wręcz niezbędnym odniesienie się do powyższego zarzutu skarżącego i zbadanie, czy przepisy ustawy Prawo bankowe dotyczące tajemnicy bankowej pozwalają na zastosowanie art. 29 ust. 2 ustawy o ochronie danych osobowych. Dopiero ocena wniosku P. J., w tym zakresie, w ocenie Sądu, może doprowadzić do pełnego rozpatrzenia sprawy w oparciu o obowiązujące przepisy prawa i wydania rozstrzygnięcia w sprawie. Dlatego też organ ponownie rozpoznając sprawę weźmie pod uwagę powyższe wytyczne Sądu, odpowie na zarzuty skarżącego i oceni, czy przepisy prawa bankowego regulujące tajemnicę bankową będą miały zastosowanie w niniejszej sprawie i jaki będzie ich wpływ na wniosek P. J. o udostępnienie mu przez Bank [...] S. A. z siedzibą w W. danych osobowych D. L.
Mając powyższe na uwadze, Wojewódzki Sąd Administracyjny w Warszawie, na podstawie art. 145 § 1 pkt 1 lit. c ustawy z dnia 30 sierpnia 2002 r. – Prawo o postępowaniu przed sądami administracyjnymi (tekst jednolity Dz. U. z 2012 r., poz. 270), orzekł jak w sentencji wyroku. O wstrzymaniu wykonania zaskarżonej decyzji Sąd orzekł na podstawie art. 152 powołanej ustawy.
Źródło: Centralna Baza Orzeczeń Sądów Administracyjnych (orzeczenia.nsa.gov.pl), pozyskano 13.07.2026. · Źródło