I OSK 1743/07

I OSK 1743/07 - Wyrok NSA
Data orzeczenia
2008-11-25
orzeczenie prawomocne
Data wpływu
2007-11-10
Sąd
Naczelny Sąd Administracyjny
Sędziowie
Aleksandra Łaskarzewska
Anna Łuczaj /przewodniczący/
Barbara Adamiak /sprawozdawca/
Symbol z opisem
647  Sprawy związane z ochroną danych osobowych
Hasła tematyczne
Ochrona danych osobowych
Sygn. powiązane
II SA/Wa 282/07 - Wyrok WSA w Warszawie z 2007-05-23
I OZ 681/07 - Postanowienie NSA z 2007-09-25
I OZ 971/07 - Postanowienie NSA z 2007-12-21
Skarżony organ
Generalny Inspektor Ochrony Danych Osobowych
Treść wyniku
Uchylono zaskarżony wyrok oraz decyzję I i II instancji
Powołane przepisy
Dz.U. 2002 nr 101 poz 926
art. 23 ust. 1 pkt 1
Ustawa z dnia 29 sierpnia 1997 r. o ochronie danych osobowych - tekst jedn.
Sentencja
Naczelny Sąd Administracyjny w składzie: Przewodniczący: Sędzia NSA Anna Łuczaj Sędziowie NSA Barbara Adamiak (spr.) del. WSA Aleksandra Łaskarzewska Protokolant Michał Zawadzki po rozpoznaniu w dniu 25 listopada 2008r. na rozprawie w Izbie Ogólnoadministracyjnej skargi kasacyjnej J. M. od wyroku Wojewódzkiego Sądu Administracyjnego w Warszawie z dnia 23 maja 2007 r. sygn. akt II SA/Wa 282/07 w sprawie ze skargi J. M. na decyzję Generalnego Inspektora Ochrony Danych Osobowych z dnia [...] grudnia 2006 r. nr [...] w przedmiocie przetwarzania danych osobowych 1. uchyla zaskarżony wyrok i decyzję Generalnego Inspektora Ochrony Danych Osobowych z dnia [...] grudnia 2006r. nr [...] oraz poprzedzającą ją decyzję Generalnego Inspektora Ochrony Danych Osobowych z dnia [...] sierpnia 2006 roku nr [...]; 2. zasądza od Generalnego Inspektora Ochrony Danych Osobowych na rzecz J. M. kwotę 500 (pięćset) złotych tytułem zwrotu kosztów postępowania za obie instancje.
Uzasadnienie
Generalny Inspektor Ochrony Danych Osobowych decyzją z dnia [...] sierpnia 2006 r. nr [...] wydaną na podstawie art. 12 pkt 2 i art. 23 ust. 1 pkt 1, 2 i 5 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (tekst jedn. Dz. U. z 2002 r. Nr 101, poz. 926 ze zm.), odmówił uwzględnienia wniosku J. M. w przedmiocie przechowywania przez [...] Bank S.A. z siedzibą w W. jego danych osobowych. W uzasadnieniu podał, że w dniu [...] czerwca 2001 r. skarżący wypełnił wniosek internetowy o otwarcie rachunku oszczędnościowego w [...] Banku, który zawierał klauzulę zgody na przetwarzanie danych osobowych w celach promocji i marketingu działalności prowadzonej przez bank, w tym świadczonych usług oraz oferowanych produktów, na co wyraził zgodę. W tej sytuacji Bank przesłał mu umowę prowadzenia rachunku oszczędnościowego, jednakże skarżący nie odesłał podpisanego egzemplarza powyższej umowy. W dniu [...] listopada 2005 r. skarżący wypełnił kolejny wniosek o otwarcie rachunku oszczędnościowego, przy czym w klauzuli dotyczącej przetwarzanie danych osobowych, wyraził na to zgodę i - podobnie jak wyżej - po otrzymaniu urnowy z Banku, nie odesłał podpisanego egzemplarza. Po rozpoznaniu pisma skarżącego z dnia [...] listopada 2005 r., Bank pismem z dnia [...] listopada 2005 r. odpowiedział, że jego dane osobowe znajdują się w bazie banku od dnia [...] czerwca 2001 r. i po kolejnym piśmie skarżącego z dnia [...] grudnia 2005 r. z pytaniem, na jakiej podstawie prawnej Bank w dalszym ciągu przetwarza jego dane osobowe, w dniu [...] grudnia 2005 r. Bank pisemnie oświadczył, że jeżeli życzy on sobie usunięcia jego danych osobowych z bazy Banku i zaprzestania ich przetwarzania, to konieczna jest jego pisemna informacja potwierdzona własnoręcznym podpisem, do czego skarżący nie ustosunkował się. Następnie w dniu [...] kwietnia 2006 r. Bank przesłał skarżącemu kopie wniosków o otwarcie rachunku bankowego złożonych w podanych już wyżej terminach oraz kopie umów o otwarcie rachunków oszczędnościowych określających cel, zakres i sposób przetwarzania danych oraz sposób ich udostępniania, przy czym ponownie zwrócił się do niego o pisemną informację, czy życzy sobie usunięcia jego danych z bazy Banku, na co skarżący ponownie nie odpowiedział. W trakcie prowadzonego postępowania wyjaśniającego ustalono, że dane skarżącego są przetwarzane w celu zawarcia umowy o prowadzenie rachunku bankowego na podstawie art. 23 ust. 1 pkt 3 powołanej ustawy o ochronie danych osobowych. Jak następnie wyjaśnił Bank, powyższych danych nie usunięto z bazy, bowiem - jak wynika z praktyki - klienci po dłuższym okresie czasu przesyłają podpisane umowy o prowadzenie rachunku bankowego i przyznał dalej, że w przepisach wewnętrznych nie zostały określone daty usuwania danych osobowych z bazy danych i rozważa się wprowadzenie procedury obowiązkowego usuwania danych przyszłych klientów po okresie 3-5 lat, od złożenia wniosku i niepodpisania do tego czasu umowy o rachunek bankowy. Ponadto Bank dodał, że dane osobowe klientów, którzy wypełnili wniosek o rachunek, a nie odesłali podpisanej umowy, są usuwane niezwłocznie po oświadczeniu klienta, że odstępuje on od zawarcia umowy o rachunek bankowy, bądź w razie złożenia wniosku o usunięcie jego danych, a takiej dyspozycji bank nie otrzymał od skarżącego. W rozpoznawanej sprawie nie można się zgodzić ze stanowiskiem Banku, że dane skarżącego zawarte we wniosku o otwarcie rachunku bankowego były przetwarzane na podstawie art. 23 ust. 1 pkt 3, bowiem Bank w żaden sposób nie wykazał, że tak długi okres przechowywania danych osobowych skarżącego jest niezbędny do realizacji wskazanego w tym przepisie celu. Z zasady ograniczenia czasowego, a wyrażonej w art. 26 ust. 1 pkt 4 ustawy wynika, że w sytuacji, kiedy administrator stwierdzi, że umowa z wnioskodawcą nie zostanie zawarta, jego dane nie powinny być zbierane na zapas, tj. na wypadek wyrażenia przez potencjalnego klienta woli zawarcia umowy. Jednakże w rozpoznawanej sprawie nie można nakazać usunięcia danych bankowi, ponieważ nie ulega wątpliwości, że skarżący we wniosku wypełnionym w czerwcu 2001 r. wyraził zgodę na "na przetwarzanie przez [...] Bank moich danych osobowych w celach promocji i marketingu działalności prowadzonej przez [...] Bank w tym świadczonych usług oraz oferowanych produktów", co wypełnia przesłankę zawartą w art. 23 ust. 1 pkt 1 ustawy. Do przetwarzania danych osobowych skarżącego [...] Bank był również uprawniony na podstawie art. 23 ust. 1 pkt 5 ustawy, bowiem dla uznania jej spełnienia, konieczne jest przede wszystkim, aby przetwarzanie danych nie naruszało praw i wolności osoby, której dane dotyczą. Z kolei zgodnie z art. 32 ust. 1 ustawy, każdej osobie przysługuje prawo do kontroli przetwarzania danych, które jej dotyczą, zawartych w zbiorach danych, a zwłaszcza prawo do wniesienia, w przypadkach wymienionych w art. 23 ust. 1 pkt 4 i 5, pisemnego, umotywowanego żądania zaprzestania przetwarzania jej danych ze względu na jej szczególną sytuację (pkt 7) oraz prawo do wniesienia sprzeciwu wobec przetwarzania jej danych w przypadkach, wymienionych w art. 23 ust. 1 pkt 4 i 5, gdy administrator danych zamierza je przetwarzać w celach marketingowych lub wobec przekazywania jej danych osobowych innemu administratorowi danych (pkt 8). Stosownie zaś do treści art. 32 ust. 2, w przypadku wniesienia żądania, o którym mowa w ust. 1 pkt 7, administrator danych zaprzestaje przetwarzania kwestionowanych danych osobowych albo bez zbędnej zwłoki przekazuje żądanie Generalnemu Inspektorowi, który wydaje stosowną decyzję. Natomiast według art. 32 ust. 3 ustawy, w razie wniesienia sprzeciwu, o którym mowa ust. 1 pkt 8, dalsze przetwarzanie kwestionowanych danych jest niedopuszczalne. Administrator danych może jednak pozostawić w zbiorze imię lub imiona i nazwisko osoby oraz numer PESEL lub adres wyłącznie w celu uniknięcia ponownego wykorzystania danych tej osoby w celach objętych sprzeciwem. W rozpoznawanej zaś sprawie, skarżący nie zwrócił się do [...] Banku z powyższymi roszczeniami, a ponadto [...] Bank dwukrotnie informował skarżącego o możliwości usunięcia jego danych, na co wymieniony nie odpowiedział.
Główny Inspektor Ochrony Danych Osobowych decyzją z [...] grudnia 2006 r. nr [...] wydaną na podstawie art. 138 § 1 pkt 1 k.p.a. oraz art. 12 pkt 2, art. 23 ust. 1 pkt 1, 2 i 5 ustawy z 29 sierpnia 1997 r. o ochronie danych osobowych (tekst jedn. Dz. U. z 2002 r. Nr 101, poz. 926 ze zm.), utrzymał w mocy decyzję z [...] sierpnia 2006 r. W uzasadnieniu podtrzymując swoje stanowisko wywodził, że nie można nakazać Bankowi usunięcia danych osobowych skarżącego z powodu niezawarcia umowy. Bank miał prawo przetwarzać te dane na podstawie art. 23 ust. 1 pkt 1 ustawy. Skarżący we wniosku o otwarcie rachunku bankowego wypełnionym w roku 2001, wyraził zgodę na "przetwarzanie przez [...] Bank moich danych osobowych w celach promocji i marketingu działalności prowadzonej przez [...] Bank w tym świadczonych usług oraz oferowanych produktów". W dalszej części organ podał, że zarzuty skarżącego dotyczące powyższej klauzuli w umowie o prowadzenie rachunku oszczędnościowego przesłanej mu do podpisania, nie są przedmiotem sprawy, bowiem organ wyraźnie wskazał na klauzulę dotyczącą wniosku, a nie umowy. Ponadto skarżący, mimo wyraźnego dwukrotnego pouczenia go przez Bank o możliwości usunięcia jego danych osobowych, nie skorzystał z tej możliwości.
Wojewódzki Sąd Administracyjny w Warszawie wyrokiem z 23 maja 2007 r. sygn. akt II SA/Wa 282/07, po rozpoznaniu sprawy ze skargi J. M. na decyzję Generalnego Inspektora Ochrony Danych Osobowych z [...] grudnia 2006 r. nr [...] w przedmiocie odmowy uwzględnienia wniosku w zakresie przetwarzania danych osobowych, oddalił skargę. W uzasadnieniu Sąd wywodził, że zaskarżona decyzja jest zgodna z prawem. Stosownie do treści art. 7 pkt 2 ustawy z 29 sierpnia 1997 r. o ochronie danych osobowych (tekst jedn. z 2002 r. Dz. U. Nr 101, poz. 926 ze zm.), przez przetwarzanie danych osobowych rozumie się jakiekolwiek operacje wykonywane na danych osobowych, takie jak zbieranie, utrwalanie, przechowywanie, opracowywanie, zmienianie, udostępnianie i usuwanie, a zwłaszcza te, które wykonuje się w systemach informatycznych.
W rozpoznawanej sprawie bezsporne jest, że [...] Bank S.A. z siedzibą w W. przetwarzał dane osobowe skarżącego J. M., bowiem - jak ustalił Generalny Inspektor Ochrony Danych Osobowych - bank ten co najmniej przechowywał jego dane.
Przetwarzanie zaś danych osobowych jest dopuszczalne, jeżeli - w myśl art. 23 ust. 1 pkt 1 ustawy - osoba, której dane dotyczą, wyrazi na to zgodę, chyba że chodzi o usunięcie jej danych.
W sprawie nie budzi żadnych wątpliwości fakt, że skarżący przed otwarciem konta w [...] Banku, w dniu [...] czerwca 2001 r. wypełnił internetowy wniosek o otwarcie konta i przesłał go do administratora (k. 19-20 akt sądowych). Zawarł w nim m.in. dane dotyczące swojej osoby, a to: imiona i nazwisko, nazwisko panieńskie matki, nr PESEL, serię i numer dowodu osobistego, datę urodzenia, stan cywilny, adres
zamieszkania i numer telefonu mobilnego oraz adres e-mail. Jednocześnie w powyższym wniosku, zakreślił opcjonalne "TAK", na wyrażenie zgody "na przetwarzanie przez [...] Bank moich danych osobowych w celach promocji i marketingu działalności prowadzonej [...] Bank w tym świadczonych usług oraz oferowanych produktów (zgodnie z art. 23 ust. 2 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych, Dz. U. Nr 133, poz. 883)". Stosownie do treści art. 23 ust. 2 ustawy, zgoda, o której mowa w ust. 1 pkt 1, może obejmować również przetwarzanie danych w przyszłości, jeżeli nie zmienia się cel przetwarzania.
Analizując ustalenia faktyczne i porównując je z obowiązującym prawem Sąd przyjął, że skarżący wyraził w powyższym wniosku zgodę na przetwarzanie jego danych osobowych w celach promocji i marketingu działalności prowadzonej przez [...] Bank w tym świadczonych usług oraz oferowanych produktów i jeżeli nie zmienił się cel przetwarzania, to dotyczy to również zgody na przetwarzanie danych osobowych na przyszłość. Takie przetwarzanie danych osobowych jest dopuszczalne również na podstawie art. 23 ust. 1 pkt 5 ustawy, zgodnie z którym przetwarzanie danych osobowych jest dopuszczalne nawet bez zgody: skarżącego w sytuacji, kiedy jest to niezbędne dla wypełnienia prawnie usprawiedliwionych celów realizowanych przez administratorów danych albo odbiorców danych, a przetwarzanie nie narusza praw i wolności osoby, której dane dotyczą. Natomiast w myśl art. 23 ust. 4 pkt 1 ustawy, za prawnie usprawiedliwiony cel uważa się w szczególności marketing bezpośredni własnych produktów lub usług administratora danych.
Sąd nie zgodził się z zarzutem skarżącego, że obowiązek wyrażenia przez niego zgody na przetwarzanie powyższych danych osobowych, nałożono na niego z "góry", wiążąc w ten sposób jego swobodę. Żadne dowody przeprowadzone przez organ w postępowaniu administracyjnym, nie wskazują na takie uchybienie [...] Banku. Skarżący zaś nie zgadzając się z powyższym, powołuje się na pismo banku z dnia [...] maja 2006 r. (k. 21 akt sądowych) i wskazując na jego treść, uzasadnia w ten sposób swój zarzut. Oceniając powyższe, należało dokonać analizy owego pisma, które brzmi: "Przed zawarciem kontraktu rachunku bankowego Klient musi wyrazić zgodę na przetwarzanie w określonym zakresie jego danych osobowych (...)". Jednak, jak sam skarżący przyznał na rozprawie przed Sądem po okazaniu mu dokumentu ze strony 13 akt sądowych, klauzule tam umieszczone nie są wypełnionym przez niego dokumentem, a jedynie przykładem procedur, które ściągnął ze strony internetowej banku i - co najważniejsze - "nie jest to wniosek" o zawarcie umowy. W ten sposób potwierdził on swoją tezę z wniosku o ponowne rozpatrzenie sprawy przez organ, że powyższe klauzule zawarte są w umowie rachunku bankowego, a nie we wniosku o otwarcie rachunku, której skarżący po nadesłaniu przez bank, nie odesłał podpisanej. Tym samym nie doszło do zawarcia umowy prowadzenia rachunku bankowego i w konsekwencji, nie na jej podstawie [...] Bank przetwarzał jego dane osobowe, a na podstawie wyrażenia przez niego zgody we wniosku z dnia [...] czerwca 2001 r. Tym bardziej, jeśli się zważy na treść owego pisma, a mianowicie: "Przed zawarciem umowy...", a nie "we wniosku". Stąd też zawarte w piśmie z dnia [...] maja 2006 r. stwierdzenie, że: "zgoda taka została przez Pana wyrażona we wniosku o otwarcie rachunku bankowego z dnia [...] czerwca 2001 r.", należy uznać za oczywistą pomyłkę (obowiązek wyrażania zgody). W żaden bowiem sposób nie wykazano, żeby bank uzależniał nadesłanie potencjalnemu klientowi projektu umowy do podpisania, pod warunkiem wyrażenie przez niego zgody na przetwarzanie jego danych osobowych w celach promocji i marketingu działalności prowadzonej [...] Bank w tym świadczonych usług oraz oferowanych produktów. Natomiast, jeżeli mowa jest o jakichkolwiek warunkach stawianych przez bank, to dotyczy to jedynie podpisania umowy o prowadzenie rachunku, jednakże nie stanowi to przedmiotu sprawy.
Dane skarżącego [...] Bank przetwarzał na podstawie wniosku z dnia [...] czerwca 2001 r. i po podpisaniu przez niego zgody na ich przetwarzanie w określonym celu, gdzie w żaden sposób nie pozbawiono go swobody w podjęciu takiej decyzji. Skarżący był poinformowany przez [...] Bank o możliwościach wynikających z treści art. 32 ustawy i o możliwości żądania przez niego zaprzestania przetwarzania jego danych, jednakże nie skorzystał z tego prawa.
W tym stanie rzeczy, na mocy art. 151 w zw. z art. 132 ustawy z dnia 30 sierpnia 2002 r. - Prawo o postępowaniu przed sądami administracyjnymi (Dz. U. Nr 153, poz. 1270 ze zm.), Sąd oddalił skargę.
J. M. wniósł od wyroku skargę kasacyjną, zaskarżając wyrok w całości. Skargę kasacyjną oparł na zarzucie naruszenia prawa materialnego przez wadliwą interpretację przepisu art. 23 ust. 1 pkt 1 ustawy z 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. z 2002 r. Nr 101, poz. 926 z późn. zm.) polegającą na przyjęciu, że klauzula przetwarzania danych osobowych zawarta we wniosku o otwarcie konta bankowego internetowego z dnia [...] czerwca 2001 r. jest zgodna z przepisami ustawy z dnia 23 maja 2007 r. o ochronie danych osobowych i nie narusza praw skarżącego, bez dokonania jednoczesnej oceny prawnej, czy zebranie danych osobowych Skarżącego było prowadzone, aby przetwarzać jego dane osobowe w celach promocji lub marketingu własnych produktów [...] Banku (zgodnie z art. 23 ust. 1 pkt 5 w związku z ust. 4 pkt 1 ustawy o ochronie danych osobowych), czy też w celu zawarcia umowy o prowadzenie rachunku bankowego (zgodnie z art. 23 ust. 1 pkt 3 ustawy o ochronie danych osobowych), co stanowi naruszenie przepisów ustawy o ochronie danych osobowych, w szczególności art. 23 ust. 1 pkt 1 tej ustawy, przez co spełniona została przesłanka wynikająca z art. 174 pkt 1 ustawy - Prawo o postępowaniu przed sądami administracyjnymi.
Na tych podstawach wnosił o:
1) uchylenie zaskarżonego wyroku w całości i uwzględnienie skargi kasacyjnej lub przekazanie sprawy Wojewódzkiemu Sądowi Administracyjnemu w Warszawie do ponownego rozpoznania,
2) zasądzenie kosztów postępowania według norm przepisanych.
W uzasadnieniu skargi kasacyjnej wywodzono, że Sąd przyjął, że podstawą do przetwarzania jego danych osobowych była klauzula zawarta we wniosku o otwarcie rachunku bankowego. Wypełnienie tej klauzuli było jednak warunkiem, której niewypełnienie skutkowałoby odrzuceniem wniosku przez [...] Bank. Kwestionuje prawidłowość klauzuli zgody na przetwarzanie danych osobowych, która narusza ustawę o ochronie danych osobowych.
Naczelny Sąd Administracyjny zważył, co następuje:
Zgodnie z art. 183 § 1 ustawy z 30 sierpnia 2002 r. - Prawo o postępowaniu przed sądami administracyjnymi (Dz. U. Nr 153, poz. 1270 ze zm.), Naczelny Sąd Administracyjny rozpoznaje sprawę w granicach skargi kasacyjnej, bierze jednak z urzędu pod rozwagę nieważność postępowania. W sprawie nie występują wyliczone enumeratywnie w art. 183 § 2 powołanej ustawy - Prawo o postępowaniu przed sądami administracyjnymi, przesłanki nieważności postępowania sądowoadministracyjnego. Z tego względu, przy rozpoznaniu sprawy, Naczelny Sąd Administracyjny związany był granicami skargi kasacyjnej.
Skarga kasacyjna została oparta na usprawiedliwionej podstawie. Zgodnie z art. 23 ust. 1 pkt 1 ustawy z 29 sierpnia 1997 r. o ochronie danych osobowych (t.j. Dz. U. z 2002 r. Nr 101, poz. 926 ze zm.) "Przetwarzanie danych jest dopuszczalne tylko wtedy, gdy: osoba, której dane dotyczą, wyrazi na to zgodę, chyba że chodzi o usunięcie dotyczących jej danych". Dokonując wykładni art. 23 ust. 1 pkt 1 powołanej ustawy o ochronie danych osobowych należy uwzględnić dyrektywę 95/46/WE Parlamentu Europejskiego i Rady z 24 października 1995 r. w sprawie ochrony osób fizycznych w zakresie przetwarzania danych osobowych i swobodnego przepływu tych danych (Dz.U.UE.L.95.281.31 ze zm.), która nakazuje w krajowych przepisach prawa dotyczących przetwarzania danych osobowych uwzględnienie podstawowych praw i wolności, szczególnie prawa do prywatności, które zostało uznane zarówno w art. 8 Europejskiej Konwencji o ochronie praw człowieka i podstawowych wolności oraz w zasobach ogólnych prawa wspólnotowego, podkreślając, że należy w ustawodawstwie dążyć do zapewnienia jak najwyższego stopnia ochrony. Zasady ochrony paw i wolności jednostki, szczególnie prawa do prywatności, które zawarte są w tej dyrektywie, utrwalają i umacniają zasady wyrażone w Konwencji Rady Europy z 26 stycznia 1981 r. w sprawie ochrony jednostek w zakresie automatycznego przetwarzania danych osobowych. Przetwarzanie danych osobowych musi być zgodne z prawem i rzetelne wobec zainteresowanych osób; w szczególności dane muszą być adekwatne, właściwe i nie wykraczać poza cele, dla których są przetwarzane; cele takie muszą być jednoznaczne i uzasadnione oraz określone w czasie gromadzenia danych; potrzeby dalszego przetwarzania danych dla potrzeb ich gromadzenia nie mogą być niezgodne z pierwotnie określonymi celami.
Zgodnie z prawem proces przetwarzania danych osobowych wymaga ponadto, aby dokonywane było ono za zgodą osoby, której dane dotyczą lub było konieczne dla zawarcia lub realizacji umowy wiążącej w sprawie osoby, której dane dotyczą, bądź miało charakter wymogu prawnego, lub też służyło realizacji zadania wymaganego w interesie publicznym lub wykonywaniu władzy publicznej, bądź też w uzasadnionym interesie osoby fizycznej lub prawnej, pod warunkiem, że interesy lub prawa i wolności osoby, której dane dotyczą, nie mają charakteru nadrzędnego.
Te wartości ochrony danych osobowych przyjęte w prawie wspólnotowym muszą być uwzględnione przy wykładni przepisów prawa. Art. 23 ust. 1 pkt 1 ustawy o ochronie danych osobowych opiera dopuszczalność przetwarzania danych na wystąpieniu przesłanki: osoba, której dane dotyczą, wyrazi na to zgodę. Zgoda jest to oświadczenie woli osoby na przetwarzanie jej danych. Zgoda zatem musi być wyrażona w takiej formie, aby można to wiązać z oświadczeniem woli określonej treści. Jeżeli zgoda ma być wyrażona na wymaganym formularzu, formularz musi zawierać dokładne pouczenie o skutkach wyrażenia zgody, a ogólnikowe pouczenie przez odesłanie do ustawy o ochronie danych osobowych, takim pouczeniem nie jest. Nie określa terminu od kiedy bank przetwarza dane osobowe i z jaką czynnością związane jest przetwarzanie danych.
Ograniczenie kontroli wyłącznie do ustalenia zakreślenia kratki formularza nie jest oceną wyrażenia zgody przez oświadczenie woli przetwarzania danych osobowych. W przypadku gdy jednostka oświadcza o braku zgody na przetwarzanie danych, nie jest dopuszczalne ograniczenie się do formalistycznego stwierdzenia faktu, bez oceny i wykładni przepisów ustanawiających ochronę danych osobowych. Art. 51 ust. 4 Konstytucji Rzeczypospolitej Polskiej stanowi "Każdy ma prawo do żądania sprostowania oraz usunięcia informacji nieprawdziwych, niepełnych lub zebranych w sposób sprzeczny z ustawą". To konstytucyjne prawo jednostki musi być uwzględnione przy ocenie przepisów prawa co do wyrażenia zgody na przetwarzanie danych osobowych.
W tym stanie rzeczy, skarga kasacyjna zasadnie zarzuca błędną wykładnię przepisu prawa materialnego: art. 23 ust. 1 pkt 1 ustawy o ochronie danych osobowych. Z tego względu na podstawie art. 188 powołanej ustawy - Prawo o postępowaniu przed sądami administracyjnymi, Naczelny Sąd Administracyjny orzekł jak w sentencji.
Na podstawie art. 203 pkt 1 w związku z art. 200 powołanej ustawy - Prawo o postępowaniu przed sądami administracyjnymi, Naczelny Sąd Administracyjny orzekł o kosztach postępowania sądowoadministracyjnego.