I OSK 2859/16

I OSK 2859/16 - Wyrok NSA
Data orzeczenia
2017-07-25
orzeczenie prawomocne
Data wpływu
2016-12-14
Sąd
Naczelny Sąd Administracyjny
Sędziowie
Czesława Nowak-Kolczyńska
Jerzy Krupiński /sprawozdawca/
Jolanta Rudnicka /przewodniczący/
Symbol z opisem
647  Sprawy związane z ochroną danych osobowych
Hasła tematyczne
Ochrona danych osobowych
Sygn. powiązane
II SA/Wa 124/16 - Wyrok WSA w Warszawie z 2016-08-26
Skarżony organ
Generalny Inspektor Ochrony Danych Osobowych
Treść wyniku
Oddalono skargę kasacyjną
Powołane przepisy
Dz.U. 2015 poz 128
art 105 ust 4, art 105 a ust3,4 i 5
Ustawa z dnia 29 sierpnia 1997 r. Prawo bankowe - tekst jedn.
Sentencja
Naczelny Sąd Administracyjny w składzie: Przewodniczący: sędzia NSA Jolanta Rudnicka sędzia NSA Czesława Nowak - Kolczyńska sędzia del. NSA Jerzy Krupiński (spr.) po rozpoznaniu w dniu 25 lipca 2017 roku na posiedzeniu niejawnym w Izbie Ogólnoadministracyjnej skargi kasacyjnej P. S.A. w W. od wyroku Wojewódzkiego Sądu Administracyjnego W Warszawie z dnia 26 sierpnia 2016 r. sygn. akt II SA/WA 124/16 w sprawie ze skargi P. S.A. w W. na decyzję Generalnego Inspektora Danych Osobowych z dnia [...] listopada 2015 r. nr [...], [...], [...], [...] w przedmiocie przetwarzania danych osobowych oddala skargę kasacyjną.
Uzasadnienie
Przedmiotem skargi kasacyjnej, wniesionej do Naczelnego Sądu Administracyjnego przez P. S.A. w W. (dalej: "Bank"), jest wyrok Wojewódzkiego Sądu Administracyjnego w Warszawie z dnia 26 sierpnia 2016 r., sygn. akt II SA/Wa 124/16, którym oddalono jej skargę na decyzję Generalnego Inspektora Ochrony Danych Osobowych (dalej: "GIODO") z dnia [...] listopada 2015 r., nr [...], [...], [...], [...], wydaną w przedmiocie przetwarzania danych osobowych.
Wyrok wydany został w następujących, ustalonych przez Sąd I instancji, okolicznościach faktycznych i prawnych sprawy:
Do Biura GIODO wpłynęła skarga M. K. (dalej: "strona", "klient"), dotycząca przetwarzania jego danych osobowych przez Bank, w której wskazał na nieprawidłowości w procesie przetwarzania tych danych, pomimo wygaśnięcia zobowiązań wobec Banku i wycofania zgody na ich przetwarzanie. W uzasadnieniu podniósł, że w dniu 4 lipca 2011 r. Sąd Rejonowy dla m. st. W. ogłosił upadłość jego firmy "F.". Po prawomocnym zakończeniu postępowania upadłościowego skarżący powiadomił Bank o umorzeniu i wygaśnięciu jego zobowiązań wobec tego podmiotu i złożył oświadczenie o wycofaniu zgody na przetwarzanie jego danych osobowych we wszelkich rejestrach, w tym w B. S. A. w Warszawie (dalej: "B.") i Z. (dalej: "Z."), jednak Bank odmówił uwzględnienia wniosku.
GIODO ustalił, że strona w okresie od dnia 1 września 1992 r. do dnia 31 października 2012 r. prowadziła działalność gospodarczą i zawarła z Bankiem kilkanaście umów: umowę o kredyt z dnia [...] września 2009 r., nr [...] (zwaną dalej: umową nr 1), umowę o kredyt z dnia [...] września 2008 r., nr [...] (umowa nr 2), umowę o kredyt z dnia [...] lutego 2008 r., nr [...] (umowa nr 3), umowę o kredyt z dnia [...] czerwca 2010 r., nr [...] (umowa nr 4), umowę o kredyt z dnia [...] lutego 2010 r., nr [...] (umowa nr 5), umowę o kredyt z dnia [...] marca 2009 r., nr [...] (umowa nr 6), umowę o kredyt z dnia [...] listopada 2009 r., nr [...] (umowa nr 7), umowę o kredyt z dnia [...] stycznia 2010 r., nr [...] (umowa nr 8), umowę o kredyt z dnia [...] marca 2010 r., nr [...] (umowa nr 9), umowę o kredyt z dnia 20 sierpnia 2010 r., nr [...] (umowa nr 10), umowę o kredyt z dnia [...] grudnia 2007 r., nr [...] (umowa nr 11), umowę o kredyt z dnia [...] lipca 2009 r., nr [...] (umowa nr 12), umowę o kartę kredytową z dnia [...] czerwca 2010 r., nr [...] (umowa nr 13). W piśmie z dnia 9 sierpnia 2013 r. Bank wyjaśnił, że w związku z posiadanymi rachunkami, dane skarżącego w zakresie: imienia i nazwiska, daty urodzenia, adresu zamieszkania, serii i numeru dowodu osobistego, numeru PESEL oraz płci przekazane zostały do B. na podstawie umowy zawartej między Bankiem a B. w dniu [...] czerwca 2001 r. GIODO ustalił też, że w dniu 4 lipca 2011 r. Sąd Rejonowy dla m. st. W., Sąd Gospodarczy ogłosił upadłość M. K., prowadzącego działalność gospodarczą pod firmą "F.", obejmującą likwidację majątku dłużnika. Postanowieniem z dnia [...] września 2012 r. Sąd stwierdził zakończenie postępowania upadłościowego i umorzył w całości te zobowiązania upadłego, które nie zostały zaspokojone w toku postępowania upadłościowego. W związku z tym w dniu 7 lutego 2013 r. M. K. skierował do Banku pismo, w którym wskazał, że po prawomocnym umorzeniu jego zobowiązań, wszelkie próby dochodzenia od niego przez Bank roszczeń uważa za nieuzasadnione. Jednocześnie oświadczył: "wycofuję zgodę na udostępnienie moich danych po wygaśnięciu wszelkich zobowiązań. W związku z powyższym wnoszę o usunięcie informacji o wygasłych wobec mojej osoby zobowiązaniach z wszelkich rejestrów". W odpowiedzi Bank poinformował stronę, że nie znajduje podstaw do pełnego wykreślenia wpisów z rejestrów B. i Z.. Bank dokona tylko aktualizacji wpisów zgodnie z aktualnym stanem faktycznym. Wierzytelności bowiem zostały umorzone, a nie spłacone. Zgłoszeniem z dnia 9 lipca 2013 r. M. K. cofnął zgodę na przetwarzanie przez Bank jego danych osobowych po wygaśnięciu zobowiązania w związku z umową nr 4 i 13. Informacja ta została przekazana przez Bank do B..
Bank wskazał, że podstawą prawną przetwarzania danych osobowych skarżącego przez Bank są przepisy ustawy z dnia 29 sierpnia 1997 r. - Prawo bankowe (obecnie: Dz. U. z 2016 r., poz. 1988 ze zm.). Działając na tej podstawie banki spełniają przesłanki legalności przetwarzania danych osobowych określone w art. 23 ust. 1 pkt 2 ustawy z 29 sierpnia 1997 r. o ochronie danych osobowych (obecnie: Dz. U. z 2016 r., poz. 922 ze zm.), dalej "u.o.d.o." Tym samym przesłanką dla przetwarzania danych osobowych klientów Banku nie jest zgoda osoby, której dane dotyczą, lecz fakt, że jest to niezbędne dla zrealizowania uprawnienia lub spełnienia obowiązku wynikającego z przepisu prawa. Dane osobowe strony przetwarzane są przez Bank w zbiorze danych o nazwie Baza Klientów P. w następującym zakresie: imiona, nazwisko, nazwisko rodowe, imię ojca, imię matki, nazwisko panieńskie matki, płeć, data urodzenia, miejscowość urodzenia, kraj urodzenia, obywatelstwo, pesel, adres zamieszkania, typ dokumentu, numer dokumentu. W piśmie tym Bank wskazał ponadto, że:
- zobowiązanie klienta wobec Banku wynikające z umowy nr 1 zostało spłacone, aktualnie rachunek ten ma status zamkniętego. Dane dotyczące tego rachunku są przetwarzane przez Bank w bazie B. dla celów oceny zdolności kredytowej ze względu na udzieloną przez klienta, w dniu [...] września 2009 r., zgodę na udostępnianie danych po wygaśnięciu zobowiązania;
- w spłacie kredytu wynikającego z umowy nr 2 klient popadł w zwłokę, maksymalna historyczna ilość dni opóźnienia w spłacie tego zobowiązania wyniosła 790. Wobec niego prowadzona była windykacja tej należności, która została umorzona, a rachunek zamknięty w dniu 25 października 2012 r. Dane dotyczące tej należności Bank przetwarza w bazie B. dla oceny zdolności kredytowej, ze względu na udzieloną przez klienta, w dniu 18 września 2008 r., zgodę na udostępnianie danych po wygaśnięciu zobowiązania;
- w spłacie należności wynikającej z umowy nr 3 klient popadł w zwłokę, maksymalna historyczna ilość dni opóźnienia w spłacie tego zobowiązania wyniosła 794. Wobec niego prowadzona była windykacja tej należności, która została umorzona, a rachunek zamknięty w dniu 25 października 2012 r. Dane dotyczące tej należności Bank przetwarza w bazie B. dla oceny zdolności kredytowej, ze względu na udzieloną przez klienta, w dniu [...] lutego 2008 r., zgodę na udostępnianie danych po wygaśnięciu zobowiązania, jak również spełnione zostały przez Bank warunki do przetwarzania tych informacji po spłacie zobowiązania, bez zgody klienta. Informacja w tym zakresie skierowana została do skarżącego w dniu 16 maja 2011 r.,
- zobowiązanie klienta wobec Banku wynikające z umowy nr 4 aktualnie ma status rachunku zamkniętego - windykacja spłacona. Dane dotyczące tego rachunku przetwarzane są przez Bank w bazie B. dla celów oceny zdolności kredytowej, ze względu na zapisane warunki spełnione na przetwarzanie danych po spłacie. Data wysłania zawiadomienia do klienta o zamiarze przetwarzania danych - 10 sierpnia 2011 r. Data wycofania zgody na przetwarzanie danych osobowych po wygaśnięciu zobowiązania - 9 lipca 2013 r.;
- zobowiązanie klienta wobec Banku wynikające z umowy nr 5 zostało spłacone regularnie, aktualnie rachunek ten ma status zamkniętego. Dane dotyczące tego rachunku przetwarzane są przez Bank w bazie B. dla celów oceny zdolności kredytowej ze względu na udzieloną przez klienta, w dniu [...] lutego 2010 r., zgodę na udostępnianie danych po wygaśnięciu zobowiązania;
- w spłacie należności wynikającej z umowy nr 6 klient popadł w zwłokę, maksymalna historyczna ilość dni opóźnienia w spłacie tego zobowiązania wyniosła 765. Wobec niego prowadzona była windykacja tej należności, która została umorzona, a rachunek zamknięty w dniu 25 października 2012 r. Dane dotyczące tej należności Bank przetwarza w B. dla oceny zdolności kredytowej, ze względu na udzieloną przez klienta, w dniu 13 marca 2009 r., zgodę na udostępnianie danych po wygaśnięciu zobowiązania, jak również spełnione zostały przez Bank warunki do przetwarzania tych informacji po spłacie zobowiązania, bez zgody klienta. Informacja w tym zakresie skierowana została do skarżącego w dniu 13 czerwca 2011 r.,
- zobowiązanie klienta wobec Banku wynikające z umowy nr 7 zostało spłacone regularnie, aktualnie rachunek ten ma status zamkniętego. Dane dotyczące tego rachunku są przetwarzane przez Bank w bazie B. dla celów oceny zdolności kredytowej, ze względu na udzieloną przez klienta, w dniu [...] listopada 2009 r., zgodę na udostępnianie danych po wygaśnięciu zobowiązania,
- w spłacie należności wynikającej z umowy nr 8 klient popadł w zwłokę, maksymalna historyczna ilość dni opóźnienia w spłacie tego zobowiązania wyniosła 788. Wobec niego prowadzona była windykacja tej należności, która została umorzona, a rachunek zamknięty w dniu 25 października 2012 r. Dane dotyczące tej należności Bank przetwarza w B. dla oceny zdolności kredytowej, ze względu na udzieloną przez klienta, w dniu [...] stycznia 2010 r., zgodę na udostępnianie danych po wygaśnięciu zobowiązania, jak również spełnione zostały przez Bank warunki do przetwarzania tych informacji po spłacie zobowiązania, bez zgody klienta. Informacja w tym zakresie skierowana została do skarżącego w dniu 19 maja 2011 r.,
- w spłacie należności wynikającej z umowy nr 9 klient popadł w zwłokę, maksymalna historyczna ilość dni opóźnienia w spłacie tego zobowiązania wyniosła 784. Wobec niego prowadzona była windykacja tej należności, która została umorzona, a rachunek zamknięty w dniu 25 października 2012 r. Dane dotyczące tej należności Bank przetwarza w B. dla oceny zdolności kredytowej, ze względu na udzieloną przez klienta, w dniu [...] marca 2010 r., zgodę na udostępnianie danych po wygaśnięciu zobowiązania, jak również spełnione zostały przez Bank warunki do przetwarzania tych informacji po spłacie zobowiązania, bez zgody klienta. Informacja w tym zakresie skierowana została do skarżącego w dniu 23 maja 2011 r.,
- w spłacie należności wynikającej z umowy nr 10 klient popadł w zwłokę, maksymalna historyczna ilość dni opóźnienia w spłacie tego zobowiązania wyniosła 789. Wobec klienta prowadzona była windykacja tej należności, która została umorzona, a rachunek zamknięty w dniu 25 października 2012 r. Dane dotyczące tej należności Bank przetwarza w B. dla oceny zdolności kredytowej, ze względu na udzieloną przez niego, w dniu [...] sierpnia 2010 r., zgodę na udostępnienie danych po wygaśnięciu zobowiązania,
- w spłacie należności wynikającej z umowy nr 11 klient popadł w zwłokę, maksymalna historyczna ilość dni opóźnienia w spłacie tego zobowiązania wyniosła 773. Wobec klienta prowadzona była windykacja tej należności, która została umorzona, a rachunek zamknięty w dniu 25 października 2012 r. Dane dotyczące tej należności Bank przetwarza w B. dla oceny zdolności kredytowej, ze względu na udzieloną przez niego, w dniu [...] grudnia 2007 r., zgodę na udostępnianie danych po wygaśnięciu zobowiązania, jak również spełnione zostały przez Bank warunki do przetwarzania tych informacji po spłacie zobowiązania, bez zgody klienta. Informacja w tym zakresie skierowana została do skarżącego w dniu 6 czerwca 2011 r.,
- zobowiązanie klienta wobec Banku wynikające z umowy nr 12 zostało spłacone regularnie, aktualnie rachunek ten ma status zamkniętego. Dane dotyczące tego rachunku są przetwarzane przez Bank w bazie B. dla celów oceny zdolności kredytowej, ze względu na udzieloną przez niego, w dniu [...] lipca 2009r., zgodę na udostępnianie danych po wygaśnięciu zobowiązania,
- w spłacie kredytu wynikającego z umowy nr 13 klient popadł w zwłokę, maksymalna historyczna ilość dni opóźnienia w spłacie tego zobowiązania wyniosła 785. Umowa została przekazana do windykacji. Rachunek pozostaje otwarty. Dane dotyczące tej należności Bank przetwarza w B. dla oceny zdolności kredytowej, ze względu na udzieloną przez niego zgodę na udostępnianie danych po wygaśnięciu zobowiązania, data wycofania zgody - 9 lipca 2013 r., jak również spełnione zostały przez Bank warunki do przetwarzania tych informacji po spłacie zobowiązania, bez zgody klienta. Informacja w tym zakresie skierowana została do skarżącego w dniu 10 sierpnia 2011 r.
W piśmie z dnia 6 lutego 2014 r. Bank wskazał, że w związku z wystąpieniem zaległości w spłacie zobowiązań wynikających z umowy nr 3, umowy nr 4, umowy nr 6, umowy nr 8, umowy nr 9, umowy nr 11, do klienta odpowiednio w dniach: [...] maja 2011 r., [...] sierpnia 2011 r., [...] czerwca 2011 r., [...] maja 2011 r., [...] maja 2011 r. oraz [...] czerwca 2011 r. zostały wysłane, zgodnie z obowiązującym w Banku wzorem, pisma informujące, że na podstawie art. 105a ust. 3 ustawy Prawo bankowe, w przypadku braku spłaty całego zadłużenia wymagalnego w terminie 30 dni, Bank nabędzie prawo do przetwarzania informacji stanowiących tajemnicę bankową, dla celów oceny zdolności kredytowej i analizy ryzyka kredytowego po wygaśnięciu zobowiązania, bez jego zgody. Na dowód powyższego Bank przedstawił ekstrakty plików, wygenerowanych z aplikacji A., w której archiwizowane są pliki dotyczące przedmiotowych zawiadomień. Wskazał, iż struktura wygenerowanych plików zawiera imię, nazwisko, adres oraz inne dane w postaci ciągu liczb, w tym datę generacji listów do M. K.. Ponadto Bank załączył kopię obowiązującego w Banku wzoru pisma informującego o prawie tego podmiotu do przetwarzania danych osobowych po wygaśnięciu zobowiązania.
W dniach 11 sierpnia 2011 r., 29 września 2011 r. oraz 13 stycznia 2012 r. Bank przekazał dane osobowe skarżącego do Systemu Bankowy Rejestr prowadzonego przez Z..
W piśmie doręczonym GIODO B. wskazał, że przetwarza dane osobowe skarżącego, przekazane przez B. S.A., które zostały wprowadzone do zbioru danych "SI B. Kredytobiorcy":
- w dniu 21 kwietnia 2010 r., w zakresie umowy kredytu z dnia [...] marca 2010 r. ([...]), zwanej dalej: "Rachunkiem 1",
- w dniu 21 kwietnia 2009 r., w zakresie umowy kredytu z dnia [...] marca 2009 r. ([...]), zwanej dalej: "Rachunkiem 2",
- w dniu 27 marca 2008 r., w zakresie umowy kredytu z dnia [...] lutego 2008 r. ([...]), zwanej dalej: "Rachunkiem 3",
- w dniu 17 lutego 2010 r., w zakresie umowy kredytu z dnia [...] stycznia 2010 r. ([...]), zwanej dalej: "Rachunkiem 4",
w dniu 9 stycznia 2008 r., w zakresie umowy kredytu z dnia [...] grudnia 2007 r. ([...]), zwanej dalej: "Rachunkiem 5",
- w dniu 20 listopada 2013 r., w zakresie umowy karty kredytowej z dnia [...] czerwca 2010 r. ([...]), zwanej dalej: "Rachunkiem 6",
- w dniu 18 grudnia 2009 r., w zakresie umowy kredytu z dnia [...] listopada 2009 r. ([...]), zwanej dalej: "Rachunkiem 7",
- w dniu 22 października 2009 r., w zakresie umowy kredytu z dnia [...] września 2009r. ([...]), zwanej dalej: "Rachunkiem 8",
- w dniu 15 lipca 2009 r., w zakresie umowy kredytu z dnia [...] lipca 2009 r. ([...]), zwanej dalej: "Rachunkiem 9",
- w dniu 19 marca 2010 r., w zakresie umowy kredytu z dnia [...] lutego 2010 r. ([...]), zwanej dalej: "Rachunkiem 10",
- w dniu 21 października 2008 r., w zakresie umowy kredytu z dnia [...] września 2008 r., ([...]), zwanej dalej: "Rachunkiem 11",
- w dniu 22 września 2010 r., w zakresie umowy kredytu z dnia [...] sierpnia 2010 r. ([...]), zwanej dalej: "Rachunkiem 13".
Dane dotyczące ww. rachunków zostały przekazane do B. przez Bank na podstawie art. 105 ust. 4 ustawy Prawo bankowe i na podstawie łączącej strony umowy. Rachunki 1-5 mają status rachunków zamkniętych i przetwarzane są w celu oceny zdolności kredytowej i analizy ryzyka kredytowego na podstawie art. 105a ust.
3 w zw. z art. 105 ust. 4 Prawa bankowego oraz w celu stosowania metod statystycznych, na podstawie art. 105a ust. 4 i 5 ww. ustawy. Rachunek 6 jest rachunkiem otwartym w windykacji i przetwarzany jest w celu oceny zdolności kredytowej i analizy ryzyka kredytowego na podstawie art. 105 ust. 4 Prawa bankowego oraz w celu stosowania metod statystycznych, na podstawie art. 105a ust. 4 i 5 Prawa bankowego. Rachunki 7-10 mają status rachunków zamkniętych i przetwarzane są w celu oceny zdolności kredytowej i analizy ryzyka kredytowego na podstawie art. 105a ust. 2 w zw. z art. 105 ust. 4 Prawa bankowego oraz w celu stosowania metod statystycznych, na podstawie art. 105a ust. 4 i 5 ww. ustawy. Rachunki 11-15 mają status rachunków zamkniętych i przetwarzane są w celu stosowania metod statystycznych, na podstawie art. 105a ust. 4 i 5 Prawa bankowego.
W wyjaśnieniach udzielonych GIODO Z. oświadczył, że przetwarza dane osobowe skarżącego w związku z dokonanymi przez Bank pięcioma wpisami. Dane te przetwarzane są na podstawie art. 105 ust. 4 i art. 105a ust. 3 Prawa bankowego oraz zgodnie z przepisami u.o.d.o. Dane osobowe skarżącego zostały zgłoszone do Systemu BANKOWY REJESTR przez Bank w dniach 11 sierpnia 2011 r. i 13 stycznia 2012 r. W Systemie BR są gromadzone i przetwarzane wyłącznie informacje wprowadzone przez Uczestników Systemu (tj. obecnie tylko banki), którzy podpisali z Z. umowy o zasadach uczestnictwa i współpracy w zakresie wymiany informacji w Systemie BR. Dane skarżącego są przetwarzane w CBD-BR w oparciu o przesłanki wskazane w ust. 3 art. 105a Prawa bankowego, tj. strona nie wykonała zobowiązania lub dopuściła się zwłoki powyżej 60 dni w spełnieniu świadczenia wynikającego z umowy zawartej z bankiem, a po zaistnieniu tych okoliczności upłynęło co najmniej 30 dni od poinformowania jej przez bank o zamiarze przetwarzania dotyczących go informacji, stanowiących tajemnicę bankową, bez jego zgody.
W piśmie z dnia 19 maja 2014 r. Bank, odnosząc się do zobowiązania skarżącego z umowy nr 4 wskazał, iż zgodnie z zasadami aktualizacji obowiązującymi do września 2013 r., karta kredytowa nr [...], była przekonwertowana na kredyt gotówkowy nr [...]. Karta kredytowa została zamknięta w statusie "windykacja spłacona", natomiast pozostałe zadłużenie z tej karty, zostało przeniesione na nowo otwarty kredyt gotówkowy nr [...]. Zgodnie z nowymi zasadami Bank przekazał do B. S.A. kredyt gotówkowy nr [...] z typem transakcji: 23 (co oznacza kartę kredytową). Ponadto Bank oświadczył, iż w związku z tym, że ze skarg klienta na przetwarzanie jego danych osobowych wynika, że dokonane przez niego w piśmie z dnia 7 lutego 2013 r. odwołanie zgody na przetwarzanie danych osobowych dotyczyło wszystkich zobowiązań, zgoda skarżącego co do przetwarzania jego danych osobowych po wygaśnięciu zobowiązań wynikających z umowy nr 1, 2, 5, 7, 10, 12 została wycofana. Korekty na wycofanie zgody w tym zakresie zostały przekazane do B. w następujących terminach: umowa nr 10 w dniu 9 sierpnia 2013 r., umowa nr 2 w dniu 9 sierpnia 2013 r., umowa nr 1 w dniu 13 maja 2014 r., umowa nr 7 w dniu 13 maja 2014 r., umowa nr 5 w dniu 13 maja 2014 r., umowa nr 12 w dniu 12 maja 2013 r.
W piśmie z dnia 16 czerwca 2014 r. B. wskazał z kolei, że nie zmienił się status Rachunków 1-6 dotyczących skarżącego. Zatem analogicznie do poprzedniego pisma B. rachunki 1-5 mają status rachunków zamkniętych i przetwarzane są w celu oceny zdolności kredytowej i analizy ryzyka kredytowego na podstawie art. 105a ust. 3 w zw. z art. 105 ust. 4 ustawy Prawo bankowe oraz w celu stosowania metod statystycznych na podstawie art. 105a ust. 4 i 5 ww. ustawy, a rachunek 6 pozostaje nadal rachunkiem otwartym w windykacji i przetwarzany jest w celu oceny zdolności kredytowej i analizy ryzyka kredytowego na podstawie art. 105 ust. 4 Prawa bankowego oraz w celu stosowania metod statystycznych, na podstawie art. 105a ust. 4 i 5 ww. ustawy. Natomiast rachunki 7-15 mają obecnie status rachunków zamkniętych i przetwarzane są w celu stosowania metod statystycznych, na podstawie art. 105a ust. 4 i 5 ww. ustawy. Odnośnie zaś Rachunków 7-10 została przez Bank wycofana zgoda na przetwarzanie danych po wygaśnięciu zobowiązania.
Mając powyższe na względzie, Generalny Inspektor decyzją z dnia [...] października 2014 r. nr [...],[...],[...],[...]: nakazał Bankowi zaprzestania przetwarzania danych osobowych M. K. dotyczących rachunków: nr [...], nr [...], nr [...], nr [...], nr [...] w systemie Biura Informacji Kredytowej S.A. w trybie określonym w art. 105a ust. 3 ustawy Prawo bankowe (1), nakazał Bankowi zaprzestania przetwarzania danych osobowych skarżącego w zbiorze o nazwie "Centralna Baza Danych Systemu BANKOWY REJESTR", prowadzonym przez Z. w trybie określonym w art. 105a ust. 3 ustawy Prawo bankowe (2), w pozostałym zakresie odmówił uwzględnienia wniosku (3).
Pismem z dnia 20 października 2014 r. Związek Banków Polskich wystąpił o ponowne rozpatrzenie sprawy wnosząc o uchylenie powyższej decyzji w całości. W ocenie Związku błędne jest stanowisko GIODO, że Bank powinien dysponować dowodem na to, że osoba której dane dotyczą została poinformowana o zamiarze przetwarzania ich bez jej zgody. Jeśli na Bank nałożony byłby obowiązek posiadania za każdym razem potwierdzenia odbioru powiadomienia, oznaczałoby to de facto blokadę całego procesu, bowiem dłużnicy mogliby się uchylać od składania stosownych oświadczeń. Odmienne podejście do tego zagadnienia i wymaganie by wierzyciel musiał udowodnić, że dłużnik odebrał korespondencję, miałoby ten skutek, że niesolidni dłużnicy, starający się uniemożliwić skuteczne dochodzenie roszczenia, nagminnie uchylaliby się od odebrania przesyłek i w rezultacie nie dochodziłoby do przekazania informacji o niesolidnych dłużnikach lub informacje te przekazywane byłyby ze znacznym opóźnieniem lub w ograniczonym zakresie.
W dniu 21 października 2014 r. wpłynął wniosek Banku o ponowne rozpatrzenie sprawy zakończonej powyższą decyzją. Bank wskazał, że z uwagi na spełnienie warunków umożliwiających przetwarzanie danych skarżącego bez jego zgody, dane jego zostały przekazane do B. oraz Z. na podstawie art. 105a ust. 3 Prawa bankowego. Bank powołał się na przesłane do Biura GIODO pisma z dnia 9 sierpnia 2013 r. oraz z dnia 6 lutego 2014r., w których wskazał, że zawiadomienia o zamiarze przetwarzania danych w B. oraz Z. zostały wysłane do skarżącego odpowiednio w dniach: 16 maja 2011 r., 13 czerwca 2011 r., 19 maja 2011 r., 23 maja 2011 r. oraz 6 czerwca 2011 r. W celu wykazania powyższego Bank przedstawił w korespondencji z dnia 6 lutego 2014 r. ekstrakty z plików, wygenerowanych z aplikacji A., w której archiwizowane są pliki dotyczące przedmiotowych zobowiązań oraz treść dokumentu, który kierowany był do klientów Banku w związku z realizacją obowiązku wynikającego z art. 105a ust. 3 Prawa bankowego, w tym również do strony. Bank wyjaśnił ponadto, że potwierdzeniem wysłanej korespondencji do klienta jest informacja z wykorzystywanej w Banku aplikacji A., w której archiwizowane są pliki dotyczące zawiadomień o zamiarze przetwarzania danych klientów bez ich zgody po wygaśnięciu zobowiązań. W aplikacji tej w raportach RIHP60, wygenerowanych określonego dnia, przechowywane są dane klientów, u których wystąpiło opóźnienie w spłacie zobowiązania wskazane w art. 105a ust. 3 Prawa bankowego i do których Bank w związku z powyższym skierował zawiadomienia o zamiarze przetwarzania danych. Na podstawie przedmiotowych informacji przygotowywane są wydruki oraz wysyłka zawiadomień o zamiarze przetwarzania danych klientów bez ich zgody po wygaśnięciu zobowiązań przez podmiot zewnętrzny. Tekst danych umieszczanych w zawiadomieniu, jest generowany zgodnie z danymi zawartymi w A.. Struktura danych generowanych w zawiadomieniu, wskazanych w piśmie Banku z dnia 6 lutego 2014 r., przedstawiona jest w formie tabeli załączonej do wniosku. Podmiot zewnętrzny realizuje wysyłkę listem zwykłym, zgodnie z umową w sprawie powierzenia czynności faktycznych związanych z działalnością bankową, łączącą go z Bankiem, zawartą w dniu 20 sierpnia 2010 r. Zgodnie z przedmiotową umową wydruk, zakopertowanie i dostarczenie operatorowi pocztowemu zawartości wszystkich przesłanych przez Bank plików następuje w terminie nie przekraczającym 1 dnia roboczego od dnia otrzymania przez wykonawcę plików zawierających dane do wydruku. W przypadku otrzymania danych po godz. 16:00 wykonawca ma nadać przesyłki w drugim dniu roboczym, licząc od dnia przekazania danych. W ocenie Banku, z powyższego wynika, że uprawdopodobnił on wysłanie pism do skarżącego, zawierających zawiadomienie o zamiarze przetwarzania danych bez jego zgody po wygaśnięciu zobowiązania.
Powołaną na wstępie decyzją z dnia [...] listopada 2015 r. nr [...],[...],[...],[...] Generalny Inspektor utrzymał w mocy zaskarżoną decyzję.
W uzasadnieniu organ wskazał, iż kwestią rzutującą na całość powyższego postępowania jest treść art. 105a ust. 3 Prawa bankowego. Organ stwierdził, iż z zebranego w sprawie materiału dowodowego wynika, że w zakresie spłaty zadłużenia skarżący dopuścił się zwłoki trwającej dłużej niż 60 dni w przypadku umów nr 3, 6, 8, 9 i 11. Jednakże sam fakt, że klient nie wykonał zobowiązania lub spóźnił się z jego wykonaniem co najmniej 60 dni, nie upoważnia Banku do przetwarzania jego danych na warunkach określonych w art. 105a ust. 3 Prawa bankowego. Klient musi bowiem zostać poinformowany o możliwości przetwarzania jego danych bez uzyskania od niego zgody. Dopiero bezskuteczny upływ 30 dni od momentu poinformowania stanowi wypełnienie przesłanek zawartych w tym przepisie. Moment, od którego należy liczyć 60-dniowy termin, w którym konsument dopuszcza się zwłoki w wykonaniu zobowiązania, to termin wykonania zobowiązania. Dopiero po upływie 60 dni zaczyna biec 30-dniowy termin, w którym instytucja jeszcze oczekuje na wykonanie zobowiązania klienta. Termin 30-dniowy nie biegnie jednak ex lege, lecz dopiero od momentu, w którym konsument zostanie skutecznie poinformowany przez instytucję o zamiarze przetwarzania. Z powyższego wynika zatem, że aby przetwarzać dane klienta na warunkach określonych w tym przepisie, Bank musi dysponować dowodem, że osoba, której dane dotyczą, została poinformowana o zamiarze przetwarzania ich bez jej zgody, a nie - jak podnosi Z. - to klient powinien udowodnić, że nie został poinformowany. Organ wskazał, że w niniejszej sprawie istotnym jest fakt, iż Bank nie spełnił wobec klienta obowiązku określonego w art. 105a pkt 3 Prawa bankowego, tj. nie poinformował go skutecznie o zamiarze przetwarzania dotyczących go informacji stanowiących tajemnicę bankową, bez jego zgody. Wprawdzie z ww. przepisu nie wynika obowiązek wysyłania korespondencji za zwrotnym potwierdzeniem odbioru, jednakże dowód w postaci wygenerowanego systemowo potwierdzenia skierowania do strony określonego pisma nie przesądza o zapoznaniu się jej z treścią tego pisma, a tym samym nie jest jednoznaczne ze skutecznym poinformowaniem o zamiarze przetwarzania jej danych osobowych, w tym przekazaniem ich do B., czy Z.. Za dowód w sprawie nie można również uznać powoływanych przez Bank ekstraktów z plików wygenerowanych z aplikacji A., w której archiwizowane są pliki dotyczące przedmiotowych zobowiązań, ani treści dokumentu, który kierowany był do klientów Banku w związku z realizacją tego obowiązku. Tym samym Bank nie udowodnił, czy i kiedy skarżący otrzymał pisma zawierające informacje o zamiarze przetwarzania danych osobowych bez jego zgody. Przesłany przez Bank wzór dokumentu, który został skierowany do strony, stanowi przykład korespondencji generowanej przez Bank, nie jest natomiast dowodem, że Bank wypełnił wobec niej ww. obowiązek. Pismo to nie zawiera bowiem żadnych danych osobowych skarżącego, w szczególności imienia, nazwiska i adresu, ponadto nie zostało opatrzone datą. Organ przywołał również stanowisko Przewodniczącego Komisji Nadzoru Finansowego z dnia 3 marca 2015 r., że skuteczny będzie każdy rodzaj poinformowania, na skutek którego klient banku będzie mógł zapoznać się z jego treścią, przy czym w interesie banku leży, aby odbyło się to w sposób, który umożliwi łatwe wykazanie skutecznego poinformowania w przypadku ewentualnego późniejszego sporu. W ocenie GIODO, Bank dysponuje tylko oświadczeniem o wypełnieniu wobec skarżącego obowiązku informacyjnego, brak jest natomiast dowodów na rzeczywiste spełnienie tego obowiązku. Bank nie dysponuje bowiem nawet dowodem wysyłki informacji do skarżącego, ani też dowodem jej doręczenia i umożliwienia skarżącemu zapoznania się z jej treścią.
Jednocześnie Generalny Inspektor podtrzymał zaskarżoną decyzję w zakresie przetwarzania przez Bank danych osobowych skarżącego w B. w związku z jego zobowiązaniami wynikającymi z umów nr 1, 2, 5, 7, 10, 12. Obecnie proces przetwarzania danych osobowych skarżącego w tym zakresie przez Bank w B. realizowany jest w oparciu o art. 23 ust. 1 pkt 2 u.o.d.o. w zw. z art. 105a ust. 4 i 5 Prawa bankowego, zatem w celu stosowania metod statystycznych. Oceniając zaś podstawę prawną przetwarzania danych osobowych skarżącego przez Bank w B. w związku z jego zobowiązaniem wynikającym z umowy nr 4, organ wskazał, iż informacje o tym zobowiązaniu nie są przetwarzane w B.. Odnośnie zaś oceny legalności przetwarzania przez Bank w B. danych osobowych skarżącego w związku z umową nr 13 organ wskazał, iż z informacji przekazanych przez B. wynika, że aktualnie jest to przetwarzanie w celu stosowania metod statystycznych, na podstawie art. 105a ust. 4 i 5, co znajduje uzasadnienie w przesłance legalizującej przetwarzanie danych osobowych, o której mowa w art. 23 ust. 1 pkt 2 u.o d.o.
W skardze Banku do WSA w Warszawie zarzucono:
1) naruszenie art. 75 § 1 K.p.a. poprzez nieprzeprowadzenie dowodu z dokumentacji przedłożonej do akt sprawy przez Bank, w tym w szczególności ze wzoru dokumentu, który w 2011 r. kierowany był do klientów Banku w związku z realizacją obowiązku wynikającego art. 105a ust. 3 Prawa bankowego oraz z ekstraktu z pliku wygenerowanego z aplikacji bankowej A., podczas gdy przeprowadzenie dowodu z tych dokumentów umożliwiłoby prawidłowe ustalenie, że M. K. i był skutecznie i prawidłowo zawiadomiony przez Bank o możliwości przetwarzania należących do niego danych osobowych na podstawie art. 105a ust. 3 ustawy Prawo bankowe, a w konsekwencji wydanie decyzji administracyjnej w oparciu o niekompletny materiał dowodowy w sprawie;
2) naruszenie art. 7, art. 77 § 1 i art. 80 K.p.a. poprzez przekroczenie granic swobodnej oceny dowodów - dowolną ocenę zebranego w sprawie materiału dowodowego, to jest błędne przyjęcie, iż złożone przez M. K. dokumenty i oświadczenia są wystarczające do przyjęcia, że Bank przetwarza należące do niego dane osobowe w sposób sprzeczny z dyspozycją art. 105a ust. 3 Prawa bankowego;
3) naruszenie art. 107 K.p.a. poprzez niedokonanie w uzasadnieniu decyzji analizy i oceny całokształtu materiału dowodowego;
4) naruszenie art. 8 i 107 § 3 K.p.a. poprzez nienależyte uzasadnienie zaskarżonej decyzji z uwagi na zawarcie w nim zbyt ogólnych stwierdzeń, brak precyzyjnego wyjaśnienia podstawy faktycznej i prawnej tej decyzji.
W uzasadnieniu skargi bank podniósł, że GIODO odmówił uznania za dowód w sprawie wzoru dokumentu, który w 2011 r. kierowany był do klientów Banku w związku z realizacją obowiązku informacyjnego wynikającego z art. 105a ust. 3 ustawy Prawo bankowe oraz ekstraktu z pliku wygenerowanego z aplikacji A.. Bank zaznaczył, iż dokument elektroniczny posiada moc prawną równą dokumentowi sporządzonemu w formie papierowej. Natomiast z zaskarżonej decyzji wynika, że w ocenie GIODO dokumenty elektroniczne przedstawione przez Bank nie stanowią dokumentów na gruncie K.p.a. Stanowisko to stoi w sprzeczności z art. 8 ustawy z dnia 18 września 2011 r. o podpisie elektronicznym.
Wojewódzki Sąd Administracyjny w Warszawie skargę oddalił i podniósł, że jedną z naczelnych zasad u.o.d.o. jest przestrzeganie zakresu i trybu przetwarzania danych osobowych. Aktem prawnym zawierającym szczegółowe regulacje dotyczące procesu przetwarzania danych osobowych klientów banków jest Prawo bankowe, w zakresie wynikającym z art. 105 ust. 1 i 4. W niniejszej sprawie organ stwierdził, że Bank nie spełnił, wynikającego z ww. przepisu, obowiązku informacyjnego, warunkującego przetwarzanie informacji stanowiących tajemnicę bankową dotyczących osoby fizycznej po wygaśnięciu zobowiązania wynikającego z umowy, bez jej zgody. Stanowisko organu jest w ocenie Sądu I instancji prawidłowe. Informacje zawarte w B. i Z. (instytucjach utworzonych na podstawie art. 105 ust. 4 ustawy Prawo bankowe) służyć mają wypełnianiu przez banki - jako instytucje zaufania publicznego - ich ustawowych obowiązków związanych z koniecznością dokładania szczególnej staranności w zakresie zapewnienia bezpieczeństwa przechowywanych środków pieniężnych, czyli w zakresie ochrony depozytów (art. 50 ust. 2 ww. ustawy), a także należytego badania zdolności kredytowej, od której istnienia (zgodnie z art. 70 ust. 1 ww. ustawy) bank uzależnia udzielenie kredytu. Przekazanie danych osobowych klienta przez Bank do B. i Z. w celu oceny zdolności kredytowej i analizy ryzyka kredytowego nastąpiło w trakcie trwania stosunków zobowiązaniowych wynikających z tych umów, czyli zgodnie z przesłanką określoną w art. 23 ust. 1 pkt 2 u.o.d.o. w związku z art. 105a ust. 1 i art. 105 ust. 4 Prawa bankowego. Dla legalności tego udostępnienia zgoda klienta nie była wymagana. Zgromadzony w sprawie materiał dowodowy wskazuje, iż w zakresie spłaty zadłużenia M. K. dopuścił się zwłoki trwającej dłużej niż 60 dni w przypadku umów nr 3, 6, 8, 9, 11. Ta okoliczność nie upoważnia jednak Banku do przetwarzania jego danych na warunkach określonych w art. 105a ust. 3 Prawa bankowego. Dopiero bezskuteczny upływ 30 dni od momentu poinformowania o takim zamiarze stanowi wypełnienie przesłanek z ww. przepisu. Termin 30-dniowy nie biegnie jednak ex lege, a dopiero od momentu, w którym klient zostanie skutecznie poinformowany przez Bank o zamiarze przetwarzania jego danych osobowych. Aby zatem przetwarzać dane klienta na warunkach określonych w tym przepisie, Bank musiał dysponować dowodem, że strona, której dane dotyczą, została poinformowana o zamiarze przetwarzania ich - bez jej zgody. Przy czym to na Banku, jako administratorze danych osobowych, spoczywa ciężar udowodnienia, że obowiązek informacyjny względem klienta, wynikający z ww. przepisu, został dopełniony. W rozpoznawanej sprawie Bank nie wykazał, że dopełnił tego obowiązku. W toku postępowania skarżący Bank przedstawił materiały w postaci danych z aplikacji A. w postaci zrzutów z ekranów raportów RIHP60 z dnia 16 maja 2011 r., 13 czerwca 2011 r., 19 maja 2011 r., 23 maja 2011 r. oraz 6 czerwca 2011 r., tabele obrazujące strukturę plików RIHP60 oraz wydrukowany z systemu wzór zawiadomienia kierowanego do klientów w 2011 r. o zamiarze przetwarzania przez Bank informacji stanowiących tajemnicę bankową - nie wskazujący imiennie adresata, ani innych indywidualnych danych. Powyższe materiały, jak wynika z uzasadnienia zaskarżonej decyzji, zostały poddane analizie i ocenie w toku postępowania administracyjnego, jednak nie wynika z nich fakt wykonania przez Bank w stosunku do strony wskazywanego obowiązku informacyjnego. Sąd I instancji zgodził się z organem, że z tych materiałów oraz wyjaśnień Banku wynika jedynie to, że Bank archiwizuje, w postaci elektronicznych plików danych, informacje dotyczące klientów i ich zobowiązań, co do których zostało przekazane - firmie zewnętrznej działającej na podstawie umowy z Bankiem - zlecenie wysłania stosownej korespondencji. Brak jest natomiast dowodu, że w stosunku do strony taka korespondencja - informująca o zamiarze przetwarzania danych osobowych bez jej zgody - została w istocie wysłana i skutecznie doręczona. W tym zakresie zarówno oświadczenie Banku o przesłaniu listu zwykłego, jak i treść wzoru pisma (niespersonalizowanego) kierowanego we wskazanym okresie do klientów Banku, jest niewystarczające. Analogicznie Sąd ocenił zrzuty z ekranów raportów RIHP60 oraz tabele obrazujące strukturę plików wygenerowane z aplikacji A.. Jest to bowiem jedynie wewnętrzna informacja Banku, z której wynika, że Bank w swoim systemie odznaczył skierowanie do strony korespondencji, co nie oznacza, że czynność ta faktycznie została wykonana oraz, że korespondencja dotarła do adresata w taki sposób, aby mógł on zapoznać się z jej treścią. Wysyłka zawiadomień o zamiarze przetwarzania danych klientów bez ich zgody po wygaśnięciu zobowiązania jest realizowana przez podmiot zewnętrzny listem zwykłym, zgodnie z zawartą z tym podmiotem umową, ale jednocześnie Bank nie wyjaśnił, w jaki sposób weryfikuje faktyczną realizację powyższych czynności. Tym samym Bank nie wykazał, że przedmiotowe zawiadomienie o zamiarze przetwarzania danych osobowych M. K. przez Bank - bez jego zgody - zostało do niego wysłane, a przede wszystkim, że mógł on zapoznać się z jego treścią. Wbrew twierdzeniom skargi, to na Banku spoczywa ciężar dowodu w zakresie wykazania poinformowania klienta o zamiarze przetwarzania jego danych osobowych - bez jego zgody. Za nieuzasadnione uznał Sąd zarzuty skargi dotyczące naruszenia przepisów postępowania administracyjnego.
Oceniając zaś podstawę prawną przetwarzania danych osobowych strony w związku z jego zobowiązaniem wynikającym z umowy nr 4, Sąd wskazał, iż informacje o tym zobowiązaniu nie są przetwarzane w B.. Odnośnie zaś oceny legalności przetwarzania danych osobowych ww. w związku z umową nr 13 Sąd stwierdził, iż z informacji przekazanych przez B. wynika, że aktualnie jest to przetwarzanie w celu stosowania metod statystycznych, na podstawie art. 105a ust. 4 i 5 ustawy Prawo bankowe, co znajduje uzasadnienie w przesłance legalizującej przetwarzanie danych osobowych, o której mowa w art. 23 ust. 1 pkt 2 u.o.d.o. Poczynione ustalenia skutkowały podjęciem przez organ prawidłowego rozstrzygnięcia o odmowie uwzględnienia wniosku M. K. w ww. zakresie.
W skardze kasacyjnej Banku zarzucono na podstawie kasacyjnej naruszenia przepisów postępowania:
- naruszenie art. 3 § 1 i 145 § pkt 1c ustawy z dnia 30 sierpnia 2002 r. Prawo o postępowaniu przed sądami administracyjnymi (Dz. U. z 2016 r., poz. 718 ze zm.), dalej: "P.p.s.a.", w zw. z art. 7, 77 § 1, 80 i 107 K.p.a. na skutek bezzasadnej akceptacji braku podjęcia przez organ administracyjny czynności niezbędnych do przeprowadzenia postępowania dowodowego w sposób prawidłowy i wyczerpujący co spowodowało wydanie decyzji na podstawie niepełnego i wadliwie ocenionego materiału dowodowego;
- naruszenie art. 3 § 1 i 145 § 1 pkt 1c P.p.s.a. w zw. z art. 75 § 2 i 107 K.p.a. na skutek niewłaściwej kontroli legalności zaskarżonej decyzji, pomimo, że organ bezzasadnie odmówił przyjęcia oświadczenia Banku w zakresie okoliczności nie wymagających urzędowego potwierdzenia i uznania, że dokumenty elektroniczne przedstawione przez bank nie stanowią dowodu na okoliczność poinformowania klienta o zamiarze przetwarzanie jego danych osobowych w B..
Skarżący kasacyjnie zarzucił także naruszenie prawa materialnego – art. 105a ust. 3 Prawa bankowego na skutek błędnej wykładni i przyjęcia, że przepis ten wywołuje skutek tylko wówczas, gdy Bank dysponuje dowodem na to, że takie zawiadomienie rzeczywiście dotarło do klienta, podczas gdy wystarczające jest wysłanie zawiadomienia niezależnie od rodzaju i formy środka przekazu, a także niezależnie od tego, czy zawiadomienie dotarło do adresata czy też nie i z jakich przyczyn.
W oparciu o powyższe wnosił o uchylenie zaskarżonego wyroku w całości i rozpoznanie skargi lub o uchylenie zaskarżonego wyroku w całości i przekazanie sprawy Sądowi I instancji do ponownego rozpoznania oraz o zasądzenie kosztów postępowania kasacyjnego.
W skardze zawarto też wniosek o zrzeczeniu się rozprawy.
W uzasadnieniu pełnomocnik Banku rozwinął powyższe zarzuty, podkreślając, że przepis art. 105 a ust. 3 Prawa bankowego nie nakłada na bank żadnych obowiązków ani w zakresie treści informacji, ani jej formy czy środków przekazu jakich bank powinien użyć w tym zakresie. Wystarczające jest zatem skierowanie do klienta odpowiedniej informacji, a skutek w postaci dotarcia informacji do strony nie ma w tej mierze żadnego znaczenia. Podtrzymał też stanowisko, zgodnie z którym wydruk z systemu elektronicznego należało uznać za równoważny z dowodem nadania listu poleconego, gdyż z przepisów prawa nie wynika domniemanie zawartości przesyłki rejestrowanej. Ponadto to zgodnie z art. 77 § 1 K.p.a. to organ administracyjny obowiązany był w sposób wyczerpujący zebrać materiał dowodowy i wyjaśnić, czy korespondencja do strony została w istocie wysłana i skutecznie doręczona. W końcu zarzucił też, że GIODO, sprzecznie z art. 75 K.p.a. nie uznał oświadczenia strony (Banku) o zawiadomieniu klienta za wiarygodny środek dowodowy.
Organ wnosił o oddalenie skargi kasacyjnej i podkreślił, że zgodnie z art. 6 Kodeksu cywilnego ciężar udowodnienia faktu (zawiadomienia klienta przez bank) spoczywa na osobie, która z tego faktu wywodzi skutki prawne, czyli w tym wypadku na Banku. Dowodem jest środek dowodowy, który potwierdza określony fakt lub twierdzenie, w tym wypadku skuteczne przekazanie klientowi informacji o zamiarze przetwarzania danych stanowiących tajemnicę bankową. Oświadczenie Banku o spełnieniu tego obowiązku nie jest wystarczającym dowodem na tę sporną okoliczność.
Naczelny Sąd Administracyjny zważył, co następuje:
Naczelny Sąd Administracyjny związany jest podstawami skargi kasacyjnej bowiem według art. 183 § 1 P.p.s.a., rozpoznaje sprawę w granicach skargi kasacyjnej, biorąc z urzędu pod uwagę jedynie nieważność postępowania. Przytoczenie podstaw kasacyjnych, rozumiane jako wskazanie przepisów, które - zdaniem wnoszącego skargę kasacyjną - zostały naruszone przez wojewódzki sąd administracyjny, nakłada na Naczelny Sąd Administracyjny, stosownie do art. 174 pkt 1 i 2 oraz art. 183 § 1 P.p.s.a., obowiązek odniesienia się do wszystkich zarzutów przytoczonych w podstawach kasacyjnych (por. uchwała NSA z dnia 26 października 2009 r., sygn. akt l OPS 10/09, opubl. w ONSAiwsa z 2010 r., nr 1, poz. 1).
W rozpoznawanej sprawie nie ma podstaw do stwierdzenia nieważności postępowania przed Sądem I instancji, a zatem należało dokonać kontroli zaskarżonego wyroku jedynie pod kątem zgłoszonych w skardze kasacyjnej zarzutów.
W rozpoznawanej skardze kasacyjnej powołano obie podstawy kasacji przewidziane w art. 174 pkt 1 i 2 P.p.s.a., zarzucając Sądowi I instancji naruszenie prawa materialnego oraz naruszenie przepisów postępowania. Zasadą w takiej sytuacji jest w pierwszej kolejności rozpoznanie zarzutów procesowych, ponieważ dopiero po przesądzeniu, że stan faktyczny przyjęty przez sąd w zaskarżonym wyroku jest prawidłowy albo nie został dostatecznie podważony, można przejść do skontrolowania procesu subsumcji danego stanu faktycznego pod zastosowany przez sąd I instancji przepis prawa materialnego (por. wyrok NSA z 9 marca 2005 r., FSK 618/04; ONSAiWSA z 2005 r., nr 6, poz. 120.).
Z art. 174 pkt 2 P.p.s.a. wynika, że naruszenie przepisów postępowania może być skuteczną podstawą skargi kasacyjnej, jeżeli uchybienia w tym zakresie mogły mieć istotny wpływ na wynik sprawy. A zatem, co jest istotnym mankamentem skargi kasacyjnej w odniesieniu do wspomnianego wyżej zarzutu, jego uzasadnianie nie może się sprowadzać, jak to czyni skarga kasacyjna, do zakwestionowania ustaleń faktycznych poczynionych przez organ i zaakceptowanych przez Sąd pierwszej instancji.
Z uzasadnienia skargi kasacyjnej wynika, że w ocenie jej autora organy administracyjne i w ślad za tym Sąd I instancji pominęły część materiału dowodowego, a przynajmniej nie przydały mu cech wiarygodności (chodzi tu o wydruki z systemu elektronicznego banku) oraz nie przeprowadziły postępowania dowodowego we własnym zakresie w celu wyjaśnienia czy w istocie do strony dotarło zawiadomienie o zamiarze przetwarzania jej danych osobowych.
Opierając się na treści uzasadnienia tak sformułowanego zarzutu kasacyjnego, można powiedzieć, że stanowi ono polemikę z ustaleniami organów administracyjnych, zaaprobowanymi przez Wojewódzki Sąd Administracyjny w Warszawie, bez wskazania dowodu, który został przez ten Sąd pominięty lub wadliwie oceniony. Z art. 7 i 77 K.p.a. wynika, że postępowanie dowodowe oparte jest na zasadzie oficjalności, a organ administracji publicznej zobowiązany jest z urzędu przeprowadzić dowody służące ustaleniu stanu faktycznego sprawy. Nie znaczy to jednak, że strona jest zwolniona od współudziału w realizacji tego obowiązku, zwłaszcza, że nieudowodnienie określonej okoliczności faktycznej może prowadzić do rezultatów dla niej niekorzystnych. W piśmiennictwie aprobowany jest pogląd, że w wypadku, gdy strona występuje do organu z żądaniem wydania orzeczenia (decyzji) o określonej treści, powołując się na określone fakty lub zdarzenia, to jej obowiązkiem jest również wskazanie dowodów lub środków dowodowych służących udowodnieniu istotnych okoliczności sprawy. W takim wypadku odpowiednie zastosowanie mieć będzie art. 6 Kodeksu cywilnego w brzmieniu "Ciężar udowodnienia faktu spoczywa na osobie, która z tego faktu wywodzi skutki prawne", przy czym w postępowaniu administracyjnym ciężar dowodu należeć będzie w pewnych sytuacjach do organu administracji, natomiast w pewnych do strony, w zależności od tego, kto z tych okoliczności wywodzić będzie skutki prawne (zob. F. Elżanowski [w:] Kodeks postępowania administracyjnego. Komentarz pod red. R. Hausera i M. Wierzbowskiego, wyd. C.H. Beck, W-wa 2014, str. 325). Oznacza to, że obowiązek poszukiwania dowodów ciąży nie tylko na organie administracyjnym, ale obarcza także stronę, która w swym własnym, dobrze rozumianym interesie, powinna wykazywać należytą dbałość o przedstawienie odpowiednich i przekonujących środków dowodowych.
W rozpoznawanej sprawie Bank nie był wprawdzie stroną inicjującą postępowanie administracyjne przed GIODO, ale to ze względu na konstrukcję przepisu art. 105a ust. 3 Prawa bankowego (o czym poniżej w części rozważań odnoszących się do zarzutu naruszenia prawa materialnego), to na Banku ciążył obowiązek wykazania spełnienia przesłanek umożliwiających zastosowanie tej regulacji. Wbrew stanowisku skarżącego kasacyjnie, organ nie tylko przeprowadził wszystkie wnioskowane przez Bank dowody, ale i w sposób szczegółowy poddał te dowody (dokumenty) analizie. Wyciągnięte wnioski mieszczą się granicach zastrzeżonej dla organu administracyjnego swobody oceny dowodów (art.77 § 1 K.p.a.), opierając się na wszechstronnym ich rozpatrzeniu oraz szczegółowym wyjaśnieniu przyczyn przyjętej oceny.
Kluczowe znaczenie ma tej mierze także kwestia materialnoprawna związana z podniesionym w skardze kasacyjnej zarzutem błędnej wykładni wspomnianego przepisu art. 105a ust. 3 Prawa bankowego. Zgodnie z tą regulacją "Banki, instytucje oraz podmioty, o których mowa w ust. 1, mogą przetwarzać informacje stanowiące tajemnicę bankową i informacje udostępnione przez instytucje pożyczkowe oraz podmioty, o których mowa w art. 59d ustawy z dnia 12 maja 2011 r. o kredycie konsumenckim, dotyczące osób fizycznych po wygaśnięciu zobowiązania wynikającego z umowy zawartej z bankiem, inną instytucją ustawowo upoważnioną do udzielania kredytów, instytucją pożyczkową lub podmiotem, o którym mowa w art. 59d ustawy z dnia 12 maja 2011 r. o kredycie konsumenckim, bez zgody osoby, której informacje dotyczą, gdy osoba ta nie wykonała zobowiązania lub dopuściła się zwłoki powyżej 60 dni w spełnieniu świadczenia wynikającego z umowy zawartej z bankiem, inną instytucją ustawowo upoważnioną do udzielania kredytów, instytucją pożyczkową lub podmiotem, o którym mowa w art. 59d ustawy z dnia 12 maja 2011 r. o kredycie konsumenckim, a po zaistnieniu tych okoliczności upłynęło co najmniej 30 dni od poinformowania tej osoby przez bank, inną instytucję ustawowo upoważnioną do udzielania kredytów, instytucję pożyczkową albo podmiot, o którym mowa w art. 59d ustawy z dnia 12 maja 2011 r. o kredycie konsumenckim, o zamiarze przetwarzania dotyczących jej tych informacji, bez jej zgody."
Za prawidłowe należało uznać stanowisko Sądu I instancji, że zgodnie z art. 1 u.o.d.o. przetwarzanie danych osobowych może mieć miejsce, jeżeli służy to dobru publicznemu, dobru osoby, której dane dotyczą lub dobru osób trzecich. Ochrona danych osobowych, na podstawie przepisów powołanej ustawy, nie powinna być oderwana od przepisów służących ochronie innych wartości. W art. 23 § 1 u.o.d.o. zostały wymienione przesłanki legalizujące przetwarzanie danych osobowych. Przepis ten określa ogólne materialne przesłanki przetwarzania danych osobowych. Przesłanki te mają charakter generalny, odnoszą się do wszelkich form przetwarzania danych, w tym zarówno do przetwarzania "na własne potrzeby" administratora, jak i "na zewnątrz". Są one co do zasady równoprawne, mają charakter autonomiczny i niezależny, co oznacza, że wystarczy wystąpienie jednej z nich, by przetwarzanie danych mogło być uznane za usprawiedliwione. Oznacza to także, że zgoda osoby, której dane dotyczą, nie jest wyłączną przesłanką przetwarzania danych osobowych.
Dopuszczalność przetwarzania danych osobowych strony wynikała w niniejszej sprawie z przepisu prawa materialnego (art. 105a ust. 3 prawa bankowego), który obwarował ją jednak spełnieniem kilku przesłanek. W sprawie sporna była jedynie przesłanka upływu 30 dni od poinformowania tej osoby przez Bank o zamiarze przetwarzania dotyczących jej tych informacji, bez jej zgody. Spełnienie pozostałych przesłanek nie było przez GIODO kwestionowane.
Zgodzić się można ze skarżącym kasacyjnie, że literalne odczytanie art. 105a ust. 3 Prawa bankowego może wskazywać na to, że ustawodawca nie stworzył w tym zakresie żadnych szczególnych wymogów formalnych co do sposobu i treści takiego poinformowania klienta lub byłego klienta banku. Prawidłowa wykładnia tego przepisu nie może jednak oznaczać całkowitej dowolności w tym zakresie.
Przede wszystkim zwrócić uwagę należało na materialny (ochronny), a nie formalny charakter tego przepisu. Wymaga on w sposób kategoryczny "poinformowania", a nie "wysłania zawiadomienia", jak zdaje się twierdzić Bank w swoim stanowisku procesowym. Jak już wspomniano dane osobowe są wartością chronioną ustawowo, a prawo od ich ochrony - jak przyjmuje się w piśmiennictwie – "stanowi swego rodzaju emanację ogólnego prawa gwarantowanego Konstytucją RP (art. 47), w myśl którego:
. Spostrzeżenie to oparte jest na założeniu, że dane osobowe są niejako częścią życia prywatnego lub rodzinnego, względnie że posługiwanie się danymi dotyczącymi innej osoby wkracza w przyznaną jej kompetencję decydowania o swoim życiu osobistym" (zob. J. Barta, P. Fajgielski, R. Markiewicz - Komentarz do art.1 ustawy o ochronie danych osobowych, System informacji prawnej LEX).
Powyższe oznacza, że wszelkie regulacje znoszące tę ochronę muszą być odczytywane i wykładane ściśle, z uwzględnieniem funkcji jakiej mają służyć. Przy takiej wykładni, sformułowanie użyte w przepisie art. 105a ust. 3 Prawa bankowego, dotyczące obowiązku informacyjnego banku, musi oznaczać, że nie jest to li tylko obowiązek formalny. Zgodzić się należało ze skarżącym kasacyjnie, że ustawodawca w żaden sposób nie ograniczył sposobów i form takiego zawiadomienia (nie można również wykluczyć możliwości zawiadomienia drogą elektroniczną, o ile strony w zawartej umowie taką formę korespondencji przewidziały lub też posługiwania się przez bank w tym zakresie podmiotem zewnętrznym), ale w każdym wypadku sposób ten powinien umożliwić zweryfikowanie faktu poinformowania klienta banku o zamierzonym przetwarzaniu jego danych osobowych lub też przynajmniej potwierdzenie, że klientowi umożliwiono zapoznanie się z taką informacją.
Prawidłowo Sąd I instancji przyjął zatem, że przepis ten obligował Bank do wykazania spełnienia powyższego obowiązku. Zasadnie też Sąd ten uznał, że w tym zakresie nie mogą mieć miejsca jakiekolwiek domniemania faktyczne, a w szczególności nie jest wystarczające przedstawienie wzorów elektronicznych pism kierowanych do klientów w tym przedmiocie oraz odwołanie się do rzetelności jednostki zewnętrznej, która w imieniu Banku kieruje stosowną korespondencję, zawierającą pisma zgodne z tymi wzorami, ale która również nie dysponuje żadnymi dowodami na rzeczywiste wykonanie tego obowiązku w stosunku do strony – M. K..
W tym stanie rzeczy skargę kasacyjną, jako opartą na nieusprawiedliwionych podstawach, na mocy art. 184 P.p.s.a., należało oddalić.