I OSK 727/05

I OSK 727/05 - Wyrok NSA
Data orzeczenia
2006-05-24
orzeczenie prawomocne
Data wpływu
2005-06-28
Sąd
Naczelny Sąd Administracyjny
Sędziowie
Janina Antosiewicz
Jolanta Rajewska /przewodniczący/
Zygmunt Zgierski /sprawozdawca/
Symbol z opisem
647  Sprawy związane z ochroną danych osobowych
Hasła tematyczne
Dostęp do informacji publicznej
Sygn. powiązane
II SA/Wa 2030/04 - Wyrok WSA w Warszawie z 2005-02-22
Skarżony organ
Generalny Inspektor Ochrony Danych Osobowych
Treść wyniku
Uchylono zaskarżony wyrok i przekazano sprawę do ponownego rozpoznania przez Wojewódzki Sąd Administracyjny
Powołane przepisy
Dz.U. 2002 nr 153 poz 1270
art. 185 § 1
Ustawa z dnia 30 sierpnia 2002 r. Prawo o postępowaniu przed sądami administracyjnymi.
Sentencja
Naczelny Sąd Administracyjny w składzie następującym: Przewodniczący Sędzia NSA Jolanta Rajewska, Sędziowie NSA Janina Antosiewicz, , Zygmunt Zgierski (spr.), Protokolant Iwona Sadownik, po rozpoznaniu w dniu 24 maja 2006 r. na rozprawie w Izbie Ogólnoadministracyjnej skargi kasacyjnej B. S.A. z siedzibą w [...] od wyroku Wojewódzkiego Sądu Administracyjnego w Warszawie z dnia 22 lutego 2005 r. sygn. akt II SA/Wa 2030/04 w sprawie ze skargi B. S.A. na decyzję Generalnego Inspektora Ochrony Danych Osobowych z dnia [...] nr [...] w przedmiocie przetwarzania danych osobowych 1. uchyla zaskarżony wyrok i przekazuje sprawę do ponownego rozpoznania Wojewódzkiemu Sądowi Administracyjnemu w Warszawie, 2. zasądza od Generalnego Inspektora Ochrony Danych Osobowych na rzecz B. S.A. z siedzibą w [...] kwotę 280 zł. /dwieście osiemdziesiąt złotych/ tytułem zwrotu kosztów postępowania kasacyjnego.
Uzasadnienie
Wyrokiem z dnia 22 lutego 2005 roku Wojewódzki Sąd Administracyjny w Warszawie oddalił skargę B. S.A. w [...] na decyzję Generalnego Inspektora Ochrony Danych Osobowych w przedmiocie przetwarzania danych osobowych.
W uzasadnieniu wyroku Sąd I instancji przytoczył następujące okoliczności faktyczne i prawne:
Decyzją z dnia [...] Generalny Inspektor Ochrony Danych Osobowych, działając na podstawie art. 12 pkt 2 i art. 18 ust. 1 pkt 1 w związku z art. 26 ust. 1 pkt 2 i pkt 4, art. 33 ust. 1 ustawy o ochronie danych osobowych, nakazał B. S.A. z siedzibą w [...] usunięcie uchybień w procesie przetwarzania danych osobowych poprzez:
1. Zaprzestanie przetwarzania danych osób, których rachunki kredytowe zostały zamknięte, od dnia, kiedy decyzja stanie się ostateczna.
2. Zapewnienie, aby system "PIK" umożliwiał udostępnienie na piśmie, w powszechnie zrozumiałej formie, treści danych o każdej osobie, której dane są przetwarzane, wraz z informacjami o dacie pierwszego wprowadzenia danych do systemu, identyfikatorze użytkownika wprowadzającego dane oraz informacjami komu, kiedy i w jakim zakresie dane zostały udostępnione, w terminie 3 miesięcy od dnia, kiedy decyzja stanie się ostateczna.
W pozostałym zakresie postępowanie umorzono.
Po rozpatrzeniu wniosku B. S.A. o ponowne rozpatrzenie sprawy w części nakazującej zaprzestania przetwarzania danych osób, których rachunki zostały zamknięte, Generalny Inspektor Ochrony Danych Osobowych decyzją z dnia [...] uchylił pkt l decyzji z dnia [...] i nakazał usunięcie uchybień w procesie przetwarzania danych osobowych poprzez zaprzestanie przetwarzania danych osób, których rachunki kredytowe zostały zamknięte w związku z uzyskaną od banku lub innej instytucji ustawowo upoważnionej do udzielania kredytów, informacją o okoliczności powodującej jego zamknięcie, od dnia kiedy decyzja stanie się ostateczna.
W uzasadnieniu decyzji wskazano, iż przepis art. 105 ust. 4 ustawy z dnia 29 sierpnia 1997 roku Prawo bankowe (Dz. U. z 2002 roku Nr 72, poz. 665 z późn. zm.), będący podstawą prawną przetwarzania danych osobowych przez B. S.A., nie określa okresów przechowywania danych osób, których rachunki zostały zamknięte ani też nie zawiera upoważnienia do jego określenia w przepisach wewnętrznych. Regulamin Zbierania i Udostępniania Informacji przez B. S.A., jako akt wewnętrzny, nie jest, stosownie do art. 87 ust. l Konstytucji RP, źródłem powszechnie obowiązującego prawa. Uznano więc, że przetwarzanie przez B. S.A. danych osób, których rachunki zostały zamknięte, przez czas określony w Regulaminie, tj. przez okres 5 lat od dnia zamknięcia rachunku dla rachunków niewykazujących zaległości powyżej 30 dni lub przez okres 7 lat od dnia zamknięcia rachunków wykazujących zaległości powyżej 30 dni oznacza, że dane te są przechowywane w postaci umożliwiającej identyfikację osób, których dotyczą, dłużej niż jest to niezbędne do osiągnięcia celu przetwarzania danych (obniżenia ryzyka kredytowego), a w konsekwencji narusza art. 26 ust. l pkt 4 ustawy o ochronie danych osobowych. GIODO uznał także, że w konsekwencji przetwarzania danych przez okres wskazany w Regulaminie naruszony został art. 47 Konstytucji, tj. prawo osoby fizycznej do ochrony danych osobowych. Podstawy prawnej do przetwarzania danych przez okres wskazany w powołanym Regulaminie nie stanowi art. 23 ust. l pkt 5 ustawy o ochronie danych osobowych, ponieważ przetwarzanie danych w oparciu o tę przesłankę nie może prowadzić do naruszenia praw i wolności osób, których dane dotyczą. W tym kontekście organ wskazał na treść art. 7 lit. f dyrektywy 95/46/WE Parlamentu Europejskiego i Rady z dnia 24 października 1995 roku w sprawie ochrony osób fizycznych w zakresie przetwarzania danych osobowych i swobodnego przepływu tych danych (DZ. Urz. WE L281 z 23 listopada 1995 r.), a także powołał orzeczenie Sądu Apelacyjnego w Gdańsku z dnia 15 marca 1996 r. (OSN z 1996 r. z. 7 - 8, poz. 31), z którego wynika, że usprawiedliwiony cel administratora danych nie może przeważać nad prawami i wolnościami jednostki. Zdaniem organu w sprawie nie znalazła także zastosowania przesłanka dopuszczalności przetwarzania danych osobowych wynikająca z art. 23 ust. l pkt 4 ustawy o ochronie danych osobowych, przyjmująca dopuszczalność przetwarzania danych w sytuacji, gdy jest to niezbędne do wykonywania określonych prawem zadań realizowanych dla dobra publicznego. Administrator danych może powołać się na tę przesłankę, gdy brak jest przepisów upoważniających go wprost do przetwarzania danych, a ze względu na konieczność wykonania określonych zdań realizowanych dla dobra publicznego dane muszą być przetwarzane bez zgody osób, których dotyczą. Przepisem upoważniającym B. S.A. do przetwarzania danych jest zaś przepis art. 105 ust. 4 Prawa bankowego, a ponadto charakter zadań nie potwierdza, że są one realizowane dla dobra publicznego, ponieważ zbiór danych prowadzi w imieniu własnym i prowadzenie to polega na odpłatnym udostępnianiu bankom i innym instytucjom ustawowo upoważnionym do udzielenia kredytów danych przetwarzanych w tym zbiorze. Organ wskazał, że ocena zasadności rozwiązań przyjętych w Regulaminie Zbierania i Udostępniania Informacji przez B. S.A. mogłaby następować na przykład w oparciu o przepisy ustawy z dnia 14 lutego 2003 roku o udostępnianiu informacji gospodarczych (Dz. U. Nr 50, poz. 424), na gruncie którego to aktu przewidziano, że w przypadku całkowitego zaspokojenia zobowiązania, jego wygaśnięcia lub odroczenia jego wykonania przedsiębiorca jest obowiązany niezwłocznie, jednak nie później niż w terminie 14 dni, zażądać od biura, któremu przekazał dane o zobowiązaniu lub o posłużeniu się cudzym dokumentem, usunięcia tych danych.
W skardze skierowanej do Wojewódzkiego Sądu Administracyjnego w Warszawie B. S.A. wniosło o uchylenie zaskarżonej decyzji, podnosząc zarzut naruszenia art. 23 ust. l pkt 2, pkt 4 i pkt 5, art. 26 ust. l pkt 4 ustawy ochronie danych osobowych oraz art. 50 ust. 2, art. 70 ust. l i art. 105 ustawy – Prawo bankowe, a także art. 8, art. 10, art. 75 § l, art. 77 § l i art. 81 kpa. W uzasadnieniu skargi wskazano, iż GIODO błędnie zakwalifikował jako podstawę przetwarzania danych Regulamin, niebędący przepisem obowiązującego prawa i rozpatrywał wymagania stawiane dla przetworzenia danych kredytobiorców po zamknięciu rachunków kredytowych w oparciu o treść art. 23 ust. l pkt 4 i 5 ustawy ochronie danych osobowych. Fakt ten w konsekwencji spowodował, że uzasadnienie decyzji dotyczy w większości kwestii związanych z ochroną interesów osób, których dane dotyczą. Przetwarzanie tych danych przez B. S.A. spełnia także i te przesłanki, lecz podstawą przetwarzania danych przez B. S.A. jest art. 105 ust. 4 Prawa bankowego. W związku z obowiązkami nałożonymi na banki przepisem art. 50 ust. 2 i 70 ust. l ustawy - Prawo bankowe, wprowadzono w art. 105 ust. 4 tej ustawy możliwość utworzenia przez banki instytucji takiej jak B. S.A. Przepisy Prawa bankowego nakładają na banki obowiązek szczególnej staranności w zakresie zapewnienia bezpieczeństwa przechowywanych środków pieniężnych i uzależniają przyznanie kredytu od zdolności kredytowej kredytobiorcy. Na zdolność kredytową zaś składają się: zdolność do spłaty zobowiązań i wiarygodność kredytowa. Pozbawiając banki możliwości uzyskania informacji niezbędnych do badania wiarygodności kredytowej uniemożliwia się tym samym minimalizację ryzyka kredytowego, co skutkuje zmniejszeniem bezpieczeństwa w zakresie przechowywanych środków oraz precyzyjne określenie zdolności kredytowej, od czego zależy przyznanie kredytu. W opinii B. S.A. naruszony został przepis art. 105 ust. 4 Prawa bankowego i art. 26 ust. l pkt 4 ustawy przez przyjęcie, że cel przetwarzania może trwać tylko do zamknięcia rachunku kredytowego. Zdaniem wnoszącego skargę przepisy te w ogóle nie rozgraniczają sytuacji przetwarzania danych w trakcie trwania umowy kredytowej od sytuacji przetwarzania danych po wygaśnięciu umowy kredytowej. Informacje o kredytobiorcach mogą być przetwarzane i udostępniane w zakresie, w jakim są one "potrzebne w związku z wykonywaniem czynności bankowych" (art. 105 ust. 4 pkt 1), "niezbędne w związku z udzielaniem kredytów, pożyczek pieniężnych, gwarancji bankowych i poręczeń" (art. 105 ust. 4 pkt 2). Te zapisy dotyczące biur informacji kredytowej są takie same jak zapisy dotyczące udostępnienia przez banki informacji stanowiących tajemnicę bankową innym bankom: "niezbędne w związku z wykonywaniem czynności bankowych" (art. 105 ust. l pkt 1). Tak więc zakres przetwarzania i udostępniania informacji przez biura informacji kredytowej jest taki sam jak uprawnienia banków do uzyskania danych od innych banków i determinowane przez potrzeby lub niezbędność tych informacji dla udzielania kredytów, pożyczek itp. Ograniczając czas przetwarzania danych poprzez nakazanie zaprzestania przetwarzania danych osób, których rachunki zostały zamknięte, GIODO arbitralne przyjął, że od chwili zamknięcia rachunku przechowywanie danych nie jest niezbędne dla osiągnięcia celu przetwarzania. Zdaniem skarżącego dla ustalenia, czy przetwarzanie danych jest niezbędne dla powyższego celu, zgodnie z art. 105 ust. 4 ustawy - Prawo bankowe, organ winien przeprowadzić postępowanie dowodowe. Postępowania wyjaśniającego w tym zakresie nie przeprowadzono i nie odniesiono się do kwestii niezbęd ności informacji przetwarzanych przez B. S.A. w związku z udzieleniem kredytów, jako okoliczności zasadniczej dla rozstrzygnięcia sprawy. Ponadto nie ustosunkowano się do argumentu, że przetwarzanie danych z zakresu historii kredytowej kredytobiorców przez instytucje będące odpowiednikiem B. S.A., jest standardem światowym.
W uzasadnieniu wyroku z dnia 22 lutego 2005 roku Wojewódzki Sąd Administracyjny w Warszawie wskazał, iż materialnoprawną podstawą przetwarzania danych przez B. S.A. jest art. 23 ust. l pkt 2 ustawy o ochronie danych osobowych, zgodnie z którym przetwarzanie danych jest dopuszczalne tylko wtedy, gdy zezwalają na to przepisy prawa. Podstawę przetwarzania przez B. S.A. danych osobowych stanowi zaś przepis art. 105 ust. 4 ustawy z dnia 29 sierpnia 1997 r. - Prawo bankowe. Ustawodawca upoważniając do utworzenia instytucji mających służyć bankom zakreślił jednak granice gromadzenia, przetwarzania i udostępniania informacji stanowiących tajemnicę bankową przez odwołanie się do potrzeb banków mających związek z czynnościami bankowymi. Przepis ten niewątpliwe nie ma charakteru odsyłającego, którego dopełnienia można szukać w innych aktach prawnych i już z tej racji należy uznać go za wyczerpujący. Zgodnie z powołanym przepisem, banki tworząc B. S.A. powołały podmiot, którego zadaniem miała być pomoc bankom w zakresie dostarczenia informacji niezbędnych do wykonywania czynności bankowych związanych z badaniem zdolności i wiarygodności kredytowej. Istotą zadań B. S.A. jest właśnie badanie zdolności i wiarygodności kredytowej. Prowadzenie działalności kredytowej przez bank wiąże się nieodłącznie z ryzykiem bezpowrotnej utraty powierzonych kredytobiorcom środków pieniężnych. Obok zapewnienia skutecznej egzekucji należności banku z tytułu niespłaconego kredytu, daleko bardziej istotne jest zapobieżenie konieczności jej przeprowadzenia. Właśnie temu celowi służy przewidziana art. 70 Prawa bankowego instytucja zdolności kredytowej. Kontrolowanie zdolności kredytowej polega na pozyskiwaniu i gromadzeniu przez bank informacji dotyczących kondycji finansowej kredytobiorców. Na tle zakresu potrzeb, w związku z wykonywaniem czynności bankowych, powstaje kolizja prawnie chronionych wartości w postaci zabezpieczenia interesów deponentów i zabezpieczenia poszanowania życia prywatnego. W związku z tym, wykonywanie tych uprawnień ograniczają przepisy ustawy o ochronie danych osobowych wyznaczające granice niekontrolowanego zbierania, gromadzenia i udostępniania danych osobowych. Ustawa o ochronie danych osobowych w przepisie art. 26 ust. l pkt 4 zawiera "zasadę ograniczenia czasowego" przechowywania danych w postaci umożliwiającej identyfikację osób, których dotyczą, nie dłużej jednak niż jest to niezbędne do osiągnięcia celu przetwarzania. Nawet wówczas, gdy określone dane odpowiadają celowi, dla którego są zbierane i są dla tego celu adekwatne, to nie oznacza, iż mogą być one przetwarzane w tym też udostępniane innym podmiotom. Czasowym wyznacznikiem jest tu osiągnięcie zamierzonego celu przetwarzania, np. wykonanie zawartej umowy. Sąd podzielił pogląd organu, iż legalne przetwarzanie danych osobowych na potrzeby B. S.A. kończy się z chwilą zamknięcia rachunku bankowego, ponieważ realizacja umowy jest końcowym etapem współpracy banku z klientem. Tak więc z chwilą całkowitej spłaty kredytu (zamknięcia rachunku bankowego) kończy się jawne zezwolenie na przetwarzanie danych osobowych tych osób, których rachunki zostały zamknięte. Osiągnięty zostaje wówczas cel, w jakim dane te były przetwarzane.
Sąd stanął na stanowisku, że w sytuacji naruszenia art. 26 ust. l pkt 4 w związku z art. 23 ust. l pkt 2 ustawy o ochronie danych osobowych w związku z art. 105 ust. 4 Prawa bankowego zachodziła podstawa zastosowania przez GIODO art. 18 ustawy o ochronie danych osobowych i zobowiązania B. S.A. do usunięcia danych osób, których rachunki zostały zamknięte w związku z uzyskaną informacją o okolicznościach jego zamknięcia.
W skardze kasacyjnej wniesionej przez B. S.A., reprezentowane przez pełnomocnika w osobie radcy prawnego, podniesiono zarzuty:
1) naruszenia prawa materialnego poprzez błędną wykładnię i niewłaściwe zastosowanie przepisów:
- art. 50 ust. 2, art. 70 ust. 1 oraz art. 105 ust. 4 ustawy Prawo bankowe,
- art. 23 ust. 1 pkt 2, art. 26 ust. 1 pkt 4 ustawy o ochronie danych osobowych (zwanej uodo);
2) naruszenia przepisów postępowania, których uchybienie mogło mieć wpływ na wynik sprawy:
- art. 106 § 3 ustawy Prawo o postępowaniu przed sądami administracyjnymi (zwanej p.p.s.a.),
- art. 134 § 1 ustawy p.p.s.a. poprzez nierozstrzygnięcie szeregu zarzutów postawionych przez skarżącego wobec skarżonej decyzji administracyjnej,
- art. 145 § 1 p.p.s.a. poprzez niestwierdzenie nieważności lub nieuchylenie decyzji, mimo że zaskarżona decyzja została wydana z rażącym naruszeniem prawa materialnego, które miało wpływ na wynik sprawy i naruszeniem przepisów postępowania, które mogło mieć istotny wpływ na wynik sprawy.
W uzasadnieniu skargi kasacyjnej wskazano, iż Sąd I instancji naruszył powołane przepisy uodo oraz ustawy Prawo bankowe przyjmując, iż niezbędny czas przetwarzania danych trwa tylko do "zamknięcia rachunku kredytowego". W ocenie autora skargi kasacyjnej, stanowisko Sądu przedstawione w uzasadnieniu zawiera wewnętrzne sprzeczności. Sąd stwierdził bowiem, iż ustawodawca zakreślił granice gromadzenia, przetwarzania i udostępniania informacji stanowiących tajemnicę bankową przez odwołanie się do potrzeb banków, mających związek z czynnościami bankowymi. Wskazał tym samym, że to właśnie art. 105 ust. 4 uodo ustanawia granice przetwarzania odwołując się do potrzeb banków. Przepis ten koresponduje z treścią art. 26 ust. 1 pkt 4 uodo, który dopuszcza przetwarzanie tak długo jak to jest niezbędne dla osiągnięcia celów przetwarzania. Tym celem jest zaspokojenie potrzeb banków przy wykonywaniu czynności bankowych – przede wszystkim przy udzielaniu kredytów i pożyczek. Potrzeby banków w tym zakresie determinuje art. 70 ustawy Prawo bankowe, który nakłada na banki przed udzieleniem kredytów obowiązek badania zdolności kredytowej potencjalnych kredytobiorców. Sąd bezzasadnie utożsamił zdolność kredytową wyłącznie ze zdolnością do spłaty zobowiązań, pomijając kwestie wiarygodności kredytowej. Tą drogą wyłączył z badania zdolności kredytowej, nakazanego art. 70 ustawy Prawo bankowe, badanie wiarygodności kredytowej, dla której niezbędna jest informacja o historii spłacania kredytów. Ta błędna interpretacja jest wynikiem nieprzeprowadzenia przez organ administracji postępowania dowodowego, zgodnie z wymaganiami kpa, celem ustalenia potrzeb banków, do których odsyła art. 105 ust. 4 ustawy Prawo bankowe. Sąd przeciwstawił "potrzebom banków" z art. 105 ust. 4 prawa bankowego klauzulę generalną z art. 26 ust. 1 pkt 1 uodo ("osiągnięcie celu przetwarzania"), przyznając prymat interpretacji GIODO w kwestii określenia, kiedy następuje "osiągnięcie celu przetwarzania". Przyjęcie, że osiągnięcie celu następuje z chwilą zamknięcia rachunku powoduje, że pomija się okoliczność, że rachunki zamykane są nie tylko z powodu spłaty kredytu, lecz w przypadku przymusowej egzekucji zobowiązań czy umorzenia zobowiązań wskutek braku możliwości zaspokojenia się banku w drodze egzekucji. WSA interpretując art. 105 ust. 4 Prawa bankowego stwierdził, że "przepis niewątpliwie nie ma charakteru odsyłającego, którego dopełnienia można szukać w innych aktach prawnych i już z tej racji należy uznać go za wyczerpujący". Dalej jednak Sąd sięgnął do przepisów uodo, wywodząc z nich ograniczenie przetwarzania danych przez B. SA. Tym samym przyjął, że wcześniejsza ustawa ogólna lex generali znosi wyjątek zawarty w przepisach Prawa bankowego, która w tym zakresie jest późniejszą lex specialis. Zarzut naruszenia art. 50 ust. 2 Prawa bankowego sprowadza się do tego, iż Sąd uniemożliwiając badanie historii kredytowej przed udzieleniem kredytu, uniemożliwia wykonywanie dyspozycji art. 50 ust. 2 Prawa bankowego w zakresie bezpieczeństwa środków powierzonych bankom.
Odnośnie naruszenia przepisów postępowania autor skargi kasacyjnej podniósł, że Sąd Marii ustosunkował się jedynie do części zarzutów przedstawionych w skardze dotyczących prawa materialnego, natomiast zupełnie pominął zarzuty dotyczące naruszenia przepisów kpa. Ograniczenie zakresu badania do części zarzutów stanowi naruszenie art. 134 § 1 ppsa i ma zdecydowany wpływ na wynik sprawy.
W odpowiedzi na skargę kasacyjną Główny Inspektor Ochrony Danych Osobowych wniósł o jej oddalenie. Organ podzielił stanowisko WSA wyrażone w zaskarżonym wyroku. Inspektor nie zgodził się z twierdzeniem autora skargi kasacyjnej, iż art. 105 ust. 4 Prawa bankowego ustanawia granice przetwarzania danych odwołując się do potrzeb banków. Kryteria "potrzeb" oraz "niezbędności", o których mowa w przepisie, odnoszą się wyłącznie do zakresu danych, jakie banki i inne instytucje mogą przekazywać do B. S.A. w związku z zawartymi umowami w sprawie zbierania i udostępniania informacji. Dla uzasadnienia potrzeb banków B. S.A. powołuje się na definicję zdolności kredytowej funkcjonującą w literaturze z dziedziny bankowości. Pojęcie zdolności kredytowej zostało jednak zdefiniowane przede wszystkim w art. 70 ust. 1 zd. 2 Prawa bankowego, gdzie nie ma mowy o wiarygodności kredytowej. Brak tego elementu w ustawowej definicji współbrzmi z zapisem art. 105 ust. 4 Prawa bankowego w zakresie dotyczącym okresów przechowywania przez B. S.A. danych osób, których rachunki kredytowe zostały zamknięte. W konsekwencji należy uznać, że przepisy Prawa bankowego nie wymagają badania historii kredytowej kredytobiorcy dla oceny jego zdolności kredytowej. GIODO nie podzielił zarzutu skargi kasacyjnej, iż naruszona została zasada lex posterior speciali derogat legi priori generali. Zasady rozstrzygania kolizji przepisów zostały zawarte w art. 5 uodo. Wyrażona tam zasada rozstrzygania zbiegu norm na korzyść norm, które przewidują wyższy poziom ochrony przetwarzania danych nie oznacza wyłączenia stosowania przepisów uodo w całości, a jedynie w zakresie, w jakim przepisy innych ustaw zapewniają danym osobowym dalej idącą ochronę. W przedmiotowej sprawie kolizja norm, zdaniem organu, nie zachodzi, gdyż przepisy Prawa bankowego nie określają okresów przechowywania danych osób, których rachunki kredytowe zostały zamknięte. Tym samym zastosowanie znajdują przepisy uodo.
W związku z odpowiedzią na skargę kasacyjną pełnomocnik B. S.A. w piśmie z dnia 2 lutego 2006 roku wskazał, iż zarówno GIODO, jak i WSA nie uzasadnili, dlaczego badanie historii kredytowej kredytobiorców wykracza poza "cel przetwarzania". B. SA natomiast wielokrotnie argumentowało, iż przetwarzanie danych kredytobiorców w celu oceny ich historii kredytowej jest legalne, co nie zostało wzięte pod uwagę. Jak wskazywano przed WSA, cel przetwarzania danych przez B. SA, rozumiany jako minimalizowanie ryzyka kredytowego banków poprzez przetwarzanie historii kredytowej, wynika m. in. z wniosku o zarejestrowanie zbioru BIK. To właśnie w oparciu o art. 23 ust. 1 pkt 2 uodo w związku z art. 105 ust. 4 Prawa bankowego w dniu 25 lutego 2000 roku zbiór danych B. o nazwie "[...]" został wpisany do prowadzonego przez GIODO Rejestru Zbiorów Danych Osobowych. Już przy dokonywaniu rejestracji został wyraźnie określony (a ze względu na dokonanie rejestracji – zaakceptowany przez GIODO) cel przyszłej działalności B. jako "udostępnianie bankom, w odpowiedzi na wniosek, kompleksowej informacji, opracowanej w formie raportu kredytowego, dotyczącej historii kredytowej klienta, która będzie pomocna w ocenie zdolności kredytowej kredytobiorcy".
GIODO w odpowiedzi na skargę podkreślił, iż art. 105 ust. 4 Prawa bankowego nie określa terminów przechowywania danych. Tymczasem żaden przepis powszechnie obowiązującego prawa takich okresów nie wyznacza. Żaden również przepis nie przesądza, że przetwarzanie powinno zakończyć się z chwilą wygaśnięcia umowy kredytowej. Żaden przepis nie formułuje wprost normy, która byłaby rozwiązaniem zaistniałego sporu prawnego, gdyż posługuje się klauzulami generalnymi. Art. 105 ust. 4 Prawa bankowego determinuje konieczność zbadania potrzeb banków w związku z przetwarzaniem, natomiast art. 26 ust. 1 pkt 4 uodo wskazuje na cel przetwarzania, który jest także niedookreślony w ustawie. GIODO w odpowiedzi na skargę próbuje podważyć tezę prezentowaną przez skarżącego, iż art. 105 ust. 4 Prawa bankowego ustanawia granicę przetwarzania poprzez odwołanie się do potrzeb banków. Według GIODO "kryteria potrzeb oraz niezbędności, o których mowa we wskazanym przepisie Prawa bankowego, odnoszą się bowiem wyłącznie do zakresu danych, jakie banki i inne instytucje ustawowo upoważnione do udzielania kredytów mogą przekazywać do B. SA w związku z zawartymi umowami w sprawie zbierania i udostępniania informacji". Powyższy przepis stanowi jednak, iż kryteria potrzeb i niezbędności dotyczą zakresu danych gromadzonych, przetwarzanych i udostępnianych przez B. S.A. bankom lub innym instytucjom ustawowo upoważnionym do udzielania kredytów, a nie danych przekazywanych przez banki i inne instytucje do B. SA, co stanowi zasadniczą różnicę. Zatem B. SA może gromadzić dane stanowiące tajemnicę bankową w takim zakresie, w jakim są one potrzebne bankom lub niezbędne innym instytucjom upoważnionym do udzielania kredytów.
B. SA wskazał dodatkowo na treść ustawy z dnia 15 kwietnia 2005 roku i zmianie ustawy o ochronie informacji niejawnych i niektórych innych ustaw, która weszła w życie 16 czerwca 2005 roku. Ustawa ta doprecyzowuje regulację zawartą w art. 105 ust. 4 Prawa bankowego poprzez dodanie art. 105a, który wyznacza przesłanki legalnego przetwarzania danych historycznych i stanowi, że banki i instytucje typu B. S.A. mogą przetwarzać dane po wygaśnięciu zobowiązania kredytowego przez 5 lat. Nowa regulacja przyznaje bankom i B. SA trzyletni okres dostosowawczy na spełnienie nowych obowiązków (art. 6 ustawy) wynikających z art. 105a ust. 2 i ust. 3. Zatem ustawodawca uznał, iż nie można doprowadzić do sytuacji, w której sektor bankowy utraciłby miliony danych osób, które są zainteresowane takim przetwarzaniem, przyznając odpowiedni czas bankom na skontaktowanie się z byłymi klientami i uzyskanie od nich pisemnej zgody.
Naczelny Sąd Administracyjny zważył, co następuje:
Zgodnie z treścią art. 174 ustawy z dnia 30 sierpnia 2002 r. – Prawo o postępowaniu przed sądami administracyjnymi (Dz. U. Nr 153, poz. 1270 ze zm.), zwanej dalej ppsa, skargę kasacyjna można oprzeć na następujących podstawach:
1. naruszenia prawa materialnego przez błędną wykładnię lub niewłaściwe zastosowanie,
2. naruszenie przepisów postępowania, jeżeli uchybienie to mogło mieć istotny wpływ na wynik sprawy.
Skarga kasacyjna wniesiona w przedmiotowej sprawie przez pełnomocnika strony skarżącej oparta została o zarzut wskazany w art. 174 pkt 1 i 2 ppsa, tj. naruszenia prawa materialnego przez błędną jego wykładnię lub niewłaściwe zastosowanie, jak i naruszenia przepisów postępowania.
W sytuacji przytoczenia w skardze kasacyjnej zarzutów naruszenia prawa materialnego, jak i naruszenia przepisów postępowania, w pierwszej kolejności NSA rozpoznaje ten drugi zarzut. Dopiero bowiem po przesądzeniu, że stan faktyczny przyjęty przez Sąd w zaskarżonym wyroku jest prawidłowy albo że nie został skutecznie podważony, można przejść do skontrolowania procesu subsumcji danego stanu faktycznego pod zastosowany przez Sąd przepis prawa materialnego.
W rozpoznawanej sprawie Sądowi I instancji zarzucono naruszenie art. 106 § 3 ppsa, który to przepis stanowi, że Sąd może z urzędu lub na wniosek stron przeprowadzić dowody uzupełniające z dokumentów, jeżeli jest to niezbędne do wyjaśnienia istotnych wątpliwości i nie spowoduje nadmiernego przedłużenia postępowania w sprawie. Uzasadniając powyższy zarzut autor skargi kasacyjnej wywiódł, że zarówno organ przed wydaniem zaskarżonej decyzji, jak i Sąd I instancji, nie przeprowadził żadnego postępowania dowodowego na okoliczność ustalenia, jakie są potrzeby banków w szczególności w zakresie czasu przetwarzania danych osobowych. Chodzi tu o zaniechanie organu i Sądu w zakresie dopuszczenia dowodów z opinii biegłych, czy też publikacji z zakresu bankowości. Trzeba jednak skonstatować, że zarzuty skargi kasacyjnej, wymierzone przeciwko zaskarżonej do Sądu I instancji decyzji ostatecznej, nie mogą spowodować oczekiwanego rezultatu albowiem istotą skargi kasacyjnej jest konieczność skierowania zarzutu, opartego na podstawach określonych w art. 174 ppsa, przeciwko wyrokowi Sądu a nie przeciwko rozstrzygnięciu organu administracji publicznej.
Ponadto, oczywistym jest, że środek dowodowy w postaci opinii biegłego, jak też dowód w postaci "publikacji z zakresu bankowości", nie mieszczą się w katalogu dowodów, o których mowa w art. 106 § 3 ppsa.
Kolejny zarzut skargi kasacyjnej, sformułowany w ramach podstawy przewidzianej w treści art. 174 pkt 2 ppsa, to naruszenie przez Sąd I instancji art. 134 § 1 ppsa. Przepis ten stanowi, że Sąd rozstrzyga w granicach danej sprawy nie będąc jednak związany zarzutami i wnioskami skargi oraz powołaną podstawą prawną.
W ocenie autora skargi kasacyjnej Wojewódzki Sąd Administracyjny w Warszawie dopuścił się naruszenia tego przepisu, jako że w motywach wydanego przez siebie rozstrzygnięcia nie odniósł się do wszystkich zarzutów pisma wszczynającego postępowanie sądowoadministracyjne. Powyższy zarzut winien być jednak zgłoszony nie w ramach naruszenia art. 134 § 1 ppsa. Sens tego przepisu jest taki, że sąd ma obowiązek rozpoznać sprawę w granicach szerszych od zakresu zaskarżenia, a w każdym razie granicami tymi nie jest związany i musi sprawę rozpoznać tylko w ramach sprawy administracyjnej rozstrzygniętej zaskarżonym aktem. Sąd nie może przekroczyć granic sprawy administracyjnej oraz stosunku prawnego tejże sprawy, ponieważ wówczas miałby do czynienia z inną sprawą, wymagającą najpierw rozstrzygnięcia w drodze nowego aktu lub czynności konkretyzującej inny stosunek prawny. Twierdzenie, iż sąd nie odniósł się do wszystkich zarzutów skargi winno być zgłoszone w ramach zarzutu naruszenia art. 141 par 4 ppsa w drodze następującego rozumowania: sąd pierwszej instancji, podzielając w całości pogląd organu administracji, bez czynienia niezbędnych rozważań, poza ich zakresem pozostawił zarzuty skargi odnoszące się do naruszenia przez autora decyzji art. 23 ust. 1 pkt 4, art. 23 ust. 1 pkt 5 ustawy o ochronie danych osobowych oraz art. 75 par. 1 i art. 77 par. 1 kpa.
Ostatni zarzut skargi kasacyjnej, w ramach podstawy z art. 174 pkt 2 ppsa, dotyczył naruszenia przez Sąd meriti art. 145 § 1 ppsa. Podnieść w tym miejscu należy, że Naczelny Sąd Administracyjny jest związany podstawami skargi kasacyjnej, bowiem stosownie do treści art. 183 § 1 ppsa rozpoznaje sprawę w granicach skargi kasacyjnej, biorąc jedynie pod uwagę nieważność postępowania. Związanie Naczelnego Sądu Administracyjnego podstawami skargi kasacyjnej wymaga prawidłowego ich określenia w samej skardze. Oznacza to konieczność powołania konkretnych przepisów prawa, którym zdaniem skarżącego uchybił Sąd, uzasadnienia ich naruszenia i w razie zgłoszenia zarzutu naruszenia prawa procesowego – wskazania dodatkowo, że wytknięte naruszenie mogło mieć istotny wpływ na wynik sprawy. Kasacja nie odpowiadająca tym wymogom, pozbawiona konstytuujących ją elementów treściowych, uniemożliwia sądowi ocenę jej zasadności. Powołanie przez autora skargi kasacyjnej art. 145 § 1 ppsa nie może odnieść zamierzonego skutku, czyniąc nieskutecznym zarzut naruszenia przepisów postępowania, które to uchybienie mogło mieć istotny wpływ na wynik sprawy. Zaniechanie w zakresie powołania konkretnego pkt § 1 (ewentualnie litery) art. 145 ppsa powoduje, że nie jest możliwe zbadanie przez Naczelny Sąd Administracyjny, czy przy wydawaniu zaskarżonego wyroku naruszono przepisy postępowania przed sądami administracyjnymi.
Wobec tego, że zarzuty naruszenia przepisów postępowania okazały się bezzasadne, dla oceny przez Naczelny Sąd Administracyjny rozpoznający skargę kasacyjną trafności zarzutu naruszenia przepisów prawa materialnego, powołanych we wniesionym środku odwoławczym, miarodajny jest stan faktyczny sprawy będący podstawą wydania zaskarżonego wyroku.
Odnosząc się do zarzutów naruszenia prawa materialnego stwierdzić należy, że poglądy wyrażane zarówno w uzasadnieniu Sądu I instancji, jak też w motywach skargi kasacyjnej, nie są bezdyskusyjne. Niezbędne jest bowiem wyważenie interesów administratora danych osobowych, osoby, której dane dotyczą, odbiorcy danych przy jednoczesnym uwzględnieniu celu ustawy, jakim jest niewątpliwie ochrona prywatności.
Trzeba jednak zgodzić się z zarzutem skargi kasacyjnej, iż Sąd I instancji dopuścił się naruszenia przepisu art. 23 ust. 1 pkt 2 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (tj.: Dz. U. z 2002 r. Nr 101, poz. 926 ze zm.). Zauważyć bowiem należy, że WSA w Warszawie zastosował ten przepis w nieaktualnym już brzmieniu. Jak to bowiem wynika z motywów zaskarżonego wyroku Sąd meriti dokonał analizy treści przepisu stanowiącego, że przetwarzanie danych jest dopuszczalne tylko wtedy, gdy zezwalają na to przepisy prawa. Tymczasem od 1 maja 2004 r. (decyzja ostateczna podjęta została w dniu [...]) przepis art. 23 ust. 1 pkt 2 stanowi, iż przetwarzanie danych jest dopuszczalne tylko wtedy, gdy jest to niezbędne dla zrealizowania uprawnienia lub spełnienia obowiązku wynikającego z przepisu prawa.
Ustosunkowanie się do podniesionych w skardze kasacyjnej zarzutów wymaga wyjaśnienia istoty regulacji zawartej w art. 23 ust. 1 pkt 2 i ustawy o ochronie danych osobowych. Spór prawny sprowadza się do tego, czy przepis ten pozwala B. S.A., jako administratorowi danych osobowych, na ich przetwarzanie poprzez udostępnienie tychże danych bankom bez zgody osób, których dane te dotyczą.
Art. 23 ustawy o ochronie danych osobowych pozwala na przetwarzanie danych osobowych w ściśle określonych przypadkach. Dane te mogą być przetwarzane za zgodą osoby, której dotyczą, a także bez zgody takiej osoby w przypadkach określonych w art. 23 ust. 1 pkt 2-5 ustawy. W szczególności przetwarzanie danych osobowych zasługuje na ochronę, gdy jest to niezbędne dla zrealizowania uprawnienia lub spełnienia obowiązku wynikającego z przepisu prawa albo gdy jest to niezbędne dla wypełnienia prawnie usprawiedliwionych celów realizowanych przez administratorów danych albo odbiorców danych, a przetwarzanie nie narusza praw i wolności osoby, której dane dotyczą.
Ta ostatnia przesłanka winna być odczytywana w kontekście postanowień dyrektywy 95/46/WE Parlamentu Europejskiego i Rady z dnia 24 października 1995 r. w sprawie ochrony osób fizycznych w zakresie przetwarzania danych osobowych i swobodnego przepływu tych danych. Zgodnie bowiem z art. 7 lit.f) tej dyrektywy przetwarzanie danych jest konieczne dla potrzeb wynikających z uzasadnionych interesów administratora danych lub osoby trzeciej, lub osobom, którym dane są ujawniane, z wyjątkiem sytuacji, kiedy interesy takie podporządkowane są interesom związanym z podstawowymi prawami i wolnościami osoby, której dane dotyczą, które gwarantują ochronę na podstawie art. 1 ust. 1.
Mając powyższe na uwadze stwierdzić należy, że w przypadku przetwarzania danych osobowych bez zgody osoby, której dane dotyczą, należy w pierwszej kolejności ustalić i określić, czy spełniona jest przesłanka pozwalająca na przetwarzanie danych właśnie bez zgody tej osoby, a w drugiej kolejności należy rozważyć kwestie związane z zagwarantowaniem niezbędnej ochrony interesów osoby, której dane dotyczą oraz mieć na uwadze interes administratora danych.
Trafny jest też zarzut skargi kasacyjnej, iż Sąd I instancji dopuścił się naruszenia prawa materialnego, tj. przepisu art. 26 ust. 1 pkt 4 ustawy o ochronie danych osobowych przez błędną wykładnię tej normy. Stosownie do brzmienia tego przepisu administrator danych przetwarzający dane powinien dołożyć szczególnej staranności w celu ochrony interesów osób, których dane dotyczą, a w szczególności jest obowiązany zapewnić, aby dane te były przechowywane w postaci umożliwiającej identyfikację osób, których dotyczą, nie dłużej niż jest to niezbędne do osiągnięcia celu przetwarzania. Oczywistym jest, że cel przetwarzania nie może funkcjonować i być oceniany w oderwaniu od okoliczności przetwarzania. Ustalając ten cel należy zatem odwołać się do okoliczności konkretnej sprawy w celu właściwego określenia upływu spodziewanego terminu użyteczności danych. Tymczasem Sąd I instancji, bez czynienia niezbędnych w tym zakresie rozważań, podzielił w całości pogląd organu administracji i w sposób arbitralny przyjął, że legalne przetwarzanie danych osobowych kończy się z chwilą rozwiązania umowy rachunku bankowego, ponieważ realizacja umowy jest końcowym etapem współpracy banku z klientem. Tym samym Sąd meriti moment terminu rozwiązania umowy rachunku bankowego utożsamił z datą całkowitej spłaty kredytu, nie biorąc pod uwagę, że do rozwiązania tego rodzaju umów dochodzić może np. z powodu bezskuteczności egzekucji prowadzonej w stosunku do niewypłacalnego dłużnika.
Pogląd Sądu I instancji abstrahuje od określonego w art. 105 ust. 4 ustawy z dnia 29 sierpnia 1997 r. Prawo bankowe (tj.: Dz. U. z 2002 r. Nr 72, poz. 665 ze zm.) celu gromadzenia, przetwarzania i udostępniania bankom informacji potrzebnych do wykonywania przez nie czynności bankowych, a więc podejmowania prawidłowych decyzji kredytowych, a więc takich, które m. in. uwzględniają zdolność kredytową kredytobiorcy. Zdolność ta jest ustawowym i obligatoryjnym warunkiem, od którego przepisy Prawa bankowego uzależniają przyznanie kredytu.
Przez zdolność kredytową rozumie się zdolność do spłaty zaciągniętego kredytu wraz z odsetkami w terminach określonych w umowie. Składa się na nią stan majątkowy podmiotu ubiegającego się o kredyt oraz bieżąca i przewidywana w przyszłości efektywność gospodarowania gwarantująca terminowy zwrot kredytu i zapłatę odsetek. Zależy ona od wielu różnych czynników, takich jak płynność finansowa, jakość gospodarowania środkami produkcji, sposób wykorzystywania akumulacji, dynamika produkcji, poziom kosztów, wydajność pracy, warunki zbytu towarów i usług. Zdolność kredytowa wyraża charakterystykę kredytobiorcy według oceny banku, który ma w tym zakresie wyłączność i pełną swobodę. Jest to cecha kredytobiorcy nadana mu przez bank, po dokonaniu oceny według różnych kryteriów niedających się zobiektywizować. Cecha ta wyraża się w pieniądzu wartością przyznanego kredytu, ale zanim do przyznania kredytu dojdzie, poddaje się ona wartościowaniu tylko według stopnia prawdopodobieństwa podjęcia przez bank pozytywnej decyzji.
W kontekście tych wywodów zasadny uznać należy zarzut naruszenia przez Sąd I instancji prawa materialnego, tj. art. 70 ust. 1 Prawa bankowego, jako że wyrok oddalający skargę oznacza kategoryczny zakaz przechowywania przez B. S.A., a tym samym badania historii kredytowej klientów banków, co ma ewidentny wpływ na możliwość oceny właśnie zdolności kredytowej.
Należy również zauważyć, że z dniem 16 czerwca 2005 r. wszedł w życie art. 105a Prawa bankowego, dodany przez art. 3 pkt 2 ustawy z dnia 15 kwietnia 2005 r. o zmianie ustawy o ochronie informacji niejawnych oraz niektórych innych ustaw (Dz. U. Nr 85, poz. 727), który w ust. 3 i 4 stanowi, że banki, inne instytucje ustawowo upoważnione do udzielania kredytów oraz instytucje utworzone na podstawie art. 105 ust. 4, mogą przetwarzać informacje stanowiące tajemnicę bankową oraz informacje, o których mowa w art. 105 ust. 4 pkt 2 w zakresie dotyczącym osób fizycznych (konsumentów) po wygaśnięciu zobowiązania wynikającego z umowy zawartej z bankiem lub inną instytucją ustawowo upoważnioną do udzielania kredytów, bez zgody osoby, której informacje dotyczą, jeśli spełnione są łącznie następujące warunki:
1)osoba ta nie wykonała zobowiązania lub dopuściła się zwłoki powyżej 60 dni w spełnieniu świadczenia wynikającego z umowy zawartej z bankiem lub inną instytucją ustawowo upoważnioną do udzielania kredytów,
2)po zaistnieniu okoliczności, o której mowa w pkt 1, upłynęło co najmniej 30 dni od poinformowania tej osoby przez bank lub inną instytucję ustawowo upoważnioną do udzielania kredytów o zamiarze przetwarzania dotyczących jej informacji stanowiących tajemnicę bankową, bez jej zgody.
Przetwarzanie informacji stanowiących tajemnicę bankową w przypadkach, o których mowa w ust. 3, może być wykonywane przez okres nie dłuższy niż 5 lat od dnia wygaśnięcia zobowiązania.
Z powyższych względów, na podstawie art. 185 § 1 i art. 203 pkt 1 ppsa, orzeczono jak w sentencji.