II SA/Wa 1335/05

II SA/Wa 1335/05 - Wyrok WSA w Warszawie
Data orzeczenia
2005-11-24
orzeczenie prawomocne
Data wpływu
2005-07-20
Sąd
Wojewódzki Sąd Administracyjny w Warszawie
Sędziowie
Bronisław Szydło /sprawozdawca/
Ewa Kwiecińska /przewodniczący/
Jacek Fronczyk
Symbol z opisem
647  Sprawy związane z ochroną danych osobowych
Sygn. powiązane
I OSK 532/06 - Postanowienie NSA z 2007-02-16
Skarżony organ
Generalny Inspektor Ochrony Danych Osobowych
Treść wyniku
Oddalono skargę
Sentencja
Wojewódzki Sąd Administracyjny w Warszawie w składzie następującym: Przewodniczący Sędzia WSA Ewa Kwiecińska, Sędzia WSA Bronisław Szydło (spr.), Asesor, Jacek Fronczyk, Protokolant Michał Sułkowski, po rozpoznaniu na rozprawie w dniu 24 listopada 2005 r. sprawy ze skargi E. S.A. z siedzibą w W. na decyzję Generalnego Inspektora Ochrony Danych Osobowych z dnia [...] czerwca 2005 r. nr [...] w przedmiocie przetwarzania danych osobowych – oddala skargę -
Uzasadnienie
Generalny Inspektor Ochrony Danych Osobowych decyzją znak: [...] z dnia [...] czerwca 2005 r., wydaną na podstawie art. 138 § 1 pkt 1 Kodeksu postępowania administracyjnego oraz art. 12 pkt 2, art. 18 ust. 1 pkt 1, art. 22, art. 24 ust. 1 pkt 4, art. 26 ust. 1 pkt 3, art. 26a ust. 1 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. z 2002 r. Nr 101, poz. 926 z późn. zm.), utrzymał w mocy swoją poprzednią decyzję znak: [...] z dnia [...] marca 2005 r., którą nakazał E. S.A. z siedzibą w W. usunięcie uchybień w procesie przetwarzania danych osobowych poprzez:
1. zaprzestanie zbierania danych osobowych klientów, w zakresie szerszym niż jest to niezbędne w stosunku do celu, w jakim są przetwarzane, tj.:
─ poprzednich adresów zameldowania,
─ kategorii i daty nadania uprawnienia do kierowania pojazdem silnikowym,
─ danych zawartych w świadectwie pracy, dotyczących przebiegu zatrudnienia od dnia, kiedy decyzja stała się ostateczna,
2. umieszczenia informacji, o których mowa w art. 24 ust. 1 pkt 4 powołanej ustawy o ochronie danych osobowych, w formularzach stosowanych w celu przygotowania przez E. S.A. oferty pożyczki oraz zweryfikowania zdolności kredytowej, oraz innych informacji objętych tajemnicą, w terminie miesiąca od dnia kiedy decyzja stanie się ostateczna
3. zaprzestanie podejmowania decyzji o odmowie przyznania pożyczki wyłącznie w oparciu o dokonywanie prowadzonych w systemie informatycznym operacji na danych osobowych, od dnia kiedy decyzja stanie się ostateczna.
W uzasadnieniu podał, że w art. 23 powołanej ustawy o ochronie danych osobowych określone zostały przesłanki przetwarzania danych, przy czym podmiot przetwarzający dane winien wykazać się co najmniej jedną z nich, aby jego działanie mogło być uznane za zgodne z prawem. Przetwarzanie danych jest dopuszczalne, jeżeli jest to niezbędne dla zrealizowania uprawnienia lub spełnienia obowiązku wynikającego z przepisu prawa. Przetwarzanie danych jest dopuszczalne, gdy jest to konieczne do realizacji umowy, gdy osoba, której dane dotyczą, jest jej stroną lub gdy jest to niezbędne do podjęcia działań przed zawarciem umowy na żądanie osoby, której dane dotyczą. Przetwarzanie danych osobowych jest dopuszczalne, jeżeli jest to niezbędne do wypełnienia prawnie usprawiedliwionych celów realizowanych przez administratorów danych albo odbiorców danych, a przetwarzanie nie narusza praw i wolności osoby, której dane dotyczą.
Stosownie do postanowień art. 26 tej ustawy, administrator danych przetwarzający dane, powinien dołożyć szczególnej staranności w celu ochrony interesów osób, których dane dotyczą. Administrator danych jest w szczególności obowiązany zapewnić, aby dane były merytorycznie poprawne i adekwatne w stosunku do celów, w jakich są przetwarzane. Adekwatność danych w stosunku do celu ich przetwarzania powinna być rozumiana jako równowaga pomiędzy uprawnieniem osoby do dysponowania swoimi danymi, a interesem administratora danych. Administrator danych nie może w żaden sposób stawiać swego interesu ponad dobro osoby, której dane przetwarza. Równowaga będzie zachowana, jeżeli administrator zażąda danych tylko w takim zakresie, w jakim jest to niezbędne do wypełnienia celu, w jakim dane są przez niego przetwarzane.
W skardze do Wojewódzkiego Sądu Administracyjnego w Warszawie E. S.A. z siedzibą w W. wnosił o uchylenie zaskarżonej decyzji oraz utrzymanej nią w mocy decyzji z dnia [...] marca 2005 r. w punktach 1 i 3, jako naruszającej prawo. W uzasadnieniu podał, że żaden przepis prawa, w tym przepisy ustawy z dnia 29 sierpnia 1997 r. Prawo bankowe (tekst jednolity: Dz. U. z 2002 r. Nr 72, poz. 665 z późn. zm.), nie wymienia katalogu danych osobowych, jakie mogą być przetwarzane w związku z wykonywaniem czynności bankowych. W konsekwencji, o tym jakie dane osobowe mogą być przez banki przetwarzane przy zawieraniu i wykonywaniu umów kredytowych, decyduje cel, dla realizacji którego dane mają być uzyskane. Bank uzależnia przyznanie kredytu od zdolności kredytowej kredytobiorcy, przez co rozumie się zdolność do spłaty zaciągniętego kredytu wraz z odsetkami w terminach określonych w umowie. Kredytobiorca jest więc obowiązany przedłożyć na żądanie banku dokumenty i informacje niezbędne do oceny tej zdolności, jak również do przeprowadzenia prawidłowej identyfikacji strony umowy kredytu. Podkreślił, że do banku należy określenie, jakie informacje powinny zostać przedstawione przez kredytobiorcę w procesie poprzedzającym udzielenie kredytu, gdyż to na banku ciąży ustawowy obowiązek badania zdolności kredytowej klienta.
Oznacza to, że bank może pozyskiwać nie tylko dane w takim zakresie, jakie znajdują się w "nowych dowodach osobistych", ale także dane zawarte w "starych dowodach osobistych", jak również dane zawarte w prawie jazdy (kierowania pojazdem mechanicznym), dane zawarte w świadectwie pracy dotyczące przebiegu zatrudnienia. Dane o poprzednich adresach zameldowania, kategoriach i datach nadania uprawnienia do kierowania pojazdem silnikowym, przebiegu zatrudnienia, zdaniem skarżącego, służą do rzetelnej oceny zdolności kredytowej osoby ubiegającej się o udzielenie kredytu. Dane o poprzednich adresach zameldowania służą ocenie ryzyka utraty kontaktu z klientem z uwagi na fakt, że częstotliwość zmian zamieszkania, a także liczne pobyty czasowe, jak wynika z doświadczenia banku, mogą wskazywać na istotne ryzyko kredytowe, poprzez brak możliwości odzyskania zaangażowanych przez bank środków, w przypadku braku kontaktu z klientem pod wskazanym adresem.
Skarżący nie zgadza się także z zarzutem naruszenia art. 26a ust. 1 ustawy o ochronie danych osobowych, bowiem operacja o nazwie scoring – system informatyczny o nazwie "P", jest tylko jednym z etapów podejmowania przez E. S.A. decyzji, co do udzielania klientowi pożyczki. Operacja o nazwie scoring służy wyłącznie wyliczeniu i zsumowaniu danych klienta za pomocą autorskiego programu Banku służącego do usprawnienia obsługi klientów, ale w każdym przypadku ostateczna decyzja o przyznaniu pożyczki lub jej odmowie należy do pracownika E. S.A.
W odpowiedzi na skargę Generalny Inspektor Ochrony Danych Osobowych, powołując się na dotychczasowe ustalenia faktyczne i prawne, wnosił o jej oddalenie.
Wojewódzki Sąd Administracyjny w Warszawie zważył, co następuje:
Na wstępie należy zaznaczyć, że zgodnie z treścią art. 1 § 2 ustawy z dnia 25 lipca 2002 r. – Prawo o ustroju sądów administracyjnych (Dz. U. Nr 153, poz. 1269), sąd administracyjny sprawuje wymiar sprawiedliwości poprzez kontrolę pod względem zgodności z prawem zaskarżonej decyzji administracyjnej i to z przepisami obowiązującymi w dacie jej wydania.
Innymi słowy, sąd administracyjny nie orzeka co do istoty sprawy w zakresie danego przypadku, lecz jedynie kontroluje legalność rozstrzygnięcia zapadłego w tym postępowaniu z punktu widzenia jego zgodności z prawem materialnym i obowiązującymi przepisami prawa procesowego.
Skarga analizowana pod tym kątem nie zasługuje na uwzględnienie.
Zgodnie z obowiązującą od 1 maja 2004 r. ustawą z dnia 1 kwietnia 2004 r. o zmianie ustawy Prawo bankowe oraz o zmianie innych ustaw (Dz. U. Nr 91, poz. 807), bankom przysługuje prawo do pozyskiwania danych osobowych zawartych w dokumentach tożsamości. Zakres tych danych określony został przepisem art. 37 ust. 1 i ust. 2 ustawy z dnia 10 kwietnia 1974 r. o ewidencji ludności i dowodach osobistych (tekst jednolity Dz. U. z 2001 r. Nr 87, poz. 960 z późn, zm.), który określa, że w dowodzie osobistym – tzw. "nowym", zamieszcza się nazwisko i imię (imiona) oraz imiona rodziców i nazwisko rodowe, datę i miejsce urodzenia, adres zameldowania na pobyt stały (a w razie jego braku, zameldowanie na pobyt stały lub czasowy trwający ponad dwa miesiące, danych o adresie nie zamieszcza się), płeć, wzrost w centymetrach i kolor oczu, numer ewidencyjny PESEL, nazwę organu wydającego, datę wydania oraz termin ważności dowodu osobistego. Dowód osobisty zawiera również zdjęcie i podpis posiadacza.
Wprawdzie, stosownie do treści zapisu art. 57 powołanej ustawy o ewidencji ludności i dowodach osobistych, zachowują nadal ważność tzw. "stare dowody osobiste", w których m.in. znajdują się dane w postaci poprzednich (nieaktualnych) adresów zamieszkania, o stanie rodzinnym, jednakże w myśl powołanego art. 37 ust. 1 i 2 tej ustawy, ta kategoria danych osobowych została usunięta z dowodów osobistych, tj. dokumentów stwierdzających tożsamość, jako nieadekwatna do celów, jakim służy ten dokument.
Zatem nie ma żadnych podstaw prawnych do poszerzania przez bank zakresu danych osobowych w postaci informacji o poprzednich miejscach zamieszkania, tym bardziej, że trudno zgodzić się z twierdzeniem skarżącego, że takie dane są niezbędne do rzetelnej oceny zdolności kredytowej osoby ubiegającej się w banku o udzielenie kredytu.
Nie znajduje także uzasadnienia pozyskiwanie danych dotyczących kategorii i daty wydania uprawnienia do kierowania pojazdami silnikowymi zawartymi w prawie jazdy. Zgodnie z treścią art. 88 ustawy z dnia 20 czerwca 1997 r. Prawo o ruchu drogowym (tekst jednolity: Dz. U. z 2003 r. Nr 58, poz. 515 z późn zm.), prawo jazdy jest dokumentem stwierdzającym uprawnienie do kierowania pojazdami silnikowymi, natomiast nie jest z całą pewnością dokumentem tożsamości w rozumieniu postanowień powołanej ustawy o ewidencji ludności i dowodach osobistych.
Dokumentami stwierdzającymi tożsamość w rozumieniu ustawy o ewidencji ludności i dowodach osobistych są dowody osobiste, tymczasowe dowody osobiste oraz tymczasowe zaświadczenia tożsamości, natomiast w rozumieniu ustawy z dnia 25 czerwca 1997 r. o cudzoziemcach, takimi dokumentami są: paszporty, dokumenty paszportowe należące do cudzoziemca, karty stałego i czasowego pobytu, tymczasowe dokumenty podróży i tymczasowe zaświadczenia tożsamości.
Dokumentem tożsamości nie jest także świadectwo pracy. Zgodnie bowiem z treścią art. 97 ustawy z dnia 26 czerwca 1974 r. – Kodeks pracy (tekst jednolity: Dz. U. z 1998 r. Nr 21, poz. 94 z późn. zm.), świadectwo pracy jest dokumentem potwierdzającym rozwiązanie lub wygaśnięcie stosunku pracy. W świadectwie pracy zawarte są informacje dotyczące okresu i rodzaju wygaśnięcia stosunku pracy, zajmowanych stanowisk, trybu rozwiązania albo okoliczności wygaśnięcia stosunku pracy, a także informacje niezbędne do ustalenia uprawnień pracowniczych i uprawnień z ubezpieczenia społecznego.
W świetle postanowień art. 26a ust. 1 ustawy o ochronie danych osobowych, niedopuszczalne jest ostateczne rozstrzygnięcie indywidualnej sprawy osoby, której dane dotyczą, jeżeli treść rozstrzygnięcia jest wyłącznie wynikiem operacji na danych osobowych prowadzonych w systemie informatycznym. Podjęcie decyzji o odmowie udzielenia pożyczki na podstawie przeprowadzonego scoringu jest wynikiem operacji na danych osobowych prowadzonych w systemie informatycznym. Jak wynika z materiału dowodowego gromadzonego w toku kontroli przeprowadzonej u skarżącego, system informatyczny o nazwie "P." działający w E. S.A., w którym przetwarzane są dane osobowe klientów tego Banku jest wyposażony w mechanizmy pozwalające na zestawienie zadanych cech statystycznych, demograficznych w jeden wynik w postaci punktacyjnej (scoring). Ilość punktów decyduje o warunkach przyznania kredytu lub odmowy przyznania. Jeżeli wynik scoringu jest negatywny, wniosek o przyznanie pożyczki jest odrzucony.
Decyzja o odmowie pożyczki w związku z negatywną oceną scoringową jest podejmowana automatycznie przez system informatyczny i w związku z tym, w świetle postanowień powołanego art. 26a ustawy, takie postępowanie jest niedopuszczalne.
W tym stanie sprawy, uznając, że wydanie zaskarżonej decyzji nastąpiło bez naruszenia prawa materialnego, jak i przepisów postępowania administracyjnego, w stopniu mogącym mieć istotny wpływ na wynik sprawy, na mocy art. 151 w związku z art. 132 ustawy z dnia 30 sierpnia 2002 r. – Prawo o postępowaniu przed sądami administracyjnymi (Dz. U. Nr 153, poz. 1270 z późn. zm.), Sąd skargę jako nieuzasadnioną oddalił.