II SA/Wa 1841/17

II SA/Wa 1841/17 - Wyrok WSA w Warszawie
Data orzeczenia
2019-01-11
orzeczenie prawomocne
Data wpływu
2017-11-15
Sąd
Wojewódzki Sąd Administracyjny w Warszawie
Sędziowie
Ewa Kwiecińska
Ewa Marcinkowska /sprawozdawca/
Janusz Walawski /przewodniczący/
Symbol z opisem
647  Sprawy związane z ochroną danych osobowych
Hasła tematyczne
Ochrona danych osobowych
Sygn. powiązane
III OSK 1533/21 - Wyrok NSA z 2022-10-21
Skarżony organ
Generalny Inspektor Ochrony Danych Osobowych
Treść wyniku
Oddalono skargę
Powołane przepisy
Dz.U. 2015 poz 128
art. 6a ust. 1 pkt 2
Ustawa z dnia 29 sierpnia 1997 r. Prawo bankowe - tekst jedn.
Dz.U. 2016 poz 922
art. 12, art. 7 ust. 2
Ustawa z dnia 29 sierpnia 1997 r. o ochronie danych osobowych - tekst jedn.
Sentencja
Wojewódzki Sąd Administracyjny w Warszawie w składzie następującym: Przewodniczący Sędzia WSA Janusz Walawski, Sędziowie WSA Ewa Kwiecińska, Ewa Marcinkowska (spr.), Protokolant sekretarz sądowy Marcin Borkowski, po rozpoznaniu na rozprawie w dniu 11 stycznia 2019 r. sprawy ze skargi U. P., E. P., M. P. na decyzję Generalnego Inspektora Ochrony Danych Osobowych z dnia [...] września 2017 r. nr [...] w przedmiocie przetwarzania danych osobowych oddala skargę.
Uzasadnienie
Generalny Inspektor Ochrony Danych Osobowych (dalej "GIODO") decyzją z dnia [...] września 2017 r. nr [...] działając na podstawie art. 138 § 1 pkt 1K.p.a., art. 12 pkt 2, art. 18 ust. 1 pkt 6, art. 22, art. 23 ust. 1 pkt 2 oraz art. 31 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. z 2016 r. poz. 922) w zw. z art. 6a ust. 1 pkt 2 ustawy z dnia 29 sierpnia 1997 r. Prawo bankowe (Dz. U. 2015r. poz. 128 ze zm.) po ponownym rozpatrzeniu sprawy utrzymał w mocy swoją wcześniejszą decyzję z dnia [...] marca 2017 r. nr [...] o odmowie uwzględnienia skargi U. P., E. P. oraz M. P. na przekazanie ich danych osobowych przez [...] Bank S.A. z siedzibą w W. do Kancelarii Prawnej "[...]"[...], sp. k. z siedzibą w W.
Do wydania powyższych decyzji doszło w następującym stanie faktycznym i prawnym:
W dniu [...] stycznia 2016 r. do Biura GIODO wpłynęła skarga U. P., E. P. oraz M. P. na przekazanie ich danych osobowych przez [...] Bank S.A. z siedzibą w W. do Kancelarii Prawnej "[...]"[...], sp. k. z siedzibą w W. Skarżący w treści skargi podnieśli, iż pomimo uregulowania przez nich zaległości, Bank oddał sprawę do windykacji Kancelarii Prawnej [...], a tym samym przekazał dane osobowe kredytobiorców, z naruszeniem art. 23 ust. 1 pkt 5 ustawy o ochronie danych osobowych, albowiem w sytuacji braku zobowiązania nie istniały "żadne prawnie usprawiedliwione cele Banku".
W wyniku przeprowadzonego postępowania wyjaśniającego GIODO ustalił, że Bank przetwarza dane osobowe skarżących w zbiorze Klienci [...] Bank S.A. w związku z realizacją umowy kredytu hipotecznego nominowanego w CHF z dnia [...] stycznia 2000 r. nr [...]. w związku z realizacją tej umowy powstało zadłużenie wobec Banku. W związku z powstaniem zaległości Bank wysłał monit z dnia [...] grudnia 2015 r. do skarżących w którym wezwał ich do uregulowania zaległości. Dnia [...] stycznia 2016 r. skarżący dokonali przelewu, w którym uregulowali zaległość wobec Banku.
Stosownie do postanowień zawartych w "Umowie świadczenia usług windykacyjnych" zawartej w dniu [...] marca 2011 r. między Bankiem, a Kancelarią Prawną "[...]" wierzyciel (Bank) jako administrator danych osobowych powierzył Kancelarii przetwarzanie danych osobowych dłużników, w celu windykacji należności pieniężnych, czyli wyegzekwowania wykonania umów, na podstawie których dłużnicy zobowiązani są do zapłaty określonych kwot na rzecz wierzyciela.
Pismem z dnia [...] stycznia 2016 r. Kancelaria Prawna "[...]" wezwała skarżących do uregulowania zadłużenia wobec Banku.
Bank w pisemnych wyjaśnieniach z dnia [...] września 2016 r. podał, że powierzył przetwarzanie danych osobowych skarżących Kancelarii Prawnej "[...]" na podstawie pisemnej umowy, w trybie art. 31 ustawy o ochronie danych osobowych, w dniu [...] stycznia 2016 r., w celu realizacji należności wynikającej z umowy kredytu hipotecznego z dnia [...] stycznia 2000 r. Bank odnotował uregulowanie należności i tym samym w dniu [...] stycznia 2016 r. zaprzestał przetwarzania przedmiotowych danych w Kancelarii. Aktualnie Kancelaria Prawna "[...]" nie przetwarza danych osobowych skarżących w celach windykacyjnych.
W dniu [...] lutego 2017 r. do Biura GIODO wpłynęło pismo skarżących, w którym wnieśli o zobowiązanie Banku do przedłożenia dodatkowych dowodów.
GIODO decyzją nr [...] z dnia [...] marca 2017 r. wydaną na podstawie art. 104 § 1 K.p.a., art. 12 pkt 2, art. 22, art. 23 ust. 1 pkt 2 oraz art. 31 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (t.j. Dz. U. z 2016 r. poz. 922) w związku z art. 6a ust. 1 pkt 2 ustawy z dnia 29 sierpnia 1997 r. Prawo bankowe (Dz. U. 2015 r. poz. 128 ze zm.) odmówił uwzględnienia wniosku U. P., E. P. oraz M. P.
W uzasadnieniu decyzji GIODO wskazał, iż Kancelaria Prawna "[...]" przetwarza dane osobowe skarżących na podstawie art. 31 ustawy o ochronie danych osobowych w ramach zawartej umowy z Bankiem z dnia [...] marca 2011 r. Dane osobowe zostały powierzone Kancelarii przez Bank, jako administratora danych osobowych skarżących. Przetwarzanie danych osobowych przez Kancelarię w trybie art. 31 ustawy było zatem dopuszczalne i zgodne z przepisami tej ustawy. GIODO nie jest zaś władny oceniać, czy dochodzenie roszczeń jest uzasadnione, czy też nie, bowiem przepisy ustawy o ochronie danych osobowych stanowią, że przetwarzanie danych jest dopuszczalne w celu dochodzenia roszczeń na podstawie art. 23 ust. 1 pkt 5 ustawy. W kwestii istnienia (nieistnienia) zobowiązania rozstrzyga natomiast sąd powszechny.
Jednocześnie organ zaznaczył, że informacje o które wnioskowali skarżący w piśmie z dnia [...] lutego 2017 r. (które wpłynęło do organu [...] lutego 2017 r.) nie były konieczne do ustalenia stanu faktycznego sprawy. Dowodzeniu podlegają bowiem okoliczności faktyczne i prawne mające znaczenie dla rozstrzygnięcia sprawy toczącej się przed GIODO, a nie wszelkie informacje, które skarżący chcą uzyskać.
Postępowanie administracyjne prowadzone przez GIODO służy kontroli zgodności przetwarzania danych z przepisami o ochronie danych osobowych i jest ukierunkowane na wydanie decyzji administracyjnej na podstawie art. 18 ust. 1 ustawy o ochronie danych osobowych. W rozpatrywanej sprawie brak jest natomiast podstaw do wydania decyzji nakazującej przywrócenie stanu zgodności z prawem.
W złożonym wniosku o ponowne rozpatrzenie sprawy skarżący zarzucili, że zaskarżona decyzja została wydana z naruszeniem art. 7 oraz art. 12 K.p.a. Skarżący podnieśli, iż organ nie zbadał sprawy z należytą wnikliwością i starannością oraz oparł decyzję wyłącznie na wyjaśnieniach złożonych przez Bank, co w ich ocenie jest niewystarczające, natomiast zgromadzony w sprawie materiał dowodowy jest sprzeczny. Zdaniem skarżących, organ wydając zaskarżoną decyzję naruszył również art. 23 ust. 1 pkt 5 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych uznając, że działanie Banku było zgodne z prawem. W treści wniosku zakwestionowali również brak możliwości ustalenia przez organ istnienia lub nieistnienia zobowiązania oraz wyrazili dezaprobatę w zakresie sposobu prowadzenia postępowania przez organ, podnosząc przy tym, iż "Ocenie powinna podlegać kwestia, czy konieczne było natychmiast po wystosowaniu wezwania do zapłaty - o jakąś na dodatek nieistotną kwotę - oddawać sprawę do Kancelarii prawnej, nawet nie czekając czy samo wezwanie przyniesie czy nie skutek ".
GIODO, w wyniku ponownego rozpatrzenia sprawy, decyzją z dnia [...] września 2017 r. nr [...] działając na podstawie art. 138 § 1 pkt 1K.p.a., art. 12 pkt 2, art. 18 ust. 1 pkt 6, art. 22, art. 23 ust. 1 pkt 2 oraz art. 31 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych w zw. z art. 6a ust. 1 pkt 2 ustawy z dnia 29 sierpnia 1997 r. Prawo bankowe, utrzymał w mocy swoją wcześniejszą decyzję z dnia [...] marca 2017 r.
W uzasadnieniu decyzji organ w pierwszej kolejności wskazał, iż niezasadnym jest zarzut skarżących dotyczący naruszenia art. 7 oraz art. 12 K.p.a. W ocenie organu materiał zebrany w sprawie jest wystarczający do ustalenia stanu faktycznego sprawy, a ponadto spójny i niebudzący wątpliwości. Brak jest zarazem jakichkolwiek dowodów, mogących świadczyć o tym, że zebrany materiał w sprawie jest niekompletny. GIODO przedsięwziął przewidziane prawem czynności służące wnikliwemu i rzetelnemu ustaleniu okoliczności faktycznych przedmiotowej sprawy i zebraniu materiału dowodowego potrzebnego do rozstrzygnięcia jej decyzją administracyjną. Wbrew też twierdzeniu skarżących, organ ustalił kiedy Bank przekazał Kancelarii ich dane osobowe, co wskazano w opisie stanu faktycznego.
Odnosząc się natomiast do zarzutu naruszenia art. 23 ust. 1 ustawy o ochronie danych osobowych organ podniósł, iż skarżący błędnie odczytali treść zaskarżonej decyzji, bowiem podstawą przekazania przez Bank ich danych osobowych do Kancelarii jest instytucja powierzenia danych osobowych, uregulowana w art. 31 ww. ustawy.
Zgodnie z art. 31 ust. 1 ustawy o ochronie danych osobowych administrator danych może powierzyć innemu podmiotowi, w drodze umowy zawartej na piśmie, przetwarzanie danych. Administratorem danych osobowych w rozumieniu tej ustawy jest natomiast podmiot decydujący o celach i środkach przetwarzania danych osobowych (art. 7 pkt 4 ustawy). Podmiot, któremu powierzono przetwarzanie, danych osobowych, może przetwarzać dane osobowe jedynie w celu i zakresie wynikającym z zawartej z administratorem danych osobowych umowy, zgodnie z art. 31 ust. 2 ustawy. Nie staje się on tym samym administratorem danych osobowych, ponieważ ten podmiot nie decyduje samodzielnie o celach i środkach przetwarzania danych osobowych, dokonując procesu przetwarzania jedynie w granicach i na zasadach wyznaczonych zawartą umową. Powyższe oznacza, że to Bank, przetwarzając dane osobowe skarżących w celu dochodzenia roszczeń wynikających z umowy kredytowej, był administratorem ich danych ich osobowych, natomiast Kancelaria była podmiotem, któremu powierzono przetwarzanie danych osobowych skarżących, w celu dochodzenia roszczeń Banku.
Organ zaznaczył, że zgodnie z art. 7 pkt 6 lit. a ustawy o ochronie danych osobowych przez odbiorcę danych rozumie się każdego, komu udostępnia się dane osobowe, z wyłączeniem podmiotów, o których mowa w art. 31 tej ustawy. Administrator danych osobowych powierzając dane osobowe, nie udostępnia ich odbiorcy danych. Do powierzenia danych nie ma zatem zastosowania art. 23 ust. 1 ustawy, ponieważ nie jest to nowy proces przetwarzania danych osobowych.
Bank jest administratorem danych osobowych skarżących w rozumieniu art. 7 pkt 4 u.o.d.o. co oznacza, że powierzenie danych osobowych Kancelarii, jest w dalszym ciągu elementem tego samego procesu przetwarzania przez administratora danych osobowych.
Odnosząc się natomiast do zarzutu, iż GIODO nie dokonał oceny, czy po skierowaniu wezwania do zapłaty nieistotnej zdaniem skarżących kwoty, Bank powinien przekazać dane osobowe Kancelarii, nie czekając na ustosunkowanie się do wezwania przez skarżących, organ wskazał, iż ta okoliczność nie ma znaczenia dla niniejszej sprawy. Wierzyciel jest bowiem uprawniony do podejmowania wszelkich, zgodnych z prawem działań, zmierzających do zaspokojenia swojego roszczenia. W niniejszej sprawie Bank podejmował czynności, do których był uprawniony jako wierzyciel, natomiast przepisy powszechnie obowiązujące nie formułują nakazu powstrzymania się od innych działań zmierzających do zaspokojenia roszczenia, w przypadku skierowania do dłużnika wezwania do zapłaty.
Zgodnie z art. 6a ust. 1 pkt 2 ustawy z dnia 29 sierpnia 1997 r. Prawo bankowe, bank może, w drodze umowy zawartej na piśmie, powierzyć przedsiębiorcy lub przedsiębiorcy zagranicznemu, z zastrzeżeniem art. 6d, wykonywanie czynności faktycznych związanych z działalnością bankową. Ponadto zgodnie z art. 31 ust. 1 i 2 ustawy o ochronie danych osobowych, administrator danych może powierzyć innemu podmiotowi, w drodze umowy zawartej na piśmie, przetwarzanie danych. Podmiot, o którym mowa w ust. 1, może przetwarzać dane wyłącznie w zakresie i celu przewidzianym w umowie.
Mając na uwadze powyższe GIODO ponownie podniósł, że Bank powierzył Kancelarii dane osobowe skarżących na podstawie art. 31 ww. ustawy. Jednocześnie zaznaczył, że aktualnie Kancelaria nie posiada danych osobowych skarżących.
Odnosząc się natomiast do zarzutu nieprzeprowadzenia dowodów wnioskowanych przez skarżących w piśmie z dnia [...] lutego 2017 r. GIODO ponownie podniósł, że nie były one konieczne do ustalenia stanu faktycznego sprawy. Do kompetencji organu do spraw ochrony danych osobowych nie należy rozstrzyganie w przedmiocie istnienia lub nieistnienia wierzytelności, w tym zasadności lub niezasadności jego dochodzenia przez wierzyciela względem dłużnika. Takie sprawy, zgodnie z art. 1 ustawy z dnia 17 listopada 1964 r. Kodeks postępowania cywilnego (Dz. U. 2016 r., poz. 1822 ze zm.), są sprawami cywilnymi i powinny być rozpatrywane w postępowaniach prowadzonych przez sądy powszechne. Zgodnie z art. 189 tej ustawy, powód może żądać ustalenia przez sąd istnienia lub nieistnienia stosunku prawnego lub prawa, gdy ma w tym interes prawny.
W skardze na powyższą decyzję skierowanej do Wojewódzkiego Sądu Administracyjnego w Warszawie skarżący U. P., E. P. oraz M. P. zarzucili organowi naruszenie:
art. 7 K.p.a. - tj. zasady prawdy obiektywnej, która nakazuje organowi administracji publicznej stać na straży praworządności i z urzędu, a już w szczególności na wniosek strony wyjaśnić wszelkie okoliczności faktyczne, a już na pewno sprawdzić, czy zaistniały przesłanki zastosowania któregokolwiek z enumeratywnie wymienionych w art. 23 ust. 1 ustawy o ochronie danych osobowych kryteriów uprawniających do przetwarzania danych osobowych;
art. 12 K.p.a. - tzw. zasady szybkości i prostoty postępowania - co zostało ewidentnie naruszone, albowiem wyjaśnienie tak prostej sprawy zajęło GIODO ponad 1 rok czasu. Zasada ta zobowiązuje też organ do wnikliwego zbadania sprawy, za który nie można uznać działania GIODO w niniejszej sprawie, albowiem zadanie Bankowi pytań, na które zasadniczo Bank odpowiedział bez poparcia swoich twierdzeń jakimikolwiek dowodami, należy uznać za nieudowodnione. Wbrew jakimkolwiek zasadom postępowania dowodowego, jest przyjęcie na "tzw. słowo" że Bank wysłał dane osobowe skarżących do Kancelarii mając ku temu podstawę, a jednocześnie nie wykazał Bank, ani kiedy faktycznie doszło do ujawnienia danych osobowych, ani kiedy faktycznie zaprzestał ich przetwarzania. Nie wiadomo też w jaki sposób GIODO sprawdził, czy faktycznie Bank zaprzestał przetwarzania danych osobowych skarżących w dniu [...] stycznia 2016, tylko na podstawie "deklaracji" Banku, albowiem do pisma Banku nie są dołączone żadne dowody. Argumentacja Banku jest niespójna z faktami - tj. z tym, że w dniu [...] stycznia 2016 r. zostało sformułowane wezwanie do zapłaty przez Kancelarię Prawną, co stoi w sprzeczności z twierdzeniem że w tym dniu zaprzestał przetwarzania danych osobowych skarżących;
3) art. 23 ust. 1 ustawy o ochronie danych osobowych. Przepis ten wymienia konkretne okoliczności uprawniające administratora dartych do udostępnienia danych osobowych osobie trzeciej. W niniejszym konkretnym przypadku, można rozpatrywać okoliczność wskazaną w pkt 5) tego artykułu tj. "jest to niezbędne dla wypełnienia prawnie usprawiedliwionych celów realizowanych przez administratorów danych albo odbiorców danych, a przetwarzanie nie narusza praw i wolności osoby, której dane dotyczą". Skarżący zarzucili, że w zaskarżonej decyzji GIODO ograniczył się jedynie do uznania i zaakceptowania, że skoro umowa kredytowa była, i że skoro zadłużenie było, to Bank był uprawniony do przekazania danych osobowych. Takie podejście do tematu jest niedopuszczalne i narusza elementarne zasady interpretacyjne przepisów prawnych.
W ocenie skarżących aby uznać, iż zaistniała przesłanka do ujawnienia danych osobowych na podstawie okoliczności wskazanej w art. 23 ust. 1 pkt 5 ustawy należy dokonać subsumpcji stanu faktycznego do prawnego, tj. sprawdzić, czy ujawnienie "jest niezbędne do wypełnienia celów Banku" oraz czy "przetwarzanie nie narusza praw i wolności Klientów Banku". Ocenie powinna zatem podlegać kwestia, czy konieczne było natychmiast po wystosowaniu wezwania do zapłaty - oddawać sprawę do Kancelarii Prawnej, nawet nie czekając, czy samo wezwanie przyniesie skutek, czy nie. Niestety tego istotnego faktu co do czasu/daty zgłoszenia do windykacji, w kontekście, czy w ogóle powstała przesłanka do ujawnienia danych według ustawy o ochronie danych osobowych, GIODO w ogóle nie chciał sprawdzić.
Całokształt dowodów powołanych przez skarżących zmierzał natomiast do udowodnienia, że nie było takiej potrzeby, bo na wezwanie do zapłaty skarżący natychmiast zareagowali i uregulowali swoje niewielkie zadłużenie. Zatem to właśnie rolą GIODO jest ocena, czy w danych okolicznościach "ujawnianie danych było konieczne" i nie ma to nic wspólnego z merytoryczną podstawą istnienia lub nieistnienia długu ani jego wysokością.
GIODO w odpowiedzi na skargę wniósł o jej oddalenie podtrzymując w całości stanowisko wyrażone w uzasadnieniu zaskarżonej decyzji.
Skarżący w piśmie procesowym z dnia 2 stycznia 2019 r., ustosunkowując się do stanowiska przedstawionego w odpowiedzi na skargę, podtrzymali zarzut braku wszechstronnego przeprowadzenia postępowania dowodowego oraz naruszenia przepisów ustawy o ochronie danych osobowych przez organ, przedstawiając w tym zakresie dodatkową argumentację.
Wojewódzki Sąd Administracyjny w Warszawie zważył, co następuje.
Zgodnie z art. 1 § 1 i 2 ustawy z dnia 25 lipca 2002 r. - Prawo o ustroju sądów administracyjnych (Dz. U. z 2016 r. , poz. 1647), sąd administracyjny sprawuje wymiar sprawiedliwości poprzez kontrolę pod względem zgodności z prawem zaskarżonego aktu administracyjnego i to z przepisami obowiązującymi w dacie jego wydania. W konsekwencji, sąd administracyjny nie orzeka co do istoty rzeczy w zakresie danego przypadku, lecz kontroluje zgodność rozstrzygnięcia z prawem materialnym i obowiązującymi przepisami prawa procesowego.
W świetle powyżej określonych kryteriów skarga podlega oddaleniu, gdyż zaskarżona decyzja Generalnego Inspektora Ochrony Danych Osobowych jest zgodna z prawem.
Z treści art. 1 ust. 2 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz.U. z 2016, poz. 922) wynika, iż przysługujące każdemu prawo do ochrony dotyczących go danych osobowych, nie ma charakteru absolutnego, bowiem przetwarzanie danych może mieć miejsce ze względu na dobro publiczne, dobro osoby, której dane dotyczą lub dobro osób trzecich w zakresie i trybie określonym ustawą. Ochrona danych osobowych nie powinna zatem posiadać prymatu pierwszeństwa i funkcjonować w oderwaniu od przepisów służących ochronie innych wartości.
Przepis art. 12 ww. ustawy statuuje główne zadania i kompetencje Generalnego Inspektora Ochrony Danych Osobowych, który pełni zarówno funkcję organu kontrolującego poprawność przetwarzania danych osobowych zgodnie z obowiązującymi przepisami oraz rzecznika interesów poszczególnych osób i interesów publicznych, jak i organu, który w tym zakresie został wyposażony we władcze kompetencje wydawania decyzji administracyjnych i rozpatrywania skarg w sprawach wykonania przepisów o ochronie danych osobowych.
Stosownie do treści art. 7 pkt 2 ww. ustawy, przez przetwarzanie danych osobowych rozumie się jakiekolwiek operacje wykonywane na danych osobowych, takie jak zbieranie, utrwalanie, przechowywanie, opracowywanie, zmienianie, udostępnianie i usuwanie, a zwłaszcza te, które wykonuje się w systemach informatycznych.
W świetle art. 23 ust. 1 ww. ustawy, przetwarzanie danych jest dopuszczalne tylko wtedy, gdy: 1) osoba, której dane dotyczą, wyrazi na to zgodę, chyba że chodzi o usunięcie dotyczących jej danych, 2) jest to niezbędne dla zrealizowania uprawnienia lub spełnienia obowiązku wynikającego z przepisu prawa, 3) jest to konieczne do realizacji umowy, gdy osoba, której dane dotyczą, jest jej stroną lub gdy jest to niezbędne do podjęcia działań przed zawarciem umowy na żądanie osoby, której dane dotyczą, 4) jest niezbędne do wykonania określonych prawem zadań realizowanych dla dobra publicznego, 5) jest to niezbędne dla wypełnienia prawnie usprawiedliwionych celów realizowanych przez administratorów danych albo odbiorców danych, a przetwarzanie nie narusza praw i wolności osoby, której dane dotyczą.
Analiza powyższych przesłanek dopuszczających przetwarzanie danych osobowych prowadzi do wniosku, iż zgoda osoby, której dane dotyczą, będzie zawsze legalizowała przetwarzanie jej danych osobowych przez podmiot, który taką zgodę uzyskał. Natomiast zgoda osoby, której dane dotyczą, na przetwarzanie jej danych osobowych nie jest wymagana wówczas, gdy administrator danych potrafi wskazać przepis prawa legalizujący dokonywanie czynności, o których mowa w art. 7 ust. 2 ustawy.
W rozpoznawanej sprawie skarżący nie kwestionowali istnienia podstawy prawnej legalizującej przetwarzanie ich danych osobowych przez [...] Bank S.A. w związku z realizacją umowy kredytu hipotecznego nominowanego w CHF z dnia [...] stycznia 2000 r. nr [...]. O, a wskazywali jedynie, że brak było podstawy prawnej do przekazania ich danych osobowych przez Bank Kancelarii Prawnej "[...]"[...], sp. k. z siedzibą w W., gdyż wcześniej uregulowali już zaległość jaka powstała z tytułu spłaty kredytu.
W kwestii udostępnienia danych osobowych skarżących przez Bank Kancelarii Prawnej "[...]" wskazać należy, iż ww. przekazanie nastąpiło w oparciu o "Umowę świadczenia usług windykacyjnych" zawartą w dniu [...] marca 2011 r. pomiędzy [...] Bank S.A. , a Kancelarią Prawną "[...]".
Zaznaczyć w tym miejscu należy, iż administrator danych może przetwarzać dane osobowe samodzielnie, nie ma jednak przeszkód, aby w ramach dozwolonych przez prawo rozwiązań korzystał z usług innych podmiotów. Możliwość taką przewiduje art. 31 ustawy o ochronie danych osobowych, zgodnie z którym, administrator danych może powierzyć innemu podmiotowi, w drodze umowy zawartej na piśmie, przetwarzanie danych (ust. 1). Podmiot, o którym mowa w ust. 1. może przetwarzać dane wyłącznie w zakresie i celu przewidzianym w umowie (ust. 2). Podmiot, o którym mowa w ust. 1, jest obowiązany przed rozpoczęciem przetwarzania danych podjąć środki zabezpieczające zbiór danych, o których mowa w art. 36-39, oraz spełnić wymagania określone w przepisach, o których mowa w art. 39a. W zakresie przestrzegania tych przepisów podmiot ponosi odpowiedzialność jak administrator danych (ust. 3). W przypadkach, o których mowa w ust. 1-3, odpowiedzialność za przestrzeganie przepisów niniejszej ustawy spoczywa na administratorze danych, co nie wyłącza odpowiedzialności podmiotu, który zawarł umowę, za przetwarzanie danych niezgodnie z tą umową (ust. 4). Do kontroli zgodności przetwarzania danych przez podmiot o którym mowa w ust. 1 z przepisami o ochronie danych osobowych stosuje się odpowiednio przepisy art. 14-19 (ust. 5).
Ponadto, zgodnie z art. 6a ust. 1 pkt 2 ustawy z dnia 29 sierpnia 1997 r. Prawo bankowe, bank może, w drodze umowy zawartej na piśmie, powierzyć przedsiębiorcy lub przedsiębiorcy zagranicznemu, z zastrzeżeniem art. 6d, wykonywanie czynności faktycznych związanych z działalnością bankową.
W ocenie Sądu, należy zgodzić się z organem, że umowa zawarta w dniu [...] marca 2011 r. pomiędzy [...] Bank S.A., a Kancelarią Prawną "[...]"[...], sp. k. z siedzibą w W., wypełnia przesłanki umowy powierzenia, o której mowa w art. 31 ustawy o ochronie danych osobowych, zarówno z uwagi na jej formę (pisemna), jak i treść (określenie celu, dla realizacji którego będą przetwarzane powierzone dane).
Zgodnie zaś z art. 7 pkt 6 lit. a ustawy o ochronie danych osobowych przez odbiorcę danych rozumie się każdego, komu udostępnia się dane osobowe, z wyłączeniem podmiotów, o których mowa w art. 31 tej ustawy. Administrator danych osobowych powierzając dane osobowe, nie udostępnia ich zatem odbiorcy danych. Do powierzenia danych nie ma tym samym zastosowania art. 23 ust. 1 ustawy, ponieważ nie jest to nowy proces przetwarzania danych osobowych.
Powyższe oznacza, że to Bank, przetwarzając dane osobowe skarżących w celu dochodzenia roszczeń wynikających z umowy kredytowej, był administratorem ich danych ich osobowych, natomiast Kancelaria Prawna "[...]" była podmiotem, któremu powierzono przetwarzanie danych osobowych skarżących, w celu dochodzenia roszczeń Banku.
Przetwarzanie danych osobowych przez Kancelarię Prawną "[...]" w trybie art. 31 ustawy o ochronie danych osobowych było zatem dopuszczalne i zgodne z przepisami tej ustawy.
GIODO nie był natomiast władny oceniać, czy dochodzenie roszczeń przez Bank od skarżących z tytułu zawartej umowy kredytowej było uzasadnione, czy też nie, bowiem przepisy ustawy o ochronie danych osobowych stanowią, że przetwarzanie danych jest dopuszczalne w celu dochodzenia roszczeń na podstawie art. 23 ust. 1 pkt 5 ustawy. Właściwym do rozstrzygania w kwestii istnienia (nieistnienia) zobowiązania z umowy kredytowej, jak słusznie zauważył organ, jest natomiast sąd powszechny.
Odnosząc się do zarzutów skargi kwestionujących prawidłowość przeprowadzonego postępowania administracyjnego wskazać należy, że postępowanie przeprowadzone zostało zgodnie z zasadami określonymi w Kodeksie postępowania administracyjnego, w tym również zgodnie z zasadą z art. 7 K.p.a. Przekroczenie określonych w K.p.a. terminów załatwienia sprawy nie miało natomiast jakiegokolwiek wpływu na prawidłowość wydanego w sprawie rozstrzygnięcia.
Wskazać ponadto należy, że podniesione przez skarżących zarzuty zaniechania przeprowadzenia stosownych dowodów, uznać należy za bezzasadne. Przedmiot postępowania został rzetelnie oceniony przez GIODO przez pryzmat przepisów ustawy o ochronie danych osobowych, z uwzględnieniem zakresu skargi złożonej przez skarżących oraz po dokonaniu kompleksowej analizy całości zgromadzonego materiału dowodowego, który organ uznał za wystarczający do wydania merytorycznej decyzji administracyjnej w zakresie podlegającym jego kompetencjom.
Odwołując się do regulacji art. 18 ust. 1 ustawy należy zaznaczyć, iż GIODO w przypadku naruszenia przepisów o ochronie danych osobowych nakazuje z urzędu lub na wniosek osoby zainteresowanej, w drodze decyzji administracyjnej, przywrócenie stanu zgodnego z prawem, a w szczególności: 1) usunięcie uchybień, 2) uzupełnienie, uaktualnienie, sprostowanie, udostępnienie lub nieudostępnienie danych osobowych, 3) zastosowanie dodatkowych środków zabezpieczających zgromadzone dane osobowe, 4) wstrzymanie przekazywania danych osobowych do państwa trzeciego, 5) zabezpieczenie danych lub przekazanie ich innym podmiotom, 6) usunięcie danych osobowych. W rozpatrywanej sprawie jednak stanu niezgodności z prawem w dacie wydania decyzji nie stwierdzono.
W zaistniałym stanie faktycznym i prawnym pozostałe zarzuty skargi należało uznać za niezasadne. GIODO prawidłowo zastosował przepisy prawa materialnego i oparł swe rozstrzygnięcie na podstawie ustaleń dokonanych w postępowaniu wyjaśniającym przeprowadzonym z poszanowaniem reguł procesowych.
Mając powyższe na uwadze, Wojewódzki Sąd Administracyjny w Warszawie, na podstawie art. 151 ustawy z dnia 30 sierpnia 2002 r. - Prawo o postępowaniu przed sądami administracyjnymi orzekł, jak w sentencji wyroku.