II SA/Wa 474/21

II SA/Wa 474/21 - Wyrok WSA w Warszawie
Data orzeczenia
2021-09-28
orzeczenie nieprawomocne
Data wpływu
2021-02-17
Sąd
Wojewódzki Sąd Administracyjny w Warszawie
Sędziowie
Andrzej Wieczorek /sprawozdawca/
Izabela Głowacka-Klimas
Joanna Kruszewska-Grońska /przewodniczący/
Symbol z opisem
647  Sprawy związane z ochroną danych osobowych
Sygn. powiązane
III OSK 165/22 - Wyrok NSA z 2025-07-10
Skarżony organ
Generalny Inspektor Ochrony Danych Osobowych
Treść wyniku
Uchylono zaskarżoną decyzję
Sentencja
Wojewódzki Sąd Administracyjny w Warszawie w składzie następującym: Przewodniczący Sędzia WSA Joanna Kruszewska - Grońska, Sędzia WSA Izabela Głowacka-Klimas, Sędzia WSA Andrzej Wieczorek (spr.), po rozpoznaniu na posiedzeniu niejawnym w dniu 28 września 2021 r. sprawy ze skarg [...]. z siedzibą w K. oraz Biura Informacji Kredytowej S.A. z siedzibą w W. na decyzję Prezesa Urzędu Ochrony Danych Osobowych z dnia [...] grudnia 2020 r. nr [...] w przedmiocie przetwarzania danych osobowych 1. uchyla zaskarżoną decyzję; 2. zasądza od Prezesa Urzędu Ochrony Danych Osobowych na rzecz [...]. z siedzibą w K. kwotę 200 zł (słownie: dwieście złotych), tytułem zwrotu kosztów postępowania; 3. zasądza od Prezesa Urzędu Ochrony Danych Osobowych na rzecz Biura Informacji Kredytowej S.A. z siedzibą w W.kwotę 697 zł (słownie: sześćset dziewięćdziesiąt siedem złotych), tytułem zwrotu kosztów postępowania.
Uzasadnienie
Prezes Urzędu Ochrony Danych Osobowych (zwany dalej organem/Prezesem UODO) decyzją z dnia [...] grudnia 2020 r.
nr [...] po rozpoznaniu skargi Pana M. T.(Uczestnik), na nieprawidłowości w procesie przetwarzania danych osobowych Uczestnika przez [...]. z siedzibą w K. (zwany dalej Bankiem) i Biuro Informacji Kredytowej S.A. z siedzibą w W. (zwane dalej [...]) nakazał Bankowi i [...] (dalej także jako Skarżący) usunięcie danych osobowych Uczestnika.
Do organu wpłynęła skarga Uczestnika, na nieprawidłowości w procesie przetwarzania jego danych osobowych przez [...] i Bank polegające na przetwarzaniu jego danych osobowych zawartych w zapytaniach kredytowych bez podstawy prawnej.
Prezes UODO ustalił, że:
1. Bank, jak podał Uczestnik, w dniach [...] listopada 2018 r., [...] grudnia 2018 r., [...] stycznia 2019 r. i [...] marca 2019 r., wysłał zapytania kredytowe do [...],
w wyniku czego w bazie [...] przetwarzane są dane osobowe Uczestnika dotyczące tych zapytań. Pomiędzy Uczestnikiem a Bankiem nie doszło do zawarcia umowy. Wobec powyższego Uczestnik wniósł o usunięcie jego danych osobowych przetwarzanych bez podstawy prawnej (dowód: skarga z dnia [...] stycznia 2020 r.).
2. Bank pozyskał dane osobowe Uczestnika bezpośrednio od niego
w związku z zawarciem umów o świadczenie usług bankowych oraz złożonymi
w dniach [...] listopada 2018 r., [...] grudnia 2018 r., [...] stycznia 2019 r. i [...] marca
2019 r. wnioskami kredytowymi. W związku z powyższym pozyskał dane osobowe Uczestnika w zakresie: imię, nazwisko, PESEL, nazwisko rodowe matki, imiona rodziców, data urodzenia, płeć, kraj urodzenia, miejsce urodzenia, data urodzenia, status dewizowy, status podatkowy, obywatelstwo, adres zamieszkania, adres korespondencyjny, adres email, seria i numer dowodu osobistego, numer telefonu komórkowego, stan cywilny, status mieszkaniowy, wykształcenie, liczba osób
w gospodarstwie, koszty gospodarstwa domowego, źródło dochodu, okres osiągania dochodu, dane pracodawcy, zawód wykonywany oraz wysokość dochodu (dowód: wyjaśnienia Banku z dnia [...] lipca 2020 r. wraz z załącznikami).
3. Bank wyjaśnił, że przetwarza obecnie dane osobowe Uczestnika
w związku z zapytaniami kredytowymi w celu oceny zdolności kredytowej na podstawie art. 70 ustawy z dnia 29 sierpnia 1997 r. Prawo bankowe (Dz. U. z 2019 r., poz. 2357, dalej Prawo bankowe) w zakresie: imię, nazwisko, PESEL, data urodzenia, nazwisko rodowe matki, płeć, miejsce urodzenia, status dewizowy, seria
i numer dowodu osobistego i data ważności dowodu osobistego, adres zamieszkania, numer telefonu, adres e-mail, stan cywilny, status mieszkaniowy, wykształcenie, liczba osób w gospodarstwie, koszty gospodarstwa domowego, oświadczenie o dochodach i zobowiązaniach, zawód wykonywany oraz status zatrudnienia. Powyższe dane osobowe będą przetwarzane przez Bank przez okres 3 lat na podstawie art. 118 Ustawy z 23 kwietnia 1964 r. Kodeks cywilny (Dz. U.
z 2020, poz. 1740) (dowód: wyjaśnienia Banku z dnia [...] lipca 2020 r. wraz
z załącznikami).
4. [...] wyjaśnił, że przetwarza obecnie dane osobowe Uczestnika przekazane przez Bank w związku ze złożonymi zapytaniami kredytowymi
w zakresie: imię, nazwisko, numer PESEL, numer i seria dokumentu tożsamości, data urodzenia, płeć, obywatelstwo, dane adresowe oraz dane z wniosku kredytowego dotyczące wnioskowanego kredytu. Powyższe dane osobowe Uczestnika zostały przekazane do [...] przez Bank na podstawie art. 105 ust.4 oraz 105a ust. 1 ustawy z dnia 29 sierpnia 1997 r. Prawa bankowego (Dz.U.2020.1896
t.j. dalej Prawo bankowe) oraz na podstawie łączącej Bank i [...] umowy. [...] przetwarza dane pochodzące z zapytań kredytowych przez okres 12 miesięcy od dnia złożenia zapytania w celu oceny zdolności kredytowej i analizy ryzyka kredytowego konkretnego klienta (indywidualna ocena zdolności kredytowej) oraz
w celu przeciwdziałania przestępstwom oraz wykonywania obowiązków w zakresie określonym w przepisach o przeciwdziałaniu praniu pieniędzy oraz finansowaniu terroryzmu. W przypadku Uczestnika wyżej wymienione zapytania kredytowe nie są przetwarzane w celach opisanych wyżej, ze względu na upływ 12 miesięcy od dnia złożenia zapytań. [...] wskazał, że będzie przetwarzał dane osobowe uczestnika w związku ze złożonymi zapytaniami kredytowymi w celu budowy modeli scoringowych tj. narzędzi wykorzystywanych przez banki do oceny zdolności kredytowej i analizy ryzyka kredytowego przez okres 5 lat od dnia złożenia zapytania, w celu statystycznym i analiz przez okres nie dłuższy niż 10 lat od dnia przekazania zapytania do [...], w celu rozpatrywania ewentualnych reklamacji i roszczeń odszkodowawczych – do momentu przedawnienia potencjalnych roszczeń wynikających z zapytań oraz w celu wypełnienia obowiązku wynikającego z art. 15 Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (Dziennik Urzędowy Unii Europejskiej, L 119, 4 maja 2016), zwanego dalej RODO, w przypadku wystąpienia przez osobę, której dane dotyczą
z wnioskiem o udzielenie informacji (dowód: wyjaśnienia [...] z dnia [...] czerwca
2020 r.).
5. Uczestnik zwrócił się do Banku oraz [...] o usunięcie jego danych osobowych przetwarzanych w związku ze złożonymi wnioskami kredytowymi. Powyższe podmioty odmówiły usunięcia danych osobowych uczestnika (dowód: wyjaśnienia Banku z dnia [...] lipca 2020 r. wraz z załącznikami, wyjaśnienia [...] z dnia [...] czerwca 2020 r. wraz załącznikami).
Uczestnik złożył do Prezesa UODO skargę, na nieprawidłowości w procesie przetwarzania jego danych osobowych przez [...] i Bank.
Analizując sprawę Prezes UODO wskazał, że przepisem uprawniającym administratorów danych do przetwarzania zwykłych danych osób fizycznych jest art. 6 ust. 1 RODO, zgodnie z którym, przetwarzanie danych jest dopuszczalne tylko wtedy, gdy spełniona jest jedna z przesłanek wskazanych w tym przepisie. Katalog przesłanek wymienionych w art. 6 ust. 1 RODO, jest zamknięty. Każda z przesłanek legalizujących proces przetwarzania danych osobowych ma charakter autonomiczny i niezależny. Dodatkowo podniósł, że proces przetwarzania danych osobowych musi być zgodny z zasadami ustanowionymi w art. 5 ust. 1 RODO. Wskazał, że do zasad tych zalicza się między innymi ograniczenie celu (art. 5 ust. 1 lit. b RODO) oraz minimalizację danych (art. 5 ust. 1 lit. c RODO). Wspomniane zasady wymagają, by dane osobowe były zbierane w konkretnych, wyraźnych i prawnie uzasadnionych celach i nieprzetwarzane dalej w sposób niezgodny z tymi celami, a proces przetwarzania danych osobowych był adekwatny, stosowny oraz ograniczony do tego, co niezbędne do celów, w których są przetwarzane.
Podniósł, że podstawą prawną przetwarzania danych osobowych klientów przez Bank i [...] jest obecnie art. 6 ust. 1 lit. f RODO, tj. przetwarzanie jest niezbędne do celów wynikających z prawnie uzasadnionych interesów realizowanych przez administratora.
Wskazał, że [...] jest instytucją utworzoną na podstawie art. 105 ust. 4 Prawa bankowego, który stanowi, że banki mogą, wspólnie z bankowymi izbami gospodarczymi, utworzyć instytucje upoważnione do gromadzenia, przetwarzania
i udostępniania bankom informacji stanowiących tajemnicę bankową w zakresie,
w jakim informacje te są potrzebne w związku z wykonywaniem czynności bankowych oraz w związku ze stosowaniem metod wewnętrznych oraz innych metod i modeli, o których mowa w części trzeciej rozporządzenia nr 575/2013, innym instytucjom ustawowo upoważnionym do udzielania kredytów informacji stanowiących tajemnicę bankową w zakresie, w jakim informacje te są niezbędne
w związku z udzielaniem kredytów, pożyczek pieniężnych, gwarancji bankowych
i poręczeń (pkt 2), instytucjom kredytowym informacji stanowiących tajemnicę bankową w zakresie niezbędnym do oceny zdolności kredytowej konsumenta,
o której mowa w art. 9 ustawy z dnia 12 maja 2011 r. o kredycie konsumenckim (Dz.U.2019.1083 t.j.; zwana dalej ustawą o kredycie konsumenckim), instytucjom pożyczkowym i podmiotom, o których mowa w art. 59d ustawy o kredycie konsumenckim na zasadzie wzajemności, informacji stanowiących odpowiednio tajemnice bankową oraz informacje udostępnione przez instytucje pożyczkowe oraz podmioty, o których mowa w art. 59 d ustawy o kredycie konsumenckim, w zakresie niezbędnym do oceny zdolności kredytowej konsumenta, o której mowa w art. 9 tej ustawy, i analizy ryzyka kredytowego (pkt 4).
Jak podał organ, zgodnie z art. 105a ust. 1 Prawa bankowego, przetwarzanie przez banki, inne instytucje ustawowo upoważnione do udzielania kredytów, instytucje pożyczkowe oraz podmioty, o których mowa wart. 59d ustawy o kredycie konsumenckim, a także instytucje utworzone na podstawie art. 105 ust. 4, informacji stanowiących tajemnicę bankową i informacji udostępnionych przez instytucje pożyczkowe oraz podmioty, o których mowa w art. 59d ustawy z dnia 12 maja 2011 r. o kredycie konsumenckim, w zakresie dotyczącym osób fizycznych może być wykonywane, z zastrzeżeniem art. 104, 105 i art. 106 - 106d Prawa bankowego
w celu oceny zdolności kredytowej i analizy ryzyka kredytowego. Zgodnie zaś
z art. 105a ust. 4 Prawa bankowego banki oraz instytucje, o których mowa w art. 105 ust. 4, mogą przetwarzać stanowiące tajemnicę bankową informacje dotyczące osoby fizycznej po wygaśnięciu zobowiązania wynikającego z umowy zawartej
z bankiem lub inną instytucją ustawowo upoważnioną do udzielania kredytów bez zgody osoby, której informacje dotyczą, do celów stosowania metod wewnętrznych oraz innych metod i modeli, o których mowa w części trzeciej rozporządzenia
nr 575/2013. Stosownie zaś do art. 105a ust. 5 Prawa bankowego przetwarzanie informacji stanowiących tajemnicę bankową w przypadkach, o których mowa w ust. 3, może być wykonywane przez okres nie dłuższy niż 5 lat od dnia wygaśnięcia zobowiązania, a w przypadku, o którym mowa w ust. 4, przez okres 12 lat od dnia wygaśnięcia zobowiązania.
Ponadto stosownie do art. 70 ust. 1 Prawa bankowego, bank uzależnia przyznanie kredytu od zdolności kredytowej kredytobiorcy. Przez zdolność kredytową rozumie się zdolność do spłaty zaciągniętego kredytu wraz z odsetkami w terminach określonych w umowie.
Organ wskazał, że Uczestnik w dniach [...] listopada 2018 r., [...] grudnia 2018 r., [...] stycznia 2019 r. i [...] marca 2019 r. wystąpił do Banku z wnioskami o udzielenie kredytu. Wobec czego Bank oraz [...], na podstawie art. 105 a ust. 1 Prawa bankowego w zw. z art. 70 ust. 1 tej ustawy, były uprawnione do przetwarzania danych osobowych Uczestnika w celu oceny zdolności kredytowej. Organ podkreślił, że nie doszło do zawarcia umowy kredytu pomiędzy Uczestnikiem a Bankiem.
W związku z powyższym odpadła przesłanka legalizująca dalsze przetwarzanie danych osobowych Uczestnika przez Bank oraz [...]. Przesłanki zawarte w art. 105 a Prawa bankowego zdaniem organu dotyczą przetwarzania informacji objętych tajemnicą bankową w okresie przed powstaniem zobowiązania, w trakcie jego trwania oraz po wygaśnięciu zobowiązania. Zauważył, że pomiędzy Bankiem
a Uczestnikiem nie zawiązał się żaden stosunek zobowiązaniowy, który stosownie
do art. 105 a ust. 1-6 Prawa bankowego dawałby podstawę do dalszego przetwarzania danych osobowych Uczestnika.
Podkreślił, że celem przetwarzania danych osobowych Uczestnika była ocena zdolności kredytowej i analizy ryzyka kredytowego. W związku z dokonaniem przez Bank oceny zdolności kredytowej i analizy ryzyka kredytowego ww. cel przetwarzania danych osobowych Uczestnika został zrealizowany i brak jest podstaw prawnych
do kontynuowania tego procesu.
Organ stwierdził, że jego stanowisko jest prawidłowe i powołał się
na orzeczenie Naczelnego Sądu Administracyjnego z dnia 27 sierpnia 2019 r., sygn. akt I OSK 2567/17, zgodnie z którym cyt.: "(...) cel oceny zdolności kredytowej stanowi ocena zdolności do spłaty zaciągniętego kredytu wraz z odsetkami, co ma charakter czynności wstępnej do zawarcia stosownej umowy. Dalsze przetwarzanie danych uzyskanych w celu oceny zdolności kredytowej, w przypadku nie zawarcia stosownej umowy pozostawałaby w oderwaniu od celu dla którego dane te uzyskano. (...) niedopuszczalne jest przetwarzanie danych osobowych na przyszłość, a także na potrzeby budowy oceny zdolności kredytowej innych podmiotów, jeżeli nie można zrekonstruować wyraźnej podstawy prawnej takich działań.".
W ocenie organu za podstawę przetwarzania danych osobowych Uczestnika, nie mogą być uznane wskazane przez [...] cele statystyczne i analizy, w tym cel stosowania metod wewnętrznych oraz innych metod i modeli, o których mowa
w części trzeciej rozporządzenia nr 575/2013. Podkreślił, że powołany przez [...]
art. 105a ust. 4 Prawa bankowego daje podstawy do przetwarzania informacji dotyczących osoby fizycznej stanowiących tajemnicę bankową po wygaśnięciu zobowiązania wynikającego z umowy zawartej z bankiem lub inną instytucją ustawowo upoważnioną do udzielania kredytów bez zgody osoby, której te informacje dotyczą.
Podkreślił, że w przedmiotowej sprawie nie doszło do zawarcia umowy kredytu pomiędzy Uczestnikiem a Bankiem, a zatem nie powstał żaden stosunek zobowiązaniowy, o którym mowa w powyższym przepisie.
Odnosząc się do powołanego zarówno przez Bank, jak i przez [...], celu utrzymywania danych osobowych, dochodzenia lub obrony roszczeń wskazał, że zebrany w niniejszym postępowaniu materiał dowodowy nie wykazał, aby Uczestnik wystąpił z jakimkolwiek roszczeniem wobec Banku czy [...], które uzasadniałoby uprawnienie tych podmiotów do zachowania i przetwarzania danych osobowych Uczestnika dla celów dowodowych w związku z dochodzeniem przez niego tego roszczenia.
Prezes UODO podniósł, że podziela stanowisko Wojewódzkiego Sądu Administracyjnego w Warszawie, odnoszące się do analogicznej do art. 6 ust. 1 lit. f RODO przesłanki wynikającej z art. 23 ust. 1 pkt 5 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. 2016 r. poz. 922 ze zm.), dotyczącej dopuszczalności przetwarzania danych osobowych dla wypełnienia prawnie usprawiedliwionych celów realizowanych przez administratorów danych albo odbiorców danych, gdy przetwarzanie nie narusza praw i wolności osoby, której dane dotyczą. Sąd ten w wyroku z dnia 1 grudnia 2010 r. w sprawie o sygn. akt II SA/Wa 1212/10 (LEX nr 755113) orzekł, cyt.: "W niniejszej sprawie, organ podniósł,
iż skarżący kierował pod adresem spółki zastrzeżenia odnośnie legalności przetwarzania jego danych i zapowiedzi skierowania sprawy na drogę sądową. Stąd też spółka uprawniona była do utrwalenia danych skarżącego i zachowania ich dla celów dowodowych na wypadek dochodzenia przez skarżącego ewentualnych roszczeń. Zdaniem Sądu, powyższe okoliczności nie wypełniają przesłanki prawnie usprawiedliwionych celów przetwarzania danych skarżącego. Należy bowiem zwrócić uwagę, iż przesłanka z art. 23 ust. 1 pkt 5 ustawy dotyczy sytuacji już istniejącej
i pewnej, a więc przypadku, gdy istnieje potrzeba udowodnienia, potrzeba dochodzenia roszczenia z tytułu prowadzonej działalności gospodarczej, nie zaś sytuacji, gdy dane są przetwarzane na wypadek ewentualnego procesu i ewentualnej potrzeby udowodnienia, iż dane osobowe pozyskane bez zgody osoby, której dotyczą są przetwarzane zgodnie z prawem. Należy również podkreślić, iż skarżący jedynie zapowiedział i nie zrealizował swoich zapowiedzi odnośnie skierowania sprawy na drogę sądową. Stąd też spółka, zdaniem Sądu, nie może przetwarzać danych osobowych skarżącego tylko w celu zabezpieczenia się przed ewentualnym przyszłym i niepewnym roszczeniem skarżącego. W przeciwnym bowiem razie może pojawić się wątpliwość jak długo należy przetwarzać dane osobowe skarżącego jeżeli nie zrealizuje on swoich zapowiedzi." Organ podkreślił, że przy przyjęciu odmiennej interpretacji ww. przepisów, Uczestnik zostałby pozbawiony ochrony na gruncie RODO oraz ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych (Dz. U. z 2019 r., poz. 1781). Zdaniem organu przyjęcie za prawidłowe stanowiska, iż przetwarzanie danych osobowych w celu uchylenia się od negatywnych skutków
w przypadku zgłoszenia w przyszłości ewentualnego i nieokreślonego roszczenia, stanowi prawnie usprawiedliwiony cel w rozumieniu art. 6 ust. 1 lit. f RODO, oznaczałoby, że dane osobowe Uczestnika mogą być przetwarzane przez [...] permanentnie, bez konieczności ich usunięcia. Teoretycznie możliwym jest, jak podał organ, by Uczestnik zwrócił się do Banku lub [...] z roszczeniem po upływie terminu przedawnienia roszczenia. Prowadziłoby to tym samym do uznania, że przetwarzanie danych osobowych ww. przez Bank i [...] ma uzasadnienie w przesłance określonej art. 6 ust. 1 lit. f RODO w celu realizacji prawa do obrony przed ewentualnym roszczeniem Uczestnika również po upływie ww. terminu.
Organ podkreślił, że brak jest uzasadnienia dla przyjęcia, że [...] jest uprawniony do przetwarzania danych osobowych w związku z koniecznością ewentualnego wypełnienia obowiązku wynikającego z art. 15 RODO. Skoro bowiem Uczestnik zażądał usunięcia jego danych osobowych na podstawie art. 17 ust. 1 RODO, w ocenie organu należy przyjąć, że nie jest on zainteresowany realizacją prawa do dostępu do przetwarzanych jego danych osobowych. Ponadto usunięcie przez administratora danych osobowych nie uniemożliwia mu wykonania obowiązku uregulowanego w art. 15 RODO, gwarantującego osobie, której dane dotyczą, prawa do uzyskania od administratora informacji, czy jej dane są przetwarzane,
a w przypadku pozytywnej odpowiedzi na tak postawione pytanie – uprawnienie
do dostępu do danych na swój temat oraz uzyskania informacji o okolicznościach przetwarzania danych. Jeśli bowiem, administrator nie przetwarza danych dotyczących osoby, która zwraca się z żądaniem udzielenia informacji, to działanie administratora ogranicza się do odpowiedzi przeczącej i nie ma on obowiązku podawać podmiotowi danych innych informacji.
Wobec powyższego, organ stwierdził, że w niniejszej sprawie brak jest celu uzasadniającego dalsze przetwarzanie danych osobowych Uczestnika zawartych
w przedmiotowych zapytaniach kredytowych zarówno przez Bank, jak i przez [...]. Uznał, że w odniesieniu do kwestionowanego przez Uczestnika przetwarzania jego danych osobowych przez Bank i [...] nie zaistniała żadna z wyrażonych w art. 6 ust. 1 RODO przesłanka, która stanowiłaby o legalności tego procesu. Dlatego też korzystając z uprawnienia przewidzianego w art. 58 ust. 2 lit. c RODO, Prezes UODO nakazał Bankowi i [...], będących administratorami, usunięcie danych osobowych Uczestnika przetwarzanych w związku ze złożonymi zapytaniami kredytowymi z dnia [...] listopada 2018 r., [...] grudnia 2018 r., [...] stycznia 2019 r. i [...] marca 2019 r.
W tym stanie faktycznym i prawnym, Prezes UODO rozstrzygnął, jak
w sentencji.
Skargę na powyższą decyzję wnieśli do Wojewódzkiego Sądu Administracyjnego w Warszawie Skarżący, zarzucając:
1) naruszenie przepisów postępowania, które miało istotny wpływ na wynik sprawy, tj. art. 7 w związku z art. 77 i art. 80 ustawy z dnia 14 czerwca 1960 r. - Kodeks postępowania administracyjnego (t.j. Dz. U. z 2020 r. poz. 256, dalej: "Kpa."), polegające na niewyczerpującym zebraniu i rozpatrzeniu całego materiału dowodowego i niepodjęciu wszelkich kroków niezbędnych do dokładnego wyjaśnienia stanu faktycznego i załatwienia sprawy, co skutkowało nakazem usunięcia danych osobowych Uczestnika przez Bank oraz [...] w zakresie wskazanym w zaskarżonej decyzji;
2) naruszenie art. 7 w zw. z art. 77, art. 80 oraz art. 107 ust. 1 pkt 5 Kpa. polegające na:
a) niepodjęciu wszelkich niezbędnych czynności koniecznych do dokładnego wyjaśnienia i załatwienia sprawy, co w stosunku do Banku skutkowało także
b) naruszeniem art. 107 ust. 1 pkt 5 Kpa., bowiem nie jest jasne, jakie dane osobowe i w jakim celu przetwarzane przez Bank, Prezes UODO uważa za pozostające "w związku z zapytaniami kredytowymi", które to zapytania zostały przesłane przez Bank do [...] w datach wskazanych w decyzji;
3) naruszenie przepisów postępowania, które miało istotny wpływ na wynik sprawy, tj. art. 7b Kpa., polegające na zaniechaniu zwrócenia się do Komisji Nadzoru Finansowego jako organu właściwego w sprawach związanych m.in.
z badaniem zdolności kredytowej i analizą ryzyka kredytowego, a także budową modeli scoringowych w zakresie wykorzystywania do realizacji tych zadań danych,
w tym danych osobowych o niezrealizowanych zapytaniach kredytowych;
4) naruszenie przepisów postępowania, które miało istotny wpływ na wynik sprawy, tj. art. 8 Kpa., polegające na odstąpieniu przez organ bez uzasadnionej przyczyny od utrwalonej praktyki rozstrzygania spraw w takim samym stanie faktycznym i prawnym, co z kolei narusza zasadę pogłębiania zaufania obywateli do władzy publicznej;
5) naruszenie prawa materialnego, które miało wpływ na wynik sprawy,
tj. art. 6 ust. 1 lit. c Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (Dz. Urz. UE L 119 z 4.5.2016, str. 1, ze zm., dalej: "RODO") w zw. z art. 105 ust. 4 Prawa bankowego, polegające na jego niewłaściwym zastosowaniu i przyjęciu, że Bank oraz [...] nie legitymują się przesłanką przetwarzania danych wynikającą z art. 6 ust. 1 lit. c RODO w związku
z art. 105 ust. 4 Prawo bankowe, podczas gdy przepisy te nakładają na Skarżących obowiązek przetwarzania danych osobowych, w tym danych z zapytań kredytowych przekazanych przez banki i inne instytucje wymienione w art. 105 ust. 4 Prawa bankowego na zasadzie wzajemności i w zakresie, w jakim informacje te potrzebne są bankom do wykonywania czynności bankowych, w tym oceny zdolności kredytowej i analizy ryzyka kredytowego oraz innym instytucjom (instytucjom pożyczkowym) w zakresie niezbędnym do oceny zdolności kredytowej i analizy ryzyka kredytowego;
6) naruszenie prawa materialnego, które miało wpływ na wynik sprawy,
tj. art. 6 ust. 1 lit. f RODO w związku z Rekomendacjami S, W i T Komisji Nadzoru Finansowego, polegające na jego niewłaściwym zastosowaniu i przyjęciu, że Skarżący nie legitymują się przesłanką przetwarzania danych wynikającą z art. 6
ust. 1 lit. f RODO w związku z Rekomendacjami S, W i T Komisji Nadzoru Finansowego, podczas gdy przepisy te nakładają na banki, a w konsekwencji także na [...], jako instytucję gromadzącą dane służące do oceny zdolności kredytowej oraz budującą modele scoringowe służące bankom, określone wymagania, które następnie podlegają egzekwowaniu przez Komisję Nadzoru Finansowego na podstawie bezwzględnie obowiązujących przepisów prawa;
7) naruszenie prawa materialnego, które miało wpływ na wynik sprawy,
tj. art. 6 ust. 1 lit. c RODO w związku z art. 105 ust. 4 pkt 1, art. 5 ust. 1 pkt 3 oraz art. 70 ust. 1 Prawa bankowego, polegające na jego niewłaściwym zastosowaniu
i przyjęciu, że Skarżący nie legitymują się przesłankami przetwarzania danych wynikającą z art. 6 ust. 1 lit. c RODO w związku z art. 105 ust. 4 pkt 1 Prawa bankowego, podczas gdy Skarżący wykazali cel przetwarzania danych osobowych polegający na dostarczaniu bankom informacji (w tym ocen i modeli scoringowych) niezbędnych do wykonywania czynności bankowych (art. 5 ust. 1 pkt 3 Prawa bankowego), w tym udzielania kredytów, przy czym ocena zdolności kredytowej jest obowiązkiem banków (art. 70 ust. Prawa bankowego);
8) naruszenie prawa materialnego, które miało wpływ na wynik sprawy, tj. art. 6 ust. 1 lit. c RODO w związku z art. 105a ust. 1-lc ustawy Prawa bankowego, polegające na jego niewłaściwym zastosowaniu i przyjęciu, że Skarżący nie legitymują się przesłanką przetwarzania danych wynikającą z art. 6 ust. 1 lit. c RODO w związku z art. 105a ust. 1-1c Prawa bankowego, podczas gdy Skarżący wykazali cel przetwarzania danych osobowych polegający na przekazywaniu bankom, w tym [...]. będącemu stroną tego postępowania, informacji niezbędnych do oceny zdolności kredytowej i analizy ryzyka kredytowego;
9) naruszenie prawa materialnego, które miało wpływ na wynik sprawy, tj. art. 6 ust. 1 lit. c RODO w związku z art. 106d Prawa bankowego, polegające na jego niewłaściwym zastosowaniu i przyjęciu, że [...] nie legitymuje się przesłanką przetwarzania danych wynikającą z art. 6 ust. 1 lit. c RODO w związku z art. 106d Prawa bankowego, podczas gdy wykazuje on cel przetwarzania danych osobowych polegający na analizie danych podanych we wnioskach kredytowych i analizie zapytań kredytowych złożonych w [...] w określonym czasie w celu wykrycia nieścisłości oraz powzięcia informacji mogących stanowić o uzasadnionym podejrzeniu popełnienia przestępstw, o których mowa w art. 106d Prawa bankowego;
10) naruszenie prawa materialnego, które miało wpływ na wynik sprawy, tj. art. 6 ust. 1 lit. c RODO w związku z art. 106d ust. 1 pkt 3 Prawa bankowego, art. 33 ust. 2, art. 33 ust. 3 pkt 6, art. 34 ust. 1 pkt 4, art. 36, art. 46 oraz art. 49 ust. 1 ustawy z dnia 1 marca 2018 r. o przeciwdziałaniu praniu pieniędzy oraz finansowaniu terroryzmu (t.j. Dz. U. z 2020 r. poz. 971, dalej: "ustawa AML"), polegające na jego niewłaściwym zastosowaniu i przyjęciu, że Skarżący nie legitymuje się przesłanką przetwarzania danych wynikającą z art. 6 ust. 1 lit. c RODO w związku z art. 106d ust. 1 pkt 3 Prawa bankowego, art. 33 ust. 2, art. 33 ust. 3 pkt 6, art. 34 ust. 1 pkt 4, art. 36, art. 46 oraz art. 49 ust. 1 ustawy AML, podczas gdy przepisy te nakładają na banki i BIK obowiązek przetwarzania danych osobowych w celu zapewnienia bezpieczeństwa obrotu gospodarczego poprzez przeprowadzenie szczegółowego badania na temat klientów, w tym przyszłych klientów, jak i badania powiązań kapitałowo-osobowych, w tym w zakresie danych dostarczanych przez Skarżącego;
11) naruszenie prawa materialnego, które miało wpływ na wynik sprawy, tj. art. 6 ust. 1 lit. c RODO w związku z art. 144 ust. 1 lit. d, art. 145 ust. 1, art. 170 ust. 3 lit a, art. 171 ust. 2 i art. 179 ust 1 lit. a Rozporządzenia Parlamentu Europejskiego
i Rady nr 575/2013 z dnia 26 czerwca 2013 r. w sprawie wymogów ostrożnościowych dla instytucji kredytowych i firm inwestycyjnych, zmieniające rozporządzenie (UE) nr 648/2012 (Dz. Wk Urz. UE L 2013 Nr 176, str. 1, dalej jako "CRR"), polegające na jego niewłaściwym zastosowaniu i przyjęciu, że Skarżący nie legitymuje się przesłanką przetwarzania danych wynikającą z art. 6 ust. 1 lit. c RODO w związku z powyższymi przepisami CRR wskazującymi na określone obowiązki w zakresie wymogów ostrożnościowych;
12) naruszenie prawa materialnego, które miało wpływ na wynik sprawy, tj. art. 6 ust. 1 lit. c RODO w związku z art. 70a ust. 1 i 2 Prawa bankowego, polegające na jego niewłaściwym zastosowaniu i przyjęciu, że Skarżący nie legitymuje się podstawą prawną przetwarzania danych osobowych, podczas gdy przepisy te nakładają na banki obowiązek wyjaśniania decyzji kredytowych, a wyjaśnienie to musi obejmować dane przetwarzane i dostarczane przez Skarżącego;
13) naruszenie prawa materialnego, które miało wpływ na wynik sprawy, tj. art. 6 ust. 1 lit. f RODO w związku z art. 117 § 2 i § 2\ 118 i 119 ustawy z dnia 23 kwietnia 1964 r. - Kodeks cywilny (t.j. Dz.U. z 2020 r. poz. 1740, dalej: "Kodeks cywilny").
W uzasadnieniach skarg Bank i [...] rozwinęli argumentację towarzyszącą postawionym w nich zarzutom.
W związku z powyższym wnieśli o uchylenie zaskarżonej decyzji w całości.
W odpowiedzi na skargę organ podtrzymał stanowisko.
Wojewódzki Sąd Administracyjny w Warszawie zważył, co następuje:
Wojewódzki Sąd Administracyjny w Warszawie (zwany dalej WSA
w Warszawie) postanowieniem z dnia 28 września 2021 r. sygn. akt II SA/Wa 475/21 połączył sprawę ze skargi Banku (sygn. akt II SA/Wa 474/21) oraz [...] (sygn. akt
II SA/Wa 475/21) do łącznego rozpoznania i rozstrzygnięcia oraz prowadzenia pod sygnaturą II SA/Wa 474/21.
Skargi zasługują na uwzględnienie.
Przedmiotem skarg jest decyzja organu z dnia [...] grudnia 2020 r.
nr [...] w przedmiocie nakazania usunięcie przez Bank i [...] danych osobowych Uczestnika.
Dokonując kontroli legalności zaskarżonej decyzji, w świetle kryteriów opisanych w ustawie z dnia 30 sierpnia 2002 r. Prawo o postępowaniu przed sądami administracyjnymi (t.j. Dz.U. z 2019 r., poz. 2325 ze zm.; dalej p.p.s.a.),
Sąd dopatrzył się w działaniu organu rozstrzygającego w niniejszej sprawie nieprawidłowości, zarówno, gdy idzie o ustalenie stanu faktycznego sprawy, jak i o zastosowanie do jego oceny przepisów prawa. Zdaniem Sądu nie zostały wyjaśnione motywy podjętego rozstrzygnięcia, a przytoczona na ten temat argumentacja nie jest wyczerpująca.
Skarżący w dniach [...] listopada 2018 r., [...] grudnia 2018 r., [...] stycznia 2019 r. i [...] marca 2019 r. wystąpił do Banku z wnioskami o udzielenie kredytu.
Jest niesporne, że:
1) Bank pozyskał dane osobowe Uczestnika bezpośrednio od niego,
a dane te pozyskano w związku z czynnościami bankowymi, wśród których były także wnioski o zawarcia umów kredytowych. W związku z tymi wnioskami Bank na podstawie art. 105 ust. 4 oraz 105a ust. 1 ustawy Prawo bankowe oraz na podstawie łączącej Bank i [...] umowy przekazał dane osobowe Uczestnika do [...].
2) [...] uznaje, że przetwarza dane osobowe pochodzące z zapytań kredytowych przez okres 12 miesięcy od dnia złożenia zapytania w celu oceny zdolności kredytowej i analizy ryzyka kredytowego konkretnego klienta (indywidualna ocena zdolności kredytowej). Wyjaśnił, że przetwarza dane osobowe Uczestnika pozyskane w związku ze złożonymi zapytaniami kredytowymi w celu budowy modeli scoringowych, tj. narzędzi wykorzystywanych przez banki do oceny zdolności kredytowej i analizy ryzyka kredytowego przez okres 5 lat od dnia złożenia zapytania, w celu statystycznym i analiz przez okres nie dłuższy niż 10 lat od dnia przekazania zapytania do [...], w celu rozpatrywania ewentualnych reklamacji i roszczeń odszkodowawczych - do momentu przedawnienia potencjalnych roszczeń wynikających z zapytań oraz w celu wypełnienia obowiązku wynikającego z art. 15 RODO w przypadku wystąpienia z wnioskiem o udzielenie informacji przez osobę, której dane dotyczą.
Uczestnik zwrócił się do Banku oraz do [...] o usunięcie jego danych osobowych w bazie prowadzonej przez Skarżących, które to dane zostały przekazane właśnie w związku ze złożonymi wnioskami kredytowymi. Bank i [...] odmówiły zrealizowania wniosku.
Uczestnik wniósł skargę do Prezesa UODO, który wydał zaskarżoną decyzję.
Faktem niespornym jest, że ww. decyzją Prezes UODO nakazał Bankowi i [...] usunięcie danych osobowych Uczestnika przetwarzanych w związku z zapytaniami kredytowymi z dnia [...] listopada 2018 r., [...] grudnia 2018 r., [...] stycznia 2019 r. oraz [...] marca 2019 r.
Prezes UODO nie zakwestionował przetwarzania danych osobowych ani przez Bank ani [...] w związku ze złożeniem i rozpatrzeniem wniosków kredytowych.
Zgodnie z art. 105a ust. 1 Prawa bankowego, przetwarzanie przez banki, inne instytucje ustawowo upoważnione do udzielania kredytów, instytucje pożyczkowe oraz podmioty, o których mowa w art. 59d ustawy o kredycie konsumenckim, a także instytucje utworzone na podstawie art. 105 ust. 4, informacji stanowiących tajemnicę bankową i informacji udostępnionych przez instytucje pożyczkowe oraz podmioty, o których mowa w art. 59d ustawy o kredycie konsumenckim, w zakresie dotyczącym osób fizycznych może być wykonywane, z zastrzeżeniem art. 104, 105 i art. 106 - 106d Prawa bankowego w celu oceny zdolności kredytowej i analizy ryzyka kredytowego. Zgodnie zaś z art. 105a ust. 4 Prawa bankowego banki oraz instytucje, o których mowa w art. 105 ust. 4, mogą przetwarzać stanowiące tajemnicę bankową informacje dotyczące osoby fizycznej po wygaśnięciu zobowiązania wynikającego
z umowy zawartej z bankiem lub inną instytucją ustawowo upoważnioną do udzielania kredytów bez zgody osoby, której informacje dotyczą, do celów stosowania metod wewnętrznych oraz innych metod i modeli, o których mowa
w części trzeciej rozporządzenia nr 575/2013. Stosownie zaś do art. 105a ust. 5 Prawa bankowego przetwarzanie informacji stanowiących tajemnicę bankową
w przypadkach, o których mowa w ust. 3, może być wykonywane przez okres nie dłuższy niż 5 lat od dnia wygaśnięcia zobowiązania, a w przypadku, o którym mowa w ust. 4, przez okres 12 lat od dnia wygaśnięcia zobowiązania.
Stosownie do art. 70 ust. 1 Prawa bankowego, bank uzależnia przyznanie kredytu od zdolności kredytowej kredytobiorcy. Przez zdolność kredytową rozumie się zdolność do spłaty zaciągniętego kredytu wraz z odsetkami w terminach określonych w umowie.
Jak wskazano wyżej w następstwie złożenia przez Uczestnika wniosków kredytowych Bank oraz [...] byli uprawnieni w świetle art. 105a ust. 1 Prawa bankowego do przetwarzania danych osobowych wnioskodawcy w celu oceny jego zdolności kredytowej. Postanowienia art. 105a ust. 1 Prawa bankowego dotyczą przetwarzania informacji objętych tajemnicą bankową zarówno w okresie przed powstaniem, jak i w okresie istnienia zobowiązania osoby fizycznej.
W niniejszym stanie faktycznym nie doszło do zawarcia umowy kredytowej,
w tym też zakresie należy rozważyć czy odpadła przesłanka legalizująca dalsze przetwarzanie przez Bank i [...] danych osobowych Uczestnika. Pomiędzy Uczestnikiem a Bankiem nie zawiązał się, w następstwie złożenia wniosku kredytowego, żaden stosunek zobowiązaniowy. W związku z powyższym zasadne jest pytanie czy w świetle przepisów art. 105a ust. 1-6 Prawa bankowego nadal istniej podstawa do dalszego przetwarzania danych osobowych Uczestnika przez Skarżących – strony tego postępowania.
Zdaniem Sądu w tym stanie faktycznym przedmiot sporu ogranicza się do ustalenia:
a) celu i okresu przetwarzania danych Uczestnika o zapytaniach kredytowych przez [...] - gdy planowana umowa kredytowa nie doszła do skutku,
i odpowiednio wobec Banku;
b) celu i okresu przetwarzania przez Bank danych osobowych Uczestnika, które to dane zostały umieszczone w zapytaniach kredytowych.
Należy zauważyć, że adresatami zaskarżonej decyzji jest zarówno [...],
jak i Bank.
W ocenie Sądu stosownie do z art. 7 Kpa. w toku postępowania organy administracji publicznej stoją na straży praworządności, z urzędu lub na wniosek stron podejmują wszelkie czynności niezbędne do dokładnego wyjaśnienia stanu faktycznego oraz do załatwienia sprawy, mając na względzie interes społeczny
i słuszny interes obywateli. Zgodnie z art. 77 § 1 Kpa. organ jest obowiązany
w sposób wyczerpujący zebrać i rozpatrzyć cały materiał dowodowy. Zebranie materiału dowodowego polega nie tylko na przyjęciu wyjaśnień od stron, ale też aktywnym poszukiwaniu przez organ informacji dotyczących stanu faktycznego, które mogą mieć wpływ na wynik sprawy.
W tym stanie rzeczy nie jest sporne uprawnienie Skarżących do przetwarzania danych zgodnie z art. 70 Prawa bankowego, tj. w celu analizy zdolności kredytowej wnioskodawcy. Niemniej jednak dokonana analiza jest tylko analizą Banku, bowiem informacja o złożeniu wielu wniosków kredytowych powinna zostać odnotowana
w [...] albowiem może ona mieć znaczenie dla innego banku udzielającego kredytu
i oceniającego zdolność kredytową. W ocenie tej z konieczności muszą znaleźć się informacje historyczne, w tym te dotyczące nie zawarcia umowy. Przyczyna, dla której umowy nie zawarto jest odrębnym polem badania.
Poza wyjaśnieniem Skarżących, Prezes UODO nie ustalił z urzędu innych wymaganych przez prawo celów przetwarzania ww. danych, jak również nie uwzględnił w decyzji wszystkich okoliczności przetwarzania wskazywanych przez Bank. Organ nie wziął pod uwagę tych celów przetwarzania danych i podstaw prawnych ich przetwarzania w opisanym stanie rzeczy. W stanie faktycznym sprawy zasadne jest rozważenie zwrócenia się do Komisji Nadzoru Finansowego o zajęcie stanowiska w rozpatrywanej kwestii.
W tym stanie rzeczy w ocenie Sądu zasadny jest zarzut naruszenia przepisu art. 7b Kpa., polegającego na zaniechaniu zwrócenia się do Komisji Nadzoru Finansowego jako organu właściwego w sprawach związanych m.in. z badaniem zdolności kredytowej i analizą ryzyka kredytowego, a także budową modeli scoringowych w zakresie wykorzystywania do realizacji tych zadań danych, w tym danych osobowych o niezrealizowanych zapytaniach kredytowych. Zgodnie
z przepisem art. 7b Kpa. dodanego do przepisów postępowania administracyjnego art. 1 ustawy z dnia 1 czerwca 2017 r. o zmianie ustawy - Kodeks postępowania administracyjnego oraz niektórych innych ustaw (Dz.U.2017.935) "...W toku postępowania organy administracji publicznej współdziałają ze sobą w zakresie niezbędnym do dokładnego wyjaśnienia stanu faktycznego i prawnego sprawy, mając na względzie interes społeczny i słuszny interes obywateli oraz sprawność postępowania, przy pomocy środków adekwatnych do charakteru, okoliczności
i stopnia złożoności sprawy. Przepis ten poprzez zawarcie faktycznie nakazu "...organy współdziałają ze sobą w celu..." nie pozostawia organom swobody. W tym postępowaniu istnieje zarówno i cel indywidualny osoby fizycznej w postaci ochrony danych osobowych, jak i cel opisany w art. 6 e) RODO 2016/679 z dnia 27 kwietnia 2016 r., tj. przetwarzanie jest niezbędne do wykonania zadania realizowanego
w interesie publicznym lub w ramach sprawowania władzy publicznej powierzonej administratorowi. Banki są instytucjami zaufania publicznego i działają w bardzo wrażliwym rynku finansowym. Wobec powyższego należy uznać, że nakaz ustawodawcy wynikający z art. 7b Kpa. obliguje organy do współdziałania ze sobą
w każdym przypadku, gdy przyczyni się to do szybszego załatwienia sprawy. Prawna doniosłość komentowanego przepisu polega na tym, że podnosi on do rangi zasady ogólnej nakaz współdziałania organów administracji w związku z potrzebą wyjaśnienia stanu faktycznego i prawnego sprawy, nie formalizując przy tym sposobów tego współdziałania.
Z wyrażonej w ww. przepisach m.in. zasady prawdy obiektywnej wynika zatem, że to na organie ciąży obowiązek podjęcia wszelkich czynności zmierzających do wyjaśnienia sprawy i wyczerpującego zbadania wszystkich okoliczności faktycznych związanych z określoną sprawą, aby w ten sposób stworzyć jej rzeczywisty obraz i uzyskać podstawę do trafnego zastosowania przepisu prawa. Podkreślić trzeba, że organ ma rozpatrzyć całą sprawę administracyjną, a nie tylko jej wybraną część. W ocenie Sądu z uwagi na stopień skomplikowania tej sprawy, która nie ogranicza się do prostej subsumcji przepisu, który literalnie wskazywałby prawo do przetwarzania danych przed nawiązaniem stosunku gospodarczego, specjalistyczny charakter wiedzy wynikających zarówno z przepisów Prawa bankowego, innych przepisów prawa w tym rozporządzenia CRR, jak i wymogów organu nadzoru rynku finansowego (i to nadzorów światowych czuwających nad całym rynkiem finansowym) - Komisji Nadzoru Finansowego (dalej zwaną KNF), wymagał współdziałania Prezesa UODO z KNF. Słusznie zauważono, że to jest indywidualna sprawa, ale zasadne jest też twierdzenie, że przyjęcie takiego rozstrzygnięcia o konieczności wykasowania danych w Banku i [...] może powodować powstanie niepewności na rynku finansowym. W ocenie Sądu:
a) obecnie przepisy prawa wymagające badania zdolności kredytowej
w bazach zewnętrznych (np. art. 9 ust. 2 ustawy o kredycie konsumenckim), przepisom tym towarzyszą rekomendacje organów nadzoru (w Polsce KNF, w całej UE - EUNB); wykonanie tego obowiązku bank też musi umieć udowodnić więc nie można kasować informacji o fakcie pytania,
b) nie jest możliwe wykonanie art. 105 ust. 4 Prawa bankowego (czyli powołania całej bazy [...] z natychmiastowo kasowaną informacją o tym, że ta sama osoba złożyła w innym banku wniosek o kredyt, ale do zawarcia umowy nie doszło; jeśli zamiast bazy [...] miałby powstać obowiązek zapytań kredytowych pomiędzy bankami to z punktu widzenia oszacowania ryzyka kredytowego taka wykładnia czyni bezsensownym art. 105 ust. 4 Prawa bankowego, a jest pewnym, że doprowadzi do szkód po stronie innych banków, bowiem chwila w której - zdaniem Prezesa UODO - dane należy usunąć - nie została precyzyjnie określona),
c) w tej sprawie obydwa podmioty, tj. [...] i Bank wskazały okresy przechowywania danych z zapytań kredytowych, gdy do zawarcia umowy nie doszło
i są to okresy stosunkowo krótkie (Bank wskazał na okres 3 letni), zatem w ocenie Sądu zasadny jest pogląd Skarżących, że nie może się utrzymywać teza wypowiedziana przez NSA w wyroku I OSK 2567/17 - o przetwarzaniu takich danych ad infinitum.
Te aspekty sprawy, nie zostały zbadane przez organ.
Sąd administracyjny nie czyni w sprawie własnych ustaleń faktycznoprawnych, a jedynie, kontroluje zaskarżony akt pod kątem zgodności z prawem materialnym
i przepisami procesowymi. Jednak taka merytoryczna kontrola może dojść do skutku w warunkach wyczerpujących istotę zagadnienia ustaleń faktycznych i prawnych dokonanych przez organ administracyjny rozpatrujący sprawę oraz odpowiedniego (tj. zgodnego z art. 107 § 3 Kpa.) uzasadnienia decyzji. Inaczej Sąd uchyla decyzję
z powodu naruszenia formalnoprawnych zasad prowadzenia postępowania, gdy mogło to rzutować na wynik sprawy, a Sądowi uniemożliwia prześledzenie przesłanek, którymi kierował się organ wydając decyzję.
Związanie rygorami procedury administracyjnej oznacza, że organ jest obowiązany m.in. do przestrzegania zasad pogłębiania zaufania obywateli
do Państwa (art. 8 Kpa.). Z zasady wyrażonej w art. 8 Kpa. wynika przede wszystkim wymóg praworządnego i sprawiedliwego prowadzenia postępowania i rozstrzygnięcia sprawy przez organ administracji publicznej, co jest zasadniczą treścią zasady praworządności. Tylko postępowanie odpowiadające takim wymogom i decyzje wydane w wyniku postępowania tak ukształtowanego mogą wzbudzać zaufanie obywateli do organów administracji publicznej, nawet wtedy, gdy decyzje administracyjne nie uwzględniają ich żądań.
Nadto należy zauważyć, że organ administracji, który nie ustosunkowuje się do twierdzeń uważanych przez stronę za istotne dla sposobu załatwienia sprawy, uchybia obowiązkom wynikającym z art. 8 i 11 Kpa. Z przyczyn podanych wyżej nie można oczekiwać, że zrobi to za niego Sąd, kontrolując zaskarżoną decyzję, sprawuje w myśl powołanych wyżej przepisów, kontrolę zgodności z prawem zaskarżonych decyzji i nie może zastępować organu w działaniach, do których ten jest ustawowo zobowiązany i uzasadniać zań podjętych rozstrzygnięć.
Wobec powyższego zdaniem Sądu wymaganie w tej sprawie współdziałania organów, który to obowiązek należy wywodzić z istoty i stopnia złożoności sprawy, jest w pełni uzasadnione.
Ponownie rozpoznając sprawę organ uzyska stanowisko KNF i dopiero wtedy wyda decyzję. W ocenie Sądu kwestionowana decyzja jest przedwczesna. W ocenie Wojewódzkiego Sądu Administracyjnego w Warszawie z powodów podanych wyżej organ rozstrzygając sprawę – oparł się na materiale analizowanym wybiórczo.
Z powodów podanych wyżej organ nie mógł uzasadnić decyzji w sposób wymagany przez normę prawa określoną w przepisie art. 107 § 3 Kpa..
Z tych przyczyn Wojewódzki Sąd Administracyjny na podstawie art. 145 § 1 pkt 1 lit c) p.p.s.a. orzekł, jak w sentencji wyroku. W zakresie zwrotu kosztów postanowił w oparciu o przepis art. 200 w zw. z art. 205 § 2 p.p.s.a..