II SA/Wa 547/04

II SA/Wa 547/04 - Wyrok WSA w Warszawie
Data orzeczenia
2004-08-25
orzeczenie prawomocne
Data wpływu
2004-04-16
Sąd
Wojewódzki Sąd Administracyjny w Warszawie
Sędziowie
Andrzej Kołodziej /sprawozdawca/
Iwona Dąbrowska /przewodniczący/
Jacek Fronczyk
Symbol z opisem
647  Sprawy związane z ochroną danych osobowych
Sygn. powiązane
I OSK 39/05 - Wyrok NSA z 2005-09-14
Skarżony organ
Generalny Inspektor Ochrony Danych Osobowych
Treść wyniku
Oddalono skargę
Sentencja
Wojewódzki Sąd Administracyjny w Warszawie w składzie następującym: Przewodniczący Sędzia WSA Iwona Dąbrowska, Asesor WSA Jacek Fronczyk, Asesor WSA Andrzej Kołodziej (spr.), , Protokolant apl. prok. Bartosz Tomczak, po rozpoznaniu na rozprawie w dniu 25 sierpnia 2004 r. sprawy ze skargi C. S.A. w . K. na decyzję Generalnego Inspektora Ochrony Danych Osobowych z dnia [...] lutego 2004 r. nr [...] w przedmiocie przetwarzania danych osobowych - oddala skargę -
Uzasadnienie
Wnioskiem z dnia [...] kwietnia 2003 r. A. U. zwrócił się do Generalnego Inspektora Ochrony Danych Osobowych o nakazanie C. S.A. [...] Oddział w R. usunięcia jego danych osobowych ze zbioru danych B. S.A. z siedzibą w W..
W uzasadnieniu podniósł, że jego dane bank posiada z tytułu umowy kredytowej, jednakże kredyt w dniu [...] marca 2003 r. został w całości spłacony a prowadzony rachunek bankowy zamknięty.
Podał również, że w dniu [...] listopada 2002 r. jego dane osobowe bank przekazał do B. pozostając ich właścicielem uprawnionym do ich zmiany i modyfikacji. W jego ocenie brak jego zgody na udostępnienie przez bank danych osobowych do B. S.A. oraz dalsze ich przetwarzanie i udostępnianie jest niezgodne z prawem i narusza jego uzasadnione interesy.
Decyzją z dnia [...] lipca 2003 r. nr [...] Generalny Inspektor Danych Osobowych, po przeprowadzeniu postępowania administracyjnego, na podstawie art. 104 § 1 Kodeksu postępowania administracyjnego oraz art. 12 pkt 2 w zw. z art. 23 ust. 1 pkt 2 i 3 Ustawy o ochronie danych osobowych oraz w zw. z art. 105 ust. 1 pkt 1 i 105 ust. 4 ustawy - Prawo bankowe, odmówił uwzględnienia wniosku.
W uzasadnieniu wskazał, ze C. S.A. przetwarzał dane osobowe A. U. na podstawie zawartej z nim umowy kredytowej, tj. w oparciu o przesłankę określoną w art. 23 ust. 1 pkt 3 ustawy o ochronie danych osobowych, nie będąc zobowiązany do odebrania od niego zgody na przetwarzanie danych dla realizacji umowy.
Natomiast po wygaśnięciu umowy bank może przetwarzać dane osobowe w celach archiwizacji, stosownie do przepisów ustawy o narodowym zasobie archiwalnym i archiwach, a nadto w celu wywiązania się z obowiązków wynikających z przepisów ustawy o rachunkowości i rozporządzenia Ministra Finansów w sprawie szczególnych zasad rachunkowości banków.
GIODO powołał się również na przepis art. 105 ust. 4 ustawy - Prawo bankowe wskazując, że o ile zostanie powołana do życia instytucja, która prowadzi rejestr kredytobiorców, w tym przypadku B. S.A., banki upoważnione będą do udostępniania jej wszelkich informacji o swoich wierzytelnościach wobec kredytobiorców.
Dodatkowo podniósł, że szczegóły udzielania przez banki informacji do B. S.A., a następnie ich przetwarzanie przez tę spółkę, określa "Regulamin zbierania i udostępniania informacji przez B. S.A.", który w § 4 ust. 3 pkt 1 stanowi, że okresy, przez jakie spółka jest zobowiązana do wykonywania nałożonych na nią zadań, w tym przechowywanie danych, wynoszą odpowiednio dla rachunków, które wykazały zaległości powyżej 30 dni, 7 lat od ich zamknięcia.
Z kolei art. 105 ust. 1 ustawy - Prawo bankowe określa katalog podmiotów, którym bank ma obowiązek udzielania informacji stanowiących tajemnicę bankową oraz cel udzielania informacji.
We wniosku o ponowne rozpatrzenie sprawy z dnia[...] sierpnia 2003 r. A. U. nie zgodził się z rozstrzygnięciem Generalnego Inspektora Ochrony Danych Osobowych.
Podkreślił, że po całkowitym rozliczeniu kredytu i zamknięciu rachunku bankowego nie istnieją żadne przesłanki określone w art. 23 ust. 1 pkt 2 i 3 Ustawy o ochronie danych osobowych uprawniające bank i B. S.A. do posługiwania się jego danymi osobowymi przez 7 lat bez jego zgody i w zakresie przekraczającym zwykłe cele archiwalne.
Wskazał przy tym, że z przepisu art. 105 ust. 1 pkt 1 oraz ust. 4 ustawy - Prawo bankowe również nie można wywieść delegacji ustawowej dla ustalenia 7-letniego terminu do udostępnienia tego rodzaju danych, zaś postanowienia Regulaminu B. S.A. w § 4 ust. 3 pkt 1 są niezgodne z delegacją ustawową i naruszają tajemnicę bankową oraz przepisy o ochronie danych osobowych.
Powołał się w związku z tym na regulacje ustawowe, które wprost normują czy to procedurę przetwarzania danych o dłużnikach niewypłacalnych (ustawa o Krajowym Rejestrze Sądowym), czy też okresy przetwarzania ich danych (ustawa o udostępnianiu informacji gospodarczych).
Decyzją z dnia [...] lutego 2004 r. nr [...] Generalny Inspektor Ochrony Danych Osobowych, na podstawie art. 104 § 1 i art. 138 § 1 pkt 2 Kodeksu postępowania administracyjnego i art. 22 w zw. z art. 12 pkt 2 i art. 18 ust. 1 pkt 6 w zw. z art. 23 ust. 1 i art. 26 ust. 1 pkt 1 i 2 Ustawy o ochronie danych osobowych oraz w zw. z art. 105 ust. 1 pkt 1 i ust. 4 ustawy - Prawo bankowe, uchylił w całości decyzję z dnia [...] lipca 2003 r. nr [...] oraz nakazał C. S.A. z siedzibą w K. usunięcie danych osobowych A. U. ze zbioru prowadzonego przez B.S.A. w związku ze spłacaniem w całości kredytu, jaki został udzielony przez C. S.A. A. U. na podstawie umowy z dnia [...] grudnia 1997 r.
W uzasadnieniu wskazał, że ustawa o ochronie danych osobowych nakłada na administratorów danych szereg obowiązków, w tym obowiązek przetwarzania danych osobowych zgodnie z prawem. Przepis art. 23 ust. 1 ww. ustawy określa katalog przesłanek legalności przetwarzania, zaś pkt 2 tego przepisu jako jedną z nich wymienia przesłankę, gdy zezwalają na to przepisy prawne.
Przepisy ustawy - Prawo bankowe stanowią podstawę prawną do prowadzenia przez B. S.A. zbioru PN. "Kredytobiorcy", lecz jednocześnie żaden z nich nie precyzuje terminów przechowywania danych osobowych .
Stosownie do art. 105 ust. 4 ww. ustawy banki mogą w oparciu o ten przepis jedynie utworzyć instytucje do zbierania i udostępniania bankom oraz innym instytucjom ustawowo upoważnionym do udzielania kredytów informacji o wierzytelnościach oraz o obrotach i stanach rachunków bankowych w określonym zakresie i celu.
Organ zwrócił uwagę, że zgodnie z art. 87 ust. 1 Konstytucji RP, źródłami powszechnie obowiązującego prawa Rzeczypospolitej Polskiej są: Konstytucja, ustawy, ratyfikowane umowy międzynarodowe oraz rozporządzenia.
Tym samym postanowienia Regulaminu B. S.A. nie są przepisami powszechnie obowiązującymi, zatem przesłanka dla dalszego przekazywania danych osobowych wnioskodawcy w zbiorze B. S.A. po ustaniu zobowiązania nie wynika z art. 23 ust. 1 pkt 2 ustawy o ochronie danych osobowych.
Przesłanki takiej nie można również wywieść z przepisu art. 23 ust. 1 pkt 2 ustawy w sytuacji wygaśnięcia umowy wiążącej bank z A. U.
W ocenie GIODO, w związku z brakiem powszechnie obowiązujących przepisów regulujących kwestię terminów przechowywania danych osobowych w B. S.A., należy stosować przepis art. 26 ust. 1 pkt 1 i 2 ustawy o ochronie danych osobowych stanowiący, że administrator danych przetwarzający dane powinien dołożyć szczególnej staranności w celu ochrony interesów osób, których dane dotyczą, a w szczególności jest obowiązany zapewnić, aby dane te były przetwarzane zgodnie z prawem oraz zbierane dla oznaczonych, zgodnych z prawem celów i nie poddawane dalszemu przetwarzaniu niezgodnemu z tymi celami, z zastrzeżeniem ust. 2, który w odniesieniu do banku nie ma zastosowania.
W konkluzji Generalny Inspektor podniósł, że w niniejszej sprawie istotna jest okoliczność rozliczenia zobowiązań w związku z wygaśnięciem umowy kredytowej i ugody, które wiązały A. U. z bankiem, ustał zatem cel przetwarzania danych osobowych w zbiorze B. S.A.
W skardze na powyższą decyzję do Wojewódzkiego Sądu Administracyjnego w Warszawie, C. S.A. z siedzibą w K. wniósł o jej uchylenie w całości i przekazanie sprawy do ponownego rozpoznania Generalnemu Inspektorowi Ochrony Danych Osobowych oraz zasądzenie kosztów procesu według norm przepisanych.
Zaskarżonej decyzji zarzucił:
” rażącą obrazę przepisów prawa materialnego, a w szczególności art. 23 ust. 2 Ustawy o ochronie danych osobowych poprzez jego błędne zastosowanie polegające między innymi na uznaniu, że bank nie ma podstaw prawnych do przekazywania i przetwarzania informacji poprzez B. przez okres ustalony w regulaminie tegoż Biura, jak również art. 23 ust. 5 cyt. ustawy, art. 105 ust. 1 i 4 ustawy - Prawo bankowe, przepisów Ustawy o narodowym zasobie archiwalnym i archiwach, jak również Ustawy o rachunkowości, poprzez ich niezastosowanie oraz przepisów Ustawy o udostępnianiu informacji gospodarczych, poprzez ich retroaktywne zastosowanie,
” błąd w ustaleniach faktycznych przyjętych za podstawę orzeczenia, polegający na bezpodstawnym uznaniu, że bank nie wykazał przesłanek legalności przetwarzania danych klientów, podczas, gdy przesłankami tymi są nade wszystko przepisy ustawy - Prawo bankowe, jak również przepisy ustawy o ochronie danych osobowych.
W uzasadnieniu podał, że zakres działania B.S.A. wyznaczają: ustawa - Prawo bankowe, Ustawa o ochronie danych osobowych oraz akty wewnętrzne w postaci umowy pomiędzy B. S.A. i C. S.A. w sprawie zbierania i udostępniania informacji i Regulaminu zbierania i udostępniania informacji przez B. S.A., które to akty wewnętrzne zostały opracowane w oparciu o obowiązujące w Polsce prawo.
Bank podniósł też, że art. 105 ust. 1 ustawy - Prawo bankowe zobowiązuje banki do wymiany między sobą informacji stanowiących tajemnicę bankową.
Powołał się ponadto na przepis art. 23 ust. 1 pkt 5 ustawy o ochronie danych osobowych uprawniający do przetwarzania danych osobowych, gdy jest to niezbędne do wypełnienia prawnie usprawiedliwionych celów administratorów danych, o których mowa w art. 3 ust. 2 ustawy, gdy przetwarzają oni dane w związku z działalnością zarobkową, zawodową lub dla realizacji celów statutowych, a przetwarzanie nie narusza praw i wolności osoby, której dane dotyczą.
Skarżąca Spółka podkreśliła, że działalność B..powstałego na podstawie art. 105 ust. 4 ustawy - Prawo bankowe ma ułatwić zrzeszonym w nim bankom ocenę ryzyka kredytowego, które jest jednym z podstawowych ryzyk, na jakie narażone są banki. Aby dokonać prawidłowej oceny ryzyka, niezbędne jest poznanie zarówno bieżącej sytuacji kredytobiorcy, jak i jego historii.
Ponadto w oparciu o informacje o klientach przekazywane do B. S.A. przez banki, możliwe jest sporządzenie raportów kredytowych, będących odpowiedzią na zapytanie konkretnego banku. Działalność Biura ma w szczególności na celu dbałość o ogólne bezpieczeństwo banków, w tym ochronę przed niesolidnymi i próbującymi wyłudzić kredyty klientami.
Skarżąca podała również, że każdej osobie, której dane dotyczą, przysługuje prawo do żądania uzupełnienia, uaktualnienia, sprostowania, czasowego lub stałego wstrzymania przetwarzania danych lub ich usunięcia jeżeli są niekompletne, nieaktualne, nieprawdziwe lub zostały zebrane z naruszeniem ustawy albo są już zbędne do realizacji celu, dla którego zostały zebrane.
Siedmioletni okres przechowywania danych osobowych kredytobiorców, których kredyt został zakwalifikowany jako "problematyczny" w bazie B. S.A., został ustalony na podstawie doświadczeń biur informacji kredytowej działających w krajach Europy Zachodniej.
W ocenie banku z przepisu ustawy o ochronie danych osobowych dopuszczającego przetwarzanie danych, gdy zezwalają na to przepisy prawa, nie da się wywieść, że muszą to być przepisy rangi ustawowej, a nadto, że nie muszą to być przepisy o charakterze powszechnie obowiązującym, o czym może świadczyć brzmienie art. 105 ust. 1 i 4 ustawy - Prawo bankowe.
Za całkowicie niezrozumiały i gołosłowny uznała skarżąca pogląd GIODO, jakoby do niej nie odnosił się przepis art. 26 ust. 2 pkt 1 ustawy o ochronie danych osobowych oraz, że nie zostały przez bank dochowane przesłanki z art. 26 ust. 2 pkt 2 tej ustawy.
Dodatkowo C. S.A. zarzucił organowi, że nie znajduje uzasadnienia odwołanie się przez GIODO do Ustawy o udostępnieniu informacji gospodarczych, bowiem zdarzenie będące przedmiotem skargi A. U. do Generalnego Inspektora miało miejsce [...] kwietnia 2003 r., a ustawa zaczęła obowiązywać dopiero od [...] kwietnia 2003 r., natomiast organ pomimo jej obowiązywania wydał pierwszą decyzję korzystną dla banku.
W odpowiedzi na skargę Generalny Inspektor Ochrony Danych Osobowych wniósł o jej oddalenie i podtrzymał swoje stanowisko zawarte w zaskarżonej decyzji.
Odniósł się ponadto szczegółowo do zarzutów skargi stwierdzając, że nie znajdują one uzasadnienia i podkreślając, że w świetle argumentów użytych w zaskarżonej decyzji nie można zgodzić się z tezą skarżącej Spółki, iż przetwarzanie danych osobowych A. U. przez okres siedmiu lat od dnia spłaty zadłużenia jest niezbędne do osiągnięcia celów wskazanych przez bank w uzasadnieniu skargi.
Wojewódzki Sąd Administracyjny w Warszawie zważył, co następuje:
Skarga nie jest zasadna.
Kwestią zasadniczą w rozpatrywanej sprawie jest kwestia oceny, czy C. S.A. z siedziba w K. (poprzednio A. S.A.) legitymował się przesłanką zgodnego z prawem przetwarzania danych osobowych A.U. po wygaśnięciu umowy kredytowej łączącej strony i po rozliczeniu oraz zamknięciu rachunku bankowego.
Stosownie do treści art. 7 pkt 2 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. z 2002 r., Nr 101, poz. 926 z późn. zm.) przetwarzanie danych, to jakiekolwiek operacje wykonywane na danych osobowych, takie jak zbieranie, utrwalanie, przechowywanie, opracowywanie, zmienianie, udostępnianie i usuwanie, a zwłaszcza te, które wykonuje się w systemach informatycznych.
W myśl natomiast art. 23 ust. 1 ww. ustawy przetwarzanie danych jest dopuszczalne tylko wtedy, gdy:
1) osoba, której dane dotyczą, wyrazi na to zgodę, chyba że chodzi o usunięcie dotyczących jej danych,
2) zezwalają na to przepisy prawa,
3) jest konieczne do realizacji umowy, gdy osoba, której dane dotyczą, jest jej stroną lub gdy jest to niezbędne do podjęcia koniecznych działań przed zawarciem umowy,
4) jest niezbędne do wykonania określonych prawem zadań realizowanych dla dobra publicznego,
5) jest niezbędne do wypełnienia prawnie usprawiedliwianych celów administratorów danych, o których mowa w art. 3 ust. 2 lub osób trzecich, którym są przekazywane te dane - a przetwarzanie danych nie narusza praw i wolności osoby, której dane dotyczą.
Z kolei przepis art. 105 ust. 1 pkt 1 i ust. 4 ustawy z dnia 29 sierpnia 1997 r. Prawo bankowe (Dz. U. Nr 72 z 2002 r., poz. 665 z późn. zm.) stanowi, iż bank ma obowiązek udzielenia informacji stanowiących tajemnicę bankową m.in. innym bankom oraz - na zasadzie wzajemności - innym instytucjom ustawowo upoważnionym do udzielenia kredytów o wierzytelnościach oraz o obrotach i stanach rachunków bankowych w zakresie, w jakim informacje te są niezbędne w związku z udzielaniem kredytów, pożyczek pieniężnych, gwarancji bankowych i poręczeń oraz czynnościami obrotu dewizowego, a także w związku z konsolidacją sprawozdań finansowych (ust. 1 pkt 1).
Banki mogą, wspólnie z bankowymi izbami gospodarczymi, utworzyć instytucje do zbierania i udostępniania bankom oraz innym instytucjom ustawowo upoważnionym do udzielania kredytów informacji o wierzytelnościach oraz o obrotach i stanach rachunków bankowych w zakresie, w jakim informacje te są potrzebne w związku z udzielaniem kredytów, pożyczek pieniężnych, gwarancji bankowych i poręczeń (ust. 4).
W świetle przywołanego przepisu ustawy - Prawo bankowe nietrafne jest twierdzenie skarżącego banku, że stanowi on przesłankę przetwarzania danych w formie przechowywania ich i udostępniania przez okres siedmiu lat na podstawie art. 23 ust. 1 pkt 2 ustawy o ochronie danych osobowych. Przepis ten bowiem stanowi wyłącznie podstawę do utworzenia B. S.A. w celu realizacji określonych w nim zadań. Nie można z niego natomiast wywieść delegacji ustawowej dla ustalenia takiego rozumienia art. 23 ust. 1 pkt 2 Ustawy o ochronie danych osobowych.
Przepisami zezwalającymi na przetwarzanie danych nie są również postanowienia regulaminu zbierania i udostępniania informacji przez B. S.A., stanowiącego załącznik do umowy zawartej pomiędzy C. S.A. a tym Biurem. Jest to bowiem akt wewnętrzny nieposiadający przymiotu źródła prawa powszechnie obowiązującego.
Zgodnie bowiem z przepisem art. 87 ust. 1 Konstytucji RP źródłami powszechnie obowiązującego prawa w Rzeczypospolitej Polskiej są: Konsytucja, ustawy, ratyfikowane umowy międzynarodowe oraz rozporządzenia.
Nie można zgodzić się przy tym z wywodem skarżącej Spółki, że skoro art. 23 ust. 1 pkt 2 nie precyzuje o jakie przepisy prawa chodzi, to przepisami tymi mogą być postanowienia regulaminu.
Jak słusznie zauważył Generalny Inspektor, bank przetwarzał dane osobowe A. U. na podstawie zawartej z nim umowy kredytowej, a następnie ugody, tj. w oparciu o przesłankę określoną w przepisie art. 23 ust. 1 pkt 3 ustawy o ochronie danych osobowych, która jednakże nie może stanowić podstawy prawnej dla przetwarzania tych danych po wygaśnięciu umowy, czy też ugody.
Odnosząc się do zarzutu skargi, iż niezrozumiały i gołosłowny jest pogląd Generalnego Inspektora jakoby do banku nie odnosił się przepis art. 26 ust. 2 pkt 1 oraz nie zostały dochowane przesłanki z art. 26 ust. 2 pkt 2 ustawy o ochronie danych osobowych należy stwierdzić, że jest on całkowicie chybiony.
Organ przytoczył bowiem treść tych przepisów i stwierdził, że pierwszy z nich nie znajduje zastosowania z oczywistych względów (bank nie przetwarza danych w celach badań naukowych, dydaktycznych, historycznych lub statystycznych), natomiast odnośnie drugiego stwierdził, że bank nie może poddawać danych osobowych uczestnika dalszemu przetwarzaniu niezgodnemu z celami umowy kredytu i ugody, polegającemu na ich przetwarzaniu w zbiorze B. S.A.
Zwrócił przy tym uwagę, że przetwarzanie jest dopuszczalne jedynie w oparciu o przepisy ustawy z dnia 14 lipca 1983 r. o narodowym zasobie archiwalnym i archiwach (Dz. U. z 2002 r., Nr 171, poz. 1396 z późn. zm.) oraz ustawy z dnia 29 września 1994 r. o rachunkowości (Dz. U. z 2002 r., Nr 76, poz. 694), a nadto rozporządzenie Ministra Finansów z dnia 10 grudnia 2001 r. w sprawie szczególnych zasad rachunkowości banków (Dz. U. Nr 149, poz. 1673 z późn. zm.).
Odnosząc się do zarzutu dokonania przez GIODO bezpodstawnej "subsumcji stanu faktycznego dotyczącego Pana A.U. przepisem ustawy z dnia 14 lutego 2003 r. o udostępnianiu informacji gospodarczych (Dz. U. Nr 50, poz. 424)", należy podnieść, że jest on bezzasadny.
Generalny Inspektor zasygnalizował jedynie, że istnieją regulacje prawne, w tym ww. ustawa, które określają termin usunięcia danych dłużników po całkowitej spłacie zobowiązania.
Ustosunkowując się natomiast do zarzutu skargi dotyczącego niezastosowania przez organ art. 23 ust. 1 pkt 5 ustawy o ochronie danych osobowych należy wskazać, że jest on niesłuszny.
Jednym z warunków legalności przetwarzania danych na jego podstawie jest to, aby przetwarzanie nie naruszało praw i wolności osoby, której dane dotyczą.
Nie budzi najmniejszej wątpliwości, że w rozpatrywanej sprawie ten warunek nie został spełniony, czego dowodem był uzasadniony wniosek A.U. skierowany do GIODO o podjęcie przez niego działań zmierzających do nakazania usunięcia jego danych osobowych ze zbioru B. S.A.
Na marginesie trzeba zaznaczyć, że Sąd zdaje sobie sprawę ze znaczenia sektora bankowego dla gospodarki demokratycznego państwa prawa oraz zagrożeń związanych z nieuczciwymi klientami, wyłudzeniami kredytów i praniem pieniędzy.
Nie ulega najmniejszej wątpliwości, że banki powinny posiadać instrumenty chroniące je przed tymi zagrożeniami.
Jednakże należy z całą mocą podkreślić, że działania podejmowane przez banki w tym zakresie muszą respektować obowiązujące prawo i nie mogą naruszać praw i wolności obywateli.
Mając powyższe na względzie, Wojewódzki Sąd Administracyjny w Warszawie, na podstawie art. 151 ustawy z dnia 30 sierpnia 2002 r. - Prawo o postępowaniu przed sądami administracyjnymi (Dz. U. Nr 153, poz. 1270 ze zm.) w zw. z art. 23 ust. 1 i art. 26 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych, orzekł jak w sentencji.