III OSK 1109/25

III OSK 1109/25 - Wyrok NSA
Data orzeczenia
2025-12-02
orzeczenie prawomocne
Data wpływu
2025-06-12
Sąd
Naczelny Sąd Administracyjny
Sędziowie
Mariusz Kotulski
Przemysław Szustakiewicz /przewodniczący/
Rafał Stasikowski /sprawozdawca/
Symbol z opisem
647  Sprawy związane z ochroną danych osobowych
Hasła tematyczne
Ochrona danych osobowych
Sygn. powiązane
II SA/Wa 1736/24 - Wyrok WSA w Warszawie z 2025-02-11
Skarżony organ
Generalny Inspektor Ochrony Danych Osobowych
Treść wyniku
Oddalono skargę kasacyjną
Powołane przepisy
Dz.U. 2024 poz 1646
art. 105 ust. 4, art. 105a ust. 4
Ustawa z dnia 29 sierpnia 1997 r. Prawo bankowe
Dz.U. 1997 nr 78 poz 483
art. 47, art. 31 ust. 3, art. 51
Konstytucja Rzeczypospolitej Polskiej z dnia 2 kwietnia 1997 r. uchwalona przez Zgromadzenie  Narodowe w dniu 2 kwietnia 1997 r., przyjęta przez Naród w referendum konstytucyjnym w dniu  25 maja 1997 r., podpisana przez Prezydenta Rzeczypospolitej Polskiej w dniu 16 lipca 1997 r.
Dz.U.UE.C 2012 nr 326 poz 391 art. 8 ust. 1-3
KARTA PRAW PODSTAWOWYCH UNII EUROPEJSKIEJ
Dz.U.UE.L 2016 nr 119 poz 1 art. 6 ust. 1 lit. f
Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z  przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE
Tezy
Przepis art. 105 ust. 4 ustawy Prawo bankowe wyłącza możliwość przetwarzania innych danych niż określone w przepisie art. 105a ust. 4 Prawa bankowego w oparciu o przepis art. 6 ust. 1 lit. f RODO w celu realizacji zadań, o jakich mowa w art. 105 ust. 4 Prawa bankowego.
Sentencja
Naczelny Sąd Administracyjny w składzie: Przewodniczący: sędzia NSA Przemysław Szustakiewicz Sędziowie sędzia NSA Rafał Stasikowski (spr.) sędzia del. WSA Mariusz Kotulski Protokolant starszy asystent sędziego Joanna Ukalska po rozpoznaniu w dniu 2 grudnia 2025 r. na rozprawie w Izbie Ogólnoadministracyjnej skargi kasacyjnej B. S.A. z siedzibą w W. od wyroku Wojewódzkiego Sądu Administracyjnego w Warszawie z dnia 11 lutego 2025 r. sygn. akt II SA/Wa 1736/24 w sprawie ze skargi B. S.A. z siedzibą w W. na decyzję Prezesa Urzędu Ochrony Danych Osobowych z dnia 23 sierpnia 2024 r. nr DS.523.1512.2024.FT.UD w przedmiocie przetwarzania danych osobowych 1. oddala skargę kasacyjną; 2. zasądza od B. S.A. z siedzibą w W. na rzecz Prezesa Urzędu Ochrony Danych Osobowych kwotę 360 (trzysta sześćdziesiąt) złotych tytułem zwrotu kosztów postępowania kasacyjnego.
Uzasadnienie
Wyrokiem z 11 lutego 2025 r., sygn. akt II SA/Wa 1736/24, Wojewódzki Sąd Administracyjny w Warszawie, po rozpoznaniu skargi B. S.A. z siedzibą w W. (dalej także "B.", "skarżąca") na decyzję Prezesa Urzędu Ochrony Danych Osobowych z dnia 23 sierpnia 2024 r. nr DS.523.1512.2024.FT.UD w przedmiocie przetwarzania danych osobowych, oddalił skargę. Wyrok zapadł w następujących okolicznościach faktycznych i prawnych.
Prezes Urzędu Ochrony Danych Osobowych (dalej jako: "PUODO" lub "organ"), decyzją z 23 sierpnia 2024 r. nr DS.523.1512.2024.FT.UD wydaną na podstawie art. 104 § 1 ustawy z dnia 14 czerwca 1960 r. Kodeks postępowania administracyjnego (Dz.U. z 2024 poz. 572 ze zm., dalej jako k.p.a.), w zw. z art. 7 ust. 1 i 2 ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych (Dz. U. z 2019 r. poz. 1781, dalej jako: u.o.d.o.) oraz na podstawie art. 6 ust. 1 oraz art. 58 ust. 2 lit. c rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz. Urz. UE L 119 z 4.05.2016, str. 1, Dz. Urz. UE L 127 z 23.05.2018, str. 2 oraz Dz. Urz. UE L 74 z 4.03.2021, str. 35, dalej jako: RODO), po przeprowadzeniu postępowania administracyjnego w sprawie skargi A. K. (dalej także: "wnioskodawczyni", "uczestniczka postępowania") na nieprawidłowości w procesie przetwarzania jej danych osobowych przez B., polegające na przetwarzaniu danych osobowych uczestniczki postępowania w zakresie informacji o upadłości konsumenckiej bez podstawy prawnej, nakazał B. usunięcie danych osobowych wnioskodawczyni w zakresie informacji o upadłości konsumenckiej.
W uzasadnieniu organ wyjaśnił, że do PUODO wpłynęła skarga uczestniczki postępowania na nieprawidłowości w procesie przetwarzania jej danych osobowych przez B., polegające na przetwarzaniu danych osobowych w zakresie informacji o upadłości konsumenckiej bez podstawy prawnej. W skardze inicjującej niniejsze postępowanie uczestniczka postępowania wniosła o nakazanie B. usunięcia dotyczącej ją informacji o ogłoszeniu upadłości konsumenckiej. Wnioskodawczyni załączyła postanowienie Sądu Rejonowego [...] w K. z dnia 20 kwietnia 2021 r. w sprawie o sygn. X GUp 150/20/2, w którym ww. sąd umorzył wszystkie zobowiązania uczestniczki postępowania powstałe przed ogłoszeniem upadłości bez ustalania planu wierzycieli. Wnioskodawczyni przedłożyła również pismo z dnia 19 lutego 2024 r., którym zwróciła się do B. o usunięcie wpisu o upadłości konsumenckiej z bazy B. oraz pismo B. z dnia 26 lutego 2024 r., w którym B. odmówił usunięcia tych danych.
W złożonych wyjaśnieniach B. wskazał, że przetwarza dane o upadłości konsumenckiej wnioskodawczyni, które pozyskał z Monitora Sądowego i Gospodarczego opublikowanego w dniu 20 lipca 2020 r., o numerze 139 (6029), w zakresie: imię, nazwisko, PESEL, informacji o ogłoszeniu upadłości konsumenckiej, daty wydania przez sąd postanowienia w przedmiocie ogłoszenia upadłości konsumenckiej, informacji o wydaniu przez sąd postanowienia o zakończeniu postępowania upadłościowego oraz daty wydania przez sąd postanowienia o zakończeniu postępowania upadłościowego. B. wskazał nadto, że postanowienie o ogłoszeniu upadłości konsumenckiej uczestniczki postępowania zostało wydane przez sąd w dniu 14 lipca 2020 r. Dane w zakresie ogłoszenia upadłości konsumenckiej zostały pozyskane przez B. w dniu 21 lipca 2020 r. Natomiast informacja o wydaniu przez sąd w dniu 20 kwietnia 2021 r. postanowienia o zakończeniu postępowania upadłościowego została pozyskana przez B. w dniu 13 października 2022 r.
B. wskazał, że dane wnioskodawczyni w zakresie dotyczącym ogłoszenia upadłości konsumenckiej zostały pozyskane przez B. w celu wykonywania czynności bankowych, w szczególności oceny zdolności kredytowej i analizy ryzyka kredytowego na podstawie art. 6 ust. 1 lit. f RODO w związku z art. 70 ust. 1 z dnia 29 sierpnia 1997 r. Prawo bankowe (Dz. U. z 2022 r., poz. 2324, dalej jako: Prawo bankowe), art. 105 ust. 4 ustawy Prawo bankowe oraz art. 105a ust. 1 ustawy Prawo bankowe oraz w zawiązku z umowami zawartymi pomiędzy bankami. Prawnie uzasadnionym interesem B. jest w tym przypadku dostarczenie bankom informacji niezbędnej do wykonywania czynności bankowych, w szczególności do oceny zdolności kredytowej i analizy ryzyka kredytowego. B. wskazał, że dane dotyczące upadłości konsumenckiej będą przetwarzane przez B. w celu oceny zdolności kredytowej i analizy ryzyka kredytowego przez okres 10 lat od dnia wydania postanowienia w przedmiocie ogłoszenia upadłości, tj. do dnia 14 lipca 2030 r. włącznie. B. wyjaśnił cyt. "(...) zachowanie okresu 10 lat jest o tyle zasadne, że z dniem 1 grudnia 2021 r. zaczęła obowiązywać ustawa z dnia 6 grudnia 2018 r. o Krajowym Rejestrze Zadłużonych. Ustawa ta określa zasady prowadzenia ogólnodostępnego i jawnego rejestru, w którym ujawniane są informacje m.in. o osobach w stosunku do których prowadzono postępowanie upadłościowe. Zgodnie z art. 11 ust. 2 wyżej wskazanej ustawy, dane o osobach, wobec których prowadzono postępowanie upadłościowe, automatycznie przestają być ujawniane po upływie 10 lat od dnia prawomocnego zakończenia lub umorzenia postępowania, którego dotyczą.".
Zdaniem Prezesa UODO B. nie wykazał, aby przetwarzanie danych osobowych wnioskodawczyni w zakresie informacji o upadłości konsumenckiej było związane z konkretną czynnością bankową, w tym z czynnościami poprzedzającymi powstanie konkretnego zobowiązania, jak również nie wykazał, aby przetwarzanie danych osobowych uczestniczki postępowania w zakresie informacji o upadłości konsumenckiej, w celu oceny zdolności kredytowej i analizy ryzyka kredytowego, mogło odbywać się w oparciu o art. 105a ust. 2 i 3 Prawa bankowego, a zatem po wygaśnięciu zobowiązania wynikającego z umowy zawartej z bankiem. Ponadto w ocenie organu B. nie wykazał, by w powyższym zakresie istniał zatem konkretny, wyraźny i prawnie usprawiedliwiony cel przetwarzania danych osobowych wnioskodawczyni w zakresie informacji o upadłości konsumenckiej. Nie można tym samym uznać, że przetwarzanie danych osobowych uczestniczki postępowania w ww. celu mogło odbywać się w oparciu o wskazany przez B. art. 6 ust. 1 lit. f RODO, ani by zaistniała inna spośród określonych w art. 6 ust. 1 RODO przesłanek legalizujących ten proces. Dlatego też korzystając z uprawnienia przewidzianego w art. 58 ust. 2 lit. c RODO, Prezes Urzędu Ochrony Danych Osobowych nakazał B. usunięcie danych osobowych uczestniczki postępowania dotyczących jej upadłości konsumenckiej, przetwarzanych bez podstawy prawnej.
Na powyższą decyzję B. wniósł skargę do Wojewódzkiego Sądu Administracyjnego w Warszawie wskazując, że zaskarża ją w całości i wniósł o uwzględnienie skargi i uchylenie zaskarżonej decyzji w całości, o zasądzenie od PUODO na rzecz B. zwrotu kosztów postpowania oraz o wstrzymanie wykonania zaskarżonej decyzji.
W odpowiedzi na skargę organ wniósł o jej oddalenie podtrzymując stanowisko wyrażone w zaskarżonej decyzji.
Oddalając skargę sąd pierwszej instancji wskazał, że skoro – co pozostaje poza sporem – informacja dotycząca upadłości konsumenckiej wnioskodawczyni nie należy co do zasady do kategorii tajemnicy bankowej, a B. nie udowodnił, że sporne dane pozostają w jakimkolwiek związku z jakąś czynnością bankową, to organ zasadnie przyjął, że B. nie posiada podstawy prawnej do gromadzenia, przetwarzania i udostępniania owej informacji. Bez wpływu na powyższe pozostają cele, jakie B. zamierza realizować przetwarzając sporne dane. Nawet bowiem najszlachetniejsze intencje nie zmieniają tego, że w świetle podstawy prawnej umożliwiającej powołanie do życia B., nie może on gromadzić, przetwarzać i udostępniać omawianych danych. Jeśli więc B. posiada je i przetwarza bez podstawy prawnej, to nie dysponuje przesłanką legalizująca powyższe czynności. Wobec tego zbędnym jest badanie, czy przetwarzanie spornych danych uczestniczki jest niezbędne w myśl przepisu art.6 ust.1 lit. f RODO. Potencjalna niezbędność może bowiem upoważniać B. do przetwarzania tylko takich danych, które ma prawo posiadać. Skoro zaś art.105 ust.4 Prawa bankowego umożliwił powstanie B. tylko w celu przetwarzania informacji będących tajemnicą bankową to oczywistym jest, że instytucja ta nie może dokonywać jakichkolwiek działań z danymi o innym charakterze. Charakter konkretnej informacji wynika zaś z jej istoty a nie z tego, do jakiego celu informacja ma zostać użyta. Stąd jako zbędne jawiło się analizowanie sprawy przez pryzmat art. 105a Prawa bankowego, skoro B. nie ma prawa zajmować się informacjami innymi niż stanowiącymi tajemnicę bankową.
Skargę kasacyjną od powyższego wyroku wywiódł B., zaskarżając wyrok w całości i zarzucając, na podstawie art. 174 pkt 2 ustawy z dnia 30 sierpnia 2002 r. - Prawo o postępowaniu przed sądami administracyjnymi (Dz. U. z 2025 r., poz. 769 ze zm., dalej p.p.s.a.), naruszenie przepisów postępowania mające istotny wpływ na wynik sprawy, tj.:
1.1. art. 151 p.p.s.a w zw. z art. 141 § 4 p.p.s.a. poprzez brak odniesienia się przez Wojewódzki Sąd Administracyjny w Warszawie w uzasadnianiu wyroku do zarzutów podniesionych przez B. w skardze na decyzję Prezesa Urzędu Ochrony Danych Osobowych oraz podstaw przetwarzania danych uczestniczki postępowania przez B., a tym samym niedostateczne wyjaśnienie w treści uzasadnienia podstaw prawnych rozstrzygnięcia, co w konsekwencji doprowadziło do braku rozpoznania sprawy w całości oraz błędnego przyjęcia przez Wojewódzki Sąd Administracyjny w Warszawie braku legitymacji skarżącej kasacyjnie do przetwarzania danych osobowych uczestniczki postępowania;
1.2 art. 151 p.p.s.a. w związku z art. 7, art. 77 § 1 oraz art. 80 ustawy z dnia 14 czerwca 1960 r. Kodeks postępowania administracyjnego (Dz. U. z 2025 r. poz. 769 ze zm., dalej "k.p.a.") w związku z art. 7 ust. 1 u.o.d.o. poprzez niezasadne oddalenie skargi, w sytuacji gdy zaskarżona decyzja została wydana z naruszeniem ww. przepisów, wobec niewyczerpującego zebrania, nierozpatrzenia i błędnej oceny całokształtu materiału dowodowego przez PUODO przejawiającego się w szczególności brakiem dokonania analizy:
- charakteru, zakresu oraz celów gospodarczo - ekonomicznych działalności podejmowanej przez B. S.A., w tym działalności gospodarczej podejmowanej w zakresie wykraczającym poza realizację obowiązków nałożonych na B. na mocy przepisów Prawa bankowego oraz obowiązków wynikających z zawartych przez B. umów z bankami, skutkującą wadliwą i niepełną oceną stanu faktycznego sprawy oraz charakteru działania skarżącego kasacyjnie, co w konsekwencji skutkowało nieuzasadnionym wydaniem przez organ nakazu usunięcia danych osobowych uczestniczki postępowania;
- podstawowych zasad funkcjonowania B., nie tylko jako instytucji gromadzącej dane i informacje objęte tajemnicą bankową służące do oceny zdolności kredytowej oraz budującej modele scoringowe służące bankom, ale również jako przedsiębiorcy funkcjonującego w ramach wolnego rynku, co wiąże się z istnieniem oczywistego interesu prawnego po stronie B. w postaci przetwarzania danych osobowych dla osiągania określonych celów w ramach prowadzonej działalności gospodarczej, co w konsekwencji skutkowało nieprawidłowym uznaniem, iż B. nie legitymuje się podstawą do przetwarzania danych osobowych uczestniczki postępowania, co w konsekwencji doprowadziło do błędnego przyjęcia przez Wojewódzki Sąd Administracyjny w Warszawie braku legitymacji skarżącego kasacyjnie do przetwarzania danych osobowych uczestniczki postępowania.
Zaskarżonemu wyrokowi, na podstawie art. 174 pkt 1 p.p.s.a., zarzucono także naruszenie przepisów prawa materialnego, tj.:
2.1. art. 105 ust. 4 pkt 1-6 ustawy Prawo bankowe w zw. z art. 2 ustawy z dnia 6 marca 2018 r. Prawo przedsiębiorców (Dz. U. z 2025 r. poz. 769 ze zm., dalej jako "Prawo przedsiębiorców") oraz art. 22 Konstytucji Rzeczypospolitej Polskiej z 2 kwietnia 1997 r. (dalej jako "Konstytucja") poprzez ich błędną wykładnię przejawiającą się w przyjęciu, iż B. może gromadzić, przetwarzać i udostępniać wyłącznie informacje stanowiące tajemnicę bankową, a tym samym nie może prowadzić działalności gospodarczej wykraczającej poza zakres określony w art. 105 ust. 4 Prawa bankowego, podczas gdy prawidłowa wykładnia tych przepisów powinna prowadzić do wniosku, iż przepisy te w żaden sposób nie ograniczają zakresu danych, które mogą być przetwarzane przez B. w ramach prowadzonej działalności, a jedynie konstytuują podstawę prawną dla przetwarzania danych stanowiących tajemnicę bankową, o których mowa w art. 104 ust. 1 Prawa bankowego, w zakresie w jakim informacje te są potrzebne w związku z wykonywaniem czynności bankowych oraz w związku ze stosowaniem metod wewnętrznych oraz innych metod i modeli, o których mowa w części trzeciej rozporządzenia Parlamentu Europejskiego i Rady (UE) nr 575/2013 z dnia 26 czerwca 2013 r. w sprawie wymogów ostrożnościowych dla instytucji kredytowych i firm inwestycyjnych, zmieniające rozporządzenie (UE) nr 648/2012 (dalej jako: "rozporządzenie nr 575/2013"), przepis art. 105 ust. 4 Prawa bankowego nie wyklucza więc przetwarzania przez B. danych nieobjętych tajemnicą bankowa, w tym w celach wykraczających poza realizację przez B. obowiązków wynikających z przepisów Prawa bankowego, a tym samym nie ogranicza swobody prowadzenia przez B. działalności gospodarczej, co w konsekwencji doprowadziło do błędnego przyjęcia przez WSA braku legitymacji skarżącego kasacyjnie do przetwarzania danych osobowych uczestniczki postępowania;
2.2. art. 6 ust. 1 lit. f RODO w zw. art. 105a ust. 1, 2 i 3 Prawa bankowego poprzez ich niezastosowanie w wyniku przyjęcia za PUODO, iż skarżąca kasacyjnie może przetwarzać w celu oceny zdolności kredytowej i analizy ryzyka kredytowego wyłącznie informacje objęte tajemnicą bankową, podczas gdy przepisy te nie ograniczają zakresu danych, które mogą być przetwarzane przez B. w ramach prowadzonej działalności, a przetwarzanie danych osobowych uczestniczki postępowania jest niezbędne do realizacji przez B. powyższego celu, co w konsekwencji doprowadziło do błędnego przyjęcia przez WSA braku legitymacji skarżącej kasacyjnie do przetwarzania danych osobowych uczestniczki postępowania;
2.3. art. 6 ust. 1 lit. f RODO poprzez jego niezastosowanie w wyniku przyjęcia za PUODO, że skarżąca kasacyjnie może przetwarzać w celach statystycznych wyłącznie informacje objęte tajemnicą bankową oraz wyłącznie w przypadku, gdy zaistnieje konkretne zobowiązanie wynikające z umowy zawartej z bankiem lub inną instytucją ustawowo upoważnioną do udzielania kredytów, a więc w warunkach aktualizacji przepisu art. 105a ust. 4 Prawa bankowego, podczas gdy przepis ten w żaden sposób nie ogranicza możliwości przetwarzania przez B. danych w celach statystycznych, w tym nie uniemożliwia B. przetwarzania danych nieobjętych tajemnicą bankową w celach statystycznych, a wyłącznie konstytuuje zasady wykorzystywania danych objętych tajemnicą bankową w celach innych niż ocena zdolności kredytowej i analiza ryzyka kredytowego, co w konsekwencji doprowadziło do błędnego przyjęcia przez WSA braku legitymacji skarżącej kasacyjnie do przetwarzania danych osobowych uczestniczki postępowania.
Mając na uwadze wskazane zarzuty skarżąca wniosła o uchylenie wyroku w całości i przekazanie sprawy do ponownego rozpoznania Wojewódzkiemu Sądowi Administracyjnemu w Warszawie na podstawie art. 185 § 1 p.p.s.a., zasądzenie od organu na rzecz skarżącej kasacyjnie kosztów postępowania, w tym kosztów zastępstwa procesowego i opłaty skarbowej od pełnomocnictwa, według norm prawem przepisanych oraz o rozpoznanie skargi kasacyjnej na rozprawie.
W odpowiedzi na skargę kasacyjną organ wniósł o jej oddalenie i przeprowadzenie rozprawy.
Pismem z 5 listopada 2025 r. skarżąca wniosła, na podstawie art. 106 § 2 p.p.s.a. w zw. z art. 193 p.p.s.a., o skierowanie do Trybunału Sprawiedliwości Unii Europejskiej pytań prejudycjalnych, w oparciu o art. 267 Traktatu o funkcjonowaniu Unii Europejskiej następujących pytań prejudycjalnych:
1. Czy art. 5 ust. 1 lit. a rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych, Dz. Urz. UE L 119 z 4.05.2016, str. 1 ze zm., dalej jako: "RODO") w związku z art. 6 ust. 1 akapit pierwszy lit. f tego rozporządzenia należy interpretować w ten sposób, że stoi on na przeszkodzie praktyce biur informacji kredytowej polegającej na przechowywaniu, we własnych bazach danych, pochodzących z publicznych źródeł, w tym z rejestru publicznego, takiego jak "krajowe bazy danych" w rozumieniu art. 79 ust. 4 i 5 rozporządzenia 2015/848, informacji dotyczących upadłości konsumenckiej, przez okres odpowiadający okresowi, w którym dane te są przechowywane w rejestrze publicznym?
2. Czy art. 6 ust. 1 akapit pierwszy lit. f RODO należy interpretować w ten sposób, że prawnie uzasadniony interes biura informacji kredytowej w przetwarzaniu informacji dotyczących upadłości konsumenckiej istnieje już w momencie pozyskania tych danych z publicznych źródeł, w tym z rejestru publicznego, takiego jak "krajowe bazy danych" w rozumieniu art. 79 ust. 4 i 5 rozporządzenia 2015/848, tak aby dane te były następnie dostępne w przypadku zwrócenia się przez uprawniony podmiot z zapytaniem kredytowym?
Naczelny Sąd Administracyjny zważył, co następuje.
Stosownie do art. 183 § 1 p.p.s.a. Naczelny Sąd Administracyjny rozpoznaje sprawę w granicach skargi kasacyjnej, biorąc pod rozwagę z urzędu jedynie nieważność postępowania. W rozpoznawanej sprawie nie zachodzi żadna z okoliczności skutkujących nieważnością postępowania, o jakich mowa w art. 183 § 2 p.p.s.a., i nie zachodzi żadna z przesłanek, o których mowa w art. 189 p.p.s.a., które Naczelny Sąd Administracyjny rozważa z urzędu, dokonując kontroli zaskarżonego skargą kasacyjną wyroku. W tych okolicznościach w sprawie badaniu podlegały wyłącznie zarzuty podniesione w skardze kasacyjnej na uzasadnienie przytoczonych podstaw kasacyjnych.
Skarga kasacyjna jest nieuzasadniona.
Skarżący kasacyjnie zarzucił zaskarżonemu orzeczeniu naruszenie zarówno przepisów prawa materialnego, jak też przepisów postępowania. W takiej sytuacji, co do zasady, jako pierwsze podlegają rozpatrzeniu zarzuty naruszenia przepisów postępowania, gdyż weryfikacja prawidłowości wykładni przepisów prawa materialnego, dokonanej przez sąd pierwszej instancji, jest możliwa jedynie w przypadku stwierdzenia braku uchybień natury procesowej, mogących mieć istotny wpływ na treść rozstrzygnięcia. W rozpoznawanej sprawie kolejność ta musi zostać odwrócona, gdyż zarzut naruszenia prawa procesowego został sformułowany w skardze kasacyjnej w taki sposób, iż jego zasadność bądź bezzasadność będzie konsekwencją zasadności bądź bezzasadności zarzutu naruszenia prawa materialnego.
Zarzuty naruszenia prawa materialnego zostaną rozpoznane łącznie, gdyż pozostają one ze sobą w związku. Zarzuty te są nieuzasadnione.
Istota zarzutów materialnych skargi kasacyjnej sprowadza się do zakwestionowania stanowiska sądu pierwszej instancji co do braku podstaw prawnych po stronie B. do gromadzenia, przetwarzania i udostępniania danych osobowych innych niż objęte tajemnicą bankową. Autor skargi kasacyjnej stoi na stanowisku, że B. na podstawie art. 6 ust. 1 lit. f RODO w celu oceny zdolności kredytowej i analizy ryzyka kredytowego może przetwarzać dane osobowe inne niż objęte tajemnicą bankową, w tym informacje o upadłości konsumenckiej .
Na gruncie rozpoznawanej sprawy sąd pierwszej instancji uznał, że brak jest podstawy prawnej przetwarzania danych osobowych innych niż objęte tajemnicą bankową w sytuacji samodzielnego pozyskania ich przez B. z Monitora Sądowego i Gospodarczego (dalej MSiG). Na gruncie rozpoznawanej sprawy B. uzyskał samodzielnie z MSiG opublikowanego w dniu 20 lipca 2020 r., o numerze 139 następujące dane skarżącej: imię i nazwisko oraz numer PESEL skarżącej, informację o ogłoszeniu upadłości konsumenckiej, datę wydania przez właściwy sąd postanowienia o ogłoszeniu upadłości konsumenckiej skarżącej, informację o wydaniu i dacie wydania przez właściwy sąd postanowienia o zakończeniu postępowania upadłościowego. Sąd pierwszej instancji przyjął, iż art. 105 ust. 4 Prawa bankowego nie daje B. prawa przetwarzania innych danych niż stanowiących tajemnicę bankową. Uznał on również, że B. może przetwarzać dane osobowe wyłącznie w ramach wyznaczonych w art. 105 ust. 4 Prawo bankowe, a skoro ten przepis umożliwił powstanie B. tylko w celu przetwarzania informacji objętych tajemnicą bankową, to przepis ten wyłącza możliwość przetwarzania innych danych w oparciu o przepis art. 6 ust. 1 lit. f RODO.
Naczelny Sąd Administracyjny podziela decyzje sądu pierwszej instancji w zakresie wykładni relewantnych na gruncie tej sprawy norm prawnych. Zgodnie z art. 105 ust. 4 ww. ustawy banki mogą, wspólnie z bankowymi izbami gospodarczymi, utworzyć instytucje upoważnione do gromadzenia, przetwarzania i udostępniania bankom informacji stanowiących tajemnicę bankową w zakresie, w jakim informacje te są potrzebne w związku z wykonywaniem czynności bankowych oraz w związku ze stosowaniem metod wewnętrznych oraz innych metod i modeli, o których mowa w części trzeciej rozporządzenia nr 575/2013.
Przepis ten stanowi mieszankę normatywną o charakterze kompetencyjnym, określającym zakres działania oraz o charakterze materialnym. W pierwszym rzędzie jest on podstawą kompetencyjną do utworzenia instytucji do gromadzenia, przetwarzania i udostępniania bankom informacji stanowiącej tajemnicę bankową, którą jest B. W ten sposób wyznaczony został zarazem dość precyzyjnie zakres działania B. Przepis ten jest również szczególną normą materialną zezwalającą na jednostronne ograniczanie praw jednostki w zakresie jej danych osobowych. Nie wynika jednak z niego pełna, szczególna podstawa prawna przetwarzania danych osobowych, gdyż zakres upoważnienia do przetwarzania danych osobowych określony został dość ogólnie przez wskazanie, że chodzi o dane objęte tajemnicą bankową w zakresie, w jakim informacje te są potrzebne w związku z wykonywaniem czynności bankowych oraz w związku ze stosowaniem metod wewnętrznych oraz innych metod i modeli, o których mowa we wskazanym akcie normatywnym.
Dopiero z dalszych regulacji wynika szczegółowy zakres danych osobowych, które mogą być legalnie przetwarzane przez banki oraz inne podmioty rynku okołobankowego, w tym instytucje utworzone na podstawie art. 105 ust. 4 Prawa bankowego, jaką jest B. S.A. Zakres danych, które mogą być przetwarzane, zasady i czas przetwarzania wynikają z przepisów art. 105a Prawa bankowego. Przepisy tego artykułu odnoszą się do danych dotyczących osób, które nawiązały umowną więź prawną z bankiem. Przepisem, który określa zakres uprawnień do przetwarzania danych podmiotu, o którym mowa w art. 105 ust. 4 Prawa bankowego, jest przepis art. 105a ust. 4 Prawa bankowego, zgodnie z którym banki oraz instytucje, o których mowa w art. 105 ust. 4, mogą przetwarzać stanowiące tajemnicę bankową informacje dotyczące osoby fizycznej po wygaśnięciu zobowiązania wynikającego z umowy zawartej z bankiem lub inną instytucją ustawowo upoważnioną do udzielania kredytów bez zgody osoby, której informacje dotyczą, do celów stosowania metod wewnętrznych oraz innych metod i modeli, o których mowa w części trzeciej rozporządzenia nr 575/2013. W ustawie Prawo bankowe brak jest zatem przepisu, który regulowałby uprawnienie do przetwarzania danych osoby fizycznej, co do której orzeczono upadłość konsumencką, która nie ubiegała się o nawiązanie stosunku zobowiązaniowego z bankiem, a tym samym bank nie zgromadził w związku z zawarciem stosunku zobowiązaniowego danych osobowych, które objęte zostałyby tajemnicą bankową.
W związku z takim zakresem regulacji rozstrzygnąć należy, czy pozytywny zakres regulacji należy potraktować jako regulację kompletną i tym samym czy wywieść należy z tego zakaz przetwarzania przez B. innych danych niż objęte tajemnicą bankową, czy też pozytywny zakres regulacji wynikający z przepisów art. 105 ust. 4 i 105a ust. 4 ustawy Prawo bankowe należy potraktować jako regulację cząstkową, która w zakresie kwestii nieobjętych jej zakresem może być uzupełniana przepisami RODO.
Dla rozstrzygnięcia podniesionych zarzutów naruszenia prawa materialnego konieczne jest przypomnienie, że prawo do ochrony danych osobowych jest prawem wolnościowym jednostki gwarantowanym zarówno w krajowym, jak i unijnym porządku prawnym. Na płaszczyźnie krajowej regulacji prawo do ochrony danych osobowych znajduje oparcie w przepisie art. 51 Konstytucji RP. Przepis ten określa podstawowe uprawnienia składające się na prawo do ochrony danych osobowych, w kwestiach szczegółowych odsyłając do regulacji ustawowej.
W piśmiennictwie przedmiotu przyjmuje się, że prawo do ochrony danych osobowych stanowi refleks ogólnej zasady autonomii informacyjnej człowieka i swego rodzaju emanację ogólnego prawa do prywatności, gwarantowanego w art. 47 Konstytucji RP, ze względu na to, że dane osobowe są częścią życia prywatnego bądź posługiwanie się danymi dotyczącymi innej osoby wkracza w przyznaną jej kompetencję do decydowania o swoim życiu osobistym (por. J. Barta, P. Fajgielski, R. Markiewicz, Ochrona danych osobowych. Komentarz, Warszawa 2015, s. 260–261).
Wywodząca się z prawa niemieckiego koncepcja autonomii informacyjnej jednostki jest przyjmowana również na gruncie prawa polskiego, co dostrzec można zarówno w poglądach doktrynalnych, jak też w judykaturze. W wyroku z 19 lutego 2002 r. (U 3/01, OTK-A 2002/1, poz. 3) Trybunał Konstytucyjny stwierdził, że tzw. autonomia informacyjna jednostki (gwarantowana w art. 51 Konstytucji RP), oznaczająca prawo do samodzielnego decydowania o ujawnianiu innym informacji dotyczących swojej osoby, a także prawo do sprawowania kontroli nad takimi informacjami znajdującymi się w posiadaniu innych podmiotów, są elementami składowymi prawa do ochrony prawnej życia prywatnego, gwarantowanego w art. 47 Konstytucji RP (na temat autonomii informacyjnej w orzecznictwie TK szerzej por. P. Litwiński, Zasada autonomii informacyjnej w orzecznictwie Trybunału Konstytucyjnego a stosowanie przepisów o ochronie danych osobowych [w:] Ochrona danych osobowych w Polsce z perspektywy dziesięciolecia, red. P. Fajgielski, Lublin 2008, s. 169–184). Zakres autonomii informacyjnej jednostki stale zmniejsza się, co jest spowodowane przesuwaniem ciężaru ochrony jednostki i jej prywatności w kierunku instytucjonalnych, publicznoprawnych instytucji i środków (M. Safjan, Prawo do prywatności i ochrona danych osobowych w społeczeństwie informatycznym, PiP 2002/6, s. 5). Nie znaczy to jednak, że zmniejszanie tej autonomii następować może bez ustawowej podstawy prawnej (o czym poniżej), jak wskazuje autor skargi kasacyjnej.
Z kolei w porządku prawnym UE prawo do ochrony danych osobowych jest jednym z praw podstawowych, które zostało zagwarantowane w art. 8 ust. 1 Karty Praw Podstawowych UE oraz art. 16 ust. 1 TFUE, o czym przypomina motyw 1 preambuły. W myśl wskazanych powyżej przepisów każda osoba ma prawo do ochrony danych osobowych jej dotyczących. Zgodnie z art. 8 ust. 2 Karty Praw Podstawowych UE dane osobowe powinny być przetwarzane rzetelnie w określonych celach i za zgodą osoby zainteresowanej lub na innej uzasadnionej podstawie przewidzianej ustawą; każdy ma prawo dostępu do zebranych danych, które go dotyczą i prawo do dokonania ich sprostowania, natomiast ust. 3 wskazanego tu artykułu stanowi, iż przestrzeganie tych zasad podlega kontroli niezależnego organu.
Przepis art. 16 ust. 2 TFUE uprawnia Parlament Europejski i Radę UE do tego, aby stanowiąc zgodnie ze zwykłą procedurą ustawodawczą, określiły zasady dotyczące ochrony osób fizycznych w zakresie przetwarzania danych osobowych przez instytucje, organy i jednostki organizacyjne Unii oraz przez państwa członkowskie w wykonywaniu działań wchodzących w zakres zastosowania prawa Unii, a także zasady dotyczące swobodnego przepływu takich danych. W odniesieniu do unijnych instytucji i organów zasady zostały określone w rozporządzeniu Parlamentu Europejskiego i Rady 2018/1725 z 23 października 2018 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych przez instytucje, organy i jednostki organizacyjne Unii i swobodnego przepływu takich danych oraz uchylenia rozporządzenia (WE) nr 45/2001 i decyzji nr 1247/2002/WE (Dz. Urz. UE L 295, s. 39 i n.), natomiast zasady ochrony danych przez państwa członkowskie regulowane są przepisami RODO.
Zmniejszanie się autonomii jednostki jest znakiem naszych czasów, jednak polski ustawodawca konstytucyjny wymaga, aby ograniczanie konstytucyjnych wolności i praw następowało w sposób określony w art. 31 ust. 3 Konstytucji RP.
Podkreślić należy, że dane osobowe są elementem konstytucyjnego prawa do prywatności. Zatem wskazane przepisy prawa bankowego, czy przepis art. 6 ust. 1 RODO należy postrzegać w kategoriach regulacji prawnej wprowadzającej ograniczenia w zakresie prawa do prywatności, co pociąga za sobą dwie konsekwencje. Pierwszą odnoszoną do stanowienia prawa, drugą do stosowania prawa. Gdy idzie o stanowienie prawa, ramy dalszego ograniczania prawa przez ustawodawcę zwykłego, poza przypadkami wskazanymi w przepisach art. 6 ust. 1 RODO, nakłada przepis art. 31 ust. 3 Konstytucji RP. Dopuszcza on możliwość ograniczania praw uregulowanych w Konstytucji, pod warunkiem, że ograniczenia w zakresie korzystania z konstytucyjnych wolności i praw ustanawiane są w ustawach i tylko wtedy, gdy są konieczne w demokratycznym państwie dla jego bezpieczeństwa lub porządku publicznego, bądź dla ochrony środowiska, zdrowia i moralności publicznej, albo wolności i praw innych osób. Poza wymogami formalnymi i materialnym ograniczenia te nie mogą naruszać istoty wolności i praw.
Przetwarzanie danych osobowych traktować więc należy za ograniczenie konstytucyjnego prawa jednostki, a to oznacza, że jest ono w świetle przepisu art. 31 ust. 3 Konstytucji dopuszczalne wyłącznie w sytuacjach wskazanych wyraźnie przez ustawę. Tym samym B. w ramach swojej wolności działalności gospodarczej może podejmować każdą aktywność w sektorze gospodarczym, która nie została mocą ustawy zabroniona. Jeśli jednak prowadzona działalność będzie związana z przetwarzaniem danych osobowych, to dla dokonywania tego rodzaju czynności konieczne jest legitymowanie się wyraźną podstawą ustawową do przetwarzania danych osobowych.
Z punktu widzenia procesów stosowania prawa przepis art. 105 ust. 4 Prawa bankowego, czy art. 6 ust. 1 RODO, jako wprowadzający ograniczenia w zakresie konstytucyjnego prawa do prywatności, należy interpretować wyłącznie w ramach tzw. wykładni literalnej, tj. wykładni ścisłej, takiej, której rezultat pokrywa się z wynikiem wykładni językowej (vide szerzej na ten temat TK w orzeczeniu z 28.06.2000 r., K 25/99, OTK 2000, nr 5, poz. 141). Wymóg zastosowania technik tej wykładni wynika z charakteru przepisów art. 6 ust. 1 RODO, które mają charakter ograniczający prawa lub wolności jednostki. Stanowisko co do obowiązku interpretowania wedle reguł wykładni literalnej przepisów tego rodzaju jest ugruntowane w orzecznictwie TK (vide: wyrok TK z 25 lutego 1999 r., K 23/98, OTK 1999, nr 2, poz. 25), orzecznictwie SN (np. postanowienie SN z 14 stycznia 2009 r., IV CSK 344/08), a przede wszystkim orzecznictwie NSA, który prezentuje je konsekwentnie od początku swojej działalności (np. wyrok NSA z 15 czerwca 2000 r., I SA/Gd 606/98; wyrok NSA z 1 czerwca 2004 r., GSK 30/04 – publik. CBOSA), jak również w doktrynie (jako przykład wskazać można: L. Morawski, Zasady wykładni prawa, Toruń 2014, s. 191 i nast.).
Przekładając te ustalenia na grunt rozpoznawanej sprawy wskazać należy, że przepisy prawa bankowego przewidują w art. 105 ust. 4 Prawa bankowego możliwość utworzenia podmiotu, który może przetwarzać dane osobowe uzyskiwane wyłącznie w trakcie świadczenia usług bankowych we wskazanych celach, zaś w art. 105a ust. 1-6 Prawa bankowego regulują szczegółowe warunki, zakres, okoliczności i czas przetwarzania tych danych osobowych. Przepisy art. 105a ust. 1 i 1a wskazują szczegółowe cele, którym może służyć przetwarzanie danych osobowych, przepis ust. 1b kategorie danych osobowych, które mogą być przetwarzane, przepis ust. 2 – przesłankę legalizującą przetwarzanie danych w postaci zgody osoby fizycznej, przepis ust. 3 – warunki przetwarzania danych osobowych bez zgody osoby fizycznej, przepis ust. 4 – warunki i cele przetwarzania danych osobowych bez zgody osoby fizycznej po wygaśnięciu zobowiązania, przepis ust. 5 – czas przetwarzania danych osobowych, a przepis ust. 6 – zakres przetwarzanych danych obejmujący dane o osobie fizycznej oraz o treści zobowiązania.
Istotne jest podkreślenie, iż przepisy te odnoszą się wyłącznie do przetwarzania danych osobowych klientów banku, z którymi doszło do nawiązania relacji prawnej o charakterze zobowiązaniowym. Interpretacja tych przepisów z zastosowaniem reguł wykładni językowej prowadzić musi do wniosku, iż nie jest dopuszczalne przetwarzanie danych osobowych klientów banków, z którymi nie doszło do nawiązania przez bank stosunku zobowiązaniowego. Tym samym nie jest prawnie dopuszczalne przetwarzanie danych osobowych, które nie zostały pozyskane przy okazji dokonywania konkretnej czynności bankowej. Bank, ani podmiot, o którym mowa w art. 105 ust. 4 Prawa bankowego nie ma "obowiązku prawnego" w rozumieniu art. 6 ust. 1 lit. c RODO przetwarzania danych osobowych osoby, z którą nie doszło do nawiązania relacji prawnej zobowiązaniowej, a które to dane bank lub B. pozyskali samodzielnie z dostępnych źródeł, takich jak Monitor Sądowy i Gospodarczy. Przepisy art. 105a ust. 1-6 Prawa bankowego nie zawierają upoważnienia dla administratora do samodzielnego pozyskania danych osobowych, a następnie przetwarzania danych osobowych opublikowanych w Monitorze Sądowym i Gospodarczym, ograniczając swój zakres wyłącznie do danych osobowych klientów, którzy zawarli umowę z bankiem.
Prowadzić to musi to konkluzji, iż brak było możliwości przetwarzania danych osobowych skarżącej przez B. S.A. w W., gdyż osoba ta nie zawarła umowy z jakimś bankiem, a dane osobowe w zakresie informacji o upadłości konsumenckiej nie zostały pozyskane na tle zawieranej umowy z bankiem.
Naczelny Sąd Administracyjny podziela wykładnię prawa dokonaną przez sąd pierwszej instancji, iż podstawą przetwarzania danych osobowych dla celów zarezerwowanych dla działalności B., o których mowa w art. 105 ust. 4 ustawy Prawo bankowe, które nie zostały pozyskane przy okazji dokonywania czynności bankowych, nie mógł być przepis art. 6 ust. 1 lit. f RODO. B. w ramach prowadzonej działalności gospodarczej w zakresie wynikającym z przepisu art. 105 ust. 4 Prawa bankowego może bowiem przetwarzać tylko dane osobowe, o których mowa w art. 105a ust. 4 Prawa bankowego. Przepisy art. 105 ust. 4 i art. 105a ust. 4 ustawy Prawo bankowe stanowią zatem kompleksową podstawę prawną przetwarzania danych osobowych i tylko w jej ramach możliwe jest przetwarzanie danych osobowych przez B. Przepisy te należy traktować jako podstawy ustawowe, o których mowa w art. 31 ust. 3 Konstytucji niezbędne do ograniczania konstytucyjnych praw wynikających z art. 47 i 51 Konstytucji.
Przeciwko dopuszczalności oparcia przetwarzania danych osobowych innych niż objęte tajemnicą bankową dla oceny zdolności kredytowej i analizy ryzyka kredytowego na podstawie art. 6 ust. 1 lit. f RODO przemawia również charakter prawny tej podstawy przetwarzania danych osobowych i cele systemu prawa realizującego ochronę praw i wolności jednostki. Na gruncie ustawy z 1997 r. o ochronie danych osobowych odpowiednik tego przepisu, który w miejsce RODO-wskiego zwrotu "uzasadnione interesy" posługiwał się zwrotem "usprawiedliwione cele", orzecznictwo Naczelnego Sądu Administracyjnego przyjęło, że zwrot ten jest niedookreślony i stanowi klauzulę generalną w znaczeniu funkcjonalnym i służy zapewnieniu luzu decyzyjnego podmiotowi stosującemu prawo w celu dostosowania treści decyzji stosowania prawa do ocen indywidualnych konkretnej sytuacji (wyrok NSA z 19.11.2001 r., II SA 2702/00). Wniosek ten może być dziś wprost odniesiony do regulacji prawnej zawartej w RODO. Stąd też słusznie podstawę przetwarzania danych osobowych z art. 6 ust. 1 lit. f RODO uznaje się w literaturze przedmiotu za podstawę prowadząc do nieprzewidywalności i braku pewności prawa (P. Barta, M. Kawecki, P. Litwiński, Komentarz do art. 6 RODO, w: Ogólne rozporządzenie o ochronie danych osobowych. Ustawa o ochronie danych osobowych. Wybrane przepisy sektorowe. Komentarz, red. P. Litwiński, Warszawa 2021, s. 188 i cytowana tam literatura). Jest to konsekwencją charakteru przepisu art. 6 ust. 1 lit. f RODO jako klauzuli generalnej. Przepis ten nie poddaje się więc procesom jego wykładni. Ustalenie jego znaczenia następuje w procesie jego zastosowania w konkretnej sprawie, przy czym jest to możliwe nie tyle w ramach prostego lub złożonego modelu subsumpcyjnego stosowania prawa (szerzej J. Wróblewski, Sądowe stosowanie prawa, Warszawa 1988, s. 252-255), co w drodze ważenia "celów wynikających z prawnie uzasadnionych interesów" z "interesami lub prawami i wolnościami" konkretnej osoby, której dotyczy skonkretyzowany proces stosowania prawa (vide M. Kamiński, Mechanizm i granice weryfikacji sądowoadministracyjnej a normy prawa administracyjnego i ich konkretyzacja, Warszawa 2016, s. 245-322).
Dane osobowe pozwalające zdefiniować sytuację finansową jednostki stanowią współcześnie rodzaj informacji, który wywiera ważki wpływ na życie jednostki, a dysponowanie nimi ingeruje w sposób najsilniejszy z potencjalnie możliwych do wyobrażenia w konstytucyjne prawa i wolności jednostki, o których mowa w art. 47 i 51 Konstytucji. Stąd też co do zasady należy wykluczyć dopuszczalność przetwarzania danych tego rodzaju na podstawie art. 6 ust. 1 lit. f RODO. Traktując zatem ten przepis jako dość szczególny i wyjątkowy, kierować należy się zakazem rozszerzającej jego wykładni. Należy na tej samej zasadzie wykluczyć jego zastosowanie na zakresy nieobjęte przez inną pozytywną regulację prawną dopuszczającą w oparciu o inne niż RODO podstawy prawne przetwarzanie danych osobowych określających sytuację finansową jednostki, a to w celu "uzupełnienia" regulacji prawnej. Przekładając te regułę na rozpoznawaną sprawę przyjąć należy, że jeśli przepisy ustawy Prawo bankowe dopuszczają przetwarzanie konkretnych danych dla konkretnych celów wskazanych w ustawie przez dany podmiot (tj. B.) i regulacja ta ma charakter kompleksowy, to z wykładni tych przepisów wynika zakaz przetwarzania jeszcze innych danych dla realizacji tych celów na podstawie art. 6 ust. 1 lit. f RODO. Naczelny Sąd Administracyjny stoi zatem na stanowisku, że w ramach działalności wyznaczonej w art. 105 ust. 4 ustawy Prawo bankowe, B. może przetwarzać tylko dane osobowe dla celów, o których mowa w art. 105 ust. 4 ustawy Prawo bankowe i tylko w zakresie wynikającym z art. 105a ust. 4 Prawa bankowego, gdyż z pozytywnej regulacji wywieść należy zakres dopuszczalnego ograniczenia konstytucyjnych wolności i praw jednostki odpowiadający standardom ingerencji wynikający z art. 31 ust. 3 Konstytucji. A contrario zakazane jest przetwarzanie innych informacji, aniżeli informacje objęte tajemnicą bankową, nawet gdyby miało to służyć celom wskazanym w art. 105 ust. 4 i art. 105a ust. 4 ustawy Prawo bankowe.
Tym samym użycie dyrektyw wykładni językowej w stosunku do przepisu art. 105 ust. 4 cyt. ustawy prowadzi do rezultatu, że ustawowa podstawa powstania i działalności B. określona w art. 105 ust. 4 Prawa bankowego wskazuje na dopuszczalność przetwarzania danych osobowych w postaci informacji stanowiących tajemnicę bankową, jeśli informacje te są potrzebne w związku z wykonywaniem czynności bankowych oraz w związku ze stosowaniem metod wewnętrznych oraz innych metod i modeli, o których mowa w części trzeciej rozporządzenia nr 575/2013.
W ten sposób ustawa legalizuje w ramach działalności wynikającej z art. 105 ust. 4 przetwarzania przez B. tylko informacji objętych tajemnicą bankową, w zakresie określonym w art. 105a ust. 4 Prawa bankowego. Tym samym przepisy art. 105 ust. 4 i art. 105a ust. 4 Prawa bankowego stanowią pozytywną i kompleksową regulację podstaw prawnych przetwarzania danych osobowych przez B. i wyłączają możliwość przetwarzania innych danych niż określone w przepisie art. 105a ust. 4 Prawa bankowego w oparciu o przepis art. 6 ust. 1 lit. f RODO w celu realizacji zadań, o jakich mowa w art. 105 ust. 4 Prawa bankowego.
Konkludując, przetwarzanie danych osobowych stanowi ograniczenie konstytucyjnych praw wolnościowych jednostki uregulowanych w art. 47 i 51 Konstytucji, co oznacza, że jest ono w świetle przepisu art. 31 ust. 3 Konstytucji dopuszczalne wyłącznie w sytuacjach szczegółowo wskazanych przez ustawę. B. może przetwarzać dane osobowe w ramach działalności wyznaczonej w art. 105 ust. 4 ustawy Prawo bankowe w celu, w jakim informacje te są potrzebne w związku z wykonywaniem czynności bankowych oraz w związku ze stosowaniem metod wewnętrznych oraz innych metod i modeli, o których mowa w części trzeciej rozporządzenia nr 575/2013, w zakresie danych określonych w art. 105a ust. 4 ustawy Prawo bankowe. Pierwszy przepis zawiera ustawową podstawę powstania i działalności B. i dopuszcza tylko w ramach działalności wynikającej z art. 105 ust. 4 przetwarzania informacji objętych tajemnicą bankową, w zakresie określonym w art. 105a ust. 4 Prawa bankowego. W ten sposób przepis art. 105 ust. 4 ustawy Prawo bankowe wyłącza możliwość przetwarzania innych danych niż określone w przepisie art. 105a ust. 4 Prawa bankowego w oparciu o przepis art. 6 ust. 1 lit. f RODO w celu realizacji zadań, o jakich mowa w art. 105 ust. 4 Prawa bankowego. Jeśli zatem przepisy ustawy Prawo bankowe dopuszczają przetwarzanie konkretnych danych dla konkretnych celów wskazanych w ustawie przez dany podmiot (tj. B.), to z wykładni tych przepisów wynika zakaz przetwarzania innych danych dla realizacji tych celów na podstawie art. 6 ust. 1 lit. f RODO.
Jeśli B. w ramach wolności działalności gospodarczej podejmować będzie się innej aktywność w sektorze gospodarczym, a jej prowadzenie będzie związane z przetwarzaniem danych osobowych, to dla dokonywania tego rodzaju czynności konieczne będzie legitymowanie się wyraźną podstawą ustawową do przetwarzania danych osobowych. Przetwarzanie danych w ramach takiej działalności, a więc działalności prowadzonej poza zakresem i celami wyznaczonymi przez przepisy art. 105 ust. 4 i 105 a ust. 4 ustawy Prawo bankowe, będzie mogło być oparte o jedną z podstaw określonych w art. 6 ust. 1 RODO.
Z tych względów Naczelny Sąd Administracyjny uznał zarzuty naruszenia prawa materialnego za nieuzasadnione.
Bezzasadność zarzutów prawa materialnego prowadzi w swych konsekwencjach do całkowitej bezzasadności zarzutów naruszenia prawa procesowego sformułowanych w punktach 1.2 i jego tiretach., jako że ich istota opierała się na założeniu, że przyjęta przez sąd pierwszej instancji interpretacja norm materialnych i odmowa zastosowania przepisu art. 6 ust. 1 lit f RODO nie jest prawidłowa. Zdaniem Naczelnego Sądu Administracyjnego sąd pierwszej instancji słusznie uznał, że organ nadzoru przeprowadził wyczerpujące postępowanie wyjaśniające, ustalił wszystkie istotne z punktu widzenia prawnie relewantnej normy prawa materialnego okoliczności faktyczne, dokonał ich oceny odpowiadającej wymogom z art. 80 k.p.a., a czynności procesowe przeprowadził w zgodzie z zasadami postępowania jurysdykcyjnego, w tym zasadami wynikającymi z przepisów art. 7, art. 77 § 1 i art. 80 k.p.a. Istotne w sprawie było ustalenie, że ze skarżącą nie doszło do zawarcia umowy, a dane o jej upadłości konsumenckiej B. pozyskał samodzielnie, bez dokonywania czynności bankowych. Sąd pierwszej instancji prawidłowo zinterpretował stosowaną normę materialną, a następnie przeprowadził poprawny proces jej zastosowania do tak ustalonego stanu faktycznego, skutkiem czego prawidłowo zastosował w kolejnym kroku normę sankcjonującą.
Artykuł 141 § 4 p.p.s.a. stanowi, że uzasadnienie wyroku powinno zawierać zwięzłe przedstawienie stanu sprawy, zarzuty podniesione w skardze, stanowiska pozostałych stron, podstawę prawną rozstrzygnięcia oraz jej wyjaśnienie. Jeżeli w wyniku uwzględnienia skargi sprawa ma być ponownie rozpatrzona przez organ administracji, pisemne motywy powinny ponadto obejmować wskazania co do dalszego postępowania. Przepis ten określa zatem niezbędne elementy uzasadnienia, których zamieszczenie pozwala odtworzyć sposób rozumowania sądu, który doprowadził do takiego właśnie rozstrzygnięcia. Wskazuje on w swej treści na trzy elementy, które muszą się znaleźć w uzasadnieniu wyroku:
a) opis historyczny sprawy, zawierający prezentację jej okoliczności faktycznych, przebiegu i stanowisk stron do momentu podjęcia ostatecznego rozstrzygnięcia (decyzji, postanowienia bądź innej czynności administracyjnej) zaskarżonego do sądu administracyjnego,
b) prezentacje stanowisk stron w postępowaniu sądowoadministracyjnym obejmującą w pierwszym rzędzie zarzuty skargi oraz argumenty strony przeciwnej zawarte w odpowiedzi na nią, uzupełnione ewentualnie o stanowiska innych uczestników postępowania oraz
c) stanowisko sądu obejmujące wskazanie podstawy prawnej rozstrzygnięcia wraz z jej wyjaśnieniem.
Sporządzenie uzasadnienia jest czynnością następczą w stosunku do podjętego rozstrzygnięcia, stąd też tylko w nielicznych sytuacjach naruszenie tej normy prawnej może stanowić skuteczną podstawę skargi kasacyjnej. O naruszeniu tego przepisu można mówić w przypadku, gdy uzasadnienie zaskarżonego wyroku nie spełnia jednego z ustawowych, wymienionych w jego treści warunków. Wyrok sądu pierwszej instancji nie będzie poddawał się kontroli sądowoadministracyjnej w przypadku braku wymaganych prawem części (np. nieprzedstawienia stanu sprawy, czy też niewskazania lub niewyjaśnienia podstawy prawnej rozstrzygnięcia), a także wówczas, gdy będą one co prawda obecne, niemniej jednak obejmować będą treści podane w sposób niejasny, czy też nielogiczny, uniemożliwiający jednoznaczne ustalenie stanu faktycznego i prawnego, stanowiącego podstawę kontrolowanego wyroku sądu (por. wyroki NSA z dnia 15 czerwca 2010 r., II OSK 986/09; z dnia 12 marca 2015 r., I OSK 2338/13, publik. CBOSA).
Wbrew odmiennemu w tym względzie stanowisku skarżącej, Sąd pierwszej instancji nie naruszył art. 141 § 4 p.p.s.a. Uzasadnienie zaskarżonego wyroku zostało sporządzone w sposób umożliwiający kontrolę instancyjną, w szczególności zawiera wszystkie elementy konstrukcyjne wymienione w powyższym przepisie prawa i pozwala jednoznacznie ustalić przesłanki, jakimi kierował się wojewódzki sąd administracyjny podejmując zaskarżone orzeczenie. Uzasadnienie zaskarżonego wyroku zawiera też stanowisko co do stanu faktycznego przyjętego za podstawę zaskarżonego rozstrzygnięcia. Natomiast z treści skargi kasacyjnej wynika, że za pomocą zarzutu naruszenia art. 141 § 4 p.p.s.a. autor skargi kasacyjnej w istocie próbuje zwalczać prawidłowość przyjętej przez Sąd pierwszej instancji wykładni prawa materialnego. Jest to jednak bezskuteczne, gdyż wykładnia przepisów prawa materialnego dokonywana jest na etapie poprzedzającym wydanie wyroku, zaś przepis art. 141 § 4 p.p.s.a. naruszony może być na etapie jego pisemnego uzasadniania, tj. po jego wydaniu. To zaś ze względu na kolejność dokonywania poszczególnych czynności procesowych przez sąd oznacza, że nie doszło do naruszenia ww. przepisu.
W konsekwencji powyższego żaden z zarzutów określonych w punktach 1.1.-1.2. nie mógł okazać się uzasadniony.
Naczelny Sąd Administracyjny uznał, że wniosek z 5 listopada 2025 r. o skierowanie do Trybunału Sprawiedliwości Unii Europejskiej pytań prejudycjalnych, w oparciu o art. 267 Traktatu o funkcjonowaniu Unii Europejskiej, nie zasługiwał na uwzględnienie. Przedmiotem pytania prejudycjalnego może być wykładnia prawa unijnego. W skardze kasacyjnej nie podniesiono zaś zarzutu błędnej wykładni prawa UE, co oznacza, że ewentualne pozytywne rozpatrzenie pytania prejudycjalnego przez TSUE pozostawałoby bez wpływu na sposób rozpatrzenia skargi kasacyjnej. Na tym etapie postępowania nie jest możliwa jej zmiana lub uzupełnienie. Naczelny Sąd Administracyjny jest związany granicami skargi kasacyjnej, a to oznaczało, iż bez względu na treść wykładni prawa dokonanej przez TSUE nie możliwe było jej uwzględnienie w toku postępowania przed Naczelnym Sądem Administracyjnym.
W konsekwencji tego Naczelny Sąd Administracyjny, działając na podstawie art. 184 p.p.s.a., uznał skargę kasacyjną za pozbawioną podstaw.
O kosztach postępowania kasacyjnego orzeczono na podstawie art. 204 pkt 1 i art. 205 § 2 p.p.s.a.