II SA/Wa 938/09
2010-03-04
II SA/Wa 938/09 – Wyrok WSA
Orzeczenie nieprawomocne
WYROK
W IMIENIU RZECZYPOSPOLITEJ POLSKIEJ
dnia 17 grudnia 2009 r.
Wojewódzki Sąd Administracyjny w Warszawie po rozpoznaniu na rozprawie w dniu 7 grudnia 2009 r. sprawy ze skargi M. M. na decyzję Generalnego Inspektora Ochrony Danych Osobowych z dnia [...] kwietnia 2009 r. nr [...] w przedmiocie ochrony danych osobowych
oddala skargę
Uzasadnienie
W skardze do Generalnego Inspektora Ochrony Danych Osobowych M. M. wskazał na bezpodstawne umieszczenie jego danych osobowych w "Bankowym Rejestrze Dłużników Niewypłacalnych", tj. Systemie Międzybankowej Informacji Gospodarczej - Bankowy Rejestr, prowadzonym przez Związek Banków Polskich z siedzibą w W. i wniósł o nakazanie przywrócenia stanu zgodnego z prawem, polegającego na usunięciu danych z Bankowego Rejestru.
W celu wyjaśnienia okoliczności przedmiotowej sprawy Generalny Inspektor Ochrony Danych Osobowych wszczął postępowanie administracyjne i dokonał następujących ustaleń:
M. Sp. z o.o. z siedzibą w W., reprezentowana przez Prezesa Zarządu M. M. w dniu [...] października 1998 r., zawarła z Bankiem [...] S.A. z siedzibą w W. umowę nr [...] o kredyt obrotowy na rachunku bieżącym. Bank, w wyniku pogarszającej się sytuacji ekonomiczno-finansowej Spółki, w dniu [...] kwietnia 1999 r. wypowiedział umowę o kredyt, wyznaczając siedmiodniowy termin spłaty zadłużenia. Kredyt nie został spłacony. Nieuregulowanie zobowiązań wynikających z zawartej umowy skutkowało zgłoszeniem klienta do Międzybankowej Informacji Gospodarczej - Bankowy Rejestr. W Rejestrze znajdują się dane skarżącego wyłącznie w zakresie imienia i nazwiska w rekordzie dotyczącym podmiotu M. Sp. z o.o. jako dane osoby, która w imieniu Spółki zawarła umowę o kredyt obrotowy.
W tym stanie faktycznym sprawy Generalny Inspektor Ochrony Danych Osobowych decyzją nr [...] z dnia [...] stycznia 2009 r., wydaną na podstawie art. 104 § 1 Kodeksu postępowania administracyjnego oraz art. 12 pkt 2, art. 22 i art. 23 ust. 1 pkt 2 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. z 2002 r. Nr 101, poz. 926 ze zm.) w związku z art. 105 ust. 4 i art. 105a ust. 1 ustawy z dnia 29 sierpnia 1997 r. - Prawo bankowe (Dz. U. z 2002 r. Nr 72, poz. 665 ze zm.), odmówił uwzględnienia wniosku.
Dokonując analizy stanu prawnego w uzasadnieniu wydanej decyzji, GIODO wskazał, iż przesłanką legalizującą przetwarzanie danych osobowych skarżącego w Bankowym Rejestrze jest art. 23 ust. 1 pkt 2 ustawy o ochronie danych osobowych w zw. z art. 105 ust. 4 i art. 105a ust. 1 ustawy - Prawo bankowe. Powołane przepisy Prawa bankowego stanowią podstawę przetwarzania danych osobowych klientów banków przez banki i instytucje takie, jak Związek Banków Polskich w czasie trwania zobowiązania łączącego bank i klienta banku. Skoro zatem istnieje wyraźny przepis Prawa bankowego zezwalający na przetwarzanie danych osobowych przez banki i ZBP, to przetwarzanie znajduje oparcie w powołanym art. 23 ust. 1 pkt 2 ustawy o ochronie danych osobowych.
Generalny Inspektor stwierdził, iż dane osobowe skarżącego przekazane przez Bank do Związku Banków Polskich, to informacja, w posiadanie której Bank wszedł w związku z zawarciem umowy kredytowej z M. Sp. z o.o. w czasie, gdy członkiem zarządu Spółki był M. M. Wobec niespłacenia przez Spółkę zobowiązania, Bank w dniu [...] stycznia 2000 r. umieścił je w Bankowym Rejestrze i przekazano zarazem dane osobowe skarżącego, jako informacje dotyczące wymienionej czynności bankowej. W ocenie Generalnego Inspektora podpisanie przez skarżącego pełniącego funkcję członka zarządu w imieniu Spółki umowy z bankiem, było wystarczającą przesłanką legalizującą przetwarzanie danych w zakresie imienia i nazwiska tej osoby.
Po ponownym rozpatrzeniu sprawy Generalny Inspektor Ochrony Danych Osobowych decyzją nr [...] z dnia [...] kwietnia 2009 r., utrzymał w mocy zaskarżoną decyzję. Uznał ją za prawidłową tak pod względem ustaleń faktycznych, jak i ocen prawnych. Ponownie wskazując na treść przepisów art. 23 ust. 1 pkt 2 ustawy o ochronie danych osobowych oraz art. 105 ust. 4 i art. 105a ust. 1 Prawa bankowego stwierdził, iż stanowią one podstawę prawną przetwarzania danych osobowych skarżącego w Bankowym Rejestrze. Organ podkreślił, iż dane osobowe skarżącego figurują w Rejestrze wyłącznie w zakresie jego imienia i nazwiska w powiązaniu z wpisem o treści M. Sp. z o.o., datą zgłoszenia tej informacji do rejestru oraz nazwą podmiotu, który dokonał zgłoszenia, tj. Bankiem. Zatem z wpisu nie wynika, jak podnosi skarżący, fakt pełnienia przez niego funkcji członka zarządu Spółki, ani tym bardziej by funkcję tę pełnił nadal.
W skardze do Wojewódzkiego Sądu Administracyjnego w Warszawie M. M. zarzucił powyższej decyzji:
1. naruszenie prawa materialnego, tj.:
art. 23 ust. 1 pkt 2 ustawy o ochronie danych osobowych w związku z art. 105 ust. 4, art. 105a ust. 1 Prawa bankowego poprzez przyjęcie, że przepisy te stanowią podstawę prawną przetwarzania jego danych osobowych, w sytuacji gdy nie był on klientem ani dłużnikiem Banku [...] S.A., który bezpodstawnie przekazał dane do Związku Banków Polskich, powodując umieszczenie ich w "Bankowym Rejestrze Dłużników Niewypłacalnych, tj. Systemie Międzybankowej Informacji Gospodarczej - Bankowy Rejestr,
art. 105 ust. 4 Prawa bankowego poprzez jego błędną interpretację prowadzącą do nietrafnego przyjęcia, że przepis ten jest źródłem uprawnienia, o którym mowa w art. 23 ust. 1 pkt 2 ustawy o ochronie danych osobowych, w sytuacji gdy przepis ten stanowi wyłącznie podstawę do utworzenia Związku Banków Polskich w celu realizacji określonych w nim zadań, a nie daje podstaw do przetwarzania danych w formie przekazywania, gromadzenia, udostępniania,
art. 105a ust. 1 Prawa bankowego w zw. z art. 23 ust. 1 pkt 2 ustawy o ochronie danych osobowych poprzez jego niewłaściwe zastosowanie polegające na uznaniu, że przepis ten uprawniał Bank [...] i Związek Banków Polskich do przetwarzania danych osobowych skarżącego, w sytuacji gdy przekazanie danych osobowych skarżącego nastąpiło w styczniu 2000 r., a art. 105a ust. 1 został dodany do Prawa bankowego przez art. 3 pkt 2 ustawy z dnia 15 kwietnia 2005 r. o zmianie ustawy o ochronie informacji niejawnych oraz niektórych innych ustaw (Dz. U. z 2005 r. Nr 85, poz. 727) z dniem 16 czerwca 2005 r.,
art. 23 kc., art. 47 Konstytucji RP poprzez nieusunięcie danych osobowych skarżącego z Rejestru, prowadzące do naruszenia jego dóbr osobistych, w szczególności wizerunku, dobrego imienia,
2. naruszenie przepisów postępowania mające istotny wpływ na wynik sprawy, tj. art. 7 k.p.a. poprzez niedokładne wyjaśnienie stanu faktycznego sprawy i nieuwzględnienie słusznego interesu skarżącego.
Wskazując na powyższe, skarżący wniósł o uchylenie zaskarżonej decyzji oraz utrzymanej nią w mocy decyzji GIODO z dnia [...] stycznia 2009 r. i zasądzenie kosztów postępowania.
W odpowiedzi na skargę Generalny Inspektor Ochrony Danych Osobowych wniósł o jej oddalenie oraz podtrzymał argumentację przedstawioną w uzasadnieniu zaskarżonej decyzji.
Wojewódzki Sąd Administracyjny w Warszawie zważył, co następuje:
Zgodnie z art. 1 § 1 i 2 ustawy z dnia 25 lipca 2002 r. - Prawo o ustroju sądów administracyjnych (Dz. U. Nr 153, poz. 1269 ze zm.), sądy administracyjne sprawują wymiar sprawiedliwości przez kontrolę działalności administracji publicznej pod względem zgodności z prawem, jeżeli ustawy nie stanowią inaczej.
Skarga analizowana w aspekcie tych podstaw nie zasługuje na uwzględnienie. Zarówno zaskarżona, jak i poprzedzająca ją decyzja Generalnego Inspektora Ochrony Danych Osobowych, odmawiająca uwzględnienia wniosku skarżącego o nakazanie wykreślenia jego danych osobowych z Bankowego Rejestru prowadzonego przez Związek Banków Polskich pn. System Międzybankowej Informacji Gospodarczej, nie naruszają prawa.
Na wstępie zauważyć należy, iż celem ustawy o ochronie danych osobowych nie jest jedynie ochrona interesów tych, których przetwarzane dane osobowe dotyczą, lecz przede wszystkim służy ona stworzeniu granic ochrony poprzez regulację zakresu i trybu przetwarzania danych. Omawiana ustawa w art. 1 stanowi, iż każdy ma prawo do ochrony dotyczących go danych osobowych, natomiast dane osobowe mogą być przetwarzane, jeżeli służy to dobru publicznemu, dobru osoby, której dane dotyczą lub dobru osób trzecich. Ochrona danych osobowych, na podstawie przepisów powołanej ustawy, nie powinna być oderwana od przepisów służących ochronie innych wartości.
W ocenie Sądu, Generalny Inspektor Ochrony Danych Osobowych trafnie wskazuje, iż przesłankę legalności przetwarzania danych osobowych skarżącego stanowił art. 23 ust. 1 pkt 2 ustawy o ochronie danych osobowych. Jak wynika z tego przepisu, przetwarzanie danych osobowych jest dopuszczalne, jeżeli jest to niezbędne dla zrealizowania uprawnienia lub spełnienia obowiązku wynikającego z przepisu prawa. Uprawnienia takie dla Banku wynikają z art. 105 ust. 4 ustawy - Prawo bankowe, według którego banki mogą wspólnie z bankowymi izbami gospodarczymi utworzyć instytucje upoważnione do gromadzenia, przetwarzania i udostępniania:
1. bankom - informacji stanowiących tajemnicę bankową w zakresie, w jakim informacje te są potrzebne w związku z wykonywaniem czynności bankowych oraz w związku ze stosowaniem metod statystycznych, o których mowa w art. 128 ust. 3 oraz w art. 128d ust. 1,
2. innym instytucjom ustawowo upoważnionym do udzielania kredytów - informacji stanowiących tajemnicę bankową w zakresie, w jakim informacje te są niezbędne w związku z udzielaniem kredytów, pożyczek pieniężnych, gwarancji bankowych i poręczeń.
Powyższa regulacja została uzupełniona przepisem art. 105a ust. 1 Prawa bankowego, który stanowi, iż przetwarzanie przez banki, inne instytucje ustawowo upoważnione do udzielania kredytów oraz instytucje utworzone na podstawie art. 105 ust. 4, informacji stanowiących tajemnicę bankową w zakresie dotyczącym osób fizycznych może być wykonywane, z zastrzeżeniem art. 104, art. 105 i art. 106-106c, w celu oceny zdolności kredytowej i analizy rynku kredytowego.
Powołane przepisy stanowią podstawę do przetwarzania danych osobowych osób fizycznych objętych tajemnicą bankową przez banki i instytucje takie, jak Związek Banków Polskich.
Jakkolwiek dane osobowe skarżącego zostały przekazane w styczniu 2000 r., zanim zaczął obowiązywać art. 105a ust. 1 Prawa bankowego, to jak słusznie zauważa Generalny Inspektor, ocena legalności przetwarzania danych następuje według stanu na dzień wydania decyzji, zaś na ten moment brak było podstaw prawnych do sformułowania nakazu usunięcia danych skarżącego, o którym mowa w art. 18 ust. 1 pkt 6 ustawy o ochronie danych osobowych. Niezależnie od powyższego organ trafnie wskazuje, iż z art. 6 wyżej powołanej ustawy o zmianie ustawy o ochronie informacji niejawnych i niektórych ustaw, zgodnie z którym banki, inne instytucje ustawowo upoważnione do udzielania kredytów oraz instytucje utworzone na podstawie art. 105 ust. 4 Prawa bankowego obowiązane są dostosować przetwarzanie informacji zgromadzonych przed dniem wejścia w życie tej ustawy do wymagań w niej określonych, w terminie nie dłuższym niż 3 lata od wejścia w życie ustawy, wynika, iż dyspozycją przepisu art. 105a ust. 1 Prawa bankowego objęte jest również przetwarzanie danych, które miało miejsce w momencie wejścia w życie tego przepisu.
W sprawie jest bezsporne, iż skarżący nie jest dłużnikiem Banku [...]. Zobowiązanie zaciągnęła M. Sp. z o.o., w imieniu której działał skarżący jako prezes zarządu. Jego dane osobowe w zakresie imienia i nazwiska "M. M." zostały zgłoszone do Systemu - Bankowy Rejestr przez Bank [...] S.A. w dniu [...] stycznia 2000 r. i umieszczone w rekordzie podmiotu M. Sp. z o.o. jako informacja dotycząca zawartej z jego udziałem umowy kredytowej. W sprawie nie ma znaczenia, iż skład zarządu Spółki zmienił się po zawarciu tej umowy zwłaszcza jeśli się zważy, że zmiany te nie zostały ujawnione w Rejestrze Handlowym i M. M. figuruje w nim jako osoba uprawniona do reprezentowania Spółki "M.", co wynika ze złożonego na rozprawie odpisu z Rejestru.
Konkludując, należy wskazać, iż organ dokonał właściwej analizy całości sprawy i zasadnie odmówił uwzględnienia wniosku nakazującego usunięcie danych z Bankowego Rejestru.
W kwestii pozostałych zarzutów Sąd uznał, iż również nie zasługują one na uwzględnienie. W przeprowadzonym postępowaniu administracyjnym organ nie naruszył art. 7 k.p.a. i stosownie do dyspozycji tego przepisu podjął wszelkie kroki niezbędne do dokładnego wyjaśnienia stanu faktycznego oraz załatwienia sprawy, mając na względzie interes społeczny i słuszny interes obywateli. Uzasadnienie zaskarżonej decyzji spełnia wymogi, o których mowa w art. 107 § 3 k.p.a. Organ odniósł się także do wniosków i zarzutów skarżącego oraz dokonał właściwej analizy całości sprawy i wydał prawidłowe rozstrzygnięcie.
Generalny Inspektor Ochrony Danych Osobowych dokonał oceny legalności udostępnienia danych skarżącego na rzecz Związku Banków Polskich pod kątem zgodności z przepisami ustawy o ochronie danych osobowych, zatem zarzuty naruszenia art. 47 Konstytucji i art. 23 Kodeksu cywilnego, nie mogą być uznane za trafne.
Z tych względów, Wojewódzki Sąd Administracyjny w Warszawie, na podstawie art. 151 ustawy z dnia 30 sierpnia 2002 r. - Prawo o postępowaniu przed sądami administracyjnymi (Dz. U. Nr 153, poz. 1270 ze zm.), orzekł jak w sentencji wyroku.
