Projekt Unijnego Rozporządzenia dot. ochrony danych osobowych
Na stronie internetowej KE możemy zapoznać się z projektem nowego aktu prawnego, który ma obowiązywać również w Polsce....

  
Wyszukiwarka orzeczeń i decyzji

Jeśli są Państwo zainteresowani otrzymaniem darmowego newslettera z informacjami dotyczącymi prawnej ochrony danych prosimy o podanie adresu e-mail:


Dodaj Usuń

Administratorem Twoich danych osobowych, udostępnionych dobrowolnie, jest Omni Modo z siedzibą w Warszawie (03-937), przy ul. Zwycięzców 45/29. Dane osobowe będą przetwarzane w celu przesyłania newslettera oraz będą udostępniane innym podmiotom współpracującym z Administratorem. Przysługuje Ci prawo dostępu do treści swoich danych oraz ich poprawiania.

Wyrażam zgodę na przesyłanie na udostępniony przeze mnie adres poczty elektronicznej newslettera zawierającego informację handlową w rozumieniu ustawy z dnia 18 lipca 2002 r. o świadczeniu usług drogą elektroniczną (Dz. U. 2002 nr 144 poz. 1204 z późn. zm.).

Więcej informacji dotyczących ochrony danych osobowych Użytkowników i Regulamin świadczenia usług drogą elektroniczną tutaj


  

>Orzecznictwo>WSA>2005 >



II SA/Wa 2030/04
2009-04-09

Orzeczenie prawomocne

W Y R O K

W IMIENIU RZECZYPOSPOLITEJ POLSKIEJ

Dnia 22 lutego 2005 r.

Wojewódzki Sąd Administracyjny w Warszawie po rozpoznaniu  na rozprawie w dniu 22 lutego 2005 r. sprawy ze skargi B. na decyzję Generalny Inspektor Ochrony Danych Osobowych z dnia … Nr …w przedmiocie Ochrona danych osobowych

Oddalono skargę


UZASADNIENIE

Generalny Inspektor Ochrony Danych Osobowych decyzją z dnia … nr … na podstawie art. 138 § 1 pkt 2 kpa oraz art. 12 pkt 2 i art. 18 ust. 1 pkt 1 w związku z art. 26 ust. 1 pkt 4 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. z 2002 r. Nr 101, poz. 926 ze zm.), po rozpatrzeniu wniosku B. S.A. o ponowne rozpatrzenie sprawy w części nakazującej zaprzestania przetwarzania danych osób, których rachunki zostały zamknięte, uchylił pkt 1 decyzji z dnia … nr … i nakazał usunięcie uchybień w procesie przetwarzania danych osobowych poprzez zaprzestanie przetwarzania danych osób, których rachunki kredytowe zostały zamknięte w związku z uzyskaną od banku lub innej instytucji ustawowo upoważnionej do udzielania kredytów, informacją o okoliczności powodującej jego zamknięcie, od dnia kiedy decyzja stanie się ostateczna.
GIODO uzasadniając zaskarżoną decyzję wskazał, że:
•    Przepis art. 105 ust. 4 ustawy z dnia 29 sierpnia 1997 r. Prawo bankowe (Dz. U. z 2002 r. Nr 72, poz. 665 ze zm.), będący podstawą prawną przetwarzania danych osobowych przez B. S.A. nie określa okresów przechowywania danych osób, których rachunki zostały zamknięte, ani też nie zawiera upoważnienia do jego określenia w przepisach wewnętrznych. Wobec tego, Regulamin zbierania i udostępniania informacji przez B.  S.A. jako akt wewnętrzny nie jest, stosownie do art. 87 ust. 1 Konstytucji RP, źródłem powszechnie obowiązującego prawa. Uznano więc, że przetwarzanie przez B. S. A. z siedzibą w W. danych osób, których rachunki zostały zamknięte, przez czas określony w Regulaminie zbierania i udostępniania informacji przez B. S.A. tj. przez okres 5 lat od dnia zamknięcia rachunku dla rachunków niewykazujących zaległości powyżej 30 dni lub przez okres 7 lat od dnia zamknięcia rachunków wykazujących zaległości powyżej 30 dni oznacza, że dane te są przechowywane w postaci umożliwiającej identyfikację osób, których dotyczą, dłużej niż jest to niezbędne do osiągnięcia celu przetwarzania danych (obniżenia ryzyka kredytowego), a w konsekwencji narusza art. 26 ust. 1 pkt 4 ustawy o ochronie danych osobowych.
•    GIODO uznał także, że w konsekwencji przetwarzania danych przez okres wskazany w Regulaminie naruszony został także art. 47 Konstytucji tj. prawo osoby fizycznej do ochrony danych osobowych.
•    Organ wskazał, że podstawy prawnej do przetwarzania danych przez okres wskazany w powołanym Regulaminie nie stanowi art. 23 ust. 1 pkt 5 ustawy o ochronie danych osobowych, ponieważ przetwarzanie danych w oparciu o tę przesłankę nie może prowadzić do naruszenia praw i wolności osób, których dane dotyczą. W tym kontekście wskazał art. 7 lit. f Dyrektywy Parlamentu Europejskiego Rady nr 95/46/WE z dnia 24 października 1995 r. w sprawie ochrony osób fizycznych w zakresie przetwarzania danych osobowych oraz swobodnego przepływu tych danych (DZ. Urz.WE L281 z 23 listopada 1995 r.), a także powołał orzeczenie Sądu Apelacyjnego w Gdańsku z dnia 15 marca 1996 r. (OSN z 1996 r. z. 7 – 8, poz. 31), z którego wynika, że usprawiedliwiony cel administratora danych nie może przeważać nad prawami i wolnościami jednostki.
•    Zdaniem organu, w sprawie nie znalazła także zastosowania przesłanka dopuszczalności przetwarzania danych osobowych wynikająca z art. 23 ust. 1 pkt 4 ustawy o ochronie danych osobowych, przyjmująca dopuszczalność przetwarzania danych, w sytuacji gdy jest to niezbędne do wykonywania określonych prawem zadań realizowanych dla dobra publicznego. Administrator danych może powołać się na tę przesłankę, gdy brak jest przepisów wprost go upoważniających do przetwarzania danych, a ze względu na konieczność wykonania określonych zdań realizowanych dla dobra publicznego dane muszą być przetwarzane bez zgody osób, których dotyczą. W warunkach przedmiotowej sprawy przepisem upoważniającym B.  S.A. do przetwarzania danych jest jak wcześniej wskazano przepis art. 105 ust. 4 Prawa bankowego, a ponadto charakter zadań nie potwierdza, że są one realizowane dla dobra publicznego, ponieważ zbiór danych prowadzi w imieniu własnym, polegającym na odpłatnym udostępnianiu bankom i innym instytucjom ustawowo upoważnionym do udzielenia kredytów danych przetwarzanych w tym zbiorze.
•    Organ wskazał, że ocena zasadności rozwiązań przyjętych w Regulaminie zbierania i udostępniania informacji przez B. S.A. dotyczących przetwarzania danych osobowych mogłaby następować na przykład w oparciu o przepisy ustawy z dnia 14 lutego 2003 r. o udostępnianiu informacji gospodarczych (Dz. U. Nr 50, poz. 424), w której przewidziano w art. 20 ust. 1 pkt 1, że w przypadku całkowitego zaspokojenia zobowiązania, jego wygaśnięcia lub odroczenia jego wykonania przedsiębiorca jest obowiązany niezwłocznie, jednak nie później niż w terminie 14 dni, zażądać od biura, któremu przekazał dane o zobowiązaniu lub o posłużeniu się cudzym dokumentem, usunięcia tych danych.
W skardze do Sądu wywiedzionej przez pełnomocnika, a następnie uzupełnionej pismami procesowymi z dnia 14 października 2004 r. i 20 listopada 2004 r. wniesiono o uchylenie zaskarżonej decyzji i zwrot kosztów postępowania w tym zwrot kosztów zastępstwa procesowego.
Zaskarżonej decyzji zarzucono naruszenie art. 23 ust. 1 pkt 2, pkt 4 i pkt 5, art. 26 ust. 1 pkt 4 ustawy ochronie danych osobowych, oraz art. 50 ust. 2, 70 ust. 1 i art. 105 ustawy – Prawo bankowe, a także art. 8, 10, 75 § 1, 77 § 1, 81 kpa.
W uzasadnieniu skargi podniesiono, że:
•    GIODO błędnie zakwalifikował jako podstawę przetwarzania danych Regulamin, niebędący przepisem obowiązującego prawa i rozpatrywał wymagania stawiane dla przetworzenia danych kredytobiorców po zamknięciu rachunków kredytowych w oparciu o art. 23 ust. 1 pkt 4 i 5 powołanej ustawy. Fakt ten w konsekwencji spowodował, że uzasadnienie decyzji dotyczy w większości kwestii związanych z ochroną interesów osób, których dane dotyczą. Podano, że przetwarzanie tych danych przez B.  spełnia także i te przesłanki lecz podstawą przetwarzania danych przez B.  S.A. jest przepis art. 23 ust. 1 pkt 2 ustawa o ochronie danych osobowych, ponieważ podstawą przetwarzania danych przez B.  jest art. 105 ust. 4 Prawa bankowego.
•    W związku z obowiązkami nałożonymi na banki przepisem art. 50 ust. 2 i 70 ust. 1 ustawy - Prawo bankowe, wprowadzono w art. 105 ust. 4 tej ustawy możliwość utworzenia przez banki instytucji takiej jak B.  S.A. Przepisy te nakładają na banki obowiązek szczególnej staranności w zakresie zapewnienia bezpieczeństwa przechowywanych środków pieniężnych i uzależniają przyznanie kredytu od zdolności kredytowej kredytobiorcy. Na zdolność kredytową zaś składają się: zdolność do spłaty zobowiązań i wiarygodność kredytowa. Pozbawiając banki możliwości uzyskania informacji niezbędnych do badania wiarygodności kredytowej uniemożliwia się tym samym 1) minimalizację ryzyka kredytowego, co skutkuje zmniejszeniem bezpieczeństwa w zakresie przechowywanych środków, 2) precyzyjne określenie zdolności kredytowej, od czego zależy przyznanie kredytu. Dając podstawę w przepisie art. 105 ust. 4 ustawy –Prawo bankowe do utworzenia, instytucji za pośrednictwem, której bank otrzymuje informacje w tym zakresie z większości banków przeznaczono jej rolę „służebną”, administracyjną niejako wyręczając z konieczności uzyskiwania stosownych informacji indywidualnie od każdego z kilkuset banków działających indywidualnie na rynku. Usunięcie danych z B.  utrudni także działania organów wymiaru sprawiedliwości, ponieważ będą one się musiały zwracać do poszczególnych banków i instytucji kredytowych, miast skorzystać z informacji zcentralizowanych znajdujących się w B.  S.A. 
•    Naruszony został przepis art. 105 ust. 4 Prawa bankowego i art. 26 ust. 1 pkt 4 ustawy przez przyjęcie, że cel przetwarzania może trwać tylko do zamknięcia rachunku kredytowego. Zdaniem wnoszącego skargę przepis ten w ogóle nie rozgranicza sytuacji przetwarzania danych w trakcie trwania umowy kredytowej od sytuacji przetwarzania danych po wygaśnięciu umowy kredytowej. Informacje o kredytobiorcach mogą być przetwarzane i udostępniane w zakresie, w jakim są one „potrzebne w związku z wykonywaniem czynności bankowych” (art. 105 ust. 4 pkt 1), „niezbędne w związku z udzielaniem kredytów, pożyczek pieniężnych, gwarancji bankowych i poręczeń” (art. 105 ust. 4 pkt 2). Te zapisy dotyczące biur informacji kredytowej są takie same jak zapisy dotyczące udostępnienia przez banki informacji stanowiących tajemnicę bankową innym bankom: „niezbędne w związku z wykonywaniem czynności bankowych” (art. 105 ust. 1 pkt 1). Tak więc zakres przetwarzania i udostępniania informacji przez biura informacji kredytowej jest taki sam jak uprawnienia banków do uzyskania danych od innych banków i determinowane przez potrzeby lub niezbędność tych informacji dla udzielania kredytów, pożyczek itp. Zdaniem wnoszącego skargę przepis ten stanowiąc o niezbędności odnosi się zarówno do zakresu informacji, jak i czasu gromadzenia i udostępniania oraz celu przetwarzanych danych. O ile do zdolności do spłaty wystarczy informacja na temat bieżących zobowiązań, to już, jeśli chodzi o drugi element zdolności kredytowej tj. wiarygodności kredytowej to bazuje ona przede wszystkim na informacji o przebiegu spłaty poprzednich zobowiązań. Tak więc, historia kredytowa klienta jest traktowana jako podstawowy element oceny jego wiarygodności kredytowej. Jeśli chodzi o okres przetwarzania tych danych, jaki jest niezbędny w związku z udzielaniem kredytów to determinuje go praktyka udzielania kredytów i potrzeby banków w zakresie udzielania kredytów. Odzwierciedleniem tych potrzeb jest Regulamin, stanowiący wewnętrzny akt korporacji do stosowania, którego uprawniają umowy zawierane z bankami.
•    Ograniczenie czasu przetwarzania danych poprzez nakazanie zaprzestania przetwarzania danych osób, których rachunki zostały zamknięte GIODO arbitralne przyjął, że od chwili zamknięcia rachunku przechowywanie danych nie jest niezbędne dla osiągnięcia celu przetwarzania. Zdaniem skarżącego dla ustalenia, czy przetwarzanie danych jest niezbędne dla powyższego celu, zgodnie z art. 105 ust. 4 ustawy - Prawo bankowe organ winien przeprowadzić postępowanie dowodowe, które pozwoliłoby na ustalenie, w jakim zakresie czasu przetwarzanie jest niezbędne, w związku z wykonywaniem czynności bankowych lub w związku z udzielaniem kredytów, pożyczek. Dowodami byłyby opinie biegłych, podręczniki i prace z zakresu bankowości dotyczące udzielenia kredytów, opinie i oświadczenia banków, ich zrzeszeń, instytucji nadzorujących system bankowy. Postępowania wyjaśniającego w tym zakresie nie przeprowadzono i nie odniesiono się do kwestii niezbędności informacji przetwarzanych przez B.  w związku z udzieleniem kredytów jako okoliczności zasadniczej dla rozstrzygnięcia sprawy. Ponadto nie ustosunkowano się do argumentu, że przetwarzanie danych z zakresu historii kredytowej kredytobiorców przez instytucje będące odpowiednikiem B. S.A. jest standardem światowym. Zwrócono uwagę, że art. 105 ust. 4 Prawa bankowego został wprowadzony do polskiego systemu prawnego w momencie, gdy w innych krajach europejskich istniała już ugruntowana praktyka w zakresie działalności biur informacji kredytowych, których celem jest umożliwienie bankom badania historii kredytowej klientów. Gdyby ustawodawca zamierzał odciąć polską regulację od regulacji obcych dotyczących tej samej kwestii, to zrobiłby to zapewne wprost wskazując jedynie na możliwość przetwarzania tylko danych aktualnych.
•    Zdaniem wnoszącego skargę, doszło do naruszenia zasady pogłębiania zaufania do organów Państwa wyrażonej w art. 8 kpa przez zmianę poglądów GIODO, co do okresu przechowywania danych dotyczących historii kredytowej. Jak bowiem wynika, z sprawozdań tego organu za rok 2000 i 2001 GIODO uznał działania banku podejmowane w związku ze sprawdzeniem zdolności kredytowej za zgodne z obowiązującym prawem. Również nie kwestionowano uprawnień banku do gromadzenia danych i analizy sytuacji majątkowej przyszłych kredytobiorców, do badania, czy osoba występująca do banku celem zawarcia umowy kredytu była już wcześniej zadłużona, oraz kontroli rzetelności wywiązywania się przez tę osobę z zaciągniętych zobowiązań.
Również po wydaniu zaskarżonej decyzji pogląd GIODO, co do tych kwestii uległ zmianie, ponieważ w piśmie z dnia 28 września 2004 r. skierowanym do Sejmowej Podkomisji Nadzwyczajnej do rozpatrzenia rządowego projektu ustawy o ochronie informacji niejawnych uznano niezbędność dłuższego przetwarzania danych o nierzetelnych kredytobiorcach wbrew stanowisku zajętemu w zaskarżonej decyzji, gdzie nakazano usunięcie danych dotyczących ogółu kredytobiorców po zamknięciu ich rachunków kredytowych. Według skarżącego, stanowisko GIODO w sprawie możliwości przetwarzania przez B.  S.A. ograniczy również prawo banków do udzielenia sobie nawzajem informacji o zamkniętych rachunkach, gdyż przesłanki z art. 105 ust. 4 są niemal identyczne jak w ust. 1 pkt 1 tegoż artykułu. Tak, więc utrzymanie w mocy zaskarżonej decyzji skutkować może pozbawienie banków możliwości w ogóle uzyskiwania informacji o niespłaconych kredytach. Zaskarżonej decyzji zarzucono również naruszenie art. 107 kpa, przez nieoznaczenie w decyzji stron, art. 10 kpa przez brak udziału stron zawiadomionych o postępowaniu, którym nie doręczono zaskarżonej decyzji, naruszenie art. 81 kpa przez uniemożliwienie wypowiedzenia się, co do całości zebranego materiału dowodowego, co stanowi przyczynę wznowienia postępowania i przesłankę do uchylenia decyzji przez Sąd. Dodatkowo wskazano także na naruszenie art. 138 § 1 pkt 2 kpa przez zmianę osnowy decyzji zamiast jej uchylenia. Niedopuszczalna jest, zdaniem skarżącego próba zastosowania do B.  S.A. ograniczeń, jakie wprowadza ustawa o udostępnianiu informacji gospodarczych z uwagi na fakt, że przepisy tej ustawy dotyczą innego typu instytucji, jakimi są biura informacji gospodarczych.
•    Odnosząc się do zarzutu naruszenia konstytucyjnie zagwarantowanego prawa osoby fizycznej do ochrony danych osobowych przez przetwarzanie danych kredytobiorców po zamknięciu rachunku przez okres wskazany w Regulaminie B.  S.A. wskazano, że ograniczenia te, o ile istnieją to są wprowadzone ustawą, a więc zgodnie z Konstytucją. Zwrócono uwagę na niekonsekwencję organu, który tym poglądem wyraża stanowisko, że przetwarzanie danych o bieżących rachunkach bankowych nie narusza konstytucyjnego prawa do prywatności w przeciwieństwie do rachunków zamkniętych.
W odpowiedzi na skargę i pismach procesowym ją uzupełniających z dnia 9 listopada 2004 r. i 28 stycznia 2005 r. organ wniósł o jej oddalenie.
Odnosząc się do skargi i pism procesowych ją uzupełniających, wyjaśniono, że przy wydaniu zaskarżonej decyzji brano pod uwagę potrzeby i interesy B.  S.A. oraz banków i innych instytucji, ustawowo upoważnionych do udzielania kredytów, z którymi B.  S.A. zawarło umowy w sprawie zbierania i udostępniania informacji. Wskazano, iż przechowywanie danych osobowych przez B.  S.A. pomimo ustania celu, dla którego zostały zebrane nie może prowadzić do naruszenia strefy prywatności osób fizycznych, niezależnie od tego, jakimi interesami jest uzasadnione. Nie można, zdaniem organu uzasadniać naruszenia (ograniczenia) praw i wolności jednostki koniecznością interesów większej grupy społecznej tym bardziej, że może być to tylko ustanowione w ustawie (art. 31 ust. 3 Konstytucji RP). Podkreślono, że zaskarżona decyzja dotyczy przetwarzania danych przez B.  S.A., a nie przez banki i inne instytucje ustawowo upoważnione do przetwarzania danych osobowych, z którymi B.  S.A. podpisało umowę w sprawie zbierania i udostępniania informacji. Podmioty te będą zatem dysponowały informacjami o zamkniętych rachunkach i do tych podmiotów będą mogły się zwracać organy wymiaru sprawiedliwości oraz organy administracji publicznej jeśli prowadzone przez nie postępowania będą wymagały pozyskania takich danych.
Jeśli chodzi o okresy przechowywania danych przez europejskie biura kredytowe wskazane w skardze, to są one tylko przykładami stosowanych rozwiązań i nie mogą one przesądzać o sposobie rozstrzygnięcia sprawy przez GIODO.
Również za niezasadny uznano zarzut niezasięgnięcia opinii Komisji Nadzoru Bankowego, Związku Banku Polskich oraz banków, ponieważ na Generalnym Inspektorze Ochrony Danych Osobowych spoczywa obowiązek efektywnej ochrony interesów osób, których dane są przetwarzane wynikający z przepisów ustawy o ochronie danych osobowych, Konstytucji RP oraz Dyrektywy Parlamentu Europejskiego z 24 października 1995 r. (95/46/WE). Organ stwierdził, że jeśli skarżący uważał za konieczne uzyskanie opinii w. w. podmiotów to mógł zgodnie z art. 78 § 1 kpa złożyć stosowny wniosek dowodowy. Skarżący zaś nie składał żadnych wniosków dowodowych. Podniesiono, że również banki, z którymi B.  S.A. zawarło umowy miały taką możliwość było im wiadome z zawiadomień o wszczęciu postępowania, które były do nich skierowane, że powstała wątpliwość, czy przechowywanie danych osobowych przez okres podany w powołanym Regulaminie jest niezbędne dla realizacji celu przetwarzania danych tj. obniżenia ryzyka kredytowego. Do tego zawiadomienia odniósł się tylko jeden bank.
Poglądy Generalnego Inspektora Danych Osobowych nie uległy zmianie (art. 8 kpa), co do okresu przechowywania danych dotyczących historii kredytowej, ponieważ przytoczone przez pełnomocnika skarżącego fragmenty sprawozdań dotyczą przetwarzania danych byłych klientów przez banki, a nie przez B. S.A. Również po wydaniu decyzji poglądy, co do tego nie uległy zmianie, ponieważ GIODO wydając decyzje opiera się na obowiązującym prawie, a nie dopiero tworzonym.
Wyjaśniono, że nie jest uzasadniony zarzut naruszenia art. 10 kpa, ponieważ w związku ze zmianą stanowiska GIODO, co do tego kto jest administratorem danych wydane zostały wobec banków decyzje umarzające, a postępowanie wobec B.  S.A. rozszerzone o uchybienia będące przedmiotem postępowania wobec banków. Wobec tego uznano, że decyzja nakazująca mogła zostać wydana tylko wobec B.  SA.
Jeśli zaś chodzi o zarzut naruszenia art. 138 kpa to wskazano, że organ w wyniku rozpatrzenia wniosku o ponowne rozpoznanie sprawy uchylił pkt I. 1. decyzji z dnia 29 grudnia 2004 r. i w tym zakresie orzekł co do istoty sprawy.
Dopuszczony postanowieniem z dnia 7 stycznia 2005 r. w charakterze uczestnika postępowania Związek Banków Polskich poparł skargę i wniósł o uchylenie decyzji Generalnego Inspektora Ochrony Danych Osobowych. Uzasadniając swoje stanowisko w piśmie z dnia 13 września 2004 r. podał, że przetwarzanie danych osób, których rachunki kredytowe zostały zamknięte przez okresy wskazane w Regulaminie nie narusza art. 26 ust. 1 pkt 4 ustawy o ochronie danych osobowych, ponieważ przechowywanie danych w postaci umożliwiającej identyfikację osób jest niezbędne do osiągnięcia celu przetwarzania, jakim jest ochrona bezpieczeństwa depozytów, ochrona klientów banków przed koniecznością podwyższenia kosztów dokonywania czynności bankowych na skutek braku pełnej oceny zdolności kredytowej potencjalnych klientów banków. Uczestnik zwrócił uwagę na doświadczenia zagraniczne w zakresie przetwarzania danych o zamkniętych rachunkach bankowych.

Wojewódzki Sąd Administracyjny w Warszawie zważył, co następuje:

Zgodnie z brzmieniem art. 1 § 1 i 2 ustawy z dnia 25 lipca 2002 r. – Prawo o ustroju sądów administracyjnych (Dz. U. Nr 153, poz. 1269), sąd administracyjny sprawuje wymiar sprawiedliwości poprzez kontrolę pod względem zgodności z prawem zaskarżonej decyzji administracyjnej i to z przepisami obowiązującymi w dacie jej wydania. Rozpatrując skargę pod tym kątem, Sąd nie stwierdził, aby organy podejmujące w badanej sprawie decyzję, dopuściły się naruszenia prawa materialnego, ewentualnie przepisów postępowania administracyjnego w stopniu, w jakim mogłoby to mieć istotny wpływ na wynik sprawy.
W rozpatrywanej sprawie zasadniczym przedmiotem sporu jest możliwość przetwarzania przez B. S.A. z siedzibą w W.  danych osób, których rachunki zostały zamknięte. Dla oceny legalności przetwarzania danych osobowych istotne znaczenie mają przede wszystkim podstawa prawna przetwarzania danych, rodzaj przetwarzanych danych oraz granice przetwarzania.
Materialnoprawną podstawą przetwarzania danych przez B.  S.A. jest art. 23 ust. 1 pkt 2 ustawy o ochronie danych osobowych zgodnie, z którym przetwarzanie danych jest dopuszczalne tylko wtedy, gdy zezwalają na to przepisy prawa. Nie jest kwestionowane przez strony, że podstawą przetwarzania przez B.  S.A. danych osobowych jest przepis art. 105 ust. 4 ustawy z dnia 29 sierpnia 1997 r. – Prawo bankowe. Stosownie do tego przepisu banki mogą wspólnie z bankowymi izbami gospodarczymi utworzyć instytucje do gromadzenia, przetwarzania i udostępniania
•    bankom informacji stanowiących tajemnicę bankową w zakresie, w jakim informacje te są potrzebne w związku z wykonywaniem czynności bankowych,
•    innym instytucjom ustawowo upoważnionym do udzielania kredytów – informacji o wierzytelnościach oraz obrotach i stanach rachunków bankowych w zakresie, w jakim informacje te są niezbędne w związku z udzielaniem kredytów, pożyczek, gwarancji bankowych i poręczeń.
W powołanym przepisie ustawodawca upoważniając do utworzenia instytucji mających służyć bankom zakreślił granice gromadzenia, przetwarzania i udostępniania informacji stanowiących tajemnicę bankową przez odwołanie się do potrzeb banków, mających związek z czynnościami bankowymi. Przepis ten niewątpliwe nie ma charakteru odsyłającego, którego dopełnienia można szukać w innych aktach prawnych i już z tej racji należy uznać go za wyczerpujący. Zgodnie z powołanym przepisem, banki tworząc B.  S.A. powołały podmiot, którego zadaniem miała być pomoc bankom w zakresie dostarczenia informacji niezbędnych do wykonywania czynności bankowych związanych z badaniem zdolności i wiarygodności kredytowej. Istotą zadań B.  S.A. jest właśnie badanie zdolności i wiarygodności kredytowej.
Zgodnie z art. 5 powołanej ustawy – Prawo bankowe do czynności bankowych należy między innymi udzielanie kredytów. Definicję umowy kredytu zawiera przepis art. 69 ust. 1 ustawy, który stanowi, że przez umowę kredytu bank zobowiązuje się oddać do dyspozycji kredytobiorcy na czas oznaczony w umowie kwotę środków pieniężnych z przeznaczeniem na ustalony cel, a kredytobiorca zobowiązuje się do korzystania z niej na warunkach określonych w umowie, zwrotu kwoty wykorzystanego kredytu wraz z odsetkami w oznaczonych terminach spłaty oraz zapłaty prowizji od udzielonego kredytu.
Prowadzenie działalności kredytowej przez bank wiąże się nieodłącznie z ryzykiem bezpowrotnej utraty powierzonych kredytobiorcom środków pieniężnych. Obok zapewnienia skutecznej egzekucji należności banku z tytułu niespłaconego kredytu, daleko bardziej istotne jest zapobieżenie konieczności jej przeprowadzenia. Właśnie temu celowi służy przewidziana w art. 70 Prawa bankowego instytucja zdolności kredytowej. Przez zdolność kredytową rozumie się zdolność do spłaty zaciągniętego kredytu wraz z odsetkami w terminach określonych w umowie. Kontrolowanie zdolności kredytowej polega na pozyskiwaniu i gromadzeniu przez bank informacji dotyczących kondycji finansowej kredytobiorców (por. Janusz Molis „Kontrola zdolności kredytowej na tle prawa bankowego i przepisów ustawy o ochronie danych osobowych” Transformacje prawa prywatnego nr 4 /2001).
Na tle zakresu potrzeb w związku z wykonywaniem czynności bankowych powstaje kolizja prawnie chronionych wartości w postaci zabezpieczenia interesów deponentów i zabezpieczenia poszanowania życia prywatnego. W związku z tym, wykonywanie tych uprawnień ograniczają przepisy ustawy o ochronie danych osobowych wyznaczające granice niekontrolowanego zbierania, gromadzenia i udostępniania danych osobowych. Powołana ustawa w przepisie art. 26 ust. 1 pkt 4 zawiera „zasadę ograniczenia czasowego” przechowywania danych w postaci umożliwiającej identyfikację osób, których dotyczą, nie dłużej jednak niż jest to niezbędne do osiągnięcia celu przetwarzania. Nawet wówczas, gdy określone dane odpowiadają celowi, dla którego są zbierane i są dla tego celu adekwatne, to nie wynika z tego, iż mogą być one przetwarzane w tym też udostępniane innym podmiotom. Czasowym wyznacznikiem jest tu osiągnięcie zamierzonego celu przetwarzania np. wykonanie zawartej umowy (Janusz Barta, Ryszard Markiewicz „Ochrona danych osobowych” Komentarz wydanie II Zakamycze 2002, str.455).
Na pytanie jak długo B. S.A. może „korzystać” z danych, które banki przekazały Biuru, GIODO wskazał moment zamknięcia rachunku bankowego, czyli całkowitą spłatę kredytu. Należy podzielić pogląd organu w tym względzie, albowiem legalne przetwarzanie danych osobowych na potrzeby B.  S.A. z tą chwilą kończy się, ponieważ realizacja umowy jest końcowym etapem współpracy banku z klientem. Tak więc z chwilą całkowitej spłaty kredytu (zamknięcia rachunku bankowego) kończy się prawne zezwolenie na przetwarzanie danych osobowych tych osób, których rachunki zostały zamknięte. Osiągnięty zostaje wówczas cel, w jakim dane te były przetwarzane.
Stosownie do treści art. 26 ust. 1 pkt 4 ustawy o ochronie danych osobowych, administrator danych przetwarzający dane powinien dołożyć szczególnej staranności w celu ochrony interesów osób, których dane dotyczą, a w szczególności jest obowiązany zapewnić, aby dane te były przechowywane w postaci umożliwiającej identyfikację osób, których dane dotyczą, nie dłużej niż jest to niezbędne do osiągnięcia celu przetwarzania. Zatem w sytuacji gdy cel przetwarzania danych przez B.  S.A. został osiągnięty dalsze ich przetwarzanie po zamknięciu rachunku bankowego należy uznać za nielegalne.
GIODO jako organ administracji publicznej upoważniony jest do wypowiadania się na podstawie ustawy o ochronie danych osobowych w kwestii legalności przetwarzania danych osobowych w formie kategorycznej. Sąd w tym względzie podzielił argumenty organu i uznał, że w sytuacji naruszenia art. 26 ust. 1 pkt 4 w związku z art. 23 ust. 1 pkt 2 ustawy o ochronie danych osobowych w związku z art. 105 ust. 4 Prawa bankowego zachodziła podstawa zastosowania przez GIODO art. 18 ustawy o ochronie danych osobowych i zobowiązanie B.  S.A. do usunięcia danych osób, których rachunki zostały zamknięte w związku z uzyskaną informacją o okolicznościach jego zamknięcia.
Potwierdzeniem prawidłowości stanowiska Głównego Inspektora Ochrony Danych Osobowych, co do wykładni art. 105 ust. 4 Prawa bankowego są okoliczności, w jakich doszło do nowelizacji tego przepisu w dniu 1 kwietnia 2004 r. Otóż zwrócić należy uwagę na druk nr 2513 A Sejmu Rzeczypospolitej Polskiej IV kadencji, będący dodatkowym sprawozdaniem Komisji Europejskiej o rządowym projekcie ustawy o zmianie ustawy – Prawo bankowe oraz o zmianie innych ustaw (druki nr 2116 i 2513). Druk ten zawiera poprawkę nr 17 przewidującą w art. 105 po ust. 4 d dodanie ust. 4 e i 4 f. Proponowany przepis ust. 4 e miał mieć brzmienie „Instytucje, o których mowa w ust. 4 mogą przetwarzać dane osobowe klientów banków przez okres 5 lat od dnia wygaśnięcia zobowiązania. Natomiast ust. 4f „Instytucje o których mowa w ust. 4 mogą przetwarzać dane o zapytaniach banków o osoby, których wnioski o udzielenie kredytu zostały rozpatrzone negatywnie, przez okres jednego roku od dnia otrzymania zapytania”. Komisja po rozpatrzeniu tej poprawki zaproponowała jej odrzucenie. Jednocześnie należy wskazać na pismo Urzędu Komitetu Integracji Europejskiej nr Min. DH-856/04/tlk z dnia 4 marca 2004 r. dotyczące druku nr 2513-A i skierowane do Przewodniczącego Komisji Europejskiej Sejmu, w treści którego wyrażono opinię, że poprawka nr 17 jest niezgodna z art. 7 (f) Dyrektywy 1995/46/WE, ponieważ nie wypełnia warunków dotyczących przetwarzania danych osobowych w niej zawartych (warunek celowości przetwarzania danych). Sejm w dniu 4 marca 2004 r. przyjął w całości projekt w wersji zaproponowanej przez Komisję Europejską (por. materiały sejmowe z 69 posiedzenia Sejmu RP w dniach 2, 3, 4 i 5 marca 2004 r. http://www.sejm.gov.pl/.).
Skoro Sejm poprawkę nr 17 odrzucił, to wypływa z tego wniosek, że ustawodawca nie dopuszczał możliwości przekroczenia okresu gromadzenia, przetwarzania i udostępniania danych przez okres dłuższy niż to wynika z umowy klienta z bankiem. Wobec tego uznać należy, że uregulowanie tej kwestii w Regulaminie przetwarzania danych przez B.  S.A. nastąpiło wbrew obowiązującej ustawie - Prawo bankowe, a także art. 51 ust. 1 i 5 Konstytucji RP, z którego wynika, że nikt nie może być obowiązany inaczej niż na podstawie ustawy do ujawniania informacji dotyczących jego osoby, a zasady i tryb gromadzenia oraz udostępniania informacji określa ustawa. Trybunał Konstytucyjny w uzasadnieniu wyroku z dnia 20 listopada 2002 r. sygn. akt K 41/02 stwierdził, że zgodnie z ustalonym orzecznictwem TK ochrona życia prywatnego, gwarantowana konstytucyjnie, co do zasady w art. 47 obejmuje sobą także autonomię informacyjną (art. 51) oznaczającą prawo do samodzielnego decydowania o ujawnianiu innych informacji dotyczącej swojej osoby, a także prawo do sprawowania kontroli nad takimi informacjami, jeśli znajdują się w posiadaniu innych podmiotów. Ochrona prywatności i autonomia informacyjna nie mają charakteru absolutnego, a to z uwagi m. in. na prawa i wolności innych jednostek czy potrzeby życia w zbiorowości. Jest to zresztą cecha wszelkich konstytucyjnych praw i wolności. Wszelkie jednak ingerencje w prywatność muszą mieć na uwadze jej ochronę jako dobra konstytucyjnie chronionego i zasady konstytucyjne wskazujące na granice i przesłanki, jakie muszą być zachowane na wypadek ingerencji. Obowiązek ujawnienia informacji o obywatelach, stanowiąc ograniczenie autonomii informacyjnej, może być, zatem dokonany tylko w ustawie i tylko w granicach zgodnych z konstytucyjną zasadą proporcjonalności.
Mając na względzie powyższe okoliczności Wojewódzki Sąd Administracyjny w Warszawie orzekł, na podstawie art. 151 ustawy z dnia 30 sierpnia 2002 r. – Prawo o postępowaniu przed sądami administracyjnymi (Dz. U. Nr 153, poz. 1270 ze zm.). Sąd nie uwzględnił wniosku o zasądzenie kosztów według norm przewidzianych, ponieważ zwrot kosztów niezbędnych do celowego dochodzenia praw, w tym zwrot kosztów zastępstwa procesowego, przysługuje skarżącemu od organu w wypadku uwzględnienia skargi oraz w sytuacji określonej w art. 201 powołanej ustawy - Prawo o postępowaniu przed sądami administracyjnymi, co w przedmiotowej sprawie nie miało miejsca.
 

Copyright (c) 2007 by E-Ochronadanych.pl - Wszelkie prawa zastrzeżone Polityka prywatności | Regulamin | Nota prawna
Kopiowanie materiałów - zabronione Ustawa o ochronie danych osobowych | GIODO | Administrator bezpieczeństwa informacji