II SA/Wa 995/06
2009-04-09
Orzeczenie prawomocne
W Y R O K
W IMIENIU RZECZYPOSPOLITEJ POLSKIEJ
Dnia 23 stycznia 2007 r.
Wojewódzki Sąd Administracyjny w Warszawie po rozpoznaniu na rozprawie w dniu 23 stycznia 2007 r. sprawy ze skargi Marcina B. na decyzję Generalnego Inspektora Ochrony Danych Osobowych z dnia 20 marca 2006 r. nr …w przedmiocie ochrony danych osobowych
1) uchyla zaskarżoną decyzję
2) zaskarżona decyzja nie podlega wykonaniu w całości
3) zasądza od Generalnego Inspektora Ochrony Danych Osobowych na rzecz Marcina B. kwotę … złotych tytułem zwrotu kosztów postępowania
UZASADNIENIE
Generalny Inspektor Ochrony Danych Osobowych decyzją z dnia 5 stycznia
2006 r. nr … na podstawie art. 104 ustawy z dnia 14 czerwca 1960 r. Kodeks postępowania administracyjnego (t.j. Dz. U. z 2000 r. Nr 98, poz. 1071 ze zm.) i art. 12 pkt 2, art. 22 oraz art. 23 ust. 1 pkt 2 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (t.j. Dz. U. z 2002 r. Nr 101, poz. 926 ze zm.), w związku z art. 105 ust. 1 pkt 1 i art. 105 ust. 4 ustawy z dnia 29 sierpnia 1997 r. Prawo bankowe (t.j. Dz. U. z 2002 r. Nr 72, poz. 665 ze zm.), po przeprowadzeniu postępowania administracyjnego w sprawie z wniosku Marcina B. o nakazanie usunięcia jego danych osobowych
z prowadzonego przez Związek Banków Polskich z siedzibą w Warszawie zbioru pod nazwą System Międzybankowej Informacji Gospodarczej „Bankowy Rejestr”, przekazanych do tego zbioru przez Bank P., odmówił uwzględnienia wniosku.
W uzasadnieniu Generalny Inspektor podał, że w dniu 31 maja 2000 r. pomiędzy Bankiem Polska Kasa Opieki SA, zwanym dalej Bankiem a spółką T. Sp. z o.o. zawarta została umowa o udzielenie kredytu dyskontowego z terminem spłaty w dniu
23 listopada 2000 r. Umowę w imieniu Spółki podpisał Marcin B. – pełniący funkcję prezesa zarządu wymienionej spółki. W grudniu 2000 r. Marcin B. zrezygnował
z pełnienia funkcji w organach zarządzających Spółką. W związku z brakiem spłaty kredytu, Bank w dniu 30 czerwca 2001 r. przekazał dane dłużnika – Spółki oraz dane Marcina B., jako osoby zaciągającej w imieniu osoby prawnej zobowiązanie, do „Bankowego Rejestru” prowadzonego przez Związek Banków Polskich, zwany dalej również ZBP. Pismem z dnia 23 lipca 2003 r. Marcin B. wystąpił do Banku
z żądaniem uaktualnienia danych w zbiorze Związku Banków Polskich, zgodnie
z wypisem z Krajowego Rejestru Sądowego, dotyczącego Spółki. Bank wskazał, że brak jest podstaw do wykreślenia danych z rejestru, ponieważ zmiana w składzie zarządu Spółki, będącej dłużnikiem nie stanowi zmiany sytuacji klienta. ZBP potwierdził, że w „Bankowym Rejestrze” przetwarzane są dane Marcina B. w zakresie jego imienia
i nazwiska. Powołując się na § 9 regulaminu MIG-BR ZBP wskazał, że zmiana składu organu zarządzającego Spółką nie stanowi podstawy do usunięcia z rejestru danych osoby wchodzącej w skład tego organu, decydująca jest bowiem dla wpisania do „Bankowego Rejestru” data powstania zobowiązania. ZBP podał też, że jakichkolwiek zmian może dokonywać wyłącznie bank, który przekazał dane do rejestru.
Na podstawie tak ustalonego stanu faktycznego Generalny Inspektor stwierdził, że podstawę prawną przetwarzania danych osobowych Marcina B. przez Bank stanowi przepis art. 23 ust. 1 pkt 3 ustawy o ochronie danych osobowych, tj. konieczność realizacji zawartej z Bankiem umowy, zaś podstawę przekazania przez Bank danych osobowych do rejestru prowadzonego przez Związek Banków Polskich stanowi art. 23 ust. 1 pkt 2 ustawy o ochronie danych osobowych w zw. z art. 105 ust.
4 Prawa bankowego. Stosownie do art. 23 ust. 1 pkt 2 ustawy o ochronie danych osobowych, przetwarzanie danych osobowych jest dopuszczalne tylko wtedy, gdy jest to niezbędne dla zrealizowania uprawnienia lub spełnienia obowiązku wynikającego
z przepisu prawa. Zgodnie zaś z art. 105 ust. 4 Prawa bankowego, banki mogą wspólnie z bankowymi izbami gospodarczymi utworzyć instytucje do gromadzenia, przetwarzania i udostępniania bankom informacji stanowiących tajemnicę bankową w zakresie w jakim informacje te są potrzebne w związku z wykonywaniem czynności bankowych, innym instytucjom ustawowo upoważnionym do udzielania kredytów – informacji o wierzytelnościach oraz obrotach i stanach rachunków bankowych
w zakresie, w jakim informacje te są niezbędne w związku z udzielaniem kredytów, pożyczek pieniężnych, gwarancji bankowych i poręczeń. Organ wskazał, że banki badając zdolność kredytową spółek przetwarzają dane dotyczące właścicieli czy członków zarządu działających i zaciągających w ich imieniu zobowiązania. Bank oceniając wniosek kredytowy bierze pod uwagę m.in. kompetencje zawodowe członków zarządu czy też właścicieli, ich umiejętności i zdolności albowiem czynniki te mają bezpośredni wpływ na jakość i sposób zarządzania, co jest nieodłącznym elementem oceny ryzyka i zdolności kredytowej wnioskodawcy.
W rejestrze niesolidnych dłużników figuruje przedsiębiorca, tj. T. Sp. z o.o.,
a Marcin B. wymieniony jest w nim jedynie z imienia i nazwiska, jako reprezentant Spółki. Organ podał również, że stanowisko Banków i ZBP w zakresie zasadności przekazania danych osoby reprezentującej Spółkę przez Bank do „Bankowego Rejestru” potwierdza ugruntowany w doktrynie i orzecznictwie pogląd dotyczący odpowiedzialności członków zarządu za zobowiązania spółki. Powołał się m.in. na art. 299 § 1 i § 2 ustawy z dnia 15 września 2000 r. Kodeks spółek handlowych (Dz. U. Nr 94, poz. 1037 ze zm.) i art. 5 § 1 ustawy z dnia 31 lipca 1997 r. o zmianie rozporządzenia Prezydenta Rzeczypospolitej z dnia 24 października 1934 r. - Prawo upadłościowe i niektórych innych ustaw (Dz. U. Nr 117, poz. 751). Wskazał też, powołując się na poglądy doktryny, że odpowiedzialność przewidzianą w art. 299 Kodeksu spółek handlowych, ponoszą osoby, które były członkami zarządu, kiedy wierzytelność stała się wymagalna. Generalny Inspektor przywołał również, na potwierdzenie powyższego orzeczenia Sądu Najwyższego (m.in. wyrok z dnia
28 września 1999 r. sygn. akt II CKN 608/98). GIODO zaznaczając, że nie jest organem uprawnionym do badania zagadnień dotyczących ewentualnej bezskuteczności egzekucji, czy tez zagadnień związanych z koniecznością ogłoszenia upadłości bądź wszczęcia postępowania układowego, stwierdził, że stanowisko Banku w kwestii braku podstaw do zmiany, uaktualnienia nazwiska prezesa zarządu w „Bankowym Rejestrze”, wydaje się zasadne.
We wniosku o ponowne rozpatrzenie sprawy Marcin B. zarzucił, że w decyzji nie wskazano podstaw prawnych funkcjonowania „Bankowego Rejestru”, zakresu przetwarzanych danych, zasad wpisów i wykreśleń. Podał, że przetwarzanie danych
w zbiorze prowadzonym przez ZBP nie ma ram czasowych, w konsekwencji można domniemywać, że reprezentant spółki wpisany będzie do wymienionego rejestru dożywotnio, przy przyjęciu, że spółka nie ureguluje swoich zobowiązań. Zarzucił też,
że rozważania w przedmiocie odpowiedzialności zarządu na tle art. 299 Kodeksu spółek handlowych, nie mają znaczenia dla rozpoznania przedmiotowej sprawy. W jego ocenie decyzja wydana została z naruszeniem art. 23 ust. 1 pkt 3 ustawy o ochronie danych osobowych oraz ustawy Prawo bankowe.
Generalny Inspektor, decyzją z dnia 20 marca 2006 r. nr …, na podstawie art. 138 § 1 pkt 1 kpa, art. 12 pkt 2, art. 22 oraz art. 23 ust. 1 pkt 2 ustawy o ochronie danych osobowych w związku z art. 105 ust. 4 i art. 105a ustawy Prawo bankowe, utrzymał w mocy swoją poprzednią decyzję.
W uzasadnieniu podkreślił, że podstawową regulacją w zakresie przetwarzania danych osobowych klientów banków stanowi ustawa Prawo bankowe. Na mocy ustawy z dnia 15 kwietnia 2005 r. o zmianie ustawy o ochronie informacji niejawnych oraz niektórych innych ustaw (Dz. U. Nr 85, poz. 727), w dniu 16 czerwca 2005 r. obowiązywać zaczął art. 105a Prawa bankowego, który szczegółowo określił zasady przetwarzania danych klientów banków, wskazując m.in., że przetwarzanie przez banki, inne instytucje ustawowo upoważnione do udzielania kredytów oraz instytucje utworzone na podstawie art. 105 ust. 4, informacji stanowiących tajemnicę bankową
w zakresie dotyczącym osób fizycznych (konsumentów) może być wykonywane,
z zastrzeżeniem art. 104, 105 i 106-106c, w celu oceny zdolności kredytowej i analizy ryzyka kredytowego (art. 105a ust. 1). Do realizacji celu wskazanego w tym przepisie służy, jak podał organ, m.in. „Bankowy Rejestr”, który pełni służebną rolę w stosunku do sektora bankowego umożliwiając korzystanie z danych potrzebnych do dokonywania oceny zdolności kredytowej oraz analizy ryzyka kredytowego. Ma on zatem za zadanie usprawnienie przepływu danych stanowiących tajemnicę bankową między bankami. Organ ponownie wyraził pogląd, że dane członków zarządu spółek zaciągających zobowiązania są brane pod uwagę przy ocenie zdolności kredytowej. Nie podzielił natomiast zarzutu Marcina B., że decyzja wydana została z naruszeniem art.
23 ust. 1 pkt 3 ustawy o ochronie danych osobowych, który stanowi podstawę przetwarzania jego danych osobowych przez Bank. Wskazał, że podstawę prawną przekazania jego danych do ZBP stanowi art. 23 ust. 1 pkt 2 ustawy o ochronie danych osobowych w zw. z art. 105 ust. 4 Prawa bankowego. GIODO stwierdził, że nie ocenia
i nie interpretuje zapisów Prawa bankowego, czy zasad funkcjonowania „Bankowego Rejestru”, działającego w oparciu o te przepisy. Ocenia natomiast adekwatność danych w stosunku do celów, w jakich są przetwarzane (art. 26 ust. 1 pkt 3 ustawy o ochronie danych osobowych). Organ ponownie powołał się na przytoczone już w poprzedniej decyzji poglądy doktryny i orzecznictwa w zakresie odpowiedzialności członków zarządu na gruncie art. 299 Kodeksu spółek handlowych, uznając zarzut Marcina B., również w tym zakresie za niezasadny.
W skardze do Wojewódzkiego Sądu Administracyjnego w Warszawie na wymienioną decyzję Generalnego Inspektora Ochrony Danych Osobowych z dnia
20 marca 2006 r. Marcin B. wniósł o jej uchylenie i poprzedzającej ją decyzji GIODO oraz zasądzenie kosztów postępowania według norm przepisanych. Decyzji zarzucił naruszenie art. 23 ust. 1 pkt 3 ustawy o ochronie danych osobowych, art. 105 ust. 1 pkt 1 i ust. 4 ustawy Prawo bankowe. W uzasadnieniu wskazał, że stan faktyczny oparty jest na dokumentach i nie jest sporny. Skarżący nie zgadza się jednak z oceną prawną dokonaną przez organ. Powołał się na decyzję GIODO z dnia
30 listopada 2004 r. nr …, wydaną w innej sprawie, którą organ nakazał usunięcie danych przez ZBP. Podał też, że wbrew twierdzeniom organu nowelizacja prawa bankowego, w wyniku której dodano przepis art. 105a Prawa bankowego nie ma znaczenia w niniejszej sprawie. Przepis ten dotyczy bowiem osób fizycznych (konsumentów) i zaciąganych przez nich zobowiązań we własnym imieniu i na własną rzecz. Skarżący wskazał też, powołując się na wyrok Wojewódzkiego Sądu Administracyjnego z dnia 25 sierpnia 2004 r. sygn. akt II SA/Wa 547/04, że regulaminy banków, jak również ZBP są aktami wewnętrznymi, nieobowiązującymi powszechnie.
W odpowiedzi na skargę GIODO wniósł o jej oddalenie, powołując się na dotychczasowe ustalenia faktyczne i prawne. Dodatkowo podniósł, że przywołana przez skarżącego decyzja wydana w innej sprawie nie wiąże organu w rozpatrywanej sprawie.
Pismem procesowym z dnia 6 listopada 2006 r. uczestnik postępowania sądowoadministracyjnego – Bank P., wniósł o umorzenie postępowania, ewentualnie oddalenie skargi oraz zasądzenie od skarżącego kosztów zastępstwa procesowego według norm przepisanych.
W uzasadnieniu wskazał, że w toku postępowania dane skarżącego zostały wykreślone ze zbioru System Międzybankowej Informacji Gospodarczej „Bankowy Rejestr”, a zatem postępowanie sądowoadministracyjne stało się bezprzedmiotowe, gdyż w następstwie wykreślenia danych przestała istnieć sprawa będąca przedmiotem postępowania. Podał, że również merytoryczne zarzuty skarżącego pozbawione są podstaw. Także ZBP w skierowanym do Sądu piśmie procesowym z 15 listopada 2006 r. wniósł o umorzenie postępowania, ewentualnie oddalenie skargi. Podał, że jeszcze przed wydaniem przez GIODO decyzji ostatecznej w niniejszej sprawie, tj. decyzji z dnia 20 marca 2006 r. nr …, Bank P. zdecydował usunąć dane osobowe skarżącego ze zbioru „Bankowy Rejestr”, co nastąpiło w dniu 10 marca 2006 r. o godz. 9.55. Brak danych skarżącego w bazie „Bankowy Rejestr” czyni, w ocenie uczestnika, postępowanie sądowoadministracyjne bezprzedmiotowym i uzasadnia jego umorzenie.
Jednocześnie nie podzielono zarzutów skargi, uznając je za niezasadne. Podano, że wbrew twierdzeniom skarżącego w sprawie w pełni zastosowanie znajduje ustawa z dnia 15 kwietnia 2005 r. o zmianie ustawy o ochronie informacji niejawnych oraz niektórych innych ustaw (Dz. U. Nr 85, poz. 727), a dane skarżącego przetwarzane były na mocy art. 105a ustawy Prawo bankowe, jako dane osoby fizycznej, a nie przedsiębiorcy. Podniósł też, że bank oraz instytucje utworzone na podstawie art. 105 ust. 4 Prawa bankowego, obowiązane są, na mocy art. 6 tej ustawy, dostosować przetwarzanie informacji zgromadzonych przed wejściem w życie tej ustawy (co, jak wskazano, dotyczy skarżącego), do wymagań w niej określonych w terminie nie dłuższym niż 3 lata od wejścia w życie tej ustawy. Zarówno ZBP jak i Bank były zatem, zdaniem uczestnika, uprawnione do dalszego i zgodnego z prawem przetwarzania danych skarżącego.
W dniu rozprawy również pełnomocnik Generalnego Inspektora Ochrony Danych Osobowych wniósł o umorzenie postępowania przed Wojewódzkim Sądem Administracyjnym w Warszawie.
Wojewódzki Sąd Administracyjny w Warszawie zważył, co następuje:
Zgodnie z art. 1 § 1 i § 2 ustawy z dnia 25 lipca 2002 r. Prawo o ustroju sądów administracyjnych (Dz. U. Nr 153, poz. 1269 ze zm.), sądy administracyjne sprawują wymiar sprawiedliwości przez kontrolę działalności administracji publicznej pod względem zgodności z prawem, jeżeli ustawy nie stanowią inaczej. Sąd, stosownie do art. 134 ustawy z dnia 30 sierpnia 2002 r. Prawo o postępowaniu przed sądami administracyjnymi (Dz. U. Nr 153, poz. 1270 ze zm.), rozstrzyga w granicach danej sprawy nie będąc jednak związany zarzutami i wnioskami skargi oraz powołaną podstawą prawną.
Analizując niniejszą sprawę pod tym kątem Sąd stwierdził, że skarga zasługuje na uwzględnienie, z powodów innych jednak, niż podniesione w skardze.
Na wstępie wskazania wymaga – w odniesieniu do wniosków stron postępowania sądowoadministracyjnego – że w sprawie niniejszej brak jest podstaw do umorzenia postępowania przed Wojewódzkim Sądem Administracyjnym w Warszawie. Podstawy takiej nie stanowi wykreślenie danych skarżącego z „Bankowego Rejestru” prowadzonego przez Związek Banków Polskich, na co strony się powoływały. Zgodnie
z art. 161 § 1 pkt 3 ustawy Prawo o postępowaniu przed sądami administracyjnymi, sąd wydaje postanowienie o umorzeniu postępowania, gdy postępowanie stało się bezprzedmiotowe z innych przyczyn niż wymienione w pkt. 1 i 2. Zdarzenie w postaci wykreślenia danych skarżącego z „Bankowego Rejestru”, nie powoduje, że dokonanie przez Sąd kontroli zaskarżonego aktu staje się zbędne. Z bezprzedmiotowością postępowania, o której mowa w przywołanym przepisie będziemy mieć do czynienia wówczas, gdy w toku postępowania sądowego, a przed wydaniem wyroku, przestanie istnieć przedmiot zaskarżenia. Taka sytuacja zaistnieje m.in. wówczas, gdy zaskarżona decyzja zostanie pozbawiona bytu prawnego w nadzwyczajnym postępowaniu kontrolnym lub gdy organ skorzysta z uprawnień określonych w art. 54 § 3 ustawy Prawo o postępowaniu przed sądami administracyjnymi i skargę uwzględni w całości.
W związku z tym, że tego rodzaju zdarzenia nie miały miejsca Sąd nie ma podstaw do umorzenia postępowania sądowoadministracyjnego i winien poddać kontroli działalność organu administracji.
Generalny Inspektor Ochrony Danych Osobowych, tak jak każdy organ administracji publicznej obowiązany jest do przestrzegania zasady dwuinstancyjności postępowania, która stanowi jedną z podstawowych zasad wyrażonych w ustawie z dnia 14 czerwca 1960 r. Kodeks postępowania administracyjnego (t.j. Dz. U. z 2000 r. Nr 98, poz. 1071 ze zm.), zwanej dalej również kpa. Zgodnie z tą zasadą organ odwoławczy obowiązany jest ponownie rozpatrzyć i rozstrzygnąć sprawę, objętą decyzją organu
I instancji. Zasada ta obowiązuje również w postępowaniu przed Generalnym Inspektorem, od decyzji którego strona może złożyć wniosek o ponowne rozpatrzenie sprawy (art. 21 ust. 1 ustawy o ochronie danych osobowych oraz art. 127 § 3 kpa). Do wniosku o ponowne rozpatrzenie sprawy stosuje się bowiem odpowiednio przepisy dotyczące odwołań od decyzji.
Obowiązek ponownego rozpoznania i rozstrzygnięcia sprawy oznacza, że organ odwoławczy nie może ograniczyć się tylko do kontroli decyzji I instancji (w tym przypadku pierwszej z wydanych przez GIODO decyzji) a obowiązany jest ponownie rozstrzygnąć sprawę (vide wyrok NSA z dnia 22 marca 1996 r. sygn. akt SA/Wr 1996/95 - ONSA 1997 Nr 1, poz. 35). Rozpoznanie sprawy w postępowaniu z wniosku
o ponowne jej rozpatrzenie następuje w oparciu o stan faktyczny i prawny obowiązujący w dniu wydania decyzji przez organ (wyrok NSA z dnia 7 lipca 1988 r. IV SA 451/88).
Na każdym etapie postępowania administracyjnego organ administracji publicznej obowiązany jest do przestrzegania zasady dochodzenia do prawdy obiektywnej (art. 7 kpa), zgodnie z którą, w toku postępowania organy administracji publicznej stoją na straży praworządności i podejmują wszelkie kroki niezbędne do dokładnego wyjaśnienia stanu faktycznego oraz załatwienia sprawy, mając na względzie interes społeczny i słuszny interes obywateli. Z tej naczelnej zasady postępowania administracyjnego, której znaczenie wielokrotnie podkreślano w orzecznictwie, kształtującej całe postępowanie, wynika obowiązek „wyczerpującego zbadania wszystkich okoliczności faktycznych związanych z określoną sprawą, aby
w ten sposób stworzyć jej rzeczywisty obraz i uzyskać podstawę do trafnego zastosowania przepisu prawa (Dawidowicz, Ogólne postępowanie administracyjne,
s. 108 – Kodeks postępowania administracyjnego, Komentarz, wydanie 8, Wydawnictwo C.H. Beck 2006, str. 68-69). Obowiązek ten ma szczególne znaczenie w sprawach dotyczących ochrony danych osobowych, kiedy sytuacja podmiotu danych, który zwrócił się do organu o zbadanie legalności przetwarzania jego danych osobowych, może ulec zmianie z dnia na dzień.
W przedmiotowej sprawie Generalny Inspektor dopuścił się naruszenia powołanych wyżej reguł procesowych w stopniu mającym istotny wpływ na wynik sprawy. Organ przed wydaniem zaskarżonej decyzji nie dokonał bowiem ustaleń, co do aktualności stanu faktycznego sprawy i nie uwzględnił w decyzji zmiany tego stanu. Powyższe miało niewątpliwy wpływ na jej wynik. Gdyby bowiem przed wydaniem zaskarżonej decyzji GIODO ustalił, korzystając z uprawnień wynikających z art. 136 kpa, że dane osobowe skarżącego nie figurują już w „Bankowym Rejestrze” prowadzonym przez Związek Banków Polskich stwierdziłby, że postępowanie w sprawie nakazania usunięcia jego danych z tego zbioru, stało się bezprzedmiotowe. Zgodnie
z art. 105 § 1 Kodeksu postępowania administracyjnego, gdy postępowanie
z jakiejkolwiek przyczyny stało się bezprzedmiotowe, organ administracji publicznej wydaje decyzję o umorzeniu postępowania.
W związku z tym, że na każdym etapie postępowania administracyjnego, organ obowiązany jest dołożyć należytej staranności w prowadzeniu sprawy, to w postępowaniu prowadzonym w wyniku wniosku o ponowne jej rozpatrzenie, nie powinien i nie może poprzestawać na ustaleniach stanu faktycznego dokonanych przed wydaniem pierwszej decyzji w sprawie i bezkrytycznie przyjmować, że stan ten trwa
w niezmienionej postaci do dnia wydania drugiej decyzji w sprawie.
Wniosek o ponowne rozpatrzenie sprawy rozpoznany został przez Generalnego Inspektora w dniu 20 marca 2006 r., kiedy dane skarżącego nie figurowały już
w „Bankowym Rejestrze” od 10 dni. Oczywiście strony postępowania, którym okoliczność ta była znana, powinny zawiadomić o tym organ. Nie zmienia to jednak tego, że GIODO przed wydaniem drugiej decyzji w sprawie nie podjął żadnych działań mających na celu ustalenie, czy dane skarżącego w dalszym ciągu są przetwarzane we wskazany przez niego sposób. Ustawowy wymóg kontroli legalności przetwarzania danych osobowych nakłada na Generalnego Inspektora na każdym etapie postępowania obowiązek badania, czy w istocie dane wnioskodawcy, w chwili orzekania są przetwarzane przez podmiot, któremu zarzucono niezgodne z prawem działanie w tym zakresie.
Mając na uwadze, że w dniu wydania zaskarżonej decyzji postępowanie prowadzone przez GIODO było bezprzedmiotowe – dane osobowe skarżącego nie były już wówczas przetwarzane w „Bankowym Rejestrze” – a w postępowaniu skarżący żądał nakazania ich usunięcia z wymienionego zbioru – organ powinien był, stosownie do art. 138 § 1 pkt 2 kpa – uchylić decyzję z dnia 5 stycznia 2006 r. i umorzyć postępowanie przed organem I instancji, ostatecznie zamykając w ten sposób sprawę będącą przedmiotem postępowania.
Wydając w dniu 20 marca 2006 r. decyzję utrzymującą w mocy swoją poprzednią decyzję Generalny Inspektor Ochrony Danych Osobowych naruszył art. 138 § 1 pkt 1 kpa. Powyższe było konsekwencją naruszenia art. 7, art. 77 § 1 i art. 80 kpa. Z tego względu zaskarżona decyzja nie mogła się ostać w obrocie prawnym.
Dodatkowo jedynie Sąd wskazuje, że w sprawie nie znajdował zastosowania powołany przez Generalnego Inspektora Ochrony Danych Osobowych w podstawie zaskarżonej decyzji przepis art. 105a Prawa bankowego, zgodnie z którym przetwarzanie przez banki, inne instytucje ustawowo upoważnione do udzielania kredytów oraz instytucje utworzone na podstawie art. 105 ust. 4, informacji stanowiących tajemnicę bankową w zakresie dotyczącym osób fizycznych (konsumentów) może być wykonywane, z zastrzeżeniem art. 104, 105 i 106-106c,
w celu oceny zdolności kredytowej i analizy ryzyka kredytowego. Przepis ten stanowi podstawę prawną do przetwarzania wyłącznie danych osób fizycznych będących konsumentami. Skarżący, który jako prezes zarządu Spółki, zawarł w jej imieniu, umowę kredytu dyskontowego, nie jest konsumentem. Za konsumenta – stosownie do art. 221 ustawy z dnia 23 kwietnia 1964 r. Kodeks cywilny (Dz. U. Nr 16, poz. 93 ze zm.), uważa się osobę fizyczną dokonującą czynności prawnej niezwiązanej bezpośrednio z jej działalnością gospodarczą i zawodową. W sprawie nie ulega wątpliwości, że zawarcie przez Marcina B. umowy o kredyt z Bankiem związane było bezpośrednio z działalnością Spółki, której był prezesem zarządu.
Biorąc powyższe pod uwagę Wojewódzki Sąd Administracyjny w Warszawie,
na podstawie art. 145 § 1 pkt 1 lit. c ustawy Prawo o postępowaniu przed sądami administracyjnymi, orzekł jak w punkcie 1 sentencji. Rozstrzygnięcie zawarte w pkt.
2 wyroku uzasadnione jest treścią art. 152 powołanej ustawy.
O kosztach Sąd orzekł na podstawie art. 200, art. 205 § 2 oraz art. 209 ustawy Prawo o postępowaniu przed sądami administracyjnymi. Zgodnie z art. 205 § 2 tej ustawy, do niezbędnych kosztów postępowania strony reprezentowanej przez adwokata lub radcę prawnego zalicza się ich wynagrodzenie, jednak nie wyższe niż stawki opłat określone w odrębnych przepisach i wydatki jednego adwokata lub radcy prawnego, koszty sądowe oraz koszty nakazanego przez sąd osobistego stawiennictwa strony.
Stawki wynagrodzenia i zasady ponoszenia kosztów nieopłaconej pomocy prawnej adwokata uregulowane zostały w rozporządzeniu Ministra Sprawiedliwości
z dnia 28 września 2002 r. w sprawie opłat za czynności adwokackie oraz ponoszenia przez Skarb Państwa kosztów nieopłaconej pomocy prawnej udzielonej z urzędu (Dz. U. Nr 163, poz. 1348 ze zm.). Zgodnie z § 18 ust. 1 pkt 1 powołanego rozporządzenia stawka minimalna wynosi w postępowaniu przed sądami administracyjnymi w pierwszej instancji w sprawie, w której przedmiotem zaskarżenia nie jest należność pieniężna bądź decyzja lub postanowienie Urzędu Patentowego – 240 zł. Na tej podstawie Sąd ustalił wynagrodzenie radcy prawnego w wysokości … zł. Do kosztów postępowania Sąd zaliczył również wpis od skargi w wysokości … zł oraz opłatę skarbową
w wysokości … zł.
