II SA/Wa 1569/08 – Wyrok WSA

 

 

Orzeczenie prawomocne

 

 

 

 

dnia 14 stycznia 2009 r.

 

 

 

Wojewódzki Sąd Administracyjny w Warszawie po rozpoznaniu na rozprawie w dniu 14 stycznia 2009 r. sprawy ze skargi S. S.A. na decyzję Generalnego Inspektora Ochrony Danych Osobowych z dnia [...] września 2008 r. nr [...] w przedmiocie nakazania usunięcia danych osobowych

 

 

 

 

 

 

 

 

 

 Generalny Inspektor Ochrony Danych Osobowych decyzją z dnia [...] czerwca 2008 r. nr [...], działając na podstawie art. 12 pkt 2, art. 18 ust. 1 pkt 6 i art. 22 w zw. z art. 23 ust. 1 pkt 2 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (tekst jedn. z 2002 r. Dz. U. Nr 101, poz. 926 ze zm.) i w zw. z art. 105 ust. 4, art. 105a ust. 3 ustawy z dnia 29 sierpnia 1997 r. Prawo bankowe (tekst jedn. z 2002 r. Dz. U. Nr 72, poz. 665 ze zm.), nakazał S. S.A. Oddział w Polsce z siedzibą w W. przy ul. [...], spowodowanie usunięcia ze zbiorów prowadzonego przez B. S.A. z siedzibą w W. przy ul. [...] danych osobowych H. P. zam. w S. przy ul. [...]. W uzasadnieniu podał, że skargę zainicjowała H. P. i jak ustalono na podstawie zebranego materiału dowodowego, wymieniona w dniu [...] czerwca 2001 r. za pośrednictwem F. Sp. z o. o. zawarła z Bs. S.A. umowę o korzystanie z karty kredytowej nr [...], a dniu [...] lutego 2005 r. S. S.A. Oddział w Polsce nabył wierzytelności Bs. S.A. Następnie w dniu [...] lipca 2005 r. bank wystawił H. P. bankowy tytuł egzekucyjny, po czym w dniu [...] sierpnia 2005 r. jej dane zostały przekazane do B., zaś zadłużenie wynikające z umowy kredytowej zostało spłacone przez wyżej wymienioną w dniu 22 czerwca 2007 r. Wobec powyższego w dniu 29 października 2007 r. bank złożył do B. dyspozycję usunięcia jej danych osobowych i w dniu 31 października 2007 r. B. przestał przetwarzać te dane w celu oceny zdolności kredytowej i analizy ryzyka kredytowego. Obecnie zaś, B. przetwarza te dane na podstawie art. 105a ust. 4 i 5 Prawa bankowego w celu stosowania przez banki metod statystycznych, o których mowa w art. 128 ust. 3 Prawa bankowego. W dalszej części organ podał, że stosownie do treści art. 2 ust. 1 ustawy o ochronie danych osobowych, ustawa owa określa zasady postępowania przy przetwarzaniu danych osobowych oraz prawa osób fizycznych, których dane osobowe są lub mogą być przetwarzane w zbiorach danych i wobec powyższego podstawowym obowiązkiem każdego administratora jest przetwarzanie danych osobowych z zachowaniem przesłanek określonych w ustawie. Natomiast w myśl art. 23 ust. 1 ustawy, uznanie przetwarzania danych za dopuszczalne zachodzi m.in. wówczas, gdy osoba, której dane dotyczą, wyrazi na to zgodę, chyba że chodzi o usunięcie dotyczących jej danych (pkt 1) oraz gdy jest to niezbędne dla zrealizowania uprawnienia lub spełnienia obowiązku wynikającego z przepisu prawa (pkt 2). Z kolei aktem prawnym zawierającym szczegółowe regulacje dotyczące procesu przetwarzania danych osobowych klientów banków jest przede wszystkim ustawa - Prawo bankowe. Zgodnie z treścią art. 105 ust. 4, banki mogą, wspólnie z bankowymi izbami gospodarczymi, utworzyć instytucje upoważnione do gromadzenia, przetwarzania i udostępniania bankom - informacji stanowiących tajemnicę bankową w zakresie, w jakim informacje te są potrzebne w związku z wykonywaniem czynności bankowych oraz w związku ze stosowaniem metod statystycznych, o których mowa w art. 128 ust. 3 oraz w art. 128d ust. 1 oraz innym instytucjom ustawowo upoważnionym do udzielania kredytów - informacji stanowiących tajemnicę bankową w zakresie, w jakim informacje te są niezbędne w związku z udzielaniem kredytów, pożyczek pieniężnych, gwarancji bankowych i poręczeń, a instytucją utworzoną na podstawie art. 105 ust. 4 ustawy, jest m.in. B. Stosownie zaś do treści art. 105 ust. 1 pkt 1 - 1a ustawy, bank ma obowiązek udzielenia informacji stanowiących tajemnicę bankową wyłącznie innym bankom i instytucjom kredytowym w zakresie, w jakim informacje te są niezbędne w związku z wykonywaniem czynności bankowych oraz nabywaniem i zbywaniem wierzytelności oraz na zasadzie wzajemności - innym instytucjom ustawowo upoważnionym do udzielania kredytów - o wierzytelnościach oraz o obrotach i stanach rachunków bankowych w zakresie, w jakim informacje te są niezbędne w związku z udzielaniem kredytów, pożyczek pieniężnych, gwarancji bankowych i poręczeń. Zatem wobec takiej treści przepisów, nie budzi wątpliwości legalność udostępnienia przez bank danych H. P. do zbioru prowadzonego przez B. Niemniej jednak bank złożył dyspozycję usunięcia jej danych, zaś B. pozostawiło te dane w zbiorze i przetwarza je w celu stosowania przez banki metod statystycznych, o których mowa w art. 128 ust. 3 ustawy. Stosownie do treści art. 105a ust. 4 ustawy, banki oraz instytucje, o których mowa w art. 105 ust. 4, mogą przetwarzać informacje stanowiące tajemnicę bankową dotyczącą osób fizycznych po wygaśnięciu zobowiązania wynikającego z umowy zawartej z bankiem lub inną instytucją ustawowo upoważnioną do udzielania kredytów, bez zgody osoby, której informacje dotyczą, dla celów stosowania metod statystycznych, o których mowa w art. 128 ust. 3, a przetwarzanie informacji w tych przypadkach, zgodnie z art. 105a ust. 5 ustawy, może być wykonywane przez okres 12 lat od dnia wygaśnięcia zobowiązania. Z kolei art. 128 ust. 3 ustawy stanowi iż, za zgodą Komisji Nadzoru Finansowego bank może stosować metody statystyczne do obliczania wymogów kapitałowych. Natomiast zgodnie z art. 128d ust. 1 i 6 ustawy, bank będący unijną instytucją dominującą i podmioty zależne od tego banku działające z tym bankiem w holdingu, oraz podmioty zależne od unijnego podmiotu dominującego w holdingu finansowym, mogą stosować wspólnie metody statystyczne, o których mowa w art. 128 ust. 3, po uzyskaniu zgody Komisji Nadzoru Finansowego. Komisja Nadzoru Finansowego, udzielając zgody może określić w jej treści warunki i terminy dotyczące stosowania tych metod, a w przypadku, gdy zgodę na wspólne stosowanie z bankiem metod statystycznych przez unijne instytucje dominujące i ich podmioty zależne lub podmioty zależne od unijnego podmiotu dominującego w holdingu finansowym wydają inne właściwe władze nadzorcze, Komisja Nadzoru Finansowego współpracuje z nimi przy wydawaniu przez te władze zgody. Natomiast zgodnie z art. 105 ust. 1 pkt 1c, banki są zobligowane do udzielania informacji stanowiących tajemnicę bankową instytucjom, o których mowa w ust. 4, w zakresie niezbędnym dla stosowania metod statystycznych, o których mowa w art. 128d ust. 1 i 6. W ocenie organu zatem, B. nie jest upoważnione do samodzielnego decydowania o celu przetwarzania przekazanych mu przez bank informacji stanowiących tajemnicę bankową. Zatem działanie B., które otrzymało od banku informacje o określonym jego kliencie (osobie fizycznej) w celu przetwarzania ich dla potrzeb oceny zdolności kredytowej i analizy ryzyka kredytowego, a dalej przetwarza je w celu stosowania metod statystycznych, o których mowa w art. 128 ust. 3 ustawy, jest - zdaniem organu - pozbawione podstaw prawnych, bowiem podmiot ten, który nie podlega wymogom kapitałowym ustanowionym w art. 128 ust. 3 ustawy, nie jest uprawniony do stosowania metod statystycznych z art. 128 ust. 3 ustawy. W rozpoznawanej sprawie dane osobowe H. P. bezspornie zostały przekazane przez bank do B. w ściśle określonym celu, tj. do oceny zdolności kredytowej i analizy ryzyka kredytowego i jak wyjaśnił sam bank, nie zwracał się on do tego podmiotu o przetwarzanie danych osobowych w związku ze stosowaniem przez bank metod statystycznych dla obliczenia wymogów kapitałowych. Tymczasem B., jak samo wyjaśnia, przetwarza te dane w zakresie pochodzącym z S. na podstawie art. 105a ust. 4 i 5 w zw. z art. 105 ust. 4 ustawy, w celu stosowania przez bank metod statystycznych, o których mowa w art. 128 ust. 3 ustawy, a zatem w celu, który nie jest w istocie sprecyzowany. Zdaniem organu, w rozpoznawanej sprawie dochodzi do sytuacji, w której B. przetwarza powyższe dane celem stosowania metod statystycznych, jednakże nie chodzi tu o metody statystyczne stosowane przez bank, a samo B. nie jest uprawnione do stosowania metod statystycznych z art. 128 ust. 3 ustawy. Nie można zatem wykluczyć, że B. stara się usankcjonować proces przetwarzania danych osobowych dla realizacji przyszłych, potencjalnych celów innych banków spodziewając się, że banki te, o ile będą uprawnione do stosowania dla obliczeń wymogów kapitałowych metod statystycznych, będą zainteresowane pozyskaniem dla realizacji tego celu powyższych danych ze zbioru B. i co jest oczywiście - zdaniem organu - niedopuszczalne, tj. przetwarzanie danych "na zapas". Stosownie bowiem do treści art. 26 ust. 1 ustawy o ochronie danych osobowych, administrator danych przetwarzający dane powinien dołożyć szczególnej staranności w celu ochrony interesów osób, których dane dotyczą, a w szczególności jest obowiązany zapewnić, aby dane te były przetwarzane zgodnie z prawem, zbierane dla oznaczonych, zgodnych z prawem celów i niepoddawane dalszemu przetwarzaniu niezgodnemu z tymi celami, z zastrzeżeniem ust. 2, merytorycznie poprawne i adekwatne w stosunku do celów, w jakich są przetwarzane oraz przechowywane w postaci umożliwiającej identyfikację osób, których dotyczą, nie dłużej niż jest to niezbędne do osiągnięcia celu przetwarzania. Ponadto znamiennym jest, że zgodnie z § 5 ust. 3 pkt 3 Regulaminu gromadzenia, przetwarzania i udostępniania informacji przez B. S.A. - B. jest zobowiązany do nie zmieniania ani modyfikowania informacji zawartych we Wsadzie informacyjnym i Zapytaniu. Zgodnie zaś z pkt 5, B. zobowiązany jest do zachowania celu przetwarzania danych otrzymanych z banku, określonych w przepisach prawa i Umowie. Jednocześnie powołano się na pismo Przewodniczącego Komisji Nadzoru Bankowego z dnia 25 stycznia 2008 r., w którym informuje się, że "Prawdą jest, że instytucje, o których mowa w art. 105 ust. 4 tej ustawy {Prawa bankowego} nie podlegają wymogom kapitałowym ustanowionym w art. 128 Prawa bankowego dla banków, nie wydaje się zatem, aby stosowały jakiekolwiek metody obliczania, którym nie podlegają. Zatem jedynie banki mogą decydować o potrzebie przetwarzania danych osobowych ich klientów (byłych) dla celów stosowania metod statystycznych z art. 128 ust. 3 ustawy i to pod warunkiem uzyskania zgody Komisji Nadzoru Finansowego.

 

We wniosku z dnia 21 lipca do Generalnego Inspektora Ochrony Danych Osobowych o ponowne rozpatrzenie sprawy, skarżący bank zarzucił zaskarżonej decyzji naruszenie przepisu art. 23 ust. 1 pkt 2 poprzez uznanie, że B. jako administrator danych osobowych H. P., nie przetwarza danych osobowych w wykonaniu uprawnienia przyznanego mu przez przepis prawa oraz poprzez uznanie, iż B. nie jest uprawniony do przetwarzania tych danych w celu stosowania przez banki metod statystycznych dla obliczenia wymogów kapitałowych, a uprawnienia takie przysługują wyłącznie bankom, o ile posiadają zgodę Komisji Nadzoru Finansowego, oraz naruszenie art. 18 ustawy w zw. z art. 107 § 1 k.p.a., poprzez skierowanie decyzji do podmiotu, któremu nie zarzucono przetwarzania danych i w tej sytuacji decyzja owa jest niewykonalna. W tej sytuacji skarżący bank wniósł o uchylenie zaskarżonej decyzji. W uzasadnieniu - powołując się na ustalenia faktyczne poczynione przez organ - podano, że na mocy przywołanych w decyzji przepisów, w sposób jednoznaczny wynika samodzielne uprawnienie skarżącego do przetwarzania informacji stanowiących tajemnicę bankową dotyczącą osób fizycznych w celu stosowania przez banki metod statystycznych. Utworzenie na podstawie art. 105 ust. 4 ustawy B., upoważnia zarówno banki, jak i B. do przetwarzania informacji dotyczących osób fizycznych po wygaśnięciu zobowiązania wobec banku dla celów stosowania metod statystycznych, o których mowa w art. 128 ust. 3 ustawy. Tym bardziej, że B. jest administratorem danych przekazanych mu przez banki, a nie podmiotem, któremu powierzono przetwarzanie danych osobowych. Zatem nie jest on związany zakresem i celem przetwarzania danych. Ponadto, przekazane przez banki do B. dane osobowe stanowiące tajemnicę bankową, nie są danymi osobowymi powierzonymi do przetwarzania na podstawie art. 31 ust. 1 i 2 ustawy o ochronie danych osobowych, bowiem zakres i cel przetwarzania owych danych wywodzi się z przepisu art. 105 ust. 4 oraz art. 105a ust. 4 i 5 ustawy Prawo bankowe. W dalszej części wywiódł, że adresatem decyzji winien być B., bowiem organ zakwestionował przetwarzanie danych przez ten organ i tym samym decyzja jest niewykonalna. Z tego również powodu, że łącząca oba podmioty umowa nie daje żadnych uprawnień bankowi do żądania usunięcia danych osobowych H. P.

 

Generalny Inspektor Ochrony Danych Osobowych decyzją z dnia [...] września 2008 r. nr [...], mając za podstawę art. 138 § 1 pkt 1 k.p.a., utrzymał w mocy zaskarżoną decyzję z dnia [...] czerwca 2008 r. W uzasadnieniu - powołując się na przedstawiony powyżej stan faktyczny i argumenty - podał, że działanie B., które otrzymało od banku informacje o określonym kliencie (osobie fizycznej) w celu przetwarzania ich dla potrzeb oceny zdolności kredytowej i analizy ryzyka kredytowego, a przetwarza je w celu stawania metod statystycznych, o których mowa w art. 128 ust. 3 ustawy, jest pozbawione podstaw prawnych, bowiem nie podlega ono wymogom kapitałowym i nie jest uprawnione do stosowania metod statystycznych. Jest to wyłączna domena banków. Ponadto błędny jest wniosek, że w powołanych przepisach chodzi również o inne cele statystyczne niż te, które wymagają zgody Komisji Nadzoru Finansowego. Zatem B. przetwarza dane osobowe dla realizacji celu, który w istocie nie jest sprecyzowany, chociaż podaje, że celem tym jest stosowanie metod statystycznych, o których mowa w art. 128 ust. 3 ustawy, jednakże niewątpliwie nie chodzi tu o metody statystyczne stosowane przez bank. Dodał również, że to banki są dysponentami danych osobowych i tylko one decydują, jakie dane przekazać do B. oraz jakie dane usunąć ze zbioru prowadzonego przez ten podmiot. Ponadto o niewykonalności decyzji - zgodnie z utrwalonym już orzecznictwem - decydują okoliczności, które pojawiły się przed wydaniem decyzji oraz nieusuwalne przez cały czas. Reasumując, B. nie jest upoważniony do samodzielnego decydowania o celu przetwarzania przekazanych mu przez bank informacji stanowiących tajemnicę bankową.

 

W skardze do Wojewódzkiego Sądu Administracyjnego w Warszawie, S. S.A. wniósł o uchylenie zaskarżonej decyzji oraz zasądzenie kosztów postępowania, zarzucając jej naruszenie przepisu art. 23 ust. 1 pkt 2 poprzez uznanie, że B. jako administrator danych osobowych H. P. nie przetwarza danych osobowych w wykonaniu uprawnienia przyznanego mu przez przepis prawa oraz poprzez uznanie, iż B. nie jest uprawniony do przetwarzania tych danych w celu stosowania przez banki metod statystycznych dla obliczenia wymogów kapitałowych, a uprawienia takie przysługują wyłącznie bankom, o ile posiadają zgodę Komisji Nadzoru Finansowego, naruszenie § 8 ust. 2 pkt 1 lit. d, e, f, g oraz k, ust. 3 i 4 pkt 1 lit. g, k oraz l i załącznika nr 5 w zakresie § 2 ust. 3 pkt 3 i 4 tego załącznika do Uchwały Komisji Nadzoru Bankowego z dnia 13 marca 2007 r. nr 1/2007 poprzez ich niezastosowanie i stwierdzenie, że bank nie może stosować metod statystycznych przed uzyskaniem zgody Komisji Nadzoru Bankowego, naruszenie § 8 ust. 4 pkt 1 lit, g Uchwały, § 8 ust. 5 pkt 1 lit. d Uchwały oraz § 200 i § 203 ust. 1 załącznika nr 5 do Uchwały poprzez ich niezastosowanie, naruszenie części wstępnej oraz lit. f ust. 2 załącznika V dyrektywy 2006/49/WE Parlamentu Europejskiego i Rady z dnia 14 czerwca 2006 r. w sprawie adekwatności kapitałowej firm inwestycyjnych i instytucji kredytowych (Dyrektywa 2006/49/WE), oraz art. 84 ust. 3 i 4 oraz Załącznika VII w zakresie ust. 69 i 66 części 4 dyrektywy 2006/48/WE Parlamentu Europejskiego i Rady z dnia 14 czerwca 2006 r. w sprawie podejmowania i prowadzenia działalności przez instytucje bankowe kredytowe (Dyrektywa 2006/48/WE), poprzez interpretację art. 105 ust. 4, art. 105a ust. 4 i 5 oraz art. 128 ust. 3 Prawa bankowego, w sposób sprzeczny z celem i treścią wymienionych dyrektyw, a także naruszenie art. 18 ustawy w zw. z art. 107 § 1 k.p.a. poprzez skierowanie decyzji do podmiotu, któremu nie zarzucono przetwarzania danych i w tej sytuacji decyzja owa jest niewykonalna. W obszernym uzasadnieniu natomiast - powołując się na dotychczasowe argumenty - dodał w oparciu o wspomnianą już wyżej Uchwałę Komisji Nadzoru Bankowego z dnia 13 marca 2007 r. nr 1/2007, że uzyskanie zgody KNF, jest uzależnione od wcześniejszego stosowania metod "na próbę" i tym samym zaskarżona decyzja likwiduje możliwość korzystania przez bank z danych zewnętrznych.

 

W odpowiedzi na skargę Generalny Inspektor Ochrony Danych Osobowych wniósł o jej oddalenie, a wskazując na dotychczasowe ustalenia faktyczne i prawne dodał, że to banki są dysponentami danych osobowych i tylko one decydują, jakie dane przekazać do B. oraz jakie dane usunąć ze zbioru prowadzonego przez ten podmiot. Ponadto o niewykonalności decyzji - zgodnie z utrwalonym już orzecznictwem - decydują okoliczności, które pojawiły się przed wydaniem decyzji oraz są nieusuwalne przez cały czas. Natomiast wniosek aktualizacyjny, w kontekście dopuszczalności przetwarzania danych osobowych H. P. dla stosowania metod statystycznych, jest bez znaczenia. Reasumując, B. nie jest uprawniony do samodzielnej zmiany celu przetwarzania danych osobowych, a zatem nie posiada uprawnień do przetwarzania powyższych danych w celu stosowania metod statystycznych.

 

W piśmie procesowym z dnia 23 grudnia 2008 r. skarżący Bank podtrzymał swoje dotychczasowe zarzuty.

 

 

Zgodnie z brzmieniem art. 1 § 1 i 2 ustawy z dnia 25 lipca 2002 r. - Prawo o ustroju sądów administracyjnych (Dz. U. Nr 153, poz. 1269), sąd administracyjny sprawuje wymiar sprawiedliwości poprzez kontrolę pod względem zgodności z prawem zaskarżonej decyzji administracyjnej i to z przepisami obowiązującymi w dacie jej wydania.

 

Skarga analizowana pod tym kątem zasługuje na uwzględnienie.

 

Na wstępie należy zauważyć, że obowiązek zapewnienia należytej ochrony danych osobowych wynika w pierwszej kolejności z przepisów Konstytucji RP. W art. 51 ust. 1 Konstytucji, zawarte zostało prawo samodzielnego decydowania każdej osoby o ujawnianiu dotyczących jej informacji. Zobowiązanie do ujawnienia swoich danych osobowych może być zawarte wyłącznie w przepisach rangi ustawowej.

 

Podstawowym aktem prawnym regulującym zasady postępowania przy przetwarzaniu danych osobowych oraz prawa osób fizycznych, których dane osobowe są lub mogą być przetwarzane w zbiorach danych, jest ustawa o ochronie danych osobowych. Rolą tej ustawy nie jest jedynie ochrona interesów tych, których przetwarzane dane osobowe dotyczą, lecz przede wszystkim służy ona stworzeniu granic ochrony poprzez regulację zakresu i trybu przetwarzania danych. Omawiana ustawa w art. 1 stwierdza, że każdy ma prawo do ochrony dotyczących go danych osobowych, natomiast dane osobowe mogą być przetwarzane, jeżeli służy to dobru publicznemu, dobru osoby, której dane dotyczą lub dobru osób trzecich. Można zatem wyciągnąć z powyższego wniosek, że ochrona danych osobowych na podstawie przepisów powołanej ustawy, nie powinna być oderwana od przepisów służących ochronie innych wartości.

 

W myśl art. 3 ustawy, stosuje się ją do organów państwowych, organów samorządu terytorialnego, państwowych i komunalnych jednostek organizacyjnych, a także podmiotów niepublicznych realizujących zadania publiczne oraz osób fizycznych i prawnych oraz jednostek organizacyjnych niebędących osobami prawnymi, jeżeli przetwarzają dane osobowe w związku z działalnością zarobkową, zawodową lub dla realizacji celów statutowych, mających siedzibę albo miejsce zamieszkania na terytorium Rzeczypospolitej Polskiej, albo w państwie trzecim, o ile przetwarzają dane osobowe przy wykorzystaniu środków technicznych znajdujących się na terytorium Rzeczypospolitej Polskiej. Podmioty te w sytuacji, kiedy decydują o celach i środkach przetwarzania danych osobowych określane są przez art. 7 pkt 4 ustawy, jako administratorzy danych osobowych.

 

Natomiast stosownie do treści art. 7 pkt 2 ww. ustawy, przez przetwarzanie danych osobowych rozumie się jakiekolwiek operacje wykonywane na danych osobowych, takie jak zbieranie, utrwalanie, przechowywanie, opracowywanie, zmienianie, udostępnianie i usuwanie, a zwłaszcza te, które wykonuje się w systemach informatycznych.

 

Ustawa nakłada na administratora danych osobowych liczne obowiązki, które powinien on wypełnić w procesie przetwarzania danych osobowych. Zgodnie z art. 26, administrator danych przetwarzający dane powinien dołożyć szczególnej staranności w celu ochrony interesów osób, których dane dotyczą, a w szczególności, jest obowiązany zapewnić, aby dane te były przetwarzane zgodnie z prawem, zbierane dla oznaczonych, zgodnych z prawem celów i niepoddawane dalszemu przetwarzaniu niezgodnemu z tymi celami i z zastrzeżeniem, że przetwarzanie danych w celu innym niż ten, dla którego zostały zebrane, jest dopuszczalne, jeżeli nie narusza praw i wolności osoby, której dane dotyczą, oraz m.in. wtedy, gdy następuje w celach badań naukowych, dydaktycznych, historycznych lub statystycznych.

 

W celu zapewnienia wysokiego standardu ochrony danych osobowych w ustawie zawarto zamknięty katalog sytuacji, w których dopuszczalne jest przetwarzanie danych osobowych. Ustawodawca wskazuje, że takie przetwarzanie jest dopuszczalne m.in. w wypadku, gdy osoba, której dane dotyczą, wyrazi na to zgodę, chyba że chodzi o usunięcie dotyczących jej danych, a także, gdy jest to niezbędne dla zrealizowania uprawnienia lub spełnienia obowiązku wynikającego z przepisu prawa. Jak wynika z powyższego, ustawa dopuszcza przetwarzanie danych, nawet bez zgody osoby, której te dane dotyczą, gdy istnieje konkretne uprawnienie wynikające z przepisu prawa, dla którego realizacji niezbędne jest przetwarzanie danych osobowych.

 

Ustawa - Prawo bankowe, stanowi regulację szczególną w stosunku do ustawy o ochronie danych osobowych, tworzy bowiem specjalny reżim ochrony danych powierzanym bankom w ramach prowadzenia przez nie działalności.

 

W pierwszej kolejności należy wskazać art. 105 ustawy - Prawo bankowe, wyznaczający zakres dopuszczalnego przekazywania danych znajdujących się w dyspozycji banków. Zgodnie z art. 105 ust. 1 pkt 1, 1a) oraz 1 c), bank ma obowiązek udzielenia informacji stanowiących tajemnicę bankową, wyłącznie innym bankom i instytucjom kredytowym w zakresie, w jakim informacje te są niezbędne w związku z wykonywaniem czynności bankowych oraz nabywaniem i zbywaniem wierzytelności, a także na zasadzie wzajemności - innym instytucjom ustawowo upoważnionym do udzielania kredytów - o wierzytelnościach oraz o obrotach i stanach rachunków bankowych w zakresie, w jakim informacje te są niezbędne w związku z udzielaniem kredytów, pożyczek pieniężnych, gwarancji bankowych i poręczeń, oraz m.in. instytucjom, o których mowa w ust. 4, w zakresie niezbędnym dla stosowania metod statystycznych, o których mowa w art. 128d ust. 1 i 6

 

Uprawnienie do gromadzenia danych osobowych otrzymywanych od banków, a następnie ich dalszego przetwarzania dla B., wynika z art. 105 ust. 4, według którego banki mogą, wspólnie z bankowymi izbami gospodarczymi, utworzyć instytucje upoważnione do gromadzenia, przetwarzania i udostępniania:

 

1) bankom - informacji stanowiących tajemnicę bankową w zakresie, w jakim informacje te są potrzebne w związku z wykonywaniem czynności bankowych oraz w związku ze stosowaniem metod statystycznych, o których mowa w art. 128 ust. 3 oraz w art. 128d ust. 1,

 

2) innym instytucjom ustawowo upoważnionym do udzielania kredytów - informacji stanowiących tajemnicę bankową w zakresie, w jakim informacje te są niezbędne w związku z udzielaniem kredytów, pożyczek pieniężnych, gwarancji bankowych i poręczeń.

 

Zatem ustawa stwarza uprawnienie dla banków do stosowania metod statystycznych. Zgodnie bowiem z art. 128 ust. 3, za zgodą Komisji Nadzoru Finansowego, bank może stosować metody statystyczne do obliczania wymogów kapitałowych. Natomiast treść art. 128d ust. 1 odnosi się do banków, będących unijnymi instytucjami dominującymi, do podmiotów zależnych od tego banku działających z tym bankiem w holdingu, oraz do podmiotów zależnych od unijnego podmiotu dominującego w holdingu finansowym. Przepis ten przewiduje, że podmioty te mogą stosować wspólnie metody statystyczne, o których mowa w art. 128 ust. 3, po uzyskaniu zgody Komisji Nadzoru Finansowego. Komisja Nadzoru Finansowego, udzielając zgody może określić w jej treści warunki i terminy dotyczące stosowania tych metod.

 

Kluczowe w niniejszej sprawie jest jednak uregulowanie zawarte w art. 105a ust. 4 i 5 powyższej ustawy, zgodnie z którym banki oraz instytucje, o których mowa w art. 105 ust. 4, mogą przetwarzać informacje stanowiące tajemnicę bankową dotyczącą osób fizycznych po wygaśnięciu zobowiązania wynikającego z umowy zawartej z bankiem lub inną instytucją ustawowo upoważnioną do udzielania kredytów, bez zgody osoby, której informacje dotyczą, dla celów stosowania metod statystycznych, o których mowa w art. 128 ust. 3. Przetwarzanie informacji stanowiących tajemnicę bankową w przypadku, o którym mowa w ust. 4, może być wykonywane przez okres 12 lat od dnia wygaśnięcia zobowiązania.

 

W niniejszej sprawie B. otrzymawszy uprzednio od S. S.A. dane osobowe H. P. w celu oceny zdolności kredytowej i analizy ryzyka kredytowego, po otrzymaniu od banku dyspozycji usunięcia danych, przestało je przetwarzać w tym właśnie celu. Jednak dane osobowe H. P., pozostały w dyspozycji B. dla ich dalszego przetwarzania, w celu stosowania przez banki metod statystycznych, zgodnie z treścią art. 128 ust. 3 Prawa bankowego. Zdaniem Generalnego Inspektora Ochrony Danych Osobowych, takie przekształcenie celu przetwarzania danych stanowiło naruszenie przepisów ustawy o ochronie danych osobowych. Organ ocenił, że B. nie mogło przetwarzać danych osobowych w innym celu, niż ten, dla którego zostały mu one pierwotnie przekazane.

 

Pogląd ten nie znajduje jednak uzasadnienia w świetle analizy przepisów ustawy - Prawo bankowe. Zauważyć należy, że ustawa z dnia 26 stycznia 2007 r. o zmianie ustawy - Prawo bankowe (Dz. U. z 2007 r. Nr 42, poz. 272), wprowadziła z dniem 1 kwietnia 2007 r. znowelizowaną wersję art. 105a, co spowodowało diametralną zmianę w zakresie uprawnień B. do samodzielnego decydowania o przetwarzaniu danych osobowych dla celów stosowania metod statystycznych. Otóż instytucje, o których mowa w art. 105 ust. 4 ustawy, a nie ulega wątpliwości, że do instytucji takich zaliczyć można B. mogą przetwarzać, dla celów stosowania metod statystycznych, o których mowa w art. 128 ust. 3, dane osobowe przez okres 12 lat po wygaśnięciu zobowiązania, a przetwarzanie to nie wymaga zgody osoby, której te dane dotyczą.

 

W ocenie Sądu, analiza powyżej wskazanych przepisów ustawy - Prawo bankowe pozwala stwierdzić, że B. posiada samodzielne uprawnienie do przetwarzania danych dla celów stosowania metod statystycznych, bowiem przepis art. 105a ust. 4 ustawy, wprowadził przesłankę legalizującą stosowanie przez B. metod statystycznych.

 

Przyznać należy, że zastosowanie dla oceny, czy B. może samodzielnie decydować o zmianie celu przetwarzania danych, celem realizacji wskazanego wyżej uprawnienia, wyłącznie wykładni gramatycznej nie przynosi zadowalających rezultatów. Na gruncie tej wykładni, nie jest bowiem możliwe jednoznaczne stwierdzenie, czy przepis art. 105a ust. 4 uprawnia B. do samodzielnego decydowania o zmianie celu przetwarzania danych. Dlatego, niezbędne jest odwołanie się do wykładni celowościowej tego przepisu oraz uwzględnienie kontekstu normatywnego. Utworzenie instytucji, o której mowa w art. 105 ust. 4 wraz z jednoczesnym przyznaniem jej przez ustawodawcę w art. 105a ust. 4 uprawnień do przetwarzania przekazanych jej przez banki danych osobowych dla celów stosowania metod statystycznych wskazuje, że dla dokonywania przetwarzania nie jest potrzebne spełnienie przez B. żadnych dodatkowych warunków, gdyż art. 105a ust. 4 stanowi wystarczającą podstawę do dokonywania przetwarzania danych.

 

Przyjęcie odmiennego rozwiązania prowadziłoby do sytuacji, w której B. mogłoby przetwarzać dla celów stosowania metod statystycznych, wyłącznie dane, otrzymane przez banki z tym właśnie przeznaczeniem. Interpretacja taka, stoi w jawnej sprzeczności z celem regulacji art. 105a ust. 4, którym jest, zdaniem Sądu, zapewnienie bankom łatwego i szybkiego dostępu do danych statystycznych niezbędnych do prawidłowego obliczania wymogów kapitałowych. Przepis ten służy, zatem dobru publicznemu, jakim niewątpliwie jest optymalizacja działalności kredytowej banków.

 

Przyjęcie tego sposobu wykładni, jest tym bardziej uzasadnione w świetle treści art. 26 ustawy o ochronie danych osobowych, który stwierdza, że przetwarzanie danych w celu innym niż ten, dla którego zostały zebrane, jest dopuszczalne, o ile nie narusza praw i wolności osoby, której dane dotyczą, jeżeli następuje w celach badań naukowych, dydaktycznych, historycznych lub statystycznych. Zatem cel przeprowadzenia badań statystycznych, stanowi przesłankę wyłączającą ustawowy zakaz przetwarzania danych osobowych w innym celu niż ten, dla którego zostały zebrane.

 

Stanowisko takie jest tym bardziej zasadne, że uzyskanie zgody Komisji Nadzoru Finansowego, o której mowa w art. 128 ust. 3 ustawy - Prawo bankowe, uzależnione jest od konieczności stosowania metod statystycznych przez co najmniej 3 lata.

 

Generalny Inspektor Ochrony Danych Osobowych ponownie rozpatrując sprawę, uwzględni powyższe uwagi Sądu w szczególności dotyczące posiadania przez B. samodzielnej podstawy uprawniającej do przetwarzania danych osobowych dla celów stosowania metod statystycznych, o których mowa w art. 128 ust. 3 Prawa bankowego.

 

Niezależnie od powyższego dodać należy, że bezspornym jest, iż w dniu 27 października 2007 r. wpłynął do B. wniosek banku o usunięcie danych H. P. z bazy danych "[...]". Jednakże w rozpoznawanej sprawie ów fakt jest bez znaczenia, bowiem nastąpiło to po dniu wejścia w życie znowelizowanego przepisu art. 105a ustawy - Prawo bankowe.

 

Z tych względów, Wojewódzki Sąd Administracyjny w Warszawie, działając na podstawie art. 145 § 1 pkt 1 lit. "c" ustawy z dnia 30 sierpnia 2002 r. - Prawo o postępowaniu przed sądami administracyjnymi (Dz. U. Nr 153, poz. 1270 ze zm.), orzekł, jak w punkcie 1 sentencji wyroku. W oparciu o art. 152 ww. ustawy, Sąd wstrzymał wykonanie zaskarżonej decyzji w całości.

 

O kosztach orzeczono na podstawie art. 200, art. 205 § 1 i 2 i art. 209 ww. ustawy - Prawo o postępowaniu przed sądami administracyjnymi. Sąd zasądził na rzecz skarżącej Spółki kwotę 474 zł, w tym 200 zł, stanowiącą wartość uiszczonego wpisu, kwotę 34 zł, poniesioną tytułem opłaty skarbowej od udzielonego pełnomocnictwa, oraz kwotę 240 zł, tytułem wynagrodzenia pełnomocnika, zgodnie z § 18 ust. 1 pkt 1 lit. "c" rozporządzenia Ministra Sprawiedliwości z dnia 28 września 2002 r. w sprawie opłat za czynności adwokackie oraz ponoszenia przez Skarb Państwa kosztów nieopłaconej pomocy prawnej udzielonej z urzędu (Dz. U. Nr 163, poz. 1348 z późn. zm.).