        |
||||||||||
 |
||||||||||
 |
Projekt Unijnego Rozporządzenia dot. ochrony danych osobowych |
|||||||||
|
||||||||||
|
|
|
>Orzecznictwo>WSA>2009 > 
II Sa/Wa 1430/08 2009-06-17
Orzeczenie prawomocne
WYROK
W IMIENIU RZECZYPOSPOLITEJ POLSKIEJ
dnia 3 lutego 2009 r.
Wojewódzki Sąd Administracyjny w Warszawie po rozpoznaniu na rozprawie w dniu 3 lutego 2009 r. sprawy ze skargi D. B. na decyzję Generalnego Inspektora Ochrony Danych Osobowych z dnia [...] sierpnia 2008 r. nr [...] w przedmiocie odmowy uwzględnienia wniosku
oddala skargę
Uzasadnienie:
W skardze do Generalnego Inspektora Ochrony Danych Osobowych D. B. wskazała na nieprawidłowości w procesie przetwarzania jej danych osobowych i domagała się wydania decyzji nakazującej N. S.A. z siedzibą w W. (wcześniej W.S.A. z siedzibą w L.) wykreślenia jej danych osobowych z Bankowego Rejestru prowadzonego przez Z. w ramach systemu Międzybankowej Informacji Gospodarczej (MIG-BR).
W uzasadnieniu wniosku skarżąca podała, iż wobec przedawnienia, roszczenie Banku wygasło i przekazanie jej danych osobowych przez B. oraz dalsze ich przetwarzanie w zbiorze B. "bez zgody osoby, której dane dotyczą, po wygaśnięciu zobowiązania", nie znajduje uzasadnienia w obowiązujących przepisach prawa.
W toku przeprowadzonego postępowania wyjaśniającego Generalny Inspektor Ochrony Danych Osobowych ustalił, że w dniu [...] r. D. B. zawarła z Bankiem umowę kredytową nr [...]. Wobec niedopełnienia przez wymienioną warunków umowy, Bank skierował do niej (w dniach [...] r., [...] i w dniu [...] r.) wezwania do zapłaty, w których poinformował skarżącą o możliwości przekazania jej danych osobowych do Z., w przypadku nieuregulowania zobowiązania. W dniu [...] r. Sąd Rejonowy dla W. wystawił wobec skarżącej nakaz zapłaty w postępowaniu upominawczym. Po wniesieniu sprzeciwu od nakazu zapłaty, Sąd ten, wyrokiem z dnia [...] r., oddalił powództwo Banku o zapłatę, w związku z powołaniem przez skarżącą w toku postępowania zarzutu przedawnienia roszczeń Banku. W dniu [...] r. Bank przekazał dane osobowe skarżącej do Z. Zakres przekazanych danych osobowych obejmował: imię i nazwisko, numer PESEL, serię i numer dowodu tożsamości, adres zamieszkania i datę urodzenia. Zobowiązanie skarżącej wobec Banku do dnia dzisiejszego nie wygasło.
W tym stanie faktycznym sprawy Generalny Inspektor Ochrony Danych Osobowych decyzją nr [...] z dnia [...] maja 2008 r., wydaną na podstawie art. 104 § 1 Kodeksu postępowania administracyjnego, art. 22, art. 12 pkt 2 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. z 2002 r. Nr 101, poz. 926 ze zm.) oraz w zw. z art. 105 ust. 4 i art. 105a ust. 1 ustawy z dnia 29 sierpnia 1997 r. - Prawo bankowe (Dz. U. z 2002 r. Nr 72, poz. 665 ze zm.) odmówił uwzględnienia wniosku.
Dokonując analizy stanu prawnego sprawy, GIODO wskazał w uzasadnieniu wydanej decyzji, iż przesłanką legalizującą przetwarzanie danych osobowych skarżącej w systemie Rejestr Bankowy jest art. 23 ust. 1 pkt 2 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych. Zgodnie z tym przepisem przetwarzanie danych osobowych jest dopuszczalne, jeżeli jest to niezbędne dla zrealizowania uprawnienia lub spełnienia obowiązku wynikającego z przepisu prawa. Aktem prawnym, który zawiera szczegółowe regulacje dotyczące procesu przetwarzania danych osobowych klientów banków jest przede wszystkim ustawa z dnia 29 sierpnia 1997 r. - Prawo bankowe (Dz. U. z 2002 r. Nr 72, poz. 665 ze zm.).
W konsekwencji, ocena legalności udostępnienia danych osobowych skarżącej przez Bank na rzecz Z., jak również ocena legalności procesu dalszego przetwarzania przedmiotowych danych w prowadzonym przez Z. Bankowym Rejestrze, musi być dokonywana w powiązaniu z przepisami Prawa bankowego.
Powołując przepisy Prawa bankowego, Generalny Inspektor wskazał, że Bank przekazał dane osobowe skarżącej do Z. na podstawie art. 105 ust. 4, zgodnie z którym banki mogą, wspólnie z bankowymi izbami gospodarczymi, utworzyć instytucje do gromadzenia, przetwarzania i udostępniania:
1. bankom - informacji stanowiących tajemnicę bankową w zakresie, w jakim informacje te są potrzebne w związku z wykonywaniem czynności bankowych (pkt 1),
2. innym instytucjom ustawowo upoważnionym do udzielania kredytów - informacji o wierzytelnościach oraz o obrotach i stanach rachunków bankowych w zakresie, w jakim informacje te są niezbędne w związku z udzielaniem kredytów, pożyczek pieniężnych, gwarancji bankowych i poręczeń (pkt 2).
W ocenie Generalnego Inspektora Ochrony Danych Osobowych, zarówno udostępnienie danych osobowych skarżącej przez Bank na rzecz Z., jak i proces dalszego przetwarzania tychże danych w zbiorze Bankowy Rejestr, znajdował oparcie w powołanych przepisach Prawa bankowego. W konsekwencji, działania te odpowiadały także wymogom wynikającym z ustawy o ochronie danych osobowych - realizowane były bowiem na warunkach określonych w art. 23 ust. 1 pkt 2 tej ustawy.
Zdaniem organu, bez wpływu na powyższą ocenę pozostaje fakt, iż wyrokiem Sądu Rejonowego dla W. w sprawie o sygn. akt [...] oddalono powództwo Banku przeciwko skarżącej o zapłatę zobowiązania z uwagi na przedawnienie roszczenia. Konsekwencją powyższego orzeczenia jest wyłącznie uniemożliwienie Bankowi prowadzenia postępowania egzekucyjnego, co nie oznacza wygaśnięcia stosunku zobowiązaniowego łączącego Bank ze skarżącą. Wskazując na treść przepisu art. 117 Kodeksu cywilnego i stanowisko jego komentatorów GIODO podkreślił, iż przedawnione roszczenie nie wygasa, tylko zamienia się w tzw. zobowiązanie niezupełne (naturalne), którego cechą jest niemożność jego przymusowej realizacji.
Skoro zatem skarżąca w dalszym ciągu pozostaje dłużnikiem Banku, Z. - jako instytucja, o której mowa w art. 105 ust. 4 Prawa bankowego - w sposób w pełni uprawniony pozyskał od Banku i poddał procesowi dalszego przetwarzania dane osobowe skarżącej, w zakresie dotyczącym jej zobowiązania względem Banku.
Po ponownym rozpatrzeniu sprawy, Generalny Inspektor Ochrony Danych Osobowych decyzją z dnia [...] sierpnia 2008 r., utrzymał w mocy rozstrzygnięcie przedmiotowej sprawy zawarte w decyzji z dnia [...] maja 2008 r. Uznał je za prawidłowe tak pod względem ustaleń faktycznych, jak i prawnych. Wskazał na art. 105 ust. 4 Prawa bankowego jako podstawę prawną przekazania danych osobowych skarżącej do Z. i art. 105a ust. 1 jako podstawę przetwarzania przedmiotowych danych przez Z. w chwili obecnej. Odnosząc się do zarzutu skarżącej, iż odpadł cel przetwarzania jej danych osobowych, którym jest, z założenia, ochrona systemu bankowego przed dłużnikami niesolidnymi, stwierdził, że celem przetwarzania danych w Systemie Międzybankowej Informacji Gospodarczej Bankowy Rejestr jest usprawnienie i przyspieszenie przepływu danych o charakterze tajemnicy bankowej między bankami, tak by w jednym miejscu dostępne były informacje, mające służyć wypełnieniu przez banki ustawowo nałożonych na nie obowiązków. Podstawowym obowiązkiem banku jako instytucji zaufania publicznego jest dokładanie szczególnej staranności w zakresie zapewnienia bezpieczeństwa przechowywanych środków pieniężnych, czyli ochrona depozytariuszy, a także związana z tym konieczność należytego badania zdolności kredytowej potencjalnych kredytobiorców. Banki przystępujące do sytemu Bankowy Rejestr są zobowiązane do wykorzystywania uzyskanych informacji o kliencie wyłącznie w celach związanych z oceną wiarygodności i zdolności kredytowej klienta.
Wskazując na powyższe, GIODO uznał, że przetwarzanie danych osobowych dłużnika banku, który kilkakrotnie wzywany do uregulowania zobowiązania, nie spełnia ciążącego na nim obowiązku spłaty kredytu, powołując się na zarzut przedawnienia, jest adekwatne do celu w jakim te dane są przetwarzane - czyli ochrona interesów banków. Niewątpliwie informacja, iż skarżąca nie wywiązała się z przyjętych na siebie umową zobowiązań wobec Banku (informacja o wierzytelności przysługującej Bankowi wobec skarżącej) jest istotną z punktu widzenia oceny jej zdolności kredytowej, przede wszystkim zaś dla oceny jej wiarygodności i ryzyka, z jakim wiąże się ewentualne udzielenie jej kolejnego kredytu. Stąd też, w ocenie Generalnego Inspektora, nie znajduje uzasadnienia zawarta we wniosku o ponowne rozpatrzenie sprawy teza, że nie jest dopuszczalnym przetwarzanie danych osobowych w celu zmuszenia klienta banku do spełnienia świadczenia, w sytuacji gdy prawo dopuszcza możliwość uchylenia się od tego obowiązku.
Rozstrzygnięcie Sądu oddalające - z powodu przedawnienia roszczeń, powództwo Banku przeciwko skarżącej o zapłatę ciążącego na niej zobowiązania, uniemożliwia jedynie Bankowi dochodzenie należności z tytułu niespłaconego kredytu. Jakkolwiek skarżąca wyposażona została w prawną możliwość skutecznego uchylenia się od zaspokojenia wierzytelności Banku, to skorzystanie z takiej możliwości niesie za sobą określone konsekwencje, a jej status prawny nie jest tożsamy ze statusem osoby, która swoje zobowiązania wypełniła.
W skardze do Wojewódzkiego Sądu Administracyjnego w Warszawie D. B. zarzuciła powyższej decyzji naruszenie prawa materialnego:
- art. 23 ust. 1 pkt 2 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych w zw. z art. 105 ust. 4 ustawy z dnia 29 sierpnia 1997 r. - Prawo bankowe, poprzez ich błędne zastosowanie polegające na uznaniu, iż przepisy te uprawniały W. S.A. w L. (obecnie N. S.A. z siedzibą w W.) do wpisania danych osobowych skarżącej do Systemu Międzybankowej Informacji Gospodarczej Bankowy Rejestr, prowadzonego przez Z., w sytuacji gdy wykładnia wskazanych przepisów nie pozwala na przyjęcie ich za podstawę do przetwarzania danych osobowych skarżącej, w stanie faktycznym jaki miał miejsce w przedmiotowej sprawie,
- art. 26 ust. 1 pkt 4 ustawy o ochronie danych osobowych, poprzez jego niezastosowanie polegające na uznaniu za zgodne z prawem przechowywanie danych osobowych skarżącej dłużej niż jest to niezbędne dla osiągnięcia celu przetwarzania,
- art. 51 ust. 4 Konstytucji Rzeczypospolitej Polskiej w zw. z art. 1 ust. 1 i ust. 2 oraz art. 18 ust. 1 ustawy o ochronie danych osobowych, poprzez nieudzielenie skarżącej ochrony i niewydanie decyzji nakazującej usunięcia jej danych osobowych, w sytuacji gdy ich przetwarzanie nie znajduje podstaw w przepisach powołanej ustawy.
Wskazując na powyższe, skarżąca wniosła o uchylenie zaskarżonej decyzji Generalnego Inspektora Ochrony Danych Osobowych z dnia [...] sierpnia 2008 r., jak również poprzedzającej ją decyzji z dnia [...] maja 2008 r. i zasądzenie kosztów postępowania sądowego z uwzględnieniem kosztów zastępstwa procesowego wg norm przypisanych.
W uzasadnieniu skargi podniesiono, iż stanowisko GIODO nie zostało przedstawione w oparciu o wnikliwą analizę stanu faktycznego w przedmiotowej sprawie, jak i przepisów prawa w zakresie ochrony danych osobowych. Wskazano, że raty kredytu spłacał mąż skarżącej i nie dysponując dokumentacją dotyczącą umowy kredytowej, skarżąca była przekonana, że sprawa kredytu została zamknięta. Podkreślono też, że Bank zażądał od skarżącej zaległych rat kredytu, nie wyjaśniając w jaki sposób powstała należność i z jakiej wynika umowy. Pomimo, że Sąd oddalił powództwo Banku z uwagi na podniesiony przez skarżącą zarzut przedawnienia roszczeń, Bank poinformował ją o istniejącym zadłużeniu, próbując tym samym wymusić zapłatę należności przedawnionej. Ponadto wskazano, że przetwarzanie danych osobowych skarżącej w Bankowym Rejestrze utrudnia jej pozyskanie kredytu, ponieważ jej wiarygodność finansowa nie jest oceniana pozytywnie przez inne banki.
W ocenie skarżącej dokonana przez Bank, jak i GIODO, interpretacja przepisów Prawa bankowego (zgodnie z którą "dane osoby, która uchyliła się od zapłaty nadal mogą figurować w bankowym systemie, aż do czasu uregulowania przedawnionej należności") prowadzi do sytuacji, w której klient banku zostaje pozbawiony możliwości skorzystania ze swojego prawa, jakie przyznają mu przepisy prawa cywilnego dotyczące przedawnienia. Natomiast instytucja przedawnienia ma służyć stabilizacji stosunków gospodarczych i ochronie dłużnika, by mógł on, po znacznym upływie czasu, uchylić się od konieczności zapłaty.
W odpowiedzi na skargę Generalny Inspektor Ochrony Danych Osobowych wniósł o jej oddalenie oraz podtrzymał argumentację przedstawioną w uzasadnieniu zaskarżonej decyzji.
Uczestnicy postępowania: Z. wniósł o oddalenie skargi, zaś N. S.A. nie zajął stanowiska procesowego w sprawie.
Wojewódzki Sąd Administracyjny w Warszawie zważył, co następuje:
Zgodnie z art. 1 § 1 i 2 ustawy z dnia 25 lipca 2002 r. - Prawo o ustroju sądów administracyjnych (Dz. U. Nr 153, poz. 1269 ze zm.), sądy administracyjne sprawują wymiar sprawiedliwości przez kontrolę działalności administracji publicznej pod względem zgodności z prawem, jeżeli ustawy nie stanowią inaczej.
Skarga analizowana w aspekcie tych podstaw nie zasługuje na uwzględnienie. Zarówno zaskarżona, jak i poprzedzająca ją decyzja Generalnego Inspektora Ochrony Danych Osobowych, odmawiająca uwzględnienia wniosku D. B. a nakazująca N. S.A. z siedzibą w W. wykreślenia jej danych osobowych z Bankowego Rejestru prowadzonego przez Z. pn. System Międzybankowej Informacji Gospodarczej, nie naruszają prawa.
Na wstępie zauważyć należy, iż celem ustawy o ochronie danych osobowych nie jest jedynie ochrona interesów tych, których przetwarzane dane osobowe dotyczą, lecz przede wszystkim służy ona stworzeniu granic ochrony poprzez regulację zakresu i trybu przetwarzania danych. Omawiana ustawa w art. 1 stanowi, iż każdy ma prawo do ochrony dotyczących go danych osobowych, natomiast dane osobowe mogą być przetwarzane, jeżeli służy to dobru publicznemu, dobru osoby, której dane dotyczą lub dobru osób trzecich. Ochrona danych osobowych, na podstawie przepisów powołanej ustawy, nie powinna być oderwana od przepisów służących ochronie innych wartości.
W ocenie Sądu, Generalny Inspektor Ochrony Danych Osobowych trafnie wskazuje, iż przesłankę legalności przetwarzania danych osobowych skarżącej stanowił art. 23 ust. 1 pkt 2 ustawy o ochronie danych osobowych. Jak wynika z tego przepisu, przetwarzanie danych osobowych jest dopuszczalne, jeżeli jest to niezbędne dla zrealizowania uprawnienia lub spełnienia obowiązku wynikającego z przepisu prawa. Uprawnienia takie dla Banku wynikają z art. 105 ust. 4 ustawy - Prawo bankowe, według którego banki mogą wspólnie z bankowymi izbami gospodarczymi utworzyć instytucje upoważnione do gromadzenia, przetwarzania i udostępniania:
1. bankom - informacji stanowiących tajemnicę bankową w zakresie, w jakim informacje te są potrzebne w związku z wykonywaniem czynności bankowych oraz w związku ze stosowaniem metod statystycznych, o których mowa w art. 128 ust. 3 oraz w art. 128d ust. 1,
2. innym instytucjom ustawowo upoważnionym do udzielania kredytów - informacji stanowiących tajemnicę bankową w zakresie, w jakim informacje te są niezbędne w związku z udzielaniem kredytów, pożyczek pieniężnych, gwarancji bankowych i poręczeń.
Powyższa regulacja, jak zauważa sama skarżąca, jest podstawą utworzenia rejestrów danych, w tym przypadku także: Międzybankowej Informacji Gospodarczej - Bankowy Rejestr, prowadzonego przez Z. Umożliwia ona wymianę informacji dotyczących danych klientów pomiędzy bankami w celu ochrony systemu bankowego przed niesolidnymi dłużnikami w zakresie, w jakim informacje te są potrzebne w związku z wykonywaniem czynności bankowych. Przepis ten ma umożliwić bankom ocenę m.in. zdolności kredytowej potencjalnego klienta, poprzez ustalenie, czy ma on już zobowiązania wobec innych banków, jak również - czy zalega z ich spłatami. Weryfikacja ma obejmować aktualną sytuację kredytową klienta banku oraz, zdaniem skarżącej, wymagalne wierzytelności, do spłaty których jest zobowiązany. Natomiast istnienie wynikającego z umowy kredytowej zobowiązania, które nie może być już przez bank egzekwowane, nie ma według skarżącej żadnego znaczenia dla oceny zdolności kredytowej klienta banku, jak również jego wiarygodności finansowej. Dane klienta przestają więc być potrzebne w związku z wykonywaniem czynności bankowych. W ocenie skarżącej, dalsze ich przetwarzanie jest jedynie bezprawną próbą wymuszenia na kliencie zapłaty, pomimo iż Sąd orzekł o braku takiego obowiązku.
Przedstawiona argumentacja zasadnie nie została podzielona przez Generalnego Inspektora Ochrony Danych Osobowych. Organ, wskazując na treść art. 117 Kodeksu cywilnego, prawidłowo przyjął, iż roszczenie Banku wobec skarżącej, choć przedawnione, nie wygasło, tylko zamieniło się w tzw. roszczenie niezupełne (naturalne), którego istotą jest niemożność jego przymusowej realizacji. Jakkolwiek mocą rozstrzygnięcia sądowego, Bank został pozbawiony możliwości przymusowego egzekwowania roszczenia wobec skarżącej, niemniej nie ma ono wpływu na istnienie zobowiązania łączącego Bank i skarżącą.
Ponieważ zobowiązanie skarżącej wobec Banku nie wygasło, Generalny Inspektor Ochrony Danych Osobowych prawidłowo uznał, że działania Banku, jak i Z., znajdują uzasadnienie w przepisach Prawa bankowego (art. 105 ust. 4 - w zakresie przekazania danych do Z. i art. 105a ust. 1 - przetwarzanie danych w chwili obecnej), jak również ustawy o ochronie danych osobowych (art. 23 ust. 1 pkt 2). Skoro zatem skarżąca w dalszym ciągu pozostaje dłużnikiem Banku, Z. - jako instytucja, o której mowa w art. 105 ust. 4 Prawa bankowego - w sposób w pełni uprawniony pozyskał od Banku i poddał procesowi dalszego przetwarzania dane osobowe skarżącej w zakresie dotyczącym jej zobowiązań względem Banku.
Jeżeli przyjąć, że celem Bankowego Rejestru jest ochrona banków, a zwłaszcza ich depozytariuszy, to przekazanie do rejestru prowadzonego przez Z. danych osobowych kredytobiorcy Banku, który nie wykonał zobowiązania, znajduje uzasadnienie w wyżej wskazanych przepisach prawa. Tym samym brak jest podstaw do zarzutu naruszenia art. 51 ust. 4 Konstytucji Rzeczypospolitej Polskiej.
Właściwie też zostały ocenione przez Generalnego Inspektora Ochrony Danych Osobowych zarzuty skarżącej dotyczące czasu przechowywania danych osobowych, dłużej niż jest to niezbędne do osiągnięcia celu przetwarzania.
Z tych względów Wojewódzki Sąd Administracyjny w Warszawie, na podstawie art. 151 ustawy z dnia 30 sierpnia 2002 r. - Prawo o postępowaniu przed sądami administracyjnymi (Dz. U. Nr 153, poz. 1270 ze zm.), orzekł jak w wyroku.
|
