>Orzecznictwo>WSA>2009 >

II SA/Wa 1706/08 – Wyrok WSA

Orzeczenie prawomocne

WYROK

W IMIENIU RZECZYPOSPOLITEJ POLSKIEJ

dnia 24 lutego 2009 r.

Wojewódzki Sąd Administracyjny w Warszawie po rozpoznaniu na rozprawie w dniu 24 lutego 2009 r. sprawy ze skargi S. SA Oddział w P. na decyzję Generalnego Inspektora Ochrony Danych Osobowych z dnia [...] października 2008 r. nr [...] w przedmiocie nakazu udostępnienia danych osobowych

1. uchyla zaskarżoną decyzję i decyzję ją poprzedzającą z dnia [...] lipca 2008 r.
2. zaskarżona decyzja nie podlega wykonaniu w całości
3. zasądza od Generalnego Inspektora Ochrony Danych Osobowych na rzecz S.SA Oddział w P. kwotę [...] ([...] złote) tytułem zwrotu kosztów postępowania

Uzasadnienie:

Generalny Inspektor Ochrony Danych Osobowych działając na podstawie art. 138 § 1 pkt 1 ustawy z dnia 14 czerwca 1960 r. - Kodeks postępowania administracyjnego (Dz. U. z 2000 r. Nr 98, poz. 1071 ze zm.) i art. 12 pkt 2, art. 18 ust. 1 pkt 6, art. 22 w związku z art. 23 ust. 1 pkt 2 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. z 2002 r. Nr 101, poz. 926 z późn. zm.) i w związku z art. 105 ust. 4 i art. 105a ust. 4 ustawy z dnia 29 sierpnia 1997 r. - Prawo bankowe (Dz. U. z 2002 r. Nr 72, poz. 665 z późn. zm.), decyzją z dnia [...] października 2008 r. nr [...] utrzymał w mocy swoją decyzję dnia [...] lipca 2008 r. nr [...] nakazującą S. S.A. Oddział w P. z siedzibą w W. przy ul. [...] spowodowanie usunięcia ze zbioru prowadzonego przez B. S.A. danych osobowych pana M. P.

W uzasadnieniu organ podniósł, że do Biura Generalnego Inspektora Ochrony Danych Osobowych wpłynęła skarga pana M. P. w sprawie usunięcia jego danych osobowych ze zbioru B. S.A. z siedzibą w W. przy ul. [...] oraz zbioru M. prowadzonego przez Z. z siedzibą w W. przy ul. [...], przekazanych do ww. zbiorów przez S. S.A. Oddział w P. z siedzibą w W. przy [...]. W celu ustalenia okoliczności przedmiotowej sprawy Generalny Inspektor Ochrony Danych Osobowych wszczął postępowanie wyjaśniające. Na podstawie zebranego materiału dowodowego dokonano następujących ustaleń:

1. W dniu [...] czerwca 2001 r. Skarżący za pośrednictwem F. Sp. z o.o. zawarł z B. S.A. umowę o korzystanie z karty kredytowej nr [...].

2. Bank poinformował Skarżącego, że jego dane osobowe mogą być udostępniane B. oraz innym podmiotom w celach związanych z zwarciem lub wykonywaniem umowy.

3. W dniu [...] lutego 2005 r. S. S.A. Oddział w P. nabył wierzytelności B. S.A.

4. W dniu [...] lipca 2005 r. Bank wystawił Skarżącemu bankowy tytuł egzekucyjny.

5. W dniu [...] sierpnia 2005 r. dane osobowe Skarżącego zostały przekazane do B.

6. Bank przekazał dane osobowe Skarżącego do zbioru M. prowadzonego przez Z.

7. Zadłużenie wynikające z umowy kredytowej zostało spłacone w dniu [...] września 2007 r.

8. W dniu [...] września 2007 roku Bank złożył do B. dyspozycję usunięcia danych osobowych Skarżącego.

9. W dniu [...] września 2007 r. dane osobowe Skarżącego przestały być przetwarzane przez B. w celu oceny zdolności kredytowej i analizy ryzyka kredytowego.

10. Zgodnie z oświadczeniem złożonym przez Z. dane osobowe Skarżącego nie są już przetwarzane w zbiorze M.

1. Obecnie B. przetwarza dane osobowe Skarżącego w celu stosowania przez banki metod statystycznych, o których mowa w art. 128 ust. 3 Prawa bankowego.

2. Bank w wyjaśnieniach wskazał, iż: "nie zwracał się do B. S.A. (B. S.A.) o przetwarzanie danych osobowych Skarżącego w związku ze stosowaniem przez Bank metod statystycznych do obliczania wymogów kapitałowych."

Po przeprowadzeniu postępowania administracyjnego w przedmiotowej sprawie Generalny Inspektor Ochrony Danych Osobowych w dniu [...] lipca 2008 r. wydał decyzję administracyjną nakazującą Bankowi spowodowanie usunięcia ze zbioru prowadzonego przez B. danych osobowych Skarżącego (znak: [...]).

W ustawowym terminie Bank oraz B. złożyli wnioski o ponowne rozpatrzenie sprawy zakończonej ww. decyzją.

W uzasadnieniu wniosku Bank wskazał na:

1. naruszenie art. 23 ust. 1 pkt 2 w związku z art. 7 pkt 4 ustawy o ochronie danych osobowych w związku z art. 105 ust. 4 pkt 1 i art. 105a ust. 4 i 5 ustawy z dnia 29 sierpnia 1997 r. - Prawo bankowe (Dz. U. z 2002 r. Nr 72, poz. 665 z późn. zm.) poprzez uznanie, iż B. S.A. jako administrator danych pana M. P. nie przetwarza danych osobowych w wykonaniu uprawnienia przyznanego mu przez przepis prawa, tj. że nie jest uprawniony do przetwarzania danych o zobowiązaniach byłych klientów banków w celu stosowania przez banki metod statystycznych dla obliczania wymogów kapitałowych, a uprawnienie takie przysługuje wyłącznie poszczególnym bankom, o ile posiadają odpowiednią zgodę Komisji Nadzoru Finansowego.

2. B. S.A. jest administratorem przekazanych mu przez banki danych osobowych, a nie podmiotem, któremu powierzono przetwarzanie danych osobowych, nie jest związany zakresem i celem przetwarzania danych, w którym dane zostały mu udostępnione. (...) przekazywane przez banki do B. S.A. dane osobowe stanowiące informacje objęte tajemnicą bankową nie są danymi osobowymi powierzonymi do przetwarzania na podstawie art. 31 ustawy o ochronie danych osobowych. (...) zakres i cel przetwarzania danych osobowych przez B. S.A. nie wywodzi się z zawartej z Bankiem umowy, lecz z przepisów art. 105a ust. 4 i 5 Prawa bankowego.

3. naruszenie art. 18 ustawy o ochronie danych osobowych w związku z art. 107 § 1 kpa poprzez skierowanie decyzji do Banku jako podmiotu, któremu nie zarzucono, że przetwarza dane pana M. P. z naruszeniem przepisów ustawy o ochronie danych osobowych oraz sformułowanie rozstrzygnięcia decyzji w sposób, który sprawia, że jest ona niewykonalna.

W uzasadnieniu wniosku o ponowne rozpoznanie sprawy B. wskazał natomiast, iż:

1. doszło do naruszenia przez GIODO art. 23 ust. 1 pkt 2, art. 7 pkt 4 ustawy o ochronie danych osobowych oraz art. 105 ust. 4 pkt 1 oraz art. 105a ust. 4 i 5 Prawa bankowego poprzez całkowite zanegowanie wynikającego wprost z ustawy - Prawo bankowe oraz z ustawy o ochronie danych osobowych uprawnienia B. do samodzielnego przetwarzania informacji stanowiących tajemnicę bankową dotyczących osób fizycznych po wygaśnięciu zobowiązania wynikającego z umowy z bankiem lub inną instytucją upoważnioną do udzielania kredytów bez zgody tych osób dla celów stosowania metod statystycznych, o których mowa w art. 128 ust. 3 Prawo bankowe.

2. w ocenie B. z przytoczonych powyżej przepisów w sposób jednoznaczny i niebudzący wątpliwości wynika samodzielne uprawnienie B. do przetwarzania informacji stanowiących tajemnicę bankową, dotyczących osób fizycznych, w celu stosowania przez banki metod statystycznych.

3. GIODO w sposób rażący naruszył także art. 7 pkt 4 ustawy o ochronie danych osobowych. B. jest bowiem administratorem danych osobowych w rozumieniu tego przepisu, tzn. jest uprawniony do decydowania o celach i środkach przetwarzania danych osobowych.

Jednak po ponownym rozpatrzeniu zgromadzonego w sprawie materiału dowodowego i przeanalizowaniu wniosków o ponowne rozpatrzenie sprawy Generalny Inspektor Ochrony Danych Osobowych podtrzymał swoje stanowisko wyrażone w zaskarżonej decyzji. Wskazując, że zgodnie z art. 105a ust. 4 Prawa bankowego, banki oraz instytucje, o których mowa w art. 105 ust. 4, mogą przetwarzać informacje stanowiące tajemnicę bankową dotyczące osób fizycznych po wygaśnięciu zobowiązania wynikającego z umowy zawartej z bankiem lub inną instytucją ustawowo upoważnioną do udzielania kredytów, bez zgody osoby, której informacje dotyczą, dla celów stosowania metod statystycznych, o których mowa w art. 128 ust. 3. Przetwarzanie informacji stanowiących tajemnicę bankową w ww. przypadku może być wykonywane przez okres 12 lat od dnia wygaśnięcia zobowiązania (art. 105a ust. 5 Prawa bankowego). Art. 128 ust. 3 Prawa bankowego upoważnia banki generalnie do stosowania - za zgodą Komisji Nadzoru Bankowego - metod statystycznych do obliczania wymogów kapitałowych. Art. 128d ust. 1 i 6 Prawa bankowego zezwala natomiast bankowi będącemu unijną instytucją dominującą i podmiotom zależnym od tego banku, działającym z tym bankiem w holdingu oraz podmiotom zależnym od unijnego podmiotu dominującego w holdingu finansowym, na wspólne stosowanie metod statystycznych, o których mowa w art. 128 ust. 3 - po uzyskaniu zgody samej tylko Komisji Nadzoru Bankowego, bądź właściwych władz nadzorczych, lecz przy współpracy ww. Komisji. W myśl art. 105 ust. 4 pkt 1 Prawa bankowego banki mogą, wspólnie z bankowymi izbami gospodarczymi, utworzyć instytucje upoważnione do gromadzenia, przetwarzania i udostępnienia bankom - informacji stanowiących tajemnicę bankową w zakresie, w jakim informacje te są potrzebne w związku z wykonywaniem czynności bankowych oraz w związku ze stosowaniem metod statystycznych, o których mowa w art. 128 ust. 3 oraz w art. 128d ust. 1. Art. 105 ust. 1 pkt 1c Prawa bankowego obliguje natomiast bank do udzielania informacji stanowiących tajemnicę bankową instytucjom, o których mowa w ust. 4 (w tym B.), w zakresie niezbędnym dla stosowania metod statystycznych, o których mowa w art. 128d ust. 1 i 6. W ocenie Generalnego Inspektora Ochrony Danych Osobowych na tle powyższych regulacji w pełni zasadny jest wniosek, iż B. nie jest upoważnione do samodzielnego decydowania o celu przetwarzania przekazanych mu przez bank informacji, stanowiących tajemnicę bankową. Działanie B., które otrzymało od banku informacje o określonym jego kliencie (osobie fizycznej) w celu przetwarzania ich dla potrzeb oceny zdolności kredytowej i analizy ryzyka kredytowego - a przetwarza je w celu stosowania metod statystycznych, o których mowa w art. 128 ust. 3, jest więc - w ocenie Generalnego Inspektora - pozbawione podstaw prawnych. Samo B. bowiem - jako podmiot, który nie podlega wymogom kapitałowym ustanowionym w art. 128 ust. 3 Prawa bankowego - nie jest uprawnione do stosowania metod statystycznych z art. 128 ust. 3 Prawa bankowego. Jak podkreślił Przewodniczący Komisji Nadzoru Bankowego w skierowanym do Generalnego Inspektora Ochrony Danych Osobowych piśmie z dnia [...] stycznia 2008 r. (znak: [...]) cyt.: "Prawdą jest, że instytucje, o których mowa w art. 105 ust. 4 tej ustawy {Prawa bankowego} nie podlegają wymogom kapitałowym ustanowionym w art. 128 Prawa bankowego dla banków, nie wydaje się zatem, aby stosowały jakiekolwiek metody obliczania wymogów, którym nie podlegają (...)" Natomiast, zadaniem organu, z brzmienia art. 128 ust. 3 Prawa bankowego wynika w sposób niebudzący wątpliwości, że wyłącznie banki mogą - pod warunkiem uzyskania zgody Komisji Nadzoru Finansowego - stosować metody statystyczne do obliczania wymogów kapitałowych. W rezultacie, jedynie banki mogą decydować o potrzebie przetwarzania danych osobowych ich klientów (byłych klientów) dla celów stosowania metod statystycznych z art. 128 ust. 3 Prawa bankowego. Ponadto błędny jest wniosek B. i Banku, że w powołanych przepisach chodzi również o inne cele statystyczne niż te, które wymagają zgody Komisji Nadzoru Finansowego.

W rozpatrywanej sprawie dane osobowe M. P. niewątpliwie przekazane zostały przez Bank na rzecz B. w ściśle określonym celu - oceny zdolności kredytowej i analizy ryzyka kredytowego. Ze zgromadzonego w sprawie materiału dowodowego w sposób bezsporny wynika, że Bank nie przekazał do B. danych osobowych M. P. w celach stosowania metod statystycznych, o których mowa w art. 128 ust. 3 Prawa bankowego. Tak więc wedle stanowiska GIODO oznacza to, iż dochodzi do sytuacji, w której B. przetwarza dane osobowe M. P. dla realizacji celu, który nie jest w istocie sprecyzowany. B. informuje wprawdzie, iż celem tym jest stosowanie metod statystycznych, o których mowa w art. 128 ust. 3 Prawa bankowego, jednakże niewątpliwie nie chodzi tu o metody statystyczne stosowane przez Bank - co wynika wprost z wyjaśnień tego podmiotu. Samo B. z kolei - jak wskazano powyżej - nie jest uprawnione do stosowania metod statystycznych z art. 128 ust. 3 Prawa bankowego. Oczywistym jest zatem wniosek, że B. stara się usankcjonować proces przetwarzania danych osobowych Skarżącego dla realizacji przyszłych, potencjalnych celów innych banków - spodziewając się, że banki te, o ile będą uprawnione do stosowania dla obliczania wymogów kapitałowych metod statystycznych (art. 128 ust. 3 Prawa bankowego), będą zainteresowane pozyskaniem dla realizacji tego celu danych osobowych Skarżącego ze zbioru B. Taka sytuacja jest jednak niedopuszczalna w świetle ustawy o ochronie danych osobowych. Ustawa o ochronie danych osobowych zakazuje bowiem przetwarzania danych osobowych "na zapas". Stosownie do brzmienia art. 26 ust. 1 ustawy o ochronie danych osobowych, administrator danych powinien dołożyć szczególnej staranności w celu ochrony interesów osób, których dane dotyczą, a w szczególności obowiązany jest zapewnić, aby dane te były merytorycznie poprawne i adekwatne do celów, w jakich są przetwarzane (pkt 3), a także przechowywane w postaci umożliwiającej identyfikację osób, których dotyczą, nie dłużej niż jest to niezbędne do osiągnięcia celu przetwarzania (pkt 4). Generalny Inspektor odnosząc się zaś do zarzutu Banku dotyczącego naruszenia art. 18 ustawy o ochronie danych osobowych poprzez skierowanie decyzji do niewłaściwego podmiotu oraz sformułowanie rozstrzygnięcia decyzji w sposób, który sprawia, że jest ona niewykonalna uznał, iż twierdzenia powyższe są bezzasadne. Zaskarżona decyzja nakazywała bowiem Bankowi spowodowanie usunięcia ze zbioru B. danych osobowych Skarżącego. W postępowaniach toczących się przed Generalnym Inspektorem Ochrony Danych Osobowych w sprawach dotyczących banków i B. S.A. wielokrotnie podnoszono, że to banki są dysponentami przedmiotowych danych i one decydują o tym, jakie dane przekazać do B. S.A. oraz jakie dane usunąć ze zbioru prowadzonego przez ten podmiot. Podkreślano tym samym służebny status B. S.A. wobec banków. Sam B. w swoich wyjaśnieniach niejednokrotnie podnosił, iż w jego zbiorach znajdują się jedynie takie dane jakie zostały mu przekazane przez banki oraz że ich usunięcie może nastąpić jedynie na mocy dyspozycji banku. Jednocześnie zaznaczyć należy, że zgodnie z § 8 pkt 2 umowy zawartej pomiędzy B. a Bankiem w sprawie gromadzenia, przetwarzania i udostępniania informacji, B. nie odpowiada za treść udostępnianych danych, pozyskanych z baz danych innych podmiotów, jeżeli ich treść jest zgodna z treścią danych przekazanych przez te podmioty. Ponadto, jak podkreślił organ, w orzecznictwie przyjmuje się, że o niewykonalności decyzji przesadzają takie okoliczności uniemożliwiające jej wykonanie, które pojawiły się przed wydaniem decyzji oraz nieusuwalne przez cały czas (por. wyrok NSA z 8 lipca 1999 r., IV SA 970/97). Decyzją niewykonalną jest m.in. decyzja określającą obowiązek nałożony na stronę w nieprecyzyjny sposób, stwarzający możliwość różnej interpretacji przy jego wykonaniu (por. wyrok Sądu Antymonopolowego z dnia 10 kwietnia 1996 r. XVII Amr 1/96). Zaskarżona decyzja niewątpliwie nakłada na Bank jako administratora danych obowiązek sformułowany w sposób jasny i możliwy do wykonania. Tak zatem na tle wyżej wskazanych regulacji oraz ustaleń poczynionych w toku postępowania przeprowadzonego w przedmiotowej sprawie w ocenie Generalnego Inspektora Ochrony Danych Osobowych w pełni zasadny jest wniosek, iż B. nie jest upoważnione do samodzielnego decydowania o celu przetwarzania przekazanych mu przez Bank informacji stanowiących tajemnicę bankową. Działanie B., które otrzymało od Banku informacje o określonym jego kliencie (osobie fizycznej) w celu przetwarzania ich dla potrzeby oceny zdolności kredytowej i analizy ryzyka kredytowego, a przetwarza je w celu stosowania metod statystycznych, o których mowa w art. 128 ust. 3, jest więc - w ocenie Generalnego Inspektora - pozbawione podstaw prawnych.

W dniu 13 listopada 2008 r. skargę na powyższą decyzję do Wojewódzkiego Sądu Administracyjnego w Warszawie, złożył przez swojego profesjonalnego pełnomocnika S. S.A. Skarżący wniósł o uchylenie zaskarżonej decyzji oraz zasądzenie kosztów postępowania, zarzucając jej naruszenie przepisu art. 23 ust. 1 pkt 2 poprzez uznanie, że B. jako administrator danych osobowych M. P. nie przetwarza danych osobowych w wykonaniu uprawnienia przyznanego mu przez przepis prawa oraz poprzez uznanie, iż B. nie jest uprawniony do przetwarzania tych danych w celu stosowania przez banki metod statystycznych dla obliczenia wymogów kapitałowych, a uprawienia takie przysługują wyłącznie bankom, o ile posiadają zgodę Komisji Nadzoru Finansowego, naruszenie § 8 ust. 2 pkt 1 lit. d, e, f, g oraz k, ust. 3 i 4 pkt 1 lit. g, k oraz l i załącznika nr 5 w zakresie § 2 ust. 3 pkt 3 i 4 tego załącznika do Uchwały Komisji Nadzoru Bankowego z dnia 13 marca 2007 r. nr 1/2007 poprzez ich niezastosowanie i stwierdzenie, że bank nie może stosować metod statystycznych przed uzyskaniem zgody Komisji Nadzoru Bankowego, naruszenie § 8 ust. 4 pkt 1 lit. g Uchwały, § 8 ust. 5 pkt 1 lit. d Uchwały oraz § 200 i § 203 ust. 1 załącznika nr 5 do Uchwały poprzez ich niezastosowanie, naruszenie części wstępnej oraz lit. f ust. 2 załącznika V dyrektywy 2006/49/WE Parlamentu Europejskiego i Rady z dnia 14 czerwca 2006 r. w sprawie adekwatności kapitałowej firm inwestycyjnych i instytucji kredytowych (Dyrektywa 2006/49/WE), oraz art. 84 ust. 3 i 4 oraz Załącznika VII w zakresie ust. 69 i 66 części 4 dyrektywy 2006/48/WE Parlamentu Europejskiego i Rady z dnia 14 czerwca 2006 r. w sprawie podejmowania i prowadzenia działalności przez instytucje bankowe i kredytowe (Dyrektywa 2006/48/WE), poprzez interpretację art. 105 ust. 4, art. 105a ust. 4 i 5 oraz art. 128 ust. 3 Prawa bankowego, w sposób sprzeczny z celem i treścią wymienionych dyrektyw, a także naruszenie art. 18 ustawy w zw. z art. 107 § 1 k.p.a. poprzez skierowanie decyzji do podmiotu, któremu nie zarzucono przetwarzania danych i w tej sytuacji decyzja owa jest niewykonalna. W obszernym uzasadnieniu natomiast - powołując się na dotychczasowe argumenty - dodał w oparciu o wspomnianą już wyżej Uchwałę Komisji Nadzoru Bankowego z dnia 13 marca 2007 r. nr 1/2007, że uzyskanie zgody KNF, jest uzależnione od wcześniejszego stosowania metod "na próbę" i tym samym zaskarżona decyzja likwiduje możliwość korzystania przez bank z danych zewnętrznych.

W odpowiedzi na skargę Generalny Inspektor Ochrony Danych Osobowych wniósł o jej oddalenie, a wskazując na dotychczasowe ustalenia faktyczne i prawne dodał, że to banki są dysponentami danych osobowych i tylko one decydują, jakie dane przekazać do B. oraz jakie dane usunąć ze zbioru prowadzonego przez ten podmiot. Ponadto o niewykonalności decyzji - zgodnie z utrwalonym już orzecznictwem - decydują okoliczności, które pojawiły się przed wydaniem decyzji oraz są nieusuwalne przez cały czas. Natomiast wniosek aktualizacyjny, w kontekście dopuszczalności przetwarzania danych osobowych M. P. dla stosowania metod statystycznych, jest bez znaczenia. Reasumując, B. nie jest uprawnione do samodzielnej zmiany celu przetwarzania danych osobowych, a zatem nie posiada uprawnień do przetwarzania powyższych danych w celu stosowania metod statystycznych.

Wojewódzki Sąd Administracyjny w Warszawie zważył, co następuje:

Zgodnie z brzmieniem art. 1 § 1 i 2 ustawy z dnia 25 lipca 2002 r. - Prawo o ustroju sądów administracyjnych (Dz. U. Nr 153, poz. 1269), sąd administracyjny sprawuje wymiar sprawiedliwości poprzez kontrolę pod względem zgodności z prawem zaskarżonej decyzji administracyjnej i to z przepisami obowiązującymi w dacie jej wydania.

Skarga analizowana pod tym kątem zasługuje na uwzględnienie.

Na wstępie należy zauważyć, że obowiązek zapewnienia należytej ochrony danych osobowych wynika w pierwszej kolejności z przepisów Konstytucji RP. W art. 51 ust. 1 Konstytucji, zawarte zostało prawo samodzielnego decydowania każdej osoby o ujawnianiu dotyczących jej informacji. Zobowiązanie do ujawnienia swoich danych osobowych może być zawarte wyłącznie w przepisach rangi ustawowej.

Podstawowym aktem prawnym regulującym zasady postępowania przy przetwarzaniu danych osobowych oraz prawa osób fizycznych, których dane osobowe są lub mogą być przetwarzane w zbiorach danych, jest ustawa o ochronie danych osobowych. Rolą tej ustawy nie jest jedynie ochrona interesów tych, których przetwarzane dane osobowe dotyczą, lecz przede wszystkim służy ona stworzeniu granic ochrony poprzez regulację zakresu i trybu przetwarzania danych. Omawiana ustawa w art. 1 stwierdza, że każdy ma prawo do ochrony dotyczących go danych osobowych, natomiast dane osobowe mogą być przetwarzane, jeżeli służy to dobru publicznemu, dobru osoby, której dane dotyczą lub dobru osób trzecich. Można zatem wyciągnąć z powyższego wniosek, że ochrona danych osobowych na podstawie przepisów powołanej ustawy, nie powinna być oderwana od przepisów służących ochronie innych wartości.

W myśl art. 3 ustawy, stosuje się ją do organów państwowych, organów samorządu terytorialnego, państwowych i komunalnych jednostek organizacyjnych, a także podmiotów niepublicznych realizujących zadania publiczne oraz osób fizycznych i prawnych oraz jednostek organizacyjnych niebędących osobami prawnymi, jeżeli przetwarzają dane osobowe w związku z działalnością zarobkową, zawodową lub dla realizacji celów statutowych, mających siedzibę albo miejsce zamieszkania na terytorium Rzeczypospolitej Polskiej, albo w państwie trzecim, o ile przetwarzają dane osobowe przy wykorzystaniu środków technicznych znajdujących się na terytorium Rzeczypospolitej Polskiej. Podmioty te w sytuacji, kiedy decydują o celach i środkach przetwarzania danych osobowych określane są przez art. 7 pkt 4 ustawy, jako administratorzy danych osobowych.

Natomiast stosownie do treści art. 7 pkt 2 ww. ustawy, przez przetwarzanie danych osobowych rozumie się jakiekolwiek operacje wykonywane na danych osobowych, takie jak zbieranie, utrwalanie, przechowywanie, opracowywanie, zmienianie, udostępnianie i usuwanie, a zwłaszcza te, które wykonuje się w systemach informatycznych.

Ustawa nakłada na administratora danych osobowych liczne obowiązki, które powinien on wypełnić w procesie przetwarzania danych osobowych. Zgodnie z art. 26, administrator danych przetwarzający dane powinien dołożyć szczególnej staranności w celu ochrony interesów osób, których dane dotyczą, a w szczególności, jest obowiązany zapewnić, aby dane te były przetwarzane zgodnie z prawem, zbierane dla oznaczonych, zgodnych z prawem celów i niepoddawane dalszemu przetwarzaniu niezgodnemu z tymi celami i z zastrzeżeniem, że przetwarzanie danych w celu innym niż ten, dla którego zostały zebrane, jest dopuszczalne, jeżeli nie narusza praw i wolności osoby, której dane dotyczą, oraz m.in. wtedy, gdy następuje w celach badań naukowych, dydaktycznych, historycznych lub statystycznych.

W celu zapewnienia wysokiego standardu ochrony danych osobowych w ustawie zawarto zamknięty katalog sytuacji, w których dopuszczalne jest przetwarzanie danych osobowych. Ustawodawca wskazuje, że takie przetwarzanie jest dopuszczalne m.in. w wypadku, gdy osoba, której dane dotyczą, wyrazi na to zgodę, chyba że chodzi o usunięcie dotyczących jej danych, a także, gdy jest to niezbędne dla zrealizowania uprawnienia lub spełnienia obowiązku wynikającego z przepisu prawa. Jak wynika z powyższego, ustawa dopuszcza przetwarzanie danych, nawet bez zgody osoby, której te dane dotyczą, gdy istnieje konkretne uprawnienie wynikające z przepisu prawa, dla którego realizacji niezbędne jest przetwarzanie danych osobowych.

Ustawa - Prawo bankowe, stanowi regulację szczególną w stosunku do ustawy o ochronie danych osobowych, tworzy bowiem specjalny reżim ochrony danych powierzanym bankom w ramach prowadzenia przez nie działalności.

W pierwszej kolejności należy wskazać art. 105 ustawy - Prawo bankowe, wyznaczający zakres dopuszczalnego przekazywania danych znajdujących się w dyspozycji banków. Zgodnie z art. 105 ust. 1 pkt 1, 1a) oraz 1 c), bank ma obowiązek udzielenia informacji stanowiących tajemnicę bankową, wyłącznie innym bankom i instytucjom kredytowym w zakresie, w jakim informacje te są niezbędne w związku z wykonywaniem czynności bankowych oraz nabywaniem i zbywaniem wierzytelności, a także na zasadzie wzajemności - innym instytucjom ustawowo upoważnionym do udzielania kredytów - o wierzytelnościach oraz o obrotach i stanach rachunków bankowych w zakresie, w jakim informacje te są niezbędne w związku z udzielaniem kredytów, pożyczek pieniężnych, gwarancji bankowych i poręczeń, oraz m.in. instytucjom, o których mowa w ust. 4, w zakresie niezbędnym dla stosowania metod statystycznych, o których mowa w art. 128d ust. 1 i 6.

Uprawnienie do gromadzenia danych osobowych otrzymywanych od banków, a następnie ich dalszego przetwarzania dla B., wynika z art. 105 ust. 4, według którego banki mogą, wspólnie z bankowymi izbami gospodarczymi, utworzyć instytucje upoważnione do gromadzenia, przetwarzania i udostępniania:

1) bankom - informacji stanowiących tajemnicę bankową w zakresie, w jakim informacje te są potrzebne w związku z wykonywaniem czynności bankowych oraz w związku ze stosowaniem metod statystycznych, o których mowa w art. 128 ust. 3 oraz w art. 128d ust. 1,

2) innym instytucjom ustawowo upoważnionym do udzielania kredytów - informacji stanowiących tajemnicę bankową w zakresie, w jakim informacje te są niezbędne w związku z udzielaniem kredytów, pożyczek pieniężnych, gwarancji bankowych i poręczeń.

Zatem ustawa stwarza uprawnienie dla banków do stosowania metod statystycznych. Zgodnie bowiem z art. 128 ust. 3, za zgodą Komisji Nadzoru Finansowego, bank może stosować metody statystyczne do obliczania wymogów kapitałowych. Natomiast treść art. 128d ust. 1 odnosi się do banków, będących unijnymi instytucjami dominującymi, do podmiotów zależnych od tego banku działających z tym bankiem w holdingu, oraz do podmiotów zależnych od unijnego podmiotu dominującego w holdingu finansowym. Przepis ten przewiduje, że podmioty te mogą stosować wspólnie metody statystyczne, o których mowa w art. 128 ust. 3, po uzyskaniu zgody Komisji Nadzoru Finansowego. Komisja Nadzoru Finansowego, udzielając zgody może określić w jej treści warunki i terminy dotyczące stosowania tych metod.

Kluczowe w niniejszej sprawie jest jednak uregulowanie zawarte w art. 105a ust. 4 i 5 powyższej ustawy, zgodnie z którym banki oraz instytucje, o których mowa w art. 105 ust. 4, mogą przetwarzać informacje stanowiące tajemnicę bankową dotyczącą osób fizycznych po wygaśnięciu zobowiązania wynikającego z umowy zawartej z bankiem lub inną instytucją ustawowo upoważnioną do udzielania kredytów, bez zgody osoby, której informacje dotyczą, dla celów stosowania metod statystycznych, o których mowa w art. 128 ust. 3. Przetwarzanie informacji stanowiących tajemnicę bankową w przypadku, o którym mowa w ust. 4, może być wykonywane przez okres 12 lat od dnia wygaśnięcia zobowiązania.

W niniejszej sprawie B. otrzymawszy uprzednio od S. S.A. dane osobowe M. P. w celu oceny zdolności kredytowej i analizy ryzyka kredytowego, po otrzymaniu od banku dyspozycji usunięcia danych, przestało je przetwarzać w tym właśnie celu. Jednak dane osobowe M. P., pozostały w dyspozycji B. dla ich dalszego przetwarzania, w celu stosowania przez banki metod statystycznych, zgodnie z treścią art. 128 ust. 3 Prawa bankowego. Zdaniem Generalnego Inspektora Ochrony Danych Osobowych, takie przekształcenie celu przetwarzania danych stanowiło naruszenie przepisów ustawy o ochronie danych osobowych. Organ ocenił, że B. nie mogło przetwarzać danych osobowych w innym celu, niż ten, dla którego zostały mu one pierwotnie przekazane.

Pogląd ten nie znajduje jednak uzasadnienia w świetle analizy przepisów ustawy - Prawo bankowe. Zauważyć należy, że ustawa z dnia 26 stycznia 2007 r. o zmianie ustawy - Prawo bankowe (Dz. U. z 2007 r. Nr 42, poz. 272), wprowadziła z dniem 1 kwietnia 2007 r. znowelizowaną wersję art. 105a, co spowodowało diametralną zmianę w zakresie uprawnień B. do samodzielnego decydowania o przetwarzaniu danych osobowych dla celów stosowania metod statystycznych. Otóż instytucje, o których mowa w art. 105 ust. 4 ustawy, a nie ulega wątpliwości, że do instytucji takich zaliczyć można B. mogą przetwarzać, dla celów stosowania metod statystycznych, o których mowa w art. 128 ust. 3, dane osobowe przez okres 12 lat po wygaśnięciu zobowiązania, a przetwarzanie to nie wymaga zgody osoby, której te dane dotyczą.

W ocenie Sądu, analiza powyżej wskazanych przepisów ustawy - Prawo bankowe pozwala stwierdzić, że B. posiada samodzielne uprawnienie do przetwarzania danych dla celów stosowania metod statystycznych, bowiem przepis art. 105a ust. 4 ustawy, wprowadził przesłankę legalizującą stosowanie przez B. metod statystycznych.

Przyznać należy, że zastosowanie dla oceny, czy B. może samodzielnie decydować o zmianie celu przetwarzania danych, celem realizacji wskazanego wyżej uprawnienia, wyłącznie wykładni gramatycznej nie przynosi zadowalających rezultatów. Na gruncie tej wykładni, nie jest bowiem możliwe jednoznaczne stwierdzenie, czy przepis art. 105a ust. 4 uprawnia B. do samodzielnego decydowania o zmianie celu przetwarzania danych. Dlatego, niezbędne jest odwołanie się do wykładni celowościowej tego przepisu oraz uwzględnienie kontekstu normatywnego. Utworzenie instytucji, o której mowa w art. 105 ust. 4 wraz z jednoczesnym przyznaniem jej przez ustawodawcę w art. 105a ust. 4 uprawnień do przetwarzania przekazanych jej przez banki danych osobowych dla celów stosowania metod statystycznych wskazuje, że dla dokonywania przetwarzania nie jest potrzebne spełnienie przez B. żadnych dodatkowych warunków, gdyż art. 105a ust. 4 stanowi wystarczającą podstawę do dokonywania przetwarzania danych.

Przyjęcie odmiennego rozwiązania prowadziłoby do sytuacji, w której B. mogłoby przetwarzać dla celów stosowania metod statystycznych, wyłącznie dane, otrzymane przez banki z tym właśnie przeznaczeniem. Interpretacja taka, stoi w jawnej sprzeczności z celem regulacji art. 105a ust. 4, którym jest, zdaniem Sądu, zapewnienie bankom łatwego i szybkiego dostępu do danych statystycznych niezbędnych do prawidłowego obliczania wymogów kapitałowych. Przepis ten służy, zatem dobru publicznemu, jakim niewątpliwie jest optymalizacja działalności kredytowej banków.

Przyjęcie tego sposobu wykładni, jest tym bardziej uzasadnione w świetle treści art. 26 ustawy o ochronie danych osobowych, który stwierdza, że przetwarzanie danych w celu innym niż ten, dla którego zostały zebrane, jest dopuszczalne, o ile nie narusza praw i wolności osoby, której dane dotyczą, jeżeli następuje w celach badań naukowych, dydaktycznych, historycznych lub statystycznych. Zatem cel przeprowadzenia badań statystycznych, stanowi przesłankę wyłączającą ustawowy zakaz przetwarzania danych osobowych w innym celu niż ten, dla którego zostały zebrane.

Stanowisko takie jest tym bardziej zasadne, że uzyskanie zgody Komisji Nadzoru Finansowego, o której mowa w art. 128 ust. 3 ustawy - Prawo bankowe, uzależnione jest od konieczności stosowania metod statystycznych przez co najmniej 3 lata.

Generalny Inspektor Ochrony Danych Osobowych ponownie rozpatrując sprawę, uwzględni powyższe uwagi Sądu w szczególności dotyczące posiadania przez B. samodzielnej podstawy uprawniającej do przetwarzania danych osobowych dla celów stosowania metod statystycznych, o których mowa w art. 128 ust. 3 Prawa bankowego.

Z tych względów, Wojewódzki Sąd Administracyjny w Warszawie, działając na podstawie art. 145 § 1 pkt 1 lit. "c" ustawy z dnia 30 sierpnia 2002 r. - Prawo o postępowaniu przed sądami administracyjnymi (Dz. U. Nr 153, poz. 1270 ze zm.), orzekł, jak w punkcie 1 sentencji wyroku. W oparciu o art. 152 ww. ustawy, Sąd wstrzymał wykonanie zaskarżonej decyzji w całości.

O kosztach orzeczono na podstawie art. 200, art. 205 § 1 i 2 i art. 209 ww. ustawy - Prawo o postępowaniu przed sądami administracyjnymi. Sąd zasądził na rzecz skarżącej Spółki kwotę 474 zł, w tym 200 zł, stanowiącą wartość uiszczonego wpisu, kwotę 34 zł, poniesioną tytułem opłaty skarbowej od udzielonego pełnomocnictwa oraz kwotę 240 zł, tytułem wynagrodzenia pełnomocnika, zgodnie z § 14 ust. 2 pkt 1 lit. "c" rozporządzenia Ministra Sprawiedliwości z dnia 28 września 2002 r. w sprawie opłat za czynności adwokackie oraz ponoszenia przez Skarb Państwa kosztów nieopłaconej pomocy prawnej udzielonej z urzędu (Dz. U. Nr 163, poz. 1349 z późn. zm.).