GI-DEC-DS-54/05
2007-05-26
Decyzja Generalnego Inspektora Ochrony Danych Osobowych z dnia 18 marca 2005 r. w sprawie usunięcia danych osobowych ze zbiorów prowadzonych przez Bank. – decyzja nieprawomocna
Warszawa, dnia 18 marca 2005 r.
D E C Y Z J A
Na podstawie art. 104 § 1, art. 105 § 1 ustawy z dnia 14 czerwca 1960 r. Kodeks postępowania administracyjnego (Dz. U. z 2000 r. Nr 98, poz. 1071 z późn. zm.) oraz art. 12 pkt 2 w związku z art. 23 ust. 1 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. z 2002 r. Nr 101, poz. 926 z późn. zm.), art. 71 ust. 1, art. 74 ust. 1 ustawy z dnia 29 września 1994 r. o rachunkowości (Dz. U. z 2002 r., Nr 76, poz. 694) i § 32 ust. 1 rozporządzenia Ministra Finansów z dnia 10 grudnia 2001 r. w sprawie szczególnych zasad rachunkowości banków (Dz. U. Nr 149, poz. 1673 z późn. zm.), po przeprowadzeniu postępowania administracyjnego w sprawie wniosku Pana X, dotyczącego przetwarzania jego danych osobowych przez Bank oraz Biuro Informacji Kredytowej S.A.
1) odmawiam uwzględnienia wniosku Pana X, o nakazanie Bankowi usunięcia jego danych osobowych ze zbiorów Banku,
2) w pozostałym zakresie umarzam postępowanie.
Uzasadnienie
Do Biura Generalnego Inspektora Ochrony Danych Osobowych, zwanego dalej również Generalnym Inspektorem, wpłynęła skarga Pana X, zwanego dalej również Skarżącym, w której „na podstawie art. 35 ust. 2 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (....) w związku z art. 35 ust. 1 i 3 ustawy cytowanej wcześniej” wniósł o „nakazanie:
1. usunięcia danych osobowych dotyczących [jego] osoby ze zbiorów danych administrowanych przez Bank i wszystkich jej oddziałach,
2. zawiadomienia przez Bank w trybie art. 35 ust. 3 ustawy o ochronie danych osobowych, Biuro Informacji Kredytowej S.A. o dokonanym usunięciu danych osobowych, ze względu na fakt iż dane te są zbędne dla realizacji celu dla którego zostały zebrane,
3. usunięcia danych osobowych dotyczących [jego] osoby ze zbiorów danych administrowanych przez Biuro Informacji Kredytowej S.A– z uwagi na to, że zostały zebrane one z naruszeniem ustawy o ochronie danych osobowych”.
W uzasadnieniu skargi Pan X wskazał w szczególności:
1. „Dane osobowe dotyczące mojej osoby zostały pozyskane przez w związku z umową kredytu na zakup artykułów przemysłowych i usług z dnia 26 marca 2001 r.”
2. „Przedmiotowa umowa oraz wszelkie czynności związane z jej realizacją i całkowitą spłatą zobowiązań wynikających z niej, zostały zakończone w dniu 18 listopada 2003 r. i od tej chwili przestałem być klientem przedmiotowego banku”.
3. „W związku z koniecznością zaciągnięcia następnego kredytu w czerwcu 2004 r. dowiedziałem się, iż moje dane osobowe zostały przekazane do Biura Informacji Kredytowej, do którego skierowałem stosowne zapytanie i w odpowiedzi przekazano mi informację z dnia 22 czerwca 2004 r., dotyczącą przechowywania i przetwarzania moich danych osobowych. Z informacji tej wynika iż dane osobowe zostały przekazane przez Bank w dniu 5 kwietnia 2001 r. i od dnia wykonania przedmiotowej informacji pozostają w dalszym ciągu u powyższego administratora (...)”.
4. „W związku z powyższym w dniu 30 czerwca 2004r. wystąpiłem Banku z wnioskiem o zaprzestanie przetwarzania moich danych osobowych na podstawie art. 32 ust. l pkt. 6 ustawy o ochronie danych osobowych, jako zbędne do realizacji celu, dla którego zostały zebrane (...)”.
Skarżący podniósł ponadto, iż zarówno Bank oraz Biuro Informacji Kredytowej S.A., naruszyły w procesie przetwarzania dotyczących go danych osobowych szereg przepisów ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. z 2002 r. Nr 101, poz. 926 z późn. zm.), zwanej dalej ustawą, co oznacza, iż „wypełnione zostały przesłanki zawarte w art. 35 ust. l ustawy o ochronie danych osobowych, to jest że dane zostały zebrane z naruszeniem ustawy oraz że są zbędne do realizacji celu dla którego zostały zebrane, i że wniosek określony na wstępie jest w pełni uzasadniony”.
Generalny Inspektor podjął działania mające na celu wyjaśnienie przedmiotowej sprawy. Z ustaleń dokonanych w toku prowadzonego postępowania wyjaśniającego wynika, że:
1. Bank pozyskał dane osobowe Skarżącego w związku z zawarciem z nim umowy z dnia 26 marca 2001 r. na zakup artykułów przemysłowych i usług.
2. W dokumencie zawierającym oświadczenia stron ww. umowy, znalazł się zapis zawierający informacje przewidziane przepisem art. 24 ust. 1 ustawy o ochronie danych osobowych, przy czym Skarżącemu nie udzielono informacji w zakresie określonym art. 25 ustawy, w kontekście ew. przekazania jego danych do BIK S.A.
3. Po uzyskaniu tytułu wykonawczego przeciwko Skarżącemu, który nie wywiązywał się z postanowień umowy dotyczących spłaty rat kredytu, Bank wszczął egzekucję wierzytelności. Postępowanie egzekucyjne zostało zakończone w dniu 16 grudnia 2003 r. „wobec zaspokojenia całego roszczenia wierzyciela przez Pana X.
4. „Dane osobowe Skarżącego zostały przekazane do BIK wg stanu na czerwiec 2001 r.” i umieszczone w prowadzonym przez BIK zbiorze o nazwie „Kredytobiorcy”.
5. Bank przekazał do BIK S.A. dane Skarżącego w zakresie: imion, nazwiska, adresu zamieszkania, daty urodzenia, numeru Pesel, numeru dowodu osobistego”.
6. Przekazanie danych do BIK S.A. odbyło się na podstawie art. 105 ust. 1 i ust. 4 ustawy z dnia 29 sierpnia 1997 r. Prawo bankowe (Dz. U. z 2002 r. Nr 72, poz. 665 z późn. zm.), zwanej dalej Prawem bankowym, oraz w oparciu o „Umowę w sprawie zbierania i udostępniania informacji” z dnia 23 stycznia 2001 r., zawartą pomiędzy Bankiem a BIK S.A.
7. Informacja o spłacie zadłużenia przez Skarżącego została przekazana przez Bank do BIK S.A. w dniu 30 czerwca 2004 r.
8. Obecnie Bank przetwarza dane osobowe Skarżącego „na potrzeby archiwalne”, na podstawie art. 71 ust. 1 i 74 ust. 1 ustawy z dnia 29 września 1994 r. o rachunkowości (Dz. U. z 2002 r. Nr 76, poz. 694 z późn. zm.), zwanej dalej ustawą o rachunkowości, w związku z art. 32 ust.1 rozporządzenia Ministra Finansów z dnia 10 grudnia 2001 r. w sprawie szczególnych zasad rachunkowości banków (Dz. U. Nr 149, poz. 1673 z późn. zm.), zwanego dalej rozporządzeniem.
W dniu 29 marca 2004 r. Generalny Inspektor Ochrony Danych Osobowych wydał decyzję administracyjną (GI-DEC-DIS-81/04/155), mocą której w punkcie I.1. nakazał BIK S.A. usunięcie uchybień w procesie przetwarzania danych osobowych przez BIK S.A. poprzez zaprzestanie przetwarzania danych osób, których rachunki kredytowe zostały zamknięte. Natomiast w ostatecznej decyzji administracyjnej z dnia 10 sierpnia 2004 r. (GI-DEC-DIS-165/04/352), Generalny Inspektor, uchylając pkt I.1. ww. decyzji, nakazał BIK S.A. usunięcie uchybień w procesie przetwarzania danych osobowych poprzez zaprzestanie przetwarzania danych osób, których rachunki kredytowe zostały zamknięte w związku z uzyskaną od banku lub innej instytucji ustawowo upoważnionej do udzielania kredytów, informacją o okoliczności powodującej jego zamknięcie. Wyrokiem (nieprawomocnym) z dnia 22 lutego 2005 r. Wojewódzki Sąd Administracyjny oddalił skargę BIK S.A. na powyższą decyzję Generalnego Inspektora.
Po zapoznaniu się z całością zgromadzonego w sprawie materiału dowodowego, Generalny Inspektor Ochrony Danych Osobowych zważył, co następuje:
I. Ustawa o ochronie danych osobowych, określa zasady postępowania przy przetwarzaniu danych osobowych oraz prawa osób fizycznych, których dane są lub mogą być przetwarzane w zbiorach danych (art. 2 ust. 1 ustawy). Przesłanki przetwarzania danych określone zostały w art. 23 ust. 1 ustawy, przy czym podmiot przetwarzający dane powinien wykazać się co najmniej jedną z nich, aby jego działanie mogło być uznane za zgodne z prawem. Na podstawie ust. 1 pkt 2 wskazanego powyżej artykułu, przetwarzanie danych jest dopuszczalne, gdy jest niezbędne dla zrealizowania uprawnienia lub spełnienia obowiązku wynikającego z przepisu prawa. Oznacza to, że ustawa o ochronie danych osobowych odsyła do innych przepisów, regulujących w szczególności działalność innych podmiotów i instytucji, które przesądzają o tym, kto, komu w jakich okolicznościach może dane osobowe udostępnić, kto i w jakich okolicznościach może dane pozyskać, przechowywać, usunąć oraz dokonać na danych innych operacji wymienionych art. 7 pkt 2 ustawy. Aktem prawnym, który reguluje powyższe kwestie w przypadku przetwarzania danych osobowych klientów banków jest przede wszystkim Prawo bankowe, ustawa o rachunkowości i wydane na jej podstawie rozporządzenie Ministra Finansów z dnia 10 grudnia 2001 r. w sprawie szczególnych zasad rachunkowości banków. W konsekwencji złożony w niniejszej sprawie przez Skarżącego wniosek o nakazanie usunięcia dotyczących go danych osobowych ze zbiorów „administrowanych” przez Bank oraz ze zbiorów „administrowanych” przez BIK S.A. podlegał będzie ocenie z punktu widzenia przepisów wskazanych powyżej aktów prawnych.
Na wstępie, odnosząc się do kwestii przetwarzania danych osobowych Skarżącego w zbiorach Banku po uregulowaniu przez niego zadłużenia, wskazać należy, iż w myśl art. 71 ust. 1 ustawy o rachunkowości, dokumentację opisującą w języku polskim przyjęte przez bank zasady (politykę) rachunkowości, księgi rachunkowe, dowody księgowe, dokumenty inwentaryzacyjne i sprawozdania finansowe, należy przechowywać w należyty sposób i chronić przed niedozwolonymi zmianami, nieupoważnionym rozpowszechnianiem, uszkodzeniem lub zniszczeniem. W art. 74 ust. 1 ustawy o rachunkowości określono okresy przechowywania poszczególnych rodzajów tych dokumentów. Dla przykładu wskazać należy, iż dowody księgowe dotyczące wieloletnich pożyczek, kredytów czy też roszczeń dochodzonych w postępowaniu cywilnym powinny być przechowywane przez 5 lat od początku roku następującego po roku obrotowym, w którym operacje, transakcje i postępowanie zostały ostatecznie zakończone, spłacone, rozliczone lub przedawnione. Natomiast w myśl przepisu § 32 ust 1 rozporządzenia, Bank przestrzega zasad dotyczących przechowywania i ochrony danych określonych w przepisach art. 71 ustawy i odrębnych przepisach, z zastrzeżeniem ust. 2, zgodnie z którym bank przechowuje dowody księgowe w oryginalnej postaci przez okres wynikający z przepisu art. 74 ustawy.
Powyższe oznacza, iż ustawodawca nałożył na Bank obowiązek przechowywania określonego rodzaju dokumentów, w tym dokumentów, takich jak dowody księgowe zawierających dane osobowe Skarżącego, przez ściśle określony czas. Oczywistą konsekwencją tego stwierdzenia jest więc uznanie, iż Bank musi - w celach i przez okres wskazany w tych przepisach - przetwarzać (przechowywać) również dane osobowe Skarżącego. Takie działanie Banku pozostaje w zgodzie z powołanym powyżej przepisem art. 23 ust 1 pkt 2 ustawy. W rezultacie brak jest podstaw do uwzględnienia wniosku Skarżącego o nakazanie usunięcia dotyczących go danych ze zbiorów Banku w związku z dokonaną przez niego spłatą zadłużenia.
II. Przechodząc do kwestii przetwarzania danych osobowych Skarżącego w prowadzonym przez BIK S.A. zbiorze o nazwie „Kredytobiorcy”, zauważyć należy, iż również w tym przypadku zastosowanie znajduje ww. przesłanka z art. 23 ust. 1 pkt 2 ustawy. Stosowną podstawę prawną dla prowadzenia przez BIK S.A tego zbioru oraz przetwarzania w nim danych osobowych aktualnych klientów banków, stanowi bowiem art. 105 ust. 4 Prawa bankowego. Banki mogą, wspólnie z bankowymi izbami gospodarczymi, utworzyć instytucje do zbierania i udostępniania 1) bankom - informacji stanowiących tajemnicę bankową w zakresie, w jakim informacje te są potrzebne w związku z wykonywaniem czynności bankowych, 2) innym instytucjom ustawowo upoważnionym do udzielania kredytów - informacji o wierzytelnościach oraz o obrotach i stanach rachunków bankowych w zakresie, w jakim informacje te są niezbędne w związku z udzielaniem kredytów, pożyczek pieniężnych, gwarancji bankowych i poręczeń. Ponadto, bank ma obowiązek udzielenia informacji stanowiących tajemnicę bankową m.in. innym bankom i instytucjom kredytowym w zakresie, w jakim informacje te są niezbędne w związku z wykonywaniem czynności bankowych oraz nabywaniem i zbywaniem wierzytelności; na zasadzie wzajemności - innym instytucjom ustawowo upoważnionym do udzielania kredytów - o wierzytelnościach oraz o obrotach i stanach rachunków bankowych w zakresie, w jakim informacje te są niezbędne w związku z udzielaniem kredytów, pożyczek pieniężnych, gwarancji bankowych i poręczeń (art. 105 ust. 1 pkt 1 – 1a Prawa bankowego).
Nie może więc być wątpliwości, co do legalności przekazywania przez Bank danych osobowych dotyczących Skarżącego do BIK S.A. (i przetwarzania tych danych w BIK S.A) w trakcie obowiązywania umowy, jak również po jej rozwiązaniu, ale – co istotne – wyłącznie do chwili dokonania przez Skarżącego spłaty zadłużenia wobec Banku. W niniejszej sprawie okoliczność spłacenia zadłużenia jest bezsporna - została potwierdzona zarówno przez Skarżącego, jak i przez sam Bank, w złożonych wyjaśnieniach. Z ustaleń Generalnego Inspektora wynika, iż Bank przekazał do BIK S.A. stosowną informację o dokonanej przez Skarżącego spłacie zadłużenia w dniu 30 czerwca 2004 r., zatem sam BIK S.A. miał informację, która powinna być potraktowana jako podstawa do usunięcia danych osobowych Skarżącego. Z chwilą uzyskania z Banku informacji o spłacie zadłużenia BIK S.A. powinien był zaprzestać przetwarzania danych osobowych Skarżącego w zbiorze o nazwie „Kredytobiorcy”. Brak bowiem było podstaw prawnych do dalszego przetwarzania przedmiotowych danych w tym zbiorze. Zauważyć należy, iż przepisy Prawa bankowego, w szczególności art. 105 ust. 4 Prawa bankowego, w ogóle nie określają praw i obowiązków osób, których dane znalazły się w zbiorze o nazwie „Kredytobiorcy”, w tym nie określają okresów przechowywania danych w tym zbiorze po spłacie zadłużenia przez klientów banków. Ze względu natomiast na określone konstytucyjnie źródła prawa, nie można uznać za dokument, z którego takowe obowiązki lub uprawnienia mogą wynikać, uchwalonego bez stosownej delegacji ustawowej – „Regulaminu zbierania i udostępniania informacji przez Biuro Informacji Kredytowej S.A.” (dokument ten, do którego przestrzegania Bank i BIK S.A. zobowiązały się w umowie z dnia 23 stycznia 2001 r. w sprawie zbierania i udostępniania informacji, określa w szczególności terminy przechowywania danych w zbiorze o nazwie „Kredytobiorcy”). Zgodnie bowiem z przepisem art. 87 ust. 1 ustawy z dnia 2 kwietnia 1997 r. Konstytucja Rzeczypospolitej Polskiej (Dz. U. Nr 78, poz. 483), źródłami powszechnie obowiązującego prawa Rzeczypospolitej Polskiej są: Konstytucja, ustawy, ratyfikowane umowy międzynarodowe oraz rozporządzenia. Postanowienia powołanego powyżej regulaminu nie mogą więc być uznane za powszechnie obowiązujące przepisy prawa.
Nie można zgodzić się z twierdzeniem Banku, który uzasadniając przechowywanie danych Skarżącego w BIK S.A. przez okres 5 lat po uregulowaniu przez niego zadłużenia, wskazuje, iż ze względu na fakt, że „banki mają przechowywać dane przynajmniej przez 5 lat, co wynika z art. 74 ustawy o rachunkowości, [to] również w tym terminie BIK winien przechowywać otrzymane od banków dane i udostępniać je bankom, gdyż działa on w interesie sektora bankowego, zastępując niejako obowiązek informacyjny banków, jaki nałożono na banki w art. 105 ust.1 prawa bankowego”. Podkreślenia więc wymaga, iż na podstawie ustawy o rachunkowości oraz art. 32 rozporządzenia przetwarzane mogą być wyłącznie te dane osobowe klientów, które znajdują się w dokumentach określonych w art. 71 ust. 1 ustawy o rachunkowości, a nie wszystkie informacje dotyczące czynności bankowych, uzyskane np. w czasie negocjacji, czy w trakcie zawierania i realizacji umowy, na podstawie której bank tę czynność wykonuje. Przechowywanie wskazanych powyżej dokumentów, zawierających dane osobowe klienta, jako konsekwencja innych obowiązków, jakie na banki nakładają – ogólnie rzecz ujmując – przepisy o rachunkowości, powinno następować wyłącznie w celach określonych przez te przepisy. Banki mają przede wszystkim obowiązek przechowywania dokumentów – jak wskazuje sam Bank – „na potrzeby archiwalne” wynikające z przepisów o rachunkowości, a ewentualne ich udostępnianie może nastąpić wyłącznie podmiotom i w celach określonych w tych przepisach. Przychylenie się do stanowiska Banku o dopuszczalności udostępniania danych osobowych zawartych w dokumentach określonych w art. 71 ust. 1 ustawy o rachunkowości, byłoby sprzeczne z ratio legis tej ustawy.
W takim stanie prawnym o niedopuszczalności dalszego przechowywania danych osobowych Skarżącego w zbiorze prowadzonym przez BIK S.A., tj. po ustaniu zobowiązania Skarżącego wobec Banku, jednoznacznie przesądzają przepisy art. 26 ust. 1 pkt 1 i 2 ustawy. Zgodnie z powołanymi normami, administrator danych przetwarzający dane powinien dołożyć szczególnej staranności w celu ochrony interesów osób, których dane dotyczą, a w szczególności jest obowiązany zapewnić, aby dane te były: 1) przetwarzane zgodnie z prawem, 2) zbierane dla oznaczonych, zgodnych z prawem celów i nie poddawane dalszemu przetwarzaniu niezgodnemu z tymi celami, z zastrzeżeniem ust. 2. W myśl art. 26 ust. 2 ustawy, przetwarzanie danych w celu innym niż ten, dla którego zostały zebrane, jest dopuszczalne, jeżeli nie narusza praw i wolności osoby, której dane dotyczą, oraz następuje: 1) w celach badań naukowych, dydaktycznych, historycznych lub statystycznych, 2) z zachowaniem przepisów art. 23 i 25. W niniejszej sprawie przepis art. 26 ust. 2 pkt 1 ustawy nie znajduje zastosowania i nie dochowane również zostały warunki z art. 26 ust. 2 pkt 2 ustawy, albowiem doszło do naruszenia praw Skarżącego.
Podkreślenia w tym miejscu wymaga, iż w toku prowadzonego przez Generalnego Inspektora postępowania wyjaśniającego nie przedstawiono jakichkolwiek dowodów na wypełnienie w stosunku do Skarżącego przez BIK S.A. w sposób prawidłowy obowiązku informacyjnego z art. 25 ustawy. Wbrew twierdzeniom BIK S.A. Skarżący nie został poinformowany przez Bank o „ustawowo określonym upoważnieniu do przekazania jego danych do BIK S.A. oraz o ustawowo określonych uprawnieniach BIK S.A. w zakresie przetwarzania jego danych osobowych”. W dokumencie zawierającym oświadczenia stron „umowy kredytowej”, tj. Skarżącego oraz Banku, znalazł się bowiem wyłącznie zapis zawierający informacje przewidziane przepisem art. 24 ust. 1 ustawy oraz o możliwości przekazania danych Skarżącego „podmiotom upoważnionym przez przepisy prawa”. Co więcej, jak wynika z zebranego w sprawie materiału dowodowego, o fakcie przetwarzania swoich danych osobowych przez BIK S.A. Skarżący dowiedział się dopiero „w związku z koniecznością zaciągnięcia następnego kredytu”. W konsekwencji nie można uznać argumentu BIK S.A., że zgodnie z art. 25 ust. 2 pkt 6 ustawy (osoba, której dane dotyczą posiada informacje określone w art. 25 ust. 1 ustawy), obowiązek informacyjny z art. 25 ust. 1 ustawy nie miał w tej sprawie zastosowania do BIK S.A. Niezależnie od tego, iż brak było podstawy prawnej do przetwarzania przez BIK S.A danych Skarżącego po spłacie zadłużenia, to znajdujące się w tym czasie w zbiorze o nazwie „Kredytobiorcy” dotyczące Skarżącego dane były nieaktualne. Informacja o dokonanej przez niego w grudniu 2003 r. spłacie zadłużenia została przekazana przez Bank do BIK S.A. dopiero w dniu 30 czerwca 2004 r. Powyższe okoliczności niezbicie dowodzą o ewidentnym naruszeniu praw i wolności Skarżącego w związku z przetwarzaniem dotyczących go danych w BIK S.A. – po rozwiązaniu umowy i spłacie zadłużenia wobec Banku.
W świetle powyższego zasadne byłoby nakazanie BIK S.A. usunięcia danych osobowych Skarżącego ze zbioru o nazwie „Kredytobiorcy”. Jednakże Generalny Inspektor wydał już w dniu 10 sierpnia 2004 r. decyzję administracyjną (GI-DEC-DIS-165/04/352), w której nakazał BIK S.A. „usunięcie uchybień w procesie przetwarzania danych osobowych poprzez zaprzestanie przetwarzania danych wszystkich osób, których rachunki kredytowe zostały zamknięte w związku z uzyskaną od banku lub innej instytucji ustawowo upoważnionej do udzielania kredytów, informacją o okoliczności powodującej jego zamknięcie”. Wyrokiem z dnia 22 lutego 2005 r. Wojewódzki Sąd Administracyjny oddalił skargę BIK S.A. na rzeczoną decyzję Generalnego Inspektora. Powyższe oznacza, iż postępowanie w sprawie nakazania BIK S.A. usunięcia danych osobowych Skarżącego, jako jednej z osób „której rachunek kredytowy został zamknięty w związku z uzyskaną od banku lub innej instytucji ustawowo upoważnionej do udzielania kredytów, informacją o okoliczności powodującej jego zamknięcie”, zostało już zakończone przez Generalnego Inspektora wydaniem stosownej - ostatecznej - decyzji administracyjnej. Na mocy tej decyzji BIK S.A. został zobowiązany do usunięcia danych osobowych Skarżącego ze zbioru o nazwie „Kredytobiorcy”, co oznacza, iż niniejsze postępowanie należy uznać za bezprzedmiotowe. W świetle przepisów regulujących procedurę administracyjną niedopuszczalne jest obecnie wydanie przez Generalnego Inspektora kolejnej decyzji merytorycznej w tej sprawie. W myśl bowiem art. 105 § 1 Kpa, gdy postępowanie z jakiejkolwiek przyczyny stało się bezprzedmiotowe, organ administracji publicznej wydaje decyzję o umorzeniu postępowania. „Wprowadzenie” do obrotu prawnego decyzji merytorycznej powodowałoby naruszenie zasady res iudicata i stanowiło przesłankę stwierdzenia jej nieważności. Stosownie do przepisu art. 156 § 1 pkt 3 Kpa, organ administracji publicznej stwierdza nieważność decyzji, która dotyczy sprawy już poprzednio rozstrzygniętej inną decyzją ostateczną. Jak natomiast wskazuje się w literaturze „uzyskanie cech ostateczności przez decyzję powoduje niemożność ponownego orzekania w tej sprawie bez usunięcia z obrotu prawnego tej decyzji. Jeżeli zaś pomimo to została wydana kolejna decyzja, to staje się konieczne stwierdzenie jej nieważności”. W konsekwencji niezbędne jest wydanie, na podstawie art. 105 § 1 Kpa, decyzji umarzającej postępowanie w zakresie dotyczącym przetwarzania danych osobowych Skarżącego w prowadzonym przez BIK S.A. zbiorze o nazwie „Kredytobiorcy”.
W tym stanie faktycznym i prawnym Generalny Inspektor Ochrony Danych Osobowych rozstrzygnął, jak w sentencji.
Decyzja niniejsza jest ostateczna. Na podstawie art. 21 ust. 1 ustawy o ochronie danych osobowych oraz art. 129 § 1 i § 2 Kodeksu postępowania administracyjnego stronie niezadowolonej z niniejszej decyzji przysługuje, w terminie 14 dni od dnia jej doręczenia, prawo złożenia do Generalnego Inspektora Ochrony Danych Osobowych wniosku o ponowne rozpatrzenie sprawy (adres: ul. Stawki 2, 00 – 193 Warszawa).
