        |
||||||||||
 |
||||||||||
 |
Projekt Unijnego Rozporządzenia dot. ochrony danych osobowych |
|||||||||
|
||||||||||
|
|
|
>Orzecznictwo>WSA>2009 > 
II SA/Wa 302/09 2009-10-21
Orzeczenie prawomocne
WYROK
W IMIENIU RZECZYPOSPOLITEJ POLSKIEJ
dnia 12 sierpnia 2009 r.
Wojewódzki Sąd Administracyjny w Warszawie po rozpoznaniu na rozprawie w dniu 12 sierpnia 2009 r. sprawy ze skargi B. S. na decyzję Generalnego Inspektora Ochrony DanychOsobowych z dnia [...] stycznia 2009 r. nr [...] w przedmiocie ochrony danychosobowych
1.- oddala skargę
2.- przyznaje ze środków budżetowych Wojewódzkiego Sądu Administracyjnego w Warszawie na rzecz adwokata E. O. tytułem nieopłaconej pomocy prawnej udzielonej z urzędu kwotę [...] złotych
Uzasadnienie:
B. S. wniósł do Biura Generalnego Inspektora Ochrony Danych Osobowych skargę dotyczącą przetwarzania jego danych osobowych przez I. S.A. z siedzibą w W., zwanym dalej również "Bankiem", oraz przez K. S.A. z siedzibą w W., zwanej dalej również "K.". Z wyjaśnień B. S. wynika, że Bank przekazał bezprawnie jego dane do K. Wskazał, że nigdy nie brał w Banku żadnego kredytu ani pożyczki, a na podstawie skradzionych dokumentów nieznany sprawca wyłudził kredyt na jego szkodę. W piśmie z dnia 20 maja 2009 r. B. S. wniósł ponadto o podjęcie działań w związku, z jego zdaniem, bezprawnym przekazaniem jego danych przez Bank P. K. oraz wydanie decyzji nakazującej usunięcie jego danych z bazy firmy "P." stanowiącej własność P. K.
W dniu [...] września 2008 r. Generalny Inspektor Ochrony Danych Osobowych wydał decyzję o numerze [...] umarzającą postępowanie w zakresie usunięcia danych osobowych B. S. ze zbioru K. S.A. z siedzibą W., a także ze zbioru danych prowadzonego przez P. K. prowadzącego działalność gospodarczą pod firmą "P." oraz odmawiającą uwzględnienia wniosku w pozostałym zakresie. Decyzja ta została wydana na podstawie art. 104 § 1 i art. 105 § 1 ustawy z dnia 14 czerwca 1960 r. - Kodeks postępowania administracyjnego (Dz. U. z 2000 r. Nr 98, poz. 1071 ze zm.) oraz art. 12 pkt 2 w zw. z art. 22 i art. 23 ust. 1 ustawą z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (t. j. Dz. U. z 2002 r. Nr 101, poz. 926 ze zm.).
W uzasadnieniu decyzji organ przytoczył dokonane w sprawie ustalenia, z których wynika, że Bank pozyskał dane osobowe B. S. w dniu 28 czerwca 2004 r. od firmy R. z siedzibą w L., współpracującej z Bankiem w zawieraniu umów kredytowych. Dane te zostały pozyskane w celu realizacji umowy kredytowej. W ocenie Banku B. S. taką umowę zawarł. Postanowieniem z dnia [...] kwietnia 2005 r. Prokuratura Rejonowa L. umorzyła śledztwo w sprawie wyłudzania kredytów na szkodę B. S., z uwagi na niewykrycie sprawcy. Ustalono również, że w dniu 2 kwietnia 2005 r. Bank przekazał dane osobowe do K., zaś w dniu 3 marca 2008 r. Bank zwrócił się do K. o usunięcie tych danych. Dyspozycja Banku została wykonana przez K. w dniu 7 marca 2008 r. poprzez usunięcie danych z prowadzonej bazy. Ponadto z ustaleń tych wynika, że Bank udzielił P. K. prowadzącemu działalność gospodarczą pod firmą "P." pełnomocnictwa do podjęcia czynności zmierzających do wyegzekwowania na rzecz Banku wierzytelności od jego dłużników. Dane B. S. zostały usunięte z bazy firmy "P." po przesłaniu do Banku raportu z przeprowadzonej u niego wizyty.
Przedstawiając motywy rozstrzygnięcia organ wyjaśnił, że wobec usunięcia przez Bank danych osobowych B. S. ze zbioru K. (co zostało potwierdzone pismem K. z dnia 11 marca 2008 r.), a także wobec usunięcia tych danych za zbioru "P." (o czym poinformował P. K. pismem z dnia 1 lipca 2008 r.), postępowanie w tym zakresie stało się bezprzedmiotowe i zaistniała przesłanka do jego umorzenia.
Odnośnie żądania B. S. dotyczącego usunięcia jego danych z ze zbioru Banku organ wyjaśnił, że dane te są przetwarzane do celów dowodowych, dotyczących zawartej umowy, a gdy ostatecznie zostanie wyjaśniona kwestia, kto właściwie jest dłużnikiem, będą one mogły być przetwarzane w celach archiwalnych. Podstawą prawną przetwarzania danych przez Bank są przepisy prawa, więc zachodzi przesłanka określona w art. 23 ust. 1 pkt 2 powołanej ustawy o ochronie danych osobowych. Organ wskazał w tym przypadku na art. 71 ust. 1 ustawy z dnia 29 września 1994 r. o rachunkowości (t. j. Dz. U. z 2002 r. Nr 76, poz. 694 ze zm.), zgodnie z którym dokumentację opisującą w języku polskim przyjęte przez bank zasady (politykę) rachunkowości, księgi rachunkowe, dowody księgowe, dokumenty inwentaryzacyjne i sprawozdania finansowe, należy przechowywać w należyty sposób i chronić przed niedozwolonymi zmianami, nieupoważnionym rozpowszechnianiem, uszkodzeniem lub zniszczeniem. Natomiast w art. 74 ust. 1 tej ustawy określono okresy przechowywania poszczególnych rodzajów dokumentów. Dowody księgowe dotyczące wieloletnich pożyczek, kredytów czy też roszczeń dochodzonych w postępowaniu cywilnym powinny być przechowywane przez 5 lat od początku roku następującego po roku obrotowym, w którym operacje, transakcje i postępowanie zostały ostatecznie zakończone, spłacone, rozliczone lub przedawnione.
Dodatkowo organ podniósł, iż niezależnie od powyższego Bank jest uprawniony do przetwarzania (w szczególności przechowywania) danych osobowych klientów, w tym danych B. S., do upływu okresu przedawnienia roszczeń cywilnych wynikających z art. 731 oraz 118 ustawy z dnia 23 kwietnia 1964 r. Kodeks cywilny (Dz. U. Nr 16, poz. 93 ze zm.). Ponadto przetwarzanie danych osobowych jest niezbędne w przypadku podjęcia kroków prawnych, na które wskazuje Miejski Rzecznik Konsumenta Urzędu Miasta w L., w załączonym przez skarżącego piśmie z dnia [...] kwietnia 2008 r. Z pisma tego wynika, że Bank został poinformowany, że w przypadku niedokonania dobrowolnej zmiany danych zostaną podjęte dalsze kroki prawne w kierunku wszczęcia sporu sądowego poprzez wniesienie powództwa o ustalenie nieistnienia stosunku prawnego pomiędzy Bankiem o B. S. Organ wskazał przy tym, że o nieistnieniu stosunku cywilnoprawnego między Bankiem a B. S. może orzekać wyłącznie sąd powszechny. Kwestii tej nie może rozstrzygać Generalny Inspektor Ochrony Danych Osobowych.
Odnośnie zgłaszanych przez B. S. w toku postępowania zarzutów dotyczących naruszenia przez Bank jego dóbr osobistych oraz narażania go na koszty związane z koniecznością zaciągania kredytów w instytucjach pobierających wysokie opłaty organ wyjaśnił, że w tym zakresie przysługuje B. S. roszczenie związane z ochroną dóbr osobistych, o których mowa w art. 23 k. c. ewentualnie art. 471 k.c.
Po rozpoznaniu wniosku B. S. o ponowne rozpatrzenie sprawy Generalny Inspektor Ochrony Danych Osobowych decyzją z dnia [...] stycznia 2009 r. nr [...], działając na podstawie art. 138 § 1 pkt 1 k.p.a. oraz art. 12 pkt 2, art. 22 i art. 23 ust. 1 powołanej ustawy o ochronie danych osobowych, utrzymał w mocy swoją poprzednią decyzję z dnia [...] września 2008 r.
W uzasadnieniu decyzji organ powołał się na dotychczasowe ustalenia faktyczne i prawne. Wyjaśnił również, że Generalny Inspektor Ochrony Danych Osobowych nie jest organem powołanym do wydawania opinii oraz rozstrzygania sporów wynikających ze stosunków cywilnoprawnych takich jak np. kwestia ważności, czy też wadliwości umowy kredytowej. Ponadto wskazał, że dopóki ważność umowy nie zostanie podważona we właściwym trybie i formie, umowa stanowi dokument wywołujący określone skutki prawne podlegające także ocenie w świetle ustawy o ochronie danych osobowych. Dopóki to nie nastąpi, nie można oceniać działań Banku w kontekście naruszenia przepisów o ochronie danych osobowych.
Wskazana wyżej decyzja stała się przedmiotem skargi B. S. do Wojewódzkiego Sądu Administracyjnego w Warszawie. Skarżący wniósł o jej uchylenie. Podniósł, że jest ona dla niego krzywdząca i nie zawiera ustosunkowania się do naruszeń prawa przez I. S.A., pomimo, że w jego opinii do takich naruszeń doszło. Wskazał, że nie sprzeciwia się wykorzystywaniu jego danych przez Bank do celów archiwalnych, czy też do wyjaśnienia okoliczności zawarcia umowy kredytu i ustalenia sprawcy wyłudzenia kredytu. Zarzucił, iż Bank bezprawnie przekazał jego dane K. oraz firmie "P.".
W odpowiedzi na skargę organ wniósł o jej oddalenie, podtrzymując stanowisko zawarte w zaskarżonej decyzji.
Wojewódzki Sąd Administracyjny w Warszawie zważył, co następuje:
Zgodnie z brzmieniem art. 1 § 1 i 2 ustawy z dnia 25 lipca 2002 r. - Prawo
o ustroju sądów administracyjnych (Dz. U. Nr 153, poz. 1269 ze zm.), sąd administracyjny sprawuje wymiar sprawiedliwości poprzez kontrolę pod względem zgodności z prawem zaskarżonej decyzji i to z przepisami obowiązującymi w dacie jej wydania. Innymi słowy, sąd administracyjny kontroluje legalność rozstrzygnięcia zapadłego w postępowaniu z punktu widzenia jego zgodności z prawem materialnym i obowiązującymi przepisami prawa procesowego.
Skarga analizowana pod tym kątem nie zasługuje na uwzględnienie.
Z dokonanych w toku postępowania ustaleń organu wynika, że dane osobowe skarżącego zostały usunięte ze zbioru K. oraz ze zbioru P. K. prowadzącego działalność gospodarczą pod firmą "P.". Wskazują na to informacje zawarte w piśmie K. z dnia 11 marca 2008 r. oraz piśmie P. K. z dnia 1 lipca 2008 r.
Niewątpliwie więc postępowanie prowadzone przez organ stało się w tym zakresie bezprzedmiotowe. Wobec tego, że dane skarżącego zostały usunięte ze zbioru wskazanych wyżej podmiotów, nie zachodziła potrzeba wydawania decyzji administracyjnej rozstrzygającej sprawę co do istoty w tym zakresie.
Sąd podziela stanowisko organu, iż zachodziła przesłanka do zastosowania art. 105 § 1 k.p.a. i umorzenia postępowania administracyjnego w tej części. Zgodnie bowiem z tym przepisem organ administracji publicznej wydaje decyzję o umorzeniu postępowania, gdy postępowanie z jakiejkolwiek przyczyny stało się bezprzedmiotowe. Rozstrzygnięcie organu w tej części należy więc uznać za prawidłowe.
Dokonując kontroli legalności zaskarżonej decyzji w zakresie odmowy uwzględnienia wniosku skarżącego w pozostałej części należy podkreślić, iż faktem jest, że w dniu [...] czerwca 2004 r. doszło do zawarcia umowy kredytowej pomiędzy osobą podającą się za skarżącego a Bankiem. Z dokonanych przez Generalnego Inspektora Ochrony Danych Osobowych ustaleń wynika, że ważność tej umowy nie została podważona. Stąd też umowa ta wywołuje skutki prawne, które jak słusznie organ zauważa, podlegają ocenie w świetle ustawy o ochronie danych osobowych.
Należy zauważyć , że zgodnie z art. 23 ust. 1 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (t. j. Dz. U. z 2002 r. Nr 101, poz. 926 ze zm.), przetwarzanie danych jest dopuszczalne tylko wtedy, gdy:
1) osoba, której dane dotyczą, wyrazi na to zgodę, chyba że chodzi o usunięcie dotyczących jej danych,
2) jest to niezbędne dla zrealizowania uprawnienia lub spełnienia obowiązku wynikającego z przepisu prawa,
3) jest to konieczne do realizacji umowy, gdy osoba, której dane dotyczą, jest jej stroną lub gdy jest to niezbędne do podjęcia działań przed zawarciem umowy na żądanie osoby, której dane dotyczą,
4) jest niezbędne do wykonania określonych prawem zadań realizowanych dla dobra publicznego,
5) jest to niezbędne dla wypełnienia prawnie usprawiedliwionych celów realizowanych przez administratorów danych albo odbiorców danych, a przetwarzanie nie narusza praw i wolności osoby, której dane dotyczą.
Generalny Inspektor Ochrony Danych Osobowych prawidłowo ocenił, że podstawą przetwarzania danych osobowych skarżącego przez Bank jest art. 23 ust. 1 pkt 2 ustawy. Organ słusznie wskazuje, że przepisem prawa, który zobowiązuje Bank do przetwarzania danych osobowych skarżącego jest art. 71 ust. 1 ustawy z dnia 29 września 1994 r. o rachunkowości (Dz. U. z 2002 r. Nr 76, poz. 694 ze zm.). Zgodnie z tym przepisem dokumentację opisującą w języku polskim przyjęte przez bank zasady (politykę) rachunkowości, księgi rachunkowe, dowody księgowe, dokumenty inwentaryzacyjne i sprawozdania finansowe, zwane dalej także "zbiorami", należy przechowywać w należyty sposób i chronić przed niedozwolonymi zmianami, nieupoważnionym rozpowszechnianiem, uszkodzeniem lub zniszczeniem.
Stosownie natomiast do treści art. 74 ust. 1 powyższej ustawy okres przechowywania dowodów księgowych dotyczących wieloletnich pożyczek, kredytów czy też roszczeń dochodzonych w postępowaniu cywilnym powinny być przechowywane przez 5 lat od początku roku następującego po roku obrotowym, w którym operacje, transakcje i postępowanie zostały ostatecznie zakończone, spłacone, rozliczone lub przedawnione.
Z uzasadnienia skargi wniesionej w niniejszej sprawie wynika, że skarżący nie kwestionuje zasadności przechowywania jego danych przez Bank do celów archiwalnych. Zarzuty skarżącego sprowadzają się natomiast do kwestionowania zasadności przekazania jego danych do K. oraz P. K. prowadzącemu działalność gospodarczą pod firmą "P.".
Należy jednak zaznaczyć, że przedmiotem kontroli w niniejszej sprawie jest legalność decyzji umarzającej postępowanie w zakresie usunięcia danych osobowych B. S. ze zbioru K. oraz ze zbioru danych prowadzonego przez P. K., a także odmawiającą uwzględnienia wniosku skarżącego w zakresie naruszenia ustawy o ochronie danych osobowych przez Bank.
Jak już zaznaczono na wstępie, dane osobowe skarżącego zostały usunięte ze zbioru K., a także ze zbioru danych prowadzonego przez P. K. Nie można więc czynić organowi zarzutu, iż w tej sytuacji nie wydał decyzji nakazującej usunięcie danych skarżącego ze zbioru prowadzonego przez te podmioty.
Podkreślenia bowiem wymaga, że katalog środków, które może zastosować Generalny Inspektor Ochrony Danych Osobowych w przypadku stwierdzenia naruszenia przepisów o ochronie danych osobowych jest ograniczony do wymienionych w art. 18 ust. 1 powołanej ustawy o ochronie danych osobowych. Organ ten może z urzędu lub na wniosek osoby zainteresowanej, w drodze decyzji administracyjnej, nakazać przywrócenie stanu zgodnego z prawem, a w szczególności:
1) usunięcie uchybień,
2) uzupełnienie, uaktualnienie, sprostowanie, udostępnienie lub nieudostępnienie danych osobowych,
3) zastosowanie dodatkowych środków zabezpieczających zgromadzone dane osobowe,
4) wstrzymanie przekazywania danych osobowych do państwa trzeciego,
5) zabezpieczenie danych lub przekazanie ich innym podmiotom,
6) usunięcie danych osobowych.
Organ ten może również w trybie art. 19 ustawy o ochronie danych osobowych skierować do organu powołanego do ścigania przestępstw zawiadomienie o popełnieniu przestępstwa, jeżeli stwierdzi, że działanie lub zaniechanie kierownika jednostki organizacyjnej, jej pracownika lub innej osoby fizycznej będącej administratorem danych wyczerpuje znamiona przestępstwa określonego w ustawie. Jednakże przedmiotem kontroli sądu administracyjnego mogą być wyłącznie decyzje administracyjne wydawane w oparciu o przepisy ustawy o ochronie danych osobowych, a więc działania organu określone w art. 18 ust. 1 tej ustawy.
Do dochodzenia roszczeń związanych z naruszeniem dóbr osobistych bądź roszczeń o odszkodowanie właściwy jest natomiast sąd powszechny, co wyjaśnił już skarżącemu organ w decyzji z dnia [...] września 2008 r.
Reasumując stwierdzić należy, że zaskarżona decyzja nie narusza prawa.
Mając powyższe na uwadze, Wojewódzki Sąd Administracyjny w Warszawie, na podstawie art. 151 ustawy z dnia 30 sierpnia 2002 r. - Prawo o postępowaniu przed sądami administracyjnymi (Dz. U. Nr 153, poz. 1270 ze zm.), orzekł jak w sentencji. W przedmiocie przyznania adwokatowi wynagrodzenia za poniesione i nieopłacone koszty pomocy prawnej świadczonej z urzędu Sąd orzekł na podstawie art. 250 powołanej ustawy oraz § 18 ust. 1 pkt 1 lit. c rozporządzenia Ministra Sprawiedliwości z dnia 28 września 2002 r. w sprawie opłat za czynności adwokackie oraz ponoszenia przez Skarb Państwa kosztów nieopłaconej pomocy prawnej udzielonej z urzędu (Dz. U. Nr 163, poz. 1348 ze zm
|
