Zaniechanie obowiązku usunięcia danych z BIK

Nowoczesne, systematycznie powiększane i udoskonalane przez podmioty publiczne i prywatne techniki gromadzenia, utrwalania i wykorzystywania informacji o osobach sprawiają, że niepomiernie wzrasta ryzyko naruszania interesów jednostki poprzez szerokie wkraczanie w sferę prywatności.

Sąd NajwyższyOchrona prywatności, która związana jest ściśle z ochroną danych osobowych, w istocie stanowi wyraz poszanowania autonomii informacyjnej jednostki. Punktem wyjścia wszelkich rozważań jest stwierdzenie, iż prawo do prywatności jest pojęciem nieostrym. Obejmuje ono w szerokim rozumieniu prawo do ochrony czci czy dobrego imienia. W konsekwencji zapewnia ono zabezpieczenie przed oszczerstwem, nieprawdziwymi informacjami czy wybiórczo podawanymi faktami. Konstytucyjny standard ochrony został sformułowany w art. 47 i 51 Konstytucji[1]. Art. 51 Konstytucji, musi być odczytywany łącznie z art. 47 gwarantującym prawo do prywatności, które w literaturze definiowane jest jako pewna sfera intymności jednostki. Prawa te podniesione zostały w Unii Europejskiej do rangi praw zaliczanych do praw podstawowych i umieszczone w Karcie Praw Podstawowych Unii Europejskiej[2], co wynika z uznania, że owe prawa mają szczególnych charakter i zasługują na szeroki standard ochrony. Na poziomie międzynarodowym wzorzec ten został uregulowany miedzy innymi w art. 17 Międzynarodowego Paktu Praw Obywatelskich i Politycznych[3].

Warto zauważyć iż zasady i tryb gromadzenia informacji musi szczegółowo określać ustawa. Pomocą wobec podmiotów gospodarczych jest uregulowanie w Konstytucji, które pozwala chronić człowieka jako konsumenta.

W dniu 11 lutego 2015 r. Sąd Najwyższy wydał wyrok o sygn. akt I CSK 868/14 [4], który z punktu widzenia obrotu gospodarczego i ochrony konsumenta okazał się niezwykle istotny. Okazało się, że z uwagi na zaniechanie obowiązku usunięcia danych może dojść do naruszenia prawa do prywatności. Banki będą musiały dokładać szczególnej staranności, aby wykreślać dane nieaktualne. Klienci uzyskali zaś podstawę dochodzenia roszczeń odszkodowawczych w przypadku nieaktualizowania danych w Biurze Informacji Kredytowej. Sąd Najwyższy w sentencji omawianego orzeczenia uznał iż, brak terminowego wykreślenia klienta z rejestru dokumentującego zadłużenia z tytułu udzielonego instrumentu finansowego może stanowić istotne naruszenie ochrony danych osobistych.

Wyrok zapadł na tle następującego stanu faktycznego. Powód w dniu 6 czerwca 2008 r. zawarł z pozwanym umowę kredytu konsumpcyjnego odnawialnego z kartą płatniczą. Jedna z klauzul zawartej umowy stanowiła, że bank uprawniony został do przekazywania informacji o wysokości zadłużenia klienta do Biura Informacji Kredytowej. W dniu 28 grudnia 2009 r. powód wypowiedział przedmiotową umowę i zobowiązał się do spłaty zadłużenia w wysokości nieprzekraczającej 300 zł. W niedługim odstępie czasu powód uregulował dług. Zaniechanie obowiązku aktualizacji danych po stronie pozwanego spowodowało, że klient nie mógł uzyskać kredytu na zakup sprzętu komputerowego. O zaistniałej sytuacji dowiedział się dopiero w czasie ubieganie się o kredyt w innej instytucji finansowej. Po pewnym czasie powód wystąpił z pismem, w którym wskazywał na liczne zaniedbania po strony banku. Domagał się on tym samym ochrony dóbr osobistych poprzez umieszczenie stosownych przeprosin na jednej ze stron internetowych, zadośćuczynienia w kwocie 5 850 zł i odszkodowania w wysokości 4 200 zł wraz z odsetkami ustawowymi. Tym samym sprawa trafiła na wokandę.

Sąd Okręgowy wyrokiem z 2013 r. uznał bezsprzecznie winę powoda i zobowiązał go do wypłaty stosownego odszkodowania tytułem nieterminowego usunięcia danych pozwanego z Biura Informacji Kredytowej S.A. w wysokości 100 zł wraz z ustawowymi odsetkami począwszy od dnia 22 grudnia 2011 r. Sąd oddalił natomiast powództwo o ochronę dóbr osobistych argumentując to brakiem spełnienia kumulatywnie przesłanek określonych w art. 24 Kodeksu Cywilnego.

Powód wniósł odwołanie do sądu apelacyjnego, który utrzymał w mocy decyzję sądu I instancji. W uzasadnieniu wskazał, że przedłużone pozostawanie w bazie danych nieaktualnych informacji o znikomym zadłużeniu powoda nie uchybiło jego czci ani godności.

Skargę kasacyjną od przedmiotowego wyroku wniósł Rzecznik Praw Obywatelskich. Zwrócił on szczególną uwagę na to, że dane dotyczące zawartej umowy kredytowej objęte są tajemnicą bankową uregulowaną w Prawie Bankowym[5] i stanowią jednocześnie dane osobowe w rozumieniu art. 6 ust. 1 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych[6]. Rzecznik wielokrotnie podkreślał, że artykuł 26 ust. 1 nakazuje administratorowi danych, którym w tym wypadku był bank, przetwarzanie danych zgodnie z prawem, z zachowaniem ich merytorycznej poprawności i adekwatnie do celów, w jakich są przetwarzane, a art. 32 ust. 1 pkt 6 tej ustawy zobowiązuje go do zachowania szczególnej staranności w celu ochrony interesów osób, których dane dotyczą. Rzecznik wskazał, że obowiązkiem nadrzędnym administratora jest dołożenie szczególnej staranności w celu ochrony interesów osób, których dane dotyczą.

Rzecznik oparł skargę kasacyjną na błędnej wykładni przepisów art. 23 i 24 Kodeksu Cywilnego i nieuwzględnieniu konstytucyjnego prawa człowieka i obywatela do ochrony danych osobowych przewidzianego w art. 51 Konstytucji. Wskazał on również na  naruszenie prawa do ochrony godności i dobrego imienia ujętego w art. 47 Konstytucji. Zdaniem Rzecznika zaniechanie uaktualnienia doprowadziło do utrwalenia na dłuższy czas obrazu powoda jako niewypłacalnego, a co więcej niewiarygodnego w przeprowadzanych transakcjach. Konkludując, obok naruszenia ochrony danych osobowych pojawia się problem kształtowania negatywnego wizerunku.

Sąd Najwyższy wskazał, że prawo do ochrony danych osobowych jest wywodzone w piśmiennictwie z takich dóbr osobistych, jak godność człowieka oraz prawo do prywatności. Rzecznik Praw Obywatelskich stanowczo stoi na stanowisku, że zbudowanie negatywnego wizerunku jako osoby niewiarygodnej naruszyło jego godność i naraziło tym samym na szereg przykrości i rozczarowań.

Mając na uwadze powyższe zastrzeżenia sprawa została przekazana do ponownego rozpatrzenia.

[1] Konstytucja Rzeczypospolitej Polskiej z dnia 2 kwietnia 1997 r., Dz.U. 1997 nr 78 poz. 483

[2] Karta Praw Podstawowych Unii Europejskiej, Dz.U.UE.C.2007.303.1

[3] Międzynarodowy Pakt Praw Obywatelskich i Politycznych otwarty do podpisu w Nowym Jorku dnia 19 grudnia 1966 r., Dz.U.1977.38.167

[4] Wyrok Sądu Najwyższego z dnia 11 lutego 2015 r., o sygn. akt I CSK 868/14

[5] Ustawa z dnia 29 sierpnia 1997 r. – Prawo bankowe, Dz.U.2015.128 j.t.

[6] Ustawa  z dnia 29 sierpnia 1997 r. o ochronie danych osobowych, Dz.U.2014.1182 j.t.

II SA/Wa 174/14 – Wyrok WSA w Warszawie

Sygn.  akt II SA/Wa 174/14

Wyrok WSA w Warszawie

Dnia 23 września 2014 r. Wojewódzki Sąd Administracyjny w Warszawie w składzie:

Przewodniczący : Sędzia WSA – Anna Mierzejewska
Sędzia WSA – Andrzej Góraj
Sędzia WSA – Sławomir Antoniuk (sprawozdawca)
Protokolant : Marek Kozłowski

po rozpoznaniu na rozprawie w dniu 23 września 2014 r. sprawy ze skargi T. Z. na decyzję Generalnego Inspektora Ochrony Danych Osobowych z dnia […] grudnia 2013 r. nr […] w przedmiocie odmowy uwzględnienia wniosku

1. oddala skargę;

2. przyznaje ze środków budżetowych Wojewódzkiego Sądu Administracyjnego w Warszawie na rzecz adwokata M. P. kwotę 240 zł (słownie: dwieście czterdzieści złotych) oraz kwotę 55,20 zł (słownie: pięćdziesiąt pięć złotych 20/100) stanowiącą 23% podatku VAT, tytułem nieopłaconej pomocy prawnej udzielonej z urzędu.

UZASADNIENIE

Generalny Inspektor Ochrony Danych Osobowych decyzją z dnia […] grudnia 2013 r. nr […], wydaną na podstawie art. 138 § 1 pkt 1 k.p.a. oraz art. 12 pkt 2, art. 22, art. 23 ust. 1 pkt 2 i art. 26 ust. 1 pkt 3 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (tekst jedn. Dz. U. z 2002 r. Nr 101, poz. 926 ze zm.), utrzymał w mocy własną decyzję z dnia […] lipca 2013 r. […] odmawiającą uwzględnienia wniosku T. Z. o usuniecie nieprawidłowości w procesie przetwarzania jego danych osobowych przez […] S. A. z siedzibą we […], w tym ich udostępnienie na rzecz […] S. A. z siedzibą w[…].

W uzasadnieniu powyższej decyzji Generalny Inspektor Ochrony Danych Osobowych wskazał, iż T. Z. wniósł do organu Ochrony Danych Osobowych skargę na przetwarzanie jego danych osobowych przez [….] S. A. (dalej jako Bank). W piśmie z dnia […] lipca 2012 r. skarżący sprecyzował, że Bank odmówił mu usunięcia poprzedniego jego adresu zamieszkania i zameldowania wskazując, iż zainteresowany nie wskazał nowego aktualnego adresu i do tego czasu nie usunie nieaktualnych danych osobowych wnioskodawcy. Mając na względzie, że skarżącego z Bankiem nie łączą obecnie żadne stosunki prawne jak i faktyczne, wymieniony zażądał wszczęcia postępowania administracyjnego i wydania zakazu przetwarzania jego danych osobowych w części obejmującej nieaktualny adres zameldowania i zamieszkania. W piśmie z dnia […] grudnia 2012 r. skarżący uzupełnił żądanie wskazując, iż w dniu […] lipca 2008 r. Bank bezprawnie i bezpodstawnie umieścił jego dane osobowe jako dłużnika oraz dane umowy z nim zawartej w […] w […] (dalej jako[…]). Zdaniem skarżącego, jedynym aktualnym celem przetwarzania przez […] jego danych osobowych jest niekwestionowany przez niego cel statystyczny.

Generalny inspektor Ochrony Danych Osobowych przeprowadził w sprawie postępowanie wyjaśniające, w toku którego ustalił, że:

1. W dniu […] marca 2002 r. skarżący zawarł z […] S. A. z siedzibą w […]”Umowę Kredytu dewizowego w CHF nr […]”, w której wskazał adres: ul. […]. 2. […] S. A. z siedzibą w […] (poprzednio działający pod nazwą [….] S. A.) w dniu […] maja 2004 r. zawarł z [.]S. A. z siedzibą w […] (obecnie po zmianie nazwy [.] S. A.) oraz z [….] S. A. z siedzibą we […] umowę, na podstawie której […] S. A. (cesjonariusz) nabył od […] S. A. (cedenta) wierzytelności z umów kredytowych zawartych przez […] S. A., w tym wierzytelność z zawartej ze skarżącym umowy kredytu.

3. Na mocy „Umowy sprzedaży wierzytelności” z dnia […] maja 2008 r. Bank dokonał na rzecz [.] S. A. z siedzibą we […] sprzedaży wierzytelności wobec skarżącego wynikającej z urnowy kredytu i nabytych w trybie opisanym w ww. pkt 2.

4. W piśmie z dnia […] października 2012 r. Bank wyjaśnił, że dane skarżącego były przetwarzane przez […] S. A. w okresie od […] maja 2004 r. do [.] maja 2008 r. w zbiorze danych klientów Banku na podstawie art. 23 ust. 1 pkt 5. ustawy o ochronie danych osobowych celem dochodzenia roszczeń, w zakresie zawartym w dokumentacji kredytowej, tj. imienia, nazwiska, adresu zamieszkania i korespondencyjnego, numeru dowodu osobistego, numeru PESEL, numeru telefonu, wysokości dochodu, zakładu pracy, stanowiska, okresu zatrudnienia, własności mieszkania, liczby osób w gospodarstwie domowym. W dniu […] maja 2008 r. nastąpiła sprzedaż wierzytelności skarżącego na rzecz firmy […] S. A. Po sprzedaży wierzytelności skarżącego firmie [.] S. A., Bank przetwarza dane osobowe skarżącego w zbiorze archiwum […] S. A. prowadzonym w celach archiwizacji dokumentacji bankowej, sprawozdawczości finansowej, celów rachunkowych oraz celów związanych z ewentualnymi roszczeniami powstałymi w związku z wykonywaniem czynności bankowych przez Bank. W piśmie wyjaśniającym z dnia […] grudnia 2012 r. Bank dodał, że zamierza przetwarzać dane osobowe skarżącego związane z obsługą umowy kredytu dewizowego z dnia […] marca 2002 r., w zbiorze archiwum Banku przez okres 10 lat, na wypadek ewentualnych roszczeń skarżącego powstałych w związku z wykonywaniem przez Bank czynności bankowych w oparciu o art. 118 Kodeksu cywilnego oraz jednocześnie dla celów statystycznych przez okres 12 lat w oparciu o art. 105a ust. 4 ustawy z dnia 29 sierpnia 1997 r. Prawo Bankowe, licząc od daty sprzedaży wierzytelności skarżącego firmie […] S. A.

5. W kolejnym piśmie z dnia […] października 2012 r. Bank wyjaśnił, iż skarżący przesłał do Banku pisma z dnia […] maja 2012 r., […] czerwca 2012 r. oraz […] października 2012 r., w których informował o nieaktualności adresu, jednakże w żadnym z przedmiotowych pism nie informował o aktualnym adresie. W ww. pismach skarżący uznał adres: ul. […] w […] za nieaktualny i podkreślił: „Kierowanie jakiejkolwiek korespondencji na ten adres jest prawnie całkiem bezskuteczne”. Zaś w piśmie z dnia […] października 2012 r. zainteresowany dodał: „podnoszę, iż mój nowy adres zamieszkania, zameldowania i siedziby jest tajny, niejawny (…) nie wyrażam zgody na dalsze przetwarzanie moich danych osobowych przez Bank oraz wnoszę umotywowany sprzeciw na przetwarzanie moich danych osobowych wy postaci niezupełnej tzn. bez aktualnego, ważnego adresu zameldowania i zamieszkania, jak siedziby (…)”.

6. W piśmie z dnia […] stycznia 2013 r. Bank potwierdził, że przekazał do […] dane osobowe skarżącego związane z umową kredytu w zakresie: imię, nazwisko, numer PESEL, numer dowodu osobistego, data urodzenia, płeć, adres, obywatelstwo oraz dane finansowe kredytu. Powyższe nastąpiło w lutym 2005 r. dla celów analizy ryzyka kredytowego na podstawie art. 105 ust. 4 i art. 105a Prawa bankowego. Bank potwierdził, że w lipcu 2008 r., aktualizując przekazane do zbioru BIK dane osobowe skarżącego Bank oznaczył w bazie […] rachunek skarżącego jako: „Odzyskany” z datą odzyskania […] maj 2008 r. z informacją „Dług odsprzedany”. Dodano: „Bank przychylił się w całości do wniosku skarżącego i dokonał całkowitego usunięcia rachunku skarżącego w dniu […] stycznia 2013 r. (…)”.

7. BIK w pismach skierowanych do organu z dnia […] lutego i […] marca 2013 r. potwierdził, że obecnie nie przetwarza danych osobowych skarżącego pozyskanych od Banku, dotyczących umowy kredytu, ani w celu oceny zdolności kredytowej i analizy ryzyka kredytowego, ani w celu stosowania metod statystycznych.

Po przeprowadzeniu w sprawie postępowania wyjaśniającego Generalny Inspektor wydał decyzję administracyjną z dnia […] lipca 2013 r. odmawiającą uwzględnienia wniosku.

T. Z. wniósł o ponowne rozpatrzenie sprawy zakończonej decyzją odmowną z dnia […] lipca 2013 r. Wymieniony podniósł zarzut wydania tej decyzji przez osobę do tego nieupoważnioną – A. L.

Uznając zarzut strony za chybiony, Generalny inspektor Ochrony Danych Osobowych rozstrzygnięciem z dnia […] grudnia 2013 r. utrzymał zaskarżoną decyzję w mocy. W motywach rozstrzygnięcia organ wskazał, że zaskarżona decyzja została podpisana przez A. L., zajmującego stanowisko Zastępcy Generalnego Inspektora Ochrony Danych Osobowych. W dniu […] grudnia 2006 r. Generalny Inspektor Ochrony Osobowych udzielił A. L. upoważnienia do wydawania w imieniu Generalnego Inspektora decyzji, o których mowa w art. 18, 21, 44, 44a i 48 ustawy o ochronie danych osobowych, postanowień, zaświadczeń, podpisywania pism wychodzących z Biura GIODO, a także podpisywania pełnomocnictw i pism procesowych do sądów powszechnych i administracyjnych.

Z uwagi na brak merytorycznych zarzutów skarżącego, dotyczących rozstrzygnięcia zawartego w zaskarżonej decyzji, Generalny Inspektor w pełni podtrzymał wyrażone w niej stanowisko. Organ przytoczył brzmienie art. 2 ust. 1 i art. 7 pkt 2 ustawy o ochronie danych osobowych oraz wskazał, iż warunkiem legalności każdej czynności przetwarzania danych osobowych jest spełnienie którejkolwiek z autonomicznych i równorzędnych przesłanek dopuszczalności tego procesu, wymienionych enumeratywnie w art. 23 ust. 1 pkt 1-5 powołanej ustawy, zezwalających na przetwarzanie danych m.in. wtedy, gdy jest to niezbędne dla zrealizowania uprawnienia lub spełnienia obowiązku wynikającego z przepisu prawa (pkt 2), gdy jest to konieczne do realizacji umowy, gdy osoba, której dane dotyczą, jest jej stroną lub gdy jest to niezbędne do podjęcia działań przed zawarciem urnowy na żądanie osoby, której dane dotyczą (pkt 3), gdy jest to niezbędne dla wypełnienia prawnie usprawiedliwionych celów realizowanych przez administratorów danych albo odbiorców danych, a przetwarzanie nie narusza praw i wolności osoby, której dane dotyczą (pkt 5). W myśl art. 23 ust. 4 pkt 2 ustawy za prawnie usprawiedliwiony cel, o którym mowa w ust. 1 pkt 5, uważa się w szczególności dochodzenie roszczeń z tytułu prowadzonej działalności gospodarczej.

W niniejszej sprawie istotne jest, że art. 23 ust. 1 pkt 5 w zw. z art. 23 ust. 4 pkt 2 ustawy uprawniają wierzyciela zarówno do przetwarzania danych osobowych dłużnika w ramach samodzielnie podejmowanych wobec niego działań windykacyjnych, jak i do udostępnienia tych danych innym podmiotom czy osobom, z których pośrednictwa wierzyciel korzysta przy podejmowaniu czynności windykacyjnych lub na rzecz których dokonuje cesji wierzytelności. Błędne jest więc przekonanie skarżącego o niedopuszczalności udostępnienia jego danych osobowych przez wierzyciela dokonującego cesji wierzytelności wobec skarżącego na rzecz nabywcy tej wierzytelności. Zarówno pozyskanie przez Bank (poprzednio […] S. A.) od […] S. A. (poprzednio […] S. A.) na podstawie umowy cesji z dnia […] maja 2004 r. danych osobowych skarżącego, jak też późniejsze ich udostępnienie przez Bank na rzecz […] S. A. w wykonaniu umowy sprzedaży wierzytelności z dnia […] maja 2008 r., znajdowały prawne uzasadnienie w art. 23 ust. 1 pkt S ustawy. W ww. sposób […] S. A. i […] S. A. dążyły bowiem do uzyskania zaspokojenia ich wierzytelności, wynikającej z umowy kredytu podpisanej przez skarżącego w dniu […] marca 2002 r. — zatem realizowały swój prawnie usprawiedliwiony cel.

Odnosząc się do zarzutu skarżącego, dotyczącego przedawnienia jego zobowiązania wynikającego z ww. umowy kredytowej, organ podniósł, iż okoliczność ta nie pozbawia Banku prawa do przetwarzania danych osobowych skarżącego na mocy art. 23 ust. 1 pkt 5 w związku z art. 23 ust. 4 pkt 2 powołanej ustawy, w celu dochodzenia roszczeń wynikających z tej umowy. Takie stanowisko wynika z przyjęcia w prawie cywilnym, że przedawnione roszczenie nie wygasa, a jedynie zamienia się w tzw. zobowiązanie niezupełne (naturalne), którego cechą jest niemożność jego przymusowej realizacji. Nawet w razie przedawnienia roszczenia majątkowego z ww. umowy kredytowej stosunek zobowiązaniowy między każdorazowym wierzycielem (pierwotnie […] S. A., przekształcony w […] S. A.; następnie […] S. A., przekształcony w […] S. A.; aktualnie […] S. A.) a dłużnikiem (skarżącym) nadal istnieje, a wierzyciel jest uprawniony do dochodzenia roszczenia, natomiast nie może jedynie uzyskać tego zaspokojenia w drodze przymusowej egzekucji.

Mając powyższe na względzie Generalny Inspektor Ochrony Danych Osobowych stwierdził, iż Bank legalnie pozyskał dane osobowe skarżącego w związku z zawarciem z nim umowy kredytowej i późniejszym dochodzeniem wynikających z niej roszczeń, a także legalnie (w ramach dochodzenia roszczeń) udostępnił je na rzecz […] S. A. Obecnie zaś Bank przetwarza ww. dane osobowe skarżącego wyłącznie w celach archiwalnych na podstawie art. 23 ust. 1 pkt 2 ustawy. Bank uzyskał zaspokojenie wierzytelności przysługującej mu w stosunku do skarżącego, a wynikającej z umowy kredytu dewizowego, z chwilą sprzedania tej wierzytelności na rzecz […] S. A., tj. dnia […] maja 2008 r. Skoro więc stosunek zobowiązaniowy między Bankiem a skarżącym wygasł w ww. dniu, brak jest podstaw dla zakwestionowania prawidłowości stanowiska Banku, że od tej daty należy liczyć okres 12 lat dopuszczalnego przetwarzania danych osobowych skarżącego dla celów statystycznych (art. 105a ust. 4 ustawy Prawo Bankowe). Nadto nie można pominąć argumentu Banku, że przetwarzanie danych osobowych skarżącego jest istotne dla możliwości dochodzenia przez Bank roszczeń związanych z umową kredytu dewizowego. Art. 118 Kodeksu cywilnego stanowi bowiem, że w braku szczególnego unormowania, termin przedawnienia wynosi lat dziesięć, a dla roszczeń o świadczenia okresowe oraz roszczeń związanych z prowadzeniem działalności gospodarczej – trzy lata.

Odnosząc się do kwestii udostępnienia danych osobowych skarżącego przez Bank na rzecz […] S. A. organ powołał się na art. 105a ust. 1 Prawa bankowego, z którego wynik, iż przetwarzanie przez banki, inne instytucje ustawowo upoważnione do udzielania kredytów oraz instytucje utworzone na podstawie art. 105 ust. 4, informacji stanowiących tajemnicę bankową w zakresie dotyczącym osób fizycznych może być wykonywane, z zastrzeżeniem art. 104, art. 105 i art. 106-106c, w celu oceny zdolności kredytowej i analizy ryzyka kredytowego. Instytucie, o których mowa w ust. 1, mogą przetwarzać informacje stanowiące tajemnicę bankową dotyczące osób fizycznych po wygaśnięciu zobowiązania wynikającego z umowy zawartej z bankiem lub inną instytucją ustawowo upoważnioną do udzielania kredytów, bez zgody osoby, której informacje dotyczą, gdy osoba ta nie wykonała zobowiązania lub dopuściła się zwłoki powyżej 60 dni w spełnieniu świadczenia wynikającego z umowy zawartej z bankiem lub inną instytucją ustawowo upoważnioną do udzielania kredytów, a po zaistnieniu tych okoliczności upłynęło co najmniej 30 dni od poinformowania tej osoby przez bank lub inną instytucję ustawowo upoważnioną do udzielania kredytów o zamiarze przetwarzania dotyczących jej informacji stanowiących tajemnicę bankową, bez jej zgody (art. 105a ust. 3 Prawa bankowego). Zgodnie z art. 105a ust. 6 Prawa bankowego, zakres przetwarzanych informacji, o których mowa w ust. 3 i 4, może obejmować dane dotyczące osoby fizycznej lub dane dotyczące zobowiązania.

Zatem udostępnienie kwestionowanych danych osobowych skarżącego przez Bank na rzecz […] S. A. nastąpiło na podstawie ww. przepisów. Stwierdzenie to ma jednak charakter wyłącznie uzupełniający, gdyż Bank doprowadził do usunięcia z […] przekazanych mu danych osobowych skarżącego. Obecnie […] S. A. nie przetwarza w żadnym celu kwestionowanych danych osobowych skarżącego

Odnosząc się do kwestii przetwarzania przez Bank nieaktualnego adresu skarżącego, organ przywołał treść art. 26 ust. 1 pkt 3 ustawy o ochronie danych osobowych, zobowiązujący administratora danych do zapewnienia poprawności przetwarzanych danych osobowych i ich adekwatności w stosunku do celów, w jakich są przetwarzane. W ocenie organu, zgromadzony w sprawie materiał dowodowy dawał podstaw do postawienia Bankowi zarzutu naruszenia ww. regulacji. Wprawdzie skarżący poinformował Bank, że dotychczasowy jego adres (ul.[…]) jest już nieaktualny, ale jednocześnie nie podał Bankowi swego aktualnego adresu. W ten sposób skarżący zamierzał niejako uniemożliwić Bankowi jakikolwiek kontakt z nim – w szczególności w związku z dochodzeniem w przeszłości przez Bank roszczeń wobec skarżącego wynikających z umowy kredytowej. Obecnie Bank – po dokonaniu cesji wierzytelności wynikającej z tej umowy na rzecz [….] S. A. – nie przetwarza już danych osobowych skarżącego w celu dochodzenia wobec niego tych roszczeń. Natomiast Bank jest w oczywisty sposób uprawniony do dalszego przetwarzania ww. danych osobowych w realizowanych aktualnie celach archiwalnych. Nie sposób odmówić Bankowi prawa do przetwarzania (przechowywania) archiwalnej informacji o ostatnim adresie skarżącego, jakim dysponował. Bank ma przy tym świadomość, że adres ten nie jest już aktualny.

Decyzja Generalnego Inspektora Ochrony Danych Osobowych z dnia […] grudnia 2013 r. stała się przedmiotem skargi wniesionej przez T. Z. do Wojewódzkiego Sądu Administracyjnego w Warszawie. Wnosząc o uchylenie zaskarżonej, jak i poprzedzającej ją decyzji, z powodu ich niezgodności z prawem, skarżący podniósł, iż od listopada 2010 r. nie jestem zameldowany na pobyt stały lub czasowy, jak też nie zamieszkuje lub w inny sposób nie korzysta z lokalu przy ulicy […]. Także od listopada 2010 r nigdzie nie jest zameldowany na żaden pobyt, bowiem decyzją Prezydenta […] odmówiono skarżącemu zameldowania w zajmowanym przez niego lokalu użytkowym (garażu) twierdząc, iż adres tego lokalu nie istnieje. W tym stanie rzeczy skarżący nie może podać aktualnie żadnego adresu zameldowania na stałe bądź czasowo, jak też adresu zamieszkania.

W odpowiedzi na skargę Generalny Inspektor Ochrony Danych Osobowych wniósł o jej oddalenie oraz podtrzymał argumentację przedstawioną w uzasadnień zaskarżonej decyzji.

Wojewódzki Sąd Administracyjny w Warszawie zważył, co następuje:

Zgodnie z art. 1 i 2 ustawy z dnia 25 lipca 2002 r. – Prawo o ustroju sądów administracyjnych (Dz. U. Nr 153, poz. 1269 ze zm.), sądy administracyjne sprawują wymiar sprawiedliwości przez kontrolę działalności administracji publicznej. Kontrola ta sprawowana jest pod względem zgodności z prawem. Oznacza to, iż przedmiotem sprawy sądowoadministracyjnej jest ocena przez Sąd prawidłowości prowadzenia przez organ administracji publicznej postępowania administracyjnego oraz zapadłego w tym postępowaniu rozstrzygnięcia.

Skarga analizowana pod katem powyższych kryteriów nie zasługuje na uwzględnienie.

Na wstępie zaznaczyć należy, iż zadaniem ustawy 29 sierpnia 1997 r. o ochronie danych osobowych (tekst jedn. Dz. U. z 2002 r. Nr 101, poz. 926 ze zm.) nie jest jedynie stanie na straży interesów tych, których przetwarzane dane osobowe dotyczą. Naczelną zasadą ustawy nie jest też zakaz przetwarzania danych osobowych, lecz przestrzeganie zakresu i trybu ich przetwarzania. Omawiana ustawa w art. 1 stwierdza, że dane osobowe mogą być przetwarzane, jeżeli służy to dobru publicznemu, dobru osoby, której dane dotyczą lub dobru osób trzecich. Ochrona danych osobowych, na podstawie przepisów powołanej ustawy, nie powinna być oderwana od przepisów służących ochronie innych wartości.

Stosownie do treści art. 7 pkt 2 ww. ustawy, przez przetwarzanie danych osobowych rozumie się jakiekolwiek operacje wykonywane na danych osobowych, takie jak zbieranie, utrwalanie, przechowywanie, opracowywanie, zmienianie, udostępnianie i usuwanie, a zwłaszcza te, które wykonuje się w systemach informatycznych. Zgodnie z art. 23 ust. 1 pkt 2 ustawy o ochronie danych osobowych, przetwarzanie danych jest dopuszczalne tylko wtedy, gdy jest to niezbędne dla zrealizowania uprawnienia lub spełnienia obowiązku wynikającego z przepisu prawa. Oznacza to, iż zgoda osoby, której dane dotyczą, na przetwarzanie jej danych osobowych nie jest wymagana wówczas, gdy administrator danych potrafi wskazać przepis prawa legalizujący dokonywanie czynności, o których mowa w art. 7 ust. 2 ustawy.

W niniejszej sprawie skarżący zarzuca Bankowi nielegalne przetwarzanie jego danych osobowych w zakresie nieaktualnego obecnie adresu zamieszkania i zameldowania, już po dokonaniu w dniu […] maja 2008 r. sprzedaży wierzytelności skarżącego firmie […] S. A., jak też bezprawne przekazanie danych osobowych do […].

Z ustaleń Generalny Inspektor Ochrony Danych Osobowych i materiału aktowego wynika, iż […] S. A. przetwarzał dane osobowe skarżącego w okresie od […] maja 2004 r. do […] maja 2008 r. w zbiorze danych klientów Banku na podstawie art. 23 ust. 1 pkt 5 ustawy o ochronie danych osobowych celem dochodzenia roszczeń, w zakresie zawartym w dokumentacji kredytowej, tj. imienia, nazwiska, adresu zamieszkania i korespondencyjnego, numeru dowodu osobistego, numeru PESEL, numeru telefonu, wysokości dochodu, zakładu pracy, stanowiska, okresu zatrudnienia, własności mieszkania, liczby osób w gospodarstwie domowym. W dniu […] maja 2008 r. nastąpiła sprzedaż wierzytelności skarżącego na rzecz firmy […] S. A. Po sprzedaży wierzytelności skarżącego firmie […] S. A., Bank przetwarza dane osobowe skarżącego w zbiorze archiwum […] S. A. prowadzonym w celach archiwizacji dokumentacji bankowej, sprawozdawczości finansowej, celów rachunkowych oraz celów związanych z ewentualnymi roszczeniami powstałymi w związku z wykonywaniem czynności bankowych przez Bank. Nadto Bank przekazał w lutym 2005 r. do […] dane osobowe skarżącego związane z umową kredytu w zakresie: imię, nazwisko, numer PESEL, numer dowodu osobistego, data urodzenia, płeć, adres, obywatelstwo oraz dane finansowe kredytu, dla celów analizy ryzyka kredytowego.

Odnosząc się w pierwszej kolejności do przekazania przez Bank danych osobowych skarżącego […] należy zwrócić uwagę, iż świetle art. 105 ust. 4 ustawy z dnia 29 sierpnia 1997 r. – Prawo bankowe (tekst jedn. Dz. U. z 2012 poz. 1376 – w brzmieniu obowiązującym w dniu wydania zaskarżonej decyzji), banki mogą, wspólnie z bankowymi izbami gospodarczymi, utworzyć instytucje upoważnione do gromadzenia, przetwarzania i udostępniania: 1) bankom – informacji stanowiących tajemnicę bankową w zakresie, w jakim informacje te są potrzebne w związku z wykonywaniem czynności bankowych oraz w związku ze stosowaniem metod statystycznych, o których mowa w art. 128 ust. 3 oraz w art. 128d ust. 1; 2) innym instytucjom ustawowo upoważnionym do udzielania kredytów – informacji stanowiących tajemnicę bankową w zakresie, w jakim informacje te są niezbędne w związku z udzielaniem kredytów, pożyczek pieniężnych, gwarancji bankowych i poręczeń; 3) instytucjom kredytowym – informacji stanowiących tajemnicę bankową w zakresie niezbędnym do oceny ryzyka kredytowego konsumenta, o którym mowa w art. 9 ustawy z dnia 12 maja 2011 r. o kredycie konsumenckim.

Nie ulega wątpliwości, że […], jako instytucja utworzona przez banki, której celem jest administrowanie danymi i ich udostępnianie do analizy w danej instytucji udzielającej finansowania, w oparciu o art. 105 ust. 4 Prawa bankowego, jest uprawnione do gromadzenia, przetwarzania i udostępniania bankom informacji stanowiących tajemnicę bankową w zakresie, w jakim informacje te są potrzebne w związku z wykonywaniem czynności bankowych oraz w związku ze stosowaniem metod statystycznych. Zważywszy, iż ustawodawca zezwolił na powołanie do życia instytucji finansowej, której działalność ma służyć stabilizacji rynku kredytowego przy wykorzystaniu źródeł informacji stanowiącej tajemnicę bankową, uznać należy, iż przekazanie przez Bank ww. danych osobowych skarżącego (kredytobiorcy – dłużnika) na rzecz […] zostało dokonane zgodnie z prawem. W świetle bowiem art. 105a ust. 1 Prawa bankowego, przetwarzanie m.in. przez instytucje utworzone na podstawie art. 105 ust. 4, informacji stanowiących tajemnicę bankową w zakresie dotyczącym osób fizycznych może być wykonywane, z zastrzeżeniem art. 104, art. 105 i art. 106-106c, w celu oceny zdolności kredytowej i analizy ryzyka kredytowego. Zatem działanie Banku przekazującego dane osobowe skarżącego […] znajduje umocowanie w art. 23 ust. 1 pkt 2 ustawy o ochronie danych osobowych.

Choć dysponowanie przez […] danymi osobowymi skarżącego posiadało walor legalności, to jednak w sprawie istotne jest to, że obecnie […] usunął ze swych zbiorów przedmiotowe dane. To z kolej czyni wniosek skarżącego niezasadnym, gdyż organ nie ma już podstaw do stosowania władczych form działania w celu usunięcia uchybień w procesie przetwarzania danych osobowych (art. 18 ust. 1 ustawy o ochronie danych osobowych).

Przechodząc do oceny legalności przetwarzania przez Bank danych osobowych skarżącego w zakresie nieaktualnego adresu zamieszkania i zameldowania należy stwierdzić, iż przetwarzanie przedmiotowych danych w zasobach archiwalnych Banku ma swoje uzasadnienie w powołanym art. 23 ust. 1 pkt 2 ustawy o ochronie danych osobowych w związku z art. 105a ust. 4 i 5 ustawy Prawo bankowe. Powołane przepisy przyznają bankom prawo przetwarzania informacji stanowiących tajemnicę bankową dotyczącą osób fizycznych po wygaśnięciu zobowiązania wynikającego z umowy zawartej z bankiem bez zgody osoby, której informacje dotyczą, dla celów stosowania metod statystycznych, o których mowa w art. 128 ust. 3, przez okres 12 lat od dnia wygaśnięcia zobowiązania.

Wskazać w tym miejscu należy, iż zagadnienie przetwarzania przez banki i instytucje kredytowe danych osobowych kredytobiorców bez ich zgody dla celów stosowania metod statystycznych było przedmiotem rozważań sądów administracyjnych. W wyroku z dnia 4 grudnia 2008 r., sygn. akt II SA/Wa 917/08 WSA w Warszawie (niepublikowanym) wyraził pogląd, iż art. 105a ust. 4 Prawa bankowego wprowadził samodzielną przesłankę legalizującą przetwarzanie danych osobowych dla celów stosowania metod statystycznych. Naczelny Sąd Administracyjny w wyroku z dnia 7 maja 2009 r. sygn. akt. I OSK 674/08 stwierdził, iż „(…) w stanie prawnym obowiązującym w dacie wydania zaskarżonej decyzji (…) było uprawnione do przetwarzania uzyskanych danych osobowych dla celów statystycznych bez uzyskania zgody osoby zainteresowanej. Wynika to z art. 105a ust. 4 w związku z art. 128 tej ustawy i art. 23 ust. 1 pkt 2 ustawy o ochronie danych osobowych. Zgodnie z tym przepisem zarówno banki jak i instytucje utworzone na podstawie art. 105a ust. 4 Prawa bankowego mogą przetwarzać informacje stanowiące tajemnicę bankową dotyczące osób fizycznych po wygaśnięciu zobowiązania wynikającego z umowy zawartej z bankiem lub inną instytucją ustawowo upoważnioną do udzielania kredytów, bez zgody osoby, której informacje dotyczą, dla stosowania metod statystycznych, o których mowa w art. 128 ust. 3. Z żadnego przepisu nie wynika, by powyższy przepis dotyczył wyłącznie informacji uzyskanych tylko w tym celu”. Ocena prawna wyrażona w powyższym uzasadnieniu wyroku pozostaje aktualna na gruncie niniejszej sprawy i Sąd orzekający w pełni podziela zaprezentowany pogląd.

Skoro zatem przepis art. 105a ust. 4 Prawa bankowego daje Bankowi prawo do przetwarzania danych osobowych dla celów stosowania metod statystycznych bez zgody osoby zainteresowanej (sankcjonuje gromadzenie danych tylko do tego zbioru), to nie może w sprawie mieć istotnego znaczenia fakt, że Bank przetwarza w zbiorze archiwalnym nieaktualne dane adresowe skarżącego. Przedmiotowe dane nie służą bowiem bieżącej działalności Banku, lecz potencjalnie mogą zostać wykorzystane do sporządzania analiz. Zakres danych, które może przetwarzać Bank, został precyzyjnie określony w § 3 rozporządzenia Ministra Finansów z dnia 27 marca 2007 r. w sprawie szczegółowego zakresu przetwarzanych informacji dotyczących osób fizycznych po wygaśnięciu zobowiązania wynikającego z umowy zawartej z bankiem lub inną instytucją ustawowo upoważnioną do udzielania kredytów oraz trybu usuwania tych informacji (Dz. U. Nr 56, poz. 373). Obejmuje on m.in: dane dotyczące osoby fizycznej: imiona i nazwisko, nazwisko rodowe, imiona rodziców, nazwisko panieńskie matki, datę i miejsce urodzenia, płeć, obywatelstwo, stan cywilny, tytuł prawny do zajmowanego lokalu, adres zamieszkania, adres zameldowania na pobyt stały lub czasowy, aktualny adres pobytu czasowego inny niż adres zamieszkania lub zameldowania, adres do korespondencji, serię i numer dowodu osobistego lub innego dokumentu potwierdzającego tożsamość, numer PESEL, numer NIP, miejsce pracy, zawód, wykształcenie, formę zatrudnienia, dochody i wydatki, liczbę osób w gospodarstwie domowym, ustrój majątkowy małżonków (§ 3 ust. 1 lit. a-u tego rozporządzenia).

Analiza powołanego przepisu prowadzi do wniosku, iż zakres danych gromadzonych przez banki jest szeroki, a prawo gromadzenia tych danych nie zostało ograniczone podmiotowo tylko do nierzetelnych kredytobiorców, ale dotyczy wszystkich kredytobiorców, w tym kredytobiorców byłych.

Prawodawca przy tym posługuje się pojęciem adresu zamieszkania, zameldowania i pobytu czasowego. Nie ma zatem przeszkód aby w zbiorze znajdował się adresu zameldowania i zamieszkania z daty obowiązywania umowy kredytowej (dla celów archiwalnych) zwłaszcza, iż skarżący obecnie nie dysponuje innym adresem zameldowania, czy zamieszkania.

Podkreślenia wymaga, iż dane osobowe skarżącego jako dobro prawem chronione, stanowiące tajemnicę bankową i przedmiot ochrony ustawy o ochronie danych osobowych, posiadają walor archiwalny i nie mogą być przetwarzane w bieżącej działalności Banku, lecz tylko do celów powyżej wskazanych.

W zaistniałym stanie faktycznym i prawnym zarzuty skargi należało uznać za niezasadne. Generalny Inspektor Ochrony Danych Osobowych prawidłowo zastosował przepisy prawa materialnego stanowiące podstawę materialnoprawną rozstrzygnięcia, które zostało wydane z poszanowaniem reguł procesowych.

Mając powyższe na uwadze, Wojewódzki Sąd Administracyjny w Warszawie, na podstawie art. 151 ustawy – Prawo o postępowaniu przed sądami administracyjnymi orzekł, jak w sentencji.