II SA/Wa 174/14 – Wyrok WSA w Warszawie

Sygn.  akt II SA/Wa 174/14

Wyrok WSA w Warszawie

Dnia 23 września 2014 r. Wojewódzki Sąd Administracyjny w Warszawie w składzie:

Przewodniczący : Sędzia WSA – Anna Mierzejewska
Sędzia WSA – Andrzej Góraj
Sędzia WSA – Sławomir Antoniuk (sprawozdawca)
Protokolant : Marek Kozłowski

po rozpoznaniu na rozprawie w dniu 23 września 2014 r. sprawy ze skargi T. Z. na decyzję Generalnego Inspektora Ochrony Danych Osobowych z dnia […] grudnia 2013 r. nr […] w przedmiocie odmowy uwzględnienia wniosku

1. oddala skargę;

2. przyznaje ze środków budżetowych Wojewódzkiego Sądu Administracyjnego w Warszawie na rzecz adwokata M. P. kwotę 240 zł (słownie: dwieście czterdzieści złotych) oraz kwotę 55,20 zł (słownie: pięćdziesiąt pięć złotych 20/100) stanowiącą 23% podatku VAT, tytułem nieopłaconej pomocy prawnej udzielonej z urzędu.

UZASADNIENIE

Generalny Inspektor Ochrony Danych Osobowych decyzją z dnia […] grudnia 2013 r. nr […], wydaną na podstawie art. 138 § 1 pkt 1 k.p.a. oraz art. 12 pkt 2, art. 22, art. 23 ust. 1 pkt 2 i art. 26 ust. 1 pkt 3 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (tekst jedn. Dz. U. z 2002 r. Nr 101, poz. 926 ze zm.), utrzymał w mocy własną decyzję z dnia […] lipca 2013 r. […] odmawiającą uwzględnienia wniosku T. Z. o usuniecie nieprawidłowości w procesie przetwarzania jego danych osobowych przez […] S. A. z siedzibą we […], w tym ich udostępnienie na rzecz […] S. A. z siedzibą w[…].

W uzasadnieniu powyższej decyzji Generalny Inspektor Ochrony Danych Osobowych wskazał, iż T. Z. wniósł do organu Ochrony Danych Osobowych skargę na przetwarzanie jego danych osobowych przez [….] S. A. (dalej jako Bank). W piśmie z dnia […] lipca 2012 r. skarżący sprecyzował, że Bank odmówił mu usunięcia poprzedniego jego adresu zamieszkania i zameldowania wskazując, iż zainteresowany nie wskazał nowego aktualnego adresu i do tego czasu nie usunie nieaktualnych danych osobowych wnioskodawcy. Mając na względzie, że skarżącego z Bankiem nie łączą obecnie żadne stosunki prawne jak i faktyczne, wymieniony zażądał wszczęcia postępowania administracyjnego i wydania zakazu przetwarzania jego danych osobowych w części obejmującej nieaktualny adres zameldowania i zamieszkania. W piśmie z dnia […] grudnia 2012 r. skarżący uzupełnił żądanie wskazując, iż w dniu […] lipca 2008 r. Bank bezprawnie i bezpodstawnie umieścił jego dane osobowe jako dłużnika oraz dane umowy z nim zawartej w […] w […] (dalej jako[…]). Zdaniem skarżącego, jedynym aktualnym celem przetwarzania przez […] jego danych osobowych jest niekwestionowany przez niego cel statystyczny.

Generalny inspektor Ochrony Danych Osobowych przeprowadził w sprawie postępowanie wyjaśniające, w toku którego ustalił, że:

1. W dniu […] marca 2002 r. skarżący zawarł z […] S. A. z siedzibą w […]”Umowę Kredytu dewizowego w CHF nr […]”, w której wskazał adres: ul. […]. 2. […] S. A. z siedzibą w […] (poprzednio działający pod nazwą [….] S. A.) w dniu […] maja 2004 r. zawarł z [.]S. A. z siedzibą w […] (obecnie po zmianie nazwy [.] S. A.) oraz z [….] S. A. z siedzibą we […] umowę, na podstawie której […] S. A. (cesjonariusz) nabył od […] S. A. (cedenta) wierzytelności z umów kredytowych zawartych przez […] S. A., w tym wierzytelność z zawartej ze skarżącym umowy kredytu.

3. Na mocy „Umowy sprzedaży wierzytelności” z dnia […] maja 2008 r. Bank dokonał na rzecz [.] S. A. z siedzibą we […] sprzedaży wierzytelności wobec skarżącego wynikającej z urnowy kredytu i nabytych w trybie opisanym w ww. pkt 2.

4. W piśmie z dnia […] października 2012 r. Bank wyjaśnił, że dane skarżącego były przetwarzane przez […] S. A. w okresie od […] maja 2004 r. do [.] maja 2008 r. w zbiorze danych klientów Banku na podstawie art. 23 ust. 1 pkt 5. ustawy o ochronie danych osobowych celem dochodzenia roszczeń, w zakresie zawartym w dokumentacji kredytowej, tj. imienia, nazwiska, adresu zamieszkania i korespondencyjnego, numeru dowodu osobistego, numeru PESEL, numeru telefonu, wysokości dochodu, zakładu pracy, stanowiska, okresu zatrudnienia, własności mieszkania, liczby osób w gospodarstwie domowym. W dniu […] maja 2008 r. nastąpiła sprzedaż wierzytelności skarżącego na rzecz firmy […] S. A. Po sprzedaży wierzytelności skarżącego firmie [.] S. A., Bank przetwarza dane osobowe skarżącego w zbiorze archiwum […] S. A. prowadzonym w celach archiwizacji dokumentacji bankowej, sprawozdawczości finansowej, celów rachunkowych oraz celów związanych z ewentualnymi roszczeniami powstałymi w związku z wykonywaniem czynności bankowych przez Bank. W piśmie wyjaśniającym z dnia […] grudnia 2012 r. Bank dodał, że zamierza przetwarzać dane osobowe skarżącego związane z obsługą umowy kredytu dewizowego z dnia […] marca 2002 r., w zbiorze archiwum Banku przez okres 10 lat, na wypadek ewentualnych roszczeń skarżącego powstałych w związku z wykonywaniem przez Bank czynności bankowych w oparciu o art. 118 Kodeksu cywilnego oraz jednocześnie dla celów statystycznych przez okres 12 lat w oparciu o art. 105a ust. 4 ustawy z dnia 29 sierpnia 1997 r. Prawo Bankowe, licząc od daty sprzedaży wierzytelności skarżącego firmie […] S. A.

5. W kolejnym piśmie z dnia […] października 2012 r. Bank wyjaśnił, iż skarżący przesłał do Banku pisma z dnia […] maja 2012 r., […] czerwca 2012 r. oraz […] października 2012 r., w których informował o nieaktualności adresu, jednakże w żadnym z przedmiotowych pism nie informował o aktualnym adresie. W ww. pismach skarżący uznał adres: ul. […] w […] za nieaktualny i podkreślił: „Kierowanie jakiejkolwiek korespondencji na ten adres jest prawnie całkiem bezskuteczne”. Zaś w piśmie z dnia […] października 2012 r. zainteresowany dodał: „podnoszę, iż mój nowy adres zamieszkania, zameldowania i siedziby jest tajny, niejawny (…) nie wyrażam zgody na dalsze przetwarzanie moich danych osobowych przez Bank oraz wnoszę umotywowany sprzeciw na przetwarzanie moich danych osobowych wy postaci niezupełnej tzn. bez aktualnego, ważnego adresu zameldowania i zamieszkania, jak siedziby (…)”.

6. W piśmie z dnia […] stycznia 2013 r. Bank potwierdził, że przekazał do […] dane osobowe skarżącego związane z umową kredytu w zakresie: imię, nazwisko, numer PESEL, numer dowodu osobistego, data urodzenia, płeć, adres, obywatelstwo oraz dane finansowe kredytu. Powyższe nastąpiło w lutym 2005 r. dla celów analizy ryzyka kredytowego na podstawie art. 105 ust. 4 i art. 105a Prawa bankowego. Bank potwierdził, że w lipcu 2008 r., aktualizując przekazane do zbioru BIK dane osobowe skarżącego Bank oznaczył w bazie […] rachunek skarżącego jako: „Odzyskany” z datą odzyskania […] maj 2008 r. z informacją „Dług odsprzedany”. Dodano: „Bank przychylił się w całości do wniosku skarżącego i dokonał całkowitego usunięcia rachunku skarżącego w dniu […] stycznia 2013 r. (…)”.

7. BIK w pismach skierowanych do organu z dnia […] lutego i […] marca 2013 r. potwierdził, że obecnie nie przetwarza danych osobowych skarżącego pozyskanych od Banku, dotyczących umowy kredytu, ani w celu oceny zdolności kredytowej i analizy ryzyka kredytowego, ani w celu stosowania metod statystycznych.

Po przeprowadzeniu w sprawie postępowania wyjaśniającego Generalny Inspektor wydał decyzję administracyjną z dnia […] lipca 2013 r. odmawiającą uwzględnienia wniosku.

T. Z. wniósł o ponowne rozpatrzenie sprawy zakończonej decyzją odmowną z dnia […] lipca 2013 r. Wymieniony podniósł zarzut wydania tej decyzji przez osobę do tego nieupoważnioną – A. L.

Uznając zarzut strony za chybiony, Generalny inspektor Ochrony Danych Osobowych rozstrzygnięciem z dnia […] grudnia 2013 r. utrzymał zaskarżoną decyzję w mocy. W motywach rozstrzygnięcia organ wskazał, że zaskarżona decyzja została podpisana przez A. L., zajmującego stanowisko Zastępcy Generalnego Inspektora Ochrony Danych Osobowych. W dniu […] grudnia 2006 r. Generalny Inspektor Ochrony Osobowych udzielił A. L. upoważnienia do wydawania w imieniu Generalnego Inspektora decyzji, o których mowa w art. 18, 21, 44, 44a i 48 ustawy o ochronie danych osobowych, postanowień, zaświadczeń, podpisywania pism wychodzących z Biura GIODO, a także podpisywania pełnomocnictw i pism procesowych do sądów powszechnych i administracyjnych.

Z uwagi na brak merytorycznych zarzutów skarżącego, dotyczących rozstrzygnięcia zawartego w zaskarżonej decyzji, Generalny Inspektor w pełni podtrzymał wyrażone w niej stanowisko. Organ przytoczył brzmienie art. 2 ust. 1 i art. 7 pkt 2 ustawy o ochronie danych osobowych oraz wskazał, iż warunkiem legalności każdej czynności przetwarzania danych osobowych jest spełnienie którejkolwiek z autonomicznych i równorzędnych przesłanek dopuszczalności tego procesu, wymienionych enumeratywnie w art. 23 ust. 1 pkt 1-5 powołanej ustawy, zezwalających na przetwarzanie danych m.in. wtedy, gdy jest to niezbędne dla zrealizowania uprawnienia lub spełnienia obowiązku wynikającego z przepisu prawa (pkt 2), gdy jest to konieczne do realizacji umowy, gdy osoba, której dane dotyczą, jest jej stroną lub gdy jest to niezbędne do podjęcia działań przed zawarciem urnowy na żądanie osoby, której dane dotyczą (pkt 3), gdy jest to niezbędne dla wypełnienia prawnie usprawiedliwionych celów realizowanych przez administratorów danych albo odbiorców danych, a przetwarzanie nie narusza praw i wolności osoby, której dane dotyczą (pkt 5). W myśl art. 23 ust. 4 pkt 2 ustawy za prawnie usprawiedliwiony cel, o którym mowa w ust. 1 pkt 5, uważa się w szczególności dochodzenie roszczeń z tytułu prowadzonej działalności gospodarczej.

W niniejszej sprawie istotne jest, że art. 23 ust. 1 pkt 5 w zw. z art. 23 ust. 4 pkt 2 ustawy uprawniają wierzyciela zarówno do przetwarzania danych osobowych dłużnika w ramach samodzielnie podejmowanych wobec niego działań windykacyjnych, jak i do udostępnienia tych danych innym podmiotom czy osobom, z których pośrednictwa wierzyciel korzysta przy podejmowaniu czynności windykacyjnych lub na rzecz których dokonuje cesji wierzytelności. Błędne jest więc przekonanie skarżącego o niedopuszczalności udostępnienia jego danych osobowych przez wierzyciela dokonującego cesji wierzytelności wobec skarżącego na rzecz nabywcy tej wierzytelności. Zarówno pozyskanie przez Bank (poprzednio […] S. A.) od […] S. A. (poprzednio […] S. A.) na podstawie umowy cesji z dnia […] maja 2004 r. danych osobowych skarżącego, jak też późniejsze ich udostępnienie przez Bank na rzecz […] S. A. w wykonaniu umowy sprzedaży wierzytelności z dnia […] maja 2008 r., znajdowały prawne uzasadnienie w art. 23 ust. 1 pkt S ustawy. W ww. sposób […] S. A. i […] S. A. dążyły bowiem do uzyskania zaspokojenia ich wierzytelności, wynikającej z umowy kredytu podpisanej przez skarżącego w dniu […] marca 2002 r. — zatem realizowały swój prawnie usprawiedliwiony cel.

Odnosząc się do zarzutu skarżącego, dotyczącego przedawnienia jego zobowiązania wynikającego z ww. umowy kredytowej, organ podniósł, iż okoliczność ta nie pozbawia Banku prawa do przetwarzania danych osobowych skarżącego na mocy art. 23 ust. 1 pkt 5 w związku z art. 23 ust. 4 pkt 2 powołanej ustawy, w celu dochodzenia roszczeń wynikających z tej umowy. Takie stanowisko wynika z przyjęcia w prawie cywilnym, że przedawnione roszczenie nie wygasa, a jedynie zamienia się w tzw. zobowiązanie niezupełne (naturalne), którego cechą jest niemożność jego przymusowej realizacji. Nawet w razie przedawnienia roszczenia majątkowego z ww. umowy kredytowej stosunek zobowiązaniowy między każdorazowym wierzycielem (pierwotnie […] S. A., przekształcony w […] S. A.; następnie […] S. A., przekształcony w […] S. A.; aktualnie […] S. A.) a dłużnikiem (skarżącym) nadal istnieje, a wierzyciel jest uprawniony do dochodzenia roszczenia, natomiast nie może jedynie uzyskać tego zaspokojenia w drodze przymusowej egzekucji.

Mając powyższe na względzie Generalny Inspektor Ochrony Danych Osobowych stwierdził, iż Bank legalnie pozyskał dane osobowe skarżącego w związku z zawarciem z nim umowy kredytowej i późniejszym dochodzeniem wynikających z niej roszczeń, a także legalnie (w ramach dochodzenia roszczeń) udostępnił je na rzecz […] S. A. Obecnie zaś Bank przetwarza ww. dane osobowe skarżącego wyłącznie w celach archiwalnych na podstawie art. 23 ust. 1 pkt 2 ustawy. Bank uzyskał zaspokojenie wierzytelności przysługującej mu w stosunku do skarżącego, a wynikającej z umowy kredytu dewizowego, z chwilą sprzedania tej wierzytelności na rzecz […] S. A., tj. dnia […] maja 2008 r. Skoro więc stosunek zobowiązaniowy między Bankiem a skarżącym wygasł w ww. dniu, brak jest podstaw dla zakwestionowania prawidłowości stanowiska Banku, że od tej daty należy liczyć okres 12 lat dopuszczalnego przetwarzania danych osobowych skarżącego dla celów statystycznych (art. 105a ust. 4 ustawy Prawo Bankowe). Nadto nie można pominąć argumentu Banku, że przetwarzanie danych osobowych skarżącego jest istotne dla możliwości dochodzenia przez Bank roszczeń związanych z umową kredytu dewizowego. Art. 118 Kodeksu cywilnego stanowi bowiem, że w braku szczególnego unormowania, termin przedawnienia wynosi lat dziesięć, a dla roszczeń o świadczenia okresowe oraz roszczeń związanych z prowadzeniem działalności gospodarczej – trzy lata.

Odnosząc się do kwestii udostępnienia danych osobowych skarżącego przez Bank na rzecz […] S. A. organ powołał się na art. 105a ust. 1 Prawa bankowego, z którego wynik, iż przetwarzanie przez banki, inne instytucje ustawowo upoważnione do udzielania kredytów oraz instytucje utworzone na podstawie art. 105 ust. 4, informacji stanowiących tajemnicę bankową w zakresie dotyczącym osób fizycznych może być wykonywane, z zastrzeżeniem art. 104, art. 105 i art. 106-106c, w celu oceny zdolności kredytowej i analizy ryzyka kredytowego. Instytucie, o których mowa w ust. 1, mogą przetwarzać informacje stanowiące tajemnicę bankową dotyczące osób fizycznych po wygaśnięciu zobowiązania wynikającego z umowy zawartej z bankiem lub inną instytucją ustawowo upoważnioną do udzielania kredytów, bez zgody osoby, której informacje dotyczą, gdy osoba ta nie wykonała zobowiązania lub dopuściła się zwłoki powyżej 60 dni w spełnieniu świadczenia wynikającego z umowy zawartej z bankiem lub inną instytucją ustawowo upoważnioną do udzielania kredytów, a po zaistnieniu tych okoliczności upłynęło co najmniej 30 dni od poinformowania tej osoby przez bank lub inną instytucję ustawowo upoważnioną do udzielania kredytów o zamiarze przetwarzania dotyczących jej informacji stanowiących tajemnicę bankową, bez jej zgody (art. 105a ust. 3 Prawa bankowego). Zgodnie z art. 105a ust. 6 Prawa bankowego, zakres przetwarzanych informacji, o których mowa w ust. 3 i 4, może obejmować dane dotyczące osoby fizycznej lub dane dotyczące zobowiązania.

Zatem udostępnienie kwestionowanych danych osobowych skarżącego przez Bank na rzecz […] S. A. nastąpiło na podstawie ww. przepisów. Stwierdzenie to ma jednak charakter wyłącznie uzupełniający, gdyż Bank doprowadził do usunięcia z […] przekazanych mu danych osobowych skarżącego. Obecnie […] S. A. nie przetwarza w żadnym celu kwestionowanych danych osobowych skarżącego

Odnosząc się do kwestii przetwarzania przez Bank nieaktualnego adresu skarżącego, organ przywołał treść art. 26 ust. 1 pkt 3 ustawy o ochronie danych osobowych, zobowiązujący administratora danych do zapewnienia poprawności przetwarzanych danych osobowych i ich adekwatności w stosunku do celów, w jakich są przetwarzane. W ocenie organu, zgromadzony w sprawie materiał dowodowy dawał podstaw do postawienia Bankowi zarzutu naruszenia ww. regulacji. Wprawdzie skarżący poinformował Bank, że dotychczasowy jego adres (ul.[…]) jest już nieaktualny, ale jednocześnie nie podał Bankowi swego aktualnego adresu. W ten sposób skarżący zamierzał niejako uniemożliwić Bankowi jakikolwiek kontakt z nim – w szczególności w związku z dochodzeniem w przeszłości przez Bank roszczeń wobec skarżącego wynikających z umowy kredytowej. Obecnie Bank – po dokonaniu cesji wierzytelności wynikającej z tej umowy na rzecz [….] S. A. – nie przetwarza już danych osobowych skarżącego w celu dochodzenia wobec niego tych roszczeń. Natomiast Bank jest w oczywisty sposób uprawniony do dalszego przetwarzania ww. danych osobowych w realizowanych aktualnie celach archiwalnych. Nie sposób odmówić Bankowi prawa do przetwarzania (przechowywania) archiwalnej informacji o ostatnim adresie skarżącego, jakim dysponował. Bank ma przy tym świadomość, że adres ten nie jest już aktualny.

Decyzja Generalnego Inspektora Ochrony Danych Osobowych z dnia […] grudnia 2013 r. stała się przedmiotem skargi wniesionej przez T. Z. do Wojewódzkiego Sądu Administracyjnego w Warszawie. Wnosząc o uchylenie zaskarżonej, jak i poprzedzającej ją decyzji, z powodu ich niezgodności z prawem, skarżący podniósł, iż od listopada 2010 r. nie jestem zameldowany na pobyt stały lub czasowy, jak też nie zamieszkuje lub w inny sposób nie korzysta z lokalu przy ulicy […]. Także od listopada 2010 r nigdzie nie jest zameldowany na żaden pobyt, bowiem decyzją Prezydenta […] odmówiono skarżącemu zameldowania w zajmowanym przez niego lokalu użytkowym (garażu) twierdząc, iż adres tego lokalu nie istnieje. W tym stanie rzeczy skarżący nie może podać aktualnie żadnego adresu zameldowania na stałe bądź czasowo, jak też adresu zamieszkania.

W odpowiedzi na skargę Generalny Inspektor Ochrony Danych Osobowych wniósł o jej oddalenie oraz podtrzymał argumentację przedstawioną w uzasadnień zaskarżonej decyzji.

Wojewódzki Sąd Administracyjny w Warszawie zważył, co następuje:

Zgodnie z art. 1 i 2 ustawy z dnia 25 lipca 2002 r. – Prawo o ustroju sądów administracyjnych (Dz. U. Nr 153, poz. 1269 ze zm.), sądy administracyjne sprawują wymiar sprawiedliwości przez kontrolę działalności administracji publicznej. Kontrola ta sprawowana jest pod względem zgodności z prawem. Oznacza to, iż przedmiotem sprawy sądowoadministracyjnej jest ocena przez Sąd prawidłowości prowadzenia przez organ administracji publicznej postępowania administracyjnego oraz zapadłego w tym postępowaniu rozstrzygnięcia.

Skarga analizowana pod katem powyższych kryteriów nie zasługuje na uwzględnienie.

Na wstępie zaznaczyć należy, iż zadaniem ustawy 29 sierpnia 1997 r. o ochronie danych osobowych (tekst jedn. Dz. U. z 2002 r. Nr 101, poz. 926 ze zm.) nie jest jedynie stanie na straży interesów tych, których przetwarzane dane osobowe dotyczą. Naczelną zasadą ustawy nie jest też zakaz przetwarzania danych osobowych, lecz przestrzeganie zakresu i trybu ich przetwarzania. Omawiana ustawa w art. 1 stwierdza, że dane osobowe mogą być przetwarzane, jeżeli służy to dobru publicznemu, dobru osoby, której dane dotyczą lub dobru osób trzecich. Ochrona danych osobowych, na podstawie przepisów powołanej ustawy, nie powinna być oderwana od przepisów służących ochronie innych wartości.

Stosownie do treści art. 7 pkt 2 ww. ustawy, przez przetwarzanie danych osobowych rozumie się jakiekolwiek operacje wykonywane na danych osobowych, takie jak zbieranie, utrwalanie, przechowywanie, opracowywanie, zmienianie, udostępnianie i usuwanie, a zwłaszcza te, które wykonuje się w systemach informatycznych. Zgodnie z art. 23 ust. 1 pkt 2 ustawy o ochronie danych osobowych, przetwarzanie danych jest dopuszczalne tylko wtedy, gdy jest to niezbędne dla zrealizowania uprawnienia lub spełnienia obowiązku wynikającego z przepisu prawa. Oznacza to, iż zgoda osoby, której dane dotyczą, na przetwarzanie jej danych osobowych nie jest wymagana wówczas, gdy administrator danych potrafi wskazać przepis prawa legalizujący dokonywanie czynności, o których mowa w art. 7 ust. 2 ustawy.

W niniejszej sprawie skarżący zarzuca Bankowi nielegalne przetwarzanie jego danych osobowych w zakresie nieaktualnego obecnie adresu zamieszkania i zameldowania, już po dokonaniu w dniu […] maja 2008 r. sprzedaży wierzytelności skarżącego firmie […] S. A., jak też bezprawne przekazanie danych osobowych do […].

Z ustaleń Generalny Inspektor Ochrony Danych Osobowych i materiału aktowego wynika, iż […] S. A. przetwarzał dane osobowe skarżącego w okresie od […] maja 2004 r. do […] maja 2008 r. w zbiorze danych klientów Banku na podstawie art. 23 ust. 1 pkt 5 ustawy o ochronie danych osobowych celem dochodzenia roszczeń, w zakresie zawartym w dokumentacji kredytowej, tj. imienia, nazwiska, adresu zamieszkania i korespondencyjnego, numeru dowodu osobistego, numeru PESEL, numeru telefonu, wysokości dochodu, zakładu pracy, stanowiska, okresu zatrudnienia, własności mieszkania, liczby osób w gospodarstwie domowym. W dniu […] maja 2008 r. nastąpiła sprzedaż wierzytelności skarżącego na rzecz firmy […] S. A. Po sprzedaży wierzytelności skarżącego firmie […] S. A., Bank przetwarza dane osobowe skarżącego w zbiorze archiwum […] S. A. prowadzonym w celach archiwizacji dokumentacji bankowej, sprawozdawczości finansowej, celów rachunkowych oraz celów związanych z ewentualnymi roszczeniami powstałymi w związku z wykonywaniem czynności bankowych przez Bank. Nadto Bank przekazał w lutym 2005 r. do […] dane osobowe skarżącego związane z umową kredytu w zakresie: imię, nazwisko, numer PESEL, numer dowodu osobistego, data urodzenia, płeć, adres, obywatelstwo oraz dane finansowe kredytu, dla celów analizy ryzyka kredytowego.

Odnosząc się w pierwszej kolejności do przekazania przez Bank danych osobowych skarżącego […] należy zwrócić uwagę, iż świetle art. 105 ust. 4 ustawy z dnia 29 sierpnia 1997 r. – Prawo bankowe (tekst jedn. Dz. U. z 2012 poz. 1376 – w brzmieniu obowiązującym w dniu wydania zaskarżonej decyzji), banki mogą, wspólnie z bankowymi izbami gospodarczymi, utworzyć instytucje upoważnione do gromadzenia, przetwarzania i udostępniania: 1) bankom – informacji stanowiących tajemnicę bankową w zakresie, w jakim informacje te są potrzebne w związku z wykonywaniem czynności bankowych oraz w związku ze stosowaniem metod statystycznych, o których mowa w art. 128 ust. 3 oraz w art. 128d ust. 1; 2) innym instytucjom ustawowo upoważnionym do udzielania kredytów – informacji stanowiących tajemnicę bankową w zakresie, w jakim informacje te są niezbędne w związku z udzielaniem kredytów, pożyczek pieniężnych, gwarancji bankowych i poręczeń; 3) instytucjom kredytowym – informacji stanowiących tajemnicę bankową w zakresie niezbędnym do oceny ryzyka kredytowego konsumenta, o którym mowa w art. 9 ustawy z dnia 12 maja 2011 r. o kredycie konsumenckim.

Nie ulega wątpliwości, że […], jako instytucja utworzona przez banki, której celem jest administrowanie danymi i ich udostępnianie do analizy w danej instytucji udzielającej finansowania, w oparciu o art. 105 ust. 4 Prawa bankowego, jest uprawnione do gromadzenia, przetwarzania i udostępniania bankom informacji stanowiących tajemnicę bankową w zakresie, w jakim informacje te są potrzebne w związku z wykonywaniem czynności bankowych oraz w związku ze stosowaniem metod statystycznych. Zważywszy, iż ustawodawca zezwolił na powołanie do życia instytucji finansowej, której działalność ma służyć stabilizacji rynku kredytowego przy wykorzystaniu źródeł informacji stanowiącej tajemnicę bankową, uznać należy, iż przekazanie przez Bank ww. danych osobowych skarżącego (kredytobiorcy – dłużnika) na rzecz […] zostało dokonane zgodnie z prawem. W świetle bowiem art. 105a ust. 1 Prawa bankowego, przetwarzanie m.in. przez instytucje utworzone na podstawie art. 105 ust. 4, informacji stanowiących tajemnicę bankową w zakresie dotyczącym osób fizycznych może być wykonywane, z zastrzeżeniem art. 104, art. 105 i art. 106-106c, w celu oceny zdolności kredytowej i analizy ryzyka kredytowego. Zatem działanie Banku przekazującego dane osobowe skarżącego […] znajduje umocowanie w art. 23 ust. 1 pkt 2 ustawy o ochronie danych osobowych.

Choć dysponowanie przez […] danymi osobowymi skarżącego posiadało walor legalności, to jednak w sprawie istotne jest to, że obecnie […] usunął ze swych zbiorów przedmiotowe dane. To z kolej czyni wniosek skarżącego niezasadnym, gdyż organ nie ma już podstaw do stosowania władczych form działania w celu usunięcia uchybień w procesie przetwarzania danych osobowych (art. 18 ust. 1 ustawy o ochronie danych osobowych).

Przechodząc do oceny legalności przetwarzania przez Bank danych osobowych skarżącego w zakresie nieaktualnego adresu zamieszkania i zameldowania należy stwierdzić, iż przetwarzanie przedmiotowych danych w zasobach archiwalnych Banku ma swoje uzasadnienie w powołanym art. 23 ust. 1 pkt 2 ustawy o ochronie danych osobowych w związku z art. 105a ust. 4 i 5 ustawy Prawo bankowe. Powołane przepisy przyznają bankom prawo przetwarzania informacji stanowiących tajemnicę bankową dotyczącą osób fizycznych po wygaśnięciu zobowiązania wynikającego z umowy zawartej z bankiem bez zgody osoby, której informacje dotyczą, dla celów stosowania metod statystycznych, o których mowa w art. 128 ust. 3, przez okres 12 lat od dnia wygaśnięcia zobowiązania.

Wskazać w tym miejscu należy, iż zagadnienie przetwarzania przez banki i instytucje kredytowe danych osobowych kredytobiorców bez ich zgody dla celów stosowania metod statystycznych było przedmiotem rozważań sądów administracyjnych. W wyroku z dnia 4 grudnia 2008 r., sygn. akt II SA/Wa 917/08 WSA w Warszawie (niepublikowanym) wyraził pogląd, iż art. 105a ust. 4 Prawa bankowego wprowadził samodzielną przesłankę legalizującą przetwarzanie danych osobowych dla celów stosowania metod statystycznych. Naczelny Sąd Administracyjny w wyroku z dnia 7 maja 2009 r. sygn. akt. I OSK 674/08 stwierdził, iż „(…) w stanie prawnym obowiązującym w dacie wydania zaskarżonej decyzji (…) było uprawnione do przetwarzania uzyskanych danych osobowych dla celów statystycznych bez uzyskania zgody osoby zainteresowanej. Wynika to z art. 105a ust. 4 w związku z art. 128 tej ustawy i art. 23 ust. 1 pkt 2 ustawy o ochronie danych osobowych. Zgodnie z tym przepisem zarówno banki jak i instytucje utworzone na podstawie art. 105a ust. 4 Prawa bankowego mogą przetwarzać informacje stanowiące tajemnicę bankową dotyczące osób fizycznych po wygaśnięciu zobowiązania wynikającego z umowy zawartej z bankiem lub inną instytucją ustawowo upoważnioną do udzielania kredytów, bez zgody osoby, której informacje dotyczą, dla stosowania metod statystycznych, o których mowa w art. 128 ust. 3. Z żadnego przepisu nie wynika, by powyższy przepis dotyczył wyłącznie informacji uzyskanych tylko w tym celu”. Ocena prawna wyrażona w powyższym uzasadnieniu wyroku pozostaje aktualna na gruncie niniejszej sprawy i Sąd orzekający w pełni podziela zaprezentowany pogląd.

Skoro zatem przepis art. 105a ust. 4 Prawa bankowego daje Bankowi prawo do przetwarzania danych osobowych dla celów stosowania metod statystycznych bez zgody osoby zainteresowanej (sankcjonuje gromadzenie danych tylko do tego zbioru), to nie może w sprawie mieć istotnego znaczenia fakt, że Bank przetwarza w zbiorze archiwalnym nieaktualne dane adresowe skarżącego. Przedmiotowe dane nie służą bowiem bieżącej działalności Banku, lecz potencjalnie mogą zostać wykorzystane do sporządzania analiz. Zakres danych, które może przetwarzać Bank, został precyzyjnie określony w § 3 rozporządzenia Ministra Finansów z dnia 27 marca 2007 r. w sprawie szczegółowego zakresu przetwarzanych informacji dotyczących osób fizycznych po wygaśnięciu zobowiązania wynikającego z umowy zawartej z bankiem lub inną instytucją ustawowo upoważnioną do udzielania kredytów oraz trybu usuwania tych informacji (Dz. U. Nr 56, poz. 373). Obejmuje on m.in: dane dotyczące osoby fizycznej: imiona i nazwisko, nazwisko rodowe, imiona rodziców, nazwisko panieńskie matki, datę i miejsce urodzenia, płeć, obywatelstwo, stan cywilny, tytuł prawny do zajmowanego lokalu, adres zamieszkania, adres zameldowania na pobyt stały lub czasowy, aktualny adres pobytu czasowego inny niż adres zamieszkania lub zameldowania, adres do korespondencji, serię i numer dowodu osobistego lub innego dokumentu potwierdzającego tożsamość, numer PESEL, numer NIP, miejsce pracy, zawód, wykształcenie, formę zatrudnienia, dochody i wydatki, liczbę osób w gospodarstwie domowym, ustrój majątkowy małżonków (§ 3 ust. 1 lit. a-u tego rozporządzenia).

Analiza powołanego przepisu prowadzi do wniosku, iż zakres danych gromadzonych przez banki jest szeroki, a prawo gromadzenia tych danych nie zostało ograniczone podmiotowo tylko do nierzetelnych kredytobiorców, ale dotyczy wszystkich kredytobiorców, w tym kredytobiorców byłych.

Prawodawca przy tym posługuje się pojęciem adresu zamieszkania, zameldowania i pobytu czasowego. Nie ma zatem przeszkód aby w zbiorze znajdował się adresu zameldowania i zamieszkania z daty obowiązywania umowy kredytowej (dla celów archiwalnych) zwłaszcza, iż skarżący obecnie nie dysponuje innym adresem zameldowania, czy zamieszkania.

Podkreślenia wymaga, iż dane osobowe skarżącego jako dobro prawem chronione, stanowiące tajemnicę bankową i przedmiot ochrony ustawy o ochronie danych osobowych, posiadają walor archiwalny i nie mogą być przetwarzane w bieżącej działalności Banku, lecz tylko do celów powyżej wskazanych.

W zaistniałym stanie faktycznym i prawnym zarzuty skargi należało uznać za niezasadne. Generalny Inspektor Ochrony Danych Osobowych prawidłowo zastosował przepisy prawa materialnego stanowiące podstawę materialnoprawną rozstrzygnięcia, które zostało wydane z poszanowaniem reguł procesowych.

Mając powyższe na uwadze, Wojewódzki Sąd Administracyjny w Warszawie, na podstawie art. 151 ustawy – Prawo o postępowaniu przed sądami administracyjnymi orzekł, jak w sentencji.

Firma windykacyjna a ochrona danych osobowych

Ostatnio, osoba z kręgu moich najbliższych miała problem z firmą windykacyjną, której to pracownicy dzwonili do niej i wygrażali, że jak nie zapłaci określonej kwoty, sprawa zostanie skierowana do sądu. Na szczęście mój znajomy wie, że roszczenie jest przedawnione, więc firma windykacyjna poza takimi „pogróżkami” niewiele może uczynić. Na kanwie tej sytuacji, warto napisać o tym, jakie firma windykacyjna ma uprawnienia i obowiązki w zakresie ochrony danych osobowych.

Dzwoniąc pracownik firmy windykacyjnej prosi na samym początku o podanie takich informacji jak „data urodzenia” celem weryfikacji, czy rzeczywiście ma do czynienia z właściwą osobą. Na pytanie znajomego o to dlaczego zbierają dane osobowe, pracownik takiej firmy odpowiada, że data urodzenia nie stanowi danych osobowych, a jedynie umożliwia weryfikację. Absurdalne w tym wszystkim jest to, że ta firma windykacyjna ma zarejestrowany w biurze GIODO zbiór danych o nazwie „Dłużnicy”, w którym to w ramach zakresu danych wymieniona jest właśnie data urodzenia. Ta sytuacja obrazuje, że niezależnie od tego jakie informacje pozyskuje firma windykacyjna to weryfikacja odbywa się na podstawie danych osobowych.

W kontekście obowiązków wynikających z przepisów ustawy o ochronie danych osobowych zacznijmy od tego skąd w ogóle firma windykacyjna może posiadać nasze dane osobowe. Możliwe są w zasadzie dwie sytuacje. Pierwsza, w której wierzyciel zleci obsługę wierzytelności firmie windykacyjnej i druga, a której to firma windykacyjna wykupi od wierzyciela zobowiązanie. W pierwszej sytuacji nasz wierzyciel cały czas pozostaje administratorem danych osobowych, a firma windykacyjna jest jedynie procesorem i zgodnie z art. 31 ustawy o ochronie danych osobowych powinna być pomiędzy tymi podmiotami podpisana umowa powierzenia przetwarzania danych osobowych. W drugiej sytuacji dochodzi do zmiany administratora danych i firma windykacyjna jako nowy administrator powinna dopełnić obowiązku informacyjnego z art. 25 ustawy o ochronie danych osobowych – czyli mówiąc prościej poinformować nas o tym, że teraz to ona jest wierzycielem. Jeżeli tego nie zrobi to może narazić się na odpowiedzialność karną przewidzianą w art. 54 ustawy o ochronie danych osobowych, który to przewiduje za naruszenie tego obowiązku zagrożenie karą pozbawienia wolności do roku. Ewentualną odpowiedzialność będą ponosiły osoby kierujące firmą windykacyjną (Zarząd).

Warto również pamiętać o innych obowiązkach firmy windykacyjnych jako  administratora danych takich jak prowadzenie dokumentacji ochrony danych osobowych, odpowiednie zabezpieczenie danych osobowych przetwarzanych w formie papierowej lub elektronicznej, czy rejestracja zbiorów w biurze Generalnego administratora danych osobowych.

Z kolei nam jako osobom, których dane osobowe są przetwarzane przysługuje szereg uprawień wymienionych ustawie o ochronie danych osobowych. Możemy się zwrócić z wnioskiem o przekazanie nam przez firmę windykacyjną o wskazanie m.in. celu przetwarzania danych osobowych, źródła danych, zakresu danych itd. Firma windykacyjna na takie zapytanie zobowiązania jest do udzielenia na piśmie odpowiedzi w terminie 30 dni. Szczegółowo uprawnienia opisane są w art. 32 i następnych ustawy o ochronie danych osobowych.

Kolejnym ważnym aspektem jest to aby firma windykacyjna przetwarzała dane osobowe w zgodzie z zasadami ustawy o ochronie danych osobowych. Chodzi w szczególności o zasadę celowości i adekwatności przetwarzania danych osobowych. Nawiązując do początku artykułu, myślę, że mój znajomy mógłby kwestionować uprawnienie do przetwarzania przez firmę windykacyjną jego danych osobowych – jako, że wierzytelność uległa przedawnieniu i właśnie z tego powodu można by kwestionować celowość i adekwatność przetwarzania przez firmę windykacyjną danych osobowych. W tym celu należałoby złożyć do Generalnego Inspektora Ochrony Danych Osobowych skargę na taką firmą windykacyjną.