Skarga kasacyjna na decyzję Generalnego Inspektora Ochrony Danych Osobowych w przedmiocie przetwarzania danych osobowych
Sentencja

Naczelny Sąd Administracyjny w składzie następującym: Przewodniczący Sędzia NSA Jolanta Rajewska, Sędziowie NSA Janina Antosiewicz, , Zygmunt Zgierski (spr.), Protokolant Iwona Sadownik, po rozpoznaniu w dniu 24 maja 2006 r. na rozprawie w Izbie Ogólnoadministracyjnej skargi kasacyjnej B. S.A. z siedzibą w [...] od wyroku Wojewódzkiego Sądu Administracyjnego w Warszawie z dnia 22 lutego 2005 r. sygn. akt II SA/Wa 2030/04 w sprawie ze skargi B. S.A. na decyzję Generalnego Inspektora Ochrony Danych Osobowych z dnia [...] nr [...] w przedmiocie przetwarzania danych osobowych 1. uchyla zaskarżony wyrok i przekazuje sprawę do ponownego rozpoznania Wojewódzkiemu Sądowi Administracyjnemu w Warszawie, 2. zasądza od Generalnego Inspektora Ochrony Danych Osobowych na rzecz B. S.A. z siedzibą w [...] kwotę 280 zł. /dwieście osiemdziesiąt złotych/ tytułem zwrotu kosztów postępowania kasacyjnego.

Inne orzeczenia o symbolu:
647 Sprawy związane z ochroną danych osobowych
Inne orzeczenia z hasłem:
Dostęp do informacji publicznej
Inne orzeczenia sądu:
Naczelny Sąd Administracyjny
Inne orzeczenia ze skargą na:
Generalny Inspektor Ochrony Danych Osobowych
Uzasadnienie strona 1/10

Wyrokiem z dnia 22 lutego 2005 roku Wojewódzki Sąd Administracyjny w Warszawie oddalił skargę B. S.A. w [...] na decyzję Generalnego Inspektora Ochrony Danych Osobowych w przedmiocie przetwarzania danych osobowych.

W uzasadnieniu wyroku Sąd I instancji przytoczył następujące okoliczności faktyczne i prawne:

Decyzją z dnia [...] Generalny Inspektor Ochrony Danych Osobowych, działając na podstawie art. 12 pkt 2 i art. 18 ust. 1 pkt 1 w związku z art. 26 ust. 1 pkt 2 i pkt 4, art. 33 ust. 1 ustawy o ochronie danych osobowych, nakazał B. S.A. z siedzibą w [...] usunięcie uchybień w procesie przetwarzania danych osobowych poprzez:

1. Zaprzestanie przetwarzania danych osób, których rachunki kredytowe zostały zamknięte, od dnia, kiedy decyzja stanie się ostateczna.

2. Zapewnienie, aby system "PIK" umożliwiał udostępnienie na piśmie, w powszechnie zrozumiałej formie, treści danych o każdej osobie, której dane są przetwarzane, wraz z informacjami o dacie pierwszego wprowadzenia danych do systemu, identyfikatorze użytkownika wprowadzającego dane oraz informacjami komu, kiedy i w jakim zakresie dane zostały udostępnione, w terminie 3 miesięcy od dnia, kiedy decyzja stanie się ostateczna.

W pozostałym zakresie postępowanie umorzono.

Po rozpatrzeniu wniosku B. S.A. o ponowne rozpatrzenie sprawy w części nakazującej zaprzestania przetwarzania danych osób, których rachunki zostały zamknięte, Generalny Inspektor Ochrony Danych Osobowych decyzją z dnia [...] uchylił pkt l decyzji z dnia [...] i nakazał usunięcie uchybień w procesie przetwarzania danych osobowych poprzez zaprzestanie przetwarzania danych osób, których rachunki kredytowe zostały zamknięte w związku z uzyskaną od banku lub innej instytucji ustawowo upoważnionej do udzielania kredytów, informacją o okoliczności powodującej jego zamknięcie, od dnia kiedy decyzja stanie się ostateczna.

W uzasadnieniu decyzji wskazano, iż przepis art. 105 ust. 4 ustawy z dnia 29 sierpnia 1997 roku Prawo bankowe (Dz. U. z 2002 roku Nr 72, poz. 665 z późn. zm.), będący podstawą prawną przetwarzania danych osobowych przez B. S.A., nie określa okresów przechowywania danych osób, których rachunki zostały zamknięte ani też nie zawiera upoważnienia do jego określenia w przepisach wewnętrznych. Regulamin Zbierania i Udostępniania Informacji przez B. S.A., jako akt wewnętrzny, nie jest, stosownie do art. 87 ust. l Konstytucji RP, źródłem powszechnie obowiązującego prawa. Uznano więc, że przetwarzanie przez B. S.A. danych osób, których rachunki zostały zamknięte, przez czas określony w Regulaminie, tj. przez okres 5 lat od dnia zamknięcia rachunku dla rachunków niewykazujących zaległości powyżej 30 dni lub przez okres 7 lat od dnia zamknięcia rachunków wykazujących zaległości powyżej 30 dni oznacza, że dane te są przechowywane w postaci umożliwiającej identyfikację osób, których dotyczą, dłużej niż jest to niezbędne do osiągnięcia celu przetwarzania danych (obniżenia ryzyka kredytowego), a w konsekwencji narusza art. 26 ust. l pkt 4 ustawy o ochronie danych osobowych. GIODO uznał także, że w konsekwencji przetwarzania danych przez okres wskazany w Regulaminie naruszony został art. 47 Konstytucji, tj. prawo osoby fizycznej do ochrony danych osobowych. Podstawy prawnej do przetwarzania danych przez okres wskazany w powołanym Regulaminie nie stanowi art. 23 ust. l pkt 5 ustawy o ochronie danych osobowych, ponieważ przetwarzanie danych w oparciu o tę przesłankę nie może prowadzić do naruszenia praw i wolności osób, których dane dotyczą. W tym kontekście organ wskazał na treść art. 7 lit. f dyrektywy 95/46/WE Parlamentu Europejskiego i Rady z dnia 24 października 1995 roku w sprawie ochrony osób fizycznych w zakresie przetwarzania danych osobowych i swobodnego przepływu tych danych (DZ. Urz. WE L281 z 23 listopada 1995 r.), a także powołał orzeczenie Sądu Apelacyjnego w Gdańsku z dnia 15 marca 1996 r. (OSN z 1996 r. z. 7 - 8, poz. 31), z którego wynika, że usprawiedliwiony cel administratora danych nie może przeważać nad prawami i wolnościami jednostki. Zdaniem organu w sprawie nie znalazła także zastosowania przesłanka dopuszczalności przetwarzania danych osobowych wynikająca z art. 23 ust. l pkt 4 ustawy o ochronie danych osobowych, przyjmująca dopuszczalność przetwarzania danych w sytuacji, gdy jest to niezbędne do wykonywania określonych prawem zadań realizowanych dla dobra publicznego. Administrator danych może powołać się na tę przesłankę, gdy brak jest przepisów upoważniających go wprost do przetwarzania danych, a ze względu na konieczność wykonania określonych zdań realizowanych dla dobra publicznego dane muszą być przetwarzane bez zgody osób, których dotyczą. Przepisem upoważniającym B. S.A. do przetwarzania danych jest zaś przepis art. 105 ust. 4 Prawa bankowego, a ponadto charakter zadań nie potwierdza, że są one realizowane dla dobra publicznego, ponieważ zbiór danych prowadzi w imieniu własnym i prowadzenie to polega na odpłatnym udostępnianiu bankom i innym instytucjom ustawowo upoważnionym do udzielenia kredytów danych przetwarzanych w tym zbiorze. Organ wskazał, że ocena zasadności rozwiązań przyjętych w Regulaminie Zbierania i Udostępniania Informacji przez B. S.A. mogłaby następować na przykład w oparciu o przepisy ustawy z dnia 14 lutego 2003 roku o udostępnianiu informacji gospodarczych (Dz. U. Nr 50, poz. 424), na gruncie którego to aktu przewidziano, że w przypadku całkowitego zaspokojenia zobowiązania, jego wygaśnięcia lub odroczenia jego wykonania przedsiębiorca jest obowiązany niezwłocznie, jednak nie później niż w terminie 14 dni, zażądać od biura, któremu przekazał dane o zobowiązaniu lub o posłużeniu się cudzym dokumentem, usunięcia tych danych.

Strona 1/10
Inne orzeczenia o symbolu:
647 Sprawy związane z ochroną danych osobowych
Inne orzeczenia z hasłem:
Dostęp do informacji publicznej
Inne orzeczenia sądu:
Naczelny Sąd Administracyjny
Inne orzeczenia ze skargą na:
Generalny Inspektor Ochrony Danych Osobowych