Sprawa ze skargi na decyzję Generalnego Inspektora Ochrony Danych Osobowych z dnia[...] grudnia 2002 r. Nr [...] w przedmiocie przetwarzania danych osobowych
Sentencja

Wojewódzki Sąd Administracyjny w Warszawie w składzie następującym: Przewodniczący Sędzia NSA (del.) Małgorzata Jaśkowska, Sędziowie A. WSA Joanna Kube, A. WSA Andrzej Kołodziej (spr.), Protokolant Paweł Groński, po rozpoznaniu na rozprawie w dniu 27 lutego 2004 r. sprawy ze skargi L. SA na decyzję Generalnego Inspektora Ochrony Danych Osobowych z dnia[...] grudnia 2002 r. Nr [...] w przedmiocie przetwarzania danych osobowych 1. uchyla zaskarżoną decyzję oraz decyzję ją poprzedzającą z dnia [...]października 2002 r. nr [....] 2. zasadza od Generalnego Inspektora Ochrony Danych Osobowych na rzecz N.S.A. z siedzibą w G. kwotę 265 zł (dwieście sześćdziesiąt pięć złotych) tytułem zwrotu kosztów postępowania sądowego 3. zaskarżona decyzja nie podlega wykonaniu w całości

Uzasadnienie strona 1/7

Generalny Inspektor Ochrony Danych Osobowych decyzją z dnia [...] października 2002 r. nr [...] nakazał L. S.A. z siedzibą w L. przywrócenie stanu zgodnego z prawem w procesie przetwarzania danych osobowych kredytobiorców, poprzez zaprzestanie zbierania, uzyskanych w wyniku kopiowania dowodów osobistych, danych osobowych, w zakresie: - imiona rodziców,

- wizerunek

- rysopis

- nieaktualne adresy zamieszkania

W uzasadnieniu decyzji GIODO podał, że uzyskał informację, że L. S.A. z siedzibą w L. przetwarza dane osobowe kredytobiorców w zakresie: imiona rodziców, wizerunek, rysopis oraz nieaktualne adresy zamieszkania. Bank żąda od osób występujących do niego z wnioskiem o udzielenie kredytu złożenia również kilku innych dokumentów, w tym kopii dowodu osobistego wraz ze zdjęciem a kopie te są następnie przez Bank przechowywane.

W toku postępowania administracyjnego GIODO ustalił, iż:

1. Bank zbiera od kredytobiorców dane osobowe poprzez wnioski o udzielenie kredytu, w zakresie: imię, nazwisko, nazwisko rodowe, obywatelstwo, numer PESEL, stan cywilny, data urodzenia (dzień, miesiąc, rok), seria i numer dowodu osobistego, wykształcenie oraz adres zamieszkania.

2. Poprzez kopiowanie stron dowodów osobistych Bank zbiera od kredytobiorców także dane osobowe, w zakresie: imiona rodziców, wizerunek, rysopis oraz nieaktualne adresy zamieszkania.

3. W L. S.A. obowiązuje określona procedura przyjmowania i weryfikacji dokumentów służących do badania zdolności kredytowej, stworzona po części na podstawie negatywnych doświadczeń Banku na skutek nieprawidłowej oceny zdolności kredytowej. Dane zawarte w dokumentach tożsamości wykorzystywane są do prawidłowego sporządzenia umowy kredytowej i dokumentów związanych z prawnym zabezpieczeniem kredytu oraz analizy sytuacji klientów, zdjęcie natomiast umożliwia identyfikację klienta i stwierdzenie, czy osoba dysponująca tymi dokumentami nie weszła w ich posiadanie na drodze kradzieży.

4. Posiadanie przez Bank kserokopii stron dowodu zawierających m.in. wizerunek pozwala stwierdzić, w szczególności w sytuacji, gdy kredyt nie jest spłacony, jakiej osobie kredyt został wypłacony i czy pracownik banku obsługujący klienta nie był w zmowie z osobą, która wyłudziła kredyt.

5. Na podstawie art. 105 Prawa bankowego Bank wielokrotnie udzielał informacji na potrzeby postępowań karnych a do udzielenia prawidłowej i pełnej informacji potrzeba szczegółowych informacji dotyczących osób fizycznych.

6. Przetwarzanie danych osobowych w zakresie rysopisu, imion ojca i matki, wizerunku jest dopuszczalne, zdaniem Banku bowiem jest niezbędne do realizacji celów statutowych i w żaden sposób nie narusza praw i wolności osoby, której dane dotyczą.

Zdaniem GIODO główne zasady postępowania przy przetwarzaniu danych wyznacza art. 26 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. z 2002 r. Nr 101, poz. 926) i ujmuje je w formę podstawowych obowiązków, które powinien spełnić administrator danych. Nadrzędną powinnością każdego administratora danych jest dołożenie szczególnej staranności w celu ochrony interesu osób, których dane dotyczą (art. 26 ust. 1 ustawy). Ponadto administrator danych jest obowiązany zapewnić, aby dane te były przetwarzane zgodnie z prawem (art. 26 ust 1 pkt 1) oraz merytorycznie poprawne i adekwatne do celów, w jakich są przetwarzane (art. 23 ust. 1 pkt 3).

Strona 1/7