Wyrok NSA z dnia 25 listopada 2008 r., sygn. I OSK 1743/07
Naczelny Sąd Administracyjny w składzie: Przewodniczący: Sędzia NSA Anna Łuczaj Sędziowie NSA Barbara Adamiak (spr.) del. WSA Aleksandra Łaskarzewska Protokolant Michał Zawadzki po rozpoznaniu w dniu 25 listopada 2008r. na rozprawie w Izbie Ogólnoadministracyjnej skargi kasacyjnej J. M. od wyroku Wojewódzkiego Sądu Administracyjnego w Warszawie z dnia 23 maja 2007 r. sygn. akt II SA/Wa 282/07 w sprawie ze skargi J. M. na decyzję Generalnego Inspektora Ochrony Danych Osobowych z dnia [...] grudnia 2006 r. nr [...] w przedmiocie przetwarzania danych osobowych 1. uchyla zaskarżony wyrok i decyzję Generalnego Inspektora Ochrony Danych Osobowych z dnia [...] grudnia 2006r. nr [...] oraz poprzedzającą ją decyzję Generalnego Inspektora Ochrony Danych Osobowych z dnia [...] sierpnia 2006 roku nr [...]; 2. zasądza od Generalnego Inspektora Ochrony Danych Osobowych na rzecz J. M. kwotę 500 (pięćset) złotych tytułem zwrotu kosztów postępowania za obie instancje
Uzasadnienie
Generalny Inspektor Ochrony Danych Osobowych decyzją z dnia [...] sierpnia 2006 r. nr [...] wydaną na podstawie art. 12 pkt 2 i art. 23 ust. 1 pkt 1, 2 i 5 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (tekst jedn. Dz. U. z 2002 r. Nr 101, poz. 926 ze zm.), odmówił uwzględnienia wniosku J. M. w przedmiocie przechowywania przez [...] Bank S.A. z siedzibą w W. jego danych osobowych. W uzasadnieniu podał, że w dniu [...] czerwca 2001 r. skarżący wypełnił wniosek internetowy o otwarcie rachunku oszczędnościowego w [...] Banku, który zawierał klauzulę zgody na przetwarzanie danych osobowych w celach promocji i marketingu działalności prowadzonej przez bank, w tym świadczonych usług oraz oferowanych produktów, na co wyraził zgodę. W tej sytuacji Bank przesłał mu umowę prowadzenia rachunku oszczędnościowego, jednakże skarżący nie odesłał podpisanego egzemplarza powyższej umowy. W dniu [...] listopada 2005 r. skarżący wypełnił kolejny wniosek o otwarcie rachunku oszczędnościowego, przy czym w klauzuli dotyczącej przetwarzanie danych osobowych, wyraził na to zgodę i - podobnie jak wyżej - po otrzymaniu urnowy z Banku, nie odesłał podpisanego egzemplarza. Po rozpoznaniu pisma skarżącego z dnia [...] listopada 2005 r., Bank pismem z dnia [...] listopada 2005 r. odpowiedział, że jego dane osobowe znajdują się w bazie banku od dnia [...] czerwca 2001 r. i po kolejnym piśmie skarżącego z dnia [...] grudnia 2005 r. z pytaniem, na jakiej podstawie prawnej Bank w dalszym ciągu przetwarza jego dane osobowe, w dniu [...] grudnia 2005 r. Bank pisemnie oświadczył, że jeżeli życzy on sobie usunięcia jego danych osobowych z bazy Banku i zaprzestania ich przetwarzania, to konieczna jest jego pisemna informacja potwierdzona własnoręcznym podpisem, do czego skarżący nie ustosunkował się. Następnie w dniu [...] kwietnia 2006 r. Bank przesłał skarżącemu kopie wniosków o otwarcie rachunku bankowego złożonych w podanych już wyżej terminach oraz kopie umów o otwarcie rachunków oszczędnościowych określających cel, zakres i sposób przetwarzania danych oraz sposób ich udostępniania, przy czym ponownie zwrócił się do niego o pisemną informację, czy życzy sobie usunięcia jego danych z bazy Banku, na co skarżący ponownie nie odpowiedział. W trakcie prowadzonego postępowania wyjaśniającego ustalono, że dane skarżącego są przetwarzane w celu zawarcia umowy o prowadzenie rachunku bankowego na podstawie art. 23 ust. 1 pkt 3 powołanej ustawy o ochronie danych osobowych. Jak następnie wyjaśnił Bank, powyższych danych nie usunięto z bazy, bowiem - jak wynika z praktyki - klienci po dłuższym okresie czasu przesyłają podpisane umowy o prowadzenie rachunku bankowego i przyznał dalej, że w przepisach wewnętrznych nie zostały określone daty usuwania danych osobowych z bazy danych i rozważa się wprowadzenie procedury obowiązkowego usuwania danych przyszłych klientów po okresie 3-5 lat, od złożenia wniosku i niepodpisania do tego czasu umowy o rachunek bankowy. Ponadto Bank dodał, że dane osobowe klientów, którzy wypełnili wniosek o rachunek, a nie odesłali podpisanej umowy, są usuwane niezwłocznie po oświadczeniu klienta, że odstępuje on od zawarcia umowy o rachunek bankowy, bądź w razie złożenia wniosku o usunięcie jego danych, a takiej dyspozycji bank nie otrzymał od skarżącego. W rozpoznawanej sprawie nie można się zgodzić ze stanowiskiem Banku, że dane skarżącego zawarte we wniosku o otwarcie rachunku bankowego były przetwarzane na podstawie art. 23 ust. 1 pkt 3, bowiem Bank w żaden sposób nie wykazał, że tak długi okres przechowywania danych osobowych skarżącego jest niezbędny do realizacji wskazanego w tym przepisie celu. Z zasady ograniczenia czasowego, a wyrażonej w art. 26 ust. 1 pkt 4 ustawy wynika, że w sytuacji, kiedy administrator stwierdzi, że umowa z wnioskodawcą nie zostanie zawarta, jego dane nie powinny być zbierane na zapas, tj. na wypadek wyrażenia przez potencjalnego klienta woli zawarcia umowy. Jednakże w rozpoznawanej sprawie nie można nakazać usunięcia danych bankowi, ponieważ nie ulega wątpliwości, że skarżący we wniosku wypełnionym w czerwcu 2001 r. wyraził zgodę na "na przetwarzanie przez [...] Bank moich danych osobowych w celach promocji i marketingu działalności prowadzonej przez [...] Bank w tym świadczonych usług oraz oferowanych produktów", co wypełnia przesłankę zawartą w art. 23 ust. 1 pkt 1 ustawy. Do przetwarzania danych osobowych skarżącego [...] Bank był również uprawniony na podstawie art. 23 ust. 1 pkt 5 ustawy, bowiem dla uznania jej spełnienia, konieczne jest przede wszystkim, aby przetwarzanie danych nie naruszało praw i wolności osoby, której dane dotyczą. Z kolei zgodnie z art. 32 ust. 1 ustawy, każdej osobie przysługuje prawo do kontroli przetwarzania danych, które jej dotyczą, zawartych w zbiorach danych, a zwłaszcza prawo do wniesienia, w przypadkach wymienionych w art. 23 ust. 1 pkt 4 i 5, pisemnego, umotywowanego żądania zaprzestania przetwarzania jej danych ze względu na jej szczególną sytuację (pkt 7) oraz prawo do wniesienia sprzeciwu wobec przetwarzania jej danych w przypadkach, wymienionych w art. 23 ust. 1 pkt 4 i 5, gdy administrator danych zamierza je przetwarzać w celach marketingowych lub wobec przekazywania jej danych osobowych innemu administratorowi danych (pkt 8). Stosownie zaś do treści art. 32 ust. 2, w przypadku wniesienia żądania, o którym mowa w ust. 1 pkt 7, administrator danych zaprzestaje przetwarzania kwestionowanych danych osobowych albo bez zbędnej zwłoki przekazuje żądanie Generalnemu Inspektorowi, który wydaje stosowną decyzję. Natomiast według art. 32 ust. 3 ustawy, w razie wniesienia sprzeciwu, o którym mowa ust. 1 pkt 8, dalsze przetwarzanie kwestionowanych danych jest niedopuszczalne. Administrator danych może jednak pozostawić w zbiorze imię lub imiona i nazwisko osoby oraz numer PESEL lub adres wyłącznie w celu uniknięcia ponownego wykorzystania danych tej osoby w celach objętych sprzeciwem. W rozpoznawanej zaś sprawie, skarżący nie zwrócił się do [...] Banku z powyższymi roszczeniami, a ponadto [...] Bank dwukrotnie informował skarżącego o możliwości usunięcia jego danych, na co wymieniony nie odpowiedział.
Już dziś zamów dostęp
do IFK Platforma Księgowych i Kadrowych
- Codzienne aktualności prawne
- Porady i artykuły z najpopularniejszych czasopism INFOR wraz z bieżącymi wydaniami
- Bogatą bibliotekę materiałów wideo
- Merytoryczne dodatki, ściągi, plakaty
