Wyrok WSA w Warszawie z dnia 23 maja 2007 r., sygn. II SA/Wa 282/07

Wojewódzki Sąd Administracyjny w Warszawie w składzie następującym: Przewodniczący Sędzia WSA - Andrzej Kołodziej Asesor WSA - Agnieszka Miernik Sędzia WSA - Stanisław Marek Pietras (spraw.) Protokolant - Anna Siwonia po rozpoznaniu na rozprawie w dniu 23 maja 2007 r. sprawy ze skargi J. M. na decyzję Generalnego Inspektora Ochrony Danych Osobowych z dnia [...] r. nr [...] w przedmiocie odmowy uwzględnienia wniosku w zakresie przetwarzania danych osobowych - oddala skargę

Generalny Inspektor Ochrony Danych Osobowych decyzją z dnia [...] nr [...], działając na podstawie art. 12 pkt 2 i art. 23 ust. 1 pkt 1, 2 i 5 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (tekst jedn. z 2002 r. Dz. U. Nr 101, poz. 926 ze zm.), odmówił uwzględnienia wniosku J. M. w przedmiocie przechowywania przez B. S.A. z siedzibą w W. jego danych osobowych. W uzasadnieniu podał, że w dniu 4 czerwca 2001 r. skarżący wypełnił wniosek internetowy o otwarcie rachunku oszczędnościowego w [...], który zawierał klauzulę zgody na przetwarzanie danych osobowych w celach promocji i marketingu działalności prowadzonej przez bank, w tym świadczonych usług oraz oferowanych produktów, na co wyraził zgodę. W tej sytuacji Bank przesłał mu umowę prowadzenia rachunku oszczędnościowego, jednakże skarżący nie odesłał podpisanego egzemplarza powyższej umowy. W dniu 7 listopada 2005 r. skarżący wypełnił kolejny wniosek o otwarcie rachunku oszczędnościowego, przy czym w klauzuli dotyczącej przetwarzanie danych osobowych, wyraził na to zgodę i podobnie jak wyżej po otrzymaniu umowy z Banku, nie odesłał podpisanego egzemplarza. Po rozpoznaniu pisma skarżącego z dnia 18 listopada 2005 r., Bank pismem z dnia 21 listopada 2005 r. odpowiedział, że jego dane osobowe znajdują się w bazie banku od dnia 7 czerwca 2001 r. i po kolejnym piśmie skarżącego z dnia 8 grudnia 2005 r. z pytaniem, na jakiej podstawie prawnej Bank w dalszym ciągu przetwarza jego dane osobowe, w dniu 12 grudnia 2005 r. Bank pisemnie oświadczył, że jeżeli życzy on sobie usunięcia jego danych osobowych z bazy Banku i zaprzestania ich przetwarzania, to konieczna jest jego pisemna informacja potwierdzona własnoręcznym podpisem, do czego skarżący nie ustosunkował się. Następnie w dniu 26 kwietnia 2006 r. Bank przesłał skarżącemu kopie wniosków o otwarcie rachunku bankowego złożonych w podanych już wyżej terminach oraz kopie umów o otwarcie rachunków oszczędnościowych określających cel, zakres i sposób przetwarzania danych oraz sposób ich udostępniania, przy czym ponownie zwrócił się do niego o pisemną informację, czy życzy sobie usunięcia jego danych z bazy Banku, na co skarżący ponownie nie odpowiedział. W trakcie prowadzonego postępowania wyjaśniającego ustalono, że dane skarżącego są przetwarzane w celu zawarcia umowy o prowadzenie rachunku bankowego na podstawie art. 23 ust. 1 pkt 3 cytowanej już wyżej ustawy o ochronie danych osobowych, Jak następnie wyjaśnił Bank, powyższych danych nie usunięto z bazy, bowiem jak wynika z praktyki klienci po dłuższym okresie czasu przesyłają podpisane umowy o prowadzenie rachunku bankowego i przyznał dalej, że w przepisach wewnętrznych nie zostały określone daty usuwania danych osobowych z bazy danych i rozważa się wprowadzenie procedury obowiązkowego usuwania danych przyszłych klientów po okresie 3 5 lat, od złożenia wniosku i niepodpisania do tego czasu umowy o rachunek bankowy. Ponadto Bank dodał, że dane osobowe klientów, którzy wypełnili wniosek o rachunek, a nie odesłali podpisanej umowy, są usuwane niezwłocznie po oświadczeniu klienta, iż odstępuje on od zawarcia umowy o rachunek bankowy, bądź w razie złożenia wniosku o usunięcie jego danych, a takiej dyspozycji bank nie otrzymał od skarżącego. W dalszej części uzasadnienia organ stwierdził, że podstawowym obowiązkiem każdego administratora danych jest spełnienie jednej z przesłanek ich przetwarzania, o których mowa w art. 23 ust. 1 ustawy i które odnoszą się do wszelkich form przetwarzania danych, wymienionych w art. 7 pkt 2 ustawy, w tym do ich przetwarzania. Zgodnie natomiast z treścią art. 23 ust. 1, przetwarzanie danych osobowych jest dopuszczalne m.in. wówczas, gdy osoba, której dane dotyczą, wyrazi na to zgodę (pkt 1), gdy jest to konieczne do realizacji umowy, gdy osoba, której dane dotyczą, jest jej stroną lub gdy jest to niezbędne do podjęcia działań przed zawarciem umowy na żądanie osoby, której dane dotyczą (pkt 3) oraz gdy jest to niezbędne dla wypełnienia prawnie usprawiedliwionych celów realizowanych przez administratorów danych albo odbiorców danych, a przetwarzanie nie narusza praw i wolności osoby, której dane dotyczą (pkt 5), przy czym, stosownie do treści art. 23 ust. 4, za prawnie usprawiedliwiony cel, o którym mowa w ust. 1 pkt 5, uważa się w szczególności marketing bezpośredni własnych produktów lub usług administratora danych. W rozpoznawanej sprawie nie można się zgodzić ze stanowiskiem Banku, że dane skarżącego zawarte we wniosku o otwarcie rachunku bankowego były przetwarzane na podstawie art. 23 ust. 1 pkt 3, bowiem Bank w żaden sposób nie wykazał, że tak długi okres przechowywania danych osobowych skarżącego jest niezbędny do realizacji wskazanego w tym przepisie celu. Z zasady ograniczenia czasowego, a wyrażonej w art. 26 ust. 1 pkt 4 ustawy wynika, że w sytuacji, kiedy administrator stwierdzi, iż umowa z wnioskodawcą nie zostanie zawarta, jego dane nie powinny być zbierane na zapas, tj. na wypadek wyrażenia przez potencjalnego klienta woli zawarcia umowy. Jednakże w rozpoznawanej sprawie nie można nakazać usunięcia danych bankowi, ponieważ nie ulega wątpliwości, że skarżący we wniosku wypełnionym w czerwcu 2001 r., wyraził zgodę na "na przetwarzanie przez [...] moich danych osobowych w celach promocji i marketingu działalności prowadzonej przez [...] w tym świadczonych usług oraz oferowanych produktów", co wypełnia przesłankę zawartą w art. 23 ust. 1 pkt 1 ustawy. Do przetwarzania danych osobowych skarżącego [...] był również uprawniony na podstawie art. 23 ust. 1 pkt 5 ustawy, bowiem dla uznania jej spełnienia, konieczne jest przede wszystkim, aby przetwarzanie danych nie naruszało praw i wolności osoby, której dane dotyczą. Z kolei zgodnie z art. 32 ust. 1 ustawy, każdej osobie przysługuje prawo do kontroli przetwarzania danych, które jej dotyczą, zawartych w zbiorach danych, a zwłaszcza prawo do wniesienia, w przypadkach wymienionych w art. 23 ust. 1 pkt 4 i 5, pisemnego, umotywowanego żądania zaprzestania przetwarzania jej danych ze względu na jej szczególną sytuację (pkt 7) oraz prawo do wniesienia sprzeciwu wobec przetwarzania jej danych w przypadkach, wymienionych w art. 23 ust. 1 pkt 4 i 5, gdy administrator danych zamierza je przetwarzać w celach marketingowych lub wobec przekazywania jej danych osobowych innemu administratorowi danych (pkt 8). Stosownie zaś do treści art. 32 ust. 2, w przypadku wniesienia żądania, o którym mowa w ust. 1 pkt 7, administrator danych zaprzestaje przetwarzania kwestionowanych danych osobowych albo bez zbędnej zwłoki przekazuje żądanie Generalnemu Inspektorowi, który wydaje stosowną decyzję. Natomiast według art. 32 ust. 3 ustawy, w razie wniesienia sprzeciwu, o którym mowa ust. 1 pkt 8, dalsze przetwarzanie kwestionowanych danych jest niedopuszczalne. Administrator danych może jednak pozostawić w zbiorze imię lub imiona i nazwisko osoby oraz numer PESEL lub adres wyłącznie w celu uniknięcia ponownego wykorzystania danych tej osoby w celach objętych sprzeciwem. W rozpoznawanej zaś sprawie, skarżący nie zwrócił się do [...] z powyższymi roszczeniami, a ponadto [...] dwukrotnie informował skarżącego o możliwości usunięcia jego danych, na co wymieniony nie odpowiedział. Niezależnie od powyższego organ zauważył, że dane skarżącego zawarte we wnioskach, mogą być przetwarzane przez Bank w celach archiwalnych na podstawie przepisów ustawy z dnia 29 września 1994 r. o rachunkowości (tekst jedn. z 2002 r. Dz. U. Nr 76, poz. 694 ze zm.) i rozporządzenia Ministra Finansów z dnia 10 grudnia 2001 r. w sprawie szczególnych zasad rachunkowości banków (Dz. U. Nr 149, poz. 1673 ze zm.), co jest zgodne z treścią art. 23 ust. 1 pkt 2 ustawy o ochronie danych osobowych. W myśl § 32 ust. 1 cytowanego rozporządzenia, bank przestrzega zasad dotyczących przechowywania i ochrony danych określonych w przepisach art. 71 ustawy o rachunkowości i odrębnych przepisach, z zastrzeżeniem ust. 2 (bank przechowuje dowody księgowe w oryginalnej postaci przez okres wynikający z przepisu art. 74 ustawy o rachunkowości). Natomiast stosownie do treści art. 71 ustawy o rachunkowości, dokumentację, o której mowa w art. 10 ust. 1, księgi rachunkowe, dowody księgowe, dokumenty inwentaryzacyjne i sprawozdania finansowe, zwane dalej także "zbiorami", należy przechowywać w należyty sposób i chronić przed niedozwolonymi zmianami, nieupoważnionym rozpowszechnianiem, uszkodzeniem lub zniszczeniem. Z kolei według art. 74 ust. 2 pkt 8, pozostałe zbiory, poza rocznymi sprawozdaniami finansowymi (ust.1), przechowuje się co najmniej przez okres 5 lat, a w przypadku pozostałych dokumentów, nie wymienionych w pkt 1-7, okres ten oblicza się, stosownie do treści ust. 3, od początku roku następującego po roku obrotowym, którego dane zbiory dotyczą. W konsekwencji zdaniem organu proces przetwarzania danych przez Bank danych skarżącego w celach archiwalnych przez okres wyżej wskazany, jest zgodny z obowiązującymi przepisami.