Wyrok WSA w Warszawie z dnia 13 maja 2008 r., sygn. II SA/Wa 336/08

Wojewódzki Sąd Administracyjny w Warszawie w składzie następującym: Przewodniczący sędzia WSA Ewa Grochowska - Jung (spr.), Sędziowie sędzia WSA Janusz Walawski, sędzia WSA Przemysław Szustakiewicz, Protokolant Łukasz Bazyluk, po rozpoznaniu na rozprawie w dniu 13 maja 2008 r. sprawy ze skargi B. S.A. z siedzibą w W. na decyzję Generalnego Inspektora Ochrony Danych Osobowych z dnia [...] grudnia 2007 r. nr [...] w przedmiocie przetwarzania danych osobowych oddala skargę

Decyzją z dnia [...] grudnia 2007 r. nr [...] Generalny Inspektor Ochrony Danych Osobowych utrzymał w mocy swoją decyzję z [...] września 2007 r. nr [...].

Powyższa decyzja została podjęta w następującym stanie faktycznym i prawnym:

R. M. Z. (zwany również wnioskodawcą) wniósł w dniu 24 stycznia 2007 r. do Generalnego Inspektora Ochrony Danych Osobowych skargę na stosowanie przez B. S.A. zwane dalej B. S.A., wadliwej procedury realizacji obowiązku informacyjnego wynikającego z art. 33 ust. 1 ustawy o ochronie danych osobowych. Skarżący zarzucił B. bezprawne: żądanie złożenia wniosku o informację w trybie pozaustawowym (czyli określonym w "Regulaminie udostępniania informacji dotyczących danych osobowych przetwarzanych w zbiorze B. S.A."), pobieranie opłaty za przesłanie informacji, żądanie podania dodatkowych danych osobowych oraz złożenia niewymaganego prawem oświadczenia.

W piśmie datowanym na 14 marca 2007 r. R. M. Z. uzupełnił swoją skargę poprzez wskazanie, iż zarzuca B. S.A. oraz I. S.A. niezgodne z prawem przetwarzanie danych osobowych. I. S.A. skarżący zarzucił również brak realizacji obowiązku informacyjnego wynikającego z art. 105a ust. 3 ustawy Prawo bankowe.

Po uzyskaniu wyjaśnień od B. S.A. oraz od I. S.A. Generalny Inspektor Ochrony Danych Osobowych wydał na podstawie art. 104 § 1 i 105 ustawy z dnia 14 czerwca 1960 r. Kodeks postępowania administracyjnego (Dz. U. z 2000 r. Nr 98, poz. 1071 ze zm.) zwanej dalej k.p.a., art. 12 pkt 2, art. 18 ust. 1 pkt 2 w zw. z art. 33 i art. 23 ust. 1 pkt 2 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. z 2002 r. Nr 101, poz. 926 ze zm.), w zw. z art. 105 ust. 4 i art. 105a ust. 3, 4, 5 ustawy z dnia 29 sierpnia 1997 r. Prawo bankowe (Dz. U. z 2002 r. Nr 72, poz. 665 ze zm.), decyzję z dnia [...] września 2007 r. nr [...]. Decyzją tą organ: 1) nakazał B. S.A. z siedzibą w W. spełnienie wobec R. M. Z. obowiązku informacyjnego w zakresie wskazanym w art. 33 ust. 1 ustawy o ochronie danych osobowych, 2) umorzył postępowanie w zakresie dotyczącym niespełnienia wobec wnioskodawcy obowiązku z art. 33 ust. 1 ustawy o ochronie danych osobowych przez I. S.A. z siedzibą w W., 3) w pozostałym zakresie odmówił uwzględnienia wniosku.