NSA wskazuje podstawę przetwarzania danych w rejestrze ZBP

Naczelny Sąd Administracyjny wydał bardzo istotny wyrok, w którym oddalił skargę kasacyjną pewnego Obywatela. Sąd stwierdził, że uznanie zasadności twierdzeń skarżącej kasacyjnie prowadziłoby w istocie do zaakceptowania sytuacji, w której nierzetelny klient banku mógłby celowo nie odbierać prawidłowo kierowanej do niego korespondencji, aby uniknąć negatywnych skutków w postaci przetwarzania jego danych osobowych bez jego zgody, po wygaśnięciu zobowiązania wynikającego z umowy zawartej z bankiem.

Sprawa – jak wiele setek rozpoznawanych przez NSA, a wcześniej WSA – dotyczy tego czy Bank poinformował klienta o tym, że zamierza przetwarzać dane osobowe po wygaśnięciu zobowiązania wynikającego z umowy zawartej z bankiem bez zgody takie osoby, gdy osoba ta nie wykonała zobowiązania lub dopuściła się zwłoki powyżej 60 dni w spełnieniu świadczenia wynikającego z umowy zawartej z bankiem, a po zaistnieniu tych okoliczności upłynęło co najmniej 30 dni od poinformowania tej osoby przez bank o zamiarze przetwarzania dotyczących jej tych informacji, bez jej zgody.

Obywatel ten złożył skargę do Prezesa UODO na takie przetwarzanie jego danych osobowych.

Prezes UODO we wrześniu 2021 r. odmówił uwzględnienia skargi “dotyczącej nieprawidłowości w przetwarzaniu jej danych osobowych przez G., zwany dalej “Bankiem”, polegające na ich udostępnieniu – bez podstawy prawnej – do Centralnej Bazy Danych – Bankowy Rejestr, zwanej dalej “Rejestrem”, prowadzonej przez Związek Banków Polskich, zwany dalej “Związkiem”.

Aktualności Plus 360 dni
599
 PLN z VAT
  • Zapoznaj się z argumentacją Urzędu, Sądu czy Trybunału
  • Fachowe i czytelne podsumowanie omawianego orzeczenia
  • Dostęp do wszystkich aktualności na stronie
  • Jako pierwszy masz dostęp do ważnych argumentów
Wybieram
Aktualności Plus 30 dni
Przez 30 dni masz dostęp do najnowszych aktualności z RODO
49.99
 PLN z VAT
  • Pierwszy zapoznasz się z argumentacją Urzędu, Sądu czy Trybunału – nie czekaj na podsumowania miesiąca, które wpada do spamu
  • Każda aktualność to fachowe i czytelne podsumowanie omawianego orzeczenia, decyzji czy wytycznych wraz z dostępem do jego treści w serwisie Judykatura.pl
  • Jedno miejsce, w którym zapoznasz się z najważniejszymi argumentami orzeczenia oraz z jego treścią niezależnie od tego, z jakiego źródła ono pochodzi
  • Utrzymaj zgodność z RODO dzięki byciu na bieżąco z orzecznictwem RODO
Wybieram
Wyszukiwarka Plus 360 dni
2899
 PLN z VAT
  • Dostęp do Wyszukiwarka 360 Dni
  • Dostęp do Aktualności Plus 360 Dni
  • 3 konsultacje RODO w ramach subskrypcji
Wybieram

WSA w Warszawie oddalił w kwietniu 2022 r. skargę na tę decyzję wskazując, że:

Wbrew twierdzeniom Wnioskodawcy, w świetle zgromadzonego przez organ materiału dowodowego nie mogą budzić wątpliwości istotne uwarunkowania faktyczne sprawy. Zasadnie organ dał wiarę zapewnieniom Banku – jako podmiotu prowadzącego profesjonalnie działalność w zakresie usług finansowych – że przesyłka, której próby doręczenia znajdują potwierdzenie w stosownych dokumentach, zawierała także zawiadomienie dla Wnioskodawcy – wymagane w myśl art. 105 § 3 ustawy – Prawo bankowe. Brak było podstaw dla zakwestionowania tego twierdzenia. Zwłaszcza, gdy Wnioskodawca nawet uprawdopodobnił, aby tak nie było. Wszak danej przesyłki nawet nie podjął.

Wykracza to poza granice danej sprawy, gdzie wyspecjalizowany w kwestii ochrony danych osobowych organ ustala wyłącznie, czy w granicach prawa przetwarzane są dane osobowe klientów określonego banku, względem których podmiot ten pozostaje w stosunku umownym bądź przetwarzanie to może wynikać z innych podstaw prawnych np. uprzedniego braku terminowego realizowania należności, gdy umowy już wygasły.

Nie może być natomiast rolą danego wyspecjalizowanego organu ustalanie, czy Bank prawidłowo ocenił istnienie zobowiązania bądź jego wysokość na określony dzień. Kwestie te mogą być wyłącznie przedmiotem sporów, rozstrzyganych w trybie cywilnym przez sądy powszechne.

Chybione są też wywody skargi, gdzie wadliwość oceny stanu prawnego przez organ upatrywano w powoływanej okoliczności, że – na dzień przesłania Wnioskodawcy zawiadomienia o zamiarze przetwarzania jego danych – nie była jeszcze – od 60 dni – wymagana cała należność, powstała w następstwie wypowiedzenia umowy. Przepis, stanowiący podstawę przetwarzania przez okres pięcioletni danych wierzyciela bez jego zgody, gdy nie reguluje on należności, nie dotyczy wyłącznie tych, powstałych dopiero po rozwiązaniu umowy. W sprawie – wedle danych Banku – Wnioskodawca nie regulował rat. Upoważniało to danego wierzyciela – po upływie okresów zakreślonych w art. 105a § 3 ustawy – Prawo bankowe (odpowiednio 60 i 30 dni) – do przetwarzania danych byłego dłużnika pomimo wygaśnięcia umowy – jako nie regulującego terminowo należności.

Podając swój adres e-mail oraz zatwierdzając zapis do newslettera wyrażasz zgodę na otrzymywanie od Piotra Liwszica informacji marketingowych. Zgodę możesz wycofać w każdym czasie wysyłając e-mail na adres kontakt@judykatura.pl. Administratorem danych jest Piotr Liwszic prowadzący działalność gospodarczą jawneprzezpoufne Piotr Liwszic z siedzibą przy ul. Grzybowskiej 43, 00-855 Warszawa, NIP- 521-332-36-17. Dane osobowe przetwarzane są w celu przesyłania informacji marketingowych. Więcej informacji o przetwarzaniu danych osobowych, w tym o przysługujących Państwu prawach, znajduje się w Polityce prywatności

NSA w czerwcu 2024 r. oddalił skargę kasacyjną podnosząc, że:

Zaskarżoną decyzją wydaną na podstawie art. 104 § 1 k.p.a., art. 6 ust. 1 lit. f RODO, w zw. z art. 105a ust. 3 Prawo bankowe, organ, po przeprowadzeniu postępowania administracyjnego w sprawie ze skargi w przedmiocie nieprawidłowości w procesie przetwarzania danych osobowych skarżącej przez G. S.A. (dalej “bank”), polegających na udostępnieniu danych osobowych skarżącej do bazy Bankowy Rejestr, prowadzonej przez Związek […] z siedzibą w […], bez podstawy prawnej odmówił jej uwzględnienia.

Bank poinformował skarżącą, że z uwagi na nieterminowe wywiązywanie się z postanowień wynikających z umowy kredytowej nr […], a tym samym wystąpieniem przesłanek określonych w art. 105a ust. 3 Prawa bankowego, bank może przetwarzać dane osobowe skarżącej w SBR, a fakt całkowitej spłaty zobowiązania nie jest podstawą do usunięcia wpisu z ww. rejestru, gdyż w myśl art. 105a ust. 5 dane te mogą być wykorzystywanie bez zgody skarżącej przez okres 5 lat od dnia wygaśnięcia zobowiązania.

Opisanym na wstępie wyrokiem Sąd pierwszej instancji oddalił skargę na podstawie art. 151 ustawy z dnia 30 sierpnia 2002 r. – Prawo o postępowaniu przed sądami administracyjnymi (tekst jedn. Dz. U. z 2022 r., poz. 329 ze zm.), dalej jako “P.p.s.a.” uznając, że zaskarżone rozstrzygnięcie nie narusza prawa

Mając na uwadze powyższe zapatrywania podzielić jednakże należy generalne stanowisko, iż przy analizie przepisu art. 105a ust. 3 ustawy – Prawo bankowe nie powinno się także abstrahować od istoty (celu) wprowadzenia instytucji przetwarzania danych osobowych dłużnika bez jego zgody na mocy tego przepisu ustawy. Ustawodawca w treści wskazanego przepisu odniósł się bowiem do kwestii przetwarzania danych nierzetelnych dłużników, to jest osób, które pomimo zaciągnięcia określonego zobowiązania wobec banku, nie wywiązują się z umowy i nie spłacają swojego zobowiązania, chroniąc w ten sposób inne podmioty przed wyłudzaniem kolejnych pożyczek, a także pośrednio – rzetelnych kredytobiorców.

Przy takiej wykładni, sformułowanie użyte w przepisie art. 105a ust. 3 ustawy – Prawo bankowe, dotyczące obowiązku informacyjnego banku, musi więc oznaczać, że nie jest to tylko obowiązek formalny. Jakkolwiek ustawodawca w żaden sposób nie ograniczył sposobów i form takiego powiadomienia, to sposób ten powinien umożliwić zweryfikowanie faktu wykonania przez bank obowiązku poinformowania klienta banku o zamierzonym przetwarzaniu jego danych osobowych.

Jak wskazano w orzecznictwie (zob. przywołany wyrok Naczelnego Sądu Administracyjnego z dnia 16 stycznia 2024 r.; sygn. akt III OSK 3233/21) “poinformowanie” może nastąpić np. osobiście w placówce banku lub innego podmiotu wymienionego w art. 105a ust. 3 Prawa bankowego, poprzez przesyłkę doręczaną listownie lub przez pracownika banku albo innego uprawnionego podmiotu, a nawet nie można również wykluczyć możliwości skierowania takiej informacji drogą elektroniczną (o ile strony w zawartej umowie taką formę korespondencji przewidziały przez bank w tym zakresie z podmiotem zewnętrznym).

Z akt wynika, że bank podjął działania zmierzające do zrealizowania tego obowiązku wysyłając pismo ze stosowną informacją (za zwrotnym potwierdzeniem odbioru) na podany przez skarżącą kasacyjnie (widniejący w umowie kredytowej) adres do korespondencji, którego to pisma skarżąca kasacyjnie – pomimo możliwości w tym zakresie – nie odebrała.

Skoro przesyłka miała charakter rejestrowany przyjąć należy, że bank dysponuje dowodem na przekazanie skarżącej kasacyjnie informacji o zamiarze przetwarzania jej danych osobowych bez jej zgody, który to dowód w świetle art. 17 ustawy dnia 23 listopada 2012 r. – Prawo pocztowe (obecny publikator: Dz. U. z 2023 r., poz. 1640 ze zm.) ma walor dokumentu urzędowego.

Za prawidłowe uznać należy zapatrywanie przedstawione przez organ w odpowiedzi na skargę kasacyjną, że uznanie zasadności twierdzeń skarżącej kasacyjnie prowadziłoby w istocie do zaakceptowania sytuacji, w której nierzetelny klient banku mógłby celowo nie odbierać prawidłowo kierowanej do niego korespondencji, aby uniknąć negatywnych skutków w postaci przetwarzania jego danych osobowych bez jego zgody, po wygaśnięciu zobowiązania wynikającego z umowy zawartej z bankiem.

Aktualności Plus 360 dni
599
 PLN z VAT
  • Zapoznaj się z argumentacją Urzędu, Sądu czy Trybunału
  • Fachowe i czytelne podsumowanie omawianego orzeczenia
  • Dostęp do wszystkich aktualności na stronie
  • Jako pierwszy masz dostęp do ważnych argumentów
Wybieram
Wyszukiwarka Plus 360 dni
2899
 PLN z VAT
  • Dostęp do Wyszukiwarka 360 Dni
  • Dostęp do Aktualności Plus 360 Dni
  • 3 konsultacje RODO w ramach subskrypcji
Wybieram
Wyszukiwarka 360 dni
2365
 PLN z VAT
  • Baza Orzeczeń Sądów i Trybunałów
  • Eksperckie tezy wybranych orzeczeń
  • Decyzje Prezesa UODO
  • Decyzje Europejskich Organów Nadzorczych
  • Wytyczne i Opinie EDPB oraz EDPS
  • Źródło argumentów w postępowaniu administracyjnym
Wybieram

Ponad 2000 orzeczeń o Ochronie Danych Osobowych (RODO). Codzienna aktualizacja bazy orzeczeń.

Teraz zamawiasz Szkolenie RODO - Inspektor Ochrony Danych.  Nie musisz podawać karty płatniczej. Wystarczy, że wypełnisz formularz a na podany adres e-mail otrzymasz fakturę VAT do opłacenia. Ważne: Dopiero po zaksięgowaniu płatności – system utworzy konto użytkownika oraz uruchomi subskrypcję. Dopiero od tego momentu rozpoczyna się okres Subskrypcji.


    Administratorem Pani/Pana danych osobowych jest Piotr Liwszic prowadzący działalność gospodarczą jawneprzezpoufne Piotr Liwszic z siedzibą przy ul. Grzybowskiej 43, 00-855 Warszawa, NIP: 521-332-36-17, tel: (+48) 721 621 299, email: kontakt@judykatura.pl. Dane osobowe będą przetwarzane w celu realizacji dostępu do serwisu. Każdej osobie przysługuje prawo dostępu do swoich danych osobowych, ich sprostowania, usunięcia, ograniczenia przetwarzania, przenoszenia, wniesienia sprzeciwu wobec ich przetwarzania oraz wniesienia skargi do Prezesa Urzędu Ochrony Danych Osobowych. Więcej informacji na temat przetwarzania Państwa danych osobowych dostępne jest w polityce prywatności.

    Co istotne NSA wskazał, że:

    Co do zasady, podstawą prawną przetwarzania danych osobowych klientów przez Bank w ZBP może być obecnie art. 6 ust. 1 lit. f RODO, w sytuacji, gdy przetwarzanie danych osobowych jest niezbędne do celów wynikających z prawnie uzasadnionych interesów realizowanych przez administratora. Wskazania ponadto wymaga, że przetwarzanie danych osobowych klientów Banku przez […] odbywa się na podstawie zawartej z Bankiem umowy.

    Zapisz się do newslettera
    X

    Podając swój adres e-mail oraz zatwierdzając zapis do newslettera wyrażasz zgodę na otrzymywanie od Piotra Liwszica informacji marketingowych. Zgodę możesz wycofać w każdym czasie wysyłając e-mail na adres kontakt@judykatura.pl. Administratorem danych jest Piotr Liwszic prowadzący działalność gospodarczą jawneprzezpoufne Piotr Liwszic z siedzibą przy ul. Grzybowskiej 43, 00-855 Warszawa, NIP- 521-332-36-17. Dane osobowe przetwarzane są w celu przesyłania informacji marketingowych. Więcej informacji o przetwarzaniu danych osobowych, w tym o przysługujących Państwu prawach, znajduje się w Polityce prywatności