Wojewódzki Sąd Administracyjny w Warszawie w składzie następującym: Przewodniczący Sędzia WSA Jacek Fronczyk Sędziowie WSA Andrzej Kołodziej Olga Żurawska - Matusiak (spr.) Protokolant starszy referent Marcin Borkowski po rozpoznaniu na rozprawie w dniu 6 marca 2013 r. sprawy ze skargi A. K. na decyzję Generalnego Inspektora Ochrony Danych Osobowych z dnia [...] lipca 2012 r. nr [...] w przedmiocie odmowy stwierdzenia nieważności decyzji w sprawie przetwarzania danych osobowych 1. uchyla zaskarżoną decyzję oraz poprzedzającą ją decyzję z dnia [...] kwietnia 2012 r., 2. stwierdza, że zaskarżona decyzja nie podlega wykonaniu w całości.
Generalny Inspektor Ochrony Danych Osobowych decyzją z [...] lipca 2012 r., wydaną na podstawie art. 138 § 1 pkt 1 K.p.a. oraz art. 12 pkt 2 i art. 22 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (tekst jedn. Dz. U. z 2002 r. nr 101, poz. 926 ze zm.) w zw. z art. 156 § 1 K.p.a., utrzymał w mocy decyzję z [...] kwietnia 2012 r. znak: [...] mocą której odmówiono stwierdzenia nieważności decyzji Generalnego Inspektora Ochrony Danych Osobowych z [...] września 2001 r. znak: [...].
Do wydania powyższej decyzji doszło w następującym stanie faktycznym i prawnym.
Do Biura Generalnego Inspektora Ochrony Danych Osobowych wpłynęła skarga J. K., A. K. oraz J. K. na przetwarzanie ich danych osobowych przez Bank [...] oraz Związek Banków Polskich [...]. W skardze tej podniesiono, że zarówno Bank, jak i ZBP przetwarzają ich dane osobowe bezpodstawnie oraz z naruszeniem zasady celowości, merytorycznej ich poprawności, adekwatności i ograniczenia czasowego. Skarżący wskazali, że zasada merytorycznej poprawności przetwarzanych danych osobowych została naruszona na skutek przetwarzania przez Bank i ZBP nieprawdziwych informacji o ich zadłużeniu wobec Banku. W związku z tym wnieśli, na podstawie art. 35 ust. 2 ustawy o ochronie danych osobowych, o wydanie decyzji nakazującej usunięcie ich danych osobowych ze zbioru danych dłużników prowadzonego przez ZBP. Ponadto zarzucili Bankowi i ZBP ostateczne rozstrzygnięcie sprawy dotyczącej ich zobowiązania, wyłącznie w oparciu o wynik operacji na danych osobowych, prowadzonych w systemie informatycznym, oraz brak podjęcia działań określonych w art. 32 ust. 3a ustawy o ochronie danych osobowych, pomimo wniesienia przez nich żądania ponownego, indywidualnego rozpatrzenia sprawy rozstrzygniętej w ww. sposób. Dodatkowo podnieśli, że ZBP, po otrzymaniu ich danych osobowych z Banku, nie dopełnił, wobec nich, obowiązku informacyjnego z art. 25 ust. 1 ustawy o ochronie danych osobowych, w szczególności nie udzielił im informacji określonej w pkt 5 tego przepisu. Oświadczyli także, że Bank i ZBP nie udzielili im informacji z art. 32 ust. 1 pkt 3 ustawy o ochronie danych osobowych. Ponadto, zarzucili również naruszenie przez Bank i ZBP art. 29 ust. 1, art. 31 ust. 2 i 3, art. 36 ust. 1, art. 37, art. 38, art. 39 ust. 1 oraz art. 49 ust. 1, art. 50, art. 51 ust. 1 i art. 54 ustawy. Dlatego też zażądali od Generalnego Inspektora Ochrony Danych Osobowych stwierdzenia nieważności decyzji wydanej przez Bank.
W toku przeprowadzonego postępowania wyjaśniającego w sprawie przetwarzania danych osobowych, Generalny Inspektor Ochrony Danych Osobowych ustalił, że J. K., A. K. oraz J. K., [...] lutego 2007 r., zawarli z Bankiem [...] umowę kredytu. Na skutek połączenia wydzielonej części Banku [...] z Bankiem [...] zobowiązanie J. K., A. K. oraz J. K. wynikające z tej umowy zostało przejęte przez Bank [...]. 20 lipca 2009 r. Bank [...], w związku z brakiem, w jego ocenie, spłaty zadłużenia przeterminowanego, wypowiedział J. K., A. K. oraz J. K. umowę kredytu z [...] lutego 2007 r. Następnie pismami 21 lipca 2009 r. Bank zawiadomił J. K., A. K. oraz J. K. o przekazaniu ich danych do prowadzonego przez ZBP zbioru o nazwie "System Bankowy Rejestr". Jednocześnie Bank w pismach tych poinformował, w imieniu ZBP, o adresie jego siedziby i jego pełnej nazwie, celu i zakresie zbierania przez niego danych, a w szczególności o odbiorcach lub kategoriach odbiorców danych, źródle danych, prawie dostępu do treści swoich danych oraz ich poprawiania. Pismem z 15 września 2009 r. ZBP poinformował J. K., A. K. oraz J. K. o uprawnieniach wynikających z art. 32 ust. 1 pkt 7 i 8 ustawy o ochronie danych osobowych. Pismem z 17 sierpnia 2009 r. J. K., A. K. oraz J. K. wystąpili do Banku [...] o usunięcie ich danych osobowych ze zbioru danych "System Bankowy Rejestr" prowadzonego przez ZBP, a pismem z 18 sierpnia 2009 r. wystąpili do ZBP o usunięcie ich danych osobowych ze zbioru danych "System Bankowy Rejestr". W udzielonych organowi wyjaśnieniach Bank wskazał, że zobowiązanie z zawartej umowy kredytu nie zostało spłacone przez J. K., A. K. oraz J. K. i jest wymagalne. Ponadto Bank i ZBP oświadczyli, że J. K., A. K. oraz J. K. nie występowali o udzielenie im informacji z art. 32 ust. 1 pkt 3 ustawy o ochronie danych osobowych.