Wojewódzki Sąd Administracyjny w Warszawie w składzie następującym: Przewodniczący Sędzia WSA Jacek Fronczyk (spr.), Sędziowie WSA Iwona Dąbrowska, Eugeniusz Wasilewski, Protokolant Łukasz Mazur, po rozpoznaniu na rozprawie w dniu 29 lipca 2010 r. sprawy ze skargi M. K. na decyzję Generalnego Inspektora Ochrony Danych Osobowych z dnia [...] stycznia 2010 r. nr [...] w przedmiocie ochrony danych osobowych 1) uchyla zaskarżoną decyzję oraz poprzedzającą ją decyzję z dnia [...] września 2009 r. nr [...]; 2) zaskarżona decyzja nie podlega wykonaniu w całości; 3) zasądza od Generalnego Inspektora Ochrony Danych osobowych na rzecz skarżącego M. K. kwotę [...], tytułem zwrotu kosztów postępowania.
Decyzją z dnia [...] września 2009 r. nr [...] Generalny Inspektor Ochrony Danych Osobowych, mając za podstawę art. 104 § 1 ustawy z dnia 14 czerwca 1960 r. - Kodeks postępowania administracyjnego (t. j.: Dz. U. z 2000 r. Nr 98, poz. 1071 ze zm.), art. 12 pkt 2, art. 22 w związku z art. 23 ust. 1 pkt 2, 3 i 5 oraz art. 31 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (t. j.: Dz. U. z 2002 r. Nr 101, poz. 926 ze zm.) w związku z art. 6a ust. 2 ustawy z dnia 29 sierpnia 1997 r. - Prawo bankowe (t. j.: Dz. U. z 2002 r. Nr 72, poz. 665 ze zm.), po przeprowadzeniu postępowania administracyjnego w sprawie przetwarzania danych osobowych, odmówił uwzględnienia wniosku M. K.
W motywach decyzji organ wyjaśnił, że M. K. zwrócił się ze skargą do GIODO na przekazanie jego danych osobowych K. S.A. z siedzibą w W. przez [...] Bank S.A. z siedzibą w W. W uzasadnieniu skargi zakwestionował on istnienie swojego zadłużenia wobec [...] Bank S.A. i w związku z tym poddał w wątpliwość legalność udostępnienia przez [...] Bank S.A. jego danych osobowych K. S.A., wnosząc o przywrócenie stanu zgodnego z prawem, poprzez usunięcie uchybień, tj. "cofnięcie spółce K. S.A. z siedzibą w W. zgody na przetwarzanie moich danych osobowych". Wnioskodawca wskazał, iż dokonał wcześniejszej spłaty całości kredytu zaciągniętego w [...] Bank S.A., jak również odwołał zgodę na przetwarzanie przez [...] Bank S.A. oraz podmioty związane z nim umową, za pośrednictwem których realizuje umowy, jego danych osobowych oraz danych stanowiących tajemnicę bankową, również po wygaśnięciu zobowiązań, wynikających ze wszystkich umów zawartych dotychczas z [...] Bank S.A., jednak nadal otrzymywał od ww. Banku informacje o posiadanym przez niego zadłużeniu, a ostatecznie - pismo z [...] K. S.A., stanowiące wezwanie do zapłaty powstałej wobec [...] Banku S.A. zaległości.
Generalny Inspektor Ochrony Danych Osobowych stwierdził, iż na podstawie zgromadzonego w sprawie materiału dowodowego badaniu podlegała jedynie ocena legalności przetwarzania danych osobowych M. K., nie zaś kwestia istnienia lub nieistnienia wierzytelności, czy też słuszności i zakresu podnoszonych przez [...] Bank S.A. roszczeń cywilnoprawnych wobec wnioskodawcy, bowiem takie sprawy powinny być rozpatrywane w postępowaniach prowadzonych przez sądy powszechne.
GIODO podkreślił, że przetwarzanie danych osobowych jest zgodne z prawem jedynie wówczas, gdy administrator danych legitymuje się posiadaniem co najmniej jednej, spośród wymienionych w art. 23 ust. 1 pkt 1 - 5 ustawy o ochronie danych osobowych, materialnych przesłanek dopuszczalności takiego przetwarzania, przy czym każda z nich ma charakter autonomiczny.
Zdaniem organu, przetwarzanie przez [...] Bank S.A. danych osobowych M. K. znajduje prawne uzasadnienie w art. 23 ust. 1 pkt 2, 3 oraz 5 cyt. ustawy. Zgodnie bowiem z art. 6a ust. 2 ustawy - Prawo bankowe, bank może, w drodze umowy zawartej na piśmie, powierzyć przedsiębiorcy lub przedsiębiorcy zagranicznemu wykonywanie czynności faktycznych związanych z działalnością bankową. Stosownie zaś do treści art. 31 ust. 1 ustawy o ochronie danych osobowych, administrator danych może powierzyć innemu podmiotowi, w drodze umowy zawartej na piśmie, przetwarzanie danych. Przepisy te, w ocenie GIODO, dają podstawę do powierzenia, na podstawie umowy, wykonywania określonego rodzaju czynności innemu podmiotowi, ale również do udostępnienia mu - w tym celu - danych osobowych osób, wobec których działania te mają być wykonywane. Na podstawie umowy o obsługę wierzytelności, zawartej w dniu [...] 2009 r., [...] Bank S.A. zlecił K. S.A. obsługę dochodzenia wymaganej od M. K. należności, czyniąc ją równocześnie podmiotem, o którym mowa w art. 31 ust. 1 ustawy o ochronie danych osobowych. Organ podkreślił również, iż dla realizacji uprawnienia, o którym mowa w art. 6a ustawy - Prawo bankowe, konieczne jest przekazanie podmiotowi, któremu powierzono wykonywanie czynności w tym zakresie, danych osobowych dłużników, od których ma on dochodzić należności. Przekazanie (udostępnienie) danych osobowych wnioskodawcy Spółce K. S.A. przez [...] Bank S.A. nastąpiło zatem, w ocenie GIODO, w związku z realizacją przysługującego temu bankowi uprawnienia wynikającego z przepisów prawa - art. 23 ust. 1 pkt 2 oraz art. 31 ust. 1 ustawy o ochronie danych osobowych.