Wojewódzki Sąd Administracyjny w Warszawie w składzie następującym: Przewodniczący Sędzia WSA Adam Lipiński, Sędziowie WSA Anna Mierzejewska (spr.), Eugeniusz Wasilewski, Protokolant Starszy sekretarz sądowy Maria Zawada, po rozpoznaniu na rozprawie w dniu 2 marca 2015 r. sprawy ze skarg C. P. oraz B. S.A. na decyzję Generalnego Inspektora Ochrony Danych Osobowych z dnia [...] marca 2014 r. nr [...] w przedmiocie ochrony danych osobowych oddala skargi
Generalny Inspektor Ochrony Danych Osobowych decyzją z dnia [...] marca
2014 r. nr [...], dot. [...], na podstawie art. 138 § 1 pkt 1 i 2 ustawy z dnia 14 czerwca 1960 r. - Kodeks postępowania administracyjnego (t.j. Dz. U. z 2013 r., poz. 267), art. 12 pkt 2, art. 22 w zw. z art. 23 ust. 1 pkt 2 i art. 24 ust. 1, art. 18 ust. 1 pkt 6 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. z 2002 r. Nr 101, poz. 926 z późn. zm.), art. 105 ust. 4 oraz art. 105a ust. 1 ustawy z dnia 29 sierpnia 1997 r. - Prawo bankowe (t.j. Dz. U. z 2012 r., poz. 1376 z późn. zm.), po przeprowadzeniu postępowania administracyjnego z wniosków o ponowne rozpatrzenie sprawy C.P. (adres do doręczeń: ul. [...], skr. [...],[...]) oraz Banku [...] z siedzibą [...] przy ul. [...], dotyczącej przetwarzania danych osobowych C. P. prowadzącego w 2005 r. działalność gospodarczą pod firmą [...], C. P. ul. [...],[...] przez Bank [...] S.A., polegającego na udostępnianiu jego danych osobowych na rzecz Biura Informacji Kredytowej S.A. z siedzibą w [...] przy ul. [...] i Związku Banków Polskich z siedzibą przy ul. [...] oraz niezrealizowaniu wobec niego obowiązku informacyjnego, o którym mowa w art. 24 ust. 1 i 33 ustawy o ochronie danych osobowych, zakończonej decyzją Generalnego Inspektora Ochrony Danych Osobowych z dnia [...] kwietnia 2013 r. (znak: [...]),
1) uchylił zaskarżoną decyzję administracyjną z dnia [...] kwietnia 2013 r. (znak: [...]) w zakresie przetwarzania danych osobowych C. P. przez Biuro Informacji Kredytowej S.A. z siedzibą w [...] przy ul. [...] i nakazał usunięcie danych osobowych C. P., pozyskanych w związku ze złożeniem przez Bank [...] S.A. zapytania w dniu [...] października 2005 r., z repliki produkcyjnej zbioru "[...]",
2) w pozostałej części utrzymał decyzję w mocy.
W uzasadnieniu decyzji organ podał, że do Biura Generalnego Inspektora Ochrony Danych Osobowych wpłynęła skarga C. P., zwanego dalej również skarżącym, dotycząca przetwarzania jego danych osobowych przez Bank [...] S.A. z siedzibą [...] przy ul. [...], zwany dalej również Bankiem. W jej treści wskazał on cyt. "Skarżący prowadził w okresie aplikowania o kredyt działalność gospodarczą pod firmą [...], C. P. Publicznie dostępne informacje dotyczące przedsiębiorcy to firma, imię, nazwisko, adres siedziby, adresy prowadzonej działalności gospodarczej, rodzaj prowadzonej działalności gospodarczej. Skarżący złożył wniosek o kredyt w październiku 2005 roku. Bank [...] S.A. w dniu [...] października 2005 roku przekazał informację stanowiącą tajemnicę bankową zawarte we wniosku kredytowym do Biura Informacji Kredytowej S.A. w [...] (...) oraz do Związku Banków Polskich (...). Bank oprócz publicznie dostępnych danych identyfikujących przedsiębiorcę przekazał takie dane osobowe jak numer PESEL, numer dowodu osobistego, datę urodzenia, wysokość wnioskowanego kredytu, wysokość raty kredytowej. Bank nie otrzymał zgody na przekazywanie danych osobowych do Biura Informacji Kredytowej S.A. w [...] oraz Związku Banków Polskich. (...) W związku z powyższym zasadnym jest twierdzenie o naruszeniu (...) przepisów ustawy o ochronie danych osobowych, szczególności art. 23 ust. 1 w zw. art. 24 ust. 1 oraz art. 32 ust. 1 pkt 4". Skarżący zawnioskował o przeprowadzenie kontroli, a następnie wydanie decyzji w zakresie m. in. usunięcia uchybień.