Art. 70 ustawy z dnia 29 sierpnia 1997 r. - Prawo bankowe /Dz.U. nr 140 poz. 939 ze zm./ mówi, iż kredytobiorca jest obowiązany przedstawić bankowi dokumenty mówiące o jego zdolności kredytowej. Zakres zbieranych danych był adekwatny do celu, jakiemu miały służyć. Bank Handlowy mógł kserować dowody osobiste przy zawieraniu umów kredytowych.
Naczelny Sąd Administracyjny po rozpoznaniu na rozprawie w Izbie Ogólnoadministracyjnej skargi kasacyjnej Generalnego Inspektora Ochrony Danych Osobowych od wyroku Naczelnego Sądu Administracyjnego w Warszawie wyrokiem z dnia 7 listopada 2003 r. II SA 1432/02 w sprawie ze skargi Spółki Akcyjnej Bank Handlowy w W. na decyzję Generalnego Inspektora Ochrony Danych Osobowych z dnia 27 marca 2002 r. (...) w przedmiocie ochrony danych osobowych - oddala skargę kasacyjną.
Naczelny Sąd Administracyjny w Warszawie wyrokiem z dnia 7 listopada 2003 r. II SA 1432/02 uwzględniając skargę Banku Handlowego S.A. w W. uchylił decyzję Generalnego Inspektora Ochrony Danych Osobowych z dnia 27 marca 2002 r. (...) oraz poprzedzającą ją decyzje tegoż organu z dnia 27 lipca 2001 r., nakazującą usunięcie uchybień w procesie przetwarzania danych osobowych kredytobiorców.
Zaskarżoną decyzją, wydaną na podstawie art. 105 par. 1, 138 par. 1 pkt 2 Kpa, art. 12 pkt 2 i art. 18 ust. 1 pkt 1 i 6 w zw. z art. 6 i art. 26 ust. 1 pkt 3 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych /Dz.U. nr 133 poz. 883 ze zm./ Generalny Inspektor Ochrony Danych Osobowych uchylił swą poprzednią decyzję z 27 lipca 2001 r. i nakazał Bankowi Handlowemu w W. S.A. usunięcie uchybień w procesie przetwarzania danych poprzez:
a/ zaprzestanie w terminie 3 miesięcy od dnia otrzymania decyzji gromadzenia danych osobowych pozyskiwanych przez kopiowanie dowodów tożsamości w zakresie: rysopisu, imion rodziców, wizerunku, nieaktualnych adresów zameldowania, informacji o dzieciach lub innych osobach pozostających pod opieką,
b/ usunięcie, w terminie 9 miesięcy od dnia otrzymania decyzji danych osobowych, o których mowa wyżej - ze zbioru danych kredytobiorców, uprzednio pozyskanych z dowodów osobistych; organ umorzył postępowanie w zakresie danych dotyczących panieńskiego nazwiska matki.
W obszernym uzasadnieniu decyzji Generalny Inspektor przedstawił wyniki kontroli przeprowadzonej przez inspektorów, wyjaśnienia pracowników Banku, przebieg postępowania administracyjnego oraz ustosunkował się do zarzutów podniesionych we wniosku o ponowne rozpatrzenie sprawy.
Organ stwierdził, że art. 6 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych po nowelizacji, stanowiąc, że za dane osobowe uważa się wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej znacznie poszerzył zakres ochrony.
Z przepisu art. 26 ust. 1 pkt 3 ustawy wynika obowiązek dołożenia przez administratora danych osobowych szczególnej staranności w celu ochrony interesów osób, których dane dotyczą zwłaszcza zapewnienia merytorycznej poprawności i adekwatności danych do celów, w jakich są przetwarzane. Warunków tych nie spełnia Bank Handlowy S.A., gdyż przez sporządzenie kopii wybranych stron dowodu osobistego klienta - kredytobiorcy pozyskuje dane osobowe zbędne dla realizacji celu, dla którego są one gromadzone, jakim jest stwierdzenie, czy dana osoba występująca o przyznanie kredytu uprawniona jest do jego uzyskania. Wbrew twierdzeniom Banku Handlowego na taką praktykę nie zezwalają przepisy art. 7, art. 69, art. 70 i art. 109 ustawy z dnia 29 sierpnia 1997 r. - Prawo bankowe /Dz.U. nr 140 poz. 939 ze zm./.
Uchwała nr 4/98 Komisji Nadzoru Bankowego z 30 czerwca 1998 r. w sprawie trybu postępowania banków w przypadkach prania pieniędzy oraz ustalenia wysokości kwoty i warunków prowadzenia rejestru wpłat gotówkowych powyżej określonej kwoty oraz danych o osobach dokonujących wpłaty i na rzecz których wpłata została dokonana /Dz.Urz. NBP nr 18 poz. 40/ oraz art. 9, art. 28-29, art. 31 i art. 35 ustawy z dnia 16 listopada 2000 r. o przeciwdziałaniu wprowadzania do obrotu finansowego wartości majątkowych pochodzących z nielegalnych lub nieujawnionych źródeł /Dz.U. nr 116 poz. 1216 ze zm./ nie wskazują "na konieczność kopiowania dokumentacji celem identyfikacji jej właściciela", a "nawet racjonalny ustawodawca nie uznał za adekwatne, dla celów działalności banków przyznanie bankom prawa kopiowania dowodów tożsamości osób, których dane dotyczą".