Naczelny Sąd Administracyjny rozpatrywał dwie skargi kasacyjne Banku PKO SA w sprawie Andrzeja D. i Pawła T. Obie sprawy miały niemal identyczny przebieg. Obaj mężczyźni zawarli z bankiem PKO SA w 2007 r. umowę kredytową, z tytułu której powstało zadłużenie.
Bank nie dotrzymał terminu
Gdy kolejne wpłaty kredytu nie wpływały, bank wysłał do nich pismo o istniejącym zadłużeniu z warunkiem, że jeśli w terminie 30 dni nie uiszczą żądanej sumy, to bank zawiadomi Biuro Informacji Kredytowej, które wpisze ich nazwiska na listę dłużników.
Zadłużenie zostało spłacone, ale nazwiska na liście pozostały.
Inspektor uwzględnia skargę
Wobec tego dwaj klienci banku wnieśli skargę do Generalnego Inspektora Ochrony Danych Osobowych. Inspektor ustalił, że umowa kredytowa będzie prezentowana na raportach do oceny zdolności kredytowej przez 5 lat od daty spłaty bez zgody klienta. Skarżący występowali do banku o przedstawienie dowodu na dostarczenie informacji z ostrzeżeniem, jednakże bank twierdzi, iż przesłał jedynie listy zwykłe, które nigdy nie zostały skarżącym dostarczone.
Nakaz zaprzestania przetwarzania
GIODO (obecnie UODO) zauważył, że Prawo bankowe jednoznacznie określa w art. 105a przesłanki przetwarzania informacji stanowiących tajemnicę bankową bez zgody osoby, której te informacje dotyczą. W tych sprawach nie uczyniono zadość przesłance określonej w ust. 3 tego przepisu. To znaczy nie upłynęło 30 dni od chwili poinformowania skarżącego o możliwości przetwarzania jego danych osobowych bez jego zgody.
Wobec tego Generalny Inspektor Ochrony Danych Osobowych nakazał PKO S.A. zaprzestania przetwarzania danych osobowych Piotra T. i Andrzeja D.
Informacja o aplikacji jako dowód
Bank zwrócił się do Inspektora o ponowne rozpatrzenie sprawy. Zaznaczył, iż w zarchiwizowanych plikach z sierpnia 2009 r. widnieją dane skarżących jako osób do których skierowane zostało pismo informujące o zamiarze przetwarzania przez Bank danych osobowych na podstawie art. 105a ust. 3 Prawa bankowego.
Potwierdzeniem wysłanej korespondencji jest informacja z aplikacji, w której archiwizowane są pliki dotyczące zawiadomień.
Generalny Inspektor Ochrony Danych Osobowych nie znalazł podstaw do uwzględnienia wniosku o ponowne rozpatrzenie sprawy.
W tej sytuacji bank wniósł skargę do Wojewódzkiego Sądu Administracyjnego, ale nie znalazł zrozumienia, bo sąd 12 i 27 maja 2016 r. oddalił dwie skargi.
WSA oddala skargę banku
W ocenie sądu I instancji uzasadnione jest twierdzenie, że skarżący Bank, musi być zdolny do wykazania podstawy do przekazania danych do BIK w postaci rzeczywistego spełnienia obowiązku informacyjnego. Wbrew twierdzeniom skargi, to na Banku spoczywa ciężar dowodu w zakresie wykazania poinformowania klienta o zamiarze przetwarzania jego danych osobowych - bez jego zgody. W tych sprawach bank nie wykazał, iż klienci byli skutecznie poinformowana.
Niezadowolony bank złożył skargę do NSA rzucając dwóm wyrokom błędy proceduralne, tj. niezbadanie wnikliwe sprawy oraz przyjęcie, że informacja o przetwarzaniu danych stanowiących tajemnicę bankową nie dotarła do adresatów.
Domniemania nie wystarczą
Naczelny Sąd Administracyjny w dwóch wyrokach z 7 sierpnia br. oddalił skargi banku. Jak wyjaśniała sędzia Małgorzata Pocztarek ustawodawca przyjmując obowiązek informowania przez banki lub inne instytucje finansowe o przekazywaniu danych osobowych swoich klientów miał na uwadze silą ochronę tych danych.
Ustawa nałożyła na banki obowiązek, ale żeby uwolnić się od zarzutu nie przekazania informacji tylko dowodem doręczenia, a nie dowodem wysłania.
- Każdy z nas ma prawo do ochrony swoich danych, a bank powinien dysponować wiarygodnymi dowodami doręczenia pism, nie można opierać się na domniemaniach - dodała sędzia.
Wyrok jest prawomocny i nie podlega zaskarżeniu.
Sygnatura akt I OSK 2123/16 i I OSK 2051/16, wyroki z 7 sierpnia 2018 r.