Centralna Baza Orzeczeń Sądów Administracyjnych

Wojewódzki Sąd Administracyjny w Warszawie w składzie następującym: Przewodniczący Sędzia WSA Waldemar Śledzik (spr.), Sędzia WSA Izabela Głowacka-Klimas, Sędzia WSA Andrzej Wieczorek, po rozpoznaniu na posiedzeniu niejawnym w dniu 1 lutego 2022 r. sprawy ze skargi [...] na decyzję Prezesa Urzędu Ochrony Danych Osobowych z dnia [...] marca 2021 r., nr [...] w przedmiocie nakazu usunięcia danych osobowych oddala skargę

Prezes Urzędu Ochrony Danych Osobowych (zwany dalej także jako: "Prezes UODO") decyzją z dnia [...] marca 2021 r. nr [...] działając na podstawie art. 104 § 1 ustawy z dnia 14 czerwca 1960 r. – Kodeks postępowania administracyjnego (Dz. U. z 2020 r. poz. 256 ze zm., zwaną dalej "K.p.a.") art. 5 ust. 1 lit. b, art. 6 ust. 1, art. 17 ust. 1 lit. a, art. 58 ust. 2 lit. c oraz art. 60 ust. 7 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych), (Dz. Urz. UE L 119 z 04.05.2016, str. 1 oraz Dz. Urz. UE L 127 z 23.05.2018, str. 2), po przeprowadzeniu postępowania administracyjnego w sprawie skargi B. P. (zwanego dalej także jako: "Strona") na nieprawidłowości w procesie przetwarzania jego danych osobowych przez [...] z siedzibą w [...] (zwany dalej: "Bank"; "Skarżący"), polegające na niespełnieniu żądania usunięcia danych osobowych Strony, nakazał Bankowi usunięcie danych osobowych Strony w zakresie: imienia, nazwiska, PESEL, nazwiska rodowego matki, imion rodziców, daty urodzenia, płci, kraju urodzenia, miejsca urodzenia, statusu dewizowego, statusu podatkowego, obywatelstwa, adresu zamieszkania, adresu korespondencyjnego, adresu e-mail, serii

i numeru dowodu osobistego, numeru paszportu, numeru telefonu komórkowego, stanu cywilnego, statusu mieszkaniowego, wykształcenia, liczby osób w gospodarstwie, kosztów gospodarstwa domowego, źródła dochodu, okresu osiągania dochodu, danych pracodawcy, zawodu wykonywanego, wysokości dochodu.

Do wydania przedmiotowego rozstrzygnięcia doszło w następującym stanie faktycznym i prawnym.

Do Urzędu Ochrony Danych Osobowych wpłynęła skarga B.P. na nieprawidłowości w procesie przetwarzania jego danych osobowych przez Bank, polegające na niespełnieniu żądania usunięcia jego danych osobowych.

W treści skargi w/wym. wniósł o usunięcie przez Bank wszystkich jego danych osobowych.

Prezes UODO pismem z dnia [...] lutego 2020 r. poinformował Bank o wpłynięciu ww. skargi oraz zwrócił się do o ustosunkowanie się do treści skargi oraz złożenie pisemnych wyjaśnień.

W piśmie z dnia [...] marca 2020 r. Bank wyjaśnił, że pozyskał dane osobowe Strony bezpośrednio od niego, w związku z zawarciem umów w dniu [...] września 2013 r., w tym umowy ramowej o korzystanie z systemu bankowości internetowej oraz umowy rachunku, umowy o kartę płatniczą do rachunku oraz umowy o korzystanie

z systemu bankowości elektronicznej dla klientów indywidualnych.

Bank wskazał, że pozyskał dane Strony w zakresie: imienia, nazwiska, PESEL, nazwiska rodowego matki, imion rodziców, daty urodzenia, płci, kraju urodzenia, miejsca urodzenia, statusu dewizowego, statusu podatkowego, obywatelstwa, adresu zamieszkania, adresu korespondencyjnego, adresu e-mail, serii

i numeru dowodu osobistego, numeru paszportu, numeru telefonu komórkowego, stanu cywilnego, statusu mieszkaniowego, wykształcenia, liczby osób w gospodarstwie, kosztów gospodarstwa domowego, źródła dochodu, okresu osiągania dochodu, danych pracodawcy, zawodu wykonywanego, wysokości dochodu.

W dniu [...] września 2019 r. Strona zwróciła się z wnioskiem o usunięcie jego danych osobowych oraz zaprzestanie przetwarzania danych w celach marketingowych Bank w dniu [...] września 2019 r. poinformował Stronę, że zaprzestaje przetwarzać jego dane w celu marketingowym. Ponadto poinformował go o zamknięciu usługi "[...]" oraz zapewnił, że dane będą przetwarzane wyłącznie w celu archiwalnym.

Bank wskazał, że po otrzymaniu skargi Strony, przeanalizował przesłaną do niego w dniu [...] września 2019 r. odpowiedź, i ustalił, że ww. odpowiedź była niepełna. Bank nie przekazał Stronie informacje o przetwarzaniu danych w związku z "Umową o świadczenie usługi przyjmowania i przekazywania zleceń nabycia lub odkupienia tytułów uczestnictwa w instytucjach wspólnego inwestowania" z dnia [...].07.2016. Powyższy brak był wynikiem błędu pracownika, który nie zweryfikował posiadania przez klienta wskazanej wyżej umowy oraz nie doprowadził do jej zamknięcia.

W konsekwencji Strona otrzymała błędną informację, iż jego dane są przetwarzane jedynie w celu archiwalnym. W związku z nieprawidłową realizacją wniosku Skarżącego o usunięcie danych osobowych Bank wysłał pismo ze sprostowaniem informacji dotyczących przetwarzania jego danych osobowych,

w dniu [...].03.2020 zamknął "Umowę o świadczenie usługi przyjmowania

i przekazywania zleceń nabycia lub odkupienia tytułów uczestnictwa w instytucjach wspólnego inwestowania;" wyciągnął konsekwencje służbowe wobec pracownika, który udzielił błędnej informacji dot. przetwarzania danych Strony; wprowadził "listę kontrolną czynności pracowników obsługujących wniosek klienta", która ma na celu zminimalizować prawdopodobieństwo wystąpienia tego typu błędów w przyszłości

i zaplanował szkolenie dla pracowników odpowiedzialnych za udzielanie odpowiedzi klientom w zakresie danych osobowych.

Bank wskazał, że aktualnie przetwarza pozyskane dane osobowe Strony

w celu archiwalnym. Poinformował, że dane osobowe Strony będą przetwarzane przez okres 10 lat od dnia rozwiązania "Umowy rachunku Otwarte Konto Oszczędnościowe [...]" z dnia [...].12.2017 r., która została rozwiązana [...].04.2018 (jest to okres dla umów rozwiązanych przed [...].07.2018 r.). Natomiast dla umów rozwiązanych po 09.07.2018 r. dane osobowe będą przetwarzane przez okres 6 lat od dnia rozwiązania umowy. Wskazał, że podstawę prawną przetwarzania danych przez wskazane okresy stanowi art. 118 Ustawy z 23 kwietnia 1964 r. Kodeks Cywilny (dalej: Kodeks Cywilny). Wyjaśnił, że okresy te są różne, w związku z wejściem w życie

z dniem 09.07.2018 ustawy zmieniającej Kodeks Cywilny (ustawa z dnia 13 kwietnia 2018 r. o zmianie ustawy - Kodeks cywilny oraz niektórych innych ustaw), która zmodyfikowała wskazany w art. 118 Kodeksu Cywilnego termin przedawnienia roszczeń majątkowych.

Prezes UODO, po zapoznaniu się z całością zgromadzonego w sprawie materiału dowodowego, wydał powołane na wstępie rozstrzygnięcie.

W uzasadnieniu decyzji wyjaśnił, że rozporządzenie Parlamentu Europejskiego

i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych), (Dz. Urz. UE L 119 z 04.05.2016, str. 1 oraz Dz. Urz. UE L 127 z 23.05.2018, str. 2) (dalej: "RODO") określa legalność przetwarzania danych osobowych. Każda

z przesłanek z art. 6 ust. 1 RODO ma charakter autonomiczny i niezależny, co oznacza, że spełnienie jednej z nich stanowi w danym przypadku o zgodności z prawem przetwarzania danych osobowych. Podkreślił, że zgoda osoby, której dane dotyczą nie jest jedyną podstawą uprawniającą do przetwarzania jej danych osobowych (lit. a). Proces przetwarzania danych będzie zgodny z przepisami ustawy również wtedy, gdy administrator danych wykaże spełnienie choćby jednej przesłanki z art. 6 ust. 1 RODO.

Ponadto wskazał, że zgodnie z art. 5 ust. 1 pkt. b RODO dane osobowe muszą być zbieranie w konkretnych wyraźnych i prawnie uzasadnionych celach

i nieprzetwarzane dalej w sposób niezgodny z tymi celami. Do wydania w październiku 2018 r. przez Stronę dyspozycji zakończenia wszystkich umów łączących go

z Bankiem, Bank przetwarzając dane osobowe B. P. posiadał podstawę prawną przetwarzania danych w związku z art. 6 ust. 1 lit. b.

W ocenie Prezesa UODO po wydaniu dyspozycji zakończenia wszystkich umów łączących Stronę z Bankiem oraz w związku z wnioskiem o usunięcie jego danych osobowych z dnia [...] września 2019 r. przetwarzanie danych osobowych Strony przez Bank w zakresie jego imienia, nazwiska, PESEL, nazwiska rodowego matki, imion rodziców, daty urodzenia, płci, kraju urodzenia, miejsca urodzenia, statusu dewizowego, statusu podatkowego, obywatelstwa, adresu zamieszkania, adresu korespondencyjnego, adresu e-mail, serii i numeru dowodu osobistego, numeru paszportu, numeru telefonu komórkowego, stanu cywilnego, statusu mieszkaniowego, wykształcenia, liczby osób w gospodarstwie, kosztów gospodarstwa domowego, źródła dochodu, okresu osiągania dochodu, danych pracodawcy, zawodu wykonywanego, wysokości dochodu nie znajduje prawnego uzasadnienia w przepisach RODO.

Zdaniem Prezesa UODO dalsze przetwarzanie przez Bank danych osobowych Strony stanowi naruszenie przepisu art. 6 ust. 1 i 17 ust. 1 RODO.

Zgodnie z art. 17 ust. 1 lit. a RODO osoba, której dane dotyczą, ma prawo żądania od administratora niezwłocznego usunięcia dotyczących jej danych osobowych, a administrator ma obowiązek bez zbędnej zwłoki usunąć dane osobowe, m.in. jeżeli dane osobowe nie są już niezbędne do celów, w których zostały zebrane lub w inny sposób przetwarzane.

Prezes UODO zauważył, że Bank wskazał, że przetwarza obecnie dane Strony w celu archiwizacji, ale w żaden sposób nie wykazał okoliczności uzasadniających przetwarzanie po zamknięciu wszystkich umów przez Skarżącego. Ponadto, Bank wskazał, że podstawą prawną okresu przetwarzania danych stanowi art. 118 Kodeks Cywilny.

Odnosząc się do twierdzenia Banku, iż okres przechowywania danych osobowych Skarżącego określił w związku z zabezpieczeniem przed ewentualnymi roszczeniami Skarżącego, Prezes UODO wskazał, że zebrany w niniejszym postępowaniu materiał dowodowy nie wykazał, aby B. P. wystąpił z jakimkolwiek roszczeniem wobec Banku, które uzasadniałoby uprawnienie Banku do zachowania i przetwarzania jego danych osobowych dla celów dowodowych w związku

z dochodzeniem przez niego tego roszczenia. W ocenie Prezesa UODO, brak jest zatem spełnienia przesłanki niezbędności do celów wynikających z prawnie usprawiedliwionych interesów realizowanych przez administratora odnośnie przetwarzania danych osobowych Strony.

Prezes UODO wyjaśnił, że przesłanka z art. 6 ust 1 lit. f RODO dotyczy sytuacji już istniejącej, w której celem wynikającym z prawnie uzasadnionych interesów realizowanych przez administratora jest konieczność udowodnienia, potrzeba dochodzenia lub obrony przed roszczeniem istniejącym, nie zaś sytuacji, gdy dane są przetwarzane w celu zabezpieczenia się przed ewentualnym roszczeniem. W związku

z tym, że przeprowadzone przez Prezesa UODO postępowanie administracyjne nie wykazało, aby Strona skierowała wobec Banku jakiekolwiek roszczenie, Prezes UODO stwierdził, iż Bank przetwarza dane osobowe Strony wyłącznie "na zapas", aby zabezpieczyć się przed ewentualnym przyszłymi i niepewnymi roszczeniami B.P.

Prezes Urzędu podzielił stanowisko Wojewódzkiego Sądu Administracyjnego w Warszawie, odnoszące się do analogicznej do art. 6 ust. 1 lit. f RODO przesłanki wynikającej z art. 23 ust. 1 pkt 5 ustawy z dnia 29 sierpnia 1997 r.

o ochronie danych osobowych (Dz. U. 2016 r. poz. 922 ze zm.), dotyczącej dopuszczalności przetwarzania danych osobowych niezbędnego dla wypełnienia prawnie usprawiedliwionych celów realizowanych przez administratorów danych albo odbiorców danych, gdy przetwarzanie nie narusza praw i wolności osoby, której dane dotyczą. Sąd ten w wyroku z dnia 1 grudnia 2010 r. w sprawie o sygn. akt II SA/Wa 1212/10 (LEX nr 755113) orzekł, cyt.: "W niniejszej sprawie, organ podniósł, iż skarżący kierował pod adresem spółki zastrzeżenia odnośnie legalności przetwarzania jego danych i zapowiedzi skierowania sprawy na drogę sądową. Stąd też spółka uprawniona była do utrwalenia danych skarżącego i zachowania ich dla celów dowodowych na wypadek dochodzenia przez skarżącego ewentualnych roszczeń. Zdaniem Sądu, powyższe okoliczności nie wypełniają przesłanki prawnie usprawiedliwionych celów przetwarzania danych Skarżącego. Należy bowiem zwrócić uwagę, iż przesłanka z art. 23 ust. 1 pkt 5 ustawy dotyczy sytuacji już istniejącej i pewnej, a więc przypadku, gdy istnieje potrzeba udowodnienia, potrzeba dochodzenia roszczenia z tytułu prowadzonej działalności gospodarczej, nie zaś sytuacji, gdy dane są przetwarzane na wypadek ewentualnego procesu i ewentualnej potrzeby udowodnienia, iż dane osobowe pozyskane bez zgody osoby, której dotyczą są przetwarzane zgodnie z prawem. Stąd też spółka, zdaniem Sądu, nie może przetwarzać danych osobowych Skarżącego tylko w celu zabezpieczenia się przed ewentualnym przyszłym i niepewnym roszczeniem skarżącego. W przeciwnym bowiem razie może pojawić się wątpliwość jak długo należy przetwarzać dane osobowe skarżącego, jeżeli nie zrealizuje on swoich zapowiedzi."

Organ podkreślił, że przy przyjęciu odmiennej interpretacji ww. przepisów, Skarżący pozbawiony byłyby ochrony na gruncie RODO oraz ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych (Dz. U. z 2019 r., poz. 1781). Zdaniem Prezesa UODO przyjęcie za prawidłowe stanowiska, iż przetwarzanie danych osobowych w celu uchylenia się od negatywnych skutków w przypadku zgłoszenia w przyszłości ewentualnego i nieokreślonego roszczenia, stanowi prawnie usprawiedliwiony cel

w rozumieniu art. 6 ust. 1 lit. f RODO oznaczałoby, że dane osobowe Skarżącego mogą być przetwarzane przez Bank permanentnie, bez konieczności ich usunięcia. Teoretycznie możliwym jest przecież by Skarżący zwrócił się do Banku z roszczeniem po upływie terminu przedawnienia roszczenia. Prowadziłoby to tym samym do uznania, że przetwarzanie danych osobowych Strony przez Bank ma uzasadnienie

w przesłance określonej art. 6 ust. 1 lit. f RODO w celu realizacji prawa do obrony przed ewentualnym roszczeniem Skarżącego również po upływie ww. terminu.

Organ wskazał, że brak jest uzasadnienia dla przyjęcia, iż terminy dotyczące przedawnienia roszczeń wynikających ze stosunków zobowiązaniowych określają jednocześnie ramy czasowe, w których dane osobowe mogą być przetwarzane przez Bank. W ocenie Prezesa UODO przedawnienie roszczenia nie wywołuje skutków na gruncie ochrony danych osobowych, nie wpływa bowiem na fakt istnienia roszczenia,

a powoduje jedynie zmianę w sferze zarzutów procesowych w postaci możliwości podniesienia okoliczności przedawnienia w sporze sądowym. Podkreślił, że okolicznością usprawiedliwiającą przetwarzanie danych osobowych w celu dochodzenia roszczeń jest sam fakt istnienia roszczenia oraz zamiar jego dochodzenia, nie jest nią natomiast zmiana w uprawnieniach procesowych podmiotu pozwanego.

W związku z powyższym Prezes UODO stwierdził, że istnieją podstawy do zastosowania przepisu art. 58 ust. 2 lit. c) RODO, zgodnie z którym, w przypadku naruszenia przepisów o ochronie danych osobowych, Prezes UODO nakazuje administratorowi lub podmiotowi przetwarzającemu spełnienia żądania osoby, której dane dotyczą, wynikającego z praw przysługujących jej na mocy RODO.

Zaistniała zatem niezbędna przesłanka do wydania przez Prezesa UODO decyzji nakazującej usunięcie danych osobowych Strony w zakresie jego imienia, nazwiska, PESEL, nazwiska rodowego matki, imion rodziców, daty urodzenia, płci, kraju urodzenia, miejsca urodzenia, statusu dewizowego, statusu podatkowego, obywatelstwa, adresu zamieszkania, adresu korespondencyjnego, adresu e-mail, serii i numeru dowodu osobistego, numeru paszportu, numeru telefonu komórkowego, stanu cywilnego, statusu mieszkaniowego, wykształcenia, liczby osób w gospodarstwie, kosztów gospodarstwa domowego, źródła dochodu, okresu osiągania dochodu, danych pracodawcy, zawodu wykonywanego, wysokości dochodu.

Skargę na powyższe rozstrzygnięcie do Wojewódzkiego Sądu Administracyjnego

w Warszawie wywiódł [...]. Zaskarżonej decyzji Skarżący zarzucił:

I. naruszenie przepisów postępowania administracyjnego, które miało istotny wpływ na wynik sprawy tj.:

1) naruszenie art. 7 w zw. z art. 77, art. 80 oraz art. 107 ust. 1 pkt 4 ustawy

z dnia 14 czerwca 1960 r. - Kodeks postępowania administracyjnego (t. j. Dz. U. z 2020 r. poz. 256, dalej: "K.p.a.") polegające na:

a) błędnym wskazaniu w decyzji stanu faktycznego, co jest sprzeczne

z materiałem dowodowym zgromadzonym w toku postępowania administracyjnego albowiem B. P. był stroną 18 (osiemnastu) różnych umów podlegających różnym przepisom prawa (w tym m.in. umów rachunków, umów o system bankowości internetowej (elektronicznej), umów o karty płatnicze, umów kredytowych, umowy o świadczenie usług maklerskich, umów pośrednictwa w zakupie funduszy inwestycyjnych, umów o lokaty inwestycyjne, a nie tylko 4 (czterech) wskazanych w pkt 1 decyzji, co przede wszystkim skutkowało całkowitym pominięciem przepisów prawa mających zastosowanie do tych stosunków prawnych, nadto nie jest prawdziwa informacja, że wszystkie umowy nie ulegały rozwiązaniu w 2018 r.,

b) sprzeczności pomiędzy bezspornymi okolicznościami wynikającymi

z zebranego materiału dowodowego, a sentencją i uzasadnieniem decyzji albowiem pomimo przyznania, że po wygaśnięciu stosunków prawnych Bank przetwarza dane B.P. w celach archiwalnych, który to cel archiwalny z reguły wynika

z właściwych przepisów prawa nakazujących archiwizować/przechowywać dane lub dokumentację, w tym przepisów wskazanych w niniejszej skardze - decyzja w ogóle nie bierze tego celu przetwarzania pod uwagę, naruszając tym samym wszystkie przepisy prawa wymagające od Banku przetwarzania danych/przechowywania dokumentów po wygaśnięciu stosunku prawnego;

2) naruszenie art. 7b K.p.a. polegające na zaniechaniu zwrócenia się do Komisji Nadzoru Finansowego, jako organu właściwego w sprawach związanych m.in.

z badaniem zdolności kredytowej i analizą ryzyka kredytowego, a także budową modeli statystycznych w zakresie wykorzystywania danych do realizacji tych zadań, w tym danych osobowych dotyczących zapytaniach kredytowych;

3) naruszenie art. 107 ust. 1 pkt 4 K.p.a. w związku z art. 5 ust. 1 lit. b) RODO albowiem zgodnie z zebranym materiałem dowodowym przedmiotem tej sprawy, przedmiotem decyzji, nie jest w żadnym razie ograniczenie celu przetwarzania danych; Bank oświadczył, że przetwarza dane w celu archiwalnym i nikt - ani Organ ani B. P. - tego celu nie podważył, ani nie podważył zakresu danych zebranych

w związku z zawieraniem i wykonywaniem przez wiele lat dwudziestu różnych umów;

4) naruszenie art. 6, art. 107 ust. 1 pkt 4 K.p.a. w związku z wskazanym, jako podstawa prawna decyzji art. 6 ust. 1 RODO, polegające na jego niewłaściwym zastosowaniu, i uznaniu, że przepis ten może być podstawą decyzji nakazującej usunięcie danych podczas, gdy przepis art. 6 ust. 1 określa dopuszczalne prawem podstawy przetwarzania danych i nie może stanowić podstawy prawnej decyzji odmawiającej Bankowi prawa przetwarzania danych, tym bardziej,

że decyzja uznaje niesporny fakt, że Bank przetwarza dane Strony w celu archiwalnym, co odpowiada prawdzie, co oznacza, że Bank ma prawo przetwarzać dane na podstawie art. 6 ust. 1 lit. c RODO zgodnie z odpowiednimi przepisami dotyczącymi przechowania danych, dokumentów lub innego aspektu archiwalnego celu przetwarzania danych;

5) naruszenie art. 6, art. 107 ust. 1 pkt 4 K.p.a. w związku z art.1 7 ust. 1 lit. a RODO poprzez niewłaściwe zastosowanie art. 17 ust. 1 lit. a RODO polegające na uznaniu, że B.P. przysługuje skuteczne żądanie usunięcia danych przetwarzanych przez administratora nawet wówczas, gdy administrator przetwarza dane w celu archiwalnym i jest związany albo bezwzględnie obowiązującymi przepisami prawa obligującymi go do przechowywania danych osobowych, umów, nagrań lub innych dokumentów - po wygaśnięciu stosunku prawnego albo rekomendacjami wydanymi przez uprawnione organy nadzorcze; tym zakresie decyzja narusza zasadę praworządności albowiem Organ powinien z urzędu rozważać sytuacje, gdy bezwzględnie obowiązuje przepisy nakazują przetwarzać dane (dokumenty) w celu archiwalnym;

6) naruszenie art. 107 ust. 1 pkt 4 K.p.a. w związku z art. 60 ust. 7 RODO poprzez błędne zastosowanie art. 60 ust. 7 RODO albowiem pomimo powołania

w podstawie prawnej decyzji art. 60 ust. 7 RODO, zaskarżona decyzja nie została wydana w trybie współpracy między wiodącym organem nadzorczym a innymi organami nadzorczymi, a treści decyzji (ani w jej rozstrzygnięciu ani w uzasadnieniu) nie ma śladu postępowania przewidzianego rozdziałem VII RODO, nie wskazano też żadnej okoliczności, która uzasadniałaby przyjęcie trybu opisanego w Rozdziale VII RODO, wreszcie w niniejsze sprawie tryb ten nie został przyjęty, a w sprawie nie uczestniczyły, wg naszej najlepszej wiedzy, żadne organy nadzorcze innego kraju UE, ani też nie mamy do czynienia z transgranicznym przetwarzaniem danych, które uzasadniałoby stosowanie procedury z art. 60 i nast. RODO.

II. naruszenie przepisów prawa materialnego, które miały wpływ na wynik sprawy tj.:

1. art. 6 ust. 1 lit. c) RODO w związku z art. 86 ustawy z dnia 29 sierpnia 1997 r. Ordynacja podatkowa (tj. Dz. U. z 2020 r. , poz. 1325 ze zm. - dalej: "Ordynacja podatkowa") polegające na niezastosowaniu art. 86 Ordynacji podatkowej, który przewiduje obowiązek zachowania dokumentów związanych z prowadzeniem ksiąg rachunkowych do czasu określonego art. 70 i nast. Ordynacji podatkowej - przedawnienia zobowiązania podatkowego, a dokumentami będącymi podstawą księgowania przychodów banku w danym roku podatkowym są umowy (Bank nie wystawia faktur z tytułu wykonanej czynności bankowej), w tym umowy zawarte ze Stroną, w oparciu, o które przychody te były Bankowi należne, przy czym zastrzec trzeba, że wszystkie dane osobowe wymienione w decyzji były przetwarzane w celu wykonywania umów, a po ich rozwiązaniu w celu archiwalnym, co w żadnej mierze nie zostało podważone w toku postępowania administracyjnego; Wspomniany okres przedawnienia nie upłynął, gdyż wynosi on 5 lat od końca roku kalendarzowego, w którym upłynął termin płatności podatku (czyli roku następnego po roku uzyskania przychodu, gdyż rozliczenie podatku CIT jest zawsze za rok poprzedni);

2. art. 6 ust. 1 lit. c) RODO w związku z art. 33 ust. 2, art. 33 ust. 3, art. 34 ust. 1, art. 36, art. 46 ust. 1 oraz art. 49 ust. 1 i ust. 2 ustawy z dnia 1 marca 2018 r.

o przeciwdziałaniu praniu pieniędzy oraz finansowaniu terroryzmu (tj. Dz. U.

z 2020 r. poz. 971, dalej: ustawa AML), polegające na ich niezastosowaniu

i przyjęciu, że Bank nie legitymuje się przesłanką przetwarzania danych wynikającą z art. 6 ust. 1 lit. c) RODO w związku z ww. przepisami ustawy AML, podczas gdy przepisy te nakładają na Bank obowiązek przetwarzania informacji, w tym danych osobowych w celu przeciwdziałania praniu pieniędzy oraz finansowaniu terroryzmu, w tym obowiązek przechowywania kopii dokumentów

i informacje uzyskane w wyniku stosowania środków bezpieczeństwa finansowego oraz dowody wskazane w art. 49 ust. 1 pkt przez okres 5 lat licząc od dnia roku następującego po roku, w którym zakończono stosunku gospodarcze. Naruszenie to analogicznie odnosi się do art. 49 ust. 2 dotyczącego obowiązku przechowania wyników analiz przez okres 5 lat od pierwszego dnia roku następującego po roku ich przeprowadzenia, decyzja całkowicie pomija bezwzględnie obowiązujące przepisy ustawy AML;

3. naruszenie art. 6 ust. 1 lit. c) RODO w związku z art. 83a ust. 4a ustawy z dnia 29 lipca 2005 r. o obrocie instrumentami finansowymi (tj. Dz. U. z 2021 r. Nr 328 ze zm. dalej: "ustawa o Obrocie") polegające na niestosowaniu art. 83a ust. 4a ustawy o Obrocie, który przewiduje, że obowiązek przechowywania

i archiwizowania dokumentów i informacji wskazanych w ust. 4 tego przepisu,

z zastrzeżeniem art. 73 i art. 76 ust. ll rozporządzenia UE 2017/565, wygasa

z upływem 5 lat, licząc od pierwszego dnia roku następującego po roku,

w którym dokumenty lub nośniki informacji zostały sporządzone lub otrzymane,

a w przypadku regulaminów, procedur oraz innych regulacji wewnętrznych

- z upływem 5 lat, licząc od pierwszego dnia roku następującego po roku,

w którym przestały one obowiązywać. Komisja może zażądać od firmy inwestycyjnej przechowywania i archiwizowania takich danych lub dokumentów po upływie tego terminu, nie dłużej jednak niż przez 7 lat, licząc od pierwszego dnia roku następującego po roku, w którym zostały one sporządzone lub otrzymane, lub przestały obowiązywać;

4. naruszenie art. 6 ust. 1 lit. c) RODO w związku z art. 74 ustawy z dnia

29 września 1994 r. o rachunkowości (tj. Dz. U. z 2021, poz. 721 ze zm. dalej: ustawa o rachunkowości) poprzez naruszenie art. 74 wskazującym 5 letni okres przechowywania danych i dokumentów, który to okres jest liczony od początku roku następnego po roku obrotowym, które dane zbiory dotyczą. Wśród zbiorów mamy także inne dokumenty obejmujące system służący ochronie danych i ich zbiorów, w tym dowodów księgowych, ksiąg rachunkowych i innych dokumentów stanowiących podstawę dokonanych w nich zapisów (art. 10. ust. 1 pkt 4 ustawy o rachunkowości);

5. naruszenie art. 6 ust. 1 lit. f) RODO w związku z Rekomendacją W (np.17.8)

i Rekomendacji T (np. 1.12,6.6,6.10,7.2-3.) Komisji Nadzoru Finansowego, polegające na jego niewłaściwym zastosowaniu i przyjęciu, że Skarżący nie legitymuje się przesłanką przetwarzania danych wynikającą z art. 6 ust. 1 lit. f) RODO w związku z Rekomendacjami W i T Komisji Nadzoru Finansowego, podczas gdy przepisy te nakładają na banki obowiązek analizy danych historycznych (historii rachunku, spłat klienta), jak również historii metod i modeli statystycznych;

6. naruszenie art. 6 ust. 1 lit. c RODO w związku z art. 144 ust. 1 lit. d, art. 145 ust. 1, art. 170 ust. 3 lit. a, art. 171 ust. 2 i art. 179 ust. 1 lit. a oraz art. 181 ust. 2 Rozporządzenia Parlamentu Europejskiego i Rady nr 575/2013 z dnia

26 czerwca 2013 r. w sprawie wymogów ostrożnościowych dla instytucji kredytowych i firm inwestycyjnych, zmieniające rozporządzenie (UE) nr 648/2012 (Dz. Urz. UE L 2013 Nr 176, str. 1, dalej jako CRR), polegające na jego niestosowaniu i przyjęciu, że Skarżący nie legitymuje się przesłanką przetwarzania danych wynikającą z art. 6 ust. 1 lit. c) RODO w związku

z powyższymi przepisami CRR wskazującymi na określone obowiązki w zakresie wymogów ostrożnościowych.

Podnosząc powyższe zarzuty, Skarżący wniósł o uchylenie zaskarżonej decyzji w całości, wyznaczenie rozprawy oraz zasądzenie zwrotu kosztów postępowania według norm przepisanych.

W odpowiedzi na skargę organ wniósł o jej oddalenie, podtrzymując argumentację zawarta w zaskarżonej decyzji.

Wojewódzki Sąd Administracyjny w Warszawie zważył, co następuje:

Zgodnie z art. 184 Konstytucji RP, w związku z art. 1 § 1 ustawy z 25 lipca 2002 r. Prawo o ustroju sądów administracyjnych (t.j. Dz. U. z 2021 r., poz. 137) sądy administracyjne sprawują wymiar sprawiedliwości przez kontrolę działalności administracji publicznej. Kontrola ta sprawowana jest pod względem zgodności z prawem, jeżeli ustawy nie stanowią inaczej. Z kolei przepis art. 3 § 2 pkt 1 ustawy z 30 sierpnia 2002 r. Prawo o postępowaniu przed sądami administracyjnymi (t.j. Dz.U. z 2019 r. poz. 2325, ze zm., zwanej dalej jako "p.p.s.a.") stanowi, że kontrola działalności administracji publicznej przez sądy administracyjne obejmuje orzekanie w sprawach skarg na decyzje administracyjne. Powyższa kontrola dokonywana jest według stanu faktycznego i prawnego na dzień wydania zaskarżonego aktu administracyjnego, na podstawie materiału dowodowego zebranego w toku postępowania administracyjnego. W wyniku takiej kontroli decyzja może zostać uchylona w razie stwierdzenia, że naruszono przepisy prawa materialnego w stopniu mającym wpływ na wynik sprawy lub doszło do takiego naruszenia przepisów prawa procesowego, które mogłoby w istotny sposób wpłynąć na wynik sprawy, ewentualnie w razie wystąpienia okoliczności mogących być podstawą wznowienia postępowania (art. 145 § 1 pkt 1 lit. a), b) i c) p.p.s.a.).

Uwzględnienie skargi może nastąpić również poprzez stwierdzenie nieważności decyzji lub postanowienia – w wypadku ustalenia, że zaskarżony akt jest dotknięty jedną z wad wymienionych w art. 156 § 1 k.p.a. lub w innych przepisach, np. w art. 247 § 1 O.p. (art. 145 § 1 pkt 2 p.p.s.a.). Rozstrzygnięcie sądu nie wymaga w tym wypadku wcześniejszego ustalenia, że ujawniona wada miała wpływ na wynik sprawy.

W wypadku niestwierdzenia wad skutkujących uchyleniem zaskarżonego rozstrzygnięcia, sąd skargę oddala, co wynika z art. 151 p.p.s.a.

Sprawując kontrolę w oparciu o powołane kryterium zgodności z prawem sąd administracyjny orzeka na podstawie akt sprawy administracyjnej, biorąc pod uwagę stan faktyczny i prawny istniejący w dacie wydania ocenianej decyzji, nie uwzględniając okoliczności, które zaistniały w okresie późniejszym. Należy przy tym podkreślić, że sąd administracyjny nie ustala stanu faktycznego, a jedynie wskazuje, które ustalenia organu zostały przez niego przyjęte, a które nie (por. wyrok NSA z 6 lutego 2008 r., sygn. akt II FSK 1665/06, opublikowany - podobnie jak pozostałe przywołane w niniejszym uzasadnieniu orzeczenia sądów administracyjnych – w Centralnej Bazie Orzeczeń Sądów Administracyjnych: http://cbois.nsa.gov.pl).

Zgodnie z art. 134 § 1 p.p.s.a. (w brzmieniu obowiązującym od 15 sierpnia 2015 r.) Sąd rozstrzyga w granicach danej sprawy, nie będąc jednak związany zarzutami i wnioskami skargi oraz powołaną podstawą prawną, z zastrzeżeniem art. 57a p.p.s.a. (który w niniejszej sprawie nie ma zastosowania). W orzecznictwie sądów administracyjnych podkreśla się, że "niezwiązanie granicami skargi" oznacza, że Sąd ma prawo, a jednocześnie obowiązek dokonania oceny zgodności z prawem zaskarżonego aktu administracyjnego nawet wówczas, gdy dany zarzut nie został podniesiony w skardze (por. wyrok NSA z 28 marca 2018 r., sygn. akt I FSK 1000/16, LEX nr 2486221) z tym, że nie może swoimi ocenami prawnymi wkraczać w sprawę nową w stosunku do tej, która była albo powinna być przedmiotem postępowania administracyjnego i wydawanych w nim decyzji administracyjnych.

Badając legalność zaskarżonej decyzji w świetle powyższych kryteriów Sąd stwierdził, że skarga podlega oddaleniu albowiem zaskarżona decyzja odpowiada prawu.

Na wstępie Sąd porządkowo wyjaśnia, że sprawa została rozpoznana na posiedzeniu niejawnym.

Postawą do takiego trybu rozpoznania sprawy stanowi regulacja z art. 15 zzs4 ust. 2 i 3 ustawy z 2 marca 2020 r. o szczególnych rozwiązaniach związanych z zapobieganiem, przeciwdziałaniem i zwalczaniem COVID-19, innych chorób zakaźnych oraz wywołanych nimi sytuacji kryzysowych (Dz. U. z 2020 r., poz. 374, ze zm., dalej: "uCOVID-19").

Powyższy przepis należy traktować jako "szczególny" w rozumieniu art. 10 i art. 90 § 1 p.p.s.a.

W tym miejscu Sąd wyjaśnia, że prawo do publicznej rozprawy nie ma charakteru absolutnego i może podlegać ograniczeniu, w tym także ze względu na treść art. 31 ust. 3 Konstytucji RP, w którym jest mowa o ograniczeniach w zakresie korzystania z konstytucyjnych wolności i praw, gdy jest to unormowane w ustawie oraz tylko wtedy, gdy jest to konieczne w demokratycznym państwie m. in. dla ochrony zdrowia.

Nie ulega wątpliwości, że celem stosowania konstrukcji przewidzianych przepisami uCOVID-19 jest m. in. ochrona życia i zdrowia ludzkiego w związku z zapobieganiem i zwalczaniem zakażenia wirusem COVID-19, a w obecnym stanie faktycznym istnieją takie okoliczności, które w zarządzonym stanie pandemii, w pełni nakazują uwzględnianie rozwiązań powyższej ustawy w praktyce działania organów wymiaru sprawiedliwości, w tym Wojewódzkiego Sądu Administracyjnego w Warszawie w związku z objęciem Miasta Stołecznego Warszawy tzw. obszarem czerwonym w zakresie działań profilaktycznych służących przeciwdziałaniu potencjalnemu zagrożeniu zakażenia wirusem SARS-CoV-2.

Z perspektywy zachowania prawa do rzetelnego procesu sądowego najistotniejsze jest zachowanie uprawnienia przedstawienia przez stronę swojego stanowiska w sprawie (gwarancja prawa do obrony). Uwzględnić przy tym należy brak możliwości przeprowadzania dowodów w sprawie sądowoadministracyjnej (z wyjątkiem ograniczonej dopuszczalności dowodu z dokumentów – art. 106 § 3 p.p.s.a). Jednocześnie podkreślić należy, że dopuszczalne przepisami szczególnymi odstępstwo od posiedzenia jawnego sądu administracyjnego na rzecz formy niejawnej winno następować z zachowaniem wymogów rzetelnego procesu sądowego.

Ten standard ochrony praw stron i uczestników został zachowany albowiem stosowne zarządzenie o rozpoznaniu sprawy w trybie art. 15zzs4 uCOVID-19 zostało wydane przez Przewodniczącego Wydziału II, który skierował sprawę na posiedzenie niejawne z uwagi na to, że przeprowadzenie wymaganej przez ustawę rozprawy mogłoby wywołać nadmierne zagrożenie dla zdrowia osób w niej uczestniczących i nie można jej przeprowadzić na odległość z jednoczesnym przekazem obrazu i dźwięku sprawy.

Jednocześnie strony postępowania miały możliwość złożenia w terminie 7 dni od dnia doręczenia zawiadomienia dodatkowego żądania, wniosków lub wyjaśnień.

Dokonując kontroli legalności zaskarżonej decyzji, Sąd uznał, że odpowiada ona prawu i dlatego oddalił skargę.

Ponieważ zarzuty skargi dotyczą naruszenia zarówno przepisów prawa procesowego, jak i prawa materialnego, Sąd w pierwszej kolejności zobowiązany jest do zbadania czy Organ prawidłowo ustalił stan faktyczny oraz czy stronom postępowania zagwarantowano przysługujące im prawa procesowe.

W tym zakresie Skarżący Bank zarzuca Organowi, w szczególności, błędne ustaleniach faktyczne będące podstawą wydanej decyzji albowiem B. P. (uczestnik postępowania) był stroną 18 różnych umów podlegających różnym przepisom prawa, a nie – jak przyjął Organ - tylko 4 wskazanych w pkt 1 decyzji, co skutkowało całkowitym pominięciem przepisów prawa mających zastosowanie do tych stosunków prawnych. Ponadto Skarżący podnosi, że nie jest prawdziwa informacja zawarta w uzasadnieniu skarżonej decyzji, jakoby wszystkie umowy nie ulegały rozwiązaniu w 2018 r.

W ocenie Sądu, analiza zebranego materiału dowodowego oraz zaskarżonych decyzji przeczy zasadności wskazanych zarzutów i dlatego należało uznać je za niezasadne.

Przede wszystkim Sąd zauważa, że - wbrew twierdzeniom skargi - Prezes UODO w pkt 1 zaskarżonej decyzji nie zawarł takiego stwierdzenia, gdyż użył kwantyfikatora "w tym", które należy intepretować, jako synonim "między innymi".

Powyższe zmienia w zasadniczy sposób perspektywę oceny analizowanego zakresu przedmiotowego umów, jakich dokonał Organ, gdyż w istocie, analiza ta obejmuje wszystkie istotne dla sprawy umowy, a nie "tylko" wybrane (tj. zdaniem Skarżącego – 4 umowy).

Dodać przy tym należy, że również twierdzenia Skarżącego Banku, że "(...) nie jest prawdziwa informacja, że wszystkie umowy nie ulegały rozwiązaniu w 2018 r." nie znajduje potwierdzenia w treści zaskarżonej decyzji Prezesa UODO, o czym świadczy analiza załączonego do akt sprawy materiału dowodowego.

Niezależnie od powyższego stwierdzenia Sąd wyjaśnia, że jeśli Skarżący chciał ten dowód wzruszyć, to zgodnie z przepisem art. 7 K.p.a., inicjatywa w postępowaniu dowodowym przysługuje także stronom postępowania (por. dla przykładu wyroki NSA: z dnia 10 października 2019 r., sygn. akt I OSK 2550/18; z dnia 10 października 2019 r., sygn. akt I OSK 2540/18; z dnia 30 sierpnia 2019 r., sygn. akt II OSK 2411/17).

Brak aktywności dowodowej Skarżącego Banku w tym aspekcie upoważniał zatem Organ do odstąpienia od obowiązku z urzędu poszukiwania dalszych dowodów w tym zakresie i przyjęcia ustaleń faktycznych wynikających ze zgromadzonego materiału dowodowego.

Co również istotne, akta administracyjne potwierdzają, że Prezes UODO prowadząc postępowanie w niniejszej sprawie nie tylko podjął niezbędne i wystarczające działania, konieczne dla wyjaśnienia stanu faktycznego sprawy, ale też zapewnił Skarżącemu Bankowi, zgodnie z art. 10 K.p.a. czynny udział w każdym stadium postępowania, a przed wydaniem decyzji umożliwił wypowiedzenie się co do zebranych dowodów i materiałów oraz zgłoszonych żądań.

W związku z powyższym, stawiane na tę okoliczność zarzuty naruszenia art. 7 kpa w zw. z art. 77, art. 80 oraz art. 107 ust.1 pkt. 4 K.p.a. należy uznać za oczywiście nieuzasadnione.

W ocenie Sądu, jako bezpodstawny uznać należy także zarzut naruszenia przez Organ art. 7 w zw. z art. 77, art. 80 oraz art. 107 ust. 1 pkt. 4 K.p.a., w kontekście pominięcia w zaskarżonej decyzji okoliczności przetwarzania danych w celach archiwalnych. Przeczy temu wprost choćby fragment uzasadnienia, w którym Organ jednoznacznie stwierdza, że "Bank wskazał, że przetwarza obecnie dane Skarżącego w celu archiwizacji, ale w żaden sposób nie wykazał okoliczności uzasadniających przetwarzanie po zamknięciu wszystkich umów przez Skarżącego. Ponadto, Bank wskazał, że podstawą prawną okresu przetwarzania danych stanowi art. 118 Kodeks Cywilny."

Sąd zauważa, że powyższe zarzuty, ściśle wiąże się z istotą sporu między stronami w aspekcie materialnoprawnym, tj. wykładni przepisu art. 6 ust. 1 rozporządzenia 2016/679.

Skarżący stara się bowiem wywieść, że poprzez naruszenie art. 6 oraz art. 107 ust. 1 pkt. 4 K.p.a. kontekście uznania, iż "decyzja uznaje niesporny fakt, że Bank przetwarza dane Strony przeciwnej w celu archiwalnym "(...) dokonano wadliwej subsumpcji przepisu art. 6 ust. 1 rozporządzenia 2016/679, gdyż w takim przypadku "Bank ma prawo przetwarzać dane na podstawie art. 6 ust. 1 lit. c) rozporządzenia 2016/679".

Skarżący formułując powyższy zarzut dokonuje jednak "swobodnej interpretacji" materiału dowodowego, gdyż z ustaleń faktycznych wynika w sposób bezsporny, że Bank, oprócz informacji, że przetwarza dane osobowe B. P. w celu archiwalnym, wskazując okresy powiązane z przedawnieniem roszczeń, o których mowa w art. 118 K.c., nie wykazał jakichkolwiek konkretnych roszczeń, którego przedawnienie miałoby dotyczyć.

Sąd stwierdza, że z zebranego materiału dowodowego nie wynika także, aby B. P. wystąpił z jakimkolwiek roszczeniem wobec Banku, które uzasadniałoby uprawnienie Skarżącego Banku do zachowania i przetwarzania jego danych osobowych dla celów dowodowych w związku z dochodzeniem określonego roszczenia. Jeszcze raz podkreślić należy, że taka inicjatywa dowodowa należała do Skarżącego Banku.

W tym stanie rzeczy przyjąć należy za Prezesem UODO, że nie została zatem spełniona przesłanka niezbędności przetwarzania w celach wynikających z prawnie usprawiedliwionych interesów realizowanych przez administratora. Przesłanka z art. 6 ust 1 lit. f) RODO dotyczy sytuacji już istniejącej, w której celem wynikającym z prawnie uzasadnionych interesów realizowanych przez administratora jest konieczność udowodnienia potrzeby dochodzenia lub obrony przed roszczeniem istniejącym, nie zaś sytuacji, gdy dane są przetwarzane w celu zabezpieczenia się przed ewentualnym roszczeniem.

Reasumując powyższe, skoro w toku postępowania nie stwierdzono aby uczestnik postępowania – B. P. kiedykolwiek skierował wobec Banku jakiekolwiek roszczenie, ew. Bank wdrożył jakieś postępowanie odszkodowawcze wobec w/wym "klienta", to zasadnym jest twierdzenie, że – jak to przyjął Organ - w stanie faktycznym Skarżący Bank przetwarza dane osobowe B. P., w celu wyłącznie "na zapas", aby zabezpieczyć się przed ewentualnymi przyszłymi i niepewnymi roszczeniami w/wym.

W ocenie Sądu, przyjęcie za prawidłowe forsowanego w skardze poglądu, iż przetwarzanie danych osobowych w celu uchylenia się od negatywnych skutków w przypadku zgłoszenia w przyszłości ewentualnego i nieokreślonego roszczenia, stanowi prawnie usprawiedliwiony cel w rozumieniu art. 6 ust. 1 lit. f RODO oznaczałoby, że dane osobowe Skarżących mogą być przetwarzane przez Bank permanentnie, bez konieczności ich usunięcia. Jak słusznie zauważa też Organ, hipotetycznie zakładając, możliwym jest przecież by skarżący klient Banku zwrócił się z roszczeniem po upływie terminu przedawnienia roszczenia, co prowadziłoby tym samym do uznania, że przetwarzanie danych osobowych skarżących przez Bank miałoby uzasadnienie w przesłance określonej art. 6 ust. 1 lit. f RODO w celu realizacji prawa do obrony przed ewentualnym roszczeniem skarżących również po upływie ww. terminu.

Samo powołanie się przez Bank na przetwarzanie danych w celach archiwalnych nie może być uznane za wystarczające wykazanie podstawy prawnej przetwarzania. Należy podkreślić, iż Bank jako podmiot profesjonalny, przetwarzający dane osobowe na dużą skalę, w ocenie Prezesa UODO powinien być w stanie odpowiedzieć w sposób zgodny ze stanem faktycznym na konkretne i jednoznaczne pytanie organu o aktualną podstawę i cel przetwarzania danych osobowych, stąd też Prezes Urzędu Ochrony Danych Osobowych potraktował złożone w toku postępowania wyjaśnienia za wiarygodne i wystarczające. Bank jako administrator danych dysponować powinien najlepszą wiedzą co do prowadzonych przez siebie procesów przetwarzania danych osobowych, ich aktualnych celów i podstaw prawnych. Jest ponadto zobowiązany do udzielenia organowi nadzorczemu, zgodnie z art. 58 ust. 1 lit. e) rozporządzenia 2016/679 wszelkich informacji niezbędnych do realizacji zadań przez ten Prezesa UODO, w tym do zadania z art. 57 ust. 1 lit. f) rozporządzenia 2016/679 polegającego na rozpatrywaniu spraw wniesionych przez osobę, której dane dotyczą. Obowiązek wykazania przez administratora przestrzegania przepisów dotyczących ochrony danych osobowych wynika także z art. 5 ust. 2 rozporządzenia 2016/679. Zgodnie z zasadą rozliczalności wyrażoną w art. 5 ust. 2 ww. rozporządzenia, administrator jest odpowiedzialny za przestrzeganie zasad wynikających z art. 5 ust. 1 rozporządzenia 2016/679 (w tym zasady legalności wyrażonej w art. 5 ust. 1 lit. a) i musi być w stanie wykazać ich przestrzeganie.

Rozporządzenie 2016/679 nie przesądza jednak o tym, jak administrator powinien realizować obowiązki wynikające z zasady rozliczalności zawartej w art. 5 ust. 2 ww. rozporządzenia, niemniej jednak wskazuje na konieczność rozliczania się z przestrzegania przepisów, raportowania ich realizacji oraz przedstawiania dowodów świadczących o prawidłowym wykonywaniu obowiązków. Zasada rozliczalności zobowiązuje administratorów do demonstrowania podjęcia wszelkich środków mających na celu zapewnienie zgodności z obowiązkiem ochrony danych osobowych. W świetle ww. zasady to administrator, a nie organ nadzorczy zajmujący się ochroną danych osobowych, odpowiada za opracowanie, aktualizowanie i utrzymywanie wszystkich procedur i dokumentów związanych z ochroną danych osobowych, a także za stworzenie możliwości dowodowych wykazujących zgodność przetwarzania z przepisami.

W ocenie Sądu, niezasadny jest też zarzut naruszenie art. 107 ust. 1 pkt. 4 K.p.a. w związku z art. 60 ust. 7 rozporządzenia 2016/679, ze względu na brak wcześniejszego poinformowania Banku o prowadzeniu przez Prezesa UODO postępowania "przewidzianego rozdziałem VII rozporządzenia 2016/679" oraz, że "(...) nie wskazano też żadnej okoliczności, która uzasadniałaby przyjęcie trybu opisanego w Rozdziale VII RODO, wreszcie w niniejsze sprawie tryb ten nie został przyjęty, a w sprawie nie uczestniczyły, wg naszej najlepszej wiedzy, żadne organy nadzorcze innego kraju UE, ani też nie mamy do czynienia z transgranicznym przetwarzaniem danych, które uzasadniałoby stosowanie procedury z art. 60 i nast. RODO".

Skarżącemu Bankowi umyka z pola widzenia przepis art. 77 ust. 1 rozporządzenia 2016/679, zgodnie z którym osoby, których dane dotyczą, mają prawo wnieść skargę do wybranego ze względu na miejsce zwykłego pobytu, miejsca pracy lub miejsca popełnienia domniemanego naruszenia organu nadzorczego. Skarżący Bank (w nin. postępowaniu – B. P.) zamieszkuje na terytorium [...]. Skarga na Bank wpłynęła do luksemburskiego organu nadzorczego, który zidentyfikował opisane w skardze przetwarzanie jako mające charakter transgraniczny.

Skoro przedmiotowej sprawie klientem banku była osoba, której dane dotyczą zamieszkała na terytorium Luksemburga, to organ luksemburski prawidłowo wskazał, iż skarga ma charakter transgraniczny, gdyż dotyczy właśnie "przetwarzania transgranicznego", co odpowiada przesłance z art. 4 pkt. 23) rozporządzenia 2016/679.

W ocenie Sądu, za transgranicznym charakterem przetwarzania przemawia również okoliczność, że Skarżący Bank odpowiedzialny za przetwarzanie danych uczestnika postępowania (B.P.) posiada jednostkę organizacyjną na terytorium Polski, a prowadzone przez niego przetwarzanie wpływa lub może znacznie wpłynąć na osoby, których dane dotyczą w więcej niż jednym państwie członkowskim. Bank jest więc administratorem danych B.P., zamieszkałego na terytorium innego państwa członkowskiego, posiada jednostkę organizacyjną na terytorium Polski oraz oferuje swoje usługi osobom zamieszkującym terytorium co najmniej dwóch państw członkowskich: terytorium [...] oraz [...].

Tym samym została spełniona przesłanka z art. 4 pkt, 23 rozporządzenia 2016/679, wystarczająca by uznać, że kwestionowane przetwarzanie ma charakter transgraniczny.

Polski organ nadzorczy, którym jest Prezes UODO, prawidłowo więc zgodził się z opinią organu luksemburskiego, iż przetwarzanie ma charakter transgraniczny oraz uznał się w dniu [...] października 2019 r. za wiodący organ nadzorczy w tej sprawie, ze względu na to, że Bank posiada swoją siedzibę na terytorium Polski.

Sąd zauważa, że dowody potwierdzające ww. stanowisko Prezesa UODO znajdują się w aktach sprawy, z którym Skarżący mógł się zapoznać w toku postępowania, jednakże Bank nie skorzystał z przysługującego mu prawa wglądu do akt.

Dodać jedynie można, że - jak wynika z akt sprawy - Prezes UODO poinformował tak organ luksemburski, a także inne organy nadzorcze o swoim stanowisku poprzez System Wymiany Informacji na Rynku Wewnętrznym (system IMI).

Zgodnie z art. 60 rozporządzenia 2016/679, to wiodący organ nadzorczy prowadzi całościowo sprawę, informując pozostałe organy nadzorcze, których sprawa dotyczy o jej przebiegu i konsultując z nimi swoją ostateczną decyzję.

Analiza akt nie pozostawia wątpliwości, że proces wydawania decyzji w sprawie o sygnaturze [...] przez Prezesa UODO także podlegał tej procedurze.

W świetle szeroko przedstawionych powodów, zarzut naruszenia art. 107 ust. 1 pkt. 4 K.p.a. w związku z art. 60 ust. 7 rozporządzenia 2016/679, ze względu na brak wcześniejszego poinformowania Banku o prowadzeniu przez Prezesa UODO postępowania jest więc bezskuteczny.

Ponadto ubocznie Sąd wskazuje, że Skarżący Bank nie wskazał w jaki sposób, kwestia "skutecznego poinformowania go bądź nie" o charakterze transgranicznym sprawy miałaby wpłynąć na prawidłowość rozstrzygnięcia. Tymczasem dla zasadności takiego zarzutu z punktu widzenia możliwości wzruszenia legalności decyzji należy wykazać, że uchybienie to mogło mieć istotny wpływ na wynik sprawy.

Odnosząc się do zarzutu naruszenia przez Organ art.7b K.p.a. poprzez zaniechanie zwrócenia się do Komisji Nadzoru Finansowego, jako organu właściwego w sprawach obowiązków banków związanych m.in. z badaniem zdolności kredytowej i analizy ryzyka kredytowego w zakresie wykorzystywania do realizacji tych obowiązków danych, w tym danych osobowych o niezrealizowanych zapytaniach kredytowych Sąd podziela pogląd Prezesa UODO, że w realiach sprawy nie było takiej konieczności.

Jak podnosi się w orzecznictwie sądowoadministracyjnym "prawna doniosłość art. 7b k.p.a. polega na tym, że podnosi on do rangi zasady ogólnej nakaz współdziałania organów administracji w związku z potrzebą wyjaśnienia stanu faktycznego i prawnego sprawy, nie formalizując przy tym sposobów tego współdziałania. Można zatem przyjąć, że organy administracji są zobligowane do współdziałania ze sobą w każdym przypadku, gdy przyczyni się to do szybszego załatwienia sprawy" (por. wyrok NSA z 27 lutego 2018 r., sygn. akt II OSK 3116/17).

Prezes UODO, jako "gospodarz" postępowania, w ramach uznania administracyjnego ma prawo decydować czy w konkretnym przypadku należy zwrócić się do Komisji Nadzoru Finansowego. Zgromadzony materiał dowodowy potwierdza, w ocenie Sądu stanowisko Organu, że takie wystąpienie nie przyczyniłoby się do szybszego załatwienia sprawy, a zgromadzony w sprawie materiał dowodowy pozwolił ustalić niesporne okoliczności i fakty oraz był wystarczający do wyjaśnienia stanu faktycznego i prawnego sprawy.

W ocenie Sądu, na tle ustalonego przez Prezesa UODO stanu faktycznego, który wobec wszechstronności i bezsporności zgromadzonych dowodów Sąd uznaje za własny, nie można także podzielić zarzutów naruszenia prawa materialnego.

Organ dokonał prawidłowej subsumpcji mających zastosowanie przepisów, słusznie przyjmując, że do chwili zakończenia wszystkich umów łączących B.P. z Bankiem, Skarżący przetwarzając jego dane osobowe posiadał podstawę prawną przetwarzania danych Skarżącego w związku z art. 6 ust. 1 lit. b) RODO.

Jednakże po wydaniu dyspozycji zakończenia wszystkich umów łączących w/wym z Bankiem oraz w związku ze złożeniem przez B. P. wniosku o usunięcie jego danych osobowych w dniu [...] września 2019 r., przetwarzanie danych osobowych w/wym przez Bank nie znajduje prawnego uzasadnienia w przepisach rozporządzenia 2016/679.

Dlatego też Sąd jako prawidłowe uznaje stanowisko Prezesa UODO zawarte w uzasadnieniu skarżonej decyzji, że dalsze przetwarzanie przez Bank danych osobowych B. P. tj. po wydaniu dyspozycji zakończenia wszystkich umów łączących w/wym klienta z Bankiem oraz w związku z wnioskiem o usunięcie jego danych osobowych z dnia [...] września 2019 r., dalsze przetwarzanie danych osobowych B. P. przez Bank nie tylko znajduje prawnego uzasadnienia w przepisach rozporządzenia 2016/679, ale stanowi naruszenie przepisu art. 6 ust. 1 i 17 ust. 1 rozporządzenia 2016/679.

Zgodnie bowiem z art. 17 ust. 1 lit. a rozporządzenia 2016/679 osoba, której dane dotyczą, ma prawo żądania od administratora niezwłocznego usunięcia dotyczących jej danych osobowych, a administrator ma obowiązek bez zbędnej zwłoki usunąć dane osobowe.

Jak już wcześniej stwierdzono, uprawnienia takiego Bank nie mógł upatrywać w przesłance z art. 6 ust 1 lit. f rozporządzenia 2016/679, gdyż ta dotyczy sytuacji, w której wystąpiono z roszczeniem, czyli sytuacji już istniejącej, a nie wyłącznie hipotetycznej, zaś Bank nie udowodnił aby takie roszczenia zaistniały.

Jedynie ubocznie Sąd na tle powyższej problematyki wyraża stanowisko, że brak jest również uzasadnienia dla przyjęcia, iż terminy dotyczące przedawnienia roszczeń wynikających ze stosunków zobowiązaniowych określają jednocześnie ramy czasowe, w których dane osobowe mogą być przetwarzane przez Bank.

Sądowi z urzędu znany jest wyrok WSA w Warszawie z 13.12.2021r. w sprawie II SA/Wa 1528/21, w którym wyrażono tezę, że "(...) uprawnienie do przechowywania danych osobowych klientów banków po rozwiązaniu umowy wynika wprost ze stosownych przepisów K.c." co prowadzi do wniosku, że przepis art. 105a – Prawo bankowe nie może być rozumiany jako lex specialis, jednakże stanowiska takiego nie może podzielić, skoro właśnie wym. przepis jednoznacznie formułuje przesłanki możliwości przetwarzania określonych danych osobowych, bez zgody osoby, której informacje te dotyczą. Przyjęcie za prawidłowe powyższego poglądu skutkowałoby tym, iż przetwarzanie danych osobowych w celu uchylenia się od negatywnych skutków w przypadku zgłoszenia w przyszłości ewentualnego i nieokreślonego roszczenia, stanowi prawnie usprawiedliwiony cel w rozumieniu art. 6 ust. 1 lit. f RODO, co oznaczałoby, że dane osobowe Skarżących mogą być przetwarzane przez Bank permanentnie, bez konieczności ich usunięcia, zważywszy na okoliczność, że przecież przedawnienie roszczenia nie wpływa na fakt istnienia roszczenia, a powoduje jedynie zmianę w sferze zarzutów procesowych w postaci możliwości podniesienia okoliczności przedawnienia w sporze sądowym.

Reasumując dotychczasowe rozważania i ustalenia, zdaniem Sądu, w konsekwencji stwierdzonych naruszeń przez Skarżący Bank w zakresie przetwarzania danych osobowych B.P., Organ zasadnie zastosował uprawnienie naprawcze wynikające z treści art. 58 rozporządzenia 2016/679.

Wbrew zarzutom skargi, takie działanie przypadku nie stanowi naruszenia zasady praworządności wynikającej z art. 6 K.p.a., ani też naruszenia przepisu art. 107 ust. 1 pkt. 4 K.p.a., gdyż decyzja Organu zawiera należyte powołanie podstawy prawnej, tj. mających zastosowanie w sprawie przepisów art. 5 ust. 1 lit. b, art. 6 ust. 1, art. 17 ust. 1 lit. a, art. 58 ust. 2 lit. c oraz art. 60 ust. 7 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych).

Końcowo podkreślić należy, czego zdaje się nie zauważać Skarżący, że na podstawie art. 58 ust. 1 lit, a) rozporządzenia 2016/679 to na administratorze danych spoczywa obowiązek dostarczenia wszelkich informacji potrzebnych organowi nadzorczemu do realizacji swoich zadań.

Zgodnie z art. 5 ust. 1 rozporządzenia 2016/679, administrator jest zobowiązany do dołożenia szczególnej staranności w celu ochrony interesów osób, których dane dotyczą, a w szczególności do tego, aby dane osobowe były przetwarzane zgodnie z prawem (lit. a) oraz zbierane w konkretnych, wyraźnych i prawnie uzasadnionych celach i nieprzetwarzane dalej w sposób niezgodny z tymi celami (lit. b). Obowiązek wykazania przez administratora przestrzegania przepisów dotyczących ochrony danych osobowych wynika natomiast z art. 5 ust. 2 rozporządzenia 2016/679 (zasada rozliczalności).

Skoro w świetle uregulowanej w art. 5 ust. 2 RODO zasady rozliczalności, to na administratorze, czyli Skarżącym Banku ciążył obowiązek wykazania, że proces przetwarzania danych osobowych skarżącego Bank (B. P.) , prowadzony był zgodnie z ww. zasadami, to tym samym to właśnie Banku jako na administratorze tych ciążył obowiązek wykazania na wezwanie organu nadzoru, że przetwarza dane osobowe w sposób zgodny z prawem i wykazania prawnie uzasadnionego celu przetwarzania tych danych.

Z akt sprawy oraz uzasadnienia zaskarżonej decyzji wynika, że Skarżący Bank z tego obowiązku nie wywiązał się. Skarżący, jako administrator danych nie może oczekiwać, że to organ nadzorczy wyręczy go w realizacji zasady rozliczalności, co wynika z zarzutów skargi kwestionujących prawidłowość ustaleń faktycznych.

Właśnie takie działanie organu byłoby sprzeczne z istotą przepisów rozporządzenia 2016/679, które jednoznacznie wskazują, że jest to rolą administratora, podczas gdy zadaniem organu nadzorczego jest zgodnie z art. 57 ust. 1 lit. a) rozporządzenia 2016/679 egzekwowanie stosowania przepisów ww. rozporządzenia.

Rekapitulując, ponieważ zarzuty skargi są bezpodstawne, a zaskarżona decyzja odpowiada prawu, Sąd obowiązany był na podstawie art. 151 p.p.s.a. skargę oddalić.