Centralna Baza Orzeczeń Sądów Administracyjnych

Wojewódzki Sąd Administracyjny w Warszawie w składzie następującym: Przewodniczący Sędzia WSA Joanna Kube, Sędzia WSA Ewa Marcinkowska (spr.), Sędzia WSA Danuta Kania, po rozpoznaniu na posiedzeniu niejawnym w dniu 22 kwietnia 2021 r. sprawy ze skarg Towarzystwa Ubezpieczeń [...] S. A. z siedzibą w W. oraz Banku [...] S.A. z siedzibą w W. na decyzję Prezesa Urzędu Ochrony Danych Osobowych z dnia [...] lipca 2020 r. nr [...] w przedmiocie przetwarzania danych osobowych 1. uchyla zaskarżoną decyzję oraz utrzymaną nią w mocy decyzję Generalnego Inspektora Ochrony Danych Osobowych z dnia [...] grudnia 2017 r. w zakresie punktu 1; 2. zasądza od Prezesa Urzędu Ochrony Danych Osobowych na rzecz skarżącego Towarzystwa Ubezpieczeń [...] S. A. z siedzibą w W. kwotę 697 (sześćset dziewięćdziesiąt siedem) złotych tytułem zwrotu kosztów postępowania; 3. zasądza od Prezesa Urzędu Ochrony Danych Osobowych na rzecz skarżącego Banku [...] S.A. z siedzibą w W. kwotę 697 (sześćset dziewięćdziesiąt siedem) złotych tytułem zwrotu kosztów postępowania.

Prezes Urzędu Ochrony Danych Osobowych decyzją z dnia [...] lipca 2020 r. nr [...], wydaną na podstawie art. 138 § 1 pkt 1 K.p.a., w związku z art. 22 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. z 2016 r. poz. 922 z późn. zm.) – zwanej dalej u.d.i.p. z 1997 r., art. 160 ust. 1-3 ustawy z 10 maja 2018 r. o ochronie danych osobowych (Dz. U. z 2019 r. poz. 1781) – zwanej dalej u.d.i.p. z 2018 r., oraz art. 4 pkt 1, art. 6 ust. 1 lit. c) i art. 57 ust. 1 lit. a) i lit. f) Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych osobowych) (Dz. Urz. UE L 119 z 4.05.2016, str. 1 oraz Dz. Urz. UE L 127 z 23.05.2018 str. 2) – zwanego dalej RODO, utrzymał w mocy decyzję Generalnego Inspektora Ochrony Danych Osobowych z dnia [...] grudnia 2017 r. sygn. [...] w przedmiocie nakazania Towarzystwu Ubezpieczeń [...] S.A. z siedzibą w [...] usunięcia uchybień w procesie przetwarzania danych osobowych M.K. i L.K., poprzez zaprzestanie przetwarzania ich danych osobowych w zakresie numeru umowy kredytowej nr [...] z dnia [...] marca 2008 r. zawartej przez nich z Bankiem [...] S.A. z siedzibą w W..

Decyzje powyższe zostały wydane w następującym stanie faktycznym i prawnym.

Do Biura Generalnego Inspektora Ochrony Danych Osobowych (aktualnie: Urzędu Ochrony Danych Osobowych) – zwanego dalej GIODO, wpłynęła skarga M. i L.K. na przetwarzanie ich danych osobowych przez Towarzystwo Ubezpieczeń [...] S.A. z siedzibą w W. (zwane dalej TU [...] S.A.) oraz przez Bank [...] S.A. z siedzibą w W. (zwanym dalej Bankiem). Skarżący w treści skargi wskazali, że podpisali z Bankiem umowę o kredyt hipoteczny nr [...], a jednym z zabezpieczeń tego kredytu jest tzw. Ubezpieczenie Niskiego Wkładu Własnego (UNWW). W trakcie drugiej składki ubezpieczeniowej Bank niezgodnie z zapisami umowy, tzn. bez ich zgody oraz bez poinformowania przekazał ich dane osobowe do TU [...] S.A., tymczasem w umowie kredytowej jest zapis mówiący o tym, że to ubezpieczenie będzie przekazywane przez Bank do Towarzystwa Ubezpieczeniowego [...] S.A. (a nie TU [...] S.A.).

W toku postępowania przed GIODO Bank w piśmie z dnia [...] października 2017 r. wyjaśnił, że przetwarza dane osobowe M. i L.K. w ramach realizacji umowy o kredyt hipoteczny nr [...]. Dane osobowe skarżących przetwarzane są w zbiorze o nazwie "Klienci Banku". W przypadku kredytu skarżących, w ramach pierwszego 36-cio miesięcznego, jak i obecnego okresu ubezpieczenia, ochronę ubezpieczeniową w zakresie ubezpieczenia niskiego wkładu własnego świadczyło/świadczy TU [...] S.A. Natomiast w okresie obejmującym drugi 36-cio miesięczny okres ochrony ubezpieczeniowej oraz 26 pierwszych miesięcy trzeciego okresu ochrony ubezpieczeniowej, kredyt skarżących był objęty ubezpieczeniem przez TU [...] S.A. W ramach umowy ubezpieczenia niskiego wkładu portfela kredytów hipotecznych z dnia [...] lipca 2010 r. zawartej pomiędzy Bankiem a TU [...] S.A., Bank w związku z objęciem kredytu skarżących ubezpieczeniem niskiego wkładu własnego, przekazał do TU [...] S.A. wyłącznie informacje dotyczące parametrów ubezpieczonego kredytu tj. data uruchomienia, data przyjęcia do ubezpieczenia, numer umowy, waluta, kurs, podstawa naliczania kosztu ubezpieczenia niskiego wkładu własnego, opłata.

TU [...] S.A. w piśmie z dnia [...] października 2017 r. wyjaśnił natomiast, że w związku z umową ubezpieczenia niskiego wkładu portfela kredytów hipotecznych z dnia [...] lipca 2010 r. Bank przekazał Towarzystwu jedynie rejestry kredytów, które zawierały m.in. datę uruchomienia kredytu, podstawę naliczenia składki oraz numer umowy kredytowej, które nie stanowiły dla TU [...] S.A. danych osobowych ze względu na brak możliwości zidentyfikowania osoby fizycznej, której kredyt hipoteczny został udzielony. Towarzystwo przetwarza przekazane mu przez Bank informacje dotyczące parametrów ubezpieczonego kredytu uczestników postępowania, w tym numer umowy kredytowej.

GIODO decyzją z dnia [...] grudnia 2017 r. wydaną na podstawie art. 6, art. 12 pkt 2, art. 22, art. 23 ust. 1 pkt 2 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych nakazał Towarzystwu Ubezpieczeń [...] S.A. z siedzibą w W. usunięcie uchybień w procesie przetwarzania danych osobowych M.K. i L.K., poprzez zaprzestanie przetwarzania ich danych osobowych w zakresie numeru umowy kredytowej nr [...] z dnia [...] marca 2008 r. zawartej przez ww. z Bankiem [...] S.A. z siedzibą w W., a w pozostałym zakresie odmówił uwzględnienia wniosku.

W uzasadnieniu decyzji GIODO podkreślił, że kwestię sporną w niniejszym postępowaniu jest to, czy informacje, które przekazał Bank TU [...] S.A. stanowią dane osobowe w rozumieniu u.d.i.p. z 1997 r., a jeśli tak, to czy istniała podstawa prawna do ich udostępnienia.

Przywołując treść art. 6 u.d.i.p. z 1997 r. organ stwierdził, że odnośnie okoliczności niniejszej sprawy numer umowy kredytowej skarżących należy potraktować jako numer identyfikacyjny, na podstawie którego można zidentyfikować ich tożsamość. Nie ulega przy tym wątpliwości, że dla Banku numer umowy kredytowej stanowi daną osobową skarżących, ponieważ Bank jest stroną tej umowy. Z kolei, o ile TU [...] S.A. po samym numerze umowy kredytowej nie jest w stanie bezpośrednio określić tożsamości skarżących, o tyle numer ten daje mu ewentualną, pośrednią możliwość do ustalenia tej tożsamości, bez nadmiernych kosztów, czasu i działań, w sytuacji gdy będzie przysługiwało mu roszczenie regresowe względem skarżących z tytułu niespłacenia wymaganego zobowiązania. Na podstawie numeru umowy kredytowej TU [...] S.A. przysługuje bowiem roszczenie regresowe wobec skarżących, jeśli Bank zgłosi wniosek o wypłatę świadczenia ubezpieczeniowego. Tym samym, zdaniem GIODO, TU [...] S.A. na podstawie numeru umowy kredytowej posiada możliwość ustalenia tożsamości skarżących.

Odnosząc się do powyższych ustaleń oraz kwestii stwierdzenia istnienia podstaw prawnych do przekazania danych osobowych przez Bank na rzecz TU [...] S.A. GIODO zauważył, że z punktu widzenia u.d.i.p. z 1997 r. przetwarzanie (w tym udostępnianie, pozyskiwanie) danych osobowych jest dopuszczalne, gdy spełniona jest co najmniej jedna z przesłanek wskazanych w jej art. 23 ust. 1 – 5, gdy chodzi o tzw. dane zwykłe (do których zaliczyć należy numer umowy kredytowej).

W ocenie GIODO w sprawie nie zachodzi żadna ze wskazanych w art. 23 ust. 1 u.d.i.p. z 1997 r. przesłanek uprawniających TU [...] S.A. do dalszego przetwarzania numeru umowy kredytowej zawartej przez skarżących z Bankiem. Skarżący nie wyrazili bowiem zgody na przetwarzanie przez TU [...] S.A. ich danych osobowych, w umowie pomiędzy skarżącymi, a Bankiem brak jest zapisu przewidującego możliwość przekazania oraz przede wszystkim przetwarzania przez TU [...] S.A. jakichkolwiek ich danych osobowych. Nie istnieje również przepis prawa przewidujący możliwość przetwarzania przez TU [...] S.A. danych osobowych skarżących, a dotyczących ich umowy kredytowej zawartej z Bankiem. Jednocześnie brak jest przewidzianych w art. 23 ust. 1 pkt 5 u.d.i.p. z 1997 r. przesłanek uzasadniających możliwość zakwalifikowania przetwarzania przez TU [...] S.A. danych osobowych skarżących w ww. zakresie. W ocenie organu, kwestia zabezpieczenia się Banku z tytułu udzielonych kredytów nie może stanowić o wypełnieniu warunku prawnie usprawiedliwionego celu przy jednoczesnych nie naruszeniu praw osób, których dane dotyczą (skarżących), w sytuacji, gdy osoby te nie zostały przez Bank poinformowane o okolicznościach towarzyszących procesowi przetwarzania ich danych osobowych, a zwłaszcza udostępnienia ich danych osobowych dotyczących zawartej urnowy kredytowej, na rzecz podmiotów lub osób trzecich, o ukrytej w chwili zawierania umowy tożsamości.

Wobec powyższego GIODO uznał, że pozyskanie oraz dalsze przetwarzanie przez TU [...] S.A. danych osobowych skarżących w zakresie numeru ich umowy kredytowej zawartej z Bankiem pozostaje niezgodne z przepisami u.d.i.p. z 1997 r.

Odnosząc się natomiast do oceny działania Banku polegającego wyłącznie na udostępnienia danych osobowych skarżących na rzecz TU [...] S.A. GIODO wskazał, że rozważania przedstawione odnośnie okoliczność przetwarzania ww. danych przez TU [...] S.A. pozostają aktualnymi. Skarżący nie wyrazili bowiem zgody na udostępnienie ich danych osobowych przez Bank na rzecz TU [...] S.A. Nie ma także przepisów prawnych, które uprawniałyby Bank do takiego udostępnienia danych osobowych, w szczególności nie wynika to z żadnego przepisu ustawy z dnia 29 sierpnia 1997 r. Prawo bankowe (Dz. U. z 2016 r. poz. 1988 z późn. zm.). Z kolei przesłanka z art. 23 ust. 1 pkt 3 u.d.i.p. z 1997 r., o ile stanowi podstawę prawną do przetwarzania danych osobowych skarżących przez Bank z tytułu umowy kredytowej, o tyle nie może mieć zastosowania w przypadku umowy zawartej przez Bank z TU [...] S.A., gdyż skarżący nie byli stroną tej umowy. Dla organu oczywistym jest, że udostępnienie danych osobowych skarżących nie może być uznane za niezbędne do wykonania określonych prawem zadań realizowanych dla dobra publicznego, jak stanowi art. 23 ust. 1 pkt 4 u.d.i.p. z 1997 r. W ocenie GIODO nie można także wytłumaczyć działania Banku w oparciu o przesłankę usprawiedliwionego celu administratora lub odbiorcy danych z art. 23 ust. 1 pkt 5 u.d.i.p. z 1997 r., który to cel nie narusza praw i wolności osoby, której dane dotyczą, zwłaszcza, gdy Bank nawet nie poinformował skarżących o zamiarze przekazania ich danych ubezpieczycielowi innemu, niż ten, który był wskazany w podpisywanej przez nich umowie kredytowej. GIODO wyjaśnił zatem, że z punktu widzenia u.d.i.p. z 1997 r. Bank powinien spełnić wobec skarżących obowiązek informacyjny wynikający z art. 24 ust. 1. tej ustawy. Tymczasem Bank nie poinformował nawet o przewidywanych odbiorcach, tj. o tym, że przewiduje możliwość przekazania danych osobowych skarżących ubezpieczycielom innym niż ten, który został wymieniony w podpisanej przez nich umowie. Spełnienie tego obowiązku nie byłoby konieczne, gdyby zmiana ubezpieczyciela przez Bank z Towarzystwa Ubezpieczeń [...] S.A. na TU [...] S.A. była wynikiem następstwa prawnego mającego umocowanie w przepisach prawa. Natomiast TU [...] S.A. był nowym podmiotem niezwiązanym z poprzednim ubezpieczycielem, wybranym przez Bank bez wiedzy skarżących. Jak wynika z zebranego w sprawie materiału dowodowego Bank nie zawiadomił skarżących o zawarciu umowy z TU [...] S.A., ani nie przekazał im żadnych informacji jej dotyczących. Nie można też uznać, by przekazanie danych osobowych skarżących na rzecz TU [...] S.A. było oparte na usprawiedliwionym celu Banku, skoro cel ten jednocześnie naruszał prawa skarżących, m.in. prawo do uzyskania informacji, komu i w jakim celu ich dane zostaną przekazane, czy prawo do swobodnego podjęcia decyzji w kwestii wyboru innego ubezpieczyciela.

GIODO zaznaczył też, że kwestia wyboru ubezpieczyciela przez Bank bez zgody kredytobiorców w przedmiocie ubezpieczenia niskiego wkładu własnego kredytów hipotecznych była negatywnie oceniana przez Komicję Nadzoru Finansowego, która opracowała ostatecznie Rekomendację U dotyczącą dobrych praktyk w zakresie bancassurance, mającą na celu poprawę jakości standardów współpracy pomiędzy bankami i zakładami ubezpieczeń oraz ochronę uczestników rynku finansowego, tj. klientów i konsumentów.

Powyższe okoliczności faktyczne i prawne powodują w ocenie GIODO, że konieczne jest na podstawie art. 18 ust. 1 pkt 6 u.o.d.o. z 1997 r. nakazanie wyeliminowania nieprawidłowości w procesie przetwarzania przez TU [...] S.A. danych osobowych skarżących w sposób określony w sentencji decyzji.

Wniosek o ponowne rozpatrzenie sprawy zakończonej decyzją z dnia [...] grudnia 2017 r., w zakresie rozstrzygnięcia zawartego w punkcie 1 tej decyzji, złożył zarówno Bank [...] S.A., jak i TU [...] S.A.

Bank [...] S.A. we wniosku o ponowne rozpatrzenie sprawy wniósł, na podstawie art. 78 § 1 w zw. z art. 75 § 1 K.p.a. o przeprowadzenie dowodu z:

1. oświadczenia TU [...] S.A. z dnia [...] grudnia 2015 r. o zrzeczeniu się roszczeń regresowych;

2. zanonimizowanego wyciągu z Wniosku kredytowego skarżących: na okoliczności związane z: i) brakiem regresu TU [...] S.A., a co za tym idzie brakiem możliwości ustalenia przez TU [...] S.A. tożsamości kredytobiorców; ii) poinformowaniem kredytobiorców o możliwości przetwarzania ich danych i przekazywania ich podmiotom upoważnianym na podstawie przepisów prawa.

W uzasadnieniu wniosku Bank podniósł, iż GIODO w swoich rozważaniach co do możliwości ustalenia przez TU [...] S.A. tożsamości kredytobiorców całkowicie pominął fakt, że w sprawie niniejszej nie mamy w ogóle do czynienia z roszczeniami regresowymi wobec kredytobiorców, a to czy roszczenia takie mogą zaistnieć zależy nie od TU [...] S.A., a od samych kredytobiorców. Przy czym TU [...] S.A. złożyło Bankowi oświadczenie o zrzeczeniu się roszczeń regresowych na długo przed wszczęciem niniejszej sprawy, tak więc przekazanie danych kredytobiorców w związku z roszczeniami regresowymi nie może mieć w ogóle miejsca.

Ponadto, przyjęcie przez GIODO, jakoby TU [...] S.A. miało pośrednią możliwość ustalenia tożsamości kredytobiorców bez nadmiernych kosztów, czasu i działań pozostaje w oczywistej sprzeczności z art. 104 Prawa bankowego. Podobnie jak twierdzenie o tym, że w przypadku roszczeń regresowych brak jest ustawowej podstawy prawnej przetwarzania danych pozostaje w oczywistej sprzeczności z art. 828 § 1 k.c. oraz art. 42 ustawy o działalności ubezpieczeniowej i reasekuracyjnej.

Bank podkreślił, że w grudniu 2015 r., a więc na dwa lata przed wydaniem decyzji i wszczęciem niniejszego postępowania, TU [...] S.A. złożyło Bankowi oświadczenie o zrzeczeniu się roszczeń regresowych z tytułu ubezpieczenia niskiego wkładu własnego. Powyższe oznacza, że opisywana na str. 3 decyzji ewentualna, pośrednia możliwość ustalenia tożsamości bez nadmiernych kosztów, czasu i działań, w sytuacji gdy będzie przysługiwał TU [...] S.A. roszczenie regresowe względem skarżących z tytułu niespłacenia wymaganego zobowiązania nie może mieć w ogóle miejsca,. Nie budzi bowiem wątpliwości, że przed dniem [...] grudnia 2015 r. TU [...] S.A. nie nabyło w stosunku do skarżących kredytobiorców roszczeń regresowych, po tym zaś dniu zrzekło się ich, co w świetle art. 828 § 1 k.c. skutkuje tym, że nie może ich od nich dochodzić.

Skoro zatem całe uzasadnienie decyzji opiera się na ewentualnych roszczeniach regresowych TU [...] S.A., których de facto TU [...] S.A. nie posiada, to decyzja w pkt 1 pozostaje błędna, ponieważ sam organ stwierdził, że TU [...] S.A. po samym numerze umowy kredytowej nie jest w stanie bezpośrednio określić tożsamości skarżących. W braku regresu jedyną wiec możliwością ustalenia przez TU [...] S.A. tożsamości skarżących jest przekazanie ich danych przez GIODO w zaskarżonej decyzji, ponieważ dane przekazane przez Bank w żaden sposób nie umożliwiają TU [...] S.A. ustalenia tożsamości skarżących.

Jako błędne Bank ocenił też ustalenia GIODO jakoby nie poinformował skarżących o możliwości przekazywania ich danych do towarzystwa ubezpieczeń, skoro cały § 9 ust. 7 do 10 umowy kredytu mówi o ubezpieczeniu umowy kredytu ubezpieczeniem niskiego wkładu własnego, a regres ubezpieczeniowy i obowiązek przekazania danych zakładowi ubezpieczeń wypłacającemu odszkodowanie wynika wprost z art. 828 § 1 k.c. oraz art. 42 ustawy o działalności ubezpieczeniowej i reasekuracyjnej. Nadto, we wniosku kredytowym Bank zawarł wyraźną informację, że dane osobowe skarżących mogą być przekazywane do podmiotów upoważnionych na podstawie przepisów prawa, w tym również na podstawie art. 828 § 1 k.c. oraz art. 42 ustawy o działalności ubezpieczeniowej i reasekuracyjnej.

Bank wskazał też, że zgodnie z art. 104 Prawa bankowego zobowiązany jest do zachowania tajemnicy bankowej, której poziom ochrony jest zdecydowanie wyższy, aniżeli poziom ochrony danych osobowych wynikających z u.d.i.p. z 1997 r., a której ochronie służy właśnie system numerycznej identyfikacji klientów w miejsce posługiwania się danymi takimi jak imię i nazwisko, czy PESEL. Tym samym, nawet pracownicy Banku, w oparciu tylko o numer umowy kredytu, w braku po ich stronie odpowiednich uprawnień, nie są w stanie ustalić tożsamości skarżących , ponieważ do jej ustalenia potrzebny jest 1) dostęp do urządzenia końcowego systemu informatycznego Banku, który zgodnie z zaleceniami wynikającymi z Rekomendacji D dotyczącej zarządzania obszarami technologii informacyjnej i bezpieczeństwa środowiska teleinformatycznego w bankach, jest ograniczony oraz 2) odpowiedni poziom uprawnień pracownika. Żaden z tych atrybutów nie przysługiwał zaś TU [...] S.A., co TU [...] S.A. potwierdziło w wyjaśnieniach udzielonych organowi.

Ponadto, w ocenie Banku, wbrew twierdzeniom organu, w przypadku regresu przekazanie do TU [...] S.A. informacji pozwalających na ustalenie danych kredytobiorców miałoby podstawę prawną w przepisie art. 828 § 1 k.c.

Co jednak najistotniejsze, w odniesieniu do TU [...] S.A. będącego zakładem ubezpieczeń w rozumieniu ustawy z dnia 11 września 2015 r. o działalności ubezpieczeniowej i reasekuracyjnej samodzielną, ustawową podstawę do przetwarzania danych osobowych skarżących w przypadku zajścia zdarzenia losowego w postaci braku spłaty kredytu warunkującego wypłatę odszkodowania z tytułu ubezpieczenia niskiego wkładu własnego i regres stanowi art. 42 tej ustawy, a przed 2015 r. art. 25 ustawy z dnia 22 maja 2003 r. o działalności ubezpieczeniowej. Błędnie zatem GIODO z jednej strony utożsamia przekazania danych osobowych kredytobiorców w związku z ewentualną wypłatą odszkodowania i regresem, z przekazaniem samego numeru umowy kredytu dla potrzeb ewidencyjnych i obliczenia składki, z drugiej zaś strony przyjmuje, jakoby zakład ubezpieczeń, który wypłacił odszkodowanie w związku ze zdarzeniem losowym, nie dysponował podstawą prawną do przetwarzania danych osobowych sprawcy szkody.

TU [...] S.A. we wniosku o ponowne rozpatrzenie sprawy podkreśliło natomiast, że na podstawie umowy ubezpieczenia Bank, w związku z tym, że TU [...] S.A. nie posiadało zgody kredytobiorców na przetwarzanie ich danych osobowych, zobowiązany był do przekazywania wszelkich dokumentów związanych z przedmiotowym stosunkiem ubezpieczenia, w formie uniemożliwiającej identyfikację danych osobowych kredytobiorców oraz do usunięcia wszelkich danych osobowych kredytobiorcy oraz danych umożliwiających identyfikację kredytobiorcy.

Przekazanie danych osobowych kredytobiorców stoi bowiem w sprzeczności z zapisami Umowy ubezpieczenia niskiego wkładu portfela kredytów hipotecznych z dnia [...] lipca 2010 r. zawartej pomiędzy TU [...] S.A., a Bankiem. Nadto, dane osobowe skarżących stanowią tajemnicę bankową, a ich ujawnienie TU [...] S.A. wiązałoby się z uzyskaniem – zgodnie z treścią art. 104 ust. 3 Prawa bankowego – zgody udzielonej w formie upoważnienia na ujawnienie tajemnicy bankowej, pochodzącej od beneficjenta tajemnicy.

TU [...] S.A. podniosło nadto, że ewentualne pozyskanie danych osobowych na etapie wystąpienia po stronie TU [...] S.A. roszczenia regresowego względem skarżących znajduje swoją podstawę prawną w art. 23 ust. 4 pkt 2 u.d.i.p. z 1997 r. w związku z art. 828 k.c. oraz art. 4 ust. 8 pkt 5 ustawy o działalności ubezpieczeniowej i reasekuracyjnej (przetwarzanie danych jest niezbędne do realizacji przewidzianych prawem roszczeń regresowych). Towarzystwo wyjaśniło dalej, że zgoda na przetwarzanie danych winna dotyczyć tylko tych czynności na danych, które nie znajdują szczególnej podstawy prawnej. Jeżeli prawodawca rozstrzyga dopuszczalność przetwarzania danych określając prawa i obowiązku, dla których niezbędne jest wykonywanie czynności na danych, zbędne jest zwracanie się do podmiotu danych o wyrażenie zgody w tym przedmiocie. Co więcej, może to wprowadzać w błąd osobę, której dane dotyczą, w tym znaczeniu, że może wywoływać po jej stronie mylne przeświadczenie o możliwości skutecznego zapobieżenia przetwarzaniu danych. Zatem w ocenie TU [...] S.A., ma ono prawo przetwarzać numer umowy kredytowej, ponieważ przed wszczęciem postępowania regresowego względem niego ta dana nie stanowi danej osobowej, a po wszczęciu postępowania regresowego ma ono prawo przetwarzania danych osobowych na podstawie ww. przepisów prawa.

TU [...] S.A. podkreśliło też, że z dniem [...] grudnia 2015 r. złożyło względem Banku oświadczenie o rezygnacji z prawa do roszczenia regresowego, przysługującego mu na podstawie art. 828 k.c. wobec klientów banku, którzy zawarli umowę kredytu objętą umową ubezpieczenia niskiego wkładu portfela kredytów hipotecznych z dnia [...] lipca 2010 r. w stosunku do odszkodowań wypłaconych Bankowi po dniu [...] października 2015 r. Nie jest natomiast sporny fakt, że przed dniem [...] grudnia 2015 r. nie nabyło w stosunku do skarżących roszczeń regresowych, po tym zaś dniu zrzekło się ich, co skutkuje brakiem możliwości ich dochodzenia, a w konsekwencji brakiem podstawy do pozyskania danych skarżących w związku z roszczeniami regresowymi. Zatem TU [...] S.A. na podstawie numeru umowy kredytowej nie posiada ewentualnej możliwości ustalenia tożsamości skarżących.

Prezes Urzędu Ochrony Danych Osobowych, w wyniku ponownego rozpatrzenia sprawy, decyzją z dnia [...] lipca 2020 r. utrzymał w mocy zaskarżoną decyzję Generalnego Inspektora Ochrony Danych Osobowych z dnia [...] grudnia 2017 r.

W uzasadnieniu decyzji Prezes UODO w pierwszej kolejności wyjaśnił, że z dniem 25 maja 2018 r. w życie weszły przepisy ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych.

Przywołując art. 160 ust. 1-3 u.o.d.o. z 2018 r., Prezes UODO stwierdził, że niniejsze postępowanie, wszczęte i niezakończone przed dniem 25 maja 2018 r., prowadzone jest na podstawie u.d.i.p. z 1997 r. (w zakresie dotyczącym przepisów regulujących procedurę administracyjną) oraz na podstawie RODO (w zakresie rozstrzygającym o legalności procesu przetwarzania danych osobowych).

Organ wskazał w związku z tym, że w świetle przepisów RODO, przetwarzanie danych osobowych jest zgodne z prawem, gdy spełniona zostanie którakolwiek z przesłanek wymienionych w art. 6 ust. 1 RODO (stanowiącym odpowiednik obowiązującego do dnia 25 maja 2018 r. art. 23 ust. 1 u.o.d.o. z 1997 r.).

W niniejszym postępowaniu kwestią sporną nadal pozostaje natomiast to, czy numer umowy kredytowej, który przekazał Bank TU [...] S.A., stanowi daną osobową w rozumieniu ustawy o ochronie danych osobowych, a jeżeli tak, to czy zaistniała podstawa prawna do jego udostępnienia.

Wskazując na brzmienie art. 6 u.o.d.o. z 1997 r., którego odpowiednikiem na gruncie obowiązujących aktualnie przepisów jest art. 4 pkt 1 RODO, Prezes UODO stwierdził, że numer umowy kredytowej stanowi dla TU [...] S.A. daną osobową, ponieważ na jego podstawie TU [...] S.A. ma co najmniej pośrednią możliwość ustalenia tożsamości skarżących bez nadmiernych kosztów, czasu i działań. Co prawda, w kwestionowanej decyzji organ na takową ewentualną, pośrednią możliwość wskazał jedynie sytuację posiadania przez TU [...] S.A. tzw. roszczenia regresowego względem skarżących na skutek wniosku Banku o wypłatę ubezpieczenia, jednak sytuacja taka zachodzi również w sytuacji pozyskania przez TU [...] S.A. danych osobowych skarżących w trakcie toczącego się postępowania przed Prezesem UODO. Prezes UODO przyznał jednocześnie, że po samym numerze umowy kredytowej TU [...] S.A. nie byłoby w stanie ustalić tożsamości skarżących, jak również nie mogłoby tego zrobić w oparciu o roszczenie regresowe, niemniej jednak zainicjowanie skargi przez M. i L.K. dało TU [...] S.A. takową możliwość. Zatem mając na uwadze definicję danych osobowych Prezes UODO uznał, że numer umowy kredytu jest daną osobową dla TU [...] S.A. w rozumieniu ustawy o ochronie danych osobowych, ponieważ TU [...] S.A. może ustalić tożsamość skarżących w oparciu o zestawienie tego numeru z danymi pozyskanymi w toku niniejszego postępowania, a procedura ta - zdaniem Prezesa UODO - nie jest w istocie skomplikowana, wobec czego nie wymaga nadmiernych kosztów, czasu i działań.

Zdaniem Prezesa UODO w rozpatrywanej sprawie nie zachodzi też żadna z przesłanek warunkujących legalność przetwarzania danych osobowych skarżących.

Prezes UODO zaznaczył przy tym, że owszem roszczenie regresowe z art. 828 k.c. przechodzi z mocy prawa na ubezpieczyciela, ale dla jego ważności Bank najpierw powinien pozostawić skarżącym prawo do realnego wyboru podmiotu ubezpieczającego kredyt. W związku z powyższym bez znaczenia pozostaje fakt, że TU [...] S.A. z dniem [...] grudnia 2015 r. złożyło względem Banku oświadczenie o rezygnacji z prawa do roszczenia regresowego wskazanego w art. 828 k.c. wobec klientów banku, którzy zawarli umowę kredytu objętą umową ubezpieczenia niskiego wkładu portfela kredytów hipotecznych z dnia [...] lipca 2010 r. w stosunku do odszkodowań wypłaconych bankowi po dniu [...] października 2015 r. Gdyby bowiem Bank w przygotowanym przez siebie formularzu umownym wskazał TU [...] S.A. jako podmiot, który udzielał ochrony ubezpieczeniowej, koszty której zwracać mieli skarżący, można byłoby mówić o podstawie prawnej upoważniającej TU [...] S.A. do przetwarzania ich danych osobowych. Bank wskazał jednak we wniosku kredytowym inny podmiot, tj. TU [...] S.A. i nie przedstawił chociażby aneksu do umowy o kredyt hipoteczny, który wskazywałby na legalną zmianę podmiotu ubezpieczającego kredyt.

Prezes UODO podniósł ponadto, że kwestia wyboru ubezpieczyciela przez Bank, bez zgody kredytobiorców w przedmiocie ubezpieczenia niskiego wkładu kredytów hipotecznych, była negatywnie oceniana nie tylko przez Komisję Nadzoru Finansowego w Rekomendacji U dotyczącej dobrych praktyk w zakresie bancassurance, lecz również w coraz to liczniejszych orzeczeniach sądów powszechnych.

Reasumując organ wskazał, że ocena dokonywana przez Prezesa UODO w każdym przypadku służy zbadaniu zasadności skierowania pod adresem określonego podmiotu nakazu, odpowiadającego dyspozycji art. 18 ust. 1 u.o.d.o. z 1997 r. służącego przywróceniu stanu zgodnego z prawem, w procesie przetwarzania danych. W ocenie Prezesa UODO nie ma podstaw do stwierdzenia, że na gruncie rozpatrywanej sprawy numer umowy kredytu skarżących nie jest daną osobową i w związku z czym może jako taki zostać udostępniony TU [...] S.A., które de facto nie widnieje w zawartej między skarżącymi, a Bankiem umowie. Nie zachodzi też żadna z przesłanek z art. 23 ust. 1 pkt 1-5 u.o.d.o. z 1997 r. uprawniająca TU [...] S.A. do przetwarzania danych osobowych skarżących, w tym do ich udostępniania przez Bank.

TU [...] S.A., reprezentowane przez pełnomocnika, w skardze na powyższą decyzję Prezesa UODO skierowanej do Wojewódzkiego Sądu Administracyjnego w Warszawie zarzuciło:

1) naruszenie przepisów o postępowaniu, tj. art. 107 § 1 pkt 5 K.p.a. poprzez jego niewłaściwą wykładnię i zastosowanie prowadzące do zawarcia w zaskarżonej decyzji rozstrzygnięcia, które jest niewykonalne i która to niewykonalność ma charakter trwały,

2) naruszenie prawa materialnego, tj. art. 4 pkt 1) RODO przez jego niewłaściwą wykładnię i zastosowanie poprzez przyjęcie, że numer umowy kredytowej stanowi dla TU [...] S.A. dane osobowe, co doprowadziło do wydania zaskarżonej decyzji nakazującej zaprzestanie przetwarzania danych w zakresie numeru umowy kredytowej.

W związku z powyższymi zarzutami TU [...] S.A. wniosło o uwzględnienie skargi i stwierdzenie nieważności zaskarżonej decyzji w całości i umorzenie w tym zakresie postępowania administracyjnego – na podstawie art. 145 § 1 pkt 2 P.p.s.a., alternatywnie o:

a) uchylenie zaskarżonej decyzji na podstawie art. 145 § 1 pkt 1 lit. a) P.p.s.a.;

b) zobowiązanie Prezesa UODO do wydania w terminie 30 dni decyzji o umorzeniu postępowania w niniejszej sprawie – na podstawie art. 145a § 1 P.p.s.a.,

c) zasądzenie od organu na rzecz TU [...] S.A. zwrotu kosztów postępowania według norm przepisanych, w tym kosztów zastępstwa procesowego przez adwokata (w tym zwrotu opłaty skarbowej od pełnomocnictwa w kwocie 17 zł) – na podstawie art. 200 P.p.s.a.

W uzasadnieniu skargi pełnomocnik TU [...] S.A. podkreślił, że skoro w zaskarżonej decyzji Prezes UODO wskazał, że postępowanie wszczęte i niezakończone przed dniem 25 maja 2018 r., prowadzone jest na podstawie u.o.d.o. z 1997 r. (w zakresie przepisów regulujących procedurę administracyjną) oraz na podstawie RODO (w zakresie rozstrzygającym o legalności procesu przetwarzania danych osobowych), to w zakresie zastosowania norm prawa materialnego, czyli w szczególności co do interpretacji pojęcia "dane osobowe", rozstrzygnięcie Prezesa UODO winno mieć za swoją podstawę przepisy RODO.

Pełnomocnik TU [...] S.A. podniósł również, że z zaskarżonej decyzji wynika nieograniczony przez cel przetwarzania zakaz przetwarzania przez TU [...] S.A. danych osobowych M.K. i K.K., a przecież przetwarzanie danych osobowych ww. przez TU [...] S.A. jest konieczne do wniesienia skargi do sądu administracyjnego. Tymczasem z orzecznictwa sądów administracyjnych wynika, że decyzja powinna nakładać na adresata obowiązki, których wykonanie jest fizycznie i prawnie możliwe. Natomiast rozstrzygnięcie zawarte w decyzji z dnia [...] grudnia 2017 r. zostało sformułowane w taki sposób, że wykonanie decyzji prowadziłoby do pozbawienia TU [...] S.A. prawa do sądu, stąd zupełnie nie można mówić o tym, że rozstrzygnięcie nadaje się do dobrowolnego wykonania, jako że stronie postępowania administracyjnego przysługuje prawo do sądu, o czym zresztą Prezes UODO pouczył w decyzji z dnia [...] lipca 2020 r.

W związku z powyższym, w ocenie pełnomocnika, zaskarżona decyzja jest niewykonalna trwale, ponieważ TU [...] S.A. jako strona skarżąca jest pozbawiony możliwości wykonania obowiązków nałożonych decyzją, ponieważ ich wykonanie uniemożliwiłoby mu skorzystanie z prawa do sądu. W tym zakresie decyzja pozostaje więc niewykonalna od chwili jej wydania, a ta niewykonalność ma charakter trwały.

Wyjaśniając zarzut naruszenia prawa materialnego art. 4 pkt 1) RODO przez jego niewłaściwą wykładnię i zastosowanie, pełnomocnik TU [...] S.A. wskazał, że na definicję danych osobowych składają się następujące elementy: 1) informacja, 2) o osobie fizycznej, 3) zidentyfikowanej lub możliwej do zidentyfikowania (bezpośrednio lub pośrednio). Wyjaśnił w związku z tym, że choć numer umowy kredytowej stanowi informację dotyczącą osoby fizycznej (a więc spełnione są dwa z trzech elementów definicji), ale informacja ta nie dotyczy zidentyfikowanej (dla TU [...] S.A.) osoby fizycznej, ponieważ w zestawie danych przekazanych przez Bank nie zostały zawarte informacje identyfikujące kredytobiorców.

Pełnomocnik TU [...] S.A. wskazał nadto, że na gruncie przepisów RODO, odmiennie niż na gruncie przepisów u.o.d.o. z 1997 r., konieczne jest zaistnienie nie tylko przesłanki zastosowania przez administratora (czyli: TU [...] S.A.) "wszelkich rozsądnie prawdopodobnych sposobów" ale musi również istnieć "uzasadnione prawdopodobieństwo", że zostaną one wykorzystane.

Pełnomocnik TU [...] S.A. podniósł też, że uwzględniając treść definicji pojęcia danych osobowych z RODO, należy przeanalizować jakimi "rozsądnie prawdopodobnymi" środkami dysponowało TU [...] S.A., umożliwiającymi identyfikację osób fizycznych (tu skarżących) wyłącznie w oparciu o numer ich umowy kredytowej przekazany przez Bank. Przy czym środki te powinny: a) być dozwolone przez prawo, b) uwzględniać możliwość pozyskania informacji pochodzących od osoby trzeciej, c) być efektem aktywności administratora (czyli TU [...] S.A.) lub osoby trzeciej (udostępniającej administratorowi dane). Ponadto, w dalszej kolejności, przedmiotem analizy powinna być okoliczność, czy istnieje uzasadnione (rozsądne) prawdopodobieństwo, że środki te zostaną wykorzystane przez administratora (czyli TU [...] S.A. ).

W tym kontekście pełnomocnik TU [...] S.A. wskazał, że jedynym podmiotem (innym niż sami skarżący), który mógł zidentyfikować w sposób bezpośredni osoby fizyczne, będące stroną umowy kredytowej z Bankiem, w oparciu o numer tej umowy, jest sam Bank. W konsekwencji, nie istnieje żadna możliwość by, w oparciu o numer umowy kredytowej, TU [...] S.A. mogło uzyskać dane skarżących z innych źródeł. Należy więc zbadać jakimi prawnie dopuszczalnymi środkami dysponowało TU [...] S.A., by uzyskać od Banku te dane.

Powołując przepis art. 828 ust. 1 zd. 1 k.c. pełnomocnik TU [...] S.A. podniósł, że daje on co do zasady, możliwość ubiegania się o przekazanie danych skarżących w sytuacji, gdy TU [...] S.A. wypłaciłoby świadczenie ubezpieczeniowe (odszkodowanie) Bankowi za szkodę, którą spowodowali skarżący. Jednak TU [...] S.A. z dniem [...] grudnia 2015 r. złożyło względem Banku oświadczenie o rezygnacji z prawa regresowego przysługującego na podstawie art. 828 k.c. wobec klientów, którzy zawarli umowę kredytu objętą umową ubezpieczenia niskiego wkładu i w rezultacie nie nabyło ono w stosunku do skarżących roszczeń regresowych. Konsekwencją tego był brak możliwości powołania się przez TU [...] S.A. na art. 828 k.c., a więc brak podstawy prawnej do pozyskania danych skarżących w związku z roszczeniami regresowymi.

Pełnomocnik TU [...] S.A. zwrócił przy tym uwagę, że do analogicznych wniosków, choć opierając się na innych przesłankach, doszedł Prezes UODO w decyzji z dnia [...] lipca 2020 r., wskazując, że ww. oświadczenie TU [...] S.A. nie ma znaczenia, gdyż zastosowanie art. 828 k.c. nie ma miejsca w rozpatrywanym przypadku, ponieważ warunkiem jego zaistnienia było umieszczenie TU [...] S.A. w postanowieniach umowy o kredyt hipoteczny, co oczywiście nie nastąpiło.

Analizując z kolei, pod kątem spełniania przesłanek dla uznania numeru umowy kredytowej skarżących za dane osobowe dla TU [...] S.A. – powołaną przez Prezesa UODO w zaskarżonej decyzji – możliwość uzyskania danych skarżących w wyniku zainicjowania przez nich postępowania przed Prezesem UODO, którego stroną jest TU [...] S.A. , pełnomocnik TU [...] S.A. podniósł, że o ile można przyjąć, że w tej sytuacji spełnione są pierwsze dwie przesłanki tj. takie pozyskanie danych jest środkiem dozwolonym przez prawo i następuje z wykorzystaniem informacji pochodzących od osoby trzeciej, to nie może być ono efektem aktywności TU [...] S.A. (ani nawet Prezesa UODO), ale wyłącznie skarżących – osób, których dane dotyczą i podejmujących decyzję co do ich ujawnienia w ramach inicjowania postępowania przed organem. Tym samym nie istnieje uzasadnione prawdopodobieństwo, że środek ten zostanie przez TU [...] S.A. wykorzystany.

Pełnomocnik TU [...] S.A. podkreślił jednocześnie, że informacje identyfikujące osobę fizyczną - stronę umowy kredytowej, stanowią dla banku nie tylko dane osobowe, ale również i przede wszystkim informacje objęte tajemnicą bankową, zgodnie z art. 104 ust. 1 ustawy Prawo bankowe. Tym samym, udostępnienie przez Bank informacji identyfikujących osoby fizyczne, strony umowy kredytowej, jako informacje objęte ww. tajemnicą, jest reglamentowane i musi znajdować podstawę nie tylko w przepisach RODO, ale również przepisach Prawa bankowego. TU [...] S.A. nie mogłoby zatem powołać się co do zasady na żadną podstawę przekazania danych objętych tajemnicą bankową spośród tych wskazanych w art. 104 i następnych Prawa bankowego. Potencjalnie, taką podstawę mógłby stanowić art. 104 ust. 3 Prawa bankowego. Przepis ten jednak wymaga by osoba, której informacje objęte tajemnica dotyczą, upoważniła bank do przekazania określonych informacji wskazanej przez siebie osobie lub jednostce organizacyjnej. Tym samym, na tej podstawie, bez aktywnego udziału skarżących, czyli w oparciu o aktywność samego administratora danych (ani też w oparciu o samodzielną aktywność banku jako osoby trzeciej), nie jest możliwe skorzystanie przez TU [...] S.A. z tego prawnie dopuszczalnego środka i pozyskanie samodzielnie danych od Banku (osoby trzeciej). Ponadto, w takich okolicznościach składając wniosek w oparciu o ww. przepis, TU [...] S.A. powinno spodziewać się odmowy przekazania danych, a tym samym nie istnieje również uzasadnione prawdopodobieństwo, że środek ten zostałby wykorzystany przez TU [...] S.A.

Prezes UODO w odpowiedzi na skargę TU [...] S.A. wniósł o jej oddalenie, podtrzymując w pełni swoje stanowisko przedstawione w zaskarżone decyzji.

Odnosząc się do podniesionego w skardze zarzutu naruszenia przepisów o postępowaniu, tj. art. 107 § 1 pkt 5 K.p.a., poprzez jego niewłaściwą wykładnię i zastosowanie prowadzące do wydania w zaskarżonej decyzji rozstrzygnięcia, które jest niewykonalne i która to niewykonalność ma charakter trwały, Prezes UODO uznał go za bezpodstawny. Wyjaśnił, że zawarty w decyzji nakaz nie wykluczył możliwości przetwarzania danej osobowej stanowiącej przedmiot niniejszej sprawy w przypadku zaistnienia dla TU [...] S.A. (aktualnie lub w przyszłości) innej podstawy prawnej. Przetwarzanie przez TU [...] S.A. numeru umowy kredytowej zarówno na potrzeby postępowania przed Prezesem UODO, jak i w postępowaniu przed sądami administracyjnymi, znajduje samoistną podstawę prawną (odrębną od tej związanej z realizacją umowy między TU [...] S.A., a Bankiem) w przepisach regulujących postępowanie administracyjne i postępowanie przed sądami administracyjnymi. Sformułowanego przez Prezesa UODO nakazu nie należy więc rozumieć jako bezwzględnego zakazu przetwarzania w przyszłości danych osobowych, których nakaz dotyczy, ponieważ w sposób oczywisty w przyszłości może pojawić się konieczność, czy też uzasadniona potrzeba legalnego przetwarzania tych danych (np. w przypadku pojawienia się zgody osób których dane dotyczą). Przedstawione przez pełnomocnika TU [...] S.A. rozumienie nakazu zawartego w zaskarżonej decyzji prowadziłoby więc do sytuacji absurdalnych, sprzecznych z intencjami Prezesa UODO i ratio legis przepisów regulujących jego uprawnienia naprawcze w zakresie ochrony danych osobowych.

Odnosząc się do wniosku pełnomocnika TU [...] S.A. o stwierdzenie nieważności zaskarżonej decyzji ze względu na jej trwałą niewykonalność (art. 156 § 1 pkt 5 K.p.a.), mając na uwadze powyższe uwagi co do sformułowanego w zaskarżonej decyzji nakazu, Prezes UODO stwierdził, że taka niewykonalność decyzji w sprawie nie zachodzi.

Odnosząc się z kolei do zarzutu naruszenia prawa materialnego wskazanego w art. 4 pkt 1 RODO poprzez jego niewłaściwą wykładnię i zastosowanie poprzez przyjęcie, że numer umowy kredytowej stanowi dla TU [...] S.A. dane osobowe – Prezes UODO podtrzymał swoje stanowisko wyrażone w uzasadnieniu zaskarżonej decyzji. Organ przyznał jednocześnie, że pełnomocnik TU [...] S.A. słusznie wskazał, że przed wszczęciem postępowania przez M. i L.K. informacja w postaci numeru umowy kredytowej nie stanowiła dla TU [...] S.A. danej osobowej, jednak zdaniem Prezesa UODO, chociażby wszczęcie postępowania administracyjnego przed organem ochrony danych mogło umożliwić TU [...] S.A. łatwą identyfikację skarżących, stąd też sformułowany w pkt 1 decyzji nakaz zaprzestania przetwarzania danych osobowych w zakresie numeru umowy kredytowej.

Zdaniem Prezesa UODO pozyskanie numeru umowy kredytowej przez TU [...] S.A. jest wątpliwe również z uwagi na zakończone postępowanie przed Arbitrem Bankowym, w którym to M. i L.K. zarzucili Bankowi działanie niezgodne z postanowieniami umowy kredytowej, tj. pobranie przez Bank bez ich zgody, z ich rachunku, opłaty za kolejny 36-cio miesięczny okres ochrony ubezpieczeniowej, której na tamten czas udzielał Bankowi ubezpieczyciel inny niż ten, który został wskazany w zawartej ze skarżącymi umowie o kredyt hipoteczny.

Bank [...] S.A., reprezentowany przez pełnomocnika, w skardze na decyzję Prezesa UODO skierowanej do Wojewódzkiego Sądu Administracyjnego w Warszawie zarzucił:

1) naruszenie przepisów prawa materialnego, które miało wpływ na wynik sprawy, tj.:

a) art. 160 ust. 2 ustawy o ochronie danych osobowych z dnia 10 maja 2018 r.., poprzez zastosowanie w sprawie przepisów innych niż te, do których przepis odsyła;

b) art. 4 ust. 1 RODO, poprzez błędne zastosowanie z uwagi na to, że przepisy RODO nie znajdują zastosowania w niniejszej sprawie oraz – na wypadek uznania, że przepisy RODO znajdują zastosowanie – poprzez jego niewłaściwe zastosowanie polegające na uznaniu, że numer umowy kredytowej stanowi dane osobowe dla TU [...] S.A.;

c) art. 6 ust. 1 lit. c) RODO poprzez błędne zastosowanie z uwagi na to, że przepisy RODO nie znajdują zastosowania w niniejszej sprawie oraz – na wypadek uznania, że przepisy RODO znajdują zastosowanie – poprzez uznanie, że nie znajduje on zastosowania w niniejszej sprawie z uwagi na brak istnienia przesłanki do przetwarzania danych osobowych tam wskazanej;

d) art. 99 ust. 2 RODO poprzez jego nieuwzględnienie;

e) art. 6 ust. 3 u.o.d.o. z 1997 r., poprzez jego niezastosowanie;

f) art. 23 ust. 1 pkt 2 u.o.d.o. z 1997 r. poprzez jego niezastosowanie;

g) art. 828 k.c. poprzez jego niewłaściwe zastosowanie polegające na uznaniu, że "przewidziany w tym przepisie regres ubezpieczeniowy nie ma miejsca w rozpatrywanym przypadku";

2) naruszenie przepisów postępowania, tj. art. 107 § 3 K.p.a., poprzez brak wszechstronnego wyjaśnienia w uzasadnieniu prawnym decyzji jej podstawy prawnej, z uwagi na powoływanie się zarówno na przepisy RODO, jak również u.o.d.o. z 1997 r.

W związku z powyższymi zarzutami pełnomocnik Banku wniósł o uchylenie zaskarżonej i poprzedzającej ją decyzji GIODO w jej pkt 1 oraz o zasądzenie na rzecz strony skarżącej zwrotu kosztów postępowania, w tym kosztów zastępstwa procesowego według norm przepisanych.

W uzasadnieniu skargi pełnomocnik Banku podniósł, że Prezes UODO w sposób błędny przyjął, iż numer umowy kredytowej stanowi dla TU [...] S.A. dane osobowe, choć organ podzielił argumentację Banku zawartą we wniosku o ponowne rozpatrzenie sprawy uznając w sposób trafny, że: 1) TU [...] S.A. po samym numerze umowy kredytowej nie byłoby w stanie ustalić tożsamości skarżących ; 2) TU [...] S.A. nie byłoby w stanie ustalić tożsamości skarżących w oparciu o roszczenie regresowe.

W ocenie pełnomocnika Banku Prezes UODO w sposób błędny uznał, że numer umowy kredytowej stanowi dla TU [...] S.A. dane osobowe z tego tylko względu, że zostało zainicjowane postępowanie przed organem ochrony danych osobowych przez M. i L.K..

Pełnomocnik Banku podniósł w związku z tym, że samo postępowanie zostało wszczęte przez M. i L.K., nie zaś przez TU [...] S.A., nadto nie toczy się w celu bezpośredniego lub pośredniego zidentyfikowania osoby fizycznej. Z uwagi natomiast na toczące się postępowanie ustalenie tożsamości skarżących jest możliwe bez jakiegokolwiek zestawienia numeru umowy kredytowej z innymi danymi pozyskanymi w toku niniejszego postępowania, a tożsamość skarżących wynika bezpośrednio z dokumentów znajdujących się w aktach sprawy, co więcej, nie jest wiadome z jakimi to "danymi pozyskanymi w toku niniejszego postępowania" miano by zestawić numer umowy kredytowej, aby ustalić, znaną przecież z akt sprawy, tożsamość skarżących.

W ocenie pełnomocnika Banku, przyjęte przez Prezesa UODO rozumowanie, jakoby wszczęcie postępowania i pozyskanie danych w toku tego postępowania (umożliwienie ich pozyskania w zasadzie niejako przy okazji) stanowiło umożliwienie określenia tożsamości osoby bez nadmiernych kosztów, czasu i działań, jest sprzeczne z zasadami logiki, gdyż oznacza ono, że de facto każde takie postępowanie umożliwia określenie tożsamości osoby bez nadmiernych kosztów, czasu lub działań.

Pełnomocnik Banku podniósł również, że brak jest przepisu prawa, który uzasadniałby zastosowanie w sprawie przepisów RODO (zastosowanie ich naruszałoby choćby generalną zasadę lex retro non agit), ponieważ przepis art. 160 ust. 1 i 2 u.o.d.o. z 2018 r, wyraźnie stanowi, że postępowania prowadzone przez GIODO, wszczęte i niezakończone (jak w niniejszej sprawie) przed dniem wejścia w życie tej ustawy (tj. 25 maja 2018 r.) prowadzone są przez Prezesa UODO na podstawie u.o.d.o. z 1997 r., zgodnie z zasadami określonymi w K.p.a.

Pełnomocnik Banku zarzucił nadto, że treść uzasadnienia zaskarżonej decyzji wskazuje na brak konsekwencji Prezesa UODO w przedstawieniu argumentacji prawnej. Stwierdzając bowiem z jednej strony, że oceny legalności procesu przetwarzania danych osobowych dokonuje w oparciu o przepisy RODO, organ przywołał w uzasadnieniu przepisy u.o.d.o. z 1997 r., a niekonsekwencja ta uzasadnia także zarzut naruszenia przez organ art. 107 § 3 K.p.a. poprzez zaniechanie wyjaśnienia podstawy prawnej decyzji, z przytoczeniem przepisów prawa.

W ocenie pełnomocnika Banku - w przypadku numeru umowy kredytowej – nie sposób mówić o tym, że stanowi on dane osobowe dla TU [...] S.A., ponieważ:

1) TU [...] S.A. nie byłoby w stanie ustalić tożsamości skarżących po samym numerze umowy kredytowej – co przyznał również Prezes Urzędu,

2) brak jest powszechnej bazy, w której można uzyskać dane osobowe osób na podstawie numeru umowy kredytowej,

3) nie jest możliwe, w sposób prosty i łatwy, bez nadzwyczajnego wysiłku, powiązanie numeru umowy kredytowej z konkretną osobą zawierającą umowę kredytu,

4) numer umowy kredytowej może stanowić dane osobowe wyłącznie dla Banku, który posiada zamknięty i chroniony system informatyczny pozwalający na powiązanie numeru umowy kredytu z konkretnymi kredytobiorcami.

Odnosząc się z kolei do kwestii spornej, jaką jest istnienie/brak podstaw prawnych do udostępnienia przez Bank danych osobowych skarżących na rzecz TU [...] S.A. i dalszego ich przetwarzania przez to Towarzystwo, pełnomocnik Banku stwierdził, że przyjmując, iż numer umowy kredytowej stanowi dane osobowe, z czym strona skarżąca się nie zgadza, to przetwarzanie ich przez ubezpieczyciela jest dopuszczalne na podstawie art. 23 ust. 1 pkt 2 u.o.d.o. z 1997 r, czy też na wypadek uznania, że obowiązują jednak przepisy RODO - także w rozumieniu tych przepisów, tj. art. art. 6 ust. 1 lit. c) RODO.

Powołując treść art. 828 § 1 K.c. pełnomocnik Banku dodał, że skoro następstwo prawne ubezpieczyciela wynika wprost z przepisu ustawowego i następuje z mocy prawa w celu dochodzenia roszczeń, przetwarzanie danych dłużnika powinno być dopuszczalne. Mając na uwadze brzmienie ww. przepisu pełnomocnik Banku nie zgodził się ze stanowiskiem Prezesa UODO, że dla ważności roszczenia regresowego "Bank najpierw powinien pozostawić skarżącym prawo do realnego wyboru podmiotu ubezpieczającego kredyt". Nadto, nawet jeśli uznać, że nie dochodzi do realizacji obowiązku ustawowego, to w ocenie pełnomocnika, przekazanie tych danych stanowi realizację uzasadnionego interesu – po stronie zarówno Banku i TU [...] S.A., jak i samego podmiotu danych, gdyż jest w jego interesie (art. 23 ust. 1 pkt 5 u.o.d.o. z 1997 r. i art. 6 ust. 1 lit. f RODO).

Pełnomocnik Banku zaznaczył jednocześnie, że nieuprawnione jest dokonywanie przez Prezesa UODO oceny postanowień umowy kredytu w kontekście ich abuzywności, gdyż wykracza to poza kompetencje tego organu.

Prezes UODO w odpowiedzi na skargę Banku [...] S.A. wniósł o jej oddalenie wskazując, że nakaz zaprzestania przetwarzania danych osobowych w zakresie numeru umowy kredytu skierowany był wyłącznie do TU [...] S.A., nie zaś do Banku. W związku z powyższym, zdaniem Prezesa UODO, Bank nie posiada interesu prawnego do zaskarżenia decyzji Prezesa UODO, o którym to interesie mówi art. 50 § 1 ustawy z dnia 30 sierpnia 2002 r. Prawo o postępowaniu przed sądami administracyjnymi. Na wypadek jednak uznania przez Sąd, że Bank posiada interes prawny w zaskarżeniu decyzji, Prezes UODO odniósł się do zarzutów skargi.

Odnosząc się w pierwszej kolejności do podniesionego zarzutu naruszenia przepisów prawa - zdaniem pełnomocnika Banku - materialnego, tj. art. 160 ust. 2 u.o.d.o. z 2018 r., poprzez zastosowanie przepisów innych, niż te, do których przepis ten odsyła, Prezes UODO wyjaśnił, że fakt ten nie jest istotny, ponieważ różnica dotyczy wyłącznie powołanego publikatora, a brzmienie przepisu nie uległo zmianie.

Prezes UODO stwierdził nadto, że wbrew stanowisku Banku, w sprawie ma zastosowanie art. 4 ust. 1 RODO, co wynika z treści art. 160 ust. 2 u.o.d.o. z 2018 r., ponieważ poprzez wskazany w tym przepisie zwrot "postępowania prowadzi się" uwzględnia się w sprawie przepisy procesowe uchylanej ustawy z 1997 r., nie stosuje się zaś ich bezpośrednio. Jednocześnie w związku z tym, że w dacie wydania zaskarżonej decyzji stan naruszenia trwał nadal (TU [...] S.A. nie zaprzestało przetwarzania danych osobowych w postaci numeru umowy kredytowej), a obowiązywało już RODO – Prezes UODO słusznie zastosował w rozstrzygnięciu przepisy prawa materialnego tego właśnie rozporządzenia, tj. art. 4 pkt 1), zawierający definicję danych osobowych, którego odpowiednikiem na tle uchylanej ustawy z 1997 r. był art. 6 (co prawda przytoczony w treści uzasadnienia do zaskarżonej decyzji niemniej z użyciem zwrotu "którego odpowiednikiem na gruncie obowiązujących przepisów jest art. 4 pkt 1) RODO).

Prezes UODO podtrzymał jednocześnie swoje stanowisko wyrażone w uzasadnieniu zaskarżonej decyzji, że numer umowy kredytowej stanowi dla TU [...] S.A. daną osobową. Ponadto, że udostępnienie przez Bank danych osobowych w postaci numeru umowy kredytu i jego dalsze przetwarzanie przez TU [...] S.A., oczywiście do celów związanych z realizacją umowy kredytowej, nastąpiło bez podstawy prawnej, w szczególności nie był nim, wskazany przez Bank, przepis szczególny, tj. art. 828 § 1 k.c. (z uwagi na zrzeczenie się roszczeń regresowych względem Banku). Zdaniem Prezesa UODO, udostępnienie danych osobowych na rzecz TU [...] S.A. jest wątpliwe również z uwagi na zakończone postępowanie przed Arbitrem Bankowym, w którym to M. i L.K. zarzucili Bankowi działanie niezgodne z postanowieniami umowy, tj. pobranie przez Bank bez ich zgody, z ich rachunku, opłaty za kolejny 36-o miesięczny okres ochrony ubezpieczeniowej, której na tamten czas udzielał Bankowi ubezpieczyciel inny niż ten który został wskazany w zawartej z nimi umowie o kredyt hipoteczny.

Prezes UODO nie zgodził się również z zarzutem błędnego zastosowania art. 6 ust. 1 lit. c) RODO poprzez uznanie, że przepisy RODO mają zastosowanie w przedmiotowej sprawie, jak również co do niewłaściwego zastosowania art. 828 k.c. poprzez uznanie, że "przewidziany w tym przepisie regres ubezpieczeniowy nie ma miejsca w rozpatrywanym przypadku". W ocenie Prezesa UODO, podobnie jak art. 4 ust. 1 RODO, przepis z art. 6 ust. 1 lit. c) tego rozporządzenia jest przepisem prawa materialnego, który należało bezpośrednio zastosować z uwagi na obowiązywanie w dacie wydania zaskarżonej decyzji RODO jako źródła prawa materialnego. Zdaniem Prezesa UODO, Bank nie mógł udostępnić TU [...] S.A. numeru umowy kredytowej na podstawie przesłanki wskazanej w tym artykule, tj. na podstawie przepisu prawa. Udostępnienie przez Bank danych osobowych w postaci numeru umowy kredytu nastąpiło bez podstawy prawnej, w szczególności podstawą prawną nie mógł być wskazany we wniosku o ponowne rozpatrzenie sprawy, żaden z przepisów szczególnych, tj. art. 828 § 1 k.c., ponieważ przepis ten skierowany jest do ubezpieczyciela, a nie w stosunku do Banku.

Odnośnie zarzutu nieuwzględnienia w zaskarżonej decyzji art. 99 ust. 2 RODO Prezes UODO wyjaśnił, że co do zasady jest to przepis skierowany nie do organu lecz do ustawodawcy, w związku z tym nie ma możliwości jego zastosowania przez organ.

Z kolei odnośnie zarzutu, że art. 6 ust. 3 oraz art. 23 ust. 1 pkt 2 u.o.d.o. z 1997 r. nie został uwzględniony w zaskarżonej decyzji Prezes UODO zauważył, że przepisy te nie są przepisami proceduralnymi uchylonej ustawy z 1997 r. i jako takie nie mogły zostać powołane w sentencji rozstrzygnięcia.

Prezes UODO nie zgodził się również z zarzutem dotyczącym naruszenia przepisów postępowania, tj. art. 107 § 3 K.p.a. poprzez brak wszechstronnego wyjaśnienia w uzasadnieniu prawnym decyzji jej podstawy prawnej, z uwagi na powoływanie się zarówno na przepisy RODO, jak również u.o.d.o. z 1997 r. Zdaniem Prezesa UODO uzasadnienie decyzji wyraźnie wskazuje, że w zakresie dotyczącym legalności przetwarzania danych osobowych zastosowanie ma RODO, na dowód czego przytoczył art. 6 ust. 1 tego rozporządzenia, mówiący o poszczególnych przesłankach legalizujących proces przetwarzania danych. Wprawdzie w dalszych rozważaniach wskazywał na treść przepisów uchylanej ustawy z 1997 r., niemniej jednak podkreślał przy nich, że ich odpowiednikiem jest konkretny przepis RODO.

Postanowieniem z dnia 3 grudnia 2020 r. Wojewódzki Sąd Administracyjny w Warszawie, uwzględniając wniosek TU [...] S.A., wstrzymał wykonanie zaskarżonej decyzji Prezesa UODO z dnia [...] lipca 2020 r.

Na posiedzeniu w dniu 22 kwietnia 2021 r. Wojewódzki Sąd Administracyjny w Warszawie połączył sprawy II SA/Wa 1865/20 ze skargi TU [...] S.A. oraz II SA/Wa 1866/20 ze skargi Banku [...] S.A. w celu ich łącznego rozpoznania i rozstrzygnięcia pod sygn. akt II SA/Wa 1865/20.

Wojewódzki Sąd Administracyjny w Warszawie zważył, co następuje:

Sąd administracyjny wykonuje wymiar sprawiedliwości, poddając kontroli decyzje wydawane przez organy administracji publicznej pod względem ich zgodności z prawem, badając czy właściwie zastosowano przepisy prawa materialnego i przestrzegano przepisów proceduralnych w postępowaniu administracyjnym. Sąd jest władny wzruszyć zaskarżoną decyzję jedynie w przypadku stwierdzenia naruszenia prawa. Art. 145 ustawy Prawo o postępowaniu przed sądami administracyjnymi (dalej jako P.p.s.a.) określa w jakich sytuacjach decyzje lub postanowienia podlegają uchyleniu.

Oceniając zaskarżoną decyzję w świetle powyższych kryteriów Sąd stwierdził, iż skargi TU [...] S.A. oraz Banku [...] S.A. zasługują na uwzględnienie, nie zaszła jednak wskazana przez TU [...] S.A. przesłanka z art. 156 § 1 pkt 5 K.p.a. uzasadniająca stwierdzenie jej nieważności.

Na wstępie wyjaśnić należy, iż Sąd co do zasady podziela stanowisko Prezesa UODO wyrażone w zaskarżonej decyzji, co do wykładni art. 160 ust. 2 ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych. Zgodnie z tym przepisem postępowania prowadzone przez GIODO, wszczęte i niezakończone przed dniem wejścia w życie tej ustawy "prowadzi się" na podstawie ustawy uchylanej (czyli ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych), zgodnie z zasadami określonymi w K.p.a. Prawidłowe jest stanowisko organu, że powołany przepis przewiduje stosowanie jedynie przepisów proceduralnych ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych, to jest art. 12, art. 22 i art. 18 tej ustawy. Zauważyć bowiem należy, że ustawodawca posłużył się tutaj zwrotem "postępowania prowadzi się", nie zaś konstrukcją zakładającą, że w postępowaniach wszczętych i niezakończonych "stosuje się" przepisy ustawy uchylanej.

W konsekwencji, wobec braku przepisu intertemporalnego, który wyraźnie odsyła do regulacji materialnych u.o.d.o. z 1997 r., decydujące znaczenie dla stosowania prawa materialnego ma okoliczność, czy naruszenie będące przedmiotem sprawy ustało, czy też trwa ono nadal. W sytuacji, gdy na etapie rozpoznawania wniosku o ponowne rozpatrzenie sprawy Prezes UODO uznał, że nieuprawnione przetwarzanie danych osobowych M. i L.K. przez TU [...] S.A. trwa nadal, słusznie odwołał się do przepisów prawa materialnego obowiązujących w dacie wydania zaskarżonej decyzji, tj. przepisów rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych osobowych) – zwanego dalej RODO.

Sąd nie podzielił natomiast stanowiska organu, że Bank [...] S.A. nie ma interesu prawnego w zaskarżeniu decyzji Prezesa UODO w sytuacji, gdy nakaz zaprzestania przetwarzania danych osobowych został skierowany wyłącznie do TU [...] S.A.

Należy zwrócić uwagę, że postępowanie w niniejszej sprawie zostało zainicjowane skargą wniesioną przez M. i L.K. do GIODO, w której zarzucili Bankowi [...] S.A. nieuprawnione udostępnienie ich danych osobowych TU [...] S.A.

W sytuacji zatem potwierdzenia zasadności powyższego zarzutu mogłoby to rodzić po stronie Banku [...] S.A. dalsze konsekwencje prawne związane chociażby z naruszeniem tajemnicy bankowej. Bank [...] S.A. miał zatem interes prawny w zaskarżeniu decyzji Prezesa UODO.

Zasadniczą kwestią, która wymagała rozstrzygnięcia w niniejszej sprawie w związku ze sprawą zawisłą przed GIODO było to, czy informacje dotyczące kredytu M. i L.K., które zostały przekazane przez Bank [...] S.A. do TU [...] S.A. w związku z zawartą Umową ubezpieczenia niskiego wkładu portfela kredytów hipotecznych z dnia [...] lipca 2010 r. mieszczą się w pojęciu danych osobowych w rozumieniu art. 6 u.o.d.o. z 1997 r., a następnie art. 4 pkt 1 RODO.

GIODO w decyzji z dnia [...] grudnia 2017 r. uznał, że przekazany przez Bank [...] S.A. numer umowy kredytowej stanowi dla TU [...] S.A. daną osobową M. i L.K. w rozumieniu art. 6 u.o.d.o. z 1997 r.

GIODO stwierdził przy tym, że o ile TU [...] S.A. po samym numerze umowy kredytowej nie jest w stanie bezpośrednio określić tożsamości M. i L.K., o tyle numer ten daje mu ewentualną pośrednią możliwość do ustalenia tej tożsamości, bez nadmiernych kosztów, czasu i działań, w sytuacji gdy będzie przysługiwało mu roszczenie regresowe względem skarżących z tytułu niespłacenia wymaganego zobowiązania. Na podstawie numeru umowy kredytowej TU [...] S.A. przysługuje bowiem roszczenie regresowe wobec skarżących, jeśli Bank zgłosi wniosek o wypłatę świadczenia ubezpieczeniowego. Tym samym, zdaniem organu, TU [...] S.A. na podstawie numeru umowy kredytowej posiada możliwość ustalenia tożsamości skarżących.

Następnie, w związku podniesioną przez TU [...] S.A. oraz Bank [...] S.A. we wnioskach o ponowne rozpatrzenie sprawy okolicznością, iż TU [...] S.A. złożył w dniu [...] grudnia 2015 r. oświadczenie o rezygnacji w stosunku do odszkodowań wypłaconych Bankowi po dniu [...].10. 2015 r. z prawa do roszczeń regresowych przysługujących na podstawie art. 828 k.c. wobec klientów Banku, którzy zawarli umowę kredytu objętą ubezpieczeniem na podstawie Umowy ubezpieczenia niskiego wkładu portfela kredytów hipotecznych z dnia [...] lipca 2010 r. Prezes UODO zmodyfikował powyższe stanowisko i stwierdził w zaskarżonej decyzji, że owszem TU [...] S.A. po samym numerze umowy kredytowej nie byłoby w stanie ustalić tożsamości skarżących, jak również nie mogłoby tego zrobić w oparciu o roszczenie regresowe (które w ocenie organu nie przysługuje mu jednak z innych względów niż wskazane we wnioskach o ponowne rozpatrzenie sprawy), nie mniej jednak zainicjowanie skargi przez M. i L.K. dało TU [...] S.A. taką możliwość. Zatem mając na uwadze definicję danych osobowych z art. 6 u.o.d.o. z 1997 r. uznać należy, że numer umowy kredytu jest daną osobową dla TU [...] S.A. w rozumieniu tej ustawy, ponieważ TU [...] S.A. może ustalić tożsamość skarżących w oparciu o zestawienie tego numeru z danymi pozyskanymi w toku niniejszego postępowania, a procedura ta nie jest w istocie skomplikowana, wobec czego nie wymaga nadmiernych kosztów, czasu i działań.

Z powyższych wywodów Prezesa UODO wynika, że numer umowy kredytowej nie stanowił dla TU [...] S.A. danych osobowych M. i L.K. w dacie jego udostępnienia przez Bank [...] S.A., ale uzyskał taki charakter na skutek skargi wniesionej przez M. i L.K. do GIODO.

W tym miejscu należy zaznaczyć, że obowiązkiem organu ochrony danych osobowych w ramach postępowania zainicjowanego skargą M. i L.K. była ocena zasadności zarzutów ich skargi, a zatem ustalenie, czy doszło do nieuprawnionego udostępnienia przez Bank [...] S.A. ich danych osobowych w rozumieniu art. 6 u.o.d.o. z 1997 r., a jeżeli tak, to czy TU [...] S.A. nadal przetwarza te dane osobowe nie mając do tego podstawy prawnej.

Przepis art. 18 ust. pkt 6 u.o.d.o. z 1997 r. stanowi, że w przypadku naruszenia przepisów o ochronie danych osobowych GIODO z urzędu lub na wniosek osoby zainteresowanej, w drodze decyzji administracyjnej, nakazuje przywrócenie stanu zgodnego z prawem, a w szczególności usunięcie danych osobowych.

Skorzystanie przez organ ochrony danych osobowych z uprawnień przyznanych mu w art. 18 ust. 1 u.o.d.o. z 1997 r. musi być zatem poprzedzone ustaleniem, że doszło do naruszenia przepisów o ochronie danych osobowych.

Tymczasem z uzasadnienia zaskarżonej decyzji Prezesa UODO wynika, że w dacie wniesienia skargi przez M. i L.K. do organu ochrony danych osobowych TU [...] S.A. nie przetwarzało ich danych osobowych, gdyż jak stwierdził Prezes UODO, po samym numerze umowy kredytowej nie byłoby w stanie ustalić tożsamości skarżących, jak również nie mogłoby tego zrobić w oparciu o roszczenie regresowe, gdyż mu ono nie przysługiwało.

Z powyższym stwierdzeniem organu Sąd w pełni się zgadza. Nie ulega wątpliwości, że dla Banku [...] S.A. numer umowy kredytowej M. i L.K. jest ich daną osobową, ponieważ Bank jest stroną tej umowy i w oparciu o numer umowy kredytowej jest w stanie ustalić tożsamość kredytobiorców. Należy jednak mieć na uwadze, że informacja, która składa się z wiadomości dotyczących czynności bankowych i wiadomości dotyczących osoby będącej stroną umowy z bankiem, zgodnie z art. 104 ust. 1 pkt 1 ustawy z dnia 29 sierpnia 1997 r. Prawo bankowe, stanowi informację bankową i objęta jest tajemnicą bankową. Pojęcie danych osobowych klienta banku mieści się więc w pojęciu informacji i tajemnicy bankowej. Przepisy ustawy Prawo bankowe przewidują natomiast bardziej rygorystyczne wymogi w zakresie udostępniania informacji bankowej, aniżeli przepisy u.o.d.o. z 1997 r. Zgodnie z art. 105 ustawy Prawo bankowe, bank ma obowiązek udzielenia informacji stanowiących tajemnicę bankową wyłącznie podmiotom wyraźnie wymienionym w tym artykule. Katalog ten jest bardziej rygorystyczny niż możliwość przetwarzania danych osobowych, przewidziana w art. 23 u.o.d.o. z 1997 r. Dlatego też, jak podniosło TU [...] S.A. we wniosku o ponowne rozpatrzenie sprawy, zapisy Umowy ubezpieczenia niskiego wkładu portfela kredytów hipotecznych z dnia [...] lipca 2010 r. zawartej pomiędzy TU [...] S.A., a Bankiem [...] S.A. wykluczały możliwość przekazania przez Bank informacji umożliwiających identyfikację danych osobowych kredytobiorców, gdyż TU [...] S.A. nie posiadało zgody kredytobiorców na ujawnienie informacji objętych tajemnicą bankową. TU [...] S.A. po samym numerze umowy kredytowej nie było zaś w stanie określić tożsamości kredytobiorców. Nie mogłoby tego też zrobić w oparciu o roszczenie regresowe, gdyż mu ono nie przysługiwało.

Skoro zatem, jak ustalił Prezes UODO, Bank [...] S.A. w związku z zawarciem Umowy ubezpieczenia niskiego wkładu portfela kredytów hipotecznych z dnia [...] lipca 2010 r. nie udostępnił TU [...] S.A. danych osobowych M. i L.K. w rozumieniu art. 6 u.o.d.o. z 1997 r., to tym samym nie doszło do naruszenia przepisów o ochronie danych osobowych i nie było podstaw do wydania przez organ ochrony danych osobowych decyzji w oparciu o art. 18 ust. 1 pkt 6 u.o.d.o. z 1997 r. nakazującej usunięcie danych osobowych.

Uzyskanie przez TU [...] S.A. danych osobowych M. i L.K., w ramach niniejszego postępowania zainicjowanego ich skargą przed GIODO nie może natomiast uzasadniać wydania decyzji nakazującej usunięcie danych osobowych.

TU [...] S.A. przetwarza bowiem obecnie dane osobowe M. i L.K., które zostały przekazane przez samych skarżących oraz przez organ ochrony danych osobowych, w związku z wszczętym postępowaniem administracyjnym. Wystąpiła więc przesłanka legalizująca przetwarzanie danych osobowych z art. 23 ust. 1 pkt 5 u.o.d.o. z 1997 r. (do 25 maja 2018 r.), a obecnie przesłanka legalizująca z art. 6 ust. 1 lit. f RODO w celu realizacji prawnie uzasadnionych interesów TU [...] S.A. w postępowaniu administracyjnym i sądowoadministracyjnym. Tym samym nie ma podstaw do twierdzenia, by TU [...] S.A. przetwarzało obecnie dane osobowe L. i M.K. bez podstawy prawnej.

Mając na względzie wszystko powyższe, Wojewódzki Sąd Administracyjny w Warszawie, działając na podstawie art. 145 § 1 pkt 1 lit. a i c P.p.s.a., orzekł jak w sentencji wyroku. O zwrocie na rzecz skarżących kosztów postępowania, obejmujących uiszczony wpis sądowy oraz koszty zastępstwa procesowego, Sąd orzekł na podstawie art. 200 i art. 205 § 2 P.p.s.a.