Centralna Baza Orzeczeń Sądów Administracyjnych

Wojewódzki Sąd Administracyjny w Warszawie w składzie następującym: Przewodniczący Sędzia WSA Ewa Radziszewska-Krupa (spr.), Sędzia WSA Izabela Głowacka-Klimas, Sędzia WSA Andrzej Wieczorek, , Protokolant referent Beata Kowalska, po rozpoznaniu na rozprawie w dniu 5 lutego 2024 r. sprawy ze skargi Banku [...] w [...] z siedzibą w [...] na punkt 1 decyzji Prezesa Urzędu Ochrony Danych Osobowych z dnia [...] lutego 2023 r. nr [...] w przedmiocie przetwarzania danych osobowych 1. uchyla punkt 1 zaskarżonej decyzji; 2. zasądza od Prezesa Urzędu Ochrony Danych Osobowych na rzecz Banku [...] w [...] S.A. z siedzibą w [...] kwotę 697 zł (słownie: sześćset dziewięćdziesiąt siedem złotych) tytułem zwrotu kosztów postępowania.

I. Stan sprawy przedstawia się następująco:

1. Prezes Urzędu Ochrony Danych Osobowych (zwany dalej "Prezes UODO") decyzją z [...] lutego 2023r., znak: [...] nakazał Bankowi [...] w [...] S.A. z siedzibą w [...] (zwany dalej: "Bankiem"):

1) spełnienie wobec D. D. (zwany dalej "Uczestnikiem") obowiązku określonego w art. 15 ust. 3 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z 27 kwietnia 2016r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (Dz.U.U.E., L 119, 4 maja 2016r., ze zm., zwane dalej "RODO") - przez przekazanie Uczestnikowi kopii jego danych osobowych podlegających przetwarzaniu;

2) w pozostałym zakresie odmówił uwzględnienia wniosku.

Prezes UODO w uzasadnieniu decyzji wskazał, że Uczestnik w skardze na nieprawidłowość przetwarzania jego danych osobowych wskazał, że [...] marca 2021r. złożył w Banku wniosek o wydanie karty kredytowej. Uczestnik jednostronnie podpisał umowę, oczekując na jej podpisanie przez Bank. Uczestnik wobec braku odpowiedzi Banku napisał [...] marca 2021r. do Banku wiadomość przez system bankowości elektronicznej. Otrzymał odpowiedź, że Bank negatywnie rozparzył jego wniosek, a decyzja ta wynikała z szeregu czynników, np. wiek, zatrudnienie itp. Zdaniem Uczestnika była to odpowiedź szablonowa, a żaden z ww. czynników nie odnosił się do jego sytuacji. Uczestnik [...] marca 2021r. zwrócił się do Banku, za pośrednictwem bankowości elektronicznej, na mocy art. 15 ust. 1 i 3 RODO o: - przesłanie kopii danych osobowych przetwarzanych przez Bank, szczególnie w zakresie historii i zdolności kredytowej; - informacji o zautomatyzowanym podejmowaniu decyzji, w tym o profilowaniu, dotyczących Jego osoby, a mających wpływ na odmowę przyznania karty kredytowej, tj. informacji o zasadach podjęcia takiej decyzji oraz konkretnego wskazania poszczególnego czynnika w odniesieniu do danych, co do dokonywania oceny. Bank [...] marca 2021r. przez bankowość elektroniczną ponownie przesłał Uczestnikowi ogólne czynniki, nieodnoszące się do Jego osoby i odmówił przesłania kopii danych, wskazując, że taką dyspozycję Uczestnik postępowania może złożyć tylko w oddziale Banku.

W związku z tym Uczestnik wniósł skargę do Prezesa UODO, w której zażądał wszczęcia postępowania, przeprowadzenia czynności kontrolnych w Banku oraz nałożenia na Bank sankcji prawem przewidzianych, w wypadku stwierdzenia naruszeń prawa, nakazania Bankowi udzielenia jednoznacznych i konkretnych informacji o przyczynach odmowy przyznania karty kredytowej ze wskazaniem, który czynnik oraz jak (pozytywnie, negatywnie) i dlaczego wpłynął na ocenę wniosku oraz o zobowiązanie Banku do przekazania kopii Jego danych osobowych, zgodnie z wnioskiem.

Bank oświadczył, że nie identyfikuje nieprawidłowości w procesie przetwarzania danych osobowych Uczestnika, w tym w zakresie wyłącznego zastosowania art. 22 RODO i niespełnienia żądania dostępu do danych osobowych w trybie art. 15 RODO. Bank w zakresie realizacji prawa dostępu, o którym mowa w art. 15 RODO wskazał, że zrealizował wobec Uczestnika prawo dostępu do danych w zakresie udzielenia informacji o zautomatyzowanym podejmowaniu decyzji, w tym udzielił istotnych informacji o zasadach ich podejmowania. Nie zrealizował prawa do uzyskania kopii danych osobowych, gdyż nie mógł prawidłowo zidentyfikować Uczestnika, bez weryfikacji jego tożsamości w oddziale Banku. Taki sposób realizacji prawa do uzyskania kopii danych osobowych był konieczny, gdyż Uczestnik wnioskował o kopię wszystkich danych osobowych przetwarzanych przez Bank, w tym o dane finansowe, historie transakcji i pozostałe dane o ściśle osobistym charakterze. Uczestnik nie kwestionował stosowania zautomatyzowanego podejmowania decyzji kredytowej, ani nie wnosił o prawo do interwencji ludzkiej, lecz kwestionował odmowną decyzję. Niezależnie od tego Bank przeprowadził interwencję ludzką - przez analityka kredytowego, który [...] marca 2021r. podtrzymał decyzję odmowną.

Prezes UODO ustalił, że Bank pozyskał dane osobowe Uczestnika [...] grudnia 2018r., w związku z umową pożyczki gotówkowej. Uczestnik [...] października 2020r. zawarł z Bankiem umowę rachunków bankowych, o elektroniczne instrumenty płatnicze oraz o korzystanie z usług bankowości elektronicznej, natomiast [...] marca 2021r. wnioskował o wydanie karty kredytowej. Źródłem pozyskanych danych osobowych (imię, nazwisko, data urodzenia, kraj urodzenia, obywatelstwo, nr PESEL, nr i seria dokumentu tożsamości, data ważności dokumentu tożsamości, stan cywilny, wykształcenie, status mieszkaniowy, liczba osób w gospodarstwie domowym, adres zameldowania, adres zamieszkania, adres do korespondencji, numer telefonu komórkowego, adres e-mail, numer konta osobistego rachunku bankowego, numer rachunku bankowego pożyczki gotówkowej, dane identyfikujący pracodawcę, adres pracodawcy, dane kontaktowe pracodawcy, staż pracy, wykonywany zawód, forma zatrudnienia, miesięczny dochód, waluta dochodu, wysokość zasiłku 500+, miesięczne koszty utrzymania, miesięczne zobowiązania, miesięczne pozabankowe zobowiązania finansowe, informacje o statusie upadłości, numer karty kredytowej, status dotyczący zajmowania eksponowanego stanowiska politycznego, liczba punktów lojalnościowych) był Uczestnik, a podstawą ich pozyskania była niezbędność ich przetwarzania, w celu podjęcia działań na Jego żądanie, zmierzających do zawarcia i wykonania umowy, której stroną jest Uczestnik (art. 6 ust. 1 lit. b RODO). Bank, w związku z wnioskiem Uczestnika z [...] marca 2021r. o wydanie karty kredytowej, zastosował postępowania zautomatyzowane - podejmowanie decyzji w rozumieniu art. 22 RODO w związku z przeprowadzeniem oceny zdolności kredytowej i analizy ryzyka kredytowego, o czym poinformowano Uczestnika drogą elektroniczną, zgodnie z art. 13 ust. 2 lit. f RODO, w klauzuli informacyjnej. Bank [...] marca 2021r. - w związku z prośbą Uczestnika z [...] marca 2021r. o udostępnienie kopii Jego danych osobowych i udzielenie informacji na temat zautomatyzowanego podejmowania decyzji w zakresie informacji mających wpływ na odmowę przyznania karty kredytowej - udzielił odpowiedzi w zakresie dotyczącym zautomatyzowanego podejmowania decyzji i przesłał list z informacjami dotyczącymi odmowy udzielenia karty kredytowej. Bank – w zakresie żądania udostępnienia kopii danych osobowych Uczestnika - udzielił odpowiedzi odmownej [...] marca 2021r., wskazując, że realizacja dyspozycji w zakresie uzyskania kopii danych o szerokim zakresie jest możliwa wyłącznie, gdy weryfikacja tożsamości osoby wnioskującej nie budzi wątpliwości, z uwagi wysokie ryzyko ujawnienia tajemnicy bankowej. Wskazał też na ograniczenie kanałów, przez które możliwe jest złożenie dyspozycji uzyskania kopii danych osobowych o szerokim zakresie, z uwagi na chęć zapewnienia najwyższego poziomu ochrony danych osobowych i wysokie ryzyko ujawnienia tajemnicy bankowej. Potwierdzenie tożsamości Uczestnika jest możliwe w oddziale Banku, w drodze weryfikacji dokumentu tożsamości, gdyż nie miał on uaktywnionej możliwości uwierzytelniania drogą telefoniczną. Bank wskazał też, że odpowiedź w sprawie odrzucenia wniosku wysłano [...] marca 2021r. na adres korespondencyjny Uczestnika. Bank wyjaśnił, że kopia danych osobowych w postaci całej historii bankowej, w tym transakcyjnej, innych danych finansowych czy o charakterze osobistym jak wykształcenie, staż pracy, sytuacja rodzinna czy numer PESEL wiąże się z podwyższonym ryzykiem bezpieczeństwa i bez właściwego uwierzytelnienia, naraziłaby Uczestnika na szkody i straty, których cofnięcie byłoby szczególnie utrudnione lub niemożliwe. Uczestnikowi przekazano informację o możliwości potwierdzenia dyspozycji związanej z żądaniem uzyskania kopii bez udania się do oddziału Banku przy pomocy T-PIN, umożliwiającego weryfikację tożsamości. Uczestnik nie zdecydował się na tego rodzaju weryfikację, więc Bank - zgodnie z procedurą - odmówił realizacji żądania w tym zakresie, z uwagi na obowiązki prawne w zakresie zachowania zabezpieczeń i środków o charakterze technicznym oraz organizacyjnym (m.in. na obowiązek przetwarzania danych, zgodnie z zasadami integralności i poufności, w tym ochronę przed niedozwolonym lub niezgodnym z prawem przetwarzaniem oraz przypadkową utratą, zniszczeniem lub uszkodzeniem, za pomocą odpowiednich środków technicznych lub organizacyjnych - art. 5 ust. 1 lit. f RODO; brak możliwości identyfikacji Uczestnika postępowania). Bank powołał się też na art. 11 ust. 2, art. 12 ust. 6 i art. 24 ust. 1 RODO.

Uczestnik złożył [...] marca 2021r. reklamację na odmowę przyznania karty kredytowej, wskazując, że nie ma ona uzasadnienia, a informacje o zasadach podjęcia decyzji są niewystarczające. Bank nie zidentyfikował w korespondencji z Uczestnikiem, aby ten kwestionował zastosowanie zautomatyzowanego podejmowania decyzji. Bank ustosunkował się do reklamacji [...] maja 2021r., ale podniósł, że nie stanowiła ona żądania w rozumieniu RODO (art. 15-22).

Prezes UODO wobec tego stwierdził, że zgodnie z art. 15 ust. 1 RODO, osoba, której dane dotyczą, jest uprawniona do uzyskania od administratora potwierdzenia, czy przetwarzane są dane osobowe jej dotyczące, a jeżeli ma to miejsce, jest uprawniona do uzyskania dostępu do nich i do uzyskania informacji o m.in. celach przetwarzania (art. 15 ust. 1 lit. a), kategoriach odnośnych danych osobowych (art. 15 ust. 1 lit. b), odbiorcach lub kategoriach odbiorców, którym dane osobowe zostały lub zostaną ujawnione, w szczególności o odbiorcach w państwach trzecich lub organizacjach międzynarodowych (art. 15 ust. 1 lit. c), o zautomatyzowanym podejmowaniu decyzji, w tym o profilowaniu, o którym mowa w art. 22 ust. 1 i 4, oraz - przynajmniej w tych przypadkach - istotnych informacji o zasadach ich podejmowania, a także o znaczeniu i przewidywanych konsekwencjach takiego przetwarzania dla osoby, której dane dotyczą (art. 15 ust. 1 lit. h). Stosownie do art. 15 ust. 3 RODO administrator dostarcza osobie, której dane dotyczą, kopię danych osobowych podlegających przetwarzaniu. Jeżeli zaś osoba, której dane dotyczą, zwraca się o kopię drogą elektroniczną i jeżeli nie zaznaczy inaczej, to informacji udziela się w powszechnie stosowanej formie elektronicznej. Przepis dotyczy wszystkich danych osobowych przetwarzanych przez administratora, a także podmioty którym powierzył on przetwarzanie danych w myśl art. 28 ust. 1 i 3 RODO. Obowiązek udostępnienia kopii danych osobowych (art. 15 ust. 3 RODO) nie jest równoznaczny z obowiązkiem udostępnienia kopii dokumentów. Administrator nie ma więc obowiązku udostępnienia kopii nośnika, na którym przetwarzane są dane osobowe. Administrator, realizując obowiązek z art. 15 ust. 3 RODO, może poprzestać na wskazaniu treści danych dotyczących osoby wnioskującej, albo sporządzić ich kopię lub odpis dokumentu (nośnika) zawierającego dane osobowe. Administrator każdorazowo podejmuje decyzję, w jaki sposób zrealizuje uprawnienie. Ma uczynić to bez zbędnej zwłoki, w terminie miesiąca od otrzymania żądania - udziela osobie, której dane dotyczą, informacji o działaniach podjętych w związku z żądaniem na podstawie art. 15-22 RODO (art. 12 ust. 3 RODO). W razie potrzeby termin ten można przedłużyć o kolejne dwa miesiące, z uwagi na skomplikowany charakter żądania lub liczbę żądań. W terminie miesiąca od otrzymania żądania administrator informuje osobę, której dane dotyczą o takim przedłużeniu terminu, z podaniem przyczyn opóźnienia. Jeśli osoba, której dane dotyczą, przekazała swoje żądanie elektronicznie, w miarę możliwości informacje także są przekazywane elektronicznie, chyba że osoba, której dane dotyczą, zażąda innej formy. Administrator, zgodnie z art. 12 ust. 2 RODO ułatwia osobie, której dane dotyczą, wykonanie praw przysługujących jej na mocy art. 15-22 RODO.

W przypadkach, o których mowa w art. 11 ust. 2 RODO, administrator nie odmawia podjęcia działań na żądanie osoby której dane dotyczą, pragnącej wykonać prawa przysługujące jej na mocy art. 15-22 RODO, chyba że wykaże, iż nie jest w stanie zidentyfikować osoby, której dane dotyczą. Jeżeli administrator ma uzasadnione wątpliwości co do tożsamości osoby fizycznej składającej żądanie, o którym mowa w art. 15-21 RODO, może zażądać dodatkowych informacji niezbędnych do potwierdzenia tożsamości osoby, której dane dotyczą (art. 12 ust. 6 RODO).

W motywie 59 RODO wyjaśniono, że należy przewidzieć procedury ułatwiające osobie, której dane dotyczą, wykonywanie praw przysługujących jej na mocy RODO, w tym mechanizmy żądania - i gdy ma to zastosowanie bezpłatnego uzyskiwania - w szczególności dostępu do danych osobowych i ich sprostowania lub usunięcia oraz możliwości wykonywania prawa do sprzeciwu. Administrator powinien zapewnić możliwość wnoszenia odnośnych żądań także drogą elektroniczną, w szczególności gdy dane osobowe są przetwarzane drogą elektroniczną. Art. 15 ust. 3 RODO formułuje obowiązek udzielenia informacji w powszechnie stosowanej formie elektronicznej, gdy osoba, której dane dotyczą, zwróciła się o kopię drogą elektroniczną i jeżeli nie zaznaczyła inaczej.

Prezes UODO, odnosząc się do realizacji przez Bank obowiązku, o którym mowa w art. 15 RODO podzielił stanowisko doktryny, zgodnie z którym przyznane na gruncie tego przepisu prawo dostępu do danych, uzyskania ich kopii, a także uprawnienia informacyjne są jednymi z najważniejszych praw podmiotu danych. Mają one charakter gwarancyjny i kontrolny, pozwalając np. na zweryfikowanie zgodności przetwarzania z prawem, oraz pozostają w związku funkcjonalnym zarówno z naczelnymi zasadami przetwarzania danych, jak i z innymi obowiązkami informacyjnymi administratora.

Prezes UODO wskazał, że z zebranego materiału dowodowego wynikało, że Uczestnik [...] marca 2021r. przesłał do Banku drogą elektroniczną wniosek, w którym żądał spełnienia obowiązku informacyjnego z art. 15 ust. 3 RODO - przez przesłanie kopii jego danych osobowych przetwarzanych przez Bank, w szczególności w zakresie historii i zdolności kredytowej oraz udzielenia informacji na temat zautomatyzowanego podejmowania decyzji w zakresie informacji mających wpływ na odmowę przyznania karty kredytowej. Bank w tym samym dniu udzielił Uczestnikowi odpowiedzi w zakresie dotyczącym zautomatyzowanego podejmowania decyzji, wskazując czynniki mające wpływ na negatywną oceną jego zdolności kredytowej oraz przesłał list na adres korespondencyjny, z informacjami dotyczącymi odmowy przyznania karty kredytowej. Odpowiedzi odmownej w zakresie żądania udostępnienia kopii danych osobowych Uczestnika Bank udzielił [...] marca 2021r., wskazując, że realizacja uzyskania danych jest możliwa wyłącznie, gdy weryfikacja tożsamości osoby wnioskującej nie budzi wątpliwości, z uwagi na szeroki zakres danych objętych żądaniem i wysokie ryzyko ujawnienia tajemnicy bankowej. W przypadku Uczestnika potwierdzenie tożsamości jest możliwe w oddziale Banku w drodze weryfikacji dokumentu tożsamości.

W ocenie Prezesa UODO Bank niezasadnie odmówił spełnienia względem Uczestnika obowiązku informacyjnego z art. 15 ust. 3 RODO, uniemożliwiając realizację podstawowej funkcji kontrolnej procesu przetwarzania danych osobowych, a także pozbawiając możliwości skorzystania z pozostałych (wtórnych) uprawnień przewidzianych w pozostałych przepisach RODO. Uczestnik złożył wniosek za pośrednictwem dedykowanego kanału komunikacji z Bankiem - w ramach bankowości elektronicznej, więc nie można uznać, że Bank nie był w stanie zidentyfikować Uczestnika. Bank w udzielonej odpowiedzi nie wskazał, że nie był w stanie zidentyfikować Uczestnika, a jedynie, że "kierując się chęcią zapewnienia najwyższego poziomu ochrony danych osobowych, zdecydował się na ograniczenie kanałów, przez które możliwe jest złożenie dyspozycji uzyskania kopii danych osobowych. Ze względu na szeroki zakres danych przekazywanych w kopii danych i wysokie ryzyko ujawnienia tajemnicy bankowej, dyspozycję realizujemy wyłącznie wtedy, gdy weryfikacja tożsamości osoby wnioskującej nie budzi wątpliwości". Bank nie zwrócił się do Uczestnika o wskazanie dodatkowych informacji niezbędnych do potwierdzenia jego tożsamości, zgodnie z art. 12 ust. 6 RODO, a jako wyłączną formę weryfikacji umożliwiającą spełnienie żądania, wskazał osobiste przedstawienie dowodu tożsamości w jednym z oddziałów Banku. Działanie Banku nie zmierzało więc do ułatwienia Uczestnikowi, jako osobie, której dane dotyczą realizacji praw, wynikających z art. 15 ust. 3 RODO.

Prezes UODO nakazał Bankowi wyeliminowanie nieprawidłowości przez spełnienie żądania Uczestnika z [...] marca 2021r., na podstawie art. 15 ust. 3 RODO.

Prezes UODO, odnosząc się do zarzutu niepoinformowania Uczestnika o zautomatyzowanym podejmowaniu decyzji, zgodnie z przepisami RODO, nie stwierdził nieprawidłowości w działaniu Banku i uznał, że ze zgromadzonego materiału dowodowego wynika, że Bank prawidłowo poinformował 2 marca 2021r. Uczestnika o zautomatyzowanym podejmowaniu decyzji w klauzuli informacyjnej, przekazanej mu drogą elektroniczną, na adres e-mail.

Prezes UODO podkreślił też, że Bank nie naruszył prawa Uczestnika, o którym mowa w art. 22 ust. 1 RODO. Zgodnie z tym przepisem osoba, której dane dotyczą, ma prawo do tego, by nie podlegać decyzji, która opiera się wyłącznie na zautomatyzowanym przetwarzaniu, w tym profilowaniu, i wywołuje wobec tej osoby skutki prawne lub w podobny sposób istotnie na nią wpływa. Zgodnie zaś z art. 22 ust. 2 RODO ust. 1 nie ma zastosowania, jeżeli ta decyzja: a) jest niezbędna do zawarcia lub wykonania umowy między osobą, której dane dotyczą, a administratorem; b) jest dozwolona prawem Unii lub prawem państwa członkowskiego, któremu podlega administrator i które przewiduje właściwe środki ochrony praw, wolności i prawnie uzasadnionych interesów osoby, której dane dotyczą; c) opiera się na wyraźnej zgodzie osoby, której dane dotyczą. Zgodnie z art. 22 ust. 3 RODO w przypadkach, o których mowa w ust. 2 lit. a) i c), administrator wdraża właściwe środki ochrony praw, wolności i prawnie uzasadnionych interesów osoby, której dane dotyczą, a co najmniej prawa do uzyskania interwencji ludzkiej ze strony administratora, do wyrażenia własnego stanowiska i do zakwestionowania tej decyzji. W art. 105a ust. 1a ustawy z 29 sierpnia 1997r. Prawo bankowe (Dz.U. z 2021r., poz. 2439 ze zm., zwanej dalej: "u.P.b.") wskazano, że banki, inne instytucje ustawowo upoważnione do udzielania kredytów, instytucje pożyczkowe oraz podmioty, o których mowa w art. 59d ustawy z 12 maja 2011r. o kredycie konsumenckim (Dz.U. z 2022r., poz. 246 ze zm., zwana dalej u.k.k.), a także instytucje utworzone na podstawie art. 105 ust. 4 u.P.b., mogą w celu oceny zdolności kredytowej i analizy ryzyka kredytowego podejmować decyzje, opierając się wyłącznie na zautomatyzowanym przetwarzaniu, w tym profilowaniu, danych osobowych - również stanowiących tajemnicę bankową - pod warunkiem zapewnienia osobie, której dotyczy decyzja podejmowana w sposób zautomatyzowany, prawa do otrzymania stosownych wyjaśnień, co do podstaw podjętej decyzji, do uzyskania interwencji ludzkiej w celu podjęcia ponownej decyzji oraz do wyrażenia własnego stanowiska. W art. 105a ust. 1b i 1c u.P.b. wskazano, w oparciu o jakie dane mogą być podejmowane, bądź nie decyzji. Zgodnie z art. 70a ust. 1 u.P.b., banki i inne instytucje ustawowo upoważnione do udzielania kredytów na wniosek osoby fizycznej, prawnej lub jednostki organizacyjnej niemającej osobowości prawnej, o ile posiada zdolność prawną, ubiegającej się o kredyt przekazują, w formie pisemnej, wyjaśnienie dotyczące dokonanej przez siebie oceny zdolności kredytowej wnioskującego. W art. 105a ust. 2 u.P.b. sprecyzowano, że wyjaśnienie, o którym mowa w ust. 1, obejmuje informacje na temat czynników, w tym danych osobowych wnioskującego, które miały wpływ na dokonaną ocenę zdolności kredytowej. Przepisy te dopuszczają podejmowanie decyzji opartych wyłącznie na zautomatyzowanym przetwarzaniu, przewidując środki ochrony praw, wolności i prawnie uzasadnionych interesów osoby, której dane dotyczą, co przesądza o istnieniu wyłączenia prawa osoby, której dane dotyczą, określonego w art. 22 ust. 1 RODO, wobec zaistnienia przesłanki, określonej w art. 22 ust. 2 lit. b) RODO. W sprawie ustalono, że analityk kredytowy Banku [...] marca 2021r. przeprowadził interwencję, podtrzymując pierwotną decyzję, co stanowiło realizację zapewnienia Uczestnikowi prawa do uzyskania interwencji ludzkiej, w celu podjęcia ponownej decyzji, o którym mowa w art. 105a ust. 1a u.P.b.

Prezes UODO, odnosząc się do zarzutu Uczestnika nieprzedstawienia przez Bank powodów negatywnej decyzji w zakresie przyznania karty kredytowej, wskazał, że ocenie organu może podlegać wyłącznie kwestia, czy Bank przekazał informację o danych osobowych, które miały wpływ na dokonaną ocenę zdolności kredytowej (art. 70a ust. 2 u.P.b.). Bank spełnił ten obowiązek, wskazując pisemnie Uczestnikowi, że na negatywną ocenę zdolności kredytowej miały wpływ: źródło dochodu, forma zatrudnienia, staż pracy, dane o wydatkach związanych z prowadzeniem gospodarstwa domowego, dane dotyczące wysokości dochodu, dane podstawowe z wniosku kredytowego, dane o posiadanych zobowiązaniach, dane dotyczące jego relacji z Bankiem i innymi bankami, dane dotyczące zobowiązań pochodzące z rejestrów i biur informacji gospodarczych. Bank nie dopuścił się więc nieprawidłowości w ww. zakresie. Istotnym czynnikiem, który zadecydował o braku możliwości pozytywnego rozpatrzenia wniosku Uczestnika przez Bank była negatywna ocena prawdopodobieństwa spłaty zobowiązania skutecznego dochodzenia ewentualnych roszczeń.

2. Bank, reprezentowany przez radcę prawnego D. K., w skardze do Wojewódzkiego Sądu Administracyjnego w Warszawie z 29 marca 2023r. na punkt pierwszy ww. decyzji Prezesa UODO wniósł o stwierdzenie nieważności ww. decyzji w ww. części, ewentualnie o uchylenie punktu 1 decyzji i o zasądzenie na rzecz Banku zwrotu kosztów postępowania, jak też o wstrzymanie wykonania decyzji w zaskarżonej części, z uwagi na naruszenie:

1) art. 58 ust. 2 lit. c) RODO w związku z art. 15 ust. 3 RODO - przez ich niewłaściwe zastosowanie i nakazanie Bankowi przekazania Uczestnikowi kopii jego danych osobowych, podlegających przetwarzaniu, bez określenia sposobu realizacji tego nakazu (w szczególności bez określenia sposobu przeprowadzenia weryfikacji tożsamości Uczestnika i sposobu przesłania żądanej kopii danych osobowych, w tym formatu oraz środka komunikacji) - w związku z czym zachodzi niewykonalność decyzji w tym zakresie w dniu jej wydania, przy czym niewykonalność ta ma charakter trwały, co stanowi podstawę do stwierdzenia nieważności punktu 1 decyzji, na mocy art. 156 § 1 pkt 5 ustawy z 14 czerwca 1960r. - Kodeks postępowania administracyjnego (dalej zwana "k.p.a.");

2) art. 12 ust. 6 i 2 i art. 15 ust. 3 RODO w związku z art. 24 ust. 1 i art. 32 ust. 1 i 2 RODO w związku z art. 32i ustawy z 19 sierpnia 2011r. o usługach płatniczych (zwana dalej "u.u.p.") - przez ich niewłaściwe zastosowanie lub niezastosowanie i uznanie, że:

(i) Bank nie miał prawa wdrożyć wewnętrznego procesu (procedury) zakładającego zapewnienie podmiotom danych dostępu do szerszego zakresu ich danych osobowych (w tym do historii transakcji bankowych starszych niż 90 dni), w rozumieniu art. 15 ust. 3 RODO, pod warunkiem silnego uwierzytelniania (którego to wymogu nie realizuje bankowość elektroniczna Banku);

(ii) Bank nie zażądał od Uczestnika dodatkowych informacji niezbędnych do potwierdzenia jego tożsamości (gdy żądaniem takim było poinformowanie Uczestnika o konieczności wizyty osobistej w oddziale Banku oraz weryfikacji tożsamości z użyciem dowodu osobistego);

(iii) Bank utrudniał Uczestnikowi realizację prawa dostępu do danych - gdy działanie to stanowiło realizację wymogów nałożonych na Bank przez art. 24 ust. 1 i art. 32 ust. 1 i 2 RODO, z uwzględnieniem art. 32i u.u.p. oraz pozostałych przepisów prawa, mających zastosowanie, a także wynikało z konieczności odpowiedniego zabezpieczenia danych osobowych Uczestnika, z uwzględnieniem podejścia opartego na ryzyku, co nie powinno zostać uznane za utrudniające realizację praw Uczestnika, a wprost przeciwnie - za działania zapewniające odpowiednią ochronę praw Uczestnika jako podmiotu danych;

3) art. 12 ust. 6 i art. 15 ust. 3 RODO w związku z art. 104 ust. 1-3 u.P.b. i w związku z art. 8 ustawy z 5 lipca 2018r. o krajowym systemie cyberbezpieczeństwa (zwana dalej "u.k.s.c.") - przez ich niezastosowanie i uznanie, że działania Banku stanowią nieuprawioną odmowę realizacji prawa Uczestnika do otrzymania kopii jego danych osobowych, podlegających przetwarzaniu, gdy działania te (a w konsekwencji odmowa realizacji żądania Uczestnika) uwzględniały nałożone na Bank obowiązki prawne związane z zachowaniem w tajemnicy informacji stanowiących tajemnicę bankową i wynikające z uznania Banku za operatora usług kluczowych w rozumieniu u.k.s.c.;

4) art. 7 k.p.a. w związku z art. 104 ust. 1-3 u.P.b. - przez naruszenie zasady praworządności i prawdy obiektywnej, polegające na braku wnikliwego i wszechstronnego rozpatrzenia stanu faktycznego sprawy w świetle wszystkich przepisów prawa materialnego, mogących mieć zastosowanie w sprawie, w szczególności przez brak odniesienia stanu faktycznego do przepisów u.P.b., które zobowiązują Bank do zachowania w tajemnicy informacji stanowiących tajemnicę bankową, a więc do ochrony tych informacji przed ujawnieniem osobom nieuprawnionym, a w konsekwencji zobowiązują Bank do szczególnej weryfikacji tożsamości (w tym silnego uwierzytelniania) podmiotów, które zwracają się z żądaniem ujawnienia danych osobowych stanowiących jednocześnie informacje objęte tajemnicą bankową, co doprowadziło do uznania, że Bank powinien był zrealizować żądanie Uczestnika, co do przekazania mu kopii jego danych osobowych podlegających przetwarzaniu, w odpowiedzi na żądanie zgłoszone w ramach bankowości elektronicznej Banku, gdy bankowość elektroniczna nie realizuje wymogu silnego uwierzytelniania, a tym samym takie działanie wiązałoby się z istotnym ryzykiem naruszenia przez Bank tajemnicy bankowej;

5) art. 7 k.p.a. w związku z art. 8 u.k.s.c. oraz pozostałymi wymogami prawnymi z zakresu cyberbezpieczeństwa - przez naruszenie zasady praworządności i prawdy obiektywnej, polegające na braku wnikliwego i wszechstronnego rozpatrzenia stanu faktycznego w świetle wszystkich przepisów prawa materialnego, mogących mieć zastosowanie w sprawie, w szczególności przez brak odniesienia stanu faktycznego do przepisów, które zobowiązują Bank do stosowania określonych wymogów (standardów) w zakresie cyberbezpieczeństwa, w szczególności do wdrożenia systemu zarządzania bezpieczeństwem w systemie informacyjnym wykorzystywanym do świadczenia usługi kluczowej, co doprowadziło do uznania, że Bank powinien był zrealizować żądanie Uczestnika do przekazania mu kopii jego danych osobowych podlegających przetwarzaniu, w odpowiedzi na żądanie zgłoszone w ramach bankowości elektronicznej Banku, gdy bankowość ta nie realizuje wymogu silnego uwierzytelniania, a tym samym takie działanie wiązałoby się z istotnym ryzykiem naruszenia przez Bank obowiązujących go wymogów (standardów) w zakresie cyberbezpieczeństwa;

6) art. 7, art. 77 § 1 i art. 80 k.p.a. - przez brak wnikliwego i wszechstronnego wyjaśnienia stanu faktycznego sprawy i rozważenia całokształtu zebranego materiału oraz zbadania wszystkich okoliczności istotnych dla prawidłowego rozstrzygnięcia sprawy, wbrew zasadzie prowadzenia postępowania w sposób budzący zaufanie strony do organów władzy publicznej, a to w szczególności przez:

- brak uwzględniania istotnych okoliczności do prawidłowego rozstrzygnięcia sprawy, związanych ze sposobem realizacji przez Bank żądań klientów (podmiotów danych), wynikających z art. 15 ust. 3 RODO, z uwzględnieniem różnych poziomów wymaganej weryfikacji tożsamości podmiotów danych, co doprowadziło do uznania, że dla realizacji żądania Uczestnika wystarczające jest skorzystanie z bankowości elektronicznej oraz weryfikacja tożsamości Uczestnika przez bankowość elektroniczną Banku;

- błędne ustalenia i brak konsekwencji co do ustalonej chronologii zdarzeń - przez stwierdzenie, że klient złożył wniosek o realizację prawa dostępu do danych [...] marca 2021r. i przez stwierdzenie, że odpowiedź Banku w sprawie realizacji tego prawa nastąpiła [...] maca 2021r., gdy z akt wynika, że wniosek ten klient złożył [...] marca 2021r., Bank udzielił odpowiedzi [...] marca 2021r.;

- w konsekwencji ww. uchybień doszło do wydania zaskarżonej decyzji w oparciu o błędne założenia natury faktycznej i prawnej oraz dokonanie niepełnych i nieprecyzyjnych ustaleń w zakresie naruszenia przez Bank obowiązku wynikającego z art. 15 ust. 3 RODO, gdy prawidłowa ocena materiału dowodowego sprawy doprowadziłaby Organ do wniosku, że Bank nie dopuścił się naruszenia;

7) art. 107 § 3 k.p.a. w związku z art. 8, art. 11 i art. 80 k.p.a. - przez niewystarczające wskazanie i wyjaśnienie w uzasadnieniu decyzji, z jakich przyczyn i na jakiej podstawie przyjęto, że Bank bezpodstawnie nie zrealizował uprawnienia Uczestnika wynikającego z art. 15 ust. 3 RODO, gdy konieczność zastosowania silnego uwierzytelniania wynikała z mających zastosowanie przepisów prawa oraz uwzględniających je wewnętrznych procedur Banku - w konsekwencji uniemożliwienie jednoznacznej oceny motywów, jakimi kierował się Prezes UODO przy wydaniu decyzji o nałożeniu środka w postaci nakazu oraz przeprowadzenia kontroli poprawności i spójności wywodu i rozumowania Prezesa UODO i rzetelnego zaskarżenia decyzji.

Bank w uzasadnieniu skargi, po przedstawieniu stanu sprawy, podtrzymał stanowisko prezentowane w postępowaniu i wskazał m.in., że Prezes UODO w sentencji zaskarżonej decyzji i w jej uzasadnieniu nie określił szczegółów dotyczących sposobu realizacji ww. nakazu nałożonego na Bank na mocy art. 58 ust. 2 lit. c) RODO, przez podanie sposobu przeprowadzenia weryfikacji (potwierdzenia) tożsamości Uczestnika i sposobu przesłania żądanej kopii danych osobowych, w tym formatu i środka komunikacji. Powoduje to niewykonalność decyzji o charakterze trwałym (art. 156 § 1 pkt 5 k.p.a.).

Administrator, realizując prawa przysługujące podmiotom danych, w tym tzw. prawo dostępu do danych (art. 15 ust. 3 RODO) musi uwzględnić dwie wartości i pogodzić je w praktyce. Przepisy RODO wymagają dążenia do pełnej realizacji praw podmiotów danych zgodnie z ich oczekiwaniami (żądaniami), w sposób, który będzie ułatwiał im wykonywanie praw oraz obligują administratora do zapewnienia bezpieczeństwa przetwarzanych danych osobowych, w tym zabezpieczenia ich przed ewentualnym ujawnieniem osobie nieuprawnionej, wszelkie zaś naruszenia w tym zakresie poddając daleko idącej odpowiedzialności, w tym finansowej (kary pieniężne nakładane na podstawie art. 83 RODO). Pogodzenia tych wartości stanowi istotę sprawy. Bank nie kwestionował przysługującego Uczestnikowi prawa do uzyskania kopii jego danych osobowych, nie utrudniał mu również realizacji tego prawa. Stosując przepisy RODO, w tym art. 24 ust. 1 i art. 32 ust. 1 i 2, kierował się koniecznością zapewnienia najwyższego poziomu ochrony danych osobowych, uwzględniając ryzyka i biorąc pod uwagę charakter prowadzonej działalności bankowej i inne znajdujące zastosowanie przepisy prawa i wymogi, w szczególności wynikające z u.P.b. i u.k.s.c. Bank, w celu odpowiedniego zabezpieczenia przetwarzanych danych i informacji objętych tajemnicą bankową wdrożył standardy wymagane przez międzynarodową normę PN-EN ISO/IEC 27001 zwana (dalej "Normą ISO"), która prezentuje całościowy model zarządzania bezpieczeństwem informacji w organizacji. Zgodnie z ww. Normą ISO, Bank, w celu uzyskania certyfikatu zgodności z nią, zobowiązany był (i jest) w szczególności do zapewnienia podwyższonego standardu ochrony danych, w szczególności przed ich utratą lub udostępnieniem podmiotom nieuprawnionym. Bank musi dostosować konkretne obszary działalności wpływające na bezpieczeństwo informacji, aby zapewnić zgodność z tą normą, m.in. wprowadzić kontrolę dostępu i zapewnić bezpieczeństwo zasobów ludzkich, a także bezpieczeństwo fizyczne i środowiska IT. Zgodnie z wymaganiami ww. normy, należy sklasyfikować informacje (dane) pod kątem wymagań prawnych, ich wartości, krytyczności i wrażliwości dla organizacji oraz osób, których te informacje dotyczą. Bank w efekcie wdrożenia Normy ISO zapewnia, że zidentyfikował odpowiednio zagrożenia i wprowadził środki zapobiegawcze, w celu ochrony przed naruszeniami bezpieczeństwa informacji. Bank spełnia wymagania Normy ISO, przechodząc regularny proces certyfikacji zgodności. Jednym z istotnych środków wdrożonych w związku ze stosowaniem Normy ISO jest klasyfikacja informacji (w tym danych osobowych administrowanych przez Bank), a także po przeanalizowaniu doniosłości ryzyka i konsekwencji związanych z przetwarzaniem informacji (danych) - wprowadzenie standardów w zakresie potwierdzania tożsamości podmiotów, którym dane chronione mają być udostępniane. Następstwem wdrożenia tych zabezpieczeń i standardów było wprowadzenie wewnętrznego procesu (procedury) realizacji praw podmiotów danych (w tym prawa dostępu do danych), a w rezultacie odmowa realizacji żądania Klienta wynikającego z art. 15 ust. 3 RODO, z uwagi na brak zgodności z tą procedurą. Bank wprowadził rozwiązania, zgodnie z którym dostęp do różnego zakresu danych osobowych (w tym ich kopii na mocy art. 15 ust. 3 RODO) możliwy jest w zróżnicowany sposób, w szczególności:

- dostęp do podstawowego zakresu danych osobowych, w tym do historii transakcji, jednak nie starszych niż 90 dni - możliwy jest w ramach usługi bankowości elektronicznej, do której dostęp następuje z wykorzystaniem loginu i hasła użytkownika (klienta Banku);

- dostęp do szerszego zakresu danych osobowych, w tym do danych szczególnych kategorii (w rozumieniu art. 9 RODO) i do historii transakcji starszych niż 90 dni - wymaga silnego uwierzytelniania, w tym wizyty osobistej w Banku (oraz weryfikacji tożsamości z użyciem dowodu osobistego) lub uwierzytelniania drogą telefoniczną, pod warunkiem aktywowania przez klienta Banku tej możliwości.

Rozwiązanie wprowadzone w tym zakresie przez Bank uwzględnia podejście oparte na ryzyku. Udzielenie podmiotowi danych ogólnych informacji oraz podstawowego zakresu danych osobowych w ramach realizacji prawa dostępu do danych niesie niewielkie ryzyko dla podmiotu danych, a dostęp do szerokiego zakresu danych osobowych, w tym do historii transakcji starszych niż 90 dni, wiązałoby się z dużo wyższym ryzykiem, w przypadku ujawnienia danych nieuprawionemu podmiotowi. Skutkiem ewentualnego naruszenia poufności tego rodzaju (szerszych zakresowo) danych mogłyby być kradzież tożsamości, uszczerbek finansowy, pozyskanie – w oparciu o historię transakcji - licznych wrażliwych informacji o życiu osobistym, zawodowym oraz o aktywności podmiotu danych, jak również inne istotne, negatywne konsekwencje dla podmiotu danych.

Prezesowi UODO umknęło, że obowiązek silnego uwierzytelniania klientów Banku wynika też z przepisów dyrektywy Parlamentu Europejskiego i Rady (UE) 2015/2366 z 25 listopada 2015r. w sprawie usług płatniczych w ramach rynku wewnętrznego (zwana dalej "Dyrektywą"), która nakłada na banki wymóg stosowania tzw. silnego uwierzytelnienia dla części operacji i transakcji. Ww. podział stosowany przez Bank na dane obejmujące historię transakcji starszych niż 90 dni i transakcji nowszych uwzględnia art. 10 ust. 1 lit. b) rozporządzenia Komisji (UE) 2018/389 z 27 listopada 2017r., uzupełniającego dyrektywę Parlamentu Europejskiego i Rady (UE) 2015/2366 w odniesieniu do regulacyjnych standardów technicznych dotyczących silnego uwierzytelniania klienta i wspólnych i bezpiecznych otwartych standardów komunikacji, który to przepis zwalnia dostawców usług płatniczych (w tym banki) z obowiązku stosowania silnego uwierzytelniania klienta w odniesieniu do danych dotyczących "transakcji płatniczych przeprowadzonych w ciągu ostatnich 90 dni.

Bank w związku z ww. wymogami wdrożył standardy w zakresie silnego uwierzytelniania klientów, przez dwuetapową weryfikację, która zakłada wykorzystanie dwóch z trzech możliwych elementów: login i hasło do bankowości elektronicznej (element z kategorii wiedzy); specjalny kod w kanale telefonicznym (T-PIN) - elementem z kategorii posiadanie. Same w sobie logowanie do bankowości elektronicznej nie może zapewniać silnego uwierzytelniania, a tym samym zapewniać dostęp do szerszego zakresu danych osobowych podmiotu danych. Dodatkowe użycie takiego kodu realizuje wymóg silnego uwierzytelniania, a tym samym pozwala na dostęp do szerszego zakresu danych osobowych, w tym do historii transakcji starszych niż 90 dni. Skoro Uczestnik żądał przekazania mu kopii wszystkich danych osobowych - w tym historii transakcji płatniczych starszych niż 90 dni i danych finansowych, danych o charakterze osobistym (m.in. wykształcenie, sytuacja rodzinna), nr PESEL, itd. - zastosowano wymóg silnego uwierzytelnienia. Bank w odpowiedzi na żądania Uczestnika, udzielił - za pośrednictwem bankowości elektronicznej – informacji dotyczących zautomatyzowanego podejmowania decyzji, mających wpływ na odmowę przyznania mu karty kredytowej. Przekazanie tych informacji było dopuszczalne w ramach kanału komunikacji, gdyż nie zawierały one szerszego zakresu danych osobowych, który wymagałby zastosowania dalej idących środków. Bank, odnosząc się do przesłania kopii (kompletnych) danych osobowych Uczestnika wskazał, że jest to możliwa wyłącznie, gdy weryfikacja tożsamości nie budzi wątpliwości, a zatem z wykorzystaniem mechanizmu silnego uwierzytelnienia. Uczestnik nie aktywował możliwości silnego uwierzytelniania drogą telefoniczną, więc Bank wskazał, że realizacja żądania będzie możliwa podczas wizyty w oddziale Banku, po weryfikacja przy użyciu dokumentu tożsamości. Bank miał stałą intencję realizacji żądania Uczestnika – zgodnie z art. 12 ust. 6 RODO, dążąc do możliwego pewnie potwierdzenia tożsamości. Przekazano więc Uczestnikowi żądanie administratora przekazania dodatkowych informacji, niezbędnych do potwierdzenia tożsamości Uczestnika - przez wskazanie na konieczność złożenia dyspozycji - podczas wizyty w oddziale Banku - gdzie możliwe jest przedstawienie dowodu tożsamości, a zatem i udzielenie przez Uczestnika "dodatkowych informacji niezbędnych do potwierdzenia tożsamości", o czym mowa w art. 12 ust. 6 RODO.

Prezes UODO nie uwzględnił ponadto bezwzględnie obowiązujących przepisów u.P.b., nakładających na Bank (instytucję zaufania publicznego, pośredniczącą w obiegu pieniądza, odpowiedzialną za jego odpowiednie przechowanie i rozliczanie) określone obowiązki i ograniczenia. Tajemnica bankowa (zawodowa) wprowadza dalej idącą ochronę niż wynikająca z przepisów RODO, z uwagi na doniosłość konsekwencji mogących powstać w przypadku ujawnienia danych objętych tajemnicą bankową osobom nieuprawnionym, ochrona tajemnicy bankowej może być uchylona tylko w przypadkach określonych prawem (zgodnie z art. 104 ust. 2 u.P.b.). Bank ponosi odpowiedzialność za szkody wynikające z ujawnienia tajemnicy bankowej i wykorzystania jej niezgodnie z przeznaczeniem, a ochrona informacji stanowiących tajemnicę bankową zabezpieczono sankcją karną (art. 171 ust. 5 u.P.b). Bank związany jest także rekomendacjami Europejskiego Urzędu Nadzoru Bankowego (dalej jako "EBA") i Komisji Nadzoru Finansowego (dalej jako "KNF"), w szczególności Rekomendacja D, która precyzuje obowiązki banków w tym zakresie. Szczególnie istotne są obowiązki dotycząc weryfikacji tożsamości klientów. Z Rekomendacji D wynika, że bank powinien m.in. określić i stosować możliwie niezawodne metody i środki potwierdzenia tożsamości i uprawnień klientów korzystających z elektronicznych kanałów dostępu, minimalizujące ryzyko udzielenia dostępu nieupoważnionym osobom, a dobór tych metod powinien być poprzedzony analizą ryzyka związanego z komunikacją danym kanałem. Bank zwrócił też uwagę na Europejską Agencję Bezpieczeństwa Sieci i Informacji, która w zaleceniach dotyczących oceny dotkliwości naruszeń ochrony danych osobowych wskazała, że Administratorzy w przypadku naruszenia danych osobowych o charakterze finansowym powinni przyjmować w sposób dorozumiany, że naruszenie tego rodzaju ma bardziej istotny charakter, a w związku z tym wiąże się ze zwiększonym ryzykiem dla podmiotów objętych naruszeniem. Bank jako operator usług kluczowych jest zobowiązany do stosowania podwyższonych standardów cyberbezpieczeństwa i przeciwdziałania cyberprzestępstwom. Skoro Bank podlega przepisom szczególnym, nakładającym dodatkowe obowiązki w zakresie przetwarzania informacji prawnie chronionych w tym w zakresie cyberbezpieczeństwa, miał obowiązek wdrożyć wewnętrzne procedury określające zasady realizacji praw podmiotów danych wynikające m.in. z art. 15 ust. 3 RODO. Prezes UODO nie uwzględnił ww. obowiązków nałożonych na Banki i wynikających z nich konsekwencji, co spowodowało uznanie, że Bank w sposób nieuprawiony odmówił realizacji prawa Uczestnika do otrzymania kopii danych osobowych. Odmowa przez Bank realizacji żądania Uczestnika była konsekwencją realizacji obowiązków zachowania szczególnej ostrożności w odniesieniu do danych stanowiących tajemnicę bankową oraz wynikających z uznania Banku za operatora usług kluczowych w rozumieniu u.k.s.c.

3. Prezes UODO w odpowiedzi na skargę wniósł o oddalenie skargi, podtrzymując dotychczasowe stanowisko prezentowane w zaskarżonej decyzji.

II. Wojewódzki Sąd Administracyjny w Warszawie zważył, co następuje:

1. skarga jest zasadna.

2. Sąd wskazuje, że zgodnie z art. 1 ust. 1 i 2 ustawy z 25 lipca 2002r. - Prawo o ustroju sądów administracyjnych (Dz.U. z 2022r. poz. 2492 ze zm.) w związku z art. 3 § 1 i 3 ustawy z 30 sierpnia 2002r. Prawo o postępowaniu przed sądami administracyjnymi (Dz.U. z 2023r. poz. 1634 ze zm., zwana dalej "P.p.s.a."), sądy administracyjne sprawują wymiar sprawiedliwości przez kontrolę działalności administracji publicznej, a kontrola ta sprawowana jest pod względem zgodności z prawem, jeżeli ustawy nie stanowią inaczej. Oznacza to, że Sądy administracyjne nie orzekają merytorycznie, tj. nie wydają orzeczeń, co do istoty sprawy, lecz badają zgodność zaskarżonego aktu administracyjnego z obowiązującymi przepisami prawa, określającymi prawa i obowiązki stron oraz przepisami procedury administracyjnej, normującymi zasady postępowania przed organami administracji publicznej.

Z art. 145 § 1 pkt 1 P.p.s.a., wynika, że Sąd uchyla decyzję lub postanowienie w całości albo w części, jeżeli stwierdzi: a) naruszenie prawa materialnego, które miało wpływ na wynik sprawy, b) naruszenie prawa dające podstawę do wznowienia postępowania administracyjnego, c) inne naruszenie przepisów postępowania, jeżeli mogło ono mieć istotny wpływ na wynik sprawy. Tym samym zaskarżone akty mogą ulec uchyleniu tylko wtedy, gdy organom administracji publicznej można postawić uzasadniony zarzut naruszenia prawa, czy to materialnego, czy to procesowego, jeżeli naruszenie to miało, bądź mogło mieć wpływ na wynik sprawy.

Sąd w razie nieuwzględnienia skargi w całości albo w części, na mocy art. 151 P.p.s.a., oddala skargę odpowiednio w całości albo w części.

3. Sąd, mając powyższe przepisy na względzie, uznał, że zaskarżona decyzja naruszała przede wszystkim normy prawa procesowego i to w stopniu mogącym mieć istotny wpływ na wynik sprawy – na prawidłowe zastosowanie przepisów prawa materialnego - co spowodowało przedwczesne zastosowanie przez Prezesa UODO art. 58 ust. 2 lit. c RODO i przyjęcie, że Bank niezasadnie odmówił spełnienia względem Uczestnika obowiązku informacyjnego z art. 15 ust. 3 RODO, uniemożliwiając realizację podstawowej funkcji kontrolnej procesu przetwarzania danych osobowych, a także pozbawiając Uczestnika możliwości skorzystania z pozostałych (wtórnych) uprawnień przewidzianych w pozostałych przepisach RODO.

Zdaniem Sądu z ustaleń Prezesa UODO dokonanych w toku postępowania administracyjnego, na podstawie informacji przekazanych przez Uczestnika i Bank, wynikało, że powodem uwzględnienia skargi Uczestnika na niespełnienie przez Bank obowiązku informacyjnego (art. 15 ust. 3 RODO) było po pierwsze to, że Uczestnik złożył wniosek o udostępnienie danych za pośrednictwem dedykowanego kanału komunikacji z Bankiem – w ramach bankowości elektronicznej – więc nie można było uznać, że Bank nie był w stanie zidentyfikować Uczestnika. Po drugie to, że Bank nie zwrócił się do Uczestnika o wskazanie dodatkowych informacji niezbędnych do potwierdzenia jego tożsamości, zgodnie z art. 12 ust. 6 RODO, a jako wyłączną formę weryfikacji umożliwiającą spełnienie żądania wskazał osobiste przedstawienie dowodu tożsamości w jednym z oddziałów Banku. Po trzecie działanie Banku nie zmierzało do ułatwienia Uczestnikowi, jako osobie, której dane dotyczą, realizacji praw wynikających z art. 15 ust. 3 RODO. W związku z tym Prezes UODO nakazał Bankowi wyeliminowanie nieprawidłowości przez spełnienie żądania Uczestnika, na mocy art. 15 ust. 3 RODO.

Sąd w związku z tym wskazuje, że jakkolwiek Prezes UODO w uzasadnieniu zaskarżonej decyzji powołał się prawidłowo na treść mających zastosowanie w sprawie przepisów: art. 15, art. 11 ust. 2, art. 12 ust. 6 oraz art. 24 ust. 1 RODO, tym niemniej nie rozważył ich dyspozycji w stopniu dostatecznym w odniesieniu do okoliczności faktycznych sprawy. Pominął przede wszystkim pełnione przez Bank funkcje oraz ciążące w związku z tym na tym podmiocie obowiązki prawne i nie zestawił ich z obowiązującymi Banku na gruncie przepisów RODO.

Sąd zgadza się z Bankiem, że administrator, którym był Bank w odniesieniu do danych osobowych Uczestnika, przy realizacji obowiązków wynikających z poszczególnych przepisów RODO - w tym prawa dostępu do danych (art. 15 ust. 3 RODO) - musi godzić także obowiązki nałożone na Bank przez inne powszechnie obowiązujące przepisy prawa. Pogodzenia tych wartości stanowi istotę sprawy. W uzasadnieniu zaskarżonej decyzji próżno szukać analizy tej kwestii, choć była ona istotna z punktu argumentacji podnoszonej przez Bank w toku postępowania administracyjnego.

Z akt sprawy wynika, że Bank nie kwestionował przysługującego Uczestnikowi prawa do uzyskania kopii jego danych osobowych, nie utrudniał również Uczestnikowi realizacji tego prawa. Bank nie kwestionował też sposobu złożenia wniosku przez Uczestnika - za pośrednictwem dedykowanego kanału komunikacji z Bankiem – w ramach bankowości elektronicznej. Stwierdzić ponadto należy, że choć Prezes UODO w zaskarżonej decyzji podniósł, że Bank nie wskazywał, że nie był w stanie zidentyfikować Uczestnika ani nie zwrócił się do Uczestnika o wskazanie dodatkowych informacji niezbędnych do potwierdzenia tożsamości – to istotne było to, że Bank w korespondencji z Uczestnikiem poinformował, z jakiego powodu konieczne jest złożenie przez Uczestnika dyspozycji w oddziale Banku, gdzie możliwa będzie weryfikacja dokumentu tożsamości Uczestnika, powołując się na szeroki zakres danych, wysokie ryzyko ujawnienia tajemnicy bankowej oraz wątpliwości co do tożsamości osoby wnioskującej o udostępnienie danych (k. 41v akt administracyjnych). W tym kontekście zasadne były zarzuty skargi, że Prezes UODO z niezrozumiałych względów i wbrew zasadom wynikającym z przepisów k.p.a., nie wziął pod rozwagę obowiązujących przepisów prawa materialnego, które zobowiązywały Bank - przed wypełnieniem żądanego obowiązku informacyjnego wobec Uczestnika - do konieczności odpowiedniego zabezpieczenia danych osobowych klientów Banku, w tym danych osobowych Uczestnika, z uwzględnieniem podejścia opartego na ryzyku (w rozumieniu art. 24 ust. 1 RODO).

Prezes UODO w sposób dostateczny nie rozważył czy Bank - operator usług kluczowych w rozumieniu u.k.s.c. - był uprawniony do wskazania Uczestnikowi, że wymagana jest dodatkowa czynność - konieczności wizyty osobistej w oddziale Banku, w celu weryfikacji tożsamości z użyciem dowodu osobistego w kontekście:

- żądania udostępnienia przez Uczestnika szerokiego zakresu danych osobowych oraz

- ryzyka naruszenia praw lub wolności osób fizycznych (w tym samego Uczestnika);

- wagi zagrożeń,

- unormowań prawnych, które Bank ma obowiązek stosować (m.in. art. 104 ust. 1-3 u.P.b. i w związku z art. 8 u.k.s.c.; art. 32i u.u.p.).

Brak należytego uwzględnienia i rozważenia przez Prezesa UODO w uzasadnieniu zaskarżonej decyzji ww. okoliczności, gdy Bank zobowiązany był do szczególnej weryfikacji tożsamości (w tym silnego uwierzytelniania) podmiotów, które zwracają się z żądaniem ujawnienia danych osobowych (w tym Uczestnika), stanowiących jednocześnie informacje objęte tajemnicą bankową, a ponadto, gdy bankowość elektroniczna, w ramach której zapytanie skierował Uczestnik, nie realizuje wymogu silnego uwierzytelniania, a więc udostępnienie danych bez należytego uwierzytelnienia mogłoby się wiązać z istotnym ryzykiem naruszenia przez Bank tajemnicy bankowej - stanowiło naruszenie zasady praworządności (art. 6 k.p.a.) i zasady prawdy obiektywnej, o której mowa w art. 7 i art. 77 § 1 k.p.a. Brak wnikliwego i wszechstronnego rozpatrzenia stanu faktycznego sprawy przez Prezesa UODO w świetle przepisów prawa materialnego, mogących mieć zastosowanie w sprawie, a w szczególności brak odniesienia stanu faktycznego sprawy do przepisów prawa, które zobowiązywały Bank do zachowania w tajemnicy informacji stanowiących tajemnicę bankową, jak też do wdrożenia procedur wewnętrznych, które umożliwiały udostępnienie danych osobowych pod warunkiem wdrożenia rozwiązań zabezpieczających dane i wiążącego się z tym silnego uwierzytelnienia klienta Banku, a więc do ochrony informacji przetwarzanych przez Bank przed ujawnieniem osobom nieuprawnionym - nie budzi też zaufania do organu administracyjnego i narusza art. 8 § 1 k.p.a. w stopniu mogącym mieć istotny wpływ na wynik sprawy.

Sąd wskazuje, że jakkolwiek art. 15 ust. 3 RODO formułuje obowiązek udzielenia informacji w powszechnie stosowanej formie elektronicznej, gdy osoba, której dane dotyczą, zwróciła się o kopię drogą elektroniczną i jeżeli nie zaznaczyła inaczej, tym niemniej nie można pomijać jasnej treści art. 11 ust. 2 RODO. Z art. 11 ust. 2 RODO wynika, że jeżeli administrator może wykazać, że nie jest w stanie zidentyfikować osoby, której dane dotyczą, w miarę możliwości informuje o tym osobę, której dane dotyczą. W takich przypadkach zastosowania nie mają art. 15-20, chyba że osoba, której dane dotyczą, w celu wykonania praw przysługujących jej na mocy tych artykułów dostarczy dodatkowych informacji pozwalających ją zidentyfikować.

Ze stanu faktycznego sprawy wynikało, że Uczestnik nie dostarczył Bankowi dodatkowych informacji, które umożliwiłyby Jego zidentyfikowanie. Warto też wskazać, że art. 12 ust. 6 RODO przewiduje po stronie Banku uprawnienia do żądania dodatkowych informacji w celu realizacji obowiązku - jeżeli administrator ma uzasadnione wątpliwości co do tożsamości osoby fizycznej składającej żądanie, o którym mowa w art. 15-21, a dodatkowe informacje są niezbędnych do potwierdzenia tożsamości osoby, której dane dotyczą. Okoliczności faktyczne sprawy wskazują, że Uczestnik został poinformowany o potrzebie dodatkowej identyfikacji i nie uczynił jej zadość. Bank natomiast, z uwagi na treść art. 24 ust. 1 RODO, nie mógł pominąć, że przy przetwarzaniu danych osobowych ważny jest ich charakter i zakres, a także kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie i wadze zagrożenia. W takim przypadku administrator - Bank – ma bowiem obowiązek wdrożenia odpowiednich środków technicznych i organizacyjnych, aby przetwarzanie odbywało się zgodnie z RODO i aby móc wykazać, że przetwarzanie jest zgodne z prawem. Tym samym podejście Banku oparte na ryzyku, a w szczególności uwzględniające zagrożenia płynącego z możliwości np. cyberataków, nie powinno być uznane za utrudniające realizację praw Uczestnika, a wprost przeciwnie - za działania zapewniające odpowiednią ochronę praw Uczestnika jako podmiotu danych.

Zdaniem Sądu wprawdzie Prezes UODO powołał się w uzasadnieniu zaskarżonej decyzji na motyw 59 RODO, z którego wynika, że należy przewidzieć procedury ułatwiające osobie, której dane dotyczą, wykonywanie praw przysługujących jej na mocy RODO, w tym mechanizmy żądania - i gdy ma to zastosowanie bezpłatnego uzyskiwania - w szczególności dostępu do danych osobowych i ich sprostowania lub usunięcia oraz możliwości wykonywania prawa do sprzeciwu, tym niemniej nie rozważył szczególnych obowiązków, które nakładają na bank inne przepisy niż RODO. Prezes UODO pominął, że Bank podlega przepisom prawa bankowego, które nakładają szczególny obowiązek zachowania tajemnicy bankowej (art. 104 ust. 1-3 u.P.b.), jak też podlega przepisom, które wprowadzają wymogi w zakresie silnego uwierzytelniania (w szczególności art. 32i u.u.p.) oraz przepisom z zakresu cyberbezpieczeństwa (art. 8 u.k.s.c.) i przepisom rozporządzenia Rady Ministrów z 11 września 2018r. w sprawie wykazu usług kluczowych oraz progów istotności skutku zakłócającego incydentu dla świadczenia usług kluczowych.

Rację ma także Bank, wskazując w skardze, że Prezesowi UODO umknęło przy rozpatrywaniu sprawy, że obowiązek silnego uwierzytelniania klientów Banku wynika także z przepisów ww. dyrektywy Parlamentu Europejskiego i Rady (UE) 2015/2366 z 25 listopada 2015r. w sprawie usług płatniczych w ramach rynku wewnętrznego, która nakłada na banki wymóg stosowania tzw. silnego uwierzytelnienia dla części operacji i transakcji. Ww. podział stosowany przez Bank na dane obejmujące historię transakcji starszych niż 90 dni i transakcji nowszych uwzględnia art. 10 ust. 1 lit. b) rozporządzenia delegowanego Komisji (UE) 2018/389 z 27 listopada 2017r., uzupełniającego ww. Dyrektywę w odniesieniu do regulacyjnych standardów technicznych dotyczących silnego uwierzytelniania klienta i wspólnych i bezpiecznych otwartych standardów komunikacji, który to przepis zwalnia dostawców usług płatniczych (w tym banki) z obowiązku stosowania silnego uwierzytelniania klienta w odniesieniu do danych dotyczących "transakcji płatniczych przeprowadzonych w ciągu ostatnich 90 dni.

W kontekście powyższych rozważań za zasadne należało więc uznać zarzuty procesowe skargi, a w szczególności zarzut naruszenia przepisów art. 7, art. 77 § 1 i art. 107 § 1 i 3 k.p.a. Zasady określone w art. 7, art. 77 § 1 k.p.a. wskazują na obowiązek wyczerpującego zebrania materiału dowodowego oraz wszechstronnego jego rozważenia, bowiem tylko takie podejście umożliwia wydanie prawidłowej decyzji w sprawie. Z art. 107 § 1 i 3 k.p.a. wynika natomiast, że funkcją uzasadnienia jest wyjaśnienie rozstrzygnięcia stanowiącego dyspozytywną część decyzji. Zadaniem uzasadnienia jest także przekonanie strony o prawidłowości rozstrzygnięcia. Uzasadnienie decyzji powinno tym samym być skonstruowane w sposób umożliwiający realizację zasady ogólnej przekonywania (art. 11 k.p.a.).

Prezes UODO w uzasadnieniu zaskarżonej decyzji nie uwzględnił wszelkich elementów stanu faktycznego oraz nie ocenił ich w kontekście ww. norm prawa materialnego, a w szczególności w aspekcie przepisów art. 104 ust. 1-3 u.P.b. i w związku z art. 8 u.k.s.c.; art. 32i u.u.p., których przestrzegać miał obowiązek Bank w związku z udostępnianiem danych osobowych Uczestnika temuż Uczestnikowi. Powyższe uchybienia doprowadziły Prezesa UODO do wyciągnięcia wniosków niemających uzasadnienia w zgromadzonym materiale dowodowym. Skoro zatem Prezes UODO pominął istotne w sprawie okoliczności związane ze sposobem realizacji przez Bank żądania klienta Banku (podmiotu danych), jakim był Uczestnik, zgłoszonego na podstawie art. 15 ust. 3 RODO, przez nie wzięcie pod rozwagę różnych poziomów weryfikacji (potwierdzania) tożsamości klienta, to nieprawidłowe było uznanie, że Bank był zobowiązany do innego działania wobec Uczestnika, w trybie art. 15 ust. 3 RODO, niż ten który zastosował, należycie informując Uczestnika w piśmie z [...] marca 2021r. o potrzebie "złożenia dyspozycji podczas wizyty w Oddziale Banku, gdzie możliwe jest weryfikacja dokumentu tożsamości". Zdaniem Sądu powyższe działanie Banku stanowiło prawidłową realizację przez Bank art. 12 ust. 6 RODO. Wbrew zatem twierdzeniom Prezesa UODO zawartym w uzasadnieniu zaskarżonej decyzji – Bank zwrócił się do Uczestnika o wskazanie dodatkowych informacji niezbędnych do potwierdzenia jego tożsamości – okazanie dowodu osobistego w placówce Banku. Warto też wskazać, że Bank w toku postępowania administracyjnego wskazywał w pismach procesowych kierowanych do organu i do Uczestnika, że "przyjęty przez Bank sposób identyfikacji osób wynika ze szczególnego traktowania ochrony danych osobowych, w szczególności w zakresie ich nieuprawnionego ich ujawnienia." (k. 33v akt administracyjnych). W piśmie z 16 sierpnia 2021r. Bank wskazywał ponadto, że Uczestnik nie miał uaktywnionej możliwości uwierzytelniania drogą telefoniczną, więc konieczna była z tego względu weryfikacja Jego tożsamości w oddziale Banku. Wskazywano też, że ten rodzaj weryfikacji był uzasadniony, gdyż Uczestnik żądał wszystkich danych osobowych, w tym danych związanych z podwyższonym ryzykiem i wagą, w postaci całej historii bankowej, w tym transakcyjnej, innych danych finansowych czy o charakterze osobistym jak wykształcenie, staż pracy, sytuacja rodzinna czy numer PESEL. Kopia ww. danych bez właściwego uwierzytelnienia, gdyby trafiła w niepowołane ręce, mogłaby naraziłaby Uczestnika na szkody i straty, których cofnięcie byłoby szczególnie utrudnione lub niemożliwe. Uczestnikowi przekazano ponadto informację o możliwości potwierdzenia dyspozycji związanej z żądaniem uzyskania kopii bez udania się do oddziału Banku przy pomocy T-PIN, umożliwiającego weryfikację tożsamości. Uczestnik postępowania nie zdecydował się na tego rodzaju weryfikację. Bank poinformował więc, że zgodnie z procedurą oraz z uwagi na obowiązki prawne w zakresie zachowania zabezpieczeń i środków o charakterze technicznym oraz organizacyjnym (m.in. na obowiązek przetwarzania danych, zgodnie z zasadami integralności i poufności, w tym ochronę przed niedozwolonym lub niezgodnym z prawem przetwarzaniem oraz przypadkową utratą, zniszczeniem lub uszkodzeniem, za pomocą odpowiednich środków technicznych lub organizacyjnych - art. 5 ust. 1 lit. f RODO) odmówił realizacji żądania Uczestnika, którego nie mógł zidentyfikować (k. 33v-34 akt administracyjnych). Brak ustosunkowania się w uzasadnieniu zaskarżonej decyzji do tej części istotnych w sprawie wyjaśnień Banku również nie budzi zaufania do Prezesa UODO i narusza oprócz art. 7, art. 77 § 1 k.p.a., także art. 8 § 1 k.p.a. w związku z art. 11 ust. 2 i art. 12 ust. 6 RODO oraz art. 24 ust. 1 RODO.

Sąd w związku z tym przyjął, że Prezes UODO nie uzasadnił w sposób przekonywujący naruszenia przez Bank art. 15 ust. 3 RODO, gdyż ograniczył się do powołania art. 15 ust. 3 RODO i do lakonicznego wskazania, że Bank niezasadnie odmówił spełnienia względem Uczestnika obowiązku informacyjnego z art. 15 ust. 3 RODO, pomijając argumentację Banku, który odnosił się do uwarunkowań prawnych, w jakich działa, jak też wskazywał na powody, które spowodowały brak wypełnienia obowiązku informacyjnego wobec Uczestnika. Uzasadnienie faktyczne decyzji administracyjnej powinno zaś w szczególności zawierać wskazanie faktów, które organ uznał za udowodnione, dowodów, na których się oparł oraz przyczyn, z powodu których innym dowodom odmówił wiarygodności i mocy dowodowej. Z kolei uzasadnienie prawne decyzji powinno zawierać wyjaśnienie podstawy prawnej decyzji, z przytoczeniem przepisów prawa, a także toku rozumowania organu, przedstawiającego proces konkretyzacji stosunku administracyjnoprawnego w danej sprawie. Motywy decyzji powinny natomiast być tak ujęte, aby strona mogła zrozumieć i w miarę możliwości zaakceptować zasadność przesłanek faktycznych i prawnych, którymi kierował się organ przy załatwianiu sprawy. Sąd Najwyższy w wyroku z 12 lutego 1997r. sygn. akt III RN 94/96 wskazał, że jeśli w sprawie występują sprzeczne interesy stron, obowiązkiem organów administracji i Sądu jest przeprowadzenie analizy tych interesów i stwierdzenie w uzasadnieniu rozstrzygnięcia, jakie to względy (zarówno prawne, jak i społeczne) zostały przy podejmowaniu rozstrzygnięcia wzięte pod uwagę, dlaczego pewne argumenty zostały przedłożone nad inne i w jaki sposób interesy strony, dla której rozstrzygnięcie jest negatywne, zostały wzięte pod uwagę (OSNAPiUS 1997, nr 19, poz. 366). Warto też wyjaśnić, że Naczelny Sąd Administracyjny w wyroku z 16 marca 1998r. sygn. akt II SA 96/98 podkreślił, że niewyjaśnienie wszystkich okoliczności mających istotne znaczenie w sprawie oraz nieuzasadnienie decyzji w sposób właściwy narusza podstawowe zasady postępowania administracyjnego i stanowi podstawę do uchylenia przez sąd administracyjny zaskarżonej decyzji (LEX nr 41681). Sąd poglądy te podziela i uznaje za własne, uznając przy tym, że brak rozważenia przez Prezesa UODO jasno wyartykułowanych przez Bank racji spowodował wadliwość procesową na tyle istotną, że zasadne było uwzględnienie skargi.

Zdaniem Sądu zaufania do organu administracyjnego nie budzi też brak konsekwencji co do ustalonej przez Prezesa UODO chronologii zdarzeń innej na stronie 2 zaskarżonej decyzji, a innej na s. 4 zaskarżonej decyzji - przez stwierdzenie, że klient złożył wniosek o realizację prawa dostępu do danych 24 marca 2021r. i przez stwierdzenie, że odpowiedź Banku w sprawie realizacji tego prawa nastąpiła [...] maca 2021r., gdy z akt wynika, że Uczestnik złożył wniosek [...] marca 2021r., a Bank udzielił odpowiedzi [...] marca 2021r. Również z tego względu doszło do wydania zaskarżonej decyzji w oparciu o błędne założenia natury faktycznej i prawnej oraz dokonanie niepełnych i nieprecyzyjnych ustaleń w zakresie naruszenia przez Bank obowiązku wynikającego z art. 15 ust. 3 RODO.

4. Zdaniem Sądu powyżej opisane mankamenty natury procesowej zaskarżonej decyzji wskazywały na niezasadność wniosku skargi o stwierdzenie nieważności zaskarżonej decyzji. Zdaniem Sądu Prezes UODO wyraźnie wskazał w sentencji zaskarżonej decyzji konkretny obowiązek Banku - spełnienie wobec Uczestnika obowiązku z art. 15 ust. 3 RODO - przez przekazanie Uczestnikowi kopii Jego danych osobowych podlegających przetwarzaniu. Prezes UODO wyjaśnił też w uzasadnieniu zaskarżonej decyzji prawidłowo, że obowiązek udostępnienia kopii danych osobowych (art. 15 ust. 3 RODO) nie jest równoznaczny z obowiązkiem udostępnienia kopii dokumentów. Administrator nie ma więc obowiązku udostępnienia kopii nośnika, na którym przetwarzane są dane osobowe. Administrator, realizując obowiązek z art. 15 ust. 3 RODO, może poprzestać na wskazaniu treści danych dotyczących osoby wnioskującej, albo sporządzić ich kopię lub odpis dokumentu (nośnika) zawierającego dane osobowe. Administrator każdorazowo podejmuje decyzję, w jaki sposób zrealizuje ww. uprawnienie. Ma uczynić to bez zbędnej zwłoki, w terminie miesiąca od otrzymania żądania - udziela osobie, której dane dotyczą, informacji o działaniach podjętych w związku z żądaniem na podstawie art. 15-22 RODO (art. 12 ust. 3 RODO). W razie potrzeby termin ten można przedłużyć o kolejne dwa miesiące, z uwagi na skomplikowany charakter żądania lub liczbę żądań.

W ocenie Sądu to, że Prezes UODO w zaskarżonej decyzji nie uwzględnił pełnionej przez Bank funkcji i wynikających z tego obowiązków, a w szczególności nie wziął pod rozwagę koniczności silnego uwierzytelnienia osoby, która żąda wypełnienia obowiązku informacyjnego, które to uwierzytelnienie było możliwe dzięki wdrożonej przez Bank wewnętrznej procedurze, zakładającej zapewnienie podmiotom danych dostępu do szerszego zakresu ich danych osobowych (w tym do historii transakcji bankowych starszych niż 90 dni), w rozumieniu art. 15 ust. 3 RODO – nie powodowało niewykonalności decyzji w rozumieniu art. 156 § 1 pkt 5 k.p.a. Skoro w toku postępowania administracyjnego Bank wskazywał, że bankowość elektroniczna Banku nie realizuje wymogu silnego uwierzytelnienia, o czym Uczestnik został poinformowany, jak również, że Bank ma obowiązek respektowania przepisów prawa materialnego, które nakładają na niego obowiązki, które ma obowiązek godzić ze stosowanymi przepisami RODO, a Prezes UODO w dostateczny sposób nie rozważył tych kwestii w uzasadnieniu zaskarżonej decyzji, to należało przyjąć, że przedwczesne było nałożenie w zaskarżonej decyzji na Bank ww. obowiązku wskazanego w sentencji, z uwagi na istotne wadliwości proceduralne (art.6, art. 7, art. 8 § 1, art. 11, art. 77 § 1, art. 107 § 1 i 3 k.p.a.). Jakkolwiek Sąd nie kwestionuje stanowiska Prezesa UODO, że przyznane na gruncie art. 15 ust. 3 RODO prawo dostępu do danych, uzyskania ich kopii, a także uprawnienia informacyjne są jednymi z najważniejszych praw podmiotu danych i mają charakter gwarancyjny i kontrolny, pozwalając np. na zweryfikowanie zgodności przetwarzania z prawem, oraz pozostają w związku funkcjonalnym zarówno z naczelnymi zasadami przetwarzania danych, jak i z innymi obowiązkami informacyjnymi administratora. Tym niemniej Sąd stwierdza, że organ administracyjny, rozpatrując skargę Uczestnika w postępowaniu administracyjnym, nie może pomijać uwarunkowań prawnych, w jakich działa administrator danych osobowych (w rozpoznawanej sprawie Bank) z uwagi także na art. 11 ust. 2 RODO oraz art. 12 ust. 6 i art. 24 ust. 1 RODO. Prezes UODO ma też obowiązek rozważać argumenty podnoszone przez obie strony postępowania, tym bardziej, gdy wynikają one z przepisów prawa, których nie może pomijać Bank przy rozpatrywaniu wniosku Uczestnika postępowania (np. art. 104 ust. 1-3 u.P.b. i w związku z art. 8 u.k.s.c.; art. 32i u.u.p. oraz wewnętrzne procedury znane Uczestnikowi, które wypełniają wskazania zawarte w ww. dyrektywie Parlamentu Europejskiego i Rady (UE) 2015/2366 z 25 listopada 2015r. w sprawie usług płatniczych w ramach rynku wewnętrznego oraz w art. 10 ust. 1 lit. b) ww. rozporządzenia Komisji (UE) 2018/389 z 27 listopada 2017r.).

5. Sąd, mając powyższe rozważania na względzie uznał, że zasadne było uchylenie punktu pierwszego zaskarżonej decyzji, na mocy art. 145 § 1 pkt 1 lit. a) i c) P.p.s.a. w związku z art. 135 P.p.s.a. (punkt pierwszy sentencji).

Orzeczenie z punktu drugiego sentencji ma uzasadnienie w art. 200, art. 209 i art. 205 § 1 P.p.s.a. oraz § 14 ust. 1 pkt 1 lit. c) rozporządzenia Ministra Sprawiedliwości z 22 października 2015r. w sprawie opłat za czynności radców prawnych (Dz.U. z 2023r., poz. 1935), gdyż Bank był reprezentowany przez radcę prawnego (wynagrodzenie pełnomocnika w wysokości 480 zł), a wpis sądowy od skargi wynosił 200 zł.