Centralna Baza Orzeczeń Sądów Administracyjnych

Wojewódzki Sąd Administracyjny w Warszawie w składzie następującym: Przewodniczący Sędzia WSA Agnieszka Góra-Błaszczykowska (spr.), Sędzia WSA Joanna Kube, Sędzia WSA Andrzej Góraj, po rozpoznaniu na posiedzeniu niejawnym w dniu 13 stycznia 2021 r. sprawy ze skargi Banku [...] z siedzibą w W. na decyzję Prezesa Urzędu Ochrony Danych Osobowych z dnia [...] stycznia 2020 r. nr [...] w przedmiocie przetwarzania danych osobowych oddala skargę.

Przedmiotem rozpoznania w niniejszej sprawie była skarga Banku [...] Spółka Akcyjna z siedzibą w W. na decyzję Prezesa Urzędu Ochrony Danych Osobowych znak [...] z dnia [...] stycznia 2020 r. w przedmiocie przetwarzania danych osobowych.

Skarga została złożona w następującym stanie faktycznym sprawy:

W dniu [...] lipca 2018 r. (data wpływu do organu) H. K. i T. K. (zwani dalej: wnioskodawcy), wnieśli do Prezesa Urzędu Ochrony Danych Osobowych (zwany dalej: PUODO, organ), skargę na nieprawidłowości w procesie przetwarzania ich danych osobowych przez Bank [...] Spółka Akcyjna z siedzibą w W. (zwany dalej: bank, skarżący), polegające na przetwarzaniu danych osobowych wnioskodawców bez podstawy prawnej oraz do celów marketingowych.

W treści skargi wnioskodawcy wnieśli o zakazanie bankowi posługiwania się, przetwarzania i archiwizowania wszelkich danych osobowych ich dotyczących.

Decyzją znak [...] z dnia [...] stycznia 2020 r. organ, działając na podstawie art. 104 § 1 ustawy z dnia 14 czerwca 1960 r. Kodeks postępowania administracyjnego (Dz. U. z 2018 r., poz. 2096 ze zm., zwana dalej: k.p.a.), art. 6 ust. 1, art. 21 ust. 3, oraz art. 58 ust. 2 lit. b i lit. c rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (Dz. Urz. UE L 119 z 04.05.2016, str. 1, ze zm., zwane dalej: rozporządzeniem 2016/679), orzekł:

w pkt 1 – o nakazie usunięcia przez bank, danych osobowych wnioskodawców, w zakresie ich imion, nazwiska, typu dokumentów tożsamości, numerów dokumentów tożsamości, dat ważności dokumentów tożsamości, kraju wydania dokumentów tożsamości, numerów identyfikacyjnych PESEL, dat urodzenia, miejsc urodzenia, kraj urodzenia, statusów rezydencji, obywatelstwa, imion rodziców, stan cywilnego, nazwisk panieńskich matek, płci, adresu zamieszkania, adresu korespondencyjnego, numeru telefonu komórkowego, numeru telefonu domowego, formy zatrudnienia i preferowanego języka kontaktu, danych dotyczących posiadanych produktów banku, numerów CIF (numer identyfikacyjny nadawany klientom banku);

w pkt 2 – o udzieleniu bankowi upomnienia za naruszenie art. 6 ust. 1, art. 12 ust. 2 i ust. 3, oraz art. 21 ust. 3 rozporządzenia 2016/679 polegające na: a) nieuwzględnieniu w terminie sprzeciwu wnioskodawców, wyrażonego w piśmie z dnia 23 maja 2018 r,, z naruszeniem przepisu, zgodnie z którym, administrator ułatwia osobie, której dane dotyczą, wykonanie praw przysługujących jej na mocy art. 15-22, b) przetwarzaniu danych osobowych wnioskodawców, w celach marketingowych bez podstawy prawnej, pomimo zgłoszonego sprzeciwu.

W uzasadnieniu podjętej decyzji organ wskazał na następujące ustalenia stanu faktycznego sprawy:

W związku z zawarciem umowy Konta Osobistego i umowy Konta Oszczędnościowego bank pozyskał dane osobowe wnioskodawców w zakresie: imion, nazwisk, typu dokumentu tożsamości, numeru dokumentu tożsamości, daty ważności dokumentu tożsamości, kraju wydania dokumentu tożsamości, numeru

identyfikacyjnego PESEL, daty urodzenia, miejsca urodzenia, kraju urodzenia, statutu, rezydencji, obywatelstwa, imion rodziców, stanu cywilnego, nazwiska panieńskiego matki, płci, adresu zamieszkania, adresu korespondencyjnego, numeru telefonu komórkowego, numeru telefonu domowego, formy zatrudnienia i preferowanego języka kontaktu, w celu przygotowania i zawarcia ww. umów, jak również ich realizacji.

W dniu [...] kwietnia 2017 r. wnioskodawcy złożyli w banku dyspozycję zmiany rodzaju rachunku oszczędnościowo-rozliczeniowego z Konta [...] na Konto [...]. W dniu [...] maja 2018 r. bank przesłał wnioskodawcom "informacje dotyczące przetwarzania danych osobowych w Banku [...] S.A.", które zawierają cele i terminy przetwarzania danych w banku.

Pismem z dnia [...] maja 2018 r., podpisanym odręcznie przez wnioskodawców i zawierającym ich imiona i nazwiska oraz adres, wnioskodawcy zwrócili się do banku o zaprzestanie przesyłania na ich adres materiałów reklamowych i wyciągów bankowych oraz wycofali zgodę na przetwarzanie ich danych osobowych przez bank, które to wycofanie zgody obejmowało cyt.: "używanie, przetwarzanie i archiwizowanie wszelkich naszych danych osobowych przez Bank [...] S.A.".

W dniu [...] czerwca 2018 r. bank poinformował wnioskodawców o niezastosowaniu się do żądania wyrażonego w piśmie z dnia [...] maja 2018 r., ze względu na brak możliwości potwierdzenia tożsamości wnioskodawców, ponadto o możliwości złożenia żądania osobiście w dowolnej placówce banku lub poprzez przesłanie wniosku o tej treści poprzez infolinię lub kanał internetowy banku.

Bank wyjaśnił także, iż otrzymywaną przez wnioskodawców korespondencję stanowiły wyciągi bankowe w związku z prowadzonym na rzecz wnioskodawców Kontem [...] oraz Kontem [...]. W piśmie z dnia [...] czerwca 2018 r. wnioskodawcy odmówili skorzystania z kanałów komunikacji wskazanych im przez bank w piśmie z dnia [...] czerwca 2018 r. i ponowili swoje oświadczenie o wycofaniu zgody na przetwarzanie ich danych osobowych przez bank, wzywając skarżącego do zastosowania się do ich żądania wyrażonego w piśmie z dnia [...] maja 2018 r. cyt.: "zawierającego wyraźny zakaz posługiwania się, przetwarzania i archiwizowania danych osobowych moich i mojej małżonki".

W dniu [...] lipca 2018 r. bank, poprzez swojego pracownika A. D., w odpowiedzi na pisma składane do banku przez wnioskodawców, skontaktował się z ww. przez podany przez wnioskodawców numer telefonu komórkowego celem wyjaśnienia sytuacji i potwierdzenia tożsamości wnioskodawców. Wnioskodawcy odmówili prowadzenia rozmowy. W dniu [...] lipca 2018 r. kierując się treścią przeprowadzonej z wnioskodawcami korespondencji, bank dokonał zamknięcia Konta [...] oraz Konta [...] wnioskodawców i od tej daty nie przetwarza ich danych osobowych w celach marketingowych.

W dniu [...] sierpnia 2018 r. bank wysłał do wnioskodawców miesięczny wyciąg z rachunku bankowego, a w dniu [...] sierpnia 2018 r. wyciąg łączony z rachunku bankowego, które zawierały informację o subskrypcji przez bank nowej lokaty strukturyzowanej.

W piśmie z dnia [...] listopada 2018 r. bank oświadczył, że obecnie przetwarza dane wnioskodawców w zakresie imion, nazwisk, typu dokumentu tożsamości, numeru dokumentu tożsamości, daty ważności dokumentu tożsamości, kraju wydania dokumentu tożsamości, numeru identyfikacyjnego PESEL, daty urodzenia, miejsca urodzenia, kraju urodzenia, statutu rezydencji, obywatelstwa, imion rodziców, stanu cywilnego, nazwiska panieńskiego matki, płci, adresu zamieszkania, adresu korespondencyjnego, numeru telefonu komórkowego, numeru telefonu domowego, formy zatrudnienia i preferowanego języka kontaktu, dane dotyczące posiadanych produktów banku, numer CIF (numer identyfikacyjny nadawany klientom banku), na podstawie art. 6 ust. 1 lit. f rozporządzenia 2016/679 z dnia 27 kwietnia 2016 r. tj. w prawnie uzasadnionym interesie realizowanym przez bank, w celu ustalenia, dochodzenia lub obrony przed ewentualnymi roszczeniami wnioskodawców.

Prezes UODO podał, że wydając decyzję administracyjną zobowiązany jest do rozstrzygania w oparciu o stan faktyczny istniejący w chwili wydania tej decyzji. Wskazał, że rozporządzenie 2016/679 określa legalność przetwarzania danych osobowych. Każda z przesłanek z art. 6 ust. 1 rozporządzenia 2016/679 ma charakter autonomiczny i niezależny, co oznacza, że spełnienie jednej z nich stanowi w danym przypadku o zgodności z prawem przetwarzania danych osobowych. Podkreślił też, że zgoda osoby, której dane dotyczą, nie jest jedyną podstawą uprawniającą do przetwarzania jej danych osobowych (lit. a). Proces przetwarzania danych będzie zgodny z przepisami ustawy również wtedy, gdy administrator danych wykaże spełnienie choćby jednej przesłanki z art. 6 ust. 1 rozporządzenia 2016/679, w tym, gdy przetwarzanie jest niezbędne do celów wynikających z prawnie uzasadnionych interesów realizowanych przez administratora lub przez stronę trzecią, z wyjątkiem sytuacji, w których nadrzędny charakter wobec tych interesów mają interesy lub podstawowe prawa i wolności osoby, której dane dotyczą, wymagające ochrony danych osobowych, w szczególności gdy osoba, której dane dotyczą, jest dzieckiem (lit. f). Ponadto zaznaczył, iż nie jest organem właściwym do rozstrzygania kwestii związanych z prawidłowym (lub nie) złożeniem oświadczenia o wypowiedzeniu umowy przez wnioskodawców i nie może dokonać oceny jego skuteczności. Takie sprawy są sprawami cywilnymi i powinny być rozpatrywane w postępowaniach prowadzonych przez sądy powszechne, zaś Prezes UODO nie jest organem kontrolującym ani nadzorującym prawidłowość stosowania prawa materialnego i procesowego w sprawach należących do właściwości innych organów, służb czy sądów, których orzeczenia podlegają ocenom w toku instancji czy w inny sposób określony odpowiednimi procedurami.

Odnosząc się do ustaleń stanu faktycznego sprawy wskazał, iż aktualnie bank przetwarza dane osobowe wnioskodawców na podstawie art. 6 ust. 1 lit. f rozporządzenia 2016/679. Wskazanym przez bank celem jest ustalenie, dochodzenie lub obrona przed ewentualnymi roszczeniami wnioskodawców. Zakres czasowy przetwarzania danych w powyższym celu określa art. 118 ustawy z dnia 23 kwietnia 1964 r. Kodeks cywilny (Dz.U. z 2019 poz. 1145 ze zm., zwana dalej: k.c.), zgodnie z którym, jeżeli przepis szczególny nie stanowi inaczej, termin przedawnienia wynosi sześć lat, a dla roszczeń o świadczenia okresowe oraz roszczeń związanych z prowadzeniem działalności gospodarczej - trzy lata. Jednakże koniec terminu przedawnienia przypada na ostatni dzień roku kalendarzowego, chyba że termin przedawnienia jest krótszy niż dwa lata.

W odniesieniu do żądania wnioskodawców nakazania bankowi zaprzestania przetwarzania ich danych osobowych organ wskazał, że pismem z dnia [...] maja 2018 r. wnioskodawcy wystąpili do banku z żądaniem usunięcia ich danych osobowych. Bank w dniu [...] lipca 2018 r. dokonał zaniknięcia Konta [...] oraz Konta [...] wnioskodawców, tym samym od tego dnia powinien zaprzestać przetwarzania ich danych osobowych w związku z łączącymi go z wnioskodawcami umowami, tj. na podstawie art. 6 ust. 1 lit. b rozporządzenia 2016/679. Jednakże zgodnie z art. 17 ust. 3 lit. e rozporządzenia 2016/679, prawo do żądania od administratora niezwłocznego usunięcia danych osobowych dotyczących osoby, której dane dotyczą, zgodnie z którym administrator ma obowiązek bez zbędnej zwłoki usunąć dane osobowe, nie ma zastosowania w zakresie, w jakim przetwarzanie jest niezbędne do ustalenia, dochodzenia lub obrony roszczeń.

W ocenie organu zebrany w niniejszym postępowaniu materiał dowodowy nie wykazał, aby wnioskodawcy wystąpili z jakimkolwiek roszczeniem wobec banku, które uzasadniałoby uprawnienie banku do zachowania i przetwarzania ich danych osobowych dla celów dowodowych w związku z dochodzeniem przez wnioskodawców tego roszczenia. Brak jest zatem spełnienia wskazywanej przez bank przesłanki niezbędności do celów wynikających z prawnie usprawiedliwionych interesów realizowanych przez administratora odnośnie przetwarzania danych osobowych wnioskodawców. Przesłanka z art. 6 ust 1 lit. f rozporządzenia 2016/679 dotyczy sytuacji już istniejącej, w której celem wynikającym z prawnie uzasadnionych interesów realizowanych przez administratora jest konieczność udowodnienia, potrzeba dochodzenia lub obrony przed roszczeniem istniejącym, nie zaś sytuacji, gdy dane są przetwarzane w celu zabezpieczenia się przed ewentualnym roszczeniem. W związku z tym, że przeprowadzone przez Prezesa UODO postępowanie administracyjne nie wykazało, aby wnioskodawcy skierowali wobec banku jakiekolwiek roszczenie, stwierdził, iż skarżący przetwarza dane osobowe wnioskodawców w ww. celu wyłącznie "na zapas", aby zabezpieczyć się przed ewentualnym przyszłymi i niepewnymi roszczeniami wnioskodawców.

Zdaniem organu, przyjęcie odmiennej interpretacji ww. przepisów skutkowałoby pozbawieniem wnioskodawców ochrony na gruncie rozporządzenia 2016/679 oraz ustawy o ochronie danych osobowych. Brak jest też uzasadnienia dla przyjęcia, iż terminy dotyczące przedawnienia roszczeń, wynikających ze stosunków zobowiązaniowych, określają jednocześnie ramy czasowe, w których dane osobowe mogą być przetwarzane przez bank. Przedawnienie roszczenia nie wywołuje skutków na gruncie ochrony danych osobowych, nie wpływa bowiem na fakt istnienia roszczenia, a powoduje jedynie zmianę w sferze zarzutów procesowych w postaci możliwości podniesienia okoliczności przedawnienia w sporze sądowym.

Okolicznością usprawiedliwiającą przetwarzanie danych osobowych w celu dochodzenia roszczeń jest sam fakt istnienia roszczenia oraz zamiar jego dochodzenia, nie jest nią natomiast zmiana w uprawnieniach procesowych podmiotu pozwanego.

Stwierdził, iż skoro bank nie wskazał roszczenia, którego zaspokojenia domaga się od wnioskodawców, jak również brak jest sporu toczącego się między wnioskodawcami i skarżącym dotyczącego stosunku zobowiązaniowego, w jego ocenie brak jest celu uzasadniającego przetwarzanie ww. danych osobowych wnioskodawców, w rozumieniu art. 6 ust. 1 lit. f rozporządzenia 2016/679. Wobec powyższego, kontynuowanie przetwarzania danych osobowych wnioskodawców w celu ustalenia, dochodzenia lub obrony przed ewentualnymi, przyszłymi i niepewnymi roszczeniami, jest zbędne i niezgodne z obowiązującymi przepisami o ochronie danych osobowych. W związku z powyższym Prezes UODO nakazał bankowi usunięcie danych osobowych wnioskodawców.

Odnosząc się do zarzutu wnioskodawców, że pomimo wezwania pismem z dnia [...] maja 2018 r., bank nie zaprzestał przesyłania na ich adres materiałów reklamowych i wyciągów bankowych, przetwarzając tym samym ich dane osobowe w celach marketingowych, organ wskazał, że zgodnie z art. 21 ust. 2 i ust. 3 rozporządzenia 2016/679, jeżeli dane osobowe są przetwarzane na potrzeby marketingu bezpośredniego, osoba, której dane dotyczą, ma prawo w dowolnym momencie wnieść sprzeciw wobec przetwarzania dotyczących jej danych osobowych na potrzeby takiego marketingu, w tym profilowania, w zakresie, w jakim przetwarzanie jest związane z takim marketingiem bezpośrednim. Jeżeli osoba, której dane dotyczą, wniesie sprzeciw wobec przetwarzania do celów marketingu bezpośredniego, danych osobowych nie wolno już przetwarzać do takich celów.

Zgodnie z ww. przepisem wnioskodawcy w piśmie z [...] maja 2018 r. – podpisanym odręcznie i zawierającym ich imiona i nazwisko oraz adres - wnieśli do banku sprzeciw na przetwarzanie ich danych osobowych w celach marketingowych. W odpowiedzi na powyższe skarżący poinformował wnioskodawców, że nie może zrealizować ww. żądania ze względu na niemożność dokonania ich jednoznacznej identyfikacji oraz zaproponował inną formę złożenia żądania, z której ww. nie skorzystali. Zgodnie z art. 12 ust. 6 rozporządzenia 2016/679, jeżeli administrator ma uzasadnione wątpliwości co do tożsamości osoby fizycznej składającej żądanie, o którym mowa w art. 15-21, może zażądać dodatkowych informacji niezbędnych do potwierdzenia tożsamości osoby, której dane dotyczą. Jednak w piśmie z dnia [...] czerwca 2018 r. bank nie zwrócił się o takie dodatkowe informacje, a w szczególności nie wyjaśnił ani nie uzasadnił, jakie były powody wątpliwości co do tożsamości wnioskodawców w związku z przesłanym doń pismem z dnia [...] maja 2018 r. Także w pismach przekazanych przez bank do organu z wyjaśnieniami dotyczącymi niniejszego postępowania, skarżący nie wykazał takich powodów.

Wskazał, że pomimo uznania przez bank, że pismo z dnia [...] maja 2018 r. i inne pisma wnioskodawców przesłane do banku nie pozwalały na identyfikację ich tożsamości oraz pomimo nie skorzystania przez wnioskodawców z zaproponowanego przez bank sposobu złożenia żądania, skarżący kierując się treścią przeprowadzonej z nimi korespondencji, dokonał w dniu [...] lipca 2018 r. zamknięcia Konta [...] oraz Konta [...] wnioskodawców i od tej daty miał nie przetwarzać danych osobowych wnioskodawców w celach marketingowych. Organ stwierdził zatem, że nieuwzględnienie w terminie określonym w art. 12 ust. 3 rozporządzenia 2016/679 sprzeciwu wnioskodawców, wyrażonego w piśmie z dnia [...] maja 2018 r., nastąpiło z naruszeniem przepisu art. 12 ust. 2 rozporządzenia 2016/679, zgodnie z którym, administrator ułatwia osobie, której dane dotyczą, wykonanie praw przysługujących jej na mocy art. 15-22.

Ponadto wbrew twierdzeniu banku, że dnia [...] lipca 2018 r. zaprzestał przetwarzania danych osobowych wnioskodawców dla celów marketingowych, ww. w dniach [...] i [...] sierpnia 2018 r. otrzymali od skarżącego korespondencję związaną z zamknięciem rachunku, w której znajdowały się informacje o rozpoczęciu przez bank subskrypcji nowej lokaty strukturyzowanej z odniesieniem do dalszych informacji w tej sprawie na wskazanej stronie internetowej. Zdaniem organu ww. informacja przesłana do wnioskodawców przez bank jest informacją marketingową (reklamową). Istotą reklamy jest upowszechnianie informacji o towarach i usługach oraz zainteresowanie potencjalnego nabywcy i zachęcenie go do kupna oferowanych towarów i usług. Celem w.w. wiadomości było zaprezentowanie wnioskodawcom określonego produktu banku i nakłonienie klienta do działania, polegającego na skorzystaniu z oferty. Bank przesłał tę wiadomość do wnioskodawców i w konsekwencji przetwarzał ich dane osobowe w celach marketingowych, pomimo wniesienia przez nich skutecznego sprzeciwu w tym zakresie. Zgodnie z art. 21 ust. 3 rozporządzenia 2016/679, jeżeli osoba, której dane dotyczą, wniesie sprzeciw wobec przetwarzania do celów marketingu bezpośredniego, danych osobowych nie wolno już przetwarzać do takich celów. Zatem nie uwzględniając prawa do sprzeciwu wobec przetwarzania danych osobowych wnioskodawców na potrzeby marketingu bezpośredniego, bank naruszył ww. przepis.

Wobec powyższego, korzystając z uprawnienia, przewidzianego w art. 58 ust. lit. b rozporządzenia 2016/679, Prezes UODO udzielił bankowi upomnienia za

naruszenie powołanych wyżej przepisów rozporządzenia 2016/679.

W skardze złożonej na powołane rozstrzygnięcie do sądu administracyjnego (i jej uzupełnieniu) skarżący, reprezentowany przez profesjonalnego pełnomocnika, zaskarżył ww. decyzję w części dotyczącej punktu 1 (tj. nakazu usunięcia przez bank danych osobowych wnioskodawców w zakresie wskazanym w tym punkcie decyzji). Wniósł o stwierdzenie nieważności punktu 1 zaskarżonej decyzji, ze względu na fakt, że jej wykonanie przez skarżącego wywołałoby czyn zagrożony karą, ewentualnie o uchylenie zaskarżonej decyzji w części obejmującej punkt 1 oraz zasądzenie zwrotu kosztów postępowania. Wydanej decyzji skarżący zarzucił naruszenie:

I. przepisów prawa materialnego, które miało wpływ na wynik sprawy, tj.:

1. art. 6 ust. 1 lit. f rozporządzenia 2016/679 w związku z art. 117 § 2 i § 21, art. 118 i art. 119 k.c. polegającego na uznaniu, że przechowywanie danych przez okres przedawnienia roszczeń, również w przypadku, gdy ani administrator ani osoba, której dane dotyczą nie zgłosiła roszczenia, nie stanowi prawnie uzasadnionego interesu banku w rozumieniu art. 6 ust. 1 lit. f rozporządzenia 2016/679;

2. art. 6 ust. 1 lit. c rozporządzenia 2016/679 w związku z art. 33, art. 34 i art. 49 ust. 1 ustawy z dnia 1 marca 2018 r. o przeciwdziałaniu praniu pieniędzy oraz finansowaniu terroryzmu (Dz. U. z 2019 r. poz. 1115, zwana dalej: u.p.p.p.f.t.), polegające na jego niewłaściwym zastosowaniu i przyjęciu, że bank nie legitymuje się przesłanką przetwarzania danych wynikającą z art. 6 ust. 1 lit. c rozporządzenia 2016/679 w związku z art. 33, art. 34 i art. 49 ust. 1 u.p.p.p.f.t., podczas gdy przepisy te nakładają na bank obowiązek przetwarzania danych osobowych przez 5 lat od licząc od pierwszego dnia roku następującego po roku, w którym zakończono stosunki gospodarcze z klientem dla celów przeciwdziałania praniu pieniędzy;

3. art. 6 ust. 1 lit. c rozporządzenia 2016/679 w związku z art. 71 i art. 74 ust. 2 pkt 1, 4 i 8 ustawy z dnia 29 września 1994 r. o rachunkowości (Dz.U. z 2019 r. poz. 351, zwana dalej: u.r.) w związku z § 49 rozporządzenia Ministra Finansów z dnia 1 października 2010 r. w sprawie szczególnych zasad rachunkowości banków (Dz.U. z 2019 r., poz. 957, zwane dalej: rozporządzeniem MF) polegające na jego niewłaściwym zastosowaniu i przyjęciu, że bank nie legitymuje się przesłanką przetwarzania danych wynikającą z art. 6 ust. 1 lit. c rozporządzenia 2016/679 w związku z art. 74 ust. 2 pkt 1, 4 i 8 u.r., podczas gdy przepisy te nakładają na bank obowiązek przetwarzania danych osobowych przez 5 lat dla celów rachunkowych;

II. naruszenie przepisów postępowania, które miało istotny wpływ na wynik sprawy, tj.:

1. art. 7 w związku z art. 77 i art. 80 k.p.a., polegające na niewyczerpującym zebraniu i rozpatrzeniu całego materiału dowodowego i niepodjęciu wszelkich kroków niezbędnych do dokładnego wyjaśnienia stanu faktycznego i załatwienia sprawy, co skutkowało nakazaniem skarżącemu usunięcia danych osobowych wnioskodawców w zakresie wskazanym w punkcie 1 zaskarżonej decyzji;

2. art. 8 § 2 k.p.a., polegającego na odstąpieniu od utrwalonej praktyki rozstrzygania spraw w takim samym stanie faktycznym i prawnym.

Uzasadniając złożoną skargę skarżący szczegółowo uzasadnił ww. zarzuty skargi.

W odpowiedzi na skargę organ wniósł o oddalenie skargi, podnosząc argumentację tożsamą z tą jaką prezentował w zaskarżonej decyzji.

W pismach złożonych do Sądu w toku postępowania sądowego skarżący wniósł nadto o przeprowadzenie dowodu uzupełniającego z dokumentów, tj.: 1) decyzji Generalnego Inspektora Ochrony Danych Osobowych (poprzednika Prezesa UODO) z [...] maja 2014 r., sygn. [...] na okoliczność istnienia utrwalonej praktyki, odmiennej niż stanowisko przyjęte w zaskarżonej decyzji, pomimo istnienia takiego samego stanu faktycznego i prawnego sprawy; 2) decyzji Prezesa UODO z [...] marca 2019 r., sygn. [...] na okoliczność istnienia utrwalonej praktyki, odmiennej niż stanowisko przyjęte w zaskarżonej decyzji, pomimo istnienia takiego samego stanu faktycznego i prawnego sprawy; 3) decyzji Prezesa UODO z września 2020 r., sygn. [...] (nie publikowana, uzyskana w trybie dostępu do informacji publicznej, dzień wydania został usunięty przez organ).

Wojewódzki Sąd Administracyjny w Warszawie zważył, co następuje:

Stosownie do treści art. 3 § 1 ustawy z dnia 30 sierpnia 2002 r. - Prawo o postępowaniu przed sądami administracyjnymi (Dz. U. z 2018 r., poz. 1302 ze zm., zwana dalej: p.p.s.a), sądy administracyjne sprawują kontrolę działalności administracji publicznej i stosują środki określone w ustawie. Oznacza to, iż sąd rozpoznając skargę ocenia, czy zaskarżona decyzja nie narusza przepisów prawa materialnego bądź przepisów postępowania administracyjnego. Zgodnie z art. 134 p.p.s.a. Sąd rozstrzyga w granicach danej sprawy, nie będąc jednak związany zarzutami i wnioskami skargi oraz powołaną w niej podstawą prawną. Uwzględnienie skargi następuje w przypadku stwierdzenia naruszenia przez Sąd przepisów prawa, wskazanego w art. 145 § 1 pkt 1 p.p.s.a.

W pierwszej kolejności wskazać należy, że postępowanie w sprawie naruszenia przepisów o ochronie danych jest jednym z postępowań administracyjnych przed Prezesem UODO. O takim jego charakterze rozstrzyga art. 7 ust. 1 ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych (Dz. U. z 2019 r. poz. 1781, zwana dalej: u.o.d.o.), zgodnie z którym w sprawach nieuregulowanych w ustawie do postępowań administracyjnych przed Prezesem Urzędu Ochrony Danych Osobowych, o których mowa w rozdziale 4-7 i 11 (a więc również w rozdziale 7 dotyczącym postępowania w sprawie naruszenia przepisów o ochronie danych osobowych), stosuje się przepisy Kodeksu postępowania administracyjnego (dalej jako k.p.a.). Według zasad określonych w k.p.a., prowadzone jest też postępowanie dowodowe oraz postępowanie wyjaśniające - pozwalające ustalić dokładny stan faktyczny w danej sprawie. W wyniku postępowania wyjaśniającego organ administracji publicznej ma dojść do wskazanej w art. 7 k.p.a. prawdy obiektywnej, co czyni za pomocą środków dowodowych.

Jak wynika z akt administracyjnych sprawy, w celu ustalenia stanu faktycznego sprawy, w związku ze złożoną przez wnioskodawców skargą, organ wystąpił do skarżącego o złożenie pisemnych wyjaśnień oraz potwierdzających je dowodów. Z wyjaśnień złożonych przez bank wynikało, że dane osobowe wnioskodawców skarżący pozyskał bezpośrednio od nich, w związku z otwarciem rachunku [...] (Konta [...]), a następnie Konta [...]. Na skutek dyspozycji wnioskodawców z [...] kwietnia 2017 r. Konto [...] zostało zmienione na Konto [...]. Pismem z dnia [...] maja 2018 r. podpisanym odręcznie, zawierającym ich imiona i nazwiska oraz adres, wnioskodawcy zwrócili się do banku o zaprzestanie przesyłania na ich adres materiałów reklamowych i wyciągów bankowych oraz wycofali zgodę na przetwarzanie ich danych osobowych przez bank, które to wycofanie zgody obejmowało "używanie, przetwarzanie i archiwizowanie wszelkich naszych danych osobowych przez Bank [...] S.A." Powyższego wniosku skarżący nie uwzględnił powołując się na brak możliwości potwierdzenia tożsamości adresatów. Niemniej jednak w dniu [...] lipca 2018 r. bank dokonał zamknięcia Konta [...] oraz Konta [...] wnioskodawców i jak oświadczył w piśmie z dnia [...] listopada 2018 r., skierowanym do organu, od tej daty nie przetwarza ich danych osobowych w celach marketingowych.

Jednakże w dniach [...] i [...] sierpnia 2018 r. bank wysłał do wnioskodawców odpowiednio miesięczny wyciąg z rachunku bankowego oraz wyciąg łączony z rachunku bankowego, które zawierały informację o subskrypcji przez bank nowej lokaty strukturyzowanej.

Nadto w piśmie z dnia [...] listopada 2018 r. (stanowiącym odpowiedź na wezwanie Prezesa UODO do złożenia wyjaśnień i dokumentów) bank oświadczył, że obecnie przetwarza on dane wnioskodawców (w zakresie imion, nazwisk, typu dokumentu tożsamości, numeru dokumentu tożsamości, daty ważności dokumentu tożsamości, kraju wydania dokumentu tożsamości, numeru identyfikacyjnego PESEL, daty urodzenia, miejsca urodzenia, kraju urodzenia, statutu rezydencji, obywatelstwa, imion rodziców, stanu cywilnego, nazwiska panieńskiego matki, płci, adresu zamieszkania, adresu korespondencyjnego, numeru telefonu komórkowego, numeru telefonu domowego, formy zatrudnienia i preferowanego języka kontaktu, dane dotyczące posiadanych produktów Banku, numer CIF), na podstawie art. 6 ust. 1 lit. f) rozporządzenia 2016/679 - w prawnie uzasadnionym interesie realizowanym przez bank, w celu ustalenia, dochodzenia lub obrony przed ewentualnymi roszczeniami wnioskodawców.

Z przedstawionych wyżej ustaleń Sądu bezsprzecznie wynika, iż w toku prowadzonego przez organ postępowania, skarżący nie wskazywał by przetwarzał dane osobowe wnioskodawców na innej niż określona w art. 6 ust. 1 lit. f) rozporządzenia 2016/679 podstawie, tj. w celu zabezpieczenia swoich interesów w razie ewentualnych roszczeń wnioskodawców.

Stan faktyczny niniejszej sprawy ustalony został przez Prezesa UODO prawidłowo. W toku prowadzonego postępowania administracyjnego nie doszło do naruszenia powoływanych w skardze art. 7, art. 77 i art. 80 k.p.a. Organ przeprowadził wymagane prawem postępowanie wyjaśniające wystarczające dla ustalenia okoliczności mających podstawowe znaczenie dla rozstrzygnięcia sprawy i dokonania oceny, czy zaszły prawem przewidziane warunki do wydania decyzji. Przypomnieć należy, że zgodnie z zasadą wyrażoną w art. 80 k.p.a., organ prowadzący postępowanie według swojej wiedzy, doświadczenia oraz wewnętrznego przekonania ocenia wartość dowodową poszczególnych środków dowodowych, wpływ udowodnienia jednej okoliczności na inne okoliczności. Oceniając wyniki postępowania dowodowego (wiarygodność i moc dowodów), organ powinien uwzględnić treść wszystkich przeprowadzonych i rozpatrzonych dowodów, wskazując w uzasadnieniu decyzji fakty, które uznał za udowodnione, dowody, na których się oparł oraz przyczyny, z powodu których innym dowodom odmówił wiarygodności i mocy dowodowej. Analiza uzasadnienia zaskarżonej decyzji prowadzi do przyjęcia, że Prezes UODO dochował powyższych obowiązków i nie naruszył reguł swobodnej oceny dowodów.

Zaznaczyć także trzeba, iż przed wydaniem zaskarżonej decyzji, zgodnie z obowiązującymi w tym zakresie przepisami k.p.a., organ poinformował skarżącego (pismo z dnia [...] maja 2019 r.) o treści art. 10 § 1 k.p.a. tj. o zgromadzeniu materiału dowodowego wystarczającego do wydania decyzji, na które skarżący nie zareagował i nie wskazał innych aniżeli uprzednio podnoszona podstaw przetwarzania danych osobowych wnioskodawców.

W kontekście powyższego za niezasadne uznać należy podnoszone w skardze zarzuty, dotyczące naruszenia przez Prezesa UODO przepisów prawa materialnego odnoszące się do nieuwzględnienia przez organ, że bank przetwarza dane osobowe wnioskodawców na podstawie art. 6 ust. 1 lit. c rozporządzenia 2016/679 w związku z art. 33, art. 34 i art. 49 ust. 1 u.p.p.p.f.t. oraz art. 6 ust. 1 lit. c rozporządzenia 2016/679 w związku z art. 71 i art. 74 ust. 2 pkt 1, 4 i 8 u.r., które to przepisy nakładają na bank obowiązek przetwarzania danych osobowych jego klientów odpowiednio przez 5 lat licząc od pierwszego dnia roku następującego po roku, w którym zakończono stosunki gospodarcze z klientem dla celów przeciwdziałania praniu pieniędzy oraz przez 5 lat dla celów rachunkowych.

Odnosząc się meritum sprawy wskazać należy, iż użyte w art. 60 u.o.d.o. określenie "naruszenie przepisów o ochronie danych osobowych" ma zakres szeroki i obejmuje naruszenia wszystkich przepisów o ochronie danych, zarówno zawartych w unijnym rozporządzeniu, jak i w przepisach krajowych, które uzupełniają lub modyfikują regulacje unijne. Zgodnie z treścią art. 4 pkt 2 rozporządzenia 2016/679, przez "przetwarzanie" rozumie się operację lub zestaw operacji wykonywanych na danych osobowych lub zestawach danych osobowych w sposób zautomatyzowany lub niezautomatyzowany, takie jak zbieranie, utrwalanie, organizowanie, porządkowanie, przechowywanie, adaptowanie lub modyfikowanie, pobieranie, przeglądanie, wykorzystywanie, ujawnianie poprzez przesłanie, rozpowszechnianie lub innego rodzaju udostępnianie, dopasowywanie lub łączenie, ograniczanie, usuwanie lub niszczenie.

Zgodnie z art. 6 ust. 1 rozporządzenia 2016/679 przetwarzanie jest zgodne z prawem wyłącznie w przypadkach, gdy – i w takim zakresie, w jakim – spełniony jest co najmniej jeden z poniższych warunków: a) osoba, której dane dotyczą wyraziła zgodę na przetwarzanie swoich danych osobowych w jednym lub większej liczbie określonych celów; b) przetwarzanie jest niezbędne do wykonania umowy, której stroną jest osoba, której dane dotyczą, lub do podjęcia działań na żądanie osoby, której dane dotyczą, przed zawarciem umowy; c) przetwarzanie jest niezbędne do wypełnienia obowiązku prawnego ciążącego na administratorze; d) przetwarzanie jest niezbędne do ochrony żywotnych interesów osoby, której dane dotyczą, lub innej osoby fizycznej; e) przetwarzanie jest niezbędne do wykonania zadania realizowanego w interesie publicznym lub w ramach sprawowania władzy publicznej powierzonej administratorowi; f) przetwarzanie jest niezbędne do celów wynikających z prawnie uzasadnionych interesów realizowanych przez administratora lub przez stronę trzecią, z wyjątkiem sytuacji, w których nadrzędny charakter wobec tych interesów mają interesy lub podstawowe prawa i wolności osoby, której dane dotyczą, wymagające ochrony danych osobowych, w szczególności gdy osoba, której dane dotyczą, jest dzieckiem. Akapit pierwszy lit. f) nie ma zastosowania do przetwarzania, którego dokonują organy publiczne w ramach realizacji swoich zadań.

Zgodnie natomiast z art. 17 ust. 1 rozporządzenia 2016/679 osoba, której dane dotyczą, ma prawo żądania od administratora niezwłocznego usunięcia dotyczących jej danych osobowych, a administrator ma obowiązek bez zbędnej zwłoki usunąć dane osobowe, jeżeli zachodzi jedna z następujących okoliczności: a) dane osobowe nie są już niezbędne do celów, w których zostały zebrane lub w inny sposób przetwarzane;

b) osoba, której dane dotyczą, cofnęła zgodę, na której opiera się przetwarzanie zgodnie art. 6 ust. 1 lit. a) lub art. 9 ust. 2 lit. a), i nie ma innej podstawy prawnej przetwarzania; c) osoba, której dane dotyczą, wnosi sprzeciw na mocy art. 21 ust. 1 wobec przetwarzania i nie występują nadrzędne prawnie uzasadnione podstawy przetwarzania lub osoba, której dane dotyczą, wnosi sprzeciw na mocy art. 21 ust. 2 wobec przetwarzania; d) dane osobowe były przetwarzane niezgodnie z prawem; e) dane osobowe muszą zostać usunięte w celu wywiązania się z obowiązku prawnego przewidzianego w prawie Unii lub prawie państwa członkowskiego, któremu podlega administrator; f) dane osobowe zostały zebrane w związku z oferowaniem usług społeczeństwa informacyjnego, o których mowa w art. 8 ust. 1. Jeżeli administrator upublicznił dane osobowe, a na mocy ust. 1 ma obowiązek usunąć te dane osobowe, to - biorąc pod uwagę dostępną technologię i koszt realizacji - podejmuje rozsądne działania, w tym środki techniczne, by poinformować administratorów przetwarzających te dane osobowe, że osoba, której dane dotyczą, żąda, by administratorzy ci usunęli wszelkie łącza do tych danych, kopie tych danych osobowych lub ich replikacje (art. 17 ust. 2).

Zgodnie z art. 17 ust. 3 rozporządzenia 2016/679 ust. 1 i 2 nie mają zastosowania, w zakresie w jakim przetwarzanie jest niezbędne: a) do korzystania z prawa do wolności wypowiedzi i informacji; b) do wywiązania się z prawnego obowiązku wymagającego przetwarzania na mocy prawa Unii lub prawa państwa członkowskiego, któremu podlega administrator, lub do wykonania zadania realizowanego w interesie publicznym lub w ramach sprawowania władzy publicznej powierzonej administratorowi; c) z uwagi na względy interesu publicznego w dziedzinie zdrowia publicznego zgodnie z art. 9 ust. 2 lit. h) oraz i) i art. 9 ust. 3; d) do celów archiwalnych w interesie publicznym, do celów badań naukowych lub historycznych lub do celów statystycznych zgodnie z art. 89 ust. 1, o ile prawdopodobne jest, że prawo, o którym mowa w ust. 1, uniemożliwi lub poważnie utrudni realizację celów takiego przetwarzania; lub e) do ustalenia, dochodzenia lub obrony roszczeń.

Ponadto według treści art. 21 ust. 1 rozporządzenia 2016/679, osoba, której dane dotyczą, ma prawo w dowolnym momencie wnieść sprzeciw - z przyczyn związanych z jej szczególną sytuacją - wobec przetwarzania dotyczących jej danych osobowych opartego na art. 6 ust. 1 lit. e) lub f), w tym profilowania na podstawie tych przepisów. Administratorowi nie wolno już przetwarzać tych danych osobowych, chyba że wykaże on istnienie ważnych prawnie uzasadnionych podstaw do przetwarzania, nadrzędnych wobec interesów, praw i wolności osoby, której dane dotyczą, lub podstaw do ustalenia, dochodzenia lub obrony roszczeń. Jeżeli dane osobowe są przetwarzane na potrzeby marketingu bezpośredniego, osoba, której dane dotyczą, ma prawo w dowolnym momencie wnieść sprzeciw wobec przetwarzania dotyczących jej danych osobowych na potrzeby takiego marketingu, w tym profilowania, w zakresie, w jakim przetwarzanie jest związane z takim marketingiem bezpośrednim (ust. 2). Jeżeli osoba, której dane dotyczą, wniesie sprzeciw wobec przetwarzania do celów marketingu bezpośredniego, danych osobowych nie wolno już przetwarzać do takich celów (ust. 3). Najpóźniej przy okazji pierwszej komunikacji z osobą, której dane dotyczą, wyraźnie informuje się ją o prawie, o którym mowa w ust. 1 i 2, oraz przedstawia się je jasno i odrębnie od wszelkich innych informacji (ust. 4). W związku z korzystaniem z usług społeczeństwa informacyjnego i bez uszczerbku dla dyrektywy 2002/58/WE osoba, której dane dotyczą, może wykonać prawo do sprzeciwu za pośrednictwem zautomatyzowanych środków wykorzystujących specyfikacje techniczne (ust. 5). Jeżeli dane osobowe są przetwarzane do celów badań naukowych lub historycznych lub do celów statystycznych na mocy art. 89 ust. 1, osoba, której dane dotyczą, ma prawo wnieść sprzeciw - z przyczyn związanych z jej szczególną sytuacją - wobec przetwarzania dotyczących jej danych osobowych, chyba że przetwarzanie jest niezbędne do wykonania zadania realizowanego w interesie publicznym (ust. 6).

Odnosząc powyższe regulacje prawne do stanu faktycznego niniejszej sprawy Sąd stwierdza, że w sytuacji, gdy wnioskodawcy – w następstwie pisma skarżącego z dnia [...] maja 2018 r. "informacje dotyczące przetwarzania danych osobowych (...)", złożyli pismo z dnia [...] maja 2018 r., w którym zwrócili się do banku o zaprzestanie przesyłania na ich adres materiałów reklamowych i wyciągów bankowych oraz zawarli pisemne oświadczenie o wycofaniu zgody na przetwarzanie ich danych osobowych przez bank, które to wycofanie zgody obejmowało: "używanie, przetwarzanie i archiwizowanie wszelkich naszych danych osobowych (...)", bank nie miał podstaw prawnych do legalnego przetwarzania ich danych osobowych. Ostatecznie konto [...] i [...] wnioskodawców, zgodnie z ich żądaniem bank zamknął w dniu [...] lipca 2019 r.

Na marginesie Sąd wskazuje, iż z doświadczenia zawodowego i życiowego posiada wiedzę, iż każdy bank posiada wzory podpisów wszystkich swoich klientów, co jest warunkiem korzystania z różnego rodzaju produktów oferowanych przez ten podmiot. Bezpodstawne było zatem nieuwzględnienie (zignorowanie) przez bank skutków złożonego przez wnioskodawców oświadczenia (i sprzeciwu) z dnia [...] maja 2019 r.

Jak przedstawiono wyżej, jako podstawę aktualnego przetwarzania danych osobowych wnioskodawców, bank wskazał zabezpieczenie swoich interesów w przypadku dochodzenia przez wnioskodawców ewentualnych roszczeń. Jednak zebrany przez organ w toku postępowania administracyjnego materiał dowodowy nie wykazał, by wnioskodawcy wystąpili wobec banku z jakimkolwiek roszczeniem, które uprawniłoby bank do zachowania i przetwarzania ich danych osobowych dla celów dowodowych w związku z dochodzeniem przez nich tego roszczenia. Prawidłowo zatem organ uznał, że brak jest spełnienia wskazywanej przez bank przesłanki niezbędności do celów wynikających z prawnie usprawiedliwionych interesów realizowanych przez administratora odnośnie przetwarzania skarżonych danych osobowych. Przesłanka z art. 6 ust 1 lit. f rozporządzenia 2016/679 dotyczy sytuacji już istniejącej, w której celem wynikającym z prawnie uzasadnionych interesów realizowanych przez administratora jest konieczność udowodnienia, potrzeba dochodzenia lub obrony przed roszczeniem istniejącym, nie zaś sytuacji, gdy dane są przetwarzane w celu zabezpieczenia się przed ewentualnym roszczeniem.

W orzecznictwie sądów administracyjnych w odniesieniu do przesłanki analogicznej do art. 6 ust. 1 lit. f rozporządzenia 2016/679 wynikającej z art. 23 ust. 1 pkt 5 uprzednio obowiązującej ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. 2016 r. poz. 922 ze zm.) wypracowane zostało stanowisko, że przetwarzanie danych winno być niezbędne dla wypełnienia prawnie usprawiedliwionych celów. Niedopuszczalne jest więc przetwarzanie danych osobowych niejako "na zapas" z założeniem, że mogą być one ewentualnie przydatne w przyszłości oraz z odwołaniem się przy tym do przepisów dotyczących przedawnienia roszczeń cywilnoprawnych. Przeciwna argumentacja prowadziłaby do absurdalnych wniosków, że banki są uprawnione dłużej przetwarzać dane osób, z którymi nie łączył je stosunek prawny, niż dane osób z którymi doszło do zawarcia umowy kredytowej, a w stosunku do których mają zastosowanie ograniczenia wynikające z przepisów art. 105a Prawa bankowego. Odwoływanie się w tym wypadku do celów dowodowych na potrzeby ewentualnych postępowań cywilnych, karnych, czy też administracyjnych jakie klient mógłby potencjalnie wtoczyć bankowi na tle nieistniejącego miedzy stronami stosunku zobowiązaniowego, nie znajduje żadnego logicznego, ani prawnego uzasadnienia (por. wyroki: Wojewódzkiego Sądu Administracyjnego w Warszawie z dnia 12 lipca 2017 r. sygn. akt II SA/Wa 2221/16, Naczelnego Sądu Administracyjnego z dnia 27 sierpnia 2019 r. sygn. akt I OSK 2567/17, Naczelnego Sądu Administracyjnego z dnia 6 marca 2019 r. sygn. akt I OSK 994/17, publ.: orzeczenia.nsa.gov.pl).

W ocenie Sądu wskazana przez bank podstawa nie uzasadnia przetwarzania danych osobowych wnioskodawców, bowiem nie wystąpili oni z żadnym roszczeniem wobec banku. Tym samym przetwarzanie ich danych osobowych nie ma umocowania w przepisach prawa i nie jest niezbędne dla wypełnienia prawnie usprawiedliwionych celów realizowanych przez bank, a w szczególności podjęcia obrony przed ewentualnymi reklamacjami lub roszczeniami odszkodowawczymi. Gdyby natomiast (hipotetycznie) wnioskodawcy wystąpili z roszczeniami do sądu powszechnego, musieliby podać wszystkie swoje dane osobowe, niezbędne do prowadzenia postępowania, określone w kodeksie postępowania cywilnego. Bank, jako hipotetyczny pozwany, miałby wtedy do nich pełny wgląd.

W świetle powyższych rozważań za niezasadny uznać należy podniesiony w skardze zarzut dotyczący naruszenia art. 6 pkt 1 lit. f rozporządzenia 2016/679 w związku z art. 117 § 2 i § 21, art. 118 i art. 119 k.c., bowiem jak przedstawiono wyżej Prezes UODO prawidłowo wywiódł, że określona tym przepisem podstawa przetwarzania danych osobowych w niniejszej sprawie nie wystąpiła.

Niezasadny jest także zarzut skargi w zakresie naruszenia przez organ art. 8 k.p.a., ponieważ przedstawione przez skarżącą w toku postępowania sądowego decyzje wydane zostały w innych, niż ustalony w sprawie, stanach faktycznych.

Mając na uwadze powołane okoliczności, Sąd działając na podstawie art. 151 p.p.s.a., orzekł o oddaleniu skargi.