Centralna Baza Orzeczeń Sądów Administracyjnych

Wojewódzki Sąd Administracyjny w Warszawie w składzie następującym: Przewodniczący Sędzia WSA Izabela Głowacka-Klimas, Sędzia WSA Iwona Maciejuk, Asesor WSA Anna Pośpiech-Kłak (spr.), Protokolant referent Beata Kowalska po rozpoznaniu na rozprawie w dniu 30 sierpnia 2024 r. sprawy ze skargi Z. M. na decyzję Prezesa Urzędu Ochrony Danych Osobowych z dnia [...] grudnia 2023 r. nr [...] w przedmiocie przetwarzania danych osobowych oddala skargę

Prezes Urzędu Ochrony Danych Osobowych, zw. dalej "PUODO", decyzją z dnia [...] grudnia 2023 r. nr [...], na podstawie art. 104 § 1 ustawy z dnia 14 czerwca 1960 r. Kodeks postępowania administracyjnego (Dz. U. z 2023 r. poz. 775 ze zm.), zw. dalej "k.p.a.", w zw. z art. 7 ust. 1 i 2 ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych (t.j. Dz. U. z 2019 r. poz. 1781) oraz na podstawie art. 6 ust. 1 lit. f oraz art. 58 ust. 2 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz. Urz. UE L 119 z 4.05.2016, str. 1, Dz. Urz. UE L 127 z 23.05.2018, str. 2 oraz Dz. Urz. UE L 74 z 4.03.2021 , str. 35), odmówił uwzględnienia wniosku Z.M., zw. dalej "skarżącym", na nieprawidłowości w procesie przetwarzania jego danych osobowych przez [...] Bank S.A. z siedzibą w [...], zw. dalej "Bankiem", polegające na przetwarzaniu jego danych osobowych bez podstawy prawnej.

Powyższe rozstrzygnięcie zostało wydane w następującym stanie faktycznym i prawnym sprawy:

W skardze inicjującej niniejsze postępowanie skarżący wskazał, że osoba trzecia posługując się jego danymi osobowymi zawarła z Bankiem umowę pożyczki z dnia [...] grudnia 2022 r. nr [...] wypłaconej w dniu 2 stycznia 2023 r. na fałszywy, założony na jego dane przez osobę trzecią, rachunek bankowy w X. Banku S.A. oraz umowę o kredyt na zakup towarów/usług z dnia [...] stycznia 2023 nr [...]. Skarżący wskazał, że po uzyskaniu informacji o ww. umowach niezwłocznie zgłosił sprawę na policję, która jest prowadzona przez [...] Komisariat Policji Komendy Miejskiej Policji w [...] pod sygnaturą [...]. Skarżący wskazał również, że w dniu 13 marca 2023 r. zwrócił się do Banku z wnioskiem o usunięcie lub zabezpieczenie jego danych osobowych. Bank pismem z dnia 31 marca 2023 r. wyjaśnił skarżącemu, że podjął działania w stosunku do ochrony interesów skarżącego wstrzymując działania windykacyjne z tytułu ww. umów do chwili powzięcia informacji w zakresie ustaleń organów ścigania i wydania prawomocnego rozstrzygnięcia w tej sprawie. Ponadto bank wskazał, że wykreślił przedmiotowe zobowiązanie z B. S.A. oraz wskazał, że jest także stroną pokrzywdzoną i zależy mu na wyjaśnieniu sprawy.

Wobec powyższego skarżący wniósł do Prezesa UODO na podstawie art. 17 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz. U. UE L 119 z 4.05.2016, str. 1, Dz. Urz. UE L 127 z 23.05.2018, str. 2 oraz Dz. Urz. UE l.: 74 z 4.03.2021, str. 35), zw. dalej "RODO", o nakazanie bankowi usunięcia wszelkich danych osobowych, dotyczących jego osoby oraz nakazanie powiadomienia o tych czynnościach odbiorców, których dane osobowe ujawniono.

Skarżący w swoich wyjaśnieniach wskazał również, że jest prowadzone postępowanie karne przez Prokuraturę Rejonową [...] w [...] pod sygnaturą [...]. Czynności w toku postępowania wykonuje [...] Komisariat Policji Komendy Miejskie Policji w [...] (sygn. akt [...]). Ponadto skarżący wskazał, że wobec Banku złożył pozew o uznanie za nieważną umowy pożyczki z dnia [...] grudnia 2022 r. nr [...] oraz umowy kredytu na zakup towarów i usług w systemie ratalnym z dnia [...] stycznia 2023 r. nr [...]. Pozew został złożony w dniu 19 czerwca 2023 r. w Wydziale Cywilnym Sądu Okręgowego w [...] (sygn. akt [...]).

W złożonych wyjaśnieniach Bank wskazał, że dane skarżącego w zakresie: imienia, nazwiska, daty urodzenia, miejsce urodzenia, kraju pochodzenia, obywatelstwa, wykształcenia, stanu cywilnego, PESEL, serii i numeru dowodu osobistego, daty wydania oraz daty ważności dowodu osobistego, wizerunku, adresu zameldowania, zamieszkania oraz do korespondencji, numeru telefonu komórkowego, numeru telefonu stacjonarnego, numeru telefonu służbowego, adresu e-mail, imion rodziców, nazwiska panieńskiego matki, informacji o osiąganych dochodach zostały pozyskane przez Bank w dniu [...] grudnia 2022 r. w związku z zawarciem umowy pożyczki nr [...] oraz w dniu [...] stycznia 2023 r., przy użyciu danych skarżącego została zawarta umowa o kredyt na zakup towarów i usług w systemie ratalnym nr [...], zw. dalej "umowami". Bank wyjaśnił, że wnioski kredytowe dotyczące powyższych umów zostały złożone za pośrednictwem systemu internetowego, w którym weryfikacja tożsamości odbywa się na podstawie przelewu złotowego z rachunku klienta w innym banku. Przelewy weryfikacyjne na kwotę 1 zł zostały wykonane z rachunku bankowego prowadzonego przez X.Bank S.A. z siedzibą w [...] o numerze [...], w obu przypadkach w tytule przelewu zawarta była informacja o potwierdzeniu zawarcia umowy. Dane osobowe oraz adresowe pochodzące z przelewów były zgodne z danymi przedstawionymi na wniosku kredytowym. Ponadto, dane osobowe skarżącego zweryfikowane zostały w rejestrze zewnętrznym - Rejestr Dodowów Osobistych. Weryfikacja ta nie budziła wątpliwości co do poprawności danych wskazanych we wnioskach kredytowych.

W dniu 8 lutego 2023 r. w oddziale Banku skarżący przedłożył ustne oświadczenie, że nie jest stroną ww. umów oraz potwierdzenie złożenia zawiadomienia o podejrzeniu popełnienia przestępstwa w [...] Komisariacie Policji Komendy Miejskiej Policji w [...] (sygn. akt [...]). Pracownik oddziału przekazał dokument wraz z informacją od skarżącego do Zespołu Przeciwdziałania Przestępstwom Kredytowym Banku. Na tej podstawie Bank niezwłocznie podjął działania w stosunku do ochrony interesów skarżącego. Działania windykacyjne z tytułu ww. umów zostały wstrzymane i pozostaną do chwili powzięcia informacji w zakresie ustaleń organów ścigania i wydania prawomocnego rozstrzygnięcia w tej sprawie. Bank wykreślił także ww. zobowiązania z B. S.A. Ponadto, z kartoteki oznaczonej jako wyłudzenie zostały usunięte takie dane skarżącego jak: adres zameldowania, adres do korespondencji oraz zamieszkania, numer telefonu oraz adres e-mail.

Policja wyjaśniła, że za [...] pod nadzorem Prokuratury Rejonowej [...]prowadzi postępowanie w sprawie zdarzenia które nastąpiło od 31 grudnia 2022 r. do 10 stycznia 2023 r. w bliżej nieustalonym miejscu, ujawnionego w [...], w celu osiągnięcia korzyści majątkowej posłużenia się danymi skarżącego przy zawarciu umów pożyczki z bankiem, tj. o przestępstwo z art. 286 § 1 k.k. W chwili obecnej postępowanie jest w toku.

Po zapoznaniu się z całością zgromadzonego w sprawie materiału dowodowego, Prezes UODO, wskazał, że RODO określa obowiązki administratora danych, do których należy przetwarzanie danych osobowych z zachowaniem przesłanek określonych w RODO. Przepisem uprawniającym administratorów danych do przetwarzania zwykłych danych osób fizycznych jest art. 6 ust. 1 RODO, zgodnie z którym, przetwarzanie danych jest dopuszczalne tylko wtedy, gdy spełniona jest jedna z przesłanek wskazanych w tym przepisie. Katalog przesłanek wymienionych w art. 6 ust. 1 RODO jest zamknięty. Każda z przesłanek legalizujących proces przetwarzania danych osobowych ma charakter autonomiczny i niezależny. Oznacza to, że przesłanki te co do zasady są równoprawne, a wobec tego spełnienie co najmniej jednej z nich stanowi o zgodnym z prawem przetwarzaniu danych osobowych. W konsekwencji zgoda osoby, której dane dotyczą nie jest jedyną podstawą przetwarzania danych osobowych, ponieważ proces przetwarzania danych będzie zgodny z RODO również wówczas, gdy administrator danych wykaże spełnienie innej z wyżej wymienionych przesłanek. Niezależnie od zgody osoby, której dane dotyczą (art. 6 ust. 1 lit. a RODO) przetwarzanie danych osobowych jest dopuszczalne między innymi wtedy, gdy jest niezbędne do wykonania umowy, której stroną jest osoba, której dane dotyczą (art. 6 ust. 1 lit b RODO), gdy jest niezbędne do wypełnienia obowiązku prawnego ciążącego na administratorze (art. 6 u. 1 lit. c RODO) oraz gdy jest niezbędne do celów wynikających z prawnie uzasadnionych interesów realizowanych przez administratora (art. 6 ust. 1 lit. f RODO).

Stosownie do treści motywu 47 RODO podstawą prawną przetwarzania mogą być prawnie uzasadnione interesy administratora, w tym administratora, któremu mogą zostać ujawnione dane osobowe, lub strony trzeciej, o ile w świetle rozsądnych oczekiwań osób, których dane dotyczą, opartych na ich powiązaniach z administratorem nadrzędne nie są interesy lub podstawowe prawa i wolności osoby, której dane dotyczą. Taki prawnie uzasadniony interes może istnieć na przykład w przypadkach, gdy zachodzi istotny i odpowiedni rodzaj powiązania między osobą, której dane dotyczą, a administratorem, na przykład gdy osoba, której dane dotyczą, jest klientem administratora lub działa na jego rzecz. Aby stwierdzić istnienie prawnie uzasadnionego interesu, należałoby w każdym przypadku przeprowadzić dokładną ocenę tego, czy w czasie i w kontekście, w którym zbierane są dane osobowe, osoba, której dane dotyczą, ma rozsądne przesłanki by spodziewać się, że może nastąpić przetwarzanie danych w tym celu. Interesy i prawa podstawowe osoby, której dane dotyczą, mogą być nadrzędne wobec interesu administratora danych w szczególności w przypadkach, gdy dane osobowe są przetwarzane w sytuacji, w której osoby, których dane dotyczą, nie mają rozsądnych przesłanek, by spodziewać się dalszego przetwarzania.

PUODO wskazał, że bank pozyskał dane osobowe skarżącego przy zawarciu umów z osobą, która podała dane osobowe skarżącego i potwierdziła jego tożsamość poprzez przelew z rachunku bankowego założonego na dane osobowe skarżącego w innym Banku. Po otrzymaniu od skarżącego informacji o możliwym wyłudzeniu, Bank wstrzymał działania windykacyjne z tytułu ww. umów, wykreślił przedmiotowe zobowiązania z B. S.A. oraz usunął z kartoteki oznaczonej jako wyłudzenie, dane osobowe skarżącego takie jak: adres zameldowania, adres do korespondencji oraz zamieszkania, numer telefonu oraz adres e-mail.

Obecnie prowadzone jest przez Policję (pod nadzorem Prokuratury Rejonowej [...]) postępowanie o przestępstwo określone z art. 286 § 1 k.k., tj. posłużenia się danymi skarżącego przy zawarciu ww. umów z bankiem, w celu osiągnięcia korzyści majątkowej, w okresie od 31 grudnia 2022 r. do 10 stycznia 2023 r. w bliżej nieustalonym miejscu w [...]. Ponadto w Sądzie Okręgowym w [...] prowadzone jest postępowanie zainicjowane pozwem skarżącego przeciwko bankowi w przedmiocie uznania ww. umów za nieważne.

Bank wskazał, że aktualnie przetwarza dane skarżącego w celu obrony przez roszczeniami na podstawie art. 6 ust. 1 pkt f RODO. W ocenie Prezesa UODO, w związku z pozostającymi w toku postępowaniami karnym i cywilnym, bank posiada prawnie uzasadniony interes określony w art. 6 ust. 1 lit. f RODO do dalszego przetwarzania danych osobowych skarżącego. Proces przetwarzania danych osobowych skarżącego przez bank należy uznać za niezbędny do obrony przed roszczeniami skarżącego, które skutkowały zainicjowaniem ww. postępowań. Dopóki istnienie umów nie zostało podważone przez sąd powszechny, wywołują one skutki, które podlegają ocenie w świetle ustawy o ochronie danych osobowych. PUODO nie mógł się wypowiadać w kwestii istnienia, bądź nieistnienia długu, jak i obowiązku jego zwrotu. Zwarte umowy nie podlegającą jego ocenie i wywołującą skutki prawne do czasu, dopóki nie zostanie zakwestionowana w formie i trybie przewidzianym przez prawo. Uznanie skarżącego przez bank za jego dłużnika nie mogło podlegać jakiejkolwiek kontroli ze strony PUODO. Nie mógł badać zasadności roszczeń, zobowiązany był natomiast uwzględnić okoliczność istnienia roszczeń, jako jednego z elementów stanu faktycznego sprawy.

PUODO zaznaczył, że postępowanie administracyjne prowadzone przez nim służy kontroli zgodności przetwarzania danych z przepisami o ochronie danych osobowych i zbadaniu zasadności skierowania pod adresem określonego podmiotu nakazu z art. 58 ust. 2 RODO służącego przywróceniu stanu zgodnego z prawem. W ocenie PUODO w niniejszej sprawie nie ma podstaw do stwierdzenia, że Bank naruszył przepisy o ochronie danych osobowych w procesie przetwarzania danych skarżącego, gdyż przetwarzanie danych osobowych skarżącego przez bank należy uznać za proces niezbędny do realizacji prawnie uzasadnionego interesu banku (art. 6 ust. 1 lit. f RODO) związany z prowadzonymi postępowaniami sądowymi.

Skargę na decyzję PUODO wniósł Z.M. Zaskarżając decyzję w całości zarzucił jej "błędne orzeczenie w sprawie podstawy prawnej przetwarzania danych osobowych Skarżącego, a w tym": naruszenie art. 7 k.p.a. przez nieustalenie stanu faktycznego w sprawie; naruszenie art. 75, art. 77 i art. 80 k.p.a. przez brak odniesienia się do materiału dowodowego przedłożonego w sprawie przez skarżącego; przyjęcie błędnej podstawy prawnej zaskarżonej decyzji w postaci art. 6 ust. 1 lit. f RODO; brak zbadania przesłanki do zawieszenia postępowania w związku z toczącymi się postępowaniami karnym i cywilnym, a tym samym potencjalne naruszenie art. 97 § 1 pkt 4 k.p.a.

Podnosząc powyższe zarzuty skarżący wniósł o "uchylenie zaskarżonej decyzji i przekazanie sprawy do ponownego rozpoznania Prezesowi UODO albo do orzeczenia co do istoty sprawy przez stwierdzenie, że [...] Bank SA z siedzibą w [...] od 31 .12.2022 r. przetwarza dane osobowe Skarżącego bez podstawy prawnej.".

W odpowiedzi na skargę PUODO, podtrzymując dotychczasową argumentację, wniósł o jej oddalenie.

Wojewódzki Sąd Administracyjny w Warszawie zważył, co następuje:

Sąd administracyjny wykonuje wymiar sprawiedliwości, poddając kontroli decyzje wydawane przez organy administracji publicznej pod względem ich zgodności z prawem, badając czy właściwie zastosowano przepisy prawa materialnego i przestrzegano przepisów proceduralnych w postępowaniu administracyjnym. Sąd jest władny wzruszyć zaskarżoną decyzję jedynie w przypadku stwierdzenia naruszenia prawa. Przepis art. 145 ustawy z dnia 30 sierpnia 2002 r. - Prawo postępowaniu przed sądami administracyjnymi (Dz. U. z 2024, poz. 2325 ze zm.), dalej "p.p.s.a.", określa, w jakich sytuacjach decyzje lub postanowienia podlegają uchyleniu.

Oceniając zaskarżoną decyzję w świetle powyższych kryteriów Sąd stwierdził, iż skarga nie zasługuje na uwzględnienie.

Przypomnieć należy, iż od dnia 25 maja 2018 r. w polskim porządku prawnym obowiązuje ustawa z dnia 10 maja 2018 r. o ochronie danych osobowych, jak również rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz. U. UE. Seria L. rok 2016 nr 119 str. 1 z dnia 2016.05.04 ze zm.), dalej "RODO", które stosuje się bezpośrednio.

Zgodnie z art. 4 pkt 1 RODO dane osobowe oznaczają informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej ("osobie, której dane dotyczą"). Możliwa do zidentyfikowania osoba fizyczna to osoba, którą można bezpośrednio lub pośrednio zidentyfikować, w szczególności na podstawie identyfikatora takiego jak imię i nazwisko, numer identyfikacyjny, dane o lokalizacji, identyfikator internetowy lub jeden bądź kilka szczególnych czynników określających fizyczną, fizjologiczną, genetyczną, psychiczną, ekonomiczną, kulturową lub społeczną tożsamość osoby fizycznej.

Natomiast w myśl art. 4 pkt 2 RODO, przetwarzanie danych osobowych oznacza operację lub zestaw operacji wykonywanych na danych osobowych lub zestawach danych osobowych w sposób zautomatyzowany lub niezautomatyzowany, taką jak zbieranie, utrwalanie, organizowanie, porządkowanie, przechowywanie, adaptowanie lub modyfikowanie, pobieranie, przeglądanie, wykorzystywanie, ujawnianie poprzez przesłanie, rozpowszechnianie lub innego rodzaju udostępnianie, dopasowywanie lub łączenie, ograniczanie, usuwanie lub niszczenie.

Ponadto należy zaznaczyć, że zgodnie z art. 4 pkt 7 RODO "administrator" oznacza osobę fizyczną lub prawną, organ publiczny, jednostkę lub inny podmiot, który samodzielnie lub wspólnie z innymi ustala cele i sposoby przetwarzania danych osobowych.

Sposób postępowania przy przetwarzaniu danych osobowych wyznacza art. 5 ust. 1 RODO, ujmując je w formę podstawowych obowiązków administratora. Z jego treści wynika, że dane osobowe muszą być: a) przetwarzane zgodnie z prawem, rzetelnie i w sposób przejrzysty dla osoby, której dane dotyczą (zgodność z prawem, rzetelność i przejrzystość), b) zbierane w konkretnych, wyraźnych i prawnie uzasadnionych celach i nieprzetwarzane dalej w sposób niezgodny z tymi celami (ograniczenie celu), c) adekwatne, stosowne oraz ograniczone do tego, co niezbędne do celów, w których są przetwarzane (minimalizacja danych), d) prawidłowe i w razie potrzeby uaktualniane, a dane osobowe, które są nieprawidłowe w świetle celów ich przetwarzania, muszą być niezwłocznie usunięte lub sprostowane (prawidłowość), e) przechowywane w formie umożliwiającej identyfikację osoby, której dotyczą, przez okres nie dłuższy, niż jest to niezbędne do celów, w których dane te są przetwarzane

(ograniczenie przechowywania), f) przetwarzane w sposób zapewniający odpowiednie bezpieczeństwo danych osobowych, w tym ochronę przed niedozwolonym lub niezgodnym z prawem przetwarzaniem oraz przypadkową utratą, zniszczeniem lub uszkodzeniem, za pomocą odpowiednich środków technicznych lub organizacyjnych (integralność i poufność). Zgodnie z ust. 2 omawianego przepisu, administrator jest odpowiedzialny za przestrzeganie powyższych zasad i musi być w stanie wykazać ich przestrzeganie (rozliczalność).

Należy zaznaczyć, że przetwarzanie danych osobowych uważa się za legalne, jeśli ich administrator spełni co najmniej jedną z przesłanek wskazanych w art. 6 ust. 1 rozporządzenia RODO, tzn.: a) osoba, której dane dotyczą wyraziła zgodę na przetwarzanie swoich danych osobowych w jednym lub większej liczbie określonych celów, b) przetwarzanie jest niezbędne do wykonania umowy, której stroną jest osoba, której dane dotyczą, lub do podjęcia działań na żądanie osoby, której dane dotyczą, przed zawarciem umowy, c) przetwarzanie jest niezbędne do wypełnienia obowiązku prawnego ciążącego na administratorze, d) przetwarzanie jest niezbędne do ochrony żywotnych interesów osoby, której dane dotyczą, lub innej osoby fizycznej, e) przetwarzanie jest niezbędne do wykonania zadania realizowanego w interesie publicznym lub w ramach sprawowania władzy publicznej powierzonej administratorowi, f) przetwarzanie jest niezbędne do celów wynikających z prawnie uzasadnionych interesów realizowanych przez administratora lub przez stronę trzecią, z wyjątkiem sytuacji, w których nadrzędny charakter wobec tych interesów mają interesy lub podstawowe prawa i wolności osoby, której dane dotyczą, wymagające ochrony danych osobowych, w szczególności gdy osoba, której dane dotyczą, jest dzieckiem.

Cytowany powyżej przepis RODO określa ogólne materialne przesłanki przetwarzania danych osobowych. Przesłanki te mają charakter generalny, odnoszą się do wszelkich form przetwarzania danych, w tym zarówno do przetwarzania "na własne potrzeby" administratora, jak i "na zewnątrz". Są one, co do zasady równoprawne, mają charakter autonomiczny i niezależny, co oznacza, że wystarczy wystąpienie jednej z nich, by przetwarzanie danych mogło być uznane za usprawiedliwione. Oznacza to także, że zgoda osoby, której dane dotyczą, nie jest wyłączną przesłanką przetwarzania danych osobowych (por. J. Barta, P. Fajgielski, R. Markiewicz "Ochrona danych osobowych. Komentarz.", publ. System Informacji Prawnej LEX 2024).

Analiza powyższych przesłanek, dopuszczających przetwarzanie danych osobowych, prowadzi do wniosku, iż zgoda osoby, której dane dotyczą, będzie zawsze legalizowała przetwarzanie jej danych osobowych przez podmiot, który taką zgodę uzyskał. Natomiast zgoda osoby, której dane dotyczą, na przetwarzanie jej danych osobowych, nie jest wymagana wówczas, gdy administrator danych potrafi wskazać przepis prawa legalizujący dokonywanie czynności, o których mowa w art. 6 ust. 1 RODO.

Zaznaczenia wymaga, że zaskarżoną decyzją PUODO odmówił uwzględnienia wniosku Z.M. dotyczącego nakazania bankowi usunięcia jej danych osobowych z uwagi na zaistnienie przesłanki z art. 6 ust. 1 lit. f RODO, tj. że bank jest uprawniony do przetwarzania danych osobowych skarżącego w celu dochodzenia oraz obrony roszczeń.

Skarżący nie zgodził się tym poglądem i ta kwestia jest główną osią sporu w sprawie.

Na wstępie należy stwierdzić, że PUODO władny jest podejmować tylko te czynności, które znajdują się w zakresie jego uprawnień oraz tylko w tych sprawach, które należą do jego właściwości. Uprawnienia te i właściwość wynikają z RODO, ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych oraz regulacji szczegółowych, które wskazują na ograniczenia kompetencji PUODO w odniesieniu do przetwarzania danych przez określone podmioty bądź w określonych okolicznościach. Kluczowe jest w niniejszej sprawie, że przepisy powyższe nie pozwalają PUODO na kontrolowanie czynności podejmowanych toku postępowania karnego przez organy ścigania, czy też podważania ważności zawartych umów. Tym samym, dopóki istnienie umów nie zostało podważone przez sąd powszechny, wywołują one skutki, które podlegają ocenie w świetle ustawy o ochronie danych osobowych.

W świetle powyższego, za niezasadny Sąd uznał zarzut naruszenia art. 7 k.p.a., art. 75 k.p.a., art. 77 k.p.a. oraz art. 80 k.p.a. polegający na nieustaleniu stanu faktycznego w sprawie oraz nie odniesieniu się do materiału dowodowego przedłożonego w sprawie przez skarżącego. W odpowiedzi na powyższe wskazać należy, że sposób działania organu ochrony danych osobowych był zdeterminowany spoczywającym na nim, na mocy art. 77 § 1 k.p.a., obowiązkiem wyczerpującego zebrania oraz rozpatrzenia całego materiału dowodowego.

Zaznaczyć należy celem zweryfikowania zarzutów skarżącego względem banku, PUODO korzystając z art. 58 ust. 1 lit. a i e RODO, zwracał się do banku o złożenie pisemnych wyjaśnień w sprawie oraz przedłożenie dowodów. W ocenie Sądu PUODO prowadząc postępowanie w niniejszej sprawie przedsięwziął wszelkie przewidziane prawem czynności służące wnikliwemu i rzetelnemu ustaleniu okoliczności faktycznych przedmiotowej sprawy i zebraniu materiału dowodowego potrzebnego do rozstrzygnięcia jej decyzją administracyjną. Podkreślenia wymaga, że organ podjął niezbędne i wystarczające działania, konieczne dla wyjaśnienia stanu faktycznego sprawy. Zebrany w sposób wyczerpujący materiał dowodowy, w całości został poddany ocenie zgodnej z art. 80 k.p.a. Z ustalonego stanu faktycznego wynikało, że bank pozyskał dane osobowe skarżącego w związku z umowami zawartymi z osobą, która podała dane osobowe skarżącego i potwierdziła tożsamość zawierającego umowę poprzez przelew z rachunku bankowego założonego na dane osobowe skarżącego w innym banku. Po otrzymaniu od skarżącego informacji o wyłudzeniu, bank wstrzymał działania windykacyjne z tytułu ww. umów, wykreślił przedmiotowe zobowiązania z B. S.A. oraz usunął z kartoteki oznaczonej jako wyłudzenie, dane osobowe skarżącego takie jak: adres zameldowania, adres do korespondencji oraz zamieszkania, numer telefonu oraz adres e-mail. Z zebranego w sprawie materiału dowodowego wynikało ponadto, że obecnie prowadzone jest przez Policję pod nadzorem Prokuratury Rejonowej [...] postępowanie w sprawie mającego miejsce w czasie od 31 grudnia 2022 roku do 10 stycznia 2023 r. w bliżej nieustalonym miejscu, ujawnionego w [...], w celu osiągnięcia korzyści majątkowej posłużenia się danymi skarżącego przy zawarciu umów z bankiem tj. o przestępstwo określone w art . 286 § 1 k.k. W Sądzie Okręgowym w [...] prowadzone jest natomiast postępowanie zainicjowanej pozwem skarżącego złożonym w dniu 19 czerwca 2023 r. o uznanie umów za nieważne.

W świetle powyższego nie sposób uznać podniesionego zarzutu naruszenia art. 7, art. 77 i art. 80 k.p.a. zwłaszcza w kontekście oceny przesłanki z art. 6 ust. 1 lit. f RODO dla której spełnienia niezbędne są istniejące roszczenia, a w ślad za nimi toczące się postępowania, w tym przypadku cywilne i karne. W ocenie Sądu PUODO właściwie wywiódł, że nie ma kompetencji do tego, aby stwierdzić, iż podczas zawierania spornych umów doszło do popełnienia przestępstwa, jak również do tego, że są one nieważne. Postępowania, które mogą doprowadzić do stwierdzenia, że podczas zawierania umów na dane osobowe skarżącego, doszło do popełnienia przestępstwa, jak również, że umowy te dotknięte są wadą, skutkującą uznaniem ich za nieważne, w dniu orzekania przez PUODO, pozostają w toku, czemu też skarżący nie zaprzeczył. Tym samym, do momentu ich zakończenia PUODO nie mógł uznać, że bank dopuścił się nieprawidłowości w procesie przetwarzania danych osobowych skarżącego w sytuacji wykazania spełnienia przesłanki z art. 6 ust. 1 lit. f RODO. Bank posiada prawnie uzasadniony interes określony w art. 6 ust. 1 lit. f RODO do dalszego przetwarzania danych osobowych skarżącego w postaci obrony przed istniejącymi roszczeniami skarżącego, a w ślad za nimi toczącymi się postepowaniami sądowymi.

Odnosząc się zaś do zarzutu nie zastosowania art. 97 § 1 pkt 4 k.p.a. który obliguje organ do zawieszenia postępowania gdy rozpatrzenie sprawy i wydanie decyzji zależy od uprzedniego rozstrzygnięcia zagadnienia wstępnego przez inny organ lub sąd. Sąd wskazuje, że przepis ten dotyczy sytuacji w której w toku toczącego się postępowania prawnego powstało zagadnie prawne przez które rozumie się sytuację, w której wydanie orzeczenia merytorycznego w sprawie, będącej przedmiotem postępowania, jest uwarunkowane uprzednim rozstrzygnięciem wstępnego zagadnienia prawnego. Tym samym konieczność zawieszenia postępowania zachodzi tylko wówczas, gdy bez uprzedniego rozstrzygnięcia prejudykatu przez inny organ lub sąd wydanie decyzji byłoby niemożliwe.

W ocenie Sądu w niniejszej sprawie nie wystąpiła przesłanka obligatoryjnego zawieszania postępowania, o której mowa w art. 97§ 1 pkt 4 k.p.a. Podjęcie rozstrzygnięcia przez PUODO nie było uzależnione od rezultatu toczących się postępowań karnego i cywilnego. Ocena kwestionowanego w skardze procesu przetwarzania danych była możliwa, bez uprzedniego zawieszenia postępowania administracyjnego bowiem PUODO był zobowiązany ocenić legalność procesu przewarzania danych osobowych skarżącego w dacie wydania decyzji. Zakończenie postępowań karnego i cywilnego może wprawdzie spowodować, że zmienią się podstawy przetwarzania danych skarżącego przez bank, niemniej jednak powyższe nie spowoduje wadliwości przedmiotowej decyzji, w której organ rozstrzygał według stanu faktycznego i prawnego, zachodzącego w dacie wydania decyzji administracyjnej.

W tym stanie rzeczy, Wojewódzki Sąd Administracyjny w Warszawie na podstawie art. 151 p.p.s.a., orzekł jak w sentencji wyroku.