Centralna Baza Orzeczeń Sądów Administracyjnych

Wojewódzki Sąd Administracyjny w Warszawie w składzie następującym: Przewodniczący Sędzia WSA Łukasz Krzycki (spr.), Sędzia WSA Andrzej Góraj, Sędzia WSA Sławomir Antoniuk, Protokolant sekr. sądowy Maryla Wiśniewska po rozpoznaniu na rozprawie w dniu 13 grudnia 2021 r. sprawy ze skargi [...] S.A z siedzibą w W. na decyzję Prezesa Urzędu Ochrony Danych Osobowych z dnia [...] lutego 2021 r., nr [...] w przedmiocie przetwarzania danych osobowych 1. uchyla zaskarżoną decyzję w punkcie od 1 do 3, 2. zasądza od Prezesa Urzędu Ochrony Danych Osobowych na rzecz skarżącego [...] S.A. z siedzibą w W. kwotę 697 (słownie: sześćset dziewięćdziesiąt siedem) złotych, tytułem zwrotu kosztów postępowania.

Zaskarżoną decyzją, sprostowaną postanowieniem tego samego organu z [...] kwietnia 2021 r. - przywołując, art. 58 ust. 2 lit. b i g rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (Dz.Urz. UE L. nr 119. str. 1, ze zm.), zwanego dalej "RODO" - wobec skargi p. L.M., zwanego dalej "Wnioskodawcą" na nieprawidłowości w procesie przetwarzania jego danych osobowych przez [...] S.A., zwaną dalej Bankiem", polegające na:

- przetwarzaniu danych osobowych Wnioskodawcy bez podstawy prawnej, w tym w Biurze Informacji Kredytowej S.A., zwanym dalej "Biurem" (po wygaśnięciu zobowiązania, pomimo braku zgody na przetwarzanie) oraz

- niespełnieniu wynikającego z art. 15 RODO obowiązku informacyjnego

- Prezes Urzędu Ochrony Danych Osobowych:

- udzielił Bankowi upomnienia za naruszenie art. 6 ust. 1 RODO polegające na przetwarzaniu danych osobowych Wnioskodawcy, bez podstawy prawnej:

- w celu realizacji umowy kredytu odnawialnego nr [...], zwanego dalej "Kredytem" - w okresie [...] marca do [...] lipca 2019 r. (po wygaśnięciu umowy) - oraz w celu dochodzenia nienależnego roszczenia - w okresie [...] marca do [...] czerwca 2019 r. (w pkt 1),

- w zakresie dotyczącym Kredytu - w Biurze - w okresie od [...] marca 2019 r. do [...] lipca 2019 r., (w pkt 2),

- nakazał Bankowi usunięcie danych osobowych Wnioskodawcy (w pkt. 3),

- w pozostałym zakresie odmówił uwzględnienia wniosku (w pkt 4).

W uzasadnieniu postanowienia przywołano następujące okoliczności faktyczne i prawne uwarunkowania sprawy:

- do organu wpłynęła skarga Wnioskodawcy,

- w toku postępowania administracyjnego, ustalono następujący stan faktyczny:

- Wnioskodawca do [...] lutego 2019 r. był klientem Banku; tego dnia uległy rozwiązaniu łączące strony umowy; pomimo tego - 18 marca 2019 r. - otrzymał od Banku informację o złożonej przezeń reklamacji w sprawie Kredytu, której nie składał; zdaniem Wnioskodawcy, od 1 marca 2019 r. Bank nie był uprawniony do przetwarzania jego danych osobowych; nie były one niezbędne do świadczenia umowy; w umowach Wnioskodawca nie udzielił zgody na przetwarzanie danych przez Bank po ich wygaśnięciu; pomimo tego Bank nadal kontaktował się z nim i żądał aktualizacji danych; 13 maja 2019 r. Bank przekazał ponadto - bez zgody i wiedzy Wnioskodawcy - jego dane osobowe do Biura; naruszył tym art. 105a ust. 2 ustawy z 29 sierpnia 1997 r. - Prawo bankowe (Dz.U. z 2020 r. poz. 1896 ze zm.); Bank odmawiał też konsekwentnie udzielenia Wnioskodawcy informacji na podstawie art. 15 RODO i przedstawienia zgody na przetwarzanie danych osobowych, (tak: pisma Wnioskodawcy z 18 marca, 24 kwietnia oraz 3 lipca 2019 r.);

- Bank przetwarza dane osobowe Wnioskodawcy, pozyskane bezpośrednio od niego, w związku z zamkniętymi produktami: umową o prowadzenie bankowych rachunków oszczędnościowych z dnia 16 sierpnia 2002 r. oraz umową Kredytu z [...] marca 2018 r.; Wnioskodawca wypowiedział je 20 grudnia 2019 r.; jego dane są przetwarzane w zakresie: imienia, nazwiska, imion rodziców, nazwiska panieńskiego matki, numeru PESEL, serii i numeru dokumentu tożsamości, adresu zameldowania, adresu korespondencyjnego, daty urodzenia, miejsca urodzenia, płci, numeru klienta, numeru konta bankowego, adresu e-mail, numeru telefonu komórkowego, obrotów na rachunku bankowym; z wyjaśnień Banku wynika, że dane te są obecnie przetwarzane na podstawie art. 6 ust. 1 lit. f RODO w zw. z art. 118 ustawy z dnia 23 kwietnia 1964 r. - Kodeks cywilny (Dz. U. z 2020 r. poz. 1740, 2320), zwanej dalej "K.c." (tak: pisma Banku z 25 lipca i 16 września 2019 r.);

- Bank przyznał, że - w wyniku błędu pracownika, polegającego na nieoznaczeniu, po złożeniu wypowiedzenia przez Wnioskodawcę w systemie Banku, braku prolongaty Kredytu - przekazał 5 marca 2019 r. do Biura nieprawidłowe dane, dotyczące zaległości w spłacie Kredytu; nastąpiło to na skutek nienależnego naliczenia - w styczniu 2019 roku - opłaty za odnowienie Kredytu; zaksięgowano ją na rachunku Wnioskodawcy; Bank wyjaśnił, że Wnioskodawca dopiero po jakimś czasie zorientował się o błędnym naliczeniu mu przez Bank opłaty za odnowienie Kredytu; na podstawie jego zgłoszenia Bank zarejestrował reklamację w tej sprawie i rozpatrzył ją pozytywnie - anulował bezpodstawnie naliczoną opłatę; 24 lipca 2019 r. - na podstawie przedmiotowej skargi - Bank wprowadził korektę i usunął z Biura błędny zapis, dotyczący opóźnienia w spłacie (tak: pismo Banku z 25 lipca oraz 20 listopada 2019 r., pismo Biura do Wnioskodawcy z 25 czerwca 2019 r.);

- reklamację (nr [...]) Wnioskodawca miał zgłosić 18 marca 2019 r.; natomiast - w okresie [...] marca 2019 r. do [...] marca 2019 r. - Bank kontaktował się z nim, pod adresem: [...], informując o powstałym na jego rachunku zadłużeniu i konieczności jego uregulowania; w odpowiedzi Wnioskodawca informował Bank o zaistniałej pomyłce, wobec zamknięcia swojego konta; Bank sugerował mu złożenie reklamacji, na co ten nie chciał przystać; uznawał, że - nie będąc klientem Banku - nie ma takiej możliwości; 13 i 14 marca 2019 r. Bank poinformował Wnioskodawcę o zarejestrowaniu reklamacji, przez upoważnionego pracownika Banku;

- Bank wskazał, że na reklamację udzielił odpowiedzi pozytywnej, anulując prowizję za odnowienie kredytu – [...] marca 2019 r. (tak: pismo Wnioskodawcy z 18 marca 2019 r. i pismo Banku z 10 lutego 2020 r.);

- Bank wskazał, że Wnioskodawca występował w systemie bankowym jako "aktywny klient" do 5 lipca 2019 r.; wynikiem tego - 28 czerwca 2019 r. - pracownik Banku kontaktował się telefonicznie z Wnioskodawcą w celu aktualizacji danych jego dowodu osobistego; w trakcie tej rozmowy pracownik Banku potwierdził, że Wnioskodawca figurował w tym czasie w bazie klientów Banku - jako "czynny klient" (tak: pismo Banku z 10 lutego 2020 r.);

- wobec tego - 1 lipca 2019 r. - Wnioskodawca za pośrednictwem adresu poczty elektronicznej [...] - podając swoje imię i nazwisko - zwrócił się do Banku o wskazanie podstawy żądania i celu aktualizacji swoich danych osobowych; zażądał jednocześnie przedstawienia zgody na przetwarzanie swoich danych, po zakończeniu umowy łączącej go z Bankiem (tak: pismo Wnioskodawcy z 9 września 2019 r.);

- w odpowiedzi z 3 lipca 2019 r. Banku odmówił udzielenia żądanych informacji; tłumaczył to brakiem możliwości identyfikacji Wnioskodawcy, jako klienta Banku; sugerował jednocześnie wszczęcie postępowania reklamacyjnego, (tak: pismo Skarżącego z 9 września 2019 r.);

- Bank wskazał, że nie odnotował w swoim systemie podania Wnioskodawcy o dostęp do danych; wyjaśnił jednocześnie, że - ze względu na tajemnicę bankową i tajemnicę zawodową - może udzielić odpowiedzi lub zrealizować uprawnienia RODO tylko prawidłowo zidentyfikowanej osobie; w ocenie Banku imię, nazwisko i adres mailowy nie pozwalają na taką identyfikację (tak: pismo Banku z 25 lipca 2019 r.),

- prowadzone przez organ postępowanie administracyjne służy kontroli zgodności przetwarzania danych z przepisami o ochronie danych osobowych i jest ukierunkowane na przywrócenie stanu zgodnego z prawem poprzez wydanie decyzji administracyjnej - na podstawie art. 58 ust. 2 RODO,

- przepisem uprawniającym administratorów danych do przetwarzania zwykłych danych osób fizycznych jest art. 6 ust. 1 RODO; zgodnie z nim, można przetwarzać dane tylko, w razie wystąpienia jednej z przesłanek, wskazanych w tym przepisie; ich katalog w art. 6 ust. 1 RODO, jest zamknięty; każda z nich ma charakter autonomiczny i niezależny; oznacza to, że są one - co do zasady – równoprawne; wobec tego wystąpienie co najmniej jednej z nich stanowi o zgodnym z prawem przetwarzaniu danych osobowych; proces przetwarzania danych osobowych musi być dodatkowo zgodny z zasadami ustanowionymi w art. 5 ust. 1 RODO; do zasad tych zalicza się m.in. zgodność z prawem, rzetelność i przejrzystość (lit. a), jak również prawidłowość (lit. d); wspomniane zasady wymagają, by dane osobowe były przetwarzane zgodnie z prawem, rzetelnie i w sposób przejrzysty dla osoby, której dane dotyczą oraz prawidłowe i - w razie potrzeby - uaktualniane oraz, że należy podjąć wszelkie rozsądne działania, aby dane osobowe, które są nieprawidłowe w świetle celów ich przetwarzania, zostały niezwłocznie usunięte lub sprostowane; w myśl natomiast określonej w art. 5 ust. 2 RODO zasady rozliczalności, administrator jest odpowiedzialny za przestrzeganie przepisów ust. 1 - musi być w stanie wykazać, że to czyni,

- zgodnie z art. 17 RODO osoba, której dane dotyczą, ma prawo żądania od administratora niezwłocznego usunięcia dotyczących jej danych osobowych, a administrator ma obowiązek bez zbędnej zwłoki usunąć dane osobowe - m.in., jeżeli dane osobowe nie są już niezbędne do celów, w których zostały zebrane lub w inny sposób przetwarzane,

- w toku postępowania ustalono, że Bank przetwarzał dane osobowe Wnioskodawcy w celu realizacji zawartych z nim umów o produkty bankowe; proces ten - w okresie obowiązywania umów - odbywał się w oparciu o przesłankę określoną w art. 6 ust. 1 lit. b RODO - był niezbędny do wykonania umowy, której stroną był Wnioskodawca; w poprzednim stanie prawnym o legalności procesu przetwarzania danych osobowych Wnioskodawcy w celu realizacji tych umów, przesądzało natomiast zaistnienie przesłanki określonej w art. 23 ust. 1 pkt 3 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. z 2016 r. poz. 922 ze zm.),

- umowy łączące Bank i Wnioskodawcę wygasły [...] lutego 2019 roku; tym samym odpadła przesłanka legalizująca ich przetwarzanie, określona w art. 6 ust. 1 lit. b RODO; wobec tego Bank nie mógł od tej daty przetwarzać danych osobowych Wnioskodawcy w celu realizacji umów; zgromadzony w sprawie materiał dowodowy wskazuje natomiast, że Bank przetwarzał dane osobowe Wnioskodawcy w celu realizacji umowy o Kredyt, która wygasła [...] lutego 2019 r., oraz pomimo kierowanych do Banku żądań, dotyczących zaprzestania przetwarzania danych osobowych,

- wobec tego, przetwarzanie danych osobowych Wnioskodawcy - w okresie [...] marca do [...] lipca 2019 r. w celu realizacji umowy zawartej ze Skarżącym nie znajdowało oparcia w przepisach prawa - stanowiło naruszenie art. 6 ust. 1 RODO,

- co przyznał Bank, nastąpiło to w wyniku pomyłki jego pracownika Banku; nie oznaczył on w systemie - po złożeniu wypowiedzenia przez Wnioskodawcę - braku prolongaty Kredytu; w następstwie tej pomyłki - zgodnie z własnym wskazaniem - Bank niezasadnie naliczył Wnioskodawcy - w styczniu 2019 roku - opłatę za odnowienie Kredytu; następnie przetwarzał dane osobowe Wnioskodawcy - w dniach [...] do [...] marca 2019 r. - w celu dochodzenia od niego wierzytelności, dotyczącej wskazanej opłaty; kontaktował się z Wnioskodawcą pod jego adresem e-mail; nie znajdowało to oparcia w żadnej z przesłanek, określonych w art. 6 ust. 1 RODO; tym samym nie było procesem legalnym,

- w toku postępowania ustalono również, że 5 marca 2019 r. Bank - w następstwie opisanego, omyłkowego naliczenia Wnioskodawcy nienależnej opłaty - przekazał do Biura dane, dotyczące nieistniejącej zaległości w spłacie Kredytu; Biuro jest instytucją, utworzoną na podstawie art. 105 ust. 4 ustawy - Prawo bankowe; stanowi on, że banki mogą - wspólnie z bankowymi izbami gospodarczymi - utworzyć instytucje upoważnione do gromadzenia, przetwarzania i udostępniania bankom informacji, stanowiących tajemnicę bankową we wskazanym danym przepisem zakresie,

- zgodnie z art. 105a ust. 1 ustawy - Prawo bankowe, przetwarzanie przez banki, a także instytucje utworzone na podstawie art. 105 ust. 4, informacji stanowiących tajemnicę bankową w zakresie dotyczącym osób fizycznych, może być wykonywane, z zastrzeżeniem art. 104, 105 i art. 106 - 106d ustawy - Prawo bankowe w celu oceny zdolności kredytowej i analizy ryzyka kredytowego; do przetwarzania danych na podstawie art. 105a ust. 1 zgoda osoby, której dane są przetwarzane, nie jest wymagana; przepis nie ustanawia bowiem takiego wymogu w przypadku istnienia zobowiązania; o zgodzie na przetwarzanie danych stanowiących tajemnicę bankową przez instytucje wymienione w art. 105 ust. 4 ustawy - Prawo bankowe mowa dopiero w art. 105a ust. 2 - po wygaśnięciu zobowiązania, wynikającego z umowy zawartej z bankiem lub inną instytucją ustawowo upoważnioną do udzielania kredytów,

- zgodnie z art. 105a ust. 3 ustawy - Prawo bankowe banki i inne instytucje finansowe mogą przetwarzać informacje stanowiące tajemnicę bankową, dotyczące osób fizycznych po wygaśnięciu zobowiązania wynikającego z umowy zawartej z bankiem, bez zgody osoby, której informacje dotyczą, gdy osoba ta nie wykonała zobowiązania lub dopuściła się zwłoki powyżej 60 dni w spełnieniu świadczenia wynikającego z umowy zawartej z bankiem, a po zaistnieniu tych okoliczności upłynęło co najmniej 30 dni od poinformowania tej osoby przez bank, o zamiarze przetwarzania dotyczących jej tych informacji, bez jej zgody; ponadto - stosownie do art. 105a ust. 4 ustawy - Prawo bankowe - banki i inne instytucje finansowe mogą przetwarzać stanowiące tajemnicę bankową informacje dotyczące osoby fizycznej po wygaśnięciu zobowiązania wynikającego z umowy zawartej z bankiem bez zgody osoby, której informacje dotyczą, do celów stosowania metod wewnętrznych oraz innych metod i modeli, o których mowa w części trzeciej rozporządzenia Parlamentu Europejskiego i Rady nr 575/2013 z dnia 26 czerwca 2013 r. w sprawie wymogów ostrożnościowych dla instytucji kredytowych i firm inwestycyjnych, zmieniającego rozporządzenie (UE) nr 648/2012 (Dz. Urz. UE L 2013 Nr 176, str. 1), zwanego dalej "CPR"; przetwarzanie stanowiących tajemnicę bankową informacji w przypadkach, o których mowa w ust. 4 może być wykonywane przez okres nie dłuższy niż 12 lat od dnia wygaśnięcia zobowiązania (art. 105a ust. 5 ustawy - Prawo bankowe),

- w niniejszej sprawie nie zaistniała żadna z określonych w art. 105a ust. 1-3 ustawy - Prawo bankowe przesłanek, które stanowiłyby o legalności przetwarzania danych osobowych Wnioskodawcy w Biurze w okresie [...] marca 2019 r. do [...] lipca 2019 r.; zgromadzony materiał dowodowy wykazał, że umowa o Kredyt, wygasła [...] lutego 2019 r. - w wyniku jej wypowiedzenia; Bank nie był zatem od tej daty upoważniony do przetwarzania, w tym w systemach Biura, danych osobowych Wnioskodawcy, w celu oceny zdolności kredytowej i analizy ryzyka kredytowego w oparciu o art. 105a ust. 1 ustawy - Prawo bankowe; materiał dowodowy nie potwierdził ponadto, aby Bank dysponował zgodą Wnioskodawcy, o której mowa w 105a ust. 2 wskazanego aktu, na przetwarzanie danych osobowych - po wygaśnięciu zobowiązania, wynikającego z zawartej umowy; nie zaistniały także przesłanki wskazane w art. 105a ust. 3 ustawy - Prawo bankowe; Bank przyznał ponadto, że udostępnienie a następnie przetwarzanie danych osobowych Wnioskodawcy w Biurze, nastąpiło w wyniku pomyłki pracownika Banku i naliczenia nienależnej opłaty - Bank ją następnie anulował,

- Bank wskazał, że obecnie przetwarza dane osobowe Wnioskodawcy na podstawie art. 6 ust. 1 lit. f RODO, w zw. z art. 118 K.c. - w celu dochodzenia roszczeń; nie wskazał ponadto innych celów i podstaw prawnych przetwarzania danych osobowych Wnioskodawcy,

- w myśl art. 6 ust. 1 lit. f RODO, przetwarzanie danych jest zgodne z prawem, gdy jest niezbędne do celów wynikających z prawnie uzasadnionych interesów realizowanych przez administratora lub przez stronę trzecią - z wyjątkiem sytuacji, gdy nadrzędny charakter wobec tych interesów mają interesy lub podstawowe prawa i wolności osoby, której dane dotyczą; jak stanowi natomiast art. 118 K.c., jeżeli przepis szczególny nie stanowi inaczej, termin przedawnienia wynosi sześć lat, a dla roszczeń o świadczenia okresowe oraz roszczeń związanych z prowadzeniem działalności gospodarczej - trzy lata,

- odnośnie wskazanego przez Bank celu przetwarzania danych osobowych Wnioskodawcy, dotyczącego dochodzenia roszczeń, zebrany w niniejszym postępowaniu materiał dowodowy nie wykazał, aby Bank wystąpił doń z jakimkolwiek roszczeniem, bądź też, aby ten skierował roszczenie wobec Banku - co uzasadniałyby uprawnienie Banku do zachowania i przetwarzania danych osobowych dla celów dowodowych; przesłanka z art. 6 ust. 1 lit. f RODO dotyczy sytuacji już istniejącej, w której celem - wynikającym z prawnie uzasadnionych realizowanych przez administratora interesów - jest konieczność udowodnienia, potrzeba dochodzenia lub obrony przed roszczeniem istniejącym; nie obejmuje to zaś przypadków, gdy dane są przetwarzane w celu zabezpieczenia się przed ewentualnym roszczeniem; organ podzielił stanowisko Wojewódzkiego Sądu Administracyjnego w Warszawie sformułowane w uzasadnieniu wyroku z 1 grudnia 2010 r. (sygn. akt II SA/Wa 1212/10 - dostępny na stronie internetowej orzeczenia.nsa.gov.pl/cbo/query - w Centralnej Bazie Orzeczeń Sądów Administracyjnych, zwanej dalej "CBOSA") - odnoszące się do analogicznej wobec art. 6 ust. 1 lit. f RODO przesłanki wynikającej z art. 23 ust. 1 pkt 5 ustawy o ochronie danych osobowych z 1997 roku; przy przyjęciu odmiennej interpretacji przedmiotowych przepisów, Wnioskodawcę pozbawionoby ochrony na gruncie RODO (analogicznie ustawy o ochronie danych osobowych z 1997 roku); przyjęcie bowiem za prawidłowe stanowiska, jakoby przetwarzanie danych osobowych w celu uchylenia się od negatywnych skutków w przypadku zgłoszenia w przyszłości ewentualnego i nieokreślonego roszczenia, bądź też w celu dochodzenia w przyszłości ewentualnego i nieokreślonego roszczenia, stanowi prawnie usprawiedliwiony cel w rozumieniu art. 6 ust. 1 lit. f RODO oznaczałoby, że dane osobowe Wnioskodawcy mogą być przetwarzane przez Bank permanentnie - bez konieczności ich usunięcia; teoretycznie jest przecież możliwe aby ten zwrócił się do Banku, bądź też Bank zwrócił się do niego z roszczeniem po upływie terminu przedawnienia; prowadziłoby to do uznania, że przetwarzanie danych osobowych ma uzasadnienie w przesłance określonej art. 6 ust. 1 lit. f RODO we wskazanym wyżej celu również po upływie wskazanego terminu,

- nie ma uzasadnienia dla przyjęcia, że terminy - dotyczące przedawnienia roszczeń, wynikających ze stosunków zobowiązaniowych - określają jednocześnie ramy czasowe, w których dane osobowe mogą być przetwarzane przez Bank; przedawnienie roszczenia nie wywołuje skutków na gruncie ochrony danych osobowych - nie wpływa bowiem na fakt istnienia roszczenia, a powoduje jedynie zmianę w sferze zarzutów procesowych (w postaci możliwości podniesienia okoliczności przedawnienia w sporze sądowym); okolicznością, usprawiedliwiającą przetwarzanie danych osobowych w celu dochodzenia roszczeń, jest sam fakt istnienia roszczenia oraz zamiar jego dochodzenia; nie jest nią natomiast zmiana w uprawnieniach procesowych podmiotu pozwanego,

- nie było w niniejszej sprawie podstawy prawnej legalizującej przetwarzanie danych osobowych Wnioskodawcy przez Bank, w celu dochodzenia roszczeń; jak wynika z materiału dowodowego, Bank nie zgłosił bowiem wobec Wnioskodawcy takich roszczeń - poza jedynym, które sam Bank uznał za bezpodstawne (w wyniku tego anulowano niesłusznie naliczoną opłatę),

- dalej sformułowano stanowisko odnośnie bezzasadności skargi Wnioskodawcy, co do braku realizacji przez Bank obowiązku informacyjnego,

- reasumując wskazano, że prowadzone postępowanie administracyjne służy zbadaniu zasadności skierowania pod adresem określonego podmiotu nakazu, odpowiadającego dyspozycji art. 58 ust. 2 RODO, służącego przywróceniu stanu zgodnego z prawem w procesie przetwarzania danych; zgromadzony materiał dowodowy potwierdził, że Bank przetwarzał dane osobowe Wnioskodawcy bez podstawy prawnej, z naruszeniem art. 6 ust. 1 RODO w celu realizacji umowy Kredytu, po dacie jej wygaśnięcia, ponadto w celu dochodzenia nienależnego roszczenia (od [...] marca do [...] czerwca 2019 r.,) a także w zakresie dotyczącym Kredytu w Biurze (od [...] marca do [...] lipca 2019 r.); wobec stwierdzonych naruszeń przepisów o ochronie danych osobowych, które nie są wprawdzie kontynuowane, miały jednakże miejsce w okresie stosowania przepisów RODO, udzielono Bankowi upomnień - korzystając z uprawnienia określonego w art. 58 ust. 2 lit. b RODO; w zakresie natomiast obecnego procesu przetwarzania danych osobowych Wnioskodawcy - wobec stwierdzenia, że Bank nie legitymuje się podstawą prawną legalizującą - korzystając z uprawnienia przewidzianego w art. 58 ust. 2 lit. g RODO, nakazano usunięcie danych osobowych Wnioskodawcy; wobec niestwierdzenia nieprawidłowości w zakresie działania Banku w związku z żądaniem Wnioskodawcy, dotyczącym spełnienia określonego w art. 15 RODO obowiązku informacyjnego, odmówiono natomiast uwzględnienia wniosku w tym zakresie.

Przedmiotem zaskarżenia przez Bank była decyzja w pkt. 1-3. W skardze strona, reprezentowana przez pełnomocnika – adwokata, zarzuciła naruszenie przepisów:

- postępowania:

- art. 107 § 1 i § 3 ustawy z dnia 14 czerwca 1960 r. - Kodeks postępowania administracyjnego (Dz. U. z 2020 r., poz. 256) zwanej dalej K.p.a., polegające na tym, że uzasadnienie skarżonej decyzji jest sprzeczne z jej rozstrzygnięciem, zaś samo rozstrzygnięcie jest wewnętrznie sprzeczne, a ponadto niejasne i niezrozumiałe;

- art. 8 K.p.a., polegające na odstąpieniu przez organ - bez uzasadnionej przyczyny - od utrwalonej praktyki rozstrzygania spraw, w takim samym stanie faktycznym i prawnym; narusza to z kolei zasadę pogłębiania zaufania obywateli do władzy publicznej,

- prawa materialnego:

- art. 6 ust. 1 lit. f RODO, w zw. z art. 117 § 2 i 21, art. 118 i 119 K.c., polegające na jego niewłaściwym zastosowaniu i przyjęciu, jakoby przechowywanie danych przez okres przedawnienia roszczeń - również, gdy ani administrator ani osoba, której dane dotyczą nie zgłosiła jeszcze roszczenia, nie stanowi prawnie uzasadnionego interesu Banku, w rozumieniu art. 6 ust. 1 lit. f RODO; przepisy te uprawniają tymczasem Bank do przetwarzania danych osobowych w celu ustalenia, dochodzenia i ochrony przed roszczeniami;

- art. 58 ust. 2 lit. b w zw. z art. 6 ust. 1 RODO, polegające na jego niewłaściwym zastosowaniu; przyjęto, że Bank dopuścił się naruszenia przepisów RODO, które uzasadniałoby udzielenie upomnienia; legitymował się on tymczasem podstawami prawnymi do:

przetwarzania danych osobowych Wnioskodawcy, odnoszących się do Kredytu,

przekazania danych osobowych Wnioskodawcy do Biura w zakresie dotyczącym Kredytu, a jednocześnie nie ma podstaw prawnych do usunięcia danych z Biura;

- art. 6 ust. 1 lit. c RODO w związku z:

art. 5 ust. 1, art. 6 i. 9 ustawy z dnia 5 sierpnia 2015 r. o rozpatrywaniu reklamacji przez podmioty rynku finansowego i o Rzeczniku Finansowym (Dz.U. z 2019 r., poz. 2279, zwanej dalej: "ustawą o reklamacji", polegające na jego niewłaściwym zastosowaniu i przyjęciu, że na Banku - jako podmiocie rynku finansowego - nie spoczywają określone obowiązki w zakresie rozpatrywania i udzielania odpowiedzi na reklamacje klientów - bez ograniczeń czasowych; uprawnia to Bank do przetwarzania danych osobowych na podstawie art. 6 ust. 1 lit. c RODO w celu realizacji tych obowiązków,

art. 33, 34 i 49 ustawy z dnia 1 marca 2018 r. o przeciwdziałaniu praniu pieniędzy oraz finansowaniu terroryzmu (Dz. U. z 2020 r., poz. 971) zwanej dalej: "ustawą AML", polegające na jego niewłaściwym zastosowaniu i przyjęciu, że Bank nie legitymuje się przesłanką przetwarzania danych; przepisy te nakładają tymczasem na Bank obowiązek przetwarzania danych osobowych przez 5 lat, licząc od pierwszego dnia roku następującego po roku, w którym zakończono stosunki gospodarcze z klientem - dla celów przeciwdziałania praniu pieniędzy,

art. 74 ust. 2 pkt 1 i 8 ustawy z dnia 29 września 1994 r. o rachunkowości (Dz.U. z 2021 r., poz. 217), polegające na jego niewłaściwym zastosowaniu i przyjęciu, że Bank nie legitymuje się przesłanką przetwarzania danych wynikającą ze wskazanej regulacji; przepisy te nakładają tymczasem na Bank obowiązek przetwarzania danych osobowych przez 5 lat dla celów rachunkowych,

Rekomendacjami S, W i T Komisji Nadzoru Finansowego (dalej jako "KNF"), polegające na jego niewłaściwym zastosowaniu i przyjęciu, że Bank nie legitymuje się przesłanką przetwarzania danych; przepisy te nakładają tymczasem na banki określone wymagania - w związku z budową modeli statystycznych (w tym scoringowych), które następnie są egzekwowane przez KNF, na podstawie bezwzględnie obowiązujących regulacji,

art. 144 ust. 1 lit. d, art. 145 ust. 1, art. 170 ust. 3 lit a, art. 171 ust. 2 i art. 179 ust 1 lit. a CPR, polegające na jego niestosowaniu i przyjęciu, że Bank nie legitymuje się przesłanką przetwarzania danych, wynikającą w związku z powyższymi przepisami, wskazującymi na określone obowiązki w zakresie wymogów ostrożnościowych.

Wniesiono o uchylenie zaskarżonej decyzji w pkt 1-3, zasądzenie zwrotu kosztów postępowania sądowego oraz dopuszczenia dowodów z 4 dołączonych do skargi, decyzji organu właściwego w sprawie ochrony danych osobowych - wydane: [...] maja 2014 r., [...] marca 2019 r. [...] czerwca 2020 r. oraz z września 2020 roku (bez oznaczenia dnia).

W uzasadnieniu skargi rozwinięto powyższe zarzuty. Wskazano m.in.:

- rozstrzygnięcie zawarte w pkt 1 decyzji jest sprzeczne z jej uzasadnieniem oraz niezrozumiałe; udzielono Bankowi upomnienia za naruszenie art. 6 ust. 1 RODO polegające na przetwarzaniu danych Wnioskodawcy w celu realizacji umowy Kredytu - po wygaśnięciu tej umowy, oraz w celu dochodzenia nienależnego roszczenia; nakazano również usunięcie danych Wnioskodawcy (pkt 3 decyzji),

- Bank miał tymczasem prawo i obowiązek dalszego przetwarzania danych Wnioskodawcy, w związku z umowami, które łączyły go z Bankiem w przeszłości (szerzej omawiano to w dalszej części skargi); jeśli - w pkt 1 i 2 decyzji - organ miał na uwadze przetwarzanie danych, wynikających z błędu Banku, należało inaczej sformułować zapisy; udzielając mianowicie upomnienia wyłącznie za przetwarzanie nieprawidłowych danych - związanych z umową Kredytu; przeczy temu jednak treść pkt 3 decyzji, gdzie nakazano usunięcie danych, nie precyzując jednak których - w jakich celach przetwarzanych - dotyczy ten nakaz,

- art. 6 ust. 1 RODO zawiera sześć odrębnych i autonomicznych podstaw prawnych przetwarzania danych osobowych; organ stwierdził naruszenie art. 6 ust. 1 RODO, bez wyszczególnienia żadnej z wymienionych powyżej przesłanek; oznaczałoby to, że Bank nie jest w ogóle uprawniony do przetwarzania danych Wnioskodawcy; takie rozumienie sentencji decyzji jest oczywiście sprzeczne z jej uzasadnieniem; na str. 7 uzasadnienia przyznano, że Bank ma prawo przetwarzać dane osobowe klientów bez ich zgody - po wygaśnięciu zobowiązania na podstawie art. 105a ust. 4 i 5 ustawy - Prawo bankowe; uznano, że Bank legitymuje się w związku z powyższym odpowiednimi przesłankami, o których mowa w art. 6 ust. 1 RODO; nie może być zatem mowy o naruszeniu art. 6 ust. 1 RODO; w tym kontekście niezrozumiały jest nakaz usunięcia danych Wnioskodawcy,

- użyte w pkt. 1 sentencji sformułowanie niczego nie wyjaśnia; gdyby organ kwestionował możliwość przetwarzania danych w związku z umową (powołując się na fakt jej wypowiedzenia przez klienta), sentencja powinna była wskazywać na wadliwe zastosowanie konkretnej przesłanki - w tym przypadku art. 6 ust. 1 lit. b RODO, a nie całego art. 6 ust. 1 tego aktu; dodatkowo zawarto w uzasadnieniu obszerny wątek, dotyczący przechowywania danych po zakończeniu umowy przez okres przedawnienia roszczeń; w swojej dotychczasowej praktyce organ kwalifikował przetwarzanie danych osobowych przez okres przedawnienia roszczeń, jako prawnie uzasadniony interes administratora - jako przesłankę z art. 6 ust. 1 lit. f RODO; w decyzji, organ to (własne) podejście kwestionuje - jest to przedmiotem zarzutu dotyczącego naruszenia art. 8 K.p.a.; wątek ten jest nadal rozwijany w kontekście przesłanki, określonej w art. 6 ust. 1 lit. f RODO; byłoby to zbędne, gdyby rozstrzygnięcie dotyczyło jedynie przesłanki realizacji umowy (art. 6 ust. 1 lit. b RODO); fragment uzasadnienia dotyczący okresu przedawnienia roszczeń sugeruje więc, że w sentencji organ miał na uwadze naruszenie całego art. 6 ust. 1 RODO,

- nakazując w decyzji usunięcie danych osobowych Wnioskodawcy nie określono jednocześnie, jakich danych nakaz ten w rzeczywistości dotyczy; biorąc pod uwagę podstawy i cele przetwarzania danych klientów przez Bank, w tym wynikające z przepisów prawa powszechnie obowiązującego, rozstrzygnięcie to budzi uzasadnione wątpliwości interpretacyjne; organ nie wskazał bowiem, które kategorie danych i powiązane z nimi cele przetwarzania nakaz ten obejmuje,

- dodatkowo organ nieprawidłowo określił w osnowie decyzji stronę postępowania, występującą w roli skarżącego w ramach prowadzonego postępowania administracyjnego; zarówno upomnienia zawarte w pkt 1 i 2 skarżonej decyzji, jak i nakaz usunięcia danych (pkt 3) dotyczą danych osobowych "Pana L.M. "; stroną postępowania był tymczasem "Pan L.M."; błąd ten jest istotny, nie tylko z uwagi na jego wielokrotne występowanie w decyzji, ale również z uwagi na to, że dotyczy wszystkich rozstrzygnięć w ramach decyzji,

- istnieje zatem oczywista sprzeczność pomiędzy rozstrzygnięciem a uzasadnieniem, jak również wewnętrzna sprzeczność w obrębie samej sentencji; stanowi to przeszkodę w jej realizacji przez Bank; sprzeczności tych i wątpliwości nie da się usunąć w trybie wyjaśnienia treści decyzji – musiałoby to prowadzić do zmiany jej treści,

- reasumując, wskazana wcześniej sprzeczność prowadzi do uzasadnionych wątpliwości, za co nałożono na Bank upomnienie; czy chodzi o brak jakiejkolwiek podstawy prawnej (czemu przeczy uzasadnienie we fragmentach wskazujących na podstawy prawne określone art. 6 ust. 1 RODO w zw. z art. 105a ust. 4 i 5 ustawy - Prawo bankowe) czy też o naruszenie wyłącznie art. 6 ust. 1 lit. b RODO - przeczy temu z kolei fragment uzasadnienia, dotyczący przetwarzania danych przez okres przedawnienia roszczeń; niejasnym jest również, których danych dotyczy nakaz usunięcia; nie jest zatem zrozumiała sama sentencja, a uzasadnienie nie wyjaśnia powyższych wątpliwości.

W dalszej części skargi podnoszono, że wydane orzeczenie - w kontekście oceny, jakoby nie było podstaw prawnych dla przechowywania danych osobowych klientów, z którymi Bank nie jest już związany umowami - jest sprzeczne z dotychczasowym stanowiskiem organu. Nie zachodzą zaś przesłanki dla jego zmiany. Wskazano, że powołany wyrok o sygn. akt II SA/Wa 1212/10 uchylił sąd II. instancji z przyczyn formalnych, nie odnosząc się do cytowanych przez organ rozważań z uzasadnienia orzeczenia – tak: wyrok Naczelnego Sądu Administracyjnego z 15 lipca 2011 r. (sygn. akt. I OSK 238/11). W wyniku ponownego rozpatrzenia sprawy, sąd I. instancji - wyrokiem z 19 grudnia 2011 r. (sygn. akt II SA/Wa 2209/11) - oddalił skargę.

Przedstawiono szeroką argumentację przemawiające za tezą, że przechowywanie danych osobowych przez Bank uzasadniają cele gospodarcze - w okresie, gdy jest możliwe realnie dochodzenie roszczeń przez obie strony umowy. Odmienne rozumienie regulacji RODO prowadziłoby do zniweczenie ich praw, wynikających z powszechnie obowiązującego prawa - przepisów K.c. Wskazano też, że obowiązek przetwarzania danych osobowych klientów - po rozwiązaniu umowy - wynika z szeregu powołanych w zarzutach skargi przepisów prawa administracyjnego. Nie uwzględnił ich organ administracji, o ile intencją wydania decyzji w punkcie 3 było nakazanie usunięcia wszelkich danych osobowych Wnioskodawcy. Dotyczy to zarówno samego Banku jak i jego klientów, którzy ze stosownymi roszczeniami mogą występować jeszcze po rozwiązaniu umowy.

W odpowiedzi na skargę oraz w kolejnym piśmie (k 124-131) organ wniósł o jej oddalenie, podtrzymując dotychczasowe stanowisko. Zwracał uwagę, że oczywistą omyłkę - dotyczącą nazwiska Wnioskodawcy w sentencji decyzji - sprostowano stosownym postanowieniem. Zauważono, że jej popełnienie nie stanowiło przeszkody dla prawidłowej realizacji decyzji, skoro dla wnoszącego skargę Banku oczywistym było danych, którego z jego klientów osobowych, dotyczy orzeczenie. Zdaniem organu, treść rozstrzygnięcia jest jednoznaczna - w szczególności w pkt 3, gdzie nakazano usunięcia wszelkich danych osobowych Wnioskodawcy z zasobów administratora (Banku). Wskazano, że powoływane w skardze przez Bank poprzednie rozstrzygnięcia, nie dotyczyły analogiczny stanów faktycznych, oraz zapadały w innym stanie prawnym (pod rządami ustawy o ochronie danych osobowych z 1997 roku), prezentowane zaś aktualnie przez organ stanowisko znajduje potwierdzenie w orzecznictwie Naczelnego Sądu Administracyjnego. Wyrażono tam pogląd o braku przesłanek gromadzenie danych osobowych w obrocie gospodarczym niejako na zapas - gdy nie wykazano istnienia, czy wręcz dochodzenia konkretnych roszczeń. Odnosząc się do zarzutu pominięcie szeregu regulacji normatywnych - z których Bank wywodził obowiązek przetwarzania danych osobowych Wnioskodawcy, po rozwiązanie umowy – stwierdzono, że - wobec reguły powinności wykazywania potrzeby przetwarzania danych przez samego administratora (zasada rozliczalności w myśl art. 5 ust. 2 RODO), organ nie musiał ich mieć na uwadze, Nie powołał ich bowiem sam Bank, pomimo że mógł on zajmować stanowisko w toku postępowania i to czynił.

W odpowiedzi na stanowiska organu, Bank - w kolejnych pismach (k. 93-100, 161,167) - wywodził, że powoływane przez organ poglądy judykatury były sformułowane w innych stanach faktycznych - gdy dany podmiot gromadził dane osobowe, potencjalnych klientów, nie dochodziło zaś do zawarcia umowy. Równocześnie uprzednio prezentowane stanowisko organu, dotyczyło spraw tożsamych w istotnych elementach stanu faktycznego, W części wyrażano je wprawdzie na gruncie uprzednio obowiązujących regulacji. Miały one jednak analogiczną treść.

Podnoszono również, że obowiązujące ramy prawne, nie stanowią elementu stanu faktycznego, który ustala się na podstawie twierdzenie stron. Powinny być zaś brane pod uwagę z urzędu przez wyspecjalizowany w sprawach ochrony danych osobowych organ administracji. Wskazywano, że w istocie ewentualne roszczenia nie wygasają wobec nastąpienia przedawnienia, Jednak - uwzględniając możliwość powołania się na zarzut w tym zakresie - gospodarczo nie byłoby zasadne dalsze przytrzymywanie danych osobowych wcześniejszych klientów. Nikt nie jest zainteresowany gromadzeniem takich danych. Odnotowano, że rozpoznawana sprawa - spór czy możliwe jest gromadzenie danych osobowych klientów, po wygaśnięciu umowy, do czasu przedawnienia ewentualnych roszczeń - ma istotne znaczenie dla obrotu gospodarczego. Tegą praktykę stosują bowiem aktualnie powszechnie przedsiębiorcy.

W trakcie rozprawy (k. 178) Sąd postanowił dopuści dowód z decyzji załączonych do skargi. Pełnomocnik Banku popierał zaś skargę oraz wnioski i argumenty w niej zawarte. Przywołał wyroki, które zapadły w analogicznych jego zdaniem sprawach - o sygn. akt: II SA/Wa 474/21, 506/21 oraz 868/21. Podnosił, że kompleks regulacji, stanowiących podstawę przetwarzania danych osobowych klientów po wygaśnięciu umów, był znany z urzędu organowi od 2018 roku. Zagadnienie to było wówczas przedmiotem konsultacji grupy roboczej, złożonej z przedstawicieli banków i Urzędu Ochrony Danych Osobowych. Zwracał uwagę, że w kwestii tak wrażliwej dla interesów przedsiębiorcy należało zwrócić się o konsultację do KNF, jako instytucji wyspecjalizowanej.

Uczestnik postępowania wnosił o oddalenie skargi. Wskazywał, że w postępowaniu Banku wobec niego miało miejsce wiele nieprawidłowości i - w wyniku tego - jego dane przetwarzało też Biuro. Pozostały tam, zaś Bank wywodzi, że nie ma na to wpływu. Bank zaprzestał przetwarzania danych osobowych Wnioskodawcy dopiero w wyniku interwencji organu.

Pełnomocnik Banku wyjaśniał, że - w przypadku bezpodstawnego wpisania klienta do baz Biura - Bank występuje o sprostowanie wpisu. Tak było też w danym przypadku.

Uczestnik postępowania ripostował, że - według informacji zawartych obecnie w bazach Biura - adnotację o niespłaconym kredycie zmieniono na "kredyt spłacony".

Sąd zważył, co następuje.

Przedmiotem rozważań Sądu była legalność kwestionowanej decyzji, gdy chodzi o rozstrzygnięcia zamieszczone w jej pkt 1-3. W pozostałym zakresie skutecznie jej bowiem nie zaskarżono.

Skarga zasługuje na uwzględnienie, gdyż zaskarżoną decyzję wydano z naruszeniem przepisów prawa materialnego, zakreślających możliwość przetwarzania danych osobowych wobec prawnie uzasadnionych interesów administratora (Banku), oraz regulacji statuujących właściwość organu, wyspecjalizowanego w sprawach ochrony danych osobowych – w kontekście stosowania przezeń przepisów sankcyjnych. W pewnym zakresie, sprawy też prawidłowo nie wyjaśniono, co stanowi o naruszeniu stosownych przepisów postępowanie. Ocena orzeczenia w tym zakresie wymaga jednak wpierw prawidłowego ustalenia ram prawnych sprawy - reguł materialnoprawnych.

Zaskarżone orzeczenie wymaga zbadania legalności w dwu podstawowych aspektach - mianowicie wystąpienia przesłanek:

- nałożenia na Bank sankcji - tak udzielenie upomnienia (pkt 1-2 decyzji),

- zastosowania przez organ uprawnień naprawczych - tak: nakaz usunięcia przez Bank wszelkich danych Wnioskodawcy (pkt 3 decyzji).

W realiach rozpatrywanej sprawy zasadne jest odniesienie się w pierwszej kolejności do kwestii nałożenia nakazu usunięcia wszelkich danych Wnioskodawcy, z zasobów Banku.

Na wstępie trzeba odnotować, że w danym kontekście nie są trafne zarzuty Banku dotyczące naruszenie przepisów postępowania, co do obowiązku właściwego wyjaśnienia sprawy w jej uwarunkowaniach faktycznych jak i sformułowania orzeczenia w sposób zrozumiały. Wbrew wywodom skargi (potem podtrzymywanym w kolejnych pismach), w kontekście osnowy decyzji jak i jej uzasadnienia rozstrzygnięcie jest zrozumiałe - jednoznaczne. Wynika zeń obowiązek usunięcia przez Bank wszelkich danych Wnioskodawcy. Przy tym w uzasadnieniu wywodzono, że – zdaniem organu - nie ma podstaw dla dalszego ich przetwarzania, wobec wygaśnięcia umowy łączący obie strony. W takiej sytuacji podnoszone przez Bank wątpliwości, czy faktycznie chodzi o usunięcie wszelkich danych osobowych Wnioskodawcy, w kontekście uprzedniej praktyki orzeczniczej organu, mogła stanowić - co najwyżej - podstawę wystąpienia ze stosownym wnioskiem w granicach przewidzianych w K.p.a. - żądanie wyjaśnienia treści decyzji bądź sprostowanie oczywistego błędu. Istotnego znaczenia nie mogło mieć też popełnienie oczywistej omyłki przy powoływaniu nazwiska Wnioskodawcy w osnowie, co zresztą później sprostowano. Trafnie bowiem zauważa organ, że wnosząc skargę Bank nie miał wątpliwości czyich danych dotyczy nałożony nań obowiązek.

Bezsporne są też okoliczności faktyczne sprawy - w zakresie, gdzie Bank przyznał, że - dla pewnych celów - dane Wnioskodawcy były używane wyłącznie w następstwie błędu Banku (jego pracownika), zaś na dzień orzekania nie wiąże go z Wnioskodawcą żadna umowa (te, na prowadzenie rachunku osobistego i Kredytu rozwiązano). Wobec szczegółowego zreferowania uzasadnienia orzeczenia organu, gdzie stosowne fakty przywołano, ponowne ich powtarzanie byłoby zbędne.

W tak zarysowanym, bezspornym stanie faktycznym organ mylnie jednak skonstatował, jakoby w ogóle nie było podstaw dla dalszego przetwarzania danych osobowych Wnioskodawcy - wobec uprzedniego rozwiązania umowy i braku aktualnie sporów, co do zobowiązań stron. Trafnie wprawdzie w uzasadnieniu zreferowano ogólne ramy prawne przetwarzania danych osobowych wynikające w RODO. Wobec wcześniejszego przytoczenia, nie ma potrzeby ich powtarzania.

Zasadnie jednak Bank powoływał się na treść art. 6 ust. 1 lit. f RODO. Jako legalną podstawę wskazano tam na przetwarzanie danych, gdy jest to niezbędne dla celów, wynikających z prawnie uzasadnionych interesów, realizowanych przez administratora. Trafnie zauważa też strona skarżąca, że nie zachodzą w sprawie okoliczności wyłączające, przewidziane w danym przepisie in fine - nadrzędny charakter interesów osoby, której dotyczą dane, nad interesem administratora. Skutki prawne przywołanej regulacji - ustanowionej na szczeblu instytucje Unii Europejskich - należy oceniać na gruncie porządku prawnego określonego kraju członkowskiego - w kontekście zakreślenia tam ram prawnie uzasadnionego interesu. Zasadnie zauważył Bank, że wywodzić go można m.in., z przepisów prawa krajowego, dotyczących przedawnienia roszczeń z tytułu umów wiążących strony - stosownych (powoływanych przez obie strony) przepisów K.c. Trafnie wywiódł Bank, że z ich treści wynika generalnie prawo skutecznego dochodzenia roszczeń przez obie strony umów, przez określony czas (brak możliwość powołania się przez zobowiązanego na przedawnienie roszczeń). Jak słusznie wywodzi Bank, nie osób przyjąć, aby powoływany przez organ art. 105a ustawy - Prawo bankowe, gdzie wymieniono szereg szczegółowych przypadków przetwarzania danych osobowych klientów banków i innych instytucji finansowych miał być rozumiany jako lex specialis - przepis:

- wyłączający uprawnienia wynikające z ogólnych reguł K.c., w kwestii przedawnienia roszczeń bądź

- je modyfikujący.

Intencji takiej nie sposób przypisać racjonalnemu prawodawcy na gruncie reguły ogólnej, wyrażonej powołanym wcześniej przepisem RODO, w kontekście ewentualnego realnego i drastycznego ograniczenia praw obu stron umów dochodzeniu potencjalnych roszczeń. Trafnie zauważa Bank, że uznanie, jakoby - po rozwiązaniu umowy - obowiązkiem przedsiębiorcy było usunięcie danych kontrahenta, wyłączałoby w istocie jego prawa realizacji potencjalnych roszczeń jeszcze przed jego przedawnieniem. Mogłoby też prowadzić do istotnego ograniczenia praw jego klientów – np. wobec braku stosownej dokumentacji po stronie wyspecjalizowanego podmiotu rynku finansowego. Inaczej mówiąc, prezentowane przez organ rozumienie przepisów, dotyczących ram przetwarzania danych osobowych klientów banków, po wygaśnięciu umów, pozbawiałby obie strony praw, wynikających wprost z generalnych reguł prawa materialnego - K.c. Miałoby to znaczny wpływ na realia obrotu gospodarczego. Intencji wprowadzenia tak głębokiej modyfikacji w relacje umowne - w kontekście sektora bankowego - nie sposób przypisać prawodawcy - w kontekście aktualnego brzmienia regulacji w danym zakresie. Musiałby ją wyrazić wprost.

Obowiązku usunięcia danych klientów przez banki, po wygaśnięciu łączących strony umów -- zaś przed terminem przedawnienia, wynikających stąd potencjalnych roszczeń między stronami - nie sposób też wywieść z instytucji tzw. "prawa do bycia zapomnianym", w rozumieniu art.17 RODO. W danym przypadku znalazłoby bowiem zastosowanie wyłączenie, określone w ust. 3 lit. e danego artykułu - to dane przydatne dla ewentualnego ustalenia roszczeń bądź ich dochodzenia lub obrony.

W tej sytuacji tylko na marginesie trzeba odnotować, że - wobec treści uzasadnienie zaskarżonego aktu - organ nie wypowiedział się w ogóle, czy prezentowany przezeń sposób rozumienia reguł przetwarzanie danych osobowych po wygaśnięciu umowy pozostaje w zgodzie z brzmieniem art. 105a ust. 4-7 ustawy - Prawo bankowe. Odnotował wprawdzie istnienie jednostki redakcyjnej art. 105a ust. 4, lecz nie wskazywał, jakie ma ona znaczenie w rozpoznawanej sprawie. Uchybienie to pozostaje jednak bez znaczenia, gdyż - co wykazano poprzednio - uprawnienie do przechowywania danych osobowych klientów banków po rozwiązaniu umowy wynika wprost ze stosownych reguł K.c.

W tym kontekście bez znaczenia jest również, czy zasadne są zarzuty naruszenia szeregu innych - powołanych w skardze - regulacji prawa materialnego (tu administracyjnego) – jak ustawa o reklamacji, ustawa AML, ustawa o rachunkowości, CPR - wobec treści art. 6 ust. 1 lit. c RODO, jako odrębnej, podstawy legalizującej przetwarzanie danych osobowych Wnioskodawcy. Bank również z nich wychodzi uprawnienie - wręcz powinność przetwarzanie danych osobowych dawnego klienta (kwestie rozpoznawania reklamacji, obsługi instrumentów ostrożnościowych itp.). Zasadnie wskazuje się też w skardze, że organ winien był mieć na względzie także te reguły, gdy nakazywał usunięcie wszelkich danych osobowych, niezależnie od ich przywołania przez Bank. Wprawdzie słuszność ma organ gdy wywodzi, że to generalnie administrator danych osobowych winien wskazywać, w jakim celu realizuje konkretną operację przetwarzania – tak zasada rozliczalności w rozumieniu art. 5 ust. 2 RODO. Regułę tą odnosić należy jednakże do pojedynczych operacji przetwarzania - w kontekście szeregu równoległych procesów gromadzenia informacji o osobach, w bardziej złożonych bazach. Na co trafnie zwraca uwagę Bank, konkretny administrator - pozostając w związkach gospodarczych z określoną osobą - może bowiem przetwarzać jej dane w szeregu zbiorów dla różnych celów - np. obsługi poszczególnych produktów, różnych rodzajów archiwizacji itp. zresztą w praktyce to czyni. Przetwarzanie to powinno być jednakże ograniczone wyłącznie niezbędnymi potrzebami danego administratora, zaś ten winien potrafić je wskazać. Niepodobna wszak by powinnością dokonywania ustaleń z urzędu w danym zakresie obciążać wyspecjalizowany organ kontrolny, finansowany z danin publicznych. Inaczej ma się jednak rzecz, gdy chodzi o usunięcie wszelkich danych osobowych konkretnego klienta banku. W takim przypadku orzekający w sprawie organ administracji musi uwzględnić wszelkie regulacje normatywne, z których treści wynika obowiązek przechowywanie (a więc przetwarzania) danych do konkretnych celów – to należy do określenia ram prawnych sprawy i następuje z urzędu. O ile specyfika sprawy jest szczególna (np. występuje znaczny kompleks regulacji branżowych), może być zasadne zasięgnięcie wpierw opinii organu, wyspecjalizowanego w kwestiach funkcjonowanie instytucji finansowych np. KNF - zauważono to trafnie w trakcie rozprawy.

W kontekście danej sprawy, gdzie nakazano Bankowi usunięcie wszelkich danych osobowych Wnioskodawcy, wyjaśnienie wskazanych kwestii nie miało akurat istotnego znaczenia. Wbrew stanowisku organu, na dzień orzekania istniały w sprawie przesłanki dalszego przetwarzania danych Wnioskodawcy - dla celu ewentualnej realizacji przyszłych nieprzedawnionych jeszcze roszczeń. Rozwiązanie umowy nastąpiło bowiem [...] lutego 2019 r. zaś w sprawie orzekano 9 lutego 2021 r. Nie upłynął więc termin określony art. 118 K.c. Orzeczenie o obowiązku usunięcia wszelkich danych osobowych Wnioskodawcy było więc wadliwe. Skoro istniały podstawy przetwarzania danych nie było przesłanek dla nałożenia obowiązku ich usunięcia, w myśl art. 58 ust. 1 lit. g RODO. Bezzasadnie zastosowano daną regulację, wobec błędnej wykładni art. 6 ust. 1 lit. f RODO w zw. z art. 118 K.c.

Trafnie wprawdzie zauważa organ, że przedawnienie roszczeń, nie wyklucza całkowicie możliwości dochodzenia dawnych zobowiązań. Przedmiotem rozważań w danej sprawie jest jednakże zasadność przetwarzania danych osobowych przed terminem ich przedawnienia - gdy istnieje realna możliwość zaspokojenia potencjalnych roszczeń obu stron. Jedynie na marginesie zauważyć wypada, że - jak twierdzi Bank - przechowywanie danych klientów, gdy realnie nie można już oczekiwać roszczeń z ich strony bądź możliwości zaspokojenia ich zobowiązań na rzecz Banku - niezidentyfikowanych przed terminem przedawnienia - nie znajduje racjonalnego, gospodarczego uzasadnienia. Może to wyczerpywać przesłanki, wyłączające możliwość przetwarzania danych, określone w art. 6 ust. 1 lit. f. in fine RODO. Nie ma to jednak znaczenia w danej sprawie.

W tym świetle nie ma kluczowego znaczenia dla rozstrzygnięcia w przedmiotowej sprawie, sporna między stronami kwestia, czy uprzednia praktyka orzecznicza wyspecjalizowanego organu była odmienna, choć Sąd zapoznał się z załączonymi orzeczeniami (dopuszczono dowód). O ile bowiem zmiana linii orzeczniczej organu wynikałoby, z uwzględnienia nowej, prawidłowej wykładni regulacji normatywnych, modyfikacja jego stanowiska byłaby dopuszczalna a nawet niezbędna. Powinność zachowania określonej praktyki rozpatrywania spraw należy odnosić generalnie do tych, o charakterze uznaniowym - nie należy do nich rozpoznawana.

Odnosząc się z kolei do powoływanych przez obie strony stanowisk judykatury, trzeba odnotować, że w istocie w orzecznictwie sądów administracyjnych wyrażany jest generalnie trafny pogląd, co do braku podstaw dla przetwarzania danych osobowych niejako na zapas - wobec wyłącznie zupełnie hipotetycznej możliwości powstania roszczeń. Trafnie zauważa jednak Bank, że wyrażano go zwykle na gruncie odmiennych stanów faktycznych - gdzie między stronami nie dochodziło w ogóle do zawarcia umów (tak np. wyroki NSA o sygn. akt II OSK 1459/16 i 994/17 i oraz WSA o sygn. akt II SA/Wa 1982/20 - dostępne w CBOSA). Wobec takich uwarunkowań, uzasadniona była konstatacja Sądów, że - z racjonalnych względów - powstanie jakichkolwiek roszczeń nie należało oczekiwać, co w istocie determinuje bezpodstawność gromadzenia danych osobowych, dla tych celów, gdy chodzi o przesłankę z art. 6 ust. 1 lit. f RODO.

Odmienna sytuacja ma jednak miejsce w rozpatrywanym przypadku. Strony były związane uprzednio umową. Ewentualnego powstania roszczeń nie sposób więc wykluczać. Powszechnie znane są przecież np. przypadki kwestionowanie sum spłaty kredytów przez klientów banków już po ich spłaceniu. Niepodobne z kolei zakładać, aby to bank w każdym przypadku musiał z góry oceniać, czy określone roszczenia w przyszłości wystąpią. Z mocy stosownych regulacji normatywnych K.c. dysponuję on określonym czasem, na ustalenie, czy osoba, z którą umowę już rozwiązano, nie ma jednak wobec niego nieuregulowanych zobowiązań.

Wobec powołanych wcześniej okoliczności zasadne było uchylenie zaskarżonej decyzji w pkt 3.

Badając zasadność zastosowania przez organ środków sankcyjnych - w pkt 1 i 2 skarżony decyzji - należy mieć na uwadze następujące uwarunkowania prawne i faktyczne sprawy.

Wykonując uprawnienia określone art. 58 ust 2 RODO – m.in. określone w pkt b - organ nadzoru realizuje w istocie zadania wskazane art. 57 danego aktu. Wedle ust. 1 lit. a należy do nich monitorowanie i egzekwowanie przepisów RODO. Kluczowym jest więc w sprawie ustalenie, czy powołane przez organ ewentualne uchybienia – w postaci zbędnego przetworzenie danych Wnioskodawcy - nastąpiło w istocie z naruszeniem reguł określonych danym aktem – np. było zbędne z perspektywy realizacji celów gospodarczych podmiotu. Trzeba mieć przy tym na uwadze, że - wobec szeregu czynności, pozostających w związku z relacjami gospodarczymi pomiędzy bankami i klientami - ich dane osobowe są przetwarzane w ramach szeregu baz informacji - np. osób korzystających z poszczególnych produktów, regulujących należności terminowo bądź nie, "aktywnych klientów" (tak określenie Banku) bądź byłych. Jak wcześniej wskazano, dopuszczalne jest przetwarzanie tych danych wyłącznie w zakresie niezbędnym - wynikającym z realnych potrzeb gospodarczych podmiotu.

W rozpoznawanej sprawie był poza sporem stan faktyczny wobec ustaleń, że - w następstwie pomyłki Banku (jego pracownika) doszło do przetwarzania danych Wnioskodawcy zarówno przez sam Bank jak i do ich przekazania podmiotowi zewnętrznemu – do Biura. W świetle uzasadnienia skarżonego aktu, wyspecjalizowany w sprawach ochrony danych osobowych organ w istocie nie dopatrzył się (nie powołał w uzasadnieniu) żadnych nieprawidłowości np., co do systemu gromadzenia, zabezpieczenia organizacji baz informacji czy transferu danych, zbędnego duplikowania baz, zbierania nieistotnych informacji. Wszelkie przywoływane przez organ, działania Banku były wyłącznie następstwem naruszenia reguł, dotyczących właściwej obsługi klienta - w ramach działania określonej instytucji rynku finansowego. Z kolei każda forma aktywności gospodarczej wiąże się z pewnym marginesem nieuniknionych błędów – ludzkich lub wobec usterek technicznych. Do oceny z kolei, czy w danym przypadku zachowano standardy staranności lub ostrożności, właściwymi są inne, wyspecjalizowany w danym zakresie organy. Nie do zaakceptowania jest natomiast rozumienie przepisów, mających na celu zapewnienie odpowiedniego bezpieczeństwa i ograniczenia przetwarzania danych osobowych, jako stanowiące alternatywny i konkurencyjny mechanizm, służący egzekwowaniu odpowiedniej staranności w relacjach gospodarczych, gdy następstwem błędu jest zbędne - bezzasadne - przetworzenie danych osobowych. Takie sytuację będą wszak właśnie z reguły następstwem wszelkich błędów w relacjach podmiotów gospodarczych z klientami, będącymi osobami fizycznymi. Niepodobna wszelkich błędów w relacjach gospodarczych, których naturalnym następstwem jest przetwarzania danych osobowych klientów (np. zamieszczenie w wewnętrznej bazie dłużników), kwalifikować, jako naruszenie przepisów RODO. Nie to jest celem danej regulacji.

W realiach rozpoznawanej sprawy organ poprzestał na przywołaniu faktu przetworzenia danych osobowych w następstwie określonego błędu w trakcie działalności operacyjnej Banku - jeden z jego pracowników, nie odnotował informacji o zamknięcia Kredytu Wnioskodawcy. Następstwem tego było naliczenie prowizji a potem uruchomienie procedur windykacyjnych Jednocześnie organ nie powołał żadnych nieprawidłowości w kontekście systemu przetwarzanie danych osobowych, dla osoby, która - wedle błędnych danych Banku - zalegała względem niego z należnościami. Nie wskazywano też, aby Wnioskodawcę potraktowano odmiennie od przyjętych, niepodważanych przez organ reguł – np. przetwarzano dane w zakresie wykraczającym poza potrzeby egzekwowania błędnie ujawnionego w systemie Banku zobowiązania.

Nie sposób wprawdzie wykluczyć, zasadności zarzutów Wnioskodawcy (podtrzymywanych na rozprawie), że na etapie rozpatrywania jego zastrzeżeń, co do bezpodstawności roszczeń Banku – po zamknięciu rachunku - doszło do szeregu nieprawidłowości w procedowaniu. Wnioskodawca kwestionował m. in. prawidłowość rozpoznawania jego uwag, zgłoszonych w następstwie nawiązania kontaktu ze strony Banku stojąc na stanowisku, że nie składał reklamacji, zarzucał opieszałość w reakcji Banku. Ocena pozostaje tu jednak w kompetencjach właściwych, wyspecjalizowanych instytucji nadzorczych. Bezzasadne przetwarzanie danych osobowych jest natomiast wyłącznie tego następstwem. Nie sposób uznać za prawidłowe takiego rozumienia określających właściwość regulacji, aby szereg wyspecjalizowanych organów było kompetentnymi do oceny prawidłowości postępowania podmiotu gospodarczego w kontekście tego samego zdarzenia. Możliwe byłoby teoretycznie, w takim przypadku sformułowanie odmiennych ocen, co do wymaganego standardu świadczenia przez bank usług. Prowadziłoby też do bezcelowego generowania kosztów - pokrywanych z danin publicznych.

Reasumując, odzwierciedlone w uzasadnieniu skarżonego aktu ustalenia faktyczne organu nie mogły stanowić przesłanki zastosowania sankcji w postaci upomnienia. Nie służyła ona w istocie stricte egzekwowanie przepisów RODO. Oznacza to, że uchybiono treści art. 58 ust. 2 lit. b, w zw. z art. 57 ust. 1 lit. a danego aktu, przez niewłaściwe zastosowanie danego przepisu.

Powyższe uwagi odnoszą się także odpowiednio do problematyki przetworzenia przez Bank danych osobowych Wnioskodawcy wobec ich przekazanie do Biura. W tym kontekście - odnosząc się do kwestii ewentualnej odpowiedzialności Banku za przetwarzanie danych osobowych Wnioskodawcy przez Biuro - należy odnotować fakt odstąpienia przez organ od stosownie szczegółowego ustalenia, czy Bank poczynił właściwe działania w celu usunięcia stosownych danych osobowych swojego klienta z baz Biura w związku z uprzednim, przesłaniem tam błędnej informacji o nieuregulowaniu przezeń należności. O ile przekazano informacje o błędzie, nie można uznać by dalsze ewentualne przetwarzanie danych osobowych Wnioskodawcy przez Biuro – jako osoby, która wcześniej nie uregulowała a potem spłaciła zobowiązania (tak twierdzenie Wnioskodawcy na rozprawie) - pozostawało w związku z działaniami bądź zaniechaniami samego Banku (tak ramy niniejszej sprawy - wobec zakresu zaskarżenia decyzji). W tym kontekście jednak organ właśnie sprawy nie zbadał – nie ma stosownych ustaleń w uzasadnieniu. Uchybiono tym treści przepisów postępowania – art. 7, 77 §. 1, art. 80 K.p.a. Kwestia ta może mieć zaś wpływ na wynik sprawy w kontekście oceny, czy w działaniach Banku doszło w istocie do uchybień - w zakresie wymagań ochrony danych osobowych - mianowicie czy wdrożone i stosowane w Banku procedury, dają gwarancję usunięcie z baz Biura danych osobowych dłużników wprowadzonych tam na podstawie błędnych informacji - przekazywane dane są właściwie szczegółowe. Inaczej mianowicie oznaczone jest żądanie usunięcie danych o kliencie w przypadku spłaty zobowiązania odmiennie zaś w razie przykazania błędne informacje o jego istnieniu (tak twierdzenie pełnomocnika Banku na rozprawie).

Wypada jednocześnie zreasumować, że procedując dotychczas w przedmiocie skargi Wnioskodawcy nie wykazano, aby zachodziły nieprawidłowości w systemie przetwarzanie jego danych osobowych przez Bank, które mogłyby być przesłanką udzielenia upomnienia. Dlatego zachodziły podstawy dla uchylenia zaskarżonej decyzji w pkt 1 i 2.

Chybione są jednocześnie wywody skargi, jakoby osnowa decyzji w danym zakresie była niezrozumiała. Jej treść i uzasadnienie są jednoznacznie. Wynika zeń, że przesłanką udzielenia upomnień było bezprawne przetwarzanie danych osobowych przez Bank - wobec błędnego uznania, jakoby Wnioskodawca miał wobec Banku zobowiązania. Wprawdzie - w pkt 3 decyzji - użyto sformułowania, które może sugerować, jakoby chodziło o odpowiedzialność za przetwarzanie danych przez inny niż Bank podmiot. Z uzasadnienie orzeczenia wynika jednak wprost, że odpowiedzialność Banku wiązano z przetworzeniem danych Wnioskodawcy przez tenże podmiot. Upatrywano go w przesłaniu błędnych informacji do Biura - co także stanowi formę przetwarzania ("ujawnianie poprzez przesłanie, rozpowszechnianie lub innego rodzaju udostępnianie" w myśl art. 4 pkt 2 RODO).

Z przytoczonych wyżej przyczyn, na podstawie art. 145 § 1 pkt 1 lit. a i b ustawy z dnia 30 sierpnia 2002 r. - Prawo o postępowaniu przed sądami administracyjnymi (Dz.U. z 2019 r., poz. 2325 ze zm.), orzeczono jak w pkt 1 sentencji. O zwrocie kosztów postępowania Sąd orzekł jak w pkt 2 sentencji, w myśl art. 200 w zw. z art. 205 § 2 powyższej ustawy oraz § 14 ust. 1 pkt 1 lit. c rozporządzenia Ministra Sprawiedliwości z dnia 22 października 2015 r. w sprawie opłat za czynności adwokackie (Dz. U. z 2015 r., poz. 1800 ze zm.). Do kosztów na rzecz Wnioskodawcy zaliczono wynagrodzenie jego pełnomocnika w kwocie 480 zł, wpis sądowy od skargi - 200 zł oraz 17 zł tytułem opłaty skarbowej od pełnomocnictwa.

Rozpatrując ponownie sprawę organ administracji uwzględni ocenę prawną, sformułowaną w niniejszym uzasadnieniu.

-----------------------

2