Centralna Baza Orzeczeń Sądów Administracyjnych

Wojewódzki Sąd Administracyjny w Warszawie w składzie następującym: Przewodniczący Sędzia WSA Sławomir Fularski Sędzia WSA Danuta Kania Sędzia WSA Piotr Borowiecki (spr.) Protokolant starszy specjalista Bogumiła Kobierska po rozpoznaniu na rozprawie w dniu 27 października 2021 r. sprawy ze skargi G. S.A. z siedzibą w W. na decyzję Prezesa Urzędu Ochrony Danych Osobowych z dnia [...] stycznia 2021 r. nr [...] w przedmiocie przetwarzania danych osobowych 1. uchyla zaskarżoną decyzję w części obejmującej punkt 1 decyzji, 2. zasądza od Prezesa Urzędu Ochrony Danych Osobowych na rzecz strony skarżącej G. S.A. z siedzibą w W. kwotę 697 zł (słownie: sześćset dziewięćdziesiąt siedem złotych), tytułem zwrotu kosztów postępowania sądowego.

Zaskarżoną decyzją z dnia [...] stycznia 2021 r., nr [...] Prezes Urzędu Ochrony Danych Osobowych (dalej także: "Prezes UODO" lub "organ nadzorczy"), działając na podstawie art. 104 § 1 pkt 1 ustawy z dnia 14 czerwca 1960 r. - Kodeks postępowania administracyjnego (tekst jednolity Dz. U. z 2020 r., poz. 256 ze zm. - dalej: "k.p.a.") oraz art. 6 ust. 1 lit. c i lit. f oraz art. 58 ust. 2 lit. c Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (Dziennik Urzędowy Unii Europejskiej, L119, z dnia 4 maja 2016 r. , dalej także: "RODO"), po przeprowadzeniu postępowania administracyjnego zainicjowanego skargą M.O. (dalej także: "wnioskodawca" lub "uczestnik postępowania") na nieprawidłowości w procesie przetwarzania jego danych osobowych przez [...] (dalej także: "skarżący Bank" lub "strona skarżąca") z siedzibą w [...], polegające na przetwarzaniu jego danych osobowych bez podstawy prawnej:

1. udzielił [...] z siedzibą w [...] upomnienia za naruszenie art. 6 ust. 1 RODO, polegające na przetwarzaniu danych osobowych M.O. w celu wykonania umowy o zawieranie umów produktowych wraz z umową o bankowość elektroniczną [...] nr [...] z dnia [...] maja 2013 r. bez podstawy prawnej, w terminie od [...] maja 2018 r. do [...] lutego 2020 r. (pkt 1 zaskarżonej umowy);

2. w pozostałym zakresie odmówił uwzględnienia wniosku (pkt 2 zaskarżonej decyzji).

Zaskarżona decyzja Prezesa UODO została wydana w następującym stanie faktycznym.

W dniu 15 października 2019 r. do Urzędu Ochrony Danych Osobowych wpłynęła skarga M.O. na nieprawidłowości w procesie przetwarzania jego danych osobowych przez [...] z siedzibą w [...], które polegać ma na przetwarzaniu danych osobowych wnioskodawcy bez podstawy prawnej.

W uzasadnieniu skargi wnioskodawca zauważył, że pomimo zgłoszenia przez niego żądania usunięcia jego danych osobowych przez [...], otrzymał on od tego banku wiadomość świadczącą, że jego dane osobowe są nadal przetwarzane. W związku z powyższym, wnioskodawca zażądał od Prezesa UODO, aby nakazał bankowi, jako administratorowi danych, usunięcie uchybień w procesie przetwarzania danych osobowych wnioskodawcy poprzez zobowiązanie banku do zaprzestania przetwarzania danych osobowych wnioskodawcy, m.in. poprzez zaprzestanie świadczenia usługi bankowości elektronicznej, usunięcie danych osobowych wnioskodawcy ze zbioru danych osobowych banku oraz zobowiązanie banku do poinformowania wszystkich podmiotów, którym zostały udzielone bez podstawy prawnej dane osobowe wnioskodawcy o tym, że [...] w okresie od dnia [...] sierpnia 2015 r. do dnia [...] października 2019 r. przetwarzał oraz udostępniał dane osobowe wnioskodawcy bez podstawy prawnej oraz bez jego wiedzy i zgody.

W toku prowadzonego postępowania wyjaśniającego Prezes Urzędu Ochrony Danych Osobowych zwrócił się o stosowne wyjaśnienia zarówno do [...], jak i do wnioskodawcy.

Na podstawie zebranych wyjaśnień organ nadzorczy ustalił, iż [...] pozyskał dane osobowe wnioskodawcy w dniu [...] czerwca 2012 r. poprzez złożenie przez wnioskodawcę na stronie internetowej Banku wniosku o założenie depozytu terminowego, co wiązało się z otwarciem rachunku technicznego do opłacenia depozytu - depozyt ten nie został opłacony przez wnioskodawcę. Ponadto, organ nadzorczy ustalił, że w dniu [...] czerwca 2012 r. wnioskodawcy zostały również nadane dostępy do bankowości internetowej oraz telefonicznej banku. Z ustaleń wynikało, że w trakcie współpracy z bankiem wnioskodawca posiadał 157 depozytów terminowych. Umowy wszystkich depozytów były zawierane i akceptowane w trybie on-line, co oznacza, że skarżący Bank nie dysponuje ww. umowami w formie tradycyjnej sygnowanej podpisem wnioskodawcy. Jak wynika z zestawienia przedstawionego przez Bank, pierwszy z depozytów został zlikwidowany [...] listopada 2012 r. a ostatni [...] sierpnia 2014 r. (dowód: wyjaśnienia [...] zawarte w piśmie z dnia [...] czerwca 2020 r. wraz z załącznikami).

Z ustaleń organu nadzorczego wynikało jednocześnie, iż wnioskodawca w dniu [...] maja 2013 r. złożył wnioski o zawarcie następujących umów z bankiem:

- umowa o zawieranie umów produktowych wraz z umową o bankowość elektroniczną [...] nr [...],

- umowa rachunku oszczędnościowo-rozliczeniowego [...] nr [...] - konto [...],

- umowa o kartę debetową [...] nr [...] (w ramach umowy wnioskodawcy była wydana karta organizacji płatniczej MasterCard).

W dniu [...] maja 2013 r. ww. umowy zostały wygenerowane w formie papierowej i podpisane przez upoważnionego pracownika Banku. W dniu [...] maja 2013 r. wnioskodawca podpisał umowy w obecności kuriera.

W dniu [...] maja 2013 r. odnotowany został wpływ egzemplarzy umów przeznaczonych dla Banku (dowód: wyjaśnienia [...] z dnia [...] czerwca 2020 r. wraz z załącznikami).

Ponadto, z ustaleń organu nadzorczego wynikało, że w dniu [...] marca 2014 r. wnioskodawca po zalogowaniu się do kanału bankowości internetowej złożył wniosek o wydanie karty kredytowej. W dniu [...] kwietnia 2014 r. z wnioskodawcą skontaktował się pracownik infolinii banku. Podczas rozmowy została zweryfikowana zdolność kredytowa wnioskodawcy poprzez sprawdzenie informacji w Biurze Informacji Kredytowej S.A. Rachunek karty kredytowej [...] został otwarty w systemie transakcyjnym Banku w dniu [...] kwietnia 2014 r. W ramach umowy wnioskodawcy została wydana karta organizacji płatniczej (dowód: pismo skarżącego Banku z dnia [...] czerwca 2020 r. wraz z załącznikami).

Prezes UODO ustalił ponadto, że umowa rachunku oszczędnościowo-rozliczeniowego [...] nr [...] - konto perfekcyjne ostatecznie została zamknięta w systemie transakcyjnym skarżącego Banku w dniu [...] sierpnia 2015 r. (dowód: pismo skarżącego Banku z dnia [...] czerwca 2020 r. wraz z załącznikami).

Organ nadzorczy ustalił jednocześnie, że w dniu [...] sierpnia 2015 r. do skarżącego Banku wpłynęły wnioski zawierające wypowiedzenie:

- umowy o zawieranie umów produktowych wraz z umową o bankowość elektroniczną - [...] nr [...], a także

- umowy o kartę debetową [...] nr [...] - wypowiedzenie zostało zrealizowane prawidłowo, a data zamknięcia tego produktu nastąpiła w dniu [...] sierpnia 2015 r.,

- umowy karty kredytowej [...] - wypowiedzenie zostało zrealizowane prawidłowo, a data zamknięcia produktu nastąpiła w dniu [...] września 2015 r.

Skarżący Bank w piśmie z dnia [...] lutego 2020 r. oraz w piśmie z dnia [...] czerwca 2020 r. wskazał, że w przypadku umowy o zawieranie umów produktowych wraz z umową o bankowość elektroniczną - [...] nr [...], ze względu na błąd pracownika banku wypowiedzenie nie zostało prawidłowo przeprocesowane przez skarżący Bank, a ww. umowa została zamknięta dopiero w dniu [...] lutego 2020 r. w wyniku analizy dokonanej celem przygotowania odpowiedzi na wezwanie wystosowane przez Prezesa UODO w toku postępowania wyjaśniającego.

W piśmie z dnia [...] lutego 2020 r. skarżący Bank poinformował organ nadzorczy, że wnioskodawca obecnie nie ma żadnej aktywnej relacji produktowej z [...], jednakże bank ten aktualnie przetwarza dane osobowe wnioskodawcy w zakresie: imię, nazwisko, data urodzenia, numer PESEL, adres e-mail, numer telefonu, adres i adres do korespondencji, seria i numer, data wystawienia, data ważności kraj pochodzenia dokumentu tożsamości - dowodu osobistego, miejsce urodzenia, płeć oraz obywatelstwo, kraj rezydencji podatkowej, nazwisko rodowe matki. Skarżący Bank wskazał, że przetwarza wspomniane dane osobowe w celu realizacji obowiązków archiwizacyjnych wynikających z ustawy o rachunkowości, a także w celu obrony przed roszczeniami kierowanymi wobec skarżącego Banku, w celu rozpatrywania reklamacji, na potrzeby udziału w ewentualnych postępowaniach sądowych i administracyjnych oraz wewnętrznych celach administracyjnych Banku, w tym bezpieczeństwa, statystyk i raportowania wewnętrznego Banku.

Ponadto, skarżący Bank poinformował organ nadzorczy, że w zakresie posiadanych przez wnioskodawcę produktów bankowych oraz rachunków bankowych w [...], wnioskodawca zgłaszał "roszczenia" względem skarżącego Banku przez co Bank rozumie okoliczność, iż wnioskodawca złożył skargę w dniu [...] sierpnia 2015 r. dotyczącą wypowiedzenia umów z Bankiem. Jednocześnie, skarżący Bank poinformował organ nadzorczy, że w zakresie posiadanych przez wnioskodawcę produktów bankowych oraz rachunków bankowych, skarżący Bank zgłaszał roszczenia względem wnioskodawcy naliczając na rachunku oszczędnościowo - rozliczeniowym kwoty należne Bankowi w związku ze złamaniem zapisów regulaminu promocji "[...]". Niemniej, jak zauważył skarżący Bank, naliczona kwota w wyniku skargi wnioskodawcy z dnia [...] sierpnia 2015 r. została przez skarżący Bank anulowana.

Organ nadzorczy ustalił ponadto, że skarżący Bank nie wskazał w treści swoich wyjaśnień innych roszczeń zgłaszanych względem wnioskodawcy.

W wyniku analizy zgromadzonego materiału dowodowego, Prezes UODO - działając na podstawie art. 104 § 1 pkt 1 k.p.a. oraz art. 6 ust. 1 lit. c i lit. f oraz art. 58 ust. 2 lit. b RODO:

1. udzielił [...] z siedzibą w [...] upomnienia za naruszenie art. 6 ust. 1 RODO, polegającego na przetwarzaniu danych osobowych M.O., w celu wykonania umowy o zawieranie umów produktowych wraz z umową o bankowość elektroniczną [...] nr [...] z dnia [...] maja 2013 r. bez podstawy prawnej, w terminie od [...] maja 2018 r. do [...] lutego 2020 r. (pkt 1 decyzji);

2. w pozostałym zakresie odmówił uwzględnienia wniosku (pkt 2 decyzji).

W uzasadnieniu decyzji organ nadzorczy wskazał na wstępie, że przepisem uprawniającym administratorów danych do przetwarzania zwykłych danych osób fizycznych jest art. 6 ust. 1 RODO, zgodnie z którym, przetwarzanie danych jest dopuszczalne tylko wtedy, gdy spełniona jest jedna z przesłanek wskazanych w tym przepisie. Organ nadzorczy dodał jednocześnie, że katalog przesłanek wymienionych w art. 6 ust. 1 RODO, jest zamknięty, a każda z przesłanek legalizujących proces przetwarzania danych osobowych ma charakter autonomiczny i niezależny.

Organ nadzorczy podniósł, że niezależnie od zgody osoby, której dane dotyczą (art. 6 ust. 1 lit. a RODO), przetwarzanie danych osobowych jest dopuszczalne między innymi wtedy, gdy jest to niezbędne do wypełnienia obowiązku prawnego ciążącego na administratorze (art. 6 ust. 1 lit. c RODO) lub gdy jest to niezbędne do celów wynikających z prawnie uzasadnionych interesów realizowanych przez administratora lub przez stronę trzecią, z wyjątkiem sytuacji, w których nadrzędny charakter wobec tych interesów mają interesy lub podstawowe prawa i wolności osoby, której dane dotyczą, wymagające ochrony danych osobowych, w szczególności gdy osoba, której dane dotyczą, jest dzieckiem (art. 6 ust. 1 lit. f RODO).

Niezależnie od powyższego, Prezes UODO uznał, że w niniejszej sprawie warto zauważyć, iż zgodnie z art. 74 ust. 2 pkt 4 ustawy z dnia 29 września 1994 r. o rachunkowości (tekst jednolity Dz. U. z 2019 r., poz. 351 ze zm.), dowody księgowe dotyczące środków trwałych w budowie, pożyczek, kredytów oraz umów handlowych, roszczeń dochodzonych w postępowaniu cywilnym lub objętych postępowaniem karnym albo podatkowym przechowuje się przez okres 5 lat licząc od początku roku następującego po roku obrotowym, w którym operacje, transakcje i postępowanie zostały ostatecznie zakończone, spłacone, rozliczone lub przedawnione. Ponadto, jak podniósł organ nadzorczy, zgodnie z art. 74 ust. 2 pkt 8 ustawy o rachunkowości, pozostałe dowody księgowe i sprawozdania, nie wymienione w art. 74 ust. 2 należy przechowywać przez okres 5 lat.

Organ nadzorczy wskazał również na przepis art. 105a ust. 4 ustawy z dnia 29 sierpnia 1997 r. - Prawo bankowe (tekst jednolity Dz. U. z 2020 r., poz. 1896), zgodnie z którym banki oraz instytucje, o których mowa w art. 105 ust. 4, mogą przetwarzać stanowiące tajemnicę bankową informacje dotyczące osoby fizycznej po wygaśnięciu zobowiązania wynikającego z umowy zawartej z bankiem lub inną instytucją ustawowo upoważnioną do udzielania kredytów bez zgody osoby, której informacje dotyczą, do celów stosowania metod wewnętrznych oraz innych metod i modeli, o których mowa w części trzeciej rozporządzenia nr 575/2013. Prezes UODO zauważył ponadto, że zgodnie z art. 105a ust. 5 Prawa bankowego, uprawnione podmioty mogą przetwarzać na powyższej podstawie dane osobowe przez okres 12 lat od dnia wygaśnięcia zobowiązania. Organ nadzorczy podniósł jednocześnie, że z art. 105a ust. 6 Prawa bankowego wynika, iż wspomniane przetwarzanie danych może obejmować dane osoby fizycznej lub dane dotyczące zobowiązania.

Mając powyższe na uwadze, Prezes UODO wskazał w uzasadnieniu decyzji, że skarżący Bank aktualnie przetwarza dane osobowe wnioskodawcy, albowiem jest zobowiązany do przechowywania tych danych przez okres 5 lat w zakresie umowy o zawieranie umów produktowych wraz z umową o bankowość elektroniczną - [...] nr [...], która ze względu na błąd pracownika Banku została zamknięta dopiero w dniu [...] lutego 2020 r. A zatem, jak stwierdził organ nadzorczy, skarżący Bank przetwarza dane osobowe wnioskodawcy w celu wykonania obowiązku określonego w art. 74 ust. 2 ustawy o rachunkowości, co stanowi wypełnienie przesłanki legalizującej proces przetwarzania danych osobowych wnioskodawcy na podstawie art. 6 ust. 1 lit. c RODO.

Ponadto, jak stwierdził organ nadzorczy powołując się na wyjaśnienia skarżącego Banku, dane osobowe wnioskodawcy są przetwarzane również w celach administracyjnych skarżącego Banku, tj. tworzenia statystki i raportowania wewnętrznego banku. Prezes UODO wskazał więc, że z uwagi na okoliczność, iż skarżący Bank pozyskał dane osobowe wnioskodawcy w dniu [...] czerwca 2012 r. poprzez złożenie przez wnioskodawcę na stronie internetowej skarżącego Banku wniosku o założenie depozytu terminowego, należy uznać, iż [...] jest uprawniony do przetwarzania danych osobowych M.O. na podstawie art. 105a ust. 4 Prawa bankowego w celach statystycznych, co stanowi prawnie uzasadniony interes realizowany przez administratora, a tym samym przetwarzanie danych osobowych wnioskodawcy przez skarżący Bank w tym celu ma oparcie w art. 6 ust. 1 lit. f RODO.

Odnosząc się do powołanego przez skarżący Bank celu przetwarzania danych osobowych wnioskodawcy dotyczącego obrony przed ewentualnymi roszczeniami tej osoby powstałymi w związku z wykonywaniem czynności bankowych oraz innych wynikających z powszechnie obowiązujących przepisów prawa, Prezes UODO uznał, że zebrany w niniejszym postępowaniu materiał dowodowy nie wykazał, aby wnioskodawca M.O. wystąpił z jakimkolwiek roszczeniem wobec [...], które uzasadniałoby uprawnienie skarżącego Banku do zachowania i przetwarzania jego danych osobowych dla celów dowodowych w związku z dochodzeniem przez wnioskodawcę roszczenia.

Prezes UODO podkreślił, że przesłanka z art. 6 ust. 1 lit. f RODO dotyczy sytuacji już istniejącej, w której celem wynikającym z prawnie uzasadnionych interesów realizowanych przez administratora jest konieczność udowodnienia, potrzeba dochodzenia lub obrony przed roszczeniem istniejącym, nie zaś sytuacji, gdy dane są przetwarzane w celu zabezpieczenia się przed ewentualnym roszczeniem.

W tym zakresie organ nadzorczy podniósł, iż podziela stanowisko Wojewódzkiego Sądu Administracyjnego w Warszawie, odnoszące się do analogicznej do art. 6 ust. 1 lit. f RODO przesłanki wynikającej z art. 23 ust. 1 pkt 5 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (tekst jednolity Dz. U. 2016 r., poz. 922 ze zm. - dalej także: "u.o.d.o. z 1997 r."), dotyczącej dopuszczalności przetwarzania danych osobowych dla wypełnienia prawnie usprawiedliwionych celów realizowanych przez administratorów danych albo odbiorców danych, gdy przetwarzanie nie narusza praw i wolności osoby, której dane dotyczą. Prezes UODO zauważył, że WSA w Warszawie w wyroku z dnia 1 grudnia 2010 r., wydanym w sprawie sygn. akt II SA/Wa 1212/10 (LEX nr 755113) orzekł, iż "(...) przesłanka z art. 23 ust. 1 pkt 5 ustawy dotyczy sytuacji już istniejącej i pewnej, a więc przypadku, gdy istnieje potrzeba udowodnienia, potrzeba dochodzenia roszczenia z tytułu prowadzonej działalności gospodarczej, nie zaś sytuacji, gdy dane są przetwarzane na wypadek ewentualnego procesu i ewentualnej potrzeby udowodnienia, iż dane osobowe pozyskane bez zgody osoby, której dotyczą są przetwarzane zgodnie z prawem". Organ nadzorczy wskazał, iż we wspomnianym orzeczeniu WSA w Warszawie uznał, iż administrator danych "(...) nie może przetwarzać danych osobowych skarżącego tylko w celu zabezpieczenia się przed ewentualnym przyszłym i niepewnym roszczeniem skarżącego. W przeciwnym bowiem razie może pojawić się wątpliwość jak długo należy przetwarzać dane osobowe skarżącego, jeżeli nie zrealizuje on swoich zapowiedzi".

Prezes UODO stwierdził, że przy przyjęciu interpretacji wspomnianych przepisów takiej, jaką proponuje skarżący Bank, doszłoby do sytuacji, w której wnioskodawca zostałby pozbawiony ochrony zarówno na gruncie RODO, jak i ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych (tekst jednolity Dz. U. z 2019 r., poz. 1781 - dalej także: "u.o.d.o."). Organ nadzorczy zauważył bowiem, iż przyjęcie za prawidłowe stanowiska, jakoby przetwarzanie danych osobowych w celu uchylenia się od negatywnych skutków w przypadku zgłoszenia w przyszłości ewentualnego i nieokreślonego roszczenia, stanowi prawnie usprawiedliwiony cel, w rozumieniu art. 6 ust. 1 lit. f RODO, oznaczałoby w konsekwencji, że dane osobowe wnioskodawcy mogą być przetwarzane przez skarżący Bank permanentnie, bez konieczności ich usunięcia. Organ nadzorczy wskazał bowiem, iż teoretycznie możliwym jest przecież, by wnioskodawca zwrócił się do skarżącego Banku z roszczeniem po upływie terminu przedawnienia roszczenia. Zdaniem organu nadzorczego, prowadziłoby to tym samym do uznania, że przetwarzanie danych osobowych wnioskodawcy przez [...] ma uzasadnienie w przesłance określonej art. 6 ust. 1 lit. f RODO w celu realizacji prawa do obrony przed ewentualnym roszczeniem wnioskodawcy również po upływie wspomnianego wyżej terminu. Organ nadzorczy stwierdził jednocześnie, że brak jest uzasadnienia dla przyjęcia, iż terminy dotyczące przedawnienia roszczeń wynikających ze stosunków zobowiązaniowych określają jednocześnie ramy czasowe, w których dane osobowe mogą być przetwarzane przez skarżący Bank. Zdaniem Prezesa UODO, przedawnienie roszczenia nie wywołuje skutków na gruncie ochrony danych osobowych, albowiem nie wpływa na fakt istnienia roszczenia, a powoduje jedynie zmianę w sferze zarzutów procesowych w postaci możliwości podniesienia okoliczności przedawnienia w sporze sądowym. Organ nadzorczy podkreślił, że okolicznością usprawiedliwiającą przetwarzanie danych osobowych w celu dochodzenia roszczeń jest sam fakt istnienia roszczenia oraz zamiar jego dochodzenia, nie jest nią natomiast zmiana w uprawnieniach procesowych podmiotu pozwanego.

Mając powyższe na względzie, Prezesa UODO uznał, iż w niniejszej sprawie brak jest celu uzasadniającego przetwarzanie danych osobowych wnioskodawcy przez skarżący Bank, w celu obrony przed roszczeniami kierowanymi wobec tego banku, ponieważ - jak wynika z materiału dowodowego - wnioskodawca nigdy takich roszczeń nie zgłosił wobec skarżącego Banku, zaś jedyne zgłaszane roszczenie skarżącego Banku względem wnioskodawcy zostało ostatecznie anulowane przez sam bank w dniu [...] sierpnia 2015 r.

Organ nadzorczy wskazał, że materiał dowodowy zebrany w niniejszej sprawie jednoznacznie potwierdza, iż w dniu [...] sierpnia 2015 r. do skarżącego Banku wpłynęła reklamacja M.O. zawierająca wypowiedzenie m. in. umowy o zawieranie umów produktowych wraz z umową o bankowość elektroniczną [...] nr [...] z dnia [...] maja 2013 r., które ze względu na błąd pracownika nie zostało prawidłowo przeprocesowane przez Bank. W konsekwencji, organ nadzorczy uznał zatem, iż nie budzi wątpliwości to, iż od dnia, w którym wypowiedzenie umowy o zawieranie umów produktowych wraz z umową o bankowość elektroniczną [...] nr [...] z dnia [...] maja 2013 r. powinno być poprawie zrealizowane poprzez zamknięcie umowy, aż do dnia [...] lutego 2020 r. przetwarzanie danych osobowych w zakresie ww. umowy nie znajdowało podstawy prawnej.

Prezes UODO wyjaśnił ponadto w uzasadnieniu wydanej decyzji, iż od daty rozpoczęcia obowiązywania przepisów RODO, jako organ nadzorczy, ma możliwość nałożenia upomnienia za przetwarzanie danych niezgodne z przepisami. Prezes UODO zauważył więc, iż nałożenie upomnienia w oparciu o przepisy RODO w stosunku do zdarzenia, które miało miejsce przed wspomnianą wyżej datą, byłoby sprzeczne z przepisami. Niemniej jednak, jak stwierdził Prezes UODO, z uwagi na fakt, iż nieprawidłowe przetwarzanie danych przez skarżący Bank miało miejsce również po wejściu w życie RODO, tj. po dniu [...] maja 2018 r., zasadnym jest nałożenie upomnienia za przetwarzanie danych osobowych wnioskodawcy przez skarżący Bank w zakresie umowy o zawieranie umów produktowych wraz z umową o bankowość elektroniczną [...] nr [...] z dnia [...] maja 2013 r. w terminie od dnia [...] maja 2018 r. do czasu ich usunięcia, tj. do dnia [...] lutego 2020 r.

Ponadto, organ nadzorczy zauważył, że postępowanie administracyjne prowadzone przez Prezesa UODO służy kontroli zgodności przetwarzania danych z przepisami o ochronie danych osobowych i w każdym przypadku służy zbadaniu zasadności skierowania pod adresem określonego podmiotu nakazu, o którym mowa w art. 58 ust. 2 RODO, a który służy przywróceniu stanu zgodnego z prawem w procesie przetwarzania danych.

Mając powyższe na względzie, Prezesa UODO uznał, że pomimo braku podstaw do przetwarzania danych osobowych wnioskodawcy M.O. przez [...] w celu obrony przed ewentualnymi roszczeniami, nie ma jednak podstaw do skierowania wobec skarżącego Banku nakazu wynikającego z art. 58 ust. 2 lit. c RODO, albowiem skarżący Bank legitymuje się obecnie przesłanką legalizującą proces przetwarzania danych osobowych tej osoby fizycznej, tj. przesłanką określoną w art. 6 ust. 1 lit. c RODO, gdyż przetwarza dane osobowe wnioskodawcy w celu realizacji obowiązków archiwizacyjnych wynikających z ustawy o rachunkowości, a także przesłanką określoną w art. 6 ust. 1 lit. f RODO, gdyż przetwarza dane osobowe wnioskodawcy w celach statystycznych, do czego uprawnia go art. 105a ust 4 Prawa bankowego. Jednakże, jak zauważył organ nadzorczy, zgromadzony w toku postępowania materiał dowodowy potwierdził, że w wyniku braku prawidłowego rozpatrzenia wniesionego wypowiedzenia, do dnia [...] lutego 2020 r. skarżący Bank przetwarzał dane osobowe wnioskodawcy bez podstawy prawnej w celu wykonania umowy o zawieranie umów produktowych wraz z umową o bankowość elektroniczną [...] nr [...] z dnia [...] maja 2013 r., w związku z czym - zdaniem Prezesa UODO - zachodziła podstawa do udzielenia skarżącemu Bankowi upomnienia na podstawie art. 58 ust. 2 lit. b RODO.

W piśmie z dnia [...] lutego 2021 r. skarżący [...], reprezentowany przez radcę prawnego, działając za pośrednictwem organu nadzorczego, wniósł do Wojewódzkiego Sądu Administracyjnego w Warszawie skargę na powyższą decyzję Prezesa Urzędu Ochrony Danych Osobowych z dnia [...] stycznia 2021 r.

Wnosząc w petitum skargi o uchylenie zaskarżonej decyzji Prezesa UODO z dnia [...] stycznia 2021 r. w części obejmującej punkt 1 tej decyzji, a więc w części, w której organ nadzorczy udzielił [...] z siedzibą w [...] upomnienia za naruszenie przepisów RODO w zakresie wskazanym w tym punkcie decyzji, a także o zasądzenie od organu nadzorczego na rzecz strony skarżącej zwrotu kosztów postępowania sądowego, w tym kosztów zastępstwa procesowego, skarżący Bank zarzucił organowi nadzorczemu:

1) naruszenie przepisów postępowania, które miało istotny wpływ na wynik sprawy, tj. art. 107 § 1 i § 3 k.p.a. - polegające na tym, że uzasadnienie skarżonej decyzji jest sprzeczne z jej rozstrzygnięciem, a samo rozstrzygnięcie jest wewnętrznie sprzeczne;

2) naruszenie przepisów postępowania, które miało istotny wpływ na wynik sprawy, tj. art. 8 k.p.a. - polegające na odstąpieniu przez organ nadzorczy bez uzasadnionej przyczyny od utrwalonej praktyki rozstrzygania spraw w takim samym stanie faktycznym i prawnym, co z kolei narusza zasadę pogłębiania zaufania obywateli do władzy publicznej;

3) naruszenie prawa materialnego, które miało wpływ na wynik sprawy, tj. art. 6 ust. 1 lit. f RODO w związku z art. 117 § 2 i § 21 , art. 118 i art. 119 ustawy z dnia 23 kwietnia 1964 r. - Kodeks cywilny (tekst jednolity Dz. U. z 2020 r., poz. 1740 – dalej także: "k.c.") - polegające na jego niewłaściwym zastosowaniu i przyjęciu, że przechowywanie danych przez okres przedawnienia roszczeń, również w przypadku, gdy ani administrator ani osoba, której dane dotyczą nie zgłosiła jeszcze roszczenia, nie stanowi prawnie uzasadnionego interesu skarżącego, w rozumieniu art. 6 ust. 1 lit. f RODO, podczas gdy przepisy te uprawniają skarżącego do przetwarzania danych osobowych w celu ustalenia, dochodzenia i ochrony przed roszczeniami;

4) naruszenie prawa materialnego, które miało wpływ na wynik sprawy, tj. art. 58 ust. 2 lit. b RODO w zw. z art. 6 ust. 1 RODO - polegające na jego niewłaściwym zastosowaniu i przyjęciu, że skarżący Bank dopuścił się naruszenia przepisów RODO, które uzasadniałoby udzielenie skarżącemu Bankowi upomnienia, podczas gdy strona skarżąca legitymowała się podstawami prawnymi do przetwarzania danych osobowych M.O., co potwierdził w spornej decyzji sam organ nadzorczy, a tym samym skarżący nie naruszył art. 6 ust. 1 RODO;

5) naruszenie prawa materialnego, które miało wpływ na wynik sprawy, tj. art. 6 ust. 1 lit. c RODO w związku z art. 5 ust. 1, art. 6 i art. 9 ustawy z dnia 5 sierpnia 2015 r. o rozpatrywaniu reklamacji przez podmioty rynku finansowego i o Rzeczniku Finansowym (tekst jednolity Dz. U. z 2019 r., poz. 2279 - dalej także: "ustawa o rozpatrywaniu reklamacji przez podmioty rynku finansowego") - polegające na jego niewłaściwym zastosowaniu i nieprzyjęciu, że na skarżącym Banku, jako podmiocie rynku finansowego spoczywają określone obowiązki w zakresie rozpatrywania i udzielania odpowiedzi bez ograniczeń czasowych na reklamacje klientów, co uprawnia skarżącego do przetwarzania danych osobowych na podstawie art. 6 ust. 1 lit. c RODO w celu realizacji tych obowiązków.

Ponadto, skarżący Bank, wskazując na przepis art. 106 § 3 P.p.s.a., wniósł o przeprowadzenie dowodu uzupełniającego z następujących dokumentów:

- decyzji administracyjnej Generalnego Inspektora Ochrony Danych Osobowych (poprzednika Prezesa UODO) z dnia [...] maja 2014 r., nr [...] na okoliczność istnienia utrwalonej praktyki, odmiennej niż stanowisko przyjęte w skarżonej decyzji, pomimo istnienia takiego samego stanu faktycznego i prawnego sprawy,

- decyzji administracyjnej Prezesa Urzędu Ochrony Danych Osobowych z dnia [...] marca 2019 r., nr [...] - na okoliczność istnienia utrwalonej praktyki, odmiennej niż stanowisko przyjęte w skarżonej decyzji, pomimo istnienia takiego samego stanu faktycznego i prawnego sprawy,

- decyzji administracyjnej Prezesa Urzędu Ochrony Danych Osobowych z dnia [...] czerwca 2020 r., nr [...] - na okoliczność istnienia utrwalonej praktyki, odmiennej niż stanowisko przyjęte w skarżonej decyzji, pomimo istnienia takiego samego stanu faktycznego i prawnego sprawy,

- decyzji administracyjnej Prezesa Urzędu Ochrony Danych Osobowych z września 2020 r., nr [...] - na okoliczność istnienia utrwalonej praktyki, odmiennej niż stanowisko przyjęte w skarżonej decyzji, pomimo istnienia takiego samego stanu faktycznego i prawnego sprawy.

W uzasadnieniu skargi [...] na wstępie uznał, że wydając sporną decyzję, organ nadzorczy naruszył art. 107 § 1 i § 3 k.p.a., albowiem rozstrzygnięcie zawarte w pkt 1 decyzji jest sprzeczne z uzasadnieniem decyzji oraz niezrozumiałe. Skarżący Bank stwierdził, że niezrozumiały jest zarzut organu nadzorczego dotyczący rzekomego naruszenia art. 6 ust. 1 RODO bez wyszczególnienia jakiejkolwiek z wymienionych w tym przepisie przesłanek, co - w ocenie strony skarżącej - oznaczałoby, że skarżący Bank nie jest w ogóle uprawniony do przetwarzania danych wnioskodawcy. Tymczasem, jak zauważyła strona skarżąca, takie rozumienie sentencji spornej decyzji jest w sposób oczywisty sprzeczne z jej uzasadnieniem, ponieważ na stronie 5, 6 i 9 uzasadnienia tej decyzji organ nadzorczy przyznał, iż [...] ma prawo przetwarzać dane osobowe klientów, w tym wnioskodawcy, na podstawie przepisów ustawy z dnia 29 września 1994 r. o rachunkowości, a także na podstawie art. 105a ust. 4 i 5 ustawy z dnia 29 sierpnia 1997 r. - Prawo bankowe. W konsekwencji, według strony skarżącej, organ nadzorczy uznał, że Bank legitymuje się w związku z powyższym przesłankami, o których mowa w art. 6 ust. 1 lit. c i lit. f RODO, co z kolei świadczy o tym, że nie może być jednocześnie mowy o naruszeniu art. 6 RODO.

Ponadto, skarżący Bank podkreślił, że Prezes UODO w swojej dotychczasowej praktyce kwalifikował przechowywanie danych osobowych przez okres przedawnienia roszczeń, jako prawnie uzasadniony interes administratora, a więc spełnienie przesłanki, o której mowa w art. 6 ust. 1 lit. f RODO. Tymczasem, jak zauważył skarżący Bank, w zaskarżonej decyzji organ nadzorczy to swoje wcześniejsze stanowisko kwestionuje.

W związku z powyższym, skarżący Bank uznał, że istnieje zatem oczywista sprzeczność pomiędzy rozstrzygnięciem a uzasadnieniem spornej decyzji, a także zachodzi jednocześnie wewnętrzna sprzeczność w obrębie samej sentencji zaskarżonej decyzji, gdy tymczasem nie ulega wątpliwości, iż rozstrzygnięcie organu nadzorczego winno być spójne z uzasadnieniem wydanej decyzji. W konsekwencji, w ocenie skarżącego Banku, wskazana sprzeczność prowadzi do uzasadnionych wątpliwości co do tego za co Prezes UODO nałożył na [...] upomnienie.

Odnosząc się z kolei do zarzutu naruszenia art. 8 k.p.a., strona skarżąca wskazała, że Prezes UODO zakwestionował uprawnienie skarżącego Banku do przechowywania danych M.O. przez okres przedawnienia roszczeń, gdy tymczasem - jak zauważyła strona skarżąca - przyjęte stanowisko organu nadzorczego wyrażone w decyzji z dnia [...] stycznia 2021 r. jest nowością w stosunku do dotychczasowego stanowiska organu nadzorczego prezentowanego w podobnych sprawach. Skarżący Bank zaznaczył, że zgodnie z art. 8 § 2 k.p.a. organy administracji publicznej bez uzasadnionej przyczyny nie odstępują od utrwalonej praktyki rozstrzygania spraw w takim samym stanie faktycznym i prawnym. Strona skarżąca zarzuciła więc, że stanowisko organu nadzorczego co do braku podstaw do przetwarzania przez skarżący Bank danych osobowych w celu obrony przed ewentualnymi roszczeniami powstałymi w związku z wykonywaniem czynności bankowych oraz innych wynikających z powszechnie obowiązującego prawa odbiega od dotychczasowej praktyki w sprawach, w których istniał taki sam stan faktyczny i prawny.

Skarżący Bank stwierdził, że legitymuje się podstawą prawną uprawniającą do przetwarzania danych osobowych w powyższym celu przez okres przedawnienia roszczeń. Według strony skarżącej, gdyby przyjąć stanowisko organu nadzorczego i rozszerzyć na wszystkie obszary gospodarki, w których zawiera się umowy z konsumentami, brak uprawnienia do przetwarzania danych w tym celu po zrealizowaniu umowy miałby katastrofalne skutki, bowiem przedsiębiorcy nie byliby w stanie rozpatrywać roszczeń konsumentów z powodu braku odpowiednich danych.

W tej sytuacji, skarżący Bank uznał, że stanowisko organu nadzorczego zarzucające, iż bank ten nie posiada podstaw do przetwarzania danych osobowych wnioskodawcy w celu ustalenia, dochodzenia i ochrony przed roszczeniami świadczy o ewidentnym naruszeniu art. 8 § 2 k.p.a.

Uzasadniając zarzut naruszenia art. 6 ust. 1 lit. f RODO w związku z art. 117 § 2 i § 21, art. 118 i art. 119 k.c., skarżący Bank stwierdził, że - wbrew stanowisku organu nadzorczego - przechowywanie danych przez okres przedawnienia roszczeń, które mogą wynikać z relacji łączącej klientów z bankiem, odpowiada przesłance, o której mowa w art. 6 ust. 1 lit. f RODO. Skarżący Bank zauważył bowiem, że zgodnie z tym przepisem przetwarzanie danych jest zgodne z prawem, gdy jest niezbędne do celów wynikających [pic]z prawnie uzasadnionych interesów realizowanych przez administratora lub przez stronę trzecią, z wyjątkiem sytuacji, w których nadrzędny charakter wobec tych interesów mają interesy lub podstawowe prawa i wolności osoby, której dane dotyczą, wymagające ochrony danych osobowych, w szczególności gdy osoba, której dane dotyczą, jest dzieckiem. W tej sytuacji, strona skarżąca uznała, że umowa łącząca bank z klientem może być źródłem roszczeń zarówno jednej, jak i drugiej strony, albowiem - jak pokazały realia przedmiotowej sprawy - strony mogą mieć roszczenia związane np. z należnościami z tytułu korzystania z produktów bankowych. Ponadto, skarżący Bank uznał, że roszczenia te mogą zostać zgłoszone nawet po zakończeniu umowy, w tym wynikać właśnie z zastrzeżeń, jakie strony mają do zakończenia łączącego je stosunku umownego. Skarżący Bank podkreślił jednocześnie, że - wbrew twierdzeniom organu nadzorczego - nie ma znaczenia, czy roszczenie zostałoby już zgłoszone lub zasygnalizowane.

Skarżący Bank podkreślił, że brak podstaw do przetwarzania danych w celu dochodzenia lub obrony przed roszczeniami po zakończeniu umowy, uniemożliwiłaby rozpatrzenie, w tym ocenę zasadności roszczenia drugiej strony. Niemniej jednak, skarżący Bank zauważył, że - wbrew sugestiom organu nadzorczego - zakres czasowy przetwarzanych danych w powyższym celu określa przepis art. 118 k.c.

Na marginesie, strona skarżąca podniosła, że biorąc pod uwagę zarówno umowy łączące M.O. z [...] oraz zastrzeżenia i żądania co do rozwiązania niektórych z nich zgłaszane przez niego w różnych formach (telefonicznie, osobiście w placówkach skarżącego Banku, pisemnie składane reklamacje i skargi), jak również skierowanie przez niego skargi do Prezesa UODO, twierdzenia organu nadzorczego o braku zgłoszenia przez niego roszczeń należy uznać za nieprawidłowe.

Zdaniem skarżącego Banku, stanowisko organu nadzorczego jest błędne również dlatego, że przechowywanie danych przez okres przedawnienia roszczeń, które mogą wynikać z relacji łączącej Bank z klientem jest uzasadnione na gruncie art. 6 ust. 1 lit. f RODO. Według strony skarżącej, brak danych osobowych przetwarzanych w tym celu uniemożliwiłoby również analizę zasadności roszczenia. Skarżący Bank uznał, że nie sposób przyjąć, aby bank miał rozpatrywać zasadność roszczenia, nie mając "własnych" danych o osobie je zgłaszającej, a jedynie w oparciu o dane dostarczone przez taką osobę.

Ponadto, skarżący uznał, iż całkowicie błędne jest twierdzenie organu nadzorczego, że "przyjęcie za prawidłowe stanowiska, iż przetwarzanie danych osobowych w celu uchylenia się od negatywnych skutków w przypadku zgłoszenia w przyszłości ewentualnego i nieokreślonego roszczenia stanowi prawnie usprawiedliwiony cel w rozumieniu art. 6 ust. 1 lit. f RODO oznaczałoby, że dane osobowe [M.O.] mogą być przetwarzane przez Bank permanentnie, bez konieczności ich usunięcia". Skarżący Bank stwierdził bowiem, że - wbrew sugestiom organu nadzorczego - okres retencji jest ograniczony do okresu przedawnienia roszczenia, a okresy przedawnienia są z kolei określone w przepisach prawa, które nie dopuszczają nieograniczonego okresu przedawnienia.

Skarżący Bank zauważył wprawdzie, że istotnie sam upływ terminu przedawnienia nie pozbawia ochrony sądowej, gdyż następuje to dopiero w chwili zgłoszenia zarzutu przedawnienia, niemniej jednak nie zmienia to faktu, że co najmniej przez okres przedawnienia roszczeń (który zgodnie z bezwzględnie obowiązującym art. 119 k.c., nie może być zmieniony czynnością prawną) obie strony stosunku prawnego mogą zgłaszać roszczenia, a dane dotyczące łączącej je relacji są konieczne do oceny ich zasadności.

Skarżący podkreślił jednocześnie, że zgodnie z treścią art. 117 § 21 k.c. po upływie terminu przedawnienia nie można domagać się zaspokojenia roszczenia przysługującego przeciwko konsumentowi, a w razie wystąpienia sporu, sąd z urzędu bierze tę okoliczność pod uwagę. W tej sytuacji, jak zauważył skarżący Bank, wbrew twierdzeniom Prezesa UODO, po upływie terminu przedawnienia bank nie mógłby zgłosić roszczeń wobec klienta, co w konsekwencji oznacza, iż nie jest uzasadniona sugestia organu nadzorczego, jakoby skarżący Bank przechowywał dane M.O. "permanentnie".

Ponadto, strona skarżąca wskazała, iż w niniejszej sprawie nie ulega wątpliwości, że dalsze przetwarzanie danych przez skarżący Bank w celu ustalenia, dochodzenia lub obrony przed roszczeniami wynika z faktu, że M.O. był klientem Banku. W tej sytuacji, według strony skarżącej, nie sposób zatem przyjąć, że klient nie może spodziewać się przetwarzania jego danych osobowych w związku z potencjalnymi roszczeniami wynikającymi z umowy, tym bardziej, że cel ten może leżeć w interesie samego klienta, albowiem przechowywane dane mogą służyć do prawidłowej oceny zgłaszanego roszczenia.

Mając powyższe na względzie, skarżący Bank uznał, że brak jest racjonalnych podstaw do przyjęcia, iż od dnia zakończenia umowy z klientem bank nie jest uprawniony do dalszego przetwarzania jego danych osobowych w celu ustalenia, dochodzenia i ochrony przed roszczeniami. Zdaniem strony skarżącej, działanie takie pozbawiałoby bowiem klienta przysługujących mu uprawnień. Skarżący Bank podkreślił, że w przypadku braku możliwości przetwarzania danych klientów dla tych celów bank nie mógłby wykonywać obowiązków wynikających z ustaw, ale także wynikających z postanowień umownych lub uzasadnionych interesów banku.

W tym miejscu, skarżący Bank zwrócił uwagę, że zgodnie z treścią wyroku Trybunału Sprawiedliwości Unii Europejskiej z dnia 11 września 2019 r. (sprawa C 383/18), w przypadku wcześniejszej spłaty pożyczki lub kredytu bank zobowiązany jest zwrócić klientowi część kosztów zmiennych (rozłożonych w czasie), co powoduje, że klienci banków mają praktycznie nieograniczony czas na złożenie reklamacji związanej z żądaniem poniesionych kosztów - w przepisach dotyczących składania reklamacji brak jest ograniczenia czasowego możliwości wniesienia takiej reklamacji.

Mając powyższe na względzie, organ nadzorczy uznał, że przyjęcie stanowiska organu nadzorczego wyrażonego w skarżonej decyzji doprowadziłoby do braku możliwości wykonywania uprawnień klientów wynikających z treści umów, przepisów prawa polskiego lub prawa Unii Europejskiej, jak również wydanych dotychczas orzeczeń sądów oraz orzeczeń, które zostaną wydane w przyszłości.

W konsekwencji, skarżący Bank stwierdził zatem, że [...] posiada podstawę prawną do przetwarzania danych osobowych w okresie przedawnienia roszczeń z umów zawartych pomiędzy M.O. a skarżącym Bankiem i nie musi w tym celu wykazywać istnienia konkretnego roszczenia którejkolwiek ze stron.

Według strony skarżącej, pogląd organu nadzorczego zaprezentowany w uzasadnieniu zaskarżonej decyzji mógłby doprowadzić w wielu sytuacjach do sztucznego kreowania roszczeń przez administratorów, tylko po to, żeby uzasadnić dalsze przechowywanie danych osobowych swoich klientów. Tymczasem, skarżący Bank uznał, że sama możliwość zgłoszenia roszczeń w okresie do upływu terminu przedawnienia jest już wystarczającą podstawą do stwierdzenia istnienia prawnie uzasadnionego interesu skarżącego Banku, przy jednoczesnej ochronie interesów podmiotu danych wynikającej właśnie z faktu przechowania tych danych. Ponadto, w ocenie strony skarżącej, przyjęcie interpretacji organu nadzorczego doprowadziłoby do nadmiernego uprzywilejowania jednej ze stron potencjalnego sporu. Skarżący Bank wskazał także, że w przypadku skierowania przez klienta roszczenia w stosunku do banku, instytucja ta byłaby pozbawiona realnej możliwości obrony swoich praw, w tym obrony przed niezasadnymi roszczeniami lub roszczeniami, które z innych przyczyn nie zasługują na uwzględnienie, co z kolei mogłoby stanowić istotne zagrożenie w zakresie potencjalnych nadużyć i bezpieczeństwa rynku finansowego. Skarżący Bank uznał, że brak uprawnienia po stronie [...] do przetwarzania danych osobowych swojego byłego klienta wiązałby się nie tylko z niemożliwością weryfikacji zasadności ewentualnych roszczeń, ale również niemożliwością ustalenia, czy skarżący Bank pozostawał w jakiejkolwiek relacji z osobą zgłaszającą roszczenie, albowiem jedyne źródło stanowiłyby wówczas informacje przekazane przez taką osobę.

W tej sytuacji, skarżący Bank uznał, że stanowisko organu nadzorczego stanowi błędną interpretację art. 6 ust. 1 lit. f RODO.

Uzasadniając z kolei zarzut naruszenia art. 58 ust. 2 lit. b RODO w związku z art. 6 ust. 1 RODO, strona skarżąca zwróciła uwagę, że w sytuacji, w której po stronie skarżącego Banku istniały podstawy do przetwarzania danych osobowych M.O. (inne niż realizacja umowy), za nieprawidłowe należy uznać dokonanie przez organ nadzorczy stwierdzenia, jakoby skarżący Bank dopuścił się naruszenia art. 6 ust. 1 RODO.

Skarżący wskazał, że zgodnie z art. 58 ust. 2 lit. b RODO, organowi nadzorczemu przysługują określone uprawnienia naprawcze, w tym udzielanie upomnień administratorowi lub podmiotowi przetwarzającemu w przypadku naruszenia przepisów RODO przez operacje przetwarzania. Tymczasem, jak zauważył skarżący Bank do naruszenia RODO nie doszło, ponieważ:

- jeśli uznać jako naruszenie tę część sentencji, która odnosi się do całego art. 6 ust. 1 RODO, to zarówno organ nadzorczy w uzasadnieniu, jak i skarżący w niniejszej skardze wykazują istnienie podstaw prawnych określonych w art. 6 ust. 1 lit. c i lit. f RODO,

- jeśli zaś przyjąć, że organ nadzorczy zarzuca skarżącemu Bankowi jedynie przetwarzanie danych "w celu wykonania umowy", to w tym zakresie strona skarżąca stoi na stanowisku, że po zakończeniu umowy, bank jest zobowiązany w związku z jej wykonywaniem przetwarzać dane dla celów rozpatrywania roszczeń i reklamacji.

Skarżący zauważył na marginesie, że fakt legitymowania się przesłankami uprawniającymi go do dalszego przetwarzania danych osobowych M.O. bezsprzecznie potwierdził również sam organ nadzorczy w uzasadnieniu zaskarżonej decyzji, wskazując w jej treści m.in. to, iż skarżący Bank przetwarza dane osobowe M.O. w celu wykonania obowiązku określonego w ustawie o rachunkowości, co stanowi wypełnienie przesłanki z art. 6 ust. 1 lit. c RODO (vide: strona 6 uzasadnienia decyzji). Jednocześnie, skarżący Bank zauważył, powołując się na uzasadnienie decyzji, że organ nadzorczy stwierdził ponadto, iż skarżący Bank jest uprawniony do przetwarzania tych danych osobowych w celach statystycznych na podstawie art. 105a ust. 4 Prawa bankowego, co stanowi prawnie uzasadniony interes skarżącego Banku i ma oparcie w art. 6 ust. 1 lit. f RODO (vide: strona 6 uzasadnienia spornej decyzji).

Mając na względzie powyższe, skarżący Bank stwierdził, że - wbrew stanowisku organu nadzorczego - posiada podstawy do przetwarzania danych osobowych M.O. wynikające z przepisów art. 6 ust. 1 lit. c i lit. f RODO, co w konsekwencji oznacza, że nie mógł on dopuścić się naruszenia art. 6 ust. 1 RODO, tj. przetwarzania danych osobowych bez podstawy prawnej.

W świetle powyższego, skarżący Bank stwierdził, że nałożenie przez Prezesa UODO upomnienia za rzekome naruszenie art. 6 ust. 1 RODO uznać należy za nieprawidłowe, gdyż - jak wynika z art. 58 ust. 2 lit. b RODO - uprawnienie naprawcze w postaci udzielenia administratorowi upomnienia przysługuje organom nadzorczym wyłącznie w przypadku naruszenia przepisów RODO, do którego w niniejszej sprawie nie doszło.

Ponadto, strona skarżąca - uzasadniając zarzutu naruszenia art. 6 ust. 1 lit. c RODO w związku z art. 5 ust. 1, art. 6 i art. 9 ustawy o rozpatrywaniu reklamacji przez podmioty rynku finansowego - podkreśliła, że z faktu realizacji umowy wynika ustawowy obowiązek rozpatrywania przez banki reklamacji klientów. Tymczasem, według strony skarżącej, w sytuacji gdyby skarżący Bank musiał zaprzestać przetwarzania danych osobowych uzyskanych w związku z realizacją umowy (i przykładowo pozbyć się pewnej części danych, które są przetwarzane tylko w tym celu), nie byłby w stanie poprawnie realizować wskazanego wyżej obowiązku ciążącego na instytucjach rynku finansowego.

W tym miejscu, skarżący Bank zauważył, że na podstawie przepisów ustawy o rozpatrywaniu reklamacji przez podmioty rynku finansowego, klienci uprawnieni są do wnoszenia reklamacji na działania banków, bez ograniczeń terminowych, a więc mogą oni wnieść reklamację w dowolnym momencie, również po zakończeniu obowiązywania umowy.

W tej sytuacji, strona skarżąca uznała, że w wyniku wydania zaskarżonej decyzji Prezes UODO doprowadził do sytuacji, którą można uznać za sprzeczną z prawem, albowiem organ nadzorczy nie uwzględnił celu przetwarzania polegającego na rozpatrywaniu i odpowiadaniu na reklamacje klientów, które to stanowią obowiązek skarżącego Banku wynikający z powszechnie obowiązujących przepisów prawa.

W odpowiedzi na skargę Prezes Urzędu Ochrony Danych Osobowych wniósł o jej oddalenie, podtrzymując swoje dotychczasowe stanowisko wyrażone w uzasadnieniu zaskarżonej decyzji.

Odnosząc się w pierwszej kolejności do zarzutu skarżącego Banku dotyczącego naruszenia art. 107 § 1 i § 3 k.p.a., organ nadzorczy podkreślił, że jest on nieuzasadniony, albowiem zaskarżone rozstrzygnięcie zawiera wszystkie wymagane w tym przepisie elementy składowe, a także zawiera wskazanie faktów, które organ nadzorczy uznał za udowodnione, dowodów, na których się oparł, oraz przyczyn, z powodu których innym dowodom odmówił wiarygodności i mocy dowodowej. Organ nadzorczy dodał także, że wszystkie ustalone przez organ okoliczności faktyczne powołane zostały wraz z dowodami, na których organ oparł się przy ich ustalaniu. Prezes UODO uznał również, iż w uzasadnieniu prawnym szczegółowo i wyczerpująco wyjaśnił podstawy prawne przedmiotowej decyzji. Organ nadzorczy stwierdził jednocześnie, że sporne rozstrzygnięcie wydane zostało w oparciu o stan faktyczny ustalony m.in. w wyniku złożonych przez skarżący Bank oświadczeń, a także był poprzedzone dokładnym zbadaniem okoliczności faktycznych sprawy ustalonych na podstawie wystarczającego materiału dowodowego.

Prezes Urzędu Ochrony Danych Osobowych stwierdził ponadto, że nie sposób zgodzić się z zarzutem dotyczącym naruszenia art. 107 § 1 i § 3 k.p.a., które polegać miało rzekomo na tym, iż uzasadnienie zaskarżonej decyzji jest sprzeczne z jej rozstrzygnięciem, a samo rozstrzygnięcie jest wewnętrznie sprzeczne.

Organ nadzorczy stwierdził, że prowadząc w niniejszej sprawie postępowanie wyjaśniające, podjął wszelkie niezbędne działania, które konieczne były dla wyjaśnienia stanu faktycznego sprawy. Jednocześnie, organ nadzorczy uznał, że - respektując art. 10 k.p.a. - zapewnił stronie skarżącej czynny udział w każdym stadium postępowania, a przed wydaniem spornej decyzji umożliwił stronie skarżącej wypowiedzenie się co do zebranych dowodów i materiałów oraz zgłoszonych żądań, ale skarżący Bank z tego nie skorzystał.

Organ nadzorczy za nieuzasadniony uznał również zarzut skarżącego Banku o nieuwzględnieniu w pełni podnoszonej w toku postępowania argumentacji strony skarżącej.

W konsekwencji, organ nadzorczy stwierdził, że sentencja zaskarżonej decyzji jednoznacznie wskazuje, iż proces przetwarzania danych osobowych skarżącego Banku w celu wykonania umowy o zawieranie umów produktowych wraz z umową o bankowość elektroniczną [...] nr [...] z dnia [...] maja 2013 r., nie znajduje oparcia w jakiejkolwiek przesłance przewidzianej w przepisie art. 6 ust. 1 RODO, która legalizuje proces przetwarzania danych osobowych. Organ nadzorczy stwierdził w konsekwencji, że treść spornego rozstrzygnięcia jest prawidłowa i zrozumiała, odnosi się do określonego celu i okresu przetwarzania danych osobowych wnioskodawcy przez skarżący Bank i jednoznacznie wynika z niej, że proces ten nastąpił z naruszeniem art. 6 ust. 1 RODO, co nie powinno budzić jakichkolwiek wątpliwości Banku.

Odnosząc się do zarzutu naruszenia przez organ nadzorczy art. 8 k.p.a. polegającego na odstąpieniu od dotychczasowej utrwalonej praktyki w orzecznictwie organu, Prezesa UODO stwierdził, że argumentacja skarżącego Banku jest niezasadna, albowiem powołane przez stronę skarżącą decyzje odbiegają w mniejszym lub większym stopniu od stanu faktycznego występującego w niniejszej sprawie, a ponadto zostały wydane w momencie obowiązywania ustawy z dnia 29 sierpnia 1997 r., a więc przed rozpoczęciem obowiązywania przepisów RODO. W tej sytuacji, organ nadzorczy stwierdził, że ciężko uznać przywołane przez stronę skarżącą decyzje za rzekomo potwierdzające odejście przez Prezesa UODO od utartej praktyki. Ponadto, organ nadzorczy zauważył, iż każda sprawa jest rozpatrywana przez Prezesa UODO indywidualnie, zaś każdy stan faktyczny i prawny weryfikowany osobno. Jednocześnie, Prezes UODO podkreślił, że przestrzeganie przez organ zasady praworządności powinno mieć pierwszeństwo nad wynikającym z zasady zaufania do organów administracji publicznej oczekiwaniem strony do otrzymania decyzji takiej samej, jak decyzje uprzednio wydawane w identycznych, bądź podobnych stanach faktycznych i prawnych.

Prezes UODO wskazał ponadto, że nie podziela stanowiska skarżącego Banku przedstawionego na okoliczność zarzutu naruszenia art. 6 ust. 1 lit. f RODO w zw. z art. 117 § 2 i § 21, art. 118 i art. 119 k.c., podtrzymując swoje stanowisko, iż przesłanka wskazana w art. 6 ust. 1 lit. f RODO nie stanowi podstawy dla przetwarzania przez skarżący Bank danych osobowych wnioskodawcy w celu ewentualnego dochodzenia roszczeń przez ten bank oraz obrony przez ewentualnymi roszczeniami kierowanymi wobec skarżącego Banku. Organ nadzorczy wskazał, że przetwarzanie danych w celu dochodzenia roszczeń (przetwarzanie w celach windykacyjnych) oraz obrony przed roszczeniami, nie jest tożsame z przetwarzaniem na wypadek przyszłej i niepewnej ewentualności konieczności dochodzenia roszczeń lub obrony przed nimi. Organ nadzorczy podkreślił, że przesłanka z art. 6 ust. 1 lit. f RODO dotyczy sytuacji już istniejącej, w której celem wynikającym z prawnie uzasadnionych interesów realizowanych przez administratora jest konieczność udowodnienia, potrzeba dochodzenia lub obrony przed roszczeniem istniejącym, nie zaś sytuacji, gdy dane są przetwarzane w celu zabezpieczenia się przed ewentualnym roszczeniem mogącym powstać w przyszłości. Organ nadzorczy zauważył, iż podziela w tym zakresie stanowisko Naczelnego Sądu Administracyjnego zawarte w wyroku z dnia 27 marca 2018 r., sygn. akt I OSK 1459/16, z którego jasno wynika, że takiego rodzaju przetwarzanie stanowi niedopuszczalne przetwarzanie danych osobowych "na zapas". Organ nadzorczy podkreślił, że przy przyjęciu odmiennej interpretacji wspomnianych przepisów, wnioskodawca zostałby pozbawiony ochrony na gruncie RODO oraz ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych. Organ nadzorczy uznał bowiem, że przyjęcie za prawidłowe stanowiska strony skarżącej, jakoby przetwarzanie danych osobowych w celu uchylenia się od negatywnych skutków w przypadku zgłoszenia w przyszłości ewentualnego i nieokreślonego roszczenia, stanowi prawnie usprawiedliwiony cel, w rozumieniu art. 6 ust. 1 lit. f RODO, oznaczałoby w konsekwencji, że dane osobowe wnioskodawcy mogą być przetwarzane przez Bank permanentnie, bez konieczności ich usunięcia. Organ nadzorczy zauważył, że przyjęcie zaprezentowanego przez skarżący Bank stanowiska oznaczałoby możliwość przetwarzania danych osobowych bezterminowo, bowiem złożenie skargi do niniejszego organu nie jest ograniczone w czasie, podobnie jak roszczenie formułowane na podstawie art. 79 ust. 1 RODO, do którego rozstrzygnięcia w przedmiocie jego zasadności właściwy jest sąd powszechny.

Prezes Urzędu Ochrony Danych Osobowych wskazał, że stanowisko skarżącego Banku dotyczące uzależnienia okresu przedawnienia roszczeń cywilnoprawnych i ich wpływu na okres przetwarzania danych osobowych w celu ewentualnego dochodzenia roszczeń lub ewentualnej obrony przed nimi jest wewnętrznie sprzeczne. Organ nadzorczy zauważył bowiem, że sam skarżący Bank podniósł, że powołane przepisy regulują jedynie okres, w którym można dochodzić roszczeń na drodze sądowej, a ich upływ nie przekreśla możliwości zgłoszenia roszczeń względem dłużnika na drodze pozasądowej.

Ponadto, Prezes UODO podniósł, że sam skarżący Bank w treści swojej skargi wskazał kolejną przyczynę podważającą zasadność przetwarzania danych osobowych w celu obrony przed ewentualnymi roszczeniami, albowiem zauważył w uzasadnieniu skargi, że niezależnie od terminów przedawnień roszczeń, byli klienci mogą zwrócić się do banku z żądaniami zawartymi w reklamacji, których możliwość wniesienia nie podlega jakikolwiek ograniczeniom czasowym. W konsekwencji, w ocenie organu nadzorczego, aprobata stanowiska skarżącego Banku doprowadziłaby do możliwości podważenia wszelkich limitów odnośnie okresu przetwarzania danych osobowych byłych klientów instytucji rynku finansowego.

W tej sytuacji, organ nadzorczy uznał, że powyższe argumenty podważają również zasadność zarzutu rzekomego naruszenia przez organ nadzorczy przepisów art. 6 ust. 1 lit. c RODO w związku z art. 5 ust. 1, art. 6 i art. 9 ustawy o rozpatrywaniu reklamacji przez podmioty rynku finansowego, przy czym - jak zauważył na marginesie Prezes UODO - skarżący Bank w swoich rozważaniach pominął normę prawną przewidzianą w art. 5 ust. 1 lit. e cyt. ustawy, która statuuje zasadę ograniczenia czasowego.

Organ nadzorczy nie podzielił w konsekwencji stanowiska skarżącego Banku, jakoby w zakresie przetwarzania danych osobowych wnioskodawcy w celu wykonania umowy o zawieranie umów produktowych wraz z umową o bankowość elektroniczną [...] nr [...] z dnia [...] maja 2013 r., bank ten po zakończeniu umowy jest zobowiązany w związku z jej wykonaniem przetwarzać dane dla celów rozpatrywania (przyszłych i nieistniejących jeszcze) roszczeń i reklamacji. Organ nadzorczy wskazał w tym miejscu, że z treści materiału dowodowego zebranego w sprawie jednoznacznie wynika, że oprócz wniesienia skargi do Prezesa UODO wnioskodawca nie zgłaszał innych roszczeń poza określonymi w piśmie złożonym Bankowi w dniu [...] sierpnia 2015 r., zawierającym oświadczenie o wypowiedzeniu umów.

Mając powyższe na względzie, organ nadzorczy uznał, że nie można zatem zaakceptować stanowiska strony skarżącej, jakoby przetwarzanie danych osobowych wnioskodawcy w zakresie dotyczącym umowy o zawieranie umów produktowych wraz z umową o bankowość elektroniczną [...] nr [...] z dnia [...] maja 2013 r., było realizowane w celu wykonania tych umów, w sytuacji gdy w wyniku błędnego (i przyznanego przez sam skarżący Bank) procedowania złożonego przez wnioskodawcę wypowiedzenia, skarżący Bank, jako strona umowy, działał przez okres kilku lat w mylnym przeświadczeniu, że łączy go z wnioskodawcą relacja umowna, zaś były klient działał w mylnym wrażeniu, że owa relacja go już nie łączy.

W przesłanym do Sądu piśmie procesowym z dnia [...] czerwca 2021 r. skarżący Bank, reprezentowany przez radcę prawnego, ustosunkowując się do argumentacji Prezesa UODO zawartej w odpowiedzi na skargę, przedstawił stanowisko, które - w ocenie strony skarżącej - świadczyć ma o wadliwości wydanej przez organ nadzorczy decyzji.

Wojewódzki Sąd Administracyjny w Warszawie zważył, co następuje.

Zgodnie z art. 1 § 1 i 2 ustawy z dnia 25 lipca 2002 r. - Prawo o ustroju sądów administracyjnych (tekst jednolity Dz. U. z 2021 r., poz. 137), sądy administracyjne sprawują wymiar sprawiedliwości przez kontrolę działalności administracji publicznej, przy czym kontrola ta sprawowana jest pod względem zgodności z prawem, jeżeli ustawy nie stanowią inaczej.

W świetle powołanych przepisów cyt. ustawy, Wojewódzki Sąd Administracyjny w Warszawie, w zakresie swojej właściwości, ocenia zaskarżoną decyzję administracyjną, postanowienie, czy też inny akt lub czynność z zakresu administracji publicznej dotyczącą uprawnień lub obowiązków wynikających z przepisów prawa, z punktu widzenia ich zgodności z prawem materialnym i przepisami postępowania administracyjnego, według stanu faktycznego i prawnego obowiązującego w dacie wydania tego aktu lub podjęcia spornej czynności. Chodzi więc o kontrolę aktów lub czynności z zakresu administracji publicznej dokonywaną wyłącznie pod względem ich zgodności z prawem materialnym i przepisami procesowymi, nie zaś według kryteriów słuszności, czy też zgodności z zasadami współżycia społecznego.

Ponadto, co wymaga podkreślenia, Sąd rozstrzyga w granicach danej sprawy, nie będąc jednak związany zarzutami i wnioskami skargi oraz powołaną podstawą prawną (vide: art. 134 § 1 ustawy z dnia 30 sierpnia 2002 r. - Prawo o postępowaniu przed sądami administracyjnymi - tekst jednolity Dz. U. z 2022 r., poz. 329 ze zm. - dalej także: "P.p.s.a.").

Należy jednocześnie wyraźnie zaznaczyć, że od dnia wejścia w życie Traktatu Akcesyjnego z dnia 16 kwietnia 2003 r. (Dz. U. z 2004 r. Nr 90, poz. 864), na mocy którego Polska stała się państwem członkowskim Unii Europejskiej, kontrola sądu administracyjnego obejmuje również zgodność rozstrzygnięć organów administracji publicznej z prawem europejskim (prawem Unii Europejskiej), rozumianym, jako całokształt dorobku prawnego Unii Europejskiej (acquis communautaire), w tym zasad ogólnych prawa europejskiego, interpretowanych oraz stosowanych w sposób jednolity na całym obszarze Unii Europejskiej.

Należy zauważyć, że w tej sytuacji, Wojewódzki Sąd Administracyjny w Warszawie, dokonując oceny legalności zaskarżonej decyzji Prezesa Urzędu Ochrony Danych Osobowych, zobowiązany był - co do zasady - zbadać jej zgodność przede wszystkim z przepisami prawa europejskiego, w tym w szczególności z regulacjami zawartymi w rozporządzeniu Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych - zwane także: "RODO").

W ocenie Wojewódzkiego Sądu Administracyjnego w Warszawie, analizowana pod tym kątem skarga [...] z siedzibą w [...] zasługuje na uwzględnienie, albowiem sporna decyzja Prezesa Urzędu Ochrony Danych Osobowych z dnia [...] stycznia 2021 r., w zaskarżonej części, a więc w zakresie, w którym organ nadzorczy udzielił skarżącemu Bankowi upomnienia za naruszenie art. 6 ust. 1 RODO, polegające na przetwarzaniu danych osobowych M.O. w celu wykonania umowy o zawieranie umów produktowych wraz z umową o bankowość elektroniczną [...] nr [...] z dnia [...] maja 2013 r. bez podstawy prawnej, w terminie od [...] maja 2018 r. do [...] lutego 2020 r. (pkt 1 zaskarżonej umowy) narusza w sposób istotny obowiązujące przepisy prawa.

Analizując niniejszą sprawę, Sąd doszedł bowiem do wniosku, że organ nadzorczy, wydając wspomnianą decyzję administracyjną w spornej części, dopuścił się - mogącego mieć zasadniczy wpływ na wynik sprawy - naruszenia przepisów procedury administracyjnej, w szczególności art. 107 § 1 i 3 k.p.a. w zw. z art. 7 ust. 1 ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych, które to naruszenie polegało przede wszystkim na tym, że uzasadnienie zaskarżonej decyzji jest sprzeczne z jej rozstrzygnięciem (sentencją) zawartym w punkcie 1 decyzji, zaś ów brak spójności pomiędzy sentencją a uzasadnieniem decyzji organu nadzorczego, jako stanowiące niemożliwe do konwalidowania naruszenie wspomnianych wyżej przepisów k.p.a., skutkowało w konsekwencji nieuzasadnionym udzieleniem przez organ nadzorczy upomnienia skarżącemu Bankowi za rzekome naruszenie art. 6 ust. 1 RODO, polegające na przetwarzaniu danych osobowych M.O. w celu wykonania wspomnianych wyżej umów bez podstawy prawnej.

Ponadto, według składu Sądu orzekającego w niniejszej sprawie, uznać należy, że niezależnie od wskazanego powyżej istotnego uchybienia procesowego, Prezes UODO dopuścił się przede wszystkim istotnego naruszenia przepisów prawa materialnego, w tym w szczególności naruszenia art. 6 ust. 1 lit. f RODO w związku z art. 117 § 2 i § 21 , art. 118 i art. 119 ustawy z dnia 23 kwietnia 1964 r. - Kodeks cywilny, które to naruszenie polegało na niewłaściwym zastosowaniu wspomnianych przepisów i w konsekwencji nieuzasadnionym przyjęciu, że przechowywanie wspomnianych danych przez okres przedawnienia roszczeń, również w przypadku, gdy ani administrator danych ani osoba, której dane dotyczą, nie zgłosiła jeszcze roszczenia, nie stanowi prawnie uzasadnionego interesu skarżącego Banku, w rozumieniu art. 6 ust. 1 lit. f RODO, gdy tymczasem przepisy te - w ocenie Sądu - uprawniają stronę skarżącą do przetwarzania danych osobowych w celu ustalenia, dochodzenia i ochrony przed roszczeniami.

Sąd uznał w tej sytuacji, że doszło również do naruszenia przepisów art. 58 ust. 2 lit. b RODO w zw. z art. 6 ust. 1 RODO, które polegało na ich niewłaściwym zastosowaniu i przyjęciu przez organ nadzorczy, że [...] dopuścił się naruszenia przepisów RODO, które uzasadniałoby udzielenie skarżącemu Bankowi upomnienia, podczas gdy strona skarżąca legitymowała się podstawami prawnymi do przetwarzania danych osobowych M.O., co nota bene potwierdził w uzasadnieniu spornej decyzji sam organ nadzorczy, wskazując na okoliczności świadczące o posiadaniu przez stronę skarżącą podstaw do przetwarzania danych osobowych byłego klienta, co z kolei świadczyłoby jednak o braku naruszenia przez skarżący Bank przepisów RODO.

Tym samym, Sąd uznał, że Prezes Urzędu Ochrony Danych Osobowych, wydając punkt pierwszy spornej decyzji administracyjnej - dopuścił się w powyższym zakresie istotnego naruszenia zasady praworządności wyrażonej w przepisach art. 6 k.p.a. i art. 7 in principio k.p.a. w zw. z art. 7 ust. 1 ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych oraz art. 7 Konstytucji RP.

Przechodząc do oceny legalności spornej decyzji Prezesa UODO, należy zauważyć na wstępie, że przedmiotem sporu w niniejszej sprawie była kwestia prawidłowości ustaleń organu nadzorczego w zakresie legitymowania się przez skarżący Bank, jako administratora danych, przesłanką uprawniającą - w świetle przepisów RODO - do przetwarzania danych osobowych M.O. uzyskanych w związku z wykonaniem umowy o zawieranie umów produktowych wraz z umową o bankowość elektroniczną [...] nr [...] z dnia [...] maja 2013 r. w okresie od dnia [...] maja 2018 r. do dnia [...] lutego 2020 r., a w konsekwencji ocena zasadności podjęcia wobec strony skarżącej prawnie wiążącego środka naprawczego, o którym mowa w art. 58 ust. 2 lit. b RODO.

W niniejszej sprawie Prezes UODO, wydając punkt 1 zaskarżonej decyzji, stwierdził, iż w trakcie prowadzonego postępowania ustalono, że skarżący Bank, będąc administratorem danych, nie legitymował się ważną przesłanką legalizującą dalsze przetwarzanie danych osobowych M.O.. Organ nadzorczy uznał w konsekwencji, że skoro strona skarżąca przetwarza wspomniane dane osobowe z naruszeniem przepisów RODO, to tym samym w przedmiotowej sprawie zachodzi podstawa prawna do udzielenia jej, jako administratorowi danych, upomnienia, o którym mowa w art. 58 ust. 2 lit. b RODO.

W ocenie Sądu, uznać należy jednak, iż dokonując powyższych ustaleń, organ nadzorczy dopuścił się istotnego naruszenia prawa.

Należy wyraźnie wskazać, że Prezes Urzędu Ochrony Danych Osobowych jest organem właściwym w sprawie ochrony danych osobowych (art. 34 ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych) i jednocześnie organem nadzorczym, w rozumieniu rozporządzenia 2016/679 (art. 34 ust. 2 u.o.d.o.).

Jak stanowi art. 57 ust. 1 lit. a i lit. f RODO, bez uszczerbku dla innych zadań określonych na mocy niniejszego rozporządzenia, każdy organ nadzorczy na swoim terytorium monitoruje i egzekwuje stosowanie niniejszego rozporządzenia, a także rozpatruje skargi wniesione przez osobę, której dane dotyczą.

Nie ulega wątpliwości, że rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) stanowi kompleksową regulację dotyczącą ochrony danych osobowych, która nie wymaga implementacji ustawą krajową, aby mogła być stosowana w danym państwie.

Jednocześnie, państwom członkowskim Unii Europejskiej pozostawiono jednak pewien zakres swobody w zakresie regulacji na poziomie krajowym, aby niektóre zagadnienia doprecyzować (np. w przypadku organu nadzorczego, czy odpowiedzialności za naruszenie zasad ochrony danych osobowych), czy też dostosować zasady wprowadzone przez RODO do innych obowiązujących w danym porządku prawnym zasad.

Ze wskazanych wyżej przepisów art. 57 ust. 1 lit. a i lit. f RODO wynika m.in., iż procedura, w ramach której prowadzone są postępowania zainicjowane skargą wniesioną przez osobę, której dane dotyczą, określana jest przez poszczególne państwa członkowskie Unii Europejskiej. Pozostawienie w tym zakresie państwom członkowskim autonomii jest wyrazem realizacji zasady autonomii proceduralnej państw członkowskich. W tej sytuacji, skargi są wnoszone i rozpatrywane na podstawie przepisów proceduralnych obowiązujących w danym państwie członkowskim UE.

Art. 60 ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych stanowi, że postępowanie w sprawie naruszenia przepisów o ochronie danych osobowych, zwane dalej "postępowaniem", jest prowadzone przez Prezesa Urzędu.

Nie ulega wątpliwości, że postępowanie w sprawie naruszenia przepisów o ochronie danych jest jednym z postępowań administracyjnych przed Prezesem Urzędu Ochrony Danych Osobowych. O takim jego charakterze rozstrzyga art. 7 ust. 1 ustawy o ochronie danych osobowych, który postępowanie z rozdziału 7 kwalifikuje jako administracyjne i przewiduje w sprawach w niej nieuregulowanych stosowanie do tego postępowania Kodeksu postępowania administracyjnego. Warto przy tym zauważyć, że ustawodawca w art. 7 ust. 1 cyt. ustawy nie przewiduje stosowania odpowiedniego, oznacza to zatem stosowanie przepisów ogólnej procedury administracyjnej wprost, z modyfikacjami wynikającymi z regulacji ustawy o ochronie danych osobowych.

Użyte w art. 60 u.o.d.o. określenie "naruszenie przepisów o ochronie danych osobowych" ma zakres szeroki i obejmuje naruszenia wszystkich przepisów o ochronie danych, zarówno zawartych w unijnym rozporządzeniu, jak i w przepisach krajowych, które uzupełniają lub modyfikują regulacje unijne.

Zgodnie z art. 7 ust. 1 u.o.d.o., w sprawach nieuregulowanych w ustawie do postępowań administracyjnych przed Prezesem Urzędu Ochrony Danych Osobowych, o których mowa w rozdziale 4-7 i 11 (a więc również w rozdziale 7 dotyczącym postępowania w sprawie naruszenia przepisów o ochronie danych osobowych), stosuje się przepisy Kodeksu postępowania administracyjnego.

Zdaniem Sądu, nie ulega wątpliwości, że związanie rygorami procedury administracyjnej oznacza, iż Prezes UODO jest obowiązany m.in. do przestrzegania zasady pogłębiania zaufania obywateli do organów praworządnego Państwa (art. 8 § 1 k.p.a.). W tej sytuacji, organ nadzorczy, uwzględniając powyższą zasadę, zobowiązany jest przede wszystkim dokładnie wyjaśnić okoliczności sprawy, konkretnie ustosunkować się do żądań i twierdzeń strony skarżącej oraz uwzględnić w decyzji zarówno interes społeczny, jak i słuszny interes strony skarżącej. Organ nadzorczy jest ponadto obowiązany w sposób wyczerpujący zebrać i ocenić cały materiał dowodowy (art. 7, art. 77 § 1 i art. 80 k.p.a.) oraz uzasadnić swoje rozstrzygnięcie według wymagań określonych w przepisie art. 107 § 3 k.p.a.

Jeżeli zatem określona osoba fizyczna zgłasza Prezesowi Urzędu Ochrony Danych Osobowych nieprawidłowości w zakresie przetwarzania swoich danych osobowych, organ ten jest zobligowany do wszczęcia postępowania wyjaśniającego, którego zadaniem jest ustalenie, czy dane osobowe są w istocie przetwarzane, a jeżeli tak, to w jakim celu i czy proces ten następuje z poszanowaniem przepisów zarówno RODO, jak i ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych.

Taka sytuacja miała miejsce w rozpoznawanej sprawie.

Otóż, Prezes Urzędu Ochrony Danych Osobowych, rozpatrując skargę M.O. z dnia [...] października 2019 r., zobowiązany był dokonać oceny, czy w sprawie doszło w ogóle do przetwarzania danych osobowych wnoszącego skargę, a w konsekwencji, czy ewentualnie sporne przetwarzanie - o ile do niego rzeczywiście doszło - było zgodne z prawem, przy jednoczesnym uwzględnieniu okoliczności przetwarzania tych danych, jeśli miało ono miejsce, a także przy uwzględnieniu całokształtu zgromadzonego w sprawie materiału dowodowego oraz w kontekście odpowiednio zastosowanych przepisów prawa, w tym przede wszystkim przepisów RODO oraz ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych.

Należy zauważyć, iż w świetle przepisu art. 4 pkt 2 RODO, przez "przetwarzanie" rozumie się operację lub zestaw operacji wykonywanych na danych osobowych lub zestawach danych osobowych w sposób zautomatyzowany lub niezautomatyzowany, takie jak zbieranie, utrwalanie, organizowanie, porządkowanie, przechowywanie, adaptowanie lub modyfikowanie, pobieranie, przeglądanie, wykorzystywanie, ujawnianie poprzez przesłanie, rozpowszechnianie lub innego rodzaju udostępnianie, dopasowywanie lub łączenie, ograniczanie, usuwanie lub niszczenie.

W tej sytuacji, mając na względzie powyższą definicję przetwarzania, Prezes Urzędu Ochrony Danych Osobowych, jako organ nadzorczy, zobowiązany był, analizując wniesioną w dniu [...] października 2019 r. skargę, przeprowadzić stosowne postępowanie wyjaśniające i na podstawie całokształtu zgromadzonego materiału dowodowego ustalić, czy powoływane przez wnoszącego skargę naruszenia praw wynikających z RODO zostały udowodnione.

Z uwagi na fakt, iż zarówno RODO, jak i ustawa o ochronie danych osobowych nie regulują kwestii postępowania dowodowego i powinności organu nadzorczego związanych z czynieniem ustaleń faktycznych, zastosowanie w tym zakresie znajdują reguły i zasady określone w Kodeksie postępowania administracyjnego.

Organ nadzorczy, rozstrzygając sprawę zainicjowaną wspomnianą skargą M.O., zobowiązany był więc uwzględnić fakt, iż dowodami w postępowaniu mogą być w szczególności dokumenty, zeznania świadków, opinie biegłych oraz oględziny (art. 75 § 1 k.p.a.).

Celem postępowania administracyjnego jest rozstrzygnięcie sprawy administracyjnej dotyczącej konkretnie wskazanego adresata. Jednym ze stadiów postępowania jest stadium wyjaśniające - pozwalające ustalić dokładny stan faktyczny w danej sprawie. W wyniku postępowania wyjaśniającego organ administracji publicznej ma dojść do wskazanej w art. 7 k.p.a. prawdy obiektywnej, co czyni za pomocą środków dowodowych.

Warto przy tym zauważyć, że Kodeks postępowania administracyjnego nie wskazuje dowodów "mocniejszych" oraz "słabszych", przyjmując zasadę równej mocy środków dowodowych.

Kodeks postępowania administracyjnego nie określa również zamkniętego katalogu środków dowodowych, jakie mogą być stosowane w toku postępowania administracyjnego. Ustawodawca posłużył się jedynie przykładowym wyliczeniem, wskazując, że w szczególności mogą nimi być dokumenty, zeznania świadków, opinie biegłych oraz oględziny. Jako dowód może natomiast posłużyć wszystko, co jest zgodne z prawem i może przyczynić się do wyjaśnienia sprawy. Należy podkreślić, że chodzi tu o sprzeczność zarówno z prawem materialnym, jak i proceduralnym. Przyjęta w art. 75 § 1 k.p.a. koncepcja wskazuje, że wymienione przykładowo w tym przepisie dowody powinny zostać uznane za podstawowe i najczęściej stosowane w postępowaniu administracyjnym.

Warto jednocześnie zauważyć, że o ile postępowanie w sprawie naruszenia przepisów o ochronie danych osobowych, którego dotyczy rozdział 7 ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych, jest postępowaniem administracyjnym, do którego na podstawie art. 7 ust. 1 u.o.d.o. znajdują zastosowanie przepisy Kodeksu postępowania administracyjnego i w ramach którego to postępowania prowadzący je organ jest związany kodeksowymi standardami prowadzenia postępowania wyjaśniającego, o tyle Prezes UODO, jako organ nadzorczy, może ponadto skorzystać z możliwość posłużenia się w procesie gromadzenia dowodów takim instrumentem, jakim jest przeprowadzenie kontroli przestrzegania przepisów, o której mowa w art. 68 ust. 1 u.o.d.o.

Zgodnie z art. 68 ust. 1 u.o.d.o., jeżeli w toku postępowania zajdzie konieczność uzupełnienia dowodów, Prezes Urzędu może przeprowadzić postępowanie kontrolne.

Wspomniany przepis art. 68 ust. 1 u.o.d.o. pozwala organowi nadzorczemu dopuścić, jako dowód, materiały uzyskane w rezultacie przeprowadzonej kontroli. W ramach tego postępowania, kontrolujący ustala stan faktyczny na podstawie dowodów zabranych w postępowaniu kontrolnym, a w szczególności dokumentów, przedmiotów, oględzin oraz ustnych lub pisemnych wyjaśnień i oświadczeń (art. 87 u.o.d.o.). Kontrolujący może także przesłuchać w charakterze świadka pracownika kontrolowanego (art. 86 ust. 1 u.o.d.o.).

W tym miejscu, należy oczywiście wyraźnie zauważyć, że postępowanie kontrolne jest postępowaniem odrębnie uregulowanym w ustawie, a więc nie mają do niego zastosowania przepisy Kodeksu postępowania administracyjnego, albowiem art. 7 ust. 1 u.o.d.o. nie wymienia postępowania uregulowanego w rozdziale 9 cyt. ustawy. Niemniej jednak, wskazać trzeba, że zebrany w toku kontroli materiał dowodowy będzie materiałem podlegającym ocenie w postępowaniu, dla potrzeb którego został zebrany, czyli postępowaniu o charakterze administracyjnym, do którego zastosowanie znajdują przepisy Kodeksu postępowania administracyjnego i zgodnie z kodeksowymi zasadami oceny materiału dowodowego (tak również: Iwona Bogucka /w:/ Ustawa o ochronie danych osobowych. Komentarz, pod red. dr. Dominika Lubasza, WKP 2019, teza 4 komentarza do art. 68 u.o.d.o.).

Mając na względzie powyższe, należy zauważyć, że Prezes UODO, przeprowadzając sporne postępowanie wyjaśniające wykorzystał wszelkie niezbędne instrumenty prawne, jakie dawała mu ustawa o ochronie danych osobowych i uzasadniając swoje stanowisko w decyzji z dnia [...] stycznia 2021 r., przyjął, pomimo oczywistej wewnętrznej niespójności swojego stanowiska, że strona skarżąca nie legitymuje się przesłanką przetwarzania danych wynikającą z art. 6 ust. 1 RODO.

Tymczasem, skarżący Bank wskazał wyraźnie w skierowanej do Sądu skardze, że organ nadzorczy nie tylko pominął szereg okoliczności istotnych dla prawidłowego rozpatrzenia sprawy zainicjowanej w dniu [...] października 2019 r. skargą M.O., ale również dopuścił się istotnego naruszenia przepisów art. 107 § 1 i § 3 k.p.a. polegającego na tym, że uzasadnienie zaskarżonej decyzji jest sprzeczne z jej rozstrzygnięciem zawartym w punkcie 1 tej decyzji.

Według Sądu, warto zauważyć, że Prezes UODO stwierdził w punkcie 1 spornej decyzji, że strona skarżąca naruszyła art. 6 ust. 1 RODO bez wyszczególnienia konkretnej z wymienionych w tym przepisie przesłanek, co oznaczałoby, że zdaniem organu nadzorczego skarżący Bank nie był w ogóle uprawniony do przetwarzania w spornym okresie danych M.O.. Tymczasem, takie rozumienie sentencji zawartej w punkcie 1 zaskarżonej decyzji jest w sposób oczywisty sprzeczne z jej uzasadnieniem, ponieważ na stronach 5, 6 i 9 uzasadnienia Prezes UODO przyznał jednocześnie, że skarżący Bank ma prawo przetwarzać dane osobowe klientów, w tym wnioskodawcy na podstawie przepisów ustawy z dnia 29 września 1994 r. o rachunkowości, a także na podstawie art. 105a ust. 4 i 5 ustawy z dnia 29 sierpnia 1997 r. - Prawo bankowe, co sugerowałoby w konsekwencji, iż organ nadzorczy uznał jednak, że [...] legitymuje się w związku z powyższym przesłankami, o których mowa w art. 6 ust. 1 lit. c oraz lit. f RODO, co z kolei prowadziłoby do konkluzji, iż nie może być zatem mowy o naruszeniu art. 6 ust. 1 cyt. rozporządzenia.

Mając na względzie powyższe, stwierdzić należy, iż skarżący Bank zasadnie uznał zatem, że istnieje oczywista sprzeczność pomiędzy rozstrzygnięciem (punktem 1 sentencji decyzji) a uzasadnieniem spornej decyzji, gdy tymczasem nie ulega wątpliwości, iż rozstrzygnięcie organu nadzorczego winno być spójne z uzasadnieniem wydanej decyzji. W konsekwencji, w ocenie Sądu, wskazana sprzeczność prowadzi do uzasadnionych wątpliwości co do tego za co Prezes UODO nałożył na [...] upomnienie.

Warto, według Sądu, wskazać jednocześnie, że gdyby organ nadzorczy kwestionował możliwość przetwarzania danych w związku z umową, powołując się na fakt jej skutecznego wypowiedzenia przez klienta, sentencja zawarta w spornym punkcie decyzji z dnia [...] stycznia 2021 r. powinna była wskazywać na wadliwe zastosowanie konkretnej przesłanki, a więc w takim przypadku art. 6 ust. 1 lit. b RODO, a nie całego art. 6 ust. 1 tego rozporządzenia unijnego.

W związku z tym, tak czy inaczej, należy zgodzić się ze skarżącym Bankiem, że brak wskazania przez organ nadzorczy konkretnej podstawy prawnej stanowi naruszenie art. 107 § 1 i 3 k.p.a. W tej sytuacji, Sąd uznał, iż uzasadniony jest zarzut naruszenia przez organ nadzorczy wskazanych wyżej przepisów art. 107 § 1 i § 3 k.p.a. w związku z art. 7 ust. 1 ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych, albowiem z zestawienia samej sentencji zawartej w punkcie 1 spornej decyzji ze wspomnianymi wyżej fragmentami jej uzasadnienia nie wynika jednoznacznie, iż skarżący Bank, jako administrator danych, nie dysponował podstawą prawną do dalszego przetwarzania danych osobowych M.O..

Jednakże, należy wyraźnie podkreślić, iż niezależnie od powyższego istotnego uchybienia formalnoprawnego, Sąd uznał, że wydając zaskarżoną decyzję administracyjną z dnia [...] stycznia 2021 r., Prezes UODO w sposób nieprawidłowy zastosował przede wszystkim przepisy prawa materialnego.

Otóż, Wojewódzki Sąd Administracyjny w Warszawie uznał, że Prezes UODO, nakładając na skarżący Bank upomnienie za rzekome naruszenie art. 6 ust. 1 RODO polegające na przetwarzaniu danych osobowych M.O. przez skarżący Bank bez podstawy prawnej w sposób określony w punkcie 1 spornej decyzji, dopuścił się naruszenia art. 6 ust. 1 lit. f RODO w związku z art. 117 § 2 i § 21 , art. 118 i art. 119 ustawy z dnia 23 kwietnia 1964 r. - Kodeks cywilny, które to naruszenie polegało na niewłaściwym zastosowaniu wspomnianych przepisów i w konsekwencji nieuzasadnionym przyjęciu, że przechowywanie przez skarżący Bank wspomnianych danych przez okres przedawnienia roszczeń wynikających z umów, również w przypadku, gdy ani administrator danych ani osoba, której dane dotyczą, nie zgłosiła jeszcze roszczenia, nie stanowi prawnie uzasadnionego interesu skarżącego Banku, w rozumieniu art. 6 ust. 1 lit. f RODO, gdy tymczasem przepisy te - w ocenie Sądu - uprawniały stronę skarżącą do przetwarzania danych osobowych w celu ustalenia, dochodzenia i ochrony przed roszczeniami.

Art. 6 ust. 1 lit. f RODO stanowi, że przetwarzanie jest zgodne z prawem w przypadku, gdy jest niezbędne do celów wynikających z prawnie uzasadnionych interesów realizowanych przez administratora lub przez stronę trzecią, z wyjątkiem sytuacji, w których nadrzędny charakter wobec tych interesów mają interesy lub podstawowe prawa i wolności osoby, której dane dotyczą, wymagające ochrony danych osobowych, w szczególności, gdy osoba, której dane dotyczą, jest dzieckiem.

Przyjmuje się w doktrynie, że przesłanka legalizująca przetwarzanie danych osobowych zawarta w tym przepisie przyjmuje charakter swoistej klauzuli generalnej, która zwiększa elastyczność katalogu zawartego w art. 6 ust. 1 RODO.

Stosowanie tego przepisu następuje dwuetapowo. Przede wszystkim oparcie przetwarzania danych osobowych na przepisie art. 6 ust. 1 lit. f RODO wymaga kumulatywnego spełnienia dwóch przesłanek. Po pierwsze, musi występować prawnie uzasadniony interes, który jest realizowany przez administratora lub przez stronę trzecią. Po drugie, niezbędna jest weryfikacja, czy przetwarzanie danych osobowych jest niezbędne dla realizacji celu wynikającego z powyższego interesu. W drugim etapie trzeba natomiast ocenić, czy nie jest spełniona przesłanka o charakterze negatywnym w postaci występowania w danym stanie faktycznym interesów lub podstawowych praw i wolności podmiotu danych, które mają charakter nadrzędny wobec prawnie uzasadnionych interesów administratora lub strony trzeciej. W przypadku spełnienia tego warunku nie będzie można powołać się na przepis art. 6 ust. 1 lit. f RODO, jako uzasadnienie dla przetwarzania danych osobowych. Stosowanie tej negatywnej przesłanki polega w istocie na wyważeniu dwóch dóbr chronionych prawem, tj. prawnie uzasadnionego interesu administratora lub strony trzeciej z jednej strony i interesów, podstawowych praw oraz wolności podmiotu danych z drugiej.

Prawnie uzasadniony interes trzeba rozumieć nie jako interes wynikający z przepisów prawa, lecz jako interes, który jest zgodny z prawem. Owa zgodność z prawem stanowi ograniczenie pojęcia interesu administratora lub strony trzeciej jako potencjalnej podstawy do przetwarzania danych osobowych.

W doktrynie przyjmuje się, że wykładnia pojęcia prawnie uzasadnionego interesu powinna być szeroka i obejmować interesy gospodarcze, faktyczne, czy też prawne (por. m.in. D. Lubasz i W. Chomiczewski /w:/ E. Bielak-Jomaa (red.), D. Lubasz (red.), RODO. Ogólne rozporządzenie o ochronie danych. Komentarz, WKP 2018 i powołane tam poglądy doktryny).

Tak rozumiany prawnie uzasadniony interes musi być realizowany przez administratora lub przez stronę trzecią. Podkreślić przy tym trzeba, że może to być interes nie tylko administratora, który przetwarza już dane osobowe, lecz również administratora, któremu dane te mogą dopiero zostać ujawnione.

Pojęcie niezbędności oznacza z kolei, że przetwarzanie danych dla realizacji prawnie uzasadnionego interesu administratora lub strony trzeciej musi być, rozsądnie oceniając, potrzebne, a więc musi występować bezpośredni związek pomiędzy realizacją prawnie uzasadnionego interesu a potrzebą przetwarzania danych osobowych.

Zdaniem Sądu, nie można zgodzić się z zarzutem Prezesa UODO, iż konieczność nałożenia na stronę skarżącą upomnienia wynikała z tego, iż skarżący Bank nie wykazał, aby wnioskodawca M.O. wystąpił z jakimkolwiek roszczeniem wobec skarżącego Banku, które uzasadniałoby uprawnienie tego podmiotu do zachowania i przetwarzania jego danych osobowych dla celów dowodowych w związku z dochodzeniem przez wnioskodawcę tego roszczenia. W ocenie Sądu, nie sposób uznać bowiem - jak sugeruje organ nadzorczy - że przesłanka z art. 6 ust. 1 lit. f RODO dotyczy sytuacji już istniejącej, w której celem wynikającym z prawnie uzasadnionych interesów realizowanych przez administratora jest konieczność udowodnienia, potrzeba dochodzenia lub obrony przed roszczeniem istniejącym, nie zaś sytuacji, gdy dane są przetwarzane w celu zabezpieczenia się przed ewentualnym roszczeniem.

Według Sądu, skoro immanentną cechą prawnie uzasadnionych interesów administratora jest "niezbędność", to dane przetwarzane na potrzeby prawnie uzasadnionych interesów powinny być "niezbędne" do ich realizacji. Co więcej, interesy realizowane przy przetwarzaniu danych powinny być uzasadnione prawnie. Jak wskazuje się w doktrynie, nie można sformułowania "prawnie", w odniesieniu do uzasadnienia interesu, utożsamiać z uprawnieniem do przetwarzania danych, które miałoby wynikać z jakiegoś szczególnego przepisu prawa. Takie podejście prowadziłoby bowiem do przyjęcia, że działania administratora danych powinny mieć swoje źródło w uprawnieniach wynikających ze szczególnych przepisów prawa, co prowadziłoby w konsekwencji do powstania konkurencyjnej podstawy przetwarzania danych w stosunku do art. 6 ust. 1 lit. c lub lit. e RODO. Brak jest również podstaw, by prawnie uzasadniony interes utożsamiać z interesem prawnym, w rozumieniu przepisów o postępowaniu administracyjnym (tak m.in. /w:/ Rozporządzenie UE w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i swobodnym przepływem takich danych. Komentarz, pod red. P. Litwińskiego, Wydawnictwo C.H. Beck, Warszawa 2018, s. 304).

Warto, zdaniem Sądu podkreślić, że przesłanka z art. 6 ust. 1 lit. f RODO jest ukierunkowana jest przede wszystkim na ochronę interesów podmiotów sektora gospodarczego. Jej konstrukcja oparta na klauzuli generalnej umożliwia dokonywanie przetwarzania danych w sytuacjach uzasadnionych prowadzoną działalnością biznesową.

W tej sytuacji, nie ulega wątpliwości, że skarżący Bank ma interes prawny, w rozumieniu RODO, do przetwarzania (wyłącznie poprzez ich przechowywanie) danych osobowych M.O. w celu obrony przed roszczeniami, które mogą być skutecznie dochodzone przez okres przedawnienia roszczeń wynikający z art. 118 k.c.

Co więcej, zdaniem Sądu, interes ten spełnia jednocześnie przesłankę konkretności, gdyż dotyczy obrony przed roszczeniami w ramach konkretnego stosunku prawnego - umowy zawartej pomiędzy [...] a M.O..

Należy zatem konsekwentnie przyjąć, że w okresie, kiedy każda ze stron stosunku zobowiązaniowego może wystąpić do sądu z roszczeniami wynikającymi z tego stosunku, czyli przez określony odrębnymi przepisami okres przedawnienia roszczeń, istnieje prawnie uzasadniony interes administratora danych do ich przetwarzania, z zastrzeżeniem, że przetwarzanie to odbywa się w sposób ograniczony wyłącznie do celu, jakim jest cel dowodowy w ewentualnym postępowaniu sądowym, a zatem - co do zasady - przetwarzanie to winno polegać jedynie na przechowywaniu danych.

Według Sądu, przyjęcie odmiennego stanowiska, tzn. uznanie, że przesłanka z art. 6 ust. 1 lit. f RODO dotyczy wyłącznie sytuacji sporu już istniejącego, gdy celem wynikającym z prawnie uzasadnionych interesów realizowanych przez administratora jest konieczność udowodnienia określonych okoliczności w zawisłym już sporze, prowadziłoby do wniosku, że administrator, niezwłocznie po wypowiedzeniu, czy też wykonaniu umowy (spełnieniu świadczenia wynikającego z danego stosunku prawnego), powinien usuwać dane osobowe. Takie podejście nie bierze jednak w ogóle pod uwagę m.in. faktu, że w obrocie gospodarczym administrator danych musi liczyć się z tym, że przez okres przedawnienia roszczeń jego kontrahent może zgłosić roszczenia wynikające np. z nienależytego wykonania zobowiązania, gdy skutki tego nienależytego wykonania ujawnią się dopiero po jakimś czasie od "zakończenia" umowy.

Do przedawnienia wszelkich roszczeń wynikających z umów łączących wnioskodawcę ze skarżącym Bankiem zastosowanie znajdzie przepis art. 118 k.c., zgodnie z którym jeżeli przepis szczególny nie stanowi inaczej, termin przedawnienia wynosi sześć lat, a dla roszczeń o świadczenia okresowe oraz roszczeń związanych z prowadzeniem działalności gospodarczej - trzy lata. Jednakże koniec terminu przedawnienia przypada na ostatni dzień roku kalendarzowego, chyba że termin przedawnienia jest krótszy niż dwa lata.

W niniejszej sprawie uznać należy, że skoro skarżący Bank i uczestnika postępowania łączyła konkretna umowa, to przetwarzanie danych osobowych uczestnika postępowania przez okres przedawnienia roszczeń skarżącego Banku wobec uczestnika M.O. i tego uczestnika wobec skarżącego Banku jest zatem prawnie uzasadnione. W tym czasie bowiem każda ze stron umowy może zgłosić, a przede wszystkim skutecznie dochodzić przed sadem, roszczeń wynikających ze wspomnianej umowy.

W ocenie Sądu, nie jest to - jak twierdzi organ nadzorczy - przetwarzanie "na zapas". Inna byłaby bowiem sytuacja, gdyby skarżący Bank nadal przetwarzał dane osobowe uczestnika postępowania pomimo upływu terminu przedawnienia. Wówczas rzeczywiście interes skarżącego Banku nie byłby już dłużej prawnie uzasadniony, bowiem przedawniona wierzytelność przekształca się w zobowiązanie naturalne (niezupełne), które różni się tym od zwykłych zobowiązań, iż brakuje mu przymiotu zaskarżalności. Nie korzysta ono zatem z pełnej ochrony prawnej, gdyż pozbawione jest możliwości dochodzenia przez wierzyciela na drodze przymusu państwowego.

Warto zauważyć jednocześnie, że warunkiem dopuszczalności przetwarzania danych na gruncie art. 6 ust. 1 lit f RODO jest także to, aby przetwarzanie nie naruszało interesów, praw i wolności osoby, której dane dotyczą. Należy - zdaniem Sądu - przyjąć, że są to prawa chronione na podstawie norm ogólnych, kształtujących podstawowe zasady funkcjonowania jednostki w społeczeństwie. Interpretując przepisy polskiego prawa w tym duchu, należałoby podczas wykładni tego pojęcia odwoływać do gwarancji praw i wolności, które znajdują swoje podstawy w normach konstytucyjnych.

W tym miejscu, warto wskazać, że w wyroku z dnia 16 grudnia 2004 r., sygn. akt OSK 829/04, Naczelny Sąd Administracyjny potwierdził, że "(...) mówiąc o naruszeniu praw i wolności obywatelskich, należy odnieść się tu do katalogu tych praw i wolności szeroko uwzględnionych w Konstytucji RP". W literaturze również najczęściej jest reprezentowany właśnie taki pogląd, według którego pojęcie "praw i wolności" interpretować trzeba w świetle konwencji międzynarodowych i przepisów Konstytucji RP odnoszących się do wolności i praw osobistych, wolności i praw politycznych oraz wolności i praw ekonomicznych (por. m.in. /w:/ P. Barta, P. Litwiński, Ustawa o ochronie danych osobowych. Komentarz, wyd. 4, Wydawnictwo C.H. Beck, Warszawa 2016, podobnie: A. Szewc, Z problematyki ochrony danych osobowych, cz. II, Radca prawny Nr 4 z 1999 r., s. 3).

W tej sytuacji, należy - według Sądu - podkreślić, że wyżej przedstawione podejście do wykładni "prawnie uzasadnionych interesów administratora" w żaden sposób nie wpływa negatywnie na sytuację prawną podmiotu danych, a prawo do prywatności M.O. nie przeważa nad prawnie uzasadnionym interesem skarżącego Banku, gdyż administrator danych (skarżący Bank) jedynie przechowywał w spornym okresie dane uczestnika postępowania z potencjalną możliwością wykorzystania ich w postępowaniu sądowym i to przez znany, z góry określony okres (okres przedawnienia roszczeń). Tymczasem, zgodnie z motywem 47 RODO interesy i prawa podstawowe osoby, której dane dotyczą, mogą być nadrzędne wobec interesu administratora danych w szczególności w przypadkach, gdy dane osobowe są przetwarzane w sytuacji, w której osoby, których dane dotyczą, nie mają rozsądnych przesłanek, by spodziewać się dalszego przetwarzania. Według Sądu, nie ulega wątpliwości, że w stanie faktycznym niniejszej sprawy uczestnik postępowania mógł i powinien się spodziewać dalszego przetwarzania przez skarżący Bank.

Według Sądu, przyjęcie jako właściwego stanowiska organu nadzorczego prowadziłoby do tego, iż nie byłyby uznawane za uzasadnione interesy skarżącego Banku, które w rzeczywistości istnieją przez cały okres przedawnienia roszczeń. W konsekwencji przyjęcia takiego stanowiska organu nadzorczego, skarżący Bank zostałby zmuszony do usunięcia danych osobowych, które wciąż mogłyby okazać się niezbędne do realizacji prawa do obrony strony skarżącej przed sądem, w przypadku wystąpienia przez M.O. z roszczeniami przed terminem przedawnienia. To z kolei, mogłoby spowodować osłabienie pozycji [...] w ewentualnym sporze sądowym.

Zdaniem Sądu, uznać należy jednocześnie, że uzależnienie legalności podstawy do przetwarzania danych osobowych od wystąpienia z roszczeniem, jest postulatem niesprawiedliwym i dającym duże możliwości nadużyć na szkodę uczestników obrotu finansowego, co wyjaśniła w toku postępowania strona skarżąca.

Warto również podkreślić, że całkowicie nieuzasadnione są obawy organu nadzorczego dotyczące rzekomego permanentnego przetwarzania danych przez skarżący Bank, skoro strona skarżąca wielokrotnie wskazywała w toku postępowania, że przetwarza dane osobowe M.O. w celu ustalenia, dochodzenia lub obrony roszczeń, z zastosowaniem 6-letniego terminu przedawnienia, którego koniec przypada na ostatni dzień roku kalendarzowego liczonego od daty skutecznego wypowiedzenia umowy. W tej sytuacji, uznać trzeba, że - wbrew obawom Prezesa UODO - po upływie terminu przedawnienia roszczeń nie będzie można mówić już o uzasadnionym interesie do dalszego przetwarzania danych osobowych uczestnika postępowania uzyskanych przez skarżący Bank w związku z zawarciem stosownych umów.

Mając na względzie wspomniane wyżej okoliczności, uznać należy, że skoro przez cały badany okres przetwarzania danych, od dnia zawarcia umowy aż po dzień wydania zaskarżonej decyzji, skarżący Bank na każdym etapie dysponował przesłanką do przetwarzania danych osobowych M.O., to nie sposób przyjąć jednocześnie, że w przedmiotowej sprawie doszło do naruszenia art. 6 ust. 1 RODO, jak wskazano w punkcie 1 spornej decyzji, co oznacza, że udzielenie stronie skarżącej upomnienia nastąpiło z naruszeniem art. 58 ust. 2 lit. b RODO.

W tej sytuacji, Sąd uznał, że Prezes Urzędu Ochrony Danych Osobowych, wydając sporną decyzję administracyjną - dopuścił się w powyższym zakresie istotnego naruszenia zasady praworządności wyrażonej w przepisach art. 6 k.p.a. i art. 7 in principio k.p.a. oraz art. 7 Konstytucji RP.

Analizowane działanie Prezesa UODO w sposób istotny naruszało także zasadę zaufania obywateli do organów praworządnego państwa i stosowanego przez nie prawa, wyrażoną w art. 8 § 1 k.p.a. Nie ulega bowiem wątpliwości, że zasada zaufania wyrażona w przepisie art. 8 § 1 k.p.a. ma kontekst konstytucyjny i unijny, zaś organy administracji publicznej są obowiązane, w ramach wykładni zgodnej z prawem UE i Konstytucją RP, uwzględniać, że zasada zaufania, również w aspekcie procesowym, jest zasadniczym elementem zasady demokratycznego państwa prawa i jako taka ma swoje umocowanie i źródło w art. 2 Konstytucji RP.

W związku z powyższym, skoro działanie organu nadzorczego nie spełniało w sposób ewidentny powyższych warunków, stanowiło to podstawę do wyeliminowania z obrotu prawnego spornej decyzji administracyjnej Prezesa UODO z dnia [...] stycznia 2021 r. w zaskarżonej części.

Biorąc powyższe pod uwagę, Wojewódzki Sad Administracyjny w Warszawie - działając na podstawie art. 145 § 1 pkt 1 lit. a i c P.p.s.a. - orzekł, jak w pkt. 1 sentencji wyroku.

Zasądzając jednocześnie od Prezesa Urzędu Ochrony Danych Osobowych na rzecz skarżącego Banku kwotę 697 (sześćset dziewięćdziesiąt siedem) złotych tytułem zwrotu kosztów postępowania sądowego, w tym kosztów zastępstwa procesowego, Sąd działał na podstawie przepisów art. 200 i art. 205 § 2 w związku z art. 209 P.p.s.a.[pic][pic]