Centralna Baza Orzeczeń Sądów Administracyjnych

Wojewódzki Sąd Administracyjny w Warszawie w składzie następującym: Przewodniczący Sędzia WSA Ewa Radziszewska-Krupa, Sędzia WSA Andrzej Góraj, Asesor WSA Joanna Kruszewska-Grońska (spr.), , , , , , po rozpoznaniu w trybie uproszczonym w dniu 27 maja 2020 r. sprawy ze skargi W. G. na postanowienie Prezesa Urzędu Ochrony Danych Osobowych z dnia [...] stycznia 2020 r. nr [...] w przedmiocie odmowy wszczęcia postępowania oddala skargę

Zaskarżonym w niniejszej sprawie postanowieniem Prezes Urzędu Ochrony Danych Osobowych (dalej: "Prezes UODO", "organ"), na podstawie art. 61a § 1 ustawy z dnia 14 czerwca 1960 r. - Kodeks postępowania administracyjnego (Dz. U. z 2020 r., poz. 256 ze zm.; dalej: "k.p.a.") w związku z art. 7 ust. 1 ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych (Dz.U. z 2019 r., poz. 1781; dalej: "u.o.d.o."), odmówił wszczęcia postępowania w sprawie skargi W. G. (dalej: "skarżący") na stosowaną przez Bank S.A. z siedzibą w [...] (dalej: "bank") praktykę polegającą na wymuszaniu zgody na pozyskanie i utrwalanie skanów dowodów osobistych obejmujących dane osobowe, w tym dane biometryczne klientów poprzez blokowanie depozytów klientów w ww. celu bez podstawy prawnej.

Do wydania zaskarżonego postanowienia doszło w następujących okolicznościach sprawy.

Pismem z [...] września 2019 r. skarżący złożył do Prezesa UODO skargę na działanie banku, który - zdaniem skarżącego - wymusza zgody od klientów na pozyskanie wizerunku dowodu osobistego i w tym celu blokuje środki pieniężne. Bank dąży do utrwalania danych biometrycznych w rozumieniu art. 4 pkt 14 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (Dz.U.UE.L.2016.119.1; dalej: "RODO"), zawartych w dokumentach tożsamości klientów, co jest niezgodne z przepisami art. 9 RODO.

Skarżący powołał się na zdarzenie z [...] września 2019 r., kiedy to w [...] oddziale banku zamierzał pobrać zestawienie swoich lokat. Wówczas pracownik banku próbował wymusić na nim zgodę na zeskanowanie wizerunku jego dowodu osobistego. Skarżący odmówił przekazywania swoich danych, nie chcąc, aby bank naruszał art. 5 ust. 1 lit. a - lit. c RODO. Wtedy personel banku odmówił mu jakiejkolwiek obsługi bez podania podstawy prawnej.

Skarżący zaznaczył, iż wobec jego depozytów żaden uprawniony organ państwowy nie wydał decyzji o ich blokadzie. Nie zostały zastosowane żadne regulacje zawarte w przepisach ustawy z dnia 1 marca 2018 r. o przeciwdziałaniu praniu pieniędzy oraz finansowaniu terroryzmu (Dz.U. z 2020 r., poz. 971 ze zm.; dalej: "u.p.p.p."). Bank nie zakwestionował tożsamości czy uprawnień skarżącego do depozytów, ani oryginalności jego dowodu osobistego.

W skardze skarżący zażądał:

• nakazania bankowi przywrócenia stanu zgodnego z prawem polegającego na odstąpieniu od wymuszania zgody na pozyskanie wizerunku dowodu osobistego poprzez nielegalne blokowanie depozytów klientów;

• nałożenia na bank na podstawie art. 101 u.o.d.o. administracyjnej kary pieniężnej w maksymalnej wysokości przewidzianej w art. 83 RODO dla danego rodzaju naruszenia prawa;

• ustalenia osoby lub osób odpowiedzialnych za podjęcie decyzji o zastosowaniu przez bank "patologii" opisanej w skardze i zastosowanie wobec nich art. 107 ust. 2 u.o.d.o.

W uzasadnieniu zaskarżonego postanowienia organ, powołując się na art. 77 ust. 1 RODO, podniósł, że w niniejszej sprawie nie doszło do przetwarzania, w tym utrwalania, danych osobowych skarżącego, zawartych w jego dowodzie osobistym. Z treści skargi oraz dołączonej do niej korespondencji pomiędzy skarżącym i bankiem jednoznacznie wynika, iż skarżący nie udostępnił do zeskanowania lub skopiowania dokumentu żądanego przez bank, lecz kwestionuje ogólną, stosowaną przez bank praktykę w ww. zakresie.

Prezes UODO zwrócił uwagę, że czynności w sprawie ogólnych praktyk stosowanych przez administratorów danych nie są podejmowane na wniosek osoby zainteresowanej. Powyższa kwestia może być przedmiotem postępowania administracyjnego prowadzonego z urzędu przez organ właściwy do spraw ochrony danych osobowych. Podjęte z urzędu postępowanie toczy się wówczas pomiędzy administratorem danych a Prezesem UODO. Ogólne praktyki przetwarzania danych osobowych dotyczą nie tylko skarżącego, ale także innych osób. Skarżącemu nie przysługuje status strony w prowadzonym przez Prezesa UODO postępowaniu w przedmiocie ogólnych praktyk przetwarzania danych osobowych. Nie posiada interesu prawnego w wydawanym rozstrzygnięciu. Dlatego skarżący nie może być informowany o czynnościach podejmowanych w tym postępowaniu.

Organ wskazał również, iż nie jest władny prowadzić postępowania administracyjnego w sprawie indywidualnej w przypadku hipotetycznych i nieistniejących procesów przetwarzania danych osobowych, ponieważ tego rodzaju postępowanie byłoby bezprzedmiotowe już w samej chwili jego wszczęcia.

Funkcją skargi wnoszonej do Prezesa UODO jest egzekwowanie przestrzegania przepisów u.o.d.o. w operacjach przetwarzania danych bezpośrednio wpływających na osobę, której przetwarzane dane dotyczą. W rozpoznawanej sprawie brak jest procesu przetwarzania danych osobowych, który musi być przedmiotem skargi wniesionej na podstawie art. 77 ust. 1 RODO i jako taki mógłby podlegać ocenie organu co do jego legalności. Kontrola stosowanych przez administratorów danych ogólnych praktyk, których dotyczy skarga, nie może być przedmiotem indywidualnej skargi, gdyż należy do autonomicznych kompetencji Prezesa UODO.

W skardze do tut. Sądu na powyższe postanowienie Prezesa UODO skarżący wniósł o:

• uchylenie zaskarżonego postanowienia,

• zobowiązanie organu do uwzględnienia jego wniosku z [...] września 2019 r.,

• przeprowadzenie postępowania w zakresie ochrony danych osobowych zawartego w skardze na naruszanie przepisów o ochronie danych osobowych,

• stwierdzenie wydania postanowienia z naruszeniem prawa,

• zastosowanie art. 155 § 1 ustawy z dnia 30 sierpnia 2002 r. – Prawo postępowaniu przed sądami administracyjnymi (Dz. U. z 2019 r., poz. 2325 ze zm.; dalej: "p.p.s.a.") w związku z brakiem nadzoru instancyjnego nad Prezesem UODO wynikającym z art. 7 ust. 2 u.o.d.o.,

• rozpoznanie sprawy w trybie uproszczonym (na posiedzeniu niejawnym),

• zasądzenie od Prezesa UODO na rzecz skarżącego zwrotu kosztów postępowania według norm przepisanych, a w przypadku dyspozycji sądu wymagających poniesienia przez skarżącego dodatkowych kosztów - zwrotu tych kosztów w wysokości wynikającej z przedstawionych sądowi rachunków .

Skarżący zarzucił zaskarżonemu postanowieniu:

1. naruszenie przepisów prawa materialnego, które miało wpływ na wynik sprawy, a to: art. 5 ust. 1 lit. a do c w związku z art. 4 pkt 2 RODO, art. 51 ust. 1, art. 55 ust. 1, art. 57 ust. 1 lit. a - lit. f RODO, art. 77 ust. 1 RODO, a także art. 51 ust. 1 Konstytucji Rzeczypospolitej Polskiej, jak również art. 8 ust. 2 Karty Praw Podstawowych Unii Europejskiej;

2. naruszenie przepisów postępowania, które mogło mieć istotny wpływ na wynik sprawy, a to: art. 61a § 1, art. 35 § 1 - § 3, art. 36, art. 37 § 5, art. 6, art. 7 i art. 12 § 1 k.p.a.

W uzasadnieniu skargi skarżący podkreślił, że jego skarga skierowana do Prezesa UODO dotyczyła konkretnej próby wymuszenia przez bank zgody na utrwalenie danych biometrycznych (w rozumieniu art. 4 pkt 14 RODO), których przetwarzanie jest zakazane (poza nielicznymi – niedotyczącymi banków - wyjątkami) przepisem art. 9 ust. 1 RODO. Zaznaczył, iż bank posiada już jego dane osobowe, gdyż na ich podstawie przetrzymuje jego pieniądze na depozytach. Jednakże bank usiłuje wymusić rozszerzenie zakresu posiadanych danych o dane biometryczne zawarte w postaci wizerunku twarzy w aktualnym dowodzie osobistym. I właśnie to działanie banku jest przedmiotem skargi do Prezesa UODO. Jak wskazuje skarżący, dane te nie są niezbędne do obsługi depozytów, a zatem bank narusza zasadę adekwatności zakresu zbierania danych do celu ich przetwarzania, jak też zasadę legalności (zgodności z prawem) przetwarzania danych.

W odpowiedzi na skargę Prezes UODO wniósł o jej oddalenie, podtrzymując stanowisko wyrażone w zaskarżonym postanowieniu.

Wojewódzki Sąd Administracyjny w Warszawie zważył, co następuje:

Zgodnie z art. 1 § 1 i 2 ustawy z dnia 25 lipca 2002 r. - Prawo o ustroju sądów administracyjnych (Dz. U. z 2019 r., poz. 2167 ze zm.), sądy administracyjne sprawują wymiar sprawiedliwości przez kontrolę działalności administracji publicznej, przy czym kontrola ta sprawowana jest pod względem zgodności z prawem, jeżeli ustawy nie stanowią inaczej.

W świetle powołanych przepisów ww. ustawy, sąd administracyjny, w zakresie swojej właściwości, ocenia zaskarżoną decyzję administracyjną, postanowienie, czy też inny akt lub czynność z zakresu administracji publicznej dotyczącą uprawnień lub obowiązków wynikających z przepisów prawa, z punktu widzenia ich zgodności z prawem materialnym i przepisami postępowania administracyjnego, według stanu faktycznego i prawnego obowiązującego w dacie wydania tego aktu lub podjęcia spornej czynności. Chodzi więc o kontrolę aktów lub czynności z zakresu administracji publicznej dokonywaną pod względem ich zgodności z prawem materialnym i przepisami procesowymi, nie zaś według kryteriów słuszności.

Ponadto, co wymaga podkreślenia, Sąd rozstrzyga w granicach danej sprawy, nie będąc jednak związany zarzutami i wnioskami skargi oraz powołaną podstawą prawną (vide art. 134 § 1 p.p.s.a.).

Zaznaczyć również należy, że od wejścia w życie Traktatu Akcesyjnego z dnia 16 kwietnia 2003 r. (Dz. U. z 2004 r. Nr 90, poz. 864), na mocy którego Polska stała się państwem członkowskim Unii Europejskiej, kontrola sądu administracyjnego obejmuje również zgodność rozstrzygnięć krajowych organów administracji publicznej z prawem europejskim (prawem Unii Europejskiej), rozumianym, jako całokształt dorobku prawnego Unii Europejskiej (acquis communautaire), w tym zasad ogólnych prawa europejskiego, interpretowanych oraz stosowanych w sposób jednolity na całym obszarze Unii Europejskiej.

W dniu 5 maja 2018 r. weszła w życie u.o.d.o., nadto od 25 maja 2018 r. bezpośrednie zastosowanie w polskim porządku prawnym mają przepisy RODO. Zgodnie z art. 99 ust. 1 RODO, wchodzi ono w życie dwudziestego dnia po publikacji w Dzienniku Urzędowym Unii Europejskiej, która miała miejsce 4 maja 2016 r. (Dz.U.UE.L2016.119.1), natomiast w państwach członkowskich ma zastosowanie od 25 maja 2018 r. (art. 99 ust. 2 RODO).

W myśl art. 77 ust. 1 RODO, bez uszczerbku dla innych środków ochrony prawnej przed sądem każda osoba, której dane dotyczą, ma prawo wnieść skargę do organu nadzorczego, w szczególności w państwie członkowskim swojego zwykłego pobytu, swojego miejsca pracy lub miejsca popełnienia domniemanego naruszenia, jeżeli sądzi, że przetwarzanie danych osobowych jej dotyczące narusza niniejsze rozporządzenie.

Jak wynika z akt administracyjnych i sądowych, w niniejszej sprawie nie doszło do operacji przetwarzania danych osobowych skarżącego, gdyż skarżący odmówił bankowi przekazania swojego dowodu osobistego do zeskanowania. Tę, stosowaną powszechnie wobec klientów, praktykę banku – jako próbę nieuprawnionego uzyskania danych osobowych – skarżący uczynił przedmiotem skargi do Prezesa UODO. Zatem skarżący kwestionuje ogólną praktykę banku dotyczącą przetwarzania danych osobowych i obejmującą wszystkich klientów banku.

Skoro – wskutek sprzeciwu skarżącego wobec ww. praktyki – nie wystąpił proces przetwarzania danych osobowych skarżącego, to brak jest przedmiotu skargi, o której mowa w art. 77 ust. 1 RODO. Ponadto, jak trafnie wskazuje Prezes UODO, do jego wyłącznej kompetencji należy kontrola ogólnych praktyk stosowanych przez administratorów danych. Innymi słowy, ogólna praktyka banku nie może być przedmiotem indywidualnej skargi.

Zgodnie z art. 61a § 1 k.p.a., gdy żądanie wszczęcia postępowania zostało wniesione przez osobę niebędącą stroną lub z innych uzasadnionych przyczyn postępowanie nie może być wszczęte, organ administracji publicznej wydaje postanowienie o odmowie wszczęcia postępowania. Z uzasadnienia zaskarżonego postanowienia wynika, że odmowa wszczęcia postępowania nastąpiła w oparciu o brak przymiotu strony przez skarżącego. Jak powszechnie przyjmuje się w piśmiennictwie prawniczym i orzecznictwie Naczelnego Sądu Administracyjnego (dalej: "NSA"), odmowa wszczęcia postępowania na podstawie tej przesłanki jest możliwa wówczas, gdy wnioskodawca nie posiada zdolności prawnej lub nie ma interesu prawnego w sprawie (nie jest stroną postępowania w rozumieniu art. 28 k.p.a.) oraz ustalenie tej kwestii jest oczywiste i nie wymaga złożonego procesu wykładni (vide wyrok NSA z 28 marca 2012 r., sygn. akt II GSK 321/11, a także P. Przybysz, Komentarz do art. 61a Kodeksu postępowania administracyjnego, LEX 2017). W przypadku wątpliwości co do posiadania przez wnioskodawcę przymiotu strony, należy wszcząć postępowanie i w jego toku wyjaśnić tę kwestię. Stwierdzenie braku przymiotu strony będzie wówczas skutkować umorzeniem postępowania (tak W. Chróścielewski, Zmiany w zakresie przepisów kodeksu postępowania administracyjnego i prawa o postępowaniu przed sądami administracyjnymi, które weszły w życie w 2011 r., ZNSA 2011 nr 4, s. 9). Właściwe rozumienie unormowania zawartego w art. 61a § 1 k.p.a. musi prowadzić do wniosku, że odmowa wszczęcia postępowania administracyjnego następuje wówczas, gdy brak interesu prawnego wnioskodawcy jest oczywisty. Zatem zastosowanie art. 61a § 1 k.p.a. powinno być ograniczone do sytuacji, gdy żądanie wszczęcia postępowania zgłoszone zostało przez podmiot oczywiście nieuprawniony, a stwierdzenie tego nie wymaga prowadzenia postępowania wyjaśniającego (vide wyroki NSA: z 10 marca 2010 r., sygn. akt II GSK 433/09; z 28 marca 2013 r., sygn. akt II GSK 321/11; z 25 lutego 2014 r., sygn. akt II OSK 2271/12).

W ocenie tut. Sądu, w przedmiotowej sprawie mamy właśnie do czynienia z "oczywistością" żądania wszczęcia postępowania przez osobę niebędącą stroną, która uzasadnia odmowę wszczęcia postępowania administracyjnego bez przeprowadzenia czynności wyjaśniających. Raz jeszcze podkreślić należy – na co również wskazuje skarżący, pisząc o usiłowaniu, próbie wymuszenia pozyskania przez bank jego danych osobowych - że nie doszło do przetwarzania danych osobowych skarżącego, a podważana przez niego ogólna praktyka banku może być przedmiotem wszczętego z urzędu przez Prezesa UODO postępowania w stosunku do administratora danych.

Na marginesie wskazać wypada, że pismem z [...] września 2019 r. znak [...] Prezes UODO wystąpił do Generalnego Inspektora Informacji Finansowej (dalej: "GIIF") o wskazanie, jakimi środkami instytucje obowiązane, o których mowa w art. 2 u.p.p.p. powinny dokonywać identyfikacji klienta i czy w każdym wypadku instytucje obowiązane w celu wypełnienia obowiązku identyfikacji klienta powinny pozyskiwać od klientów kopie dokumentów, w tym dokumentów tożsamości. W odpowiedzi z [...] lutego 2020 r. znak [...] podał, że ustawodawca w art. 34 ust. 4 u.p.p.p. wprowadził uprawnienie dla instytucji obowiązanych polegające na możliwości przetwarzania informacji zawartych w dokumentach tożsamości klienta i osoby upoważnionej do działania w jego imieniu oraz sporządzania ich kopii, na potrzeby stosowania środków bezpieczeństwa finansowego, które stosowane są w przypadkach określonych w art. 35 u.p.p.p. To na instytucjach obowiązanych spoczywa decyzja w zakresie stosowania powyższych uprawnień, w tym sporządzania kopii dokumentów tożsamości, gdyż zgodnie z ustawą instytucje obowiązane stosują środki bezpieczeństwa finansowego w zakresie i z intensywnością uwzględniającymi rozpoznane ryzyko prania pieniędzy oraz finansowania terroryzmu związane ze stosunkami gospodarczymi lub z transakcją okazjonalną oraz jego ocenę (art. 33 ust. 4 u.p.p.p.). Kopiowanie dokumentów tożsamości nie jest jedyną metodą weryfikacji tożsamości klienta czy osoby upoważnionej do działania w jego imieniu. Istnieją również inne alternatywne sposoby udowadniania, iż dokonano weryfikacji ich tożsamości. W związku z tym, że instytucje obowiązane mogą, ale nie muszą skorzystać z uprawnienia w art. 34 ust. 4 u.p.p.p., GIIF nie wymaga od nich w każdym przypadku przekładania kopii dokumentów tożsamości jako potwierdzenia spełnienia obowiązku identyfikacji klienta określonej w art. 34 ust. 1 pkt 1 u.p.p.p. (ww. korespondencja pomiędzy Prezesem UODO i GIIF jest dostępna na stronie internetowej Prezesa UODO: https://uodo.gov.pl/pl/138/149).

Skoro w rezultacie wstępnego badania treści wniosku (skargi) z [...] września 2019 r., Prezes UODO ustalił wystąpienie przeszkody podmiotowej czyniącej niedopuszczalnym rozpoznanie tego żądania w formie administracyjnoprawnej, to postąpił prawidłowo, wydając postanowienie o odmowie wszczęcia postępowania.

Z tych względów, Wojewódzki Sąd Administracyjny w Warszawie, na podstawie art. 151 p.p.s.a. orzekł jak w sentencji wyroku.