II SA/WA 1133/24

II SA/Wa 1133/24 - Wyrok WSA w Warszawie
Data orzeczenia
2025-04-14
orzeczenie prawomocne
Data wpływu
2024-07-11
Sąd
Wojewódzki Sąd Administracyjny w Warszawie
Sędziowie
Arkadiusz Koziarski.
Iwona Maciejuk /przewodniczący sprawozdawca/
Karolina Kisielewicz-Sierakowska
Symbol z opisem
647  Sprawy związane z ochroną danych osobowych
Hasła tematyczne
Ochrona danych osobowych
Sygn. powiązane
III OZ 545/24 - Postanowienie NSA z 2025-01-09
Skarżony organ
Generalny Inspektor Ochrony Danych Osobowych
Treść wyniku
Oddalono skargę
Powołane przepisy
Dz.U. 2024 poz 935
art. 151
Ustawa z dnia 30 sierpnia 2002 r. Prawo o postępowaniu przed sądami administracyjnymi (t. j.)
Dz.U.UE.L 2016 nr 119 poz 1 art. 6 ust. 1, art. 5 ust. 1 i 2, art. 17, art. 12 ust. 5
Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z  przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE
Sentencja
Wojewódzki Sąd Administracyjny w Warszawie w składzie następującym: Przewodniczący Sędzia WSA Iwona Maciejuk (spr.), Sędzia WSA Karolina Kisielewicz-Sierakowska, Asesor WSA Arkadiusz Koziarski, , Protokolant referent Magdalena Morawiec, po rozpoznaniu na rozprawie w dniu 14 kwietnia 2025 r. sprawy ze skargi [...] Bank Polska S.A. z siedzibą w W. na punkt 1 decyzji Prezesa Urzędu Ochrony Danych Osobowych z dnia [...] maja 2024 r. nr [...] w przedmiocie przetwarzania danych osobowych oddala skargę
Uzasadnienie
Prezes Urzędu Ochrony Danych Osobowych decyzją z dnia [...] maja 2024 r. nr [...], na podstawie art. 104 § 1 ustawy z dnia 14 czerwca 1960 r. Kodeks postępowania administracyjnego (Dz.U z 2024 r. poz. 572) w zw. z art. 7 ust. 1 i 2 ustawy z 10 maja 2018 r. o ochronie danych osobowych (Dz. U. z 2019 r. poz. 1781) oraz na podstawie art. 6 ust. 1 oraz art. 58 ust. 2 lit. c oraz na podstawie art. 17 ust. 3 lit. b, art. 12 ust. 4 i art. 58 ust. 2 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz. Urz. UE L 119 z 4.05.2016, str. 1, Dz. Urz. UE L 127 z 23.05.2018, str. 2 oraz Dz. Urz. UE L 74 z 4.03.2021, str. 35), zwanego dalej RODO, po przeprowadzeniu postępowania administracyjnego w sprawie skargi K. K. na nieprawidłowości w procesie przetwarzania jego danych osobowych przez [...] Bank [...] S.A. z siedzibą w W. polegające na odmowie usunięcia jego danych osobowych w zakresie nazwiska, imienia, numeru PESEL, adresu email, numeru telefonu stacjonarnego, numeru telefonu komórkowego, adresu zamieszkania, adresu korespondencyjnego, numeru konta bankowego, numeru NIP oraz REGON, w pkt 1 nakazał [...] Bank [...] S.A. z siedzibą w W., usunięcie danych osobowych K. K. w zakresie nazwiska, imienia, numeru PESEL, adresu email, numeru telefonu, adresu zamieszkania oraz adresu korespondencyjnego, numeru rachunku bankowego, w pkt 2 w pozostałym zakresie odmówił uwzględnienia wniosku.
Prezes UODO w uzasadnieniu wskazał, że do UODO wpłynęła skarga K. K. na nieprawidłowości w procesie przetwarzania jego danych osobowych przez [...] Bank [...] S.A., z siedzibą w W., polegające na odmowie usunięcia jego danych osobowych w zakresie nazwiska, imienia, numeru PESEL, adresu email, numeru telefonu stacjonarnego, numeru telefonu komórkowego, adresu zamieszkania, adresu korespondencyjnego, numeru konta bankowego, numeru NIP oraz REGON.
W toku przeprowadzonego postępowania wyjaśniającego Prezes UODO ustalił, że wnioskodawca wskazał, że wnosi skargę na Bank, który pomimo dwukrotnego, pisemnego wezwania do usunięcia danych osobowych nie usunął jego danych, ani również nie ustosunkował się do powyższego żądania. Wnioskodawca aktualnie nie jest związany z Bankiem żadną umową. Dodatkowo doprecyzował, że żądanie usunięcia jego danych osobowych dotyczy następujących danych osobowych: nazwisko, imię, numer PESEL, adres email, numer telefonu stacjonarnego, numer telefonu komórkowego, adres zamieszkania, adres korespondencyjny, numer konta bankowego, numer NIP oraz REGON (dowód: skarga z dnia [...] września 2019 r. wraz z załącznikami). Bank wskazał, że wnioskodawca posiada nieaktywne produkty w banku, takie jak: a) umowa z dnia [...] października 2014 r. rachunku oszczędnościowo-rozliczeniowego dot. rachunku bankowego nr (...) (data zamknięcia: [...] października 2014 r.); b) umowa z dnia [...] grudnia 2014 r. rachunku oszczędnościowo-rozliczeniowego dot. rachunku bankowego nr (...) (data zamknięcia: [...] września 2015 r.) (dowód: pismo Banku z dnia [...] grudnia 2019 r. wraz z załącznikami, pismo Banku z dnia [...] września 2023 r. wraz z załącznikami, pismo Banku z dnia [...] grudnia 2023 r.). Bank wskazał, że aktualny zakres przetwarzanych danych osobowych wnioskodawcy wynika z przechowywanych dokumentów dotyczących jego współpracy z Bankiem, złożonych przez niego reklamacji, treści dokumentów i korespondencji jakie są w posiadaniu Banku w związku z toczącym się postępowaniem przed Prezesem UODO, są to w szczególności takie dane jak: dane identyfikacyjne (m.in. imię i nazwisko, numer PESEL, numer klienta, data urodzenia, obywatelstwo, rezydencja podatkowa), dane zawarte w kopii dowodu osobistego, dane teleadresowe (m.in. numer telefonu, adres e-mail, adres zamieszkania, informacje o produktach bankowych (m.in. rodzaj produktu, numer rachunku bankowego). Bank wyjaśnił, że przetwarzał dane wnioskodawcy we wskazanym przez niego w jego skardze zakresie z wyłączeniem numeru NIP, numeru REGON oraz stacjonarnego numeru telefonu. Dane te były wykorzystywane do nawiązania i realizacji współpracy w ramach produktów i usług bankowych, które nabywał wnioskodawca w trakcie współpracy z Bankiem. Dane były zawarte m.in. w umowie rachunku oszczędnościowo-rozliczeniowego z [...] grudnia 2014 r., umowie rachunku oszczędnościowo- rozliczeniowego z [...] października 2014 r., a także formularzu zmiany danych z dnia [...] października 2014 r. oraz karcie identyfikacyjnej z dnia [...] października 2014 r. (dowód: pismo Banku z dnia [...] grudnia 2019 r. wraz z załącznikami, pismo Banku z dnia [...] września 2023 r. wraz z załącznikami). Bank wskazał, że aktualne podstawy prawne przetwarzania danych osobowych wnioskodawcy oraz cele przetwarzania to: a) spełnienie obowiązku prawnego - wykazanie zgodności z przepisami RODO, w tym spełnienie zasady rozliczalności, udokumentowanie rozpoznania skargi wnioskodawcy oraz zasadności postępowania Banku - art. 6 ust. 1 lit. c RODO; b) spełnienie obowiązku prawnego - przedłożenie dokumentacji organowi nadzoru ochrony danych osobowych w toku przedmiotowego postępowania zgodnie z wezwaniem Organu - art. 6 ust. 1 lit. c RODO; c) spełnienie obowiązku prawnego - dotyczącego należytego rozpatrywania reklamacji przez podmioty rynku finansowego oraz konieczności wykazania tego faktu - art. 6 ust. 1 lit. c RODO; d) obrona przed roszczeniami wnioskodawcy dotyczącymi podejmowanych przez Bank czynności bankowych na rzecz wnioskodawcy, należytego wykonywania zawartych umów oraz prawidłowego rozpatrywania reklamacji przez podmioty rynku finansowego — na podstawie uzasadnionego interesu prawnego Banku — art. 6 ust. 1 lit. f RODO; e) obrona własnych praw w postępowaniu przed Prezes UODO i wykazanie realizacji właściwych obowiązków - na podstawie uzasadnionego interesu prawnego Banku - art. 6 ust. 1 lit. f RODO. Jednocześnie Bank wskazał, że aktualnie nie przetwarza już dany osobowych wnioskodawcy w celu wykonania obowiązków wynikających z ustawy z dnia 29 września 1994 r. o rachunkowości (Dz. U. z 2023 r. poz. 120), zwanej dalej u.r., z uwagi na upływ okresu retencji danych, (dowód: pismo Banku z dnia [...] grudnia 2019 r. wraz z załącznikami, pismo Banku z dnia [...] czerwca 2020 r. wraz z załącznikiem, pismo Banku z dnia [...] września 2023 r. wraz z załącznikami, pismo Banku z dnia [...] grudnia 2023 r.). Bank wyjaśnił, że okres przetwarzania danych osobowych wnioskodawcy przez Bank kształtuje się następująco: a) wygaśnięcie obowiązków prawnych dotyczących retencji danych, w tym wykazanie zgodności z przepisami RODO, w tym spełnienie zasady rozliczalności oraz udokumentowanie rozpoznania skargi wnioskodawcy oraz zasadności postępowania Banku; b) wygaśnięcie obowiązków prawnych związanych z niniejszym postępowaniem - do czasu wydania przez Prezesa UODO ostatecznej decyzji, a w przypadku zaskarżenia decyzji organu do czasu, gdy decyzja uzyska przymiot prawomocności; c) do czasu upływu 6-letniego okresu przedawnienia roszczeń związanych z rozpatrywaniem reklamacji przez podmioty rynku finansowego; do czasu upływu 10-letniego terminu przedawnienia roszczeń przedłużonego o rok tj. do dnia do [...] września 2026 r. (dowód: pismo Banku z dnia [...] września 2023 r. wraz z załącznikami). Bank wskazał, że hipotetyczne roszczenia wnioskodawcy podlegają 10-tetniemu okresowi przedawnienia. Konkretna data upływu przedawnienia zależy od daty powstania roszczeń tytułem deliktu. Termin przedawnienia wynika z art. 4421 ust. 1 ustawy z dnia 23 kwietnia 1964 r. Kodeks cywilny (Dz. U. z 2023 r. poz. 1610), zwanej dalej k.c. Bank przyjmuje, że ostatnim możliwym dniem wyrządzenia szkody (na zasadzie deliktu) jest dzień rozwiązania umowy. Wobec tego bieg przedawnienia w jego ocenie należy liczyć od [...] września 2015 r. Bank wskazał, że przyjmuje dodatkowy roczny bufor związany ze specyfiką procesu cywilnego. Wynika to faktu, że powód w procesie cywilnym może złożyć pozew pod koniec okresu przedawnienia, a pozwanemu sąd doręczy odpis pozwu w późniejszym okresie (nawet do roku). Taka sytuacja ma najczęściej miejsce, gdy powód wnosi o zwolnienie z kosztów sądowych bądź konieczne są inne postępowania wpadkowe, np. w zakresie właściwości sądu lub uzupełnienia braków formalnych pozwu. Okres przechowywania danych osobowych wynosi zatem 11 lat. Bank w świetle powyższego wskazał, że będzie przechowywał dane osobowe wnioskodawcy do [...] września 2026 r. Bank zaznaczył również, że pomiędzy stronami dotychczas nie było sporu, w tym wnioskodawca nie zgłaszał roszczeń odszkodowawczych wobec Banku (dowód: pismo Banku z dnia [...] czerwca 2020 r. wraz z załącznikiem). Bank wskazał, że nie dochodzi w chwili obecnej na drodze sądowej żadnych roszczeń wobec wnioskodawcy. Bank nie ma także wiedzy, aby wnioskodawca w chwili obecnej dochodził wobec Banku swoich roszczeń na drodze postępowania sądowego. Ponadto Bank wskazał, że z bankowego systemu zarządzania reklamacjami wynika, że zgłoszone przez wnioskodawcę reklamacje zostały rozpatrzone. Aktualnie nie toczy się także żadne postępowanie reklamacyjne z udziałem wnioskodawcy (dowód: pismo Banku z dnia [...] grudnia 2023 r.). Bank wskazał, że ustosunkował się w dniu [...] września 2019 r. do żądania usunięcia danych osobowych wnioskodawcy wyrażonego w piśmie z dnia [...] sierpnia 2019 r. Ponadto Bank wskazał wnioskodawcy w przedmiotowym piśmie, że: a) prawo do usunięcia danych może być realizowane w każdym momencie, lecz jest to prawo warunkowe i jest zależne od spełnienia konkretnych przesłanek. Bank dodatkowo wyjaśnił, że w sprawie żądania wniesionego przez wnioskodawcę Bank nie mógł zrealizować żądania usunięcia danych osobowych, bowiem ich przetwarzanie jest niezbędne do ustalenia, dochodzenia lub obrony roszczeń (podstawa prawna: art. 17 ust. 3 lit. e RODO; b) dane osobowe wnioskodawcy są przetwarzane ze względu nieaktywne produkty bankowe, c) dane osobowe wnioskodawcy będą przetwarzane przez okres przedawnienia ewentualnych roszczeń, d) interes w przetwarzaniu danych osobowych wnioskodawcy jest zgodny z prawem krajowym oraz prawem Unii Europejskiej: f) Bank poinformował również wnioskodawcę, że wobec odmowy uwzględnienia jego żądania przysługuje mu prawo wniesienia skargi do organu nadzorczego – Prezesa UODO; g) Bank poinformował wnioskodawcę o jego prawie do skorzystania ze środków ochrony prawnej przed sądem powszechnym (dowód: pismo Banku z dnia [...] grudnia 2019 r. wraz z załącznikami). Wnioskodawca przedstawił kopię dwóch pism skierowanych do Banku: a) w piśmie z dnia [...] maja 2019 r. żądał od Banku usunięcia jego danych osobowych oraz potwierdzenia tego faktu w formie pisemnej; b) w piśmie z dnia [...] sierpnia 2019 r. ponownie zażądał usunięcia jego danych osobowych przez Bank i potwierdzenia tego faktu w formie pisemnej, ponadto zaznaczył, że jego pismo dotyczy danych w zakresie nazwiska, imienia, adresu zamieszkania, adresu korespondencyjnego, numeru PESEL, numeru telefonu, adresu email oraz numeru konta bankowego, a także wskazał, że jego wcześniejsze pismo (tj. z dnia [...] maja 2019 r.) pozostało bez odpowiedzi ze strony Banku. Dodatkowo przedstawił dwie kopie potwierdzenia odbioru przez Bank korespondencji w dniu [...] maja 2019 r. oraz [...] sierpnia 2019 r. z pieczątką Banku. Przesłane przez wnioskodawcę kopie potwierdzeń obejmują jedynie ich jedną stronę i nie jest widoczny adres i adresat, do którego przesłano żądanie (dowód: skarga wnioskodawcy z dnia [...] września 2019 r. wraz z załącznikami, pismo Prezesa UODO do wnioskodawcy z dnia [...] sierpnia 2023 r. wraz z wydrukiem Urzędowego Poświadczenia Doręczenia). Bank wskazał, że nie są mu znane okoliczności braku odpowiedzi na pismo wnioskodawcy z dnia [...] maja 2019 r. W systemach informatycznych Banku brak jest informacji o wpływie przedmiotowego pisma w 2019 r. (dowód: pismo Banku z dnia [...] maja 2021 r. (dowód: pismo Banku z dnia [...] maja 2021 r.).
Prezes UODO mając na względzie treść art. 6 ust. 1 RODO oraz motyw 47 RODO wskazał, że z materiału dowodowego nie wynika, aby pomiędzy Bankiem a wnioskodawcą toczyły się jakiekolwiek postępowania, których przedmiotem jest dochodzenie wzajemnych roszczeń. Z materiału dowodowego nie wynika również, aby Bank obecnie rozpatrywał reklamację wniesioną przez wnioskodawcę. W ocenie Prezesa UODO, brak jest zatem spełnienia wskazywanej przez Bank przesłanki niezbędności do celów wynikających z prawnie usprawiedliwionych interesów realizowanych przez administratora odnośnie przetwarzania danych osobowych wnioskodawcy w ww. celach. Przesłanka z art. 6 ust. 1 lit. f RODO dotyczy sytuacji już istniejącej, w której celem wynikającym z prawnie uzasadnionych interesów realizowanych przez administratora jest konieczność udowodnienia, potrzeba dochodzenia lub obrony przed roszczeniem istniejącym, nie zaś sytuacji, gdy dane są przetwarzane w celu zabezpieczenia się przed ewentualnym roszczeniem.
Prezes UODO stwierdził, że Bank przetwarza dane osobowe wnioskodawcy w ww. celach wyłącznie "na zapas", aby zabezpieczyć się przed ewentualnym przyszłymi i niepewnymi roszczeniami wnioskodawcy. Prezes UODO podzielił stanowisko Naczelnego Sądu Administracyjnego w Warszawie, wyrażone w wyroku z dnia 6 marca 2019 r. (sygn. I OSK 994/17), w którym NSA stwierdził (cyt.): "zdaniem Naczelnego Sądu Administracyjnego przetwarzanie danych osobowych W. L., który cofnął zgodę na ich przetwarzanie, nie jest niezbędne dla wypełnienia prawnie usprawiedliwionych celów realizowanych przez E. S.A., a którym jest prawo do podjęcia obrony przed ewentualnymi roszczeniami lub zarzutami dotyczącymi przetwarzania danych W. L. (...) Prawidłowe jest stanowisko Sądu pierwszej instancji, że niedopuszczalne jest przetwarzanie danych osobowych niejako "na zapas" z założeniem, że mogą być one ewentualnie przydatne w przyszłości".
Prezes UODO podkreślił, że przy przyjęciu odmiennej interpretacji ww. przepisów. Wnioskodawca pozbawiony byłby ochrony na gruncie RODO oraz ustawy o ochronie danych osobowych. Przyjęcie za prawidłowe stanowiska, iż przetwarzanie danych osobowych w celu uchylenia się od negatywnych skutków w przypadku zgłoszenia w przyszłości ewentualnego i nieokreślonego roszczenia, stanowi prawnie usprawiedliwiony cel w rozumieniu art. 6 ust. 1 lit. f RODO oznaczałoby, że dane osobowe wnioskodawcy mogą być przetwarzane przez Bank permanentnie, bez konieczności ich usunięcia. Teoretycznie możliwym jest przecież, by wnioskodawca zwrócił się do Banku z roszczeniem po upływie terminu przedawnienia roszczenia. Prowadziłoby to tym samym do uznania, że przetwarzanie danych osobowych wnioskodawcy przez Bank ma uzasadnienie w przesłance określonej art. 6 ust. 1 lit. f RODO w celu realizacji prawa do obrony przed ewentualnym roszczeniem wnioskodawcy również po upływie ww. terminu.
Prezes UODO zaznaczył, że przedawnienie roszczenia nie wywołuje skutków na gruncie ochrony danych osobowych, nie wpływa bowiem na fakt istnienia roszczenia, a powoduje jedynie zmianę w sferze zarzutów procesowych w postaci możliwości podniesienia okoliczności przedawnienia w sporze sądowym. Okolicznością usprawiedliwiającą przetwarzanie danych osobowych w celu dochodzenia roszczeń jest sam fakt istnienia roszczenia oraz zamiar jego dochodzenia, nie jest nią natomiast zmiana w uprawnieniach procesowych podmiotu pozwanego.
Prezes UODO wyjaśnił, że zgodnie z art. 2 pkt 2 ustawy z dnia 5 sierpnia 2015 r. o rozpatrywaniu reklamacji przez podmioty rynku finansowego i o Rzeczniku Finansowym (Dz. U. z 2023 r. poz. 1809), zwanej dalej ustawą z 2015 r., poprzez "reklamacje" należy rozumieć wystąpienie skierowane do podmiotu rynku finansowego przez jego klienta, w którym klient zgłasza zastrzeżenia dotyczące usług świadczonych przez podmiot rynku finansowego. Zgodnie z art. 5 ust. 1 ustawy z 2015 r. po złożeniu przez klienta reklamacji, zgodnie z wymogami, o których mowa w art. 4 ust. 1 pkt 1, podmiot rynku finansowego rozpatruje reklamację i udziela klientowi odpowiedzi w postaci papierowej lub za pomocą innego trwałego nośnika informacji, odpowiedzi należy udzielić bez zbędnej zwłoki w terminie 30 dnia od dnia otrzymania reklamacji (art. 6 ustawy z 2015 r.). Bank nie wykazał natomiast, aby wnioskodawca wniósł reklamację, która aktualnie uzasadniałaby przetwarzanie danych osobowych w celu jej rozpatrzenia. Ponadto z przepisów ustawy z 2015 r. nie wynika termin realizacji uprawnienia do wniesienia reklamacji. Przetwarzanie danych osobowych wnioskodawcy na wypadek konieczności rozpatrzenia reklamacji stoi w sprzeczności z zasadą ograniczonego przechowywania wyrażoną w art. 5 ust. 1 lit. e RODO, który stanowi, że dane osobowe muszą być przechowywane w formie umożliwiającej identyfikację osoby, której dane dotyczą, przez okres nie dłuższy, niż jest to niezbędne do celów, w których dane te są przetwarzane; dane osobowe można przechowywać przez okres dłuższy, o ile będą one przetwarzane wyłącznie do celów archiwalnych w interesie publicznym, do celów badań naukowych lub historycznych lub do celów statystycznych na mocy art. 89 ust. 1, z zastrzeżeniem że wdrożone zostaną odpowiednie środki techniczne i organizacyjne wymagane na mocy niniejszego rozporządzenia w celu ochrony praw i wolności osób, których dane dotyczą ("ograniczenie przechowywania").
Prezes UODO powołał się na wyrok Wojewódzkiego Sądu Administracyjnego w Warszawie z dnia 20 lipca 2020 r. sygn. akt II SA/Wa 2602/19. W ocenie Prezesa UODO zasada rozliczalności wyrażona w art. 5 ust. 2 RODO nie powinna być oceniana w oderwaniu od pozostałych zasad wskazanych w art. 5 ust. 1 RODO. Zasada rozliczalności ma instrumentalny charakter wobec pozostałych zasadach wskazywany w ww. przepisie (cyt.) "W literaturze przedmiotu podkreśla się, że wprowadzanie w szerszym zakresie mechanizmów zapewniających rozliczalność skuteczniej odpowiada na obecne wyzwania związane z przetwarzaniem danych osobowych. Niekiedy wskazuje się nawet, iż wdrożenie zasady rozliczalności w wielu sytuacjach mogłoby zastąpić konieczność realizacji pozostałych zasad ochrony danych osobowych . Jednakże prawodawca unijny nie przyjął tego poglądu i ukształtował rozliczalność jako zasadę o charakterze instrumentalnym wobec pozostałych zasad przetwarzania danych, która ma zapewnić większą skuteczność ich przestrzegania. Zasady działalności administratorów o charakterze ogólnym mogą być w praktyce wdrożone jedynie wówczas, gdy zostaną zoperacjonalizowane na poziomie działań organizacyjnych". W konsekwencji należy uznać, że zasada rozliczalności wyrażona w art. 5 ust. 2 RODO nie powinna być stosowana w oderwaniu od innych zasad, tym samym nie można z niej czynić samodzielnej podstawy prawnej przetwarzania po ustaniu innych celów.
Prezes UODO wskazał, że zakończenie postępowania administracyjnego w niniejszej sprawie powoduje wygaśnięcie celu przetwarzania. Wobec braku wskazania innych celów przetwarzania danych osobowych przez Bank należy uznać, że aktualnie Bank nie legitymuje się przesłanką uprawniającą go do przetwarzania danych osobowych wnioskodawcy.
Prezes UODO odnosząc się do zarzutu nieuwzględnienia żądania usunięcia danych osobowych wnioskodawcy przez Bank wskazał, że w trakcie postępowania Bank powoływał się konieczność przetwarzania danych osobowych wnioskodawcy z uwagi na obowiązki prawne wynikające z przepisów u.r. Zgodnie z art. 74 ust. 2 u.r. pozostałe zbiory niewymienione w ust. 1 przepisu przechowuje się co najmniej przez okres: (cyt.) "dowody księgowe dotyczące środków trwałych w budowie, pożyczek, kredytów oraz umów handlowych, roszczeń dochodzonych w postępowaniu cywilnym lub objętych postępowaniem karnym albo podatkowym - przez 5 lat od początku roku następującego po roku obrotowym, w którym operacje, transakcje i postępowanie zostały ostatecznie zakończone, spłacone, rozliczone lub przedawnione" (pkt 4). Mając na uwadze, że rachunki bankowe wnioskodawcy zostały zamknięte w dniach [...] października 2014 r. oraz [...] września 2015 r., należy zauważyć, że w dniu udzielenia odpowiedzi wnioskodawcy w piśmie z dnia [...] września 2019 r. Bank legitymował się przesłanką uprawniającą do przetwarzania danych osobowych w ww. okresie, o której mowa w art. 6 ust. 1 lit. c RODO, gdyż przetwarzanie było niezbędne do realizacji obowiązku wynikającego z art. 74 u.r. Bank był zatem uprawniony do odmowy realizacji żądania usunięcia danych osobowych wnioskodawcy na podstawie ust. 17 ust. 3 lit. b RODO zgodnie z którym art. 17 ust. 1 i 2 RODO nie mają zastosowania w zakresie w jakim przetwarzanie jest niezbędne do wywiązania się z prawnego obowiązku wymagającego przetwarzania na mocy prawa Unii lub prawa państwa członkowskiego, któremu podlega administrator, lub do wykonania zadania realizowanego w interesie publicznym lub w ramach sprawowania władzy publicznej powierzonej administratorowi. Ponadto udzielając odpowiedzi na żądanie wnioskodawcy zawarte w piśmie [...] sierpnia 2019 r. zachował termin miesięczny wskazany w art. 12 ust. 4 RODO. Tym samym Prezes UODO w zakresie powyższym nie stwierdził nieprawidłowości w działaniu Banku.
Prezes UODO odnosząc się do zarzucanego nieustosunkowania się przez Bank do wniosku z dnia [...] maja 2019 r. dotyczącego usunięcia danych osobowych wskazał, że Bank nie odnotował wpływu pisma wnioskodawcy z dnia [...] maja 2019 r. zawierającego jego żądanie usunięcia danych osobowych. Jednocześnie wnioskodawca, pomimo uprzedniego wezwania w tym zakresie przez organ, nie przedstawił pełnej kopii zwrotnego potwierdzenia odbioru ww. pisma (na przesłanej kopii nie ma widocznego adresu, na który przesłano przesyłkę). Tym samym nie można uznać, aby Bank dopuścił się naruszenia polegającego na braku udzielenia wnioskodawcy odpowiedzi w związku z żądaniem zawartym w tym piśmie.
Prezes UODO wskazał, że z materiału dowodowego zebranego w sprawie wynika, iż przetwarzanie danych osobowych wnioskodawcy przez Bank w zakresie nazwiska, imienia, numeru PESEL, adresu email, numeru telefonu, adresu zamieszkania, adresu korespondencyjnego oraz numeru rachunku bankowego nie znajduje obecnie oparcia w przesłankach legalizujących proces przetwarzania wskazanych w art. 6 ust. 1 RODO, tym samym korzystając z uprawnienia naprawczego przewidzianego w art. 58 ust. 2 lit. c RODO Prezes UODO nakazał ich usunięcie. Prezes UODO zaznaczył, że jest uprawniony do nakazania Bankowi usunięcia danych osobowych wnioskodawcy jedynie w zakresie wskazanym w treści jego żądania sformułowanego w skardze, zaś jak ustalono Bank nie przetwarza danych osobowych wnioskodawcy w zakresie numeru NIP, numeru REGON oraz stacjonarnego numeru telefonu. Natomiast w odniesieniu do nieuwzględnienia żądania wnioskodawcy w zakresie usunięcia jego danych osobowych przez Bank na podstawie art. 17 RODO, zebrany w sprawie materiał dowodowy wykazał, że Bank ustosunkował się do żądania wnioskodawcy wniesionego w piśmie z dnia [...] sierpnia 2019 r. z zachowaniem terminu wskazanego w art. 12 ust. 4 RODO zasadnie odmawiając wówczas realizacji żądania, gdyż odmowa ta miała oparcie w art. 17 ust. 3 lit. b RODO.
Decyzja Prezesa UODO z dnia [...] maja 2024 r. nr [...] w zakresie pkt 1 stała się przedmiotem skargi Banku, reprezentowanego przez pełnomocnika, do Wojewódzkiego Sądu Administracyjnego w Warszawie.
Skarżący zaskarżonej decyzji (punkt 1 decyzji) zzarzucił naruszenie prawa materialnego oraz procesowego: art. 6 ust. 1 lit. f) RODO, poprzez błędną interpretację, a w konsekwencji uznanie, że przetwarzanie danych osobowych w celu ustalenia, dochodzenia lub obrony roszczeń nie stanowi prawnie uzasadnionego interesu banku podczas, gdy bank przetwarza dane uczestnika postępowania w okresie przedawnienia roszczeń cywilnych przez okres wynikających z przepisów k.c.; art. 6 ust. 1 lit. f) RODO, w zw. z art. 117 § 2 i 21, art. 118 i 119 k.c., polegające na jego niewłaściwym zastosowaniu i przyjęciu, jakoby przechowywanie danych przez okres przedawnienia roszczeń - również, gdy ani administrator ani osoba, której dane dotyczą nie zgłosiła jeszcze roszczenia, nie stanowi prawnie uzasadnionego interesu banku, w rozumieniu art. 6 ust. 1 lit. f) RODO; podczas gdy przepisy te uprawniają bank do przetwarzania danych osobowych w celu ustalenia, dochodzenia lub ochrony przed roszczeniami; art. 6 k.p.a. i art. 7 in principio k.p.a. oraz art. 7 Konstytucji RP poprzez przekroczenie kompetencji organu i arbitralne stwierdzenie, że pomiędzy stronami umowy o produkt bankowy, nie istnieją bądź nie mogły powstać roszczenia o charakterze cywilnoprawnym podczas, gdy Prezes UODO nie jest organem kompetentnym do rozstrzygania tejże materii, lecz sąd powszechny; art. 107 § 3 k.p.a. w zw. z art. 8 i art. 9 k.p.a. z uwagi na brak właściwego uzasadnienia prawnego przedmiotowej decyzji, we fragmencie odnoszącym się do analizy podstawy do przetwarzania przez skarżącego danych osobowych w oparciu o art. 6 ust. 1 lit. f) RODO poprzez uznanie, że skarżący nie może przetwarzać danych uczestnika postępowania w oparciu o tę regulację; art. 107 § 3 k.p.a. w zw. z art. 8 w zw. z art. 1 k.p.a. poprzez wyjście w ramach uzasadnienia decyzji poza ramy prawne skargi podmiotu danych oraz poza ramy prawne sprawy administracyjnej, a w konsekwencji niedopuszczalną i arbitralną ingerencję w sferę roszczeń cywilnoprawnych oraz bezzasadne uzależnienie istnienia podstawy przetwarzania danych od stwierdzonej wierzytelności; art. 58 ust. 2 lit b) RODO w zw. art. 51 ust. 1, art. 55 ust. 1, art. 57-58 RODO poprzez przekroczenie swoich kompetencji i ocenę istnienia roszczeń cywilnoprawnych pomiędzy bankiem, a podmiotem danych, podczas gdy taka ocena leży wyłącznie w sferze kompetencji sądu cywilnego w ramach rozpatrywania sprawy cywilnej i w konsekwencji nieuprawnione przyjęcie braku podstawy przetwarzania danych w celu obrony przed roszczeniami. Skarżący wniósł o uwzględnienie przez Prezesa UODO skargi w całości i uchylenie zaskarżonej decyzji, w przypadku braku dokonania samokontroli przez organ o uchylenie zaskarżonej decyzji, z daleko posuniętej ostrożności procesowej w przypadku stwierdzenia przez Sąd braku podstaw do uchylenia zaskarżonej decyzji przekazanie sprawy do ponownego rozpoznania, rozpoznanie sprawy na rozprawie, zasądzenie na rzecz skarżącego kosztów postępowania i opłaty skarbowej od pełnomocnictwa, według norm przepisanych, o wstrzymanie wykonania punktu 1) ww. decyzji.
Skarżący w uzasadnieniu rozwinął szerzej zarzuty skargi. Wskazał m.in., że Prezes UODO, nie ma kompetencji do oceny, czy zobowiązanie istnieje oraz czy dochodzenie go w określonej wysokości przez wierzyciela jest zasadne, dopóki kwestii istnienia lub nieistnienia zobowiązania w stosunku do osoby fizycznej nie rozstrzygnie sąd powszechny. Skarżący podniósł, że umowa łącząca bank z klientem jest umową dwustronnie zobowiązującą, a zatem tworzy stosunek zobowiązaniowy. W konsekwencji, może być źródłem roszczeń zarówno jednej jak i drugiej strony. Strony mogą mieć roszczenia np. związane z prowizją należną lub opłatami z tytułu korzystania z produktów bankowych, rozliczeniem wzajemnych świadczeń. Spory na tle kredytów CHF są tego wyraźnym przykładem. Celem dalszego przetwarzania danych po zakończeniu umowy jest zatem m.in. ustalenie, dochodzenie lub obrona przed ewentualnymi roszczeniami klientów i nie ma znaczenia czy roszczenie zostało zgłoszone lub zasygnalizowane przed zakończeniem umowy. Konieczność usunięcia danych klienta po zakończeniu umowy uniemożliwiałaby rozpatrzenie, w tym ocenę zasadności roszczenia. W związku z tym, zakres czasowy przetwarzania danych w powyższym celu określają przepisy przywołane w toku postępowania administracyjnego, tj. art. 118 oraz art. 4421 § 1 k.c.
Skarżący stoi na stanowisku, że instytucja przedawnienia, obok zasiedzenia, przemilczenia i terminów zawitych, stanowi przykład realizacji koncepcji dawności. Podstawowymi celami (ratio legis) instytucji dawności, w tym przedawnienia, są: (i) zapewnienie stabilizacji i pewności w stosunkach społecznych; (ii) zapobieżenie trudnościom dowodowym; (iii) dyscyplinowanie uprawnionego". Bieg okresu przedawnienia roszczenia nie zależy od żadnej dodatkowej czynności, takich jak oświadczenie strony umowy, zgłoszenie roszczenia etc. Tymczasem PUODO stoi na stanowisku, że przechowywanie danych przez okres przedawnienia roszczeń możliwe jest tylko, gdy klient wystąpił z roszczeniem wobec banku. W ocenie banku niedopuszczalne jest uznanie, że instytucja zaufania publicznego nie miałaby zabezpieczać swoich interesów na wypadek sporu sądowego, albowiem musi działać z korzyścią dla bezpieczeństwa finansowego, stabilności sektora finansowego, swoich akcjonariuszy i pozostałych klientów. Za koniecznością przechowywania danych przez bank po zakończeniu umowy w powyższym kontekście przemawia również art. 3 k.c. Ponadto bank wyraźnie stwierdza, że okres retencji ograniczony jest do okresu przedawniania roszczeń z tytułu umowy. Okresy przedawnienia są określone w przepisach prawa, które nie dopuszczają nieograniczonego okresu przedawniania.
Skarżący mając na względzie motyw 47 RODO wskazał, że obecne przetwarzanie danych uczestnika postępowania przez bank w celu ustalenia, dochodzenia lub obrony przed roszczeniami wynika z faktu, że strony łączyły umowy. Nie sposób uznać, aby uczestnik postępowania nie mógł spodziewać się dalszego przetwarzania w związku z potencjalnymi roszczeniami wynikającymi z zawartych z bankiem umów, tym bardziej, że cel przetwarzania może leżeć także w jego interesie, bowiem przechowywane dane mogą służyć do prawidłowej oceny ewentualnego roszczenia. RODO w żadnym miejscu nie uzależnia przetwarzania danych osobowych w celu ustalenia, dochodzenia lub obrony roszczeń od zgłoszenia takiego roszczenia. Dotyczy to m.in. przepisów dot. realizacji prawa do bycia zapomnianym.
Skarżący zwrócił uwagę na tzw. "małe TSUE" czyli wyrok TSUE z 11 września 2019 r. dotyczący obowiązku zwrotu klientom pobranych części opłat w przypadku wcześniejszej spłaty kredytu konsumenckiego. Gdyby bank nie przetwarzał danych osobowych po wykonaniu umów o kredyt konsumencki (czyniąc zadość stanowisku PUODO), to nie byłby w stanie dobrowolnie spełnić roszczeń wobec byłych klientów, lecz musiałby czekać na zgłoszenie i wykazanie roszczeń w sposób niebudzący wątpliwości - co do zasady i wysokości.
Skarżący wyjaśnił m.in., iż zgodnie z art. 104 Prawa bankowego bank zobowiązany jest do zachowania tajemnicy bankowej, której poziom ochrony jest zdecydowanie wyższy, niż poziom ochrony danych osobowych wynikających z RODO. Skarżący podniósł, że wydane orzeczenie jest sprzeczne z dotychczasowym stanowiskiem organu. Dla przykładu, w decyzji z [...] marca 2006 r., [...] organ wskazał, że: "Art. 117 § 1 Kodeksu Cywilnego stanowi, iż z zastrzeżeniem wyjątków w ustawie przewidzianych, roszczenia majątkowe ulegają przedawnieniu. Zgodnie z art. 118 Kodeksu cywilnego, jeżeli przepis szczególny nie stanowi inaczej, termin przedawnienia wynosi lat dziesięć, a dla roszczeń o świadczenia okresowe oraz roszczeń związanych z prowadzeniem działalności gospodarczej - trzy lata. Uznać zatem należy, iż Biuro C, przetwarzając dane osobowe Skarżącego w celu zabezpieczenia się przed potencjalnymi roszczeniami z jego strony, czyni to na podstawie art. 23 ust. 1 pkt 2 ustawy." Taki sam stan faktyczny i prawny zaistniał w sprawach zakończonych m.in. następującymi decyzjami: decyzja GIODO z [...] maja 2014 r., [...], decyzja PUODO z [...] marca 2019 r., [...], decyzja PUODO z [...] czerwca 2020 r., [...]., decyzja PUODO z [...] września 2020 r., [...]. W decyzji z [...] czerwca 2020 r. wydanej w stosunku do jednego z banków, dotyczącej przechowywania danych przez okres przedawnienia ewentualnych roszczeń wynikających z odmowy podpisania umowy, organ stwierdził, że przetwarzanie danych osobowych, pomimo niezgłoszenia roszczeń, jest uprawnione w okresie przedawnienia roszczeń. W decyzji z [...] września 2020 r. organ wskazał wprost, że: "Bank będzie miał prawo przetwarzać dane osobowe Skarżącej po zakończeniu czasu trwania umowy w okresie przedawnienia roszczeń wynikającym z art. 118 ustawy (...) kodeks cywilny (...). Na podstawie ww. przepis prawo, Bank może także przetwarzać dane osobowe Skarżącej dotyczące umów już rozwiązanych." Dalej PUODO konkludował: "Wobec tego należy uznać, że Bank posiada i będzie posiadał przesłankę przetwarzania danych osobowych Skarżącej wynikającą z art. 6 ust. 1 lit. f) RODO (uprzedniej art. 23 ust. 1 5 u.o.d.o. z 1997 r.).".
Prezes UODO w odpowiedzi na skargę wniósł o jej oddalenie, podtrzymując stanowisko wyrażone w zaskarżonej decyzji oraz o rozpoznanie sprawy w trybie uproszczonym. Organ w uzasadnieniu dodał m.in., że przetwarzanie danych w celu dochodzenia roszczeń oraz obrony przed roszczeniami, nie jest tożsame z przetwarzaniem na wypadek przyszłej i niepewnej ewentualnej konieczności dochodzenia roszczeń lub obrony przed nimi. Jak wskazał Sąd Najwyższy w postanowieniu z dnia 18 czerwca 2015 r., sygn. akt III CZ 27/15, (cyt.): "Roszczenie to możliwość domagania się od konkretnej osoby, aby w stosunku do uprawnionego zachowała się w ten sposób, że spełni na jej rzecz świadczenie pieniężne lub niepieniężne, wykona pewną czynność, powstrzyma się od jakiegoś działania lub zniesie działanie uprawnionego. Powstaje ono w następstwie zaistnienia w relacjach między uprawnionym i zobowiązanym faktów, z którymi przepisy prawa wiążą konsekwencje determinujące treść poszczególnych roszczeń". Skutkiem przedawnienia, o którym mowa w wskazanym przez Bank art. 117 k.c., nie jest wygaśniecie roszczenia, a tylko niemożność uzyskania ochrony sądowej i w konsekwencji możliwości uzyskania jego przymusowego zaspokojenia z majątku dłużnika. Zobowiązanie na skutek przedawnienia przekształca się w naturalne. Oznacza to, że zobowiązanie nadal istnieje a wierzyciel może podejmować szereg czynności windykacyjnych zmierzających do pozasądowej regulacji zobowiązania. W pojęciu dochodzenia roszczeń bowiem, mieszczą się zarówno sądowe, jak i pozasądowe działania zmierzające do zaspokojenia wierzytelności przez wierzyciela, mieszczące się w granicach obowiązujących przepisów.
Organ podkreślił, że art. 29 ust. 10 ustawy z dnia 11 września 2015 r. o działalności ubezpieczeniowej i reasekuracyjnej (Dz.U. z 2023 r. poz. 656), zwanej dalej ustawą o działalności ubezpieczeniowej i reasekuracyjnej, który stanowi, że zakłady ubezpieczeń są obowiązane do przechowywania informacji i dokumentów gromadzonych w celu ustalenia odpowiedzialności zakładu ubezpieczeń lub wysokości odszkodowania lub świadczenia, do czasu upływu terminu przedawnienia roszczeń z umowy ubezpieczenia. W przypadku banków taki obowiązek nie został przewidziany. Powyższe pozwala na przyjęcie, że gdyby intencją ustawodawcy było, aby bank był uprawniony do przechowywania danych osobowych byłego klienta przez okres przedawnienia roszczeń, wprowadziłby on do polskiego systemu prawnego analogiczny przepis.
Organ zwrócił uwagę, że Bank pomija, iż wnioskodawca żądając usunięcia ww. danych jednocześnie daje wyraz temu, że nie jest zainteresowany w przyszłości zgłaszaniem roszczeń dotyczących wadliwości wykonania zawartych umów z Bankiem. Ponadto zgodnie z motywem 39 RODO, by zapobiec przechowywaniu danych osobowych przez okres dłuższy, niż jest to niezbędne, administrator powinien ustalić termin ich usuwania lub okresowego przeglądu. Możliwość przetwarzania przez okres przedawnienia roszczeń nierozerwalnie łączy się zatem z "istnieniem roszczenia" i faktem "dochodzenia roszczeń", a samo jego oparcie wyłącznie o art. 118 k.c. (bez istnienia roszczenia i jego dochodzenia przez bank lub podmiot danych) nie jest zgodne z zasadą z art. 5 ust. 1 lit. e RODO. Gdyby podzielić stanowisko Banku, że przepisy o przedawnieniu same w sobie uprawniają do przetwarzania danych osobowych byłych klientów, to należy zauważyć, że Bank na podstawie art. 4421 k.c. byłby uprawniony do przetwarzania danych swoich byłych klientów przez okres co najmniej dwudziestoletni.
Organ podkreślił również, że Bank w swoim stanowisku nie uwzględnia, że istnieją obowiązki archiwizacyjne wynikające np. z przepisów ustawy z dnia 29 września 1994 r. o rachunkowości (Dz. U. z 2023 r. poz. 120) lub ustawy z dnia 1 marca 2018 r. o przeciwdziałaniu praniu pieniędzy oraz finansowaniu terroryzmu (Dz. U. z 2023 r. poz. 1124), celem wykonania których niezbędne jest przetwarzanie danych osobowych byłego klienta po rozwiązaniu lub wygaśnięciu umowy. Z motywu 27 RODO wynika, że rozporządzenie nie ma zastosowania do danych osobowych osób zmarłych. Zgodnie z motywem 158 RODO jeżeli dane osobowe są przetwarzane do celów archiwalnych, niniejsze rozporządzenie powinno mieć zastosowanie także do takiego przetwarzania.
Odnosząc się do decyzji przywołanych w skardze organ wyjaśnił, że wyłącznie decyzja z dnia [...] czerwca 2020 r. w sprawie [...] została wydana w oparciu aktualne przepisy prawa. W przypadku poprzednich postępowania prowadzone były na podstawie przepisów ustawy z 1997 r. Z dniem wejścia w życie ustawy z 10 maja 2018 r. tj. 25 maja 2018 r., zgodnie z art. 167 ust. 1 ww. ustawy Biuro Generalnego Inspektora Ochrony Danych Osobowych stało się Urzędem Ochrony Danych Osobowych. Zgodnie natomiast z art. 160 ww. ustawy, postępowania prowadzone przez Generalnego Inspektora Ochrony Danych Osobowych, wszczęte i niezakończone przed 25 maja 2018 r. prowadzone są przez Prezesa Urzędu Ochrony Danych Osobowych, na podstawie ustawy z 1997 r. zgodnie z zasadami określonymi w k.p.a. Skoro powyższe decyzje zostały wydane w oparciu o inny stan prawny nie mogą stanowić wyznacznika w zakresie dotychczasowej praktyki w kontekście niniejszej sprawy.
Organ zaznaczył, że w toku postępowania ustalił, że ani Bank nie dochodzi roszczeń względem wnioskodawcy, ani również wnioskodawca nie dochodzi roszczeń względem Banku. W niniejszym postępowaniu okoliczność braku dochodzenia roszczeń pomiędzy stronami postępowania nie była sporna. Okoliczność była kluczowa dla ustalenia istnienia po stronie Banku uprawnienia do przetwarzania danych osobowych wnioskodawcy w świetle przepisów o ochronie danych osobowych.
Wojewódzki Sąd Administracyjny w Warszawie zważył, co następuje.
Zgodnie z art. 1 § 1 i 2 ustawy z dnia 25 lipca 2002 r. – Prawo o ustroju
sądów administracyjnych (Dz. U. z 2024 r., poz. 1267), sądy administracyjne sprawują wymiar sprawiedliwości przez kontrolę działalności administracji publicznej, przy czym kontrola ta sprawowana jest pod względem zgodności z prawem, jeżeli
ustawy nie stanowią inaczej. Sąd rozstrzyga w granicach danej sprawy, nie będąc jednak związany zarzutami i wnioskami skargi oraz powołaną podstawą prawną (art. 134 § 1 ustawy z dnia 30 sierpnia 2002 r. - Prawo o postępowaniu przed sądami administracyjnymi (Dz.U. z 2024 r., poz. 935), zwanej dalej P.p.s.a.
Skarga oceniana w świetle powyższych kryteriów nie podlegała uwzględnieniu.
Zaskarżona w zakresie punktu 1 decyzja nie narusza przepisów prawa procesowego, tj. art. 1 k.p.a., art. 6 k.p.a., art. 7 k.p.a., art. 8 k.p.a., art. 9 k.p.a., jak również innych przepisów k.p.a., w tym art. 80 i art. 107 § 1 k.p.a. w stopniu, który mógł mieć istotny wpływ na wynik sprawy. Zgodnie z zasadą prawdy obiektywnej (art. 7 k.p.a.), w toku postępowania organy administracji publicznej z urzędu lub na wniosek stron podejmują wszelkie czynności niezbędne do dokładnego wyjaśnienia stanu faktycznego oraz do załatwienia sprawy. Organ administracji publicznej ma zatem obowiązek zebrania i rozpatrzenia materiału dowodowego w taki sposób, aby ustalić stan faktyczny sprawy zgodny z rzeczywistością. Zasada prawdy obiektywnej została skonkretyzowana w art. 77 § 1 k.p.a., zgodnie z którym organ administracji publicznej jest obowiązany w sposób wyczerpujący zebrać i rozpatrzyć cały materiał dowodowy. Organ administracji publicznej ocenia na podstawie całokształtu materiału dowodowego, czy dana okoliczność została udowodniona (art. 80 k.p.a.) Zgodnie zaś z art. 107 § 3 k.p.a., uzasadnienie faktyczne decyzji powinno w szczególności zawierać wskazanie faktów, które organ uznał za udowodnione, dowodów, na których się oparł, oraz przyczyn, z powodu których innym dowodom odmówił wiarygodności i mocy dowodowej, zaś uzasadnienie prawne - wyjaśnienie podstawy prawnej decyzji, z przytoczeniem przepisów prawa.
W ocenie Sądu organ zgromadził pełny i wystarczający dla rozstrzygnięcia tej sprawy materiał dowodowy i należycie go rozważył, prawidłowo rozstrzygając, jak w punkcie 1 decyzji z dnia [...] maja 2024 r. Uzasadnienie zaskarżonej decyzji przedstawia ustalenia faktyczne w sposób wystarczająco wyczerpujący, odnoszący się do istoty sprawy. Ustalenia organu znajdują odzwierciedlenie w aktach postępowania administracyjnego. Uzasadnienie decyzji wskazuje na motywy podjętej przez organ decyzji (punkt 1). Uzasadnienie decyzji jest wystarczająco wyczerpujące dla rozstrzygnięcie tej sprawy.
W sprawie tej organ (w punkcie 1 decyzji) nakazał Bankowi usunięcie danych osobowych K. K. w zakresie nazwiska, imienia, numeru PESEL, adresu email, numeru telefonu, adresu zamieszkania, adresu korespondencyjnego i numeru rachunku bankowego.
W ocenie Sądu ustalenia stanu faktycznego dokonane w tej sprawie przez organ, przedstawione w uzasadnieniu decyzji Prezesa UODO są prawidłowe i znajdują odzwierciedlenie w materiale dowodowym zawartym w aktach postępowania administracyjnego – opierają się na wyjaśnieniach Banku, w związku z czym nie ma potrzeby ich ponownego przytaczania. Bank brał czynny udział w postępowaniu administracyjnym.
Wskazania wymaga jedynie, że Bank w toku postępowania wskazał, iż uczestnik postępowania posiada nieaktywne produkty w Banku, takie jak: umowa z dnia [...] października 2014 r. rachunku oszczędnościowo-rozliczeniowego (data zamknięcia: [...] października 2014 r.) i umowa z dnia [...] grudnia 2014 r. rachunku oszczędnościowo-rozliczeniowego (data zamknięcia: [...] września 2015 r.). Uczestnik postępowania wskazał, że skierował do Banku dwa żądania usunięcia danych, pierwsze z dnia [...] maja 2019 r. pozostało bez odpowiedzi, natomiast w odpowiedzi z dnia [...] września 2019 r. na drugie żądanie uczestnika z dnia [...] sierpnia 2019 r. Bank odmówił usunięcia danych osobowych. W wyjaśnieniach złożonych w toku postępowania administracyjnego bank wyjaśniał, że aktualne podstawy prawne przetwarzania danych osobowych to spełnienie obowiązku prawnego - wykazanie zgodności z RODO, tym spełnienie zasady rozliczalności, udokumentowanie rozpoznania skargi uczestnika oraz zasadności postępowania Banku, spełnienie obowiązku prawnego - przedłożenie dokumentacji organowi nadzoru ochrony, spełnienie obowiązku prawnego — dotyczącego należytego rozpatrywania reklamacji, obrona przed roszczeniami uczestnika dotyczącymi podejmowanych przez Bank czynności bankowych na rzecz uczestnika, należytego wykonywania zawartych umów oraz prawidłowego rozpatrywania reklamacji przez podmioty rynku finansowego, obrona własnych praw w postępowaniu przed Prezesem UODO. Bank wskazał tez w toku postępowania administracyjnego, że aktualnie nie przetwarza już dany osobowych uczestnika w celu wykonania obowiązków wynikających z ustawy o rachunkowości z uwagi na upływ okresu retencji danych.
Jednocześnie z ustaleń stanu faktycznego, dokonanych na podstawie wyjaśnień Banku wynika, że Bank nie dochodzi aktualnie na drodze sądowej żadnych roszczeń wobec uczestnika. Bank nie ma także wiedzy, aby uczestnik dochodził wobec Banku roszczeń na drodze postępowania sądowego. Bank wyjaśnił też, że zgłoszone przez uczestnika w przeszłości reklamacje zostały rozpatrzone i aktualnie nie toczy się także żadne postępowanie reklamacyjne z udziałem uczestnika.
W sprawie tej prawidłowo Prezes UODO stwierdził, w odniesieniu do nieuwzględnienia żądania uczestnika w zakresie usunięcia jego danych osobowych przez Bank na podstawie art. 17 RODO, że zebrany w sprawie materiał dowodowy wykazał, iż Bank ustosunkował się do żądania uczestnika wniesionego w piśmie z dnia [...] sierpnia 2019 r. z zachowaniem terminu wskazanego w art. 12 ust. 4 RODO zasadnie odmawiając wówczas realizacji żądania uczestnika, gdyż odmowa ta miała wówczas oparcie w art. 17 ust. 3 lit. b RODO.
Zgodnie z art. 17 ust. 1 RODO osoba, której dane dotyczą, ma prawo żądania od administratora niezwłocznego usunięcia dotyczących jej danych osobowych, a administrator ma obowiązek bez zbędnej zwłoki usunąć dane osobowe, jeżeli zachodzi jedna z następujących okoliczności; a) dane osobowe nie są już niezbędne do celów, w których zostały zebrane lub w inny sposób przetwarzane; b) osoba, której dane dotyczą, cofnęła zgodę, na której opiera się przetwarzanie zgodnie z art. 6 ust. 1 lit. a) lub art. 9 ust. 2 lit. a), i nie ma innej podstawy prawnej przetwarzania; c) osoba, której dane dotyczą, wnosi sprzeciw na mocy art. 21 ust. 1 wobec przetwarzania i nie występują nadrzędne prawnie uzasadnione podstawy przetwarzania lub osoba, której dane dotyczą, wnosi sprzeciw na mocy art. 21 ust. 2 wobec przetwarzania; d) dane osobowe były przetwarzane niezgodnie z prawem; e) dane osobowe muszą zostać usunięte w celu wywiązania się z obowiązku prawnego przewidzianego w prawie Unii lub prawie państwa członkowskiego, któremu podlega administrator; f) dane osobowe zostały zebrane w związku z oferowaniem usług społeczeństwa informacyjnego, o których mowa w art. 8 ust. 1. Zgodnie zaś z art. 17 ust. 3 RODO Ust. 1 i 2 nie mają zastosowania, w zakresie w jakim przetwarzanie jest niezbędne: a) do korzystania z prawa do wolności wypowiedzi i informacji; b) do wywiązania się z prawnego obowiązku wymagającego przetwarzania na mocy prawa Unii lub prawa państwa członkowskiego, któremu podlega administrator, lub do wykonania zadania realizowanego w interesie publicznym lub w ramach sprawowania władzy publicznej powierzonej administratorowi; c) z uwagi na względy interesu publicznego w dziedzinie zdrowia publicznego zgodnie z art. 9 ust. 2 lit. h) oraz i) i art. 9 ust. 3; d) do celów archiwalnych w interesie publicznym, do celów badań naukowych lub historycznych lub do celów statystycznych zgodnie z art. 89 ust. 1, o ile prawdopodobne jest, że prawo, o którym mowa w ust. 1, uniemożliwi lub poważnie utrudni realizację celów takiego przetwarzania; lub e) do ustalenia, dochodzenia lub obrony roszczeń.
Zgodnie natomiast z art. 12 ust. 3 RODO administrator bez zbędnej zwłoki - a w każdym razie w terminie miesiąca od otrzymania żądania - udziela osobie, której dane dotyczą, informacji o działaniach podjętych w związku z żądaniem na podstawie art. 15-22. W razie potrzeby termin ten można przedłużyć o kolejne dwa miesiące z uwagi na skomplikowany charakter żądania lub liczbę żądań. W terminie miesiąca od otrzymania żądania administrator informuje osobę, której dane dotyczą o takim przedłużeniu terminu, z podaniem przyczyn opóźnienia. Stosownie do art. 12 ust. 5 RODO administrator może odmówić podjęcia działań w związku z wnioskiem o z art. 15-22 jeżeli żądania są ewidentnie nieuzasadnione lub nadmierne. Natomiast zgodnie z art. 12 ust. 4 RODO jeżeli administrator nie podejmuje działań w związku z żądaniem osoby, której dane dotyczą, to niezwłocznie - najpóźniej w terminie miesiąca od otrzymania żądania - informuje osobę, której dane dotyczą, o powodach niepodjęcia działań oraz o możliwości wniesienia skargi do organu nadzorczego oraz skorzystania ze środków ochrony prawnej przed sądem.
Bank odpowiedział na wniosek z dnia [...] sierpnia 2019 r. pismem z dnia [...] września 2019 r. odmawiając usunięcia danych z uwagi na ustawę o rachunkowości. Zasadnie Prezes UODO powołał w tym zakresie art. 74 ust. 2 u.r., wskazując, że zgodnie z tym przepisem pozostałe zbiory niewymienione w ust. 1 przepisu przechowuje się co najmniej przez okres: dowody księgowe dotyczące środków trwałych w budowie, pożyczek, kredytów oraz umów handlowych, roszczeń dochodzonych w postępowaniu cywilnym lub objętych postępowaniem karnym albo podatkowym - przez 5 lat od początku roku następującego po roku obrotowym, w którym operacje, transakcje i postępowanie zostały ostatecznie zakończone, spłacone, rozliczone lub przedawnione" (pkt 4).
W świetle powyższego i biorąc pod uwagę, że rachunki bankowe uczestnika zostały zamknięte w dniach [...] października 2014 r. oraz [...] września 2015 r., Bank w dniu udzielenia odpowiedzi w piśmie z dnia [...] września 2019 r. legitymował się przesłanką uprawniającą do przetwarzania danych osobowych w ww. okresie, albowiem to przetwarzanie było niezbędne do realizacji obowiązku wynikającego z art. 74 u.r. (art. 6 ust. 1 lit. c RODO).
Trafnie zatem Prezes UODO ocenił w decyzji, że na dzień udzielania odpowiedzi [...] września 2019 r. Bank był uprawniony do odmowy realizacji żądania usunięcia danych osobowych uczestnika na podstawie ust. 17 ust. 3 lit. b RODO.
Jednocześnie Bank udzielając odpowiedzi na żądanie uczestnika zawarte w piśmie [...] sierpnia 2019 r. zachował termin miesięczny, o którym mowa w art. 12 ust. 4 RODO. Zasadnie też organ przyjął, że w sytuacji, gdy uczestnik postępowania nie wykazał jednoznacznie faktu złożenia do Banku wcześniejszego wezwania z dnia [...] maja 2019 r., a jest bezsporne, że Bank nie odnotował tego żądania, brak jest podstaw do stwierdzenia naruszenia RODO poprzez nieudzielenie odpowiedzi na to wezwanie.
Niezależnie od powyższych ustaleń wskazania wymaga, że Prezes UODO wydając decyzję administracyjną jest zobowiązany do rozstrzygnięcia sprawy w oparciu o stan faktyczny istniejący w chwili wydania tej decyzji. Reguła ta odnosi się także do oceny stanu prawnego sprawy, co oznacza, że organ administracji publicznej wydaje decyzję administracyjną na podstawie przepisów prawa obowiązujących w chwili jej wydania.
Mając powyższe na uwadze stwierdzić należało, że rozstrzygniecie punktu 1 decyzji jest prawidłowe. Wszystkie zarzuty skargi Sąd uznał za niezasadne. Trafnie bowiem Prezes UODO stwierdził, że na dzień wydania zaskarżonej decyzji brak było przesłanki uprawniającej Bank do dalszego przetwarzania danych osobowych uczestnika postępowania, wskazanych w punkcie 1 decyzji. Organ dokonał prawidłowej wykładni art. 6 ust. 1 lit. f RODO i zasadnie stwierdził, że w sprawie nie zostały spełnione przesłanki umożliwiające dalsze przetwarzanie danych uczestnika postępowania na tej podstawie. Nie zostały wykazane przy tym żadne inne przesłanki, które czyniłyby dopuszczalnym to przetwarzanie.
Prezes UODO zasadnie nakazał w punkcie 1 decyzji Bankowi usunięcie danych osobowych uczestnika postępowania wskazanych w tym rozstrzygnięciu.
Wskazać na wstępie należy, że zgodnie z motywem 40 RODO, aby przetwarzanie danych było zgodne z prawem, powinno się odbywać na podstawie zgody osoby, której dane dotyczą, lub na innej uzasadnionej podstawie przewidzianej prawem: albo w niniejszym rozporządzeniu, albo w innym akcie prawnym Unii lub w prawie państwa członkowskiego, o których mowa w niniejszym rozporządzeniu, w tym musi się ono odbywać z poszanowaniem obowiązku prawnego, któremu podlega administrator, lub z poszanowaniem umowy, której stroną jest osoba, której dane dotyczą, lub w celu podjęcia działań na żądanie osoby, której dane dotyczą, przed zawarciem umowy.
Powyższe znalazło wyraz w art. 6 ust. 1 RODO określającym przesłanki legalności przetwarzania danych osobowych. Zgodnie z tym przepisem, przetwarzanie jest zgodne z prawem wyłącznie w przypadkach, gdy - i w takim zakresie, w jakim - spełniony jest co najmniej jeden z poniższych warunków: a) osoba, której dane dotyczą wyraziła zgodę na przetwarzanie swoich danych osobowych w jednym lub większej liczbie określonych celów; b) przetwarzanie jest niezbędne do wykonania umowy, której stroną jest osoba, której dane dotyczą, lub do podjęcia działań na żądanie osoby, której dane dotyczą, przed zawarciem umowy; c) przetwarzanie jest niezbędne do wypełnienia obowiązku prawnego ciążącego na administratorze; d) przetwarzanie jest niezbędne do ochrony żywotnych interesów osoby, której dane dotyczą, lub innej osoby fizycznej; e) przetwarzanie jest niezbędne do wykonania zadania realizowanego w interesie publicznym lub w ramach sprawowania władzy publicznej powierzonej administratorowi; f) przetwarzanie jest niezbędne do celów wynikających z prawnie uzasadnionych interesów realizowanych przez administratora lub przez stronę trzecią, z wyjątkiem sytuacji, w których nadrzędny charakter wobec tych interesów mają interesy lub podstawowe prawa i wolności osoby, której dane dotyczą, wymagające ochrony danych osobowych, w szczególności gdy osoba, której dane dotyczą, jest dzieckiem. Akapit pierwszy lit. f) nie ma zastosowania do przetwarzania, którego dokonują organy publiczne w ramach realizacji swoich zadań.
Zasadnie organ stwierdził, odnosząc się do wskazanych przez Bank celów przetwarzania w zakresie obrony przed roszczeniami uczestnika dotyczącymi podejmowanych przez Bank czynności bankowych, należytego wykonywania zawartych umów oraz prawidłowego rozpatrywania reklamacji, że z materiału dowodowego nie wynika, aby pomiędzy Bankiem a uczestnikiem postępowania toczyły się jakiekolwiek postępowania, których przedmiotem jest dochodzenie wzajemnych roszczeń.
Z wyjaśnień Banku nie wynika też, aby Bank rozpatrywał aktualnie jakąkolwiek reklamację uczestnika. Trafne jest w tym stanie faktycznym stwierdzenie organu, że brak jest w związku z tym spełnienia wskazywanej przez Bank przesłanki niezbędności do celów wynikających z prawnie usprawiedliwionych interesów realizowanych przez administratora odnośnie przetwarzania danych osobowych uczestnika w ww. celach.
Trzeba podkreślić, że zgodnie z art. 5 ust. 1 RODO, dane osobowe muszą być: a) przetwarzane zgodnie z prawem, rzetelnie i w sposób przejrzysty dla osoby, której dane dotyczą ("zgodność z prawem, rzetelność i przejrzystość"); b) zbierane w konkretnych, wyraźnych i prawnie uzasadnionych celach i nieprzetwarzane dalej w sposób niezgodny z tymi celami; dalsze przetwarzanie do celów archiwalnych w interesie publicznym, do celów badań naukowych lub historycznych lub do celów statystycznych nie jest uznawane w myśl art. 89 ust. 1 za niezgodne z pierwotnymi celami ("ograniczenie celu"); c) adekwatne, stosowne oraz ograniczone do tego, co niezbędne do celów, w których są przetwarzane ("minimalizacja danych"); d) prawidłowe i w razie potrzeby uaktualniane; należy podjąć wszelkie rozsądne działania, aby dane osobowe, które są nieprawidłowe w świetle celów ich przetwarzania, zostały niezwłocznie usunięte lub sprostowane ("prawidłowość"); e) przechowywane w formie umożliwiającej identyfikację osoby, której dane dotyczą, przez okres nie dłuższy, niż jest to niezbędne do celów, w których dane te są przetwarzane; dane osobowe można przechowywać przez okres dłuższy, o ile będą one przetwarzane wyłącznie do celów archiwalnych w interesie publicznym, do celów badań naukowych lub historycznych lub do celów statystycznych na mocy art. 89 ust. 1, z zastrzeżeniem że wdrożone zostaną odpowiednie środki techniczne i organizacyjne wymagane na mocy niniejszego rozporządzenia w celu ochrony praw i wolności osób, których dane dotyczą ("ograniczenie przechowywania"); f) przetwarzane w sposób zapewniający odpowiednie bezpieczeństwo danych osobowych, w tym ochronę przed niedozwolonym lub niezgodnym z prawem przetwarzaniem oraz przypadkową utratą, zniszczeniem lub uszkodzeniem, za pomocą odpowiednich środków technicznych lub organizacyjnych ("integralność i poufność").
Przedstawione zasady przetwarzania danych nie pozwalają na arbitralne decydowanie przez administratora – w sytuacji braku do tego podstaw – o dalszym przetwarzaniu danych osobowych mimo ustania celu, dla którego dane były zebrane. Powyższe znajduje odniesienie do przetwarzania danych przez Bank jako administratora. Przepis art. 5 ust. 2 RODO stanowi, że administrator jest odpowiedzialny za przestrzeganie ust. 1 i musi być w stanie wykazać ich przestrzeganie ("rozliczalność"). W ocenie Banku ze względu na tę właśnie m.in. rozliczalność ma on podstawę do dalszego przetwarzania danych wnioskodawcy. Jednakże Bank nie dysponuje w istocie na dzień wydania decyzji przesłanką legalności dalszego przetwarzania danych uczestnika postepowania. Brak jest bowiem podstaw, aby przyjąć, że same zasady określone w RODO mogą kreować przesłankę legalności przetwarzania danych. Powyższe dotyczy także wskazywanego przez Bank celu w postaci postępowania administracyjnego przed organem nadzoru. Samo to postępowanie nie tworzy odrębnej podstawy prawnej przetwarzania danych osobowych uczestnika postępowania.
Odnosząc się natomiast do zasadniczej kwestii, tj. podnoszonej przez Bank kwestii obrony przed roszczeniami uczestnika w związku z zamkniętymi w dniach [...] października 2014 r. i [...] września 2015 r. rachunkami oszczędnościowo-rozliczeniowymi, wskazać należy, że zasadnie organ przyjął w decyzji, w ustalonym w tej sprawie stanie faktycznym, że Bank przetwarza dane osobowe uczestnika w istocie "na zapas", aby zabezpieczyć się przed ewentualnymi przyszłymi i niepewnymi roszczeniami uczestnika postępowania.
Wskazania wymaga, że art. 6 ust. 1 lit.f RODO stanowi o uprawnieniu do przetwarzania, gdy jest ono niezbędne do celów wynikających z prawnie uzasadnionych interesów realizowanych przez administratora lub przez stronę trzecią, z wyjątkiem sytuacji, w których nadrzędny charakter wobec tych interesów mają interesy lub podstawowe prawa i wolności osoby, której dane dotyczą, wymagające ochrony danych osobowych, w szczególności gdy osoba, której dane dotyczą, jest dzieckiem.
Za usprawiedliwiony cel w rozumieniu powołanego przepisu nie może zostać uznane przetwarzanie danych osobowych na wypadek ewentualnego dochodzenia lub obrony roszczeń. Z akt sprawy nie wynika, aby uczestnik postępowania, który zażądał usunięcia jego danych osobowych, miał jakiekolwiek roszczenie na drodze cywilnoprawnej do Banku. Także Bank wyjaśnił, że takich roszczeń wobec uczestnika postępowania nie ma. Za niezasadne uznał Sąd zarzuty skargi, w tym twierdzenie Banku o niedopuszczalnej i arbitralnej ingerencji organu w sferę roszczeń cywilnoprawnych. Sąd nie dopatrzył się tego rodzaju "ingerencji". Prezes UODO stwierdził jedynie – zgodnie ze zgromadzonym materiałem dowodowym, opartym na wyjaśnieniach Banku – że uczestnik postępowania (który zażądał usunięcia danych) i Bank nie zgłosili wobec siebie żadnych roszczeń. Prezes UODO ma prawo i obowiązek ocenić, czy przetwarzanie danych osobowych podmiotu składającego do niego skargę jest, m.in. na dzień wydania decyzji, legalne, czy też nie znajduje podstawy prawnej w RODO. Ocena ta jest konieczna i w tym zakresie organ nie wykroczył poza materię, na gruncie której rozstrzygał (RODO). Organ nie dokonywał odrębnych ustaleń co do istnienia lub nieistnienia roszczeń – przyjął i nie podważał wyjaśnień Banku w tym zakresie. Za niezasadne Sąd uznał zarzuty naruszenia art. 6 ust. 1 lit f RODO w zw. z art. 117, 118, 119 k.c.
W odniesieniu do zarzutów skargi warto wskazać, że art. 17 RODO, regulując prawo "do bycia zapomnianym" wskazuje, że ust. 1 i 2 tego przepisu nie mają zastosowania w zakresie, w jakim przetwarzanie jest niezbędne do wywiązania się z prawnego obowiązku wymagającego przetwarzania na mocy prawa Unii lub prawa państwa członkowskiego, któremu podlega administrator lub do wykonania zadania realizowanego w interesie publicznym lub w ramach sprawowania władzy publicznej powierzonej administratorowi oraz do ustalenia, dochodzenia lub obrony roszczeń.
W orzecznictwie sądów administracyjnych w odniesieniu do przesłanki analogicznej do art. 6 ust. 1 lit. f RODO wynikającej z art. 23 ust. 1 pkt 5 uprzednio obowiązującej ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. 2016 r. poz. 922 ze zm.) wypracowane zostało stanowisko, że przetwarzanie danych winno być niezbędne dla wypełnienia prawnie usprawiedliwionych celów. Niedopuszczalne jest więc przetwarzanie danych osobowych niejako "na zapas" z założeniem, że mogą być one ewentualnie przydatne w przyszłości oraz z odwołaniem się przy tym do przepisów dotyczących przedawnienia roszczeń cywilnoprawnych.
Na gruncie niniejszej sprawy przywołać należy pogląd zaprezentowany przez Naczelny Sąd Administracyjny w wyroku z dnia 8 stycznia 2025 r. sygn. akt III OSK 4868/21 (orzeczenia.nsa.gov.pl), który podziela Sąd rozpoznający niniejszą sprawę. Naczelny Sąd Administracyjny wskazał w tym wyroku, że "(...) Zastosowanie art. 6 ust. 1 lit. f RODO jest (...) uzasadnione, gdy łącznie spełnione są następujące przesłanki: 1) po stronie administratora istnieją cele, dla osiągnięcia których przetwarzanie danych osobowych jest niezbędne; 2) cele te wynikają z "prawnie uzasadnionych interesów" realizowanych przez administratora; 3) "prawnie uzasadnione interesy" realizowane przez administratora mają charakter nadrzędny wobec interesów lub podstawowych praw i wolności osoby, której dotyczą przetwarzane dane.
Poprzez cel, dla osiągnięcia którego przetwarzanie danych osobowych jest niezbędne, należy rozumieć stan rzeczy, układ rzeczywistości, do którego dąży administrator poprzez to przetwarzanie. "Niezbędność" przetwarzania danych osobowych do osiągnięcia obranego przez administratora celu sprowadza się do ustalenia, że bez tego przetwarzania nie da się go zrealizować. Chodzi więc o wykazanie logicznie uzasadnionego i weryfikowalnego związku przyczynowo-skutkowego pomiędzy przetwarzaniem danych osobowych a realizacją stanu rzeczy, do którego dąży administrator. Ustalenie "niezbędności" przetwarzania danych osobowych dla celów administratora musi opierać się na przesłankach konkretnych, uwzględniających możliwie najszersze spektrum uwarunkowań jego realizacji. Przetwarzanie danych osobowych na podstawie art. 6 ust. 1 lit. f RODO wymaga od administratora wykazania, że jest to konieczne z uwagi na charakter celu, okoliczności faktyczne i prawne jego realizacji oraz relacje podmiotowe pomiędzy administratorem a osobą, której te dane dotyczą. Zgodnie z zasadą rozliczalności (art. 5 ust. 2 RODO) administrator będzie zobowiązany wykazać, że zarówno zakres, jak i sposób przetwarzania danych osobowych jest adekwatny do obranego przez niego celu i warunków jego realizacji - zasada ograniczonego celu przetwarzania (art. 5 ust. 1 lit. b RODO) i zasada minimalizacji przetwarzanych danych (art. 5 ust. 1 lit. c RODO).
Kolejnym warunkiem przetwarzania danych osobowych na podstawie art. 6 ust. 1 lit. f RODO jest ustalenie, że cel, dla osiągnięcia którego przetwarzanie to jest niezbędne "wynika z prawnie uzasadnionych interesów realizowanych przez administratora (lub przez stronę trzecią)". Desygnatami "prawnie uzasadnionych interesów administratora" nie są przy tym wyłącznie te interesy, które ściśle wiążą się z realizacją praw i obowiązków wynikających z przepisów prawa. Takie wąskie rozumienie tego pojęcia prowadziłoby bowiem do częściowego zdublowania przesłanki przetwarzania danych osobowych z art. 6 ust. 1 lit. f z przesłanką określoną w art. 6 ust. 1 lit. c RODO; art. 6 ust. 1 lit. c RODO legitymizuje przetwarzanie danych osobowych, jeżeli "jest niezbędne do wypełnienia obowiązku prawnego ciążącego na administratorze". Prawnie uzasadniony interes administratora należy więc rozumieć jako interes prawnie dopuszczony, niesprzeczny z porządkiem prawnym.
Do prawnie uzasadnionych interesów administratora danych osobowych prawodawca unijny odwołał się w motywie 47 preambuły RODO, w którym stwierdził, że "taki prawnie uzasadniony interes może istnieć na przykład w przypadkach, gdy zachodzi istotny i odpowiedni rodzaj powiązania między osobą, której dane dotyczą, a administratorem, na przykład gdy osoba, której dane dotyczą, jest klientem administratora lub działa na jego rzecz. Aby stwierdzić istnienie prawnie uzasadnionego interesu, należałoby w każdym przypadku przeprowadzić dokładną ocenę, w tym ocenę tego, czy w czasie i w kontekście, w którym zbierane są dane osobowe, osoba, której dane dotyczą, ma rozsądne przesłanki by spodziewać się, że może nastąpić przetwarzanie danych w tym celu".
Treść motywu 47 preambuły RODO nie wskazuje więc konkretnie, matrycowo, jakie warunki powinny zostać spełnione, aby można było stwierdzić, że administrator przetwarza dane osobowe zgodnie ze swoimi prawnie uzasadnionymi interesami. Podano jedynie przykładowo, iż może chodzić o szczególnego rodzaju relację pomiędzy administratorem a osobą, której dane są przetwarzane. W każdym konkretnym układzie należy rozstrzygnąć, czy treść i charakter tej relacji w sposób rozsądny uzasadnia takie przetwarzanie w określonym zakresie i czasie. Wyeksponować trzeba, że w motywie 47 prawodawca unijny w ogóle nie powiązał "prawnie uzasadnionych interesów" administratora z porządkiem prawnym. Akcent położył natomiast na charakter relacji łączącej administratora z osobą, której dane są przetwarzane, jej kontekstowość oraz wynikającą z jej indywidualnych uwarunkowań racjonalnie uzasadnioną potrzebę tego przetwarzania. Motyw 47 preambuły RODO w kontekście rekonstrukcji zakresu stosowania art. 6 ust. 1 lit. f RODO przesądza, że dopuszczalność przetwarzania danych osobowych na tej podstawie powinna być oceniana kauzalnie, z uwzględnieniem, że zasadnicze znaczenie w tym przedmiocie, powinny mieć uwarunkowania konkretnej relacji pomiędzy administratorem, a osobą której dotyczą przetwarzane dane. Porządek prawny - w tej przestrzeni formułowania ocen - należy traktować jako granicę dopuszczalności prawnie uzasadnionego interesu administratora, na którym opiera przetwarzanie danych osobowych. Porządek prawny może więc być przeszkodą do przetwarzania danych osobowych na podstawie art. 6 ust. 1 lit. f RODO, jeżeli interesu administratora nie da się z nim pogodzić - interes administratora będzie sprzeczny z porządkiem prawnym, a więc nie będzie prawnie uzasadniony. Porządek prawny nie stanowi ścisłej podstawy uzasadnionego interesu administratora do przetwarzania danych osobowych na podstawie art. 6 ust. 1 lit. f RODO, wyznacza natomiast granicę tego przetwarzania".
W świetle powyższych poglądów Naczelnego Sądu Administracyjnego, które Sąd rozpoznający niniejszą sprawę podziela, na gruncie rozpoznawanej sprawy stwierdzić należało, że ustalenia Prezesa UODO, co do braku prawnie uzasadnionych interesów Banku dalszego przetwarzania danych uczestnika rozpoznawanej sprawie, są prawidłowe. W sprawie niniejszej charakter istniejącej w przeszłości relacji między Bankiem a uczestnikiem postępowania (daty zamknięcia rachunków – [...] października 2014 r. i [...] września 2015 r.) w ustalonych w tej sprawie i bezspornych okolicznościach faktycznych, nie uzasadnia dalszego przetwarzania danych uczestnika postępowania.
W sprawie nie zostało wykazane, aby uczestnik postępowania, który żądał od Banku usunięcia danych, wystąpił do Banku z jakimikolwiek roszczeniami bądź Bank wystąpił z roszczeniami do uczestnika postępowania. Układ okoliczności faktycznych przedstawionych przez Bank w toku postępowania administracyjnego wskazuje na brak roszczeń stron względem siebie, a zatem zasadnie Prezes UODO przyjął, że nie jest w takiej sytuacji dopuszczalne dalsze przetwarzanie danych osobowych na podstawie art. 6 ust. 1 lit. f RODO.
Sąd rozpoznający niniejszą sprawę podziela pogląd Naczelnego Sądu Administracyjnego, zgodnie z którym niedopuszczalne jest przetwarzanie danych osobowych niejako "na zapas" z założeniem, że mogą być one ewentualnie przydatne w przyszłości, na przykład z odwołaniem się do przepisów dotyczących przedawnienia roszczeń (v. wyrok NSA z dnia 27 marca 2018 r. sygn. akt I OSK 1459/16, orzeczenia.nsa.gov.pl).
Sąd podziela też pogląd Naczelnego Sądu Administracyjnego wyrażony w wyroku Naczelnego Sądu Administracyjnego z dnia 17 grudnia 2024 r. sygn. akt III OSK 2672/23 (orzeczenia.nsa.gov.pl), zgodnie z którym "(...) dla możliwości oparcia przetwarzania danych osobowych na przesłance z art. 6 ust. 1 lit. f RODO konieczne jest, by przetwarzanie było niezbędne dla realizacji prawnie uzasadnionych interesów administratora. Nie wystarczy zatem samo ich występowanie, lecz dodatkowo konieczne jest wykazanie, że dla ich realizacji przetwarzanie danych osobowych jest niezbędne. Oznacza to zatem, że przetwarzanie danych dla realizacji prawnie uzasadnionego interesu administratora lub strony trzeciej musi być, rozsądnie oceniając, potrzebne (por. "RODO. Ogólne rozporządzenie o ochronie danych. Komentarz " WKP 2018, D. Lubasz, W. Chomiczewski, i inni)."
W stanie faktycznym tej sprawy nie występuje prawnie uzasadniony interes Banku, dla realizacji którego przetwarzanie danych uczestnika postępowania jest potrzebne, co zasadnie stwierdził Prezes UODO. Nie sposób przy tym przyjąć, że terminy przedawnienia roszczeń zakreślają ramy czasowe przetwarzania danych osobowych przez Bank. Przedawnienie roszczeń nie wywołuje skutków na gruncie ochrony danych osobowych i nie wpływa na fakt istnienia roszczenia. Okolicznością usprawiedliwiającą przetwarzanie danych osobowych w celu dochodzenia roszczeń jest fakt istnienia roszczenia i zamiar jego dochodzenia. W sprawie niniejszej, co wskazywano już wyżej, z materiału dowodowego opartego m.in. na wyjaśnieniach Banku, nie wynika, aby pomiędzy Bankiem a K. K. toczyły się jakiekolwiek postępowania, których przedmiotem jest dochodzenie wzajemnych roszczeń.
Podkreślenia wymaga, że prawo do ochrony danych osobowych stanowi emanację prawa do autonomii informacyjnej, pozwalając jednostce w określonym zakresie kontrolować sposób i zakres udostępnianych informacji jej dotyczących. Odnosząc się do argumentacji skargi podkreślenia wymaga, że także cele gospodarcze Banku nie uzasadniają dalszego przetwarzania danych osobowych uczestnika postępowania.
Zaskarżona w zakresie punktu 1 decyzja jest prawidłowa, albowiem w sprawie tej nie zostały wykazane prawnie uzasadnione interesy Banku – na dzień wydania decyzji Prezesa UODO, tj. [...] maja 2024 r. – dla których niezbędne byłoby dalsze przetwarzanie danych osobowych uczestnika postępowania. Prezes UODO, wbrew zarzutom skargi, nakazując usunięcie danych osobowych uczestnika, jak w punkcie 1 decyzji, nie przekroczył swoich kompetencji. Bank nie wykazał realnej potrzeby (celu) dalszego przetwarzania danych osobowych uczestnika postępowania, który przestał być klientem Banku w dniach [...] października 2014 r. i [...] września 2015 r. wobec zamknięcia rachunków oszczędnościowo-rozliczeniowych (v. wyrok NSA z dnia 8 stycznia 2025 r. sygn. akt III OSK 4868/21, orzeczenia.nsa.gov.pl).
Mając powyższe na uwadze Wojewódzki Sąd Administracyjny w Warszawie,
na podstawie art. 151 ustawy - Prawo o postępowaniu przed sądami administracyjnymi, orzekł jak w wyroku.