II SA/Wa 1418/23

II SA/Wa 1418/23 - Wyrok WSA w Warszawie
Data orzeczenia
2024-02-06
orzeczenie nieprawomocne
Data wpływu
2023-07-17
Sąd
Wojewódzki Sąd Administracyjny w Warszawie
Sędziowie
Danuta Kania /przewodniczący/
Ewa Marcinkowska
Mateusz Rogala /sprawozdawca/
Symbol z opisem
647  Sprawy związane z ochroną danych osobowych
Hasła tematyczne
Ochrona danych osobowych
Skarżony organ
Generalny Inspektor Ochrony Danych Osobowych
Treść wyniku
Uchylono zaskarżoną decyzję
Powołane przepisy
Dz.U. 2021 poz 217
art. 74 ust. 2 pkt 8
Ustawa z dnia 29 września 1994 r. o rachunkowości - t.j.
Dz.U. 2022 poz 593
art. 49 ust. 1 i 2
Ustawa z dnia 1 marca 2018 r. o przeciwdziałaniu praniu pieniędzy oraz finansowaniu terroryzmu - t.j.
Sentencja
Wojewódzki Sąd Administracyjny w Warszawie w składzie następującym: Przewodniczący Sędzia WSA, Danuta Kania, Sędzia WSA Ewa Marcinkowska, Asesor WSA Mateusz Rogala (spr.), , po rozpoznaniu w trybie uproszczonym w dniu 6 lutego 2024 r. sprawy ze skargi S. D. na decyzję Prezesa Urzędu Ochrony Danych Osobowych z dnia [...] maja 2023 r. nr [...] w przedmiocie przetwarzania danych osobowych 1. uchyla zaskarżoną decyzję; 2. zasądza od Prezesa Urzędu Ochrony Danych Osobowych na rzecz skarżącego S. D. kwotę 680 (słownie: sześćset osiemdziesiąt) złotych tytułem zwrotu kosztów postępowania.
Uzasadnienie
Zaskarżoną do Wojewódzkiego Sądu Administracyjnego w Warszawie decyzją z dnia [...] maja 2023 r. nr [...] Prezes Urzędu Ochrony Danych Osobowych, działając m.in. na podstawie art. 58 ust. 2 i art. 17 ust. 1 w zw. z art. 12 ust. 3 rozporządzenia Parlamentu Europejskiego i Rady (UE) nr 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz. Urz. UE L 119 z 4.05.2016, str. 1, powoływanego dalej jako rozporządzenie nr 2016/679), odmówił uwzględnienia wniosku S. D. na nieprawidłowości w procesie przetwarzania jego danych osobowych przez [...] z siedzibą w [...] (poprzednio [...] S.A. z siedzibą w [...]) polegające na przetwarzaniu danych osobowych w postaci adresu korespondencyjnego w celach marketingowych oraz niespełnieniu żądania aktualizacji tych danych osobowych poprzez ich usunięcie.
W uzasadnieniu swojego rozstrzygnięcia organ stwierdził, że S. D. w skardze do organu z dnia 19 września 2019 r. podał, iż bank (którego nie jest klientem) wysyła do niego niechcianą korespondencję o charakterze reklamowym. W formie tradycyjnej robi to na nieaktualny adres korespondencyjny. W placówce bankowej chciał ten adres zaktualizować. Pracownik banku poinformował go, że warunkiem aktualizacji danych jest podanie do ewidencji imion rodziców. Odmówił podania tych informacji, a bank odmówił zaktualizowania danych. Zdaniem wnioskodawcy, jest to działanie bezprawne. Dodatkowo, z informacji udzielanych przez bank wynika, że "system nie pozwala" na zaktualizowanie adresu korespondencyjnego, w przypadku gdy ktoś takowego nie posiada. S. D. wyjaśnił, że obecnie nie posiada stałego adresu korespondencyjnego i nie życzy sobie, żeby bank (z którym nie jest związany umową) wysyłał mu listy na nieprawidłowy adres. Skarżący wniósł o zobowiązanie banku do umożliwienia mu zaktualizowania danych bez konieczności podawania do ewidencji imion rodziców oraz umożliwienia podania informacji o tym, że nie posiada adresu korespondencyjnego. Dodatkowo wniósł o nałożenie na bank kary finansowej.
W toku postępowania bank wyjaśnił, że pozyskał dane osobowe strony bezpośrednio od niej, w związku z zawarciem w dniu [...] stycznia 2012 r. umów o lokaty. Z wyjaśnień banku wynika, że aktualnie skarżący nie posiada aktywnych umów. Ostatni produkt bankowy skarżącego został zamknięty w dniu [...] listopada 2018 r. Obecnie przetwarzanie danych osobowych skarżącego jest niezbędne do wypełnienia ciążących na banku obowiązków prawnych. W związku z tym dane osobowe są przetwarzane na podstawie z art. 6 ust. 1 lit. c) rozporządzenia nr 2016/679 w zw. z art. 74 ust. 2 pkt 8 ustawy z dnia 29 września 1994 r. o rachunkowości (Dz. U. z 2021 r., poz. 217) oraz art. 49 ust. 1 i 2 ustawy z dnia 1 marca 2018 r. o przeciwdziałaniu praniu pieniędzy oraz finansowaniu terroryzmu (Dz. U. z 2022 r. poz. 593, powoływanej dalej jako ustawa AML). Bank wskazał, że przetwarza dane osobowe skarżącego również na podstawie art. 6 ust. 1 lit. f) rozporządzenia nr 2016/679 do celów wynikających z jego prawnie uzasadnionych interesów, jakimi są: dochodzenie roszczeń związanych z zawartą umową oraz obrona przed roszczeniami kierowanymi wobec banku, rozpatrywanie reklamacji, udział w postępowaniach sądowych i administracyjnych oraz wewnętrzne cele administracyjne banku, w tym bezpieczeństwo, statystyki i raportowanie wewnętrzne banku.
Bank podał, że nadana w dniu 5 lipca 2019 r. do skarżącego korespondencja zawierająca informacje o zmianach w obowiązujących regulaminach była wysłana w wyniku błędu, a sytuacja ta była incydentalna. Ponadto przesłana informacja nie miała charakteru marketingowego. Bank wskazał, że nie przetwarza danych osobowych skarżącego w celach marketingowych ze względu na zgłoszony w dniu [...] października 2018 r. sprzeciw, do którego ustosunkował się w tej samej dacie.
W dalszej części uzasadnienia swojego rozstrzygnięcia organ podniósł, że skarżący wystąpił do banku z wnioskiem o aktualizację danych poprzez usunięcie adresu do korespondencji i nie wskazał przy tym adresu aktualnego. Powyższe żądanie należało zatem, w ocenie organu, uznać za żądanie usunięcia danych osobowych wskazanych przez skarżącego, uregulowane w art. 17 ust. 1 rozporządzenia nr 2016/679, nie zaś jako żądanie sprostowania danych nieprawidłowych, o którym mowa w art. 16 tego rozporządzenia.
Organ uznał, że w realiach niniejszej sprawy odmowa usunięcia danych osobowych skarżącego w zakresie adresu zamieszkania była uzasadniona, bowiem bank przetwarza obecnie dane osobowe skarżącego celem wypełnienia obowiązków prawnych ciążących na administratorze, w zakresie przechowywania dokumentów wytworzonych w związku z zawartymi ze skarżącym umowami. Obowiązki te wynikają z przepisów ustawy o rachunkowości oraz ustawy AML Wobec tego, proces przetwarzania danych osobowych skarżącego w ww. zakresie organ uznał za znajdujący uzasadnienie w przesłance z art. 6 ust. 1 lit. c) rozporządzenia nr 2016/679.
Organ wyjaśnił następnie, że na podstawie zebranego materiału dowodowego ustalił, iż skarżący otrzymał od banku nadane na wskazany przez niego adres korespondencyjny w dniu [...] lipca 2019 r. pismo o zmianach w obowiązujących regulaminach. Jak przyznał Bank, do wysyłki ww. korespondencji doszło nieprawidłowo, niemniej jednak nie miała ona charakteru marketingowego. Z tej przyczyny organ uznał, że nie doszło do kwestionowanego w skardze procesu przetwarzania danych osobowych skarżącego w celach marketingowych. Zebrany w niniejszej sprawie materiał dowodowy wskazuje, że bank nie przetwarza danych osobowych skarżącego w celach marketingowych ze względu na zgłoszony sprzeciw. Sporna korespondencja miała wyłącznie charakter administracyjny, nie zaś - jak zarzucił skarżący - marketingowy.
W konsekwencji organ uznał, że w niniejszej sprawie nie ma podstaw do stwierdzenia, iż doszło do nieprawidłowości w procesie przetwarzania danych osobowych skarżącego polegających na przetwarzaniu jego danych osobowych w postaci adresu korespondencyjnego w celach marketingowych oraz nieuzasadnionym nieuwzględnieniu żądania usunięcia danych osobowych w zakresie adresu.
S. D. wniósł na powyższą decyzję skargę do Wojewódzkiego Sądu Administracyjnego w Warszawie, zaskarżając ją w całości. Skarżący wniósł o uchylenie zaskarżonej decyzji w całości, z jednoczesnym wskazaniem sposobu załatwienia sprawy; przeprowadzenie uzupełniającego postępowania dowodowego z dokumentów, tj. zgłoszenia reklamacji przez skarżącego, odpowiedzi na reklamację z dnia [...] sierpnia 2019 r. i wiadomości e-mail z dnia [...] września 2019 r. na okoliczności wskazane w uzasadnieniu; rozpoznanie skargi w trybie uproszczonym oraz o zasądzenie kosztów postępowania.
Skarżący zarzucił zaskarżonej decyzji naruszenie przepisów postępowania mające istotny wpływ na wynik sprawy:
1. art. 7, art. 77 § 1 ustawy z dnia 14 czerwca 1960 r. – Kodeks postępowania administracyjnego (Dz. U. z 2022 r., poz. 2000 ze zm., powoływanej dalej jako k.p.a.) w zw. z art. 7 ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych (Dz. U. z 2019 r., poz. 1781 ze zm.), poprzez niewyczerpujące zebranie materiału dowodowego sprawy, tj. zaniechanie analizy procedur banku, na które bank powoływał się w swoich pismach, zaniechanie sprawdzenia lub pozyskania bardziej szczegółowych wyjaśnień banku co do konstrukcji systemu informatycznego, który powoduje, że "nie jest możliwe niezamieszczenie w systemie aktualnego adresu do korespondencji podmiotu danych", zaniechanie ustalenia, na jakiej podstawie bank wymagał od skarżącego imion rodziców podczas zgłoszenia żądania w oparciu o przepisy rozporządzenia nr 2016/679, co stanowiło dane nadmiarowe wobec faktu, że przetwarzanie danych skarżącego sprowadzać się miało wyłącznie do przechowywania danych zakończonych stosunków handlowych, nie zaś pozyskiwania kolejnych danych od byłego klienta banku, podczas gdy to na organie ciąży obowiązek zebrania wszelkich istotnych dla rozstrzygnięcia dowodów, dowodów,
2. art. 80 k.p.a. w zw. z art. 7 ustawy o ochronie danych osobowych, poprzez błędną ocenę materiału dowodowego sprawy i uznanie, że:
a. korespondencja wysyłana do skarżącego wysyłana była omyłkowo, podczas gdy bank dysponując adresem mailowym skarżącego wysłał odpowiedź na jego reklamację tradycyjną korespondencją na nieaktualny adres i następnie, już po wniesieniu skargi prawdopodobnie w dalszym ciągu korespondencję taką wysyłał,
b. korespondencja wysłana przez bank do skarżącego nie miała charakteru marketingowego, podczas gdy w stopkach e-mail wysyłanej wiadomości z [...] września 2019 r. znajduje się informacja, że mail wysyłany jest skarżącemu ponieważ wyraził on zgodę na otrzymywanie z banku informacji handlowej poprzez system SARE, który stanowi system do obsługi masowego mailingu marketingowego,
c. żądanie skarżącego stanowi żądanie usunięcia danych, podczas gdy skarżący żądał aktualizacji adresu do korespondencji, widniejącego w bazach banku jako aktualny, na który wysyłana była korespondencja, w celu uniknięcia powtórzenia się sytuacji "omyłkowych" wysyłek kolejnych przesyłek przez bank, nie zaś o usunięcie wszystkich danych, również danych archiwalnych,
d. uznanie, że "brak jest obecnie podstaw do nakazania bankowi usunięcia danych osobowych skarżącego, ponieważ przetwarzanie jego danych osobowych jest niezbędne do wypełnienia wskazanych wcześniej obowiązków prawnych", podczas gdy przetwarzanie banku wykraczało znacząco poza zakres objęty dyspozycją powoływanych przez bank przepisów prawa i obowiązków z nich wynikających,
e. przetwarzanie danych przez bank było zgodne z przepisami ustaw AML, Prawa bankowego, ustawy o rachunkowości, jak i rozporządzenia nr 2016/679, mimo że bank przetwarzał w identyczny sposób, jednolicie, prawdopodobnie w tej samej bazie zarówno dane historyczne skarżącego, przechowywane w wykonaniu obowiązków prawnych, z danymi przetwarzanymi w bieżącej działalności oparciu o jego uzasadniony interes, podczas gdy w ocenie skarżącego sposób i zakres przetwarzania danych powinien być odmienny w odniesieniu do każdej podstawy przetwarzania, dostosowany do tego konkretnie procesu,
3. art. 107 § 3 w zw. z art. 8 k.p.a. oraz z art. 7 ustawy o ochronie danych osobowych poprzez sporządzenie zbyt lakonicznego uzasadnienia, z którego nie wynika, w jaki sposób procedury, na które bank powoływał się w piśmie z dnia 26 listopada
2019 r. regulowały przetwarzanie danych skarżącego i z jakich względów organ uznał, że procedury te są prawidłowe i wystarczające, a także jakie kategorie danych mogły być przetwarzane przez bank w oparciu o powoływane w toku postępowania przepisy ustaw AML, Prawa bankowego, ustawy o rachunkowości, w tym który konkretnie przepis pozwala bankowi na żądanie uzupełnienia danych o imiona rodziców przez byłego klienta banku, którego dane są przechowywane wyłącznie w celu wywiązania się z obowiązków prawnych nakazujących przechowywanie konkretnych danych byłych klientów.
Skarżący postawił również zarzuty naruszenia przepisów prawa materialnego, tj.:
1. art. 5 ust. 1 lit a-d rozporządzenia nr 2016/679, poprzez ich niezastosowanie i przyjęcie, że przetwarzanie danych osobowych przez bank było zgodne z prawem i przejrzyste, podczas gdy zgodność z prawem obejmowała wyłącznie dane przechowywane w związku z obowiązkami prawnymi z ustawy AML, Prawa bankowego, ustawy o rachunkowości, a fakt, że bank przetwarzał te dane w innych celach, w innych procesach, nie rozciąga zgodności z prawem na te dodatkowe procesy; dane przechowywane w oparciu o przepisy ustawy AML były przetwarzanie zgodnie z celem, w którym zostały zebrane, podczas gdy oczywistym celem wynikających z art. 49 ustawy AML jest przechowywanie danych w celu ewentualnej weryfikacji pod kątem stosowania właściwych zabezpieczeń w odniesieniu do określonych zagrożeń, nie zaś pozyskiwanie, gromadzenie i dalsze przetwarzanie dodatkowych danych byłych klientów banku; dane przetwarzane były wyłącznie w niezbędnym zakresie zgodnie z zasadą minimalizacji, podczas gdy w ocenie skarżącego bank zbierał dane na zapas, w celu ich zastosowania w przyszłych, niepewnych, hipotetycznych zdarzeniach; opierało się na danych prawidłowych i aktualizowanych w miarę potrzeby podczas gdy bank odmówił aktualizacji danych, pomimo że w oczywisty sposób nie przechowywał ich jedynie jako dane archiwalne, lecz przetwarzał je również w "bieżącej" działalności, skoro co najmniej dwukrotnie wysłał "omyłkowo" korespondencję na ten adres;
2. art. 16 rozporządzenia nr 2016/679 poprzez jego błędną wykładnię i niezastosowanie i uznanie, że wniosek skarżącego nie stanowił żądania sprostowania nieaktualnego adresu do korespondencji, bowiem skarżący nie wskazał nowego adresu do korespondencji, z pominięciem faktu, że skarżący jest byłym klientem Banku i podawanie aktualnego adresu byłoby nadmiarowe, zwłaszcza wobec zdyskwalifikowania przez organ przesłanki przetwarzania w oparciu o uzasadniony interes banku,
3. art. 17 ust. 3 lit. b) rozporządzenia nr 2016/679 oraz art. 17 ust. 1 lit. a) i d) rozporządzenia nr 2016/679 poprzez ich błędną wykładnię i przyjęcie, że nie zachodzą pozytywne przesłanki uwzględnienia żądania skarżącego i spełnione zostały negatywne przesłanki uwzględnienia żądania skarżącego, podczas gdy przetwarzanie danych skarżącego w "bieżącej" działalności banku było niezgodne z prawem, jak i niezgodne z celem przetwarzania, określonym w przepisach ustawy AML, ustawy o rachunkowości czy ustawy - Prawo bankowe,
4. art. 49 ust. 1 i 2 ustawy AML, art. 74 ust. 2 pkt 8 ustawy o rachunkowości, art. 112 ustawy - Prawo bankowe w zw. z art. 6 ust. 1 lit. c) rozporządzenia nr 2016/679 poprzez ich zastosowanie, podczas gdy z przepisów tych wynika jedynie obowiązek przechowywania kopii dokumentów i informacji, związanych z zakończonym stosunkiem prawnym z byłym klientem, nie zaś ich aktywnego wykorzystywania i wymuszania ich aktualizacji przez byłych klientów,
5. art. 37 ust. 1 ustawy AML w zw. z art. 6 ust. 1 lit. c) rozporządzenia nr 2016/679 poprzez ich zastosowanie, podczas gdy z przepisu tego wynika jedynie obowiązek weryfikacji klienta na podstawie dokumentów lub informacji z rejestrów, nie zaś konieczność aktualizacji adresu korespondencyjnego przez aktualnego a zwłaszcza byłego klienta.
W uzasadnieniu skargi skarżący podniósł, że organ błędnie zakwalifikował żądanie jego skargi wyłącznie jako żądanie usunięcia danych i wyłącznie w tym aspekcie analizował sprawę, w oparciu o błędne założenia.
W ocenie skarżącego, nawet jeżeli do wysyłki spornej korespondencji doszło w wyniku pomyłki, to błędem było również, że podmiot lub osoba, zajmująca się taką wysyłką, miała w ogóle dane skarżącego w bazie klientów banku czy też w bazie do wysyłki treści marketingowych, dane te bowiem powinny zostać wyłączone z operacyjnych baz danych banku tak, aby właśnie do tego typu naruszeń lub przekroczeń uprawnień nie dochodziło. Zdaniem skarżącego, przetwarzanie danych byłych klientów powinno być ograniczone - jak wskazują przepisy właściwych ustaw - do de facto przechowywania danych i ewentualnego wykorzystania dla celów podatkowych, rozliczeniowych, analitycznych w związku z celami realizowanymi przez poszczególne ustawy np. przepisy o rachunkowości lub AML, nie zaś do aktywnego wysyłania korespondencji pocztowej i mailowej oraz innych form przetwarzania w ramach "bieżącej" działalności banku. Fakt, że przetwarzanie pewnego wąskiego zakresu archiwalnych danych byłych klientów banku jest uprawnione z mocy prawa nie oznacza, że prawidłowość ta obejmuje wykorzystywanie tych danych do innych procesów przetwarzania, zwłaszcza w sytuacji w której organ wykluczył możliwość przetwarzania tych danych w oparciu o uzasadniony interes banku.
W odpowiedzi na skargę organ wniósł o jej oddalenie.
Wojewódzki Sąd Administracyjny w Warszawie zważył, co następuje:
Skarga zasługuje na uwzględnienie.
Postępowanie administracyjne w tej sprawie zostało zainicjowane skargą S. D. z dnia 19 września 2019 r. W piśmie tym skarżący podniósł, że [...] Bank (obecnie [...] Bank) nieprawidłowo przetwarza jego dane osobowe, bowiem odmówił aktualizacji adresu zamieszkania skarżącego oraz przesłał mu na nieaktualny adres korespondencję o charakterze marketingowym. Skarżący wniósł o nałożenie na bank kary finansowej w związku z nieprawidłowościami w przetwarzaniu jego danych osobowych.
Organ ochrony danych osobowych, prowadząc postępowanie wszczęte wnioskiem strony, powinien w pierwszej kolejności ustalić zakres żądania skarżącego, a następnie prowadzić postępowanie administracyjne zmierzające do wyjaśnienia, czy opisywane przez wnioskodawcę naruszenia miały miejsce.
W ocenie Sądu, z uzasadnienia zaskarżonej decyzji nie wynika, by organ precyzyjnie wyjaśnił wszystkie okoliczności tej sprawy, a w szczególności, w jakim zakresie bank był uprawniony do przetwarzania danych osobowych skarżącego, w związku z przesłaniem mu korespondencji nadanej w dniu [...] lipca 2019 r., a także jaki charakter miała ta korespondencja.
Należy zgodzić się z organem, że sformułowanie przez skarżącego, skierowanego do banku, żądania aktualizacji danych osobowych, oznaczało w istocie wniosek o usunięcie tychże danych. Jak wynika bowiem z art. 16 rozporządzenia nr 2016/679, osoba, której dane dotyczą, ma prawo żądania od administratora niezwłocznego sprostowania dotyczących jej danych osobowych, które są nieprawidłowe. Użyte w tym przepisie sformułowanie "sprostowanie nieprawidłowych danych" oznacza, w ocenie Sądu, usunięcie danych nieprawidłowych i podanie w ich miejsce danych właściwych. Istota sprostowania sprowadza się bowiem do poprawienia błędnych danych nie zaś do ich usunięcia. Sprostowanie poprzez usunięcie danych mogłoby nastąpić, jedynie wówczas, gdyby dane osobowe określonego rodzaju przestały mieć zastosowanie w stosunku do danej osoby (jak np. w przypadku utraty numeru telefonu). Taka sytuacja nie zaistniała jednak w niniejszej sprawie, bowiem skarżący w toku postępowania wskazywał wprawdzie, że nie posiada adresu do korespondencji, jednak jak wynika z całokształtu składanych przez skarżącego wyjaśnień i oświadczeń, uważa on, że nie ma obowiązku podawania bankowi aktualnego adresu do korespondencji, który jednakże posiada. Prawidłowo organ zakwalifikował zatem żądanie skarżącego jako żądanie usunięcia danych osobowych. Twierdzenia skargi w tym zakresie nie zostały z tej przyczyny podzielone przez Sąd.
Zdaniem Sądu, zawarte w uzasadnieniu zaskarżonej decyzji wnioski organu co do prawidłowości przetwarzania przez bank danych osobowych skarżącego nie zostały wystarczająco uzasadnione i oparte na prawidłowo ustalonym stanie faktycznym. Jak słusznie wskazuje skarżący, istnienie podstawy prawnej do przetwarzania danych osobowych skarżącego w celach archiwizacyjnych wynikających z przepisów ustawy o rachunkowości, ustawy AML, czy Prawa bankowego, nie oznacza, że bank jest uprawniony do przetwarzania danych osobowych skarżącego także w innych celach niż wynikające z przywołanych ustaw. Do tej okoliczności organ w istocie nie odniósł się w uzasadnieniu zaskarżonej decyzji i nie wyjaśnił, dlaczego stwierdzenie, że organ przetwarza dane osobowe skarżącego w celu wypełnienia wymienionych obowiązków prawnych nałożonych na administratora, powoduje, że brak jest możliwości nakazania bankowi zaprzestania przetwarzania danych osobowych skarżącego w innych celach niż wynikające z tych przepisów prawa.
Organ nie wyjaśnił, dlaczego pomimo przyznania w toku postępowania przez bank, że doszło do omyłkowego przesłania korespondencji skarżącemu, nie uznał, by powyższe stanowiło naruszenie przepisów rozporządzenia nr 2016/679 i nie podjął działań naprawczych, do których był upoważniony na podstawie art. 58 ust. 2 tego rozporządzenia. Sąd kontrolujący zaskarżoną decyzję nie może odnieść się z tej przyczyny do zarzutów skargi w tym zakresie, byłoby to bowiem przedwczesne, skoro okoliczności te nie zostały wystarczająco wyjaśnione przez organ.
Należy ponadto zwrócić uwagę, że twierdzenia organu dotyczące tego, że pismo nadane do skarżącego w dniu [...] lipca 2019 r. nie miało charakteru marketingowego opierają się wyłącznie na zdawkowych wyjaśnieniach organu. Sporne pismo nie zostało dołączone do akt administracyjnych, co oznacza, że organ dokonał oceny jego treści bez zapoznania się z nim, a zatem bez właściwego zgromadzenia materiału dowodowego w tej sprawie. W konsekwencji Sąd rozpoznający niniejszą sprawę został również pozbawiony możliwości oceny prawdziwości twierdzeń organu w omawianym zakresie.
Podsumowując, w ocenie Sądu, rozpatrując skargę S. D. na nieprawidłowości w procesie przetwarzania jego danych osobowych, organ niedostatecznie precyzyjnie ustalił przedmiot żądania strony, a wskutek tego również zakres prowadzonego postępowania administracyjnego, zaś ustalając stan faktyczny oparł się na niepełnym materiale dowodowym, a swoje rozstrzygnięcie uzasadnił w sposób uniemożliwiający poznanie przyczyn, dla których nie uznał, by w sprawie wystąpiły nieprawidłowości w procesie przetwarzania danych osobowych skarżącego.
Z tej przyczyny Sąd stwierdził, że zaskarżona decyzja została wydana z naruszeniem art. 7, art. 77 § 1, art. 80 i art. 107 § 3 k.p.a., zaś naruszenia te mogły mieć istotny wpływ na wynik sprawy, nie można bowiem stwierdzić na obecnym etapie postepowania, czy zasadna była odmowa uwzględnienia wniosku skarżącego.
Biorąc wszystkie powyższe okoliczności pod uwagę, Wojewódzki Sąd Administracyjny w Warszawie, na podstawie art. 145 § 1 pkt 1 lit. c) ustawy z dnia 30 sierpnia 2002 r. – Prawo o postępowaniu przed sądami administracyjnymi (Dz. U. z
2023 r., poz. 1634 ze zm.), orzekł jak w pkt 1 sentencji.
W zakresie kosztów postępowania Sąd w pkt 2 sentencji orzekł na podstawie art. 200 i art. 205 § 2 tej ustawy w zw. z § 14 ust. 1 pkt 1 lit. c) rozporządzenia Ministra Sprawiedliwości z dnia 22 października 2015 r. w sprawie opłat za czynności radców prawnych (Dz. U. z 2023 r., poz. 1935), zasądzając od organu na rzecz skarżącego kwotę 680 zł, na którą składa się wynagrodzenie pełnomocnika skarżącego w kwocie 480 zł oraz wpis sądowy od wniesionej skargi w wysokości 200 zł.