II SA/Wa 1442/24

II SA/Wa 1442/24 - Wyrok WSA w Warszawie
Data orzeczenia
2025-01-29
orzeczenie nieprawomocne
Data wpływu
2024-09-05
Sąd
Wojewódzki Sąd Administracyjny w Warszawie
Sędziowie
Joanna Kruszewska-Grońska /sprawozdawca/
Karolina Kisielewicz-Sierakowska /przewodniczący/
Mateusz Rogala
Symbol z opisem
647  Sprawy związane z ochroną danych osobowych
Hasła tematyczne
Ochrona danych osobowych
Skarżony organ
Generalny Inspektor Ochrony Danych Osobowych
Treść wyniku
Oddalono skargę
Powołane przepisy
Dz.U. 2019 poz 1781
art. 7 ust. 1
Ustawa z dnia 10 maja 2018 r. o ochronie danych osobowych (t. j.)
Dz.U.UE.L 2016 nr 119 poz 1  art. 28 ust. 1 ust. 3
Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z  przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE
Sentencja
Wojewódzki Sąd Administracyjny w Warszawie w składzie następującym: Przewodniczący Sędzia WSA Karolina Kisielewicz-Sierakowska, Sędzia WSA Joanna Kruszewska-Grońska (spr.), Asesor WSA Mateusz Rogala, , Protokolant starszy specjalista Aleksandra Weiher, po rozpoznaniu na rozprawie w dniu 29 stycznia 2025 r. sprawy ze skargi Banku [...] S.A. z siedzibą w [...] na decyzję Prezesa Urzędu Ochrony Danych Osobowych z dnia [...] lipca 2024 r. nr [...] w przedmiocie przetwarzania danych osobowych oddala skargę
Uzasadnienie
Zaskarżoną w niniejszej sprawie decyzją z [...] lipca 2024 r. nr [...]Prezes Urzędu Ochrony Danych Osobowych (dalej: "PUODO", "organ"), na podstawie art. 104 § 1 ustawy z dnia 14 czerwca 1960 r. Kodeks postępowania administracyjnego (obecnie tekst jednolity: Dz. U. z 2024 r., poz. 572; dalej: "k.p.a.") w związku z art. 7 ust. 1 ustawy z 10 maja 2018 r. o ochronie danych osobowych (Dz. U. z 2019 r., poz. 1781), a także art. 6 ust. 1 w związku z art. 58 ust. 2 lit. b rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych - Dz. Urz. UE L 119 z dnia 4 maja 2016 r., str. 1 ze sprost.; dalej: "RODO", "rozporządzenie"), udzielił upomnienia Bankowi [...]S.A. z siedzibą w W. (dalej: "skarżący", "bank") za naruszenie art. 6 ust. 1 RODO, polegające na przetwarzaniu danych osobowych D. J. (dalej: uczestniczka postępowania D. J.") w związku z umowami o pożyczki gotówkowe nr [....], nr [....] oraz nr [....] bez podstawy prawnej.
Do wydania ww. decyzji doszło w następujących okolicznościach sprawy.
W skierowanej do organu skardze z [...] lipca 2020 r. uczestniczka postępowania D. J. podała, że K. W. (dalej: "uczestniczka postępowania K. W."), prowadząca działalność gospodarczą pod nazwą "Biuro [...]K. W." w K., współpracowała na terenie miasta C. ze skarżącym i mając dostęp do danych osobowych uczestniczki postępowania D. J., zmieniła je w systemie banku na nieprawdziwe, a następnie wykorzystała, zawierając trzy umowy kredytu na rachunek bankowy, który uczestniczka postępowania D. J. posiadała od bardzo długiego czasu. Pomimo wystąpienia do skarżącego o anulowanie ww. kredytów i zgłoszenia tej sprawy organom ścigania, uczestniczka postępowania D. J. stwierdziła, iż bank nie sprawuje należytej kontroli nad firmami finansowymi, z którymi ściśle współpracuje, zapewniając im w ramach współpracy dostęp do całej bazy danych, jak również nie chroni w sposób dostateczny danych swoich klientów. Dalej uczestniczka postępowania D. J. podkreśliła, że zostały naruszone jej dane osobowe takie jak imię i nazwisko, adres oraz nr telefonu. Dlatego zażądała przeprosin od władz i pracowników skarżącego za zaistniałe zdarzenie, jak też nałożenia kary pieniężnej, powołując się na art. 58 ust. 2 lit. b i lit. c RODO.
W toku postępowania administracyjnego, zainicjowanego powyższą skargą, PUODO ustalił, iż skarżący przetwarza następujące dane osobowe uczestniczki postępowania D. J.: imiona, nazwisko, nr PESEL, data urodzenia, seria i nr dokumentu tożsamości, rezydencja podatkowa, obywatelstwo, imiona rodziców, nazwisko panieńskie matki, stan cywilny, wykształcenie, wspólnota majątkowa, nr telefonu, adres zamieszkania, adres korespondencyjny, informacje o posiadanych obecnie w banku produktach, a także dane pozyskane z Biurze Informacji Kredytowej S.A. na temat posiadanych produktów i opóźnień w ich spłacie. Od 4 maja 2018 r. bank przetwarza te dane w celach: wykonania umów (art. 6 ust. 1 lit. b RODO); realizacji obowiązków prawnych (art. 6 ust. 1 lit. c RODO); archiwalnych i dowodowych, w szczególności w celu ustalenia, dochodzenia i obrony roszczeń (art. 6 ust. 1 lit. f RODO). Bank wyjaśnił, że obecnie przetwarza ww. dane w związku z toczącymi się wewnętrznymi postępowaniami wyjaśniającymi oraz podejrzeniami popełnienia przestępstwa przez uczestniczkę postępowania K. W. (art. 6 ust. 1 lit. c i lit. f RODO w związku z art. 106d ustawy z dnia 29 sierpnia 1997 r. Prawo bankowe - obecnie tekst jednolity: Dz. U. z 2024 r., poz. 1464 ze zm.).
Aktualnie uczestnika postępowania K. W. nie posiada dostępu do danych klientów skarżącego, lecz w przeszłości miała taki dostęp, a to w związku z prowadzeniem placówki franczyzowej banku w oparciu o umowę powierzenia przetwarzania danych osobowych do umowy agencyjnej nr [...], przy czym nie była uprawniona do udostępnienia danych osobowych klientów innym podmiotom.
Organ pozyskał prawomocny wyrok nakazowy Sądu Rejonowego w C., II Wydział Karny, z [...]2021 r., sygn. akt [...], uznający uczestniczkę postępowania K. W. za winną tego, że w okresie od [...] do [...] maja 2020 r. w nieustalonym miejscu, działając w krótkich odstępach czasu, w wykonaniu z góry powziętego zamiaru osiągnięcia korzyści majątkowej, doprowadziła skarżącego do niekorzystnego rozporządzenia mieniem w kwocie [...] zł, zawierając umowy o pożyczki gotówkowe nr [....], nr [....] i nr [...] bez zamiaru ich spłaty, w ten sposób, iż będąc zatrudnioną w banku, dokonała zmiany danych właściciela rachunku bankowego należącego do uczestniczki postępowania D. J., zmieniając źródło utrzymania oraz nr telefonu posiadacza rachunku na swój nr abonencki, a następnie za pośrednictwem aplikacji mobilnej, zaciągnęła ww. pożyczki gotówkowe, zaś pochodzące z nich środki pieniężne wypłaciła i przekazała na inne rachunki bankowe, czym wprowadziła przedstawicieli skarżącego w błąd co do tożsamości pożyczkobiorcy oraz zamiaru spłaty zaciągniętych zobowiązań finansowych. Za przypisany uczestniczce postępowania K. W. czyn, stanowiący występek z art. 286 § 1 ustawy z dnia 6 czerwca 1997 r. Kodeks karny (obecnie tekst jednolity: Dz. U z 2024 r., poz. 17 ze zm.; dalej: "k.k."), Sąd Rejonowy w C. skazał ją na karę grzywny oraz zobowiązał do naprawienia szkody pokrzywdzonemu, tj. bankowi.
W uzasadnieniu powołanej na wstępie decyzji PUODO zaznaczył, że na administratorze danych osobowych, którym w rozumieniu art. 4 pkt 7 RODO jest bank, ciąży obowiązek prawny przetwarzania danych osobowych zgodnie z obowiązującymi przepisami, a w szczególności obowiązek zapewnienia, aby przetwarzanie odbywało się na podstawie co najmniej jednej z enumeratywnie wymienionych przesłanek art. 6 ust. 1 RODO. Organ przypomniał również, iż wedle art. 5 ust. 1 lit. f RODO, administrator powinien zapewnić odpowiednie bezpieczeństwo danych osobowych, w tym ochronę przed niedozwolonym lub niezgodnym z prawem przetwarzaniem oraz przypadkową utratą, zniszczeniem lub uszkodzeniem, za pomocą odpowiednich środków technicznych lub organizacyjnych. Stosownie zaś do treści art. 5 ust. 2 RODO, administrator jest odpowiedzialny za przestrzeganie powyższych zasad i musi być w stanie wykazać ich przestrzeganie ("rozliczalność").
Przechodząc na grunt przedmiotowej sprawy, organ odnotował, że skarżący w złożonych wyjaśnieniach przyznał, iż doszło do nieprawidłowości w procesie przetwarzania danych osobowych uczestniczki postępowania D. J. przez uczestniczkę postępowania K. W. - działającą w imieniu banku na mocy umowy powierzenia przetwarzania danych osobowych do umowy agencyjnej nr [...]. Zebrany w sprawie materiał dowodowy wykazał, że uczestniczka postępowania K. W., prowadząc placówkę franczyzową skarżącego i jednocześnie pełniąc funkcję podmiotu przetwarzającego banku, wykorzystała dane osobowe uczestniczki postępowania D. J. w celu popełnienia przestępstwa przy zawieraniu pożyczek gotówkowych nr [....], nr [....] i nr [...] . Dlatego należy uznać, iż proces przetwarzania danych osobowych uczestniczki postępowania D. J., w związku z ww. umowami, nie znajdował oparcia w żadnej z przesłanek legalizujących proces przetwarzania danych osobowych, zawartych w art. 6 ust. 1 RODO. Jednocześnie z uwagi na charakter stwierdzonych nieprawidłowości, PUODO zastosował wobec skarżącego upomnienie, akcentując, że przepisy RODO nie przewidują środka naprawczego w postaci nakazania administratorowi lub podmiotowi przetwarzającemu przeproszenia za zaistniałe nieprawidłowości w procesie przetwarzania danych osobowych. Natomiast decyzja o nałożeniu kary nie jest podejmowana na wniosek podmiotu danych, lecz jest decyzją organu.
Pismem z [...] lipca 2024 r. bank (reprezentowany przez radcę prawnego D. K.) wywiódł do Wojewódzkiego Sądu Administracyjnego w Warszawie skargę na opisaną wyżej decyzję PUODO, zarzucając naruszenie prawa materialnego, które miało wpływ na wynik sprawy, tj.:
1) art. 6 ust. 1 RODO poprzez jego niewłaściwe zastosowanie w niniejszej sprawie i odniesienie przesłanek legalizujących przetwarzanie danych osobowych, ujętych w art. 6 ust. 1 RODO, do banku, który nie zainicjował ani nie dokonał operacji przetwarzania danych osobowych uczestniczki postępowania D. J. w związku z umowami o pożyczki gotówkowe, ponieważ operacje te zainicjowała i dokonała ich osoba trzecia (podmiot zewnętrzny), tj. uczestniczka postępowania K. W. prowadząca działalność gospodarczą pod nazwą "Biuro [...]K. W.", dopuszczając się tym samym przestępstwa oszustwa na szkodę skarżącego (art. 286 § 1 k.k.), co znalazło potwierdzenie w wydanym w stosunku do niej wyroku karnym;
2) art. 28 ust. 10 RODO poprzez brak jego zastosowania w przedmiotowej sprawie, w sytuacji, gdy to uczestniczka postępowania K. W., będąca podmiotem przetwarzającym w stosunku do skarżącego, naruszyła przepisy RODO oraz łączącą ją z bankiem umowę powierzenia przetwarzania danych osobowych, o której mowa w art. 28 ust. 3 RODO, przy określaniu celów i sposobów przetwarzania, a tym samym to ona powinna zostać uznana za administratora w odniesieniu do tychże operacji przetwarzania danych osobowych.
Zdaniem skarżącego, powyższe naruszenia przepisów prawa materialnego doprowadziły PUODO do błędnego przyjęcia, iż podmiotem odpowiedzialnym za operacje przetwarzania danych osobowych uczestniczki postępowania D. J. jest bank, w sytuacji gdy operacje te zostały zainicjowane i dokonane przez uczestniczkę postępowania K. W., a w rezultacie organ nieprawidłowo zastosował wobec skarżącego środek naprawczy w postaci upomnienia za rzekome naruszenie przez bank przepisów RODO.
Ponadto skarżący zarzucił organowi naruszenie przepisów postępowania, które miało istotny wpływ na wynik sprawy, tj.:
1) art. 7, art. 77 § 1 oraz art. 80 k.p.a. poprzez brak wnikliwego i wszechstronnego wyjaśnienia stanu faktycznego sprawy, rozważenia całokształtu zebranego materiału dowodowego oraz zbadania wszystkich okoliczności istotnych dla prawidłowego rozstrzygnięcia, w szczególności poprzez błędne przyjęcie w sposób niemający umocowania w materiale dowodowym zgromadzonym w sprawie, że to skarżący zainicjował i dokonał operacji przetwarzania danych osobowych uczestniczki postępowania D. W., a tym samym dopuścił się naruszenia art. 6 ust. 1 RODO, podczas gdy z materiału zebranego w sprawie, w szczególności z wyroku nakazowego wynika w sposób jednoznaczny, iż to uczestniczka postępowania K. W. (a nie bank) zainicjowała oraz dokonała przedmiotowych operacji przetwarzania danych osobowych. W konsekwencji tego uchybienia, doszło do wydania zaskarżonej decyzji w oparciu o błędne założenia natury faktycznej i prawnej oraz dokonanie niepełnych i nieprecyzyjnych ustaleń stanu faktycznego, podczas gdy prawidłowa ocena zebranego w sprawie materiału dowodowego powinna doprowadzić organ do wniosku, że skarżący nie dopuścił się naruszenia przepisów RODO, skoro to inny podmiot zainicjował oraz dokonał operacji przetwarzania;
2) art. 107 § 3 w związku z art. 8, art. 11 oraz art. 80 k.p.a. poprzez zaniechanie wskazania i wyjaśnienia w uzasadnieniu zaskarżonej decyzji, z jakich przyczyn i na jakiej podstawie organ przyjął, iż:
( to bank (a nie uczestniczka postępowania K. W.) zainicjowała i dokonała operacji przetwarzania danych osobowych uczestniczki postępowania D. J. w związku z umowami o pożyczki gotówkowe (i tym samym to skarżący dopuścił się naruszenia art. 6 ust. 1 RODO) w sytuacji, gdy to uczestniczka postępowania K. W. wykorzystała dane osobowe uczestniczki postępowania D. J. do zawarcia umów o pożyczki gotówkowe,
( właściwe jest obarczenie skarżącego odpowiedzialnością za działania uczestniczki postępowania K. W. oraz zastosowanie wobec banku upomnienia za stwierdzone naruszenie przepisów o ochronie danych osobowych, którego to naruszenia dopuścił się inny podmiot,
co miało istotny wpływ na wynik sprawy wobec: (i) braku możliwości oceny motywów, jakimi kierował się PUODO przy wydaniu zaskarżonej decyzji oraz przy nałożeniu środka w postaci upomnienia; (ii) ograniczenia się przez organ do arbitralnego stwierdzenia, że to bank dopuścił się naruszenia art. 6 ust. 1 RODO, z tego jedynie powodu (jak należy wnosić), iż doszło do przetwarzania danych osobowych, co do których bank dokonał powierzenia przetwarzania na rzecz uczestniczki postępowania K. W., która z kolei przetwarzała je, wykraczając poza zakres powierzenia; to zaś dodatkowo stanowi o (iii) naruszeniu przez PUODO zasady przekonywania i pogłębiania zaufania do władzy publicznej, a w rezutacie uniemożliwia przeprowadzenie kontroli poprawności i spójności wywodu oraz rozumowania organu, jak również rzetelne zaskarżenie decyzji PUODO.
W świetle ww. zarzutów skarżący wniósł o uchylenie zaskarżonej decyzji oraz zasądzenie na jego rzecz zwrotu kosztów postępowania sądowoadministracyjnego, w tym kosztów zastępstwa prawnego według norm przepisanych.
W uzasadnieniu skargi bank rozwinął poszczególne jej zarzuty.
W odpowiedzi na skargę PUODO wniósł o jej oddalenie oraz podtrzymał stanowisko wyrażone w uzasadnieniu zaskarżonej decyzji, uznając zarzuty skargi za chybione.
Wojewódzki Sąd Administracyjny w Warszawie zważył, co następuje:
Skarga nie zasługuje na uwzględnienie, ponieważ zaskarżona decyzja organu odpowiada prawu.
W niniejszej sprawie stan faktyczny jest niesporny między stronami postępowania. Spór sprowadza się do prawnej oceny poczynionych przez PUODO ustaleń faktycznych. Skarżący kwestionuje przypisanie mu odpowiedzialności za nieprawidłowości w procesie przetwarzania danych osobowych uczestniczki postępowania D. J. przez uczestniczkę postępowania K. W. - działającą w imieniu banku na mocy umowy powierzenia przetwarzania danych osobowych do umowy agencyjnej nr [...].
Przepis art. 5 ust. 1 RODO określa zasady przetwarzania danych osobowych. Jedną z nich jest integralność i poufność, tj. przetwarzane w sposób zapewniający odpowiednie bezpieczeństwo danych osobowych, w tym ochronę przed niedozwolonym lub niezgodnym z prawem przetwarzaniem oraz przypadkową utratą, zniszczeniem lub uszkodzeniem, za pomocą odpowiednich środków technicznych lub organizacyjnych (vide art. 5 ust. 1 lit. f RODO). Jak wskazuje art. 5 ust. 2 RODO, administrator jest odpowiedzialny za przestrzeganie przepisów ust. 1 i musi być w stanie wykazać ich przestrzeganie ("rozliczalność").
W rozpoznawanej sprawie skarżący jest administratorem (vide art. 4 pkt 7 RODO - "administrator" oznacza osobę fizyczną lub prawną, organ publiczny, jednostkę lub inny podmiot, który samodzielnie lub wspólnie z innymi ustala cele i sposoby przetwarzania danych osobowych; jeżeli cele i sposoby takiego przetwarzania są określone w prawie Unii lub w prawie państwa członkowskiego, to również w prawie Unii lub w prawie państwa członkowskiego może zostać wyznaczony administrator lub mogą zostać określone konkretne kryteria jego wyznaczania). Natomiast uczestniczka postępowania K. W. to podmiot przetwarzający (vide art. 4 pkt 8 RODO - "podmiot przetwarzający" oznacza osobę fizyczną lub prawną, organ publiczny, jednostkę lub inny podmiot, który przetwarza dane osobowe w imieniu administratora).
Zgodnie z art. 28 ust. 1 RODO, jeżeli przetwarzanie ma być dokonywane w imieniu administratora, korzysta on wyłącznie z usług takich podmiotów przetwarzających, które zapewniają wystarczające gwarancje wdrożenia odpowiednich środków technicznych i organizacyjnych, by przetwarzanie spełniało wymogi niniejszego rozporządzenia i chroniło prawa osób, których dane dotyczą. W myśl art. 28 ust. 3 RODO, przetwarzanie przez podmiot przetwarzający odbywa się na podstawie umowy lub innego instrumentu prawnego, które podlegają prawu Unii lub prawu państwa członkowskiego i wiążą podmiot przetwarzający i administratora, określają przedmiot i czas trwania przetwarzania, charakter i cel przetwarzania, rodzaj danych osobowych oraz kategorie osób, których dane dotyczą, obowiązki i prawa administratora. Zapisy takiej umowy lub innego instrumentu prawnego wymieniają lit. a-h ww. przepisu.
Według motywu (81) preambuły RODO, aby zapewnić przestrzeganie wymogów niniejszego rozporządzenia w przypadku przetwarzania, którego w imieniu administratora ma dokonać podmiot przetwarzający, administrator powinien, powierzając podmiotowi przetwarzającemu czynności przetwarzania, korzystać z usług wyłącznie podmiotów przetwarzających, które zapewniają wystarczające gwarancje - w szczególności jeżeli chodzi o wiedzę fachową, wiarygodność i zasoby - wdrożenia środków technicznych i organizacyjnych odpowiadających wymogom niniejszego rozporządzenia, w tym wymogom bezpieczeństwa przetwarzania. Stosowanie przez podmiot przetwarzający zatwierdzonego kodeksu postępowania lub zatwierdzonego mechanizmu certyfikacji może posłużyć za element wykazujący wywiązywanie się z obowiązków administratora. Przetwarzanie przez podmiot przetwarzający powinno być regulowane umową lub innym instrumentem prawnym, które podlegają prawu Unii lub prawu państwa członkowskiego, wiążą podmiot przetwarzający z administratorem, określają przedmiot i czas trwania przetwarzania, charakter i cele przetwarzania, rodzaj danych osobowych i kategorie osób, których dane dotyczą, oraz które powinny uwzględniać konkretne zadania i obowiązki podmiotu przetwarzającego w kontekście planowanego przetwarzania oraz ryzyko naruszenia praw lub wolności osoby, której dane dotyczą. Administrator i podmiot przetwarzający mogą postanowić skorzystać z umowy indywidualnej lub ze standardowych klauzul umownych, które zostały przyjęte bezpośrednio przez Komisję albo które zostały przyjęte przez organ nadzorczy zgodnie z mechanizmem spójności, a następnie przyjęte przez Komisję. Po zakończeniu przetwarzania w imieniu administratora podmiot przetwarzający powinien - zgodnie z decyzją administratora - zwrócić lub usunąć dane osobowe, chyba że prawo Unii lub prawo państwa członkowskiego, któremu podlega podmiot przetwarzający, nakładają obowiązek przechowywania danych osobowych.
Wprawdzie przepisy nie ograniczają wprost administratora w wyborze podmiotu przetwarzającego do kręgu profesjonalistów, to pamiętać należy, iż administrator jest obowiązany do wyboru podmiotu przetwarzającego gwarantującego odpowiednie zabezpieczenie. Innymi słowy chodzi tu wybór podmiotu dysponującego fachową wiedzą, wiarygodnego oraz zapewniającego wdrożenie odpowiednich środków technicznych i organizacyjnych, obliczonych na zagwarantowanie właściwego poziomu ochrony.
Tutejszy Sąd w pełni aprobuje stanowisko PUODO, że odpowiedzialność za wybór podmiotu przetwarzającego spoczywa na administratorze. Zasada rozliczalności obarcza administratora (tu: skarżącego) odpowiedzialnością za naruszenie przestrzegania przepisów RODO. Do takiego wniosku prowadzi chociażby stwierdzenie, iż administrator powinien być w stanie wykazać przestrzeganie zasad przetwarzania danych. W razie sporu z osobą, której dane dotyczą, albo z organem nadzorczym, administrator powinien być w stanie przedstawić dowody na to, że przestrzega zasad. Dowodami takimi mogą być przede wszystkim dokumenty dotyczące przetwarzania i ochrony danych.
Dlatego też, pomimo braku wyraźnego wymogu wynikającego z przepisów RODO, zasadne wydaje się prowadzenie dokumentacji przetwarzania danych, obejmującej wskazanie działań, jakie zostały podjęte dla zapewnienia zgodności przetwarzania i ochrony danych z wymogami określonymi w rozporządzeniu (np. przeprowadzonej analizy ryzyka i doboru odpowiednich zabezpieczeń). Wymóg taki wynikał z krajowych przepisów wykonawczych (rozporządzenia wykonawczego do z ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych), jednak utrata ich mocy obowiązującej sprawiła, iż wymóg taki nie jest zasadniczo obowiązkiem wyraźnie wskazanym w przepisach o ochronie danych osobowych. Informacje pozwalające wykazać przestrzeganie przepisów mogą być zawarte np. w polityce bezpieczeństwa lub w innym dokumencie, natomiast przewidziany w art. 30 obowiązek prowadzenia rejestru czynności przetwarzania ograniczony jest w tym zakresie jedynie do ogólnego opisu technicznych i organizacyjnych środków bezpieczeństwa (vide P. Fajgielski [w:] Komentarz do rozporządzenia nr 2016/679 w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) [w:] Ogólne rozporządzenie o ochronie danych. Ustawa o ochronie danych osobowych. Komentarz, wyd. II, Warszawa 2022, art. 5.).
Powoływany przez bank art. 28 ust. 10 RODO przewiduje, że bez uszczerbku dla art. 82, 83 i 84, jeżeli podmiot przetwarzający naruszy niniejsze rozporządzenie przy określaniu celów i sposobów przetwarzania, uznaje się go za administratora w odniesieniu do tego przetwarzania. W kontrolowanej sprawie nie doszło do ingerencji uczestniczki postępowania K. W. w zastrzeżoną dla administratora sferę podejmowania decyzji o celach i sposobach przetwarzania danych. Jako agent, na mocy umowy agencyjnej zawartej ze skarżącym, pośredniczyła ona stale, za wynagrodzeniem (w ramach prowadzonej działalności gospodarczej), przy zawieraniu z klientami umów w imieniu banku. Zatem przetwarzając dane klientów banku, w tym wykorzystując dane osobowe uczestniczki postępowania D. J. do zawarcia umów o pożyczki gotówkowe ze skarżącym, uczestniczka postępowania K. W. nie wykroczyła poza, określony umową, zakres powierzenia - w odniesieniu tak do celu (zawarcie umowy w imieniu banku), jak i sposobu przetwarzania danych osobowych (przetwarzanie danych klienta banku na potrzeby skorzystania z oferowanego przez skarżącego produktu).
Oczywiście poza sporem pozostaje fakt naruszenia przez nią procesu przetwarzania danych osobowych uczestniczki postępowania D. J., które to naruszenie wyczerpało znamiona oszustwa. Jak wynika z prawomocnego wyroku skazującego, zawarcie tych umów stanowiło realizację z góry powziętego przez uczestniczkę postępowania K. W. zamiaru osiągnięcia korzyści majątkowej, a polegało na zmianie danych właściciela rachunku bankowego należącego do uczestniczki postępowania D. J. (w postaci źródła utrzymania i nr telefonu), tak by pozyskać środki pieniężne pochodzące z zaciągniętych (bez wiedzy i zgody tej ostatniej) trzech pożyczek gotówkowych. Niezależnie jednak od odpowiedzialności (karnej, cywilnej czy administracyjnej) podmiotu przetwarzającego, administrator ponosi odpowiedzialność na gruncie RODO, gdyż to w jego imieniu odbywa się przetwarzanie danych. Skarżący skorzystał z usług uczestniczki postępowania K. W., która nie zapewniała należytego zabezpieczenia przetwarzanych danych. Raz jeszcze podkreślić trzeba, iż bank jako administrator zobligowany jest do stałego wdrażania stosownych środków bezpieczeństwa (organizacyjnych i technicznych), ciągłego monitorowania poziomu zagrożeń oraz zapewnienia rozliczalności w zakresie poziomu i adekwatności wprowadzonych zabezpieczeń. Koniecznością staje się wykazanie przed organem nadzorczym, że wprowadzone rozwiązania, mające na celu zapewnienie bezpieczeństwa danych osobowych, są adekwatne do poziomu ryzyka oraz uwzględniają charakter prowadzonej działalności gospodarczej, w tym stosowane mechanizmy przetwarzania danych. Nawet długa współpraca administratora i podmiotu przetwarzającego nie zmniejsza poziomu ryzyka.
Reasumując, kontrola zaskarżonej decyzji w granicach sprawy nie dała podstaw do przyjęcia, iż została ona wydana z naruszeniem przepisów postępowania lub naruszeniem prawa materialnego. Brak jest podstaw do uznania, że w postępowaniu zakończonym wydaniem zaskarżonej decyzji nie wyjaśniono wszystkich istotnych kwestii mających wpływ na rozstrzygnięcie sprawy. Materiał dowodowy zgromadzony w toku postępowania zakończonego zaskarżoną decyzją stanowił wystarczającą podstawę do skorzystania przez PUODO z uprawnienia naprawczego przewidzianego w art. 58 ust. 2 lit. b RODO, które przysługuje organowi nadzorczemu w przypadku naruszenia przepisów RODO przez operacje przetwarzania. Uzasadnienie zaskarżonej decyzji odpowiada prawu. Zawiera wskazanie faktów, które organ uznał za udowodnione, dowodów, na których się oparł, a także wyjaśnienie podstawy prawnej decyzji, z przytoczeniem przepisów prawa.
Mając na uwadze powyższe, Wojewódzki Sąd Administracyjny w Warszawie, na podstawie art. 151 ustawy z dnia 30 sierpnia 2002 r. Prawo o postępowaniu przed sądami administracyjnymi (Dz. U. z 2024 r., poz. 935 ze zm.), orzekł jak w sentencji wyroku.