II SA/Wa 1477/24

II SA/Wa 1477/24 - Wyrok WSA w Warszawie
Data orzeczenia
2025-04-22
orzeczenie nieprawomocne
Data wpływu
2024-09-11
Sąd
Wojewódzki Sąd Administracyjny w Warszawie
Sędziowie
Arkadiusz Koziarski.
Izabela Głowacka-Klimas /przewodniczący sprawozdawca/
Łukasz Krzycki
Symbol z opisem
647  Sprawy związane z ochroną danych osobowych
Skarżony organ
Generalny Inspektor Ochrony Danych Osobowych
Treść wyniku
Oddalono skargę
Sentencja
Wojewódzki Sąd Administracyjny w Warszawie w składzie następującym: Przewodniczący Sędzia WSA Izabela Głowacka-Klimas (spr.), Sędzia WSA Łukasz Krzycki, Asesor WSA Arkadiusz Koziarski, Protokolant referent Joanna Mazur po rozpoznaniu na rozprawie w dniu 22 kwietnia 2025 r. sprawy ze skargi [...] Sp. z o.o. z siedzibą w [...] na decyzję Prezesa Urzędu Ochrony Danych Osobowych z dnia [...] czerwca 2024 r. nr [...] w przedmiocie przetwarzania danych osobowych oddala skargę
Uzasadnienie
Prezes Urzędu Ochrony Danych Osobowych (dalej: Prezes UODO, organ) decyzją z [...] czerwca 2024 r., nr [...], na podstawie art. 104 § 1 ustawy z dnia 14 czerwca 1960 r. Kodeks postępowania administracyjnego (Dz.U.
z 2024 r. poz. 572; dalej "Kpa.") w zw. z art. 7 ust. 1 i 2 ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych (Dz.U. z 2019 r. poz. 1781; dalej "uodo."), art. 6 ust. 1 oraz art. 58 ust. 2 lit. b rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku
z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz. Urz. UE L 119 z 4.05.2016, str. 1, Dz. Urz. UE L 127 z 23.05.2018,
str. 2 oraz Dz. Urz. UE L 74 z 4.03.2021, str. 35, dalej "RODO"), po przeprowadzeniu postępowania administracyjnego w sprawie skargi Pana R. Z. (uczestnik), na nieprawidłowości w procesie przetwarzania jego danych osobowych przez [...] sp. z o.o. z siedzibą w [...] (dalej: spółka, skarżąca), polegające na udostępnieniu danych osobowych do [...] sp. z o.o. z siedzibą
w [...] (dalej spółka II), bez podstawy prawnej, udzielił spółce upomnienia
za naruszenie art. 6 ust. 1 i art. 28 ust 3 RODO polegające na przetwarzaniu danych osobowych uczestnika w bazach spółki II, bez podstawy prawnej, w terminie
od [...] marca 2019 r. do [...] lutego 2024 r. oraz od [...] kwietnia 2019 r. do [...] lutego 2024 r.
Wydaniu powyższej decyzji towarzyszył następujący stan sprawy.
W skardze skierowanej do Prezesa UODO uczestnik podniósł nieprawidłowości w procesie przetwarzania jego danych osobowych przez spółkę polegające na udostępnieniu przez nią tych danych do spółki II, bez podstawy prawnej. Wskazał, że skarga dotyczy dalszego udostępniania jego danych osobowych do spółki II. Przedłożył do akt sprawy korespondencję prowadzoną
ze spółką z [...] kwietnia 2020 r., w której wyraził sprzeciw wobec udostępniania jego danych osobowych innym podmiotom. Korespondencja była kierowana na adres mailowy: [...] (tak: skarga z [...] stycznia 2024 r. oraz pismo
z [...] stycznia 2024 r.).
W piśmie z [...] stycznia 2024 r. spółka wskazała, że pozyskała dane uczestnika w wyniku zawarcia z nim umowy [...] marca 2019 r. Dane te pochodziły bezpośrednio od samego uczestnika, w związku ze złożeniem przez niego wniosku
o udzielenie pożyczki za pośrednictwem portalu internetowego www.[...] Podała: "(...) Pan R. Z. wraz ze złożeniem pierwszego wniosku
o udzielenie pożyczki, dobrowolnie udostępnił Spółce następujące dane: imię
i nazwisko, dane adresowe, dane kontaktowe tj. telefon, e-mail, a także pesel, wiek, serię i nr dowodu tożsamości, miesięczną kwotę i tytuł dochodu, numer rachunku bankowego, kraj urodzenia, obywatelstwo, formę zatrudnienia (dane pracodawcy). Następnie dane te zostały uzupełniane o dane uzyskane z baz danych, do których Pożyczkodawca zwrócił się z zapytaniem na podstawie zgód udzielonych przez Skarżącego, w tym upoważnień w rozumieniu przepisów Ustawy z dnia 9 kwietnia 2010 o udostępnieniu informacji gospodarczych i wymianie danych gospodarczych."
Spółka wskazała, że dane osobowe uczestnika przekazała [...] marca 2019 r. do spółki II w zakresie: pesel, seria i nr dowodu osobistego, imię i nazwisko, adres mailowy, telefon, adres zamieszkania oraz zameldowania, numer konta bankowego, IP, z którego klient korzysta, kwota wniosku, okres wniosku, ID wniosku do spółki II
w oparciu zgodę udzieloną w trakcie rejestracji i wnioskowania przez uczestnika,
w rozumieniu przepisów ustawy z dnia 9 kwietnia 2010 o udostępnieniu informacji gospodarczych i wymianie danych gospodarczych (Dz.U. z 2023 r. poz. 2160), zwana dalej "u.i.g.". Podała również, że zawarła ze spółką II umowę powierzenia przetwarzania danych osobowych Platforma [...], zmienioną Aneksem Nr [...] zawartym w dniu [...] listopada 2018 r. Dane uczestnika przekazano spółce II na podstawie art. 6 ust. 1 lit. a oraz art. 6 ust. 1 lit. b RODO.
W wyjaśnieniach z [...] lutego 2024 r. spółka poinformowała, że uczestnik dwukrotnie wyrażał zgodę na udostępnienie jego danych do spółki II w dniach wnioskowania o pożyczki, tj. [...] marca 2019 r. i [...] kwietnia 2019 r. Na podstawie powyższych zgód dane uczestnika udostępniono dwukrotnie spółce II w celu udostępnienia danych innym uczestnikom Platformy [...], zwanej dalej "P[...]". Dane udostępniono w trybie art. 28 RODO na podstawie zawartej między spółką II a spółką umowy powierzenia. Wyjaśniono, że "(...) w dalszym ciągu powierza przetwarzanie [...] Sp. z o.o. danych Skarżącego jednak dane te przetwarzane są przez podmiot przetwarzający wyłącznie w ramach zbioru Customer List tj. zbioru danych konsumentów, z którymi Spółka zawarła umowę o kredyt konsumencki. Dane nie są udostępniane innym uczestnikom Platformy [...]. W dniu [...].02.2024 Spółka złożyła wniosek o usunięcie od procesora tj [...] Sp. z o.o. wszystkich danych Skarżącego przetwarzanych przez procesora na zlecenie Spółki."
W udzielonych organowi wyjaśnieniach z [...] marca 2024 r., wskazano, że [...] lutego 2024 r. spółka zgłosiła żądanie usunięcia danych osobowych uczestnika
i [...] lutego 2024 r. otrzymała potwierdzenie o usunięciu danych przez spółkę II. Nie otrzymała od uczestnika wniosku o wycofanie zgody lub ze sprzeciwem wobec udostępnienia jego danych spółce II.
Spółka wyjaśniła również, że nigdy nie posługiwała się adresem mailowym [...] i nie otrzymała maila uczestnika z [...] kwietnia 2020 r. wysłanego na dany adres mailowy. Spółka nie posługiwała się takim mailem,
a i pośrednik kredytowy w obsłudze spraw spółki, nie posługuje się tym mailem. Spółka prowadzi działalność głównie przez portal www.[...] i przez ten portal zostały zawarte umowy z uczestnikiem. Umowy kredytowe wysłano poprzez mail należący do pośrednika kredytowego, tj. [...]"
W uzasadnieniu powołanej na wstępie decyzji Prezesa UODO wyjaśnił na wstępie, że RODO określa obowiązki administratora danych, do których należy przetwarzanie danych osobowych z zachowaniem przesłanek określonych w tym rozporządzeniu. Przepisem uprawniającym administratorów danych do przetwarzania zwykłych danych osób fizycznych jest art. 6 ust. 1 RODO, zgodnie z którym, przetwarzanie danych jest dopuszczalne tylko wtedy, gdy spełniona jest jedna
z przesłanek wskazanych w tym przepisie. Katalog przesłanek wymienionych w art. 6 ust. 1 RODO jest zamknięty.
Podkreślił, że każdy administrator obowiązany jest do przestrzegania zasad dotyczących przetwarzania danych osobowych, o których mowa w art. 5 ust. 1 RODO. Zgodnie z tym przepisem dane osobowe muszą być m. in. przetwarzane zgodnie z prawem, rzetelnie i w sposób przejrzysty dla osoby, której dane dotyczą ("zgodność z prawem, rzetelność, przejrzystość"), adekwatne, stosowne oraz ograniczone do tego, co niezbędne do celów, w których są przetwarzane ("minimalizacja danych"), prawidłowe i w razie potrzeby uaktualniane. Należy podjąć wszelkie rozsądne działania, aby dane osobowe, które są nieprawidłowe w świetle celów ich przetwarzania, zostały niezwłocznie usunięte lub sprostowane ("prawidłowość"). Każde przetwarzanie danych osobowych musi mieć oparcie
w przesłankach uregulowanych przepisami prawa.
Zgodnie z art. 7 ust. 3 RODO osoba, której dane dotyczą, ma prawo
w dowolnym momencie wycofać zgodę. Wycofanie zgody nie wpływa na zgodność
z prawem przetwarzania, którego dokonano na podstawie zgody przed jej wycofaniem. Osoba, której dane dotyczą, jest o tym informowana, zanim wyrazi zgodę. Wycofanie zgody musi być równie łatwe jak jej wyrażenie. Ponadto, jak stanowi art. 17 ust. 1 lit. b RODO osoba, której dane dotyczą, ma prawo żądania od administratora niezwłocznego usunięcia dotyczących jej danych osobowych,
a administrator ma obowiązek bez zbędnej zwłoki usunąć dane osobowe, jeżeli osoba, której dane dotyczą, cofnęła zgodę, na której opiera się przetwarzanie zgodnie z art. 6 ust. 1 lit. a i nie ma innej podstawy prawnej przetwarzania.
Organ wyjaśnił, spółka pozyskała i przetwarzała dane osobowe uczestnika
w związku z zawarciem z nim w dniach [...] marca 2019 r. oraz [...] kwietnia 2019 r. umów pożyczek. Na podstawie udzielonych podczas zawierania ww. umów zgód uczestnika oraz na podstawie zawartej między spółką a spółką II umowy powierzenia przetwarzania danych osobowych z [...] lutego 2017 r., spółka udostępniła do spółki II dane osobowe uczestnika w trybie art. 28 RODO, w celu ich udostępnienia innym uczestnikom P[...]. [...] kwietnia 2020 r. uczestnik wniósł sprzeciw wobec udostępnia jego danych osobowych w spółce II, wysyłając go mailem na adres: [...], który nie należy i nigdy nie należał do spółki ani podmiotu
z nią współpracującego. Ostatecznie [...] lutego 2024 r. spółka wystąpiła do spółki II
o usunięcie wszystkich danych osobowych uczestnika przetwarzanych przez spółkę II na zlecenie spółki i [...] lutego 2024 r., dane te usunięto.
W ocenie Prezesa UODO zgoda pożyczkobiorcy na udostępnienie jego danych osobowych innym podmiotom, nie jest jednak w każdym wypadku wystarczającą podstawą udostępnienia przez instytucję pożyczkową danych osobowych innemu podmiotowi. Analiza stanu faktycznego ustalonego
w sprawie prowadzi do wniosku, że zgody uczestnika na przetwarzanie jego danych osobowych przez spółkę II nie zostały wyrażone skutecznie.
Jak stanowi art. 9 ustawy z dnia 12 maja 2011 r. o kredycie konsumenckim (Dz.U. z 2023 r. poz. 1028), zwanej dalej "u.k.k.", kredytodawca przed zawarciem umowy o kredyt konsumencki jest zobowiązany do dokonania oceny zdolności kredytowej konsumenta (ust. 1). Ocena zdolności kredytowej dokonywana jest na podstawie informacji uzyskanych od konsumenta lub na podstawie informacji pozyskanych z odpowiednich baz danych lub zbiorów danych kredytodawcy (ust. 2).
Zgodnie z art. 105a ust. 1 ustawy Prawo bankowe (Dz.U. z 2023 r. poz. 2488 ze zm.), zwanej dalej "Pr.bank.", przetwarzanie przez banki, inne instytucje ustawowo upoważnione do udzielania kredytów, instytucje pożyczkowe oraz podmioty,
o których mowa w art. 59d u.k.k., a także instytucje utworzone na podstawie art. 105 ust. 4, informacji stanowiących tajemnicę bankową i informacji udostępnionych przez instytucje pożyczkowe oraz podmioty, o których mowa w art. 59d u.k.k., w zakresie dotyczącym osób fizycznych może być wykonywane, z zastrzeżeniem art. 104,
art. 105 i art. 106-106d, w celu oceny zdolności kredytowej i analizy ryzyka kredytowego.
Zakres tajemnicy bankowej wskazano w art. 104 ust. 1 Pr.bank. który stanowi, że bank, osoby w nim zatrudnione oraz osoby, za których pośrednictwem bank wykonuje czynności bankowe, są obowiązane zachować tajemnicę bankową, która obejmuje wszystkie informacje dotyczące czynności bankowej, uzyskane w czasie negocjacji, w trakcie zawierania i realizacji umowy, na podstawie której bank tę czynność wykonuje, z wyjątkami określonymi w danym akcie.
Zarówno przepisy Pr.bank., jak i u.k.k., regulują zasady wymiany informacji,
w tym również stanowiących tajemnicę bankową pomiędzy instytucjami pożyczkowymi a instytucjami, o których mowa w art. 105 ust. 4 Pr.bank. Wymiany takiej, zgodnie z zasadami wskazanymi w art. 105 ust. 4e-4g, instytucje,
o których mowa w art. 105 ust. 4 Pr.bank., mogą udostępniać instytucjom pożyczkowym i podmiotom, o których mowa w art. 59d u.k.k., informacje stanowiące tajemnicę bankową pod warunkiem wyrażenia pisemnej zgody na przekazanie tych informacji przez osobę, której one dotyczą (ust. 4e). Zgoda konsumenta może być także wyrażona w postaci elektronicznej. W takim przypadku instytucja pożyczkowa lub podmiot, o którym mowa w art. 59d u.k.k., obowiązane są do utrwalania wyrażonej w ten sposób zgody na informatycznym nośniku danych w rozumieniu
art. 3 pkt 1 ustawy z dnia 17 lutego 2005 r. o informatyzacji działalności podmiotów realizujących zadania publiczne (ust. 4f). Przed udostępnieniem informacji na podstawie ust. 4e instytucje utworzone na podstawie ust. 4 sprawdzają, czy konsument wyraził zgodę na udostępnienie tych informacji, w formie, o której mowa w ust. 4e lub 4f.
Prezes UODO wskazał, że częścią zawieranych przez uczestnika i spółkę umów, były oświadczenia, w których wyrażał on zgodę na udostępnianie przez spółkę jego danych osobowych innym kredytodawcom - uczestnikom P[...] i na udostępnianie przez nich spółce informacji o historii jego pożyczek oraz zestawianie tych informacji przez spółkę. Nadto w złożonych oświadczeniach uczestnik wyraził zgodę na przetwarzanie w analizach statystycznych przez 3 lata jego danych osobowych zebranych w procesie wnioskowania o pożyczkę, a także na ich udostępnianie przez spółkę innym kredytodawcom. Upoważnienia powyższe zezwalały spółce o zwrócenie się do jednej z instytucji, o których mowa w art. 105 ust. 4 Pr.bank. o udostępnienie informacji, w tym stanowiących tajemnicę bankową
w związku z złożeniem przez uczestnika do spółki wniosku o udzielenie pożyczki. Zdaniem organu ma to o tyle istotne znaczenie, że zakres udzielonych zgód dotyczących udostępnienia danych osobowych uczestnika na rzecz spółki II dotyczy informacji pozyskanych w trakcie oceny zdolności kredytowej uczestnika w związku
z jego wnioskiem o udzielenie pożyczki, czyli w tym również informacji stanowiących tajemnicę bankową pozyskanych od instytucji, o której mowa w art. 105 ust. 4 Pr.bank. Takiej formy zgody na udostępnienie danych osobowych będących informacjami stanowiącymi tajemnicę bankową pozyskanych przez instytucję pożyczkową od instytucji, o której mowa w art. 105 ust. 4 Pr.bank. nie przewiduje wskazany wcześniej art. 105 danej ustawy. Co najważniejsze jednak spółka nie znajduje się w katalogu podmiotów wskazanych w art. 105 ust. 4, którym jako podmiotom przetwarzającym lub odrębnym administratorom, instytucje powstałe na podstawie powyższego przepisu mogą udostępnić informacje stanowiące tajemnicę bankową.
Prezes UODO wskazał ponadto, że zasady m.in. udostępnienia informacji gospodarczych dotyczących wiarygodności płatniczej, a także ich ujawniania przechowywania, aktualizacji i usuwania zostały uregulowane w ustawie z dnia
9 kwietnia 2010 r. o udostępnianiu informacji gospodarczych i wymianie danych gospodarczych (Dz.U. z 2023 r. poz. 2160), zwanej dalej "ustawą o BIG". Biuro informacji gospodarczej, jak wskazano w art. 7 ust. 4 ustawy o BIG, nie może powierzyć innym podmiotom wykonywania czynności związanych z przedmiotem działalności gospodarczej, o którym mowa w ust. 1 i 2, z wyjątkiem innych biur oraz instytucji utworzonych na podstawie art. 105 ust. 4 Pr.bank..
W ocenie organu spółki II nie sposób traktować jako podmiot mogący pełnić funkcję biura informacji gospodarczej ani też jako instytucję z art. 105 ust. 4
Pr.bank., której biuro informacji gospodarczej mogłoby powierzyć czynności związane z przedmiotem swojej działalność. Spółka II działa w formie prawnej spółki z ograniczoną odpowiedzialnością, tymczasem jak wskazano w ustawie o BIG, biuro informacji gospodarczej: może być prowadzone wyłącznie w formie spółki akcyjnej,
o kapitale zakładowym nie mniejszym niż 4 000 000 złotych (art. 5 ust. 1); jest obowiązane używać w swojej firmie wyrazów "biuro informacji gospodarczej" (art. 8 ust. 1). Dodatkowo zgodnie z art. 11a ust. 1 i 2 ustawy o BIG biuro informacji gospodarczej jest zobowiązane do zawiadomienia ministra właściwego do spraw gospodarki o podjęciu oraz o zaprzestaniu wykonywania działalności gospodarczej,
a także o adresie, na który należy przekazywać informacje gospodarcze, i o jego zmianach, w terminie 7 dni od dnia zaistnienia tych zdarzeń. Minister właściwy do spraw gospodarki udostępnia oraz aktualizuje w Biuletynie Informacji Publicznej wykaz biur wykonujących działalność gospodarczą oraz ich adresów, na które należy przekazywać informacje gospodarcze. W wykazie biur informacji gospodarczej opublikowanej w biuletynie informacji publicznej Ministerstwa Rozwoju i Technologii, spółki II nie wskazano.
Spółka II w kwestionowanym procesie przetwarzania danych osobowych uczestnika pełniła rolę podmiotu przetwarzającego działającego na podstawie umowy powierzenia przetwarzania danych osobowych P[...], zmienionej Aneksem Nr [...] zawartym w dniu [...] listopada 2018 r. W powyższej umowie spółka, jako administrator danych osobowych, oraz spółka II, jako podmiot przetwarzający, zawarły zapisy regulujące proces przetwarzania danych osobowych w ramach ich współpracy. Prezes UODO podkreślił, że kwestie gromadzenia informacji gospodarczej oraz tajemnicy bankowej zostały uregulowane przez ustawodawcę, a w świetle powołanych powyżej przepisów nie budzi wątpliwości, że spółka II nie spełnia wymogów, które uprawniałyby ją do przetwarzania danych osobowych zawartych
w informacji gospodarczej lub objętej tajemnicą bankową. W konsekwencji, umowa powierzenia danych osobowych P[...] została zawarta między spółką i podmiotem, który nie spełnia wymogów określonych w powyższych przepisach prawa. Zawarcie
z nim umowy na podstawie art. 28 ust. 3 RODO było tym samym niedopuszczalne.
Wobec powyższego, w ocenie organu, udostępnienie danych osobowych uczestnika do spółki II przez spółkę od samego początku, tj. od momentu zawarcia umów [...] marca 2019 r. oraz od [...] kwietnia 2019 r., pozbawione było podstaw prawnych. Spółka II nie jest podmiotem spełniającym warunki określone
w przepisach prawa, w tym w art. 105 ust. 4 Pr.bank., nie może pełnić funkcji biura informacji gospodarczej, ani też nie jest instytucją z art. 105 ust. 4 danego aktu, której biuro informacji gospodarczej mogłoby powierzyć czynności związane
z przedmiotem swojej działalność.
W tym stanie sprawy Prezes UODO uznał, że właściwe jest zastosowanie wobec spółki upomnienia za stwierdzone naruszenie przepisów o ochronie danych osobowych, tj. art. 6 ust. 1 RODO, wobec braku podstaw spółki do udostępnienia danych osobowych uczestnika do spółki II, w okresie od [...] marca 2019 r. do [...] lutego 2024 r. oraz od [...] kwietnia 2019 r. do [...] lutego 2024 r. Aktualnie spółka nie udostępnia danych osobowych uczestnika do spółki II, a tym samym kwestionowany przez niego proces przetwarzania jego danych osobowych nie jest obecnie kontynuowany.
Spółka wywiodła do Wojewódzkiego Sądu Administracyjnego w Warszawie skargę na powołaną na wstępie decyzję Prezesa UODO z [...] czerwca 2024 r., zaskarżając ją w całości.
Zaskarżonej decyzji zarzuciła naruszenie przepisów postępowania, w postaci:
a) art. 7, 77 § 1 i art. 80 Kpa. polegające na niepodjęciu wszelkich czynności niezbędnych do dokładnego wyjaśnienia stanu faktycznego sprawy oraz niewyczerpującym rozpatrzeniu materiału dowodowego, w szczególności nieprzeprowadzeniu dowodu w postaci umowy powierzenia przetwarzania danych osobowych (dalej umowa P[...]) zawartej pomiędzy spółką oraz spółką II
i ograniczeniu się do uznania umowy P[...] za niedopuszczalną w świetle obowiązującego prawa, co w konsekwencji doprowadziło do stwierdzenia naruszenia art. 6 ust. 1 i 28 ust. 3 RODO i nałożenia na skarżącą kary upomnienia;
b) art. 7, 77 § 1 i art. 80 Kpa. polegające na niewyczerpującym rozpatrzeniu całego materiału dowodowego oraz na jego dowolnej ocenie, w szczególności oparciu się w większości na wyrwanych z kontekstu i nieprawidłowo zinterpretowanych przez organ stwierdzeniach uczestnika, a nie na przedstawionych dowodach dotyczących wyrażonych przez klienta spółki (dalej jako klient) zgód i treści umowy P[...], oraz niepodjęciu wszelkich kroków niezbędnych do dokładnego wyjaśnienia stanu faktycznego i w konsekwencji błędnym ustaleniu stanu faktycznego i przyjęciu, że:
- dane klienta były przetwarzane w bazach spółki II, gdy ze zgromadzonego
w sprawie materiału dowodowego wynika, że spółka II przetwarzał dane klienta wyłącznie jako podmiot przetwarzający, tj. w imieniu i na polecenie skarżącej
w ramach zbioru danych (bazy) spółki,
- skarżąca dwukrotnie udostępniła spółce II dane osobowe klienta na podstawie udzielonych przez niego zgód, gdy podstawę przekazania danych klienta do spółki II przez skarżącą stanowiła umowa P[...],
- zgoda udzielona przez klienta stanowiła upoważnienie w rozumieniu przepisów ustawy z dnia 9 kwietnia 2010 r. o udostępnianiu informacji gospodarczych i wymianie danych gospodarczych, gdy zgoda ta stanowiła wyłącznie zgodę na przetwarzanie danych osobowych w rozumieniu przepisów RODO,
- celem udostępnienia spółce II przez skarżącą danych osobowych klienta na podstawie udzielonych przez niego zgód było udostępnianie danych innym uczestnikom P[...]);
c) art. 7, 77 § 1 i art. 80 Kpa. polegające na błędnych ustaleniach w zakresie stanu faktycznego sprawy dokonanych przez organ, tj. przyjęciu, że:
- zgody udzielone przez klienta (zwane w uzasadnieniu przedmiotowej decyzji również upoważnieniami), zezwalały skarżącej na zwrócenie się do instytucji, o której mowa w art. 105 ust. 4 Pr.bank. o udostępnienie informacji, w tym stanowiących tajemnicę bankową w związku ze złożeniem przez klienta do skarżącej wniosku
o udzielenie pożyczki, gdy udzielone zgody dotyczyły wyłącznie przetwarzania danych w ramach P[...], którego uczestnikiem nie była i nie jest żadna z instytucji,
o której mowa w art. 105 ust. 4 Pr.bank.,
- zakres udzielonych przez klienta zgód dotyczących udostępnienia jego danych osobowych na rzecz spółki II dotyczył informacji pozyskanych w trakcie oceny zdolności kredytowej klienta w związku z jego wnioskiem o udzielenie pożyczki, czyli w tym również informacji stanowiących tajemnicę bankową pozyskanych od instytucji, o której mowa w art. 105 ust. 4 Pr.bank., podczas gdy zakres udzielonych przez klienta zgód nie tylko nie dotyczył udostępniania danych osobowych klienta na rzecz spółki II, ale także nie obejmował informacji stanowiących tajemnicę bankową pozyskanych od instytucji, o której mowa w art. 105 ust. 4 danego aktu;
d) art. 8 i 107 § 3 Kpa. przez nienależyte uzasadnienie zaskarżonej decyzji
z uwagi na zawarcie w niej zbyt ogólnych lub sprzecznych wewnętrznie stwierdzeń, w szczególności poprzez stosowanie zamiennie nietożsamych znaczeniowo pojęć ("przekazanie" i "udostępnienie"), odwoływanie się do kwestii "ściśle regulowanych przepisami" przy jednoczesnym braku wskazania jakie konkretnie przepisy organ miał na myśli, powoływanie się w treści uzasadnienia na liczne przepisy, które nie mają zastosowania do przedmiotowej sprawy i utrudniają właściwą interpretację przyjętego przez organ stanowiska oraz zastosowanej w ramach uzasadnienia argumentacji, a także nieustosunkowanie się do wszystkich zgromadzonych
w sprawie dowodów, co nie pozwala na jasną interpretację dokonanej przez organ oceny zgromadzonego w sprawie materiału dowodowego.
Zarzucono ponadto naruszenie przepisów prawa materialnego w postaci:
a) art. 58 ust. 2 lit. b RODO poprzez jego zastosowanie i upomnienie skarżącej, mimo że nie dopuściła się naruszenia przepisów o ochronie danych osobowych;
b) art. 28 ust. 3 RODO w zw. z art. 4 i 7 ustawy o BIG poprzez ich błędną wykładnię, a w konsekwencji uznanie, że zawarcie umowy powierzenia pomiędzy skarżącą a spółką II było niedopuszczalne, w szczególności z uwagi na fakt, że spółka II nie jest biurem informacji gospodarczej w rozumieniu ustawy o BIG, co skutkowało uznaniem, że skarżąca przetwarzała dane osobowe klienta bez podstawy prawnej i udzieleniem skarżącej upomnienia;
c) art. 6 ust. 1 RODO poprzez jego niewłaściwe zastosowanie i niezasadne przyjęcie, że skarżąca powinna legitymować się jedną z podstaw prawnych do przetwarzania danych wskazanych w tym przepisie, aby przekazać dane osobowe klienta do spółki, gdy spółka II i skarżąca nie były odrębnymi administratorami danych klienta, a zachodziła pomiędzy nimi relacja powierzenia przetwarzania tych danych na podstawie umowy powierzenia przetwarzania danych zgodnej z art. 28 ust. 3 RODO, co skutkowało uznaniem, że skarżąca przetwarzała dane osobowe klienta bez podstawy prawnej i udzieleniem jej upomnienia;
d) art. 9 u.k.k. poprzez jego błędną wykładnię i przyjęcie, że jedynymi źródłami,
z wykorzystaniem których może dochodzić do wymiany danych służących ocenie zdolności kredytowej pomiędzy kredytodawcami, w tym instytucjami pożyczkowymi, mogą być zbiory danych prowadzone dla celów oceny zdolności kredytowej przez instytucje, o których mowa w art. 105 ust. 4 Pr.bank. oraz biura informacji gospodarczej, które to zbiory, zgodnie z definicją zawartą w art. 5 pkt 15 u.k.k., stanowią bazy danych, o których mowa w art. 9 ust. 2 u.k.k., gdy art. 9 u.k.k. nie określa zamkniętego katalogu tych źródeł;
e) art. 9 u.k.k poprzez jego niewłaściwe zastosowanie i przyjęcie, że stanowi on jedyną podstawę dokonywania oceny zdolności kredytowej przez instytucję pożyczkową, gdy szczegółowe obowiązki oraz zasady dotyczące przeprowadzania oceny zdolności kredytowej przez instytucję pożyczkową są zawarte w art. 9a u.k.k.;
f) art. 9a u.k.k. poprzez jego niezastosowanie, a w konsekwencji błędne uznanie, że jedyną prawnie dopuszczalną podstawą dokonywania oceny zdolności kredytowej przez instytucję pożyczkową jest art. 9 u.k.k.;
g) art. 104 ust. 3 Pr.bank. poprzez jego błędną wykładnię polegającą na przyjęciu, że ma on zastosowanie do instytucji pożyczkowych, gdy ma on zastosowanie do banków;
h) art. 104 ust. 3 Pr.bank. poprzez jego błędną wykładnię polegającą na przyjęciu, że w przypadku udzielenia przez osobę, której dotyczą informacje objęte tajemnicą bankową upoważnienia do przekazania określonych informacji wskazanej przez tę osobę osobie lub jednostce organizacyjnej, warunkiem takiego przekazania jest jeszcze dodatkowo spełnienie przesłanek, określonych w art. 105, art. 106a
i art. 106b Pr.bank., gdy odesłanie o tych przepisów w art. 104 ust. 3 Pr.bank. oznacza jedynie, że w przypadku wystąpienia okoliczności wskazanych w tych przepisach upoważnienie udzielone przez osobę, której dotyczą informacje objęte tajemnicą bankową, nie jest warunkiem ujawnienia tych informacji;
i) art. 105a ust. 1 Pr.bank. poprzez jego błędną wykładnię i niewłaściwe zastosowanie i przyjęcie, że art. 104, art. 105 i art. 106-106d danego aktu określają dodatkowe przesłanki, czy też warunki przetwarzania wskazanych w art. 105a ust. 1 Pr.bank. informacji w celu przeprowadzania oceny zdolności kredytowej lub analizy ryzyka kredytowego przez instytucje pożyczkowe, gdy odesłanie do tych przepisów
w art. 105a ust. 1 Pr.bank. oznacza jedynie, że w przypadkach wskazanych
w art. 104, art. 105 i art. 106-106d Pr.bank. przetwarzanie informacji określonych
w art. 105a ust. 1 Pr.bank. może być wykonywane w innych celach niż ocena zdolności kredytowej i analiza ryzyka kredytowego;
j) art. 59c u.k.k. poprzez jego zastosowanie, gdy funkcjonalność P[...] nie obejmuje udostępniania instytucjom pożyczkowym zgodnie z art. 105 ust. 4 pkt 4 Pr.bank. informacji stanowiących tajemnicę bankową ani bezpośrednio od instytucji, o której mowa w art. 105 ust. 4 Pr.bank., ani od tej instytucji za pośrednictwem
spółki II ;
k) art. 9 u.k.k., art. 59c u.k.k., art. 104, 105 i 105a Pr.bank. poprzez ich błędną wykładnię i przyjęcie, że kwestia przetwarzania przez kredytodawców danych służących ocenie zdolności kredytowej jest ściśle uregulowana przepisami u.k.k. oraz Pr.bank. w taki sposób, że wymiana tychże danych pomiędzy kredytodawcami i ich przetwarzanie może odbywać się jedynie z wykorzystaniem, czy też za pośrednictwem, instytucji, o której mowa w art. 105 ust. 4 Pr.bank. lub za pośrednictwem biura informacji gospodarczej.
Wobec tak sformułowanych zarzutów wniesiono o uchylenie zaskarżonej decyzji w całości oraz zwrot kosztów postępowania.
W obszernym uzasadnieniu skargi poszerzono argumentację towarzyszącą postawionym w niej zarzutom.
W odpowiedzi na skargę organ wniósł o jej oddalenie, podtrzymując stanowisko wyrażone w uzasadnieniu zaskarżonej decyzji.
Wojewódzki Sad Administracyjny zważył co następuje :
Zgodnie z art. 1 § 1 i § 2 ustawy z dnia 25 lipca 2002 r. - Prawo o ustroju sądów administracyjnych (Dz. U. z 2024 r. poz. 1267), dalej: "p.u.s.a." oraz art. 3 § 1 ustawy z dnia 30 sierpnia 2002 r. Prawo o postępowaniu przed sądami administracyjnymi (Dz. U. z 2024 r. poz. 935), dalej: "p.p.s.a.", sądy administracyjne sprawują wymiar sprawiedliwości przez kontrolę działalności administracji publicznej.
W myśl art. 134 § 1 p.p.s.a., sąd rozstrzyga w granicach danej sprawy nie będąc związany zarzutami i wnioskami skargi oraz powołaną podstawą prawną, z zastrzeżeniem art. 57a. Sąd nie może wydać orzeczenia na niekorzyść skarżącego, chyba że stwierdzi naruszenie prawa skutkujące stwierdzeniem nieważności zaskarżonego aktu lub czynności (§ 2).
Podstawę materialnoprawną zaskarżonej decyzji stanowił art. 6 ust. 1, art. 58 ust. 2 lit.b ogólnego rozporządzenia o ochronie danych
Skarga nie jest zasadna albowiem zaskarżona decyzji Prezes Urzędu Ochrony Danych Osobowych z [...] czerwca 2024 r. odpowiada prawu.
Jak wynika z akt sprawy Prezes Urzędu Ochrony Danych Osobowych udzielił skarżącej upomnienia za naruszenie art. 6 ust.1 i art. 28 ust. 3 RODO polegające na przetwarzaniu danych osobowych Pana R. Z. (uczestnik) w bazach [...] Sp. z o.o. bez podstawy prawnej.
Dla przypomnienia należy wskazać, że uczestnik postępowania zwrócił się do organu ze skargą na nieprawidłowości w procesie przetwarzania jego danych osobowych przez [...] sp. z o.o., polegające na udostępnieniu danych osobowych uczestnika do [...] Sp. z o.o. z siedzibą w [...], bez podstawy prawnej.
Z akt sprawy wynika również, że uczestnik zawarł ze skarżącą umowę pożyczki i dobrowolnie udostępnił jej swoje dane osobowe.
Skarżąca wskazała, że dane osobowe uczestnika przekazała w dniu [...] marca 2019 r. do [...] w zakresie: pesel, seria i nr dowodu osobistego, imię i nazwisko, adres mailowy, telefon, adres zamieszkania oraz zameldowania, numer konta bankowego, IP, z którego klient korzysta, kwota wniosku, okres wniosku, ID wniosku do [...] w oparciu zgodę udzieloną w trakcie rejestracji i wnioskowania przez Skarżącego, w rozumieniu przepisów u.i.g. Spółka wskazała również, że zawarła z [...] umowę powierzenia przetwarzania danych osobowych Platforma [...], zmienioną Aneksem Nr [...] zawartym w dniu [...] listopada 2018 r. Spółka wskazała nadto, że dane uczestnika przekazane zostały do [...] na podstawie art. 6 ust. 1 lit. a oraz art. 6 ust. 1 lit. b rozporządzenia RODO. Skarżąca wyjaśniła również, że dane osobowe uczestnika przekazała [...] na podstawie art.28 RODO.
Istota problemu w niniejszej sprawie sprowadza się do udzielenia odpowiedzi na pytanie, czy [...] sp. z o.o. była uprawnione do przekazania danych osobowych uczestnika do [...] w celu ich przetwarzania i czy na takie przekazanie pozyskała zgodę uczestnika postępowania.
Na wstępie rozważań w niniejszej sprawie należy wskazać na regulacje prawne mające w sprawie zastosowanie.
Jak stanowi art. 9 u.k.k., kredytodawca przed zawarciem umowy o kredyt konsumencki jest zobowiązany do dokonania oceny zdolności kredytowej konsumenta (ust.1). Ocena zdolności kredytowej dokonywana jest na podstawie informacji uzyskanych od konsumenta lub na podstawie informacji pozyskanych z odpowiednich baz danych lub zbiorów danych kredytodawcy (ust. 2).
Z kolei z art. 59 c u.k.k. wynika, że instytucja pożyczkowa i podmiot, o którym mowa w art. 59 d, oraz osoby w nich zatrudnione, w tym na podstawie umowy o dzieło, umowy zlecenia lub innej umowy o podobnym charakterze, są obowiązane zachować w tajemnicy informacje stanowiące tajemnicę bankową, udostępnione zgodnie z art. 105 ust. 4 pkt 4 ustawy z dnia 29 sierpnia 1997 r. - Prawo bankowe. Przetwarzanie tych informacji przez instytucję pożyczkową i podmiot, o którym mowa w art. 59d, może być wykonywane wyłącznie w celu oceny zdolności kredytowej konsumenta, o której mowa w art. 9 i analizy ryzyka kredytowego.
Zgodnie z treścią art.104 ust.1 prawa bankowego "Bank, osoby w nim zatrudnione oraz osoby, za których pośrednictwem bank wykonuje czynności bankowe, są obowiązane zachować tajemnicę bankową, która obejmuje wszystkie informacje dotyczące czynności bankowej, uzyskane w czasie negocjacji, w trakcie zawierania i realizacji umowy, na podstawie której bank tę czynność wykonuje." Tak więc, w ocenie Sądu, niewątpliwie dane uczestnika postepowania w zakresie peselu, serii i nr dowodu osobistego, imienia i nazwiska, adresu mailowego, telefonu, adresu zamieszkania oraz zameldowania, numeru konta bankowego, IP, z którego klient korzysta, kwoty wniosku, okresu wniosku, ID wniosku stanowią tajemnice bankową.
Jak wskazano w komentarzu do Prawa bankowego A. Mednis [w:] Prawo bankowe. Komentarz, red. A. Mikos-Sitek, P. Zapadka, Warszawa 2022, art. 104., które to stanowisko skład orzekający w pełni podziela i akceptuje, "Zgodnie z komentowanym przepisem tajemnicą bankową objęte są wszystkie informacje dotyczące czynności bankowej uzyskane w czasie negocjacji, w trakcie zawierania i realizacji umowy, na podstawie której bank tę czynność wykonuje. Zakres przedmiotowy został określony bardzo szeroko. Punktem wyjścia jest tu pojęcie czynności bankowych, których rodzaje wymieniono w art. 5 ust. 1 i 2 pr. bank. Przypomnijmy zatem, że do czynności tych należą m.in. przyjmowanie wkładów pieniężnych oraz prowadzenie rachunków tych wkładów, prowadzenie innych rachunków bankowych, udzielanie kredytów i pożyczek, udzielanie i potwierdzanie gwarancji bankowych, otwieranie i potwierdzanie akredytyw, emitowanie bankowych papierów wartościowych, przeprowadzanie bankowych rozliczeń pieniężnych, operacje czekowe i wekslowe, świadczenie usług płatniczych, wydawanie pieniądza elektronicznego, terminowe operacje finansowe, nabywanie i zbywanie wierzytelności pieniężnych, przechowywanie przedmiotów i papierów wartościowych oraz udostępnianie skrytek sejfowych, prowadzenie skupu i sprzedaży wartości dewizowych, udzielanie i potwierdzanie poręczeń, wykonywanie czynności zleconych, związanych z emisją papierów wartościowych, pośrednictwo w dokonywaniu przekazów pieniężnych oraz rozliczeń w obrocie dewizowym oraz wykonywanie innych czynności przewidzianych wyłącznie dla banku w odrębnych ustawach."
W komentarzu tym do art.104 Prawa bankowego podkreślono również, że "Rozszerzenie zakresu podmiotowego tajemnicy bankowej może wynikać także z innych przepisów. Przykładowo zgodnie z art. 59c ust. 1 u.k.k. instytucja pożyczkowa i zagraniczna instytucja pożyczkowa oraz osoby w nich zatrudnione, w tym na podstawie umowy o dzieło, umowy zlecenia lub innej umowy o podobnym charakterze, są obowiązane zachować w tajemnicy informacje stanowiące tajemnicę bankową, udostępnione zgodnie z art. 105 ust. 4 pkt 4 pr. bank., a przetwarzanie tych informacji przez te instytucje może być wykonywane wyłącznie w celu oceny zdolności kredytowej konsumenta i analizy ryzyka kredytowego. (...).Na podstawie art. 48k ust. 1 pr. bank, obowiązek zachowania tajemnicy bankowej ma zastosowanie do działalności instytucji kredytowych oraz ich oddziałów na terytorium Rzeczypospolitej Polskiej."
Z kolei w myśl art. 105a ust. 1 Prawa bankowego, przetwarzanie przez banki, inne instytucje ustawowo upoważnione do udzielania kredytów, instytucje pożyczkowe oraz podmioty, o których mowa w art. 59d u.k.k., a także instytucje utworzone na podstawie art. 105 ust. 4 , informacji stanowiących tajemnicę bankową i informacji udostępnionych przez instytucje pożyczkowe oraz podmioty, o których mowa w art. 59d ustawy z dnia 12 maja 2011 r. o kredycie konsumenckim, w zakresie dotyczącym osób fizycznych, może być wykonywane, z zastrzeżeniem art. 104, art. 105 i art. 106-106d ustawy w celu oceny zdolności kredytowej i analizy ryzyka kredytowego.
Zgodnie natomiast z art.105 ust. 4 pkt 4 praw bankowego Banki mogą, wspólnie z bankowymi izbami gospodarczymi, utworzyć instytucje upoważnione do gromadzenia, przetwarzania i udostępniania instytucjom pożyczkowym i podmiotom, o których mowa w art. 59d ustawy z dnia 12 maja 2011 r. o kredycie konsumenckim - na zasadzie wzajemności, informacji stanowiących odpowiednio tajemnicę bankową oraz informacje udostępnione przez instytucje pożyczkowe oraz podmioty, o których mowa w art. 59d ustawy z dnia 12 maja 2011 r. o kredycie konsumenckim, w zakresie niezbędnym do oceny zdolności kredytowej konsumenta, o której mowa w art. 9 tej ustawy i analizy ryzyka kredytowego.
Jak wynika z art.105 ust.4 pkt 4e. instytucje utworzone na podstawie ust. 4 mogą udostępniać instytucjom pożyczkowym i podmiotom, o których mowa w art. 59d ustawy z dnia 12 maja 2011 r. o kredycie konsumenckim, informacje stanowiące tajemnicę bankową pod warunkiem wyrażenia pisemnej zgody na przekazanie tych informacji przez osobę, której one dotyczą.
Z art.105 ust.4 pkt 4f wynika, że zgoda konsumenta może być także wyrażona w postaci elektronicznej. W takim przypadku instytucja pożyczkowa lub podmiot, o którym mowa w art. 59d ustawy z dnia 12 maja 2011 r. o kredycie konsumenckim, obowiązane są do utrwalania wyrażonej w ten sposób zgody na informatycznym nośniku danych w rozumieniu art. 3 pkt 1 ustawy z dnia 17 lutego 2005 r. o informatyzacji działalności podmiotów realizujących zadania publiczne.
Art.105 ust.4 pkt 4g wskazuje, że przed udostępnieniem informacji na podstawie ust. 4e instytucje utworzone na podstawie ust. 4 sprawdzają, czy konsument wyraził zgodę na udostępnienie tych informacji, w formie, o której mowa w ust. 4e lub 4f.
Analiza powyższych przepisów prowadzi do wniosku, że kwestia przetwarzania danych osobowych stanowiących tajemnice bankową jest ściśle regulowana.
Jak wynika z akt sprawy uczestnik postępowania udzielił [...] sp. z o.o., podczas postępowania o udzielenie pożyczki, zgody:
"1.W celu dokonania przez Pożyczkodawcę – [...] Sp. z o.o. oceny mojej zdolności kredytowej wyrażam zgodę na udostępnianie przez Pożyczkodawcę - mojego numeru PESEL innym kredytodawcom - Uczestnikom Platformy [...] i na udostępnianie przez nich Pożyczkodawcy informacji o historii moich pożyczek oraz zestawianie tych informacji przez Pożyczkodawcę – [...] Sp. z o.o.
2. W celu dokonania przez Pożyczkodawcę – [...] Sp. z o.o. oceny mojej zdolności kredytowej wyrażam zgodę na przetwarzanie, w analizach statystycznych przez 3 lata moich danych osobowych zebranych w procesie wnioskowania o pożyczkę, a także na ich udostępnianie przez Pożyczkodawcę innym i kredytodawcom - Uczestnikom i Platformy [...] i na dokonywanie przez nich analiz statystycznych oraz udostępnianie i zestawianie ich wyników Pożyczkodawcy
3. W celu dokonania przez Pożyczkodawcę – [...] Sp. z o.o. oceny mojej zdolności kredytowej wyrażam zgodę na przetwarzanie przez Pożyczkodawcę – [...] Sp. z o.o. moich danych osobowych określonych w umowie o kredyt konsumencki i zawartej z Pożyczkodawcą oraz informacji dotyczących wykonywania zobowiązań z tej umowy, nie dłużej jednak niż przez okres 3 lat, odpowiednio po wykonaniu zobowiązań wobec Pożyczkodawcy wynikających z zawartej umowy o kredyt konsumencki, zbyciu przez Pożyczkodawcę wierzytelności wynikających z umowy o kredyt konsumencki lub rozwiązaniu umowy o kredyt konsumencki."
Analiza powyższych zgód prowadzi, w ocenie Sądu do wniosku, że zgoda uczestnika postępowania na przetwarzanie jego danych osobowych przez [...] nie została udzielona skutecznie. Jak słusznie zauważył organ w uzasadnieniu zaskarżonej decyzji, uczestnik wyrażał zgodę na udostępnianie przez Spółkę jego danych osobowych innym kredytodawcom - Uczestnikom Platformy [...] i na udostępnianie przez nich Spółce informacji o historii jego pożyczek oraz zestawianie tych informacji przez Spółkę. Nadto w złożonych oświadczeniach Skarżący wyraził zgodę na przetwarzanie w analizach statystycznych przez 3 lata jego danych osobowych zebranych w procesie wnioskowania o pożyczkę, a także na ich udostępnianie przez Spółkę innym kredytodawcom - Uczestnikom Platformy [...].
Tak więc skarżąca była uprawniona do zwrócenia się do jednej z instytucji, o których mowa w art. 105 ust. 4 Prawa bankowego o udostępnienie informacji, w tym stanowiących tajemnicę bankową w związku z złożeniem przez Skarżącego do Spółki wniosku o udzielenie pożyczki.
Podkreślenia wymaga zakres udzielonych zgód dotyczących udostępnienia danych osobowych Skarżącego na rzecz [...] dotyczy informacji pozyskanych w trakcie oceny zdolności kredytowej Skarżącego w związku z jego wnioskiem o udzielenie pożyczki, czyli w tym również informacji stanowiących tajemnicę bankową pozyskanych od instytucji, o której mowa w art. 105 ust. 4 Prawa bankowego. Takiej formy zgody na udostępnienie danych osobowych będących informacjami stanowiącymi tajemnicę bankową pozyskanych przez instytucję pożyczkową od instytucji, o której mowa w art. 105 ust. 4 Prawa bankowego nie przewiduje wskazany wcześniej art. 105 tejże ustawy.
[...] nie znajduje się w katalogu podmiotów wskazanych w art. 105 ust. 4, którym jako podmiotom przetwarzającym lub odrębnym administratorom, instytucje powstałe na podstawie powyższego przepisu mogą udostępnić informacje stanowiące tajemnicę bankową.
Reasumując [...] Sp. z o.o. w oparciu o załączone zgody mogła zwrócić się do jednej z instytucji, o których mowa w art. 105 ust. 4 Prawa bankowego o udostępnienie informacji, w tym stanowiących tajemnicę bankową w związku z złożeniem przez uczestnika do Spółki wniosku o udzielenie pożyczki ( art. 105 ust.1 pkt 1a prawa bankowego). Natomiast nie była uprawniona do przekazania danych osobowych uczestnika postępowania, które to dane stanowią tajemnice bankową do [...], ponieważ [...] nie znajduje się w katalogu instytucji o których mowa w art. 105 ust. 4 prawa bankowego i w związku z powyższym nie jest uprawniony do przetwarzania danych osobowych zawierających tajemnicę bankową.
W tym miejscu wskazać należy, że z art. 1 ust.1 ustawa o BIG wynika, że reguluje ona między innymi zasady udostępniania informacji gospodarczych dotyczących wiarygodności płatniczej, a także ich ujawniania, przechowywania, aktualizacji i usuwania.
W tym miejscu przypomnieć należy biuro informacji gospodarczej, jak wskazano w art. 7 ust. 4 ustawy o BIG, nie może powierzyć innym podmiotom wykonywania czynności związanych z przedmiotem działalności gospodarczej, o którym mowa w ust. 1 i 2, z wyjątkiem innych biur oraz instytucji utworzonych na podstawie art. 105 ust. 4 Pr.bank..
Analiza struktury organizacyjnej [...] prowadzi do wniosku, że działa on w formie prawnej spółki z ograniczoną odpowiedzialnością, tymczasem jak wskazano w ustawie o BIG, biuro informacji gospodarczej: może być prowadzone wyłącznie w formie spółki akcyjnej, o kapitale zakładowym nie mniejszym niż 4 000 000 złotych (art. 5 ust. 1); jest obowiązane używać w swojej firmie wyrazów "biuro informacji gospodarczej" (art. 8 ust. 1). Dodatkowo zgodnie z art. 11a ust. 1 i 2 ustawy o BIG biuro informacji gospodarczej jest zobowiązane do zawiadomienia ministra właściwego do spraw gospodarki o podjęciu oraz o zaprzestaniu wykonywania działalności gospodarczej, a także o adresie, na który należy przekazywać informacje gospodarcze, i o jego zmianach, w terminie 7 dni od dnia zaistnienia tych zdarzeń. Minister właściwy do spraw gospodarki udostępnia oraz aktualizuje w Biuletynie Informacji Publicznej wykaz biur wykonujących działalność gospodarczą oraz ich adresów, na które należy przekazywać informacje gospodarcze. W wykazie biur informacji gospodarczej opublikowanej w biuletynie informacji publicznej Ministerstwa Rozwoju i Technologii, [...] nie został zaś wskazany.
Reasumując w ocenie Sądu [...] nie może być traktowany jako instytucja, o której mowa w art. 105 ust.4 prawa bankowego ani jako biuro informacji gospodarczej .
Na zakończenie należy podkreślić, że Prezes UODO poddał analizie umowę zawartą miedzy skarżącą a [...] o powierzeniu przetwarzania danych z dnia [...] lutego 2017 r. zmienioną Aneksem Nr [...] zawartym w dniu [...] listopada 2018 r. W kwestionowanym procesie przetwarzania danych osobowych uczestnika [...] pełnił rolę podmiotu przetwarzającego działającego na podstawie umowy powierzenia przetwarzania danych osobowych Platforma [...].
Jak słusznie zauważył organ kwestie gromadzenia informacji gospodarczych i tajemnicy bankowej zostały uregulowane ustawowo, tak więc nie istnieje możliwość aby [...] nie spełniając wymogów ustawy mógł przetwarzać informacje gospodarcze i tajemnice bankowe.
W konsekwencji należy uznać, że umowa powierzenia danych osobowych P[...] została zawarta między Spółką i podmiotem, który nie spełnia wymogów określonych w powyższych przepisach prawa. Zawarcie z nim umowy na podstawie art. 28 ust. 3 RODO było tym samym niedopuszczalne.
Wobec powyższego, w ocenie Sądu, Prezes Urzędu prawidłowo uznał, że udostępnienie danych osobowych uczestnika do [...] przez Spółkę od samego początku, tj. od momentu zawarcia umów w dniach [...] marca 2019 r. oraz od [...] kwietnia 2019 r., pozbawione było podstaw prawnych.
Jak wyżej wskazano [...] nie jest podmiotem spełniającym warunki określone w przepisach prawa, w tym w art. 105 ust. 4 Prawa bankowego, nie może pełnić funkcji biura informacji gospodarczej, ani też nie jest instytucją z art. 105 ust. 4 Prawa bankowego.
W tym miejscu należy podkreślić, że działania Prezesa UODO służą przywróceniu stanu zgodnego z prawem.
Na podstawie art. 58 ust. 2 lit. b RODO organ w celu przywrócenia stanu zgodnego z prawem mógł udzielić upomnienia administratorowi lub podmiotowi przetwarzającemu w przypadku naruszenia przepisów niniejszego rozporządzenia przez operację przetwarzania.
Ponieważ w niniejszej sprawie doszło do naruszenia art. 6 ust. 1 RODO, wobec braku podstaw Skarżącej Spółki do udostępnienia danych osobowych uczestnika do [...], oraz naruszenia art.28 ust.3 RODO poprzez zawarcie miedzy skarżącą a [...] niedopuszczalnej umowy należy uznać, że udzielenie skarżącej upomnienia, w sytuacji braku dalszego przetwarzania danych osobowych uczestnika było ze wszech miar słuszne.
W ocenie Sądu w niniejszej sprawie nie doszło do naruszenia wskazanych w skardze przepisów postepowania ponieważ stan faktyczny sprawy został ustalony w sposób prawidłowy oraz prawidłowo organ dokonał subsumcji stanu faktycznego do odpowiednich przepisów prawa materialnego.
Biorąc powyższe pod rozwagę skargę należało oddalić na podstawie art. 151 p.p.s.a.
-----------------------
4