II SA/Wa 1477/24
Podsumowanie
Przejdź do pełnego tekstuSprawa dotyczyła skargi spółki na decyzję Prezesa Urzędu Ochrony Danych Osobowych (UODO), który nałożył na skarżącą upomnienie za naruszenie przepisów RODO. Naruszenie polegało na udostępnieniu danych osobowych klienta, Pana R. Z., spółce II bez podstawy prawnej, w okresie od marca 2019 r. do lutego 2024 r. Spółka twierdziła, że pozyskała dane od klienta w związku z umową pożyczki i przekazała je spółce II na podstawie zgód klienta oraz umowy powierzenia przetwarzania danych. Prezes UODO uznał, że spółka II nie była uprawniona do przetwarzania tych danych, ponieważ nie spełniała wymogów prawnych, w tym dotyczących biur informacji gospodarczych czy instytucji uprawnionych do przetwarzania tajemnicy bankowej. W związku z tym, umowa powierzenia była niedopuszczalna, a udostępnienie danych pozbawione podstaw prawnych. Spółka wniosła skargę do WSA, zarzucając organowi naruszenie przepisów proceduralnych i materialnych, w tym błędną wykładnię przepisów RODO, Prawa bankowego i ustawy o kredycie konsumenckim. Wojewódzki Sąd Administracyjny w Warszawie oddalił skargę, uznając decyzję Prezesa UODO za zgodną z prawem. Sąd potwierdził, że dane osobowe klienta, w tym PESEL, dane dowodu osobistego i adresowe, stanowią tajemnicę bankową. Analiza udzielonych przez klienta zgód wykazała, że nie były one skuteczne w kontekście udostępniania danych spółce II, która nie była uprawnionym podmiotem do ich przetwarzania. Sąd podkreślił, że spółka II nie spełniała wymogów ani jako biuro informacji gospodarczej, ani jako instytucja z art. 105 ust. 4 Prawa bankowego. W związku z tym, umowa powierzenia była niedopuszczalna, a udostępnienie danych osobowych uczestnika do spółki II było pozbawione podstaw prawnych. Sąd uznał, że nałożenie upomnienia było słuszne, zwłaszcza że spółka zaprzestała dalszego przetwarzania danych.
Przeanalizuj tę sprawę w pełnym kontekście orzecznictwa.
Analiza orzecznictwa · odpowiedzi na pytania · badanie przepisów · drafting pism.
Wartość praktyczna
Siła precedensu: WysokaInterpretacja przepisów RODO w kontekście udostępniania danych osobowych podmiotom nieuprawnionym, znaczenie tajemnicy bankowej i wymogów dla biur informacji gospodarczej.
Dotyczy specyficznej sytuacji udostępniania danych przez instytucję pożyczkową innemu podmiotowi, który nie spełniał wymogów prawnych.
Zagadnienia prawne (3)
Czy udostępnienie danych osobowych klienta innemu podmiotowi na podstawie umowy powierzenia jest dopuszczalne, jeśli podmiot przetwarzający nie spełnia wymogów prawnych do przetwarzania danych, w tym danych stanowiących tajemnicę bankową?Ratio decidendi
Odpowiedź sądu
Nie, udostępnienie danych jest niedopuszczalne, jeśli podmiot przetwarzający nie spełnia wymogów prawnych, co czyni umowę powierzenia nieważną, a samo udostępnienie pozbawionym podstawy prawnej.
Uzasadnienie
Sąd uznał, że spółka II nie spełniała wymogów prawnych do przetwarzania danych osobowych, w tym danych stanowiących tajemnicę bankową, ani jako biuro informacji gospodarczej, ani jako instytucja z art. 105 ust. 4 Prawa bankowego. W związku z tym umowa powierzenia była niedopuszczalna, a udostępnienie danych pozbawione podstawy prawnej.
Czy zgody udzielone przez klienta na przetwarzanie jego danych osobowych w celu oceny zdolności kredytowej są wystarczającą podstawą do udostępnienia tych danych innemu podmiotowi, który nie jest uprawniony do ich przetwarzania?Ratio decidendi
Odpowiedź sądu
Nie, zgody te nie są wystarczające, jeśli podmiot, któremu dane są udostępniane, nie spełnia wymogów prawnych do ich przetwarzania, zwłaszcza gdy dane te stanowią tajemnicę bankową.
Uzasadnienie
Sąd stwierdził, że zgody klienta dotyczyły udostępniania danych innym kredytodawcom w ramach platformy, ale nie upoważniały do przekazania ich podmiotowi, który nie był uprawniony do ich przetwarzania zgodnie z prawem, w szczególności w zakresie tajemnicy bankowej.
Czy naruszenie przepisów RODO poprzez udostępnienie danych osobowych bez podstawy prawnej uzasadnia nałożenie upomnienia przez Prezesa UODO?Ratio decidendi
Odpowiedź sądu
Tak, jeśli doszło do naruszenia art. 6 ust. 1 RODO (brak podstawy prawnej przetwarzania) oraz art. 28 ust. 3 RODO (niedopuszczalna umowa powierzenia), upomnienie jest właściwą sankcją, zwłaszcza gdy przetwarzanie zostało zaprzestane.
Uzasadnienie
Sąd uznał, że naruszenie przepisów RODO przez spółkę było oczywiste, a nałożenie upomnienia przez Prezesa UODO było zgodne z art. 58 ust. 2 lit. b RODO, jako środek przywracający stan zgodny z prawem.
Przepisy (25)
Główne
RODO art. 6 § ust. 1
Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679
RODO art. 58 § ust. 2 lit. b
Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679
RODO art. 28 § ust. 3
Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679
u.k.k. art. 9
Ustawa o kredycie konsumenckim
Pr.bank. art. 105a § ust. 1
Ustawa Prawo bankowe
Pomocnicze
Kpa. art. 104 § § 1
Ustawa - Kodeks postępowania administracyjnego
uodo. art. 7 § ust. 1 i 2
Ustawa o ochronie danych osobowych
RODO art. 5 § ust. 1
Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679
RODO art. 7 § ust. 3
Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679
RODO art. 17 § ust. 1 lit. b
Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679
u.i.g.
Ustawa o udostępnianiu informacji gospodarczych i wymianie danych gospodarczych
Pr.bank. art. 104 § ust. 1
Ustawa Prawo bankowe
u.k.k. art. 59c
Ustawa o kredycie konsumenckim
Pr.bank. art. 105 § ust. 4 pkt 4
Ustawa Prawo bankowe
Pr.bank. art. 105 § ust. 4e
Ustawa Prawo bankowe
Pr.bank. art. 105 § ust. 4f
Ustawa Prawo bankowe
Pr.bank. art. 105 § ust. 4g
Ustawa Prawo bankowe
ustawa o BIG art. 7 § ust. 4
Ustawa o udostępnianiu informacji gospodarczych i wymianie danych gospodarczych
ustawa o BIG art. 5 § ust. 1
Ustawa o udostępnianiu informacji gospodarczych i wymianie danych gospodarczych
ustawa o BIG art. 8 § ust. 1
Ustawa o udostępnianiu informacji gospodarczych i wymianie danych gospodarczych
ustawa o BIG art. 11a § ust. 1 i 2
Ustawa o udostępnianiu informacji gospodarczych i wymianie danych gospodarczych
p.u.s.a. art. 1 § § 1 i § 2
Ustawa - Prawo o ustroju sądów administracyjnych
p.p.s.a. art. 3 § § 1
Ustawa - Prawo o postępowaniu przed sądami administracyjnymi
p.p.s.a. art. 134 § § 1
Ustawa - Prawo o postępowaniu przed sądami administracyjnymi
p.p.s.a. art. 151
Ustawa - Prawo o postępowaniu przed sądami administracyjnymi
Argumenty
Skuteczne argumenty
Spółka II nie spełnia wymogów prawnych do przetwarzania danych osobowych, w tym tajemnicy bankowej. • Umowa powierzenia przetwarzania danych zawarta ze spółką II była niedopuszczalna. • Udostępnienie danych osobowych klienta spółce II było pozbawione podstawy prawnej. • Zgody klienta nie były wystarczające do udostępnienia danych podmiotowi nieuprawnionemu.
Odrzucone argumenty
Zarzuty spółki dotyczące naruszenia przepisów proceduralnych Kpa. • Zarzuty spółki dotyczące błędnej wykładni przepisów materialnego prawa (RODO, Prawo bankowe, u.k.k., ustawa o BIG).
Godne uwagi sformułowania
Spółka II nie jest podmiotem spełniającym warunki określone w przepisach prawa, w tym w art. 105 ust. 4 Prawa bankowego, nie może pełnić funkcji biura informacji gospodarczej, ani też nie jest instytucją z art. 105 ust. 4 Prawa bankowego. • Zawarcie z nim umowy na podstawie art. 28 ust. 3 RODO było tym samym niedopuszczalne. • Udostępnienie danych osobowych uczestnika do spółki II przez spółkę od samego początku, tj. od momentu zawarcia umów [...] marca 2019 r. oraz od [...] kwietnia 2019 r., pozbawione było podstaw prawnych.
Skład orzekający
Izabela Głowacka-Klimas
przewodniczący sprawozdawca
Łukasz Krzycki
sędzia
Arkadiusz Koziarski
asesor
Informacje dodatkowe
Wartość precedensowa
Siła: Wysoka
Powoływalne dla: "Interpretacja przepisów RODO w kontekście udostępniania danych osobowych podmiotom nieuprawnionym, znaczenie tajemnicy bankowej i wymogów dla biur informacji gospodarczej."
Ograniczenia: Dotyczy specyficznej sytuacji udostępniania danych przez instytucję pożyczkową innemu podmiotowi, który nie spełniał wymogów prawnych.
Wartość merytoryczna
Ocena: 7/10
Sprawa dotyczy ważnego aspektu ochrony danych osobowych i tajemnicy bankowej w kontekście działalności instytucji finansowych, co jest istotne dla wielu podmiotów.
“Czy Twoje dane osobowe są bezpieczne, gdy instytucja pożyczkowa przekazuje je dalej? Sąd wyjaśnia.”
Twój asystent do analizy prawnej.
Zadaj pytanie prawne, zleć analizę orzecznictwa i przepisów, lub poproś o projekt pisma — AI przeszuka 1,4 mln orzeczeń i aktualne akty prawne.
- Analiza orzecznictwa i przepisów
- Drafting pism i dokumentów
- Odpowiedzi na pytania prawne
- Pogłębiona analiza z doktryny
Pełny tekst orzeczenia
Oryginalna treść postanowienia (niezmieniona). Otwiera się jako osobna strona.