II SA/Wa 1539/23

II SA/Wa 1539/23 - Wyrok WSA w Warszawie
Data orzeczenia
2024-04-11
orzeczenie nieprawomocne
Data wpływu
2023-08-07
Sąd
Wojewódzki Sąd Administracyjny w Warszawie
Sędziowie
Arkadiusz Koziarski
Danuta Kania /przewodniczący sprawozdawca/
Joanna Kruszewska-Grońska
Symbol z opisem
647  Sprawy związane z ochroną danych osobowych
Hasła tematyczne
Ochrona danych osobowych
Skarżony organ
Generalny Inspektor Ochrony Danych Osobowych
Treść wyniku
Oddalono skargę
Powołane przepisy
Dz.U.UE.L 2016 nr 119 poz 1 art. 15, art. 3, art. 28 ust. 3 art. 6 ust. 1 lit. f, art. 47
Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z  przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE
Dz.U. 2023 poz 1634
art. 151
Ustawa z dnia 30 sierpnia 2002 r. Prawo o postępowaniu przed sądami administracyjnymi - t.j.
Sentencja
Wojewódzki Sąd Administracyjny w Warszawie w składzie następującym: Przewodniczący Sędzia WSA Danuta Kania (spr.), Sędzia WSA Joanna Kruszewska-Grońska, Asesor WSA Arkadiusz Koziarski, Protokolant starszy specjalista Bogumiła Kobierska po rozpoznaniu na rozprawie w dniu 11 kwietnia 2024 r. sprawy ze skargi P. J. na decyzję Prezesa Urzędu Ochrony Danych Osobowych z dnia [...] maja 2023 r. nr [...] w przedmiocie przetwarzania danych osobowych oddala skargę.
Uzasadnienie
Przedmiotem skargi P. J. (dalej: "Skarżący") jest decyzja Prezesa Urzędu Ochrony Danych Osobowych (dalej: "Prezes UODO", "organ") z dnia [...] maja 2023 r. nr [...], mocą której organ - na podstawie art. 58 ust. 2 lit. c w związku z art. 15 ust. 1 lit. c oraz art. 58 ust. 2 w związku z art. 6 ust. 1 lit. f i art. 28 ust. 3 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz. Urz. UE L 119 z dnia 4 maja 2016, s. 1, Dz. Urz. UE L 127 z dnia 23 maja 2018 r., s. 2 oraz Dz. Urz. UE L 74 z dnia 4 marca 2021 r., s. 35), dalej: "RODO", nakazał [...] Bank [...] z siedzibą w [...] (dalej: "Bank", "uczestnik postepowania") spełnienie wobec Skarżącego obowiązku wynikającego z art. 15 ust. 1 lit. c RODO poprzez udzielenie odpowiedzi w związku z żądaniem zawartym we wniosku z dnia [...] maja 2020 r. wskazania konkretnych instytucji wraz z ich adresami, w tym organów władzy publicznej, podmiotów wykonujących zadania publiczne lub działających na zlecenie organów, w zakresie i celach wynikających z przepisów prawa, którym jego dane osobowe zostały ujawnione (punkt 1); w pozostałym zakresie odmówił uwzględnienia wniosku (punkt 2).
Z akt sprawy wynika, że do Prezesa UODO wpłynęła skarga P. J. z dnia [...] lipca 2020 r. na nieprawidłowości w procesie przetwarzania jego danych osobowych przez [...] Bank [...] z siedzibą w [...] polegające na niewykonaniu obowiązku informacyjnego z art. 15 RODO oraz udostępnieniu danych osobowych na rzecz: [...] prowadzącej działalność gospodarczą pod nazwą [...] Kancelaria Radcy Prawnego z siedzibą w [...], [...] sp.k. z siedzibą w [...], [...] sp. k. z siedzibą w [...], [...] - Radcowie Prawni i Adwokaci sp. p. z siedzibą w [...] - bez podstawy prawnej.
Skarżący wskazał, że w dniu [...] maja 2020 r. zwrócił się do Banku o przekazanie mu pełnej listy przetwarzanych przez Bank jego danych osobowych wraz ze wskazaniem celu ich przetwarzania oraz listy podmiotów, którym jego dane zostały przekazane wraz ze wskazaniem celu, podstawy ich przetwarzania oraz zakresu przekazanych danych. Skarżący stwierdził, że dostarczony mu wykaz odbiorców danych osobowych jest niekompletny i nierzetelny. Wskazał, że Bank podał jako miejsce jego urodzenia - [...], podczas gdy z rozmowy telefonicznej przeprowadzonej w dniu [...] lipca 2020 r. z konsultantem Centrum Obsługi Klienta Banku wynika, że zapisane w systemie miejsce urodzenia to [...] (dane prawidłowe).
Skarżący zarzucił Bankowi, że w sporządzonym przez Bank wykazie odbiorców danych osobowych z dnia [...] czerwca 2020 r. brak jest Kancelarii [...], [...] Kancelaria adwokacko - radcowska Sp. p. Ponadto w grupie podmiotów wspierających Bank w procesach biznesowych i czynnościach bankowych, którym udostępniono jego dane osobowe, są: [...] Kancelaria Radcy Prawnego, [...], [...] sp.k. oraz [...] sp. p., które to podmioty nie są zaangażowane w procesy biznesowe związane z czynnościami bankowymi, a ponadto nie są też ujawnione na stronach internetowych Banku jako przedsiębiorcy, o których mowa w art. 6a ust 1 i 7 ustawy z dnia 29 sierpnia 1997 r. Prawo bankowe (Dz. U. z 2022 r., poz. 2324), którzy wykonują na rzecz Banku czynności wynikające ze świadczenia usług bankowych. W związku z powyższym Skarżący wniósł o nakazanie Bankowi przekazania mu żądanych informacji, sprawdzenie prawidłowości wywiązania się przez Bank z obowiązków w tym rzetelności, kompletności i wiarygodności przekazywanych przez Bank informacji o przetwarzanych danych osobowych, a ponadto o stwierdzenie bezzasadności, na wskazanej w piśmie Banku podstawie prawnej, przekazania jego danych osobowych ww. podmiotom.
Bank wskazał, że Skarżący dwukrotnie kierował do Banku wniosek o udostępnienie informacji na podstawie art. 15 RODO, tj. w dniu [...] sierpnia 2019 r. oraz [...] maja 2019 r. Bank udzielił odpowiedzi odpowiednio w dniu [...] września 2019 r. oraz w dniu [...] czerwca 2020 r. wskazując odbiorców danych.
We wniosku z dnia [...] maja 2020 r. (otrzymanym przez Bank w dniu [...] maja 2020 r.), Skarżący przedstawił swoje żądanie dostępu do danych w formie tabeli. Zażądał od Banku wskazania kategorii przetwarzanych danych osobowych wraz z podaniem ich konkretnego brzmienia; wskazania wszystkich produktów i usług, w związku z którymi jego dane są przetwarzane, a ponadto wskazania konkretnych instytucji wraz z ich adresami i zakresem danych im przekazanych, biur informacji gospodarczej, banków oraz odbiorców będących podmiotami wspierającymi Bank w procesach biznesowych i czynnościach bankowych.
Bank w piśmie z dnia [...] czerwca 2020 r. wskazał Skarżącemu m.in.:
- "Kategorie przetwarzanych danych osobowych" (konkretne dane): dane osobowe: płeć, imię, nazwisko, imiona rodziców, obywatelstwo, miejscowość urodzenia, kraj urodzenia, PESEL (odpowiednio: [...]),
- "Odbiorcy danych osobowych": organy władzy publicznej, podmioty wykonujące zadania publiczne lub działające na zlecenie organów, w zakresie i celach wynikających z następujących przepisów prawa: ustawa Prawo Bankowe; ustawa z dnia 1 marca 2018 r. o przeciwdziałaniu praniu pieniędzy oraz finansowaniu terroryzmu; ustawa z dnia 5 sierpnia 2015 r. o rozpatrywaniu reklamacji przez podmioty rynku finansowego i o Rzeczniku Finansowym; podmioty wykonujące zadania określone przepisami prawa w związku z wykonywaniem czynności bankowych oraz nabywaniem lub zbywaniem wierzytelności: Biuro Informacji Kredytowej S.A., inne Banki, których dane adresowe zawarte zostały na stronie Komisji Nadzoru Finansowego, podmioty uczestniczące w procesach niezbędnych do wykonania umów, w tym: [...] S.A., [...], [...] Polska S.A.,
- podmioty wspierające Bank w procesach biznesowych i czynnościach bankowych, w tym podmioty przetwarzające dane osobowe na rzecz Banku: [...] Poland S.A., [...] Sp. z o.o., [...] Polska Sp. z o.o./ [...] Polska [...] Sp. z o.o., [...] sp. j., [...] Kancelaria Radcy Prawnego, [...] sp. k., [...] sp. k., [...] sp. p., [...].
Bank zaznaczył, że w art. 15 RODO nie została wskazana konieczność udzielania informacji o zakresie danych przekazywanych odbiorcom danych, wobec czego nie ma podstaw do udzielenia informacji na zapytanie Skarżącego w tej części. Bank wskazał ponadto, że przetwarza dane Skarżącego w różnych celach w związku z produktami i usługami świadczonymi na jego rzecz.
W piśmie z dnia [...] września 2020 r. Bank wyjaśnił, że wymienione kancelarie prawne świadczą na jego rzecz pomoc prawną. Kancelaria Radcy Prawnego [...] świadczy obsługę w zakresie danych osobowych, natomiast kancelarie: [...] sp.k., [...] sp.k oraz [...] - Radcowie Prawni i Adwokaci sp. p. reprezentują Bank w sprawach sądowych zainicjowanych przez skarżącego.
Bank wskazał również, że na rzecz [...] z Kancelarii Radcy Prawnego [...] przekazał dane osobowe Skarżącego w dniu [...] maja 2020 r. oraz w dniu [...] sierpnia 2019 r. na podstawie art. 104 ust. 2 pkt. 3 Prawa bankowego w związku z art. 6 ust. 1 lit. f RODO w zakresie imienia i nazwiska oraz danych adresowych w celu konsultacji wniosków o dostęp do danych złożonych przez Skarżącego. Na rzecz [...] sp.k. Bank udostępnił dane osobowe Skarżącego w dniu [...] marca 2018 r. na podstawie art. 104 ust. 2 pkt 3 Prawa bankowego w związku z art. 6 ust. 1 lit. f RODO w zakresie danych związanych z zatrudnieniem (zawartych w aktach osobowych) i danych związanych z ubezpieczeniem społecznym. Ten sam zakres danych i na tej samej podstawie prawnej został udostępniony przez Bank w dniu [...] sierpnia 2019 r. na rzecz [...] - Radcowie Prawni i Adwokaci sp. p. oraz w dniu [...] kwietnia 2010 r. na rzecz [...] sp.k.
Bank wyjaśnił, że w dniu [...] czerwca 2019 r. zawarł z [...] Kancelaria Radcy Prawnego, umowę o świadczenie usług polegających m.in. na świadczeniu konsultacji, nadzoru procedur dotyczących przetwarzania danych osobowych zgodnych z RODO i stałym doradztwie prawym związanym z przetwarzaniem danych osobowych, w tym nadzorowaniu procesów dotyczących realizowania uprawnień osób, których dane są przetwarzane oraz nadzorowaniu realizowania obowiązku informacyjnego przez Bank. Wraz z powyższą umową strony zawarły umowę powierzenia przetwarzania danych osobowych. Z podmiotem [...] - radcowie prawni i adwokaci sp. p. Bank zawarł umowę doradztwa prawnego w dniu [...] sierpnia 2019 r. W dniu [...] kwietnia 2010 r. Bank zawarł umowę o świadczenie usług prawniczych z [...] Kancelarią Prawa Pracy. Ponadto w dniu [...] marca 2018 r. Bank zawarł umowę o świadczenie usług prawnych z [...] sp.k.
W wyjaśnieniach z dnia [...] września 2022 r. Bank wskazał, że Kancelaria [...] Kancelaria adwokacko - radcowska Sp. p. z siedzibą w [...] świadczy na rzecz Banku usługi doradztwa prawnego na podstawie umowy zawartej w dniu [...] stycznia 2017 r. Podmiot ten nie został wskazany w wykazie przekazanym Skarżącemu w dniu [...] czerwca 2020 r. w sekcji "odbiorcy danych osobowych", ponieważ "[...] nie zostały powierzone jakiekolwiek dane osobowe (w tym P. J.) związane z realizacją czynności bankowych przez Bank. Kancelaria [...] nie była również zaangażowana w żadne postępowania sądowe, w których stroną był Bank i P. J., w przeciwieństwie do wskazanych w wykazie pozostałych kancelarii prawnych. Natomiast w ramach łączącej Bank z Kancelarią umowy przekazano Kancelarii kopię prywatnego aktu oskarżenia wniesionego przez P. J. przeciwko pracownikowi i członkowi zarządu Banku. W dniu [...] lipca 2018 r. Skarżący wniósł bowiem prywatny akt oskarżenia przeciwko członkowi zarządu Banku - (...). W sprawie tej (...) reprezentowała kancelaria [...]. Bank zaangażował Kancelarię do obsługi prawnej tego postępowania, gdyż zarzuty aktu oskarżenia miały związek z pełnieniem funkcji przez (...) w strukturach Banku, jednak wszystkie kwestie procesowe były konsultowane bezpośrednio przez (...) z [...]. Pełnomocnictwa Kancelarii do działania w charakterze pełnomocnika udzieliła (...), Bank nie był stroną ww. postępowania karnego. Postanowieniem z dnia [...] lutego 2019 r. sąd umorzył postępowanie zainicjowane prywatnym aktem oskarżenia P. J.. Postanowienie o umorzeniu zostało utrzymane w mocy przez Sąd Okręgowy w [...] [...] Wydział [...] (postanowienie z dnia [...] kwietnia 2019 r. na skutek zażalenia P. J.). W związku ze świadczeniem pomocy prawnej w ww. sprawie Kancelaria uzyskała dostęp do danych Skarżącego zawartych w aktach sądowych. Kancelaria jest odrębnym administratorem tych danych osobowych (...), dane te nie zostały sensu stricto przekazane przez Bank".
W piśmie z dnia [...] sierpnia 2020 r. [...] sp. k. wskazał, iż na podstawie art. 5b ustawy z dnia 6 lipca 1982 r. o radcach prawnych (Dz. U. 2020 r., poz. 75 ze zm.), dalej: "u.r.p.", oraz art. 16b ustawy prawo o adwokaturze (Dz. U. 2019 r., poz. 1513 ze zm.), dalej: "u.p.a.", nie może udzielić odpowiedzi w żądanym przez organ zakresie z uwagi na związanie tajemnicą zawodową - radcowską i adwokacką, która obejmuje zarówno fakt świadczenia pomocy prawnej dla konkretnego Klienta, jak i jej szczegóły, którymi są: źródło pochodzenia danych osobowych przetwarzanych w ramach świadczenia pomocy prawnej, moment rozpoczęcia przetwarzania danych osobowych oraz ich dokładny zakres.
Kancelaria [...] sp.k. w piśmie z dnia [...] sierpnia 2020 r. wskazała, że na podstawie art. 3 ust. 3 u.r.p. radca prawny jest obowiązany zachować w tajemnicy wszystko, o czym dowiedział się w związku z udzieleniem pomocy prawnej. Analogiczna regulacja znajduje się w art. 6 ust. 1 u.p.a. - adwokat obowiązany jest zachować w tajemnicy wszystko, o czym dowiedział się w związku z udzielaniem pomocy prawnej. Zgodnie z art. 5b u.p.a. i art. 16b u.r.p. obowiązek zachowania tajemnicy adwokackiej i radcowskiej nie ustaje, jeżeli z żądaniem ujawnienia informacji uzyskanych w związku z udzielaniem pomocy prawnej zwróci się do adwokata lub radcy prawnego Prezes UODO. Dodatkowo Kancelaria [...] sp.k. wyjaśniła, że jest stroną pozwaną przez Skarżącego w toczącym się postępowaniu sądowym i w związku z powyższym zakres przetwarzania danych osobowych Skarżącego obejmuje jego imię i nazwisko, adres zamieszkania oraz PESEL.
[...] - Radcowie Prawni i Adwokaci sp. p. w piśmie z dnia [...] września 2020 r. wyjaśniła, że na podstawie art. 3 ust. 3 w związku z art. 16b u.r.p. oraz 6 ust. 1 w związku z art. 5b u.p.a., dane osobowe Skarżącego są objęte tajemnicą adwokacką i radcowską.
[...] prowadząca działalność gospodarczą pod firmą [...] Kancelaria Radcy Prawnego w piśmie z dnia [...] września 2020 r. wskazała, że Bank udostępnił jej dane Skarżącego w dniu [...] sierpnia 2019 r. i [...] maja 2020 r. na podstawie umowy powierzenia przetwarzania danych osobowych oraz na podstawie art. 104 ust. 2 pkt 3 Prawa bankowego. Dodatkowo wskazała, że nie może podać zakresu udostępnionych danych, gdyż zgodnie z art. 3 ust. 3 i 4 u.r.p. radca prawny jest obowiązany zachować w tajemnicy wszystko, o czym dowiedział się w związku z udzieleniem pomocy prawnej. Obowiązek zachowania tajemnicy zawodowej nie może być ograniczony w czasie. Ponadto zgodnie z art. 5b ww. ustawy obowiązek zachowania tajemnicy, o której mowa w art. 3 ust. 4-6, nie ustaje, w przypadku gdy z żądaniem ujawnienia informacji uzyskanych przez radcę prawnego w związku z udzielaniem pomocy prawnej występuje Prezes UODO.
W wyjaśnieniach z dnia [...] października 2022 r. Bank wskazał, że przetwarza dane osobowe Skarżącego, w tym m.in. dane osobowe: płeć, imię, nazwisko, imiona rodziców, obywatelstwo, miejscowość urodzenia, kraj urodzenia, PESEL (odpowiednio: [...]).
Nadto Bank wskazał, że przekazał dane osobowe Skarżącego: organom władzy publicznej, podmiotom wykonującym zadania publiczne lub działającym na zlecenie organów, w zakresie i celach wynikających z: ustawy Prawo Bankowe, ustawy z dnia 1 marca 2018 r. o przeciwdziałaniu praniu pieniędzy oraz finansowaniu terroryzmu; ustawy z dnia 5 sierpnia 2015 r. o rozpatrywaniu reklamacji przez podmioty rynku finansowego i o Rzeczniku Finansowym; podmiotom wykonującym zadania określone przepisami prawa w związku z wykonywaniem czynności bankowych oraz nabywaniem lub zbywaniem wierzytelności: BIK S.A., innym Bankom, których dane adresowe zawarte zostały na stronie Komisji Nadzoru Finansowego; podmiotom uczestniczącym w procesach niezbędnych do wykonania zawartych z Panem umów, w tym: [...] S.A., [...]; [...] Polska S.A.; podmiotom wspierającym Bank w procesach biznesowych i czynnościach bankowych, w tym podmiotom przetwarzającym dane osobowe na rzecz Banku: [...] Poland S.A., [...] Sp. z o.o., [...] Polska Sp. z o.o. / [...] Polska [...] Sp. z o.o.; [...] sp. j., [...], Kancelaria Radcy Prawnego, [...] sp. k., [...] sp. k., [...] sp. p., [...].
W piśmie z dnia [...] stycznia 2023 r. Skarżący wskazał, że skierował do Rzecznika Finansowego żądanie dostępu do danych osobowych. W odpowiedzi Rzecznik Finansowy stwierdził, że dane Skarżącego nie były przekazywane przez Bank. Skarżący zwrócił uwagę, że przekazana mu informacja stoi w sprzeczności z wyjaśnieniami Banku z dnia [...] września 2022 r., w których to Rzecznik Finansowy został wskazany jako podmiot, któremu Bank przekazał dane osobowe Skarżącego.
W piśmie z dnia [...] stycznia 2023 r. Bank odnosząc się do powyższych twierdzeń wyjaśnił, że w piśmie z dnia [...] czerwca 2020 r. nie wskazywał Rzecznika Finansowego jako odbiorcy danych osobowych Skarżącego, a jedynie wymienił potencjalnych odbiorców danych osobowych Skarżącego wskazując na organy władzy publicznej, podmioty wykonujące zadania publiczne w zakresie i celach wynikających z przepisów prawa, m.in. z ustawy o rozpatrywaniu reklamacji przez podmioty rynku finansowego i o Rzeczniku Finansowym. Jednocześnie Bank wyjaśnił, że w piśmie z dnia [...] września 2022 r. skierowanym do Prezesa UODO, Rzecznik Finansowy został omyłkowo podany jako odbiorca danych osobowych Skarżącego.
Uwzględniając powyższe Prezes UODO wskazał, że prawo dostępu do danych osobowych jest podstawowym prawem osoby, której dane dotyczą i pełni kluczową funkcję w procesie przetwarzania danych. Pozwala osobie zainteresowanej kontrolować, w jaki sposób wykorzystywane są jej dane osobowe, co koresponduje z zasadą przejrzystości, o której mowa w art. 5 ust. 1 lit. a RODO. Poinformowanie o okolicznościach przetwarzania danych osobowych zmniejsza niepewność podmiotu danych co do tego, w jaki sposób konkretny administrator dysponuje jej sferą informacyjną, w jakim stopniu jest ona jemu znana, jakiemu celowi służy korzystanie z zasobu informacji dotyczących danej osoby, jak przetwarzanie może się kształtować w pewnej perspektywie czasowej, czy też jakie uprawnienia dla takiej osoby wiążą się z tym, że podmiot przetwarza jej dane osobowe.
Odnosząc się do zarzutów Skarżącego dotyczących nieprawidłowego spełnienia przez Bank obowiązku z art. 15 ust. 1 RODO organ podzielił argumentację Banku wskazując, że administrator - realizując obowiązek zapewnienia dostępu do danych osobom, których dane dotyczą - zobowiązany jest wyłącznie do udzielenia tych informacji dotyczących procesu przetwarzania, które wynikają z treści ww. przepisu. Przekazanie innych informacji wymagane jest wyłącznie, gdy jest to niezbędne do zapewnienia rzetelności i przejrzystości przetwarzania. Ma to miejsce w szczególności wówczas, gdy administrator udzielił informacji, których przekazania nie wymagają od niego przepisy RODO, ale uczynił to w sposób niepełny lub w inny sposób nieprawidłowy. W sprawie niniejszej taka sytuacja nie miała miejsca. Bank udzielił odpowiedzi Skarżącemu zgodnie z jego wnioskiem, biorąc pod uwagę zakres informacji, których przekazanie było niezbędne, stosownie do wymogów z art. 15 ust. 1 RODO. Nadto Bank wyjaśnił Skarżącemu, z jakiego powodu nie udzielił mu informacji o tym, jakie konkretnie dane zostały ujawnione poszczególnym odbiorcom danych. Brak jest zatem podstaw do uznania, że Bank naruszył art. 15 ust. 1 RODO w ww. zakresie.
Odnosząc się do zarzutu Skarżącego dotyczącego nieprzekazania mu przez Bank kompletnego wykazu odbiorców danych osobowych, Prezes UODO wskazał, że Skarżący w swoim wniosku domagał się wyłącznie informacji o odbiorcach, którym Bank faktycznie ujawnił jego dane osobowe, nie zaś informacji o odbiorcach, którym dane te dopiero mogą zostać ujawnione. Tymczasem Bank w udzielonej Skarżącemu odpowiedzi wskazał m.in., iż odbiorcami danych osobowych Skarżącego są organy władzy publicznej, podmioty wykonujące zadania publiczne lub działające na zlecenie organów, w zakresie i celach wynikających m.in z ustawy z dnia 5 sierpnia 2015 r. o rozpatrywaniu reklamacji przez podmioty rynku finansowego i o Rzeczniku Finansowym. Przekazana przez Bank informacja mogła wprowadzić Skarżącego w błąd, a w konsekwencji Skarżący mógł uznać, że Rzecznik Finansowy - będący organem działającym na podstawie ustawy o rozpatrywaniu reklamacji przez podmioty rynku finansowego i o Rzeczniku Finansowym - przetwarza jego dane osobowe jako ich odbiorca.
Uwzględniając powyższe Prezes UODO, korzystając z uprawnienia przysługującego mu na podstawie art. 58 ust. 2 lit. c RODO, nakazał Bankowi spełnienie obowiązku informacyjnego, wynikającego z art. 15 ust. 1 lit. c RODO poprzez udzielenie odpowiedzi w związku z żądaniem Skarżącego zawartym we wniosku z dnia [...] maja 2020 r. wskazania konkretnych instytucji wraz z ich adresami, w tym organów władzy publicznej, podmiotów wykonujących zadania publiczne lub działających na zlecenie organów, w zakresie i celach wynikających z przepisów prawa, którym jego dane osobowe zostały ujawnione. Skarżący powinien otrzymać przejrzystą informację, jakim podmiotom Bank ujawnił jego dane osobowe. Jednocześnie organ - nie dostrzegając nieprawidłowości w procesie przetwarzania danych osobowych Skarżącego polegających na nieprzekazaniu informacji o zakresie danych przekazywanych poszczególnym odbiorcom danych Skarżącego - odmówił uwzględnienia wniosku Skarżącego i nie skorzystał z uprawnień przewidzianych w art. 58 ust. 2 RODO w tym zakresie.
Organ nie znalazł również podstaw do uwzględnienia skargi w pozostałej części. Odnosząc się do kwestii nieuwzględnienia Kancelarii [...] Kancelaria adwokacko - radcowska Sp. p. w wykazie odbiorców danych dostarczonym Skarżącemu przez Bank, organ wskazał na sposób sformułowania i treść wniosku Skarżącego, który żądał spełnienia obowiązku informacyjnego w związku z konkretnymi produktami i usługami (m.in. żądał przekazania wykazu odbiorców danych zastrzegając, że żądanie dotyczy podmiotów wspierających Bank w procesach biznesowych oraz czynnościach bankowych). W związku z tym organ stwierdził, że skoro Kancelaria [...] (...) nie spełniała kryteriów określonych przez Skarżącego we wniosku o dostęp do danych, Bank nie był zobowiązany do wskazania tego podmiotu jako odbiorcy, któremu przekazał dane Skarżącego w odpowiedzi na jego wniosek.
Odnośnie zarzutu skargi, iż Bank w wykazie zawierającym kopię danych Skarżącego podlegających przetwarzaniu podał błędną nazwę miejsca urodzenia - [...], zamiast prawidłowej nazwy miejscowości - [...] organ wskazał, że w toku postępowania wystąpił do Banku o wskazanie treści danych osobowych Skarżącego podlegających przetwarzaniu. Na podstawie udzielonych wyjaśnień organ ustalił, że przetwarzana przez Bank nazwa miejsca urodzenia Skarżącego to [...]. Bank przekazał zatem Skarżącemu kopię danych osobowych w brzmieniu, jakie faktycznie przetwarza. Nie można tym samym zarzucić Bankowi braku rzetelności przy realizacji żądania Skarżącego.
Organ podkreślił, że przedmiotem oceny Prezesa UODO w niniejszym postępowaniu była realizacja przez Bank obowiązku w związku z żądaniem Skarżącego dostępu do danych, zatem organ - będąc związanym zakresem żądania - mógł rozstrzygać wyłącznie w tym zakresie. Organ zaznaczył jednocześnie, że w przypadku gdy Skarżący stwierdzi, że Bank przetwarza nieprawidłowe dane osobowe dotyczące Skarżącego, to przysługuje mu prawo żądania od Banku sprostowania jego danych osobowych.
Odnośnie legalności udostępnienia przez Bank danych osobowych Skarżącego na rzecz [...] prowadzącej działalność gospodarczą pod nazwą [...] Kancelaria Radcy Prawnego organ wskazał, że pomiędzy ww. podmiotami doszło do zawarcia w dniu [...] czerwca 2019 r. umowy powierzenia przetwarzania danych na podstawie art. 104 ust. 2 pkt 3 Prawa bankowego. Podał również, że powyższe nastąpiło w celu wsparcia prawnego Banku w zakresie ochrony danych osobowych.
W związku z tym organ stwierdził, że w relacji powierzenia przetwarzania danych osobowych administrator ustala cele i sposoby przetwarzania, a procesor przetwarza dane w imieniu i na rzecz administratora, w ramach obranych przez niego celów, sposobami, o których ten pierwszy zdecydował (choćby na najbardziej ogólnym poziomie, co przejawiać się może właśnie w decyzji o skorzystaniu z outsourcingu), w ramach podstaw prawnych przetwarzania wynikających odpowiednio z art. 6 oraz z art. 9 RODO, bowiem podmiot przetwarzający nie ustala ich we własnym zakresie. Istotne jest więc, czyje cele są realizowane, na czyją rzecz przetwarzanie się odbywa oraz stopień samodzielności w odniesieniu do danych osobowych tego, kto je przetwarza. Przedmiotem powierzenia może być dokonywanie każdej operacji przetwarzania, o której mowa w art. 4 pkt 2 RODO, bądź zespołu takich operacji, na podstawie umowy lub innego instrumentu prawnego - jak przewidziano to w art. 28 ust. 3 RODO. Jeśli zatem przedmiotem świadczenia na rzecz zlecającego są takie czynności, jak: zbieranie, utrwalanie, organizowanie, porządkowanie, przechowywanie, adaptowanie lub modyfikowanie, pobieranie, przeglądanie, wykorzystywanie, ujawnianie poprzez przesłanie, rozpowszechnianie lub innego rodzaju udostępnianie, dopasowywanie lub łączenie, ograniczanie, usuwanie lub niszczenie, należy wnosić, że mamy do czynienia ze stosunkiem powierzenia, w którym zewnętrzny podmiot wykonujący te czynności dla administratora jest podmiotem przetwarzającym. Żeby być uznanym za podmiot przetwarzający, nie jest konieczne, by przetwarzanie dotyczyło czynności powtarzalnych, stałych lub okresowych. Wystarczy powierzenie choćby czynności jednorazowej i jednorodnej (M. Sakowska-Baryła (red.), Ogólne rozporządzenie o ochronie danych osobowych. Komentarz, Warszawa 2018 r.).
Organ powołał również art. 28 ust. 3 RODO, który - jak zauważył - wskazuje niezbędne elementy jakie powinna zawierać prawidłowo sporządzona umowa powierzenia. Umowa z dnia [...] czerwca 2019 r. zawarta pomiędzy Bankiem i ww. Przedsiębiorcą zawiera te elementy. Określa m.in. przedmiot umowy, obowiązki podmiotu przetwarzającego, reguluje również kwestie podpowierzenia, audytu, zgłaszania naruszeń oraz czas trwania umowy i zasady odpowiedzialności stron.
Organ zaznaczył również, że do powierzenia przetwarzania danych osobowych przez administratora innemu podmiotowi zgoda osoby, której dane dotyczą nie jest wymagana.
Uwzględniając powyższe organ stwierdził, że powierzenie przetwarzania danych osobowych Skarżącego przez Bank na rzecz ww. Przedsiębiorcy nastąpiło w sposób legalny, na podstawie prawidłowo zawartej umowy powierzenia przetwarzania, spełniającej wymogi określone w art. 28 ust. 3 RODO.
Prezes UODO zauważył, iż niezależnie od zawartej z Przedsiębiorcą umowy powierzenia, Bank przekazał dane osobowe na rzecz Przedsiębiorcy (radcy prawnego) w oparciu o art. 104 ust. 2 pkt 3 Prawa bankowego również w celu świadczenia przez tego przedsiębiorcę pomocy prawnej na rzecz Banku. Cel jakim jest świadczenie usług pomocy prawnej wykracza poza zawartą pomiędzy Bankiem i Przedsiębiorcą umowę powierzenia. W zakresie świadczenia na rzecz Banku pomocy prawnej przez Przedsiębiorcę będącego radcą prawnym znajdują bowiem zastosowanie przepisy ustawy o radcach prawnych oraz Kodeks Etyki Radcy Prawnego. Regulacje te nakładają na Przedsiębiorcę szereg obowiązków związanych z wykonywaniem zawodu radcy prawnego.
Organ powołał przepisy art. 4, art. 2, art. 6 ust. 1, art. 13 i art. 14 u.r.p. podkreślając, że świadczenie pomocy prawnej w ramach działalności zawodowej przez radcę prawnego ma charakter samodzielny i niezależny. Wskazał, że zgodnie z art. 3 u.r.p. radca prawny jest obowiązany zachować w tajemnicy wszystko, o czym dowiedział się w związku z udzieleniem pomocy prawnej (ust. 3), zaś obowiązek ten nie może być ograniczony w czasie (ust. 4). Ponadto radca prawny nie może być zwolniony z obowiązku zachowania tajemnicy zawodowej co do faktów, o których dowiedział się udzielając pomocy prawnej lub prowadząc sprawę (ust. 5). Organ powołał również postanowienia Kodeksu etyki radcy prawnego (uchwała Nadzwyczajnego Krajowego Zjazdu Radców Prawnych nr 3/2014 z dnia 22 listopada 2014 r.) podkreślając, że tajemnica zawodowa radcy prawnego obejmuje wszelkie tworzone przez radcę prawnego dokumenty oraz korespondencję radcy prawnego z klientem i osobami uczestniczącymi w prowadzeniu sprawy - powstałe dla celów związanych ze świadczeniem pomocy prawnej, a także informacje ujawnione radcy prawnemu przed podjęciem przez niego czynności zawodowych, jeżeli z okoliczności sprawy wynika, że ujawnienie nastąpiło dla potrzeb świadczenia pomocy prawnej i uzasadnione było oczekiwaniem, że radca prawny będzie ją świadczył (art. 15 ust. 2 i 3 Kodeksu).
Organ zauważył również, że nowelizacją u.r.p. wprowadzono przepisy dotyczące ograniczeń w zakresie ochrony danych osobowych ze względu na tajemnicę zawodową. Przepisy te (rozdział 1a u.r.p.) nie przesądzają wprawdzie wprost o roli radcy prawnego w procesie przetwarzania danych osobowych, jednakże odnoszą się do obowiązków nałożonych przez RODO na administratora, nie zaś na podmiot przetwarzający. Dotyczą ponadto ograniczenia stosowania niektórych przepisów RODO w związku z udzieleniem pomocy prawnej w zakresie ochrony danych osobowych z uwagi na ww. tajemnicę zawodową. Przepisy te wskazują jednoznacznie okresy przechowywania i usunięcia danych osobowych przetwarzanych przez radców prawnych, co przesądza o tym, iż nie mogą oni podlegać poleceniom innych podmiotów co do terminu usunięcia danych osobowych. Nałożenie na radców prawnych obowiązku przechowywania danych osobowych przez wskazany w ww. przepisach u.r.p. określony czas uzasadnione jest m.in. dotyczącym ich obowiązkiem unikania konfliktu interesów, co implikuje konieczność przechowywania danych osobowych celem możliwości weryfikacji w przyszłości, czy taki konflikt zaistniał, a także obowiązkiem prawidłowego przeprowadzania postępowań dyscyplinarnych. Ponadto art. 5b u.r.p. wskazuje wprost na to, że obowiązek zachowania przez radców prawnych tajemnicy zawodowej nie ustaje w przypadku skierowania do ww. osób przez Prezesa UODO żądania ujawnienia informacji uzyskanych w związku z udzielaniem pomocy prawnej.
Z powyższego wynika, zdaniem organu, że radca prawny pełni co do zasady rolę odrębnego administratora w przypadku przetwarzania danych osobowych przekazanych przez klienta w celu świadczenia pomocy prawnej. Podstawą prawną przetwarzania danych osobowych przez radców prawnych jest art. 6 ust. 1 lit. c RODO w związku z art. 4 u.r.p. Należy zatem uznać, że w realiach niniejszej sprawy [...] prowadząca działalność gospodarczą pod nazwą [...] Kancelaria Radcy Prawnego, w zakresie wykraczającym poza zawartą z Bankiem umowę powierzenia przetwarzania, tj. w zakresie świadczenia na rzecz Banku pomocy prawnej, jest odrębnym administratorem danych osobowych Skarżącego.
Organ podkreślił, że ww. Przedsiębiorca otrzymał tym samym dane osobowe Skarżącego działając jako podmiot przetwarzający, na podstawie umowy powierzenia przetwarzania danych, zawartej zgodnie z art. 28 ust. 3 RODO. Ponadto Bank udostępnił dane osobowe Skarżącego Przedsiębiorcy w celu umożliwienia mu świadczenia na rzecz Banku pomocy prawnej, do czego Bank był uprawniony zgodnie z art. 104 ust. 2 pkt 3 Prawa bankowego. Powyższe udostępnienie nastąpiło w oparciu o art. 6 ust. 1 lit. f RODO - w celu realizacji prawnie uzasadnionego interesu prawnego jakim było uzyskanie pomocy prawnej.
Organ stwierdził również, że nieuzasadniony jest zarzut bezprawnego udostępnienia przez Bank danych osobowych Skarżącego na rzecz [...] sp.k., [...] sp. K., [...] - Radcowie Prawni i Adwokaci sp. p.
Bank zawarł z podmiotem [...] - radcowie prawni i adwokacji sp. p. umowę doradztwa prawnego w dniu [...] sierpnia 2019 r., z [...] Kancelarią Prawa Pracy - umowę o świadczenie usług prawniczych w dniu [...] kwietnia 2010 r., z [...] sp.k. - umowę o świadczenie usług prawnych w dniu [...] marca 2018 r.
Bank wyjaśnił, że na rzecz [...] sp.k. Bank udostępnił dane osobowe Skarżącego w dniu [...] marca 2018 r. na podstawie art. 104 ust. 2 pkt. 3 Prawa bankowego w związku z art. 6 ust. 1 lit. f RODO w zakresie danych związanych z zatrudnieniem (zawartych w aktach osobowych) i danych związanych z ubezpieczeniem społecznym. Ten sam zakres danych, na tej samej podstawie prawnej, udostępniony został przez Bank w dniu [...] sierpnia 2019 r. na rzecz [...] - Radcowie Prawni i Adwokaci sp. p. oraz w dniu [...] kwietnia 2010 r. na rzecz [...] sp.k.
Zdaniem organu, do przekazania danych osobowych na rzecz radców prawnych w związku ze świadczeniem przez te podmioty na rzecz Banku pomocy prawnej znajdują zastosowanie ww. przepisy ustawy o radach prawnych oraz Kodeks Etyki Radcy Prawnego. Natomiast w zakresie przekazania danych adwokatom znajdują zastosowanie przepisy ustawy Prawo o adwokaturze (art. 4 ust. 1, art. 6 u.p.a.) oraz Kodeksu Etyki Adwokackiej (§ 19 ust. 1 - 3).
Organ zauważył przy tym, że nowelizacją u.p.a. (analogicznie jak w przypadku u.r.p.) wprowadzono przepisy dotyczące ograniczeń w zakresie ochrony danych osobowych ze względu na tajemnicę zawodową. Podkreślił, że przepisy te (dział 1a u.p.a.) nie przesądzają wprawdzie wprost o roli adwokata w procesie przetwarzania danych osobowych, jednakże odnoszą się do obowiązków nałożonych przez RODO na administratora, nie zaś na podmiot przetwarzający.
Nie stwierdzając nieprawidłowości w procesie przetwarzania danych osobowych Skarżącego polegającym na przekazaniu przez Bank jego danych osobowych na rzecz Przedsiębiorcy oraz ww. Kancelarii, organ odmówił uwzględnienia wniosku Skarżącego i nie skorzystał z uprawnień przewidzianych w art. 58 ust. 2 RODO. Zaznaczył, że proces przekazania danych osobowych Skarżącego na rzecz Kancelarii był procesem legalnym, znajdującym oparcie w przesłance z art. 6 ust. 1 lit. f RODO. Organ odmówił ponadto uwzględnienia wniosku w zakresie podniesionych przez Skarżącego nieprawidłowości polegających na wskazaniu w wykazie zawierającym kopię jego danych podlegających przetwarzaniu, błędnej nazwy miejsca urodzenia.
Pismem z dnia [...] czerwca 2023 r. P. J. wniósł skargę do Wojewódzkiego Sądu Administracyjnego w Warszawie zaskarżając powyższą decyzję Prezesa UODO z dnia [...] maja 2023 r. w zakresie punktu 2, zarzucając naruszenie:
- art. 6 k.p.a. poprzez niestosowanie obowiązujących przepisów prawa,
- art. 7 k.p.a. poprzez naruszenie zasady praworządności,
- art. 8 § 1 k.p.a. poprzez naruszenie zasady dokładnego ustalenia stanu faktycznego, naruszenie zasady obiektywności,
- art. 12 § 1 k.p.a. poprzez naruszenie zasady wnikliwości,
- art. 77 § 1 k.p.a. poprzez naruszenie obowiązku wyczerpującego zebrania dowodów i rozpatrzenia całego materiału dowodowego,
- art. 80 k.p.a. poprzez przekroczenie granic swobody oceny dowodów poprzez oparcie się o niekompletny materiał dowodowy,
- art. 34 ust. 2 ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych (Dz. U. z 2019 r. poz. 1781), dalej: "u.o.d.o.", poprzez uchybienie obowiązkowi sprawowania nadzoru nad prawidłowym stosowaniem przepisów prawa unijnego w zakresie danych osobowych,
- art. 5 RODO poprzez pominięcie przepisów o konieczności rzetelności przetwarzania danych osobowych,
- art. 6 ust 1 lit. f RODO poprzez niewłaściwe zastosowanie przepisu,
- art. 15 RODO oraz Motywu 63 RODO, które to przepisy formułują zasadę umożliwienia każdej osobie fizycznej zweryfikowania zgodności przetwarzania jej danych z prawem.
W związku z powyższymi zarzutami Skarżący wniósł o uchylenie punktu 2 zaskarżonej decyzji oraz zasądzenie kosztów postępowania, w tym kosztów zastępstwa procesowego, o ile takowe zostanie ustanowione.
W motywach skargi Skarżący podniósł, że organ rozpatrywał skargę m.in. w zakresie udostępnienia jego danych osobowych firmom [...] Kancelaria Radcy Prawnego, [...], [...], [...] sp.k. - bez podstawy prawnej. Wskazywany przez Bank art. 104 ust. 2 pkt 3 Prawa bankowego reguluje kwestię ujawniania tajemnicy bankowej. Tymczasem firma Zawirska (...) świadczy usługi w zakresie prawa pracy (art. 2 umowy). Świadczenie usług prawnych w zakresie prawa pracy nie wymaga dostępu do tajemnicy bankowej, a sprawy w zakresie prawa pracy nie znajdują się w katalogu spraw, w których adwokat/radca prawny może wykorzystywać informacje objęte tajemnicą bankową (art. 104 ust. 2 pkt 1 i 2 oraz 4-6 Prawa bankowego). W wykazie danych przetwarzanych przez firmę [...] (...) brak jest danych objętych tajemnicą bankową. Firmy [...] (...), [...] (...) świadczą również pomoc prawną w zakresie prawa pracy, a zatem art. 104 ust. 2 pkt 3 Prawa bankowego nie może być podstawą przekazania danych osobowych. Z kolei firma [...] nie świadczy pomocy prawnej dla Banku w sprawie, w której Skarżący jest/był stroną. W związku z tym przekazywanie jej danych osobowych Skarżącego jest bezprawne. Fakt finansowania obrony członka zarządu nie daje uprawnień do przetwarzania przez Bank danych osobowych Skarżącego z tego tytułu.
Skarżący poniósł, że podawane przez Bank miejsce urodzenia Skarżącego jest nieprawdziwe, a równocześnie w rożnych kanałach komunikacji Bank podaje w tym zakresie rożne informacje. W toku postępowania organ nie zapoznał się z treścią rozmowy telefonicznej z pracownikiem Centrum Obsługi Klienta Banku przywołanej we wniosku do organu oraz z trybem pozyskiwania tego typu danych przez Bank. Nie ustalił też jakie było źródło pozyskania danych osobowych i jakie dane osobowe zostały przez Bank pozyskane. Zdaniem Skarżącego, w rzetelnie prowadzonym postępowaniu organ powinien zwrócić się do Banku o kopię nagrania ww. rozmowy telefonicznej oraz kopię formularza podpisywanego przez klienta Banku. Działania organu ograniczyły się do bezkrytycznego przyjęcia oświadczenia Banku. Odmowa uwzględnienia wniosku Skarżącego w tym zakresie z uwagi na jego uprawnienie do wystąpienia do administratora o korektę przetwarzanych danych jest bezprawna.
Skarżący zarzucił, że organ błędnie (zawężająco) zinterpretował art. 15 ust .1a RODO. Przetwarzanie danych to także ich przekazywanie (art. 4 pkt 2 RODO). Każda osoba osobowa fizyczna ma prawo do wiedzy na temat celu przetwarzania jej danych osobowych w tym także do informacji o celu przekazania. Aby ocenić zasadność przekazywania danych osobowych niezbędna jest informacja o zakresie przekazanych danych. Bez tego nie można mówić o prawie do weryfikacji zgodności przetwarzania z prawem. Motyw 63 RODO wskazuje na konieczność zapewnienia możliwości weryfikacji przetwarzania z prawem danych osobowych osoby. Której dane dotyczą oraz wskazuje na prawo do wiedzy i informacji. Zgodnie z motywem 10 i 11 RODO prawo europejskie służy zapewnieniu wysokiego stopnia ochrony danych osobowych. Zaskarżona decyzja celu tego nie realizuje.
Skarżący poniósł nadto, że ujawniona w trakcie postępowania umowa między Bankiem a Kancelarią radcy prawnego [...] wskazuje, że Bank przetwarza wizerunek osobowy klientów Banków. Bank nie poinformował Skarżącego o możliwości przetwarzania jego wizerunku osobowego. Nie przeprowadził żadnego postępowania w kierunku ustalenia sposobu zbierania tego typu danych i celu ich przetwarzania.
Analiza umowy z ww. Kancelarią wskazuje, że dane osobowe są przekazywane m.in. w celu konsultacji, nadzoru i aktualizacji procedur przetwarzania danych osobowych, przygotowywania szkoleń dla pracowników, opiniowania umów w zakresie zgodności z przepisami o ochronie danych osobowych. Realizacja tych celów nie wymaga udostępniania danych osobowych. Umowa powierzenia przetwarzania danych może być warunkiem koniecznym, ale na pewno nie jest warunkiem wystarczającym do przetwarzania danych w określonym celu. Konieczne jest zatem przeprowadzenie analizy prawidłowości tej umowy w świetle przepisów m.in. RODO, której organ jednak nie dokonał.
Skarżący zarzucił, że organ nie dokonał oceny przekazywania przez Bank nieprawdziwych informacji dotyczących m.in. przekazania danych osobowych Skarżącego Rzecznikowi Finansowemu. Wskazał, że informacja Banku o przekazaniu danych była niewątpliwie nieprawdziwa i podana intencjonalnie, bądź też w jakichś rejestrach Banku istniał zapis z przekazaniu takich danych. W pierwszym przypadku (intencjonalne działanie) brak adekwatnej reakcji organu budzi zastrzeżenia co do obiektywności i wnikliwości, a także co do wywiązywania się z obowiązku nadzoru nad przestrzeganiem przepisów o ochronie danych osobowych. W drugim przypadku (błędne zapisy w rejestrach) doszło do naruszenia przetwarzania danych osobowych, co powinno znaleźć odzwierciedlenie w zaskarżonej decyzji.
Skarżący podkreślił, że postępowanie zakończone zaskarżoną decyzją trwało trzy lata. Wojewódzki Sąd Administracyjny w Warszawie w wyroku z dnia 12 kwietnia 2023 r (sygn. II SAB/Wa 688/22) stwierdził rażące naruszenie prawa w związku z przewlekłym postępowaniem i nakazał podjęcie decyzji w ciągu jednego miesiąca. Zaskarżona decyzja narusza jednak w istotny sposób prawo Skarżącego do ochrony danych osobowych i kontroli prawidłowości ich przetwarzania.
W odpowiedzi na skargę organ wniósł o oddalenie skargi podtrzymując argumentację zawartą w zaskarżonej decyzji.
W piśmie procesowym z dnia [...] marca 2024 r. Skarżący podtrzymał zarzuty i wnioski skargi. Ponownie podniósł, że w kwestii przetwarzanej przez Bank informacji o jego miejscu urodzenia działania organu ograniczyły się do wystąpienia do Banku o udzielenie wyjaśnień. Organ nie zapytał wprost jakie informacje o miejscu urodzenia Bank otrzymał w związku z otwarciem rachunku bankowego, ani też nie zwrócił się o przesłanie nagrania rozmowy telefonicznej z Centrum Obsługi Klienta. Organ nie poczynił wystarczających ustaleń faktycznych w ww. zakresie, co stanowi podstawę do uchylenia zaskarżonej decyzji.
Odnośnie przekazania danych osobowych Skarżącego firmie [...] Skarżący podniósł, że Bank nie jest uprawniony do przetwarzania danych osobowych oskarżycieli w sprawach, w których sam nie jest stroną. Organ nie wskazał żadnej konkretnej podstawy prawnej przetwarzania przez Bank danych osobowych w tym zakresie.
W kwestii przekazania danych osobowych pozostałym, wymienionym w skardze do organu Kancelariom, Skarżący podkreślił, że kwestionuje art. 104 ust. 2 pkt 3 Prawa bankowego jako podstawę przekazania danych. Zaznaczył, że wszystkie Kancelarie są zaangażowane wyłącznie w spory na gruncie prawa pracy. Spory pracownicze nie mają żadnego związku z realizacją umowy o czynności bankowe, nie są wymienione w żadnym z punktów art. 104 i 105 ww. ustawy stanowiących zamknięty katalog wykorzystywania i udostępniania tajemnicy bankowej. Bank nie mógł przekazać Kancelariom informacji objętych tajemnicą bankową w celach innych, niż wskazane w ww. przepisie. Kancelaria otrzymawszy dane na podstawie art. 104 ust. 2 pkt 3 ww. ustawy może je wykorzystywać wyłącznie w celach określonych w art. 104 ust. 2 pkt 1, 2 oraz 4 - 6, co wynika jednoznacznie z art. 104 ust. 6 Prawa bankowego.
Odnośnie umowy powierzenia przetwarzania danych zawartej z Kancelarią radcy prawnego [...] Skarżący wskazał, że zawarte w umowie cele przetwarzania ("przygotowanie szkoleń") przekraczają wskazane powyżej granice wykorzystywania informacji objętych tajemnicą bankową. Organ nie wskazał przepisów prawa upoważniających do wykorzystywania danych osobowych klientów banku w celach szkoleniowych.
Skarżący ponownie podniósł, że organ nie wyjaśnił kwestii przekazania jego danych Rzecznikowi Finansowemu. Błędne wpisanie danych Skarżącego do rejestru spraw u Rzecznika Finansowego stanowi naruszenie zasady rzetelności przetwarzania danych, zaś zaskarżona decyzja sprowadza problem do zagadnienia spełnienia obowiązku informacyjnego, co jest nieprawidłowe.
W piśmie procesowym z dnia [...] kwietnia 2024 r. Bank ustosunkował się do twierdzeń i wniosków zawartych w skardze wnosząc o oddalenie skargi.
Podkreślił, że art. 104 ust. 2 pkt 3 Prawa bankowego nie powinien być oceniany w kontekście podstawy prawnej przetwarzania danych osobowych w oderwaniu od przepisów RODO, ponieważ nie stanowi samodzielnej przesłanki przetwarzania danych. Przepis ten określa wyjątki od obowiązku zachowania w tajemnicy wszystkich informacji dotyczących czynności bankowych. Dopuszcza zatem możliwość przekazania informacji objętych tajemnicą bankową na rzecz adwokatów lub radców prawnych w związku ze świadczoną pomocą prawną. Organ zatem słusznie poprzestał na zbadaniu istnienia umów o obsługę prawną, które łączą Bank z kancelariami prawnymi, ponieważ to wykonywanie konkretnych postanowień umowy będzie co do zasady źródłem prawnie usprawiedliwionego interesu administratora, tj. przesłanki zezwalającej - zgodnie z art. 6 ust 1 lit. f RODO - na przetwarzanie danych osobowych niezbędnych do prawidłowego świadczenia pomocy prawnej. Przyjęcie zawartej w skardze argumentacji, zgodnie z którą poszczególne obszary wsparcia prawnego nie uzasadniają przekazywania danych osobowych i naruszają tajemnicę bankową, doprowadziłoby do nieuzasadnionej ingerencji w prawo dostępu do profesjonalnej pomocy prawnej.
Wojewódzki Sąd Administracyjny w Warszawie zważył, co następuje:
Zgodnie z art. 1 § 1 i § 2 ustawy z dnia 25 lipca 2002 r. - Prawo o ustroju sądów administracyjnych (Dz. U. z 2022 r., poz. 2492) oraz art. 3 § 1 ustawy z dnia 30 sierpnia 2002 r. Prawo o postępowaniu przed sądami administracyjnymi (Dz. U. z 2023 r., poz. 1634 ze zm.), dalej: "p.p.s.a.", sądy administracyjne sprawują wymiar sprawiedliwości przez kontrolę działalności administracji publicznej. Kontrola ta polega na ocenie zgodności zaskarżonego aktu z przepisami postępowania administracyjnego, a także prawidłowości zastosowania i wykładni norm prawa materialnego. Kontrola ta jest dokonywana według stanu faktycznego i prawnego obowiązującego w dacie wydania zaskarżonego aktu.
W myśl art. 134 § 1 p.p.s.a. sąd rozstrzyga w granicach danej sprawy nie będąc związany zarzutami i wnioskami skargi oraz powołaną podstawą prawną, z zastrzeżeniem art. 57a.
Rozpatrując skargę wedle powyższych kryteriów Sąd uznał, że nie zasługuje ona na uwzględnienie, gdyż zaskarżona w zakresie punktu 2 decyzja Prezesa UODO z dnia [...] maja 2023 r. o odmowie uwzględnienia wniosku P. J. na nieprawidłowości w procesie przetwarzania jego danych osobowych przez Bank - nie narusza prawa.
Wskazać należy, że wobec treści skargi z dnia [...] lipca 2020 r. obowiązkiem organu ochrony danych osobowych była ocena podniesionych w niej zarzutów dotyczących wadliwości doręczonego przez Bank (w ramach wypełnienia względem Skarżącego obowiązku informacyjnego, o którym mowa w art. 15 RODO) wykazu odbiorców danych osobowych Skarżącego oraz innych naruszeń ochrony jego danych osobowych przez Bank.
W ocenie Sądu, odmawiając uwzględnienia skargi P. J. w zakresie objętym punktem 2 zaskarżonej decyzji, Prezes UODO nie naruszył obowiązujących przepisów. Wbrew zarzutom Skarżącego prawidłowo przyjął, iż zgromadzony w sprawie materiał dowodowy wykazał, że nie doszło do naruszenia ochrony danych osobowych Skarżącego w zakresie objętym skargą inicjującą postępowanie administracyjne.
Sąd nie stwierdził, aby Prezes UODO dopuścił się - mogącego mieć istotny wpływ na wynik sprawy - naruszenia przepisów postępowania administracyjnego, w szczególności art. 7, art. 8 § 1, art. 12 § 1, art. 77 § 1, art. 80 k.p.a., a także art. 107 § 3 k.p.a. w związku z art. 7 ust. 1 u.o.d.o. Organ ustalił bowiem wszystkie niezbędne okoliczności faktyczne, dokonał właściwej oceny zebranego w sprawie materiału dowodowego w świetle przepisów prawa materialnego, zaś dokonana ocena nie ma charakteru dowolnego. Zarzuty skargi dotyczące zebrania przez organ materiału dowodowego w sposób niepełny, fragmentaryczny, a także dokonania błędnej wykładni przepisów ochrony danych osobowych, co miałoby prowadzić do wydania wadliwej decyzji, nie mogły więc odnieść zamierzonego skutku.
Organ zapewnił stronom postępowania czynny udział w każdym stadium postępowania poprzedzającego wydanie zaskarżonej decyzji, zgodnie z art. 10 § 1 k.p.a. Skarżący miał możliwość wypowiedzenia się co do zebranych dowodów i materiałów oraz zgłoszenia żądań, co też czynił w toku postępowania.
Ponadto uzasadnienie zaskarżonej decyzji zostało sporządzone prawidłowo, zgodnie z wymogami określonymi w art. 107 § 3 k.p.a. Organ wyjaśnił bowiem w sposób dostatecznie jasny i przekonujący motywy podjętego rozstrzygnięcia, zaś przytoczona w tym zakresie argumentacja jest wyczerpująca i w sposób adekwatny odnosi się do stanowiska Skarżącego.
W skardze z dnia [...] lipca 2020 r. Skarżący domagał się od organu stwierdzenia bezzasadności, na wskazanej przez Bank podstawie prawnej, przekazania jego danych osobowych firmom: [...] Kancelaria Rady Prawnego, [...] sp.k., [...] sp. k., [...] - Radcowie Prawni i Adwokaci sp. p.
Prezes UODO w toku przeprowadzonego postępowania administracyjnego ustalił, że [...] (...) otrzymała dane osobowe Skarżącego jako podmiot przetwarzający, na podstawie umowy powierzenia przetwarzania danych osobowych z dnia [...] czerwca 2019 r. zawartej pomiędzy ww. Przedsiębiorcą a Bankiem (k. 71 akt admin.), zgodnie z art. 28 ust. 3 RODO. Przepis ten stanowi, że administrator ma prawo powierzyć przetwarzanie danych osobowych podmiotowi przetwarzającemu na podstawie umowy lub innego instrumentu prawnego, które określają przedmiot i czas trwania przetwarzania, charakter i cel przetwarzania, rodzaj danych osobowych oraz kategorie osób, których dane dotyczą, obowiązki i prawa administratora. Przepis ten wskazuje niezbędne elementy, które powinna zawierać prawidłowo sporządzona umowa powierzenia. Powyższa umowa, jak trafnie wskazał organ, spełnia wszystkie elementy określone w ww. przepisie. Jako podstawę prawną zawarcia tejże umowy Bank wskazał art. 104 ust. 2 pkt 3 Prawa bankowego, zgodnie z którym banki mogą udzielać informacji objętych tajemnicą bankową adwokatom lub radcom prawnym w związku ze świadczeniem przez nich pomocy prawnej na rzecz banku.
Jednocześnie organ prawidłowo ustalił, że Bank udostępnił dane osobowe Skarżącego ww. Przedsiębiorcy w celu umożliwienia mu świadczenia pomocy prawnej na rzecz Banku (umowa o świadczenie usług z dnia [...] czerwca 2019 r. - k. 68 akt admin.). Analogicznie Bank udostępnił dane Skarżącego pozostałym ww. Kancelariom, tj. [...] sp.k., [...] sp. k., [...] - Radcowie Prawni i Adwokaci sp. p. (odpowiednio: umowa oświadczenie usług prawnych z dnia [...] marca 2018 r. - 79 akt admin.; umowa o świadczenie usług prawniczych z dnia [...] kwietnia 2010 r. - k. 77 akt admin.; umowa doradztwa prawnego z dnia [...] sierpnia 2019 r. - k. 74 akt admin.).
Uwzględniając powyższe organ prawidłowo przyjął, że po stronie Banku istniał prawnie uzasadniony interes w rozumieniu art. 6 ust. 1 lit. f RODO (przetwarzanie jest niezbędne do celów wynikających z prawnie uzasadnionych interesów realizowanych przez administratora lub przez stronę trzecią, z wyjątkiem sytuacji, w których nadrzędny charakter wobec tych interesów mają interesy lub podstawowe prawa i wolności osoby, której dane dotyczą, wymagające ochrony danych osobowych, w szczególności gdy osoba, której dane dotyczą, jest dzieckiem), polegający na możliwości uzyskania przez Bank wsparcia prawnego - od Przedsiębiorcy w zakresie ochrony danych osobowych oraz w związku z zawarciem ww. umowy powierzenia przetwarzania danych osobowych, a także - od ww. Kancelarii w celu realizacji obsługi prawnej i świadczenia pomocy prawnej na rzecz Banku.
Wymienione powyżej umowy o świadczenie usług prawniczych (umowa doradztwa prawnego) na podstawie art. 104 ust. 2 pkt 3 Prawa bankowego, pozwalały Bankowi udzielać informacji objętych tajemnicą bankową adwokatom lub radcom prawnym w związku ze świadczeniem przez nich pomocy prawnej na rzecz Banku. Ponadto Bank posiadał prawnie uzasadniony interes (art. 6 ust. 1 lit. f RODO), polegający na korzystaniu ze wsparcia prawnego profesjonalnego podmiotu w zakresie ochrony danych osobowych. Z kolei świadczenie pomocy prawnej przez ww. podmioty na rzecz Banku ma oparcie w przepisach ustawy z dnia 26 maja 1982 r. Prawo o adwokaturze, ustawy z dnia 6 lipca 1982 r. o radcach prawnych oraz Kodeksie Etyki Adwokackiej i Kodeksie Etyki Radcy Prawnego, które to regulacje nakładają na Kancelarię szereg obowiązków związanych z wykonywaniem zawodu radcy prawnego oraz zawodu adwokata.
W świetle powyższego nieuzasadniony jest zarzut skargi, że udostępnienie przez Bank danych osobowych Skarżącego na rzecz ww. Kancelarii miało miejsce bez podstawy prawnej. Podstawę tę stanowił art. 104 ust. 2 pkt 3 Prawa bankowego w związku z art. 6 ust. 1 lit. f RODO.
Nie ma też racji Skarżący twierdząc, że ze względu na przedmiot specjalizacji Kancelarii (prawo pracy) przywołanie przez organ ww. przepisu Prawa bankowego jest błędne, ponieważ: "świadczenie usług prawnych w zakresie prawa pracy nie wymaga dostępu do tajemnicy bankowej (...) więc (...) art. 104 ust. 2 pkt 3 prawa bankowego nie może być podstawą przekazania danych osobowych". Sąd podziela w tym względzie stanowisko uczestnika postępowania zawarte w piśmie z dnia [...] kwietnia 2024 r., że art. 104 ust. 2 pkt 3 Prawa bankowego nie powinien być oceniany w kontekście podstawy prawnej przetwarzania danych osobowych w oderwaniu od przepisów RODO, ponieważ nie stanowi samodzielnej przesłanki przetwarzania danych. Przepis ten określa wyjątki od obowiązku zachowania w tajemnicy wszystkich informacji dotyczących czynności bankowych dopuszczając możliwość przekazania informacji objętych tajemnicą bankową na rzecz adwokatów lub radców prawnych w związku ze świadczoną pomocą prawną. Natomiast katalog podstaw prawnych uprawniających administratora danych do wykorzystywania danych osobowych tzw. zwykłych został określony w art. 6 ust. 1 RODO. Prawidłowo zatem organ poprzestał na zbadaniu istnienia umów o obsługę prawną, które łączą Bank z kancelariami prawnymi, ponieważ to wykonywanie konkretnych postanowień umowy będzie co do zasady źródłem prawnie usprawiedliwionego interesu administratora, tj. przesłanki zezwalającej zgodnie z art. 6 ust 1 lit. f RODO na przetwarzanie danych osobowych niezbędnych do prawidłowego świadczenia pomocy prawnej.
Nie można też zgodzić się ze Skarżącym, że zakres świadczonych usług prawnych lub specjalizacja kancelarii determinuje możliwość dostępu do danych osobowych chronionych tajemnicą bankową. W szczególności nie można zaakceptować stanowiska, że "przekazywanie kancelariom prawnym danych osobowych na podstawie art. 104 ust. 2 pkt 3 Prawa bankowego w celach nieobjętych przepisami art. 104 ust. 2 pkt 1, 2 oraz 4 - 6 ww. ustawy nie ma żadnego sensu prawnego ani społecznego, bowiem adwokat/radca prawny nie może ich w innych celach wykorzystywać", co zdaniem Skarżącego wynika z art. 104 ust. 6 ww. ustawy.
W tym względzie wskazać należy, że art. 104 ust. 2 pkt 3 Prawa bankowego dopuszcza przekazanie przez bank informacji niezbędnych do świadczenia pomocy prawnej przez profesjonalnego pełnomocnika. Zgodność z tą normą zostanie zatem zachowana przez cały czas wykonywania zadań w ramach pomocy prawnej i niezależnie od jej rodzaju, przy czym tak adwokaci jak i radcowie prawni mogą wykorzystywać przekazane przez bank informacje wyłącznie w celu świadczenia przez nich pomocy prawnej (art. 104 ust. 6 w związku z ust. 5 ustawy). Przez "pomoc prawną" należy rozumieć: "(...) specjalistyczną usługę świadczoną w celu ochrony prawnie chronionych interesów danego podmiotu (osoby fizycznej, podmiotu gospodarczego, jednostki organizacyjnej (...). Realizowanie tego celu polega na zapewnieniu jednostkom dostępu do profesjonalnych usług (por. J. Parafianowicz [w:] Prawo o adwokaturze. Komentarz, red. P. F. Piesiewicz, Warszawa 2023, art. 1). Zakres i przedmiot pomocy prawnej może być definiowany wyłącznie przez dwie strony: zainteresowany podmiot i adwokata lub radcę prawnego. Tym samym Prezes UODO prawidłowo stwierdził, że przyjęcie stanowiska Skarżącego, zgodnie z którym poszczególne obszary wsparcia prawnego nie uzasadniają przekazywania danych osobowych i naruszają tajemnicę bankową, doprowadziłoby do nieuzasadnionej ingerencji w prawo dostępu banku do profesjonalnej pomocy prawnej.
Uwzględniając powyższe Sąd stwierdza, że w świetle zebranego w sprawie materiału dowodowego prawidłowe są ustalenia Prezesa UODO, że po stronie Banku istniał prawnie uzasadniony interes w rozumieniu art. 6 ust. 1 lit. f RODO, polegający na możliwości uzyskania przez Bank wsparcia prawnego od ww. Kancelarii w ramach zawartych umów o świadczenie usług prawnych. Przetwarzanie danych osobowych Skarżącego przez ww. Kancelarie miało natomiast oparcie w przepisie art. 6 ust. 1 lit. c RODO w związku z art. 4 u.r.p. oraz w związku z art. 4 u.p.a., gdyż Kancelaria jest obowiązana do świadczenia pomocy prawnej na rzecz Banku, który jest jej klientem.
Wydając zaskarżoną decyzję (punkt 2) organ wskazał, że powodem nieuwzględnienia Kancelarii [...] Kancelaria adwokacko - radcowska Sp. p. w wykazie odbiorców danych dostarczonym Skarżącemu przez Bank, jest sposób sformułowania i treść wniosku Skarżącego. Mianowicie, Skarżący zażądał przekazania wykazu odbiorców jego danych zastrzegając, że żądanie dotyczy podmiotów wspierających Bank w procesach biznesowych oraz czynnościach bankowych (k. 6 i 10 akt admin.). Trafnie w związku z tym organ stwierdził, że skoro ww. Kancelaria nie spełniała kryteriów określonych we wniosku o dostęp do danych, Bank nie był zobowiązany do wskazania jej jako odbiorcy danych.
W związku z powyższym zarzut skargi, że przekazywanie ww. Kancelarii danych Skarżącego jest bezprawne - nie może odnieść zamierzonego skutku. Wniosek Skarżącego inicjujący postępowanie przed organem nie obejmował żądania zbadania prawidłowości procesu udostępniania jego danych osobowych przez Bank na rzecz Kancelarii [...] (...). W związku z powyższym organ nie badał kwestii legalności przetwarzania danych Skarżącego w tym zakresie.
Skarżący podnosił w skardze zarzut naruszenia art. 5 pkt 1 lit. a RODO (zasada rzetelności przetwarzania danych), wskazując że wykaz danych osobowych przetwarzanych przez Bank jest nierzetelny, bowiem jako miejsce urodzenia Skarżącego błędnie podano [...]. Organ przeprowadził w tym względzie postępowanie wyjaśniające, w wyniku czego uzyskał od Banku informację o treści danych przetwarzanych (k. 154 akt admin.) oraz treści danych przekazanych Skarżącemu w ramach realizacji prawa dostępu do danych (k. 93 akt admin.). Na tej podstawie organ ustalił, że treść ta jest tożsama. Skoro zatem Bank konsekwentnie w toku postępowania administracyjnego wykazywał tożsamość danych przetwarzanych i danych przekazanych Skarżącemu, to organ miał podstawy do przyjęcia, że informacje przekazane Skarżącemu w wykazie danych są prawidłowe, tj. że Bank udzielił Skarżącemu prawidłowej informacji o jego danych podlegających przetwarzaniu. Nie można w związku z tym zarzucić organowi, że nie podjął dodatkowych czynności procesowych w tym zakresie, tj. nie zapoznał się z rozmową telefoniczną przeprowadzoną przez Skarżącego z pracownikiem Centrum Obsługi Klienta Banku, czy też że nie pozyskał kopii formularza podpisanego przez Skarżącego - klienta Banku, w celu weryfikacji informacji przekazanych przez Bank w zakresie miejsca urodzenia Skarżącego. W ocenie Sądu organ podjął adekwatne czynności w toku postępowania administracyjnego prawidłowo wskazując w uzasadnieniu zaskarżonej decyzji na uprawnienie Skarżącego do wystąpienia o sprostowanie danych osobowych w ww. zakresie (art. 16 RODO) i jednocześnie trafnie podnosząc, że zakres wniosku z dnia [...] lipca 2020 r. nie obejmował żądania sprostowania danych.
Powyższej oceny nie zmienia fakt, że na rozprawie w dniu [...] kwietnia 2024 r. Skarżący okazał dowód osobisty na okoliczność wykazania, że podawane przez Bank miejsce urodzenia Skarżącego nie jest prawidłowe. Aktualne bowiem pozostaje w tym zakresie stanowisko organu o prawie Skarżącego do wystąpienia z żądaniem sprostowania danych, które to żądanie wykracza poza zakres skargi inicjującej przedmiotowe postępowanie administracyjne. Z tych względów zarzuty skargi dotyczące naruszenia przez organ art. 5 pkt 1 lit. a RODO oraz art. 34 ust. 2 u.o.d.o. poprzez uchybienie obowiązkowi sprawowania nadzoru nad prawidłowym stosowaniem przepisów ochrony danych osobowych - nie mogły odnieść oczekiwanego skutku.
Zgodnie z art. 15 ust. 1 RODO osoba, której dane dotyczą, jest uprawniona do uzyskania od administratora potwierdzenia, czy przetwarzane są dane osobowe jej dotyczące, a jeżeli ma to miejsce, jest uprawniona do uzyskania dostępu do nich oraz następujących informacji: a) cele przetwarzania; b) kategorie odnośnych danych osobowych; c) informacje o odbiorcach lub kategoriach odbiorców, którym dane osobowe zostały lub zostaną ujawnione, w szczególności o odbiorcach w państwach trzecich lub organizacjach międzynarodowych; d) w miarę możliwości planowany okres przechowywania danych osobowych, a gdy nie jest to możliwe, kryteria ustalania tego okresu; e) informacje o prawie do żądania od administratora sprostowania, usunięcia lub ograniczenia przetwarzania danych osobowych dotyczącego osoby, której dane dotyczą, oraz do wniesienia sprzeciwu wobec takiego przetwarzania; f) informacje o prawie wniesienia skargi do organu nadzorczego; g) jeżeli dane osobowe nie zostały zebrane od osoby, której dane dotyczą - wszelkie dostępne informacje o ich źródle; h) informacje o zautomatyzowanym podejmowaniu decyzji, w tym o profilowaniu, o którym mowa w art. 22 ust. 1 i 4, oraz - przynajmniej w tych przypadkach - istotne informacje o zasadach ich podejmowania, a także o znaczeniu i przewidywanych konsekwencjach takiego przetwarzania dla osoby, której dane dotyczą. Jeżeli dane osobowe są przekazywane do państwa trzeciego lub organizacji międzynarodowej, osoba, której dane dotyczą, ma prawo zostać poinformowana o odpowiednich zabezpieczeniach, o których mowa w art. 46, związanych z przekazaniem (ust. 2).
Z powyższego przepisu w sposób jednoznaczny wynika jaki zakres informacji administrator zobowiązany jest przekazać na żądanie osoby, której dane dotyczą. Brak jest jednocześnie podstaw do uznania, że ww. ściśle określony zasób informacji podlega wykładni rozszerzającej w związku z roszczeniem informacyjnym podmiotu danych. Z tych względów organ prawidłowo uznał, że żądanie Skarżącego dotyczące przekazania przez Bank informacji o zakresie informacji przekazanych odbiorcom danych nie mieści się w katalogu ujętym w art. 15 ust. 1 RODO i odmówił uwzględnienia wniosku w tym zakresie. Zarzuty skargi dotyczące naruszenia art. 15 ust. 1 lit. a, art. 4 ust. 2 RODO oraz motywu 10 i 11 RODO nie są trafne. Cele przetwarzania danych, o których mowa w art. 15 ust. 1 lit. a RODO, nie są tożsame z zakresem przekazanych danych. Brak jest zatem podstaw do przyjęcia, że zaskarżona decyzja godzi w prawa Skarżącego do ochrony jego danych osobowych.
Na ocenę prawidłowości zaskarżonej decyzji nie wpływa również twierdzenie Skarżącego, że "ujawniona w trakcie postępowania umowa między Bankiem a Kancelarią Radca Prawny [...] wskazuje, że Bank przetwarza wizerunek osobowy klientów Banków", a "Bank nie poinformował Skarżącego o możliwości przetwarzania jego wizerunku osobowego". Z materiału dowodowego zgromadzonego w sprawie, w tym z wyjaśnień Banku udzielonych w odpowiedzi na wezwanie organu z dnia [...] października 2022 r. (k. 145 akt admin.) nie wynika, aby Bank przetwarzał dane osobowe Skarżącego w zakresie jego wizerunku. Organ nie miał zatem podstaw aby prowadzić postępowanie wyjaśniające w zakresie hipotetycznych procesów przetwarzania danych osobowych, bowiem postępowanie takie nosiłoby cechę bezprzedmiotowości w rozumieniu art. 105 § 1 k.p.a. w związku z art. 7 u.o.d.o.
Jak już wyżej wskazano, w skardze z dnia 10 lipca 2020 r. Skarżący domagał się stwierdzenia przez organ bezzasadności, na wskazanej przez Bank podstawie prawnej, przekazania danych osobowych m.in. Kancelarii Radcy Prawnego [...]. Organ prawidłowo odmówił uwzględnienia wniosku Skarżącego w powyższym zakresie wyjaśniając, iż ww. podmiot przetwarza dane osobowe Skarżącego m.in. w związku z zawarciem przez Bank umowy powierzenia przetwarzania danych osobowych (art 6 ust. 1 lit. f RODO). Trafnie przy tym organ stwierdził, że ww. umowa spełnia wszystkie elementy określone w art. 28 ust. 3 RODO, podkreślając, że do powierzenia przetwarzania danych osobowych przez administratora innemu podmiotowi zgoda osoby, której dane dotyczą, nie jest wymagana. Skarżący kwestionuje w skardze cele wykorzystywania danych osobowych (powołując się w szczególności na przeprowadzanie szkoleń dla pracowników) wymienione w pkt 2 załącznika nr 1 do ww. umowy (k. 73 akt admin.) nie dostrzegając jednak, że w załączniku tym, obok "klientów Banku", wymienione są również inne kategorie podmiotów danych, tj. "pracownicy Banku", których to ww. cel przetwarzania danych niewątpliwie dotyczy. W związku z powyższym oraz wobec zakresu żądania wniosku, twierdzenia Skarżącego co do konieczności dokonania przez organ oceny prawidłowości zapisów ww. umowy powierzenia przetwarzania nie znajdują uzasadnienia, zaś zarzuty skargi dotyczące zaniechania ustalenia stanu faktycznego w tym zakresie (art. 77 § 1 k.p.a.) oraz naruszenia art. 34 ust. 2 RODO, art. 5 i pominięcia zasady wynikającej z motywu 47 RODO nie mogą odnieść oczekiwanego skutku.
Nie można zgodzić się ze Skarżącym, że organ nie dokonał oceny informacji Banku w zakresie przekazania przez Bank danych osobowych Skarżącego Rzecznikowi Finansowemu. Organ wydał w tym zakresie rozstrzygnięcie (punkt 1 decyzji z dnia [...] maja 2023 r.) nakazując Bankowi spełnienie wobec Skarżącego obowiązku wynikającego z art. 15 ust. 1 lit. c RODO. Organ zatem przyznał rację Skarżącemu stwierdzając, że po stronie Banku doszło do nieprawidłowości wymagających skorzystania z uprawnień naprawczych wymienionych w art. 58 ust. 2 lit. c RODO. Organ podejmując rozstrzygnięcie w ww. zakresie poczynił niezbędne ustalenia faktyczne i dokonał oceny prawnej naruszenia przepisów RODO, co doprowadziło go do uznania, że z uwagi na charakter naruszenia i okoliczności niniejszej sprawy, zastosowanie nakazu wobec Banku jest właściwe i wystarczające do zrealizowania żądania Skarżącego. Decyzja w tej części nie została zaskarżona, a podniesione w skardze oraz w późniejszym piśmie procesowym zarzuty nie podlegały uwzględnieniu. Na marginesie Sąd zauważa, że Bank wykonał nakaz Prezesa UODO zawarty w punkcie 1 decyzji z dnia [...] maja 2023 r., o czym organ został poinformowany pismem z dnia [...] czerwca 2023 r.
Reasumując, kontrola decyzji Prezesa UODO w zaskarżonej części nie dała podstaw do stwierdzenia, że została ona wydana z naruszeniem przepisów postępowania lub naruszeniem prawa materialnego w stopniu mającym wpływ na wynik sprawy. W ocenie Sądu, organ wyjaśnił wszystkie kwestie mające wpływ na rozstrzygnięcie sprawy. Materiał dowodowy zgromadzony w toku postępowania stanowił wystarczającą podstawę do stwierdzenia przez Prezesa UODO, że brak było podstaw do uwzględnienia wniosku i skorzystania z uprawnień przewidzianych w art. 58 ust. 2 RODO. Organ prawidłowo stwierdził, że proces przekazania danych osobowych Skarżącego na rzecz Przedsiębiorcy oraz Kancelarii znajdował oparcie w art. 6 ust. 1 lit. f RODO. Jednocześnie organ trafnie stwierdził, iż podnoszone przez Skarżącego zarzuty dotyczące wadliwej, w jego ocenie, realizacji obowiązków administratora wynikających z art. 15 RODO, nie znajdują potwierdzenia w okolicznościach faktycznych i prawnych niniejszej sprawy.
W tym stanie rzeczy, Wojewódzki Sąd Administracyjny w Warszawie działając na podstawie art. 151 p.p.s.a., orzekł jak w sentencji wyroku.