II SA/Wa 1549/23

II SA/Wa 1549/23 - Wyrok WSA w Warszawie
Data orzeczenia
2024-04-08
orzeczenie nieprawomocne
Data wpływu
2023-08-08
Sąd
Wojewódzki Sąd Administracyjny w Warszawie
Sędziowie
Andrzej Wieczorek
Ewa Marcinkowska /przewodniczący sprawozdawca/
Lucyna Staniszewska
Symbol z opisem
647  Sprawy związane z ochroną danych osobowych
Skarżony organ
Generalny Inspektor Ochrony Danych Osobowych
Treść wyniku
Oddalono skargę
Sentencja
Wojewódzki Sąd Administracyjny w Warszawie w składzie następującym: Przewodniczący Sędzia WSA Ewa Marcinkowska (spr.), Sędzia WSA Andrzej Wieczorek, Asesor WSA Lucyna Staniszewska, Protokolant specjalista Monika Gieroń po rozpoznaniu na rozprawie w dniu 8 kwietnia 2024 r. sprawy ze skargi E. J. na decyzję Prezesa Urzędu Ochrony Danych Osobowych z dnia [...] maja 2023 r. nr [...] w przedmiocie przetwarzania danych osobowych oddala skargę
Uzasadnienie
Prezes Urzędu Ochrony Danych Osobowych (zwany dalej : PUODO, organ) decyzją z dnia [...] maja 2023 r. nr [...], działając na podstawie art. 104 § 1 ustawy z dnia 14 czerwca 1960 r. Kodeks postępowania administracyjnego (Dz. U. z 2023 r., poz. 775, zwana dalej: K.p.a.) w zw. z art. 7 ust. 1 i 2 ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych (Dz. U. z 2019 r. poz. 1781, zwana dalej: u.o.d.o.) oraz art. 58 ust. 2 i art. 6 ust. 1 lit. c, f oraz na podstawie art. 58 ust. 1 lit. c i art. 15 ust. 1 lit. a rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz. Urz. UE L 119 z 4.05.2016, str. 1, Dz. Urz. UE L 127 z 23.05.2018, str. 2 oraz Dz. Urz. UE L 74 z 4.03.2021, str. 35; zwanego dalej: rozporządzeniem 2016/679 lub RODO): w pkt 1 – nakazał [...] Bank Polska S.A. z siedzibą w W. spełnienie wobec E.J. obowiązku wynikającego z art. 15 ust. 1 lit. a rozporządzenia 2016/679 poprzez wskazanie celów przetwarzania danych osobowych skarżącej w zakresie adresu IP jej komputera;
w pkt 2 –w pozostałym zakresie odmówił uwzględnienia wniosku.
W uzasadnieniu podjętej decyzji organ wskazał na następujące ustalenia stanu faktycznego sprawy.
Pismem z [...] maja 2020 r. (data wpływu do organu – [...] maja 2020 r. ) E.J. (zwana dalej: skarżącą), wniosła do Prezesa UODO skargę na nieprawidłowości w procesie przetwarzania jej danych osobowych przez [...] Bank Polska S.A. z siedzibą w W. (zwany dalej: Bankiem) oraz [...] Kancelaria adwokacko-radcowska sp. p. z siedzibą w W. (zwana dalej: Kancelarią), polegające na nieuprawnionym udostępnieniu jej danych osobowych przez Bank na rzecz Kancelarii.
W skardze wniosła o stwierdzenie naruszania przez Bank przepisów o ochronie danych osobowych poprzez nieuprawnione przekazanie jej danych osobowych na rzecz Kancelarii, stwierdzenie naruszania przez Kancelarię przepisów o ochronie danych osobowych poprzez nieuprawnione ich przetwarzanie, nakazanie Bankowi zaprzestania przekazywania jej danych osobowych Kancelarii, nakazanie Kancelarii zaprzestania przetwarzania jej danych osobowych i ich usunięcia, sprawdzenie bezpieczeństwa przetwarzania jej danych osobowych przez Kancelarię.
W kolejnych pismach kierowanych do organu skarżąca wskazała, że ma wątpliwości, co do celu przetwarzania przez Bank jej danych osobowych w zakresie adresu IP. Zarzuciła, że Bank nie udzielił jej wyczerpującej informacji o celach przetwarzania tej danej osobowej i wniosła o ustalenie pełnej listy celów i zakresu używania przez Bank numeru IP jej komputera oraz dokonania oceny prawnej z punktu widzenia ochrony danych osobowych.
Skarżąca wyjaśniła, że [...] lutego 2020 r. zwróciła się do Kancelarii o przekazanie zakresu jej danych osobowych przetwarzanych przez Kancelarię wraz ze wskazaniem celu ich przetwarzania oraz źródła ich pozyskania. W odpowiedzi na powyższe wnioskodawczyni otrzymała informację (pismo z [...] marca 2020 r.), o zakresie przetwarzanych danych osobowych wraz ze wskazaniem treści konkretnych danych, podstawę i cel przetwarzania. Kancelaria wskazała m.in., że przetwarza adres IP komputera skarżącej, co w ocenie skarżącej jest zbędne, gdyż jak wskazała, w sprawach niebędących kwestiami spornymi z klientem Banku nie jest niezbędne przekazywanie firmie prawnej informacji o wszystkich numerach rachunków bankowych, czy adresu IP komputera tak aby można było go powiązać z konkretną osobą. W ocenie skarżącej, z odpowiedzi Kancelarii jednoznacznie wynika, że przetwarzanie IP odbywa się w celu realizacji wsparcia prawnego w zakresie danych osobowych w ramach outsourcingu. Skarżąca zaznaczyła jednocześnie, że w postępowaniu prowadzonym przez Komendę Rejonową Policji [...] w Wydziale [...], Bank udzielił wyjaśnień w przedmiocie przetwarzania danych w zakresie adresu IP jej komputera wskazując, że adres IP uzyskiwany i przetwarzany jest przez Bank w celu wypełnienia obowiązków wynikających z przepisów prawa m.in., ale nie wyłącznie do realizacji komunikacji i usług za pośrednictwem stron internetowych, zapewnienia bezpieczeństwa transakcji, w szczególności zapobiegania nadużyciom, ochrony przed roszczeniami, w celach administracyjnych, w ramach zasilenia systemów antyfraudowych. Zdaniem skarżącej udostępnienie Kancelarii jej pozostałych danych osobowych (takich jak: imię, nazwisko, numer PESEL, adres, numer dowodu osobistego), wykracza poza cel określony w art. 104 ust. 2 pkt 3 ustawy z dnia 29 sierpnia 1997 r. Prawo bankowe. Skarżąca podkreśliła, że nie prowadzi z Bankiem sporów prawnych, ponadto w dniu [...] maja 2019 r. zamknęła posiadany w Banku rachunek. W opinii skarżącej Kancelaria nie występuje jako pełnomocnik Banku, ponieważ odpowiedź na jej wniosek z żądaniem dostępu do danych została udzielona przez Bank, nie zaś przez Kancelarię działającą w charakterze pełnomocnika Banku. Skarżąca podniosła również, że [...] grudnia 2019 r. złożyła do Banku wniosek o przekazanie pełnej i wyczerpującej informacji o przetwarzanych danych osobowych, m. in. zażądała podania przetwarzanego przez Bank numeru IP jej komputera ze wskazaniem celu przetwarzania tej danej. Na wskazany wniosek Bank udzielił odpowiedzi pismem z [...] stycznia 2020 r. Następnie [...] lutego 2020 r. skarżąca zwróciła się do Banku o pełną i wyczerpującą informację o zakresie i celu przekazania danych osobowych m.in. na rzecz Kancelarii. W odpowiedzi na powyższe Bank poinformował skarżącą o zakresie, celu i podstawie prawnej przetwarzania jej danych osobowych m.in. przez Kancelarię. Wskazał w szczególności, że przekazał na rzecz Kancelarii zakres jej danych wskazany w piśmie z [...] stycznia 2020 r. Informując natomiast o celu przekazania danych osobowych na rzecz Kancelarii, Bank wskazał jako podstawę prawną przedmiotowego przekazania art. 104 ust. 2 pkt 3 Prawa bankowego, a jako cel przetwarzania, realizację prawnie uzasadnionych interesów Banku.
Na wezwanie organu Bank wyjaśnił, że pozyskał dane osobowe skarżącej [...] listopada 2006 r. w związku z zawarciem umowy o prowadzenie rachunku bankowego (konto wspólne o numerze [...] oraz konto oszczędnościowe o numerze [...]). Bank oraz Kancelaria w złożonych wyjaśnieniach wskazały, że udostępnienie danych osobowych skarżącej przez Bank na rzecz Kancelarii nastąpiło na podstawie art. 104 ust. 2 pkt 3 Prawa bankowego oraz na podstawie art. 6 ust. 1 lit. f RODO w celu realizacji obsługi prawnej i świadczenia pomocy prawnej wobec Banku. Realizacja wsparcia prawnego przez Kancelarię miała podstawę wynikającą z umowy o świadczenie usług prawnych z [...] stycznia 2017 r., zawartej pomiędzy Bankiem i Kancelarią.
Bank wyjaśnił ponadto, że [...] grudnia 2019 r. skarżąca skierowała do Banku wniosek w zakresie udzielenia informacji o kategoriach i zakresie przetwarzanych danych osobowych zgodnie z art. 15 RODO. Wniosek ten zawierał żądanie przekazania informacji o danych przetwarzanych przez Bank, a dotyczących: danych osobowych obejmujących płeć, imię, nazwisko, imiona rodziców, obywatelstwo, miejscowość urodzenia, kraj urodzenia, numer PESEL; dokument tożsamości, w tym rodzaj dokumentu, seria i numer, data ważności; informacje kontaktowe, tj. numer telefonu komórkowego, numer telefonu stacjonarnego, adres poczty elektronicznej; adres stały obejmujący kraj, ulicę, numer domu, kod pocztowy, miejscowość, pocztę; informację dotyczącą rezydencji podatkowej (oświadczenie FATCA): informację dotyczącą rezydencji podatkowej (oświadczenie CRS); aktualne miejsce zamieszkania obejmujące ulicę, numer domu, kod pocztowy; numer IP komputera i cel jego przetwarzania. W ww. wniosku skarżąca wniosła o podanie konkretnego brzmienia danych (np. brzmienia imienia, nazwiska itp.).
Bank oświadczył jednocześnie, że skarżąca nie składała odrębnego wniosku o ustalenie pełnej listy celów i zakresu używania przez Bank numeru IP jej komputera, poza wskazanym wcześniej wnioskiem, w którym zażądała wskazania numeru IP komputera i celu jego przetwarzania. W odpowiedzi na ten wniosek Bank przekazał skarżącej informacje o numerze IP komputera - wskazał konkretny numer IP wraz z wyjaśnieniem, że jego przetwarzanie ma na celu zasilenie systemów przeciwfraudowych. Ponadto skarżąca wezwała Bank do przedłożenia informacji na temat przetwarzanych przez Bank danych dotyczących produktów bankowych, marketingu prowadzonego przez Bank oraz podmiotów, wobec których Bank udostępnił jej dane osobowe. Bank przygotował projekt odpowiedzi i w dniu [...] stycznia 2020 r. przekazał go do konsultacji z Kancelarią. Bank wyjaśnił, że bez znajomości udostępnionych informacji Kancelaria nie mogłaby należycie świadczyć pomocy prawnej w zleconym zakresie.
Według natomiast wyjaśnień Kancelarii, pozyskała ona dane osobowe skarżącej od Banku w dniu [...] stycznia 2020 r. Jako podstawę prawną pozyskania wskazała podstawy wynikające z obowiązku realizacji wsparcia prawnego, świadczenia pomocy prawnej przez adwokatów i radców prawnych na rzecz Banku, w oparciu o zawartą umową o świadczenie obsługi prawnej oraz na podstawie art. 104 ust. 2 pkt 3 Prawa bankowego w związku z art. 6 ust. 1 lit. f RODO, jak również w zakresie w jakim wnioskodawczyni kieruje wnioski dotyczące RODO oraz w zakresie niniejszego postępowania administracyjnego - realizację obowiązków wynikających z przepisów RODO, przepisy postępowania administracyjnego, obronę przed roszczeniami, dla których wskazała podstawę w art. 6 ust. 1 lit. f RODO. Kancelaria wskazała również, że przetwarza dane osobowe skarżącej w celu realizacji obsługi prawnej, świadczenia pomocy prawnej na rzecz Banku na podstawie umowy zawartej pomiędzy Kancelarią i Bankiem, w celu dochodzenia lub obrony przed roszczeniami kierowanymi wobec Kancelarii, w celu wypełnienia obowiązków związanych z wykonywaniem zawodu, realizacji obowiązków wynikających z RODO wobec osoby, której dane dotyczą. Zakres danych osobowych skarżącej przetwarzanych przez Kancelarię w celu obsługi banku obejmuje: płeć, imię, nazwisko, imiona rodziców, obywatelstwo, miejscowość urodzenia, kraj urodzenia, numer PESEL, dokument tożsamości, a w tym rodzaj dokumentu, seria i numer, data ważności; numer tel. komórkowy, numer tel. stacjonarny, adres obejmujący kraj, ulicę, numer domu, kod pocztowy, miejscowość, pocztę; adres IP komputera i cel jego przetwarzania oraz numery rachunków bankowych. Natomiast w stosunku do danych osobowych przetwarzanych przez Kancelarię w związku z realizacją praw skarżącej i obrony przed roszczeniami, zakres ten obejmuje: wnioski w zakresie RODO kierowane do Kancelarii przez skarżącą, odpowiedzi udzielone przez Kancelarię, pismo z organu nadzoru, dokumentację sprawy prowadzonej przed organem nadzoru. Kancelaria wskazała także, że [...] lutego 2020 r. skarżąca zwróciła się do Kancelarii o udostępnienie jej informacji dotyczących zakresu danych przekazanych Kancelarii, celu przetwarzania danych przez Kancelarię oraz źródła ich przekazania. W odpowiedzi na powyższe pismo Kancelaria [...] marca 2020 r. przesłała do skarżącej informację dotyczącą zakresu przetwarzanych danych i celu w jakim przetwarzanie następuje. Skarżąca pismem z [...] lipca 2020 r. zażądała usunięcia przetwarzanych jej danych osobowych. Kancelaria wyjaśniła także, że pomiędzy Bankiem i Kancelarią nie została zawarta umowa powierzenia przetwarzania danych osobowych, ponieważ przetwarzając dane swoich klientów w związku ze świadczeniem pomocy prawnej, Kancelaria działa jako niezależny administrator danych osobowych. Strony zawarły umowę pisemną na prowadzenie obsługi prawnej [...] stycznia 2017 r. Z uwagi na specyfikę zawodu adwokata oraz radcy prawnego, w tym w szczególności niezależność adwokatów oraz radców prawnych, nie jest możliwe zawarcie umowy powierzenia przetwarzania z klientami, ponieważ takie działanie oznaczałoby stosunek podporządkowania między administratorem danych (klientem) a podmiotem przetwarzającym (adwokatem/radcą prawnym).
Uzasadniając podjęte rozstrzygnięcie Prezes UODO podał, że przepisem uprawniającym administratorów danych do przetwarzania zwykłych danych osób fizycznych, w tym ich udostępniania, jest art. 6 ust. 1 RODO, zgodnie z którym, przetwarzanie danych jest dopuszczalne tylko wtedy, gdy spełniona jest jedna z przesłanek wskazanych w tym przepisie. Katalog przesłanek wymienionych w art. 6 ust. 1 RODO, jest zamknięty. Każda z przesłanek legalizujących proces przetwarzania danych osobowych ma charakter autonomiczny i niezależny. Oznacza to, że przesłanki te co do zasady są równoprawne, a wobec tego spełnienie co najmniej jednej z nich stanowi o zgodnym z prawem przetwarzaniu danych osobowych. W konsekwencji zgoda osoby, której dane dotyczą nie jest jedyną podstawą przetwarzania danych osobowych, ponieważ proces przetwarzania danych będzie zgodny z RODO również wówczas, gdy administrator danych wykaże spełnienie innej z wyżej wymienionych przesłanek. Przetwarzanie danych osobowych jest dopuszczalne między innymi wtedy, gdy jest niezbędne do wypełnienia obowiązku prawnego ciążącego na administratorze (art. 6 ust. 1 lit. c RODO), jak również gdy jest niezbędne do celów wynikających z prawnie uzasadnionych interesów realizowanych przez administratora (art. 6 ust. 1 lit. f RODO). Zgodnie z motywem 47 RODO podstawą prawną przetwarzania mogą być prawnie uzasadnione interesy administratora, w tym administratora, któremu mogą zostać ujawnione dane osobowe, lub strony trzeciej, o ile w świetle rozsądnych oczekiwań osób, których dane dotyczą, opartych na ich powiązaniach z administratorem nadrzędne nie są interesy lub podstawowe prawa i wolności osoby, której dane dotyczą. Taki prawnie uzasadniony interes może istnieć na przykład w przypadkach, gdy zachodzi istotny i odpowiedni rodzaj powiązania między osobą, której dane dotyczą, a administratorem, na przykład gdy osoba, której dane dotyczą, jest klientem administratora lub działa na jego rzecz.
Organ za nieuzasadniony uznał zarzut skarżącej dotyczący bezprawnego udostępnienia przez Bank jej danych osobowych na rzecz Kancelarii. Zdaniem organu umowa o prowadzenie obsługi prawnej, zawarta pomiędzy Bankiem i Kancelarią w dniu [...] stycznia 2017 r., na podstawie art. 104 ust. 2 pkt 3 Prawa bankowego, pozwalała Bankowi udzielać informacji objętych tajemnicą bankową adwokatom lub radcom prawnym w związku ze świadczeniem przez nich pomocy prawnej na rzecz Banku. Ponadto Bank posiadał prawnie uzasadniony interes (art. 6 ust. 1 lit. f RODO), polegający na korzystaniu ze wsparcia prawnego profesjonalnego podmiotu w zakresie ochrony danych osobowych. Z kolei świadczenie pomocy prawnej przez Kancelarię na rzecz Banku ma oparcie w przepisach ustawy z dnia 26 maja 1982 r. Prawo o adwokaturze (Dz.U. z 2022 r. poz. 1184, zwana dalej: P.o.a.), ustawy z dnia z dnia 6 lipca 1982 r. o radcach prawnych (Dz. U. z 2022 r. poz. 1166, zwanej dalej: u.r.p.) oraz Kodeksie Etyki Adwokackiej i Kodeksie Etyki Radcy Prawnego, które to regulacje nakładają na Kancelarię szereg obowiązków związanych z wykonywaniem zawodu radcy prawnego oraz zawodu adwokata.
Uwzględniając treść art. 4 u.r.p. oraz treść art. 4 P.o.a., organ stwierdził, że administratorem danych osobowych przekazanych przez klienta w celu świadczenia pomocy prawnej, przetwarzanych przez radcę prawnego jak i adwokata wykonujących zawody w spółce partnerskiej jest spółka partnerska, która zawarła z klientem umowę dotyczącą świadczenia na jego rzecz pomocy prawnej, w niniejszej sprawie zatem za odrębnego administratora uznać należy Kancelarię.
Bank udostępnił natomiast dane osobowe skarżącej na rzecz Kancelarii w celu umożliwienia świadczenia przez nią na rzecz Banku pomocy prawnej, do czego Bank był uprawniony zgodnie z art. 104 ust. 2 pkt 3 Prawa bankowego. Udostępnienie nastąpiło zatem w oparciu o art. 6 ust. 1 lit. f RODO, w celu realizacji prawnie uzasadnionego interesu prawnego, którym było uzyskanie pomocy prawnej. Do Prezesa UODO nie należy natomiast ocena wykonanej usługi przez Kancelarię w zakresie świadczonej pomocy prawnej, bowiem kwestia jakości obsługi prawnej przez profesjonalnego pełnomocnika nie mieści się w zakresie spraw, do których rozstrzygania organem właściwym jest Prezes UODO.
Na skutek udostępnienia danych osobowych przez Bank na rzecz Kancelarii przetwarza ona dane osobowe skarżącej jako odrębny administrator wykonując obowiązki nałożone na nią przepisami odrębnych ustaw (P.o.a. i u.r.p.). Wobec powyższego uznać należy, że Kancelaria przetwarza dane osobowe skarżącej na podstawie art. 6 ust. 1 lit. c RODO w zw. z art. 4 u.r.p. oraz w zw. z art. 4 P.o.a., gdyż jest obowiązana do świadczenia pomocy prawnej na rzecz Banku, który jest jej klientem. Organ nie dopatrzył się nieprawidłowości w procesie przetwarzania danych osobowych skarżącej przez Kancelarię. Kancelaria jako podmiot profesjonalny, świadczący pomoc prawną Bankowi na podstawie przepisów prawa, prawidłowo przetwarza dane osobowe przekazane jej przez Bank, w tym również adres IP komputera skarżącej i pozostałe dane przekazane przez Bank. Istotą wykonywania ww. zawodów zaufania publicznego jest bowiem świadczenie pomocy prawnej, które z uwagi na charakter powinno następować w sposób samodzielny i niezależny.
Organ uznał natomiast, iż Bank dopuścił się nieprawidłowości w zakresie realizacji żądania skarżącej dotyczącego wskazania celu przetwarzania jej danych osobowych w zakresie IP jej komputera.
Organ podniósł, iż w piśmie z [...] grudnia 2019 r. skarżąca zażądała od Banku spełnienia wobec niej obowiązku informacyjnego, wynikającego z art. 15 ust. 1 RODO. Zwróciła się o przekazanie jej konkretnego brzmienia numeru IP jej komputera ze wskazaniem celu przetwarzania tych danych przez Bank. W odpowiedzi na powyższy wniosek (pismo z [...] stycznia 2020 r.), Bank wskazał numer IP komputera skarżącej podlegający przetwarzaniu i jednocześnie wskazał, że przetwarza tę informację w celu zasilenia systemów przeciwfraudowych. Natomiast z treści przedłożonego przez skarżącą do akt postępowania pisma Banku (z [...] sierpnia 2020 r.), skierowanego do Komendy Rejonowej Policji [...] wynika, że "Adres IP uzyskiwany i przetwarzany jest przez Bank na podstawie: art. 6 ust. 1 lit. b RODO w celu przeprowadzenia czynności związanych z umową, art. 6 ust 1 lit. f RODO w celu wypełnienia obowiązków wynikających z przepisów prawa m.in. ale nie wyłącznie do: "realizacji komunikacji i usług za pośrednictwem stron internetowych, zapewnienie bezpieczeństwa transakcji, w szczególności zapobieganie nadużyciom, ochrony przed roszczeniami, w celach administracyjnych, w ramach zasilenia systemów antyfraudowych." Bank udzielił zatem dwóch różnych odpowiedzi na tożsame w treści pytania. Powyższe odpowiedzi Banku wskazują, że przetwarza on dane osobowe skarżącej w zakresie numeru IP jej komputera także w innych celach, niż wskazane w odpowiedzi na wniosek ww. z [...] grudnia 2019 r. Wobec powyższych rozbieżności organ uznał, że skarżąca nie otrzymała od Banku rzetelnej odpowiedzi na przedstawione przez nią żądanie wskazania, w jakich celach przetwarzany przez Bank jest numer IP jej komputera.
W konsekwencji powyższych ustaleń organ odmówił uwzględnienia wniosku skarżącej w zakresie nieprawidłowości w procesie przetwarzania jej danych osobowych polegającego na udostępnieniu przez Bank danych osobowych skarżącej na rzecz Kancelarii jako opartych na przesłance z art. 6 ust. 1 lit. f RODO. Za legalny uznał także proces przetwarzania danych osobowych skarżącej przez Kancelarię, znajdujący umocowanie w art. 6 ust. 1 lit. c RODO. Stwierdzając natomiast nieprawidłowości w zakresie realizacji żądania skarżącej wskazania celu przetwarzania przez Bank jej danych osobowych w zakresie adresu IP jej komputera, Prezes UODO, korzystając z uprawnienia przysługującego mu na podstawie art. 58 ust. 2 lit. c RODO, nakazał Bankowi spełnienie żądania skarżącej, poprzez wskazanie pełnej listy celów przetwarzania tych danych, stosownie do obowiązku wynikającego z art. 15 ust. 1 lit. a RODO.
Jednocześnie odnosząc się do żądania skarżącej dotyczącego sprawdzenia bezpieczeństwa przetwarzania jej danych osobowych przez Kancelarię organ wyjaśnił, że zbadanie zgodności z przepisami o ochronie danych osobowych ogólnych praktyk stosowanych przez podmiot przetwarzający dane osobowe nie może być przedmiotem skargi wniesionej w indywidualnej sprawie. W sferze kompetencji Prezesa UODO mieści się m.in. przeprowadzanie kontroli co do zgodności przetwarzania danych osobowych z przepisami o ochronie danych osobowych przez określony podmiot, ale organ nie podejmuje tego rodzaju działań na wniosek osoby składającej skargę. W razie zaś wszczęcia takiego postępowania osobie zawiadamiającej o potencjalnych naruszeniach nie przysługuje status strony postępowania.
W skardze skierowanej do Wojewódzkiego Sądu Administracyjnego w Warszawie na decyzję PUODO z dnia [...] maja 2023 r.w części obejmującej pkt 2. E.J. zarzuciła naruszenie przepisów prawa materialnego, poprzez ich błędną wykładnię oraz naruszenie przepisów postępowania, które miało istotny wpływ na wynik sprawy, tj.:
1. art. 28 ust. 3 RODO w zw. z art. 104 ust. 2 pkt 3 Prawa bankowego poprzez uznanie, że przepis art. 104 ust. 2 pkt 3 Prawa bankowego może stanowić podstawę do powierzenia przetwarzania danych osobowych, podczas gdy przepis ten dotyczy sytuacji gdy Bank nie jest zobowiązany do zachowania tajemnicy bankowej oraz nie reguluje prawa do powierzenia danych osobowych do ich przetwarzania, co miało istotny wpływ na wynik sprawy bowiem skutkowało uznaniem, że powierzenie przetwarzania danych osobowych nastąpiło zgodnie z prawem oraz uznaniem, że Kancelaria przetwarzała dane osobowe w przedmiotowej sprawie zgodnie z prawem;
2. art. 6 ust. 1 lit. c RODO w zw. z art. 4 oraz art. 6 u.r.p. poprzez ich nieprawidłową wykładnię i uznanie, że: a) sprawdzenie projektu pisma pod względem lingwistycznym i gramatycznym stanowi świadczenie pomocy prawnej, podczas gdy jest to usługa czysto edytorska, wobec czego w przedmiotowej sprawie przetwarzanie danych osobowych nie było niezbędne do wypełnienia obowiązku prawnego ciążącego na administratorze, b) dla udzielenia ewentualnej pomocy prawnej konieczne było przekazanie przez Bank danych osobowych skarżącej, podczas gdy dla ewentualnego świadczenia pomocy prawnej nie było konieczne przetwarzanie danych osobowych, wobec czego w przedmiotowej sprawie przetwarzanie nie było niezbędne do wypełnienia obowiązku prawnego ciążącego na administratorze, co miało istotny wpływ na wynik sprawy bowiem skutkowało uznaniem, że powierzenie przetwarzania danych osobowych nastąpiło zgodnie z prawem oraz uznaniem, że Kancelaria przetwarzała dane osobowe w przedmiotowej sprawie zgodnie z prawem;
3. art. 6 ust. 1 lit. f RODO poprzez uznanie, że: a) przetwarzanie danych osobowych przez Bank oraz Kancelarię w celu udzielenia ewentualnej pomocy prawnej na rzecz Banku było niezbędne dla celów wynikających z prawnie uzasadnionych interesów Banku, a tym samym uznanie, że dla udzielenia ewentualnej pomocy prawnej konieczne było przetwarzanie danych osobowych skarżącej, podczas gdy dla udzielenia pomocy prawnej nie było konieczne przetwarzanie danych osobowych, a pomoc prawna mogła zostać udzielona w oparciu o zanonimizowane dane, oraz b) zaistniał prawnie uzasadniony interes Banku w przetwarzaniu danych osobowych i pominięcie w ocenie zaistnienia uzasadnionego interesu Banku testu, czy osoba, której dane osobowe są przetwarzane, mogła się racjonalnie spodziewać, że jej dane osobowe w tym celu będą przetwarzane, podczas gdy nie wystąpił uzasadniony interes Banku bowiem skarżąca nie mogła się spodziewać, że może nastąpić przetwarzanie danych w tym celu, co miało istotny wpływ na wynik sprawy bowiem skutkowało uznaniem, że powierzenie przetwarzania danych osobowych nastąpiło zgodnie z prawem oraz uznaniem, że Kancelaria przetwarzała dane osobowe w przedmiotowej sprawie zgodnie z prawem;
4. art. 32 ust. 1 RODO w związku z art. 3 ust. 3, 4, 5 u.r.p. oraz art. 16 i 23 Kodeksu etyki radcy prawnego oraz art. 4 ust. 1, art. 6 ust. 1 i art. 16b P.o.a., poprzez uznanie, że samo wykonywanie zawodu radcy prawnego i adwokata zapewnia bezpieczeństwo przetwarzania danych osobowych z uwagi na obowiązek zachowania przez radcę prawnego i adwokata tajemnicy zawodowej, podczas gdy samo istnienie normy zobowiązującej do zabezpieczenia informacji nie przesądza o jego faktycznym zabezpieczeniu, co miało istotny wpływ na wynik sprawy bowiem skutkowało uznaniem, że powierzenie przetwarzania danych osobowych nastąpiło zgodnie z prawem oraz uznaniem, że Kancelaria przetwarzała dane osobowe w przedmiotowej sprawie zgodnie z prawem;
5. prawa wynikającego z motywu 10 RODO, z którego wynika zapewnienie wysokiego stopnia ochrony osób fizycznych przetwarzania danych osobowych;
6. prawa wynikającego z motywu 11 RODO, który stanowi, że skuteczna ochrona tych danych wymaga wzmocnienia praw osób, których dane dotyczą;
7. art. 7, art. 77 § 1 oraz art. 80 K.p.a., bowiem organ nie ustalił faktów oraz zdarzeń, które mają znaczenie dla załatwienia sprawy oraz dokonał dowolnej oceny dowodów, wskutek czego organ doszedł do wniosków niewynikających w sposób logiczny ze zgromadzonego materiału dowodowego, wobec czego źle ustalił stan faktyczny.
W związku z powyższymi zarzutami skarżąca wniosła o uchylenie decyzji PUODO w zakresie punktu 2 oraz zasądzenie kosztów postępowania.
W uzasadnieniu skargi skarżąca podniosła, że w jej ocenie art. 104 ust. 2 pkt 3 Prawa bankowego nie stanowi podstawy do powierzenia przetwarzania danych osobowych. Przepis ten wskazuje wyłącznie, że Bank nie jest zobowiązany do zachowania tajemnicy bankowej w przypadku przekazania informacji objętych tajemnicą bankową adwokatom lub radcom prawnym w związku ze świadczeniem przez nich pomocy prawnej na rzecz Banku. O ile zatem zakres tajemnicy bankowej oraz ochrony danych osobowych może się pokrywać, to nie są to jednak tożsame instytucje prawa. Nie można bowiem uznać, że wyłącznie na podstawie przepisu, który wyłącza obowiązek zachowania tajemnicy Bank może przekazywać informacje. W tym zakresie nadal znajdują zastosowanie przepisy dotyczące ochrony danych osobowych, a w tym w szczególności RODO. Tym samym jedynie w przypadku, gdy przetwarzanie danych jest niezbędne dane osobowe mogą zostać przekazane.
Zdaniem skarżącej nie można też zgodzić się ze stanowiskiem organu, że w przedmiotowej sprawie doszło do świadczenia pomocy prawnej przez Kancelarię w zakresie, który wymagałby przetwarzania jej danych osobowych jakimi dysponował Bank. Wskazała, że jej dane zostały rzekomo przekazane w związku z jej wnioskiem o udzielenie informacji jakie jej dane osobowe są przetwarzane przez Bank. Jednak w tamtym okresie skarżąca nie pozostawała w żadnym sporze z Bankiem. Sama zaś ocena przez Kancelarię pisma przygotowanego przez Bank nie stanowi świadczenia pomocy prawnej. W takiej sytuacji Kancelaria sprawdza pismo pod względem stylistycznym i gramatycznym, nie zaś prawnym. Ponadto wbrew ocenie organu, że zawód adwokata i radcy prawnego jako zawód zaufania publicznego zobowiązuje do szczególnej ochrony tajemnicy zawodowej, żaden przepis prawa nie wprowadza domniemania, że osoba wykonująca zawód radcy prawnego i adwokata stosuje odpowiednie zabezpieczenia techniczne w celu zmniejszenia ryzyka naruszenia interesu osób fizycznych, których dane osobowe przetwarza.
Skarżąca za nieprawidłowe uznała ustalenie organu, że dla uzyskania pomocy prawnej w sprawie przetwarzania danych osobowych, z uwagi na złożony przez nią wniosek, konieczne i niezbędne było przekazanie jej danych osobowych. Podniosła, że wszelkie pytania dotyczące zagadnień prawnych związane z jej wnioskiem mogły zostać udzielone na podstawie zanonimizowanych informacji, albo poprzez wskazanie kategorii informacji. Dla celów świadczenia pomocy prawnej nie było konieczne przekazanie całości jej danych osobowych. Ponadto, pomimo korzystania ze wsparcia aż dwóch kancelarii prawnych, skarżąca nie otrzymała od Banku rzetelnej odpowiedzi na żądanie wskazania, jakie jej dane osobowe zostały przekazane przez Bank do Spółki T.. Działanie Banku nie pozwoliło skarżącej na kontrolę zakresu wykorzystania jej danych osobowych. Organ w niniejszej sprawie nie dokonał natomiast kontroli o jakiej mowa w motywie 47 RODO, gdyż oparł się jedynie na przesłance interesu administratora pomijając ocenę, czy skarżąca mogła rozsądnie spodziewać się, że złożenie prostego wniosku o uzyskanie informacji jakie Bank przetwarza spowoduje przekazanie danych osobowych do Kancelarii. Wskazała przy tym, że w innej sprawie ([...]) zawisłej przed Prezesem UODO Prezes i członek Zarządu Banku oświadczyli, że żadne dane osobowe pozyskane podczas czynności bankowych ww. Kancelarii nie zostały przekazane.
Skarżąca zarzuciła ponadto, że organ nie dokonał rzetelnej analizy dokumentów przedstawionych w niniejszej sprawie, czym naruszył wskazane w skardze przepisy postępowania.
PUODO w odpowiedzi na skargę wniósł o jej oddalenie podtrzymując w całości argumentację przedstawioną w uzasadnieniu zaskarżonej decyzji. Odnosząc się do zarzutów skargi podkreślił, że Kancelaria w realiach niniejszej sprawy nie pełniła funkcji podmiotu przetwarzającego, wobec czego art. 28 ust. 3 RODO nie znajdował w niniejszej sprawie zastosowania. Kancelaria świadczyła wobec Banku pomoc prawną jako profesjonalny pełnomocnik. Należy zatem uznać, że w realiach niniejszej sprawy Kancelaria, w zakresie świadczenia na rzecz Banku pomocy prawnej jest odrębnym administratorem danych osobowych skarżącej. Kancelaria, przetwarza dane osobowe skarżącej działając jako odrębny administrator w zakresie, w jakim otrzymane od Banku dane niezbędne jej były do świadczenia pomocy prawnej.
Bank, w piśmie procesowym z [...] października 2023 r. poparł stanowisko organu wnosząc o oddalenie skargi. Odnosząc się do zarzutu naruszenia art. 28 ust. 3 RODO w zw. z art. 104 ust. 2 pkt 3 Prawa bankowego powtórzył za organem, że w stanie faktycznym niniejszej sprawy zarzut ten nie znajduje uzasadnienia, gdyż Kancelaria nie pełniła roli podmiotu przetwarzającego. Tym samym nie doszło do powierzenia przetwarzania danych osobowych przez Bank Kancelarii na podstawie art. 104 ust. 2 pkt 3 Prawa bankowego, a doszło do udzielenia informacji objętych tajemnicę bankową adwokatom lub radcom prawnym w związku ze świadczeniem przez nich pomocy prawnej na rzecz Banku, co niezbędne jest do prawidłowego zlecenia świadczenia usługi prawnej. Bank podkreślił, że ma prawo korzystania z pomocy prawnej, co do zasady, jak każdy inny przedsiębiorca. Skarżąca decydując się na skorzystanie z usług bankowych, a następnie w trakcie korespondencji z Bankiem zainicjowanej przez samą skarżącą powinna była natomiast liczyć się z tym, iż wymiana korespondencji będzie podlegała konsultacjom prawnym. Nie jest również nietypowe, iż Bank w tej konkretnej sprawie korzystał z wsparcia prawnego dwóch kancelarii prawnej. Bank na zasadzie art. 104 Prawa bankowego mógł skorzystać z obsługi prawnej Kancelarii i udostępnić Kancelarii dane osobowe związane z udzielaną poradą prawną.
Skarżąca w piśmie procesowym z dnia [...] marca 2024 r., stanowiącym replikę na odpowiedź na skargę organu, ponownie zarzuciła, że PUODO nie wykazał, że Kancelaria świadczyła pomoc prawną na rzecz Banku w rozumieniu przepisów prawa. Na potwierdzenie powyższego powołała się na załączone do pisma kopie zeznań P.W. - Inspektora Ochrony Danych Osobowych w Banku złożonych w: Sądzie Okręgowym w W. w sprawie [...] i w Komendzie Policji [...] w sprawie o sygn. akt [...] (obecnie [...] SR [...]) oraz zeznań P.Z. - zastępcy Inspektora Ochrony Danych Osobowych w Banku złożonych w Sądzie Okręgowym w W. w sprawie [...].
Podniosła, że precyzyjna definicja pomocy prawnej jest zawarta w art. 1 ust. 2 ustawy z dnia 5 lipca 2002 r. o świadczeniu przez prawników pomocy prawnej w Rzeczypospolitej Polskiej. Powołała się też na art. 4 ust. 1 i 1b P.o.a. oraz art. 6 ust. 1 i 3 u.r.p. Zaznaczyła, że w aktach sprawy brak pełnomocnictwa Banku dla Kancelarii wystawionego przed datą złożenia skargi do PUODO. Brak również śladów jakiejkolwiek próby ustalenia jakie zagadnienie prawne w związku z udzielaną skarżącej odpowiedzią było przedmiotem rzekomej "pomocy prawnej". Co więcej istnieją nawet rozbieżności co do daty przekazania projektu odpowiedzi przez Bank.
Z zeznań IODO jasno natomiast wynika, że przekazywanie danych osobowych skarżącej nie wynikało ani z art. 6 ust. 1 lit. c RODO, ani z art. 6 ust. 1 lit. f RODO. Z zeznań tych wynika natomiast, że Bank przetwarzał informację o stanie cywilnym skarżącej, która nie były przez nią przekazywana Bankowi i nie jest niezbędna do prowadzenia rachunku bankowego, a także Bank nie poinformował skarżącej ani PUODO o przetwarzaniu takiej danej osobowej. Tym samym doszło do naruszenia przepisów o przetwarzaniu danych osobowych (art. 6 ust. 1 lit. b RODO) oraz naruszenia obowiązku informacyjnego (art. 15 ust. 1 RODO), jak również wprowadzenia w błąd PUODO.
Z kolei sprawdzanie kompletności udzielanej odpowiedzi na standardowe zapytanie o zakres i cel przetwarzania danych osobowych z całą pewnością nie jest, w ocenie skarżącej, pomocą prawną w rozumieniu ustawy, ale zadaniem kontroli wewnętrznej / audytu wewnętrznego. Prawo bankowe explicite zabrania natomiast przekazywania podmiotom trzecim, a zatem również kancelariom prawnym zadań związanych z audytem wewnętrznym (art. 6a ust. 3 pkt 2 ustawy Prawo bankowe).
Szerokie rozważania w odpowiedziach na skargę nadesłanych przez PUODO i Bank na temat znaczenia kodeksów etyki zawodowej adwokatów bądź radców prawnych nie mają natomiast, zdaniem skarżącej, w tej sprawie żadnego znaczenia. Prawodawstwo europejskie legitymizuje bowiem przetwarzanie danych osobowych na podstawie kryterium celowości, a nie na podstawie kryterium reputacji podmiotu przetwarzającego. Istota ochrony danych osobowych sprowadza się do kontrolowanego przez właściciela danych zasięgu ich wykorzystywania. Obowiązki prawne i regulacje samorządowe adwokatury i radców prawnych nie legitymizują natomiast per se przetwarzania przez nich danych osobowych. Tak więc regulacje ustawowe i samorządowe nie są gwarantem bezpieczeństwa przetwarzania danych przez kogokolwiek. Twierdzenie, że Bank na podstawie przepisu art. 104 ust 2 pkt 3 Prawa bankowego może przekazać adwokatowi, czy radcy prawnemu tajemnicę bankową, niezależnie od zakresu tematycznego pomocy prawnej, prowadziłoby natomiast do wniosku, że można przekazać więcej praw niż się samemu posiada.
Wojewódzki Sąd Administracyjny w Warszawie, zważył co następuje:
Zgodnie z art. 1 § 1 ustawy z dnia 25 lipca 2002r. Prawo o ustroju sądów administracyjnych, sądy administracyjne sprawują wymiar sprawiedliwości przez kontrolę działalności administracji publicznej, przy czym w świetle paragrafu drugiego powołanego wyżej artykułu kontrola ta sprawowana jest pod względem zgodności z prawem, jeżeli ustawy nie stanowią inaczej. Chodzi więc o kontrolę aktów lub czynności z zakresu administracji publicznej dokonywaną pod względem ich zgodności z prawem materialnym i przepisami procesowymi, nie zaś według kryteriów słuszności.
W myśl natomiast art. 134 ustawy z dnia 30 sierpnia 2002 r. Prawo o postępowaniu przed sądami administracyjnymi – dalej P.p.s.a., Sąd rozstrzyga w granicach danej sprawy nie będąc jednak związany zarzutami i wnioskami skargi oraz powołaną podstawą prawną.
Skarga oceniana w świetle powyższych kryteriów nie zasługuje na uwzględnienie, gdyż zaskarżona w zakresie punktu 2 decyzja Prezesa UODO z dnia [...] maja 2023 r. o odmowie uwzględnienia skargi E.J. na nieprawidłowości w procesie przetwarzania jego danych osobowych przez Bank oraz Kancelarię, nie narusza prawa.
W tym miejscu należy zaznaczyć, że obowiązkiem organu ochrony danych osobowych w ramach postępowania zainicjowanego skargą E.J. była ocena zasadności zarzutów skargi, a zatem ustalenie, czy doszło do nieuprawnionego przekazania danych osobowych skarżącej przez Bank na rzecz Kancelarii oraz nieuprawnionego przetwarzania przez Kancelarię jej danych osobowych.
W ocenie Sądu, odmawiając uwzględnienia skargi E.J. w tym zakresie, Prezes UODO nie naruszył obowiązujących przepisów, albowiem - wbrew zarzutom skarżącej - prawidłowo przyjął, że w niniejszej sprawie zachodzi sytuacja, w której zgromadzony przez organ nadzorczy materiał dowodowy wykazał, że nie doszło do nieprawidłowości w procesie przetwarzania danych osobowych skarżącej przez Bank oraz Kancelarię.
Ponadto, w wyniku przeprowadzenia analizy stanowiska organu nadzorczego zaprezentowanego w uzasadnieniu zaskarżonej decyzji, Sąd stwierdził, że - wbrew zarzutom skargi - Prezes UODO, wydając w dniu [...] maja 2023 r. sporne rozstrzygnięcie, nie dopuścił się - mogącego mieć zasadniczy wpływ na wynik sprawy - naruszenia przepisów procedury administracyjnej, a w szczególności art. 7 K.p.a., art. 77 § 1 K.p.a., art. 80 K.p.a., a także art. 107 § 3 K.p.a. w zw. z art. 7 ust. 1 ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych (Dz. U. z 2019 r. poz. 1781), albowiem wyjaśnił wszystkie okoliczności istotne dla prawidłowego i pełnego rozstrzygnięcia sprawy, a także dokonał właściwej oceny zebranego w sprawie materiału dowodowego, przeprowadzając jednocześnie ową ocenę w kontekście właściwie zastosowanych przepisów prawa materialnego.
W działaniu Prezesa UODO, jako organu administracji publicznej wydającego sporną decyzję, Sąd nie dopatrzył się jakichkolwiek istotnych nieprawidłowości, zarówno, gdy idzie o ustalenie stanu faktycznego sprawy, jak i o zastosowanie do jego oceny przepisów prawa materialnego. Ponadto, Sąd uznał, że w uzasadnieniu zaskarżonej decyzji Prezesa UODO wyjaśnione zostały w sposób dostatecznie jasny i przekonywujący motywy jej podjęcia, zaś przytoczona w tym zakresie argumentacja jest wyczerpująca i w pełni odnosząca się do stanowiska strony skarżącej.
E.J. wystąpiła do Prezesa UODO ze skargą z dnia [...] czerwca 2020 r. domagając się wszczęcia postępowania w sprawie naruszenia przepisów o ochronie danych osobowych przez Bank oraz Kancelarię poprzez nieuprawnione przekazanie jej danych osobowych przez Bank na rzecz Kancelarii oraz nieuprawnione przetwarzania przez Kancelarię jej danych osobowych.
Prezes UODO w toku przeprowadzonego postępowanie administracyjnego ustalił, że udostępnienie danych osobowych skarżącej przez Bank na rzecz Kancelarii nastąpiło na podstawie art. 104 ust. 2 pkt 3 Prawa bankowego oraz na podstawie art. 6 ust. 1 lit. f RODO w celu realizacji obsługi prawnej i świadczenia pomocy prawnej wobec Banku. Realizacja wsparcia prawnego przez Kancelarię miała podstawę wynikającą z umowy o świadczenie usług prawnych z [...] stycznia 2017 r., zawartej pomiędzy Bankiem i Kancelarią. Umowa o prowadzenie obsługi prawnej, zawarta pomiędzy Bankiem i Kancelarią w dniu [...] stycznia 2017 r., na podstawie art. 104 ust. 2 pkt 3 Prawa bankowego, pozwalała Bankowi udzielać informacji objętych tajemnicą bankową adwokatom lub radcom prawnym w związku ze świadczeniem przez nich pomocy prawnej na rzecz Banku. Ponadto Bank posiadał prawnie uzasadniony interes (art. 6 ust. 1 lit. f RODO), polegający na korzystaniu ze wsparcia prawnego profesjonalnego podmiotu w zakresie ochrony danych osobowych. Z kolei świadczenie pomocy prawnej przez Kancelarię na rzecz Banku ma oparcie w przepisach ustawy z dnia 26 maja 1982 r. Prawo o adwokaturze, ustawy z dnia 6 lipca 1982 r. o radcach prawnych oraz Kodeksie Etyki Adwokackiej i Kodeksie Etyki Radcy Prawnego, które to regulacje nakładają na Kancelarię szereg obowiązków związanych z wykonywaniem zawodu radcy prawnego oraz zawodu adwokata.
W ocenie Sądu, w świetle zebranego w sprawie materiału dowodowego prawidłowe są ustalenia Prezesa UODO, że po stronie Banku istniał prawnie uzasadniony interes w rozumieniu art. 6 ust. 1 lit. f RODO, polegający na możliwości uzyskania przez Bank wsparcia prawnego od Kancelarii w ramach zawartej umowy z [...] stycznia 2017 r. o świadczenie usług prawnych. Przetwarzanie danych osobowych skarżącej przez Kancelarię miało natomiast oparcie w przepisie art. 6 ust. 1 lit. c RODO w zw. z art. 4 u.r.p. oraz w zw. z art. 4 P.o.a., gdyż Kancelaria jest obowiązana do świadczenia pomocy prawnej na rzecz Banku, który jest jej klientem. Przy czym należy zwrócić uwagę, że w świetle art. 4 ust. 1 P.o.a. oraz art. 6 ust. 1 u.r.p, świadczenie pomocy prawnej, polega w szczególności na udzielaniu porad prawnych, sporządzaniu opinii prawnych, opracowywaniu projektów aktów prawnych oraz występowaniu przed sądami i urzędami w charakterze pełnomocnika lub obrońcy. Tym samym każda porada, konsultacja z radcą prawnym bądź adwokatem stanowi świadczenie pomocy prawnej. Bank zatem zwracając się do Kancelarii o poradę w zakresie pisma kierowanego do skarżącej skorzystał z pomocy prawnej świadczonej na jego rzecz przez Kancelarię. PUODO nie ma natomiast podstaw od tego aby oceniać, czy Bank zasadnie skorzystał z pomocy prawnej podmiotu profesjonalnego, działającego w sposób uregulowany przepisami ustaw.
Nieuzasadniony jest zarzut skarżącej, że organ w niniejszej sprawie nie dokonał kontroli o jakiej mowa w motywie 47 RODO. Jak słusznie zaważył organ, Bank ma prawo skorzystania z pomocy prawnej adwokata lub radcy prawnego, tak jak każdy inny przedsiębiorca. Skarżąca decydując się na skorzystanie z usług bankowych, a następnie prowadząc korespondencję z Bankiem, powinna była natomiast liczyć się z tym, iż wymiana tej korespondencji będzie podlegała konsultacjom prawnym przez Bank.
Prawidłowe są też ustalenia organu, że Kancelaria w realiach niniejszej sprawy nie pełniła funkcji podmiotu przetwarzającego, lecz administratora, wobec czego art. 28 ust. 3 RODO w niniejszej sprawie nie znajdował zastosowania. Wobec tego, iż Kancelaria świadczyła na rzecz Banku pomoc prawną jako profesjonalny pełnomocnik należy mieć na względzie przepisy Działu 1a P.o.a. oraz Działu 1a u.r.p., które wskazują zakres zastosowania RODO w zakresie świadczenia usług prawnych przez adwokatów i radców prawnych.
Słuszna jest uwaga organu, że przepisy te nie przesądzają wprost o roli adwokata i radcy prawnego w procesie przetwarzania danych osobowych, jednakże odnoszą się do obowiązków nałożonych przez RODO na administratora, nie zaś na podmiot przetwarzający. Dotyczą ponadto ograniczenia stosowania niektórych przepisów RODO w związku z udzieleniem pomocy prawnej w zakresie ochrony danych osobowych z uwagi na tajemnicę zawodową. Przepisy te wskazują jednoznacznie okresy przechowywania i usunięcia danych osobowych przetwarzanych przez adwokatów i radców prawnych, co przesądza o tym, iż nie mogą oni podlegać poleceniom innych podmiotów, co do terminu usunięcia danych osobowych. Nałożenie na adwokatów i radców prawnych obowiązku przechowywania danych osobowych przez wskazany w przepisach P.o.a. i u.r.p. określony czas uzasadnione jest bowiem w szczególności m.in. dotyczącym ich obowiązkiem unikania konfliktu interesów, co implikuje konieczność przechowywania danych osobowych, celem możliwości weryfikacji w przyszłości czy taki konflikt zaistniał, a także obowiązkiem prawidłowego przeprowadzania postępowań dyscyplinarnych. Ponadto przepisy te wskazują wprost na to, że obowiązek zachowania przez adwokatów i radców prawnych tajemnicy zawodowej nie ustaje w przypadku skierowania do ww. osób przez Prezesa UODO żądania ujawnienia informacji uzyskanych w związku z udzielaniem pomocy prawnej.
Nie znajdują też uzasadnienia podniesione przez skarżącą zarzuty naruszenia art. 32 ust. 1 RODO w związku z art. 3 ust. 3, 4, 5 u.r.p. i art. 16 i 23 Kodeksu etyki radcy prawnego oraz art. 4 ust. 1, art. 6 ust. 1 i art. 16b P.o.a., poprzez uznanie, że samo wykonywanie zawodu radcy prawnego i adwokata zapewnia bezpieczeństwo przetwarzania danych osobowych z uwagi na obowiązek zachowania przez radcę prawnego i adwokata tajemnicy zawodowej. Jak wyjaśnił bowiem organ w zaskarżonej decyzji, zbadanie zgodności z przepisami o ochronie danych osobowych ogólnych praktyk stosowanych przez podmiot przetwarzający dane osobowe nie może być przedmiotem skargi wniesionej w indywidualnej sprawie. PUODO w trakcie rozpatrywania sprawy wszczętej na skutek wniesienia skargi indywidualnej rozstrzyga wyłącznie kwestie legalności procesu przetwarzania danych osobowych konkretnej osoby. Organ nie bada natomiast kwestii zabezpieczeń danych osobowych oraz ich adekwatności i prawidłowości, które mogą być przedmiotem postępowania wszczętego przez organ wyłącznie z urzędu. Postępowanie prowadzone przez PUODO w postępowaniu dotyczącym skargi indywidualnej nie jest zatem ukierunkowane na pozyskanie informacji na temat stosowanych przez administratora danych zabezpieczeń oraz na przekazanie tychże informacji na rzecz osób fizycznych, zainteresowanych sprawą, lecz jego celem jest zbadanie legalności przetwarzania danych osobowych konkretnej osoby wnoszącej skargę.
Odnośnie natomiast zarzutów dotyczących naruszenie motywów 10 i 11 RODO, w kontekście negowania przez skarżącą potrzeby skorzystania przez Bank z pomocy prawnej Kancelarii i przekazania w tym celu jej danych osobowych, należy zauważyć, że motywy 10 i 11 RODO skierowane są do organów Państwa odpowiedzialnego za wprowadzenie przepisów, które zapewnią stosowanie przepisów RODO oraz spójne i jednolite w całej Unii stosowanie przepisów o ochronie podstawowych praw i wolności osób fizycznych w związku z przetwarzaniem danych osobowych, a tym samym nie mogło dojść do ich naruszenia przez organ w niniejszym postępowaniu.
Odnosząc się z kolei do zarzutów sformułowanych przez skarżącą w piśmie procesowym z dnia [...] marca 2024 r. w zakresie nieuprawnionego przetwarzania przez Bank informacji o jej stanie cywilnym należy wyjaśnić, że postępowanie zakończone zaskarżoną decyzją było postępowaniem skargowym – wszczętym skargą E.J. na nieprawidłowości w procesie przetwarzania jego danych osobowych przez Bank oraz Kancelarię polegających na nieuprawnionym przekazaniu danych osobowych skarżącej przez Bank na rzecz Kancelarii oraz nieuprawnionym przetwarzaniu przez Kancelarię jej danych osobowych. Prezes UODO nie badał więc w postępowaniu zakończonym zaskarżoną decyzją kwestii legalności przetwarzania przez Bank informacji o stanie cywilnym skarżącej, a tym samym ta kwestia nie mogła być przedmiotem oceny Sądu w niniejszym postępowaniu sądowoadministracyjnym.
Reasumując, kontrola decyzji Prezesa UODO w zaskarżonej części nie dała podstaw do stwierdzenia, że została ona wydana z naruszeniem przepisów postępowania lub naruszeniem prawa materialnego. Brak jest podstaw do uznania, że w postępowaniu zakończonym wydaniem zaskarżonej decyzji nie wyjaśniono wszystkich kwestii mających wpływ na rozstrzygnięcie sprawy. Materiał dowodowy zgormadzony w toku postępowania zakończonego zaskarżoną decyzją stanowił wystarczającą podstawę do stwierdzenie przez Prezesa UODO, że nie doszło do nieprawidłowości w procesie przetwarzania danych osobowych skarżącej przez Bank oraz Kancelarię. Uzasadnienie zaskarżonej decyzji odpowiada prawu. Zawiera wskazanie faktów, które organ uznał za udowodnione, dowodów, na których się oparł, a także wyjaśnienie podstawy prawnej decyzji, z przytoczeniem przepisów prawa. Prezes UODO prawidłowo ustalił, że udostępnienie danych osobowych skarżącej na rzecz Kancelarii miało oparcie w przepisie art. 6 ust. 1 lit. f RODO. Przetwarzanie danych osobowych skarżącej przez Kancelarię miało natomiast oparcie w przepisie art. 6 ust. 1 lit. c RODO w zw. z art. 4 u.r.p. oraz w zw. z art. 4 P.o.a.
W tym stanie rzeczy, Wojewódzki Sąd Administracyjny w Warszawie działając na podstawie art. 151 ustawy - Prawo o postępowaniu przed sądami administracyjnymi, orzekł jak w sentencji wyroku.