II SA/Wa 1612/24

II SA/Wa 1612/24 - Wyrok WSA w Warszawie
Data orzeczenia
2025-04-15
orzeczenie nieprawomocne
Data wpływu
2024-10-03
Sąd
Wojewódzki Sąd Administracyjny w Warszawie
Sędziowie
Danuta Kania
Izabela Głowacka-Klimas /przewodniczący sprawozdawca/
Mateusz Rogala
Symbol z opisem
647  Sprawy związane z ochroną danych osobowych
Hasła tematyczne
Ochrona danych osobowych
Skarżony organ
Generalny Inspektor Ochrony Danych Osobowych
Treść wyniku
Oddalono skargę
Powołane przepisy
Dz.U. 2024 poz 935
art. 151
Ustawa z dnia 30 sierpnia 2002 r. Prawo o postępowaniu przed sądami administracyjnymi (t. j.)
Sentencja
Wojewódzki Sąd Administracyjny w Warszawie w składzie następującym: Przewodniczący Sędzia WSA Izabela Głowacka-Klimas (spr.), Sędzia WSA Danuta Kania, Asesor WSA Mateusz Rogala, Protokolant starszy specjalista Elwira Sipak po rozpoznaniu na rozprawie w dniu 15 kwietnia 2025 r. sprawy ze skargi [...] Bank [...] S. A. z siedzibą w [...] na decyzję Prezesa Urzędu Ochrony Danych Osobowych z dnia [...] lipca 2024 r. nr [...] w przedmiocie przetwarzania danych osobowych oddala skargę
Uzasadnienie
Prezes Urzędu Ochrony Danych Osobowych (dalej: Prezes UODO, organ) decyzją z [...] lipca 2024 r. nr [...]., na podstawie art. 104 § 1 ustawy z dnia 14 czerwca 1960 r. Kodeks postępowania administracyjnego (Dz.U. 2024 r. poz. 572; dalej "Kpa.") w zw. z art. 7 ust. 1 i 2 ustawy z dnia 10 maja 2018 r.
o ochronie danych osobowych (Dz.U. z 2019 r. poz. 1781), art. 6 ust. 1 i art. 58 ust. 2 lit. c oraz art. 6 ust. 1 lit. c i art. 58 ust. 2 rozporządzenia Parlamentu Europejskiego
i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych
w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie
o ochronie danych) (Dz. Urz. UE L 119 z 4.05.2016, str. 1, Dz. Urz. UE L 127
z 23.05.2018, str. 2 oraz Dz. Urz. UE L 74 z 4.03.2021, str. 35; dalej "RODO"),
po przeprowadzeniu postępowania administracyjnego w sprawie skargi Pana T.Z. (dalej także uczestnik), na nieprawidłowości w procesie przetwarzania jego danych osobowych przez [...] S.A. z siedzibą w [...] (dalej także: Bank, spółka, skarżąca), polegające na przetwarzaniu tych danych osobowych bez podstawy prawnej oraz odmowie ich usunięcia:
1. nakazał [...] S.A. z siedzibą w [...] usunięcie danych osobowych uczestnika, zawartych w umowach rachunków bankowych nr [...] z 17 lutego 2006 r., nr [...] z 17 sierpnia 2006 r., nr [...] z 10 kwietnia 2012 r. oraz
nr [...] z 10 kwietnia 2012 r., zwanych dalej "rachunkami bankowymi",
2. w pozostałym zakresie odmówił uwzględnienia wniosku.
Wydaniu powyższej decyzji towarzyszył następujący stan sprawy.
Do Prezesa UODO wpłynęła skarga Pana T.Z.
na nieprawidłowości w procesie przetwarzania jego danych osobowych przez Bank, polegające na przetwarzaniu jego danych osobowych bez podstawy prawnej oraz odmowie ich usunięcia.
W skardze wskazano, że Bank negatywnie odniósł się do wniosku uczestnika o usunięcie danych, wskazując w odpowiedzi, że "(...) nie usunie danych
ze względu na rzekome aktualne umowy o produkty bankowe. Pismo nie wskazuje na podstawę prawną decyzji ani faktyczną np. w postaci wykazu umów. Skarżący nigdy nie posiadał produktów bankowych ani nie zawierał umów z [...],
a wszelkie umowy o świadczenie usług bankowych z bankiem [...], który wszedł w skład [...] w czasie późniejszym, wcześniej skutecznie rozwiązał około roku 2010. W dalszych odwołaniach od powyższej decyzji Skarżący dowodził, iż pracownicy oddziału banku, w którym składał pisma, potwierdzają wielokrotnie brak jakichkolwiek usług prowadzonych dla niego przez [...]. Skarżący uznał, że Administrator powołuje się na fałszywą podstawę i nie ma prawa odmówić usunięcia danych."
Spółka wyjaśniła, że pozyskała dane osobowe uczestnika w związku
z zawarciem umów rachunków bankowych (data zamknięcia odpowiednio:
28 października 2012 r., 12 października 2012 r., 10 października 2012 r., 13 listopada 2012 r.), których kopii nie odnaleziono ani w elektronicznym repozytorium dokumentów, ani w archiwum zewnętrznym. Wskazano, że strony także łączyła zawarta 25 maja 2010 r. umowa o przyjmowanie i przekazywanie zleceń nabycia lub zbycia jednostek uczestnictwa funduszy inwestycyjnych i tytułów uczestnictwa
w funduszach zagranicznych, którą rozwiązano 13 stycznia 2021 r. Pozyskano dane osobowe uczestnika w zakresie: imienia, nazwiska, płci, daty urodzenia, numeru PESEL, danych z dowodu osobistego, imion rodziców, nazwiska panieńskiego matki, danych teleadresowe.
Wyjaśniono, że aktualnie spółka przetwarza dane osobowe uczestnika
na podstawie art. 6 ust. 1 lit. f RODO, jako dane archiwalne, do obsługi zgłoszeń, wniosków, skarg, żądań, jak również do ustalenia, dochodzenia lub obrony roszczeń. Bank przetwarza również dane uczestnika na podstawie art. 6 ust. 1 lit. c RODO
na podstawie art. 5 ustawy z dnia 5 sierpnia 2015 r. o rozpatrywaniu reklamacji przez podmioty rynku finansowego i o rzeczniku finansowym oraz art. 49 ust. 1 ustawy
z dnia 1 marca 2018 r. o przeciwdziałaniu praniu pieniędzy oraz finansowaniu terroryzmu. Podkreślono, że spółka nie przechowuje danych osobowych uczestnika na nośniku danych jakim jest skan dowodu tożsamości (tak: wyjaśnienia spółki
z 24 marca 2021 r. wraz z załącznikami oraz pismo z 13 stycznia 2022 r.).
Wskazano, że uczestnik występował o usunięcie jego danych osobowych pismami z 30 września 2020 r., 4 listopada 2020 r. oraz 7 grudnia 2020 r.
W odpowiedzi z 27 października 2020 r. odmówiono spełnienia tego żądania ze względu na konieczność przetwarzania danych osobowych w celu ustalenia, dochodzenia lub obrony ewentualnych roszczeń. Pismem z 5 stycznia 2021 r. podtrzymano dane stanowisko, wskazując na brak upływu okresu retencji danych. Zgodnie ze złożonymi wyjaśnieniami ani spółka, ani uczestnik nie wystąpili względem siebie z roszczeniami.
Odnośnie do okresu przetwarzania danych osobowych uczestnika spółka wyjaśniła, że ostatnia umowa obowiązująca pomiędzy nią a uczestnikiem – umowa
o przyjmowanie i przekazywanie zleceń nabycia lub zbycia jednostek uczestnictwa funduszy inwestycyjnych i tytułów uczestnictwa w funduszach zagranicznych – została rozwiązana 13 stycznia 2021 r. Uwzględniając aktualny stan relacji spółki
z uczestnikiem – brak aktywnych umów o produkty i usługi – zgodnie z przyjętymi okresami retencji danych, Bank zakończy przetwarzanie danych uczestnika
po upływie 7-letniego okresu retencji liczonego od pierwszego dnia kolejnego roku,
w którym nastąpiło zakończenie stosunków gospodarczych uczestnika z Bankiem. Okres retencji oparty jest o 6-letni termin przedawnienia roszczeń uczestnika wobec Banku (koniec tego terminu to 31 grudnia 2027), z uwzględnieniem doliczenia
do okresu przedawnienia rocznego buforu, na wypadek zgłoszenia przez uczestnika roszczeń w terminie bliskim końca okresu ich przedawnienia. Przechowywanie danych przez spółkę w dodatkowym rocznym okresie może mieć istotne znaczenie do obrony przez roszczeniami w sytuacji, gdyby uczestnik dokonał czynności skutkującej przerwaniem biegu przedawnienia, o której mowa w art. 123 § 1 Kodeks cywilnego (K.c.), w szczególności, gdyby powództwo przeciwko Bankowi zostało wniesione jeszcze przed przedawnieniem roszczenia, ale pozew zostałby doręczony po upływie 6 lat od wymagalności roszczenia. Uwzględniając powyższe data planowanego zakończenia przetwarzania danych osobowych uczestnika
to 31 grudnia 2028 r.
Jak wyjaśniła spółka, przetwarza dane osobowe uczestnika w zakresie umów rachunków bankowych zamkniętych w 2012 r. Fakt ten wynika z obowiązku prawnego (przepisy ustawy z dnia 1 marca 2018 r. o przeciwdziałaniu praniu pieniędzy oraz finansowaniu terroryzmu - Dz.U. z 2023 r., poz. 1124; zwanej dalej "ustawą AML"). 13 stycznia 2021 r. uczestnik rozwiązał umowę łączącą strony
i w tym dniu doszło do wygaśnięcia stosunków gospodarczych pomiędzy nimi. Spółka jest zatem zobowiązana do przetwarzania danych uczestnika w okresie wskazanym ustawą AML, a dane przetwarzane są na podstawie art. 6 ust. 1 lit. c oraz f RODO (tak: wyjaśnienia spółki z 12 sierpnia 2022 r.).
W uzasadnieniu wymienionej na wstępie decyzji wskazano, że RODO określa obowiązki administratora danych, do których należy przetwarzanie danych osobowych z zachowaniem przesłanek określonych w danym akcie. Przepisem uprawniającym administratorów danych do przetwarzania danych osób fizycznych jest art. 6 ust. 1 RODO, zgodnie z którym, przetwarzanie danych jest dopuszczalne tylko wtedy, gdy spełniona jest jedna z przesłanek wskazanych w tym przepisie. Katalog przesłanek wymienionych w art. 6 ust. 1 RODO, jest zamknięty. Każda
z przesłanek legalizujących proces przetwarzania danych osobowych ma charakter autonomiczny i niezależny. Oznacza to, że przesłanki te co do zasady są równoprawne, a wobec tego spełnienie co najmniej jednej z nich stanowi o zgodnym z prawem przetwarzaniu danych osobowych. W konsekwencji zgoda osoby, której dane dotyczą nie jest jedyną podstawą przetwarzania danych osobowych, ponieważ proces przetwarzania danych będzie zgodny z RODO również wówczas, gdy administrator danych wykaże spełnienie innej z wyżej wymienionych przesłanek. Niezależnie od zgody osoby, której dane dotyczą (art. 6 ust. 1 lit. a RODO) przetwarzanie danych osobowych jest dopuszczalne między innymi wtedy, gdy jest to niezbędne do wypełnienia obowiązku prawnego ciążącego na administratorze
(art. 6 ust. 1 lit. c RODO), jak również gdy jest to niezbędne do celów wynikających
z prawnie uzasadnionych interesów realizowanych przez administratora (art. 6 ust. 1 lit. f RODO).
Zgodnie z materiałem dowodowym zgromadzonym w sprawie, na chwilę obecną spółka, po zakończeniu relacji z uczestnikiem przetwarza jego dane osobowe z uwagi na ciążące na niej obowiązki prawne przewidziane w ustawie AML.
Stosownie do art. 2 ust. 1 pkt 1 ustawy AML banki krajowe są instytucjami obowiązanymi, czyli podmiotami zobowiązanymi do wypełniania obowiązków przewidzianych w danym akcie. W myśl art. 49 ustawy AML instytucje obowiązane przechowują przez okres 5 lat, licząc od dnia zakończenia stosunków gospodarczych z klientem lub od dnia przeprowadzenia transakcji okazjonalnej: 1) uzyskane
w wyniku stosowania środków bezpieczeństwa finansowego kopie dokumentów
i informacje, w tym informacje uzyskane za pomocą środków identyfikacji elektronicznej oraz usług zaufania umożliwiających identyfikację elektroniczną
w rozumieniu rozporządzenia 910/2014; 2) dowody potwierdzające przeprowadzone transakcje i ewidencje transakcji, obejmujące oryginalne dokumenty lub kopie dokumentów konieczne do identyfikacji transakcji. Przed wejściem w życie ustawy AML obowiązywała ustawa z dnia 16 listopada 2000 r. o przeciwdziałaniu praniu pieniędzy oraz finansowaniu terroryzmu (Dz.U. z 2017 r. poz. 1049; zwana dalej "ustawą z 2000 r."). W poprzednio obowiązującym stanie prawnym odpowiednikiem art. 49 ustawy AML był art. 9k ustawy z 2000 r., zgodnie z którym informacje uzyskane w wyniku stosowania środków, o których mowa w art. 8b i 9e, były przechowywane przez okres 5 lat, licząc od pierwszego dnia roku następującego po roku, w którym przeprowadzono transakcję z klientem.
Ostatnia z umów zawartych pomiędzy uczestnikiem a spółką, tj. umowa
z 25 maja 2010 r., przestała obowiązywać z dniem 13 stycznia 2021 r. Spółka przetwarza więc aktualnie dane osobowe uczestnika w zakresie ww. umowy
w oparciu o art. 49 ustawy AML, co znajduje oparcie w przesłance legalizującej przetwarzanie danych osobowych wskazanej w art. 6 ust. 1 lit. c RODO. Przepis ten nie może stanowić podstawy prawnej do przetwarzania danych osobowych uczestnika zawartych w umowach rachunków bankowych z 17 lutego 2006 r.,
17 sierpnia 2006 r. i 10 kwietnia 2012 r. Dane umowy zamknięto w 2012 r., wobec czego spółka była uprawniona do przetwarzania danych osobowych w zakresie tych umów wyłącznie na podstawie przepisów ustawy z 2000 r., gdyż obecnie obowiązująca ustawa AML weszła w życie 13 lipca 2018 r. Przed tą datą upłynął termin obowiązkowej archiwizacji dokumentów wytworzonych w związku z tymi umowami wskazany w art. 9k ustawy z 2000 r.
Okres przetwarzania danych należy liczyć dla każdej z ww. umów osobno. Organ nie podzielił stanowiska spółki, że termin 5 lat należy liczyć dla całości dokumentacji dotyczącej konkretnego klienta od momentu zakończenia ostatniej relacji dotyczącej tej osoby.
Jako postawę do przetwarzania danych osobowych uczestnika wskazano również art. 5 ustawy z dnia 5 sierpnia 2015 r. o rozpatrywaniu reklamacji przez podmioty rynku finansowego, o Rzeczniku Finansowym i o Funduszu Edukacji Finansowej (Dz. U. z 2023 r. poz. 1809; zwanej dalej "u.r.r."), zgodnie z którym
po złożeniu przez klienta reklamacji, zgodnie z wymogami, o których mowa w art. 4 ust. 1 pkt 1, podmiot rynku finansowego rozpatruje reklamację i udziela klientowi odpowiedzi na piśmie.
Zdaniem Prezesa UODO spółka nie wykazała, aby aktualnie rozpatrywała reklamacje złożone przez uczestnika. Z zebranego w sprawie materiału dowodowego wynika, że co prawda uczestnik kierował do Banku wnioski z 30 września 2020 r.,
4 listopada 2020 r. oraz 7 grudnia 2020 r., lecz ich treść dotyczyła wyłącznie kwestii przetwarzania jego danych osobowych, a dokładniej zawierała żądania ich usunięcia. W związku z powyższym wyjaśnienia spółki pozwalają uznać, że uczestnik nie wystąpił z żadnymi innymi reklamacjami.
Odnośnie zaś do powołanego przez spółkę celu przetwarzania danych osobowych uczestnika dotyczącego obrony przed jego ewentualnymi roszczeniami, organ wskazał, że zebrany w niniejszym postępowaniu materiał dowodowy nie wykazał, aby uczestnik wystąpił z jakimkolwiek roszczeniem wobec Banku, które uzasadniałoby uprawnienie Banku do zachowania i przetwarzania jego danych osobowych dla celów dowodowych w związku z dochodzeniem roszczenia zarówno w zakresie danych zawartych w umowach rachunków bankowych zamkniętych
w 2012 r., jak i w umowie zawartej 25 maja 2010 r. o przyjmowanie i przekazywanie zleceń nabycia lub zbycia jednostek uczestnictwa funduszy inwestycyjnych i tytułów uczestnictwa w funduszach zagranicznych, rozwiązanej 13 stycznia 2021 r.
Prezes UODO podkreślił, że Bank nie wystąpił w stosunku do uczestnika
z jakimkolwiek roszczeniem. Wątpliwości budzi doliczenie do okresu przedawnienia rocznego buforu, na wypadek zgłoszenia przez uczestnika roszczeń w terminie bliskim końca okresu ich przedawnienia.
Odwołano się do motywu 47 RODO i wskazano, że dochodzenie przez podmiot roszczeń finansowych jest prawnie uzasadnionym interesem i w tym sensie nadrzędnym nad prawami i wolnościami osoby, której dane dotyczą, bowiem dochodzenie roszczeń nie stanowi nieproporcjonalnego ograniczenia tych praw
i wolności. Podkreślono przy tym, że przesłanka z art. 6 ust. 1 lit. f RODO dotyczy sytuacji już istniejącej, w której celem wynikającym z prawnie uzasadnionych interesów realizowanych przez administratora jest konieczność udowodnienia, potrzeba dochodzenia lub obrony przed roszczeniem istniejącym, nie zaś sytuacji, gdy dane są przetwarzane w celu zabezpieczenia się przed ewentualnym roszczeniem.
Prezes UODO podzielił ponadto stanowisko Naczelnego Sądu Administracyjnego, odnoszące się do przesłanki wynikającej z art. 23 ust. 1 pkt 5 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz.U. 2016 r.
poz. 922 ze zm.), dotyczącej dopuszczalności przetwarzania danych osobowych dla wypełnienia prawnie usprawiedliwionych celów realizowanych przez administratorów danych albo odbiorców danych, gdy przetwarzanie nie narusza praw i wolności osoby, której dane dotyczą. Sąd ten w wyroku z dnia 6 marca 2019 r. o sygn. I OSK 994/17 (LEX nr 2670498) orzekł, "Przepis art. 23 ust 1 pkt 5 u.o.d.o. zezwala na przetwarzanie danych gdy jest to niezbędne dla wypełnienia prawnie usprawiedliwionych celów realizowanych przez administratorów danych albo odbiorców danych, a przetwarzanie nie narusza praw i wolności osoby, której dane dotyczą. Dokonując wykładni tego przepisu należy zatem zwrócić uwagę, że stosowanie ww. przepisu wymaga wykazania, że chodzi o realizowanie prawnie usprawiedliwionego celu, ale także dokonanie oceny czy dla realizacji tego celu niezbędne jest przekazanie danych, pomimo braku zgody osoby której dane te dotyczą. Ocena ta sprowadza się do wyważania racji i interesów osoby, której danych sprawa dotyczy, a która jest objęta ochroną prawną, a z drugiej administratora danych, również chronionego przez prawo w zakresie w jakim może realizować prawnie usprawiedliwione cele i uprawnienia. (...)".
Prezes UODO podkreślił, że przy przyjęciu odmiennej interpretacji danych przepisów, uczestnik zostałby pozbawiony ochrony na gruncie RODO oraz ustawy
z dnia 10 maja 2018 r. o ochronie danych osobowych. Przyjęcie za prawidłowe stanowiska, iż przetwarzanie danych osobowych w celu uchylenia się od negatywnych skutków w przypadku zgłoszenia w przyszłości ewentualnego
i nieokreślonego roszczenia, stanowi prawnie usprawiedliwiony cel w rozumieniu art. 6 ust. 1 lit. f RODO, oznaczałoby, że dane osobowe uczestnika mogą być przetwarzane przez Bank permanentnie, bez konieczności ich usunięcia. Teoretycznie możliwym jest przecież by uczestnik zwrócił się do Banku
z roszczeniem po upływie terminu przedawnienia roszczenia. Prowadziłoby to tym samym do uznania, że przetwarzanie jego danych osobowych przez Bank ma uzasadnienie w przesłance określonej art. 6 ust. 1 lit. f RODO w celu realizacji prawa do obrony przed ewentualnym roszczeniem uczestnika również po upływie
ww. terminu.
Brak jest uzasadnienia dla przyjęcia, że terminy dotyczące przedawnienia roszczeń wynikających ze stosunków zobowiązaniowych określają jednocześnie ramy czasowe, w których dane osobowe uczestnika mogą być przetwarzane przez Bank. Przedawnienie roszczenia nie wywołuje skutków na gruncie ochrony danych osobowych, nie wpływa bowiem na fakt istnienia roszczenia, a powoduje jedynie zmianę w sferze zarzutów procesowych w postaci możliwości podniesienia okoliczności przedawnienia w sporze sądowym. Okolicznością usprawiedliwiającą przetwarzanie danych osobowych w celu dochodzenia roszczeń jest sam fakt istnienia roszczenia oraz zamiar jego dochodzenia, nie jest nią natomiast zmiana
w uprawnieniach procesowych podmiotu pozwanego.
Organ wyjaśnił, że postępowanie administracyjne prowadzone przez Prezesa UODO służy kontroli zgodności przetwarzania danych z przepisami o ochronie danych osobowych i jest ukierunkowane na przywrócenie stanu zgodnego z prawem poprzez wydanie decyzji administracyjnej na podstawie art. 58 ust. 2 RODO. Korzystając z uprawnienia przewidzianego w art. 58 ust. 2 lit. c RODO, nakazano Bankowi usunięcie danych osobowych uczestnika zawartych w umowach rachunków bankowych zamkniętych w 2012 r., z uwagi na to, że przetwarzanie tych danych osobowych nie znajduje uzasadnienia we wskazanej przez spółkę przesłance
z art. 6 ust. 1 lit. f RODO. Spółka nie wykazała również żadnych obowiązków prawnych, które uzasadniałaby przetwarzanie danych osobowych uczestnika
na podstawie przesłanki z art. 6 ust. 1 lit. c RODO. Ustalenia poczynione w toku przeprowadzonego postępowania pozwoliły również na stwierdzenie, że przetwarzanie danych osobowych w zakresie danych zawartych w umowie z 25 maja 2010 r. aktualnie odbywa się w celu realizacji obowiązków prawnych ciążących na Banku, jako administratorze, na mocy art. 49 ustawy AML, co w ocenie Prezesa UODO stanowi realizację przesłanki przewidzianej w art. 6 ust. 1 lit. c RODO. Wobec powyższego, w zakresie procesu przetwarzania przez Bank danych osobowych uczestnika w związku z umową z 25 maja 2010 r., odmówiono uwzględnienia wniosku uczestnika.
Skarżąca w złożonej do Sądu skardze na powołaną decyzję Prezesa UODO zarzuciła:
1. naruszenie przepisów prawa procesowego, tj.:
a. art. 104 § 1 w zw. z art. 105 § 1 Kpa. oraz art. 156 § 1 pkt 2, 5 i 7 Kpa. poprzez:
- wydanie decyzji, która jest bezprzedmiotowa i niewykonalna, o czym organ wiedział w chwili jej wydawania i w konsekwencji bezpodstawne nakazanie usunięcia danych uczestnika zawartych w konkretnych umowach w sytuacji, w której Bank poinformował organ, iż nie posiada tych umów, a poszukiwanie tych dokumentów zakończyło się fiaskiem,
- prowadzenie postępowania pomimo jego bezprzedmiotowości związanej
z nieposiadaniem przez Bank przedmiotowych umów,
a w konsekwencji wydanie merytorycznego rozstrzygnięcia, gdy brak było podstaw do jego wydania, a w szczególności wydanie rozstrzygnięcia nakazującego Bankowi usunięcie danych zawartych w umowach, gdy Bank tych umów nie posiada, co powoduje bezprzedmiotowość oraz niewykonalność takiej decyzji;
b. art. 6 i 7 Kpa. oraz art. 7 Konstytucji RP poprzez przekroczenie kompetencji organu i arbitralne stwierdzenie, że pomiędzy stronami umowy o produkt bankowy, nie istnieją bądź nie mogły powstać roszczenia o charakterze cywilnoprawnym podczas, gdy Prezes UODO nie jest organem kompetentnym do rozstrzygania tej materii, lecz sąd powszechny;
c. art. 58 ust. 2 lit. b RODO w zw. art. 51 ust. 1, art. 55 ust. 1, art. 57-58 RODO poprzez przekroczenie kompetencji organu i ocenę istnienia roszczeń cywilnoprawnych pomiędzy Bankiem, a podmiotem danych, podczas gdy taka ocena leży wyłącznie w sferze kompetencji sądu cywilnego w ramach rozpatrywania sprawy cywilnej i w konsekwencji nieuprawnione przyjęcie braku podstawy przetwarzania danych w celu obrony przed roszczeniami;
2. naruszenie przepisów prawa materialnego, w postaci:
a. art. 49 ust. 1 ustawy AML w zw. z art. 40 Dyrektywy AML oraz art. 6 ust. 1 lit. c RODO poprzez jego niewłaściwą interpretację i wadliwe zastosowanie,
a w konsekwencji:
- błędne przyjęcie, że pojęcie stosunków gospodarczych należy utożsamić
z poszczególnymi stosunkami prawnymi, podczas gdy pojęcie to należy rozumieć jako ogół relacji prawnych (sumę stosunków prawnych) łączących dany podmiot z instytucją obowiązaną,
- błędne przyjęcie, że przepis art. 49 ust. 1 ustawy AML w świetle zapisów Dyrektyw AML z 2015 znajduje zastosowanie wyłącznie do stosunków prawnych, które istniały w okresie po wejściu w życie obecnie obowiązującej ustawy
o przeciwdziałaniu praniu pieniędzy i finansowaniu terroryzmu, gdy regulacja ta dotyczy całokształtu relacji gospodarczych, tj. wszystkich stosunków prawnych jakie mają i miały miejsce pomiędzy klientem, a instytucją obowiązaną,
o których instytucja ta ma wiedzę w chwili wejścia w życie tej ustawy, a relacja gospodarcza pomiędzy stronami przez cały czas istniała,
- błędne przyjęcie, że przepis art. 49 ust 1 ustawy AML w świetle zapisów Dyrektyw AML z 2015 należy interpretować w ten sposób, że termin 5-letni winien być liczony od chwili zakończenia każdego stosunku prawnego, gdy Dyrektywa posługuje się pojęciem zakończenia stosunków gospodarczych z danym klientem;
b. art. 9k ustawy z 2000 r. w zw. z art. 30 Dyrektywy AML z 2015 w zw. z art. 6 ust. 1 lit. c RODO poprzez jego niewłaściwą interpretację i wadliwe zastosowanie, a w konsekwencji:
- błędne przyjęcie, że pojęcie stosunków gospodarczych należy utożsamić
z poszczególnymi stosunkami prawnymi, gdy pojęcie to należy rozumieć jako ogół relacji prawnych (sumę stosunków prawnych) łączących dany podmiot z instytucją obowiązaną,
- błędne przyjęcie, że przepis art. 9k ustawy z 2000 r. w świetle zapisów Dyrektywy AML z 2005 należy interpretować w ten sposób, że termin 5-letni winien być liczony od chwili zakończenia każdego stosunku prawnego, gdy Dyrektywa posługuje się pojęciem zakończenia stosunków gospodarczych;
c. art. 6 ust. 1 lit. f RODO poprzez błędną interpretację, a w konsekwencji uznanie, że przetwarzanie danych osobowych w celu ustalenia, dochodzenia lub obrony roszczeń nie stanowi prawnie uzasadnionego interesu Banku, gdy Bank przetwarza dane uczestnika w okresie przedawnienia roszczeń cywilnych przez okres wynikających z przepisów K.c.;
d. art. 6 ust. 1 lit. f RODO w zw. z art. 117 § 2 i 21, art. 118 i 119 K.c., polegające na jego niewłaściwym zastosowaniu i przyjęciu, jakoby przechowywanie danych przez okres przedawnienia roszczeń – również, gdy ani administrator ani osoba, której dane dotyczą nie zgłosiła jeszcze roszczenia, nie stanowi prawnie uzasadnionego interesu Banku, w rozumieniu art. 6 ust. 1 lit. f RODO, gdy przepisy te uprawniają Bank do przetwarzania danych osobowych w celu ustalenia, dochodzenia lub ochrony przed roszczeniami.
W oparciu o powyższe zarzuty wniesiono o uwzględnienie przez Prezesa UODO skargi w całości i uchylenie zaskarżonej decyzji organu i umorzenie postępowania, w przypadku braku dokonania samokontroli, o stwierdzenie nieważność zaskarżonej decyzji w całości. W sytuacji braku uznania przez Sąd podstaw do stwierdzenie nieważność zaskarżonej decyzji, wniesiono o uchylenie
w całości zaskarżonej decyzji i umorzenie postępowania, ewentualnie przekazanie sprawy do ponownego rozpoznania. Sformułowano ponadto wniosek o wstrzymanie wykonania punktu 1 decyzji organu.
W uzasadnieniu skargi rozwinięto argumentację towarzyszącą postawionym
w niej zarzutom.
Prezes UODO w odpowiedzi na skargę wniósł o jej oddalenie, uznając postawione w niej zarzuty jako niezasadne.
Sąd postanowieniem z dnia [...] listopada 2024 r. wstrzymał wykonanie punktu 1 zaskarżonej decyzji.
Wojewódzki Sąd Administracyjny w Warszawie zważył, co następuje.
W świetle art. 1 § 1 ustawy z dnia 25 lipca 2002 r. – Prawo o ustroju sądów administracyjnych (t.j. Dz. U. z 2024 r. poz. 1256), sądy administracyjne sprawują wymiar sprawiedliwości przez kontrolę działalności administracji publicznej, przy czym stosownie do § 2 art. 1 powołanej ustawy kontrola ta sprawowana jest pod względem zgodności z prawem, jeżeli ustawy nie stanowią inaczej.
Skarga Banku oceniana według podanych kryteriów kontroli nie zasługują na uwzględnienie. Zaskarżona decyzja Prezesa UODO z [...] lipca 2024 r. zarówno
w części dotyczącej rozstrzygnięcia zawartego w punkcie 1 jak i 2, nie narusza prawa. Powołaną decyzję wydano po dokonaniu wymaganych ustaleń stanu faktycznego niezbędnych do załatwienia sprawy a stanowisko w tym zakresie należycie uzasadniono.
Poza sporem pozostaje, że Bank przetwarza dane osobowe uczestnika między innymi w zakresie wynikającym z umów rachunków bankowych zamkniętych w 2012 r., na podstawie art. 6 ust. 1 lit. f RODO jako dane archiwalne, do obsługi zgłoszeń, wniosków, skarg i żądań uczestnika, jak również do ustalenia, dochodzenia lub obrony roszczeń. Przetwarza również dane uczestnika, w związku z zawartą
z nim umową z 25 maja 2010 r., na podstawie art. 6 ust. 1 lit. c RODO oraz
art. 5 u.r.r. oraz art. 49 ust. 1 ustawy o AML. Konstatacja Banku dotycząca braku przedmiotu postępowania jest więc nieuzasadniona. Organ miał na uwadze, że Bank nie dysponuje fizycznie umowami rachunków bankowych. Rozstrzygnięcie Prezesa UODO nie dotyczy jednakże nośników zawierających dane osobowe uczestnika, lecz procesów przetwarzania powołanych danych.
Dokonując oceny zgodności z prawem zaskarżonej decyzji wskazać na wstępie należy, że zgodnie z motywem 40 RODO, aby przetwarzanie danych było zgodne z prawem, powinno się odbywać na podstawie zgody osoby, której dane dotyczą, lub na innej uzasadnionej podstawie przewidzianej prawem: albo
w niniejszym rozporządzeniu, albo w innym akcie prawnym Unii lub w prawie państwa członkowskiego, o których mowa w niniejszym rozporządzeniu, w tym musi się ono odbywać z poszanowaniem obowiązku prawnego, któremu podlega administrator, lub z poszanowaniem umowy, której stroną jest osoba, której dane dotyczą, lub w celu podjęcia działań na żądanie osoby, której dane dotyczą, przed zawarciem umowy.
Powyższe znalazło wyraz w art. 6 ust. 1 RODO określającym przesłanki legalności przetwarzania danych osobowych. Zgodnie z tym przepisem, przetwarzanie jest zgodne z prawem wyłącznie w przypadkach, gdy - i w takim zakresie, w jakim - spełniony jest co najmniej jeden z poniższych warunków: a) osoba, której dane dotyczą wyraziła zgodę na przetwarzanie swoich danych osobowych w jednym lub większej liczbie określonych celów; b) przetwarzanie jest niezbędne do wykonania umowy, której stroną jest osoba, której dane dotyczą, lub do podjęcia działań na żądanie osoby, której dane dotyczą, przed zawarciem umowy; c) przetwarzanie jest niezbędne do wypełnienia obowiązku prawnego ciążącego na administratorze; d) przetwarzanie jest niezbędne do ochrony żywotnych interesów osoby, której dane dotyczą, lub innej osoby fizycznej; e) przetwarzanie jest niezbędne do wykonania zadania realizowanego w interesie publicznym lub
w ramach sprawowania władzy publicznej powierzonej administratorowi;
f) przetwarzanie jest niezbędne do celów wynikających z prawnie uzasadnionych interesów realizowanych przez administratora lub przez stronę trzecią, z wyjątkiem sytuacji, w których nadrzędny charakter wobec tych interesów mają interesy lub podstawowe prawa i wolności osoby, której dane dotyczą, wymagające ochrony danych osobowych, w szczególności gdy osoba, której dane dotyczą, jest dzieckiem. Akapit pierwszy lit. f) nie ma zastosowania do przetwarzania, którego dokonują organy publiczne w ramach realizacji swoich zadań.
Osią sporu w rozpatrywanej sprawie pozostaje rozumienie pojęcia stosunków gospodarczych, od których istnienia – zakończenia – pomiędzy danymi podmiotami praw i obowiązków, uzależnione jest prawo przetwarzania danych osobowych
w oparciu o art. 6 ust. 1 RODO.
Zgodnie z materiałem dowodowym zgromadzonym w sprawie, Bank,
po zakończeniu relacji z uczestnikiem, w związku z zamkniętymi w 2012 r. umowami rachunków bankowych, przetwarza jego dane osobowe z uwagi na ciążące na nim obowiązki prawne przewidziane w ustawie AML.
W myśl art. 2 ust. 1 pkt 1 ustawy AML banki krajowe są instytucjami obowiązanymi, czyli podmiotami zobowiązanymi do wypełniania obowiązków przewidzianych danym aktem. W myśl art. 49 ustawy AML instytucje obowiązane przechowują przez okres 5 lat, licząc od dnia zakończenia stosunków gospodarczych z klientem lub od dnia przeprowadzenia transakcji okazjonalnej: 1) uzyskane
w wyniku stosowania środków bezpieczeństwa finansowego kopie dokumentów
i informacje, w tym informacje uzyskane za pomocą środków identyfikacji elektronicznej oraz usług zaufania umożliwiających identyfikację elektroniczną
w rozumieniu rozporządzenia 910/2014; 2) dowody potwierdzające przeprowadzone transakcje i ewidencje transakcji, obejmujące oryginalne dokumenty lub kopie dokumentów konieczne do identyfikacji transakcji.
Stosownie do art. 2 ust. 2 pkt 20 ustawy AML poprzez stosunki gospodarcze należy rozumieć się stosunki instytucji obowiązanej z klientem związane
z działalnością zawodową instytucji obowiązanej, które w chwili ich nawiązywania wykazują cechę trwałości. Przed wejściem w życie ustawy AML obowiązywała ustawa z dnia 16 listopada 2000 r. o przeciwdziałaniu praniu pieniędzy oraz finansowaniu terroryzmu (ustawa z 2000 r.). W poprzednio obowiązującym stanie prawnym odpowiednikiem art. 49 ustawy AML był art. 9k ustawy z 2000 r., zgodnie
z którym informacje uzyskane w wyniku stosowania środków, o których mowa w art. 8b i 9e, były przechowywane przez okres 5 lat, licząc od pierwszego dnia roku następującego po roku, w którym przeprowadzono transakcję z klientem.
Jak wynika z powołanych przepisów ustawy AML uprawnienie
do przechowywania danych osobowych związanych z zastosowaniem środków bezpieczeństwa jest powiązane z przeprowadzaniem transakcji. W przypadku zakończonych umów rachunków bakowych nie może dojść
do przeprowadzenia w oparciu o nie jakichkolwiek transakcji. Dodatkowo nie dochodzi również do kontynuowania stosunków gospodarczych. Zgodnie z art. 35 ust. 1 pkt 1 ustawy AML instytucje obowiązane, w tym banki, stosują środki bezpieczeństwa finansowego w przypadku nawiązywania, prowadzenia, stosunków gospodarczych. W przypadku gdy instytucja obowiązana nie może zastosować jednego ze środków bezpieczeństwa finansowego, o których mowa w art. 34 ust. 1, nie nawiązuje stosunków gospodarczych lub rozwiązuje stosunki gospodarcze (art. 41 ust. 1 pkt 1 i pkt 4 ustawy AML). W ocenie Sądu zamknięte w 2012 r. umowy nie posiadają cechy trwałości, które w aspekcie powyższych przepisów AML uzasadniałyby dalsze przetwarzanie powiązanych z nimi danych osobowych.
Ostatnia z umów zawartych pomiędzy uczestnikiem a Bankiem, tj. umowa
z 25 maja 2010 r., przestała obowiązywać 13 stycznia 2021 r. Bank przetwarza zatem aktualnie dane osobowe uczestnika w zakresie danej umowy w oparciu
o art. 49 ustawy AML, co znajduje oparcie w przesłance legalizującej przetwarzanie danych osobowych wskazanej w art. 6 ust. 1 lit. c RODO. Spoczywa bowiem na nim obowiązek w tym zakresie jako administratorze. Co do pozostałych umów, zamkniętych w 2012 r., w związku z którymi Bank nadal przetwarza dane osobowe uczestnika, termin przewidziany przez przepisy dotyczące przeciwdziałania praniu pieniędzy oraz finansowania terroryzmu, upłynął. Należy mieć bowiem na uwadze, że ustawa AML weszła w życie 13 lipca 2018 r. Przed tą datą zaś upłynął termin obowiązkowej archiwizacji dokumentów wytworzonych w związku z danymi umowami wskazany w art. 9k ustawy z 2000 r.
Zdaniem Sądu pojęcie stosunków gospodarczych, którym posługuje się ustawa AML oraz ustawa z 2000 r. dotyczy stosunku prawnego wynikającego
z pojedynczej umowy zawartej klientem. Przyjęcie interpretacji proponowanej przez skarżącą, zgodnie z którą przez powołane pojęcie należy rozumieć ogół relacji prawnych (sumę stosunków prawnych) łączących dany podmiot z instytucją obowiązaną, prowadziłoby do uznania, że wypełnienie obowiązku, o którym mowa
w art. 49 ust. 1 ustawy AML, wiązałoby się z koniecznością przechowywania dokumentacji i informacji przez cały okres współpracy z klientem, również dokumentacji dotyczącej umów, które zakończono znacznie wcześniej niż 5 lat, licząc od dnia rozwiązania stosunków gospodarczych z klientem. Wówczas
w przypadku stosunków o charakterze trwałym okres przechowywania niektórych dokumentów i informacji mógłby w praktyce wynosić kilkanaście lub nawet kilkadziesiąt lat. Taka interpretacja normy ustawowej stałaby więc w sprzeczności
z zasadami przetwarzania danych osobowych wyrażonymi w RODO.
W konsekwencji okres przetwarzania danych należy liczyć dla każdej z umów zawartych pomiędzy uczestnikiem a skarżącą spółką osobno. Sąd nie podziela stanowiska Banku, że termin 5 lat należy liczyć dla całości dokumentacji dotyczącej konkretnego klienta od momentu zakończenia ostatniej relacji jego dotyczącej.
W analizowanej sprawie umowy rachunków bankowych zamknięto w 2012 r., skarżąca zaś nie wykazała, aby nadal była uprawniona do przetwarzania danych osobowych uczestnika, które pozyskała w związku z ich zawarciem. Z uwagi na prezentowane w niniejszym uzasadnieniu rozumienie pojęcia stosunków gospodarczych nawiązanych na podstawie tych umów, dla każdej z nich z osobna, upłynął termin obowiązkowego przechowywania dokumentacji wynikający
z przepisów o przeciwdziałaniu praniu pieniędzy oraz finansowaniu terroryzmu.
Należy również podkreślić, że na przestrzeni kilku, kilkunastu lat dane osobowe określonego klienta instytucji finansowej – podmiotu praw i obowiązków – mogą ulec zmianie. Dla przykładu, w zakresie imienia, nazwiska, czy nawet płci. Administrowanie zatem danymi pozyskanymi na pewnym etapie nawiązywania stosunków gospodarczych pomiędzy uczestnikami obrotu, po wygaśnięciu łączących ich relacji, na przykład umów rachunków bankowych i upływie okresu przewidzianego w art. 49 ust. 1 ustawy AML, nie miałoby uzasadnienia, wobec zmiany danych wrażliwych klienta, na przykład banku. Doszłoby wówczas do przechowywania danych osobowych klienta, którego nie sposób odnaleźć w bazie na podstawie aktualnie okazanych bankowi dokumentów tożsamości.
Warto w tym miejscu zwrócić uwagę na stanowisko prezentowane
w doktrynie, wobec normy zawartej w art. 49 ust. 1 ustawy AML, zgodnie z którym wskazany przez ustawodawcę okres retencji to 5 lat, licząc od dnia zakończenia stosunków gospodarczych z klientem lub od dnia przeprowadzenia transakcji okazjonalnej. Został on znacząco wydłużony względem okresu obowiązującego
w ustawie z 2000 r. Przepis art. 49 ustawy AML należy bowiem rozumieć tak, że mowa jest w nim o dniu zakończenia ostatnich stosunków gospodarczych pomiędzy klientem a instytucją obowiązaną. A zatem, jeśli klient posiadał rachunek bankowy
w okresie 2019–2022, a jednocześnie zawarł umowy pożyczki gotówkowej w okresie 2019–2020, to dokumenty związane z oboma produktami będą przechowywane przez okres 5 lat od dnia, w którym uległo rozwiązanie tej z dwóch wskazanych relacji z instytucją, która trwała najdłużej. (tak: Nowakowski Michał (red.), Przeciwdziałanie praniu pieniędzy oraz finansowaniu terroryzmu. Komentarz. Opublikowano: WKP 2023).
Zgodnie z motywem 47 RODO podstawą prawną przetwarzania mogą być prawnie uzasadnione interesy administratora, w tym administratora, któremu mogą zostać ujawnione dane osobowe, lub strony trzeciej, o ile w świetle rozsądnych oczekiwań osób, których dane dotyczą, opartych na ich powiązaniach
z administratorem nadrzędne nie są interesy lub podstawowe prawa i wolności osoby, której dane dotyczą. Należy uznać, że dochodzenie przez podmiot roszczeń finansowych jest prawnie uzasadnionym interesem i w tym sensie nadrzędnym nad prawami i wolnościami osoby, której dane dotyczą, bowiem dochodzenie roszczeń nie stanowi nieproporcjonalnego ograniczenia tych praw i wolności.
Podkreślenia jednak wymaga, że przesłanka z art. 6 ust. 1 lit. f RODO dotyczy sytuacji już istniejącej, w której celem wynikającym z prawnie uzasadnionych interesów realizowanych przez administratora jest konieczność udowodnienia, potrzeba dochodzenia lub obrony przed roszczeniem istniejącym, nie zaś sytuacji, gdy dane są przetwarzane w celu zabezpieczenia się przed ewentualnym roszczeniem.
Naczelny Sąd Administracyjny w wyroku z dnia 23 września 2005 r. o sygn.
I OSK 712/05 (dostępny w CBOSA) wskazał, "(...) że rozstrzygając o legalności przetwarzania danych trzeba każdorazowo, ważąc interesy stron, znaleźć równowagę między prawami i wolnościami jednostki z jednej strony a prawnie usprawiedliwionym interesem osoby trzeciej z drugiej strony. Oznacza to obowiązek zapewnienia właściwej równowagi praw i interesów stron w tym praw podstawowych. Zdaniem Naczelnego Sądu Administracyjnego przetwarzanie danych osobowych (...), który cofnął zgodę na ich przetwarzanie, nie jest niezbędne dla wypełnienia prawnie usprawiedliwionych celów realizowanych przez (...), a którym jest prawo do podjęcia obrony przed ewentualnymi roszczeniami lub zarzutami dotyczącymi przetwarzania danych (...) w celu obsługi wniosku kredytowego. Wskazać, należy że przepis art. 23 ust. 1 pkt 5 ustawy na pierwszym miejscu wymienia warunek, że przetwarzanie danych winno być niezbędne dla wypełnienia prawnie usprawiedliwionych celów. (...) niedopuszczalne jest przetwarzanie danych osobowych niejako "na zapas" z założeniem, że mogą być one ewentualnie przydatne w przyszłości. (...) Pomiędzy stronami nie toczy się także żadne postępowanie reklamacyjne. Zatem przetwarzania danych strony, a więc na wszelki wypadek, nie można uznać za przetwarzanie niezbędne dla wypełnienia prawnie usprawiedliwionych celów. Zgodnie z art. 23 ust. 1 pkt 2 u.o.d.o. przetwarzanie danych osobowych jest dopuszczalne wtedy, gdy jest to niezbędne dla zrealizowania uprawnienia lub spełnienia obowiązku wynikającego z przepisu prawa. Przepis ten dopuszcza możliwość przetwarzania danych, uzależnia jednak legalność tego procesu od spełnienia dwóch istotnych wymogów, tj. istnienia odpowiedniego przepisu prawa, który przyznaje podmiotowi uprawnienie lub nakłada na niego obowiązek oraz niezbędności przetwarzania danych dla zrealizowania tego uprawnienia lub spełnienia obowiązku wynikającego z tego przepisu. Wymogi te powinny być spełnione łącznie."
Brak jest uzasadnienia dla przyjęcia, że terminy dotyczące przedawnienia roszczeń wynikających ze stosunków zobowiązaniowych określają jednocześnie ramy czasowe, w których dane osobowe uczestnika mogą być przetwarzane przez Bank. Przedawnienie roszczenia nie wywołuje skutków na gruncie ochrony danych osobowych, nie wpływa bowiem na fakt istnienia roszczenia, a powoduje jedynie zmianę w sferze zarzutów procesowych w postaci możliwości podniesienia okoliczności przedawnienia w sporze sądowym. Okolicznością usprawiedliwiającą przetwarzanie danych osobowych w celu dochodzenia roszczeń jest sam fakt istnienia roszczenia oraz zamiar jego dochodzenia, nie jest nią natomiast zmiana
w uprawnieniach procesowych podmiotu pozwanego.
Administrator, którym w realiach niniejszej sprawy jest Bank, miał obowiązek, stosownie do obowiązującej go zasady rozliczalności, o której mowa w art. 5 ust. 2 RODO, wykazać, że posiada podstawy prawne, legalizujące kwestionowany
w skardze do organu proces przetwarzania danych osobowych uczestnika. Bank jednakże nie wykazał, aby nadal był uprawniony do przetwarzania danych osobowych, które pozyskał w związku z zawarciem umów rachunków bankowych.
Umowy wygasłe w 2012 r. nie mogły zatem stanowić podstawy zgodnego
w powołanymi przepisami przetwarzania danych osobowych uczestnika.
Zwrócić należy ponadto uwagę na swoisty dysonans w stanowisku prezentowanym przez skarżącą, że nie posiada fizycznie umów rachunków bankowych, a z drugiej, że archiwizuje dokumentację wytworzoną w związku z tymi umowami w oparciu o przepisy ustawy AML. Powyższe potwierdza jedynie, że nie istnieją obecnie żadne obowiązki prawne, celem wykonania których niezbędne jest dalsze przetwarzanie danych osobowych uczestnika pozyskanych w związku
z ich zawarciem.
Nieuzasadnione są zarzuty skargi dotyczące naruszenia przepisów prawa procesowego, organ bowiem prawidłowo zebrał i ocenił zgromadzony
w sprawie materiał dowodowy, opierając się na wyjaśnieniach Banku dotyczących przetwarzania danych osobowych uczestnika. Uzasadnienie decyzji odpowiada zaś wymogom określonym w art. 107 § 3 Kpa..
Reasumując Sąd stwierdza, że zaskarżona decyzja Prezesa UODO jest zgodna z prawem, zaś zarzuty skargi nie zasługiwały na uwzględnienie.
Mając na względzie powyższe, Sąd na podstawie art. 151 ustawy z dnia
30 sierpnia 2002 r. – Prawo o postępowaniu przed sądami administracyjnymi
(Dz.U. z 2024 r. poz. 935 ze zm.) orzekł, jak w sentencji wyroku.
-----------------------
4