II SA/Wa 1657/22

II SA/Wa 1657/22 - Wyrok WSA w Warszawie
Data orzeczenia
2023-03-10
orzeczenie nieprawomocne
Data wpływu
2022-09-15
Sąd
Wojewódzki Sąd Administracyjny w Warszawie
Sędziowie
Ewa Radziszewska-Krupa /przewodniczący sprawozdawca/
Iwona Maciejuk
Łukasz Krzycki
Symbol z opisem
647  Sprawy związane z ochroną danych osobowych
Skarżony organ
Generalny Inspektor Ochrony Danych Osobowych
Treść wyniku
Oddalono skargę
Sentencja
Wojewódzki Sąd Administracyjny w Warszawie w składzie następującym: Przewodniczący Sędzia WSA Ewa Radziszewska-Krupa (spr.), Sędzia WSA Iwona Maciejuk, Sędzia WSA Łukasz Krzycki, Protokolant starszy specjalista Ewa Kielak po rozpoznaniu na rozprawie w dniu 10 marca 2023 r. sprawy ze skargi E. J. na decyzję Prezesa Urzędu Ochrony Danych Osobowych z dnia [...] lipca 2022 r. nr [...] w przedmiocie przetwarzania danych osobowych oddala skargę
Uzasadnienie
I. Stan sprawy przedstawia się następująco:
1. Prezes Urzędu Ochrony Danych Osobowych (zwany dalej "Prezesem UODO") decyzją z [...] lipca 2022r. nr [...] odmówił uwzględnienia wniosku E. J. (zwana dalej "Skarżącą") na nieprawidłowości w procesie przetwarzania Jej danych osobowych przez:
- [...] Bank [...]S.A. z siedzibą w [...] (zwany dalej "Bankiem"), które polegało na ich udostępnieniu bez podstawy prawnej na rzecz K. L., prowadzącej działalność gospodarczą pod nazwą K. L. Kancelaria Radcy Prawnego z siedzibą w [...] (zwana dalej "Przedsiębiorcą") i niewypełnieniu przez Bank obowiązku informacyjnego z art. 15 ust. 1 RODO,
- Przedsiębiorcę przez przetwarzanie ww. danych osobowych Skarżącej bez podstawy prawnej.
W podstawie prawnej powołano m.in. art. 104 § 1 Kodeksu postępowania administracyjnego (Dz.U. z 2021r., poz. 735 ze zm., zwana dalej: "k.p.a.") w zw. z art. 7 ust. 1 i 2 ustawy z 10 maja 2018r. o ochronie danych osobowych (Dz.U. z 2019r., poz. 1781, zwana dalej "u.o.d.o.") oraz na podstawie art. 6 ust. 1 lit. c i f, art. 15 ust. 1, art. 28 ust. 3 oraz art. 58 ust. 2 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z 27 kwietnia 2016r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (Dz.Urz.UE L 119 z 4.05.2016, str. 1, Dz. Urz. UE L 127 z 23.05.2018, str. 2 oraz Dz. Urz. UE L 74 z 4.03.2021, str. 35 zwane dalej: "RODO").
Prezes UODO w uzasadnieniu wskazał m.in., że po przeprowadzeniu postępowania wyjaśniającego ustalił na podstawie:
a) skargi z 23 marca 2020r. i pisma Skarżącej z 12 października 2020r., że Skarżąca wniosła o:
- stwierdzenie naruszania przez: Bank przepisów o ochronie danych osobowych - przez nieuprawnione przekazanie Jej danych osobowych Przedsiębiorcy; - Przedsiębiorcę przepisów o ochronie danych osobowych przez nieuprawnione ich przetwarzanie;
- nakazanie Bankowi zaprzestania przekazywania Jej danych osobowych na rzecz Przedsiębiorcy;
- nakazanie Przedsiębiorcy zaprzestania przetwarzania Jej danych osobowych i ich usunięcia;
- sprawdzenie bezpieczeństwa przetwarzania Jej danych osobowych przez Przedsiębiorcę.
Skarżąca wskazała, że 10 lutego 2020r. zwróciła się do Przedsiębiorcy o przekazanie pełnej listy przetwarzanych Jej danych osobowych ze wskazaniem celu ich przetwarzania oraz podstawy prawnej ich przetwarzania. Skarżąca otrzymała od Przedsiębiorcy 19 marca 2020r. pismo z 11 marca 2020r., w którym przedstawiono zakres przetwarzanych danych osobowych, ze wskazaniem treści konkretnych danych, podstawę i cel przetwarzania. Zdaniem Skarżącej Przedsiębiorca przetwarza adres IP komputera Skarżącej w połączeniu z imieniem, nazwiskiem, PESEL Skarżącej w celu zasilania systemów przeciwfraudowych. Skarżąca podniosła, że jakkolwiek Przedsiębiorca wskazał, że przetwarza IP w celu realizacji wsparcia prawnego w zakresie danych osobowych, ale w tym zakresie nie jest niezbędne przetwarzanie numeru IP, który łącznie z pozostałymi danymi Skarżącej wskazuje na konkretną osobę. Udostępnienie Przedsiębiorcy pozostałych danych osobowych (imię, nazwisko, PESEL, adres, nr dowodu osobistego) wykracza poza cel określony w art. 104 ust. 2 pkt 3 Prawa bankowego. Skarżąca nie prowadzi z Bankiem sporów prawnych. Przedsiębiorca nie występuje jako pełnomocnik Banku. Bank posiada etatowego Inspektora Ochrony Danych, a Przedsiębiorca nie znajduje się na liście podmiotów, które świadczą Bankowi usługi w ramach outsourcingu.
Skarżąca wskazała, że 10 lutego 2020r. zwróciła się do Banku o pełną i wyczerpującą informację, jakie Jej dane osobowe są przekazywane Przedsiębiorcy, ale do 20 marca 2020r. nie otrzymała od Banku odpowiedzi;
b) wyjaśnień Banku z 26 czerwca 2020r. i wyjaśnień Przedsiębiorcy z 8 i 22 czerwca 2020r., że
- Bank oraz Przedsiębiorca wskazali, że do udostępnienia danych osobowych Skarżącej przez Bank na rzecz Przedsiębiorcy doszło na podstawie umowy powierzenia przetwarzania danych z 4 czerwca 2019r., zawartej pomiędzy Bankiem a Przedsiębiorcą (zwana dalej "Umową"), w celu realizacji umowy o świadczenie usług dotyczącej wsparcia prawnego Banku w zakresie ochrony danych osobowych. Bank jest administratorem danych osobowych Skarżącej, a Przedsiębiorca w ramach prowadzonej działalności gospodarczej działa jako podmiot przetwarzający te dane. Bank jako podstawę prawną przekazania danych osobowych Skarżącej na rzecz Przedsiębiorcy wskazał art. 104 ust. 2 pkt 3 ustawy z 29 sierpnia 1997r. Prawo bankowe (Dz.U. z 2020r., poz. 1896 ze zm., zwane dalej "u.P.b.") i art. 6 ust. 1 lit. f RODO;
c) wyjaśnień Banku z 19 stycznia 2021r., że Skarżąca 18 grudnia 2019r. zwróciła się do Banku o udzielenia informacji o kategoriach i zakresie przetwarzanych danych osobowych, zgodnie z art. 15 RODO. Bank przygotował projekt odpowiedzi i 13 stycznia 2020r. przekazał go do konsultacji Przedsiębiorcy. Skarżąca jest klientem Banku, korzysta z usług bankowości elektronicznej, dlatego wśród Jej danych znalazła się informacja o adresie IP komputera. Projekt odpowiedzi zawierał informacje o posiadanych przez Skarżącą produktach bankowych i dane osobowe, w tym adres IP, ponieważ pismo Banku konsultowane z Przedsiębiorcą dotyczyło zakresu i podstawy przetwarzania tych danych. Przedsiębiorca nie mógłby należycie świadczyć pomocy prawnej w zleconym zakresie bez znajomości udostępnionych informacji;
d) wyjaśnień Banku z 19 stycznia 2021r. i wyjaśnień Przedsiębiorcy z 22 czerwca 2020r. i kopii ww. Umowy z [...] czerwca 2019r. (określającej zakres powierzenia danych osobowych), że:
- Bank przekazał Przedsiębiorcy dane dotyczące klientów Banku, pracowników Banku, klientów i pracowników [...] sp. z o.o. w zakresie: płci, imienia, nazwiska, imienia ojca, imienia matki, nazwiska panieńskiego matki, obywatelstwa, miejscowości urodzenia, kraju urodzenia, nr PESEL, rodzaju dokumentu tożsamości, serii i numeru dokumentu tożsamości, daty ważności dokumentu tożsamości, nr telefonu komórkowego i stacjonarnego, adresu e-mail, kraju, ulicy, nr domu, kodu pocztowego, miejscowości, poczty. W zakresie danych podstawowych lokaty: kwota, okres, rozliczenie lokaty standard. W zakresie danych rozliczenia: nr konta, posiadacz konta. Informacja o oświadczeniu FATCA: Czy osoba jest podatnikiem w USA? Oświadczenie CRS: informacja dotycząca rezydencji podatkowej aktualne miejsce zamieszkania: ulica, numer domu, kod pocztowy, miejscowość, kraj (podaj rodzaje danych osobowych), usługi: wyciągi (papierowe/elektroniczne), pakiet SMS karta płatnicza: zamawiam kartę (tak/nie), uczestnictwo w programie [...], imię i nazwisko na karcie Limity transakcyjne: transakcje gotówkowe, transakcje bezgotówkowe, zlecane przez internet, zlecane przez Automatyczny Serwis Telefoniczny Serwisy assistance: Concierge, Serwis medyczny. Serwis Moto, Serwis Domowy Dane podstawowe: liczba osób na utrzymaniu, zajmowane mieszkanie, okres przebywania w aktualnym miejscu zamieszkania, wykształcenie, posiadanie samochodu, dane finansowe: miejsce uzyskiwania dochodów (Polska/poza Polską), podstawowe źródło dochodów, pozycja zawodowa w podstawowym miejscu pracy, liczba zatrudnionych w miejscu pracy, wykonywany zawód, miesięczny dochód netto w gospodarstwie domowym, całkowity dochód, miesięczna suma rat od zaciągniętych i poręczonych kredytów, suma limitów, odnawialnych (karta kredytowa, limit debetowy). Inne niż kredytowe stałe zobowiązania finansowe (np. alimenty), suma całkowitego zadłużenia z tytułu kredytów i pożyczek w bankach i innych podmiotach. Dane pożyczki: okres pożyczki, wnioskowana kwota, przelew na konto numer, posiadacz konta. Dane założycielskie: pełna nazwa firmy, NIP, REGON, forma prawna firmy, numer KRS, forma prawna firmy. Dane adresowe: kraj, ulica, nr domu, kod pocztowy, miejscowość, Poczta. Dane kontaktowe: telefon stacjonarny, telefon komórkowy, adres e-mail;
- celem przetwarzania danych powierzonych Przedsiębiorcy są: a) konsultacje, nadzór i aktualizacje procedur dotyczących przetwarzania danych osobowych, zgodnych z RODO i wewnętrznych polityk ochrony danych osobowych, wskazanych w § 1 pkt 6 Umowy; b) stałe doradztwo prawne związane z przetwarzaniem danych osobowych; w tym nadzorowanie procesów dotyczących realizowania uprawnień osób, których dane są przetwarzane oraz nadzorowanie realizowania obowiązku informacyjnego przez Zleceniodawców; c) konsultacje w zakresie przeprowadzania oceny skutków przetwarzania danych osobowych dla ich ochrony; d) prowadzenie audytów dostawców zewnętrznych; e) przygotowywania szkoleń dla pracowników (bez względu na podstawę zatrudnienia współpracowników, Zleceniodawców, nie rzadziej niż 1 raz na 6 miesięcy f) analizowanie dokumentacji w zakresie prawidłowego przetwarzania danych osobowych; g) opiniowanie umów i innych dokumentów w zakresie zgodności z przepisami dotyczącymi ochrony danych osobowych; w tym umów powierzenia przetwarzania danych osobowych w rozumieniu art. 28 RODO; h) wsparcie w przypadku wystąpienia sytuacji naruszenia zasad ochrony danych osobowych / incydentów bezpieczeństwa danych; i) bieżąca pomoc prawna w zakresie rozwiązywania problemów związanych z procesem przetwarzania danych osobowych i stosowania środków zabezpieczeń danych; j) doradztwo prawne w pozostałym, zleconym zakresie;
e) skargi z 23 marca 2020r. i wyjaśnień Przedsiębiorcy z 8 czerwca 2020r., że Skarżąca 10 lutego 2020r., powołując się na art. 15 RODO, zwróciła się do Przedsiębiorcy o przekazanie Jej pełnej i wyczerpującej informacji o przetwarzaniu przez Przedsiębiorcę Jej danych osobowych, żądając wskazania źródła pozyskania Jej danych osobowych, celu ich przetwarzania oraz podania zakresu przekazanych kancelarii danych. Przedsiębiorca pismem z 11 marca 2020r. przekazał Skarżącej informacje o zakresie przetwarzanych danych osobowych (konkretne dane osobowe), źródła i celu ich pozyskania, podstawy prawnej ich przetwarzania;
f) skargi z 23 marca 2020r. i wyjaśnień Banku z 26 czerwca 2020r., że Skarżąca 10 lutego 2020r. wystąpiła do Banku, powołując się na art. 15 RODO, o udzielenie informacji o danych przekazanych przez Bank na rzecz Przedsiębiorcy i kilku innych podmiotów, w tym wskazanie: jaki jest zakres danych przekazanych tym podmiotom (z podaniem kategorii danych i konkretnego ich brzmienia) oraz jaki jest cel przetwarzania danych przez te podmioty. Bank w odpowiedzi z 10 marca 2020r., poinformował o kategoriach danych osobowych Skarżącej przekazanych na rzecz konkretnych podmiotów, z konkretnym ich brzmieniem i cel ich przekazania. Wskazał, że Przedsiębiorcy przekazano pełny zakres danych osobowych przetwarzanych przez Bank, wskazany w piśmie skierowanym do Skarżącej 17 stycznia 2020r.;
g) pism Skarżącej z 12 października 2020r. i 15 stycznia 2021r., że Prokuratura Rejonowa [...] prowadzi dochodzenie [...], a Sąd Rejonowy [...] po rozpoznaniu sprawy 9 grudnia 2020r. zasugerował prokuratorowi przesłuchanie inspektora danych osobowych Banku, Prezesa Zarządu i członka Zarządu Banku. oraz nakazał zbadanie, czy udzielenie odpowiedzi na wniosek Skarżącej wymagało wsparcia prawnego, skoro Bank udzielił odpowiedzi bezpośrednio, a nie przez Przedsiębiorcę. W związku z tym Skarżąca wniosła o sprawdzenie, czy udzielenie odpowiedzi na jej wniosek wymagało wsparcia prawnego kancelarii radcy prawnego, a ponadto, jakie konkretnie prawnie uzasadnione interesy administratora danych wymagały ich przekazania przez Bank Przedsiębiorcy, w jakim celu to się odbyło, w jakim trybie miało miejsce przekazanie danych.
Prezes UODO wskazał, że przepisem uprawniającym administratorów danych do przetwarzania zwykłych danych osób fizycznych, w tym ich udostępniania, jest art. 6 ust. 1 RODO, zgodnie z którym, przetwarzanie danych jest dopuszczalne tylko wtedy, gdy spełniona jest jedna z przesłanek wskazanych w tym przepisie. Katalog przesłanek wymienionych w art. 6 ust. 1 RODO, jest zamknięty. Każda z przesłanek legalizujących proces przetwarzania danych osobowych ma charakter autonomiczny i niezależny, wobec tego spełnienie co najmniej jednej z nich stanowi o zgodnym z prawem przetwarzaniu danych osobowych. Zgoda osoby, której dane dotyczą nie jest jedyną podstawą przetwarzania danych osobowych. Przetwarzanie danych osobowych jest dopuszczalne niezależnie od zgody osoby, której dane dotyczą (art. 6 ust. 1 lit. a RODO) m.in., gdy jest niezbędne do wypełnienia obowiązku prawnego ciążącego na administratorze (art. 6 ust. 1 lit. c RODO), a także gdy jest niezbędne do celów wynikających z prawnie uzasadnionych interesów realizowanych przez administratora (art. 6 ust. 1 lit. f RODO). Zgodnie z motywem 47 RODO podstawą prawną przetwarzania mogą być prawnie uzasadnione interesy administratora, w tym administratora, któremu mogą zostać ujawnione dane osobowe, o ile w świetle rozsądnych oczekiwań osób, których dane dotyczą, opartych na ich powiązaniach z administratorem, nadrzędne nie są interesy lub podstawowe prawa i wolności osoby, której dane dotyczą, np. gdy osoba, której dane dotyczą, jest klientem administratora lub działa na jego rzecz.
Prezes UODO, odnosząc się do zarzutu Skarżącej o bezpodstawnym przetwarzaniu danych osobowych, wyjaśnił, że w aktach sprawy znajduje się ww. Umowa powierzenia przetwarzania danych, a jako podstawę prawną jej zawarcia Bank wskazał art. 104 ust. 2 pkt 3 u.P.b. Zgodnie z tym przepisem banki mogą udzielać informacji objętych tajemnicą bankową adwokatom lub radcom prawnym w związku ze świadczeniem przez nich pomocy prawnej na rzecz banku. Bank wskazał w tym zakresie na swój prawnie uzasadniony interes - art. 6 ust. 1 lit. f RODO, polegający na wsparciu prawnym Banku w zakresie ochrony danych osobowych.
Prezes UODO wskazał, że to administrator ustala cele i sposoby przetwarzania danych osobowych, a procesor przetwarza dane w imieniu i na rzecz administratora, w ramach obranych przez niego celów, sposobami, o których ten pierwszy zdecydował (choćby na najbardziej ogólnym poziomie, co przejawiać się może w decyzji o skorzystaniu z outsourcingu), w ramach podstaw prawnych przetwarzania wynikających odpowiednio z art. 6 i art. 9 RODO. Podmiot przetwarzający nie ustala ich we własnym zakresie. Istotne jest więc, czyje cele są realizowane, na czyją rzecz przetwarzanie się odbywa oraz stopień samodzielności w odniesieniu do danych osobowych tego, kto je przetwarza. Przedmiotem powierzenia może być dokonywanie każdej operacji przetwarzania, o której mowa w art. 4 pkt 2 RODO, bądź zespołu takich operacji, na podstawie umowy lub innego instrumentu prawnego (art. 28 ust. 3 RODO). Jeśli przedmiotem świadczenia na rzecz zlecającego jest: zbieranie, utrwalanie, organizowanie, porządkowanie, przechowywanie, adaptowanie lub modyfikowanie, pobieranie, przeglądanie, wykorzystywanie, ujawnianie - przez przesłanie, rozpowszechnianie lub innego rodzaju udostępnianie, dopasowywanie lub łączenie, ograniczanie, usuwanie lub niszczenie, to mamy do czynienia ze stosunkiem powierzenia, w którym zewnętrzny podmiot, wykonujący te czynności dla administratora, jest podmiotem przetwarzającym. Do uznania za przetwarzającego wystarczy powierzenie mu czynności jednorazowej i jednorodnej. Nie jest konieczne, by przetwarzanie dotyczyło czynności powtarzalnych, stałych lub okresowych. (M. Sakowska-Baryła (red.) (2018), Ogólne rozporządzenie o ochronie danych osobowych. Komentarz, Warszawa).
Zdaniem Prezesa UODO ww. Umowa zawiera niezbędne elementy z art. 28 ust. 3 RODO (przedmiot umowy, obowiązki podmiotu przetwarzającego, kwestie podpowierzenia, audytu, zgłaszania naruszeń, czas trwania umowy i zasady odpowiedzialności stron), a analiza materiału dowodowego sprawy nie wykazała, aby Bank przekazał dane osobowe Skarżącej na rzecz podmiotu niespełniającego wymagań z art. 28 ust. 1 RODO i motywu 81 RODO. Dodatkowo Bank wyjaśnił, że przekazał dane Skarżącej na rzecz radcy prawnego, na mocy art. 104 ust. 2 pkt 3 u.P.b.
Prezes UODO wskazał też, że świadczenie usług pomocy prawnej nakłada na Przedsiębiorcę szereg obowiązków związanych z wykonywaniem zawodu radcy prawnego, wykraczających poza ww. Umowę, w celu ochrony prawnej interesów klienta. Przedsiębiorca w zakresie wykraczającym poza ww. Umowę, w ramach świadczenia na rzecz Banku pomocy prawnej, staje się odrębnym administratorem danych osobowych Skarżącej i podstawę do przetwarzania danych osobowych Skarżącej stanowi też art. 4 ustawy z 6 lipca 1982r. o radcach prawnych (Dz.U. z 2020r. poz. 75, zwanej dalej "u.r.p.") w związku z art. 6 ust. 1 lit. c) RODO. W zakresie świadczenia na rzecz Banku pomocy prawnej przez Przedsiębiorcę, będącego radcą prawnym, znajdują zastosowanie przepisy u.r.p. i uchwała Nadzwyczajnego Krajowego Zjazdu Radców Prawnych z 22 listopada 2014r. nr 3/2014 "Kodeks Etyki Radcy Prawnego" (zwana dalej "Kodeksem Etyki"). Przepisy u.r.p. nie wskazują wprost roli, jaką pełnią osoby wykonujące zawód radcy prawnego w procesie przetwarzania danych osobowych w związku z wykonywaniem działalności zawodowej, ale nakładają na Przedsiębiorcę szereg obowiązków związanych z wykonywaniem zawodu radcy prawnego. Radca prawny, zgodnie z art. 3 u.r.p., obowiązany jest zachować w tajemnicy wszystko, o czym dowiedział się w związku z udzieleniem pomocy prawnej (ust. 3), a obowiązek ten nie może być ograniczony w czasie (ust. 4). Radca prawny nie może być zwolniony z obowiązku zachowania tajemnicy zawodowej, co do faktów, o których dowiedział się udzielając pomocy prawnej lub prowadząc sprawę (art. 3 ust. 5 u.r.p.). Radca prawny, zgodnie z art. 23 Kodeksu Etyki, obowiązany jest zabezpieczyć przed niepowołanym ujawnieniem wszelkie informacje objęte tajemnicą zawodową, niezależnie od ich formy i sposobu utrwalenia. Tajemnica zawodowa radcy prawnego obejmuje też wszelkie tworzone przez radcę prawnego dokumenty oraz korespondencję radcy prawnego z klientem i osobami uczestniczącymi w prowadzeniu sprawy - powstałe dla celów związanych ze świadczeniem pomocy prawnej (art. 15 ust. 2 Kodeksu Etyki), a także informacje ujawnione radcy prawnemu przed podjęciem przez niego czynności zawodowych, jeżeli z okoliczności sprawy wynika, że ujawnienie nastąpiło dla potrzeb świadczenia pomocy prawnej i uzasadnione było oczekiwaniem, że radca prawny będzie ją świadczył (art. 15 ust. 3 Kodeksu Etyki). W u.r.p. wprowadzono też przepisy dotyczące ograniczeń w zakresie ochrony danych osobowych, ze względu na tajemnicę zawodową (rozdział 1a). U.r.p. wskazuje okresy przechowywania i usunięcia danych osobowych przetwarzanych przez radców prawnych, co przesądza, że nie mogą oni podlegać poleceniom innych podmiotów, co do terminu usunięcia danych osobowych. Obowiązek zachowania tajemnicy zawodowej nie ustaje w przypadku skierowania do radcy prawnego przez Prezesa UODO żądania ujawnienia informacji uzyskanych w związku z udzielaniem pomocy prawnej (art. 5b u.r.p.).
Prezes UODO podkreślił, że do powierzenia przez Bank Przedsiębiorcy danych osobowych Skarżącej nie była wymagana Jej zgoda. Bank udostępnił Przedsiębiorcy dane osobowe Skarżącej, w celu umożliwienia świadczenia pomocy prawnej na rzecz Banku, do czego Bank był uprawniony zgodnie z art. 104 ust. 2 pkt 3 u.P.b. Udostępnienie nastąpiło na mocy art. 6 ust. 1 lit. f RODO. Przedsiębiorca - radca prawny, w świetle art. 4 u.r.p., pełni co do zasady rolę odrębnego administratora w przypadku przetwarzania danych osobowych przekazanych przez klienta w celu świadczenia pomocy prawnej. Tym samym przetwarzał dane osobowe Skarżącej na mocy art. 6 ust. 1 lit. c RODO w zw. z art. 4 u.r.p., gdyż był obowiązany do świadczenia pomocy prawnej na rzecz Banku, który jest jego klientem. Brak jest zatem nieprawidłowości w działaniu Przedsiębiorcy.
Zdaniem Prezesa UODO Bank spełnił ponadto wobec Skarżącej obowiązek informacyjny, odpowiadając na Jej wniosek z [...] lutego 2020r., na podstawie art. 15 RODO. Bank w wyjaśnieniach podał numer listu nadanego do Skarżącej 10 marca 2020r. i załączył korespondencję skierowaną do Skarżącej w tym liście.
Prezes UODO, odnosząc się do wniosku Skarżącej o sprawdzenie bezpieczeństwa przetwarzania danych osobowych Skarżącej przez Przedsiębiorcę, wskazał, że zbadanie zgodności z przepisami o ochronie danych osobowych ogólnych praktyk stosowanych przez podmiot przetwarzający dane osobowe, nie może być przedmiotem skargi wniesionej w indywidualnej sprawie. W razie zaś wszczęcia kontroli przez Prezesa UODO osobie zawiadamiającej o potencjalnych naruszeniach nie przysługuje status strony postępowania.
Prezes UODO wyjaśnił, że nie skorzystał z środków naprawczych, gdyż w procesie przetwarzania danych osobowych przez Bank i Przedsiębiorcę nie doszło do nieprawidłowości.
2. Skarżąca w skardze do Wojewódzkiego Sądu Administracyjnego w Warszawie wniosła o uchylenie ww. decyzji Prezesa UODO i zasądzenie kosztów postępowania według norm przepisanych, zarzucając naruszenie, które miało istotny wpływ na wynik sprawy:
- art. 7 k.p.a. w zw. z art. 77 § 1 k.p.a. w. zw. z art. 78 § 1 k.p.a. - przez naruszenie zasady prawdy obiektywnej oraz nieuwzględnienie słusznego interesu obywatela;
- art. 8 ust. 1 k.p.a. - przez naruszenie zasady zaufania do władzy publicznej, łamiąc zasadę bezstronności - przez pobieżną analizę zebranego materiału dowodowego, brak wystarczającego zastosowania zasad określonych w motywie 47 RODO do interpretacji art. 6 ust 1 pkt f) RODO; brak pogłębionej analizy ww. Umowy powierzenia z 4 czerwca 2019r., dokonanie jej błędnej interpretacji, brak wskazania, jaki prawnie chroniony interes miałby być chroniony przez powierzenie Przedsiębiorcy danych osobowych Skarżącej.
W uzasadnieniu Skarżąca rozwinęła szerzej zarzuty skargi. Dodała m.in., że ww. Umowa zawiera obszerny katalog przekazywanych danych, ale nie przewiduje możliwości przekazania numeru IP. Zasilanie systemów antyfraudowych z całą pewnością nie stanowi pomocy prawnej, na które powoływał się Przedsiębiorca w piśmie z 11 marca 2020r., ponadto Umowa nie przewiduje takiego celu przetwarzania. Bank bez podstawy prawnej przekazał Przedsiębiorcy numer IP Skarżącej, a Przedsiębiorca bez podstawy prawnej go przetwarza, w celu który najprawdopodobniej jest fikcyjny. Nie wiadomo też na czym pomoc prawna miałyby polegać, gdy Przedsiębiorca nie miał upoważnienia do reprezentowania Banku, na co uwagę zwrócił Sąd Rejonowy [...]. Organ pominął też pismo Banku do Komisji Nadzoru Bankowego z 8 lipca 2020r., w którym wskazano, że powodem sięgania po pomoc prawną była "ochrona swoich (tzn. Banku) interesów przed nieuzasadnionymi atakami ze strony Państwa J.". Bank twierdzi, że do uzyskania odpowiedniej pomocy prawnej niezbędne było przekazanie Przedsiębiorcy numerów rachunków bankowych Skarżącej, gdy Przedsiębiorca w odpowiedzi udzielonej Skarżącej nie wykazuje, że przetwarza numery jej rachunków bankowych. Przedsiębiorca złożył poświadczoną za zgodność z oryginałem ww. Umowę z zasłoniętymi niektórymi punktami. Organ dopuścił ją jako dowód i dopiero na zwróconą przez Skarżącą uwagę o braku części dokumentu zwrócił się o przesłanie kompletnej wersji Umowy. W trakcie postępowania pominięto złożone przez Skarżącą pisma Przedsiębiorcy z 11 marca 2020r. i z 24 września 2021r., niezbędne do ustalenia stanu faktycznego i oceny wiarygodności dokumentów złożonych przez Przedsiębiorcę i Bank.
3. Prezes UODO w odpowiedzi na skargę wniósł o jej oddalenie oraz podtrzymał dotychczasowe stanowisko w sprawie.
4. Skarżąca w piśmie z 3 listopada 2022r. podtrzymała skargę, dodając, że żaden przepis prawa (Organ takiego nie przywołuje) nie nakłada na Bank obowiązku korzystania z pomocy prawnej. To uprawnienie Banku, ale nie obowiązek. W takim przypadku nie może być mowy o art. 6 ust. 1 lit. c RODO, a świadczenia usług prawnych przez radcę prawnego nie uzasadnia przekazania wszystkich zastrzeżonych prawnie danych osobowych klienta. Nieprawdziwe jest też twierdzenie Prezesa UODO zawarte w odpowiedzi na skargę, że Skarżąca otrzymała odpowiedź, że celem przetwarzania Jej adresu IP przez Przedsiębiorcę jest świadczenie pomocy prawnej. Pismo Przedsiębiorcy do Skarżącej z 11 marca 2020r. wyraźnie zawiera informację, że przetwarza numer IP w celu zasilania systemów antyfraudowych.
5. Skarżąca w piśmie z 11 stycznia 2023r. podtrzymała skargę i przekazała stanowisko dotyczące decyzji Prezesa UODO z [...] listopada 2022r. nr [...], w której nakazano Bankowi spełnienie wobec Skarżącej obowiązku wynikającego z art. 15 ust. 1 lit. c RODO i udzielono Bankowi upomnienia za nieterminowe spełnienie obowiązku informacyjnego. W uzasadnieniu decyzji wskazano, "że Skarżąca nie otrzymała od Banku rzetelnej odpowiedzi na żądanie wskazania, jakie jej dane osobowe zostały przekazane przez Bank do Spółki. Działanie Banku nie pozwoliło Skarżącej na kontrolę zakresu wykorzystania jej danych osobowych, bo Bank udzielił Skarżącej informacji niezgodnej z prawdą. Skarżąca wskazała, że w postępowaniu nie ustalono, jakie konkretnie zagadnienie prawne podlegało konsultacji i jaki zakres danych osobowych był niezbędny dla jej przeprowadzenia. Mimo udziału aż dwóch Kancelarii Prawnych Skarżąca nie otrzymała od Banku rzetelnej informacji, a Bank świadomie udzielił Skarżącej informacji niezgodnej z prawdą. Zgodnie z umową miejscem przetwarzania danych osobowych jest siedziba Kancelarii, mieszcząca się w bloku mieszkalnym, co budzi obawy o zabezpieczenie fizyczne i logiczne składowanych danych osobowych.
6. Skarżąca w piśmie z 13 lutego 2023r. podtrzymała i rozszerzyła skargę, wskazując na możliwość naruszenia prawa w związku z przetwarzaniem Jej wizerunku.
7. Prezes UODO w piśmie z 3 marca 2023r. wyjaśnił, że postępowanie zakończone decyzją zaskarżoną przez Skarżącą toczyło się w przedmiocie nieprawidłowości w procesie przetwarzania Jej danych osobowych przez Bank, polegających na udostępnieniu Jej danych osobowych na rzecz Przedsiębiorcy oraz w przedmiocie nieprawidłowości w procesie przetwarzania danych osobowych Skarżącej przez Przedsiębiorcę polegających na przetwarzaniu Jej danych osobowych bez podstawy prawnej. Organ nie oceniał spełnienia przez Bank i Przedsiębiorcę obowiązków wynikających z art. 13 i 14 RODO. Uprawnienie do określenia żądania kierowanego do Prezesa UODO, czy też do doprecyzowania tego żądania, posiada tylko strona. Organ nie może wyręczać strony i decydować za nią, w jakiej sprawie toczyć się będzie postępowanie zainicjowane jej wnioskiem. Na uwzględnienie nie zasługuje więc wniosek Skarżącej o rozszerzenie skargi na obecnym etapie postępowania. Z wyjaśnień Banku i Przedsiębiorcy nie wynika, aby Bank udostępnił na rzecz Przedsiębiorcy dane osobowe Skarżącej w zakresie Jej wizerunku utrwalonego na monitoringu wizyjnym. Treść wyjaśnień przedłożonych w toku postępowania przez oba ww. podmioty nie budziła wątpliwości.
II. Wojewódzki Sąd Administracyjny w Warszawie zważył, co następuje:
1. skarga jest niezasadna.
2. Sąd stwierdza, że Sądy administracyjne, zgodnie z art. 1 § 1 i 2 ustawy z 25 lipca 2002r. - Prawo o ustroju sądów administracyjnych (Dz.U. z 2022r., poz. 2492) i art. 3 § 1 ustawy z 30 sierpnia 2002r. Prawo o postępowaniu przed sądami administracyjnymi (Dz.U. z 2023r., poz. 259, zwana dalej: "P.p.s.a.") - sprawują wymiar sprawiedliwości przez kontrolę działalności administracji publicznej. Kontrola zaskarżonych decyzji, postanowień bądź innych aktów, wymienionych w art. 3 § 2 P.p.s.a., sprawowana jest przez Sądy administracyjne w oparciu o kryterium zgodności z prawem. W związku z tym, aby wyeliminować z obrotu prawnego akt wydany przez organ administracji publicznej (np. decyzję) konieczne jest stwierdzenie, że doszło w niej do naruszenia bądź przepisu prawa materialnego w stopniu mającym wpływ na wynik sprawy, bądź przepisu postępowania w stopniu mogącym mieć istotny wpływ na rozstrzygnięcie, albo też przepisu prawa dającego podstawę do wznowienia postępowania, lub ewentualnie ustalenie, że decyzja lub postanowienie organu dotknięte jest wadą nieważności (art. 145 § 1 pkt 1 lit. a)-c), pkt 2 P.p.s.a.). Sąd, stosownie do art. 151 P.p.s.a., w razie nieuwzględnienia skargi w całości albo w części, oddala skargę odpowiednio w całości albo w części.
3. Sąd, mając na względzie ww. kryteria, stwierdza, że w świetle akt sprawy i znajdujących się w nich dowodów, nie można uznać, aby Prezes UODO naruszył w toku postępowania wskazane przez Skarżącą przepisy procedury, w tym przede wszystkim: art. 7, art. 8 § 1 k.p.a. w związku z art. 77 § 1, w zw. z art. 78 § 1 k.p.a.
Wskazać bowiem należy, że Prezes UODO wydał zaskarżoną decyzję po wszechstronnym zbadaniu okoliczności faktycznych sprawy, z uwzględnieniem zasady prawdy obiektywnej, o której mowa w art. 7 i art. 77 § 1 k.p.a. w sprawie zgromadzono, przy aktywnym udziale Skarżącej, obszerny materiał dowodowy, który był podstawą do rozważań organu z uwzględnieniem obowiązujących przepisów prawa materialnego i procesowego, które stanowiły podstawę zaskarżonej decyzji. Prezes UODO przy rozpatrywaniu sprawy i przy ocenie czy istniały w sprawie podstawy prawne do przetwarzania danych osobowych Skarżącej przez Bank w związku z ich przekazaniem ww. Przedsiębiorcy oraz przez Przedsiębiorcę, wbrew stanowisku prezentowanemu w skardze, działał z uwzględnieniem zasady wynikającej z art. 8 § 1 k.p.a., mając na względzie interes indywidualny Skarżącej. Czynił też w sprawie ustalenia wiążące się z podnoszonymi przez Skarżącą twierdzeniami, także w pismach załączonych do skargi z 23 marca 2020r. i do pisma z 9 kwietnia 2022r. oraz dokonał ich ocen w świetle obowiązujących i mających w sprawie zastosowanie przepisów RODO, u.P.b., u.r.p. Podejmowane przez Prezesa UODO czynności miały na celu dokonanie niezbędnych ustaleń w celu zastosowania przepisów prawa materialnego, także tych kwestionowanych przez Skarżącą. Prezes UODO, mając na względzie okoliczności podnoszone przez Skarżącą, korzystając z instrumentów prawnych określonych w art. 58 ust. 1 lit. a i e RODO, zwrócił się do Banku oraz do Przedsiębiorcy o złożenie pisemnych wyjaśnień oraz potwierdzających je dowodów. Nie pominięto w sprawie złożonych przez Skarżącą dokumentów, na co wskazuje przede wszystkim stwierdzenie Prezesa UODO zawarte na stronie 6 uzasadnienia zaskarżonej decyzji, że "Po zapoznaniu się z całością zgromadzonego w sprawie materiału dowodowego (...) zważył, co następuje", jak również pozostałe rozważania zawarte w tym uzasadnieniu. Tym samym niezasadny jest zarzut skargi o braku podjęcia przez Prezesa UODO niezbędnych i wystarczających działań, koniecznych do wyjaśnienia stanu faktycznego sprawy.
Zdaniem Sądu w świetle akt sprawy i zgromadzonych w niej dowodów dokonane przez Prezesa UODO oceny materiału dowodowego są spójne i logiczne, a także odnoszą się do przedstawianego przez Skarżącą stanowiska. Ponadto Prezes UODO nie odmówił mocy dowodowej dokumentom złożonym przez Skarżącą do akt administracyjnych, lecz miał na względzie także stanowisko Banku i Przedsiębiorcy oraz przesłane do akt sprawy materiały oraz wskazał, że ocenił je w sposób odmienny do oczekiwanego, mając w szczególności na względzie zasadę swobodnej oceny dowodów. Tym samym należało przyjąć, że nie doszło do naruszenia art. 80 k.p.a. i wynikającej z tego przepisu zasady swobodnej oceny dowodów. Uzasadnienie zaskarżonej decyzji zawiera rozstrzygnięcie i przedstawienie stanu faktycznego sprawy, ocenę zebranego w postępowaniu materiału dowodowego, wykładnię stosowanych przepisów oraz ocenę przyjętego stanu faktycznego w świetle obowiązującego prawa, a w szczególności z uwzględnieniem zasady przekonywania wyrażonej w art. 11 k.p.a. Uzasadnienie zaskarżonej decyzji jest spójne wewnętrznie i logiczne, nie ma luk ani sprzeczności. Prezes UODO, wydając zaskarżoną decyzję, uwzględnił ponadto ugruntowane orzecznictwo Sądów administracyjnych, trafnie uznając, że istniały podstawy do wydania decyzji odmawiającej uwzględnienia wniosku Skarżącej.
Dodatkowo Prezes UODO zapewnił stronom postępowania czynny udział w każdym stadium postępowania poprzedzającego wydanie zaskarżonej decyzji, zgodnie z art. 10 § 1 k.p.a. Skarżąca miała możliwość wypowiedzenia się co do zebranych dowodów i materiałów oraz zgłoszenie żądań, co też czyniła.
Sąd wskazuje, że tezie eksponowanej przez Skarżącą o bezrefleksyjnym powtarzaniu przez Prezesa UODO tezy Banku o istnieniu uzasadnionego interesu prawnego w przekazaniu Przedsiębiorcy kompletu posiadanych danych osobowych Skarżącej, w celu uzyskania pomocy prawnej, należy przeciwstawić tezie ugruntowanej w orzecznictwie, o potrzebie ustalenia przez organ, czy były podstawy prawne do przekazania Przedsiębiorcy przez Bank danych osobowych Skarżącej, czy też podstaw prawnych nie było (por. np. wyrok WSA w Warszawie z 30 listopada 2022r. sygn. akt II SA/Wa 3535/21, dostępny na www.nsa.gov.pl). Zdaniem Sądu ustalenia organu z tego zakresu wynikają z uzasadnienia zaskarżonej decyzji, więc nie sposób stwierdzić, że organ w sposób niewystarczający zastosował się do wskazań zawarty w motywie 47 RODO. Prezes UODO w uzasadnieniu zaskarżonej decyzji, po odwołaniu się do motywu 47 RODO, wskazał, że prawnie uzasadniony interes może istnieć, gdy zachodzi istotny, odpowiedni rodzaj powiązania między osobą, której dane dotyczą a administratorem (klientem administratora, albo osobą działającą na jego rzecz). Ponadto organ odwołał się też do art. 6 ust. 1 RODO, z którego wynika, że przetwarzanie jest zgodne z prawem wyłącznie w przypadkach, gdy – i w takim zakresie, w jakim – spełniony jest co najmniej jeden z poniższych warunków:
a) osoba, której dane dotyczą, wyraziła zgodę na przetwarzanie swoich danych osobowych w jednym lub większej liczbie określonych celów;
b) przetwarzanie jest niezbędne do wykonania umowy, której stroną jest osoba, której dane dotyczą, lub do podjęcia działań na żądanie osoby, której dane dotyczą, przed zawarciem umowy;
c) przetwarzanie jest niezbędne do wypełnienia obowiązku prawnego ciążącego na administratorze;
d) przetwarzanie jest niezbędne do ochrony żywotnych interesów osoby, której dane dotyczą, lub innej osoby fizycznej;
e) przetwarzanie jest niezbędne do wykonania zadania realizowanego w interesie publicznym lub w ramach sprawowania władzy publicznej powierzonej administratorowi;
f) przetwarzanie jest niezbędne do celów wynikających z prawnie uzasadnionych interesów realizowanych przez administratora lub przez stronę trzecią, z wyjątkiem sytuacji, w których nadrzędny charakter wobec tych interesów mają interesy lub podstawowe prawa i wolności osoby, której dane dotyczą, wymagające ochrony danych osobowych, w szczególności gdy osoba, której dane dotyczą, jest dzieckiem.
Akapit pierwszy lit. f) nie ma zastosowania do przetwarzania, którego dokonują organy publiczne w ramach realizacji swoich zadań.
Zgodnie zaś z art. 28 ust. 3 RODO administrator ma prawo powierzyć przetwarzanie danych osobowych podmiotowi przetwarzającemu na podstawie umowy lub innego instrumentu prawnego, które określają przedmiot i czas trwania przetwarzania, charakter i cel przetwarzania, rodzaj danych osobowych oraz kategorie osób, których dane dotyczą, obowiązki i prawa administratora. Przepis ten wskazuje niezbędne elementy, które powinna zawierać prawidłowo sporządzona umowa powierzenia. W aktach sprawy znajduje się ww. Umowa powierzenia przetwarzania danych, zawarta pomiędzy Bankiem a Przedsiębiorcą z [...] czerwca 2019r. Bank w podstawie prawnej jej zawarcia wskazał art. 104 ust. 2 pkt 3 u.P.b., zgodnie z którym banki mogą udzielać informacji objętych tajemnicą bankową adwokatom lub radcom prawnym w związku ze świadczeniem przez nich pomocy prawnej na rzecz banku.
Dodatkowo wskazać należy, że Prezes UODO w zaskarżonej decyzji przy dokonywaniu ocen, czy Bank miał podstawy prawne do przekazania Przedsiębiorcy danych osobowych Skarżącej i czy Przedsiębiorca w związku z tym nie naruszył przepisów o ochronie danych osobowych, powołał się na obie przesłanki z art. 28 ust. 3 RODO, oceniając: ww. Umowę powierzenia przetwarzania danych osobowych oraz "inny instrument prawny" – świadczenie pomocy prawnej przez radcę prawnego (Przedsiębiorcę), z której Bank miał prawo skorzystać, a Przedsiębiorca miał obowiązek ją wyświadczyć.
Tym samym Prezes UODO prawidłowo przyjął, że po stronie Banku istniał prawnie uzasadniony interes w rozumieniu art. 6 ust. 1 lit. f) RODO, polegający na możliwości uzyskania przez Bank wsparcia prawnego od Przedsiębiorcy w zakresie ochrony danych osobowych oraz zawarcia ww. Umowy powierzenia przetwarzania danych osobowych Skarżącej z [...] czerwca 2019r. zawarta przez Bank z Przedsiębiorcą.
Zdaniem Sądu Prezes UODO trafnie też ocenił przedłożoną do akt sprawy w prawidłowej formie – w wyniku inicjatywy Skarżącej - ww. Umowę, przyjmując, że zawiera ona elementy, o których mowa w art. 28 ust. 3 RODO. Stanowisko organu ma potwierdzenie w materiale dowodowym sprawy.
Dodatkowo Prezes UODO trafnie wskazał w uzasadnieniu zaskarżonej decyzji, że ww. Umowa powierzenia przetwarzania danych nie była jedyną podstawą prawną do przekazania przez Bank danych osobowych Skarżącej na rzecz Przedsiębiorcy, który przetwarzał dane osobowe Skarżącej w zakresie przekazanym przez Bank, ale tylko w celu świadczenia pomocy prawnej, a nie w innym celu, na który powołuje się Skarżąca w odniesieniu do adresu IP komputera - zasilania systemów przeciwfraudowych. W tym celu dane osobowe Skarżącej przetwarzał Bank w związku z korzystaniem przez Skarżącą z usług bankowości elektronicznej. Prezes UODO powołał się ponadto na świadczenie przez Przedsiębiorcę (radca prawny) wobec Banku pomocy prawnej, o czym Przedsiębiorca informował Skarżącą w kierowanych do niej pismach (znajdują się w aktach sprawy i zostały do nich złożone przez Skarżącą – k. 5, 112 akt administracyjnych). Tym samym prawidłowe było uznanie przez Prezesa UODO w zaskarżonej decyzji, że w ramach dokonanego na rzecz Przedsiębiorcy udostępnienia danych, zastosowanie znalazły, oprócz ww. przepisów RODO i u.P.b., również przepisy u.p.r. oraz przepisy Kodeksu Etyki. Unormowania te nakładają na Przedsiębiorcę szereg obowiązków związanych z wykonywaniem zawodu radcy prawnego. Prowadzone przez Prezesa UODO postępowanie nie wykazało, że Przedsiębiorca, świadcząc na rzecz Banku pomoc prawną w zakresie ochrony danych osobowych powierzonych, naruszył przepisy dotyczące ochrony danych osobowych.
Prezes UODO, mając ponadto na względzie wątpliwości Skarżącej, odnoszące się do bezpieczeństwa przechowywanych przez Przedsiębiorcę danych osobowych Skarżącej, wskazał prawidłowo, że radca prawny, zgodnie z art. 3 ust. 3 u.r.p. jest obowiązany zachować w tajemnicy wszystko, o czym dowiedział się w związku z udzieleniem pomocy prawnej, zaś obowiązek ten nie może być ograniczony w czasie (art. 3 ust. 4 u.r.p.). Ponadto radca prawny nie może być zwolniony z obowiązku zachowania tajemnicy zawodowej, co do faktów, o których dowiedział się udzielając pomocy prawnej lub prowadząc sprawę (art. 3 ust. 5 u.r.p.).
Trafne było też powołanie się przez Prezesa UODO na art. 23 Kodeksu Etyki, z którego wynika, że radca prawny obowiązany jest zabezpieczyć przed niepowołanym ujawnieniem wszelkie informacje objęte tajemnicą zawodową, niezależnie od ich formy i sposobu utrwalenia. Prawidłowo też odwołano się do art. 15 Kodeksu Etyki, z którego wynika, że tajemnica zawodowa radcy prawnego obejmuje również wszelkie tworzone przez radcę prawnego dokumenty oraz korespondencję radcy prawnego z klientem i osobami uczestniczącymi w prowadzeniu sprawy - powstałe dla celów związanych ze świadczeniem pomocy prawnej (ust. 2 ww. przepisu), a także, że informacje ujawnione radcy prawnemu przed podjęciem przez niego czynności zawodowych, jeżeli z okoliczności sprawy wynika, że ujawnienie nastąpiło dla potrzeb świadczenia pomocy prawnej i uzasadnione było oczekiwaniem, że radca prawny będzie ją świadczył (ust. 3 ww. przepisu).
Sąd nie znalazł też podstaw do zakwestionowania stanowiska Prezesa UODO w zakresie powołania się w zaskarżonej decyzji na art. 6 ust. 1 lit. c RODO w związku z art. 4 u.r.p. oraz wskazania, że Przedsiębiorca na tej podstawie był uprawniony do przetwarzania danych osobowych Skarżącej. Radca prawny pełni, co do zasady, rolę odrębnego administratora w przypadku przetwarzania danych osobowych przekazanych przez klienta w celu świadczenia pomocy prawnej w zakresie danych osobowych klienta Banku. Przepis art. 28 ust. 3 RODO odwołuje się zarówno do umowy lub do innego instrumentu prawnego, które określają przedmiot i czas trwania przetwarzania, charakter i cel przetwarzania, rodzaj danych osobowych oraz kategorie osób, których dane dotyczą, obowiązki i prawa administratora. Tym samym nawet, gdyby doszło do przetwarzania danych osobowych poza umową powierzenia przetwarzania, ale w ramach świadczonej pomocy prawnej, a otrzymane z Banku dane byłyby niezbędne Przedsiębiorcy, który jest jednocześnie radcą prawnym, do świadczenia pomocy prawnej, o której mowa w art. 4 u.r.p. i która jest istotą wykonywania przez niego zawodu, to należało uznać, że wydanie zaskarżonej decyzji było prawidłowe w zakresie uznania, że nie doszło do nieprawidłowości w procesie przetwarzania danych osobowych Skarżącej przez Przedsiębiorcę, który świadczył na rzecz Banku pomoc prawną, a ponadto zawarł z Bankiem ww. Umowę powierzenia.
Istotą zawodu radcy prawnego, zgodnie z art. 6 ust. 1 u.p.r., jest świadczenie pomocy prawnej. W związku z tym ustawodawca zakłada, że w ramach ww. pomocy prawnej będzie dochodzić do przetwarzania danych osobowych, zarówno klientów radcy prawnego, jak i osób trzecich przekazanych przez klienta oraz zebranych z innych źródeł na potrzeby wykonania usługi. Prawidłowe świadczenie pomocy prawnej wymaga, aby radca prawny samodzielnie podejmował decyzje w ramach świadczenia pomocy prawnej, w tym w zakresie celów i sposobów przetwarzania danych osobowych przekazanych przez klienta i zebranych w toku świadczenia usługi prawnej, i nie był w tym względzie w pełni zależny od polecenia klienta. W działalności radcy prawnego dochodzi do sytuacji, w których konieczne jest przetwarzanie danych osobowych w zakresie niezbędnym do osiągnięcia celu. Tym samym w zależności od kontekstu przetwarzanie danych osobowych w ramach świadczonej pomocy prawnej zakres danych może być znacznie szerszy od tego, który był zawarty w umowie powierzenia pomiędzy Bankiem a Przedsiębiorcą.
Nie sposób więc zakwestionować stanowiska Prezesa UODO, że Bank mógł przekazać na rzecz Przedsiębiorcy w ramach stosunku świadczonej przez Przedsiębiorcę pomocy prawnej dane osobowe Skarżącej, które uznał za stosowne. Przepisy prawa nie przewidują bowiem w tym zakresie ograniczeń.
Sąd tym samym uznał, że prawidłowa była decyzja Prezesa UODO, który nie znalazł podstaw do uwzględnienia wniosku Skarżącej, w związku z tym, że nie dopatrzył się nieprawidłowości w procesie przetwarzania przez Bank danych osobowych Skarżącej, przez udostępnienie tychże danych Przedsiębiorcy - radcy prawnemu, świadczącemu pomoc prawną, na podstawie ww. przepisów u.r.p. Skoro proces przetwarzania danych był legalny, to nie sposób zakwestionować prawidłowości stanowiska Prezesa UODO wyrażonego w zaskarżonej decyzji. Ma ono oparcie w art. 6 ust. 1 lit. f RODO. Na tej podstawie Bank miał prawnie uzasadniony interes w przekazaniu Przedsiębiorcy danych osobowych Skarżącej, opierając się przy tym na umowie powierzenia przetwarzania danych oraz potrzebie skorzystania z pomocy prawnej świadczonej przez uprawniony do tego podmiot w związku art. 104 ust. 2 pkt 3 u.P.b.
Sąd stwierdza ponadto, że nieuzasadniony jest zarzut Skarżącej, podnoszony w skardze, że Bank nie dopełnił obowiązku informacyjnego w zakresie celu przekazania przedsiębiorcy numeru IP, zaś Przedsiębiorca w zakresie celu przetwarzania numeru IP. Prezes UODO trafnie w uzasadnieniu zaskarżonej decyzji wyjaśnił, że Bank wypełnił w tym zakresie należycie obowiązek informacyjny, o którym mowa w art. 15 RODO, wobec Skarżącej, która przyznała, że otrzymała informację, że celem przetwarzania jej numeru IP przez Przedsiębiorcę jest świadczenie pomocy prawnej na rzecz Banku. Przedmiotem postępowania przed wydaniem zaskarżonej decyzji nie były też nieprawidłowości polegające na niespełnieniu wobec Skarżącej obowiązku informacyjnego przez Przedsiębiorcę. Skarżąca w skardze z 23 marca 2020r. nie wskazywała, że Przedsiębiorca nie dopełnił wobec Niej obowiązku informacyjnego w tym zakresie, a jedynie nie zgadzała się z otrzymaną od Przedsiębiorcy w tym zakresie odpowiedzią.
Sąd wskazuje ponadto, że skoro postępowanie zakończone zaskarżoną decyzją toczyło się w przedmiocie nieprawidłowości w procesie przetwarzania danych osobowych Skarżącej przez Bank – polegających na udostępnieniu Jej danych osobowych na rzecz Przedsiębiorcy oraz w przedmiocie nieprawidłowości w procesie przetwarzania danych osobowych Skarżącej przez Przedsiębiorcę bez podstawy prawnej, to niemożliwe było na etapie skargi złożonej do WSA w Warszawie rozszerzanie skargi już rozpatrzonej w toku postępowania administracyjnego, zakończonego zaskarżoną decyzją Prezesa UODO, przez wskazanie, że naruszono prawo w związku z przetwarzaniem wizerunku Skarżącej. Skoro bowiem Prezes UODO ani nie oceniał, ani nie miał obowiązku dokonać ocen spełnienia przez Bank i Przedsiębiorcę obowiązków wynikających z art. 13 i 14 RODO, będąc związany wnioskiem Skarżącej, to niemożliwe jest na etapie postępowania sądowego formułowanie zarzutów, które dotyczą kwestii, które nie były przedmiotem pierwotnego wniosku Skarżącej. Ponadto z wyjaśnień przedłożonych przez Bank i Przedsiębiorcę przed wydaniem zaskarżonej decyzji nie wynikało, aby Bank udostępnił na rzecz Przedsiębiorcy dane osobowe Skarżącej w zakresie Jej wizerunku utrwalonego na monitoringu wizyjnym.
4. Sąd, mając powyższe na względzie, uznał, że zasadne było oddalenie skargi, na mocy art. 151 P.p.s.a.