II SA/Wa 1758/22

II SA/Wa 1758/22 - Wyrok WSA w Warszawie
Data orzeczenia
2022-12-20
orzeczenie nieprawomocne
Data wpływu
2022-09-30
Sąd
Wojewódzki Sąd Administracyjny w Warszawie
Sędziowie
Andrzej Góraj
Arkadiusz Koziarski /sprawozdawca/
Joanna Kube /przewodniczący/
Symbol z opisem
647  Sprawy związane z ochroną danych osobowych
Hasła tematyczne
Ochrona danych osobowych
Skarżony organ
Generalny Inspektor Ochrony Danych Osobowych
Treść wyniku
Oddalono skargę
Powołane przepisy
Dz.U. 2022 poz 329
art. 151
Ustawa z dnia 30 sierpnia 2002 r. Prawo o postępowaniu przed sądami administracyjnymi  - t.j.
Dz.U.UE.L 2016 nr 119 poz 1  art. 6 ust. 1 lit. f art. 58 ust. 2 lit. c
Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z  przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE
Sentencja
Wojewódzki Sąd Administracyjny w Warszawie w składzie następującym: Przewodniczący Sędzia WSA Joanna Kube, Sędzia WSA Andrzej Góraj, Asesor WSA Arkadiusz Koziarski (spr.), Protokolant sekretarz sądowy Marcin Rusinowicz-Borkowski po rozpoznaniu na rozprawie w dniu 20 grudnia 2022 r. sprawy ze skargi C. S.A. z siedzibą w [...] na decyzję Prezesa Urzędu Ochrony Danych Osobowych z dnia [...] lipca 2022 r. nr [...] w przedmiocie przetwarzania danych osobowych oddala skargę
Uzasadnienie
Prezes Urzędu Ochrony Danych Osobowych, dalej "PUODO", decyzją z dnia [...] lipca 2022 r. nr [...] , wydaną na podstawie art. 104 § 1 oraz ustawy z dnia 14 czerwca 1960 r. Kodeks postępowania administracyjnego (Dz.U. z 2021 r. poz. 735, z późn. zm.), dalej "k.p.a." w zw. z art. z art. 7 ust. 1 i 2 ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych (t. j. Dz. U. z 2019 r. poz. 1781), dalej "u.o.d.o." oraz art. 6 ust. 1 i art. 58 ust. 2 lit. b i c Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (Dz. Urz. UE L 119
z 4.05.2016, str. 1, Dz. Urz. UE L 127 z 23.05.2018, str. 2 oraz Dz. Urz. UE L 74
z 4.03.2021, str. 35), dalej "RODO", po przeprowadzeniu postępowania administracyjnego w sprawie skargi M. N. na nieprawidłowości w procesie przetwarzania jej danych osobowych przez [...].
z siedzibą we [...], dalej "Bank", polegające na przetwarzaniu jej danych osobowych pomimo wycofanej zgody, w tym w celach marketingowych:
1. nakazał Bankowi, usunięcie danych osobowych M. N.;
2. udzielił Bankowi upomnienia, za naruszenie art. 6 ust. 1 RODO polegające na przetwarzaniu danych osobowych M. N. w okresie od [...] września 2018 r. do [...] stycznia 2019 r. w celach marketingowych bez podstawy prawnej.
W uzasadnieniu organ wyjaśnił, że do Urzędu wpłynęła skarga M. N. na nieprawidłowości w procesie przetwarzania jej danych osobowych przez Bank polegające na przetwarzaniu jej danych osobowych pomimo wycofanej zgody, w tym w celach marketingowych.
PUODO wskazał, że ustalił następujący stan faktyczny.
Skarżąca podała, że Bank przetwarza jej dane osobowe pomimo wycofania przez nią wszelkich zgód na ich wykorzystywanie. W dniu [...] września 2018 r.
w placówce Banku w [...] wycofała zgody na jakiekolwiek wykorzystywanie jej danych osobowych m. in. na otrzymywanie materiałów marketingowych w formie elektronicznej. Na potwierdzenie faktu złożenia takiej dyspozycji, skarżąca otrzymała od Banku kartę klienta zawierającą listę wszystkich wycofanych przez nią zgód. Mimo to w dniu [...] października 2018 r. skarżąca otrzymała od Banku wiadomość sms o charakterze marketingowym. Wobec powyższego skarżąca wniosła o nakazanie administratorowi usunięcia uchybień w procesie przetwarzania danych osobowych poprzez usunięcie jej danych osobowych przetwarzanych bez podstawy prawnej oraz nałożenie kary administracyjnej na administratora.
Bank w toku postepowania wskazywał, że pozyskał dane osobowe skarżącej bezpośrednio od niej w związku z zawarciem umowy o kartę kredytową [...] nr [...] w dniu [...] kwietnia 2014 r., a także w związku z zawarciem umowy kredytu na zakup towarów/usług o numerze [...] w dniu [...] grudnia 2014 r.
Z wyjaśnień Banku wynika, że pozyskał on dane osobowe skarżącej w celu zawarcia i realizacji umowy na podstawie art. 23 ust. 1 pkt 3 ustawy z 1997 r. o ochronie danych osobowych; realizacji obowiązku prawnego w zakresie przeprowadzenia oceny zdolności kredytowej na podstawie art. 70 ust. 1 prawa bankowego w związku z art. 23 ust. 1 pkt 2 ustawy z 1997 roku, wykonania środków bezpieczeństwa finansowego na podstawie art. 8b - 9a ustawy z dnia 16 listopada 2000 r. o przeciwdziałaniu praniu pieniędzy i finansowania terroryzmu w związku z art. 23 ust. 1 pkt 2 ustawy z 1997 r., przechowywania dokumentów księgowych na podstawie art. 74 ustawy z dnia 29 września 1994 r. o rachunkowości; marketingu produktów oferowanych przez Bank po wygaśnięciu/rozwiązaniu umowy - na podstawie art. 23 ust 1 pkt 5 ustawy z 1997 r.; marketingu produktów/usług oferowanych przez spółki zależne, powiązane i dominujące wobec Banku - na podstawie art. 23 ust. 1 pkt 1 ustawy z 1997 r.; informowania o produktach i usługach partnerów klubu rabatowego Banku, których lista jest dostępna na stronie internetowej Banku - na podstawie art. 23 ust. 1 pkt 1 ustawy z 1997 r.
Zakres przetwarzanych przez Bank danych osobowych skarżącej obejmował: imię i nazwisko, PESEL, dane dokumentu tożsamości (data urodzenia, seria i numer dowodu osobistego, data wydania i ważności dowodu osobistego), dane teleadresowe Klienta (adres zameldowania, adres korespondencyjny, numer telefonu, adres email) a także dane niezbędne do oceny zdolności kredytowej: stan cywilny, informacje o dochodzie i jego źródle, dane o obciążeniach gospodarstwa domowego skarżącej.
Bank wskazał, że przetwarzał dane osobowe skarżącej w celu spełnienia obowiązków wynikających z przepisów prawa oraz prawnie usprawiedliwionych celów administratora na podstawie art. 6 ust. 1 lit. c i f RODO, w celu rozpatrywania reklamacji oraz ustalania, obrony i dochodzenia roszczeń - podstawą prawną jest realizacja prawnie uzasadnionego interesu Banku (art. 6 pkt 1. lit. f RODO) oraz stosowania przyjętych zasad rachunkowości - podstawą prawną są przepisy art. 74 ustawy z dnia 29 września 1994 r. o rachunkowości oraz wynikające z niej przepisy szczególne, do których stosowania się zobowiązany jest Bank (art. 6 pkt 1. lit. c RODO); realizacji obowiązków związanych z wykonaniem środków bezpieczeństwa finansowego oraz przechowywania danych dla celów przeciwdziałania praniu pieniędzy oraz finansowaniu terroryzmu. Podstawą prawną przetwarzania danych jest obowiązek prawny wynikający z art. 49 ustawy z dnia 1 marca 2018 r. o przeciwdziałaniu praniu pieniędzy oraz finansowaniu terroryzmu (art. 6 pkt 1. lit. c RODO); oceny zdolności kredytowej po ustaniu zobowiązania - na podstawie zgody skarżącej (art. 6 pkt 1. lit. f RODO) w związku z art. 105a ust. 2 prawa bankowego.
Bank wyjaśnił, że dane osobowe skarżącej będą przetwarzane do momentu ustania ostatniego z celów, tj. rozpatrywania reklamacji oraz ustalania i obrony roszczeń przez okres 10 lat od dnia wygaśnięcia ostatniego ze zobowiązań skarżącej (do dnia [...] czerwca 2025 r., z uwagi na wygaśnięcie zobowiązania z umowy kredytu na zakup towarów i usług w dniu [...] czerwca 2015 r.).
Ponadto Bank podał, że w dniu [...] września 2018 r. skarżąca złożyła dyspozycję wycofania zgód na otrzymywanie materiałów marketingowych. Na skutek błędu komunikacji pomiędzy systemem informatycznym (służącym do obsługi klienta) a bazą danych Banku nie doszło do skutecznego zapisania dyspozycji skarżącej. W wyniku tego błędu skarżąca otrzymywała korespondencję marketingową od Banku. Bank wyjaśnił, że wniosek skarżącej zrealizował w trybie pilnym w dniu [...] stycznia 2019 r.
Z wyjaśnień Banku wynika, że z uwagi na fakt upływu terminu określonego z art. 49 ust. 2 o przeciwdziałaniu praniu pieniędzy oraz finansowaniu terroryzmu, Bank obecnie nie przetwarza danych osobowych skarżącej w celu obowiązków związanych z przeciwdziałaniem praniu pieniędzy i finansowaniu terroryzmu. Ponadto Bank oświadczył, że poza przetwarzaniem danych osobowych skarżącej w celu rozpatrywania reklamacji oraz ustania, obrony i dochodzenia roszczeń, pozostałe cele wygasły w toku niniejszego postępowania.
Odnosząc się do powyższych ustaleń PUODO na wstępie wskazał, że wydając decyzję administracyjną zobowiązany jest do rozstrzygania w oparciu o stan faktyczny istniejący w chwili wydania tej decyzji.
Następnie organ podniósł, że przesłanki warunkujące legalność przetwarzania danych osobowych uregulowane zostały w art. 6 ust. 1 RODO. Każda z tych przesłanek ma charakter autonomiczny i niezależny, co oznacza, że spełnienie jednej z nich stanowi w danym przypadku o zgodności z prawem przetwarzania danych osobowych. PUODO podkreślił, że zgoda osoby, której dane dotyczą nie jest jedyną podstawą uprawniającą do przetwarzania jej danych osobowych (lit. a). Proces przetwarzania danych będzie zgodny z przepisami ustawy również wtedy, gdy administrator danych wykaże spełnienie choćby jednej przesłanki z wspomnianego art. 6 ust. 1 RODO,
w tym, gdy przetwarzanie jest niezbędne do celów wynikających z prawnie uzasadnionych interesów realizowanych przez administratora lub przez stronę trzecią,
z wyjątkiem sytuacji, w których nadrzędny charakter wobec tych interesów mają interesy lub podstawowe prawa i wolności osoby, której dane dotyczą, wymagające ochrony danych osobowych, w szczególności gdy osoba, której dane dotyczą, jest dzieckiem (lit. f). Stosownie natomiast to art. 5 ust. 1 lit. a RODO administrator ma obowiązek przetwarzać dane zgodnie z prawem, rzetelnie i w sposób przejrzysty dla osoby, której dane dotyczą ("zgodność z prawem, rzetelność i przejrzystość").
Organ stwierdził, że z materiału dowodowego zgromadzonego w toku postępowania wynika, iż pomiędzy skarżącą a Bankiem wygasły wszystkie stosunki umowne. Jak wyjaśnił Bank w toku postępowania, zobowiązania z umowy kredytu na zakup towarów i usług zostały zrealizowane w dniu [...]czerwca 2015 r. Wobec powyższego Bank przetwarza dane osobowe skarżącej wyłącznie w celu rozpatrywania reklamacji oraz ustalenia, obrony i dochodzenia roszczeń, co w ocenie Banku odbywa się w oparciu o art. 6 ust. 1 lit. f RODO. Bank wskazał, że wszystkie pozostałe cele przetwarzania danych osobowych skarżącej wygasły w toku niniejszego postępowania.
PUODO uznał, że zebrany w postępowaniu materiał dowodowy nie wykazał, aby Bank posiadał wobec skarżącej jakiekolwiek roszczenia związane ze świadczonymi na rzecz skarżącej umowami o usługi bankowe, które uzasadniałoby uprawnienie do zachowania i przetwarzania danych osobowych skarżącej dla celów dowodowych, w szczególności, iż Bank dysponuje wiedzą, że rozliczenie ww. umowy nastąpiło w dniu [...] czerwca 2015 r. Również skarżąca nie wystąpiła z roszczeniami wobec Banku.
W ocenie organu, brak jest zatem spełnienia wskazywanej przez Bank przesłanki niezbędności do celów wynikających z prawnie usprawiedliwionych interesów realizowanych przez administratora odnośnie przetwarzania danych osobowych skarżącej. Zdaniem organu przesłanka z art. 6 ust 1 lit. f RODO dotyczy sytuacji już istniejącej, w której celem wynikającym z prawnie uzasadnionych interesów realizowanych przez administratora jest konieczność udowodnienia, potrzeba dochodzenia lub obrony przed roszczeniem istniejącym, nie zaś sytuacji, gdy dane są przetwarzane w celu zabezpieczenia się przed ewentualnym roszczeniem. W związku z tym organ uznał, że Bank przetwarza dane osobowe skarżącej w ww. celu wyłącznie "na zapas", aby zabezpieczyć się przed ewentualnym przyszłymi i niepewnymi roszczeniami.
Organ podkreślił, że przy przyjęciu odmiennej interpretacji ww. przepisów, skarżąca pozbawiona byłaby ochrony na gruncie RODO oraz ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych (Dz. U. z 2019 r., poz. 1781). Przyjęcie bowiem za prawidłowe stanowiska, iż przetwarzanie danych osobowych w celu uchylenia się od negatywnych skutków w przypadku zgłoszenia w przyszłości ewentualnego i nieokreślonego roszczenia, stanowi prawnie usprawiedliwiony cel w rozumieniu art. 6 ust. 1 lit. f RODO oznaczałoby, że dane osobowe skarżącej mogą być przetwarzane przez Bank permanentnie, bez konieczności ich usunięcia. Teoretycznie możliwym jest by skarżąca zwróciła się do Banku z roszczeniem po upływie terminu jego przedawnienia. Prowadziłoby to tym samym do uznania, że przetwarzanie danych osobowych skarżącej przez Bank ma uzasadnienie w przesłance określonej art. 6 ust. 1 lit. f RODO w celu realizacji prawa do obrony przed ewentualnym roszczeniem również po upływie ww. terminu.
Zdaniem PUODO brak jest uzasadnienia dla przyjęcia, iż terminy dotyczące przedawnienia roszczeń wynikających ze stosunków zobowiązaniowych określają jednocześnie ramy czasowe, w których dane osobowe mogą być przetwarzane przez Bank. Przedawnienie roszczenia nie wywołuje skutków na gruncie ochrony danych osobowych, nie wpływa bowiem na fakt istnienia roszczenia, a powoduje jedynie zmianę w sferze zarzutów procesowych w postaci możliwości podniesienia okoliczności przedawnienia w sporze sądowym. Okolicznością usprawiedliwiającą przetwarzanie danych osobowych w celu dochodzenia roszczeń jest sam fakt istnienia roszczenia oraz zamiar jego dochodzenia, nie jest nią natomiast zmiana w uprawnieniach procesowych podmiotu pozwanego.
Organ uznał, że z uwagi na to, iż ostatnie zobowiązanie umowne pomiędzy skarżącą a Bankiem, a mianowicie umowa pożyczki o numerze [...] z dnia [...] grudnia 2014 r. została rozliczona oraz że Bank nie wskazał istnienia roszczeń, których zaspokojenia domaga się od skarżącej, jak również nie wykazał, aby zaspokojenia roszczeń domagała się od Banku skarżąca, brak jest celu uzasadniającego przetwarzanie danych osobowych skarżącej przez Bank, w rozumieniu art. 6 ust. 1 lit. f RODO. Wobec powyższego, kontynuowanie do chwili obecnej przetwarzania danych osobowych skarżącej w celu ustalenia, dochodzenia lub obrony przed ewentualnymi, przyszłymi i niepewnymi roszczeniami, zdaniem organu należy uznać za zbędne i niezgodne z obowiązującymi przepisami o ochronie danych osobowych. W związku z powyższym, organ nakazał Bankowi usuniecie danych osobowych skarżącej.
W odniesieniu do zarzutu skarżącej dotyczącego przetwarzania przez Bank jej danych osobowych w celach marketingowych, bez podstawy prawnej, PUODO uznał, że również w tym zakresie doszło do nieprawidłowości. W dniu [...] września 2018 r. skarżąca wycofała zgody na jakiekolwiek wykorzystywanie jej danych osobowych m. in. na otrzymywanie materiałów marketingowych w formie elektronicznej. Skarżąca otrzymała od Banku potwierdzenie z listą wszystkich wycofanych przez nią zgód. Pomimo powyższego w dniu [...] października 2018 r. skarżąca otrzymała od Banku wiadomość sms o charakterze marketingowym. Bank w toku postępowania wyjaśniał, że nastąpiło to na skutek błędu komunikacji pomiędzy systemem informatycznym (służącym do obsługi klienta) a bazą danych Banku, w wyniku którego nie doszło do skutecznego zapisania dyspozycji skarżącej. W wyniku tego błędu skarżąca otrzymywała korespondencję marketingową od Banku. Organ stwierdził, że Bank nie wykazał, aby odnośnie ww. procesu zaistniała jakakolwiek przesłanka legalizująca,
o której mowa w art. 6 ust. 1 RODO. W ocenie PUODO działanie Banku w okresie od dnia [...] września 2018 r. do dnia [...] stycznia 2019 r. naruszało przepisy dotyczące ochrony danych osobowych, a przede wszystkim nie wypełniało żadnej z przesłanek legalizujących przewidzianych w art. 6 ust. 1 RODO.
Organ wyjaśnił, że w związku z tym korzystając z uprawnienia, przewidzianego
w art. 58 ust. 2 lit. b RODO, udzielił Bankowi upomnienia za naruszenie art. 6 ust. 1 RODO w ww. zakresie.
Ponadto organ uznał, że aktualnie proces przetwarzania danych osobowych skarżącej nie znajduje uzasadnienia w powoływanej przez Bank przesłance z art. 6 ust. 1 lit. f RODO. Skorzystał więc również z uprawnienia naprawczego przewidzianego
w art. 58 ust. 2 lit. e RODO i nakazał administratorowi usunięcie jej danych osobowych.
Na powyższą decyzję Bank wniósł skargę do Wojewódzkiego Sądu Administracyjnego w Warszawie.
Zaskarżonej decyzji zarzucił:
1) naruszenie przepisów postępowania, które mogło mieć istotny wpływ na wynik sprawy, tj. art. 7, art. 77 §1 i art. 80 k.p.a. polegające na niewyczerpującym rozpatrzeniu materiału dowodowego oraz na jego dowolnej ocenie przejawiającej się w uznaniu, że Bank dopuścił się naruszenia ochrony danych, którego konsekwencją powinno być udzielenie Bankowi upomnienia na mocy art. 58 ust. 2 lit. b RODO;
2) naruszenie przepisów prawa materialnego, które miało wpływ na wynik sprawy tj. art. 6 ust. 1 lit. f RODO w zw. z art. 117 § 2 i § 21, art. 118 oraz art. 119 Kodeksu cywilnego poprzez ich niewłaściwe zastosowanie, polegające na uznaniu, że obrona i dochodzenie roszczeń mogą dotyczyć wyłącznie już istniejących roszczeń.
W oparciu o te zarzuty Bank wniósł o:
1) uchylenie zaskarżonej decyzji w całości;
2) wstrzymanie wykonania zaskarżonej decyzji przez organ, a w przypadku nieuwzględnienia tego wniosku, o wstrzymanie wykonania zaskarżonej decyzji przez Sąd ze względu na spowodowanie w innym wypadku trudnych do odwrócenia skutków;
3) z uwagi na epidemię COVID-19 umożliwienie udziału pełnomocnika w rozprawie w formie wideokonferencji;
4) zasądzenie od organu na rzecz Banku zwrotu kosztów postępowania sądowego, w tym kosztów zastępstwa procesowego, według norm przepisanych oraz opłat skarbowych od pełnomocnictw w łącznej wysokości 34 zł.
W odpowiedzi na skargę PUODO wniósł o jej oddalenie podtrzymując stanowisko wyrażone w zaskarżonej decyzji.
Wojewódzki Sąd Administracyjny w Warszawie zważył, co następuje:
Zgodnie z art. 1 § 1 i § 2 ustawy z dnia 25 lipca 2002 r. - Prawo o ustroju sądów administracyjnych (Dz. U. z 2022 r., poz. 2492) oraz art. 3 § 1 ustawy z dnia 30 sierpnia 2002 r. - Prawo o postępowaniu przed sądami administracyjnymi (Dz. U. z 2022 r., poz. 329, z późn. zm.), dalej: "p.p.s.a.", sądy administracyjne sprawują wymiar sprawiedliwości przez kontrolę działalności administracji publicznej. Kontrola ta polega na ocenie zgodności zaskarżonego aktu z przepisami postępowania administracyjnego, a także prawidłowości zastosowania i wykładni norm prawa materialnego. Kontrola ta jest dokonywana według stanu faktycznego i prawnego obowiązującego w dacie wydania zaskarżonego aktu.
W myśl art. 134 § 1 i 2 p.p.s.a. sąd rozstrzyga w granicach danej sprawy nie będąc związany zarzutami i wnioskami skargi oraz powołaną podstawą prawną, z zastrzeżeniem art. 57a, przy czym sąd nie może wydać orzeczenia na niekorzyść skarżącego, chyba że stwierdzi naruszenie prawa skutkujące stwierdzeniem nieważności zaskarżonego aktu lub czynności.
Rozpatrując skargę wedle powyższych kryteriów Sąd uznał, że nie zasługuje ona na uwzględnienie.
Kontrolując zaskarżona decyzję Sąd zważył, że w świetle RODO przetwarzanie danych osobowych uważa się za legalne, jeśli ich administrator spełni co najmniej jedną z przesłanek wskazanych w art. 6 ust. 1 tego aktu, a mianowicie: a) osoba, której dane dotyczą wyraziła zgodę na przetwarzanie swoich danych osobowych w jednym lub większej liczbie określonych celów, b) przetwarzanie jest niezbędne do wykonania umowy, której stroną jest osoba, której dane dotyczą, lub do podjęcia działań na żądanie osoby, której dane dotyczą, przed zawarciem umowy, c) przetwarzanie jest niezbędne do wypełnienia obowiązku prawnego ciążącego na administratorze, d) przetwarzanie jest niezbędne do ochrony żywotnych interesów osoby, której dane dotyczą, lub innej osoby fizycznej, e) przetwarzanie jest niezbędne do wykonania zadania realizowanego w interesie publicznym lub w ramach sprawowania władzy publicznej powierzonej administratorowi, f) przetwarzanie jest niezbędne do celów wynikających z prawnie uzasadnionych interesów realizowanych przez administratora lub przez stronę trzecią, z wyjątkiem sytuacji, w których nadrzędny charakter wobec tych interesów mają interesy lub podstawowe prawa i wolności osoby, której dane dotyczą, wymagające ochrony danych osobowych, w szczególności gdy osoba, której dane dotyczą, jest dzieckiem.
W sprawie niesporne jest, że Bank pozyskał dane osobowe M. N. bezpośrednio od niej w związku z zawarciem umowy o kartę kredytową [...] nr [...] w dniu [...] kwietnia 2014 r., a także w związku z zawarciem umowy kredytu na zakup towarów/usług o numerze [...] w dniu [...] grudnia 2014 r. Z niekwestionowanych ustaleń organu wynika również, że w dniu [...]czerwca 2015 r. zobowiązanie M. N. z umowy kredytu na zakup towarów i usług zostało zrealizowane.
W złożonych w toku postępowania przed organem pismach z [...] kwietnia 2021 r. oraz [...] lipca 2021 r. Bank wskazał, że przetwarza dane osobowe wyżej wymienionej na podstawie art. 6 ust. 1 lit. f RODO wyłącznie w celu rozpatrywania reklamacji oraz ustalania, obrony i dochodzenia roszczeń, albowiem wszystkie pozostałe cele podnoszone wcześniej w postępowaniu wygasły. Bank wyjaśnił również, że będzie przetwarzał dane osobowe M. N. do dnia [...] czerwca 2025 r., tj. do czasu upływu terminu przedawnienia roszczeń. W pismach tych Bank wyjaśnił również, że nie występował i na dzień sporządzania tych pism nie zamierza występować z konkretnym roszczeniami w stosunku do M. N.. Ponadto wyjaśnił, że M. N. nie występowała również do Banku z innymi roszczeniami niż żądanie wycofania zgód marketingowych.
W ocenie Sądu organ prawidłowo uznał w tej sytuacji, że Bank nie jest uprawniony do przetwarzania danych osobowych uczestniczki postępowania w oparciu o przesłankę wskazaną w art. 6 ust. 1 lit f RODO.
W motywie 47 preambuły RODO wskazuje się, że "Podstawą prawną przetwarzania mogą być prawnie uzasadnione interesy administratora, w tym administratora, któremu mogą zostać ujawnione dane osobowe, lub strony trzeciej, o ile w świetle rozsądnych oczekiwań osób, których dane dotyczą, opartych na ich powiązaniach z administratorem nadrzędne nie są interesy lub podstawowe prawa i wolności osoby, której dane dotyczą. Taki prawnie uzasadniony interes może istnieć na przykład w przypadkach, gdy zachodzi istotny i odpowiedni rodzaj powiązania między osobą, której dane dotyczą, a administratorem, na przykład gdy osoba, której dane dotyczą, jest klientem administratora lub działa na jego rzecz. Aby stwierdzić istnienie prawnie uzasadnionego interesu, należałoby w każdym przypadku przeprowadzić dokładną ocenę, w tym ocenę tego, czy w czasie i w kontekście, w którym zbierane są dane osobowe, osoba, której dane dotyczą, ma rozsądne przesłanki by spodziewać się, że może nastąpić przetwarzanie danych w tym celu. (...)."
Oparcie przetwarzania danych osobowych na przepisie art. 6 ust. 1 lit. f RODO wymaga kumulatywnego spełnienia dwóch przesłanek. Po pierwsze, musi występować prawnie uzasadniony interes, który jest realizowany przez administratora lub przez stronę trzecią. Po drugie, niezbędna jest weryfikacja, czy przetwarzanie danych osobowych jest niezbędne dla realizacji celu wynikającego z powyższego interesu.
Zdaniem Sądu w niniejszej sprawie nie można uznać, że przetwarzanie danych osobowych uczestnika postępowania jest niezbędne do celów wynikających z prawnie uzasadnionych interesów realizowanych przez Bank, tj. ustalania, obrony i dochodzenia roszczeń. Skoro bowiem Bank nie wystąpił i nie zamierza wystąpić z jakimikolwiek roszczeniami względem M. N., ani też M. N. nie wystąpiła z roszczeniami względem Banku, to trudno uznać, że przetwarzanie jej danych osobowych jest niezbędne do wskazywanych przez Bank celów. Tak określony cel przetwarzania danych osobowych jest bowiem celem ewentualnym. Ta jego cecha pozbawia zaś proces przetwarzania danych osobowych elementu niezbędności.
Słusznie organ podnosi, że przesłanka z art. 6 ust 1 lit. f RODO dotyczy sytuacji już istniejącej, w której celem wynikającym z prawnie uzasadnionych interesów realizowanych przez administratora jest konieczność udowodnienia, potrzeba dochodzenia lub obrony przed roszczeniem istniejącym, nie zaś sytuacji, gdy dane są przetwarzane w celu zabezpieczenia się przed ewentualnym roszczeniem.
Skoro zatem Bank nie wskazał roszczenia, którego zaspokojenia domaga się od uczestniczka postępowania, jak również brak jest sporu toczącego się między nim a Bankiem dotyczącego stosunku zobowiązaniowego, PUODO zasadnie przyjął, że brak jest celu uzasadniającego przetwarzanie danych osobowych uczestnika postępowania, w rozumieniu art. 6 ust. 1 lit. f) RODO. Wobec powyższego kontynuowanie do chwili wydania zaskarżonej decyzji przetwarzania danych osobowych M. N. w celu ustalenia, dochodzenia lub obrony przed ewentualnymi, przyszłymi i niepewnymi roszczeniami, prawidłowo organ uznał za zbędne i niezgodne zobowiązującymi przepisami o ochronie danych osobowych.
Zasadnie zatem organ skorzystał z uprawnienia przewidzianego w art. 58 ust. 2 lit c RODO i nakazał Bankowi usunięcie danych osobowych M. N..
Prawidłowe jest również rozstrzygnięcie organu zawarte w pkt 2 decyzji. M. N. w dniu [...] września 2018 r. wycofała zgodę na przetwarzanie jej danych osobowych przez bank do celów marketingowych. Mimo tego w dniu [...] października 2018 r. otrzymała ona wiadomość sms o charakterze marketingowym. Przetwarzanie przez bank danych osobowych uczestnika postępowania w celach marketingowych po dniu [...] września 2018 r. było zaś nieuprawnione. Bank zaprzestał przetwarzania danych osobowych M. N. w tym celu dopiero w dniu [...] stycznia 2019 r. Niezależnie od podnoszonych przez Bank przyczyn takiego stanu rzeczy niewątpliwie, jak słusznie zauważa organ w zaskarżonej decyzji, w okresie od dnia [...] września 2018 r. do dnia [...] stycznia 2019 r. działanie Banku naruszało przepisy dotyczące ochrony danych osobowych, a przede wszystkim nie wypełniało żadnej z przesłanek legalizujących przewidzianych w art. 6 ust. 1 RODO. Uzasadnione w tej sytuacji było udzielenie Bankowi upomnienia na podstawie art. 58 ust. 2 lit b RODO.
Zaznaczyć przy tym należy, że określony w art. 58 ust. 2 RODO katalog uprawnień naprawczych stosowanych przez organ jest katalogiem zamkniętym. Upomnienie może być stosowane – jak wyjaśniono w motywie 148 preambuły – w przypadku, gdy naruszenie przepisów rozporządzenia jest niewielkie lub jeżeli grożąca kara pieniężna stanowiłaby dla osoby fizycznej nieproporcjonalne obciążenie. Upomnienie było w tym przypadku adekwatną do stopnia naruszenia przepisów
i w istocie jedyną, oprócz administracyjnej kary pieniężnej, możliwą do zastosowania sankcją w ustalonym stanie faktycznym .
Nieuzasadnione są zarzuty skargi dotyczące naruszenia przepisów prawa procesowego, tj. art. 7, art. 77 § 1 oraz art. 80 k.p.a. bowiem organ prawidłowo zebrał i ocenił zgromadzony w sprawie materiał dowodowy. Ustalony przez organ stan faktyczny jest przy tym niesporny. Uzasadnienie zaskarżonej decyzji odpowiada zaś wymogom określonym w art. 107 § 3 k.p.a.
Podsumowując Sąd stwierdza, że decyzja PUODO jest zgodna z prawem, zaś zarzuty skargi nie zasługiwały na uwzględnienie.
Mając na względzie powyższe Wojewódzki Sąd Administracyjny w na podstawie art. 151 p.p.s.a. orzekł jak w sentencji wyroku.