II SA/Wa 1788/23

II SA/Wa 1788/23 - Wyrok WSA w Warszawie
Data orzeczenia
2024-05-24
orzeczenie prawomocne
Data wpływu
2023-09-14
Sąd
Wojewódzki Sąd Administracyjny w Warszawie
Sędziowie
Dorota Kozub-Marciniak
Iwona Maciejuk /sprawozdawca/
Sławomir Antoniuk /przewodniczący/
Symbol z opisem
647  Sprawy związane z ochroną danych osobowych
Hasła tematyczne
Ochrona danych osobowych
Skarżony organ
Generalny Inspektor Ochrony Danych Osobowych
Treść wyniku
Uchylono zaskarżoną decyzję
Powołane przepisy
Dz.U. 2023 poz 1634
art. 145 par. 1 pkt 1 lit. c, art. 200 w zw. z art. 205
Ustawa z dnia 30 sierpnia 2002 r. Prawo o postępowaniu przed sądami administracyjnymi - t.j.
Dz.U. 2022 poz 593
art. 33 ust. 2, art. 34 ust. 4, art. 35 ust. 1 i 2,
Ustawa z dnia 1 marca 2018 r. o przeciwdziałaniu praniu pieniędzy oraz finansowaniu terroryzmu - t.j.
Dz.U. 2022 poz 2324
art. 112b
Ustawa z dnia 29 sierpnia 1997 r. - Prawo bankowe (t. j.)
Dz.U.UE.L 2016 nr 119 poz 1 art. 5 ust. 1 i 2, art. 6 ust. 1, art. 58, art. 89 ust. 1,
Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z  przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE
Sentencja
Wojewódzki Sąd Administracyjny w Warszawie w składzie następującym: Przewodniczący Sędzia WSA Sławomir Antoniuk, Sędzia WSA Iwona Maciejuk (spr.), Asesor WSA Dorota Kozub-Marciniak, Protokolant referent Edyta Brzezicka, po rozpoznaniu na rozprawie w dniu 24 maja 2024 r. sprawy ze skargi [...] Bank S.A. z siedzibą w W. na decyzję Prezesa Urzędu Ochrony Danych Osobowych z dnia [...] lipca 2023 r. nr [...] w przedmiocie przetwarzania danych osobowych 1. uchyla zaskarżoną decyzję; 2. zasądza od Prezesa Urzędu Ochrony Danych Osobowych na rzecz [...] Bank S.A. z siedzibą w W. kwotę 697 (słownie: sześćset dziewięćdziesiąt siedem) złotych, tytułem zwrotu kosztów postępowania.
Uzasadnienie
Prezes Urzędu Ochrony Danych Osobowych decyzją z dnia [...] lipca 2023 r. nr [...], na podstawie art. 104 § 1 ustawy z dnia 14 czerwca 1960 r. Kodeks postępowania administracyjnego (Dz.U. z 2023 r., poz. 775 ze zm.), zwanej dalej k.p.a. w zw. z art. 7 ust. 1 i 2 ustawy z 10 maja 2018 r. o ochronie danych osobowych (Dz.U. z 2019 r., poz. 1781) oraz na podstawie art. 6 ust. 1 i art. 58 ust. 2 lit. c Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (Dz. Urz. UE L 119 z 4.05.2016, s. 1, Dz. Urz. UE L 127 z 23.05.2018, s. 2 oraz Dz. Urz. UE L 74 z 4.03.2021, s. 35), po przeprowadzeniu postępowania administracyjnego w sprawie ze skargi A. Z., zwanego dalej także wnioskodawcą, uczestnikiem postępowania, na nieprawidłowości w procesie przetwarzania jego danych osobowych przez [...] Bank S.A. z siedzibą w [...], polegające na przetwarzaniu jego danych osobowych utrwalonych w dniu [...] maja 2022 r. w skanie jego dowodu osobistego bez podstawy prawnej oraz na niespełnieniu żądania usunięcia ww. danych osobowych, nakazał [...] Bank S.A. z siedzibą w [....] zaprzestanie przetwarzania danych osobowych A. Z., utrwalonych w dniu [...] maja 2022 r. w trakcie obsługi w oddziale ww. spółki w postaci skanu dowodu osobistego.
Prezes UODO w uzasadnieniu wskazał, że w dniu [...] maja 2022 r. podczas wizyty w placówce spółki, zażądała ona od wnioskodawcy zgody na wykonanie skanu jego dowodu osobistego pod rygorem odmowy realizacji dyspozycji wypłaty gotówki. Wnioskodawca zwrócił się do spółki z żądaniem usunięcia jego danych osobowych zwartych w skanie dowodu osobistego. W postępowaniu przed organem zakwestionował legalność przetwarzania przez spółkę jego danych osobowych zawartych na skanie dowodu osobistego oraz zażądał od Prezesa UODO nakazania spółce usunięcia ww. danych osobowych. Spółka wskazała, że pozyskała dane osobowe wnioskodawcy bezpośrednio od niego w związku z zawarciem w dniu [...] lipca 2005 r. z poprzednikiem prawnym spółki, tj. Bankiem [...] umowy o prowadzenie rachunku oszczędnościowo - rozliczeniowego o wskazanym numerze. Spółka wskazała, że przetwarza dane osobowe wnioskodawcy na podstawie art. 6 ust. 1 lit. b RODO, w związku z umową, która pozostaje aktywna. Zgodnie z wyjaśnieniami spółki, skarżący posiada także aktywny rachunek oszczędnościowy oraz trzy rachunki lokat terminowych, których terminy zapadalności jeszcze nie przypadły. Spółka wskazała, że przetwarza następujące dane osobowe wnioskodawcy: imiona, nazwisko, data urodzenia, kraj urodzenia, miejsce urodzenia, obywatelstwo, wykształcenie, stan cywilny, PESEL, seria i numer dowodu osobistego, data wydania dowodu osobistego, data ważności dowodu osobistego, wizerunek, adres zameldowania, zamieszkania oraz do korespondencji, status dewizowy, numer telefonu komórkowego, numer telefonu stacjonarnego, adres e-mail, imiona rodziców, nazwisko panieńskie matki. Spółka wskazała, że dane osobowe klientów spółki, a więc i wnioskodawcy, pozyskane w formie kopii lub skanu dowodu osobistego przetwarzane są w celu prawidłowej weryfikacji tożsamości klientów, przeciwdziałania posługiwaniu się fałszywymi dokumentami, a przede wszystkim w celu zapewnienia bezpieczeństwa środków pieniężnych zgromadzonych na rachunkach (przeciwdziałanie kradzieży tożsamości). Spółka wskazała, że pozyskiwanie danych osobowych poprzez skanowanie dowodu osobistego ma na celu bezpieczeństwo środków ulokowanych w spółce i zapobieżeniu działaniom na szkodę klienta Spółki, w tym przypadku - skarżącego. Wskazała także, że wprowadziła wewnętrzny program przeciwdziałania praniu pieniędzy oraz finansowaniu terroryzmu. Jednym z elementów programu jest poprawna oraz należyta identyfikacja osób fizycznych zlecających operacje finansowe za pośrednictwem pracowników oddziału. Działania te polegają na tym, że każdorazowo, podczas obsługi klienta w oddziale spółki, pracownik ma obowiązek sprawdzenia w dedykowanej zakładce w systemie informatycznym spółki, czy znajduje się w niej aktualny skan dowodu tożsamości. W przypadku braku, pracownik ma obowiązek zmodyfikować kartotekę oraz dodać nowy dokument tożsamości zgodnie z wewnętrzną procedurą modyfikacji kartoteki klienta indywidualnego w oddziale. Spółka wskazała, że od dnia fuzji operacyjnej z Bankiem [...], tj. od [...] marca 2017 r., dane osobowe wnioskodawcy nie były zweryfikowane wraz ze skanem dowodu osobistego. Zgodnie z wyjaśnieniami spółki, w dniu [...] grudnia 2020 r. skarżący odbył wizytę w oddziale spółki w celu złożenia dyspozycji wypłaty środków pieniężnych z rachunku bankowego w wysokości 12 000 PLN. W związku z tym, przy pierwszej wizycie wnioskodawcy w oddziale spółki pracownik przystąpił do identyfikacji wymienionego zgodnie z przyjętą procedurą, a w momencie zidentyfikowania braku skanu dokumentu tożsamości, miał obowiązek pozyskać do skarżącego skan dokumentu. Spółka wskazała, że w przypadku, gdyby w dedykowanej zakładce w systemie informatycznym spółki znajdował się skan ważnego dokumentu tożsamości, a jego autentyczność nie budziłaby wątpliwości, pracownik spółki nie pozyskiwałby kopii dokumentu. W dniu [...] grudnia 2020 r., został więc pozyskany pierwszy skan dowodu tożsamości skarżącego. Spółka wskazała, że data ważności dokumentu tożsamości, którego ww. skan pozyskała spółka upływał [...] maja 2021 r. Zgodnie z wyjaśnieniami spółki, w dniu [...] maja 2021 r. wnioskodawca za pośrednictwem bankowości internetowej dokonał aktualizacji danych dotyczących dokumentu tożsamości w zakresie serii, numeru dokumentu oraz daty ważności. Spółka wskazała, że przy kolejnej wizycie wnioskodawcy w oddziale Spółki w dniu [...] maja 2022 r., pracownik przed przystąpieniem do obsługi operacyjnej zidentyfikował brak skanu aktualnego dokumentu tożsamości, tym samym zgodnie z instrukcją identyfikacji klienta, pracownik zaktualizował dane w zakresie skanu dowodu osobistego. Spółka wskazała, że podstawą pozyskania ww. skanu dowodu osobistego skarżącego jest art. 34 ust. 4 ustawy z dnia 1 marca 2018 r. o przeciwdziałaniu praniu pieniędzy oraz finansowaniu terroryzmu (Dz. U. z 2022 r., poz. 593), zwanej dalej ustawą AML. Spółka wskazała, że nie w każdym przypadku obsługi operacyjnej wykonuje skan dowodu osobistego. Spółka przesłała zapisy wspomnianej instrukcji identyfikacji klienta w ww. zakresie: "Jeśli w systemie nie ma skanu dokumentu lub jest nieprawidłowy i klient nie zgadza się na jego zeskanowanie, to obsługa jest możliwa tylko w następujących przypadkach: a. Klient podczas obsługi wyłącznie: wnioskuje o realizację praw wynikających z RODO, składa reklamacje, aktualizuje zgody udzielane bankowi (marketing, BIK). A także zleca: zastrzeżenie kart płatniczych, blokadę kanałów elektronicznych, usunięcie numeru telefonu zaufanego, b. Klient rozwiązuje relację z [...] Bankiem (wypowiedzenie wszystkich posiadanych umów, odstąpienie od umowy). Podczas tej obsługi, możliwe jest wykonanie każdej innej operacji bez wykonywania kopii dokumentu tożsamości (np. wypłata środków, przelew), c. Były klient wnioskuje o udzielenie informacji o zamknięte produkty, składa wnioski o wydanie zaświadczeń dotyczących historii relacji z [...] Bankiem, składa reklamacje i oświadczenia, składa wnioski o realizację praw wynikających z RODO". Spółka wskazała, że w dniu [...] maja 2022 r. do spółki wpłynął wniosek wymienionego wyżej o usunięcie danych osobowych zawartych w dokumencie tożsamości oraz przechowywanej przez spółkę kopii dowodu osobistego. W tym samym dniu, do wnioskodawcy została wysłana za pośrednictwem bankowości internetowej odpowiedź odmawiająca spełnienia przez spółkę ww. żądania wnioskodawcy. Spółka wskazała, że ani spółka, ani wnioskodawca nie wystosowali wobec siebie żadnych roszczeń.
W tym stanie faktycznym Prezes UODO zaznaczył, że w przepisem uprawniającym administratorów danych do przetwarzania zwykłych danych osób fizycznych jest art. 6 ust. 1 RODO, zgodnie z którym, przetwarzanie danych jest dopuszczalne tylko wtedy, gdy spełniona jest jedna z przesłanek wskazanych w tym przepisie. Katalog przesłanek wymienionych w art. 6 ust. 1 RODO, jest zamknięty. Każda z przesłanek legalizujących proces przetwarzania danych osobowych ma charakter autonomiczny i niezależny. Oznacza to, że przesłanki te co do zasady są równoprawne, a wobec tego spełnienie co najmniej jednej z nich stanowi o zgodnym z prawem przetwarzaniu danych osobowych. W konsekwencji zgoda osoby, której dane dotyczą nie jest jedyną podstawą przetwarzania danych osobowych, ponieważ proces przetwarzania danych będzie zgodny z RODO również wówczas, gdy administrator danych wykaże spełnienie innej z wyżej wymienionych przesłanek. Niezależnie od zgody osoby, której dane dotyczą (art. 6 ust. 1 lit. a RODO) przetwarzanie danych osobowych jest dopuszczalne między innymi wtedy, gdy jest niezbędne do wypełnienia obowiązku prawnego ciążącego na administratorze (art. 6 ust. 1 lit. c RODO), jak również gdy jest niezbędne do celów wynikających z prawnie uzasadnionych interesów realizowanych przez administratora (art. 6 ust. 1 lit. f RODO). Dodatkowo, proces przetwarzania danych osobowych musi być zgodny z zasadami ustanowionymi w art. 5 ust. 1 RODO. Do zasad tych zalicza się między innymi ograniczenie celu (art. 5 ust. 1 lit. b RODO) oraz minimalizację danych (art. 5 ust. 1 lit. c RODO). Organ wskazał na zasadę rozliczalności.
Prezes UODO wskazał, że aktem prawnym zawierającym szczegółowe regulacje dotyczące procesu przetwarzania danych osobowych klientów banków jest przede wszystkim ustawa z dnia 29 sierpnia 1997 r. Prawo bankowe (Dz. U. z 2022 r., poz. 2324). W myśl art. 112b Prawa bankowego, banki mogą przetwarzać dla celów prowadzonej działalności bankowej informacje zawarte w dokumentach tożsamości osób fizycznych. W ocenie Prezesa UODO utrwalanie danych osobowych poprzez wykonywanie skanów dowodów tożsamości jest jednak legalne wyłącznie wtedy, kiedy taki obowiązek nakłada na bank przepis rangi ustawy. W ocenie organu nadzorczego każdorazowa decyzja o skopiowaniu czy też zeskanowaniu dokumentu tożsamości powinna być poprzedzona analizą, czy rzeczywiście taka czynność jest niezbędna, zgodnie z zasadami celowości i minimalizacji danych, o których mowa w art. 5 ust. 1 lit b i lit. c RODO. Dane przetwarzane w postaci skanu dokumentu tożsamości są dodatkową informacją o osobie, której dotyczą, gdyż stanowią odwzorowanie dokumentu, którym się ona posługuje. W ocenie Prezesa Urzędu przepis art. 112b Prawa bankowego nie przewiduje obowiązku skanowania dowodów tożsamości i nie można uznać, aby dopuszczał możliwość utrwalania skanu dowodu osobistego podczas każdej czynności związanej z prowadzoną działalnością bankową. Mając na uwadze brzmienie art. 112b Prawa bankowego organ stwierdził, iż w celach prowadzenia działalności bankowej nie zawsze konieczne jest utrwalanie danych zawartych w dowodzie osobistym. Wystarczająca może okazać się bowiem jedynie prawidłowa weryfikacja przez spółkę danych zawartych w dokumencie tożsamości okazanym do wglądu, bez utrwalania tych danych poprzez dokonanie skanu tego dokumentu. Art. 112b Prawa bankowego stanowi o przetwarzaniu informacji zawartych w dokumentach tożsamości osób fizycznych. Organ przytoczył art. 4 pkt 2 RODO wskazując, że utrwalanie to tylko jedna z operacji wykonywanych na danych osobowych.
Organ odnosząc się do podstawy wskazanej przez Bank przytoczył art. 34 ust. 4, art. 35 ust. 1 i 2, art. 36, art. 37 ust. 1 ustawy AML, powołał się też na art. 49 ustawy AML. Wskazał m.in., że zgodnie z art. 34 ust. 4 ustawy AML, instytucje obowiązane, w tym spółka, na potrzeby stosowania środków bezpieczeństwa finansowego mogą przetwarzać informacje zawarte w dokumentach tożsamości klienta i osoby upoważnionej do działania w jego imieniu oraz sporządzać ich kopie. Podniósł, że ustawodawca zobowiązuje spółkę do stosowania środków bezpieczeństwa wskazując w art. 34 ust. 1 ustawy AML, że środki te obejmują identyfikację klienta oraz weryfikację jego tożsamości. Zgodnie natomiast z treścią art. 35 ust. 1 ustawy AML instytucje obowiązane stosują środki bezpieczeństwa finansowego w przypadkach wskazanych w ustawie AML.
Następnie Prezes UODO stwierdził, że mając na uwadze treść wymienionych przepisów prawa, nie można uznać, że w realiach przedmiotowej sprawy spółka legalnie utrwaliła dane zawarte w dowodzie osobistym wnioskodawcy i prawidłowo kontynuuje proces przetwarzania danych osobowych utrwalonych w postaci wykonanej kopii dokumentu. W ocenie Prezesa UODO w wyjaśnieniach spółki zabrakło niezbędnych rozważań, które przesądziłyby o zasadności i niezbędności przedsięwziętych przez spółkę środków w momencie obsługi operacyjnej wnioskodawcy w dniu [...] maja 2022 r. Organ wskazał, że trzeba zauważyć, iż żaden ze wskazanych wyżej przepisów nie nakłada na spółkę obowiązku utrwalenia skanu dowodu osobistego klienta podczas dokonywania jego obsługi operacyjnej, lecz wyłącznie obowiązek zastosowania środków bezpieczeństwa adekwatnych do sytuacji, określonych na podstawie oceny ryzyka prania pieniędzy i finansowania terroryzmu. Spółka natomiast nie wykazała, że decyzja o zeskanowaniu dokumentu tożsamości skarżącego została poprzedzona analizą, czy taka czynność jest niezbędna, zgodnie z zasadami celowości i minimalizacji danych, o których mowa w art. 5 ust. 1 lit b i lit. c RODO. Organ podniósł, że Spółka nie wykazała także, że zaszła którakolwiek z przesłanek wskazanych w art. 35 ust. 1-2 ustawy AML. Spółka nie wykazała ponadto, że przetwarzanie danych osobowych wnioskodawcy, utrwalonych w skanie dowodu osobistego było niezbędne we wskazanych przez spółkę celach, w tym, że celów tych nie można było osiągnąć bez utrwalenia danych osobowych skarżącego w postaci skanu dowodu osobistego. W ocenie Prezesa UODO, w związku z powyższym nie sposób uznać, ze dane osobowe uczestnika zostały zebrane w konkretnych, wyraźnie i prawnie uzasadnionych celach, a także są adekwatne do celu ich przetwarzania. Spółka ograniczyła się wyłącznie do stwierdzenia, że jej działanie, polegające na utrwaleniu skanu dowodu osobistego skarżącego, jest legalne i zgodne z obowiązującymi przepisami prawa, tj. z art. 34 ust. 4 ustawy AML, który dopuszcza możliwość wykonania skanu dowodu osobistego. Powyższe nie może zostać uznane za wystarczające do stwierdzenia zgodności zakwestionowanego przez wnioskodawcę procesu przetwarzania jego danych z przepisami o ochronie danych osobowych oraz niezbędności tego procesu do realizacji wskazanych przez spółkę celów, nie jest bowiem możliwa weryfikacja prawidłowości dokonanej przez spółkę oceny. Organ stwierdził, że z przedłożonych przez spółkę wyjaśnień nie wynika ponadto, aby spółka rozważała w przypadku wnioskodawcy zastosowanie jakichkolwiek innych środków umożliwiających prawidłową weryfikację jego tożsamości. Także przedłożony przez spółkę do akt niniejszej sprawy fragment instrukcji identyfikacji klienta w ww. zakresie wskazuje na to, że utrwala ona dane osobowe klientów poprzez zeskanowanie dowodów osobistych niejako automatycznie, bez przeprowadzenia analizy przypadku konkretnej osoby, której dane dotyczą. Wskazano w nim, że cyt.: "Jeśli w systemie nie ma skanu dokumentu lub jest nieprawidłowy i klient nie zgadza się na jego zeskanowanie, to obsługa jest możliwa tylko w następujących przypadkach: a. Klient podczas obsługi wyłącznie: wnioskuje o realizację praw wynikających z RODO, składa reklamacje, aktualizuje zgody udzielane bankowi (marketing, BIK). A także zleca: zastrzeżenie kart płatniczych, blokadę kanałów elektronicznych, usunięcie numeru telefonu zaufanego, b. Klient rozwiązuje relację z [...] Bankiem (wypowiedzenie wszystkich posiadanych umów, odstąpienie od umowy). Podczas tej obsługi, możliwe jest wykonanie każdej innej operacji bez utrwalania skanu dokumentu tożsamości (np. wypłata środków, przelew), c. Były klient wnioskuje o udzielenie informacji o zamknięte produkty, składa wnioski o wydanie zaświadczeń dotyczących historii relacji z [...] Bankiem, składa reklamacje i oświadczenia, składa wnioski o realizację praw wynikających z RODO".
Prezes UODO zaznaczył, że spółka nie wyjaśniła, dlaczego uznała, że zastosowanie środka, który nie wiązałby się z utrwaleniem danych osobowych poprzez zeskanowanie dowodu, było w przypadku wnioskodawcy niewystarczające. Organ stwierdził, że spółka przyjęła, iż utrwalenie danych zawartych w dokumencie tożsamości wnioskodawcy jest jedynym możliwym sposobem dokonania weryfikacji tożsamości wnioskodawcy podczas obsługi operacyjnej w oddziale spółki. Organ wskazał, że wprowadzenie przez spółkę wewnętrznego programu przeciwdziałania praniu pieniędzy oraz finansowaniu terroryzmu, zgodnie z postanowieniami którego każdorazowo, podczas obsługi klienta w oddziale spółki, pracownik ma obowiązek sprawdzenia w dedykowanej zakładce w systemie informatycznym spółki, czy znajduje się w niej aktualny skan dowodu tożsamości, a w przypadku braku, pracownik ma obowiązek zmodyfikować kartotekę oraz dodać nowy dokument tożsamości zgodnie z wewnętrzną procedurą modyfikacji kartoteki klienta indywidualnego w oddziale, nie stanowi źródła powszechnie obowiązującego prawa, a w ocenie organu nie uwzględnia zasad stosowania środków bezpieczeństwa finansowego przewidzianych w AML, zgodnie z którymi stosowanie ww. środków co do zasady powinno być uzależnione od przeprowadzenia oceny ryzyka prania pieniędzy i finansowania terroryzmu - biorąc pod uwagę charakter indywidualnej sytuacji. Nie każda bowiem wizyta osoby, której dane dotyczą w oddziale spółki wiązać się będzie z obowiązkiem zastosowania środków bezpieczeństwa finansowego. Decyzja o pozyskaniu danych osobowych poprzez wykonanie kopii czy też skanu dokumentu tożsamości, powinna być poprzedzona analizą i zweryfikowaniem, czy rzeczywiście taka czynność jest niezbędna, zgodnie z ww. zasadami zgodności z prawem, celowości i minimalizacji, do których przestrzegania spółka zobowiązana jest na podstawie art. 5 ust. 1 lit. a, b i c RODO. Spółka powinna w pierwszej kolejności rozważyć zatem, czy do realizacji jej celu, niezbędne jest pozyskanie utrwalenia danych osobowych zawartych w dowodzie osobistym. W ocenie organu w ustalonym w niniejszej sprawie stanie faktycznym, w świetle ww. przepisów taka niezbędność nie zachodziła. Mimo to spółka uzależniła dokonanie realizacji obsługi operacyjnej skarżącego od utrwalenia skanu dowodu osobistego wnioskodawcy. Zdaniem Prezesa UODO w ustalonym w niniejszej sprawie stanie faktycznym nie sposób uznać, by w świetle ww. przepisów, w związku z wizytą wnioskodawcy w spółce, powstała konieczność utrwalenia danych osobowych zawartych w jego dokumencie tożsamości na potrzeby zastosowania wobec niego środków bezpieczeństwa finansowego.
Organ wskazał nadto, że dowód osobisty, jako dokument służący do identyfikacji osoby, podlega restrykcjom wynikającym z przepisów ustawy z dnia 22 listopada 2018 r. o dokumentach publicznych (Dz. U. z 2023 r., poz. 1006). Podał, że zgodnie z art. 58 ww. ustawy kto wytwarza, oferuje, zbywa lub przechowuje w celu zbycia replikę takiego dokumentu, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do lat 2. Ustawa wskazuje, że repliką dokumentu publicznego jest odwzorowanie lub kopia takiego dokumentu w wielkości od 75% do 120% oryginału (art. 2 pkt 6 ww. ustawy). Ustawodawca sformułował tym samym generalny zakaz tworzenia kopii dowodów osobistych. Tym bardziej nie można zaakceptować sytuacji, w której spółka podejmuje decyzje o utrwaleniu skanu dowodu osobistego w sposób automatyczny w każdej sytuacji, z wyjątkiem tych wskazanych w ww. fragmencie instrukcji identyfikacji klienta, bez przeprowadzenia szczegółowej analizy konkretnego przypadku i w rezultacie pozyskuje dane, które nie są jej niezbędne do realizacji wskazanych celów przetwarzania, które to cele możliwe są do osiągnięcia bez pozyskiwania danych utrwalonych w postaci skanu dokumentu tożsamości, a zatem bez pozyskiwania dodatkowej informacji o osobie, której dane dotyczą w zakresie odwzorowania dokumentu, którym się ona posługuje.
Organ stwierdził, że przetwarzanie danych osobowych wnioskodawcy utrwalonych w skanie dowodu osobistego jest procesem niezgodnym z zasadami ograniczenia celu i minimalizacji danych i nie znajduje oparcia w żadnej z przesłanek wskazanych w art. 6 ust. 1 RODO.
[...] Bank S.A. z siedzibą w [...], reprezentowany przez adwokata, w skardze do Wojewódzkiego Sądu Administracyjnego w Warszawie wniósł o uchylenie decyzji Prezesa UODO z dnia [...] lipca 2023 r. nr [...] oraz zasądzenie od organu na rzecz skarżącego zwrotu kosztów postępowania, w tym kosztów zastępstwa procesowego, według norm przepisanych. Pełnomocnik zarzucił naruszenie przepisów postępowania, które miało istotny wpływ na wynik sprawy:
- art. 7b k.p.a. poprzez niezwrócenie się do Generalnego Inspektora Informacji Finansowej w sprawie sposobu wykonania obowiązków nałożonych na Bank przez ustawę AML, w szczególności sposobu stosowania środków bezpieczeństwa finansowego z art. 34 ustawy AML i dopuszczalności utrwalania danych osobowych zawartych w dokumentach tożsamości klientów Banku za pomocą skanu, co skutkowało wydaniem decyzji sprzecznej ze stanowiskiem tego organu w zakresie wykonywania przez banki kopii dowodów tożsamości i tym samym bezpodstawnym nałożeniem na Bank nakazu zaprzestania przetwarzania danych wnioskodawcy;
- art. 7 w zw. z art. 77 § 1 k.p.a., polegające na niewyczerpującym zebraniu materiału dowodowego i na niepodjęciu wszelkich kroków niezbędnych do dokładnego wyjaśnienia stanu faktycznego sprawy tj. w szczególności na zwróceniu się do Banku jedynie z jednym ogólnym wezwaniem do złożenia wyjaśnień, na braku żądania jakichkolwiek dokumentów potwierdzających: wykonanie analizy ryzyka prania pieniędzy zgodnie z art. 33 ust. 2 ustawy AML, realizację zasad wskazanych w art. 5 RODO lub wykonanie oceny skutków przetwarzania dla ochrony danych z art. 35 RODO, co skutkowało bezpodstawnym nałożeniem na Bank nakazu zaprzestania przetwarzania danych wnioskodawcy;
- art. 107 § 1 pkt 5 k.p.a. w zw. z art. 104 § 2 k.p.a. w zw. z art. 8 § 1 k.p.a. polegające na nieprecyzyjnym sformułowaniu w decyzji nakazu zaprzestania przetwarzania danych wnioskodawcy zawartych w jego dokumencie tożsamości, z uwagi na brak wskazania sposobu wykonania nakazu przez Bank, co skutkowało nałożeniem na Bank bezzasadnego nakazu zaprzestania przetwarzania danych, którego sposób wykonania wzbudza wątpliwości po stronie Banku z uwagi konieczność wykonania przez Bank obowiązków prawnych wynikających z ustawy AML; jak również zarzucił naruszenie prawa materialnego, tj.:
- art. 58 ust. 2 lit. c) RODO w związku z przepisem art. 6 ust. 1 RODO poprzez ich niewłaściwe zastosowanie polegające na przyjęciu, że Bank nie legitymuje się podstawą prawną przetwarzania danych wnioskodawcy utrwalonych w postaci skanu dowodu osobistego i nie spełnił żadnej z przesłanek z art. 35 ust. 1 i 2 ustawy AML, podczas gdy Bank przetwarza dane w celu wykonania obowiązków prawnych zgodnie z art. 6 ust. 1 lit. c) RODO w zw. z art. 35 ust. 1 pkt 1) i 6) i ust. 2 pkt 2) ustawy AML tj. zastosowania środków bezpieczeństwa finansowego w związku z prowadzonym na rzecz wnioskodawcy rachunkiem bankowym, wątpliwością co do prawdziwości oraz kompletności danych identyfikacyjnych wnioskodawcy oraz koniecznością aktualizacji jego danych;
- art. 58 ust. 2 lit. c) RODO w związku z przepisem art. 6 ust. 1 RODO poprzez ich niewłaściwe zastosowanie polegające na przyjęciu, że Bank nie legitymuje się podstawą prawną przetwarzania danych wnioskodawcy utrwalonych w postaci skanu dowodu osobistego, podczas gdy Bank przetwarza dane w celu prawidłowej weryfikacji klienta, przeciwdziałania posługiwaniu się fałszywymi dokumentami, przeciwdziałania kradzieży tożsamości oraz oszustwom na rynku finansowym, a zatem podstawa przetwarzania danych wnioskodawcy wynika z art. 6 ust. 1 lit. b) RODO i art. 6 ust. 1 lit. f) RODO w zw. z art. 112b ustawy Prawo bankowe oraz rekomendacjami i stanowiskami Komisji Nadzoru Finansowego tj. "Rekomendacją D dotyczącą zarządzania obszarami technologii informacyjnej i bezpieczeństwa środowiska teleinformatycznego w bankach" ze stycznia 2013 r. oraz "Rekomendacją dotyczącą bezpieczeństwa transakcji płatniczych wykonywanych internecie przez banki, krajowe instytucje płatnicze, krajowe instytucje pieniądza elektronicznego i spółdzielcze kasy oszczędnościowo - kredytowe" z listopada 2015 r., "Stanowiskiem UKNF dotyczącym identyfikacji klienta i weryfikacji jego tożsamości w bankach oraz oddziałach instytucji kredytowych w oparciu o metodę wideoweryfikacji" z 5 czerwca 2019 r.;
- art. 34 ust. 4 ustawy AML w zw. z art. 4 pkt 2 RODO poprzez ich błędną wykładnię polegającą na uznaniu, że wykonanie kopii dowodu osobistego wymaga odrębnej podstawy prawnej i jest dopuszczalne tylko, jeśli zastosowanie innych środków bezpieczeństwa finansowego jest niewystarczające, podczas gdy zgodnie z prawidłową wykładnią tego przepisu wykonanie skanu dowodu osobistego nie wymaga odrębnej podstawy prawnej i jest dyskrecjonalnym uprawnieniem Banku;
- art. 33 ust. 2 ustawy AML poprzez jego niewłaściwe zastosowanie i uznanie, że Bank nie wykonał indywidualnej oceny ryzyka prania pieniędzy wymaganej przez ten przepis, podczas gdy przepis zobowiązuje do dokonania oceny ryzyka konkretnych operacji i Bank dokonał zarówno indywidualnej oceny ryzyka prania pieniędzy przez wnioskodawcę, jak i dokonał oceny ryzyka konkretnych produktów bankowych, czego efektem była zmiana stosowanej w Banku procedury "Identyfikacji klienta";
- art. 58 ustawy z dnia 22 listopada 2018 r. o dokumentach publicznych (t.j. Dz. U. z 2023 r., poz. 1006 ze zm.) poprzez jego niewłaściwe zastosowanie, ponieważ Bank nie wypełnia żadnego z elementów dyspozycji przepisu tj. nie wytwarza, nie oferuje, nie zbywa i nie przechowuje w celu zbycia dowodów osobistych klientów, zatem przepis ten nie znajduje zastosowania do skanowania dowodów osobistych klientów wykonywanych przez Bank.
W uzasadnieniu pełnomocnik rozszerzył argumentację podniesionych zarzutów. Wskazał m.in., że organ nie przeprowadził postępowania dowodowego w sprawie, ponieważ jedynie raz skierował ogólne wezwanie do Banku dotyczące podstaw przetwarzania danych, ale po uzyskaniu odpowiedzi nie żądał od Banku żadnych dodatkowych dokumentów potwierdzających spełnienie obowiązków z art. 33, 34 i 35 ustawy AML, a zasada rozliczalności z art. 5 ust. 2 RODO nie wyłącza zasady prawdy obiektywnej z art. 7 k.p.a. Pełnomocnik podniósł, że wbrew twierdzeniom organu, Bank wykonał analizę ryzyka zarówno indywidualną, jak i określonych produktów bankowych, co potwierdzają posiadane przez Bank dokumenty, które nie zostały zbadane przez organ. Bank przetwarza te dane na podstawie art. 6 ust. 1 lit. c) w zw. z art. 35 ust. 1 pkt 1) i 6) i ust. 2 pkt 2) ustawy AML oraz na podstawie art. 6 ust. 1 lit. b) i f) RODO, ponieważ jego zadaniem jest przeciwdziałanie oszustwom finansowym oraz kradzieży tożsamości.
Pełnomocnik podkreślił m.in., że błędne stanowisko organu sugerujące, że zasada rozliczalności z art. 5 ust. 2 RODO wyłącza zastosowanie art. 7 k.p.a., wynika z błędnej interpretacji zasady rozliczalności, która w żaden sposób nie wyłącza zasady prawdy obiektywnej, ale zobowiązuje administratora do posiadania dokumentów potwierdzających przetwarzanie danych zgodnie z przepisami RODO. Odrębną kwestią jest jednak, że to organ prowadzi postępowanie dowodowe, to na nim spoczywa inicjatywa dowodowa i administrator jest zobowiązany do przedłożenia dokumentów potwierdzających przetwarzanie danych zgodnie z przepisami RODO, ale na żądanie organu. Pełnomocnik podniósł, że w niniejszej sprawie organ nawet nie dążył do ustalenia prawdy obiektywnej, tylko automatycznie "przerzucił ciężar dowodu" w postępowaniu administracyjnym z organu na Bank nie informując o tym Banku, nie zadając żadnych dodatkowych pytań. Prezes UODO w przedmiotowej sprawie skierował do Banku tylko 1 wezwanie do złożenia wyjaśnień. Pełnomocnik przytoczył pytania skierowane przez organ i wskazał, że Bank udzielił odpowiedzi na każde z pytań w piśmie z dnia 26 sierpnia 2022 r. i od tego czasu nie otrzymał żadnego wezwania od Prezesa UODO. Pełnomocnik podkreślił, że do momentu doręczenia decyzji (przez niemalże rok) Bank miał przekonanie, że jego odpowiedzi były wyczerpujące i zgromadzony materiał dowodowy potwierdzał uprawnienie Banku do przetwarzania danych osobowych wnioskodawcy, szczególnie mając na uwadze treść decyzji Prezesa UODO z [...] czerwca 2022 r. ws. [...], wydanej w zbliżonym stanie faktycznym, gdzie inny bank przetwarzał dane osobowe podmiotu danych na tych samych podstawach prawnych. Podkreślono, że Bank nie mógł nawet podejrzewać, że konieczne było przedłożenie innych dowodów takich jak indywidualna analiza ryzyka, ewentualna ocena skutków przetwarzania danych, pomimo że Bank posiada dodatkowe dokumenty potwierdzające dokonanie analizy ryzyka w zakresie konkretnych produktów bankowych i posiada na przykład procedurę "Identyfikacji osoby fizycznej", tylko organ nie żądał przedłożenia tych dokumentów. Skutkiem powyższych błędów popełnionych przez Prezesa UODO było wydanie wobec Banku bezzasadnego nakazu zaprzestania przetwarzania danych wnioskodawcy z uwagi na rzekome przetwarzanie danych osobowych bez podstawy prawnej.
Pełnomocnik wskazał też m.in., że nałożony na Bank nakaz zaprzestania przetwarzania danych jest nieprecyzyjny, ponieważ w ocenie Banku nie jest możliwe wykonanie tego nakazu inaczej niż poprzez usunięcie danych. Pełnomocnik podniósł, że w ocenie sądów administracyjnych nakaz zaprzestania przetwarzania danych nie może być utożsamiany z nakazem usunięcia danych: "błędne jest stanowisko skarżącego, iż zaprzestanie przetwarzania danych osobowych jest równoznaczne z usunięciem tych danych." (postanowienie WSA w Warszawie z 11 lipca 2023 r., sygn. akt II SA/Wa 1001/23; postanowienie WSA w Warszawie z 11 lipca 2023 r., sygn. akt II SA/Wa 1002/23). Skoro w ocenie sądów administracyjnych możliwe jest wykonanie nakazu zaprzestania przetwarzania danych inaczej niż poprzez ich usunięcie, organ powinien wskazać, w jaki sposób nakaz ten powinien zostać wykonany.
Prezes UODO w odpowiedzi na skargę wniósł o jej oddalenie podtrzymując stanowisko zawarte w zaskarżonej decyzji. Organ odniósł się do zarzutów skargi. Wskazał m.in., że w jego ocenie twierdzenia wnioskodawcy oraz przedłożone przez Spółkę wyjaśnienia były wystarczające do wydania rozstrzygnięcia w niniejszej sprawie. Prezes UODO stwierdził, że rolą organu w postępowaniu administracyjnym nie jest poszukiwanie podstaw prawnych przetwarzania danych konkretnej osoby przez administratora. Organ stosuje obowiązujące przepisy prawa odpowiednio do ustalonego w sprawie stanu faktycznego. Stan faktyczny sprawy ustala zaś przede wszystkim w oparciu o dowody w postaci dokumentów i wyjaśnień przedstawionych przez strony postępowania. Brak inicjatywy dowodowej po stronie Spółki w zakresie wykazania podstaw kwestionowanego przez wnioskodawcę procesu przetwarzania jego danych uznać należy więc za niedopuszczalny. W ocenie Prezesa Urzędu Ochrony Danych Osobowych, Spółka w trakcie postępowania administracyjnego, będącego przedmiotem skargi Spółki do Wojewódzkiego Sądu Administracyjnego, w odpowiedzi na wezwanie Prezesa Urzędu Ochrony Danych Osobowych do złożenia wyjaśnień i dowodów na ich potwierdzenie (w tym dotyczących podstaw prawnych i celów przetwarzania danych osobowych), nie złożyła wyczerpujących wyjaśnień i nie przedstawiła dowodów, którymi wówczas dysponowała, mając świadomość, że mogą się one przyczynić do wyjaśnienia stanu faktycznego i prawnego sprawy. Organ stwierdził, że bierność strony należy uznać w opisanym zakresie za niedopuszczalną. Nie ulega wątpliwości, że gdyby Spółka złożyła, w odpowiedzi na wezwanie Prezesa Urzędu Ochrony Danych Osobowych, wyczerpujące wyjaśnienia i dowody, zgodnie ze wskazanymi przez siebie możliwościami oraz zasobami, to te okoliczności byłyby przedmiotem analizy organu.
Organ nie zgodził się też z twierdzeniem, że nakaz zawarty w decyzji nie był precyzyjny. Prezes UODO stwierdził, że zawarty w zaskarżonej decyzji nakaz dotyczy wyłącznie danych osobowych wnioskodawcy utrwalonych w dniu [...] maja 2022 r. w trakcie obsługi w oddziale Spółki w postaci skanu dowodu osobistego, tj. realizacji przez wnioskodawcę dyspozycji wypłaty gotówki w oddziale Spółki. W związku z powyższym, organ podkreślił, że decyzja i zawarty w niej nakaz nie dotyczą przetwarzania przez Bank danych osobowych wnioskodawcy zawartych na kopii jego dowodu osobistego w ogóle, tj. w oderwaniu od powyższej konkretnej czynności skarżącego i zaistniałym w związku z tą czynnością procesem przetwarzania. Prezes UODO wskazał też m.in., że nie zastosował do Spółki przepisu art. 58 ustawy o dokumentach publicznych.
Pełnomocnik Spółki w piśmie procesowym z dnia 15 maja 2024 r., stanowiącym replikę na odpowiedź na skargę, podtrzymał dotychczasowe stanowisko Spółki.
Wojewódzki Sąd Administracyjny w Warszawie zważył, co następuje.
Zgodnie z art. 1 § 1 i 2 ustawy z dnia 25 lipca 2002 r. – Prawo o ustroju
sądów administracyjnych (t.j. Dz. U. z 2022 r. poz. 2492 ze zm.), sądy administracyjne sprawują wymiar sprawiedliwości przez kontrolę działalności administracji publicznej, przy czym kontrola ta sprawowana jest pod względem zgodności z prawem, jeżeli
ustawy nie stanowią inaczej.
W świetle powołanych przepisów, Wojewódzki Sąd Administracyjny w Warszawie, w zakresie swojej właściwości, ocenia zaskarżoną decyzję administracyjną, postanowienie, czy też inny akt lub czynność z zakresu administracji publicznej dotyczącą uprawnień lub obowiązków wynikających z przepisów prawa, z punktu widzenia ich zgodności z prawem materialnym i przepisami postępowania administracyjnego, według stanu faktycznego i prawnego obowiązującego w dacie wydania tego aktu lub podjęcia spornej czynności. Chodzi więc o kontrolę aktów lub czynności z zakresu administracji publicznej dokonywaną wyłącznie pod względem ich zgodności z prawem materialnym i przepisami procesowymi, nie zaś według kryteriów słuszności, czy też zgodności z zasadami współżycia społecznego. Sąd rozstrzyga w granicach danej sprawy, nie będąc jednak związany zarzutami i wnioskami skargi oraz powołaną podstawą prawną (art. 134 § 1 ustawy z dnia 30 sierpnia 2002 r. – Prawo o postępowaniu przed sądami administracyjnymi ( t.j. Dz.U. z 2023 r. poz. 1634 ze zm.).
Prezes Urzędu Ochrony Danych Osobowych jest organem właściwym w sprawie ochrony danych osobowych (art. 34 ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych) i jednocześnie organem nadzorczym, w rozumieniu RODO (art. 34 ust. 2 u.o.d.o.).
Jak stanowi art. 57 ust. 1 lit. a i lit. f RODO, bez uszczerbku dla innych zadań określonych na mocy niniejszego rozporządzenia, każdy organ nadzorczy na swoim terytorium monitoruje i egzekwuje stosowanie niniejszego rozporządzenia, a także rozpatruje skargi wniesione przez osobę, której dane dotyczą.
W wyniku przeprowadzonej analizy stanowiska Prezesa UODO przedstawionego w uzasadnieniu zaskarżonej decyzji, Sąd stwierdził, że decyzja ta narusza przepisy prawa procesowego, tj. art. 7, art. 77 § 1, art. 80 i art. 107 § 1 k.p.a. w stopniu, który mógł mieć istotny wpływ na wynik sprawy. Zgodnie z art. 7 k.p.a., w toku postępowania organy administracji publicznej stoją na straży praworządności, z urzędu lub na wniosek stron podejmują wszelkie czynności niezbędne do dokładnego wyjaśnienia stanu faktycznego oraz do załatwienia sprawy, mając na względzie interes społeczny i słuszny interes obywateli. Stosownie do art. 77 § 1 k.p.a., organ administracji publicznej jest obowiązany w sposób wyczerpujący zebrać i rozpatrzyć cały materiał dowodowy. Organ administracji publicznej ocenia na podstawie całokształtu materiału dowodowego, czy dana okoliczność została udowodniona (art. 80 k.p.a.).
W ocenie Sądu rozpoznającego niniejszą sprawę Prezes UODO nie przeprowadził należycie postępowania wyjaśniającego, nie podjął wszelkich niezbędnych kroków w celu dokładnego wyjaśnienia stanu faktycznego, a w konsekwencji nie zebrał w sposób wyczerpujący całego niezbędnego do rozpatrzenia tej sprawy materiału dowodowego i nie rozpatrzył go w związku z tym na gruncie wszystkich istotnych okoliczności sprawy. Z uwagi na powyższe, za co najmniej przedwczesne uznać należało stanowisko organu co do tego, że działanie Banku polegające na pozyskaniu skanu dowodu osobistego uczestnika postępowania w dniu 18 maja 2022 r., nie było legalne. Sąd podkreśla, że na tym etapie postępowania nie przesądza w tej kwestii. Ocena zgodności z prawem przetwarzania danych osobowych uczestnika postępowania, w kwestionowany przez niego sposób, podlegać będzie ponownej ocenie organu.
W sprawie tej jest bezsporne, że A. Z. jest klientem Banku i jego dane osobowe w zakresie wskazanym w punkcie 3 ustaleń faktycznych zaskarżonej decyzji, co nie było sporne (strona 2 decyzji) są przetwarzane na podstawie art. 6 ust. 1 lit. b RODO. Zgodnie z tym przepisem, przetwarzanie jest zgodne z prawem wyłącznie w przypadkach, gdy - i w takim zakresie, w jakim - spełniony jest co najmniej jeden z poniższych warunków: przetwarzanie jest niezbędne do wykonania umowy, której stroną jest osoba, której dane dotyczą, lub do podjęcia działań na żądanie osoby, której dane dotyczą, przed zawarciem umowy. W zakresie rozwiązanych umów dane przetwarzane są na podstawie art. 6 ust. 1 lit. c RODO, zgodnie z którym przetwarzanie jest niezbędne do wypełnienia obowiązku prawnego ciążącego na administratorze. Spółka w wyjaśnieniach z dnia 26 sierpnia 2022 r. wskazała na przepisy prawa, na podstawie których przetwarza dane uczestnika postępowania w związku z rozwiązanymi umowami. Bank wyjaśnił w postępowaniu przed organem, że w dniu [...] grudnia 2020 r. uczestnik postępowania w oddziale Banku złożył dyspozycję wypłaty środków pieniężnych z rachunku bankowego we wskazanej w wyjaśnieniach wysokości. W tym dniu pozyskany został pierwszy skan dowodu tożsamości uczestnika. Data ważności dokumentu tożsamości upływała 6 maja 2021 r. W dniu [...] maja 2021 r. uczestnik postępowania za pośrednictwem bankowości internetowej, jak wynika z wyjaśnień Banku (karta 10 akt administracyjnych), dokonał aktualizacji danych dotyczących nowego dokumentu tożsamości w zakresie serii, numeru dokumentu oraz daty ważności. Z wyjaśnień Banku wynika, że przy kolejnej wizycie uczestnika postępowania w oddziale Banku, tj. w dniu [...] maja 2022 r. pracownik banku "zaktualizował dane w zakresie skanu dowodu osobistego". Bank wyjaśnił, że uczestnik postępowania składał dyspozycję wypłaty środków pieniężnych. Bank powołał się w tym zakresie na obowiązek identyfikacji klienta i weryfikacji jego tożsamości, wskazując art. 34 ust. 4 ustawy AML. Uczestnik postępowania w skardze do Prezesa UODO wskazał natomiast, że w Oddziale Banku zażądano od niego zgody na zeskanowanie dowodu osobistego i wskazano, że jeśli nie wyrazi zgody na zeskanowanie dowodu osobistego, to pracownik Banku będzie musiał odmówić wykonania jakichkolwiek czynności. Uczestnik wskazał, że nie mógłby dokonać wypłaty gotówki, mimo, że okazał ważny dowód osobisty. Podniósł, że zmuszony, zgodził się na zeskanowanie dowodu osobistego, jednakże po przeanalizowaniu sprawy uznał działanie Banku za bezprawne i zażądał usunięcia skanu dowodu osobistego z systemu Banku (karta 1, 2, 3 akt administracyjnych). Z wyjaśnień Banku z dnia [...] sierpnia 2022 r. wynika, że w tym samym dniu, tj. [...] maja 2022 r. wpłynął wniosek uczestnika postępowania o usunięcie danych osobowych zawartych w dokumencie tożsamości i nie został on uwzględniony.
Kwestią sporną jest zatem w tej sprawie zgodność z prawem przetwarzania danych osobowych uczestnika postępowania utrwalonych przez Bank w formie skanu dowodu osobistego w dniu [...] maja 2022 r. w trakcie wizyty uczestnika postępowania w Oddziale Banku w związku z dyspozycją wypłaty gotówki.
Zgodnie z art. 6 ust. 1 RODO, przetwarzanie jest zgodne z prawem wyłącznie w przypadkach, gdy - i w takim zakresie, w jakim - spełniony jest co najmniej jeden z poniższych warunków: a) osoba, której dane dotyczą wyraziła zgodę na przetwarzanie swoich danych osobowych w jednym lub większej liczbie określonych celów; b) przetwarzanie jest niezbędne do wykonania umowy, której stroną jest osoba, której dane dotyczą, lub do podjęcia działań na żądanie osoby, której dane dotyczą, przed zawarciem umowy; c) przetwarzanie jest niezbędne do wypełnienia obowiązku prawnego ciążącego na administratorze; d) przetwarzanie jest niezbędne do ochrony żywotnych interesów osoby, której dane dotyczą, lub innej osoby fizycznej; e) przetwarzanie jest niezbędne do wykonania zadania realizowanego w interesie publicznym lub w ramach sprawowania władzy publicznej powierzonej administratorowi; f) przetwarzanie jest niezbędne do celów wynikających z prawnie uzasadnionych interesów realizowanych przez administratora lub przez stronę trzecią, z wyjątkiem sytuacji, w których nadrzędny charakter wobec tych interesów mają interesy lub podstawowe prawa i wolności osoby, której dane dotyczą, wymagające ochrony danych osobowych, w szczególności gdy osoba, której dane dotyczą, jest dzieckiem. Akapit pierwszy lit. f) nie ma zastosowania do przetwarzania, którego dokonują organy publiczne w ramach realizacji swoich zadań.
W orzecznictwie Trybunału Sprawiedliwości podkreśla się, że ten wykaz przypadków, w których przetwarzanie danych osobowych może zostać uznane za zgodne z prawem jest wyczerpujący i zamknięty, co oznacza, by że aby można było uznać je za zgodne z prawem, przetwarzanie powinno być objęte jednym z przypadków przewidzianych w art. 6 ust. 1 akapit pierwszy RODO [v. wyrok Trybunału Sprawiedliwości z dnia 4 maja 2023 r., C-60/22, pkt 55, 56; www.eur-lex.europa.eu).
Zgodnie z orzecznictwem Trybunału Sprawiedliwości każde przetwarzanie danych osobowych powinno być zgodne z zasadami określonymi w art. 5 ust. 1 RODO i spełniać przesłanki zgodności z prawem wymienione w art. 6 RODO (v. wyrok Trybunału Sprawiedliwości z dnia 4 maja 2023 r., C-60/22, pkt 57; www.eur-lex.europa.eu).
Proces przetwarzania danych osobowych musi być zatem, co trafnie wskazał Prezes UODO, zgodny z zasadami ustanowionymi w art. 5 ust. 1 RODO. Do zasad tych zalicza się między innymi ograniczenie celu (art. 5 ust. 1 lit. b RODO) oraz minimalizację danych (art. 5 ust. 1 lit. c RODO). Wspomniane zasady wymagają, by dane osobowe były zbierane w konkretnych, wyraźnych i prawnie uzasadnionych celach i nieprzetwarzane dalej w sposób niezgodny z tymi celami, a proces przetwarzania danych osobowych był adekwatny, stosowny oraz ograniczony do tego, co niezbędne do celów, w których są przetwarzane. Stosownie natomiast do art. 5 ust. 2 RODO administrator jest odpowiedzialny za przestrzeganie przepisów ust. 1 i musi być w stanie wykazać ich przestrzeganie (,,rozliczalność").
W związku z tym, że Bank w wyjaśnieniach w toku postępowania administracyjnego powołał się na art. 34 ust. 4 ustawy AML i wskazał, że utrwalenie dowodu osobistego uczestnika postępowania, w postaci skanu dokumentu, miało na celu bezpieczeństwo środków ulokowanych w Banku i zapobieżeniu działaniom na szkodę uczestnika postepowania, organ do spraw ochrony danych osobowych obowiązany był rozstrzygnąć, czy powyższe przetwarzanie danych w dniu [...] maja 2022 r. istotnie znajdowało podstawę prawną w powołanym akcie prawnym i czy nie naruszało zasady celowości i minimalizacji danych, o których to zasadach jest mowa w art. 5 ust. 1 lit.b i c RODO.
Podkreślenia wymaga bowiem, że skan dowodu osobistego stanowi odwzorowanie podstawowego dokumentu publicznego, najistotniejszego z punktu widzenia bezpieczeństwa państwa, którego wytwarzanie odbywa się w sposób uwzględniający szczególne środki bezpieczeństwa (ustawa z dnia 22 listopada 2018 r. o dokumentach publicznych (Dz. U. z 2023 r., poz. 1006), zalicza w art. 5 ust. 2 pkt 1 dowód osobisty do dokumentów publicznych kategorii pierwszej). W przypadku skanu nie mówimy zatem wyłącznie o przetwarzaniu konkretnych danych osobowych, które już były przez Bank przetwarzane (znajdowały się w zbiorach Banku), ale dodatkowo odwzorowaniu dokumentu, którym posługuje się uczestnik postępowania.
Zgodnie z art. 112b Prawa bankowego, banki mogą przetwarzać dla celów prowadzonej działalności bankowej informacje zawarte w dokumentach tożsamości osób fizycznych.
Sąd podziela twierdzenie Prezesa UODO wyrażone w zaskarżonej decyzji, że przepis art. 112b Prawa bankowego nie przewiduje obowiązku skanowania dowodu tożsamości, nie przewiduje też takiego uprawnienia dla Banku. Skan dowodu osobistego stanowi, jak już wskazano wyżej, odwzorowanie dokumentu publicznego i z art. 112b Prawa bankowego nie da się wyprowadzić uprawnienia do pozyskiwania skanu dowodu osobistego.
Sądowi znane są poglądy prezentowane w orzecznictwie sądowoadministracyjnym przed wejściem w życie RODO, dotyczące kopiowania dowodów tożsamości, zgodnie z którymi kopiowanie dokumentu tożsamości traktowane było jako czynność techniczna (v. wyrok NSA w warszawie z dnia 19.12.2001 r. sygn.. akt II SA 2869/00, wyrok NSA z dnia 11 grudnia 2001 r. sygn. akt 2684/00, Lex nr 82799, wyrok NSA z dnia 7 listopada 2003 r. sygn. akt II SA 1432/02, Lex nr 174445).
Jednakże, nie można nie zauważyć, że katalog zasad przetwarzania danych został poszerzony na gruncie RODO (art. 5), w porównaniu do zasad ujętych w przepisach poprzednio obowiązującej Dyrektywy 95/46/WE Parlamentu Europejskiego i Rady z dnia 24 października 1995 r., nadto w odniesieniu m.in. do banków ustawodawca zdecydował się określić, w jakich przypadkach można sporządzać kopie dokumentu tożsamości klienta, czy osoby uprawnionej do działania w jego imieniu.
Wskazania wymaga bowiem, że uprawnienie do sporządzenia kopii dokumentu tożsamości przewiduje art. 34 ust. 4 ustawy AML, na który to przepis prawa, w swoich wyjaśnieniach z dnia 26 sierpnia 2022 r. powołał się Bank w niniejszej sprawie.
Sąd podziela wyrażone w zaskarżonej decyzji twierdzenie Prezesa UODO, że utrwalenie danych osobowych poprzez wykonanie skanu dowodu tożsamości jest legalne wyłącznie wtedy, gdy taki obowiązek nakłada na bank przepis rangi ustawy. Sąd podziela też twierdzenie organu, że każdorazowa decyzja o skopiowaniu czy zeskanowaniu dokumentu tożsamości powinna być poprzedzona analizą, czy rzeczywiście taka czynność jest niezbędna, zgodnie z zasadami celowości i minimalizacji danych (art. 5 ust. 1 lit. b i c RODO). Zgodnie z art. 5 ust. 1 lit. b RODO, dane osobowe muszą być: zbierane w konkretnych, wyraźnych i prawnie uzasadnionych celach i nieprzetwarzane dalej w sposób niezgodny z tymi celami; dalsze przetwarzanie do celów archiwalnych w interesie publicznym, do celów badań naukowych lub historycznych lub do celów statystycznych nie jest uznawane w myśl art. 89 ust. 1 za niezgodne z pierwotnymi celami ("ograniczenie celu"). Zgodnie z art. 5 ust. 1 lit. c RODO, dane osobowe muszą być: adekwatne, stosowne oraz ograniczone do tego, co niezbędne do celów, w których są przetwarzane ("minimalizacja danych").
Bank powoływał się w tej sprawie na art. 34 ust. 4 ustawy AML, jako podstawę legalności przetwarzania danych uczestnika postępowania w postaci skanu dokumentu tożsamości. Organ przytoczył ten przepis, jak i kolejne przepisy ustawy AML, po czym stwierdził, że nie można uznać, iż Spółka legalnie utrwaliła dane osobowe zawarte w dowodzie osobistym uczestnika postępowania. Organ stwierdził, że w wyjaśnieniach Banku zabrakło niezbędnych rozważań, które przesądziłyby o zasadności i niezbędności przedsięwziętych przez Spółkę środków w dniu [...] maja 2022 r. Prezes UODO uznał, że nie wykazano, aby zeskanowanie dowodu osobistego było poprzedzone analizą, czy taka czynność jak zeskanowanie dokumentu tożsamości, jest niezbędna, zgodnie z zasadami celowości i minimalizacji danych (art. 5 ust. 1 lit. b i c RODO).
Jednakże, zauważyć należy, co zasadnie, zarzucił Bank w skardze, że organ nie zwrócił się do Spółki – po uzyskaniu informacji o tym, że zastosowano art. 34 ust. 4 ustawy AML (wyjaśnienia Banku z dnia [...] sierpnia 2022 r.) – o dodatkowe wyjaśnienia dotyczące dokonania bądź nie, przez Bank oceny niezbędności pozyskania w tym konkretnym przypadku skanu dowodu osobistego uczestnika postępowania.
Wyjaśnić należy, dlaczego te dalsze wyjaśnienia Banku były konieczne w tej sprawie. Otóż w art. 34 ust. 4 ustawy AML ustawodawca wskazuje na możliwość sporządzenia kopii dokumentu tożsamości na potrzeby stosowania środków bezpieczeństwa finansowego. Zgodnie z tym przepisem, instytucje obowiązane na potrzeby stosowania środków bezpieczeństwa finansowego mogą przetwarzać informacje zawarte w dokumentach tożsamości klienta i osoby upoważnionej do działania w jego imieniu oraz sporządzać ich kopie. Przepis art. 34 ust. 1 pkt 1 ustawy AML stanowi, że środki bezpieczeństwa obejmują m.in. identyfikację klienta oraz weryfikację jego tożsamości.
To, w jakich przypadkach (sytuacjach) stosuje się środki bezpieczeństwa finansowego określone zostało przez ustawodawcę w art. 35 ust. 1 i 2 ustawy AML.
Zgodnie z art. 35 ust. 1 ustawy AML, instytucje obowiązane (bank jest jedną z takich instytucji) stosują środki bezpieczeństwa finansowego w przypadku: 1) nawiązywania stosunków gospodarczych; 2) przeprowadzania transakcji okazjonalnej: a) o równowartości 15 000 euro lub większej, bez względu na to, czy transakcja jest przeprowadzana jako pojedyncza operacja, czy kilka operacji, które wydają się ze sobą powiązane, lub b) która stanowi transfer środków pieniężnych na kwotę przekraczającą równowartość 1000 euro, c) z wykorzystaniem waluty wirtualnej o równowartości 1000 euro lub większej - w przypadku instytucji obowiązanych, o których mowa w art. 2 ust. 1 pkt 12; 3) przeprowadzania gotówkowej transakcji okazjonalnej o równowartości 10 000 euro lub większej, bez względu na to, czy transakcja jest przeprowadzana jako pojedyncza operacja, czy kilka operacji, które wydają się ze sobą powiązane - w przypadku instytucji obowiązanych, o których mowa w art. 2 ust. 1 pkt 21-23; 4) obstawiania stawek oraz odbioru wygranych o równowartości 2000 euro lub większej, bez względu na to, czy transakcja jest przeprowadzana jako pojedyncza operacja, czy kilka operacji, które wydają się ze sobą powiązane - w przypadku instytucji obowiązanych, o których mowa w art. 2 ust. 1 pkt 20; 5) podejrzenia prania pieniędzy lub finansowania terroryzmu; 6) wątpliwości co do prawdziwości lub kompletności dotychczas uzyskanych danych identyfikacyjnych klienta.
Stosownie do ust. 2 art. 35 ustawy AML, instytucje obowiązane stosują środki bezpieczeństwa finansowego również w odniesieniu do klientów, z którymi utrzymują stosunki gospodarcze, z uwzględnieniem rozpoznanego ryzyka prania pieniędzy oraz finansowania terroryzmu, w szczególności gdy: 1) doszło do zmiany uprzednio ustalonego charakteru lub okoliczności stosunków gospodarczych; 2) doszło do zmiany uprzednio ustalonych danych dotyczących klienta lub beneficjenta rzeczywistego; 3) instytucja obowiązana była w ciągu danego roku kalendarzowego zobowiązana na podstawie przepisów prawa do skontaktowania się z klientem w celu weryfikacji informacji dotyczących beneficjentów rzeczywistych, w szczególności gdy obowiązek taki wynikał z przepisów ustawy z dnia 9 marca 2017 r. o wymianie informacji podatkowych z innymi państwami (Dz. U. z 2023 r. poz. 241).
Przepis art. 36 i art. 37 ustawy AML określają na czym polega identyfikacja klienta, a na czym weryfikacja tożsamości klienta.
Sąd podziela twierdzenie Prezesa UODO, że nie każda wizyta w Oddziale Banku wiązać się będzie w obowiązkiem zastosowania środków bezpieczeństwa finansowego, o których mowa w ustawie AML.
W sprawie tej nie wyjaśniono jednak, czy w tym konkretnym przypadku, dotyczącym przetwarzania danych osobowych uczestnika postępowania w dniu [...] maja 2022 r. poprzez wykonanie skanu dowodu osobistego, istniały podstawy do zastosowania tego rodzaju środka bezpieczeństwa finansowego. Organ zwrócił się w tej sprawie do Banku z dwoma żądaniami udzielenia odpowiedzi. Pierwsze wezwanie (z dnia [...] sierpnia 2022 r.) dotyczyło udzielenia następujących informacji: "1) kiedy (proszę wskazać konkretną datę), na jakiej podstawie prawnej (proszę o wskazanie konkretnego przepisu przepisu/ów prawa), w jakim celu i w jakim zakresie (proszę wymienić kategorie/rodzaje danych) Spółka pozyskała dane osobowe Skarżącego zawarte na kopii jego dowodu osobistego; 2) czy Spółka przetwarza dane osobowe Skarżącego zawarte na kopii jego dowodu osobistego, a jeżeli tak, to w jakim celu, na jakiej podstawie prawnej (proszę o wskazanie konkretnego przepisu-ów prawa), w jakim zakresie oraz do kiedy będą przetwarzane (...); 3) czy Skarżący zwrócił się do Spółki z żądaniem usunięcia jego danych osobowych zawartych na kopii dowodu osobistego, a jeśli tak, to kiedy, w jaki sposób, jaka była treść żądania i w jaki sposób Spółka ustosunkowała się do powyższego. Drugie wezwanie dotyczyło udzielenia informacji w zakresie ewentualnych roszczeń klienta Banku i Banku.
Organ do spraw ochrony danych osobowych nie zwrócił się jednak do Banku o wyjaśnienie, dlaczego w jego ocenie wizyta uczestnika postępowania w Oddziale Banku w dniu [...] maja 2022 r. wymagała takiego działania, jakie Bank podjął w tej sprawie. Organ nie zwrócił się o udzielenie informacji, czy Bank dokonał analizy niezbędności pozyskania skanu dowodu osobistego uczestnika postępowania, zgodnie z zasadami celowości i minimalizacji danych w powiązaniu z art. 34 ust. 4 w zw. z art. 35 ustawy AML.
Organ stwierdził – bez uzyskania wcześniejszych wyjaśnień Banku w tym zakresie, co wynika jednoznacznie z akt administracyjnych i treści uzasadnienia zaskarżonej decyzji – że "w ustalonym w niniejszej sprawie stanie faktycznym nie sposób uznać, by w świetle ww. przepisów, w związku z wizytą Skarżącego w Spółce, powstała konieczność utrwalenia danych osobowych zawartych w jego dokumencie tożsamości na potrzeby zastosowania wobec niego środków bezpieczeństwa finansowego".
W ocenie Sądu nie jest możliwe wykluczenie z góry przez organ do spraw ochrony danych osobowych wystąpienia przypadku stosowania środków bezpieczeństwa finansowego. Każdy przypadek w tym zakresie powinien być oceniany indywidualnie, w konkretnych okolicznościach faktycznych. Takiej konkretnej oceny, przede wszystkim Banku, w tej sprawie zabrakło. Dopiero na podstawie pełnych wyjaśnień instytucji obowiązanej, jaką jest Bank, Prezes UODO miałby możliwość pełnej oceny zgodności z prawem przetwarzania danych osobowych uczestnika postępowania na gruncie RODO w tym konkretnym przypadku. Ocena organu, z powołaniem się wyłącznie na samą treść przepisów ustawy AML, bez odniesienia się przez Bank do okoliczności faktycznych dotyczących, czy to transakcji okazjonalnej, czy gotówkowej transakcji okazjonalnej, czy innego rodzaju czynności związanych z wizytą uczestnika postepowania w Oddziale Banku, jest oceną oderwaną od okoliczności faktycznych tej sprawy.
W ocenie Sądu, organ powinien był, po tym, gdy Bank udzielił odpowiedzi na wezwanie w dniu 26 sierpnia 2022 r., zwrócić się o dodatkowe wyjaśnienia w zakresie wykazania niezbędności zastosowania środków bezpieczeństwa finansowego w postaci pozyskania skanu dowodu osobistego uczestnika postępowania. Dopiero wówczas organ do spraw ochrony danych osobowych dysponowałby pełnym materiałem dowodowym niezbędnym do dokonania oceny zgodności z prawem kwestionowanego przetwarzania danych osobowych uczestnika postępowania. Przepis art. 34 ust. 4 ustawy AML nie może być bowiem wykładany w oderwaniu od art. 35, art. 36 i następnych przepisów tej ustawy.
Organ nie zwracał się do Banku z pytaniem, czy Bank dokonał oceny analizy ryzyka, skutków przetwarzania danych osobowych uczestnika w sposób przez niego kwestionowany. Organ stwierdził w decyzji, że Bank nie wyjaśnił dlaczego uznał, że zastosowanie środka, który nie wiązałby się z utrwaleniem danych osobowych przez zeskanowanie dowodu osobistego, byłoby w przypadku uczestnika niewystarczające. Jednocześnie jednak organ nie wezwał Banku do złożenia takich wyjaśnień.
Prezes UODO na podstawie "Instrukcji identyfikacji klienta", która, jak trafnie sam zaznaczył w decyzji, nie stanowi źródła prawa, przyjął, że Bank utrwala dane osobowe klientów poprzez zeskanowanie dowodów osobistych, niejako automatycznie.
Podkreślenia jednakże wymaga, że przedmiotem oceny organu nie jest w niniejszej sprawie "Instrukcja identyfikacji klienta", czy generalne zasady, polityka stosowana w Banku w zakresie identyfikacji klienta, ale jednoznaczne i bezsporne ustalenie okoliczności faktycznych danego przypadku przetwarzania danych i ocena, czy to przetwarzanie – w konkretnej sytuacji – znajdowało podstawę prawną.
Oceny organu do spraw ochrony danych osobowych wymaga zatem, czy w tej konkretnej sprawie konieczne, dopuszczalne było – z punktu widzenia przepisów RODO – zastosowanie przez Bank w procesie przetwarzania danych osobowych uczestnika postępowania środka w postaci pozyskania skanu dowodu osobistego. Rozważania samego Prezesa UODO bez wyjaśnień Banku (co do okoliczności z art. 35 ustawy AML) uznać należy za czysto teoretyczne. Także Sąd nie ma w tych okolicznościach możliwości wypowiedzenia się – na tym etapie postępowania – co do prawidłowości pozyskania, na gruncie RODO w związku z art. 34 ust. 4 ustawy AML skanu dowodu osobistego uczestnika postępowania, tj. przetwarzania jego danych osobowych w kwestionowany przez Bank sposób.
W świetle dotychczasowych ustaleń organu przyjąć należało, że argumentacja zawarta w zaskarżonej decyzji nie jest wyczerpująca i nie opiera się na pełnym i wszechstronnie zebranym materiale dowodowym.
Zarówno RODO, jak i ustawa o ochronie danych osobowych nie regulują kwestii postępowania dowodowego i powinności organu nadzorczego związanych z czynieniem ustaleń faktycznych. W związku z tym zastosowanie w tym zakresie znajdują reguły i zasady określone w k.p.a. Podkreślenia wymaga, że celem postępowania administracyjnego jest rozstrzygnięcie sprawy administracyjnej dotyczącej konkretnej osoby (podmiotu danych). Jednym ze stadiów postępowania jest stadium wyjaśniające - pozwalające ustalić dokładny stan faktyczny w danej sprawie. W wyniku postępowania wyjaśniającego organ administracji publicznej ma dojść do wskazanej w art. 7 k.p.a. prawdy obiektywnej, co czyni za pomocą środków dowodowych.
Zgodzić należy się twierdzeniem organu zawartym w odpowiedzi na skargę, że na administratorze i podmiocie przetwarzającym dane spoczywa obowiązek dostarczenia wszelkich informacji potrzebnych organowi nadzorczemu do realizacji swoich zadań.
W ocenie Sądu obowiązek udzielania wyczerpujących wyjaśnień przez administratora nie oznacza jednak, że organ do spraw ochrony danych osobowych, ma zaprzestać dążenia do ustalenia wszystkich istotnych okoliczności w indywidualnej sprawie podmiotu danych. Niewątpliwie rolą organu nie jest poszukiwanie w postępowaniu administracyjnym podstaw prawnych przetwarzania danych osobowych konkretnej osoby przez administratora. Jednakże ocena zgodności z prawem przetwarzania danych tej osoby – na gruncie podstawy prawnej powołanej przez administratora – wymaga takiego wyjaśnienia sprawy, aby rozważania organu – na gruncie RODO – można było uznać za pełne, wszechstronne i odnoszące się ściśle do okoliczności danego przypadku. Nie zmienia tego fakt, że zgodnie z art. 5 ust. 2 RODO administrator danych jest odpowiedzialny, zgodnie z zasadą rozliczalności wyrażoną w tym przepisie, za przestrzeganie przepisów ust. 1 tego artykułu i musi być w stanie wykazać przestrzeganie każdej z zasad ustanowionych w owym ust. 1, przy czym ciężar dowodu takiego przestrzegania spoczywa na nim (v. wyrok Trybunału Sprawiedliwości z dnia 4 maja 2023 r. C-60/22, pkt 53).
W ocenie Sądu zastosowane przez Prezesa UODO w tej sprawie postępowanie wyjaśniające nie było wystarczające do dokonania pełnej oceny istotnych okoliczności faktycznych na gruncie RODO. Prezes UODO, przeprowadzając postępowanie wyjaśniające, uzyskał stosowne wyjaśnienia od Banku, jednakże mimo powołania się przez Bank na art. 34 ust. 4 ustawy AML, nie zwrócił się o dodatkowe wyjaśnienia dotyczące przesłanki zastosowania środka bezpieczeństwa finansowego, oceny poziomu rozpoznanego ryzyka, o którym jest mowa w art. 33 ust. 1 ustawy AML. Bank tymczasem w skardze podniósł, że dokonał m.in. indywidualnej oceny ryzyka prania pieniędzy (art. 33 ust. 2 ustawy AML).
Ponownie rozpatrując sprawę organ uwzględni przedstawione wyżej rozważania i wskazania Sądu. Organ uzupełni postępowanie dowodowe w tej sprawie. Dla jej wszechstronnego rozstrzygnięcia niezbędne są dodatkowe wyjaśnienia Banku co do tego, czy Bank dokonał oceny w zakresie zaistnienia przypadku, o którym mowa w art. 35 ustawy AML, uprawniającego do sporządzenia skanu dowodu osobistego uczestnika postępowania, czy dokonał analizy niezbędności – z punktu widzenia zasad celowości i minimalizacji danych – przetwarzania danych w sposób kwestionowany przez uczestnika postępowania. Raz jeszcze podkreślenia wymaga, że sprawa niniejsza nie dotyczy generalnych zasad stosowanych przez Bank w zakresie identyfikacji klienta. W sprawie chodzi o przetwarzanie danych osobowych konkretnej osoby i jej prawo do ochrony danych. Wydając decyzję organ wszechstronnie rozważy cały zgromadzony materiał dowodowy. Uzasadnienie decyzji powinno spełniać wymogi art. 107 § 3 k.p.a.
Odnosząc się do pozostałych zarzutów podniesionych w skardze wskazania wymaga, że nie jest zasadny zarzut naruszenia art. 7b k.p.a. poprzez niezwrócenie się do Generalnego Inspektora Informacji Finansowej w sprawie sposobu wykonania obowiązków nałożonych na Bank przez ustawę AML.
Zgodnie z powołanym przepisem, w toku postępowania organy administracji publicznej współdziałają ze sobą w zakresie niezbędnym do dokładnego wyjaśnienia stanu faktycznego i prawnego sprawy, mając na względzie interes społeczny i słuszny interes obywateli oraz sprawność postępowania, przy pomocy środków adekwatnych do charakteru, okoliczności i stopnia złożoności sprawy.
W sprawie niniejszej Prezes UODO nie miał obowiązku zwracania się do GIIF w sprawie sposobu wykonywania obowiązków nałożonych na Bank ustawą AML, czy dopuszczalności utrwalania danych osobowych.
Prezes UODO jest wyspecjalizowanym organem ochrony danych osobowych, jedynym powołanym i uprawnionym do monitorowania i egzekwowania RODO, a nadto do upowszechniania wśród administratorów i podmiotów przetwarzających wiedzę o obowiązkach spoczywających na nich na mocy RODO (art. 51, art. 52, art. 57, motyw 123, motyw 129 RODO, v. podobnie wyrok WSA w Warszawie z dnia 21 kwietnia 2022 r., sygn. akt II SA/Wa 3131/21, wyrok WSA z dnia 5 maja 2021 r. sygn. akt II SA/Wa 1982/20, orzeczenia.nsa.gov.pl).
Odnosząc się do zarzutu naruszenia art. 58 ustawy o dokumentach publicznych wskazania wymaga, że organ nie twierdził, że znajduje on zastosowanie do Banku.
Wobec wyeliminowania zaskarżonej decyzji z obrotu prawnego z uwagi na naruszenie przepisów prawa procesowego, które mogło mieć istotny wpływ na wynik sprawy, zarzuty dotyczące sformułowania nakazu nie ważą na wyniku tej sprawy. Warto jednak zwrócić uwagę, że nakaz co do zasady powinien być na tyle precyzyjny, aby po stronie administratora nie powstawały wątpliwości co do samego rozumienia zwrotu "zaprzestanie przetwarzania danych osobowych", a w konsekwencji wątpliwości, co do sposobu wykonania decyzji.
Odnosząc się natomiast do argumentów dotyczących powołanych w skardze rozstrzygnięć Prezesa UODO podjętych w innych sprawach podkreślenia wymaga, że pozostają one bez wpływu na wynik niniejszej sprawy. Każda sprawa rozpatrywana jest indywidualnie, a rozstrzygnięcie podejmowane jest przez organ w konkretnych okolicznościach faktycznych. Niewątpliwie jednak, w przypadku dokładnie takich samych stanów faktycznych i prawnych, należy uwzględniać dotychczasową utrwaloną praktykę rozstrzygania spraw lub wykazać uzasadnione powody odstąpienia od tej praktyki.
Mając powyższe na uwadze Wojewódzki Sąd Administracyjny w Warszawie,
na podstawie art. 145 § 1 pkt 1 lit. c ustawy z dnia 30 sierpnia 2002 r. - Prawo o postępowaniu przed sądami administracyjnymi (t.j. Dz. U. z 2023 r., poz. 1634 ze zm.), orzekł jak w punkcie 1 wyroku. O zwrocie kosztów postępowania, jak w punkcie 2 wyroku Sąd orzekł na podstawie art. 200 w zw. z art. 205 powołanej ustawy. Do kosztów tych Sąd zaliczył uiszczony wpis od skargi (200 zł), wynagrodzenie pełnomocnika reprezentującego skarżącego (480 zł) i opłatę skarbową uiszczoną od dokumentu pełnomocnictwa (17 zł).