II SA/Wa 1805/24

II SA/Wa 1805/24 - Wyrok WSA w Warszawie
Data orzeczenia
2025-03-19
orzeczenie nieprawomocne
Data wpływu
2024-11-08
Sąd
Wojewódzki Sąd Administracyjny w Warszawie
Sędziowie
Andrzej Góraj /przewodniczący sprawozdawca/
Danuta Kania
Iwona Maciejuk
Symbol z opisem
647  Sprawy związane z ochroną danych osobowych
Hasła tematyczne
Ochrona danych osobowych
Skarżony organ
Generalny Inspektor Ochrony Danych Osobowych
Treść wyniku
Oddalono skargę
Powołane przepisy
Dz.U. 2024 poz 935
art. 151
Ustawa z dnia 30 sierpnia 2002 r. Prawo o postępowaniu przed sądami administracyjnymi (t. j.)
Sentencja
Wojewódzki Sąd Administracyjny w Warszawie w składzie następującym: Przewodniczący Sędzia WSA Andrzej Góraj (spr.), Sędzia WSA Danuta Kania, Sędzia WSA Iwona Maciejuk, , Protokolant specjalista Joanna Głowala, po rozpoznaniu na rozprawie w dniu 19 marca 2025 r. sprawy ze skargi [...] S.A z siedzibą w [...] na punkt pierwszy decyzji Prezesa Urzędu Ochrony Danych Osobowych z dnia [...] sierpnia 2024 r. nr [...] w przedmiocie przetwarzania danych osobowych oddala skargę
Uzasadnienie
Postępowanie przed Prezesem Urzędu Ochrony Danych Osobowych zainicjowała skarga Pani M. C., zwanej dalej Skarżącą, na nieprawidłowości
w procesie przetwarzania jej danych osobowych przez [...] S.A. z siedzibą w [...] zwaną dalej [...], polegające na bezpodstawnym wpisaniu Skarżącej na listę tzw. fraudow w nieoficjalnych rejestrach bankowych oraz na przekazywaniu tych danych do [...] S.A. z siedzibą w [...], zwanej dalej [...], [...] S.A. z siedzibą w [...], zwanej dalej [...], [...] S.A. z siedzibą w [...], zwanej dalej [...], bez podstawy prawnej.
Decyzją z dnia [...] sierpnia 2024 r. Prezes Urzędu Ochrony Danych Osobowych udzielił upomnienia [...] S.A. z siedzibą w [...], za naruszenie art. 6 ust. 1 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osob fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (Dz. Urz. UE L 119 z 4.05.2016, str. 1, Dz. Urz. UE L 127 z 23.05.2018, str. 2 oraz Dz. Urz. UE L 74 z 4.03.2021, str. 35), polegające na udostępnieniu w okresie od [...] sierpnia 2018 r. do [...] września 2020 r. danych Pani M. C., w Systemie [...], prowadzonym przez Związek [...] z siedzibą w [...], bez podstawy prawnej (pkt 1 decyzji) a w pozostałym zakresie odmówił uwzględnienia wniosku (pkt.2 decyzji).
W uzasadnieniu organ wyjaśnił, że [...] pozyskał dane osobowe M. C. bezpośrednio od niej w dniu [...] maja 2014 r. w związku z zawarciem umowy o prowadzenie rachunków bankowych, a następnie innych umów o produkty bankowe i usługi, w tym umowy kredytu. [...] działając w oparciu o zawartą przez Bank ze Związkiem [...] z siedzibą w [...] umowę o zasadach uczestnictwa w Systemie [...] z dnia [...] grudnia 2009 r. (z poźniejszymi zmianami) oraz w oparciu o art. 106d ust.1 pkt. 2 ustawy z 29 sierpnia 1997 r. Prawo bankowe, (...) zamieścił w dniu [...] sierpnia 2018 r. informację dotyczącą M. C. we wskazanym systemie, do którego dostęp posiadają akredytowani pracownicy instytucji finansowych. Zakres przekazanych danych M. C. obejmował: imię, nazwisko, PESEL, firma Skarżącej, NIP, Regon oraz krótki opis zidentyfikowanego przez Bank zdarzenia.
Według organu w momencie dokonywania wpisu Bank dysponował przesłankami wskazującymi na przedłożenie przez M. C. sfałszowanej dokumentacji finansowej w związku z ubieganiem się o kredyt w Banku.
Organ ustalił również, iż M. C. w dniu [...] września 2019 r. podczas spotkania z pracownikami Banku, które odbyło się w Centrali Banku w [...], przedłożyła materiały dowodzące, że nie ona była twórcą sfałszowanych dokumentów finansowych.
[...] wyjaśnił również, że w związku z podjęciem informacji o bezprawnym działaniu swojego pracownika w przedmiotowej sprawie, dokonał w Systemie [...], zwanego dalej również [...], uzupełniającego wpisu w dniu [...] października 2019 r. oraz złożył zawiadomienie o podejrzeniu popełnienia przez niego przestępstwa. Ostatecznie [...] w dniu [...] września 2020 r. usunął dane M. C. z Systemu [...].
Wyrokiem z dnia [...] maja 2021 r. pracownik [...] został prawomocnie skazany przez Sąd Rejonowy w [...], sygn. sprawy: [...], za to, że w okresie od [...] lipca 2018 r. do [...] sierpnia 2018 r., w celu osiągnięcia korzyści majątkowej, jako przedstawiciel oddziału [...], działając w imieniu M. C. będącej klientką [...] przyjął od niej dokumentację celem złożenia wniosku o udzielenie kredytu gotówkowego, następnie bez jej zgody i wiedzy dokonał przerobienia przyjętych od Skarżącej dokumentów.
Organ przywołał tez twierdzenie Banku, iż podstawą do spornego przetwarzania danych uczynił przepis art.106 d Prawa bankowego.
W ocenie organu fakt wydania w 2021r. wyroku skazującego pracownika banku za fałsz dokumentów świadczy o tym, że informacje dotyczące M. C.
a przekazane do [...] były od początku nieprawdziwe co potwierdza nieprawidłowości w przetwarzaniu danych strony. Bank ponowi bowiem odpowiedzialność za swojego pracownika.
Wyjaśniając rozstrzygnięcie zawarte w pkt. 2 decyzji organ wskazał, że [...], [...] oraz [...] były uprawnione w świetle art. 6 ust. 1 lit. f RODO oraz art. 106d Prawa bankowego, do przetwarzania danych osobowych Skarżącej w zakresie dotyczącym wpisu w Systemie [...], gdyż przetwarzanie to było niezbędne do celów wynikających z prawnie uzasadnionych interesow realizowanych przez te podmioty. Ww. podmioty nie miały podstaw, aby kwestionować zasadność wpisu do [...] dokonanego przez innego uczestnika systemu.
Od powyższej decyzji skargę do tut. Sądu wywiódł [...] S.A. zarzucając organowi naruszenie:
1- art. 5 ust. 1 lit. d rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osob fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogolne rozporządzenie o ochronie danych, Dz. Urz. UE L 119 z 4.05.2016, str. 1, dalej jako "RODO") wzw. z art. 12 ust. 3 i art. 16 RODO poprzez ich niewłaściwą wykładnię polegającą na uznaniu, że na Skarżącym jako administratorze ciąży bezwzględny obowiązek przetwarzania wyłącznie danych osobowych charakteryzujących się obiektywną poprawnością i w konsekwencji uznanie, że przetwarzanie danych osobowych obiektywnie nieprawidłowych, co do ktorych Skarżący nie miał podstaw podejrzewać, że są nieprawidłowe, stanowi o naruszeniu przez Skarżącego zasady poprawności z art. 5 ust. 1 lit. d RODO oraz zasady zgodności z prawem z art. 5 ust. 1 lit. a RODO, a w konsekwencji o braku istnienia podstawy prawnej przetwarzania danych osobowych po stronie Skarżącego jako administratora danych;
2- art. 6 ust. 1 lit c RODO w zw. z art. 106d ust. 1 ustawy z dnia 29 sierpnia 1997 r. -
Prawo bankowe (t. j. Dz. U z 2023 r. poz. 2488, z 2024 r. poz. 879; dalej jako "Prawo
bankowe") jego niezastosowanie i w konsekwencji niezasadne przyjęcie, że Skarżący nie może się powołać na ww. podstawę prawną przetwarzania danych osobowych Uczestniczki z uwagi na brak poprawności danych osobowych Uczestniczki pozostających w dyspozycji Skarżącego, podczas gdy fakt, czy dane są poprawne, czy też nie, pozostaje bez znaczenia dla istnienia podstawy prawnej ich przetwarzania, a obowiązek zapewnienia prawidłowości danych osobowych wynika z obowiązków administratora innych, niż konieczność zapewnienia legalności przetwarzanych danych osobowych, o którym mowa w art. 5 ust. 1 lit. a) RODO;
3- art. 58 ust. 2 lit. b RODO poprzez jego zastosowanie i udzielenie upomnienia Skarżącemu, podczas gdy Skarżący, działając jako administrator danych osobowych, nie naruszył przepisów RODO.
4- art. 7 w zw. z art. 77 w zw. art 80 KPA w zw. z art. 7 UODO polegające na niewyczerpującym rozpatrzeniu materiału dowodowego oraz jego dowolnej ocenie, sprzecznej z zasadami swobodnej oceny dowodów, przejawiającej się w uznaniu, że Skarżący w sposób świadomy przekazał do Systemu [...] (dalej jako "[...]") nieprawidłowe dane osobowe Uczestniczki, a to poprzez uznanie, że działania podjęte przez pracownika Skarżącego, które polegały na przerobieniu dokumentów przyjętych przez pracownika od Uczestniczki i które doprowadziły do braku poprawności danych osobowych Uczestniczki pozostających w dyspozycji Skarżącego, w swojej istocie wskazują na świadomość Skarżącego w zakresie tego braku poprawności danych i w konsekwencji świadczą o intencjonalnym posługiwaniu się przez Skarżącego niepoprawnymi danymi osobowymi Uczestniczki, podczas gdy pracownik odpowiedzialny za przerobienie dokumentów przyjętych od Uczestniczki dokonał tej modyfikacji w celu osiągnięcia korzyści majątkowej, samodzielnie, wbrew instrukcjom i poleceniom Skarżącego, w szczególności niezgodnie z procedurami wewnętrznymi obowiązującymi u Skarżącego, a działania te miały doprowadzić do szkody po stronie Skarżącego, co potwierdził Sąd Rejonowy w [...] w wyroku z [...].5.2021 r., sygn. [...] - zatem Skarżący nie był i nie mogł być świadomy braku poprawności danych osobowych Uczestniczki, co doprowadziło do niezasadnego udzielenia Skarżącemu upomnienia za działania i zdarzenia, za ktore Skarżący odpowiedzialności nie ponosi. W oparciu o powyższe zarzuty spółka wniosła o uchylenie decyzji i umorzenie postępowania rozwijając swój pogląd w uzasadnieni skargi.
Na rozprawie w dniu 19 marca 2025r. pełnomocnik skarżącego sprostował przedmiot zaskarżenia wyjaśniając, że jest nim wyłącznie punkt pierwszy decyzji.
W odpowiedzi na skargę organ wniósł o jej oddalenie.
Wojewódzki Sąd Administracyjny w Warszawie zważył, co następuje.
Przeprowadzona kontrola zaskarżonej decyzji pod kątem jej zgodności z prawem, stosowanie do postanowień art. 1 § 2 ustawy z dnia 25 lipca 2002 r. Prawo o ustroju sądów administracyjnych (Dz. U. z 2019 r. poz. 2167), doprowadziła Sąd do uznania, że skarga nie zasługuje na uwzględnienie, bowiem kwestionowane rozstrzygnięcie zostało wydane zgodnie z przepisami prawa.
Istota sprawy w niniejszym postępowaniu sprowadzała się do oceny tego, czy po stronie Banku istniała przesłanka legalizująca kwestionowane przetwarzanie danych osobowych.
W ocenie tut. Sądu na w/postawione pytanie należało udzielić negatywnej odpowiedzi.
Po pierwsze podkreślenia wymaga okoliczność, że przetwarzanie danych osobowych jest dopuszczalne między innymi wtedy, gdy jest niezbędne do celów wynikających z prawnie uzasadnionych interesów realizowanych przez administratora (art. 6 ust. 1 lit. f RODO). Administrator danych powołując się na przesłankę legalizującą musi więc udowodnić istnienie dwóch okoliczności:
- niezbędności przetwarzania konkretnych danych,
- istnienia po swojej stronie prawnie uzasadnionego interesu.
Co oczywiste, ciężar dowodowy dotyczący wykazania w/w faktów może obciążać wyłącznie administratora danych. Jedynie on może bowiem posiadać wiedzę w omawianym zakresie. Nadto dowodząc istnienia przedmiotowych okoliczności powoduje korzystne dla siebie skutki prawne.
W dopełnieniu powyższych obowiązków administrator danych nie może być zastępowany przez organ. W myśl obowiązujących przepisów RODO jak i ustawy o ochronie danych osobowych rolą Prezesa UODO nie jest poszukiwanie istnienia po stronie administratora danych przesłanek legalizujących, a wyłącznie ocena tych, których istnienie udowodni administrator.
Przenosząc powyższe na realia faktyczne niniejszej sprawy uznać należało, że Bank nie sprostał w/opisanym obowiązkom. Pomimo tego, że powoływał się na przepis art.106d Prawa bankowego mający świadczyć o istnieniu prawnie uzasadnionego interesu w przetwarzaniu spornych danych nie udowodnił tego, aby już w chwili udostępnienia danych uczestniczki do Systemu [...] posiadał uzasadnione podejrzenia dokonania przez nią fałszu dokumentów. Nie przedłożył ani nawet nie powołał żadnych dowodów dla wykazania tego, że przeprowadził wewnętrzne postępowanie wyjaśniające w powyższym zakresie i że wyniki owego postępowania w sposób obiektywnie uzasadniony przemawiały za istnieniem wyłącznej odpowiedzialności uczestniczki za posługiwanie się sfałszowanymi dokumentami. Ze sposobu działania Banku wynika zaś, ze niejako a priori przyjął istnienie winy uczestniczki wywodząc to z tego, iż to ona wystąpiła o udzielenie kredytu.
Tego rodzaju uproszczonego (bowiem nie popartego dowodami) sposobu rozumowania administratora danych osobowych nie sposób uznać jako prowadzącego do skutecznego wykazania istnienia uzasadnionego podejrzenia niezgodnego z prawem postępowania uczestniczki.
Brak przywołania obiektywnych dowodów na okoliczność istnienia przesłanki legalizującej umieszczenie danych uczestniczki w Systemie [...] jest szczególnie dotkliwy w realiach faktycznych niniejszej sprawy. Całokształt materiału dowodowego zgromadzonego w sprawie świadczy bowiem niezbicie o tym, że faktycznie nigdy nie istniała podstawa usprawiedliwiająca sporne przetwarzanie danych. Poza sporem pozostaje przecież to, że fałszerstwa dokumentacji uczestniczki dopuścił się pracownik Banku. Ta okoliczność została potwierdzona przywołanym na wstępie niniejszego uzasadnienia prawomocnym wyrokiem Sądu karnego. Ustalenia poczynione w sprawie karnej przez Sąd były zaś wiążące dla organu. Prezes UODO nie mogąc ich zignorować w sposób uprawniony przyjął, że umieszczenie danych uczestniczki w Systemie nastąpiło zbyt pochopnie i że faktycznie nigdy nie istniały uzasadnione podstawy do tego rodzaju działania Banku.
Niezależnie od powyższego organ zasadnie zaakcentował tez kwestię odpowiedzialności Banku za działania własnego pracownika. Oczywistym przecież jest, że w sytuacji gdy podmiotem administrującym danymi osobowymi jest osoba prawna, to faktycznym administrowaniem danymi zajmują się pracownicy tego podmiotu. Dokonując działań na danych osobowych pracownicy ci nie działają we własnym imieniu a w imieniu swojego pracodawcy. Stąd wszelkiego rodzaju skutki takich działań (nawet tych dokonywanych wbrew prawu), obciążają osobę prawną zatrudniającą pracowników. To przecież pracodawca odpowiada za właściwy dobór kadr. Jeśli więc któryś z pracowników postępuje niewłaściwie, to może to świadczyć o niewłaściwym doborze kadr, o niewystarczającym nadzorze czy o braku właściwych szkoleń. Przyjęcie odmiennego punktu widzenia prowadzącego do rozdzielenia odpowiedzialności pracodawcy od działań czy zaniechań jego pracownika skutkowałoby zupełnym brakiem możliwości nadzoru Prezesa UODO nad procesem prawidłowości przetwarzania danych osobowych a zwłaszcza brakiem wydawania zarządzeń naprawczych.
W świetle powyższego zarzuty skargi jawiły się jako chybione. Niezależnie bowiem od tego, czy pracownik Banku który sfałszował dokumentację uczestniczki działał zgodnie czy też wbrew instrukcjom i poleceniom przełożonych, to nie niweluje to odpowiedzialności Banku za owego pracownika. Nie niweluje też braku udowodnienia przez Bank, że sporne przetwarzanie danych uczestniczki zostało poprzedzone obiektywnie wyczerpującym zbadaniem wszelkich aspektów sprawy (łącznie z poznaniem stanowiska samej uczestniczki) i że efekt tych badań mógł świadczyć o istnieniu uzasadnionego podejrzenia działania uczestniczki na szkodę Baku.
W tym stanie sprawy, nie podzielając argumentów zawartych w złożonej skardze, oraz uznając iż organ w sposób prawidłowy zebrał i ocenił materiał dowodowy, oraz iż przy wykonywaniu tych czynności nie naruszył przepisów prawa, Wojewódzki Sad Administracyjny w Warszawie orzekł jak w sentencji wyroku na podstawie art.151 ustawy z dnia 30 sierpnia 2002r. – Prawo o postępowaniu przed sądami administracyjnymi (Dz. U. z 2024r. poz.935).