II SA/Wa 1853/22

II SA/Wa 1853/22 - Wyrok WSA w Warszawie
Data orzeczenia
2023-04-25
orzeczenie nieprawomocne
Data wpływu
2022-10-17
Sąd
Wojewódzki Sąd Administracyjny w Warszawie
Sędziowie
Agnieszka Góra-Błaszczykowska /sprawozdawca/
Iwona Maciejuk /przewodniczący/
Tomasz Szmydt
Symbol z opisem
647  Sprawy związane z ochroną danych osobowych
Skarżony organ
Generalny Inspektor Ochrony Danych Osobowych
Treść wyniku
Oddalono skargę
Sentencja
Wojewódzki Sąd Administracyjny w Warszawie w składzie następującym: Przewodniczący Sędzia WSA Iwona Maciejuk, Sędzia WSA Agnieszka Góra-Błaszczykowska (spr.), Sędzia WSA Tomasz Szmydt, Protokolant referent Beata Kowalska po rozpoznaniu na rozprawie w dniu 25 kwietnia 2023 r. sprawy ze skargi [...] Bank [...] z siedzibą w [...] na decyzję Prezesa Urzędu Ochrony Danych Osobowych z dnia [...] sierpnia 2022 r. nr [...] w przedmiocie przetwarzania danych osobowych oddala skargę.
Uzasadnienie
Przedmiotem rozpoznania w niniejszej sprawie była skarga [...] Bank Spółka Akcyjna z siedzibą w [...] na decyzję Prezesa Urzędu Ochrony Danych Osobowych znak [...] z dnia [...] sierpnia 2022 r. w przedmiocie przetwarzania danych osobowych.
Skarga została złożona w następującym stanie faktycznym sprawy:
P.K. (zwany dalej: wnioskodawca), wniósł do Prezesa Urzędu Ochrony Danych Osobowych (zwany dalej: PUODO, organ), skargę na nieprawidłowości w procesie przetwarzania jego danych osobowych przez [...] Bank Spółka Akcyjna z siedzibą w [...] (zwany dalej: bank, skarżący), polegające na niespełnieniu żądania usunięcia jego danych osobowych.
Decyzją znak [...] z dnia [...] sierpnia 2022 r. PUODO orzekł o odmowie uwzględnienia wniosku. Podstawą działania był art. 104 § 1 ustawy z dnia 14 czerwca 1960 r. Kodeks postępowania administracyjnego (Dz. U. z 2021 r. poz. 735 ze. zm., zwana dalej: k.p.a.) w zw. z art. 7 ust. 1 i 2 ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych (Dz. U. z 2019 r. poz. 1781, zwana dalej: u.o.d.o.) oraz na podstawie art. 6 ust. 1 lit. c oraz art. 58 ust. 2 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych), (Dz. Urz. UE L 119 z 04.05.2016, str. 1 oraz Dz. Urz. UE L 127 z 23.05.2018, str. 2 oraz Dz. Urz. UE L 74 z 4.03.2021, str. 35, zwane dalej: rozporządzeniem 2016/679).
W uzasadnieniu podjętej decyzji organ wskazał na następujące ustalenia stanu faktycznego sprawy. Wnioskodawca w kierowanej do banku korespondencji wskazał, że zwrócił się z prośbą do banku o skasowanie danych osobowych z uwagi na przesyłanie niechcianej korespondencji. Sprawdził na infolinii, czy według banku posiada jakieś jego produkty, na co uzyskał odpowiedź negatywną. Wyjaśnił, że nie korzystał z bankowości tego banku. Jego dane osobowe zapewne zostały przez ww. przejęte z firmy [...] SA, z którą jego umowa o pracę została rozwiązana ponad 10 lat wcześniej. Oświadczył, że nie zawierał w ramach obowiązków w [...] jakichkolwiek umów. Wobec tego wnioskodawca zwrócił się do skarżącego z żądaniem usunięcia jego danych osobowych przetwarzanych przez bank.
W związku ze złożoną przez wnioskodawcę skargą bank wskazał, że pozyskał dane osobowe wnioskodawcy w zakresie: dane identyfikacyjne, teleadresowe, dane zawarte w dowodzie osobistym, produktowe, finansowe, w szczególności związane z procesem kredytowym, historią transakcji finansowych, wskutek fuzji z X. Bank SA, do której doszło w wyniku podjęcia w dniu [...] lipca 2012 r. "uchwały nadzwyczajnych walnych zgromadzeń spółek Y. S.A. i X. Banku S.A. o połączeniu spółek poprzez przeniesienie całego majątku (wszystkich aktywów i pasywów) X. Banku S.A. jako spółki przejmowanej, na rzecz Y. S.A. jako spółki przejmującej, z równoczesnym podwyższeniem kapitału zakładowego Y. S.A. poprzez emisję akcji połączeniowych, które Y. S.A. wyda dotychczasowym akcjonariuszom X. Banku S.A."
Pozyskanie ww. danych przez X. Bank SA było niezbędne do zawarcia i wykonania umowy z wnioskodawcą. Wyjaśnił, że wnioskodawca posiadał w banku wiele produktów bankowych, w tym umowy rachunków bankowych i zobowiązania kredytowe. Pierwszy z produktów datowany jest na dzień [...] kwietnia 2004 r. - Konto oszczędnościowe standard w PLN, nr [...]. Był to również ostatni aktywny rachunek ww. w banku, który został zamknięty w dniu 10 września 2020 r. Bank wyjaśnił, iż dotychczasową podstawą przetwarzania danych osobowych wnioskodawcy było przede wszystkim wykonywanie umowy - art. 6 ust. 1 lit. b rozporządzenia 2016/679. Ze względu na działalność regulowaną - bankową, dane osobowe ww. są przetwarzane również na podstawie art. 6 ust. 1 lit. c rozporządzenia 2016/679, np. w zakresie obowiązków wynikających z ustawy z dnia 29 września 1994 r. o rachunkowości (Dz. U. z 2021 r. poz. 217 ze zm., zwana dalej: u. r.), np. art. 74 ust. 2 pkt 8 tej ustawy w zw. z § 9 i § 49 ust. 1 i 2 rozporządzenia Ministra Finansów z dnia 1 października 2010 r. w sprawie szczególnych zasad rachunkowości banków" oraz wynikających z ustawy z dnia 1 marca 2018 r. o przeciwdziałaniu praniu pieniędzy oraz finansowaniu terroryzmu (Dz. U. z 2022 r. poz. 593, zwanej dalej: u.p.p.p.f.t.), np. jej art. 49 ust. 1 pkt 1 i 2. Wskazał, że dane wnioskodawcy są także przetwarzane na podstawie art. 6 ust. 1 lit. f rozporządzenia 2016/679 w celu obrony i dochodzenia roszczeń. Bank oświadczył, że będzie przetwarzał dane wnioskodawcy przez okres wynikający z ww. przepisów, realizując obowiązki prawne oraz na podstawie prawnie uzasadnionego interesu - do czasu przedawnienia roszczeń wynikających z rzeczonego konta oszczędnościowego zgodnie z art. 118 ustawy z dnia 23 kwietnia 1964 r. – Kodeks cywilny (Dz. U. z 2020 r. poz. 1740 ze. zm., zwana dalej: k.c.). Skarżący wyjaśnił, że wnioskodawca złożył żądanie usunięcia danych osobowych telefonicznie w dniu 20 października 2020 r. W odpowiedzi na to żądanie bank w piśmie z dnia 6 listopada 2020 r. wskazał ww., że nie zrealizuje jego żądania, gdyż przetwarza jego dane osobowe po rozwiązaniu umów o produkty bankowe - m.in. konto osobiste - na podstawie prawnie uzasadnionego interesu i w celu niezbędnym do ustalenia, dochodzenia lub obrony ewentualnych roszczeń. Wnioskodawca ponownie skontaktował się telefonicznie z bankiem, składając odwołanie. Bank podtrzymał swoją decyzję pismem z dnia 16 grudnia 2020 r. i ponownie odmówił usunięcia danych osobowych wnioskodawcy.
W odpowiedzi na wezwanie organu, czy wnioskodawca zawarł jakąkolwiek umowę o produkty bankowe z X. Bank SA, ww. nie udzielił odpowiedzi.
Odnosząc powyższe ustalenia stanu faktycznego sprawy do obwiązujących w tym zakresie przepisów (art. 6 ust. 1 lit. a, b, c, f, motywem 47 rozporządzenia 2016/679, art. 74 ust. 2 pkt 8 u.r. oraz art. 35 ust. 1 i art. 49 ust. 1 u.p.p.p.f.t.) organ stwierdził, że skarżący przetwarzał dane osobowe wnioskodawcy w związku z łączącą strony umową rachunku bankowego, którą wnioskodawca zawarł w dniu [...] kwietnia 2004 r. z X. Bank SA, a którego bank jest następca prawnym. Bank pozyskał dane osobowe ww. m. in. dotyczące umowy z dnia [...] kwietnia 2004 r. Związany z tą umową rachunek został zamknięty w systemie banku w dniu 10 września 2020 r. Obecnie po zakończeniu obowiązywania ww. łączącej strony umowy bank ma obowiązek dalszego przetwarzania danych osobowych wnioskodawcy. Na mocy art. 74 ust. 2 pkt 8 u.r. jest bowiem zobowiązany do przechowywania dowodów księgowych i sprawozdań, których obowiązek sporządzenia wynika z ustawy - przez 5 lat od początku roku następującego po roku obrotowym, którego dane zbiory dotyczą. Z uwagi na datę zamknięcia rachunku, termin ten jeszcze nie upłynął. Ponadto art. 49 ust. 1 u.p.p.p.f.t. ustanawia wymóg przechowywania przez instytucje obowiązane, a wiec również przez skarżącego, przez okres 5 lat, licząc od pierwszego dnia roku następującego po roku, w którym zakończono stosunki gospodarcze z klientem lub w którym przeprowadzono transakcje okazjonalne: kopii dokumentów i informacji uzyskanych w wyniku stosowania środków bezpieczeństwa finansowego oraz dowodów potwierdzających przeprowadzone transakcje i ewidencje transakcji, obejmujących oryginalne dokumenty lub kopie dokumentów konieczne do identyfikacji transakcji. Wobec powyższego bank był obowiązany do zastosowania ww. środków bezpieczeństwa finansowego, w związku z zawarciem z wnioskodawcą umowy rachunku bankowego, czyli nawiązaniem z nim trwałych stosunków gospodarczych. Powyższa umowa została ostatecznie zakończona w dniu 10 września 2020 r., a zatem termin przechowywania danych osobowych ww. dotychczas nie upłynął.
Prezes UODO ocenił, że skarżący prawidłowo przetwarza dane osobowe wnioskodawcy w oparciu o przesłankę legalizującą określoną w art. 6 ust. 1 lit. c rozporządzenia 2016/679, gdyż proces ten jest niezbędny do wypełnienia ciążących na nim obowiązków. Jednocześnie stwierdził, że brak jest spełnienia wskazywanej przez bank przesłanki niezbędności do celów, wynikających z prawnie usprawiedliwionych interesów, realizowanych przez administratora odnośnie przetwarzania danych osobowych wnioskodawcy w ww. zakresie, wynikającej z art. 6 ust. 1 lit. f rozporządzenia 2016/679. Zebrany w sprawie materiał dowodowy nie wykazał, by ww. wystąpił z roszczeniem wobec banku, które uzasadniałyby uprawnienie do zachowania i przetwarzania danych osobowych wnioskodawcy w związku z prawnie uzasadnionym interesem realizowanym przez administratora danych, jakim będzie ewentualne dochodzenie roszczeń powstałych w związku z wykonywaniem czynności bankowych oraz innych wynikających z przepisów powszechnie obowiązujących. Zdaniem organu, przesłanka wynikająca z art. 6 ust. 1 lit. f rozporządzenia 2016/679 dotyczy sytuacji już istniejącej, w której celem wynikającym z prawnie uzasadnionych interesów realizowanych przez administratora jest konieczność udowodnienia, potrzeba dochodzenia lub obrony przed roszczeniem istniejącym, nie zaś sytuacji, gdy dane są przetwarzane w celu zabezpieczenia się przed ewentualnym roszczeniem. W związku z tym, że przeprowadzone przez Prezesa UODO postępowanie administracyjne nie wykazało, żeby wnioskodawca skierował wobec skarżącego jakiekolwiek roszczenie, ani żeby bank zamierzał skierować jakiekolwiek roszczenie wobec ww. uznał, że bank przetwarza dane osobowe wnioskodawcy w ww. celu wyłącznie "na zapas", aby zabezpieczyć się przed ewentualnymi przyszłymi i niepewnymi roszczeniami wnioskodawcy.
Ostatecznie organ uznał, że pomimo stwierdzenia braku podstaw do przetwarzania danych wnioskodawcy w celu dochodzenia lub obrony ewentualnych roszczeń, brak jest podstaw do nakazania usunięcia jego danych osobowych, uwagi na spełnienie innych przesłanek legalizujących przetwarzanie przez bank danych osobowych wnioskodawcy, wynikających z konieczności wypełnienia obowiązku prawnego ciążącego na administratorze, w oparciu o przesłankę legalizującą określoną w art. 6 ust. 1 lit. c rozporządzenia 2016/679, w związku z art. 74 ust. 2 pkt 8 u.r. oraz art. 49 ust. 1 u.p.p.p.f.t.
W skardze złożonej na powołane rozstrzygnięcie do sądu administracyjnego skarżący, reprezentowany przez profesjonalnego pełnomocnika, zaskarżył ww. decyzję w całości. Skarżący wniósł o uchylenie zaskarżonej decyzji oraz zasądzenie zwrotu kosztów postępowania. Wydanej decyzji skarżący zarzucił naruszenie przepisów prawa materialnego oraz procesowego, tj.:
1. art. 6 ust. 1 lit. f rozporządzenia 2016/679, poprzez błędną interpretację, a w konsekwencji uznanie, że przetwarzanie danych osobowych w celu ustalenia, dochodzenia lub obrony roszczeń nie stanowi prawnie uzasadnionego interesu banku podczas, gdy bank przetwarza dane wnioskodawcy w okresie przedawnienia roszczeń cywilnych przez okres wynikających z przepisów kodeksu cywilnego;
2. art. 6 ust. 1 lit. f rozporządzenia 2016/679, w zw. z art. 117 § 2 i 21, art. 118 i art. 119 k.c., polegające na jego niewłaściwym zastosowaniu i przyjęciu, jakoby przechowywanie danych przez okres przedawnienia roszczeń - również, gdy ani administrator ani osoba, której dane dotyczą nie zgłosiła jeszcze roszczenia, nie stanowi prawnie uzasadnionego interesu banku, w rozumieniu art. 6 ust. 1 lit. f rozporządzenia 2016/679 podczas gdy przepisy te uprawniają bank do przetwarzania danych osobowych w celu ustalenia, dochodzenia lub ochrony przed roszczeniami;
3. art. 6 k.p.a. i art. 7 in principio k.p.a. oraz art. 7 Konstytucji RP poprzez przekroczenie kompetencji organu i arbitralne stwierdzenie, że pomiędzy stronami umowy o produkt bankowy nie istnieją bądź nie mogły powstać roszczenia o charakterze cywilnoprawnym, podczas gdy Prezes UODO nie jest organem kompetentnym do rozstrzygania tej materii, należy ona bowiem do sądu powszechnego;
4. art. 107 § 3 w zw. z art. 8 i art. 9 k.p.a. z uwagi na brak właściwego uzasadnienia prawnego przedmiotowej decyzji, we fragmencie odnoszącym się do analizy podstawy do przetwarzania przez skarżącego danych osobowych w oparciu o art. 6 ust. 1 lit. f rozporządzenia 2016/679 poprzez uznanie, że skarżący nie może przetwarzać danych wnioskodawcy w oparciu o tę regulację.
Uzasadniając złożoną skargę skarżący szczegółowo uzasadnił ww. zarzuty.
W odpowiedzi na skargę organ wniósł o jej oddalenie skargi, podnosząc argumentację tożsamą z zaprezentowaną w zaskarżonej decyzji.
Wojewódzki Sąd Administracyjny w Warszawie, zważył co następuje:
Stosownie do treści art. 3 § 1 ustawy z dnia 30 sierpnia 2002 r. Prawo o postępowaniu przed sądami administracyjnymi (Dz. U. z 2023 r. poz. 259, zwana dalej: p.p.s.a.), sądy administracyjne sprawują kontrolę działalności administracji publicznej i stosują środki określone w ustawie. Oznacza to, iż sąd rozpoznając skargę ocenia, czy zaskarżona decyzja nie narusza przepisów prawa materialnego bądź przepisów postępowania administracyjnego. Zgodnie z art. 134 p.p.s.a. Sąd rozstrzyga w granicach danej sprawy, nie będąc jednak związany zarzutami i wnioskami skargi oraz powołaną w niej podstawą prawną. Uwzględnienie skargi następuje w przypadku stwierdzenia naruszenia przez Sąd przepisów prawa, wskazanego w art. 145 § 1 pkt 1 p.p.s.a. Zgodnie z art. 135 p.p.s.a. orzekanie następuje w granicach sprawy, w której wydano zaskarżoną decyzję i odbywa się z uwzględnieniem wówczas obowiązujących przepisów prawa.
Przepis art.6 ust.1 lit c) RODO stanowi, że przetwarzanie jest zgodne z prawem wyłącznie w przypadkach, gdy – i w takim zakresie, w jakim (...) "przetwarzanie jest niezbędne do wypełnienia obowiązku prawnego ciążącego na administratorze".
Natomiast lit. f) tego przepisu stanowi, że "przetwarzanie jest niezbędne do celów wynikających z prawnie uzasadnionych interesów realizowanych przez administratora lub przez stronę trzecią, z wyjątkiem sytuacji, w których nadrzędny charakter wobec tych interesów mają interesy lub podstawowe prawa i wolności osoby, której dane dotyczą, wymagające ochrony danych osobowych, w szczególności gdy osoba, której dane dotyczą, jest dzieckiem".
Organ oparł swoje rozstrzygnięcie na lit. c), skarżący zarzuca natomiast, że w sprawie zaistniała podstawa prawna przetwarzania, wskazana w lit. f).
W orzecznictwie sądów administracyjnych (patrz np. wyrok w sprawie II SA/Wa 189/22) w odniesieniu do przesłanki z art. 6 ust. 1 lit. f) rozporządzenia 2016/679 wypracowane zostało stanowisko, że przetwarzanie danych winno być niezbędne dla wypełnienia prawnie usprawiedliwionych celów. Niedopuszczalne jest więc przetwarzanie danych osobowych niejako "na zapas" z założeniem, że mogą być one ewentualnie przydatne w przyszłości oraz z odwołaniem się przy tym do przepisów, dotyczących przedawnienia roszczeń cywilnoprawnych. Przeciwna argumentacja prowadziłaby do absurdalnych wniosków, że banki są uprawnione dłużej przetwarzać dane osób, z którymi nie łączył je stosunek prawny, niż dane osób, z którymi zawarły umowy kredytowe, w stosunku do których mają zastosowanie ograniczenia, wynikające z przepisów art. 105a p.b. Odwoływanie się w tym wypadku do celów dowodowych na potrzeby ewentualnych postępowań cywilnych, karnych, czy też administracyjnych, jakie klient mógłby potencjalnie wtoczyć bankowi na tle nieistniejącego miedzy stronami stosunku zobowiązaniowego, nie znajduje żadnego logicznego, ani prawnego uzasadnienia (por. wyroki: Wojewódzkiego Sądu Administracyjnego w Warszawie z 12 lipca 2017 r. sygn. akt II SA/Wa 2221/16, Naczelnego Sądu Administracyjnego z 27 sierpnia 2019 r. sygn. akt I OSK 2567/17, Naczelnego Sądu Administracyjnego z dnia 6 marca 2019 r. sygn. akt I OSK 994/17, publ.: orzeczenia.nsa.gov.pl).
W odniesieniu do sprawy niniejszej, przetwarzanie danych osobowych wnioskodawcy nie jest niezbędne dla wypełnienia prawnie usprawiedliwionych celów realizowanych przez bank, a w szczególności podjęcia obrony przed ewentualnymi reklamacjami lub roszczeniami odszkodowawczymi. Gdyby jednak wnioskodawca takowe podjął, będzie zobligowany podać swoje dokładne dane, potrzebne do np. wszczęcia i prowadzenia sprawy przed sądem powszechnym (art. 126 § 2 k.p.c.). Bank, jako ewentualny pozwany, miałby wówczas do nich dostęp uzasadniony sformułowanym, realnym, a nie tylko hipotetycznym, żądaniem. Z tej przyczyny organ prawidłowo uznał, że art. 6 lit f) RODO nie może być usprawiedliwioną przesłanką przetwarzania danych wnioskodawcy.
Prawidłowe natomiast było powołanie przez PUODO, jako podstawy rozstrzygnięcia, art. 6 lit c) RODO i uznanie, że w sprawie niniejszej przetwarzanie danych wnioskodawcy jest zgodne z prawem w takim zakresie, w jakim jest "niezbędne do wypełnienia obowiązku prawnego ciążącego na administratorze". Uzasadnieniem tych obowiązków – jak trafnie podkreślił organ - jest przetwarzanie danych osobowych po ustaniu obowiązywania łączącej strony umowy, w związku z obowiązkiem prawnym, ciążącym na banku jako na administratorze danych osobowych byłego klienta banku. Podstawami prawnymi przetwarzania są przepisy ustawy z dnia 29 września 1994 r. o rachunkowości (np. art. 74 ust. 2 pkt 8 tej ustawy) w zw. z § 9 i § 49 ust. 1 i 2 rozporządzenia Ministra Finansów z dnia 1 października 2010 r. w sprawie szczególnych zasad rachunkowości banków oraz przepisy ustawy z dnia 1 marca 2018 r. o przeciwdziałaniu praniu pieniędzy oraz finansowaniu terroryzmu (np. jej art. 49 ust. 1 pkt 1 i 2).
Na mocy art. 74 ust. 2 pkt 8 u.r. jest bowiem zobowiązany do przechowywania dowodów księgowych i sprawozdań, których obowiązek sporządzenia wynika z ustawy - przez 5 lat od początku roku następującego po roku obrotowym, którego dane zbiory dotyczą. Z uwagi na datę zamknięcia rachunku, termin ten jeszcze nie upłynął. Ponadto art. 49 ust. 1 u.p.p.p.f.t. ustanawia wymóg przechowywania przez instytucje obowiązane, a wiec również przez skarżącego, przez okres 5 lat, licząc od pierwszego dnia roku następującego po roku, w którym zakończono stosunki gospodarcze z klientem lub w którym przeprowadzono transakcje okazjonalne: kopii dokumentów i informacji uzyskanych w wyniku stosowania środków bezpieczeństwa finansowego oraz dowodów potwierdzających przeprowadzone transakcje i ewidencje transakcji, obejmujących oryginalne dokumenty lub kopie dokumentów konieczne do identyfikacji transakcji.
W kontekście opisanego stanu faktycznego i prawnego sprawy Sąd za niezasadne uznał zarzuty skargi, dotyczące naruszenia wyżej przeanalizowanych przepisów prawa materialnego. Nie doszło również do naruszenia powołanych w skardze przepisów postępowania - art. 6, art. 7, art. 8, art.9 oraz art. 107 § 3 k.p.a.
Mając to na uwadze Sąd, działając na podstawie art. 151 p.p.s.a., orzekł jak w sentencji wyroku.