II SA/Wa 192/25

II SA/Wa 192/25 - Wyrok WSA w Warszawie
Data orzeczenia
2025-06-18
orzeczenie prawomocne
Data wpływu
2025-02-03
Sąd
Wojewódzki Sąd Administracyjny w Warszawie
Sędziowie
Dorota Kozub-Marciniak /sprawozdawca/
Joanna Kruszewska-Grońska /przewodniczący/
Sławomir Antoniuk
Symbol z opisem
647  Sprawy związane z ochroną danych osobowych
Hasła tematyczne
Ochrona danych osobowych
Skarżony organ
Generalny Inspektor Ochrony Danych Osobowych
Treść wyniku
Oddalono skargę
Powołane przepisy
Dz.U. 2024 poz 935
art. 151
Ustawa z dnia 30 sierpnia 2002 r. Prawo o postępowaniu przed sądami administracyjnymi (t. j.)
Dz.U. 2022 poz 2000
art. 7, art. 77 par. 1, art. 15, art. 80, art. 107 par. 3
Ustawa z dnia 14 czerwca 1960 r. Kodeks postępowania administracyjnego - t.j.
Dz.U. 2019 poz 1781
art. 7 ust. 2
Ustawa z dnia 10 maja 2018 r. o ochronie danych osobowych (t. j.)
Dz.U.UE.L 2016 nr 119 poz 1 art. 12 i art. 15
Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z  przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE
Sentencja
Wojewódzki Sąd Administracyjny w Warszawie w składzie następującym: Przewodniczący Sędzia WSA Andrzej Góraj, Sędzia WSA Sławomir Antoniuk, Asesor WSA Dorota Kozub-Marciniak (spr.), , Protokolant referent Marta Stec po rozpoznaniu na rozprawie w dniu 18 czerwca 2025 r. sprawy ze skargi [...] S.A. z siedzibą w [...] na decyzję Prezesa Urzędu Ochrony Danych Osobowych z dnia [...] grudnia 2024 r. nr [...] w przedmiocie przetwarzania danych osobowych oddala skargę
Uzasadnienie
[...] Bank [...] S.A. w [...] (dalej, jako: skarżący lub Bank) wniósł do Wojewódzkiego Sądu Administracyjnego w Warszawie skargę na decyzję Prezesa Urzędu Ochrony Danych Osobowych (dalej, jako: organ lub PUODO) z dnia [...] grudnia 2024 r., którą organ udzielił Bankowi upomnienia za naruszenia art. 15 ust. 1 i 3 w zw. z art. 12 ust. 3 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz. Urz. UE L 119 z 4.05.2016, str. 1, Dz. Urz. UE L 127 z 23.05.2018, str. 2 oraz Dz. Urz. UE L 74 z 4.03.2021, str. 35), dalej, jako: RODO, polegające na udzieleniu G. B. (dalej, także, jako: uczestnik) informacji w związku z żądaniem zawartym w piśmie z dnia [...] maja 2018 r., z naruszeniem terminu oraz formy określonych w art. 12 ust. 3 RODO.
W uzasadnieniu zaskarżonej decyzji podniesiono, że do PUODO wpłynęła skarga uczestnika na nieprawidłowości w procesie przetwarzania jego danych osobowych przez Bank polegające na niewypełnieniu obowiązku z art. 15 ust. 1-3 RODO. Uczestnik wskazał, że był klientem Banku i cyt.: "wysłałem w dniu [...] maja 2018 r. do [...] e-mail, który przedkładam w załączniku "korespondencja 1 .pdf". E-mail ten zawierał żądanie spełnienia obowiązków z art. 15 ust. 1-3 RODO, w szczególności poprzez poinformowanie mnie o tym, czy [...] przetwarza moje dane, a jeśli tak - przesłanie mi ich kopii.". W treści wiadomości e-mail uczestnik zwrócił się o cyt.: "1) udzielenie mi informacji, czy Bank [...] S.A. przetwarza moje dane osobowe, 2) udzielenie mi pełnej informacji w zakresie określonym w art. 15 ust. 1 i 2 RODO, 3) dostarczenie mi kopii danych osobowych podlegających przetwarzaniu przez Bank [...] S.A. (akceptuję formę elektroniczną)." W treści wniosku oprócz imienia i nazwiska uczestnik podał również swój nr PESEL. W udzielonej tego samego dnia odpowiedzi Bank poinformował stronę, że żądane informacje może uzyskać na infolinii lub dowolnym oddziale Banku. Uczestnik zarzucił Bankowi niespełnienie obowiązku informacyjnego na podstawie art. 15 ust 1-3 RODO.
Bank z kolei wyjaśniał, że pozyskał dane osobowe uczestnika w związku z otwarciem konta osobistego i rachunków kredytowych, które aktualnie są nieaktywne. Bank przetwarza dane osobowe uczestnika w zakresie: imię i nazwisko, numer PESEL, numer klienta, obywatelstwo, seria i nr dowodu osobistego, dane zawarte w kopii dowodu osobistego, adres zamieszkania, adres korespondencyjny, data urodzenia, numer telefonu, nazwa pracodawcy, data podjęcia zatrudnienia, informacje o produktach Banku, historia kontaktów klienta z Bankiem.
Bank podniósł, że w dniu [...] maja 2018 r. uczestnik skierował wiadomość mailową z żądaniem udzielania informacji na podstawie art. 15 ust. 1- 3 RODO. W odpowiedzi na powyższą wiadomość został skierowany na infolinię Banku lub do oddziału Banku z informacją, iż tą drogą korespondencji Bank nie może przyjąć dyspozycji. Bank wyjaśnił, że działanie to nie było właściwe i wniosek uczestnika winien zostać przyjęty i rozpatrzony. Aktualnie wniosek został rozpoznany i udzielono uczestnikowi informacji z art. 15 ust. 1-3 RODO. Opisane zdarzenie miało charakter incydentalny i Bank dołożył wszelkich starań, aby nie miało miejsca w przyszłości. Aktualnie osoby, których dane dotyczą mogą składać wnioski o realizację ich praw wynikających z RODO również drogą elektroniczną. Bank wyjaśnił, że w celu realizacji obowiązków przewidzianych w RODO, w tym wynikających z art. 15 RODO, w Banku wdrożono szereg procedur, mających na celu zapewnienie bezpiecznego i zgodnego z obowiązującym prawem przetwarzania danych. W szczególności wdrożono procedurę obsługi żądań klientów, określającą m.in. sposób realizacji praw przysługujących osobom, których dane dotyczą, kanały.
Nadto Bank wyjaśnił, że wypełnił wobec uczestnika obowiązek informacyjny z art. 15 RODO w dniu [...] maja 2019 r. przesyłając na jego adres pismo potwierdzające przetwarzanie jego danych, w treści którego Bank poinformował o zakresie przetwarzanych danych, celu przetwarzania, planowanym okresie przechowywania danych, źródle pozyskania danych, odbiorcach danych, możliwym zautomatyzowanym podejmowaniu decyzji przez Bank oraz o uprawnieniach przysługujących uczestnikowi, w tym o prawie wniesienia skargi do organu nadzorczego. Bank wskazał ponadto, że dane są przekazywane do odbiorców w krajach spoza Unii Europejskiej, jeżeli jest to niezbędne do wykonania umowy zawartej z Bankiem, tj. do realizacji zleceń (np. zleceń płatniczych). Przekazanie danych do państwa trzeciego może mieć miejsce również po uzyskaniu odrębnej zgody. W piśmie znalazła się ponadto kopia danych osobowych uczestnika przetwarzanych przez Bank. Bank wskazał, że przedmiotowe pismo zostało wysłane do uczestnika listem zwykłym na dowód czego przedłożył wyciąg z raportu dotyczącego wysyłki korespondencji w dniu [...] maja 2019 r.
PUODO uzasadniając swoje rozstrzygnięcie przytoczył treść art. 15 ust. 1, 2 i 3 RODO oraz art. 12 ust. 1 i 3 RODO i wskazał, iż w sprawie ustalono, że w treści mailowej z dnia [...] maja 2018 r. uczestnik zwrócił się do Banku z wnioskiem o spełnienie wobec niego obowiązku wynikającego z art. 15 ust. 1-3 RODO poprzez udzielenie informacji, czy Bank przetwarza jego dane osobowe, udzielenie pełnej informacji w zakresie określonym wart. 15 ust. 1 i 2 RODO, a także dostarczenie kopii danych osobowych podlegających przetwarzaniu przez Bank. Bank w treści złożonych wyjaśnień potwierdził, że uczestnik zwrócił się z wnioskiem w dniu [...] maja 2018 r., ale wniosek ten nie został rozpatrzony. Bank przyznał, iż działanie to było nieprawidłowe. Bank dopiero pismem z dnia [...] maja 2019 r. ustosunkował się do żądania uczestnika, udzielając odpowiedzi w treści pisma nadanego pocztą tradycyjną. W udzielonej odpowiedzi znajdowały się informacje o kategoriach przetwarzanych danych, celu przetwarzania, planowanym okresie przechowywania danych, źródle pozyskania danych, odbiorcach danych, możliwym zautomatyzowanym podejmowaniu decyzji przez Bank oraz o uprawnieniach przysługujących uczestnikowi, w tym o prawie wniesienia skargi do organu nadzorczego. Bank wskazał ponadto, że dane są przekazywane do odbiorców w krajach spoza Unii Europejskiej, jeżeli jest to niezbędne do wykonania umowy zawartej z Bankiem, tj. do realizacji zleceń (np. zleceń płatniczych) oraz że przekazanie danych do państwa trzeciego może mieć miejsce również po uzyskaniu odrębnej zgody. W piśmie znalazła się ponadto kopia danych osobowych uczestnika przetwarzanych przez Bank. Bank wskazał, że pismo zostało wysłane do uczestnika listem zwykłym na dowód czego przedłożył wyciąg z raportu dotyczącego wysyłki korespondencji do uczestnika w dniu [...] maja 2019 r. PUODO pismem z dnia [...] września 2021 r. zwrócił się do uczestnika o złożenie wyjaśnień, czy Bank zrealizował wobec niego obowiązek na podstawie art 15 RODO. Uczestnik nie zakwestionował otrzymania odpowiedzi na swój wniosek.
W ocenie organu, ustalone okoliczności potwierdzają, że w sprawie doszło do nieprawidłowości w procesie przetwarzania danych osobowych uczestnika polegających na udzieleniu mu odpowiedzi w związku z jego żądaniem z naruszeniem terminu oraz formy wskazanych w art. 12 ust. 3 RODO. Bank spełnił obowiązek na podstawie art. 15 ust. 1 i 3 RODO, lecz uczynił to dopiero w dniu [...] maja 2019 r., czyli po wszczęciu przez PUODO postępowania w niniejszej sprawie i po roku od otrzymania wniosku uczestnika. Ustawodawca unijny w art. 12 ust. 3 RODO zastrzegł, iż jeśli osoba, której dane dotyczą, przekazała swoje żądanie elektronicznie, administrator w miarę możliwości powinien informacje także przekazać elektronicznie, chyba że osoba, której dane dotyczą, zażąda innej formy. Wniosek uczestnika wpłynął do Banku drogą elektroniczną i nie zawierał żądania udzielenia odpowiedzi w innej formie. Bank nieprawidłowo zatem odpowiedział na żądanie używając tradycyjnej formy korespondencji.
Dalej organ wskazał, że Bank jako administrator danych ponosi odpowiedzialność za wdrożenie odpowiednich środków z uwagi na konieczność zapewnienia skutecznej realizacji praw osób, których dane dotyczą. Zgodnie z motywem 59 RODO należy przewidzieć procedury ułatwiające osobie, której dane dotyczą, wykonywanie praw przysługujących jej na mocy niniejszego rozporządzenia, w tym mechanizmy żądania - i gdy ma to zastosowanie bezpłatnego uzyskiwania - w szczególności dostępu do danych osobowych i ich sprostowania lub usunięcia oraz możliwości wykonywania prawa do sprzeciwu. Administrator powinien zapewnić możliwość wnoszenia odnośnych żądań także drogą elektroniczną, w szczególności gdy dane osobowe są przetwarzane drogą elektroniczną. Administrator powinien być zobowiązany udzielić odpowiedzi na żądania osób, których dane dotyczą, bez zbędnej zwłoki - najpóźniej w terminie miesiąca, a jeżeli nie zamierza spełnić takiego żądania - podać tego przyczyny. Na mocy zaś art. 5 ust. 1 RODO zobowiązany jest m. in. do przetwarzania danych zgodnie z prawem, rzetelnie i w sposób przejrzysty dla osoby, której dane dotyczą ("zgodność z prawem, rzetelność i przejrzystość"). Ponadto administrator jest odpowiedzialny za przestrzeganie przepisów ust. 1 i musi być w stanie wykazać ich przestrzeganie ("rozliczalność"). W oparciu zaś o art. 24 ust. 1 RODO Bank jest natomiast zobowiązany, uwzględniając charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie i wadze, wdrożyć odpowiednie środki techniczne i organizacyjne, aby przetwarzanie odbywało się zgodnie z RODO. Środki te mają być w razie potrzeby poddawane przeglądom i uaktualniane. Zdaniem PUODO, uznać tym samym trzeba, że Bank ponosi odpowiedzialność za brak spełnienia żądania w przewidzianym w ustawie terminie i formie, ponieważ to na administratorze danych ciąży obowiązek zorganizowania procesu przetwarzania danych w taki sposób, aby był on zgodny z prawem, m.in. poprzez wdrożenie odpowiednich środków technicznych i organizacyjnych.
Postępowanie administracyjne prowadzone przez PUODO służy kontroli zgodności przetwarzania danych z przepisami o ochronie danych osobowych i jest ukierunkowane na wydanie decyzji administracyjnej. Decyzje PUODO służą przywróceniu stanu zgodnego z prawem na podstawie art. 58 ust. 2 lit. b RODO między innymi poprzez udzielenie upomnienia administratorowi w przypadku naruszenia przepisów niniejszego rozporządzenia przez operację przetwarzania. Materiał dowodowy zgromadzony w przedmiotowej sprawie potwierdził, że Bank odpowiedział na wiadomość e-mail uczestnika zawierającą wniosek o spełnienie obowiązku informacyjnego wynikającego z art. 15 ust. 1-3 RODO z przekroczeniem terminu wskazanego w art. 12 ust. 3 RODO oraz z naruszeniem formy elektronicznej. Uczestnik przesłał bowiem żądanie w wiadomości e-mail i nie żądał udzielenia odpowiedzi w innej formie. Spółka udzieliła natomiast odpowiedz pocztą tradycyjną.
Z tym rozstrzygnięciem Bank nie zgodził się i wywiódł skargę do Wojewódzkiego Sądu Administracyjnego w Warszawie, zaskarżając decyzję w zakresie naruszenia art. 15 ust. 1 i 3 w zw. art. 12 ust. 3 RODO, w odniesieniu do formy udzielenia informacji, w związku z żądaniem uczestnika postępowania, zawartym w piśmie z dnia [...] maja 2018 r.
Zaskarżonej decyzji zarzucono:
1. naruszenie przepisów prawa procesowego w sposób mający istotny wpływ na wynik sprawy, w szczególności:
a. art. 7 K.p.a., art. 77 § 1 K.p.a. oraz art. 80 K.p.a. poprzez brak wszechstronnego i dogłębnego rozważenia wszystkich okoliczności faktycznych sprawy, zastąpienie swobodnej oceny dowodów całkowitą dowolnością skutkujące błędem w ustaleniach faktycznych poprzez przyjęcie, że skarżący naruszył art. 15 ust. 1 i 3 w zw. art. 12 ust. 3 RODO, w odniesieniu do formy udzielenia informacji, w związku z żądaniem uczestnika postępowania, zawartym w piśmie z dnia [...] maja 2018 r.;
b. art. 15 K.p.a. poprzez nierozpoznanie sprawy w całokształcie wszystkich jej okoliczności faktycznych i prawnych, w szczególności brak jakichkolwiek ustaleń, w zakresie przyjętej przez skarżącego formy, w której udzielił on uczestnikowi postępowania informacji, w związku z jego żądaniem, zawartym w piśmie z dnia [...] maja 2018 r.;
2. naruszenie przepisów prawa materialnego, które miało wpływ na wynik sprawy tj.: art. 15 ust. 1 i 3 w zw. art. 12 ust. 3 poprzez jego niewłaściwą interpretację i wadliwe przyjęcie, że skarżący naruszył te regulacje w zakresie formy udzielenia informacji, w związku z żądaniem uczestnika postępowania, zawartym w piśmie z dnia [...] maja 2018 r., realizując jego żądanie w formie korespondencji przesłanej pocztą tradycyjną, a nie drogą elektroniczną.
Mając powyższe na uwadze wniesiono o uchylenie zaskarżonej decyzji oraz o zasądzenie na rzecz banku kosztów postępowania, w tym kosztów zastępstwa procesowego i opłaty od pełnomocnictwa, według norm przepisanych.
W uzasadnieniu skargi podniesiono, że organ powołując się na art. 12 ust. 3 RODO, bez jakiejkolwiek próby uzyskania stanowiska skarżącego co do wybranej przez niego formy odpowiedzi na wniosek, przesądził że jedyną uzasadnioną drogą przekazania wnioskowanych przez uczestnika postępowania informacji, była droga elektroniczna. Wobec tego, że skarżący wybrał inny kanał komunikacji z byłym klientem, organ wymierzył Bankowi sankcję w postaci upomnienia. Organ, ustalając stan faktyczny, nie zbadał dlaczego Bank, udzielając odpowiedzi na wniosek uczestnika nie udzielił jej w formie elektronicznej, tylko zdecydował się na jej przesłanie w drodze poczty tradycyjnej.
W wyniku braku wyczerpującego zebrania i rozpatrzenia materiału dowodowego, organ dokonał wadliwej oceny faktów i zgromadzonego w sprawie materiału dowodowego. W konsekwencji tego uznał, że jedyną i prawidłową formą dla udzielenia odpowiedzi na wniosek z dnia [...] maja 2018 r. była forma elektroniczna. Organ powinien natomiast podjąć próbę ustalenia ze skarżącym, dlaczego ten zdecydował się na inny sposób wysłania odpowiedzi, od tego sugerowanego w przepisie. Później mógłby ocenić, czy wskazana argumentacja przekonała go o prawidłowości działania administratora, czy też nie podziela jej. W tym drugim przypadku byłby także zobowiązany do zaprezentowania swojej oceny w uzasadnieniu swojego rozstrzygnięcia.
Konsekwencją takiego stanu rzeczy jest fakt, iż całość rozważań prawnych organu poczyniona w treści zaskarżonej decyzji oparta jest na przyjętym założeniu, które według Banku nie odzwierciedla realiów przedmiotowej sprawy. To prowadzi do wniosku, iż wnioski powzięte przez organ, a także kwestia interpretacji oraz zastosowania norm prawa materialnego obarczona jest błędem istotnym, mającym znaczenie dla treści rozstrzygnięcia ujętego w decyzji.
W ocenie Banku, art. 12 ust. 3 RODO nie przesądza ostatecznie o tym, że wniosek o informację, złożony w formie elektronicznej bezwzględnie wymaga udzielenia odpowiedzi w takiej formie. Takie działanie powinno być zasadą, ale przewidziano od niej możliwość odstąpienia. Przywołując treść powołanego przepisu skarżący podniósł, że powołane przez prawodawcę "w miarę możliwości" zobowiązuje każdego administratora do oszacowania wybieranej formy odpowiedzi. Kryteria dokonania takiej wyceny muszą zostać dobrane indywidualnie do każdego działania. Biorąc pod uwagę bardzo szeroki zakres przekazywanych danych uczestnika postępowania oraz dodatkowo obowiązek skarżącego do zachowania tajemnicy bankowej (art. 104 ust. 1 ustawy z dnia 29 sierpnia 1997 r. Prawo bankowe), przesłał on swoją odpowiedź pocztą tradycyjną. Kierował się on koniecznością zapewnienia wysokiego poziomu bezpieczeństwa dla informacji znajdujących się w korespondencji. Warto dodać, że w czasie obsługi wniosku, tj. 2018 - 2019 r., elektroniczne przesyłanie dokumentów nie było jeszcze tak powszechne jak dzisiaj, a stosowane środki zabezpieczenia przesyłanych informacji nie miały jeszcze dzisiejszej jakości. Organ oceniając zdarzenie z 2019 r. nie powinien go oceniać wedle kryteriów dzisiejszych. W tamtym czasie to potwierdzony adres korespondencyjny był dla banku najbezpieczniejszym sposobem przekazania odpowiedzi. Dlatego skarżący zdecydował się przesłać informacje, o które wnioskował uczestnik postępowania, w drodze poczty tradycyjnej, będąc w zgodzie z art. 12 ust. 3 RODO.
W odpowiedzi na skargę organ wniósł o jej oddalenie i podtrzymał swoje dotychczasowe stanowisko. PUODO ustosunkował się do zarzutów skargi i uznał ją za bezzasadną.
Wojewódzki Sąd Administracyjny w Warszawie zważył, co następuje:
Skarga nie zasługuje na uwzględnienie.
Przede wszystkim należy wskazać, że w sprawie nie są sporne ustalenia faktyczne. W treści mailowej z dnia [...] maja 2018 r. uczestnik zwrócił się do Banku z wnioskiem o spełnienie wobec niego obowiązku wynikającego z art. 15 ust. 1-3 RODO poprzez udzielenie informacji, czy Bank przetwarza jego dane osobowe, udzielenie pełnej informacji w zakresie określonym wart. 15 ust. 1 i 2 RODO, a także dostarczenie kopii danych osobowych podlegających przetwarzaniu przez Bank. Bank w treści złożonych wyjaśnień potwierdził, że uczestnik zwrócił się z wnioskiem w dniu [...] maja 2018 r., ale wniosek ten nie został rozpatrzony. Bank przyznał, iż działanie to nie było prawidłowe. Bank dopiero pismem z dnia [...] maja 2019 r. ustosunkował się do żądania uczestnika, udzielając odpowiedzi w treści pisma nadanego pocztą tradycyjną.
Bank udzielił zatem odpowiedzi uczestnikowi z naruszeniem terminu, o którym mowa w art. 12 ust. 3 RODO, co nie jest w sprawie sporne.
Kwestią sporną natomiast w tej sprawie jest to czy organ wydając zaskarżoną decyzję w zakresie naruszenia przez Bank art. 15 ust. 1 i 3 w zw. art. 12 ust. 3 RODO w odniesieniu do formy udzielenia informacji, naruszył prawo w stopniu mogącym mieć istotny wpływ na wynik sprawy.
Zgodnie z art. 15 ust. 1 RODO osoba, której dane dotyczą, jest uprawniona do uzyskania od administratora potwierdzenia, czy przetwarzane są dane osobowe jej dotyczące, a jeżeli ma to miejsce, jest uprawniona do uzyskania dostępu do nich oraz następujących informacji: a) cele przetwarzania; b) kategorie odnośnych danych osobowych; c) informacje o odbiorcach lub kategoriach odbiorców, którym dane osobowe zostały lub zostaną ujawnione, w szczególności o odbiorcach w państwach trzecich lub organizacjach międzynarodowych; d) w miarę możliwości planowany okres przechowywania danych osobowych, a gdy nie jest to możliwe, kryteria ustalania tego okresu; e) informacje o prawie do żądania od administratora sprostowania, usunięcia lub ograniczenia przetwarzania danych osobowych dotyczącego osoby, której dane dotyczą, oraz do wniesienia sprzeciwu wobec takiego przetwarzania; f) informacje o prawie wniesienia skargi do organu nadzorczego; g) jeżeli dane osobowe nie zostały zebrane od osoby, której dane dotyczą - wszelkie dostępne informacje o ich źródle; h) informacje o zautomatyzowanym podejmowaniu decyzji, w tym o profilowaniu, o którym mowa w art. 22 ust. 1 i 4, oraz - przynajmniej w tych przypadkach - istotne informacje o zasadach ich podejmowania, a także o znaczeniu i przewidywanych konsekwencjach takiego przetwarzania dla osoby, której dane dotyczą. Jeżeli dane osobowe są przekazywane do państwa trzeciego lub organizacji międzynarodowej, osoba, której dane dotyczą, ma prawo zostać poinformowana o odpowiednich zabezpieczeniach, o których mowa w art. 46, związanych z przekazaniem (art. 15 ust. 2 RODO).
Z kolei na podstawie art. 15 ust. 3 RODO administrator dostarcza osobie, której dane dotyczą, kopię danych osobowych podlegających przetwarzaniu. Za wszelkie kolejne kopie, o które zwróci się osoba, której dane dotyczą, administrator może pobrać opłatę w rozsądnej wysokości wynikającej z kosztów administracyjnych. Jeżeli osoba, której dane dotyczą, zwraca się o kopię drogą elektroniczną i jeżeli nie zaznaczy inaczej, informacji udziela się w powszechnie stosowanej formie elektronicznej (art. 15 ust. 3 RODO).
Jak słusznie zauważył organ, kwestia sposobu realizacji przez administratora obowiązku z art. 15 ust. 1-3 RODO uregulowana została w art. 12 RODO. Stosownie do art. 12 ust. 1 administrator podejmuje odpowiednie środki, aby w zwięzłej, przejrzystej, zrozumiałej i łatwo dostępnej formie, jasnym i prostym językiem - w szczególności gdy informacje są kierowane do dziecka - udzielić osobie, której dane dotyczą, wszelkich informacji, o których mowa w art. 13 i 14, oraz prowadzić z nią wszelką komunikację na mocy art. 15-22 i 34 w sprawie przetwarzania. Informacji udziela się na piśmie lub w inny sposób, w tym w stosownych przypadkach - elektronicznie. Jeżeli osoba, której dane dotyczą, tego zażąda, informacji można udzielić ustnie, o ile innymi sposobami potwierdzi się tożsamość osoby, której dane dotyczą.
Zgodnie natomiast z art. 12 ust. 3 RODO administrator bez zbędnej zwłoki - a w każdym razie w terminie miesiąca od otrzymania żądania - udziela osobie, której dane dotyczą, informacji o działaniach podjętych w związku z żądaniem na podstawie art. 15-22. W razie potrzeby termin ten można przedłużyć o kolejne dwa miesiące z uwagi na skomplikowany charakter żądania lub liczbę żądań. W terminie miesiąca od otrzymania żądania administrator informuje osobę, której dane dotyczą o takim przedłużeniu terminu, z podaniem przyczyn opóźnienia. Jeśli osoba, której dane dotyczą, przekazała swoje żądanie elektronicznie, w miarę możliwości informacje także są przekazywane elektronicznie, chyba że osoba, której dane dotyczą, zażąda innej formy.
Zasadniczo cały art. 12 RODO nawiązuje do zasady przejrzystości przetwarzania danych, przejrzystego informowania, komunikacji i trybu wykonywania praw przez osobę, której dane dotyczą. Przepis ten określa podstawowe wymogi odnoszące się do sposobu informowania, nakłada na administratora obowiązek ułatwienia osobie której dane dotyczą wykonanie jej praw (ust. 2), czy właśnie m.in. udzielenia informacji o działaniach jakie podjął w ramach realizacji tych uprawnień lub przyczynach niepodjęcia takich działań (ust. 3).
Należy mieć na uwadze, że zasadą jest, że jeśli osoba, której dane dotyczą, przekazała swoje żądanie elektronicznie, w miarę możliwości informacje także są przekazywane elektronicznie, chyba że osoba, której dane dotyczą, zażąda innej formy. W tej sprawie uczestnik nie zażądał innej formy, wręcz wskazał, że akceptuje formę elektroniczną, a w ponownej korespondencji z Bankiem w dniu [...] maja 2018 r. wskazał "złożyłem wiążący wniosek w formie elektronicznej", co było reakcją na odpowiedź Banku o braku możliwości przyjęcia dyspozycji w takie właśnie formie. Rację ma organ wskazując, że Bank jako administrator danych ponosi odpowiedzialność za wdrożenie odpowiednich środków z uwagi na konieczność zapewnienia skutecznej realizacji praw osób, których dane dotyczą. W motywie 59 RODO wyjaśniono, że należy przewidzieć procedury ułatwiające osobie, której dane dotyczą, wykonywanie praw przysługujących jej na mocy RODO, w tym mechanizmy żądania - i gdy ma to zastosowanie bezpłatnego uzyskiwania - w szczególności dostępu do danych osobowych i ich sprostowania lub usunięcia oraz możliwości wykonywania prawa do sprzeciwu. Administrator powinien zapewnić możliwość wnoszenia odnośnych żądań także drogą elektroniczną, w szczególności gdy dane osobowe są przetwarzane drogą elektroniczną. Na podstawie art. 15 ust. 3 RODO administrator dostarcza osobie, której dane dotyczą, kopię danych osobowych podlegających przewarzaniu. Art. 15 ust. 3 RODO formułuje obowiązek udzielenia informacji w powszechnie stosowanej formie elektronicznej, gdy osoba, której dane dotyczą, zwróciła się o kopię drogą elektroniczną i jeżeli nie zaznaczyła inaczej.
Należy również wskazać, że PUODO w swoim piśmie z dnia [...] maja 2019 r. wyraźnie wezwał Bank m. in. do wskazania:
1. czy skarżący zwracał się za pośrednictwem poczty elektronicznej na adres mailowy Banku z wnioskiem o realizację prawa wynikających z art. 15 RODO, a jeśli tak, to jakiej odpowiedzi udzielił Bank, w jakiej formie i na jakiej podstawie prawnej?
2. jaką Bank przyjął procedurę weryfikacji danych osoby będącej niegdyś klientem Banku w przypadku złożenia przez nią wniosku o realizację praw wynikających z art. 15 RODO, przy wyborze przez wnioskodawcę poszczególnych kanałów obsługi ustalonych przez Bank, a w szczególności kierowania elektronicznej korespondencji na adres mailowy Banku?
W odpowiedzi na wezwanie organu, Bank podniósł, że odpowiedział na maila uczestnika z dnia [...] maja 2018 r. kierując uczestnika na infolinię Banku lub do oddziału Banku z informacją, iż tą drogą korespondencji Bank nie może przyjąć dyspozycji uczestnika. Bank przyznał w postępowaniu przed PUODO, że działanie to nie było właściwe, a wniosek winien być przyjęty i rozpatrzony. Aktualnie (czyli na dzień udzielania odpowiedzi tj. [...] maja 2019 r.) wniosek uczestnika został rozpoznany i udzielono mu informacji z art. 15 ust. 103 RODO. Bank mimo wezwania nie odniósł się jednak do formy przekazanej odpowiedzi, nie wyjaśnił jakie przyjął kryteria przy wyborze metody korespondencji i na jakiej podstawie prawnej. Trudno zatem teraz czynić skuteczny zarzut organowi, że kwestii tej należycie nie wyjaśnił.
Na tle tej sprawy należy także podkreślić, że możliwe jest uchylenie decyzji jeżeli sąd administracyjny stwierdzi naruszenie prawa materialnego, które miało wpływ na wynik sprawy bądź inne naruszenie przepisów postępowania, jeżeli mogło ono mieć istotny wpływ na wynik sprawy (art. 145 § 1 pkt 1 lit. a i c ustawy z dnia 30 sierpnia 2002 r. – Prawo o postępowaniu przed sądami administracyjnymi – Dz. U. z 2024 r. poz. 935 ze zm., dalej, jako: P.p.s.a.). Nie wystarczy zatem samo naruszenie prawa materialnego czy procesowego, konieczne jest również aby to naruszenie miało wpływ na wynik sprawy bądź mogło ono mieć istotny wpływ na wynik sprawy.
Skarżący nie wykazał jednak jak ewentualne naruszenie przez organ przepisów czy to prawa materialnego czy procesowego w odniesieniu do formy udzielenia informacji, mogło mieć wpływ na wynik sprawy bądź mogło ono mieć istotny wpływ na wynik sprawy. Również i Sąd takiego wpływu wynikającego z podnoszonego przez Bank naruszenia – nie dopatrzył się. W tej sprawie nie jest bowiem sporne, że Bank dopuścił się również naruszenia art. 15 ust. 1 i 3 w zw. z art. 12 ust. 3 RODO, polegające na udzieleniu Grzegorzowi Borkowi informacji w związku z żądaniem zawartym w piśmie z dnia [...] maja 2018 r. z naruszeniem terminu. W tej części Bank zgodził się z organem. Również i za to naruszenie przepisów RODO udzielono Bankowi upomnienia, a więc wymierzono najniższą z katalogu możliwych kar.
Z tych wszystkich względów Sąd uznał, że zaskarżona decyzja odpowiada prawu. Postępowanie administracyjne zostało przeprowadzone zgodnie z zasadami ogólnymi K.p.a., a w szczególności art. 7, art. 77 § 1, art. 80 i art. 107 § 3 K.p.a.
Końcowo należy także wyjaśnić, że zupełnie pozbawiony racji jest zarzut naruszenia art. 15 K.p.a., zgodnie z którym postępowanie administracyjne jest dwuinstancyjne, chyba że przepis szczególny stanowi inaczej. Uszło uwadze Banku, że zgodnie z art. 7 ust. 2 ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych (Dz. U. z 2019 r. poz. 1781), postępowanie przed Prezesem Urzędu jest postępowaniem jednoinstancyjnym. Przepis ten jest przepisem wyłączającym dwuinstancyjność postępowania prowadzonego przez PUODO. Skoro więc postępowanie przez PUODO jest jednoinstancyjne to organ ten nie mógł naruszyć zasady dwuinstancyjności określonej w art. 15 K.p.a.
Z tych wszystkich względów, Wojewódzki Sąd Administracyjny w Warszawie, działając na podstawie art. 151 ustawy z dnia 30 sierpnia 2002 r. – Prawo o postępowaniu przed sądami administracyjnymi (Dz. U. z 2024 r. poz. 935 ze zm.), oddalił skargę.