II SA/Wa 1971/24

II SA/Wa 1971/24 - Wyrok WSA w Warszawie
Data orzeczenia
2025-06-17
orzeczenie nieprawomocne
Data wpływu
2024-12-03
Sąd
Wojewódzki Sąd Administracyjny w Warszawie
Sędziowie
Łukasz Krzycki /przewodniczący sprawozdawca/
Symbol z opisem
647  Sprawy związane z ochroną danych osobowych
Skarżony organ
Generalny Inspektor Ochrony Danych Osobowych
Treść wyniku
Uchylono zaskarżoną decyzję w części
Sentencja
Wojewódzki Sąd Administracyjny w Warszawie w składzie następującym: Przewodniczący Sędzia WSA Sławomir Antoniuk, Sędzia WSA Łukasz Krzycki (spr.), Asesor WSA Dorota Kozub-Marciniak, , Protokolant starszy specjalista Aleksandra Weiher, , po rozpoznaniu na rozprawie w dniu 12 czerwca 2025 r. sprawy ze skargi [...] w [...] na pkt 1 i 2 decyzji Prezesa Urzędu Ochrony Danych Osobowych z dnia [...] września 2024 r. nr [...] w przedmiocie przetwarzania danych osobowych 1. uchyla zaskarżoną decyzję w pkt 2; 2. oddala skargę w pozostałym zakresie; 3. zasądza od Prezesa Urzędu Ochrony Danych Osobowych na rzecz [...] siedzibą w [...] kwotę 697 zł (słownie: sześćset dziewięćdziesiąt siedem) złotych, tytułem zwrotu kosztów postępowania. Zdanie odrębne Sędzia Łukasz Krzycki
Uzasadnienie
Prezes Urzędu Ochrony Danych Osobowych (dalej jako: organ lub PUODO) decyzją z [...] września 2024 r. nr [...], wydaną na podstawie art. 104 § 1 K.p.a. w zw. z art. 7 ust. 1 i 2 ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych (Dz. U. z 2019 r. poz. 1781) oraz na podstawie art. 6 ust. 1 i art. 58 ust. 2 lit. b oraz na podstawie art. 6 ust. 1 i art. 58 ust. 2 lit. c rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (Dz. Urz. UE L 119 z 4.05.2016, str. 1, Dz. Urz. UE L 127 z 23.05.2018, str. 2 oraz Dz. Urz. UE L 74 z 4.03.2021, str. 35), dalej jako RODO, po przeprowadzeniu postępowania administracyjnego w sprawie skargi M. M. na nieprawidłowości w procesie przetwarzania jego danych osobowych przez [...] Bank S.A. z siedzibą w W., polegające na ich przetwarzaniu w [...] sp. z o.o. z siedzibą w K., bez podstawy prawnej:
1) nakazał [...] Bank S.A. z siedzibą w W. usunięcie danych osobowych M. M. przetwarzanych bez podstawy prawnej;
2) udzielił [...] Bank S.A. z siedzibą w W. upomnienia za naruszenie art. 6 ust 1 RODO polegające na przetwarzaniu danych osobowych M. M. w bazie [...] sp. z o.o. z siedzibą w K. bez podstawy prawnej, w okresie od [...] marca 2023 r. do [...] października 2023 r.;
3) nakazał [...] sp. z o.o. z siedzibą w K. usunięcie danych osobowych M. M. przetwarzanych bez podstawy prawnej.
W uzasadnieniu decyzji PUODO wskazał, że M. M. (dalej jako: Skarżący) wniósł skargę na nieprawidłowości w procesie przetwarzania jego danych osobowych przez [...] Bank S.A. z siedzibą w W. (dalej, jako: Bank), polegające na ich przetwarzaniu w [...] sp. z o.o. z siedzibą w K. (dalej jako: Spółka) bez podstawy prawnej. Skarżący wskazał, że [...] lipca 2023 r. zwrócił się do Banku z wnioskiem o usunięcie jego danych osobowych. Bank w odpowiedzi na ww. wniosek wskazał, że nie potraktował wniosku jako żądanie usunięcia danych, lecz jako sprzeciw wobec przetwarzania danych osobowych w celach marketingowych. Skarżący [...] sierpnia 2023 r. zwrócił się do Spółki m.in. o cyt. "Ograniczenie przetwarzania moich danych osobowych gdyż wnoszę sprzeciw niniejszym na mocy art. 21 ust. 1 RODO oraz art. 18 ust. 1 lit d RODO, (...) Wnoszę sprzeciw wobec dalszego wykonywania operacji ujawniania/udostępniania moich danych osobowych jakimkolwiek odbiorcom.". Spółka w odpowiedzi z [...] sierpnia 2023 r. wskazała, że cyt. "nie jest administratorem lecz podmiotem przetwarzającym banku (...).". Wobec powyższego Skarżący wniósł do PUODO o usunięcie jego danych osobowych przez Spółkę i Bank.
Po zapoznaniu się z całością zgromadzonego w sprawie materiału dowodowego, w tym korespondencją prowadzoną pomiędzy Skarżącym, Bankiem i Spółką, PUODO stwierdził, że dane osobowe Skarżącego zostały pozyskane [...] marca 2023 r. przez Spółkę działającą w imieniu i na rzecz Banku, z ogólnodostępnej bazy CEIDG w celu nawiązania kontaktu i uzyskania zgody (zgód) na kanały komunikacji w celu przedstawienie oferty produktów i usług świadczonych przez Bank. W ocenie Banku, podstawą pozyskania danych osobowych Skarżącego była realizacja celów wynikających z prawnie uzasadnionego interesu Banku (art. 6 ust. 1 lit. f RODO) oraz zawarta przez Bank ze Spółką Umowa powierzenia. Bank wskazał, że przedmiotem Umowy powierzenia jest między innymi zlecenie przez Bank (jako administratora danych) świadczenia przez Spółkę (jako podmiotu przetwarzającego) usługi polegającej na wyszukiwaniu przez tę Spółkę, w imieniu i na rzecz Banku, w CEIDG, w oparciu o kody Polskiej Klasyfikacji Działalności, przedsiębiorców w rozumieniu ustawy z dnia 6 marca 2018 r. Prawo przedsiębiorców, będących osobami fizycznymi spełniających kryteria wskazane przez Bank w Umowie, a następnie przekazanie przez Spółkę danych kontaktowych osób prowadzących działalność gospodarczą. Po otrzymaniu danych przedsiębiorców, Bank realizuje obowiązek informacyjny i następnie kontaktuje się w celu uzyskania zgody na określone kanały komunikacji w celach marketingowych. Bank wskazał również, że Skarżący nie jest klientem Banku.
Organ podał, że z materiału dowodowego zebranego w sprawie wynika, że Bank zawarł ze Spółką Umowę powierzenia na podstawie, której zlecił Spółce pozyskanie danych Skarżącego z ogólnodostępnej bazy CEIDG. Umowa ta spełnia wymogi umowy powierzenia z art. 28 RODO. Organ przytoczył zapisy tej Umowy określone w § 2 ust. 3 (aneks z dnia 20 lutego 2023 r.), § 1 ust. 2, ust 8, ust. 9, § 1 ust. 7 lit. a) tiret ii. (aneks nr 4 z dnia 7 czerwca 2023 r.), § 1 ust. 7 lit. c).
Przechodząc do oceny legalności pozyskania danych Skarżącego przez Spółkę działającą w imieniu Banku PUODO wskazał, że na treść art. 45 ust. 1 ustawy z dnia 6 marca 2018 r. o Centralnej Ewidencji i Informacji o Działalności Gospodarczej i Punkcie Informacji dla Przedsiębiorcy (Dz.U. z 2022 poz. 541) i podniósł, że w realiach niniejszej sprawy, pozyskanie danych osobowych Skarżącego z CEIDG dokonane zostało w celu prowadzenia marketingu bezpośredniego produktów Banku. W ocenie PUODO, kontaktowanie się z osobą niepowiązaną w żaden sposób z Bankiem, po to, by uzyskać jej zgodę (zgody) na kanały komunikacji w celu przedstawienia oferty produktów i usług świadczonych przez Bank, nie może zostać uznane za realizację prawnie uzasadnionego interesu Banku, stanowiącego podstawę legalizującą proces przetwarzania danych osobowych osoby, której dane dotyczą z art. 6 ust. 1 lit. f RODO.
PUODO podkreślił, iż aby prowadzić wobec Skarżącego marketing bezpośredni przy wykorzystaniu połączeń i wiadomości telefonicznych, Bank niezależnie od spełnienia przesłanek legalizujących proces przetwarzania danych, wynikających z art. 6 ust. 1 RODO, miał obowiązek uzyskania od Skarżącego zgody, o której mowa w art. 172 ust. 1 ustawy z dnia 16 lipca 2004 r. Prawo telekomunikacyjne (Dz. U. z 2024 r. poz. 34), dalej Prawo telekomunikacyjne. Jak wynika zaś z art. 174 ww. ustawy do uzyskania zgody abonenta lub użytkownika końcowego stosuje się przepisy o ochronie danych osobowych. Powyższe przepisy warunkują zatem możliwość prowadzenia marketingu bezpośredniego telefonicznym kanałem kontaktu od uzyskania odpowiedniej zgody w tym zakresie. PUODO podzielił stanowisko Wojewódzkiego Sądu Administracyjnego w Warszawie zaprezentowane w wyrokach z dnia 23 marca 2023 r. sygn. akt II SA/Wa 2219/22 oraz z dnia 30 grudnia 2022 r. II SA/Wa 885/22.
Mając powyższe na uwadze PUODO stwierdził, że pozyskanie danych osobowych Skarżącego z CEIDG celem uzyskania jego zgody na marketing produktów stanowiło proces przetwarzania danych osobowych, który nie znajdował uzasadnienia w art. 6 ust 1 lit. f RODO. W przypadku, gdy nie zachodzi istotny i odpowiedni rodzaj powiązania między osobą, której dane dotyczą, a administratorem (np. osoba, której dane dotyczą nigdy nie była klientem administratora), administrator nie może przetwarzać danych osobowych ww. osoby w oparciu o art. 6 ust. 1 lit. f RODO, gdyż nie może być wówczas mowy o prawnie uzasadnionym interesie administratora, nadrzędnym nad interesami lub podstawowymi prawami i wolnościami osoby, której dane dotyczą. W takim przypadku administrator, by przetwarzać dane osobowe w sposób legalny, powinien uzyskać zgodę osoby, której dane dotyczą, o której mowa w art. 6 ust. 1 lit. a RODO, na przetwarzanie jej danych osobowych w celach marketingowych. Natomiast Bank w toku postępowania administracyjnego nie wykazał, aby Skarżący wyraził ww. zgodę na przetwarzanie jego danych osobowych w celach marketingu bezpośredniego. Skarżący w treści złożonej skargi podkreślał, iż nie wyrażał zgody na przetwarzanie jego danych osobowych. Tym samym proces przetwarzania danych osobowych Skarżącego przez Spółkę działającą w imieniu Banku realizującego cel marketingowy, mający miejsce w okresie od [...] marca 2023 r. do [...] października 2023 r. nie znajdował oparcia w żadnej z przesłanek z art. 6 ust. 1 RODO.
Skoro zatem Bank jako administrator nie legitymował się żadną przesłanką legalizującą ww. proces przetwarzania danych osobowych Skarżącego, nie mógł również w ocenie PUODO prawidłowo powierzyć jego danych osobowych do przetwarzania Spółce.
Przechodząc do oceny wskazanego przez Bank aktualnego celu przetwarzania danych osobowych Skarżącego, tj. przetwarzania w celu archiwalnym (dowodowym) będącego realizacją prawnie uzasadnionego interesu zabezpieczenia informacji przez Bank na wypadek prawnej potrzeby wykazania faktów oraz w celu ewentualnego ustalenia, dochodzenia lub obrony przed roszczeniami (podstawa prawna art. 6 ust. 1 lit. f RODO) oraz oceny procesu wskazanego przez Spółkę, jako samodzielnego administratora danych, na podstawie art. 6 ust.1 lit. f RODO w celu obrony przed zarzutami Skarżącego dotyczącymi przetwarzania jego danych osobowych przez Spółkę, tj. konieczności posiadania dowodów pozwalających na obronę przed zarzutami lub roszczeniami Skarżącego, PUODO stwierdził, że procesy te również są nieprawidłowe.
Zdaniem PUODO przyjęcie za prawidłowe stanowiska, że przetwarzanie danych osobowych w celu uchylenia się od negatywnych skutków w przypadku zgłoszenia w przyszłości roszczenia, stanowi prawnie usprawiedliwiony cel w rozumieniu art. 6 ust. 1 lit. f RODO oznaczałoby, że dane osobowe Skarżącego mogą być przetwarzane przez Bank i Spółkę permanentnie, bez konieczności ich usunięcia. Natomiast przetwarzanie danych w celu dochodzenia roszczeń oraz obrony przed roszczeniami, nie jest tożsame z przetwarzaniem na wypadek przyszłej i niepewnej ewentualnej konieczności dochodzenia roszczeń lub obrony przed nimi. Przesłanka z art. 6 ust. 1 lit. f RODO dotyczy sytuacji już istniejącej, w której celem wynikającym z prawnie uzasadnionych interesów realizowanych przez administratora jest konieczność udowodnienia, potrzeba dochodzenia lub obrony przed roszczeniem istniejącym, nie zaś sytuacji, gdy dane są przetwarzane w celu zabezpieczenia się przed ewentualnym roszczeniem.
PUODO podkreślił, że przy przyjęciu odmiennej interpretacji ww. przepisów, Skarżący pozbawiony byłyby ochrony na gruncie RODO oraz ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych (Dz. U. z 2019 r., poz. 1781). Przyjęcie za prawidłowe stanowiska, iż przetwarzanie danych osobowych w celu uchylenia się od negatywnych skutków w przypadku zgłoszenia w przyszłości ewentualnego i nieokreślonego roszczenia lub reklamacji, stanowi prawnie usprawiedliwiony cel w rozumieniu art. 6 ust. 1 lit. f RODO oznaczałoby, że dane osobowe Skarżącego mogą być przetwarzane przez Bank i Spółkę permanentnie, bez konieczności ich usunięcia. Teoretycznie możliwym jest przecież by Skarżący zwrócił się do Banku i Spółki z roszczeniem po upływie terminu przedawnienia roszczenia. Prowadziłoby to tym samym do uznania, że przetwarzanie danych osobowych Skarżącego przez Bank i Spółkę ma uzasadnienie w przesłance określonej art. 6 ust. 1 lit. f RODO w celu realizacji prawa do obrony przed ewentualnym roszczeniem Skarżącego również po upływie ww. terminu.
Nie sposób przy tym doszukać się źródła prawnie uzasadnionego interesu po stronie Banku i Spółki w związku z obszerną korespondencją kierowaną przez Skarżącego do obu tych podmiotów. Wynika z niej bowiem, że Skarżący ostatecznie domagał się usunięcia jego danych osobowych. Oczywiste jest zatem, że usuniecie danych spowoduje brak możliwości zrealizowania wszelkich innych praw Skarżącego wynikających z RODO.
Ponadto Bank wskazał, że przetwarza dane osobowe Skarżącego w celu udzielenia przez Bank niezbędnych informacji do merytorycznego rozstrzygnięcia sprawy zainicjowanej skargą do PUODO. Niemniej dane osobowe mogą być przetwarzane przez okres niezbędny do realizacji celu, zaś zakończenie postępowania w niniejszej sprawie spowoduje wygaśnięcie celu przetwarzania.
W ocenie PUODO, w niniejszej sprawie zarówno Bank jak i Spółka, przetwarzający obecnie dane osobowe Skarżącego jako oddzielni administratorzy, nie wykazały, aby proces przetwarzania danych osobowych Skarżącego znajdował uzasadnienie w przesłankach wynikających z art. 6 ust 1 RODO. Wobec powyższego, organ korzystając z uprawnienia określonego w art. 58 ust. 2 lit. c RODO, nakazał Bankowi oraz Spółce usuniecie danych osobowych Skarżącego. Ponadto skorzystał również z uprawnienia wynikającego z art. 58 ust. 2 lit. b RODO i udzielił Bankowi upomnienia za proces przetwarzania danych osobowych Skarżącego w celach marketingowych, mający miejsce w okresie od 8 marca 2023 r. do 20 października 2023 r., w bazie Spółki. Spółka działając bowiem w imieniu Banku na podstawie umowy powierzenia, pozyskała dane osobowe Skarżącego, a następnie kontynuowała ich przetwarzanie bez podstawy prawnej, realizując cel marketingowy Banku.
Decyzja PUODO z [...] września 2024 r. stała się przedmiotem skargi wniesionej przez Bank do Wojewódzkiego Sądu Administracyjnego w Warszawie. Zaskarżając pkt 1 i 2 decyzji pełnomocnik Banku podniósł zarzut naruszenia prawa materialnego, mające wpływ na wynik sprawy tj.:
art. 6 ust. 1 RODO, poprzez jego niewłaściwe zastosowanie i przyjęcie, że Bank nie legitymuje się postawą do przetwarzania danych osobowych M. M. w celu nawiązania kontaktu i pozyskania zgody (zgód) na kanały komunikacji w celu przedstawienia oferty produktów i usług świadczonych przez Bank, podczas gdy Bank posiada prawnie uzasadniony interes w przetwarzaniu danych w tym celu, tj. legitymuje się podstawą przetwarzania danych wskazaną w art. 6 ust. 1 lit. f RODO;
art. 6 ust. 1 lit. f RODO, poprzez jego niewłaściwe zastosowanie i przyjęcie, że przetwarzanie danych osobowych dla realizacji prawnie uzasadnionych interesów administratora danych w celach zabezpieczenia roszczeń może dotyczyć wyłącznie roszczeń istniejących i aktualnie dochodzonych i w konsekwencji nieuzasadnione przyjęcie, że prawnie uzasadniony interes administratora danych nie istnieje w sytuacji przetwarzania danych osobowych do ochrony przed roszczeniami istniejącymi, ale niedochodzonymi w chwili dokonywania oceny, podczas gdy istotą uzasadnionego interesu administratora jest możliwość przetwarzania danych na wypadek konieczności obrony przed roszczeniami istniejącymi lub dochodzenia w przyszłości roszczeń istniejących, które w warunkach niniejszej sprawy są związane z przetwarzaniem danych osobowych Skarżącego w związku z pozyskaniem jego danych z CEIDG, nawiązaniem kontaktu w celu pozyskania zgód, realizacją żądań Skarżącego oraz rozpatrywaniem i udzielaniem odpowiedzi na zapytania/reklamacje/wnioski Skarżącego;
art. 6 ust. 1 lit. f RODO w zw. z art. 58 ust. 1 lit. a i e RODO w zw. z art. 31 RODO, poprzez niewłaściwe zastosowanie tych przepisów i przyjęcie, iż podstawa do przetwarzania danych Skarżącego w celu udzielania przez Bank informacji niezbędnych do merytorycznego rozstrzygnięcia sprawy, wygasa w momencie zakończenia postępowania przez PUODO, podczas gdy przetwarzanie przez Bank danych Skarżącego w ww. celu jest niezbędne dla realizacji przez Bank prawa do sądu w postaci możliwości zaskarżenia decyzji PUODO oraz prowadzenia postępowania sądowoadministracyjnego;
art. 58 ust. 2 lit. b RODO, poprzez jego niewłaściwe zastosowanie i udzielenie upomnienia Bankowi za przetwarzanie danych bez podstawy prawnej, podczas gdy Bank legitymował się podstawą do przetwarzania danych osobowych Skarżącego w celach wynikających z prawnie uzasadnionych interesów realizowanych przez Bank;
art. 7 w zw. z art. 77 w zw. art. 80 w zw. z art. 107 § 3 K.p.a. w zw. z art. 7 RODO polegające na:
a. braku ustalenia istotnych okoliczności faktycznych sprawy, a w szczególności okoliczności, iż komunikacja prowadzona przez Bank ze Skarżącym w celu pozyskania zgody na przedstawienie oferty nie stanowiła marketingu bezpośredniego w rozumieniu art. 172 ustawy z dnia 16 lipca 2004 r. Prawo telekomunikacyjne, a tym samym, kierowanie tej komunikacji do Skarżącego nie wymagało uprzedniego pozyskania przez Bank zgody z art. 172 powołanej ustawy - ergo okoliczność ta (fakt braku zgody z art. 172 Prawa telekomunikacyjnego) nie ma wpływu na możliwość przyjęcia prawnie uzasadnionego interesu administratora jako podstawy prawnej przetwarzania danych przez Bank;
b. niewyczerpującym rozpatrzeniu materiału dowodowego oraz jego dowolnej ocenie przejawiającej się w uznaniu, iż przetwarzanie przez Bank danych osobowych Skarżącego w celu nawiązania kontaktu i pozyskania zgody (zgód) na kanały komunikacji w celu przedstawienia oferty jest równoznaczne z przetwarzaniem przez Bank danych Skarżącego w celach marketingu bezpośredniego, podczas gdy działania te realizowane są w ramach odrębnych procesów przetwarzania danych osobowych;
c. niewyczerpującym rozpatrzeniu materiału dowodowego oraz jego dowolnej ocenie przejawiającej się w uznaniu, iż brak istnienia uprzedniej relacji między Skarżącym, a Bankiem, wyklucza przyjęcie przesłanki prawnie uzasadnionego interesu jako podstawy przetwarzania danych Skarżącego, podczas gdy ocena nadrzędności interesów powinna uwzględniać szczegółową analizę wszystkich okoliczności danego procesu przetwarzania, która to analiza w okolicznościach tej sprawy nie została przeprowadzona;
co doprowadziło do niezasadnego nakazania usunięcia danych oraz udzielenia Bankowi upomnienia za przetwarzanie danych bez podstawy prawnej, podczas gdy Bank legitymował się podstawą do przetwarzania danych Skarżącego w celu nawiązania kontaktu i pozyskania zgody (zgód) na kanały komunikacji.
Mając na uwadze wskazane zarzuty pełnomocnik Banku wniósł o uwzględnienie skargi i uchylenie decyzji w zaskarżonej części oraz zasądzenie od organu na rzecz Banku zwrotu kosztów postępowania według norm przepisanych, w tym kosztów zastępstwa procesowego (w tym zwrotu opłaty skarbowej od pełnomocnictwa w kwocie 17 zł).
W uzasadnieniu skargi Bank wskazał, iż zagadnieniem kluczowym na gruncie przedmiotowej sprawy stała się kwestia dopuszczalności przetwarzania danych Skarżącego, pozyskanych z publicznie dostępnego rejestru (CEIDG), w celu nawiązania kontaktu oraz podjęcia próby pozyskania zgody (zgód) na kanały komunikacji w celu przedstawienia oferty produktów i usług świadczonych przez Bank, w oparciu o prawnie uzasadniony interes Banku, tj. na podstawie art. 6 ust. 1 lit. f RODO. Organ w toku postępowania administracyjnego założył, że już sam kontakt w celu pozyskania zgód marketingowych stanowi marketing bezpośredni w rozumieniu art. 172 Prawa telekomunikacyjnego oraz że brak istnienia relacji (powiązań) między osobą, której dane dotyczą, a administratorem każdorazowo wyklucza przetwarzanie danych tej osoby w oparciu o prawnie uzasadniony interes administratora. W ocenie Banku założenia poczynione przez organ są nieprawidłowe, zaś przyjęcie ich przez organ - niepoparte szczegółową analizą przedmiotowego stanu faktycznego.
W ocenie Banku analiza procesu przetwarzania przez Bank danych osobowych, w tym danych Skarżącego, w celu nawiązania kontaktu i uzyskania zgody (zgód) na kanały komunikacji w celu przedstawienia oferty produktów i usług świadczonych przez Bank, nie może odbywać się w oderwaniu od przepisów regulujących kwestie pozyskiwania zgód marketingowych oraz prowadzenia marketingu bezpośredniego, tj. w szczególności przepisów art. 172 i 174 Prawa telekomunikacyjnego. PUODO jest organem właściwym jedynie w sprawie ochrony danych osobowych, nie może więc oceniać prawidłowości realizacji przez Bank obowiązków wynikających z ustawy Prawo telekomunikacyjne – PUODO jest jednak zobowiązany do podjęcia wszelkich czynności niezbędnych do dokładnego wyjaśnienia stanu faktycznego i do załatwienia sprawy oraz do wyczerpującego zebrania i rozpatrzenia całego materiału dowodowego - ustalenie okoliczności, czy komunikacja kierowana do Skarżącego przez Bank stanowiła marketing bezpośredni było zaś kluczowe dla oceny legalności przedmiotowego procesu przetwarzania danych Skarżącego przez Bank.
Powołując się na decyzję Prezesa UKE z [...] listopada 2018 r. nr [...] oraz wyrok Sądu Ochrony Konkurencji i Konsumentów z [...] września 2022 r. sygn. akt [...], Bank wskazał, z marketingiem bezpośrednim, w rozumieniu art. 172 Prawa telekomunikacyjnego, mamy do czynienia w przypadku komunikatów (kierowanych do abonenta lub użytkownika końcowego, za pośrednictwem telekomunikacyjnych urządzeń końcowych i automatycznych systemów wywołujących) mających na celu zachęcenie do nabywania określonych towarów/usług lub np. promowania wizerunku danego podmiotu. Należy podkreślić, że Bank w ramach przedmiotowego procesu, nie kieruje - i nie kierował w stosunku do Skarżącego - komunikatów o charakterze marketingu bezpośredniego. Proces pozyskiwania zgód na kanały komunikacji od potencjalnych klientów, będących przedsiębiorcami prowadzącymi jednoosobową działalność gospodarczą, jest w całości odrębny od prowadzonego przez Bank marketingu bezpośredniego - w ramach komunikacji podejmowanej z potencjalnym klientem nie jest on w jakikolwiek sposób zachęcany do skorzystania z oferty Banku i nie są mu przekazywane żadne treści o charakterze marketingowym. Także Sąd Okręgowy [...] w W. w wyroku z dnia [...] stycznia 2019 r. sygn. akt [...] zgodził się z poglądem, iż "nie jest sprzeczne z art. 172 Prawa Telekomunikacyjnego wykonywanie przez pracowników pozwanej połączeń na losowo wybrane numery abonentów bez Ich zgody w celu ustalenia, czy wyrażają oni zgodę na kontakt telefoniczny w celu marketingu bezpośredniego. Dopiero po wyrażeniu zgody strona pozwana prowadzi w stosunku do abonentów czynności polegające na marketingu bezpośrednim. Wyrażony w przytoczonym przepisie zakaz powinien być, zgodnie z konstytucyjną zasadą proporcjonalności, interpretowany w sposób ścisły, a nie rozszerzający, zwłaszcza że obowiązuje również w odniesieniu do abonentów będących przedsiębiorcami". Sąd uznał tym samym, że nawiązywanie kontaktu w celu pozyskiwania zgody (zgód) na kanały komunikacji nie stanowi samo w sobie marketingu bezpośredniego.
Kierując się powyższą wykładnią, Bank wyraźnie oddzielił proces pozyskiwania zgód na kanały komunikacji od procesu prowadzenia marketingu bezpośredniego - w ramach kontaktu w celu pozyskania ww. zgód, wobec potencjalnego klienta nie jest kierowany jakikolwiek przekaz mający na celu zaprezentowanie mu oferty Banku oraz zachęcenie do skorzystania z tej oferty. Powyższe znalazło również odzwierciedlenie w klauzuli informacyjnej przekazanej Skarżącemu, w której to jako cel przetwarzania danych wskazano nawiązanie kontaktu i próbę pozyskania zgody na kanały komunikacji. W klauzuli tej Bank wskazał również, iż przetwarzanie danych Skarżącego w celu prowadzenia marketingu bezpośredniego będzie miało miejsce jedynie w przypadku pozyskania przez Bank dodatkowych zgód na kanały komunikacji. Wobec braku wyrażenia przez Skarżącego zgody na przesyłanie mu treści marketingowych oraz zgłoszenie sprzeciwu cel, w postaci przetwarzania danych Skarżącego w celu prowadzenia działań marketingowych, nie zmaterializował się.
Zatem założenie poczynione przez PUODO, iż już samo nawiązanie kontaktu ze Skarżącym w celu pozyskania zgód na kanały komunikacji stanowiło marketing bezpośredni nie znajduje tym samym odzwierciedlenia w okolicznościach stanu faktycznego - organ na żadnym etapie postępowania nie zbadał treści komunikatów kierowanych do Skarżącego przez Bank ani nie przeanalizował procesu pozyskiwania ww. zgód. Analizy takiej brak w szczególności w uzasadnieniu przedmiotowej decyzji. Decyzja PUODO została tym samym wydana z naruszeniem art. 7 w zw. z art. 77 w zw. art 80 w zw. żart. 107 § 3 K.p.a. w zw. z art. 7 UODO, mającym istotny wpływ na wynik sprawy.
Strona Skarżąca nie zgodziła się z założeniem poczynionym przez PUODO, iż brak istnienia uprzedniej relacji między administratorem a podmiotem danych, wyklucza oparcie przetwarzania danych podmiotu danych o prawnie uzasadniony interes administratora. W przedmiotowej sprawie dane Skarżącego zostały pozyskane z jawnego rejestru CEIDG, w orzecznictwie sądowym zostało zaś przesądzone, że przetwarzanie danych osobowych pochodzących z powszechnie dostępnych źródeł w celu zarobkowym administratora danych jest działaniem znajdującym podstawę w art. 6 ust. 1 lit. f RODO (patrz NSA w wyroku z 30 listopada 2021 r. sygn. akt III OSK 4558/21).
Powołując się na motyw 47 RODO Bank podniósł, iż prawnie uzasadniony interes administratora nie może być analizowany abstrakcyjnie, w oderwaniu od procesu przetwarzania, którego dotyczy, a przy jego badaniu konieczne jest wzięcie pod uwagę wszystkie mających miejsce okoliczności. W przedmiotowej sprawie, dla oceny istnienia prawnie uzasadnionego interesu w przetwarzaniu danych Skarżącego w celu nawiązania z nim kontaktu i próby pozyskania zgód na kanały komunikacji należało uwzględnić m.in. status podmiotu danych jako przedsiębiorcy, źródło danych (tj. pozyskanie ich z jawnego rejestru), sposób informowania podmiotu danych o pozyskaniu i przetwarzaniu jego danych (przekazanie klauzuli informacyjnej w terminie zgodnym z art 14 ust. 3 RODO), oraz fakt, iż wobec podmiotu danych nie jest realizowany marketing bezpośredni (przed pozyskaniem odpowiednich zgód). Dokonując analizy ww. celu przetwarzania PUODO oparł się natomiast wyłącznie na dwóch, wskazanych wyżej założeniach, co doprowadziło do błędnego uznania przez PUODO, iż interes Skarżącego, jest w tym wypadku nadrzędny nad interesem Banku, a tym samym, że Bank nie legitymuje się podstawą do przetwarzania danych Skarżącego ww. celu. Decyzja PUODO została tym samym wydana z naruszeniem art. 7 w zw. z art. 77 w zw. art. 80 w zw. z art. 107 § 3 K.p.a. w zw. z art. 7 UODO, mającym istotny wpływ na wynik sprawy.
W konsekwencji powyższego, całkowicie niezasadnym było zaś zastosowanie przez PUODO środka prawnego w postaci upomnienia - art. 58 ust. 2 lit. b RODO uprawnia bowiem PUODO do udzielenia upomnienia w przypadku "naruszenie przepisów rozporządzenia przez operację przetwarzania". Bank legitymował się podstawą przetwarzania danych Skarżącego, wynikającą z jego prawnie uzasadnionego interesu. W sprawie tej nie ziściły się więc przesłanki uprawniającego PUODO do wydania przedmiotowego orzeczenia.
Organ zakwestionował również przetwarzanie przez Bank danych Skarżącego w celach dowodowych oraz ustalenia, dochodzenia i obrony przez roszczeniami. Bank wskazał, że uprawnienia do dochodzenia ochrony praw pozostają bezpośrednio związane z działaniami, w tym przetwarzaniem danych osobowych Skarżącego, którego już dokonał, a które związane są bezpośrednio z faktem pozyskania danych Skarżącego z CEIDG, nawiązaniem kontaktu w celu pozyskania zgód, realizacją żądań Skarżącego oraz rozpatrywaniem i udzielaniem odpowiedzi na zapytania/reklamacje/wnioski Skarżącego. W realiach niniejszej sprawy nie można zatem mówić o potencjalnych, abstrakcyjnych roszczeniach przysługujących Skarżącemu - roszczenia te istnieją, a niektóre z nich są aktualnie dochodzone w ramach niniejszego postępowania. Uprawnienia Skarżącego do ochrony przysługujących mu praw zaktualizowały się w związku z działaniami już podjętymi przez Bank - jest to moment, w którym zaistniały po stronie Skarżącego roszczenia, których może dochodzić wobec Banku. W konsekwencji, podstawy do dochodzenia roszczeń w celu ochrony praw przez Skarżącego istnieją i pozostają realne, zatem istnieje również roszczenie po stronie Skarżącego. Równie realna pozostaje konieczność obrony swoich przeciwnych praw przez Banku wobec tych roszczeń.
W ocenie Banku ograniczenie przesłanki możliwości przetwarzania danych osobowych dla zabezpieczenia roszczeń wyłącznie do sytuacji, w których roszczenia są już dochodzone, powoduje istotne ograniczenie w korzystaniu przez Bank z zagwarantowanego w Konstytucji RP prawa do sądu. Usunięcie danych Skarżącego uniemożliwiłoby Bankowi efektywną obronę swoich praw w razie jakiegokolwiek postępowania zainicjowanego przez Skarżącego, w tym postępowania będącego następstwem skargi do PUODO oraz niniejszego postępowania. Tymczasem, jak wskazuje się w orzecznictwie Trybunału Konstytucyjnego, elementem składającym się na konstytucyjne prawo do sądu gwarantowane każdemu przez art. 45 Konstytucji RP jest m.in. zasada równości broni (zob. wyr. TKz: 12.3.2002 r., P 9/01, OTK- A 2002, Nr 2, poz. 14; 6.12.2004 r., SK 29/04, OTK-A 2004, Nr 11, poz. 114; 15.4.2009 r., SK 28/08, OTK-A 2009, Nr 4, poz. 48; 12.1.2010 r., SK 2/09, OTK-A 2010, Nr 1, poz. 1; 20.10.2010 r., P 37/09, OTK-A 2010, Nr 8, poz. 79). Zasada "równości broni" nakazuje zapewnienie stronom równego udziału w postępowaniu, a tym samym równych możliwości zaprezentowania swoich argumentów - tymczasem nakaz usunięcia danych osobowych Skarżącego takiej możliwości Bank pozbawia. Wyłączenie więc możliwości przetwarzania danych osobowych Skarżącego w celu zabezpieczenia roszczeń prowadzi w istocie do pozbawienia Bank konstytucyjnego prawa do sądu.
Odnosząc się do przywołanego w uzasadnieniu zaskarżonej decyzji wyroku NSA z 27 marca 2018 r. sygn. akt I OSK 1459/16 Bank zaznaczył, iż został on wydany w okresie obowiązywania innych przepisów. Choć należy respektować istniejące analogie w brzmieniu art. 23 ust. 4 ustawy o ochronie danych osobowych z 1997 r. oraz art. 6 ust. 1 lit. f RODO, wprowadzone przez prawodawcę wyraźne różnice pomiędzy tymi przepisami nie mogą być ignorowane. Obecnie obowiązującego art. 6 ust. 1 lit. f RODO nie należy sprowadzać do interpretacji właściwej dla art. 23 ust. 4 ustawy o ochronie danych osobowych z 1997 r. Organ jednak, wydając skarżoną decyzję, nie uwzględnił kluczowej różnicy pomiędzy tymi przepisami, co doprowadziło do uznania, iż Bank nie może przetwarzać danych Skarżącego w oparciu o art. 6 ust. 1 lit. f RODO, podczas gdy w sposób oczywisty przesłanka ta legitymuje Bank do przetwarzania danych osobowych Skarżącego w ww. celu. W przypadku, gdy dochodzi do przedawnienia możliwości dochodzenia roszczeń, dla zabezpieczenia interesów Banku wystarczającą informacją pozostaje data, gdy roszczenia te uległy przedawnieniu. W ocenie Banku po upływie okresu przedawnienia ewentualnych roszczeń dalsze przetwarzanie danych osobowych nie jest niezbędne dla ewentualnego wykazania, że roszczenie zostało przedawnione - wystarczającą informacją są w tym przypadku ramy czasowe, które to jako informacja mogą funkcjonować skutecznie w oderwaniu od jakichkolwiek danych osobowych.
Bank nie zgodził się z twierdzeniem PUODO, że w momencie wydania przez decyzji zdezaktualizował się cel przetwarzania danych Skarżącego polegający na udzielaniu przez Bank niezbędnych informacji do merytorycznego rozstrzygnięcia sprawy. Decyzja PUODO, z uwagi na jej zaskarżenie przez Bank, pozostaje nieprawomocna, zaś jej weryfikacja w toku instancji, może doprowadzić do konieczności składania przez Bank dalej idących wyjaśnień - np. w sytuacji uchylenia decyzji i przekazania sprawy do ponownego rozpoznania. W konsekwencji, przetwarzanie danych osobowych Skarżącego przez Bank pozostaje niezbędne dla realizacji prawnie uzasadnionych interesów Banku w postaci zabezpieczenia roszczeń, tj. możliwości ustalenia, dochodzenia lub obrony przed roszczeniami, a także udzielenie przez Bank niezbędnych informacji do merytorycznego rozstrzygnięcia sprawy, na podstawie art. 6 ust. 1 lit. f RODO. Wypełnienie nakazu PUODO w postaci usunięcia danych osobowych Skarżącego prowadziłoby do uniemożliwienia Bankowi skutecznej obrony swoich praw w jakimkolwiek postępowaniu, w tym w postępowaniu będącym następstwem skargi do PUODO oraz w niniejszym postępowaniu.
W odpowiedzi na skargę PUODO wniósł o jej oddalenie i podtrzymał swoje dotychczasowe stanowisko. Organ odniósł się do zarzutów skargi wskazując na ich bezzasadność.
W replice na odpowiedź organu i skargę Banku Skarżący wniósł o jej oddalenie (k. 69-71). Wskazał, że wiele osób prowadzi działalność gospodarczą w zróżnicowanym zakresie - także wobec konieczności, co do możliwości zatrudnienia. Przymuszanie do odbierania połączeń telefonicznych od zainteresowanych przedłożeniem im oferty podmiotów stanowi bezzasadną ingerencję w sferę ich prywatności. Mogą nie być wydolni aby temu sprostać, nie jest zaś to ich powinnością. Podniósł, że w dacie pozyskania przez Spółkę jego danych osobowych z CEIDG ([...] marca 2023 r.) w ewidencji tej - w sekcji 4 "Dane do kontaktu" - na wniosek z [...] sierpnia 2022 r. zaznaczono pole "Sprzeciwiam się udostepnieniu danych kontaktowych w CEIDG". Bank miał zatem obowiązek uwzględnić zastrzeżenie Skarżącego - usunąć dane kontaktowe do takiego przedsiębiorcy.
Skarżący wniósł nadto o zasądzenie od Banku na jego rzecz kwoty 52 zł tytułem zwrotu kosztów postępowania – poniesionej opłaty kancelaryjnej oraz dopuszczenie i przeprowadzenie dowodu z załączonych do pisma : 1) zrzutu ekranu konta przedsiębiorcy w CEiDG, 2) wniosku o zmianę nr [...] z [...] czerwca 2023 r., 3) wniosku o zmianę nr [...] z [...] września 2022 r., 4) wniosku o zmianę nr [...] z [...] sierpnia 2022 r.
W piśmie procesowym z [...] kwietnia 2025 r. M. M. ponowił swój wniosek o zasadzenie kosztów postępowania w kwocie 52 zł.
Wojewódzki Sąd Administracyjny w Warszawie zważył, co następuje:
Zgodnie z art. 1 § 1 i § 2 ustawy z dnia 25 lipca 2002 r. – Prawo o ustroju sądów administracyjnych (Dz. U. z 2024 r. poz. 1267, z późn. zm.), sądy administracyjne sprawują wymiar sprawiedliwości m. in. przez kontrolę działalności administracji publicznej, a kontrola ta sprawowana jest pod względem zgodności z prawem, jeżeli ustawy nie stanowią inaczej.
Skarga oceniana w świetle powyższych kryteriów częściowo zasługuje na uwzględnienie.
W pierwszej kolejności należy przypomnieć, że zamknięty katalog przesłanek dopuszczalności przetwarzania danych osobowych określa m.in. art. 6 ust. 1 RODO. Stosownie do treści tego przepisu, przetwarzanie jest zgodne z prawem wyłącznie w przypadkach, gdy - i w takim zakresie, w jakim - spełniony jest co najmniej jeden z poniższych warunków:
a) osoba, której dane dotyczą wyraziła zgodę na przetwarzanie swoich danych osobowych w jednym lub większej liczbie określonych celów;
b) przetwarzanie jest niezbędne do wykonania umowy, której stroną jest osoba, której dane dotyczą, lub do podjęcia działań na żądanie osoby, której dane dotyczą, przed zawarciem umowy;
c) przetwarzanie jest niezbędne do wypełnienia obowiązku prawnego ciążącego na administratorze;
d) przetwarzanie jest niezbędne do ochrony żywotnych interesów osoby, której dane dotyczą, lub innej osoby fizycznej;
e) przetwarzanie jest niezbędne do wykonania zadania realizowanego w interesie publicznym lub w ramach sprawowania władzy publicznej powierzonej administratorowi;
f) przetwarzanie jest niezbędne do celów wynikających z prawnie uzasadnionych interesów realizowanych przez administratora lub przez stronę trzecią, z wyjątkiem sytuacji, w których nadrzędny charakter wobec tych interesów mają interesy lub podstawowe prawa i wolności osoby, której dane dotyczą, wymagające ochrony danych osobowych, w szczególności gdy osoba, której dane dotyczą, jest dzieckiem.
Akapit pierwszy lit. f nie ma zastosowania do przetwarzania, którego dokonują organy publiczne w ramach realizacji swoich zadań.
Skarga zasługuje na uwzględnienie w części, gdzie zakwestionowano decyzję w pkt 2. Trafne są bowiem zarzuty Banku, gdzie zarzucono mylne przyjęcie przez organ, jakoby wykorzystanie danych kontaktowych, zamieszczonych w publicznie dostępnym rejestrze prowadzących działalność gospodarczą podmiotów (CEIDG) dla ustalenia, czy określona, prowadząca działalność gospodarczą osoba wyraża zgodę na przedstawienie jej oferty stanowi formę "marketingu bezpośredniego", w rozumieniu art. 172 ust. 1 ustawy - Prawo telekomunikacyjne (wedle stanu prawnego na dzień orzekania w sprawie), gdzie dla danego kontaktu wymagana byłaby uprzednia zgoda zainteresowanego. Wadliwa ocena w tym względzie, doprowadziła organ do przedwczesnej konstatacji, jakoby przetwarzanie danych Skarżącego, dla potrzeb pozyskanie informacji, czy jest zainteresowany przedstawienie mu oferty Banku, stanowiło przetwarzanie jego danych osobowych wykraczające poza dopuszczalne ramy - w szczególności w myśl art. 6 ust. 1 lit. f RODO. Skutkiem tego było bezzasadne - nieznajdującego oparcia w ustalonym stanie faktycznym - użycie wobec Banku środka o charakterze dyscyplinującym, jakim jest upomnienie, w myśl art. 58 ust. 2 lit. b danego aktu (tak pkt 2 decyzji). W danym zakresie trafna jest argumentacja skargi. Wobec uprzedniego przytoczenia jej powtarzanie nie byłoby zasadne. Sąd przyjmuje ją za własną.
Odnosząc się do wywodów organu oraz Skarżącego wypada jedynie reasumując dodać, że organ - odkodowując znaczenie pojęcia "marketing bezpośredni", przyjął nazbyt szerokie jego rozumienie. Co trafnie podnosi Bank, należy odróżnić działania, służące bezpośrednio promocji towarów czy usług, od czynności technicznych, zmierzających do ustalenia, czy potencjalny klient – podmiot obrotu gospodarczego - wyraża zgodę na przedstawienie mu oferty - przez określony kanał komunikacji, np. telefonicznie. Trafnie zauważa Skarżący w replice, że - z perspektywy prowadzącej działalność gospodarczą osoby – niezależnie, w jakim zakresie ją prowadzi - kierowanie do niej zapytań o możliwość przedstawienia ofert - np. drugą telefoniczną - może stanowić wręcz znaczną uciążliwość, z perspektywy życia codziennego. Jest to jednak następstwo decyzji o rozpoczęciu samodzielnej działalności w obrocie gospodarczym, zaś w szczególności wskazania konkretnych danych do kontaktu dla celów obrotu gospodarczego - w CEIDG. Zresztą sam Skarżący podnosi w Replice, że - z określoną datą - wycofał zgodę na publiczne ujawnianie konkretnych danych kontaktowych w danym rejestrze, co może mieć istotne znaczenie w rozpoznawanej sprawie, lecz nie było przedmiotem analizy organu - o czym w dalszej części uzasadnienia. Wobec natomiast ustalonego przez organ stanu sprawy gdzie przyjęto, że Bank - dla ustalenia, czy Skarżący wyraża zgodę na przedstawienie oferty - wykorzystywał jego dane kontaktowe (gromadził, wykonano połączenie), zamieszczone w publicznie dostępnym rejestrze prowadzących działalność gospodarczą podmiotów (w tym więc osób fizycznych), nie sposób przypadku takiego klasyfikować, jako przetwarzanie danych osobowych, nie spełniające wskazanych w art. 6 ust. 1 lit. f RODO kryteriów. Skoro poszukiwanie nowych klientów przez funkcjonujący na rynku finansowym podmiot (Bank), stanowi jedną ze sfer zwykłej działalności, przetwarzanie służących temu danych osobowych jest niezbędne do celów wynikających z prawnie uzasadnionych interesów, zaś - wobec dobrowolnego zamieszczenia przez przedsiębiorcę w publicznie dostępnym rejestrze określonych danych osobowych w celu realizacji kontaktów gospodarczych - przeciwko ich przetwarzaniu nie przemawiają żadne interesy Skarżącego, mające charakter nadrzędny wobec interesu Banku bądź podstawowe prawa i wolności Skarżącego, w rozumieniu danego przepisu - stanowiącego jedną z podstaw, legalizujących przetwarzanie danych. Nie może mieć tu znaczenia okoliczność, w jakim w istocie zakresie prowadzi działalność gospodarczą Skarżący. Zarejestrował się bowiem jako podmiot gospodarczy i wskazał określone dane kontaktowe - w celu uczestniczenia w powszechnym obrocie gospodarczym.
Odrębną kwestią jest natomiast - podkreślona w replice Skarżącego - okoliczność faktyczna, jakoby - jeszcze na etapie wykorzystania danych osobowych w celu ustalenia możliwości wykorzystania telefonicznego kanału komunikacji przy realizacji obrotu gospodarczego (zapytanie o możliwość przedstawienia oferty) - Skarżący doprowadził do określonych zmian jego danych w publicznie dostępnym rejestrze - wobec wniesienia sprzeciwu, co do wykorzystywania danych kontaktowych. Jeżeli jego wniosek w istocie odzwierciedlono w treści publicznego rejestru, dalsze przetwarzanie - przez Bank bądź podmiot przetwarzający (na jego zlecenie) - danych, których nie można wykorzystać już do kontaktu w celach gospodarczych nie znajdowałoby podstaw prawnych. Okoliczność ta nie była jednak przedmiotem rozważań organu - nie wynika to z treści uzasadnienia. Nie sposób więc uznać, aby sprawę w niezbędnym zakresie wyjaśniono przed wydaniem orzeczenia.
Trafnie zauważa Skarżący, że - jeśli podmiot gospodarczy (to Bank), pozyskuje dane z publicznie dostępnego rejestru (samodzielnie bądź zlecając to podmiotowi przetwarzającemu - tu Spółce), a następnie dla realizacji konkretnego celu utrzymuje w bazach jako administrator (własnych lub w ramach powierzenia) - ciąży na nim obowiązek stałej aktualizacji zasobu, aby nie obejmował danych osobowych, które nie są już publicznie dostępne - ich wykorzystanie nie znajduje podstaw prawnych.
Mylnie konstatując w sprawie, jakby przetwarzanie przez Bank zawartych w CEIDG danych kontaktowych Skarżącego, w celu skierowania wyłącznie zapytania o możliwość przedstawienia oferty, wykraczało poza zakreśloną art. 6 ust. 1 lit. f RODO podstawę prawną, naruszono wskazany przepis prawa materialnego - przez błędną wykładnię. W następstwie tego bezzasadnie zastosowano art. 58 ust. 2 lit. b wskazanego rozporządzenia. Równocześnie sprawy stosownie wnikliwie nie wyjaśniono - wobec braku ustalenia wedle właściwych kryteriów, czy w całym okresie, gdy przetwarzano dane Skarżącego, jako pozyskane z publicznie dostępnego rejestru (CEIDG) w określonej dacie, było to dopuszczalne. Musiałoby to znaleźć odzwierciedlenie w uzasadnieniu decyzji (tak art. 107 § 3 w zw. z art. 8 § 1 i art. 11 KPA). Uchybiono tym treści art. 7, 77 § 1 i art. 80 K.p.a.
Odnosząc się natomiast do kwestii uprawnienia Banku do przetwarzania danych osobowych Skarżącego na potrzeby obrony przed potencjalnymi roszczeniami, wskazać trzeba, że w orzecznictwie sądów administracyjnych w odniesieniu do przesłanki analogicznej do art. 6 ust. 1 lit. f RODO wynikającej z art. 23 ust. 1 pkt 5 uprzednio obowiązującej ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. 2016 r. poz. 922 ze zm.) wypracowane zostało stanowisko, że przetwarzanie danych winno być niezbędne dla wypełnienia prawnie usprawiedliwionych celów. Niedopuszczalne jest więc przetwarzanie danych osobowych niejako "na zapas" z założeniem, że mogą być one ewentualnie przydatne w przyszłości oraz z odwołaniem się przy tym do przepisów dotyczących przedawnienia roszczeń cywilnoprawnych.
Z kolei w doktrynie przyjmuje się, że dla możliwości oparcia przetwarzania danych osobowych na przepisie art. 6 ust. 1 lit. f RODO konieczne jest, by przetwarzanie było niezbędne dla realizacji prawnie uzasadnionych interesów. Nie wystarczy zatem samo ich występowanie, lecz dodatkowo urzeczywistnienie takich interesów musi wymagać przetwarzania danych osobowych (por. D. Lubasz i W. Chomiczewski /w:/ E. Bielak-Jomaa (red.), D. Lubasz (red.), RODO. Ogólne rozporządzenie o ochronie danych. Komentarz, WKP 2018). Pojęcie niezbędności należy rozumieć w ten sposób, że przetwarzanie danych dla realizacji prawnie uzasadnionego interesu administratora lub strony trzeciej musi być, rozsądnie oceniając, potrzebne. Musi w tym przypadku występować bezpośredni związek pomiędzy realizacją prawnie uzasadnionego interesu a potrzebą przetwarzania danych osobowych.
W tej sprawie nie budzi wątpliwości, że na etapie postępowania przed PUODO nie toczyły się żadne postępowania cywilne czy karne, których Bank oraz Skarżący byliby stronami. W ocenie Sądu dane osobowe Skarżącego, gdyby były niezbędne Bankowi do realizacji wskazanego przez nią celu, to wówczas zostałyby w tym celu wykorzystane, a nie gromadzone na zapas i nie byłoby to uzależnione od wystąpienia zdarzenia przyszłego i niepewnego. Trafnie więc PUODO argumentuje, że Bank w toku postępowania przed organem nie wykazał niezbędności przetwarzania danych osobowych Skarżącego w celu ustalenia dochodzenia lub obrony roszczeń, a przedstawił wyłącznie przypuszczenie, że dane te może zostaną wykorzystane, jeżeli okażą się to konieczne. Bank nie wykazał przy tym wystąpienia samego roszczenia, dla którego dochodzenia, ustalenia czy obrony przetwarzanie miałoby być niezbędne. Bank wskazał ówcześnie wyłącznie na toczące się już postępowanie przed PUODO, ale nie na roszczenie, z którym wiązałaby niezbędność ich przetwarzania.
Odnosząc się do tego ostatniego aspektu wyjaśnić trzeba, że zupełnie pozbawiony racji jest argument Banku, iż toczące się postępowania przed PUODO stanowi podstawę do legalizacji przetwarzania danych osobowych Skarżącego. Gdyby tak było, to absolutnie iluzoryczna byłaby ochrony jakiegokolwiek podmiotu, którego dane osobowe są przetwarzane. Wystarczyłoby bowiem aby taki podmiot wystąpił ze skargą do PUODO, a automatycznie istniałaby podstawa przetwarzania jego danych osobowych. Tymczasem pierwotne źródło naruszenia danych osobowych Skarżącego zasadza się na zgoła innym zdarzeniu.
Z tych wszystkich względów Sąd uznał, że zaskarżona decyzja w pkt 1 odpowiada prawu dlatego skargę w tej części należało oddalić.
Mając powyższe na względzie, Wojewódzki Sąd Administracyjny w Warszawie, działając na podstawie art. 145 § 1 pkt 1 lit. a i c ustawy z dnia 30 sierpnia 2002 r. – Prawo o postępowaniu przed sądami administracyjnymi (Dz. U. z 2024 r. poz. 935 ze zm.) orzekał jak w pkt 1 sentencji wyroku. W pkt 2 sentencji wyroku orzeczono na podstawie art. 151 powołanej ustawy. Orzeczenie o kosztach postępowania oparto o treść art. 200 w zw. z art. 205 § 2 powołanej ustawy.
Dodatkowo należy wyjaśnić, że zasady zwrotu kosztów postępowania między stronami określone zostały w Dziale V Rozdziale 1 ustawy z dnia 30 sierpnia 2002 r. – Prawo o postępowaniu przed sądami administracyjnymi. Wśród przepisów regulujących powyższe brak jest podstawy prawnej dla zasądzenia kosztów postępowania na rzecz uczestnika postępowania. Z tych względów koszty, o których mowa mimo złożenia stosownego wniosku przez M. M. nie zostały zasądzone.
-----------------------
#
\X '1-0 b
#