II SA/Wa 2027/22

II SA/Wa 2027/22 - Wyrok WSA w Warszawie
Data orzeczenia
2023-03-08
orzeczenie nieprawomocne
Data wpływu
2022-11-15
Sąd
Wojewódzki Sąd Administracyjny w Warszawie
Sędziowie
Arkadiusz Koziarski /sprawozdawca/
Karolina Kisielewicz
Sławomir Antoniuk /przewodniczący/
Symbol z opisem
647  Sprawy związane z ochroną danych osobowych
Hasła tematyczne
Ochrona danych osobowych
Skarżony organ
Generalny Inspektor Ochrony Danych Osobowych
Treść wyniku
Oddalono skargę
Powołane przepisy
Dz.U. 1994 nr 121 poz 591
art. 74 ust. 2 pkt 4 i 8
Ustawa z dnia 29 września 1994 r. o rachunkowości.
Dz.U.UE.L 2016 nr 119 poz 1  art. 6 ust. 1
Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z  przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE
Sentencja
Wojewódzki Sąd Administracyjny w Warszawie w składzie następującym: Przewodniczący Sędzia WSA Sławomir Antoniuk, Sędzia WSA Karolina Kisielewicz, Asesor WSA Arkadiusz Koziarski (spr.), po rozpoznaniu w trybie uproszczonym w dniu 8 marca 2023 r. sprawy ze skargi [...] Bank Polska S. A. z siedzibą w [...] na decyzję Prezesa Urzędu Ochrony Danych Osobowych z dnia [...] września 2022 r. nr [...] w przedmiocie odmowy uwzględnienia wniosku oddala skargę
Uzasadnienie
Prezes Urzędu Ochrony Danych Osobowych, dalej "PUODO", decyzją z dnia [...] września 2022 r. nr [...], wydaną na podstawie art. 104 § 1 oraz ustawy z dnia 14 czerwca 1960 r. Kodeks postępowania administracyjnego (Dz.U. z 2021 r. poz. 735, z późn. zm.), dalej "k.p.a." oraz art. 6 ust. 1 lit. c i art. 58 ust. 2 Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (Dz. Urz. UE L 119 z 4.05.2016, str. 1, Dz. Urz. UE L 127 z 23.05.2018, str. 2 oraz Dz. Urz. UE L 74 z 4.03.2021, str. 35), dalej "RODO", po przeprowadzeniu postępowania administracyjnego w sprawie skargi G. B. na nieprawidłowości w procesie przetwarzania jej danych osobowych przez [...] S.A. z siedzibą w [...] (dalej "Bank") polegające na odmowie usunięcia jej danych osobowych, odmówił uwzględnienia wniosku.
W uzasadnieniu organ wyjaśnił, że do Urzędu wpłynęła skarga G. B., na nieprawidłowości w procesie przetwarzania danych osobowych skarżącej przez Bank, polegające na odmowie usunięcia jej danych osobowych.
PUODO wskazał, że ustalił następujący stan faktyczny.
1) Skarżąca w treści przedmiotowej skargi wskazała, że w marcu 2020 r. zrezygnowała z usług Banku i wniosła o usunięcie swoich danych osobowych. Bank odmówił spełnienia jej żądania ze względu na przetwarzanie danych skarżącej cyt.: "(...) na podstawie prawnie uzasadnionego interesu i w celu niezbędnym do ustalenia, dochodzenia lub obrony naszych ewentualnych roszczeń". Skarżąca podniosła, że w momencie rozwiązaniu umowy rachunku bankowego wszystkie zobowiązania wobec Banku były uregulowane i w związku z tym wniosła o usunięcie jej danych osobowych.
2) Bank wyjaśnił, że pozyskał dane osobowe skarżącej w związku z udzielonym przez nią w dniu [...] lipca 2008 r. pełnomocnictwem dla R.B. Dane osobowe skarżącej były przetwarzane na podstawie art. 23 ust. 1 pkt 3) ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz.U. 1997 Nr 133, poz. 883 z późn. zm.) w związku z wykonaniem umów o rachunek bankowy. Aktualnie bank przetwarza dane osobowe skarżącej w zakresie: imiona, nazwisko, imię ojca, nazwisko panieńskie matki, data i miejsce urodzenia, kraj pochodzenia, obywatelstwo, stan cywilny, numer PESEL, dane z dowodu osobistego, dane adresowe, dane kontaktowe, informacje o produktach posiadanych w banku (dowód: wyjaśnienia Banku z dnia [...] czerwca 2021 r. wraz z załącznikami).
3) Bank wskazał, że aktualnie przetwarza ww. dane w związku z zakończonymi w dniu [...] marca 2020 r. umowami rachunku bankowego nr [...] oraz nr [...] na podstawie art. 6 ust. 1 lit f RODO, w celach dowodowych, do obsługi reklamacji, wniosków oraz skarg, ustalania dochodzenia oraz obrony roszczeń, a także na podstawie art. 6 ust. 1 lit. c) RODO w celu wykonywania obowiązków prawnych. Bank wskazał, że ww. obowiązki wynikają w szczególności z ustawy z dnia 29 września 1994 r. o rachunkowości (wypełnianie obowiązków przechowywania dokumentacji księgowej - art. 71 ust 1 w zw. z art. 74 ww. ustawy) oraz ustawy z dnia w marca 2018 r. o przeciwdziałaniu praniu pieniędzy i finansowaniu terroryzmu (wypełnianie obowiązku przechowywania kopii dokumentów i informacji uzyskanych w związku ze stosowaniem środków bezpieczeństwa finansowego - art. 49 ww. ustawy)
4) Zgodnie z wyjaśnieniami Banku skarżąca zwróciła się w dniu [...] stycznia 2021 r. z żądaniem usunięcia jej danych osobowych wraz z historią jej rachunków i operacji na nich poczynionych. W dniu [...] lutego 2021 r. skarżąca otrzymała pisemną odpowiedź, że Bank nie zrealizuje jej prawa do usunięcia danych osobowych. Wyjaśniono, że dane osobowe Bank przetwarza po rozwiązaniu umów o produkty na podstawie prawnie uzasadnionego interesu i w celu niezbędnym do ustalenia, dochodzenia lub obrony ewentualnych roszczeń Banku.
Dalej PUODO wskazał, że przepisem uprawniającym administratorów danych do przetwarzania zwykłych danych osób fizycznych jest art. 6 ust. 1 RODO, zgodnie z którym, przetwarzanie danych jest dopuszczalne tylko wtedy, gdy spełniona jest jedna z przesłanek wskazanych w tym przepisie. Katalog przesłanek wymienionych w art. 6 ust. 1 RODO, jest zamknięty. Każda z przesłanek legalizujących proces przetwarzania danych osobowych ma charakter autonomiczny i niezależny. Oznacza to, że przesłanki te co do zasady są równoprawne, a wobec tego spełnienie co najmniej jednej z nich stanowi o zgodnym z prawem przetwarzaniu danych osobowych. W konsekwencji zgoda osoby, której dane dotyczą nie jest jedyną podstawą przetwarzania danych osobowych, bowiem proces przetwarzania danych będzie zgodny z RODO również wówczas, gdy administrator danych wykaże spełnienie innej z wyżej wymienionych przesłanek. Niezależnie od zgody osoby, której dane dotyczą (art. 6 ust. 1 lit. a RODO) przetwarzanie danych osobowych jest dopuszczalne między innymi wtedy, gdy jest to niezbędne do wypełnienia obowiązku prawnego ciążącego na administratorze (art. 6 ust. 1 lit. c RODO).
Organ wyjaśnił, że zgodnie z treścią motywu 45 RODO jeżeli przetwarzanie odbywa się w celu wypełnienia obowiązku prawnego, któremu podlega administrator, lub jeżeli jest niezbędne do wykonania zadania realizowanego w interesie publicznym lub w ramach sprawowania władzy publicznej, podstawę przetwarzania powinno stanowić prawo Unii lub prawo państwa członkowskiego. Niniejsze rozporządzenie nie nakłada wymogu, aby dla każdego indywidualnego przetwarzania istniało szczegółowe uregulowanie prawne. Wystarczyć może to, że dane uregulowanie prawne stanowi podstawę różnych operacji przetwarzania wynikających z obowiązku prawnego, któremu podlega administrator, lub że przetwarzanie jest niezbędne do wykonania zadania realizowanego w interesie publicznym lub w ramach sprawowania władzy publicznej. Prawo Unii lub prawo państwa członkowskiego powinno określać także cel przetwarzania. Ponadto prawo to może doprecyzowywać ogólne warunki określone w niniejszym rozporządzeniu dotyczące zgodności przetwarzania z prawem, określać sposoby wskazywania administratora, rodzaj danych osobowych podlegających przetwarzaniu, osoby, których dane dotyczą, podmioty, którym można ujawniać dane osobowe, ograniczenia celu, okres przechowywania oraz inne środki zapewniające zgodność z prawem i rzetelność przetwarzania.
PUODO stwierdził, że Bank obecnie przetwarza dane osobowe skarżącej w związku z wypełnieniem obowiązku prawnego ciążącego na administratorze (art. 6 ust. 1 lit. c RODO). Według dyspozycji wskazanej w art. 74 ust. 1 ustawy z dnia 29 września 1994 r. o rachunkowości (Dz. U. z 2021 r. poz. 217), dalej "ustawa o rachunkowości", zatwierdzone roczne sprawozdania finansowe podlegają przechowywaniu przez okres co najmniej 5 lat, licząc od początku roku następującego po roku obrotowym, w którym nastąpiło ich zatwierdzenie. Pozostałe zaś zbiory, w zależności od ich rodzaju, przechowuje się co najmniej przez okresy wymienione w art. 74 ust. 2 ustawy o rachunkowości. W myśl przepisu art. 74 ust. 2 pkt 8 ustawy o rachunkowości, pozostałe dowody księgowe i dokumenty, tj. niebędące wymienionymi wprost w art. 74 ust. 2 pkt 1 - 7 ww. ustawy, przechowuje się przez okres co najmniej 5 lat. Organ wyjaśnił, że przed wejściem w życie w dniu 13 lipca 2018 r. ustawy z dnia 1 marca 2018 r. o przeciwdziałaniu praniu brudnych pieniędzy (Dz. U. z 2021 r. poz. 1132), dalej "ustawa AML", a w dacie zebrania danych osobowych skarżącej, obowiązywała ustawa z dnia 16 listopada 2000 r. o przeciwdziałaniu praniu pieniędzy oraz finansowaniu terroryzmu (Dz. U. z 2017 r. poz. 1049), dalej "ustawa z dnia 16 listopada 2000 r." W katalogu instytucji obowiązanych do stosowania środków bezpieczeństwa wskazanych w art. 2 pkt 1 lit. c ustawy z dnia 16 listopada 2000 r. ustawodawca wskazał banki krajowe, oddziały banków zagranicznych, w rozumieniu ustawy z dnia 29 sierpnia 1997 r. - Prawo bankowe. PUODO podkreślił, że aktualną podstawą prawną jest art. 49 § 1 ustawy AML, zgodnie z którym instytucje obowiązane przechowują przez okres 5 lat, licząc od pierwszego dnia roku następującego po roku, w którym zakończono stosunki gospodarcze z klientem lub w którym przeprowadzono transakcje okazjonalne: 1) kopie dokumentów i informacje uzyskane w wyniku stosowania środków bezpieczeństwa finansowego; 2) dowody potwierdzające przeprowadzone transakcje i ewidencje transakcji, obejmujące oryginalne dokumenty lub kopie dokumentów konieczne do identyfikacji transakcji.
Następnie PUODO wskazał, że umowy o rachunek bankowego nr [...] oraz nr [...] zawarte pomiędzy skarżącą a Bankiem przestały obowiązywać w dniu [...] marca 2020 r. w związku ze złożeniem przez skarżącą deklaracji likwidacji kont. Wskazać należy więc, że Bank przetwarza aktualnie dane osobowe skarżącej w oparciu o ww. przepisy, co znajduje oparcie w przesłance legalizującej przetwarzanie danych osobowych wskazanej w art. 6 ust. 1 lit. c RODO w zw. z art. 74 ust. 2 pkt 4 i 8 ustawy o rachunkowości oraz art. 49 § 1 ustawy AML, ponieważ nie upłynął 5 letni termin wskazany w ww. przepisach.
Organ podał, że zgodnie z motywem 47 RODO podstawą prawną przetwarzania mogą być prawnie uzasadnione interesy administratora, w tym administratora, któremu mogą zostać ujawnione dane osobowe, lub strony trzeciej, o ile w świetle rozsądnych oczekiwań osób, których dane dotyczą, opartych na ich powiązaniach z administratorem nadrzędne nie są interesy lub podstawowe prawa i wolności osoby, której dane dotyczą. Zdaniem PUODO należy uznać, że dochodzenie przez podmiot roszczeń finansowych jest prawnie uzasadnionym interesem i w tym sensie nadrzędnym nad prawami i wolnościami osoby, której dane dotyczą, bowiem dochodzenie roszczeń nie stanowi nieproporcjonalnego ograniczenia tych praw i wolności.
Odnośnie zaś powołanego przez Bank celu przetwarzania danych osobowych skarżącej dotyczącego obrony przed ewentualnymi roszczeniami skarżącej powstałymi w związku z wynikających z umowy o świadczenie usług, organ wskazał, że zebrany w postępowaniu materiał dowodowy nie wykazał, aby skarżąca wystąpiła z jakimkolwiek roszczeniem wobec Banku, które uzasadniałoby uprawnienie Banku do zachowania i przetwarzania jej danych osobowych dla celów dowodowych w związku z dochodzeniem przez skarżącą roszczenia. PUODO podkreślił, że przesłanka z art. 6 ust. 1 lit. f RODO dotyczy sytuacji już istniejącej, w której celem wynikającym z prawnie uzasadnionych interesów realizowanych przez administratora jest konieczność udowodnienia, potrzeba dochodzenia lub obrony przed roszczeniem istniejącym, nie zaś sytuacji, gdy dane są przetwarzane w celu zabezpieczenia się przed ewentualnym roszczeniem. Organ wskazał, że podziela stanowisko Wojewódzkiego Sądu Administracyjnego w Warszawie, odnoszące się do analogicznej do art. 6 ust. 1 lit. f RODO przesłanki wynikającej z art. 23 ust. 1 pkt 5 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. 2016 r. poz. 922 ze zm.), dotyczącej dopuszczalności przetwarzania danych osobowych dla wypełnienia prawnie usprawiedliwionych celów realizowanych przez administratorów danych albo odbiorców danych, gdy przetwarzanie nie narusza praw i wolności osoby, której dane dotyczą. Sąd ten w wyroku z dnia 1 grudnia 2010 r. w sprawie o sygn. akt II SA/Wa 1212/10 (LEX nr 755113) orzekł, cyt.: "W niniejszej sprawie, organ podniósł, iż skarżący kierował pod adresem spółki zastrzeżenia odnośnie legalności przetwarzania jego danych i zapowiedzi skierowania sprawy na drogę sądową. Stąd też spółka uprawniona była do utrwalenia danych skarżącego i zachowania ich dla celów dowodowych na wypadek dochodzenia przez skarżącego ewentualnych roszczeń. Zdaniem Sądu, powyższe okoliczności nie wypełniają przesłanki prawnie usprawiedliwionych celów przetwarzania danych skarżącego. Należy bowiem zwrócić uwagę, iż przesłanka z art. 23 ust. 1 pkt 5 ustawy dotyczy sytuacji już istniejącej i pewnej, a więc przypadku, gdy istnieje potrzeba udowodnienia, potrzeba dochodzenia roszczenia z tytułu prowadzonej działalności gospodarczej, nie zaś sytuacji, gdy dane są przetwarzane na wypadek ewentualnego procesu i ewentualnej potrzeby udowodnienia, iż dane osobowe pozyskane bez zgody osoby, której dotyczą są przetwarzane zgodnie z prawem. Należy również podkreślić, iż skarżący nie wystąpił z zamiarem dochodzenia roszczeń względem Spółki. Stąd też spółka, zdaniem Sądu, nie może przetwarzać danych osobowych skarżącego tylko w celu zabezpieczenia się przed ewentualnym przyszłym i niepewnym roszczeniem skarżącego. W przeciwnym bowiem razie może pojawić się wątpliwość jak długo należy przetwarzać dane osobowe skarżącego jeżeli nie zrealizuje on swoich zapowiedzi."
PUODO podkreślił, że przy przyjęciu odmiennej interpretacji ww. przepisów, skarżąca zostałaby pozbawiona ochrony na gruncie RODO oraz ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych (Dz. U. z 2019 r., poz. 1781). Przyjęcie za prawidłowe stanowiska, iż przetwarzanie danych osobowych w celu uchylenia się od negatywnych skutków w przypadku zgłoszenia w przyszłości ewentualnego i nieokreślonego roszczenia, stanowi prawnie usprawiedliwiony cel w rozumieniu art. 6 ust. 1 lit. f RODO oznaczałoby, że dane osobowe skarżącej mogą być przetwarzane przez Bank permanentnie, bez konieczności ich usunięcia. W ocenie organu teoretycznie możliwym jest przecież by skarżąca zwróciła się do Banku z roszczeniem po upływie terminu przedawnienia roszczenia. Prowadziłoby to tym samym do uznania, że przetwarzanie danych osobowych Skarżącej przez Bank ma uzasadnienie w przesłance określonej art. 6 ust. 1 lit. f RODO w celu realizacji prawa do obrony przed ewentualnym roszczeniem skarżącej również po upływie ww. terminu.
Końcowo organ stwierdził, że prowadzone przez niego postępowanie administracyjne służy kontroli zgodności przetwarzania danych z przepisami o ochronie danych osobowych i jest ukierunkowane na wydanie decyzji administracyjnej przywracającej stan zgodny z prawem na podstawie art. 58 ust. 2 RODO. Ocena dokonywana przez organ w każdym przypadku służy zbadaniu zasadności skierowania pod adresem określonego podmiotu nakazu odpowiadającego dyspozycji art. 58 ust. 2 RODO służącego przywróceniu stanu zgodnego z prawem w procesie przetwarzania danych - jest więc ona uzasadniona i potrzebna tylko o tyle, o ile nieprawidłowości
w procesie przetwarzania danych osobowych istnieją. W ocenie organu Bank nie może przetwarzać danych w celu obrony przed ewentualnym roszczeniem lub w celu dochodzenia ewentualnego roszczenia, lecz Bank obecnie przetwarza dane osobowe skarżącej na podstawie art. 74 ustawy o rachunkowości oraz 49 § 1 ustawy AML, co stanowi realizację innej przesłanki legalizującej ww. proces, wynikającej z art. 6 ust. lit c RODO, tj. przetwarzania danych do wypełnienia obowiązku prawnego ciążącego na administratorze. Tym samym nie jest możliwe uwzględnienie żądania skarżącej w zakresie nakazu usunięcia jej danych osobowych przez Bank.
Na powyższą decyzję Bank wniósł skargę do Wojewódzkiego Sądu Administracyjnego w Warszawie.
Zaskarżonej decyzji zarzucił naruszenie:
1. art. 6 ust. 1 lit. f) RODO, poprzez błędną interpretację, a w konsekwencji uznanie, że przetwarzanie danych osobowych w celu ustalenia, dochodzenia lub obrony roszczeń nie stanowi prawnie uzasadnione interesu banku podczas, gdy bank przetwarza dane G. B. (dalej "uczestnik postępowania") w okresie przedawnienia roszczeń cywilnych przez okres wynikających z przepisów ustawy z dnia 23 kwietnia 1964 r. Kodeks cywilny;
2. art. 6 ust. 1 lit. f) RODO, w zw. z art. 117 § 2 i 21, art. 118 i 119 k.c., polegające na jego niewłaściwym zastosowaniu i przyjęciu, jakoby przechowywanie danych przez okres przedawnienia roszczeń - również, gdy ani administrator ani osoba, której dane dotyczą nie zgłosiła jeszcze roszczenia, nie stanowi prawnie uzasadnionego interesu banku, w rozumieniu art. 6 ust. 1 lit. f) RODO; podczas gdy przepisy te uprawniają bank do przetwarzania danych osobowych w celu ustalenia, dochodzenia lub ochrony przed roszczeniami;
3. art. 6 k.p.a. i art. 7 in principio k.p.a. oraz art. 7 Konstytucji RP poprzez przekroczenie kompetencji organu i arbitralne stwierdzenie, że pomiędzy stronami umowy o produkt bankowy, nie istnieją bądź nie mogły powstać roszczenia o charakterze cywilnoprawnym podczas, gdy PUODO nie jest organem kompetentnym do rozstrzygania tejże materii, lecz sąd powszechny;
4. art. 107 § 3 k.p.a. w zw. z art. 8 i art. 9 k.p.a. z uwagi na brak właściwego uzasadnienia prawnego przedmiotowej decyzji, we fragmencie odnoszącym się do analizy podstawy do przetwarzania przez skarżącego danych osobowych w oparciu o art. 6 ust. 1 lit. f) RODO poprzez uznanie, że Bank nie może przetwarzać danych uczestnika postępowania w oparciu o tę regulację.
W oparciu o te zarzuty Bank wniósł o:
1) uchylenie zaskarżonej decyzji w całości;
2) zasądzenie od organu na rzecz Banku zwrotu kosztów postępowania sądowego, w tym kosztów zastępstwa procesowego, według norm przepisanych.
W uzasadnieniu Bank podniósł, że rozstrzygnięcie organu jest prawidłowe, lecz w uzasadnieniu tejże decyzji PUODO uznał, że przetwarzanie danych osobowych uczestnika postępowania, przez skarżącego, nie znajduje oparcia w art. 6 ust. 1 lit. f) RODO, bowiem m.in. przesłanka ta "dotyczy sytuacji już istniejącej, w której celem wynikającym z prawnie uzasadnionych interesów realizowanych przez administratora jest konieczność udowodnienia, potrzeba dochodzenia lub obrony przed roszczeniem istniejącym, nie zaś w sytuacji, gdy dane są przetwarzane w celu zabezpieczenia się przed ewentualnym roszczeniem". Bank zarzucił, że organ wyraził powyższy pogląd mimo, że w ogóle nie zakwestionował testu równowagi przeprowadzonego przez administratora. Organ w ogóle nie badał tej kwestii, lecz a priori stwierdził, że interesy administratora nie są nadrzędne wobec interesów lub praw i wolności podmiotu danych.
Bank podkreślił, że zaskarżenie uzasadnienia decyzji jest możliwe i konieczne. Bank w tym zakresie odwołał się do orzecznictwa NSA. Wyjaśnił przy tym, że wskazany fragment uzasadnienia zaskarżanej decyzji i wyrażona tam ocena faktów i prawa może jednak wpłynąć, w jego ocenie bezprawnie, na jego dalszą sytuację prawną.
Następnie Bank podniósł, że organ nie jest uprawniony do badania istnienia roszczeń pomiędzy stronami umowy. W ocenie Banku organ w tym fragmencie uzasadnienia zaskarżonej decyzji de facto przekroczył swoje ustawowe kompetencje czym naruszył art. 6 k.p.a. i art. 7 in principio k.p.a. oraz art. 7 Konstytucji RP. Poza zakresem kompetencji PUODO pozostaje kwestia rozstrzygania, czy pomiędzy stronami umowy, tym bardziej o produkt bankowy, istnieje roszczenie cywilnoprawne. O tym czy administrator posiada prawnie uzasadniony interes decyduje to, czy nie są nadrzędne interesy lub podstawowe prawa i wolności osoby, której dane dotyczą .
W ocenie Banku przetwarzanie danych osobowych w okresie przedawnienia hipotetycznych roszczeń stron umowy zawartej pomiędzy bankiem, a jego klientem, jest uzasadnione w świetle ww. przesłanki. Celem dalszego przetwarzania danych po zakończeniu umowy jest zatem m.in. ustalenie, dochodzenie lub obrona przed ewentualnymi roszczeniami klientów i nie ma znaczenia czy roszczenie zostało zgłoszone lub zasygnalizowane przed zakończeniem umowy. Konieczność usunięcia danych klienta po zakończeniu umowy uniemożliwiałaby rozpatrzenie, w tym ocenę zasadności roszczenia. W związku z tym, zakres czasowy przetwarzania danych
w powyższym celu określają przepisy Kodeksu cywilnego.
Bank podniósł również, że bieg okresu przedawnienia roszczenia nie zależy od żadnej dodatkowej czynności, takich jak oświadczenie strony umowy, zgłoszenie roszczenia etc. Tymczasem PUODO stoi na stanowisku, że przechowywanie danych przez okres przedawnienia roszczeń możliwe jest tylko, gdy klient wystąpił z roszczeniem wobec banku. Takie stanowisko jest błędne w stopniu oczywistym i wynika z niezrozumienia instytucji przedawnienia. Przechowywanie danych klienta banku przez okres przedawnienia roszczeń, które mogą wynikać z zakończonej umowy, nie jest przechowywaniem "na zapas". Okres przedawnienia chroni obie strony umowy na wypadku gdyby okazało się, że jej realizacja była wadliwa. Prawodawca wskazując termin przedawnienia roszczeń nie tylko motywuje stronę do zgłoszenia swojego roszczenia przed upływem terminu przedawniania, ale również obliguje drugą stronę do jego rozpatrzenia, ze względu na przysługującą przeciwnej stronie ochronę sądową. Funkcją okresu przedawnienia jest więc gwarancja dla zgłaszającego, że do momentu upływu okresu przedawnienia, druga strona będzie brała pod uwagę możliwość podniesienia roszczenia, a zatem w tym okresie zostanie ono przez nią co najmniej rozpatrzone. Upływ okresu przedawnienia kończy stan niepewności dłużnika co do konieczności zabezpieczenia środków (w tym dowodowych) na wypadek roszczenia drugiej strony . Po upływie tego okresu strona ma pewność, że druga strona nie będzie dochodzić od niej spełnienia świadczenia, takie uprawnienie straci bowiem w wyniku zgłoszenia zarzutu przedawnienia. Brak danych klienta, czego zdaje się nie dostrzegać PUODO, uniemożliwia analizę zasadności roszczenia. Zdaniem Banku trudno przecież uznać, aby bank miałby rozpatrywać zasadność roszczenia nie mając własnych danych o kliencie, a tylko w oparciu o dane, które dostarczy mu klient przy okazji zgłoszenia roszczenia na etapie przedsądowym bądź wobec doręczenia odpisu pozwu. Okres retencji ograniczony jest do okresu przedawniania roszczeń z tytułu umowy. Okresy przedawnienia są określone w przepisach prawa, które nie dopuszczają nieograniczonego okresu przedawniania. Terminy przedawnienia zakreślają granice czasowe, w ramach których może zostać wytoczone powództwo, złożony odpowiedni wniosek lub postawiony zarzut . Zatem co najmniej do momentu przedawnienia roszczeń, dane dotyczące umowy są konieczne do oceny ich zasadności. Ponadto, Bank dobrowolnie zadeklarował, że po upływie okresy przedawnienia dane klienta nie będą przetwarzane.
Ponadto Bank stwierdził, że w niniejszej sprawie bezspornym jest, że obecne przetwarzanie danych uczestnika postępowania w celu ustalenia, dochodzenia lub obrony przed roszczeniami wynika z faktu, że strony łączyły umowy. Zdaniem Banku nie sposób uznać, aby uczestnik postępowania nie mógł spodziewać się dalszego przetwarzania w związku z potencjalnymi roszczeniami wynikającymi z zawartych z bankiem umów, tym bardziej, że cel przetwarzania może leżeć także w jego interesie, bowiem przechowywane dane mogą służyć do prawidłowej oceny ewentualnego roszczenia. RODO w żadnym miejscu nie uzależnia przetwarzania danych osobowych w celu ustalenia, dochodzenia lub obrony roszczeń od zgłoszenia takiego roszczenia. Dotyczy to m.in. przepisów dot. realizacji prawa do bycia zapomnianym.
W ocenie Banku przytoczone argumenty potwierdzają, że ma on podstawę do przetwarzania danych w okresie przedawnienia roszczeń z umowy z klientem. Bank nie musi w tym celu wykazywać istnienia konkretnego roszczenia którejkolwiek ze stron. Forsowany przez organ pogląd może doprowadzić w wielu sytuacjach do sztucznego kreowania roszczeń przez administratorów, tylko po to, żeby uzasadnić dalsze przechowywanie danych osobowych. PUODO nie ma kompetencji do badania istnienia bądź zasadności roszczenia. Ponadto gdyby przyjąć stanowisko organu i rozszerzyć na wszystkie obszary gospodarki, nakaz usunięcia danych osobowych po zrealizowaniu umów miałby katastrofalne skutki, bowiem przedsiębiorcy nie byliby w stanie rozpatrywać ewentualnych roszczeń z powodu braku odpowiednich danych. Idąc tokiem rozumowania PUODO, strona pozwana w procesie cywilnym utraciłaby prawo do oferowania własnych dowodów, wykazywania zgłaszanych twierdzeń (art. 3 k.p.c. oraz art. 6 k.c.).
Bank przytoczył ponadto tezy z wyroków WSA w Warszawie sygn. akt II SA/Wa 1528/21, II SA/Wa 868/21 oraz II SA/Wa 698/21, potwierdzające przedstawioną powyżej argumentację.
W odpowiedzi na skargę PUODO wniósł o jej oddalenie podtrzymując stanowisko wyrażone w zaskarżonej decyzji.
Dodatkowo organ stwierdził, że podziela stanowisko Banku, stosownie do którego PUODO nie ma kompetencji do oceny stosunków zobowiązaniowych jak i oceny zasadności wynikających z tych stosunków roszczeń mających charakter cywilnoprawy. Takie sprawy, zgodnie z art. 1 Kodeks postępowania cywilnego, są sprawami cywilnymi i powinny być rozpatrywane w postępowaniach prowadzonych przez sądy powszechne. Jednak Bank myli się podnosząc, że w niniejszej sprawie organ wykroczył poza swoje uprawnienia arbitralnie uznając, iż żadnej ze stron dotychczas obowiązujących umów o produkty bankowe, nie przysługują jakiekolwiek roszczenia. Taka konstatacja nie wynika w żaden sposób z zaskarżonego rozstrzygnięcia organu.
Organ wyjaśnił, że przedmiotem postępowania prowadzonego w niniejszej sprawie było zbadanie zasadności zarzutów podniesionych w skardze. Uczestnik postepowania w skardze zarzuciła Bankowi bezzasadną odmowę usunięcia jej danych osobowych. PUODO zobowiązany był zatem ocenić wskazane przez Bank podstawy przetwarzania danych osobowych uczestnika postepowania. Bank wyjaśnił, że przetwarza dane osobowe uczestnika postepowania na podstawie przesłanki z art. 6 ust. 1 lit. c w celu wypełnienia obowiązków prawnych oraz na podstawie art. 6 ust. 1 lit. f RODO w celu obrony i dochodzenia roszczeń. Oprócz ustalenia, celem wypełnienia jakich obowiązków Bank przetwarza dane osobowe, istotne było również ustalenie, czy Bank realizuje aktualnie prawnie uzasadniony interes nadrzędny wobec interesów lub podstawowych praw i wolności uczestnika postepowania, do którego niezbędne jest przetwarzanie danych osobowych. Bank określił swój prawnie uzasadniony interes jako obronę przed roszczeniami, nie wykazując jednocześnie istnienia jakichkolwiek roszczeń, dochodzonych przez Bank od uczestnika, czy też przez uczestnika od Banku. Kwestia istnienia lub nieistnienia roszczenia stanowiła więc niezbędny element ustaleń faktycznych sprawy, bez którego ocena procesu przetwarzania danych osobowych kwestionowanego przez uczestnika postepowania nie była możliwa. Organ nie dokonał oceny stosunku zobowiązaniowego, lecz wyłącznie oceny procesu przetwarzania związanego z tym stosunkiem zobowiązaniowym, do czego był zobligowany.
Dodatkowo organ zwrócił uwagę, że w aktualnym stanie prawnym istnieją przepisy, które zobowiązują niektóre podmioty do przetwarzania danych osobowych przez okres przedawnienia roszczeń z tytułu zawartych umów. Ustawodawca przewidział takie przepisy chociażby w przypadku zakładów ubezpieczeniowych, które zgodnie z art. 29 ust. 10 ustawy z dnia 11 września 2015 r. o działalności ubezpieczeniowej i reasekuracyjnej (Dz. U. z 2021 r. poz. 1130), są obowiązane do przechowywania informacji i dokumentów gromadzonych w celu ustalenia odpowiedzialności zakładu ubezpieczeń lub wysokości odszkodowania lub świadczenia, do czasu upływu terminu przedawnienia roszczeń z umowy ubezpieczenia. W przypadku podmiotu będącego bankiem taki obowiązek nie został przewidziany. Gdyby intencją ustawodawcy było to, aby bank był uprawniony do przechowywania danych osobowych klienta przez czas przedawnienia roszczeń w celu ustalenia odpowiedzialności banku lub wysokości odszkodowania, mając na względzie racjonalność polskiego ustawodawcy oraz systemowe ujęcie kwestii przedawnienia roszczeń i przechowywania danych, wprowadziłby on do polskiego systemu prawnego analogiczny przepis, czego dotychczas jednak nie uczynił.
Ponadto organ podniósł, że przepisy RODO nie pozwalają na uprzywilejowanie administratorów z uwagi na przetwarzanie danych osobowych objętych tajemnicą bankową. Z punktu widzenia przepisów o ochronie danych osobowych Bank, tak jak każdy inny administrator, musi gwarantować poszanowanie zasad i przetwarzać dane osobowe zgodnie z przepisami RODO. Należy podkreślić, że przesłanka określona w art. 6 ust. 1 lit. f RODO nie jest ukierunkowana na ochronę interesów sektora bankowego czy też gospodarczego. Legalność przetwarzania danych osobowych w oparciu o tę przesłankę uzależniona jest od tego, czy przetwarzanie to jest niezbędne do celów wynikających z prawnie uzasadnionych interesów realizowanych przez administratora lub przez stronę trzecią, z wyjątkiem sytuacji, w których nadrzędny charakter wobec tych interesów mają interesy lub podstawowe prawa i wolności osoby, której dane dotyczą. W ocenie organu przepis ten nie polega zatem na ochronie wszelkich interesów sektora bankowego. Podobnie jak pozostałe przesłanki wymienione w art. 6 ust. 1 RODO stanowi przesłankę zgodności z prawem procesu przetwarzania. Tym samym chroni przede wszystkim osobę, której proces ten dotyczy przed nieuprawnionym przetwarzaniem jej danych osobowych. Nie można ponadto mówić o zaistnieniu prawnie uzasadnionego interesu w przypadku, gdy dane osobowe przetwarzane są na zapas, na wypadek gdyby taki prawnie uzasadniony interes pojawić się mógł dopiero w przyszłości. W ocenie Organu Bank niezasadnie skupił się na własnych interesach gospodarczych nie dostrzegając jednocześnie, że z punktu widzenia ochrony danych osobowych dane te mogą być wprawdzie przetwarzane do celów wynikających z prawnie uzasadnionych interesów realizowanych przez administratora lub przez stronę trzecią, ale wyłącznie wówczas, gdy są nadrzędne nad interesami i prawami osoby, której dane dotyczą. Tymczasem sytuacja taka w niniejszej sprawie nie zachodziła, ponieważ ważąc interesy i podstawowe prawa i wolności osoby, której dane dotyczyły, takie jak chociażby gwarantowane (tak na gruncie prawa europejskiego, Konstytucji RP czy prawa cywilnego) prawo do prywatności, z interesem administratora, który dotyczy w tym wypadku zachowania w swych zasobach danych "na wszelki wypadek", tj. na wypadek tego, że mogą się okazać przydatne w przyszłości do dochodzenia lub obrony ewentualnych roszczeń, które obecnie nie istnieją, należało dojść do wniosku, że to interesy i podstawowe prawa i wolności osoby, której dane dotyczą są nadrzędne.
Jako niezrozumiały organ ocenił wniosek Banku, zgodnie z którym zaskarżone rozstrzygnięcie prowadzi do uznania, że w każdej sytuacji, gdy dojdzie do rozwiązania lub wygaśnięcia umowy, Bank zobowiązany jest natychmiast usunąć dane osobowe. PUODO takiego nakazu na Bank skarżonym rozstrzygnięciem nie nałożył. Byłoby to w sposób oczywisty sprzeczne z ustalonym w sprawie stanem faktycznym. Na Banku jako administratorze danych, po zakończeniu umowy ciążą określone, wskazane wyżej obowiązki prawne, obligujące Bank do przetwarzania danych osobowych w celu ich wykonania. Istnienie powyższych obowiązków uwzględnił organ w zaskarżonym rozstrzygnięciu i nie nakazał Bankowi usunięcia danych osobowych uczestnika postepowania. Organ wskazał jedynie Bankowi, że w jego ocenie Bank nie może przetwarzać danych w celu obrony przed ewentualnym roszczeniem lub w celu dochodzenia ewentualnego roszczenia, uwzględniając, że istnieją nałożone na Bank obowiązki, które obecnie uzasadniają przetwarzanie przez Bank danych osobowych uczestnika postepowania, wobec czego nie uwzględnił jej żądania w zakresie nałożenia na Bank nakazu usunięcia jej danych osobowych.
Ponadto organ wniósł o rozpoznanie sprawy w trybie uproszczonym.
Wojewódzki Sąd Administracyjny w Warszawie zważył, co następuje:
Na wstępie należy wyjaśnić, że złożona w niniejszej sprawie skarga została rozpoznana na posiedzeniu niejawnym w trybie uproszczonym, stosownie do art. 119 pkt 2 ustawy z dnia 30 sierpnia 2002 r. Prawo o postępowaniu przed sądami administracyjnymi (Dz. U. z 2023 r. poz. 259), dalej "p.p.s.a." Zgodnie z powołaną regulacją, sprawa może być rozpoznana w trybie uproszczonym, jeżeli strona zgłosi wniosek o skierowanie sprawy do rozpoznania w trybie uproszczonym, a żadna z pozostałych stron w terminie czternastu dni od zawiadomienia o złożeniu wniosku nie zażąda przeprowadzenia rozprawy.
W odpowiedzi na skargę organ wniósł o rozpoznanie sprawy w trybie uproszczonym. Pozostałe strony postępowania poparły powyższy wniosek: Bank w piśmie z dnia [...] stycznia 2023 r., a uczestnik postępowania w piśmie z dnia [...] stycznia 2023 r.
Zgodnie z art. 1 § 1 i § 2 ustawy z dnia 25 lipca 2002 r. - Prawo o ustroju sądów administracyjnych (Dz. U. z 2022 r., poz. 2492) oraz art. 3 § 1 p.p.s.a., sądy administracyjne sprawują wymiar sprawiedliwości przez kontrolę działalności administracji publicznej. Kontrola ta polega na ocenie zgodności zaskarżonego aktu z przepisami postępowania administracyjnego, a także prawidłowości zastosowania i wykładni norm prawa materialnego. Kontrola ta jest dokonywana według stanu faktycznego i prawnego obowiązującego w dacie wydania zaskarżonego aktu.
W myśl art. 134 § 1 i 2 p.p.s.a. sąd rozstrzyga w granicach danej sprawy nie będąc związany zarzutami i wnioskami skargi oraz powołaną podstawą prawną, z zastrzeżeniem art. 57a, przy czym sąd nie może wydać orzeczenia na niekorzyść skarżącego, chyba że stwierdzi naruszenie prawa skutkujące stwierdzeniem nieważności zaskarżonego aktu lub czynności.
Rozpatrując skargę wedle powyższych kryteriów Sąd uznał, że nie zasługuje ona na uwzględnienie.
Zaznaczenia wymaga, że zaskarżoną decyzją organ odmówił uwzględnienia wniosku G. B. dotyczącego nakazania Bankowi usunięcia jej danych osobowych. Z niekwestionowanych ustaleń organu wynika, że Bank przetwarza dane osobowe wyżej wymienionej w związku z zakończonymi w dniu [...] marca 2020 r. umowami rachunku bankowego. Niesporne i niekwestionowane są również ustalenia organu, co do tego, że Bank jest uprawniony do dalszego przetwarzania danych osobowych uczestniczki postępowania w oparciu o art. 6 ust. lit c RODO w związku z art. 74 ust. 2 pkt 4 i 8 ustawy o rachunkowości oraz art. 49 ust. 1 ustawy AML, albowiem nie upłynął 5-letni termin wskazany w tych przepisach.
Bank w toku postępowania przed organem podnosił, że jest uprawniony do przetwarzania danych osobowych G. B. również na podstawie art. 6 ust. 1 lit f) RODO w celu dochodzenia oraz obrony roszczeń. Organ nie zgodził się tym poglądem i ta kwestia jest główną osią sporu w sprawie. Bank zgadza się treścią rozstrzygnięcia organu, niemniej jednak kwestionuje uzasadnienie zaskarżonej decyzji w części.
Na wstępie należy stwierdzić, że dopuszczalne jest zaskarżenie samego uzasadnienia decyzji administracyjnej. Potwierdza to bowiem orzecznictwo sądów administracyjnych, w tym Naczelnego Sądu Administracyjnego trafnie przywołane w tym zakresie przez Bank w skardze. Stosownie do art. 107 § 1 k.p.a. uzasadnienie jest częścią składową decyzji. Z uwagi na funkcję zewnętrzną uzasadnienia, tzn. jego wpływ na postępowanie w innych sprawach, czy też funkcję wewnętrzną, uwidaczniającą się szczególnie w decyzjach kasacyjnych wydanych w oparciu o art. 138 § 2 k.p.a., dopuszczalne jest zaskarżenie samego uzasadnienia w trybie administracyjnym, jak również dopuszczalna jest skarga do sądu administracyjnego (zob. wyrok Naczelnego Sądu Administracyjnego z 20 maja 1998 r. sygn. akt I SA 1896/97). W wyroku z 6 sierpnia 2020 r. w sprawie o sygn. akt II SA/Wa 2222/19 Wojewódzki Sąd Administracyjny w Warszawie stwierdził, że skoro zgodnie z art. 107 § 1 k.p.a. uzasadnienie decyzji administracyjnej stanowi konieczny i istotny jej element, będący "zwykłą" i "niezbędną" jej częścią w sensie składnika decyzji (i w tym kontekście część równoważną z punktu widzenia znaczenia z samą osnową decyzji), to tym samym skarga na uzasadnienie decyzji, jak też sądowa kontrola tego uzasadnienia, mieści się w zakresie kognicji sądów administracyjnych jako orzekanie w sprawach skarg na decyzje administracyjne w rozumieniu art. 3 § 2 pkt 1 p.p.s.a. W konsekwencji wniesienie skargi na uzasadnienie decyzji stanowi w istocie skargę na decyzję, albowiem na skutek skargi sąd rozpoznaje sprawę, której przedmiotem jest - w myśl przywołanej powyżej regulacji art. 134 p.p.s.a. - ocena decyzji pod względem zgodności z prawem, a nie tylko jej fragmentu obejmującego uzasadnienie.
Bezspornym pozostaje w niniejszej sprawie, że PUODO po przeprowadzeniu postępowania administracyjnego zakończonego decyzją z [...] lutego 2022 r. prawidłowo odmówił uwzględnienia wniosku uczestniczki postępowania stwierdzając, że proces przetwarzania danych osobowych wnioskodawczyni przez Bank znajduje uzasadnienie w przesłance z art. 6 ust. 1 lit. c RODO. Sporne zaś pozostaje, czy Bank prawidłowo przetwarza dane osobowe uczestniczki postępowania w oparciu o przesłankę z art. 6 ust. 1 lit. f RODO.
W ocenie Sądu w składzie orzekającym w niniejszej sprawie, organ trafnie uznał, wbrew temu co podnosi Bank, że brak jest podstaw, aby uznać, że prawidłowo przetwarza dane osobowe uczestniczki postępowania w oparciu o przesłankę z art. 6 ust. 1 lit. f RODO. Słusznie jest stwierdzenie, że Bank przetwarza dane osobowe wnioskodawczyni w celu zabezpieczenia się przed ewentualnym roszczeniem wyłącznie "na zapas", bowiem przeprowadzone przez PUODO postępowanie administracyjne nie wykazało, aby G. B. skierowała wobec Banku jakiekolwiek roszczenie. Sąd podziela pogląd organu, że przesłanka wynikająca z art. 6 ust. 1 lit. f RODO dotyczy sytuacji już istniejącej, w której celem wynikającym z prawnie uzasadnionych interesów realizowanych przez administratora jest konieczność udowodnienia, potrzeba dochodzenia lub obrony przed roszczeniem istniejącym, nie zaś sytuacji, gdy dane są przetwarzane w celu zabezpieczenia się przed ewentualnym roszczeniem.
Przypomnieć należy, że na przetwarzanie danych osobowych uczestnika postępowania w celu obrony przed ewentualnymi roszczeniami lub ewentualnym ich dochodzeniem przez okres przedawnienia roszczeń cywilnych Bank wskazał w wyjaśnieniach z [...] czerwca 2021 r. wskazując, że obecnie przetwarza dane osobowe wnioskodawczyni w celach spełnienia obowiązków wynikających z przepisów prawa oraz prawnie usprawiedliwionych celów administratora na podstawie art. 6 ust. 1 lit. c) i f). PUODO, będąc związanym zakresem skargi uczestnika postępowania, zobowiązany był do dokonania oceny legalności procesu przetwarzania danych osobowych prowadzonego przez Bank, przy uwzględnieniu wyjaśnień Banku w powyższym zakresie. Stosownie bowiem do treści art. 107 § 1 pkt 4 k.p.a. integralną częścią decyzji jest uzasadnienie faktyczne i prawne. Zgodnie zaś z art. 107 § 3 k.p.a. uzasadnienie faktyczne decyzji powinno w szczególności zawierać wskazanie faktów, które organ uznał za udowodnione, dowodów, na których się oparł, oraz przyczyn, z powodu których innym dowodom odmówił wiarygodności i mocy dowodowej, zaś uzasadnienie prawne - wyjaśnienie podstawy prawnej decyzji, z przytoczeniem przepisów prawa. W sprawie dotyczącej legalności procesu przetwarzania danych osobowych niezbędna jest zatem ocena wszystkich wskazanych przez administratora przesłanek przetwarzania.
Powyższa ocena jest szczególnie ważna z perspektywy planowanego przez administratora okresu przetwarzania danych osobowych, który może być różny
w zależności od powołanych przez administratora przesłanek. Zgodnie z zasadą uregulowaną w art. 5 ust. 1 pkt e RODO dane osobowe muszą być przechowywane w formie umożliwiającej identyfikację osoby, której dane dotyczą, przez okres nie dłuższy, niż jest to niezbędne do celów, w których dane te są przetwarzane; dane osobowe można przechowywać przez okres dłuższy, o ile będą one przetwarzane wyłącznie do celów archiwalnych w interesie publicznym, do celów badań naukowych lub historycznych lub do celów statystycznych na mocy art. 89 ust. 1, z zastrzeżeniem że wdrożone zostaną odpowiednie środki techniczne i organizacyjne wymagane na mocy niniejszego rozporządzenia w celu ochrony praw i wolności osób, których dane dotyczą ("ograniczenie przechowywania").
Zgodzić się zaś należy z PUODO, że uzależnienie okresu przetwarzania danych osobowych w celu obrony przed ewentualnymi roszczeniami od okresu przedawnień roszczeń cywilnoprawnych nie ma jakiegokolwiek uzasadnienia. W tym zakresie organ zasadnie w odpowiedzi na skargę powołuje się stanowisko Sądu Najwyższego wyrażone w postanowieniu z 18 czerwca 2015 r., sygn. akt III CZ 27/15, wskazujące, że roszczenie to możliwość domagania się od konkretnej osoby, aby w stosunku do uprawnionego zachowała się w ten sposób, że spełni na jej rzecz świadczenie pieniężne lub niepieniężne, wykona pewną czynność, powstrzyma się od jakiegoś działania lub zniesie działanie uprawnionego. Powstaje ono w następstwie zaistnienia
w relacjach między uprawnionym i zobowiązanym faktów, z którymi przepisy prawa wiążą konsekwencje determinujące treść poszczególnych roszczeń. Skutkiem przedawnienia, o którym mowa w wskazanym przez Bank art. 117 k.c., nie jest wygaśnięcie roszczenia, a tylko niemożność uzyskania ochrony sądowej i w konsekwencji możliwości uzyskania jego przymusowego zaspokojenia z majątku dłużnika. Zobowiązanie na skutek przedawnienia przekształca się w naturalne (tak również: wyrok Sądu Najwyższego z dnia 9 lutego 2018 r., I CSK 246/17, LEX nr 2483686). Oznacza to, że zobowiązanie nadal istnieje a wierzyciel może podejmować szereg czynności windykacyjnych zmierzających do pozasądowej regulacji zobowiązania. W pojęciu bowiem dochodzenia roszczeń, mieszczą się zarówno sądowe, jak i pozasądowe działania zmierzające do zaspokojenia wierzytelności przez wierzyciela, mieszczące się w granicach obowiązujących przepisów (tak również: Naczelny Sąd Administracyjny w wyroku z 10 listopada 2015 r. sygn. akt I OSK 1210/14). Wskazać ponadto należy, że obowiązujące przepisy prawa nie określają katalogu, który przewidywałby możliwe sposoby postępowań służące dochodzeniu roszczeń. Tym samym dochodzenie roszczeń może mieć miejsce również po upływie okresu jego przedawnienia.
Sąd podziela stanowisko Naczelnego Sądu Administracyjnego wyrażone
w wyroku z 27 marca 2018 r., sygn. akt I OSK 1459/16, odnoszące się do art. 25 ust. 1 pkt 5 ustawy z 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. 2016 r. poz. 922 ze zm.), zwanej dalej u.o.d.o., które pozostaje aktualne także w świetle obowiązującego art. 6 ust. 1 lit. f RODO. W wyroku tym NSA wskazał, że przepis art. 23 ust. 1 pkt 5 ustawy na pierwszym miejscu wymienia warunek, że przetwarzanie danych winno być niezbędne dla wypełnienia prawnie usprawiedliwionych celów. Niedopuszczalne jest więc przetwarzanie danych osobowych niejako "na zapas" z założeniem, że mogą być one ewentualnie przydatne w przyszłości, na przykład z odwołaniem się do przepisów dotyczących przedawnienia roszczeń cywilnoprawnych, czy postępowań administracyjnych bądź karnych.
Przywołać też należy stanowisko Naczelnego Sądu Administracyjnego wyrażone w wyroku z 6 marca 2019 r., sygn. akt I OSK 994/17, w którym wskazano, że fakt, iż poszczególne procedury zawierają przepisy dotyczące ciężaru dowodu nie może uzasadniać przetwarzania danych osobowych skoro między stronami nie toczy się żadne postępowanie. Tego rodzaju działanie uznać należy także za sprzeczne z art. 26 ust. 1 u.o.d.o, który stanowi, że administrator danych, przetwarzający dane, powinien dołożyć szczególnej staranności w celu ochrony interesów osób, których dane dotyczą, a w szczególności jest obowiązany zapewnić, aby dane te były przetwarzane zgodnie z prawem, a także merytorycznie poprawne i adekwatne w stosunku do celów, w jakich są przetwarzane.
Podkreślenia wymaga, że przy przyjęciu odmiennej interpretacji ww. przepisów, uczestnik postępowania zostałaby pozbawiona ochrony na gruncie przepisów
o ochronie danych osobowych. Zaznaczyć bowiem należy, że przyjęcie za prawidłowe stanowiska, że przetwarzanie danych osobowych w celu uchylenia się od negatywnych skutków w przypadku zgłoszenia w przyszłości ewentualnego i nieokreślonego roszczenia, stanowi prawnie usprawiedliwiony cel w rozumieniu art. 6 ust. 1 lit. f RODO oznaczałoby, że dane osobowe G.B. mogą być przetwarzane przez Bank permanentnie, bez konieczności ich usunięcia. Teoretycznie możliwym jest przecież by zwróciła się ona do Banku z roszczeniem po upływie terminu przedawnienia roszczenia. Prowadziłoby to tym samym do uznania, że przetwarzanie jej danych osobowych przez Bank ma uzasadnienie w przesłance określonej art. 6 ust. 1 lit. f RODO w celu realizacji prawa do obrony przed ewentualnym roszczeniem wnioskodawczyni również po upływie ww. terminu.
Podnieść należy, że przetwarzanie danych w celu dochodzenia roszczeń (przetwarzanie w celach windykacyjnych) oraz obrony przed roszczeniami, nie jest tożsame z przetwarzaniem na wypadek przyszłej i niepewnej konieczności dochodzenia roszczeń, które dopiero mogą pojawić się w przyszłości lub obrony przed nimi. Podkreślić bowiem należy, że przesłanka z art. 6 ust. 1 lit. f RODO dotyczy sytuacji już istniejącej, w której celem wynikającym z prawnie uzasadnionych interesów realizowanych przez administratora jest konieczność udowodnienia, potrzeba dochodzenia lub obrony przed roszczeniem istniejącym, nie zaś sytuacji, gdy dane są przetwarzane w celu zabezpieczenia się przed ewentualnym roszczeniem, które uczestnik postępowania być może skieruje do Banku w przyszłości, a być może taka sytuacja nie będzie mieć miejsca. Bank pomija, że przetwarzanie danych osobowych w oparciu o przesłankę określoną w art. 6 ust. 1 lit. f RODO może odbywać się, gdy przetwarzanie to jest niezbędne do celów wynikających z prawnie uzasadnionych interesów realizowanych przez administratora lub przez stronę trzecią, z wyjątkiem sytuacji, w których nadrzędny charakter wobec tych interesów mają interesy lub podstawowe prawa i wolności osoby, której dane dotyczą, wymagające ochrony danych osobowych. Nie można zaś uznać, że przetwarzanie danych osobowych prowadzone niejako "na wszelki wypadek" jest nadrzędne nad interesami oraz podstawowymi prawami i wolnościami uczestnika postępowania.
Dlatego też nie sposób uznać, że obie przesłanki z art. 6 ust. 1 lit. f RODO zostały spełnione w niniejszej sprawie przy przetwarzaniu danych osobowych G. B. przez Bank w celu obrony przed ewentualnymi roszczeniami lub ewentualną potrzebą dochodzenia roszczeń w przyszłości. Słusznie organ podnosi w odpowiedzi na skargę, że przesłanka określona w art. 6 ust. 1 lit. f RODO nie jest ukierunkowana na ochronę interesów sektora bankowego czy też gospodarczego. Legalność przetwarzania danych osobowych w oparciu o tę przesłankę uzależniona jest od tego, czy przetwarzanie to jest niezbędne do celów wynikających z prawnie uzasadnionych interesów realizowanych przez administratora lub przez stronę trzecią, z wyjątkiem sytuacji, w których nadrzędny charakter wobec tych interesów mają interesy lub podstawowe prawa i wolności osoby, której dane dotyczą. Przepis ten nie polega zatem na ochronie wszelkich interesów sektora bankowego. Podobnie jak pozostałe przesłanki wymienione w art. 6 ust. 1 RODO stanowi przesłankę zgodności z prawem procesu przetwarzania. Tym samym chroni przede wszystkim osobę, której proces ten dotyczy przed nieuprawnionym przetwarzaniem jej danych osobowych. Nie można ponadto mówić o zaistnieniu prawnie uzasadnionego interesu w przypadku, gdy dane osobowe przetwarzane są na zapas, na wypadek gdyby taki prawnie uzasadniony interes pojawić się mógł dopiero w przyszłości. Bank niezasadnie skupił się na interesach gospodarczych podmiotów przetwarzających dane osobowe, nie dostrzegając jednocześnie, że z punktu widzenia ochrony danych osobowych dane te mogą być wprawdzie przetwarzane do celów wynikających z prawnie uzasadnionych interesów realizowanych przez administratora lub przez stronę trzecią, ale wyłącznie wówczas, gdy są nadrzędne nad interesami i prawami osoby, której dane dotyczą. Tymczasem sytuacja taka w niniejszej sprawie nie zachodziła, ponieważ ważąc interesy i podstawowe prawa i wolności osoby, której dane dotyczyły, takie jak chociażby gwarantowane (tak na gruncie prawa europejskiego, Konstytucji RP czy prawa cywilnego) prawo do prywatności, z interesem administratora, który dotyczy w tym wypadku zachowania w swych zasobach danych "na wszelki wypadek", tj. na wypadek tego, że mogą się okazać przydatne w przyszłości do dochodzenia lub obrony ewentualnych roszczeń, które obecnie nie istnieją, należało dojść do wniosku, że to interesy i podstawowe prawa i wolności osoby, której dane dotyczą są nadrzędne.
PUODO nie może opierać się na przyszłych niepewnych zdarzeniach, które mogą, lecz nie muszą nastąpić. Organ wydając decyzję administracyjną, zobowiązany jest do rozstrzygania sprawy w oparciu o stan faktyczny istniejący w chwili wydania tej decyzji. Tym samym decyzja organu nie może wbrew stanowisku Banku opierać się na przyszłych i niepewnych okolicznościach faktycznych.
Sąd w składzie orzekającym w niniejszej sprawie nie podziela poglądów zawartych w przywołanych przez Bank wyrokach Wojewódzkiego Sądu Administracyjnego w Warszawie. Zauważyć bowiem należy, że tutejszy Sąd wydał
w ostatnim czasie szereg innych wyroków oddalających skargi na decyzję w sprawach, dotyczących braku możliwości przetwarzania danych osobowych na podstawie art. 6 ust. 1 lit. f w celu zabezpieczenia się przed ewentualnym przyszłymi i niepewnymi roszczeniami (patrz wyroki Wojewódzkiego Sądu Administracyjnego w Warszawie z 11 marca 2021 r. sygn. akt II SA/Wa 1340/20, z 13 stycznia 2021 r. o sygn. akt II SA/Wa 607/20, z 29 lipca 2021 r. sygn. II SA/Wa 1725/20, z 16 listopada 2020 r. sygn. II SA/Wa 781/20, z 5 maja 2021 r. sygn. II SA/Wa 2014/20).
Odnosząc się do zarzutu skargi wskazującego, że organ nie jest uprawniony do badania istnienia roszczeń pomiędzy stronami umowy podnieść przede wszystkim należy, że organ w niniejszej sprawie nie dokonywał takiej oceny. Słusznie organ zauważa w odpowiedzi na skargę, że w toku postępowania Bank określił swój prawnie uzasadniony interes jako obronę przed roszczeniami, nie wykazując jednocześnie istnienia jakichkolwiek roszczeń, dochodzonych przez Bank od skarżącej, czy też przez skarżącą od Banku. Stąd też kwestia istnienia lub nieistnienia roszczenia stanowiła niezbędny element ustaleń faktycznych sprawy. Konieczne to było do dokonania oceny procesu przetwarzania danych osobowych uczestnika postępowania. Organ nie dokonał oceny stosunku zobowiązaniowego, lecz wyłącznie oceny procesu przetwarzania związanego z tym stosunkiem zobowiązaniowym, do czego był zobligowany.
W tym stanie rzeczy, Wojewódzki Sąd Administracyjny w Warszawie na podstawie art. 151 p.p.s.a., orzekł jak w sentencji wyroku