II SA/WA 2039/24

II SA/Wa 2039/24 - Wyrok WSA w Warszawie
Data orzeczenia
2025-06-17
orzeczenie nieprawomocne
Data wpływu
2024-12-17
Sąd
Wojewódzki Sąd Administracyjny w Warszawie
Sędziowie
Anna Pośpiech-Kłak
Joanna Kube /przewodniczący/
Łukasz Krzycki /sprawozdawca/
Symbol z opisem
647  Sprawy związane z ochroną danych osobowych
Skarżony organ
Generalny Inspektor Ochrony Danych Osobowych
Treść wyniku
Uchylono zaskarżoną decyzję w części
Sentencja
Wojewódzki Sąd Administracyjny w Warszawie w składzie następującym: Przewodniczący Sędzia WSA Joanna Kube, Sędzia WSA Łukasz Krzycki (spr.), Asesor WSA Anna Pośpiech-Kłak, , Protokolant specjalista Joanna Głowala, , , po rozpoznaniu na rozprawie w dniu 17 czerwca 2025 r. sprawy ze skargi [...] S.A. z siedzibą w [...] na punkt 1 decyzji Prezesa Urzędu Ochrony Danych Osobowych z dnia [...] października 2024 r. nr [...] w przedmiocie przetwarzania danych osobowych 1. uchyla zaskarżoną decyzję w punkcie 1, 2. zasądza od Prezesa Urzędu Ochrony Danych Osobowych na rzecz [...] S.A. z siedzibą w [...] kwotę 697 (słownie: sześćset dziewięćdziesiąt siedem) złotych tytułem zwrotu kosztów postępowania.
Uzasadnienie
Zaskarżoną decyzją – przywołując art. 58 ust. 2 lit. c rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (Dz.Urz. UE L. nr 119. str. 1, ze zm.), zwanego dalej "RODO", wobec skargi p. H. T., (dalej "Wnioskodawca") na nieprawidłowości w procesie przetwarzania jej danych osobowych przez [...] Bank [...] S.A., (dalej "Bank"), polegające na czynieniu tego bez podstawy prawnej - nakazano Bankowi usunięcie danych osobowych Wnioskodawcy w zakresie dotyczącym umowy kredytu ratalnego i o kartę kredytową z dnia [...] marca 2013 r. (tak pkt 1).
W uzasadnieniu decyzji przywołano następujące okoliczności faktyczne i prawne uwarunkowania sprawy:
- do organu wpłynęła skarga Wnioskodawcy,
- w toku postępowania ustalono następujący stan faktyczny:
- Wnioskodawca kwestionował legalność przetwarzania jego danych osobowych przez Bank, wskazując że nigdy nie był klientem Banku i nie wyrażał zgody na użycie jego danych osobowych; zaistniały problem zgłaszał w oddziale Banku; jednakże - pomimo tego - dane są w dalszym ciągu przetwarzane (tak: pismo Wnioskodawcy z [...] lutego 2019 r.),
- Bank wyjaśnił (pismo z [...] września 2019 r. wraz z załącznikami):
dane osobowe Wnioskodawcy pozyskała [...] Bank S.A. w związku z zawarciem przezeń [...] stycznia 2008 r. umowy o kredyt oraz Limit i Kartę, zwaną dalej "Umową 1".; bank ten przejęła następnie [...] Bank [...] S.A., zwana dalej "Bankiem II"; [...] marca 2013 r. Wnioskodawca podpisał z Bankiem II umowę kredytu ratalnego i umowę o kartę kredytową, zwaną dalej "Umową 2";
[...] maja 2016 r. nastąpiło połączenie Banku (do [...] kwietnia 2019 r. pod firmą "Bank [...] S.A.") oraz Banku II; w związku z tym Bank - w drodze sukcesji uniwersalnej - wstąpił we wszelkie prawa i obowiązki Banku II;
wyciągi otrzymywane przez Wnioskodawcę generowano na podstawie Umowy 1
Bank pozyskał następujące kategorie danych osobowych Wnioskodawcy: imię i nazwisko, data urodzenia, kraj, imiona rodziców, numer i seria dowodu osobistego, wizerunek Wnioskodawcy z kopii dowodu osobistego, numer PESEL, adres zameldowania, adres korespondencyjny, adres e - mail, numer telefonu komórkowego, numer telefonu do miejsca pracy;
- Bank wskazał: Umowę 2 zamknięto [...] sierpnia 2017 r. (tak: pismo Banku z [...] maja 2022 r. oraz [...] stycznia 2023 r. z wraz z załącznikami),
- Bank wskazał, że przetwarza dane osobowe Wnioskodawcy m.in. w oparciu o art. 6 ust. 1 lit. f RODO w zw. z art. 118 oraz 725 i 731ustawy z dnia 23 kwietnia 1964 r. - Kodeks cywilny (Dz. U. z 2022 r., poz. 1360), zwanej dalej "K.c.", w celu obrony przed ewentualnymi roszczeniami Wnioskodawcy (tak: pismo Banku z [...] maja 2022 r. wraz z załącznikami),
- Bank wskazał, że zarówno Bank, jak i Wnioskodawca nie wystąpili względem siebie z roszczeniami, związanymi z przedmiotem niniejszego postępowania (tak: pismo Banku z [...] stycznia 2023 r.),
- przepisem uprawniającym administratorów danych do przetwarzania danych osób fizycznych jest art. 6 ust. 1 RODO; zgodnie z nim, przetwarzanie danych dopuszczono tylko, w razie wystąpienia jednej z przesłanek wskazanych w tym przepisie; jest on zamknięty; każda z legalizujących proces przetwarzania danych osobowych przesłanek ma charakter autonomiczny i niezależny; są one więc do zasady równoprawne; spełnienie co najmniej jednej z nich stanowi wobec tego o zgodnym z prawem przetwarzaniu danych osobowych; w konsekwencji zgoda osoby, której dane dotyczą, nie jest jedyną podstawą przetwarzania danych osobowych; będzie to zgodne z RODO również, gdy administrator danych wykaże spełnienie innej z wyżej wymienionych przesłanek; niezależnie od zgody osoby, której dane dotyczą (art. 6 ust. 1 lit. a RODO) jest to dopuszczalne między innymi, gdy jest niezbędne do celów wynikających z prawnie uzasadnionych interesów realizowanych przez administratora lub przez stronę trzecią, z wyjątkiem sytuacji, w których nadrzędny charakter wobec tych interesów mają interesy lub podstawowe prawa i wolności osoby, której dane dotyczą, wymagające ochrony danych osobowych (art. 6 ust. 1 lit. f RODO),
- zgodnie z brzmieniem art. 494 § 1 ustawy z dnia 15 września 2000 r. - Kodeks spółek handlowych (Dz. U. z 2024 r. poz. 18), Bank stał się administratorem danych osobowych Wnioskodawcy, dotyczących umów zawartych przezeń z Bankiem II,
- organ nie może oceniać, czy umowy zawarte pomiędzy stronami są ważne; w tym przypadku wykraczałby bowiem poza swoje ustawowo określone kompetencje; może ocenić wyłącznie proces przetwarzania danych osobowych Wnioskodawcy - prowadzony w związku z umowami; rolą organu nie jest jednak rozstrzyganie sporów, wynikających z umów o świadczenie usług bankowych,
- analiza materiału dowodowego wykazała, że Umowę 2 zamknięto [...] sierpnia 2017 r.,
- wskazano, dlaczego - w ocenie organu – na dzień orzekania w sprawie (decyzję datowano [...] października 2024 r.) nie ma podstaw do przetwarzania danych z Umowy 2 na podstawie przepisów o rachunkowości oraz dotyczących przeciwdziałania praniu brudnych pieniędzy,
- organ nie podzielił też stanowiska Banku, zgodnie z którym przetwarza on dane osobowe Wnioskodawcy na podstawie art. 6 ust. 1 lit. f RODO w zw. z art. 731 K.c.; zgodnie z nim, wynikające ze stosunku rachunku bankowego roszczenia przedawniają się z upływem lat dwóch; nie dotyczy to roszczeń o zwrot wkładów oszczędnościowych, oraz w zw. z art. 725 K.c., zgodnie z którym przez umowę rachunku bankowego bank zobowiązuje się względem posiadacza rachunku, na czas oznaczony lub nieoznaczony, do przechowywania jego środków pieniężnych oraz - jeżeli umowa tak stanowi - do przeprowadzania na jego zlecenie rozliczeń pieniężnych; organ nie podziela także stanowiska Banku, że przetwarza on dane osobowe Wnioskodawcy na podstawie art. 6 ust. 1 lit. f RODO w zw. z art. 118 K.c.; zgodnie z nim, jeżeli przepis szczególny nie stanowi inaczej, termin przedawnienia wynosi sześć lat, a - dla roszczeń o świadczenia okresowe oraz roszczeń, związanych z prowadzeniem działalności gospodarczej - trzy lata; koniec terminu przedawnienia przypada jednak na ostatni dzień roku kalendarzowego - chyba że termin przedawnienia jest krótszy niż dwa lata,
- odnosząc się do tego wskazano, że - w realiach niniejszej sprawy - nie została więc spełniona - wskazana jako podstawa przetwarzania danych osobowych - przesłanka z art. 6 ust. 1 lit. f RODO; zebrany w sprawie materiał dowodowy nie wykazał, aby Wnioskodawca wystąpił z roszczeniem wobec Banku, co uzasadniałyby uprawnie do zachowania i przetwarzania jego danych osobowych w związku z prawnie uzasadnionym interesem, realizowanym przez administratora danych - jakim jest dochodzenie roszczeń, powstałych w związku z wykonywaniem czynności bankowych oraz innych, wynikających z przepisów powszechnie obowiązujących; przesłanka z art. 6 ust. 1 lit. f RODO dotyczy sytuacji już istniejącej, w której celem, wynikającym z prawnie uzasadnionych realizowanych przez administratora interesów, jest konieczność udowodnienia, potrzeba dochodzenia lub obrony przed roszczeniem istniejącym; nie chodzi zaś o sytuacje, gdy dane są przetwarzane w celu zabezpieczenia się przed ewentualnym roszczeniem; w związku z tym, że przeprowadzone przez organ postępowanie administracyjne nie wykazało, aby Wnioskodawca skierował wobec Banku jakiekolwiek roszczenie, ten przetwarza dane osobowe Wnioskodawcy w tym celu wyłącznie "na zapas" - aby zabezpieczyć się przed ewentualnym przyszłymi i niepewnymi roszczeniami Wnioskodawcy,
- na niedopuszczalność przetwarzania danych osobowych "na zapas" wskazał Naczelny Sąd Administracyjny w wyroku z 27 marca 2018 r. (sygn. akt I OSK 1459/16, dostępny na stronie internetowej orzeczenia.nsa.gov.pl/cbo/query – w Centralnej Bazie Orzeczeń Sądów Administracyjnych, zwanej dalej "CBOSA"), odnoszącym się do art. 25 ust. 1 pkt 5 ustawy z 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. 2016 r. poz. 922 ze zm.), zwanej dalej "ustawą z 1997 roku": "Należy zwrócić uwagę, że przepis art. 23 ust. 1 pkt 5 ustawy na pierwszym miejscu wymienia warunek, że przetwarzanie danych winno być niezbędne dla wypełnienia prawnie usprawiedliwionych celów. Niedopuszczalne jest więc przetwarzanie danych osobowych niejako "na zapas" z założeniem, że mogą być one ewentualnie przydatne w przyszłości, na przykład z odwołaniem się do przepisów dotyczących przedawnienia roszczeń cywilnoprawnych, czy postępowań administracyjnych bądź karnych"; organ podziela to stanowisko; uznaje, że pozostaje ono aktualne w odniesieniu do przesłanki z art. 6 ust. 1 lit. f RODO,
- dokonywana przez organ ocena służy w każdym przypadku zbadaniu zasadności skierowania pod adresem określonego podmiotu nakazu, odpowiadającego dyspozycji art. 58 ust. 2 RODO - służącego przywróceniu stanu zgodnego z prawem w procesie przetwarzania danych; jest więc uzasadniona i potrzebna tylko o ile nieprawidłowości w procesie przetwarzania danych osobowych istnieją; w realiach niniejszej sprawy stwierdzono nieprawidłowości w procesie przetwarzania danych osobowych przez Bank – w odniesieniu do Umowy 2 Bank nie wykazał spełnienia żadnej z przesłanek przetwarzania danych osobowych Wnioskodawcy; wobec tego, nakazano Bankowi usunięcie danych osobowych Wnioskodawcy w zakresie dotyczącym Umowy 2.
Bank, reprezentowany przez pełnomocnika – adwokata, zaskarżył kwestionowaną decyzje w pkt 1. Zarzucił jej wydanie z naruszeniem przepisów:
- prawa materialnego - art. 6 ust. 1 lit. f RODO", w zw. z art. 117 § 1, 2 i 21, art. 118 i 119 K.c., poprzez niewłaściwe zastosowanie; w konsekwencji niezasadnie przyjęto, że przetwarzanie danych przez okres przedawnienia roszczeń nie stanowi prawnie uzasadnionego interesu Banku - w rozumieniu art. 6 ust. 1 lit. f) RODO; w momencie wydawania decyzji Wnioskodawca nie zgłosił bowiem jeszcze roszczeń; tymczasem art. 6 ust. 1 lit. f RODO w zw. z art. 117 §1, 2 i 21, art. 118 i 119 K.c. uprawniają Bank do przetwarzania danych osobowych w celu obrony przed roszczeniami - również, gdy Wnioskodawca ich jeszcze nie zgłosił; sama już możliwość dochodzenia roszczeń w okresie do upływu terminu przedawnienia jest bowiem wystarczającą podstawą do stwierdzenia istnienia prawnie uzasadnionego interesu Banku,
- postępowania - art. 7 w zw. z art. 77 oraz 80 ustawy z dnia 14 czerwca 1960 r. - Kodeks postępowania administracyjnego (tekst jedn. Dz. U z 2023 r., poz. 775), zwanej dalej jako: "K.p.a.", polegające na niepodjęciu wszystkich czynności, niezbędnych do dokładnego wyjaśnienia oraz załatwienia sprawy, a także na niewyczerpującym zebraniu i rozpatrzeniu materiału dowodowego; organ nie ustalił, że Wnioskodawca nigdy nie zrzekł się żadnego z przysługujących mu przeciwko Bankowi roszczeń, ani nie zapewnił, że nie będzie ich dochodził; okoliczności te mają istotne znaczenie w niniejszej sprawie; potwierdzają bowiem, że uzasadniony interes Banku w przetwarzaniu danych istnieje przez cały okres przedawnienia roszczeń; organ nie dostrzegł również, że część uprawnień była dochodzona przez Wnioskodawcę właśnie w ramach postępowania administracyjnego, dalsze zaś przetwarzanie danych osobowych jest niezbędne - chociażby na potrzeby niniejszego postępowania sądowoadministracyjnego.
Wniesiono o:
- uchylenie zaskarżonej decyzji w części – co do pkt 1,
- zasądzenie od organu rzecz Banku zwrotu kosztów postępowania, w tym kosztów zastępstwa procesowego.
W szerokim uzasadnieniu rozwinięto powyższe zarzuty. Podniesiono m.in.:
- w uzasadnieniu decyzji wskazano: "przesłanka z art. 6 ust. 1 lit. f RODO dotyczy sytuacji już istniejącej, w której celem wynikającym z prawnie uzasadnionych interesów realizowanych przez administratora jest konieczność udowodnienia, potrzeba dochodzenia lub obrony przed roszczeniem istniejącym, nie zaś sytuacji, gdy dane są przetwarzane w celu zabezpieczenia się przed ewentualnym roszczeniem"; powołano przy tym na pogląd Naczelnego Sądu Administracyjnego, odnoszący się do nieobowiązującego już art. 23 ust. 1 pkt 5 ustawy z 1997 roku; zgodnie z tym przepisem, dopuszczono przetwarzanie danych, gdy było niezbędne dla wypełnienia "prawnie usprawiedliwionych celów" realizowanych przez administratorów danych albo odbiorców danych oraz nie naruszało praw i wolności osoby, której dane dotyczą; uszczegółowienie "prawnie usprawiedliwionych celów" zawarto natomiast w art. 23 ust. 4 tej ustawy; wymieniono tam marketing bezpośredni własnych produktów lub usług administratora danych oraz dochodzenie roszczeń z tytułu prowadzonej działalności gospodarczej,
- w obowiązującej wcześniej ustawie z 1997 roku bardzo wąsko definiowano "prawnie usprawiedliwione cele"; prawodawca unijny zaś - na podstawie art. 6 ust. 1 lit. f RODO - ustanowił znacznie szerszą przesłankę przetwarzania danych (uzasadniony interes administratora),
- jak słusznie wskazano w piśmiennictwie: "(n)a gruncie art. 6 ust. 1 lit. f RODO należy stwierdzić, iż prawodawca unijny, wprowadzając kategorię "uzasadnionego interesu administratora", ustanowił szerszą przesłankę przetwarzania danych osobowych. Pojęcie "interesu" bowiem będzie kategorią szerszą niż pojęcie "celu". Interes administratora może być określany jako pewna relacja między jakimś stanem obiektywnym a oceną tego stanu z punktu widzenia korzyści, jaką on przynosi lub może przynieść administratorowi, przy czym musi być uzasadniony. Kategoria interesu będzie dość zróżnicowana, zależna od potrzeb wygenerowanych w związku z prowadzoną działalnością przez administratora, czyli w konsekwencji i dynamiczna, co oznacza, że nie powinno się go w sposób jednoznaczny ustalić i zdefiniować. W konsekwencji prawodawca unijny, nie przesądzając arbitralnie, co stanowi interes administratora, stwarza możliwość określania go przez samych zainteresowanych z uwzględnieniem okoliczności każdego konkretnego przypadku, pod warunkiem spełnienia pozostałych kryteriów określonych w przepisie oraz przy respektowaniu wymagań art. 5 RODO. Można oczekiwać pewnego wykrystalizowania wykładni tego pojęcia na gruncie RODO w trakcie sądowej kontroli prawidłowości zastosowania tej regulacji. Podsumowując, prawnie uzasadniony interes trzeba rozumieć nie jako interes wynikający z przepisów prawa, lecz jako interes, który jest zgodny z prawem, przy czym może on obejmować interesy ekonomiczne, prawne i inne. Interesy te mogą zostać wyartykułowane w treści aktów wewnętrznych jednostki administratora (np. w statucie, umowie spółki itp.), mogą również wynikać z określonego stanu faktycznego" (tak M. Sakowska-Baryła "Ogólne rozporządzenie o ochronie danych" Komentarz do art. 6 RODO, SiP Legalis),
- organ zarzucił Bankowi, że nie wykazał, aby Wnioskodawca wystąpił już z jakimkolwiek roszczeniem, które uzasadniałoby uprawnienie do zachowania i przetwarzania danych osobowych dla celów dowodowych w związku z dochodzeniem przezeń konkretnego roszczenia; wobec tego - w ocenie organu - Bank nie ma uzasadnionego interesu w dalszym przetwarzaniu danych,
- organ nie uznaje zatem za uzasadniony interesów Banku, które w rzeczywistości istnieją przez cały okres przedawnienia roszczeń; gdyby przyjąć stanowisko organu za trafne Bank zostałby zmuszony do natychmiastowego usuwania danych osobowych, które wciąż mogą okazać się niezbędne do realizacji prawa do obrony przed sądem - w razie wystąpienia przez Wnioskodawcę z roszczeniami przed terminem przedawnienia, czego nadal nie można wykluczyć; mogłoby to z kolei spowodować istotne osłabienie pozycji Banku w ewentualnym sporze sądowym; pogląd, który Bank w całości podziela, przyjął Wojewódzki Sąd Administracyjny w Warszawie w nieprawomocnym w wyroku z 29 października 2021 r. (sygn. akt II SA/Wa 506/21 – dostępny w CBOSA); w jego uzasadnieniu wskazano: "uzależnienie legalności podstawy do przetwarzania danych osobowych od wystąpienia z roszczeniem, jest postulatem niesprawiedliwym i dającym duże możliwości nadużyć na szkodę przedsiębiorców i klientów, co wyjaśniła w toku postępowania strona skarżąca",
- uprawnienia Wnioskodawcy do dochodzenia roszczeń zaktualizowały się w związku z czynnościami podjętymi przed Bank już na etapie realizacji jego obowiązków, wynikających z przepisów prawa oraz z zawarcia i wykonywania umów; niezależnie, czy roszczenia Wnioskodawcy ostatecznie okażą się zasadne, obecnie istnieją realne (a nie jedynie abstrakcyjne) podstawy do ich dochodzenia; równie realna pozostaje więc konieczność obrony swoich praw przez Bank; przyjęcie odmiennego poglądu prowadziłoby do braku możliwości przetwarzania przez Bank danych osobowych Wnioskodawcy chociażby na potrzeby niniejszego postępowania sądowoadministracyjnego,
- stanowisko organu nie zasługuje na aprobatę, gdyż prowadzi do istotnego ograniczenia konstytucyjnego prawa Banku do sądu; elementem tego prawa jest zasada "równości broni"; zgodnie z nią każda ze stron powinna mieć zapewnioną możliwość równego udziału w postępowaniu i przedstawienia swoich argumentów; nakaz usunięcia danych Wnioskodawcy pozbawia Bank takiej możliwości oraz uniemożliwia podjęcie efektywnej obrony - w razie zainicjowania przez Wnioskodawcę jakiegokolwiek postępowania - w tym tego, które jest następstwem skargi do organu wyspecjalizowanego w sprawach ochrony danych osobowych oraz niniejszego postępowania sądowoadministracyjnego,
- przyjęcie prezentowanego przez organ stanowiska mogłoby zresztą doprowadzić do sztucznego kreowania roszczeń przez administratorów – tylko, aby uzasadnić dalsze przetwarzanie danych osobowych; już sama już możliwość zgłoszenia roszczeń w okresie do upływu terminu przedawnienia jest tymczasem wystarczającą podstawą do stwierdzenia istnienia prawnie uzasadnionego interesu Banku,
- argumentację Banku podzielano już w orzecznictwie Wojewódzkiego Sądu Administracyjnego w Warszawie - tak prawomocny wyrok z 31 marca 2022 r., (sygn. akt II SA/Wa 3561/21 – dostępny w CBOSA) w którego uzasadnieniu wskazano: "nie sposób uznać, aby przesłanka z art. 6 ust. 1 lit. f RODO dotyczyła sytuacji wyłącznie już istniejącej, w której celem wynikającym z prawnie uzasadnionych interesów realizowanych przez administratora jest konieczność udowodnienia, potrzeba dochodzenia lub obrony przed roszczeniem istniejącym, albowiem obejmuje ona również sytuacje, gdy dane są przetwarzane w celu zabezpieczenia się przed ewentualnym roszczeniem mogącymi powstać w przyszłości. [...] Przy czym, po upływie terminu przedawnienia roszczeń nie będzie można mówić już o uzasadnionym interesie do dalszego przetwarzania danych osobowych skarżącej na tej podstawie. Na obecnym etapie jest to jednak jak najbardziej uzasadnione",
- w uzasadnieniu nieprawomocnego wyroku Wojewódzkiego Sądu Administracyjnego w Warszawie z dnia 4 sierpnia 2022 r., (sygn. akt II SA/Wa 542/22 – dostępny w CBOSA) wskazano również, że zaprezentowana przez organ wykładnia przesłanki z art. 6 ust. 1 lit. f RODO jest błędna: "(s)karżąca ma interes prawny, w rozumieniu RODO, do przetwarzania (wyłącznie poprzez ich przechowywanie) danych osobowych Wnioskodawczym w celu obrony przed roszczeniami tak Wnioskodawczym, jak i innych osób, które uczestniczyły w procesie rekrutacji, a które mogą być skutecznie dochodzone przez okres przedawnienia roszczeń ze stosunku pracy wynikający z art. 291 w związku - jak w realiach sprawy -żart. 183b oraz art. 183d Kodeksu pracy, przy czym przepis art. 291 k.p., jak słusznie podnosi Skarżąca, wbrew stanowisku Organu, jednocześnie jednoznacznie wskazuje, kiedy takie roszczenia ulegają przedawnieniu"; w uzasadnieniu tego wyroku słusznie też zauważono, że nie jest to - jak błędnie twierdzi organ - przetwarzanie "na zapas"; sytuacja taka mogłaby mieć miejsce co najwyżej, gdyby Bank przetwarzał dane Wnioskodawcy pomimo upływu terminu przedawnienia,
- po upływie terminu przedawnienia roszczeń rzeczywiście nie będzie można już mówić o uzasadnionym interesie Banku do dalszego przetwarzania danych Wnioskodawcy; przedawnienie jego roszczeń skutkuje bowiem brakiem możliwości uzyskania przezeń ochrony sądowej - jest to więc dla Banku moment graniczny, który powoduje osiągnięcie celu, dla realizacji którego nie jest już niezbędne dalsze przetwarzanie danych osobowych,
- poprzedzając ewentualny kontrargument, że - po upływie okresu przedawnienia - Wnioskodawca i tak teoretycznie może wystąpić przeciwko Bankowi z roszczeniem, wskazano: po upływie okresu przedawnienia roszczeń dalsze przetwarzanie danych nie jest niezbędne dla wykazania przedawnienia roszczenia; wystarczającą informacją są ramy czasowe, a ta informacja może skutecznie funkcjonować w oderwaniu od danych osobowych; innymi słowy, skoro dane osobowe zostaną już usunięte, a okres ich retencji koreluje z okresem przewidzianym dla przedawnienia roszczeń, to jasne jest, że brak danych w Banku oznacza, że roszczenie Wnioskodawcy jest już przedawnione, a Bank może podnieść taki zarzut przed sądem,
- zwrócono uwagę, że - zawierając Umowę 2 - Wnioskodawca działał jako konsument; w myśl art. 117 § 21 K.c., po upływie terminu przedawnienia, nie można domagać się zaspokojenia żądania przysługującego przeciwko konsumentowi; co ważne, w razie sporu Sąd bierze pod uwagę tę okoliczność z urzędu; w związku z tym - po upływie terminu przedawnienia - Bank nie może zgłosić roszczeń wobec osoby będącej konsumentem; tym bardziej nie ma więc żadnych podstaw do uznania, że Bank mógłby przechowywać dane Wnioskodawcy "na zapas" - po upływie okresu przedawnienia; wówczas przechowywanie danych Wnioskodawcy nie będzie miało dla Banku znaczenia, ani jako dla podmiotu dochodzącego roszczeń, ani jako dla broniącego się przed dochodzonymi przez Wnioskodawcę,
- w tym świetle obecnie uzasadniony interes Banku w przetwarzaniu danych Wnioskodawcy wciąż istnieje; roszczenia nie uległy bowiem jeszcze przedawnieniu; Bank przyjął jednocześnie jasny i konkretny limit czasowy (okres retencji) - zgodny z przepisami prawa, które dotyczą przedawnienia roszczeń,
W odpowiedzi na skargę organ wniósł o jej oddalenie, podtrzymując dotychczasową argumentację.
W trakcie rozprawy (k. 78) pełnomocnik Banku podnosił, że obecnie występują bardzo często roszczenia przeciwko bankom z tytułu kredytów, także gotówkowych np. odnoszących się do wskaźnika WIBOR.
Sąd zważył, co następuje.
Skarga zasługuje na uwzględnienie, gdyż wydając orzeczenie naruszono przepisy prawa materialnego, zakreślające dopuszczalność przetwarzania danych osobowych jako niezbędnych wobec prawnie uzasadnionych interesów administratora (tu Banku ), zaś – na skutek tego - regulacje, statuujące właściwość organu wyspecjalizowanego w sprawach ochrony danych osobowych - w zakresie stosowania przezeń przepisów naprawczych. Miało to istotny wpływ na wynik sprawy. W następstwie tego nie wyjaśniono bowiem jej okoliczności faktycznych w szeregu istotnych aspektów. Stanowi to z kolei o naruszeniu stosownych przepisów postępowanie, mogło zaś mieć istotny wpływ na wynik sprawy.
Organ właściwie wprawdzie opisał uwarunkowania prawne sprawy – w kontekście przytoczenia wynikających z RODO ogólnych reguł przetwarzania danych osobowych. Nie są także sporne fakty w zakresie ustalenia, że - na dzień wydania zaskarżonej decyzji - dane osobowe Wnioskodawcy w związku z zawarciem Umowy 2 były nadal przetwarzane przez Bank wobec następstwa prawnego po Banku II. Przywoływanie przez Sąd ponownie okoliczności sprawy w podanych kwestiach nie byłoby zasadne - wobec uprzedniego przytoczenia istotnych faktów, przy referowaniu przebiegu sprawy.
Spór sprowadza się do tego, czy pojęcie "niezbędne dla realizacji uzasadnionych celów administratora", w rozumieniu art. 6 ust. 1 lit. f RODO, obejmuje przypadek przetwarzania danych dla celów ochrony przed potencjalnymi roszczeniami stron trzecich lub realizacji własnych jeszcze nie skonkretyzowanych - do czasu ich przedawnienia. Trafne jest to stanowisko sformułowane w skardze, co do naruszenia przepisów prawa materialnego. Wobec jego szczegółowego poprzedniego zreferowania ponowne powtarzanie byłoby bezzasadne, sąd przyjmuje za własne.
Należy jedynie dodać, że Sąd w tym składzie nie podziela poglądów dominujących aktualnie w judykaturze, gdzie - jako wykraczające poza dopuszczono art. 6 ust. 1 RODO przesłanki - uznano właśnie przetwarzanie danych dla celów ochrony własnych interesów w potencjalnych sporach. Uważa natomiast za trafne stanowisko, wyrażone w wyroku Naczelnego Sądu Administracyjnego z 20 lutego 2024 r (sygn. akt III OSK 2700/22 – dostępne w CBOSA). W jego uzasadnieniu wskazano m.in.: "Wyłączenie stosowania art. 6 ust. 1 lit f RODO, gdy administrator przetwarza dane osobowe na wypadek ewentualnego sporu sądowego, wyłącznie z uwagi na jego potencjalność jest nieuzasadnione. Taka interpretacja art. 6 ust. 1 lit. f RODO byłaby zbyt formalistyczna i nieznajdująca potwierdzenia w przyjętym sposobie jego rozumienia.", zaś dalej: "Jeżeli łącząca te dwa podmioty relacja zawiera w sobie prawnie dopuszczalne roszczenie, które może być dochodzone na drodze sądowej, to nie można z góry wyłączyć dopuszczalności przetwarzania danych osobowych na podstawie art. 6 ust. 1 lit. f RODO, wyłącznie z uwagi na potencjalność realizacji tego roszczenia.[...] relacja łącząca administratora z osobą której dane za jej zgodą są przetwarzane może ulec zmianie, przekształceniu, wygaśnięciu, co może się wiązać z powstaniem innej, (nowej) relacji, w ramach której uprzednio wyrażona zgoda na przetwarzanie nie będzie już adekwatna. Istotą tej "nowej" relacji może być potencjalny i zarazem prawnie dopuszczalny spór sądowy wynikający z niewłaściwej realizacji praw i obowiązków będących przedmiotem relacji "starej". Nie można w takim układzie wykluczyć, że przetwarzanie danych osobowych przez administratora do czasu wystąpienia przez którąkolwiek ze stron z roszczeniem na drogę sądową, lub do czasu przedawnienia tego roszczenia, będzie zgodne z art. 6 ust. 1 lit. f RODO. Celem administratora wynikającym z jego prawnie uzasadnionych interesów będzie zabezpieczenie się na wypadek konieczności wejścia w spór sądowy.". Sąd w pełni te oceny podziela. Nie uważa natomiast za trafne ogólnych tez, wyrażonych m.in. w wyroku tegoż Sądu z 5 maja 2025 r. (sygn. akt III OSK 6553/21 – dostępny w CBOSA), gdyż przede wszystkim nie odniesiono się w nim do rzeczywistych uwarunkowań i praktyki obrotu gospodarczego w ramach realizacji określonych umów w powszechnym obrocie. W realiach rozpatrywanej tam sprawy – gdzie sporne było przetwarzanie danych osoby wypożyczającej pojazd, po zrealizowaniu umowy (zwrocie samochodu) – Sąd skonstatował, że osoba wypożyczająca może nie oczekiwać, zachowania jej danych. Wskazano tam m.in. "z chwilą zakończenia umowy najmu dochodzi do dość jednoznacznego ustalenia okoliczności faktycznych związanych ze stanem technicznym zwracanego pojazdu, gdyż zasadniczo tylko one mogą być podstawą roszczeń wynajmującej spółki względem osoby najemcy. Zatem ewentualne roszczenia firmy wynajmującej samochód są najpóźniej znane w dniu zwrotu auta lub w bardzo krótkim czasie po jego zwrocie, gdyż niektóre szkody wyrządzone przez najemcę mogą ujawnić się po zwrocie auta i sprawdzeniu jego walorów użytkowych.". Tymczasem – wbrew założeniu przyjętemu przez Sądu – także w stosunkowo odległym czasie po odbiorze samochodu mogą ujawnić się jego uszkodzenia wcześniej nie dostrzeżone (np. celów ukryte przez wynajmującego). Co jednak ważniejsze, do podmiotu wypożyczającego – będącego właścicielem pojazdu – mogą być też kierowane roszczenia, czy wezwania w razie zidentyfikowania szkód w mieniu bądź ujawnienia naruszeń zasad ruchu drogowego, spowodowanych przez osobę kierującą pojazdem, w okresie gdy był on pożyczany. W tych realiach wypożyczająca pojazd osoba, pomimo jego zwrotu bez zastrzeżeń ze strony wypożyczającego - winna zakładać, że w rozsądnym czasie (np. przedawnienia roszczeń) dane jej będą – w niezbędnym zakresie – przetwarzane. Uzasadniony interes wypożyczającego oparty jest w danym przypadku w szczególności na prawie ochrony w sprawach spornych (przed roszczeniami oraz dochodzenia ewentualnych własnych - przeciw wypożyczającemu). Inną kwestią jest natomiast dopuszczalny zakres przetwarzania danych, jako niezbędnych dla danego celu. W rozpatrywanej przez Sąd sprawie przedmiotem sporu były skany kopii dokumentów (dowód osobisty, prawo jazdy), co nie znajdowało w istocie racjonalnego uzasadnienia w ramach deklarowanego celu przetwarzania. Pozostało to jednak poza zakres sformułowanych w uzasadnieniu ogólnych wypowiedzi.
Nie można stąd uznać, że możliwość przetwarzania danych osobowych – w kontekście potencjalnych przyszłych roszczeń - ograniczono wyłącznie do przypadków, gdy toczy się stosowne postępowanie lub przetwarzający dane planuje wystąpić z konkretnym roszczeniem.
Intencji ograniczenia możliwości przetwarzania danych osobowych klientów przez podmioty prowadzące profesjonalnie działalność gospodarczą (np. banki) - co do ochrony przed ich potencjalnymi roszczeniami, czy możliwości dochodzenia własnych, ujawnionych później - nie sposób przypisać racjonalnemu prawodawcy na gruncie ogólnej reguły, wyrażonej art. 6 ust. 1 RODO - w szczególności sformułowania użytego w lit. f tego aktu – w kontekście ewentualnego, realnego i drastycznego ograniczenia ochrony praw podmiotów w obrocie gospodarczym. Analogiczne reguły nie dotyczą bowiem będących klientami osób fizycznych – tak przechowywanie danych o transakcjach, operacjach, należnościach na potrzeby własne. Uznanie, jakoby – wobec zamknięcia umowy i nie wystąpienia względem siebie z roszczeniami przez strony na dzień orzekania w sprawie – obowiązkiem Banku było usunięcie danych określonego klienta, ograniczałoby lub wręcz w istocie wyłączało możliwość ochrony przed ewentualnymi, późniejszymi roszczeniami - jeszcze przed ich przedawnieniem w świetle reguł K.c. Mogłoby też prowadzić do istotnego ograniczenia praw samych klientów Banku – wobec braku stosownej dokumentacji po stronie wyspecjalizowanego podmiotu, świadczącego usługi – w kontekście dokumentacji, która z określonych przyczyn nie jest w dyspozycji klienta.
Co istotne, problematyka nie ma znaczenia marginalnego. Jak wywodził pełnomocnik Banku bowiem ilość spraw spornych rośnie.
Reasumując, prezentowane przez organ rozumienie przepisów, określających ramy przetwarzania danych osobowych klientów podmiotów, prowadzących działalność gospodarczą – w tym banków, ograniczałoby – bądź wręcz w niektórych przypadkach pozbawiałby - prawa obu stron, wynikającego wprost z generalnych reguł prawa materialnego (K.c.). Miałoby to znaczny wpływ na zmianę istotnych realiów obrotu gospodarczego. Intencji wprowadzenia tak głębokiej modyfikacji w relacje między kontrahentami nie sposób przypisać prawodawcy na szczeblu UE, wobec aktualnego brzmienia regulacji RODO w danym zakresie - w szczególności, gdy ma być to efektem pewnej ich wykładni. Wolę ustanowienia takich zmian musiałby prawodawca wyrazić wprost.
Nie jest trafna – co odnotowano w skardze - argumentacja organu, jakoby odnoszenie się do kwestii przedawnienia roszczeń - w kontekście podstaw prawnych przetwarzania danych osobowych - było niezasadne, skoro upływ terminu nie powoduje wygaśnięcia roszczeń. Po upływie terminu przedawnienia możliwość dochodzenia roszczeń jest bowiem znacznie ograniczona (instytucja zarzutu przedawnienia). Oceny występowania podstaw przetwarzania danych osobowych dokonuje się zaś w kontekście niezbędności dla celów, wynikających z prawnie uzasadnionych interesów, realizowanych przez administratora (tak art. 6 ust. 1 lit. f RODO). Przetwarzanie więc danych – gdy realizacja potencjalnych roszczeń obu stron nie jest faktycznie prawdopodobna – nie znajduje w istocie racjonalnych podstaw. Istnieje więc obiektywna cezura czasowa, gdy odpada podstawa do dalszego przetwarzania danych dla określonego celu. Nie można więc wywodzić, jakoby – przy przyjęciu danej interpretacji – ochrona przed bezterminowym przetwarzaniem danych osobowych stawała się iluzoryczna.
Wypada w końcu zauważyć, że prezentowane przez Sąd rozumienie przepisów RODO, określających ramy dopuszczalności przetwarzania danych osobowych, nie jest sprzeczne z brzmieniem regulacji tego rozporządzenia ani wyrażonymi celami jego wydania. Otóż, przetwarzanie danych osobowych klientów, z którymi profesjonalne podmioty gospodarcze wchodzą w relacje – gdy służyć ma ochronie przed ewentualnymi roszczeniami, czy dochodzeniu własnych, o ile ujawnią się w przyszłości - nie godzi - z perspektywy powszechnie akceptowanego systemu wartości - w żadne, mające nadrzędny charakter interesy klientów lub ich podstawowe prawa i wolności, w rozumieniu art. 6 ust. 1 pkt 1 lit. f in fine RODO.
Rzecz dotyczy natomiast tego, czy gromadzenie danych odbywa się jedynie w tym celu i w niezbędnym zakresie oraz zabezpieczono je - przy zastosowaniu odpowiednich procedur (w tym warunków dostępu uprawnionych pracowników podmiotu) i środków technicznych - aby nie można było ich wykorzystać w inny sposób. W tej jednak kwestii organ nie formułował żadnych zarzutów bądź wskazań. Jeżeli natomiast konieczne dane właściwie zabezpieczono nie sposób zakładać, aby klienci podmiotów gospodarczych nie mogli oczekiwać, że są one przechowywane - zgodnie z akceptowaną dotychczas praktyką - gdzie racjonalnie ważono interesy podmiotów gospodarczych (ochrony przed roszczeniami oraz własnych potencjalnych roszczeń) oraz ich klientów.
Przetwarzanie danych w przedmiotowym zakresie nie sprzeciwia się w szczególności regule, wyrażonej w motywie 47 RODO. Wskazano tam, że dopuszczalność przetwarzania danych bez zgody zainteresowanych – wobec uzasadnionego interesu administratora - wyznaczają także ramy "rozsądnych oczekiwań", że administrator to czyni. Przy formułowaniu oceny zakresu stanowionej przepisami RODO ochrony należy więc – z woli samego prawodawcy - odnosić się w istocie do powszechnej praktyki w danym względzie (tak: rozsądne oczekiwania). Nie sposób więc zakładać, aby intencją tegoż prawodawcy - stanowiącego przepisy w zakresie ochrony danych osobowych w RODO - było ingerowanie w praktyki gospodarcze (ich istotna modyfikacja) – na przykład ograniczenie możliwości dochodzenia roszczeń przed terminem ich przedawnienia. Chodziło natomiast, aby – w ramach tych, stosowanych powszechnie praktyk - dane osobowe były zabezpieczone – m.in. przez minimalizację ich przetwarzania jedynie do niezbędnych granic.
Nie sposób wywodzić wobec tego z reguł RODO, aby aktem tym wprowadzono ograniczenia, co do przetwarzania danych osobowych w zakresie przydatnym dla racjonalnego - opartego na powszechnej praktyce - prowadzenia obrotu gospodarczego. Zamieszczone tam reguły mają zaś służyć ograniczeniu przetwarzania danych osobowych poza tymi ramami, także przez ich stosowne zabezpieczenie - przy zastosowaniu środków technicznych i procedur dostępu - przed wykorzystaniem, wykraczającym poza cele, dla których je gromadzono.
Nie jest w końcu racjonalne założenie, jakoby – wedle reguł RODO - ramy przetwarzania danych osobowych - w kontekście ochrony przed roszczeniami bądź dochodzenia potencjalnych własnych - należało ograniczać każdorazową analizą przypadków wszystkich klientów, czy istnieje realne prawdopodobieństwo ich przydatności - realność roszczeń obu stron. Praktyka taka determinowałaby po stronie podmiotów, prowadzących działalność gospodarczą w relacjach z wieloma osobami fizycznymi (tu banków), potrzebę ustanowienia procedur analizy każdego przypadku i budowy modeli postępowania w oparciu o kryteria prawdopodobieństwa. Intencji obciążenia przedsiębiorców tego rodzaju powinnościami nie sposób wywieść z przepisów, dotyczących ochrony danych osobowych, gdzie umożliwiano ich przetwarzanie, gdy jest to racjonalnie uzasadnione i nie godzi w chronione interesy zainteresowanych osób, w rozumieniu art. 6 ust. 1 lit. f in fine RODO. Bezpodstawne byłoby zaś przyjęcie, że przypadek godzenia w te interesy ma miejsce zawsze, gdy gromadzone (a więc przetwarzane) dane osobowe mogą być jedynie potencjalnie przydatne (wedle określenia gromadzenie "na zapas").
Chybiona jest więc ocena, jakoby – na dzień wydania skarżonego aktu - podstawą przetwarzania przez Bank danych Wnioskodawcy z Umowy 2 nie mogła być potrzeba ochrony przed ewentualnymi jego roszczeniami czy możliwość zaspokojenia przyszłych, własnych. Osobną kwestią jest natomiast istnienie po stronie administratora stosownych środków, gwarantujących bezpieczeństwo danych - możliwość ich wykorzystania jedynie dla zakładanych celów. Co należy odnotować, w realiach rozpoznawanej sprawy organ nie kwestionował twierdzeń Banku, że – na dzień orzekania w sprawie w pkt 1 decyzji - potencjalne roszczenia stron nie przedawniły się.
Wobec wadliwego wyłożenia treści normatywnej przepisów, zakreślających możliwość przetwarzania danych osobowych Wnioskodawcy, sprawy nie wyjaśniono także w jej istotnym aspekcie.
Co wynika z uzasadnienia decyzji, Bank przetwarzał określony katalog danych osobowych Wnioskodawcy w szerokim zakresie. W kontekście podstaw, legalizujących przetwarzania tych danych, co do Umowy 2 – niezbędności z perspektywy uzasadnionego interesu prawnego - wymaga wyjaśnienia, czy:
- cały zakres danych powiązanych z Umową 2 jest w istocie niezbędny dla realizacji dopuszczalnych celów przetwarzania oraz
- są one gromadzone w sposób umożliwiający dostęp do nich tylko dla realizacji zadań, znajdujących oparcie w art. 6 ust. 1 lit. f RODO.
Powinnością Banku jest bowiem minimalizacja przetwarzania danych osobowych wyłącznie do zakresu niezbędnych oraz stosowne ich zabezpieczenie - aby wykluczyć wykorzystanie w celach innych niż są nadal legalnie przetwarzane.
W powyższym zakresie nie można więc uznać sprawy za właściwie wyjaśnioną, także w kontekście sformułowania stosownego uzasadnienia, co czyni zasadnym zarzuty naruszenia art. 7, 77 § 1, art. 80 oraz 107 § 3 wobec art. 8 ust. 1 i art. 11 K.p.a. Uchybienie to mogło mieć wpływ na wynik sprawy skoro orzeczono o powinności usunięcia danych osobowych Wnioskodawcy, wynikających z Umowy 2.
Bezzasadne są natomiast zarzuty Banku jakoby sprawy prawidłowo nie wyjaśniono wobec braku ustaleń, czy potencjalnie roszczenia – w okresie przed ich przedawnieniem - mogą być dochodzone np. w kontekście zrzeczenia się ich przez Wnioskodawcę. Poza kompetencjami organu administracji, właściwego w sprawach ochrony danych osobowych, pozostaje ocena realności czy dopuszczalności realizacji roszczeń w zakresie, wykraczającym poza reguły powszechnie obowiązującego prawa – np. w kontekście skuteczności realizowanych między stronami czynności cywilnoprawnych. Bezzasadność zarzutów w tym zakresie nie ma jednak znaczenia dla wyników sprawy – skarga podlega uwzględnieniu.
Z przytoczonych wyżej przyczyn - na podstawie art. 145 § 1 pkt 1 lit. a i c ustawy z dnia 30 sierpnia 2002 r. - Prawo o postępowaniu przed sądami administracyjnymi (Dz.U. z 2024 r., poz. 935 ze zm.) - orzeczono jak w pkt 1 sentencji. O zwrocie kosztów postępowania postanowiono w pkt 2 w myśl art. 200 w zw. z art. 205 § 2 powyższej ustawy oraz 14 ust. 1 pkt 1 lit. c rozporządzenia Ministra Sprawiedliwości z dnia 22 października 2015 r. w sprawie opłat za czynności adwokackie (Dz.U. z 2023 r. poz. 2631). Do kosztów zaliczono wynagrodzenia pełnomocnika w kwotach po 480 zł, wpis sądowy od skargi po 200 zł oraz 17 zł tytułem opłaty skarbowej od pełnomocnictwa.
Rozpatrując ponownie sprawę organ administracji uwzględni ocenę prawną, sformułowaną w niniejszym uzasadnieniu.
-----------------------
19