II SA/Wa 2150/22

II SA/Wa 2150/22 - Wyrok WSA w Warszawie
Data orzeczenia
2023-09-19
orzeczenie nieprawomocne
Data wpływu
2022-12-05
Sąd
Wojewódzki Sąd Administracyjny w Warszawie
Sędziowie
Andrzej Góraj /sprawozdawca/
Andrzej Kołodziej /przewodniczący/
Karolina Kisielewicz
Symbol z opisem
647  Sprawy związane z ochroną danych osobowych
Hasła tematyczne
Ochrona danych osobowych
Sygn. powiązane
III OSK 252/24 - Postanowienie NSA z 2024-02-20
III OZ 187/23 - Postanowienie NSA z 2023-04-18
Skarżony organ
Generalny Inspektor Ochrony Danych Osobowych
Treść wyniku
Oddalono skargę
Powołane przepisy
Dz.U. 1997 nr 140 poz 939
art. 105a
Ustawa z dnia 29 sierpnia 1997 r. - Prawo bankowe.
Dz.U. 2023 poz 259
art. 151
Ustawa z dnia 30 sierpnia 2002 r. Prawo o postępowaniu przed sądami administracyjnymi - t.j.
Sentencja
Wojewódzki Sąd Administracyjny w Warszawie w składzie następującym: Przewodniczący Sędzia WSA Andrzej Kołodziej, Sędzia WSA Andrzej Góraj (spr.), Sędzia WSA Karolina Kisielewicz, , Protokolant st. sekr. sądowy Maryla Wiśniewska, , po rozpoznaniu na rozprawie w dniu 19 września 2023 r. sprawy ze skarg [...] Bank [...] S.A. z siedzibą w [...] oraz B. S.A. z siedzibą w [...] na decyzję Prezesa Urzędu Ochrony Danych Osobowych z dnia [...] września 2022 r. nr [...] w przedmiocie przetwarzania danych osobowych oddala skargi
Uzasadnienie
Postępowanie przed o Prezesem Urzędu Ochrony Danych Osobowych zainicjowała skarga I. C., prowadzącej działalność gospodarczą pod Firmą [...] z siedzibą w [...], zwanej dalej Skarżącą, na nieprawidłowości w przetwarzaniu jej danych osobowych przez [...] Bank [...] S. A. z siedzibą w [...], zwaną dalej Bankiem, polegające na przetwarzaniu danych osobowych Skarżącej bez jej zgody w B. S. A. z siedzibą w [...] zwanej dalej B..
Decyzją z dnia [...] września 2022 r. Prezes Urzędu Ochrony Danych Osobowych nakazał [...] Bank [...] S. A. z siedzibą w [...] zaprzestanie przetwarzania danych osobowych I. C., prowadzącej działalność gospodarczą pod Firmą [...] z siedzibą w [...], przetwarzanych bez podstawy prawnej po wygaśnięciu zobowiązania, w związku
z umową z dnia [...] listopada 2013 r. numer [...] (rachunek, na który zostało przeniesione zobowiązanie z rachunku [...]) w systemie B. S.A.
z siedzibą w [...], w celu oceny zdolności kredytowej i analizy ryzyka kredytowego.
Organ ustalił, że Skarżąca w 2013 r. zawarła z Bankiem umowę na okres
24 miesięcy i po upływie tego terminu bank na podstawie analizy jej sytuacji finansowej uznał że limit ten nie zostanie przedłużony i zaproponował jego refinansowanie/ugodę na kredyt firmowy ratalny. Ugoda zawarta została na 30 miesięcy i kwotę [...] pln. Zobowiązanie było terminowo obsługiwane przez cały okres trwania ugody. Bank nie poinformował klientki o tym, że kredyt ten po spłacie zostanie uznany jako "Odzyskany"
i będzie raportowany do B. w takiej właśnie formie.
Ustalono także , iż w związku z ww. umowami Bank pozyskał dane Skarżącej
w zakresie: imienia, nazwiska, nazwiska rodowego, imienia ojca, imienia matki, nazwiska panieńskiego matki, peselu, daty urodzenia, miejsca urodzenia, kraju urodzenia, obywatelstwa, typu i nr dokumentu tożsamości, adresu zamieszkania, adresu korespondencyjnego, e-maila, nr telefonu. Dane osobowe Skarżącej (w powiązaniu
z firmą Skarżącej) zostały następnie przekazane do B. w związku z kredytem gotówkowym nr [...] na podstawie art. 105 ust. 4 z dnia
29 sierpnia 1997 r. Prawo bankowe (Dz.U. 2019 poz. 2357 t.j. z późn. zm.), zwanej dalej Prawem bankowym, oraz na podstawie łączącej Bank i B. umowy w sprawie zbierania i udostępniania informacji i stąd w ocenie Banku nie ma w sprawie zastosowania
art. 105a ust. 3 Prawa bankowego.
Po analizie materiału dowodowego organ stwierdził, że zobowiązanie Skarżącej wobec Banku, wynikające z umowy zawartej w dniu [...] listopada 2013 r., wygasło w dniu [...] czerwca 2018 r. a Skarżąca w piśmie z dnia [...] października 2019 r. nie wyraziła zgody na przetwarzanie jej danych osobowych w B. po wygaśnięciu ww. zobowiązania wobec Banku. Podkreślono też, iż z materiału dowodowego zgromadzonego w sprawie nie wynika fakt poinformowania Skarżącej przez Bank w ustawowym terminie o zamiarze przetwarzania informacji dotyczących Skarżącej po wygaśnięciu zobowiązania bez jej zgody (sama Skarżąca w swej skardze z dnia [...] lutego 2020 r. też wskazała, że nie została powiadomiona przez Bank o zamiarze przetwarzania jej danych osobowych stanowiących tajemnicę bankową bez jej zgody w bazie B.).
Dalej organ wyjaśnił, że nie można podzielić stanowiska Banku, zgodnie z którym art. 105a ust. 3 Prawa bankowego nie ma zastosowania do przetwarzania danych osobowych osób fizycznych prowadzących działalność gospodarczą. Rozwijając ową tezę organ przywołał w art. 4 pkt 1 RODO oraz art. 4 ust. 1 ustawy Prawo przedsiębiorców z dnia 6 marca 2018 r. (Dz. U. 2021 r., poz. 162).
Powołał również tezę Wojewódzkiego Sądu Administracyjnego wyrażoną
w wyroku z dnia 12 czerwca 2017 (sygn. akt II Sa/Wa 1991/16), zgodnie z którym "informacja wtedy dotyczy osoby fizycznej, gdy przekazuje (komunikuje) coś na jej temat. Chodzi zatem o informację, która daje się powiązać z osobą lub powoduje, że możliwe jest jej odniesienie do konkretnej osobowy fizycznej zidentyfikowanej lub możliwej do zidentyfikowania, przy czym identyfikacja odbywa się na podstawie całokształtu posiadanych informacji". Prezes UODO zgodzi się również ze stanowiskiem Trybunału Sprawiedliwości UE wyrażonym w wyroku z 9 marca 2017 r. w sprawie C-398/15, w którym Trybunał orzekł, że "okoliczność, iż informacje wpisują się w ramy działalności zawodowej, nie oznacza, że nie można ich scharakteryzować jako dane osobowe, bowiem definicja danych osobowych odnosi się do osób fizycznych bez względu na rolę, jaką odgrywają (czy są konsumentami, przedsiębiorcami czy pracownikami itd.)".
Organ jeszcze raz podkreślił, że po wygaśnięciu zobowiązania, przetwarzanie danych jest możliwe tylko po spełnieniu przesłanek wynikających z art. 105a ust. 2 lub 3 Prawa bankowego. Skoro zaś Bank nie udowodnił ich spełnienia, w ocenie organu koniecznym było wydanie omawianej decyzji.
Skargę od powyższej decyzji wywiodła do tut. Sądu [...] S.A. w [...] wnosząc o jej uchylenie i zarzucając organowi
I. naruszenie przepisów prawa materialnego, które miało wpływ na wynik sprawy tj.:
1. art. 105a ust 2 i 3 Prawa bankowego poprzez jego błędną wykładnię i uznanie, że normy prawne zawarte ww. przepisach mają zastosowanie do przedsiębiorcy (osoby fizycznej prowadzącej działalność gospodarczy), a w konsekwencji do uznania przez Organ, że Bank nie może przetwarzać danych osobowych przedsiębiorcy (osoby fizycznej prowadzącej działalność gospodarczy), bez uprzedniego wykonania obowiązków wynikających z ww. norm a prawidłowa wykładnia art. 105a ust. 2 i 3 Prawa bankowego wskazuje, że przepisy te znajdują zastosowanie jedynie do konsumenta, a rozszerzenie ich skuteczności na przedsiębiorcę stoi w sprzeczności z wykładnią ww. przepisów;
2. art. 6 ust 1 lit b i c RODO w zw. z art. 105 ust. 4 Prawa bankowego, poprzez ich niezastosowanie ewentualnie ich błędny wykładnie, a w konsekwencji uznanie przez Organ, że Bank przetwarza dane I. C. bez podstawy prawnej a prawidłowe zastosowanie ww. przepisów winno doprowadzić Organ do ustalenia, że Bank przetwarza dane osobowe I. C. prowadzącej działalność gospodarczą pod firmą [...] na podstawie ww. przepisów prawa materialnego;
3. art. 58 ust 2 lit c ROOO poprzez jego błędne zastosowanie i nakazanie Bankowi zaprzestania przetwarzania danych osobowych w sytuacji, w której przy prawidłowym ustaleniu stanu faktycznego i właściwej wykładni przepisów prawa materialnego Organ winien uznać, że brak jest podstaw do nakazania Bankowi zaprzestania przetworzenia danych osobowych I. C. prowadzącej działalność gospodarczy pod firmą [...];
II. naruszenie przepisów postępowania, które mogło mieć wpływ na wynik sprawy, tj.:
1. art 8 § 2 k.p.a. poprzez odstąpienie przez Organ od utrwalonej praktyki rozstrzygania spraw w takim samym stanie faktycznym i prawnym;
2. art. 7 k.p.a.w zw. z art. 77 § 1 k.p.a. w zw. art. 107 § 1 pkt 6 i § 3 k.p.a. w zw. z art. 80 k.p.a., poprzez nieuwzględnienie, że w dacie wydania zaskarżonej decyzji Bank przetwarzał dane I. C. jako osoby prowadzącej działalność gospodarczą, przetwarzał więc dane powiązane z I. C. jako przedsiębiorcą, a nie dane I. C. jako konsumenta, co ma istotne znaczenie dla dokonania prawidłowej subsumpcji przepisów prawa materialnego;
W uzasadnieniu skarżący rozwinął powyższe zarzuty uwypuklając w szczególności tezę, że z wykładni historycznej oraz systemowej przepisu ort 105a Prawa bankowego wynika, iż w całości dotyczy on jedynie osób fizycznych - konsumentów i nie powinien być podmiotowo rozszerzony na osoby fizyczne - przedsiębiorców.
Od oznaczonej na wstępie decyzji skargę do tut. Sądu wywiodło też B. S.A. w [...] wnosząc o jej uchylenie i zarzucając organowi naruszenie prawa materialnego:
1. art. 105a ust. 2 i 3 ustawy z dnia 29 sierpnia 1997 r. - Prawo bankowe (t .j. Dz.U. z 2020 r. poz. 1896, zezm., dalej: "Prawo bankowe") poprzez błędną wykładnię przepisu art. 105a ust. 2 i 3 Prawa bankowego i przyjęcie, że w zakresie podmiotowym użytego we wskazanym przepisie pojęcia "osób fizycznych", znajdują się osoby fizyczne prowadzące działalność gospodarczą, a w konsekwencji także przyjęcie, że Bank miał obowiązek wypełnić przesłanki legalizujące przetwarzanie danych osobowych wskazane w przepisie art. 105a ust. 2 i 3 Prawa bankowego, aby legalnie przetwarzać dane Uczestniczki 2 (w tym udostępnić je B.), podczas gdy z prawidłowej wykładni przepisu art. 105a ust. 2 i 3 Prawa bankowego wynika, że ma on zastosowanie wyłącznie do osób fizycznych - konsumentów,
2. art. 6 ust. 1 lit. c) rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679
z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku
z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych, Dz. Urz. UE L 119 z 4.05.2016, str. 1, dalej jako RODO) wzw. z art. 105 ust. 1 pkt. 1c w zw. z art. 105 ust. 4 i w zw. z art. 105a w zw. z art. 70 i art. 5 ust. 1 pkt. 3 Prawa bankowego poprzez jego niewłaściwe zastosowanie i w konsekwencji nakazanie zaprzestania przetwarzania danych osobowych Uczestnika 2 w systemie B. w celu oceny zdolności kredytowej
i analizy ryzyka kredytowego, podczas gdy Skarżący jako administrator danych przetwarzanych w systemie B. jest ustawowo zobowiązany do realizacji obowiązku prawnego wynikającego z ww. przepisów polegającego na gromadzeniu, przetwarzaniu i udostępnianiu bankom oraz podmiotom szczegółowo wskazanym w przepisie informacji stanowiących tajemnicę bankową w zakresie, w jakim informacje te są potrzebne
w związku z wykonywaniem czynności bankowych w postaci oceny zdolności kredytowej oraz analizy ryzyka kredytowego konkretnego klienta (indywidualna ocena zdolności kredytowej) oraz w związku ze stosowaniem metod wewnętrznych oraz innych metod
i modeli, o których mowa w części trzeciej rozporządzenia Parlamentu Europejskiego
i Rady (UE) nr 575/2013 z dnia 26 czerwca 2013 r. w sprawie wymogów ostrożnościowych dla instytucji kredytowych i firm inwestycyjnych, zmieniające rozporządzenie (UE) nr 648/2012 (dalej jako: rozporządzenia nr 575/2013) ewentualnie, na wypadek nieuwzględnienia ww. zarzutu, zarzucił naruszenie art. 6 ust. 1 lit. f) RODO poprzez jego błędną wykładnię i w konsekwencji niezastosowanie skutkujące nakazaniem zaprzestania przetwarzania danych osobowych Uczestnika 2 w systemie B. w celu oceny zdolności kredytowej i analizy ryzyka kredytowego, podczas gdy Skarżący jako administrator danych przetwarzanych w systemie B. posiada podstawę prawną przetwarzania danych Uczestniczki w postaci niezbędności przetwarzania dla realizacji prawnie uzasadnionych interesów administratora oraz podmiotów trzecich wskazanych w art. 105 ust. 4 pkt. 1-5 Prawa bankowego, w postaci realizacji obowiązku gromadzenia, przetwarzania oraz udostępnienia bankom oraz podmiotom wskazanym w ww. przepisie informacji stanowiących tajemnicę bankową w zakresie, w jakim informacje te są potrzebne w związku z wykonywaniem czynności bankowych w postaci oceny zdolności kredytowej oraz analizy ryzyka kredytowego konkretnego klienta (indywidualna ocena zdolności kredytowej) oraz w celu budowy i utrzymania modeli scoringowych, a więc narzędzi wykorzystywanych przez banki do oceny zdolności kredytowej i analizy ryzyka kredytowego oraz w związku ze stosowaniem metod wewnętrznych oraz innych metod i modeli, o których mowa w części trzeciej rozporządzenia nr 575/2013,
3. art. 6 ust. 1 lit. e) RODO poprzez jego niezastosowanie wskutek uznania, że Skarżący jako administrator danych przetwarzanych w systemie B. nie posiada podstawy prawnej do przetwarzania danych Uczestnika 2 w systemie B. w celu oceny zdolności kredytowej oraz analizy ryzyka kredytowego, podczas gdy Skarżący posiada podstawę prawną przetwarzania z uwagi na niezbędność przetwarzania dla realizacji zadania w interesie publicznym przez banki i B. w postaci zabezpieczenia ekonomicznogospodarczego sektora bankowego, w tym depozytariuszy i zapewnienia stabilności ekonomiczno-gospodarczej sektora bankowego, a w ujęciu makro zapobieganiu kryzysom gospodarczym.
Skarżący zarzucił również organowi naruszenie prawa procesowego, mające istotny wpływ na wynik sprawy, tj.:
1. art. 7, w zw. z art. 77 § 1 i w zw. z art. 80 k.p.a. w zw. z art. 7 UODO, poprzez niewyczerpujące zebranie, nierozpatrzenie i błędną ocenę całokształtu materiału dowodowego przejawiającego się w zaniechaniu dokonania wyczerpującej analizy charakteru, zakresu oraz celów gospodarczo - ekonomicznych dla jakich zostało powołane B. S.A. oraz obowiązków prawnych i obowiązków wynikających z zawartych przez B. umów z bankami, skutkującą wadliwą i niepełną oceną stanu faktycznego sprawy oraz charakteru działania Skarżącego jako administratora danych osobowych przetwarzanych w systemie B. , co w konsekwencji skutkowało nieuzasadnionym wydaniem przez Organ nakazu usunięcia danych osobowych Uczestnika 2 z systemu B.;
2. art. 7 k.p.a., art. 77 k.p.a. w zw. z art. 80 k.p.a. poprzez:
a. niezbadanie przez Organ wszystkich podstaw prawnych dalszego przetwarzania danych o spłaconych (terminowo oraz nieterminowo) zobowiązaniach klientów banków, pomimo, iż przepisy prawa upoważniają Skarżącego do przetwarzania tych danych, co w konsekwencji doprowadziło do błędnego nakazania Uczestnikowi 1 usunięcie danych osobowych z systemu B. wobec błędnego przyjęcia przez Organ braku istnienia podstawy prawnej do przetwarzania danych,
b. brak wyczerpującej analizy stanu prawnego istotnego dla okoliczności sprawy,
w szczególności z uwagi na brak analizy celowościowej, systemowej i historycznej
art. 105a Prawa bankowego poprzez ograniczenie się wyłącznie do językowej wykładni przepisu, poprowadzonej przez pryzmat definicji danych osobowych z art. 4 pkt 1) RODO;
3. art. 8 § 1 i 2 k.p.a. poprzez odstąpienie przez Organ od utrwalonej praktyki rozstrzygania spraw w takim samym stanie faktycznym i prawnym, co z kolei narusza zasadę pogłębiania zaufania obywateli do władzy publicznej.
W uzasadnieniu skarżący rozwinął powyższe zarzuty.
W odpowiedzi na powyższe skargi organ wniósł o ich oddalenie.
Na rozprawie w dniu 29 września 2023 r. Sąd działając na podstawie art. 111 § 1 ustawy z dnia 30 sierpnia 2002 r. – Prawo o postępowaniu przed sądami administracyjnymi (Dz. U. z 2023 r. poz. 1634) zarządził połączenie spraw z obydwu w/opisanych skarg do wspólnego rozpoznania i rozstrzygnięcia.
Wojewódzki Sąd Administracyjny w Warszawie zważył, co następuje:
zgodnie z treścią przepisu art. 1 § 1 i 2 ustawy z dnia 25 lipca 2002 r. – Prawo
o ustroju sądów administracyjnych (Dz. U. z 2023 r. poz. 1634) sąd administracyjny sprawuje wymiar sprawiedliwości poprzez kontrolę pod względem zgodności z prawem skarżonej decyzji administracyjnej. Jest więc to kontrola legalności rozstrzygnięcia zapadłego w postępowaniu administracyjnym, z punktu widzenia jego zgodności
z prawem materialnym i procesowym. Oceniając przedmiotową decyzję według powyższych kryteriów, uznać należy, iż nie narusza ona prawa.
Istota sprawy w niniejszym postępowaniu sprowadzała się do oceny tego, czy przepisy art. 105a ust. 2 i 3 ustawy Prawo bankowe znajdują zastosowanie do osób fizycznych prowadzących działalność gospodarczą.
W ocenie tut. Sądu na w/postawione pytanie należało udzielić pozytywnej odpowiedzi.
Przede wszystkim podkreślenia wymaga, iż okoliczność prowadzenia działalności gospodarczej przez osobę fizyczną, nie pozbawia tej osoby przymiotów i przywilejów wynikających z faktu bycia osobą fizyczną. Nadto, to przecież osoba fizyczna posiada osobowość prawną. Nadal też jej nazwisko, nawet użyte w powiązaniu z nazwą prowadzonej działalności gospodarczej, umożliwia zidentyfikowanie właśnie konkretnej osoby fizycznej.
Analizując omawianą problematykę nie sposób też abstrahować od definicji przedsiębiorcy użytej w ustawie z 6 marca 2018 r. Prawo przedsiębiorców w myśl której przedsiębiorcą jest m.in. osoba fizyczna wykonująca działalność gospodarczą. Skoro więc podjęcie działalności gospodarczej przez osobę fizyczną nie pozbawia jej osobowości prawnej (tzw. przedsiębiorstwo prowadzone przez osobę fizyczną nie uzyskuje samodzielnej, odrębnej od tej osoby, osobowości prawnej), w obrocie prawnym osoba prowadząca działalność gospodarczą nadal pozostaje osobą fizyczną ze wszelkimi, wynikającymi z tego faktu konsekwencjami.
Dokonując wykładni oznaczonych na wstępie niniejszych rozważań przepisów, na potrzeby postępowania związanego z materią przetwarzania danych osobowych, niepodobna czynić tego w oderwaniu od norm prawnych regulujących problematykę ochrony danych osobowych. Wykładnia przepisów nie może bowiem abstrahować od celu, którego realizacji dotyczą przepisy będące podstawą rozstrzygania w konkretnej sprawie. Stąd dokonanej w skargach wykładni historycznej i systemowej, ale odnoszącej się tylko do przepisów prawa bankowego, tut. Sąd nie mógł zaaprobować w realiach faktycznych i prawnych rozpoznawanej sprawy i uznał ową wykładnię jako pozostającą w oderwaniu od istoty decyzji objętej skargami.
W świetle powyższego, w ocenie tut. Sądu koniecznym było odniesienie się do
art. 5 pkt 1 RODO, w myśl którego dane osobowe oznaczają wszelkie informacje
o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej ("osobie, której dane dotyczą"). Możliwa do zidentyfikowania osoba fizyczna to osoba, którą można bezpośrednio lub pośrednio zidentyfikować, w szczególności na podstawie identyfikatora takiego jak imię i nazwisko, numer identyfikacyjny, dane o lokalizacji, identyfikator internetowy lub jeden bądź kilka szczególnych czynników określających fizyczną, fizjologiczną, genetyczną, psychiczną, ekonomiczną, kulturową lub społeczną tożsamość osoby fizycznej.
Skoro więc z przywołanej definicji wynika, iż imię i nazwisko osoby prowadzącej działalność gospodarczą (użyte nawet w powiązaniu z nazwą owej działalności) umożliwia identyfikację tej osoby, to oznacza to, iż osoba fizyczna która prowadzi działalność gospodarczą , nadal korzysta z ochrony swoich danych osobowych jak każda osoba fizyczna.
Powyższe konkluzje pozostają w zgodzie z wypracowanymi poglądami judykatury zarówno krajowej (wyrok WSA w Warszawie z 12.06.2017 r. sygn. akt II SA/Wa 1991/16 - informacja wtedy dotyczy osoby fizycznej, gdy przekazuje (komunikuje) coś na jej temat. Chodzi zatem o informację, która daje się powiązać z osobą lub powoduje, że możliwe jest jej odniesienie do konkretnej osobowy fizycznej zidentyfikowanej lub możliwej do zidentyfikowania, przy czym identyfikacja odbywa się na podstawie całokształtu posiadanych informacji) jak i judykatury europejskiej (wyrok Trybunału Sprawiedliwości UE z 9.03.2017r. sygn.. akt C-398/15 - okoliczność, iż informacje wpisują się w ramy działalności zawodowej, nie oznacza, że nie można ich scharakteryzować jako dane osobowe. Definicja danych osobowych odnosi się zatem do osób fizycznych bez względu na rolę, jaką odgrywają (czy są konsumentami, przedsiębiorcami czy pracownikami itd.).
Przenosząc powyższe na realia faktyczne niniejszej sprawy uznać należało,
że organ nie naruszył przepisów prawa uznając, że art.105a ust. 2 i 3 Prawa bankowego znajduje zastosowanie do każdej osoby fizycznej – nawet prowadzącej działalność gospodarczą.
Stąd w sytuacji, gdy okolicznością niesporną był fakt, że skonkretyzowane
w sentencji decyzji zobowiązanie I. C. wygasło, jak też uwzględniając to, że Bank nie pozyskał od I. C. zgody na przetwarzanie jej danych osobowych po wygaśnięciu zobowiązania, skarżone rozstrzygnięcie organu jawiło się jako prawidłowe. Na dzień orzekania sporne dane osobowe przetwarzane bowiem były bez podstawy prawnej.
W tym stanie sprawy, nie podzielając argumentów zawartych w złożonych skargach, oraz uznając iż organ w sposób prawidłowy zebrał i ocenił materiał dowodowy, oraz iż przy wykonywaniu tych czynności nie naruszył przepisów prawa, Wojewódzki Sąd Administracyjny w Warszawie orzekł jak w sentencji wyroku na podstawie art. 151 ustawy z dnia 30 sierpnia 2002 r. – Prawo o postępowaniu przed sądami administracyjnymi (Dz. U. z 2023 r., poz. 1634).