Lexedit
Wróć do analizy orzeczenia
Pełny tekst orzeczenia

II SA/Wa 2318/23

Oryginalna, niezmieniona treść orzeczenia. Jeżeli chcesz przeczytać analizę (zagadnienia prawne, podstawa prawna, argumentacja, rozstrzygnięcie), wróć do strony orzeczenia.

II SA/Wa 2318/23 - Wyrok WSA w Warszawie
Data orzeczenia
2024-06-10
orzeczenie nieprawomocne
Data wpływu
2023-12-11
Sąd
Wojewódzki Sąd Administracyjny w Warszawie
Sędziowie
Arkadiusz Koziarski
Ewa Radziszewska-Krupa
Izabela Głowacka-Klimas /przewodniczący sprawozdawca/
Symbol z opisem
647  Sprawy związane z ochroną danych osobowych
Hasła tematyczne
Inne
Skarżony organ
Generalny Inspektor Ochrony Danych Osobowych
Treść wyniku
Oddalono skargę
Powołane przepisy
Dz.U. 2019 poz 1781
art. 160 ust. 1 i 2
Ustawa z dnia 10 maja 2018 r. o ochronie danych osobowych (t. j.)
Dz.U. 2022 poz 2000
art. 105 par. 1
Ustawa z dnia 14 czerwca 1960 r. Kodeks postępowania administracyjnego - t.j.
Dz.U.UE.L 2016 nr 119 poz 1 art. 99 ust. 2
Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z  przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE
Sentencja
Wojewódzki Sąd Administracyjny w Warszawie w składzie następującym: Przewodniczący Sędzia WSA Izabela Głowacka-Klimas (spr.), Sędzia WSA Ewa Radziszewska-Krupa, Asesor WSA Arkadiusz Koziarski, Protokolant specjalista Joanna Głowala po rozpoznaniu na rozprawie w dniu 10 czerwca 2024 r. sprawy ze skargi M. K. na decyzję Prezesa Urzędu Ochrony Danych Osobowych z dnia [...] września 2023 r. nr [...] w przedmiocie umorzenia postępowania oddala skargę
Uzasadnienie
Prezes Urzędu Ochrony Danych Osobowych (dalej: Prezes UODO, organ) decyzją z [...] września 2023 r. znak [...] , na podstawie
art. 105 § 1 ustawy z dnia 14 czerwca 1960 r. Kodeks postępowania administracyjnego (Dz.U. z 2023 r. poz. 775 ze zm.; dalej Kpa.) w zw. z art. 7 ust. 1
i ust. 2 ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych (Dz.U. 2019 r. poz. 1781) i art. 58 ust. 2 rozporządzenia Parlamentu Europejskiego i Rady (WE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku
z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz. Urz. UEL 119 z 4.05.2016, str. 1, Dz. Urz. UE L 127 z 23.05.2018, str. 2 oraz Dz. Urz. UE L 74 z 4.03.2021, str. 35; dalej RODO), po przeprowadzeniu postępowania administracyjnego w sprawie skargi M. K. (dalej także skarżąca), na nieprawidłowości w procesie przetwarzania jej danych osobowych przez A. B.(poprzednio A. M., dalej także uczestnik), prowadzącą działalność gospodarczą pod nazwą "Centrum Finansowania Biznesu" A. B. (poprzednio "Centrum Finansowania Biznesu" A.M.), z siedzibą
w S., przy ul. W. [...], polegające na przetwarzaniu jej danych osobowych bez podstawy prawnej, oraz przez Bank M. S.A.
z siedzibą w W., przy ul. Z. [...] (dalej Bank), polegające na udostępnieniu jej danych osobowych uczestnikowi, bez podstawy prawnej, umorzył postępowanie.
Do wydania powyższej decyzji doszło w następującym stanie sprawy.
Do Prezesa UODO w dniu [...] grudnia 2021 r. wpłynęła skarga M. K. na nieprawidłowości w procesie przetwarzania jej danych osobowych przez uczestnika, polegające na przetwarzaniu tych danych bez podstawy prawnej, oraz przez Bank, polegające na udostępnieniu danych osobowych skarżącej uczestnikowi bez podstawy prawnej.
W toku przeprowadzonego postępowania wyjaśniającego skarżąca wskazała, że posiada w Banku produkty bankowe, a osobą, która zajmowała się jej obsługą
w ramach oddziału Banku była A.M.. Skarżąca wskazała, że [...] stycznia 2018 r. otrzymała od uczestnika telefon z informacją, że obsługiwał on skarżącą
w oddziale Banku oraz założył własną działalność gospodarczą, w ramach której jest w stanie zaoferować skarżącej lepsze warunki inwestycyjne oraz kredytowe niż Bank. Skarżąca wskazała, że nigdy nie wyraziła zgody na przetwarzanie jej danych osobowych przez uczestnika ani na przekazanie jej danych osobowych przez Bank uczestnikowi. Podała, że nigdy nie miała kontaktu z uczestnikiem w czasie, gdy był on pracownikiem Banku. Powyższe nastąpiło w wyniku przekazania przez Bank uczestnikowi, który był pracownikiem Banku, danych osobowych skarżącej bez podstawy prawnej. W konsekwencji skarżąca zakwestionowała legalność przetwarzania przez uczestnika jej danych osobowych, legalność udostępnienia jej danych osobowych przez Bank uczestnikowi oraz zawnioskowała do Prezesa UODO o nakazanie uczestnikowi usunięcia jej danych osobowych
W piśmie z [...] czerwca 2022 r. Bank wskazał, że pozyskał dane osobowe skarżącej w związku z zawarciem i realizacją umowy rachunków bankowych oraz karty debetowej z [...] grudnia 2012 r. Wyjaśnił, że nie udostępnił danych osobowych skarżącej uczestnikowi. Wyjaśnił też, że przed założeniem działalności gospodarczej uczestnik był zatrudniony w Banku na stanowisku doradcy klienta w jednym
z oddziałów Banku, a rozwiązanie stosunku pracy nastąpiło z dniem [...] stycznia 2017 r. Uczestnik w czasie zatrudnienia w Banku posiadał dostępy do systemów informatycznych Banku, niezbędne do realizacji obowiązków służbowych na stanowisku doradcy klienta. Bank wskazał, że jak wynika z danych systemowych
w trakcie zatrudnienia w Banku, uczestnik jako pracownik Banku nie realizował dyspozycji na rachunkach prowadzonych na rzecz skarżącej, jak również nie procedował dokumentów z nią związanych. Bank powołał wyrok Sądu Rejonowego
w C., Wydział [...] Karny, z dnia [...]maja 2021 r. w sprawie o sygn. akt [...], w którym stwierdzono, że zgromadzony w sprawie karnej materiał dowodowy nie pozwolił na ustalenie, w jakich okolicznościach uczestnik znalazł się w posiadaniu danych osobowych skarżącej oraz, że samo zaproponowanie skarżącej przez uczestnika zmiany podmiotu świadczącego usługi, nie wskazuje jednoznacznie na to, że uczestnik w momencie wykonywania połączenie był w posiadaniu informacji stanowiących tajemnicę bankową.
Uczestnik wskazał, że był pracownikiem Banku i często nawiązywał relację
w celu dobrej współpracy oraz, że często klienci Banku sami podawali swój numer telefonu, a uczestnik dzwonił do nich z ofertami. Wyjaśnił, że jedynymi danymi osobowymi skarżącej, które posiadał był jej numer telefonu, podany przez nią samą. Jak stwierdził, prawdopodobnie po zakończeniu zatrudnienia w Banku zadzwonił
na numer telefonu skarżącej z informacją, że nie jest już pracownikiem Banku oraz, że założył swoją działalność gospodarczą. Wskazał, że odbyło się to za zgodą skarżącej wyrażoną poprzez dobrowolne przekazanie jej numeru telefonu. Dodał, że nie był w posiadaniu numeru konta skarżącej ani innych jej danych osobowych. Nigdy nie proponował skarżącej inwestycji ani lokaty, gdyż w ramach prowadzenia swojej działalności gospodarczej zajmuje się wyłącznie kredytami biznesowymi opartymi na prowadzeniu działalności gospodarczej lub spółek.
Uczestnik podniósł, że skarżąca nigdy nie zwróciła się do niego z prośbą
o nietelefonowanie. Telefon jaki wykonał do skarżącej był jedynym kontaktem
po odejściu z Banku – tylko i wyłączenie w celu informacyjnym. Jeżeli klient nie chciał utrzymywać relacji, nie oddzwonił, wówczas kontakt całkowicie się urywał. Nigdy nie ponawiał kontaktu z klientem w jakimkolwiek innym celu. Dodał, że aktualnie nie przetwarza żadnych danych osobowych skarżącej, zaś skarżąca nie zwróciła się
do niego z żądaniem usunięcia jej danych osobowych.
Prezes UODO zwrócił się do uczestnika o złożenie dodatkowych wyjaśnień
w sprawie pismami z [...] listopada 2022 r. oraz [...] lutego 2023 r., jednakże pozostały one bez odpowiedzi.
W uzasadnieniu wymienionej na wstępie decyzji organ wskazał, odnosząc się zarówno do zarzutu udostępnienia danych osobowych skarżącej przez Bank na rzecz uczestnika oraz do zarzutu przetwarzania przez uczestnika danych osobowych skarżącej bez podstawy prawnej, że do zdarzeń opisanych w skardze,
tj. udostępnienia danych osobowych skarżącej przez Bank na rzecz uczestnika, jak również do przetwarzania tych danych osobowych przez uczestnika w celu wykonania do niej połączenia telefonicznego w dniu [...] stycznia 2018 r., miało dojść
w okresie obowiązywania przepisów ustawy z dnia [...] sierpnia 1997 r. o ochronie danych osobowych (Dz.U. z 2016 r. poz. 922 ze zm.), zwanej dalej ustawą z dnia 29 sierpnia 1997 r. Przepisy te określały zasady przetwarzania danych osobowych
do 24 maja 2018 r. natomiast od 25 maja 2018 r., obowiązują przepisy RODO oraz ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych (Dz.U. z 2019 r.
poz. 1781), zwanej dalej ustawą z dnia 10 maja 2018 r.
Prezes UODO wskazał, że rozwiązanie stosunku pracy łączącego uczestnika z Bankiem, w trakcie którego miało dojść do kwestionowanego przez skarżącą udostępnienia jej danych osobowych, nastąpiło z dniem [...] stycznia 2017 r. Poczynione w sprawie ustalenia faktyczne pozwalają jednocześnie na uznanie, że po kontakcie telefonicznym ze skarżącą, mającym miejsce w dniu [...] stycznia 2018 r., uczestnik nie kontynuował przetwarzania jej danych osobowych. Organ przywołał wyjaśnienia uczestnika złożone na okoliczność powyższych ustaleń.
Zdaniem organu wskazane daty mają kluczowe znaczenia dla rozstrzygnięcia niniejszej sprawy, bowiem przesądzają, że w zakresie zarzucanych przez skarżącą nieprawidłowości, przepisy RODO nie znajdują zastosowania. Proces zarzucanego przez skarżącą udostępnienia jej danych osobowych przez Bank na rzecz uczestnika oraz proces przetwarzania przez uczestnika danych osobowych skarżącej zakończyły się przed [...] maja 2018 r. Opisane w treści skargi zdarzenia nie mogą być zatem rozpatrywane w toku postępowania administracyjnego zmierzającego
do wydania decyzji w oparciu o przepisy RODO.
Przepis art. 99 ust. 1 RODO wprost wskazuje, że rozporządzenie to ma zastosowanie od dnia [...] maja 2018 r. W związku z tym, przepisy RODO mają zastosowanie wyłącznie w sprawach, w których skargę wniesiono od [...] maja 2018 r. i w tej dacie kwestionowany proces przetwarzania danych osobowych trwał. Jednocześnie organ wskazał, że zgodnie z motywem 122 RODO "każdy organ nadzorczy powinien być właściwy na terytorium swojego państwa członkowskiego do wykonywania uprawnień i wypełniania zadań powierzonych mu w myśl niniejszego rozporządzenia. (...) Powinno to dotyczyć rozpatrywania skarg wnoszonych przez osoby, których dane dotyczą, prowadzenia postępowań w sprawie stosowania niniejszego rozporządzenia oraz uświadamiania ryzyka, zasad, zabezpieczeń i praw związanych z przetwarzaniem danych osobowych". Podkreślił, że zgodnie z art. 55 ust. 1 RODO każdy organ nadzorczy jest właściwy do wypełniania zadań
i wykonywania uprawnień powierzonych mu zgodnie z RODO na terytorium swojego państwa członkowskiego, natomiast do zadań organu nadzorczego należy prowadzenie postępowań w sprawie stosowania tego rozporządzenia (art. 57 ust. 1 lit. h RODO).
Dalej organ wyjaśnił, że art. 58 RODO określa uprawnienia organu nadzorczego. Przepisy art. 58 ust. 1-3 RODO wyliczają uprawnienia przysługujące każdemu organowi nadzorczemu – uprawnienia do prowadzenia postępowań, uprawnienia naprawcze i do nakładania kar, uprawnienia do udzielania zezwoleń
i uprawnienia doradcze oraz uprawnienia do zgłaszania naruszeń organom wymiaru sprawiedliwości oraz do udziału w postępowaniu sądowym. Ocena dokonywana przez Prezesa UODO w każdym przypadku służy zbadaniu zasadności skierowania pod adresem określonego podmiotu rozstrzygnięcia odpowiadającego dyspozycji
art. 58 ust. 2 RODO służącego przywróceniu stanu zgodnego z prawem. W tej sprawie, jak podano, organ nadzorczy nie ma możliwości zastosowania przysługujących mu uprawnień naprawczych. Zdarzenia, których przedmiotowa skarga dotyczy zakończyły się przed dniem [...] maja 2018 r., a postępowanie administracyjne w tej sprawie zostało zainicjowane po tym dniu.
Z uwagi na fakt, że kwestionowane w skardze zdarzenia miały miejsce
i zakończyły się w czasie, gdy obowiązywały przepisy ustawy z dnia [...] sierpnia
1997 r., a postępowanie administracyjne przed organem nadzorczym zainicjowano
w czasie, gdy zaczęły obowiązywać przepisy ustawy z dnia [...] maja 2018 r.,
do rozstrzygnięcia przedmiotowej sprawy nie jest możliwe również zastosowanie przepisów ustawy z dnia 29 sierpnia 1997 r. Przepis art. 160 ust. 1 i 2 ustawy z dnia 10 maja 2018 r. stanowi, że jedynie postępowania, wszczęte i niezakończone przed dniem wejścia w życie niniejszej ustawy z dnia 10 maja 2018 r., są prowadzone przez Prezesa UODO, na podstawie ustawy z dnia 29 sierpnia 1997 r.
Tym samym, w ocenie organu, Prezes UODO nie ma możliwości prowadzenia postępowania administracyjnego w oparciu o przepisy ustawy z dnia 29 sierpnia 1997 r., gdyż postępowanie w przedmiotowej sprawie zostało wszczęte po dniu wejścia w życie ustawy z dnia 10 maja 2018 r. Brak jest również podstawy
do korzystania przez organ z uprawnień przewidzianych w uchylonej ustawie z 29 sierpnia 1997 r. w tym do oceny zgodności zachowania administratora z ww. przepisami w przypadku, gdy skarżony proces przetwarzania nie był kontynuowany po [...] maja 2018 r. Organ nie może również dokonać oceny zgodności kwestionowanych w skardze działań z RODO, ponieważ zdarzenia będące przedmiotem skargi mają charakter zakończony i nie były kontynuowane po [...] maja 2018 r. Ponadto brak jest obecnie przepisów kompetencyjnych uprawniających organ do prowadzenia postępowania w przedmiocie oceny zgodności działania administratora z przepisami ustawy z 29 sierpnia 1997 r.
Jak podał organ, zgodnie z zasadą prawdy obiektywnej, wyrażoną w art. 7 Kpa., w toku postępowania organy administracji publicznej stoją na straży praworządności i podejmują wszelkie kroki niezbędne do dokładnego wyjaśnienia stanu faktycznego oraz do załatwienia sprawy, mając na względzie interes społeczny i słuszny interes obywateli. Realizację powyższego zapewniają zwłaszcza gwarancje zawarte w przepisach regulujących postępowanie dowodowe. Naczelny Sąd Administracyjny w wyroku z dnia 26 października 1984 r. (sygn. II SA 1205/84, ONSA 1984, Nr 2, poz. 98) orzekł: "Z art. 7 i 77 § 1 Kpa wynika, że obowiązek wyczerpującego zbadania i rozpatrzenia całego materiału dowodowego ciąży na organie prowadzącym postępowanie administracyjne. Nie znaczy to, że strona jest zwolniona od współudziału w realizacji tego obowiązku, zwłaszcza że nieudowodnienie określonej okoliczności faktycznej może prowadzić do rezultatów niekorzystnych dla strony". Po wyczerpaniu możliwości dokonania niezbędnych dla podjęcia rozstrzygnięcia ustaleń faktycznych organ prowadzący postępowanie jest uprawniony, a nawet zobowiązany do przyjęcia takiej wersji zdarzeń, która odpowiada logicznie pozostałemu materiałowi dowodowemu.
Wobec powyższego Prezes UODO podzielił wskazywany w doktrynie pogląd, że "bezprzedmiotowość postępowania administracyjnego, o której stanowi art. 105
§ 1 Kpa, oznacza, że brak jest któregoś z elementów materialnego stosunku prawnego, a wobec tego nie można wydać decyzji załatwiającej sprawę przez rozstrzygnięcie jej co do istoty. Przesłanka umorzenia postępowania może istnieć jeszcze przed wszczęciem postępowania, co zostanie ujawnione dopiero w toczącym się postępowaniu, a może ona powstać także w czasie trwania postępowania, a więc w sprawie już zawisłej przed organem administracyjnym." (B. Adamiak, J. Borkowski, Kodeks postępowania administracyjnego. Komentarz, C.H. Beck, Warszawa 2006,
s. 489). Ustalenie przez organ publiczny zaistnienia przesłanki, o której mowa w art. 105 § 1 Kpa., zobowiązuje go, jak podkreśla się w doktrynie, do umorzenia postępowania, nie ma bowiem w sytuacji zaistnienia tej przesłanki podstaw do rozstrzygnięcia sprawy co do istoty, a dalsze prowadzenie postępowania w takim przypadku stanowiłoby o jego wadliwości, mającej istotny wpływ na wynik sprawy. Bezprzedmiotowość postępowania może być także wynikiem zmiany stanu faktycznego sprawy. Zgodnie bowiem z brzmieniem art. 105 § 1 Kpa., gdy postępowanie z jakiejkolwiek przyczyny stało się bezprzedmiotowe w całości albo
w części, organ administracji publicznej wydaje decyzję o umorzeniu postępowania odpowiednio w całości albo w części. Jak wskazał Wojewódzki Sąd Administracyjny w Warszawie w wyroku z dnia 5 października 2017 r., sygn. akt VI SA/Wa 1093/17, "bezprzedmiotowość postępowania administracyjnego to brak przedmiotu postępowania. Tym przedmiotem jest zaś konkretna sprawa, w której organ administracji państwowej jest władny i jednocześnie zobowiązany rozstrzygnąć na podstawie przepisów prawa materialnego o uprawnieniach lub obowiązkach indywidualnego podmiotu".
W niniejszej sprawie, zdaniem organu, zaistniały przesłanki bezprzedmiotowości postępowania i umorzenia postępowania w oparciu o art. 105
§ 1 Kpa. Jak wynika ze zgromadzonego w sprawie materiału dowodowego kwestionowane w skardze zdarzenia, polegające na udostępnieniu przez Bank
na rzecz uczestnika danych osobowych skarżącej oraz na przetwarzaniu przez uczestnika danych osobowych skarżącej miały miejsce i zakończyły się w czasie, gdy obowiązywały przepisy ustawy z dnia 29 sierpnia 1997 r., a postępowanie administracyjne przed organem nadzorczym zostało zainicjowane przez skarżącą
w czasie, gdy zaczęły obowiązywać przepisy ustawy z dnia 10 maja 2018 r. oraz RODO. Wobec powyższego postępowanie to stało się bezprzedmiotowe.
Organ dodał, że ocena dokonywana przez Prezesa UODO w każdym przypadku służy zbadaniu zasadności skierowania pod adresem określonego podmiotu nakazu, odpowiadającego dyspozycji art. 58 ust. 2 RODO, służącego przywróceniu stanu zgodnego z prawem, w procesie przetwarzania danych – jest więc ona uzasadniona i potrzebna tylko o tyle, o ile nieprawidłowości w procesie przetwarzania danych osobowych istnieją.
Skarżąca, reprezentowana przez radcę prawnego, wywiodła
do Wojewódzkiego Sądu Administracyjnego w Warszawie skargę na wskazaną
na wstępie decyzję Prezesa UODO.
Zaskarżonej decyzji zarzuciła naruszenie przepisów prawa procesowego, które mogło mieć istotny wpływ na wynik sprawy, a to:
- art. 35 § 1 i § 3 Kpa. w sposób polegający na niezałatwieniu sprawy w terminie określonym w wyżej wymienionym przepisie, narażając tym samym skarżącą na ryzyko utraty z uwagi na upływ czasu, możliwości dochodzenia roszczeń cywilnoprawnych z tytułu naruszenia jej dóbr osobistych,
- art. 36 Kpa. w zw. z art. 62 ustawy z dnia 10 maja 2018 r.
o ochronie danych osobowych (u.o.d.o.) poprzez niepoinformowanie skarżącej
o niezałatwieniu sprawy w ustawowym terminie oraz niewskazaniu przyczyn zwłoki ani terminu rozpatrzenia sprawy, z jednoczesnym brakiem pouczenia
o przysługujących jej w związku z tym prawach, pozbawiając tym samym skarżącą możliwości skorzystania z przysługującego jej prawa do wniesienia ponaglenia,
a w razie konieczności - prawa wniesienia skargi do sądu administracyjnego z tytułu bezczynności organu i przewlekłości postępowania,
- art. 77 § 1 Kpa. w sposób polegający na niezabezpieczeniu w sprawie wyczerpującego materiału dowodowego poprzez nieodebranie od A. B. (poprzednio A. M.) jako przedsiębiorcy i Banku dowodów, potwierdzających fakt zapoznania skarżącej z klauzulą informacyjną odnośnie celu przetwarzania jej danych osobowych, w tym również źródła pozyskania danych dotyczącej skarżącej przez przetwarzającą jej dane osobowe A. B.(poprzednio A. M.)
w ramach prowadzonej przez nią działalności gospodarczej, w czasie w jakim miały miejsce zdarzenia wskazane w skardze skierowanej do Prezesa UODO,
- art. 77 § 1 Kpa. w sposób polegający na braku zebrania w sprawie wyczerpującego materiału dowodowego, przede wszystkim nie uzyskanie
od uczestnika, dowodów potwierdzających, iż przetwarzanie przez niego danych osobowych skarżącej miało miejsce za uprzednią zgodą wyrażoną dobrowolnie przez skarżącą, pomimo że ciężar dowodowy wykazania dysponowania taką zgodą spoczywał na wyżej wymienionej jako administratorze danych,
- art. 80 Kpa. poprzez dowolną ocenę dowodów, a mianowicie poprzez przyjęcie, iż nie można jednoznacznie uznać, że przedsiębiorca - uczestnik,
w momencie wykonywania połączenia telefonicznego był w posiadaniu informacji stanowiących tajemnicę bankową, podczas gdy przedmiot postępowania prowadzonego przez Prezesa UODO dotyczył przede wszystkim naruszenia prawa
z zakresu ochrony danych osobowych, tj. faktu bezprawnego udostępnienia przez Bank, bezprawnego pozyskania, a następnie bezprawnego wykorzystania przez prowadzącą własną działalność gospodarczą A. B.(poprzednio jako A. M.), danych osobowych dotyczących skarżącej, znajdujących się w bazie danych klientów Banku, do których wymieniona jako doradca klienta miała dostęp będąc jeszcze pracownikiem Banku, jednakże tego rodzaju dane składają się na informacje wykorzystywane w czynnościach bankowych dotyczących klienta, które to czynności bankowe stanowią tajemnicę bankową,
- art. 77 Kpa. w sposób polegający na niezebraniu materiału dowodowego pozwalającego na dokonanie oceny czy dane osobowe, których administratorem był Bank były zabezpieczone w sposób gwarantujący ich skuteczną ochronę przed ich bezprawnym przejęciem przez pracowników, co ma istotne znaczenie dla rozstrzygnięcia sprawy i kwestii odpowiedzialności Banku jako administratora danych osobowych,
- art. 80 Kpa. poprzez dowolną ocenę zebranego materiału dowodowego,
w sposób polegający na stwierdzeniu, że poczynione w sprawie ustalenia faktyczne pozwalają na uznanie, iż po kontakcie telefonicznym ze skarżącą, mającym miejsce [...] stycznia 2018 r., uczestnik w ramach prowadzonej działalności gospodarczej nie kontynuował przetwarzania danych osobowych skarżącej, podczas gdy nie przedstawiono dowodów potwierdzających powyższe, bowiem zaprzestanie kontaktu telefonicznego nie oznacza, że dane osobowe skarżącej nie były w dalszym ciągu przechowywane lub jeszcze w inny sposób przetwarzane przez uczestnika, a ciężar dowodowy w tym zakresie nie spoczywał na skarżącej - jak to przedstawiono
w uzasadnieniu, tylko na uczestniku jako administratorze danych,
- art. 80 Kpa. w sposób polegający na dowolnej ocenie materiału dowodowego poprzez przytoczenie jako okoliczność odbieraną na korzyść uczestnika tego, że skarżąca nie zwróciła się z żądaniem usunięcia danych, podczas gdy skorzystanie przez nią z wyżej wymienionego uprawnienia nie było możliwe zważywszy na fakt, że nie przedstawiono dowodu na okoliczność, iż uczestnik spełnił wobec skarżącej obowiązek informacyjny odnośnie przetwarzania jej danych osobowych, w tym również w zakresie przysługujących jej w związku z tym praw, wobec czego skarżąca nie była świadoma faktu przetwarzania przez uczestnika jej danych osobowych,
a tym bardziej pozbawiona była uprawnienia wystąpienia z żądaniem dotyczącym usunięcia jej danych,
- art. 80 Kpa. poprzez dowolną ocenę materiału dowodowego w sposób polegający na przyjęciu za wystarczające w przedmiotowej sprawie tłumaczenia uczestnika, że nigdy nie proponował skarżącej inwestycji ani lokaty, ponieważ
w ramach prowadzonej działalności zajmuje się wyłącznie kredytami biznesowymi opartymi na prowadzeniu działalności gospodarczej lub spółek, podczas gdy powyższe nie ma znaczenia zważywszy na przedmiot postępowania i może być rozpatrywane na płaszczyźnie odpowiedzialności w ramach przepisów dotyczących nieuczciwej konkurencji,
- art. 80 Kpa. w sposób polegający na zbyt dowolnej ocenie materiału dowodowego, a to wyjaśnień uczestnika, jakoby nie był w posiadaniu numeru konta ani innych danych osobowych skarżącej, podczas gdy z ustalonego w toku postępowania stanu faktycznego wynika, że to uczestnik zainicjował kontakt telefoniczny, w związku z tym musiał dysponować co najmniej numerem telefonu skarżącej, czyli danymi osobowymi, na podstawie której osoba jest już możliwa
do zidentyfikowania,
- art. 80 Kpa. poprzez dowolną ocenę materiału dowodowego, w sposób polegający na całkowitym pominięciu w przytoczonym stanie faktycznym wyjaśnień skarżącej jako osoby pokrzywdzonej bezprawnym przetwarzaniem jej danych osobowych, podczas gdy mogły mieć one istotne znaczenie dla rozstrzygnięcia sprawy,
- art. 35 § 1 i § 2 Kpa. poprzez zbyt późne przeprowadzenie dowodów, a to:
- pisma uczestnika z [...] czerwca 2022 r. na okoliczność dysponowanych przez niego danymi osobowymi należącymi do skarżącej,
- pisma uczestnika z [...] czerwca 2022 r. stwierdzającego, że nie ponawiał kontaktu ze skarżącą, jak również stwierdzającego, że nigdy nie wystąpiła z prośbą
o nietelefonowanie,
- pisma uczestnika z [...] czerwca 2022 r., w którym oświadcza, iż aktualnie (czyli na dzień [...].06.2022 r.) nie przetwarza żadnych danych osobowych należących do skarżącej,
- pisma Banku dotyczącego przetwarzania danych przez Bank oraz potwierdzającego, iż uczestnik będąc pracownikiem Banku na stanowisku doradcy klienta posiadał dostęp do systemów informatycznych Banku,
- nadto zwrócono się [...] listopada 2022 r. oraz [...] lutego 2023 r. do uczestnika
o dodatkowe wyjaśnienia, na które jednak nie otrzymano odpowiedzi,
podczas gdy powyższe ustalenia, zważywszy na datę złożenia przez skarżącą skargi do Prezesa UODO należało przeprowadzić niezwłocznie po wszczęciu postępowania, bowiem uzyskanie ich w terminie późniejszym, jak to uczyniono, działa na niekorzyść skarżącej z uwagi na możliwość zniszczenia lub usunięcia do tego czasu dowodów mogących mieć istotne znaczenie dla rozstrzygnięcia sprawy,
- art. 7 Kpa. w sposób polegający na niezebraniu wyczerpującego, istotnego dla wyniku postępowania materiału dowodowego niezbędnego do rozstrzygnięcia sprawy, a mianowicie nieuzyskanie dowodów potwierdzających fakt spełnienia wobec skarżącej przez Bank oraz przez uczestnika obowiązku informacyjnego odnośnie przetwarzanych należących do skarżącej danych osobowych, wymaganego przez ustawę z 1997 r. o ochronie danych osobowych, jak również nieuzyskanie dowodu potwierdzającego fakt przetwarzania przez uczestnika danych osobowych skarżącej za jej uprzednią zgodą, których to pominięcie mogło skutkować niekorzystnym dla skarżącej rozwiązaniem sprawy, podczas gdy do obowiązków organu prowadzącego postępowanie należy zebranie wyczerpującego zebrania materiału dowodowego.
Ponadto skarżąca zarzuciła naruszenie przepisów prawa materialnego,
a mianowicie:
- art. 105 § 1 Kpa. poprzez jego zastosowanie i w konsekwencji uznanie postępowania powadzonego przez Prezesa UODO za bezprzedmiotowe, w związku z przyjęciem, iż zdarzenia będące przedmiotem postępowania miały miejsce
i zakończyły się przed dniem 25 maja 2018 r., czyli przed wejściem w życie ustawy
z dnia 10 maja 2018 r. o ochronie danych osobowych oraz przepisów RODO, podczas gdy nie przedstawiono żadnych dowodów potwierdzających, iż faktycznie nieprawidłowe przetwarzanie danych skarżącej zakończyło się przed wyżej wymienioną datą, jak również niezależnie od tego, powyższe nie stanowi przesłanki bezprzedmiotowości postępowania, bowiem nie został zaprzeczony fakt, iż przetwarzanie było nieprawidłowe i sprzeczne zarówno z poprzednią, jak i obecnie obowiązującą ustawą o ochronie danych osobowych, nadto przedmiot postępowania obejmuje swoim zakresem obowiązki, które momencie zdarzenia, podobnie
jak i obecnie spoczywały na administratorze danych osobowych, związku z tym nie można uznać, iż brak jest podstawy do rozstrzygnięcia sprawy co do istoty,
- art. 160 ust. 1 i 2 u.o.d.o. poprzez jego zastosowanie i uznanie na jego podstawie, że Prezes UODO nie ma możliwości prowadzenia postępowania
w oparciu o przepisy ustawy z dnia 29 sierpnia 1997 r., jak również nie jest władny do korzystania z uprawnień przewidzianych w ustawie z dnia 29 sierpnia 1997 r., podczas gdy przepis ten dotyczy postępowań wszczętych i niezakończonych przed wejściem w życie wyżej wymienionej ustawy, natomiast przedmiotowe postępowanie zostało zainicjonowane skargą z [...] grudnia 2021 r. dotyczącą zdarzenia z [...] stycznia 2018 r., a więc przepis ten nie znajduje zastosowania,
- art. 166 u.o.d.o. poprzez jego niezastosowanie, podczas gdy z treści przepisu wynika, iż Prezes UODO jest sukcesorem Głównego Inspektora Ochrony Danych Osobowych, w związku z czym jest on obowiązany do podjęcia działań także
w przypadku naruszeń danych osobowych zaistniałych przed dniem [...] maja 2018 r., w przeciwnym przypadku oznaczałoby to, że przed tą datą ochrona danych osobowych nie istniała, a co za tym idzie – że na administratorach danych osobowych nie ciążył obowiązek informacyjny, przetwarzania danych w oparciu
o konkretną podstawę prawną oraz obowiązek zabezpieczenia przetwarzanych danych przed nieuprawnionym, bezprawnym udostępnieniem; a to byłoby równoznaczne z pozbawieniem osób, których dane zostały naruszone przed wyżej wymienioną datą, możliwości dochodzenia swoich zagwarantowanych konstytucyjnie i ustawowo praw, co pozostawałoby w sprzeczności z celem zarówno poprzednio, jak i obecnie obowiązujących przepisów dotyczących ochrony danych osobowych,
- art. 58 ust. 2 RODO poprzez jego błędną wykładnię i w konsekwencji uznanie, że w tej sprawie organ nadzorczy nie ma możliwości zastosowania przysługujących mu uprawnień naprawczych, bowiem zdarzenia, których przedmiotowa decyzja dotyczy zakończyły się przed dniem [...] maja 2018 r., a postępowanie w tej sprawie zostało zainicjowane po dniu [...] maja 2018 r., podczas gdy nie udowodniono, iż wyżej wymienione zdarzenia faktycznie zakończyły się przed dniem [...] maja 2018 r., a nadto skarżąca wystąpiła z żądaniem, które mieści się w kompetencjach Prezesa UODO określonych w wyżej wymienionym przepisie, jak również mieściło się
w zakresie uprawnień naprawczych organu nadzorczego w poprzednio obowiązującej ustawie o ochronie danych osobowych z dnia 29 sierpnia 1997 r.,
- art. 99 RODO poprzez jego zastosowanie i na tej podstawie uznanie, że przepisy wyżej wymienionego rozporządzenia nie znajdują zastosowania, bowiem proces przetwarzania będący przedmiotem postępowania rozpoczął się i zakończył przed 25 maja 2018 r., podczas gdy nie przedstawiono dowodów potwierdzający fakt, iż na dzień złożenia skargi proces ten faktycznie się zakończył.
Wobec powyższych zarzutów wniesiono o uchylenie zaskarżonej decyzji
w całości.
W obszernym uzasadnieniu skargi rozwinięto argumentację sformułowaną
na rzecz postawionych w niej zarzutów.
W odpowiedzi na skargę organ wniósł o jej oddalenie.
Wojewódzki Sąd Administracyjny zważył, co następuje:
Skarga nie zasługuje na uwzględnienie.
Postępowanie administracyjne w kontrolowanej sprawie zostało wszczęte po [...] maja 2018 r. – na skutek skargi skarżącej z [...] grudnia 2021 r. (wpływ do organu [...] grudnia 2021 r.) .
Przedmiotowa skarga dotyczyła incydentu sprzed kilku lat, a mianowicie zdarzenia z [...] stycznia 2018 r. W świetle powyższego należy przyznać rację Prezesowi UODO, że ww. skarga nie mogła doprowadzić do merytorycznego załatwienia sprawy, stosownie do przepisów RODO – jak tego chciałaby skarżąca. Zgodnie bowiem z treścią art. 99 ust. 2 RODO, rozporządzenie ma zastosowanie od dnia [...] maja 2018 r., a zatem do spraw, w których skargę wniesiono od [...] maja 2018 r., a także do spraw, w których w ww. dacie trwał skarżony proces przetwarzania danych osobowych.
Zdarzenie stanowiące podstawę skargi skarżącej zaistniało 4 stycznia 2018 r.
i miało charakter jednostkowy. Do kwestionowanego przetwarzania danych osobowych skarżącej doszło więc pod rządami przepisów u.o.d.o. z 1997 r. Proces przetwarzania nie był kontynuowany po 25 maja 2018 r.
W myśl art. 160 ust. 1 i 2 u.o.d.o. z 2018 r. wyłącznie postępowania, wszczęte i niezakończone przed dniem wejścia w życie niniejszej ustawy z dnia 10 maja
2018 r., są prowadzone przez Prezesa Urzędu Ochrony Danych Osobowych, na podstawie ustawy z dnia 29 sierpnia 1997 r. W okolicznościach niniejszej sprawy organ nie miał podstaw do prowadzenia postępowania administracyjnego w oparciu o przepisy u.o.d.o. z 1997 r., gdyż postępowanie administracyjne zostało wszczęte po dniu wejścia w życie u.o.d.o. z 2018 r., a jednocześnie przetwarzanie danych osobowych skarżącej zakończyło się i nie było kontynuowane po [...] maja 2018 r. Brak jest również przepisów kompetencyjnych uprawniających organ do prowadzenia postępowania w przedmiocie oceny zgodności działania administratora z przepisami u.o.d.o. z 1997 r.
Na zakończenie tych rozważań należy wskazać, że dniem wszczęcia postępowania jest dzień wpływu skargi do organu, tj. [...] grudnia 2021 r.
Zgodnie z art. 105 § 1 Kpa., gdy postępowanie z jakiejkolwiek przyczyny stało się bezprzedmiotowe w całości lub w części, organ administracji publicznej wydaje decyzję o umorzeniu postępowania odpowiednio w całości lub w części. Brak któregoś z elementów stosunku materialnoprawnego stanowi przeszkodę załatwienia sprawy przez rozstrzygnięcie jej co do istoty.
Podnoszona w skardze bezczynność Prezesa UODO w prowadzeniu postępowania administracyjnego zakończonego zaskarżoną decyzją pozostaje poza granicami niniejszej sprawy, gdyż jak wskazał Naczelny Sąd Administracyjny
w wyroku z dnia 25 listopada 2016 r. sygn. akt I OSK 3165/14, zachowanie terminów załatwienia sprawy administracyjnej i efektywność w jej rozpatrywaniu jest przedmiotem kontroli sądowej w postępowaniu ze skargi na bezczynność lub przewlekłe prowadzenie postępowania, a nie w postępowaniu ze skargi na decyzję administracyjną.
W niniejszej sprawie organ w sposób prawidłowy zgromadził materiał dowodowy w sprawie i wyciągnął z niego prawidłowe wnioski ustalając między innymi datę wystąpienia naruszenia (przetwarzanie danych osobowych skarżącej w postaci numeru telefonu), jednostkowość naruszenia, fakt o zakończeniu przetwarzania danych osobowych skarżącej przed [...] maja 2018 r., przy jednoczesnym wszczęciu przez skarżącą postępowania po tej dacie (skargą z [...] grudnia 2021 r.). Powyższe doprowadziło organ do prawidłowego wniosku, że postępowanie w sprawie należało umorzyć wobec jego bezprzedmiotowości. Na etapie postępowania administracyjnego nie było bowiem prawnych możliwości zbadania legalności przetwarzania danych osobowych skarżącej, które nastąpiło [...] stycznia 2018 r. poprzez przetwarzanie numeru telefonu skarżącej. Sąd nie dopatrzył się wad zaskarżonego rozstrzygnięcia, które skutkowałyby koniecznością jego wyeliminowania z obrotu prawnego.
Podobne stanowisko w sprawie o zbliżonym stanie fatycznym wyraził Wojewódzki Sąd Administracyjny w wyroku z dnia 20 kwietnia 2018 r. sygn. akt 1897/20, wyrok w tej sprawie został poddany kontroli przez Naczelny Sąd Administracyjny i jest prawomocny.
Mając na uwadze powyższe, Wojewódzki Sąd Administracyjny w Warszawie, na podstawie art. 151 p.p.s.a., orzekł jak w sentencji.
-----------------------
7