II SA/Wa 2351/23

II SA/Wa 2351/23 - Wyrok WSA w Warszawie
Data orzeczenia
2024-05-28
orzeczenie nieprawomocne
Data wpływu
2023-12-19
Sąd
Wojewódzki Sąd Administracyjny w Warszawie
Sędziowie
Andrzej Wieczorek
Joanna Kruszewska-Grońska /przewodniczący/
Mateusz Rogala /sprawozdawca/
Symbol z opisem
647  Sprawy związane z ochroną danych osobowych
Hasła tematyczne
Ochrona danych osobowych
Skarżony organ
Generalny Inspektor Ochrony Danych Osobowych
Treść wyniku
Uchylono zaskarżoną decyzję w części
Powołane przepisy
Dz.U. 2024 poz 935
art. 145 par. 1 pkt 1 lit. a i c, art. 151, art. 205
Ustawa z dnia 30 sierpnia 2002 r. Prawo o postępowaniu przed sądami administracyjnymi (t. j.)
Sentencja
Wojewódzki Sąd Administracyjny w Warszawie w składzie następującym: Przewodniczący Sędzia WSA Joanna Kruszewska-Grońska Sędzia WSA Andrzej Wieczorek Asesor WSA Mateusz Rogala (spr.) Protokolant Ewa Kielak-Niedźwiedzka po rozpoznaniu na rozprawie w dniu 28 maja 2024 r. sprawy ze skargi B. Sp. z o.o. z siedzibą w W. na decyzję Prezesa Urzędu Ochrony Danych Osobowych z dnia [...] października 2023 r. nr [...] w przedmiocie przetwarzania danych osobowych 1. uchyla pkt 2 i pkt 3 zaskarżonej decyzji; 2. oddala skargę w pozostałym zakresie; 3. zasądza od Prezesa Urzędu Ochrony Danych Osobowych na rzecz B. Sp. z o.o. z siedzibą w W. kwotę 697 (słownie: sześćset dziewięćdziesiąt siedem) złotych tytułem zwrotu kosztów postępowania.
Uzasadnienie
Zaskarżoną do Wojewódzkiego Sądu Administracyjnego w Warszawie decyzją z dnia [...] października 2023 r. nr [...] Prezes Urzędu Ochrony Danych Osobowych, działając na podstawie art. 104 § 1 ustawy z dnia 14 czerwca 1960 r. – Kodeks postępowania administracyjnego (Dz. U. z 2023 r., poz. 775 ze zm., powoływanej dalej jako k.p.a.) w zw. z art. 7 ust. 1 ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych (Dz. U. z 2019 r., poz. 1781, powoływanej dalej jako u.o.d.o.), art. 6 ust. 1, art. 12 ust. 1, art. 13 ust. 1 i 2, art. 17 ust. 1 lit. b, art. 28 oraz art. 58 ust. 2 rozporządzenia Parlamentu Europejskiego i Rady (UE) nr 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz. Urz. UE L 119 z 4.05.2016, str. 1 ze zm., powoływanego dalej jako RODO), po przeprowadzeniu postępowania administracyjnego w sprawie skargi P. M., prowadzącego działalność gospodarczą pod firmą P. M. M., na nieprawidłowości w procesie przetwarzania jego danych osobowych przez A. Sp. z o.o. z siedzibą w miejscowości P. oraz przez B. F. Sp. z o.o. z siedzibą w W. (powoływanej dalej jako B. FS):
- w pkt 1 decyzji nakazał B. FS usunięcie danych osobowych P. M.;
- w pkt 2 udzielił B. FS upomnienia za naruszenie art. 12 ust. 1 w zw. z art. 13 ust. 1 i 2 RODO, polegające na udzieleniu wnioskodawcy informacji, o których mowa w art. 13 ust. 1 i 2, w sposób nieprzejrzysty;
- w pkt 3 udzielił B. FS upomnienia za naruszenie art. 13 ust. 1 RODO, polegające na zrealizowaniu obowiązku informacyjnego w terminie późniejszym niż podczas pozyskiwania danych osobowych;
- w pkt 4 udzielił B. FS upomnienia za naruszenie art. 12 ust. 4 w zw. z art. 17 ust. 1 lit. b) RODO, polegające na niepoinformowaniu wnioskodawcy o niepodjęciu działań w związku z jego żądaniem;
- zaś w pkt 5 odmówił uwzględnienia wniosku P. M. w pozostałym zakresie.
W uzasadnieniu swojego rozstrzygnięcia organ podał, że w dniu [...] sierpnia 2020 r. wnioskodawca skontaktował się z A. Sp. z o.o. celem zapoznania się z ofertą nabycia pojazdu marki B.. W tym samym dniu wyraził na piśmie zgodę na otrzymywanie komunikacji marketingowej. Później zaś wnioskodawca podjął czynności mające na celu uzyskanie przez niego informacji o ewentualnym finansowaniu pojazdu. Dane osobowe wnioskodawcy pozyskane w tym zakresie (imię, nazwisko, numer telefonu i adres e-mail) [...] przetwarzała jako administrator danych osobowych na podstawie art. 6 ust. 1 lit. b) RODO oraz jako podmiot przetwarzający dane na rzecz B. FS, odnośnie pozyskania ich i przekazania temu podmiotowi w związku z zainteresowaniem wnioskodawcy finansowaniem pojazdu. [...], w tym drugim przypadku, przetwarzała dane osobowe wnioskodawcy w ramach przyjęcia i przekazania do B. FS wniosku o leasing na podstawie łączącej ją z B. FS umów agencyjnej i powierzenia przetwarzania danych.
W dniu [...] września 2020 r. A. w imieniu B. FS prowadziła z wnioskodawcą korespondencję w celu złożenia wniosku leasingowego. Podpisany wniosek wnioskodawca odesłał następnego dnia. A. przyjęła go jako podmiot przetwarzający dane na zlecenie BMF FS i przekazała do tej spółki, a ta wprowadziła go do swojego systemu informatycznego. Na wniosku wnioskodawca wyraził zgodę na przetwarzanie przez B. FS, B. [...]Sp. z o.o. Oddział w Polsce z siedzibą w W. oraz B. AG z siedzibą w M. jego danych osobowych w celach marketingowych, w tym na przesyłanie informacji handlowych podmiotów z grupy B..
Ostatecznie nie doszło do zawarcia umowy leasingowej między stronami.
W piśmie z dnia [...] stycznia 2021 r. wnioskodawca zwrócił się do A.m.in. o usunięcie jego danych osobowych zarówno z rejestrów A., jak i podmiotów powiązanych z działalnością A.. W uzasadnieniu pisma powołał się m.in. na podpisany wniosek leasingowy. A. niezwłocznie przekazała żądanie do B. FS, a sama usunęła dane osobowe wnioskodawcy.
B. FS uznała, że otrzymany za pośrednictwem A.wniosek o usunięcie danych nie był skierowany do niej. Jak wyjaśniła, A.nie znajduje się w strukturze kapitałowej B. FS i nie jest ona podmiotem powiązanym.
Zdaniem organu, takie stanowisko było nieuzasadnione, bowiem w treści uzasadnienia wniosku wnioskodawca powołał się m.in. na wniosek leasingowy, a administratorem zawartych na nim danych osobowych jest właśnie B. FS. Skoro cała korespondencja, na podstawie której B. FS zgromadziła i udostępniła podmiotom trzecim dane osobowe wnioskodawcy, prowadzona była za pośrednictwem A., wnioskodawca mógł oczekiwać, że złożenie wniosku do A. będzie wystarczające.
W konsekwencji organ uznał, że wnioskodawca skutecznie złożył do B. FS wniosek o usunięcie dotyczących go danych osobowych. B. FS naruszyła tym samym art. 12 ust. 4 w zw. z art. 17 ust. 1 lit. b RODO poprzez niepoinformowanie wnioskodawcy o niepodjęciu działań związanych z jego żądaniem.
Na skutek błędnej oceny żądania wnioskodawcy B. FS podjęła działania w tym zakresie dopiero po otrzymaniu od organu wezwania do złożenia wyjaśnień. W dniu [...] sierpnia 2021 r. zanonimizowała adres e-mailowy i numer telefonu wnioskodawcy jako informacje przetwarzane w celu działań marketingowych. Spółka nadal przetwarzała jednak dane osobowe wnioskodawcy w celu przeciwdziałania nadużyciom zewnętrznym ze strony potencjalnych klientów oraz wykrywania i zapobiegania oszustwom oraz w celu wypełnienia obowiązku prawnego ciążącego na spółce, tj. wynikającego z art. 49 ustawy z dnia 1 marca 2018 r. o przeciwdziałaniu praniu pieniędzy oraz finansowaniu terroryzmu (Dz. U. z 2023 r., poz. 1124 ze zm., powoływanej dalej jako ustawa AML). B. FS oświadczyła, że przeciwdziałanie nadużyciom i oszustwom polega na umożliwieniu jej obrony przed ewentualnymi roszczeniami i dochodzenia ewentualnych roszczeń oraz ze względu na ewentualne postępowanie toczące się przed organem państwowym lub na żądanie uprawnionego organu państwowego. Jak wyjaśniła, będzie w dalszym ciągu przetwarzać dane osobowe wnioskodawcy przez okres niezbędny do dochodzenia ewentualnych roszczeń lub obrony przed ewentualnymi roszczeniami, na zasadach ogólnych wynikających z obowiązujących przepisów prawa.
W ocenie organu, na skutek okoliczności, że nie doszło do zawarcia umowy leasingu, uznać należy, że stosunek B. FS z wnioskodawcą utracił cechę trwałości, a zatem przestał być stosunkiem gospodarczym, co także nie pozwala uznać, że doszło do przeprowadzenia transakcji. W konsekwencji art. 49 ustawy AML nie znajduje w tej sytuacji zastosowania i nie może stanowić podstawy prawnej przetwarzania danych osobowych wnioskodawcy.
Odnosząc się do powołanej przez B. FS podstawy przetwarzania danych osobowych wnioskodawcy jako obrony przed ewentualnymi roszczeniami i dochodzenia ewentualnych roszczeń oraz ze względu na ewentualne postępowanie toczące się przed organem państwowym lub na żądanie uprawnionego organu państwowego, czyli na podstawie prawnie uzasadnionego interesu z art. 6 ust. 1 lit. f) RODO, organ wskazał, że zebrany materiał dowodowy nie wykazał, aby wnioskodawca wystąpił z jakimkolwiek roszczeniem wobec B. FS, które uzasadniałoby uprawnienie tego podmiotu do zachowania i przetwarzania danych osobowych dla celów dowodowych w związku z dochodzeniem przez wnioskodawcę tego roszczenia. Co istotne, B. FS sama oświadczyła, że nie posiada informacji, aby toczyło się względem niej postępowanie przed organem państwowym, w ramach którego od spółki żądano przedstawienia informacji, a także aby przysługiwały jej roszczenia względem wnioskodawcy.
W związku z tym, że przeprowadzone postępowanie administracyjne nie wykazało, aby wnioskodawca posiadał wobec B. FS jakiekolwiek roszczenie (tak samo, żeby jakiekolwiek roszczenie przysługiwało B. FS wobec wnioskodawcy), organ stwierdził, iż B. FS przetwarza dane osobowe wnioskodawcy w ww. celu wyłącznie "na zapas", aby zabezpieczyć się przed ewentualnym przyszłymi i niepewnymi roszczeniami wnioskodawcy czy zapytaniami ze strony uprawnionych organów, co zdaniem organu nie stanowi prawnie usprawiedliwionego celu w rozumieniu art. 6 ust. 1 lit. f) RODO.
Uzasadniając rozstrzygnięcie zawarte w pkt 2 i 3 decyzji, organ stwierdził, że B. FS zebrała dane osobowe wnioskodawcy nie bezpośrednio od niego, ale za pośrednictwem A., która działała jako podmiot przetwarzający dane osobowe na zlecenie administratora danych. B. FS podlegała zatem obowiązkowi informacyjnemu, o którym mowa w art. 13 RODO i to ona była odpowiedzialna za jego wykonanie jako administrator. Na początkowym etapie korespondencji z wnioskodawcą dotyczącej przygotowania wniosku leasingowego A. realizowała w imieniu B. FS obowiązek informacyjny, zamieszczając go w treści przesyłanych wnioskodawcy wiadomości e-mail. Jak wynika z treści tych komunikatów, informacje te dotyczyły jednak jedynie działalności A. jako sprzedawcy samochodu, a nie działalności BMF FS jak leasingodawcy. Świadczyły o tym przede wszystkim nieprawdziwe oświadczenia, że to A. jest administratorem danych, a także informacje o zakresie zbieranych danych, który nie pokrywał się z rzeczywistym zakresem (dużo szerszym) danych niezbędnych do złożenia wniosku. Prawidłowa klauzula informacyjna została dołączona dopiero do formularza wniosku.
Zdaniem organu, przekazanie na początku błędnej klauzuli informacyjnej należy traktować jako nieprzejrzyste udzielanie informacji osobie, której dane dotyczą, czyli naruszenie 12 ust. 1 RODO. Jednocześnie wobec przekazania prawidłowych informacji dopiero na późniejszym etapie korespondencji doszło do naruszenia dyspozycji art. 13 ust. 1 RODO, zgodnie z którym obowiązek informacyjny powinien być spełniony już w trakcie pozyskiwania danych. Tym samym zasadne było udzielenie B. FS upomnienia w zakresie powyższych naruszeń, bo to ta spółka ponosi odpowiedzialność za wykonanie ww. obowiązku nawet w sytuacji, gdy fizycznie jest on wykonywany przez podmiot, któremu B. FS powierzyła przetwarzanie danych.
B. F.Sp. z o.o. wniosła na powyższą decyzję skargę do Wojewódzkiego Sądu Administracyjnego w Warszawie, zaskarżając ja w całości i wnosząc o jej uchylenie w całości oraz o umorzenie postępowania administracyjnego, a także o zasądzenie kosztów postępowania.
Skarżąca zarzuciła zaskarżonej decyzji naruszenie przepisów postępowania, które miało istotny wpływ na wynik sprawy, tj.:
a. art. 7 i art. 77 § 1 k.p.a. w zw. z art. 4 pkt 7 i 8, art. 12 ust. 1 i 4, art. 13 ust. 1 i 2 RODO polegające na braku wyczerpującego rozpatrzenia całego materiału dowodowego tj. umowy agencyjnej z dnia [...] lipca 2021 r., umowy powierzenia przetwarzania danych osobowych z dnia [...] maja 2018 r. zawartej pomiędzy skarżącą a A., pominięcia wyjaśnień skarżącej i toku postępowania, i przez to prowadzenie postępowania z naruszeniem zasady prawdy obiektywnej poprzez pominięcie faktu rozróżnienia ról i funkcji dwóch administratorów A. skarżącej, gdzie co do działań związanych z wnioskiem o udzielenie leasingu operacyjnego z dnia [...] września 2020 r. oba podmioty występowały w relacji skarżąca – administrator i A.– podmiot przetwarzający, a w pozostałym zakresie (tj. przed złożeniem wniosku) wyłącznie A. administratorem danych i oparcie rozstrzygnięcia jedynie na jednej okoliczności faktycznej, tj. bycia przez spółkę administratorem danych (art. 4 pkt 7 i 8 RODO), co skutkowało:
- bezzasadnym uznaniem, że skarżąca była zobowiązana zrealizować obowiązek informacyjny w terminie wcześniejszym niż we wniosku P. M. przy czym przyjęcie tego założenia prowadziłoby do przyjęcia konieczności realizacji obowiązków administratora w momencie administrowania danych przez A.(administrator danych w zakresie innym niż złożenie wniosku) (art. 13 ust. 1 i 2 RODO);
- bezzasadnym uznaniem, że skarżąca była zobowiązana do podjęcia działania w związku z żądaniem wnioskodawcy z dnia [...] stycznia 2021 r., podczas gdy żądanie to nie było skierowane do skarżącej, która w przeciwieństwie do A. była administratorem danych tylko w zakresie przetwarzania danych na potrzeby wniosku leasingowego (A. był administratorem danych w pozostałym zakresie), a wnioskodawca miał świadomość rozróżnienia ról i funkcji obu administratorów danych w procesie od momentu zgłoszenia się do A. do złożenia wniosku o leasing do skarżącej (na s. 12 skargi wnioskodawcy z dnia [...] czerwca 2021 r. wskazuje, że był świadomy, iż administratorem danych jest skarżąca - oraz dodatkowo wyraził zgodę na przetwarzanie swoich danych osobowych przez skarżącą w celach marketingowych - mimo powyższego zdecydował się zaadresować swoje żądanie do A., a nie skarżącej, wobec czego skarżąca nie była zobowiązana podjąć działania w związku z jego żądaniem, jako że żądanie to dotyczyło innego administratora danych (A.) (art. 12 ust. 4 RODO);
- bezzasadnym uznaniem, że w przedstawionym stanie faktycznym skarżąca odpowiada za przejrzyste udzielenie informacji wnioskodawcy od momentu zgłoszenia się go do A., podczas gdy skarżąca nie była administratorem danych w zakresie innym niż na potrzeby wniosku leasingowego wnioskodawcy, tj. była administratorem dopiero od dnia 8 września 2020 r. (art. 12 ust. 1 RODO);
b. art. 7 i art. 77 § 1 k.p.a. w zw. z art. 4 pkt 7 i 8, art. 12 ust. 1 i art. 13 ust. 1 i 2 RODO polegające na braku wyczerpującego rozpatrzenia całego materiału dowodowego poprzez pominięcie treści klauzuli informacyjnej załączonej do wniosku leasingowego, a także oświadczenia wnioskodawcy, że ten jest świadomy, iż administratorem danych jest skarżąca - oraz dodatkowo wyraził zgodę na przetwarzanie swoich danych osobowych przez skarżącą w celach marketingowych, co skutkowało bezzasadnym uznaniem, że klauzula umieszczona we wniosku nie jest napisana w zwięzłej, przejrzystej, zrozumiałej i łatwo dostępnej formie, jasnym i prostym językiem (była nieprzejrzysta).
Skarżąca spółka postawiła również zarzuty naruszenia prawa materialnego, tj.:
a. art. 6 ust. 1 lit. c) RODO w zw. z art. 49 ustawy AML poprzez ich błędną wykładnię polegającą na uznaniu, że przetwarzanie niezbędne do wypełnienia obowiązku ciążącego na administratorze na podstawie art. 49 ustawy AML nie ma charakteru trwałości w sytuacji, gdy relacja z klientem ma na celu korzystanie z usług, podczas gdy cecha trwałości występuje również w sytuacji, w której relacja klienta z instytucją obowiązaną ma na celu korzystanie z usług, ale ostatecznie nie dojdzie do zawarcia umowy;
b. art. 6 ust. 1 lit. f) RODO w zw. z art. 32 ust. 1 i 45 ust. 1 Konstytucji i motywem 4 RODO poprzez ich błędną wykładnię polegającą na uznaniu, że przetwarzanie danych w celu obrony przed potencjalnymi roszczeniami nie jest niezbędne do celów wynikających z prawnie uzasadnionych interesów realizowanych przez administratora i jest przetwarzaniem danych "na zapas", podczas gdy ochrona przez roszczeniami jest możliwa wyłącznie w przypadku przechowania danych przez administratora co najmniej do chwili upływu okresu przedawnienia roszczeń, a taka wykładnia organu narusza prawo do przetwarzania danych uzasadnione prawnie uzasadnionym interesem ochrony przed roszczeniem i prawo do równości broni wynikającym z konstytucyjnego prawa do sądu i zasady równości;
c. art. 6 ust. 1 lit. f) RODO poprzez jego niezastosowanie i uznanie, że skarżąca nie jest uprawniona do przetwarzania danych osobowych wnioskodawcy w celu obrony przed potencjalnymi roszczeniami, podczas gdy organ nie przeprowadził trzyetapowego testu, tj. (i) nie ustalił czy za przetwarzaniem danych stoi prawnie uzasadniony interes (cel przetwarzania), (ii) czy przetwarzanie danych jest niezbędne do tego celu (konieczność przetwarzania), oraz czy prawnie uzasadniony interes ma pierwszeństwo przez interesami, prawami lub wolnościami jednostki (tu: wnioskodawcy) (równowaga w przetwarzaniu), a jedynie ograniczył się do argumentu, że dane osobowe wnioskodawcy nie mogą być przechowywane "na zapas" i poprzestał na stwierdzeniu, że "przeprowadzone przez Prezesa UODO postępowanie administracyjne nie wykazało, aby Skarżący posiadał wobec B. FS jakiekolwiek roszczenie (lak samo, żeby jakiekolwiek roszczenie przysługiwało B. FS wobec Skarżącego";
d. art. 58 ust. 2 pkt g) w zw. z art. 6 ust. 1 lit. f) w zw. z motywem 4 i 129 RODO w zw. z art. 45 ust. 1 Konstytucji RP poprzez ich niewłaściwe niezastosowanie i uznanie, że nakazanie usunięcia danych wnioskodawcy jest zgodne z zasadą proporcjonalności środków wyrażoną w motywie 4 i 129 RODO, podczas gdy w niniejszej sprawie nakaz usunięcia danych ogranicza przetwarzanie danych uzasadnione prawnie uzasadnionym interesem ochrony skarżącej przed roszczeniem i prawo do równości broni wynikające z konstytucyjnego prawa do sądu, a zatem nakaz usunięcia danych jest nieproporcjonalny;
e. art. 12 ust. 1 i art. 13 ust. 1 i 2 w zw. z art. 4 pkt 7 i 8 RODO poprzez ich niewłaściwe zastosowanie i uznanie, że skarżąca nie udzieliła informacji, o których mowa w art. 13 ust. 1 i 2 RODO w sposób przejrzysty, podczas gdy skarżąca (działając jako administrator) w ramach klauzuli informacyjnej załączonej do wniosku udzieliła kompleksowej informacji wymaganej przez przepisy RODO w zwięzłej, przejrzystej, zrozumiałej i łatwo dostępnej formie, jasnym i prostym językiem;
f. art. 13 ust. 1 i 2 w zw. z art. 4 pkt 7 i 8 RODO poprzez ich niewłaściwe zastosowanie i uznanie, że skarżąca nie zrealizowała obowiązku informacyjnego w momencie pozyskania danych osobowych, podczas gdy taki obowiązek został zrealizowany we wniosku leasingowym, który był pierwszym momentem, gdy skarżąca otrzymała dane osobowe wnioskodawcy, a na wcześniejszym etapie jego dane osobowe były przetwarzane przez A. jako odrębnego administratora;
g. art. 12 ust. 4 w zw. z art. 17 ust. 1 lit. b) w zw. z art 4 pkt 7 i 8 RODO poprzez ich niewłaściwe zastosowanie i uznanie, że skarżąca była zobowiązana do podjęcia działań w związku z żądaniem wnioskodawcy z dnia [...] stycznia 2021 r., podczas gdy żądanie to było skierowane do innego podmiotu (A.), a dodatkowo przedmiotem żądania był sposób przetwarzania danych objęty zgodą marketingową na przetwarzanie danych osobowych udzieloną innemu administratorowi (A.).
W uzasadnieniu skargi skarżąca przedstawiła szczegółową argumentację na poparcie postawionych zarzutów.
W odpowiedziach na skargę organ oraz uczestnik postępowania – P.M. wnieśli o jej oddalenie.
Wojewódzki Sąd Administracyjny w Warszawie zważył, co następuje:
Skarga zasługuje na uwzględnienie w zakresie dotyczącym pkt 2 i 3 zaskarżonej decyzji. W pozostałym zakresie skarga okazała się niezasadna.
Rozstrzygnięcie zawarte w pkt 2 i 3 zaskarżonej decyzji oparte było na dokonanym przez organ ustaleniu, że skarżąca spółka B. FS była administratorem danych osobowych P. M. jeszcze przed złożeniem przez niego wniosku leasingowego z dnia [...] września 2020 r. Z powyższego organ wywiódł bowiem, po pierwsze, że informacja udzielona wnioskodawcy na podstawie art. 12 ust. 1 w zw. z art. 13 ust. 1 i 2 RODO była nieprzejrzysta, a po drugie, że skarżąca spółka zrealizowała obowiązek informacyjny w terminie późniejszym niż podczas pozyskiwania danych osobowych wnioskodawcy.
Zdaniem Sądu, te twierdzenia organu nie znajdują oparcia w zgromadzonym w sprawie materiale dowodowym. Postępowanie w sprawie zawarcia umowy leasingowej zostało bowiem w istocie zainicjowane wnioskiem P. M. z dnia [...] września 2020 r. (k. 98 akt administracyjnych). Przed tym dniem wnioskodawca prowadził z pracownikami spółki A. korespondencję, która była wprawdzie związana z ewentualnym finansowaniem nabycia pojazdu, jednak nie musiała zakończyć się złożeniem wniosku leasingowego. Nie sposób zatem przyjąć – jak czyni to organ w zaskarżonej decyzji – by przed wyrażeniem przez P. M., w momencie złożenia w dniu [...] września 2020 r. wniosku leasingowego, woli zawarcia umowy leasingowej administratorem jego danych osobowych była spółka B. FS, która, jak wynika ze znajdującej się w aktach administracyjnych umowy agencyjnej jest administratorem danych osobowych klientów B. FS oraz potencjalnych klientów , pozyskanych w związku z prowadzoną działalnością przez B. FS (§ 21 ust. 4 umowy – k. 167 akt administracyjnych). Przed złożeniem wniosku leasingowego wnioskodawca nie był klientem B. FS, nie był również potencjalnym klientem pozyskanym przez B. FS, bowiem na tym etapie był jedynie klientem spółki A.. Powyższe potwierdza znajdująca się w aktach administracyjnych korespondencja mailowa z dnia [...] września 2020 r. pomiędzy wnioskodawcą a pracownikiem A.(k. 78-81 akt administracyjnych).
Skoro zatem skarżąca spółka przed złożeniem wniosku leasingowego w dniu [...] września 2020 r. nie była administratorem danych osobowych P. M. niezasadne było nałożenia na nią upomnienia w pkt 2 i 3 zaskarżonej decyzji, nie naruszyła ona bowiem w tym zakresie wskazywanych przez organ przepisów RODO dotyczących realizacji obowiązku informacyjnego.
Jeśli natomiast chodzi o rozstrzygnięcie zawarte w pkt 1 zaskarżonej decyzji, Sąd w składzie rozpoznającym niniejszą sprawę w całości podziela stanowisko organu, że wobec niezawarcia umowy leasingu pomiędzy skarżącą a wnioskodawcą nie istnieje obecnie podstawa w przepisach prawa powszechnie obowiązującego uprawniająca skarżącą do dalszego przetwarzania danych osobowych wnioskodawcy. Takiej podstawy nie stanowią w szczególności przepisy ustawy AML, w tym wskazywany w skardze art. 49 tej ustawy. Zgodnie z tym przepisem, kopie dokumentów i informacje uzyskane w wyniku stosowania środków bezpieczeństwa finansowego a także dowody potwierdzające przeprowadzone transakcje i ewidencje transakcji, obejmujące oryginalne dokumenty lub kopie dokumentów konieczne do identyfikacji transakcji, przechowuje się przez okres 5 lat licząc od pierwszego dnia roku następującego po roku, w którym zakończono stosunki gospodarcze z klientem lub w którym przeprowadzono transakcje okazjonalne. W przypadku dokonania analizy przeprowadzonej transakcji i udokumentowania jej analizy zgodnie z art. 34 ust. 3 ustawy AML, instytucja pożyczkowa na mocy art. 49 ust. 2 ustawy AML jest obowiązana do przechowywania jej wyników przez okres 5 lat, licząc od pierwszego dnia roku następującego po roku ich przeprowadzenia.
Z powyższego przepisu niewątpliwie wynika uprawnienie do monitorowania stosunków gospodarczych klienta i stosowania odpowiednich środków bezpieczeństwa finansowego, co nie ma zupełnie odniesienia do niniejszej sprawy. Skarżąca nie wskazała, jakie działania (w sferze stosunków gospodarczych niedoszłego klienta, osoby, z którą nie zawarła umowy leasingowej) chciałaby monitorować. Z akt sprawy i wyjaśnień skarżącej w żaden sposób nie wynika, aby wnioskodawcę łączyły stosunki gospodarcze ze skarżącą, a nadto, aby skarżąca powzięła podejrzenia czy stwierdziła próbę manipulacji. Powołana ustawa w art. 2 ust. 2 pkt 2 stanowi, że przez stosunki gospodarcze rozumie się stosunki instytucji obowiązanej z klientem związane z działalnością zawodową instytucji obowiązanej, które w chwili ich nawiązywania wykazują cechę trwałości. Z akt sprawy i wyjaśnień skarżącej nie wynika przy tym, aby wnioskodawca był klientem skarżącej w rozumieniu tego pojęcia ujętym w ustawie AML.
W przypadku braku nawiązaniu stosunków gospodarczych pomiędzy skarżącą a wnioskodawcą brak jest zaistnienia zdarzeń wymienionych w art. 49 ust. 1 ustawy AML, tj. zakończenia stosunków gospodarczych z klientem lub przeprowadzenia transakcji okazjonalnej, od wystąpienia których można dopiero liczyć wskazany w ww. przepisie termin przetwarzania danych osobowych.
Zdaniem Sądu, rozszerzanie przez skarżącą dopuszczalności przetwarzania danych osoby, z którą nie zawarto umowy leasingowej, z powołaniem się na szeroko rozumiane, ogólne cele, nie znajduje podstawy na gruncie RODO i jest wprost sprzeczne z zasadą ograniczenia celu (art. 5 ust. 1 lit. b RODO), w sytuacji, gdy nie ma mowy o nawiązaniu stosunku zobowiązaniowego.
Odnosząc się do wskazywanej przez skarżącą potrzeby przechowywania danych osoby, z którą nie zawarto umowy leasingowej w celu obrony przed ewentualnymi roszczeniami wskazania wymaga, że art. 6 ust. 1 lit. f) RODO stanowi o uprawnieniu do przetwarzania, gdy jest ono niezbędne do celów wynikających z prawnie uzasadnionych interesów realizowanych przez administratora lub przez stronę trzecią, z wyjątkiem sytuacji, w których nadrzędny charakter wobec tych interesów mają interesy lub podstawowe prawa i wolności osoby, której dane dotyczą, wymagające ochrony danych osobowych, w szczególności gdy osoba, której dane dotyczą, jest dzieckiem. Za usprawiedliwiony cel w rozumieniu powołanego przepisu nie może zostać uznane przetwarzanie danych osobowych na wypadek ewentualnego dochodzenia lub obrony roszczeń. Z akt sprawy nie wynika, aby P.M. miał jakiekolwiek roszczenie na drodze cywilnoprawnej do skarżącej lub by roszczenia takie miała skarżąca wobec wnioskodawcy. Z tego względu nie jest dopuszczalne przyjęcie, że to art. 6 ust. 1 lit. f) RODO mógłby stanowić podstawę dla skarżącej do "dalszego" przetwarzania jego danych na wypadek ewentualnego dochodzenia roszczeń. Odnosząc się do argumentacji skarżącej wskazania wymaga, że w toku postępowania administracyjnego nie wykazała ona, nie wynika to też ze skargi, jakich ewentualnie roszczeń chciałaby dochodzić od osoby, która zażądała usunięcia swoich danych i z którą to osobą fizyczną nie zawarto umowy. Skarżąca nie wskazała, aby P.M. kierował do niej jakiekolwiek roszczenia.
Ważąc interesy uczestnika postępowania, który żądał respektowania jego praw do ochrony danych osobowych wynikających z RODO i interesy skarżącej, w sytuacji, gdy nie zawarto umowy leasingowej, brak jest podstaw do przyjęcia, że spełniona została przesłanka z art. 6 ust. 1 lit. f) RODO. Sąd rozpoznający niniejszą sprawę podziela pogląd Naczelnego Sądu Administracyjnego, zgodnie z którym niedopuszczalne jest przetwarzanie danych osobowych niejako "na zapas" z założeniem, że mogą być one ewentualnie przydatne w przyszłości, na przykład z odwołaniem się do przepisów dotyczących przedawnienia roszczeń (por. wyrok NSA z dnia 27 marca 2018 r. sygn. akt I OSK 1459/16, orzeczenia.nsa.gov.pl). Wywodzenie zatem także z kwestii przedawnienia roszczeń samodzielnej podstawy do przetwarzania danych – w sytuacji, gdy mowa o danych osoby, z którą bank nie zawarł umowy kredytowej, nie jest uprawnione i nie stanowi przesłanki do ich dalszego przetwarzania.
Celem RODO, tak, jak poprzednio Dyrektywy 95/46/WE, jest ochrona prywatności, która powinna być rozpatrywana także w świetle art. 8 Konwencji o Ochronie Praw Człowieka i Podstawowych Wolności. W sprawie tej nie istnieje tego rodzaju powiązanie pomiędzy osobą, której dane dotyczą a skarżącą, które pozwalałoby "wyprowadzić" istnienie prawnie uzasadnionego interesu po stronie skarżącej w "dalszym" przetwarzaniu danych tej osoby. Z okoliczności sprawy nie wynika przy tym, aby osoba ta mogła spodziewać się w czasie, gdy pozyskiwano od niej dane, że będą one "dalej" przetwarzane pomimo niezawarcia umowy leasingowej (por. motyw 47 RODO). Jako prawnie uzasadniony interes administratora na gruncie art. 6 ust. 1 lit. f) RODO nie może być rozumiana każda potrzeba wygenerowana przez danego administratora w związku z prowadzoną działalnością gospodarczą. Przyjęcie takiej koncepcji poddawałoby w wątpliwość funkcjonowanie wszystkich pozostałych przesłanek legalności przetwarzania danych ujętych w RODO, skoro sama potrzeba, pojawiająca się dynamicznie w ramach prowadzonej działalności gospodarczej (handlowej) czyniłaby dopuszczalnym przetwarzanie danych osobowych. Niewątpliwie zaś ten prawnie uzasadniony interes administratora nie może pozbawiać jednostki prawa do dysponowania własnymi danymi osobowymi i ochrony prywatności.
Zwrócić należy uwagę, że w sprawie niniejszej, w jej okolicznościach faktycznych, prawa i wolności osoby fizycznej, mają nadrzędny charakter nad interesami skarżącej. Pamiętać trzeba bowiem, że celem udostępnienia danych osobowych przez osobę fizyczną było rozpatrzenie konkretnego wniosku leasingowego (cel był ściśle określony).
W konsekwencji Sąd uznał, że organ prawidłowo nakazał skarżącej spółce w pkt 1 zaskarżonej decyzji usunięcie danych osobowych P. M..
Przechodząc do oceny rozstrzygnięcia zawartego w pkt 4 zaskarżonej decyzji, Sąd stwierdza, że skarga w tym zakresie również nie zasługiwała na uwzględnienie. Jak wynika z akt administracyjnych (a okoliczność ta została potwierdzona przez pełnomocnika skarżącej na rozprawie w dniu [...] maja 2024 r.), spółka A. przekazała niezwłocznie skarżącej żądanie P. M. z dnia [...] stycznia 2021 r., w której domagał się on usunięcia swoich danych osobowych zarówno przez spółkę A., jak i przez wszystkie podmioty z powiązane z jej działalnością gospodarczą (k. 118 akt administracyjnych). Zdaniem Sądu, intencja strony wyrażona w tym piśmie została określona w sposób wystarczająco jasny, aby stwierdzić, że domagała się ona usunięcia jego danych osobowych również przez skarżącą spółkę. Pismo to istotnie skierowane zostało do innego podmiotu, jednak skoro zostało przekazane skarżącej spółce w sposób umożliwiający zapoznanie się z nim, to konieczne było podjęcie przez skarżącą stosownych działań zgodnie z art. 17 RODO. Nie ulega wątpliwości, że skarżąca nie usunęła danych wnioskodawcy na podstawie art. 17 ust. 1 lit. b RODO i nie poinformowała wnioskodawcy o niepodjęciu działań w związku jego żądaniem, do czego była zobowiązana treścią art. 12 ust. 4 RODO. Sąd uznał z tej przyczyny, że udzielenie skarżącej upomnienia w pkt 4 zaskarżonej decyzji było zasadne.
Biorąc wszystkie powyższe okoliczności pod uwagę, Wojewódzki Sąd Administracyjny w Warszawie, na podstawie art. 145 § 1 pkt 1 lit. a) i c) ustawy z dnia 30 sierpnia 2002 r. – Prawo o postępowaniu przed sądami administracyjnymi (Dz. U. z 2023 r., poz. 1634 ze zm., powoływanej dalej jako p.p.s.a.), orzekł jak w pkt 1 sentencji. Sąd oddalił skargę w pozostałym zakresie w pkt 2 sentencji na podstawie art. 151 p.p.s.a.
O kosztach postępowania w punkcie 3 sentencji orzeczono na podstawie art. 200 w związku z art. 205 p.p.s.a. Na zasądzoną od organu na rzecz skarżącej kwotę składa się wynagrodzenie jej pełnomocnika procesowego (480 zł), zgodnie z § 14 ust. 1 pkt 1 lit. c) rozporządzenia Ministra Sprawiedliwości z dnia 22 października 2015 r. w sprawie opłat za czynności adwokackie (Dz. U. z 2023 r., poz. 1964 ze zm.), wpis sądowy od wniesionej skargi w wysokości 200 zł oraz 17 zł uiszczonej opłaty skarbowej od pełnomocnictwa.