II SA/Wa 295/25

II SA/Wa 295/25 - Wyrok WSA w Warszawie
Data orzeczenia
2025-09-18
orzeczenie nieprawomocne
Data wpływu
2025-02-24
Sąd
Wojewódzki Sąd Administracyjny w Warszawie
Sędziowie
Andrzej Góraj /przewodniczący sprawozdawca/
Andrzej Wieczorek
Mateusz Rogala
Symbol z opisem
647  Sprawy związane z ochroną danych osobowych
Hasła tematyczne
Ochrona danych osobowych
Skarżony organ
Generalny Inspektor Ochrony Danych Osobowych
Treść wyniku
Oddalono skargę
Powołane przepisy
Dz.U. 2024 poz 935
art. 151
Ustawa z dnia 30 sierpnia 2002 r. Prawo o postępowaniu przed sądami administracyjnymi (t. j.)
Sentencja
Wojewódzki Sąd Administracyjny w Warszawie w składzie następującym: Przewodniczący Sędzia WSA Andrzej Góraj (spr.), Sędzia WSA Andrzej Wieczorek, Asesor WSA Mateusz Rogala, Protokolant starszy specjalista Aleksandra Weiher po rozpoznaniu na rozprawie w dniu 18 września 2025 r. sprawy ze skargi [...] Bank [...] S.A. z siedzibą w [...] na decyzję Prezesa Urzędu Ochrony Danych Osobowych z dnia [...] grudnia 2024 r. nr [...] w przedmiocie nałożenia kary pieniężnej oddala skargę
Uzasadnienie
Postępowanie przed Prezesem Urzędu Ochrony Danych Osobowych (dalej jako: organ lub Prezes UODO) zostało zainicjowane na skutek przeprowadzonych przez organ na podstawie art. 78 ust. 1, art. 79 ust. 1 pkt 1 oraz art. 84 ust. 1 pkt 1-4 ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych (Dz. U. z 2019 r. poz. 1781, dalej jako: u.o.d.o.), w związku z art. 57 ust. 1 lit. a) i h) oraz art. 58 ust. 1 lit. b) i e) rozporządzenia Parlamentu Europejskiego i Rady UE 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (Dz. Urz. UE L 119 z 04.05.2016, str. 1 ze zm., dalej jako: rozporządzenie 2016/679), czynności kontrolnych w celu kontroli zgodności przetwarzania danych osobowych z przepisami o ochronie danych osobowych przeprowadzonych w dniach od [...] do [...] maja 2022 r. w [...] Bank Polska S.A.(dalej jako: Bank).
Zakresem kontroli objęto przetwarzanie przez Bank danych osobowych klientów i potencjalnych klientów Banku w związku z ich profilowaniem, poprzez ustalenie, między innymi:
1) zakresu i rodzaju przetwarzanych danych osobowych,
2) celu i czasu przetwarzania danych osobowych,
3) czy w Banku zostały opracowane procedury dotyczące profilowania,
4) czy Bank w celu oceny zdolności kredytowej i analizy ryzyka kredytowego podejmuje decyzje oparte na zautomatyzowanym przetwarzaniu, w tym profilowaniu, danych osobowych,
5) czy Bank wyznaczył inspektora ochrony danych (art. 37 rozporządzenia 2016/679),
6) czy Bank prowadzi rejestr czynności przetwarzania danych osobowych i czy uwzględnione są w nim czynności polegające na profilowaniu danych osobowych
(art. 30 ust. 1 rozporządzenia 2016/679),
7) czy Bank dokonuje oceny skutków dla ochrony danych osobowych, o której mowa w art. 35 rozporządzenia 2016/679, w szczególności w odniesieniu do czynności przetwarzania danych polegających na ich profilowaniu.
W oparciu o materiał dowodowy zgromadzony w toku przeprowadzonej kontroli. organ dokonał następujących ustaleń w zakresie stanu faktycznego:
1. Bank przetwarza dane osobowe, w tym profiluje je, także w związku ze zautomatyzowanym podejmowaniem decyzji związanych z rozpatrywaniem wniosków kredytowych składanych przez potencjalnych klientów lub klientów Banku oraz zawieraniem przez Bank umów dotyczących świadczenia usług kredytowych. Profilowanie danych klientów i potencjalnych klientów Banku odbywa się wyłącznie w celu określania ich zdolności kredytowej.
2. Bank dokonuje także oceny ryzyka prania pieniędzy i stosowania środków bezpieczeństwa w systemie amISPERT.
3. Bank przetwarza dane potencjalnych klientów i klientów w następującym zakresie: imię, nazwisko, adres zamieszkania i korespondencyjny, nr PESEL, data urodzenia, adres poczty elektronicznej, numer telefonu, oznaczenie kraju rezydencji podatkowej, stan cywilny, płeć, liczba posiadanych dzieci i daty ich urodzenia, seria i numer dokumentu tożsamości, źródło pochodzenia wartości majątkowych, obywatelstwo, dane adresowe pracodawcy klienta, dane o zobowiązaniach kredytowych. W zakresie danych uzyskanych w wyniku profilowania. Bank przetwarza takie dane, jak: wynik scoringu, czyli ocena punktowa ryzyka kredytowego i kategoria ryzyka zdefiniowana przez Bank.
4. Na dzień kontroli Prezesa UODO funkcję inspektora ochrony danych (dalej: lOD) w Banku pełnił Pan P. Z. Wskazana osoba ww. funkcję pełniła od [...] czerwca 2020 r., na podstawie uchwały Zarządu Banku nr [...]. Pełniąc ww. funkcję, P. Z. nie podlegał bezpośrednio zarządowi Banku, stanowiącemu "najwyższe kierownictwo administratora" w rozumieniu art. 38 ust. 3 rozporządzenia 2016/679. Z treści umowy o pracę zawartej [...] września 2017 r. z Bankiem przez pełniącego w czasie kontroli funkcję lOD P. Z. wynika bowiem, że był on zatrudniony najpierw na stanowisku [...], a następnie, na mocy aneksu nr [...] z [...] marca 2020 r., na stanowisku [...] w Zespole ds. [...], a następnie w Departamencie [...].
5. Z treści załączonego do ww. umowy o pracę opisu stanowiska pracy [...] w Departamencie [...] Banku wynika, że pełniący funkcję lOD P. Z., zatrudniony jednocześnie na stanowisku [...] w Zespole ds. [...] (później Departamentu [...]), "raportuje do" Dyrektora Departamentu [...], któremu podlega służbowo. W ocenie Prezesa DODO nie ulega wątpliwości, że obowiązek "raportowania", uwzględniony w opisie stanowiska pracy P. Z. w Departamencie [...], potwierdza bezpośrednią podległość służbową P. Z., pełniącego w Banku w czasie kontroli funkcję lOD, Dyrektorowi ww. departamentu. Z powyższego wynika także, że P. Z. podlegał bezpośrednio Dyrektorowi Departamentu [...], także w zakresie pełnionej przez niego funkcji lOD, tym bardziej że Dyrektor ww. Departamentu, z uwagi na Jego zadania, pełnił w Banku obowiązki związane również z zarządzaniem (kreowaniem) procesami przetwarzania danych. W tej sytuacji, nie ulega wątpliwości, że przedmiotem "raportowania" przez P. Z. do Dyrektora Departamentu [...], były również kwestie immanentnie związane z procesami przetwarzania danych osobowych przez Bank.
6. Zgodnie z treścią § 7 regulaminu organizacyjnego Banku, to Dyrektor Departamentu [...] podlega bezpośrednio "najwyższemu kierownictwu administratora", o którym mowa w art. 38 ust. 3 rozporządzenia 2016/679 (a więc w przypadku Banku - zarządowi), nie zaś [...], który służbowo, zgodnie z treścią ww. umowy o pracę oraz regulaminu organizacyjnego Banku, podlega bezpośrednio Dyrektorowi Departamentu [...]. Ponadto, w myśl § 10 ust. 3 regulaminu organizacyjnego Banku, do zakresu zadań Departamentu [...] należy, między innymi, tworzenie, aktualizacja oraz wdrażanie Polityki bezpieczeństwa Banku, zarządzanie podatnościami itp.
7. Z kolei w myśl § 4 pkt 1 Polityki bezpieczeństwa danych osobowych obowiązującej w Banku na dzień kontroli Prezesa UODO, Pan P. Z. jako [...] podlegał służbowo w organizacji Banku bezpośrednio członkowi zarządu odpowiedzialnemu za obszar [...], tj. Pani M. W., która pełniła na dzień kontroli funkcję członka zarządu odpowiedzialnego za Pion [...].
8. Do zakresu podstawowych obowiązków P. Z. jako [...] należało tworzenie i wdrażanie procedur i polityk dotyczących bezpieczeństwa informacji w Banku, kontrola stosowania ww. procedur i polityk, a także określanie wymogów w zakresie bezpieczeństwa informacji w systemach informatycznych Banku oraz funkcjonujących procesów w Banku w tym zakresie. Z kolei do zakresu najważniejszych obowiązków P. Z. Jako [...] należało prowadzenie szkoleń pracowników, udział w procesach legislacyjnych ze względu na kwestie ochrony danych osobowych, wspieranie wdrażania środków technicznych i organizacyjnych służących bezpieczeństwu danych osobowych, obsługa naruszeń ochrony danych osobowych, prowadzenie korespondencji zewnętrznej dotyczącej danych osobowych, w tym w zakresie realizacji praw osób, których dane dotyczą.
9. Zgodnie z treścią uchwały Zarządu Banku nr [...] z [...] czerwca 2020 r. na zastępcę lOD został wyznaczony Pan B. L., zatrudniony w czasie trwania kontroli na stanowisku Dyrektora Departamentu [...] na podstawie umowy o pracę z [...] marca 2021 r. wraz z aneksem nr [...] z [...] grudnia 2021 r. B. L. jako Dyrektor Departamentu [...] był przełożonym P. Z. w zakresie obowiązków wykonywanych przez niego w ramach zajmowanego stanowiska [...] w ww. jednostce organizacyjnej Banku.
10. W Banku prowadzony jest rejestr czynności przetwarzania, w którym wyszczególnione zostały: zbiór danych osobowych, czynność przetwarzania, forma przetwarzania danych, administrator danych osobowych, cele przetwarzania danych osobowych w zbiorze/ramach czynności przetwarzania, pola informacyjne/zakres danych, opis kategorii osób, których dane dotyczą, kategorie danych osobowych, źródło danych osobowych, podstawa prawna przetwarzania danych w zbiorze w ramach czynności przetwarzania, systemy informatyczne wykorzystywane do przetwarzania danych osobowych, przewidywany termin usunięcia lub przechowywania poszczególnych kategorii danych, ogólny opis technicznych i organizacyjnych środków bezpieczeństwa, kategorie odbiorców, którym dane osobowe zostały lub zostaną ujawnione (w tym odbiorców w państwach trzecich) oraz nazwa państwa trzeciego/dokumentacja odpowiednich zabezpieczeń. W ww. rejestrze na dzień kontroli nie były uwzględnione odrębnie czynności polegające na profilowaniu danych osobowych.
11. W Banku została przeprowadzona ocena skutków dla ochrony danych dla procesu oceny kredytowej klientów wnioskujących o produkty kredytowe (kredyt samochodowy, karta kredytowa, linia kredytowa, pożyczka) oferowane przez Bank dla klientów indywidualnych. W Banku nie była dokonywana ocena skutków dla ochrony danych osobowych odrębnie w zakresie czynności przetwarzania danych polegających na ich profilowaniu.
W związku z powyższymi ustaleniami, Prezes UODO [...] sierpnia 2023 r. wszczął z urzędu postępowanie administracyjne w zakresie możliwości naruszenia przez Bank, jako administratora, obowiązków wynikających z przepisów art. 30 ust. 1, art. 35 ust. 1 i ust. 7 oraz art. 38 ust. 3 rozporządzenia 2016/679.
W odpowiedzi na wezwanie organu do zajęcia stanowiska, Bank pismem z [...] sierpnia 2023 r. ustosunkował się pisemnie do stwierdzonych naruszeń przepisów o ochronie danych osobowych, stanowiących przedmiot postępowania administracyjnego, wymienionych w zawiadomieniu o wszczęciu postępowania, wskazując, że, w jego opinii, P. Z. pełniący obowiązki lOD podlegał służbowo w organizacji Banku bezpośrednio członkowi zarządu Banku odpowiedzialnemu za obszar [...], tj. M. W., która pełniła funkcję członka zarządu odpowiedzialnego za Pion [...]. Bank wskazał, że usytuowanie stanowiska lOD w Departamencie [...] "ma jedynie wymiar administracyjny, tj. odnosi się wyłącznie do kwestii pracowniczych (np. akceptacja urlopów) oraz płacowych (ustalenie warunków finansowych)". Ponadto Bank wyjaśnił, że lOD jest podmiotem niezależnym w zakresie wykonywania swoich funkcji. Na dowód powyższego Bank załączył do wyjaśnień wydruk wiadomości poczty elektronicznej przesyłanych pomiędzy lOD a członkiem zarządu Banku, dotyczącej akceptacji planu kontroli oraz sprawozdania za poprzedni rok z jego wykonania, która, w ocenie Banku, wskazuje na faktyczną podległość lOD bezpośrednio członkowi zarządu Banku. Bank wskazał ponadto, że dla uniknięcia wątpliwości zainicjował proces zmiany zaszeregowania lOD w strukturach Banku, poprzez usytuowanie Inspektora Ochrony Danych bezpośrednio pod członkiem zarządu. Z kolei w piśmie z [...] listopada 2023 r. Bank wyjaśnił, że zmienił treść regulaminu organizacyjnego oraz strukturę organizacyjną w taki sposób, iż stanowisko lOD zostało wyodrębnione w strukturze organizacyjnej Banku. Bank wskazał, że po zmianach stanowisko lOD zostało organizacyjnie podporządkowane bezpośrednio członkowi zarządu Banku.
Bank wskazał też w piśmie z [...] sierpnia 2023 r., że biorąc pod uwagę wyniki audytu z zakresu ochrony danych osobowych, wykonanego przez firmę zewnętrzną, jeszcze przed kontrolą przeprowadzoną przez organ nadzorczy w maju 2022 r., zaczął pracować nad zmianą sposobu ewidencjonowania czynności przetwarzania w rejestrze czynności przetwarzania z biznesowych procesów operacyjnych na poszczególne rodzaje czynności przetwarzania danych osobowych w Banku. Bank stwierdził, że "obecnie obowiązujący (...) rejestr czynności przetwarzania opisuje poszczególne czynności przetwarzania dokonywane w Banku, w tym również profilowanie." Ponadto, Bank dołączył do wyjaśnień zawartych w piśmie z [...] sierpnia 2023 r. aktualnie obowiązujący rejestr czynności przetwarzania, w którego treści uwzględniona została czynność przetwarzania w postaci profilowania danych w ramach oceny zdolności kredytowej (scoringu) klientów Banku.
W piśmie z [...] sierpnia 2023 r. Bank wyjaśnił także, że przekazana w toku kontroli ocena skutków planowanych operacji przetwarzania dotyczyła procesu oceny kredytowej, której nierozerwalnym elementem jest proces scoringu, czyli ocena klienta na podstawie określonych przez Bank kryteriów. W ocenie Banku, ww. ocena "może być kwalifikowana jako profilowanie", mimo, że opis funkcjonalny oceny zdolności kredytowej w ocenie skutków nie zawiera sformułowania "profilowanie". Bank podniósł, że wziął pod uwagę scoring i jego wynik jako czynnik podlegający ocenie skutków dla ochrony danych w procesie oceny kredytowej, tj. wewnętrzną dokumentację, procedurę udzielania kredytów oraz procedurę "Polityka zarządzania ryzykiem kredytowym". Dodatkowo odniesiono się do "Procedury budowy modeli scoringowych".
Jednocześnie Bank wskazał w piśmie z [...] sierpnia 2023 r., że "wychodząc naprzeciw uwagom Prezesa UODO wskazanym w piśmie z [...] sierpnia 2023 r.", Bank uszczegółowił treść oceny skutków w zakresie operacji przetwarzania związanych z oceną zdolności kredytowej (w tym procesu scoringu), poprzez wyraźne wskazanie na czynność w formie profilowania. Bank dołączył do pisma wydruk zmodyfikowanej treści opisu oceny skutków.
Prezes Urzędu Ochrony Danych Osobowych po przeprowadzeniu postępowania administracyjnego wszczętego z urzędu w sprawie naruszenia przepisów o ochronie danych osobowych przez [...] Bank Polska S.A. działając na podstawie art. 104 § 1 ustawy z dnia 14 czerwca 1960 r. Kodeks postępowania administracyjnego (Dz. U. z 2024 r. poz. 572, dalej jako: k.p.a.) oraz art. 7 ust. 1 i 2, art. 60. art. 90, art. 101 i art. 103 u.o.d.o oraz art. 57 ust. 1 lit. a) i h), art. 58 ust. 2 lit. i), art. 83 ust. 1-3 oraz art. 83 ust. 4 lit. a) w związku z art. 30 ust. 1, art. 35 ust. 1 i ust. 7 oraz art. 38 ust. 3 rozporządzenia 2016, decyzją z dnia [...] grudnia 2024 r. [...]
1) nałożył na Bank administracyjną karę pieniężną w wysokości 261 918,00 zł stwierdzając naruszenie przez Bank przepisu art. 38 ust. 3 rozporządzenia 2016/679, polegające na niezapewnieniu przez [...] Bank Polska S.A., jako administratora, by inspektor ochrony danych podlegał bezpośrednio najwyższemu kierownictwu administratora oraz nie otrzymywał instrukcji dotyczących wykonywania swoich zadań.
2) nałożył na Bank administracyjną karę pieniężną w wysokości 314 302,00 zł stwierdzając naruszenie przez Bank przepisów:
a. art. 30 ust. 1 rozporządzenia 2016/679, polegające na nieuwzględnieniu profilowania w opisie procesów (czynności) przetwarzania danych zawartych w prowadzonym przez Bank rejestrze czynności przetwarzania danych;
b. art. 35 ust. 1 i ust. 7 rozporządzenia 2016/679, polegające na niedokonaniu oceny skutków dla ochrony danych osobowych w odniesieniu do czynności przetwarzania danych polegających na ich profilowaniu.
W uzasadnieniu zaskarżonej decyzji organ wyjaśnił, że Bank wbrew dyspozycji art. 38 ust. 3 rozporządzenia 2016/679, nie zastosował środków organizacyjnych służących temu, żeby lOD bezpośrednio podlegał najwyższemu kierownictwu administratora oraz nie otrzymywał w instrukcji dotyczących wykonywania swoich zadań wskazując, że ze zgromadzonego materiału dowodowego jednoznacznie wynika, że w dokumentacji wewnętrznej zawarł rozwiązania organizacyjne niespełniające wymogów określonych w powołanym wyżej przepisie rozporządzenia 2016/679. Wobec powyższego organ stwierdził, że doszło do naruszenia art. 38 ust. 3 rozporządzenia 2016/679. Organ wyjaśnił ponadto, że nie może dochodzić do sytuacji, że administrator, tj. Bank, wprowadza określone środki organizacyjne, takie np. jak polityka ochrony danych, w których deklaruje niezależność lOD w wykonywaniu jego obowiązków, w tym jego podległość wyłącznie i bezpośrednio najwyższemu kierownictwu (tj. w przedmiotowej sprawie zarządowi Banku), a jednocześnie faktycznie stosuje rozwiązania organizacyjno-prawne, takie jak umowy o pracę wraz z określeniem w nich zakresu obowiązków, z których wynika, że stoją one w sprzeczności z postanowieniami polityki, a w konsekwencji z treścią art. 38 ust. 3 rozporządzenia 2016/679. Natomiast, wyjaśnienia Banku, w których dowodzi on, iż faktycznie P. Z. w zakresie pełnienia obowiązków lOD podlegał bezpośrednio i wyłącznie członkowi zarządu, są nieprzekonywające i nie znajdują pokrycia w stwierdzonym stanie faktycznym, gdyż postanowienia umowy o pracę zawartej z Bankiem przez pełniącego na dzień kontroli funkcję lOD P. Z., pozostawały w sprzeczności z treścią § 4 pkt 1 Polityki bezpieczeństwa danych osobowych i art. 38 ust. 3 rozporządzenia 2016/679, powodując, że był on zarówno formalnie, jak i faktycznie, bezpośrednio podległy osobie nienależącej do najwyższego kierownictwa Banku (Dyrektorowi Departamentu [...]).
Dodatkowo organ w uzasadnieniu zaskarżonej decyzji wskazał, że doszło do naruszenia przez Bank art. 30 ust 1 rozporządzenia 2016/679, z uwagi na to że, co prawda, Bank prowadzi rejestr o którym mowa w ww. regulacji, jednak nie uwzględnia on w opisie procesów (czynności) przetwarzania danych związanych z ich profilowaniem. Fakt ten został potwierdzony przez Bank w wyjaśnieniach udzielonych w toku kontroli, wskazując, że w rejestrze czynności przetwarzania ewidencjonuje produkty, a nie czynności, czy procesy na danych osobowych, zaś profilowanie jest elementem udzielania produktu kredytowego, uwzględnionego w rejestrze czynności przetwarzania. Wobec powyższego w ocenie organu, Bank powinien był w prowadzonym przez niego rejestrze czynności przetwarzania uwzględnić również profilowanie jako specyficzną formę i zarazem istotny etap przetwarzania danych klientów w szeroko rozumianym procesie udzielania im kredytów, a więc brak wyodrębnienia przez Bank profilowania w treści rejestru czynności przetwarzania, stanowi naruszenie art. 30 ust. 1 rozporządzenia 2016/679.
W uzasadnieniu decyzji wskazano również, że w toku kontroli ustalono, że w Banku nie była dokonywana ocena skutków dla ochrony danych osobowych w odniesieniu do czynności przetwarzania danych w formie profilowania, wobec tego brak oceny skutków dla ochrony danych w związku z profilowaniem danych klientów przez Bank stanowi naruszenie art. 35 ust. 1 i ust. 7 rozporządzenia 2016/679. Ponadto, ocena skutków planowanych operacji przetwarzania przez Bank danych osobowych, przedłożona w toku kontroli nie spełniała wymogu zawartego w art. 35 ust. 7 lit. a) rozporządzenia 2016/679, tj. nie uwzględniała ona w systematycznym opisie planowanej operacji przetwarzania w formie profilowania danych celem określenia zdolności kredytowej klientów Banku. Organ ponadto podniósł, że wyjaśnienie Banku zawarte w piśmie z [...] sierpnia 2023 r., że ocena skutków dokonana przez Bank na dzień kontroli odnosi się również do profilowania, mimo że opis funkcjonalny oceny zdolności kredytowej w ocenie skutków nie zawiera sformułowania "profilowanie". W ocenie organu treść dokumentu zawierającego ocenę skutków dla czynności przetwarzania powinien być jasny i przejrzysty, zaś organ nadzorczy, dokonując czynności kontrolnych, nie powinien być zmuszony do "domyślania się", jaka treść stoi za opisem ww. oceny.
Na stronach 20-39 uzasadnienia decyzji organ wyjaśnił też szczegółowo sposób ustalenia wysokości nałożonych kar.
Pismem z dnia [...] stycznia 2025 r. pełnomocnik działający w imieniu banku złożył do Wojewódzkiego Sądu Admiracyjnego w Warszawie skargę na decyzję Prezesa UODO z dnia [...] grudnia 2024 r.
Zaskarżonej decyzji zarzucono:
1) naruszenie prawa materialnego, które miało istotny wpływ na wynik sprawy, tj. art. 30 ust. 1 rozporządzenia 2016/679 poprzez jego błędną wykładnię polegającą na uznaniu, że profilowanie powinno być wyodrębnione w rejestrze czynności przetwarzania niezależnie od czynności polegającej na ocenie zdolności kredytowej lub przynajmniej w opisie czynności polegającej na udzielaniu kredytów, podczas gdy zgodnie z prawidłową wykładnią art. 30 ust. 1 rozporządzenia 2016/679 wyodrębnieniu w rejestrze czynności przetwarzania podlega cała czynność przetwarzania danych, tj. ocena zdolności kredytowej, nie zaś poszczególne elementy wchodzące w skład danej czynności np. profilowanie i nie jest konieczne wskazywanie wszystkich jej elementów w opisie czynności przetwarzania, co miało istotny wpływ na wynik sprawy, ponieważ skutkowało niezasadnym nałożeniem na Bank administracyjnej kary pieniężnej;
2) naruszenie prawa materialnego, które miało istotny wpływ na wynik sprawy, tj. art. 35 ust. 1 i ust. 7 rozporządzenia 2016/679 poprzez jego niewłaściwe zastosowanie i uznanie, że Bank powinien był przeprowadzić ocenę skutków dla ochrony danych dla profilowania pomimo dokonania przez Bank oceny skutków dla ochrony danych dla oceny zdolności kredytowej, której jednym z elementów jest profilowanie, co miało istotny wpływ na wynik sprawy, ponieważ skutkowało niezasadnym nałożeniem na Bank administracyjnej kary pieniężnej;
3) naruszenie prawa materialnego, które miało istotny wpływ na wynik sprawy, tj. art. 38 ust. 3 rozporządzenia 2016/679 w zw. z art. 38 ust. 6 rozporządzenia 2016/679 poprzez ich błędną wykładnię polegającą na uznaniu, że przepisy te należy rozumieć jako uniemożliwiające zatrudnienie inspektora ochrony danych osobowych w Departamencie [...] Banku oraz podległość w zakresie spraw pracowniczych dyrektorowi tego departamentu, podczas gdy przepisy te umożliwiają wykonywanie inspektorowi ochrony danych osobowych innych zadań oraz zatrudnienie w jednej z komórek organizacyjnych administratora, o ile nie skutkuje to naruszeniem zasady niezależności inspektora ochrony danych osobowych oraz konfliktem interesów, co miało istotny wpływ na wynik sprawy, ponieważ skutkowało niezasadnym nałożeniem na Bank administracyjnej kary pieniężnej;
4) naruszenie prawa materialnego, które miało istotny wpływ na wynik sprawy, tj. art. 83 ust. 1 rozporządzenia 2016/679 poprzez jego niewłaściwe zastosowanie i wymierzenie Bankowi nieproporcjonalnej administracyjnej kary pieniężnej, podczas gdy działanie Banku nie stanowiło naruszenia żadnej jasnej i bezwzględnej normy formułującej obowiązek prawny i wynikało z odmiennej wykładni przepisu przez Bank i Organ, co świadczy o tym, że wystarczające było skorzystanie przez Organ z uprawnień naprawczych;
5) naruszenie prawa materialnego, które miało istotny wpływ na wynik sprawy, tj. art. 83 ust. 2 lit. a rozporządzenia 2016/679 poprzez jego niewłaściwe zastosowanie i uznanie, że naruszenia, o których mowa w pkt 1 i 2 Decyzji mają znaczną wagę, podczas gdy naruszenia te nie mają bezpośredniego wpływu na prawa i wolności osób fizycznych, co miało istotny wpływ na wynik sprawy, ponieważ skutkowało nałożeniem na Bank nieproporcjonalnie wysokiej administracyjnej kary pieniężnej;
6) naruszenie prawa materialnego, które miało istotny wpływ na wynik sprawy, tj. art. 83 ust. 2 lit. b rozporządzenia 2016/679 poprzez jego niewłaściwe zastosowanie i uznanie, że naruszenie, o którym mowa w pkt 1 Decyzji miało charakter umyślny, podczas gdy naruszenie to było jedynie skutkiem odmiennej wykładni przepisów przez Bank oraz Organ, a Bank po kontroli przeprowadzonej przez Organ zmienił strukturę organizacyjną tak, aby była ona zgodna z wykładnią art. 38 ust. 3 rozporządzenia 2016/679 dokonaną przez Organ, co miało istotny wpływ na wynik sprawy, ponieważ skutkowało nałożeniem na Bank nieproporcjonalnie wysokiej administracyjnej kary pieniężnej;
7) naruszenie prawa materialnego, które miało istotny wpływ na wynik sprawy, tj. art. 83 ust. 2 lit. e rozporządzenia 2016/679 poprzez jego niewłaściwe zastosowanie i uwzględnienie w ramach wcześniejszych naruszeń administratora nakazu nałożonego na Bank decyzją z [...] listopada 2022 r., znak [...], który został uchylony wyrokiem WSA w Warszawie z 20 września 2023 r., sygn. akt II SA/Wa 159/23, co miało istotny wpływ na wynik sprawy, ponieważ skutkowało nałożeniem na Bank nieproporcjonalnie wysokiej administracyjnej kary pieniężnej;
8) naruszenie przepisów postępowania, które miało istotny wpływ na wynik sprawy, tj. art. 7, 77 § 1 oraz art. 105 § 1 k.p.a. poprzez wydanie przez Organ Decyzji na podstawie niepełnego stanu faktycznego istniejącego w dacie wydania Decyzji, bez uwzględnienia zmiany struktury organizacyjnej i regulaminu organizacyjnego Banku po przeprowadzeniu kontroli przez Organ oraz zmienionego rejestru czynności przetwarzania, co miało istotny wpływ na wynik sprawy, ponieważ skutkowało niezgodnym z prawem brakiem umorzenia postępowania w tym zakresie i nałożeniem na Bank administracyjnej kary pieniężnej;
9) naruszenie przepisów postępowania, które miało istotny wpływ na wynik sprawy, tj. art. 7, art. 77 § 1 i art. 80 k.p.a. poprzez przyjęcie przez Organ w Decyzji, że P. Z., pełniąc funkcję [...] w Banku otrzymywał instrukcje od B. L., który pełnił funkcję Dyrektora Departamentu [...] Banku, podczas gdy okoliczności te nie zostały udowodnione przez Organ w toku postępowania i zostały oparte jedynie o rzekomą logikę i doświadczenie życiowe Organu, co miało istotny wpływ na wynik sprawy, ponieważ skutkowało błędnym nieumorzeniem postępowania w tym zakresie i nałożeniem na Bank administracyjnej kary pieniężnej.
Organ w odpowiedzi na skargę wniósł o jej oddalenie w całości.
Wojewódzki Sąd Administracyjny w Warszawie zważył, co następuje:
zgodnie z treścią przepisu art.1 par. 1 i 2 ustawy z dnia 25 lipca 2002 r. – Prawo o ustroju sądów administracyjnych (Dz. U. Nr.153, poz.1269 z późn. zm.) Sąd Administracyjny sprawuje wymiar sprawiedliwości poprzez kontrolę pod względem zgodności z prawem skarżonej decyzji administracyjnej. Jest więc to kontrola legalności rozstrzygnięcia zapadłego w postępowaniu administracyjnym, z punktu widzenia jego zgodności z prawem materialnym i procesowym. Oceniając przedmiotową decyzję według powyższych kryteriów, uznać należy, iż nie narusza ona prawa.
Istota sprawy w niniejszym postępowaniu sprowadzała się do oceny tego, czy działania organu odpowiadały przepisom prawa i faktom ustalonym przez organ.
W ocenie tut. Sądu na w/postawione pytanie należało udzielić pozytywnej odpowiedzi.
Odnosząc się do punktu 1 skarżonej decyzji, dla lepszego zobrazowania normy art.38 ust.3 RODO zasadnym będzie przywołanie treści Wytycznych Grupy Roboczej Art. 29 ds. Ochrony Danych dotyczących inspektorów ochrony danych ("DPO"), zmienionych i przyjętych 5 kwietnia 2017 r. Zgodnie z treścią ww. dokumentu, "Administrator i podmiot przetwarzający są odpowiedzialni za przestrzeganie przepisów dotyczących ochrony danych i muszą być w stanie wykazać ich przestrzeganie. W sytuacji podjęcia przez administratora lub podmiot przetwarzający decyzji niezgodnej z przepisami RODO i zaleceniami DPO (tj. inspektora ochrony danych), DPO powinien mieć możliwość jasnego przedstawienia swojej odrębnej opinii najwyższemu kierownictwu i osobom podejmującym decyzję. Artykuł 38(3) stanowi bowiem, iż ta bezpośrednia podległość zapewnia najwyższemu kierownictwu (np. członkom zarządu) wiedzę na temat porad i zaleceń DPO w ramach wypełniania przez DPO zadania informowania i doradzania administratorowi lub podmiotowi przetwarzającemu. Kolejnym przykładem bezpośredniej podległości jest sporządzanie dla najwyższego kierownictwa rocznego sprawozdania dotyczącego działań prowadzonych przez DPO."
Odkodowanie treści art.38 ust.3 RODO w powiązaniu z w/w wytycznymi prowadzi do konkluzji, iż usytuowanie stanowiska Inspektora Ochrony Danych (IOD) w strukturze organizacyjnej administratora danych powinno być dokonane w taki sposób, by zapewnić owemu inspektorowi niezależność i chronić go przed potencjalnym nawet ryzykiem wpływania przez administratora na działania podejmowane przez IOD w ramach wykonywania obowiązków IOD (chodzi tu o nawet samą możliwość czy ryzyko wpływania a nie o stwierdzenie faktu że wpływanie takie miało miejsce).
Trafne są więc wnioski organu, iż faktyczna i formalna podległość IOD w stosunku do Dyrektora Departamentu [...] Banku nie zapewniała mu pełnej niezależności. Prezes UODO zasadnie uznał, iż Bank nie zapewnił, aby lOD bezpośrednio podlegał najwyższemu kierownictwu Banku jako administratora. Podległość służbowa P. Z. wobec Dyrektora Departamentu [...], tj. jednostki wewnętrznej Banku, do której zadań należały także czynności odnoszące się do sfery bezpieczeństwa informacji w Banku, a więc i ochrony danych osobowych, jest równoznaczna także z tym, że P. Z., wbrew wymogowi art. 38 ust. 3 rozporządzenia 2016/679, mógł otrzymywać instrukcje dotyczące wykonywania zadań lOD od Dyrektora Departamentu [...], bowiem nie wyklucza tego w/w podległość wynikająca z natury stosunku pracy, w którym pracownik obowiązany jest wykonywać polecenia przełożonego.
Wbrew twierdzeniom Banku o istnieniu niezależności IOD nie świadczy treść par.4 pkt.1 "polityki bezpieczeństwa". Istniejące w Banku rozwiązania organizacyjno-prawne, takie jak umowy o pracę wraz z określeniem w nich zakresu obowiązków świadczą o tym, że stoją one w sprzeczności z postanowieniami polityki, a w konsekwencji z treścią art. 38 ust. 3 rozporządzenia 2016/679. W przedmiotowej sprawie w sprzeczności z wymogami § 4 pkt 1 Polityki bezpieczeństwa danych osobowych oraz art. 38 ust. 3 rozporządzenia 2016/679 stoi treść umowy o pracę zawartej z P. Z. w dniu [...] września 2017 r., zgodnie z którą był on zatrudniony najpierw na stanowisku [...], następnie, na mocy aneksu nr [...] z [...] marca 2020 r. na stanowisku [...] w Zespole ds. [...], a następnie - na dzień kontroli - w Departamencie [...] Banku. Co kluczowe dla wniosków organu, z treści załączonego do ww. umowy o pracę opisu stanowiska pracy [...] w Departamencie [...] Banku wynika, że pełniący funkcję lOD P. Z., zatrudniony jednocześnie na stanowisku [...] w Zespole ds. [...] (później Departamencie [...]), "raportuje do" Dyrektora Departamentu [...], któremu podlega służbowo. Powyższe określenie wskazuje, że ww. osoba była zobowiązana przekazywać Dyrektorowi Departamentowi [...]generalnie informacje o wszystkich wykonywanych przez siebie zadaniach, w tym także tych odnoszących się do wykonywanej przez niego funkcji inspektora ochrony danych. Z całokształtu obowiązków wykonywanych przez P. Z. oraz Dyrektora Departamentu [...] na dzień kontroli oraz zadań ww. departamentu wynika jednoznacznie, że jego dyrektor był odpowiedzialny także za sferę procesów przetwarzania danych zachodzących w Banku. Powyższe zaś wiąże się z tym, że podległy służbowo Dyrektorowi Departamentu [...] P. Z., pełniąc funkcję lOD, siłą rzeczy musiał mu podlegać także w zakresie pełnienia tejże funkcji. Taka sytuacja z całą zaś pewnością wyklucza spełnienie wymogu podlegania lOD najwyższemu kierownictwu administratora, zgodnie z art. 38 ust. 3 rozporządzenia 2026/679.
Na poprawność wywodów organu bez wpływu pozostaje argumentacja skargi i przywołane w niej orzecznictwo TSUE, którego tezy ogniskują się na materii istnienia konfliktu interesów lecz istniejącego po stronie osoby pełniącej funkcję IOD. W realiach niniejszej sprawy rozstrzygnięcie zawarte w pkt.1 decyzji związane zaś było z kwestią braku zapewnienia niezależności IOD przez jego wyłączną podległość najwyższemu kierownictwu Banku – którym co nie sporne – w przypadku spółki akcyjnej jest jej zarząd.
Na marginesie zasadnym będzie też zwrócenie uwagi na to, że Bank swymi działaniami podjętymi w wyniku kontroli organu, przyznał w sposób dorozumiany rację organowi w omawianym zakresie. Dokonał bowiem zmian organizacyjnych pozostających w zgodzie z wnioskami decyzji.
W ocenie tut. Sądu jako uzasadnione jawią się również wniosku organu co do stwierdzonych w pkt.2 decyzji naruszeń RODO. Przede wszystkim należy wskazać, że rejestr czynności przetwarzania danych prowadzony przez administratora nie powinien zawierać sformułowań ogólnikowych. W sposób przejrzysty i konkretny winien opisywać procesy przetwarzania zachodzące u administratora. W sposób szczególnie wyczerpujący powinien zaś opisywać procesy przetwarzania tego typu danych, których udostępnienie mogłoby prowadzić do negatywnych skutków dla konkretnych osób.
Omawiając przedmiotową problematykę należy mieć na względzie, iż wyłącznie dokładny i całościowy opis owych procesów dokonany w rejestrze przetwarzania danych, może zapewnić realną i faktyczną kontrolę Prezesa UODO, który w ramach swoich kompetencji nie ma możliwości domyślania się treści i pełnego przedmiotu konkretnego opisu czynności. Tyczy się to również tych czynności administratora (w niniejszej sprawie profilowanie), których wykonywanie jest dla niego oczywiste. Skoro bowiem żaden przepis prawa powszechnie obowiązującego nie nakłada na Bank obowiązku profilowania danych klientów ubiegających się o kredyt, wnioski Banku dotyczące oczywistości etapu profilowania w ramach oceny zdolności kredytowej, nie mogą się ostać.
Badając poprawność rozstrzygnięcia zawartego w pkt.2 decyzji nie sposób też abstrahować od tego, że profilowanie jest jednym z bardziej wyjątkowych w świetle działań związanych z przetwarzaniem danych osobowych. Pojęcie to zostało nawet wyjaśnione w przepisach RODO i w myśl jego art.4 pkt.4 jest specyficzną formą zautomatyzowanego przetwarzania danych, w rezultacie którego dane osobowe - w przypadku Banku - zostają wykorzystane do oceny sytuacji ekonomicznej osób fizycznych, tj. jego klientów.
W tym miejscu wyjaśnić też należy, iż twórca przepisów RODO nie ograniczył wyjątkowości działania polegającego na profilowaniu do sytuacji, gdy w wyniku profilowania dochodzi do zautomatyzowanego wydawania decyzji kredytowych. Owa wyjątkowość dotyczy też sytuacji związanych ze zautomatyzowanym przetwarzaniem o czym wprost świadczą Wytyczne Grupy Roboczej art.29 zawarte na stronach 8 i 29 a przywołane przez organ na stronie 14 uzasadnienia skarżonej decyzji.
Przenosząc powyższe na realia faktyczne sprawy uznać należało, iż organ zasadnie wytknął Bankowi naruszenie art.30 ust.1 RODO polegające na nieuwzględnieniu profilowania w opisie czynności przetwarzania ujętych w rejestrze czynności przetwarzania. Działanie to winno być ujęte w omawianym rejestrze choćby z uwagi na wagę tego działania, związaną z poważnym naruszeniem praw lub wolności osób, których dane o statusie majątkowym mogłyby zostać ujawnione.
Stwierdzony przez organ brak sprawiał zaś, że możliwość kontroli przez PUODO poprawności działań Banku dotyczących profilowania, nabierała charakteru czysto iluzorycznego.
Biorąc pod uwagę powyższe - wielce istotne a wręcz potencjalnie groźne dla osób których dane są profilowane – skutki ujawnienia owych danych, organ trafnie zwrócił też uwagę na to, że niedokonanie przez Bank oceny skutków dla ochrony danych w odniesieniu do działania profilowania danych prowadzi także do naruszenia art.35 ust.1 i 7 RODO.
Bez wpływu na wynik sprawy pozostaje podniesiony w skardze argument, iż profilowanie nie jest celem samym w sobie a służy ocenie zdolności kredytowej. Dla rozstrzygnięcia kluczowe znaczenie ma bowiem uwypuklony już wyżej wyjątkowy charakter czynności profilowania i bezpośredni związek danych uzyskanych wskutek profilowania z istnieniem dużego ryzyka naruszenia praw lub wolności podmiotów których dane profilowano.
Odnosząc się do materii nałożonych przez organ administracyjnych kar pieniężnych koniecznym przypomnienia jest, że postępowanie administracyjne prowadzone przez Prezesa DODO służy kontroli zgodności przetwarzania danych z przepisami o ochronie danych osobowych i jest ukierunkowane na wydanie decyzji administracyjnej w celu zastosowania uprawnień naprawczych określonych w art. 58 ust. 2 rozporządzenia 2016/679. Zgodnie z art. 58 ust. 2 lit. i) rozporządzenia 2016/679, każdemu organowi nadzorczemu przysługuje uprawnienie do zastosowania, oprócz lub zamiast środków, o których mowa w art. 58 ust. 2 rozporządzenia 2016/679, administracyjnej kary pieniężnej na mocy art. 83 rozporządzenia 2016/679, zależnie od okoliczności konkretnej sprawy. Mając na uwadze stwierdzone naruszenia przepisów rozporządzenia 2016/679, Prezes UODO, korzystając z przysługującego mu uprawnienia określonego w ww. przepisie może więc przyjąć, że w danej sprawie zaistniały przesłanki uzasadniające nałożenie na administratora administracyjnej kary pieniężnej.
Stosownie do treści art. 83 ust. 2 rozporządzenia 2016/679, administracyjne kary pieniężne nakłada się, zależnie od okoliczności każdego indywidualnego przypadku, oprócz lub zamiast środków, o których mowa w art. 58 ust. 2 lit. a)-h) oraz lit. j) rozporządzenia 2016/679. Według art. 83 ust. 4 lit. a) rozporządzenia 2016/679 naruszenia przepisów kształtujących obowiązki administratora i podmiotu przetwarzającego, o których mowa w art. 8,11,25-39 oraz 42 i 43, podlegają zgodnie z ust. 2 administracyjnej karze pieniężnej w wysokości do 10 000 000 EUR, a w przypadku przedsiębiorstwa - w wysokości do 2% jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego, przy czym zastosowanie ma kwota wyższa. W myśl zaś treści art. 83 ust. 3 rozporządzenia 2016/679, jeżeli administrator lub podmiot przetwarzający narusza umyślnie lub nieumyślnie w ramach tych samych lub powiązanych operacji przetwarzania kilka przepisów niniejszego rozporządzenia, całkowita wysokość administracyjnej kary pieniężnej nie przekracza wysokości kary za najpoważniejsze naruszenie.
Rozwinięcie zasad nakładania administracyjnych kar pieniężnych znajduje się zaś w wytycznych EROD 04/2022 w myśl których pierwszym krokiem przyjętej tam metodyki obliczania administracyjnych kar pieniężnych jest "określenie operacji przetwarzania w danej sprawie i ocena zastosowania art. 83 ust. 3 RODO" (zob. ust. 17 Wytycznych 04/2022). Rozwijając tę wskazówkę w ust. 24 swoich wytycznych, EROD zaleca w pierwszej kolejności ustalić: a) czy okoliczności wskazują na jedno zachowanie, czy też na wiele zachowań podlegających karze; b) w przypadku jednego zachowania, czy zachowanie to stanowi jedno naruszenie czy większą liczbę naruszeń; c) w przypadku jednego zachowania, które stanowi wiele naruszeń, czy przypisanie jednego naruszenia wyklucza przypisanie innego naruszenia, czy też należy je przypisać równolegle. Wykładnię pojęcia "jedno zachowanie" zawiera natomiast - w nawiązaniu do art. 83 ust. 3 rozporządzenia 2016/679, w którym mowa jest o "tych samych lub powiązanych operacjach przetwarzania" - ust. 28 wytycznych EROD. Zgodnie z nim termin «powiązane» odnosi się do zasady, zgodnie z którą jedno zachowanie może składać się z kilku części, które są realizowane na skutek jednego aktu woli i są kontekstowo (w szczególności jeśli chodzi o tożsamość osoby, której dane dotyczą, cel i charakter przetwarzania), przestrzennie i czasowo tak blisko powiązane, że z obiektywnego punktu widzenia można uznać Je za Jedno spójne zachowanie".
Z powyższego w sposób nie budzący wątpliwości jednoznacznie wynika, że kary pieniężne mają mieć przede wszystkim charakter :
- mobilizujący administratora do właściwego wykonywania obowiązków wynikających z RODO oraz
- charakter odstraszający administratora od podejmowania działań stanowiących lekceważenie tych obowiązków.
W ocenie tut. Sądu nałożone w badanej decyzji kary administracyjne spełniają obydwa w/w postulaty.
Nadmienić też należy, iż organ w sposób wielce dokładny wyjaśnił na stronach 20 – 39 uzasadnienia decyzji sposób ustalenia wysokości nałożonych kar, ze szczególnym uwzględnieniem kryteriów wymienionych w art. 83 ust. 2 rozporządzenia 2016/679, które dotyczą strony przedmiotowej naruszeń (składają się na "powagę" naruszenia), to jest: charakter, waga i czas trwania naruszeń (art. 83 ust. 2 lit. a) rozporządzenia 2016/679), umyślny lub nieumyślny charakter naruszeń (art. 83 ust. 2 lit. b) rozporządzenia 2016/679) oraz kategorie danych osobowych, których dotyczyły naruszenia (art. 83 ust. 2 lit. g) rozporządzenia 2016/679).
Na potrzeby uzasadnienia niniejszego wyroku w ocenie tut. Sądu nie zachodzi potrzeba powielania motywacji organu zawartej na kartach 20 – 39 uzasadnienia decyzji gdyż Sąd administracyjny w pełni je akceptuje i w efekcie traktuje jak własną.
Wyjątkowego podkreślenia wymaga okoliczność, że dokonując wymiaru kary organ działał w możliwie wyważony sposób, kierując się obiektywnymi przesłankami – w tym uwzględniając wszystkie okoliczności łagodzące i w efekcie prowadzące do zastosowania kar w wysokościach znacznie niższych od maksymalnie możliwych do nałożenia. Poprawnie też postąpił uwzględniając wszelkie wcześniejsze naruszenia przepisów PUODO przez Bank. Na poprawność tego działania bez wpływu pozostaje podnoszona w skardze okoliczność, iż jedna z sześciu decyzji stwierdzających naruszenie przez Bank przepisów RODO, w około dwuletnim okresie poprzedzającym badaną decyzję, została uchylona przez Sąd. Nie zmienia to bowiem w sposób zauważalny zakresu wcześniejszych naruszeń, których dopuścił się Bank.
W tym stanie sprawy, nie podzielając argumentów zawartych w złożonej skardze, oraz uznając iż organ w sposób prawidłowy zebrał i ocenił materiał dowodowy, oraz iż przy wykonywaniu tych czynności nie naruszył przepisów prawa, Wojewódzki Sad Administracyjny w Warszawie orzekł jak w sentencji wyroku na podstawie art.151 ustawy z dnia 30 sierpnia 2002r. – Prawo o postępowaniu przed sądami administracyjnymi (Dz. U. z 2024r. poz.935).