II SA/Wa 299/24

II SA/Wa 299/24 - Wyrok WSA w Warszawie
Data orzeczenia
2024-10-16
orzeczenie nieprawomocne
Data wpływu
2024-03-04
Sąd
Wojewódzki Sąd Administracyjny w Warszawie
Sędziowie
Anna Pośpiech-Kłak
Ewa Radziszewska-Krupa /przewodniczący/
Joanna Kube /sprawozdawca/
Symbol z opisem
647  Sprawy związane z ochroną danych osobowych
Hasła tematyczne
Ochrona danych osobowych
Skarżony organ
Generalny Inspektor Ochrony Danych Osobowych
Treść wyniku
Oddalono skargi
Powołane przepisy
Dz.U. 2023 poz 2488
art. 105 ust. 4, art. 105a ust. 3
Ustawa z dnia 29 sierpnia 1997 r. Prawo bankowe (t. j.)
Dz.U. 2024 poz 935
art. 151
Ustawa z dnia 30 sierpnia 2002 r. Prawo o postępowaniu przed sądami administracyjnymi (t. j.)
Sentencja
Wojewódzki Sąd Administracyjny w Warszawie w składzie następującym: Przewodniczący Sędzia WSA Ewa Radziszewska-Krupa, Sędzia WSA Joanna Kube (spr.), Asesor WSA Anna Pośpiech-Kłak, Protokolant specjalista Maryla Wiśniewska po rozpoznaniu na rozprawie w dniu 16 października 2024 r. sprawy ze skarg [...] Bank Polska S.A. z siedzibą w [...] oraz [...] S.A. z siedzibą w [...] na decyzję Prezesa Urzędu Ochrony Danych Osobowych z dnia [...] grudnia 2023 r.nr [...] w przedmiocie przetwarzania danych osobowych oddala skargi
Uzasadnienie
Prezes Urzędu Ochrony Danych Osobowych (dalej: "Prezes UODO", "organ") decyzją z dnia [...] grudnia 2023 r., nr [...], na podstawie art. 104 § 1 ustawy z dnia 14 czerwca 1960 r. Kodeks postępowania administracyjnego (Dz. U. z 2023 r. poz. 775 ze zm.; dalej "k.p.a."), w zw. z art. 7 ust. 1 i 2 ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych (Dz.U. z 2019 r. poz. 1781; dalej: "u.o.d.o."), art. 6 ust. 1 i art. 58 ust. 2 lit. c rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (Dz.Urz. UE L 119 z dnia 4 maja 2016 r., str. 1, Dz.Urz. UE L 127 z 23 maja 2018 r., str. 2 oraz Dz.Urz. UE L 74
z 4 marca 2021 r., str. 35; dalej: "RODO"), po przeprowadzeniu postępowania administracyjnego w sprawie skargi P. M. (dalej: "skarżący"), na nieprawidłowości w procesie przetwarzania jego danych osobowych przez [...] Bank Polska S.A. z siedzibą w [...] (dalej: "Bank"), polegające na ich udostępnieniu do [...] S.A. z siedzibą w [...] (dalej: "[...]") bez podstawy prawnej, nakazał Bankowi zaprzestanie przetwarzania danych osobowych uczestnika (przetwarzanych w związku z zawartą z uczestnikiem umową kredytu z dnia [...] maja 2016 r.) w bazie [...] w celu oceny zdolności kredytowej i analizy ryzyka kredytowego.
W uzasadnieniu decyzji Prezes UODO stwierdził, że przeprowadzone
w sprawie postępowanie wykazało, iż zobowiązanie skarżącego wobec Banku, wynikające z umowy kredytu z dnia [...] maja 2016 r., wygasło w dniu [...] czerwca 2020 r.
Skarżący podniósł, że okoliczności wskazywane w art. 105a ust. 3 Prawa bankowego nie zostały spełnione, w związku z czym Bank nie był uprawniony do przetwarzania jego danych osobowych w [...]. Bank wskazał, że nie przetwarza danych osobowych skarżącego na podstawie art. 105a ust. 3 Prawa bankowego i nie przedstawił dowodów na spełnienie obowiązków wynikających z powyższego przepisu.
W przedmiotowej sprawie nie ma zatem dowodu na to, że Bank spełnił wobec skarżącego obowiązek określony w art. 105a ust. 3 Prawa bankowego, tj. skutecznie poinformował skarżącego o zamiarze przetwarzania informacji jego dotyczących, stanowiących tajemnicę bankową, bez jego zgody po wygaśnięciu zobowiązania wynikającego z ww. umowy.
W ocenie Prezesa UODO, stanowisko Banku i [...], zgodnie z którym przepis art. 105a ust. 3 Prawa bankowego odnosi się wyłącznie do możliwości przetwarzania przez banki informacji o wygasłych zobowiązaniach osób fizycznych, a nie przedsiębiorców, nie jest prawidłowe, nie znajduje bowiem podstaw
w obowiązującym stanie prawnym. Jednocześnie organ wskazał, że w przedmiotowej sprawie przepis art. 105a ust. 3 Praw bankowego nie może stanowić podstawy do przetwarzania danych skarżącego w [...] przez Bank z uwagi na niespełnienie przesłanek, które uprawniałyby go do przetwarzania danych osobowych skarżącego po wygaśnięciu zobowiązania.
W opinii Prezesa UODO, nie może stanowić - również w chwili obecnej - przesłanki do przetwarzania danych skarżącego w [...] art. 105a ust. 2 Prawa bankowego. Bank nie wykazał bowiem uzyskania od skarżącego pisemnej zgody na przetwarzanie jego danych po wygaśnięciu zobowiązania.
Podstawą prawną przetwarzania danych osobowych skarżącego w [...] nie jest także obecnie art. 105a ust. 1 Prawa bankowego, gdyż przepis ten dotyczy przetwarzania informacji przed powstaniem zobowiązania wynikającego z umowy zawartej z bankiem oraz w czasie istnienia tego zobowiązania.
Wobec powyższego - w ocenie organu nadzorczego - w przedmiotowej sprawie nie zostały spełnione przesłanki zarówno z art. 105a ust. 1 i 2, jak i z art. 105a ust. 3 Prawa bankowego, a zatem zasadnym było nakazanie zaprzestania przetwarzania danych osobowych skarżącego dotyczących umowy kredytu z dnia
[...] maja 2016 r. przez Bank w systemie [...], w celu oceny zdolności kredytowej
i analizy ryzyka kredytowego, wobec braku podstawy prawnej dla takiego przetwarzania.
Organ stwierdził, że postępowanie administracyjne - prowadzone przez Prezesa UODO - służy kontroli zgodności przetwarzania danych osobowych
z przepisami o ochronie danych osobowych i jest ukierunkowane na wydanie decyzji administracyjnej na podstawie art. 58 ust. 2 RODO.
W ocenie organu, Bank nie wykazał podstawy prawnej do dalszego przetwarzania danych osobowych skarżącego po wygaśnięciu jego zobowiązania wobec Banku, dlatego, korzystając z uprawnienia przewidzianego w art. 58 ust. 2 lit. c RODO, organ nakazał Bankowi zaprzestanie przetwarzania danych osobowych skarżącego, przetwarzanych w związku z umową kredytu z dnia [...] maja 2016 r.,
w systemie [...], w celu oceny zdolności kredytowej i analizy ryzyka kredytowego.
Powyższa decyzja stała się przedmiotem skargi do Wojewódzkiego Sądu Administracyjnego w Warszawie wniesionej zarówno przez Bank, jak i [...].
Bank, reprezentowany przez profesjonalnego pełnomocnika, wywiódł swoją skargę w piśmie z dnia [...] stycznia 2024 r., zaskarżając przedmiotową decyzję
w całości.
Zaskarżonej decyzji zarzucił naruszenie przepisów prawa materialnego mające istotny wpływ na wynik sprawy, tj.:
- naruszenie art. 6 ust. 1 lit. f) RODO w zw. z art. 105 ust. 4 Prawa bankowego poprzez ich niewłaściwe zastosowanie, a w konsekwencji niezasadne przyjęcie, że Bank nie legitymuje się przesłanką legalizującą przetwarzanie danych osobowych skarżącego w systemie [...], podczas gdy podstawą prawną przetwarzania przez Bank danych osobowych skarżącego w celu oceny zdolności kredytowej i analizy ryzyka kredytowego, również po wygaśnięciu zobowiązania, jest prawnie uzasadniony interes Banku, wynikający z art. 105 ust. 4 Prawa bankowego. Banki
i instytucje wymienione w art. 105 ust. 4 Prawa bankowego (w tym [...]) są bowiem zobowiązane do przetwarzania danych na zasadzie wzajemności i w zakresie,
w jakim są one potrzebne bankom do wykonywania czynności bankowych, w tym do oceny zdolności kredytowej oraz analizy ryzyka kredytowego. Zdaniem Banku, wbrew argumentacji przedstawionej w decyzji, nie można zatem przyjąć, że jedyną możliwą podstawą jest art. 105a ust. 2 i 3 Prawa bankowego, gdyż te przepisy mają zastosowanie wyłącznie do osób fizycznych, które są konsumentami. Natomiast skarżący, w zakresie istotnym dla niniejszej sprawy, nie jest konsumentem, ale przedsiębiorcą (osobą fizyczną prowadzącą działalność gospodarczą);
- naruszenie art. 105a ust. 2 i 3 Prawa bankowego poprzez ich błędną wykładnię, polegającą na przyjęciu, że "osoba fizyczna", o której mowa w ww. przepisach, obejmuje swoim zakresem również przedsiębiorcę (tj. osobę fizyczną prowadzącą działalność gospodarczą), podczas gdy prawidłowa wykładnia ww. przepisów Prawa bankowego prowadzi do wniosku, że znajdują one zastosowanie jedynie wobec osób fizycznych, które są konsumentami. W konsekwencji, Bank nie był zobowiązany do poinformowania skarżącego - czyli osoby fizycznej prowadzącej działalność gospodarczą - o zamiarze przetwarzania dotyczących go informacji bez jego zgody.
Wnoszący skargę zarzucił również naruszenie przepisów postępowania, mające istotny wpływ na wynik sprawy, tj.:
- naruszenie art. 8 § 1 i 2 k.p.a. poprzez wydanie decyzji, która bez uzasadnionej przyczyny odstępuje od utrwalonej praktyki rozstrzygania spraw w takim samym stanie faktycznym i prawnym, co z kolei prowadzi do naruszenia zasady pogłębionego zaufania obywateli do władzy publicznej.
Powołując się na tak sformułowane zarzuty, Bank wniósł o uchylenie decyzji
w całości, zasądzenie od organu zwrotu kosztów postępowania według norm przepisanych, w tym kosztów zastępstwa procesowego oraz opłaty skarbowej od pełnomocnictwa w kwocie 17 zł.
W obszernym uzasadnieniu skargi Bank rozwinął argumentację sformułowaną na rzecz postawionych w niej zarzutów.
W odpowiedzi na skargę, pismem z dnia z dnia [...] lutego 2024 r., Prezes UODO wniósł o jej oddalenie, podtrzymując stanowisko wyrażone w uzasadnieniu zaskarżonej decyzji.
[...], reprezentowany przez profesjonalnego pełnomocnika, wywiódł swoją skargę w piśmie z dnia [...] stycznia 2024 r., zaskarżając przedmiotową decyzję
w całości i zarzucając jej naruszenie:
przepisów prawa materialnego, tj.:
- art. 105a ust. 2 i 3 Prawa bankowego poprzez jego błędną wykładnię i przyjęcie, że
w zakresie podmiotowym użytego we wskazanym przepisie pojęcia "osób fizycznych", znajdują się osoby fizyczne prowadzące działalność gospodarczą, a w konsekwencji także przyjęcie, że Bank miał obowiązek wypełnić przesłanki legalizujące przetwarzanie danych osobowych wskazane w przepisie art. 105a ust. 2 i 3 Prawa bankowego, aby legalnie przetwarzać dane uczestnika (w tym udostępnić je [...]), podczas gdy z prawidłowej wykładni przepisu art. 105a ust. 2 i 3 Prawa bankowego wynika, że ma on zastosowanie wyłącznie do osób fizycznych - konsumentów;
- art. 6 ust. 1 lit. c) RODO w zw. z art. 105 ust. 1 pkt 1c) w zw. z art. 105 ust. 4 i w zw. z art. 105a w zw. z art. 70 i art. 5 ust. 1 pkt 3 Prawa bankowego, poprzez jego niezastosowanie i w konsekwencji nakazanie zaprzestania przetwarzania danych osobowych uczestnika w systemie [...] w celu oceny zdolności kredytowej
i analizy ryzyka kredytowego, podczas gdy [...], jako administrator danych przetwarzanych w systemie [...], jest ustawowo zobowiązany do realizacji obowiązku prawnego wynikającego z ww. przepisów polegającego na gromadzeniu, przetwarzaniu i udostępnianiu bankom oraz podmiotom szczegółowo wskazanym
w przepisie informacji stanowiących tajemnicę bankową w zakresie, w jakim informacje te są potrzebne w związku z wykonywaniem czynności bankowych
w postaci oceny zdolności kredytowej oraz analizy ryzyka kredytowego konkretnego klienta (indywidualna ocena zdolności kredytowej) oraz w związku ze stosowaniem metod wewnętrznych oraz innych metod i modeli, o których mowa w części trzeciej rozporządzenia Parlamentu Europejskiego i Rady (UE) nr 575/2013 z dnia 26 czerwca 2013 r. w sprawie wymogów ostrożnościowych dla instytucji kredytowych
i firm inwestycyjnych, zmieniające rozporządzenie (UE) nr 648/2012 (dalej: "rozporządzenie nr 575/2013");
ewentualnie, na wypadek nieuwzględnienia ww. zarzutu:
- art. 6 ust. 1 lit. f) RODO poprzez jego niezastosowanie wskutek przyjęcia, że [...] nie posiada podstawy prawnej przetwarzania danych uczestnika, podczas gdy jako administrator danych przetwarzanych w systemie [...], posiada on podstawę prawną przetwarzania danych uczestnika w postaci niezbędności przetwarzania dla realizacji prawnie uzasadnionych interesów administratora oraz podmiotów trzecich wskazanych w art. 105 ust. 4 pkt. 1-5 Prawa bankowego, w postaci realizacji obowiązku gromadzenia, przetwarzania oraz udostępnienia bankom oraz podmiotom wskazanym w ww. przepisie informacji stanowiących tajemnicę bankową w zakresie, w jakim informacje te są potrzebne w związku z wykonywaniem czynności bankowych w postaci oceny zdolności kredytowej oraz analizy ryzyka kredytowego konkretnego klienta (indywidualna ocena zdolności kredytowej) oraz w celu budowy
i utrzymania modeli scoringowych, a więc narzędzi wykorzystywanych przez banki do oceny zdolności kredytowej i analizy ryzyka kredytowego oraz w związku ze stosowaniem metod wewnętrznych oraz innych metod i modeli, o których mowa
w części trzeciej rozporządzenia nr 575/2013;
- art. 6 ust. 1 lit. e) RODO poprzez jego niezastosowanie wskutek uznania, że [...] jako administrator danych przetwarzanych w systemie [...] nie posiada podstawy prawnej do przetwarzania danych uczestnika w systemie [...] w celu oceny zdolności kredytowej oraz analizy ryzyka kredytowego, podczas gdy [...] posiada podstawę prawną przetwarzania z uwagi na niezbędność przetwarzania dla realizacji zadania
w interesie publicznym przez banki i [...] w postaci zabezpieczenia ekonomiczno-gospodarczego sektora bankowego, w tym depozytariuszy i zapewnienia stabilności ekonomiczno-gospodarczej sektora bankowego, a w ujęciu makro - zapobieganiu kryzysom gospodarczym.
Ponadto skarżący [...] zarzucił naruszenie przepisów prawa procesowego, mającego istotny wpływ na wynik sprawy, tj.:
- art. 7, w zw. z art. 77 § 1 i w zw. z art. 80 k.p.a. w zw. z art. 7 u.o.d.o., poprzez niewyczerpujące zebranie, nierozpatrzenie i błędną ocenę całokształtu materiału dowodowego przejawiającego się w zaniechaniu dokonania wyczerpującej analizy charakteru, zakresu oraz celów gospodarczo - ekonomicznych dla jakich zostało powołane [...] oraz obowiązków prawnych i obowiązków wynikających z zawartych przez [...] umów z bankami, skutkującą wadliwą i niepełną oceną stanu faktycznego sprawy oraz charakteru działania [...], jako administratora danych osobowych przetwarzanych w systemie [...], co w konsekwencji skutkowało nieuzasadnionym wydaniem przez organ nakazu usunięcia danych osobowych uczestnika z systemu [...];
- art. 7 k.p.a., art. 77 k.p.a. w zw. z art. 80 k.p.a. poprzez:
niezbadanie przez organ wszystkich podstaw prawnych dalszego przetwarzania danych o spłaconych (terminowo oraz nieterminowo) zobowiązaniach klientów banków, pomimo, iż przepisy prawa upoważniają [...] do przetwarzania tych danych, co w konsekwencji doprowadziło do błędnego nakazania Bankowi usunięcie danych osobowych z systemu [...] wobec błędnego przyjęcia przez organ braku istnienia podstawy prawnej do przetwarzania danych,
- brak wyczerpującej analizy stanu prawnego istotnego dla okoliczności sprawy,
w szczególności z uwagi na brak analizy celowościowej, systemowej i historycznej art. 105a Prawa bankowego poprzez ograniczenie się wyłącznie do językowej wykładni przepisu, poprowadzonej przez pryzmat definicji danych osobowych z art.
4 pkt 1 RODO.
Powołując się na tak sformułowane zarzuty, [...] wniósł o uchylenie decyzji
w całości, zasądzenie od organu na rzecz skarżącego zwrotu kosztów postępowania według norm przepisanych, w tym kosztów zastępstwa procesowego (w tym zwrotu opłaty skarbowej od pełnomocnictwa w kwocie 17 zł).
W uzasadnieniu skargi szczegółowo omówił i uzasadnił zgłaszane w sprawie zarzuty i prezentowane stanowisko.
W odpowiedzi na powyższą skargę, w piśmie z dnia [...] lutego 2024 r., Prezes UODO wniósł o jej oddalenie, podtrzymując stanowisko wyrażone w uzasadnieniu zaskarżonej decyzji.
Wojewódzki Sąd Administracyjny w Warszawie zważył, co następuje.
Zgodnie z art. 1 § 1 i 2 ustawy z dnia 25 lipca 2002 r. – Prawo o ustroju sądów administracyjnych (Dz.U. z 2024 r. poz. 1267), sąd administracyjny sprawuje wymiar sprawiedliwości poprzez kontrolę pod względem zgodności z prawem skarżonej decyzji administracyjnej. Jest więc to kontrola legalności rozstrzygnięcia zapadłego
w postępowaniu administracyjnym, z punktu widzenia jego zgodności z prawem materialnym i procesowym.
Oceniając przedmiotową decyzję według powyższych kryteriów, uznać należy, iż nie narusza ona prawa.
Zdaniem Sądu, Prezes UODO w zaskarżonej decyzji skonkretyzował
w sposób jasny, zrozumiały i możliwy do wykonania, skierowany do Banku nakaz zaprzestania przetwarzania danych osobowych P. M. dotyczących umowy kredytu z dnia [...] maja 2016 r. w bazie [...], w celu oceny zdolności kredytowej
i analizy ryzyka kredytowego.
Biorąc pod uwagę prawidłową wykładnię i zastosowanie przez Prezesa UODO przepisów RODO, w tym art. 6 ust. 1 lit. f) RODO w związku z związku z art. 105 ust. 4 i art. 105a ust. 2 i 3 Prawa bankowego, organ nie naruszył w tej sprawie również przepisów k.p.a., które miałyby wpływ na wynik sprawy.
Wszystkie zarzuty obu skarg Sąd uznał za nietrafne.
Sąd podzielił argumentację Prezesa UODO, przedstawioną w zaskarżonej decyzji, i stanowisko organu, zgodnie z którym, brak było podstaw do przetwarzania danych osobowych P. M. przez Bank po wygaśnięciu zobowiązania wynikającego z umowy, bez jego zgody, w celu oceny zdolności kredytowej i analizy ryzyka kredytowego (w tym udostępnienia ich [...]). Przy czym, w sprawie nie było kwestionowane przez organ, że przetwarzanie dotyczyło danych osoby fizycznej prowadzącej działalność gospodarczą, po wygaśnięciu zobowiązania.
Trafnie organ wskazał, że przesłanki takiej nie stanowi w tej sprawie art. 105a ust. 2 Prawa bankowego, który wymaga zgody osoby fizycznej ani art. 105a ust. 3 Prawa bankowego.
Zgodnie z pierwszym z powołanych przepisów, tj. art. 105a ust. 2 Prawa bankowego, z zastrzeżeniem ust. 3, instytucje, o których mowa w ust. 1, mogą przetwarzać informacje stanowiące tajemnicę bankową oraz informacje udostępnione przez instytucje pożyczkowe oraz podmioty, o których mowa w art. 59d ustawy z dnia 12 maja 2011 r. o kredycie konsumenckim, w zakresie dotyczącym osób fizycznych po wygaśnięciu zobowiązania wynikającego z umowy zawartej z bankiem, inną instytucją ustawowo upoważnioną do udzielania kredytów, instytucją pożyczkową lub podmiotem, o którym mowa w art. 59d ustawy z dnia 12 maja 2011 r. o kredycie konsumenckim, pod warunkiem uzyskania pisemnej zgody osoby, której informacje te dotyczą, z zastrzeżeniem ust. 2a. Zgoda ta może być w każdym czasie odwołana.
W sprawie jest bezsporne, że zgody takiej Bank nie uzyskał.
Stosownie zaś do art. 105a ust. 3 Prawa bankowego, banki, instytucje oraz podmioty, o których mowa w ust. 1, mogą przetwarzać informacje stanowiące tajemnicę bankową i informacje udostępnione przez instytucje pożyczkowe oraz podmioty, o których mowa w art. 59d ustawy z dnia 12 maja 2011 r. o kredycie konsumenckim, dotyczące osób fizycznych po wygaśnięciu zobowiązania wynikającego z umowy zawartej z bankiem, inną instytucją ustawowo upoważnioną do udzielania kredytów, instytucją pożyczkową lub podmiotem, o którym mowa w art. 59d ustawy z dnia 12 maja 2011 r. o kredycie konsumenckim, bez zgody osoby, której informacje dotyczą, gdy osoba ta nie wykonała zobowiązania lub dopuściła się zwłoki powyżej 60 dni w spełnieniu świadczenia wynikającego z umowy zawartej
z bankiem, inną instytucją ustawowo upoważnioną do udzielania kredytów, instytucją pożyczkową lub podmiotem, o którym mowa w art. 59d ustawy z dnia 12 maja
2011 r. o kredycie konsumenckim, a po zaistnieniu tych okoliczności upłynęło co najmniej 30 dni od poinformowania tej osoby przez bank, inną instytucję ustawowo upoważnioną do udzielania kredytów, instytucję pożyczkową albo podmiot, o którym mowa w art. 59d ustawy z dnia 12 maja 2011 r. o kredycie konsumenckim,
o zamiarze przetwarzania dotyczących jej tych informacji, bez jej zgody.
Zasadnie również organ stwierdził, że przepis art. 105a ust. 3 Prawa bankowego nie stanowił przesłanki warunkującej dopuszczalność przetwarzania danych osobowych skarżącego po wygaśnięciu zobowiązania, albowiem Bank nie przedstawił dowodu na doręczenie mu dokumentu, w którego treści zawarta była informacja o okolicznościach wskazanych w art. 105a ust. 3 Prawa bankowego. Powyższe nie było podważane przez Bank.
W sprawie nie było kwestionowane przez organ, że przetwarzanie dotyczyło danych osoby fizycznej prowadzącej działalność gospodarczą, po wygaśnięciu zobowiązania.
Sąd przychylił się do stanowiska Prezesa UODO, że przepis art. 105a ust. 3 Prawa bankowego odnosi się do każdej osoby fizycznej, w tym także tej prowadzącej działalność gospodarczą.
W ocenie Sądu, brzmienie powołanego przepisu nie wyklucza jego stosowania do osób fizycznych prowadzących działalność gospodarczą. Fakt prowadzenia działalności gospodarczej nie pozbawia osoby fizycznej na gruncie RODO, ochrony jaka przewidziana została w tym akcie prawnym.
Wykładany przez organ przepis art. 105a ust. 3 Prawa bankowego nie może być interpretowany w sposób, który wyklucza realizację przez banki i inne instytucje obowiązków w nim przewidzianych, wobec osób fizycznych prowadzących działalność gospodarczą.
Interpretacja art. 105a Prawa bankowego, czyniąca dopuszczalne przetwarzanie, po wygaśnięciu zobowiązania, danych osobowych osoby fizycznej prowadzącej działalność gospodarczą, bez jej zgody i bez spełnienia wymogów z art. 105a ust. 3 Prawa bankowego, pozostawiałaby te osoby fizyczne poza ramami RODO. RODO tymczasem znajduje zastosowanie do przetwarzania danych tych osób fizycznych.
Tak więc stanowisko Banku i [...] nie mogło przeważyć w tej sprawie nad wprost wyrażonymi w Prawie bankowym przesłankami dopuszczalności przetwarzania danych osoby fizycznej (w tym także prowadzącej działalność gospodarczą) w związku z przepisami RODO.
Skoro wymogi prawa, co do dopuszczalności przetwarzania danych osobowych P. M., nie zostały spełnione, to zarzuty naruszenia przez Prezesa UODO art. 105 ust. 4, art. 105a ust. 3 Prawa bankowego Sąd uznał za nieuzasadnione.
Przepis art. 105 ust. 4 Prawa bankowego jest przepisem o charakterze ogólnym, który stanowi o możliwości utworzenia wspólnie z bankowymi izbami gospodarczymi, instytucji upoważnionych do gromadzenia, przetwarzania
i udostępniania danych. Przepis ten nie daje podstaw do nieograniczonego przetwarzania wszelkich danych osobowych przez utworzone instytucje.
Zasady przetwarzania danych objętych tajemnicą bankową określa art. 105a Prawa bankowego. Na gruncie tego przepisu należy oceniać zatem dopuszczalność przetwarzania poszczególnych danych osobowych w określonych ściśle celach.
Powyższe konkluzje pozostają w zgodzie z wypracowanymi poglądami judykatury zarówno krajowej (por. wyrok WSA w Warszawie z dnia 12 czerwca
2017 r. sygn. akt II SA/Wa 1991/16 - informacja wtedy dotyczy osoby fizycznej, gdy przekazuje (komunikuje) coś na jej temat. Chodzi zatem o informację, która daje się powiązać z osobą lub powoduje, że możliwe jest jej odniesienie do konkretnej osoby fizycznej, zidentyfikowanej lub możliwej do zidentyfikowania, przy czym identyfikacja odbywa się na podstawie całokształtu posiadanych informacji), jak i judykatury europejskiej (wyrok Trybunału Sprawiedliwości UE z dnia 9 marca 2017 r. sygn. akt C-398/15 - okoliczność, iż informacje wpisują się w ramy działalności zawodowej, nie oznacza, że nie można ich scharakteryzować jako dane osobowe).
Definicja danych osobowych odnosi się zatem do osób fizycznych bez względu na rolę, jaką odgrywają - czy są konsumentami, przedsiębiorcami, czy pracownikami itd.
Podobne stanowisko zajął Wojewódzki Sąd Administracyjny w Warszawie
w wyroku z dnia 28 lipca 2021 r. sygn. akt II SA/Wa 158/21.
Przenosząc powyższe na realia przedmiotowej sprawy uznać należało, że organ nie naruszył przepisów prawa uznając, że art. 105a ust. 2 i 3 Prawa bankowego znajduje zastosowanie do każdej osoby fizycznej – nawet prowadzącej działalność gospodarczą.
Sąd nie stwierdził w tej sprawie również naruszenia art. 7, art. 77, art. 80 k.p.a.
Organ dokonał ustaleń faktycznych niezbędnych i wystarczających jednocześnie dla rozstrzygnięcia tej sprawy. Materiał dowodowy rozpatrzył wszechstronnie, a jego ocena nie była dowolna.
Poruszona w uzasadnieniach skarg kwestia stanowiska Ministra Finansów
w tym względzie nie mogła mieć wpływu na rozstrzygnięcie organu, albowiem Prezes UODO obowiązany jest rozstrzygać w sprawie zgodnie z przepisami prawa. Przepisy RODO nie dają zaś podstaw do interpretacji art. 105a ust. 3 Prawa bankowego pozostawiającej osoby fizyczne prowadzące działalność gospodarczą poza ochroną z nich wynikającą.
W sprawie organ nie naruszył zasady zaufania uczestników postępowania do władzy publicznej.
Na aprobatę zasługuje argumentacja Prezesa UODO, co do braku podstaw do przyjęcia, że na tle rozstrzyganej sprawy, odstąpiono od utrwalonej praktyki. Odmienność stanów faktycznych i prawnych w sprawach przedstawionych przez skarżących nie daje podstaw do stwierdzenia, aby naruszony został art. 8 § 1
i § 2 k.p.a.
W tym stanie rzeczy, nie podzielając argumentów zawartych w złożonych skargach, oraz uznając iż organ w sposób prawidłowy zebrał i ocenił materiał dowodowy, zaś przy wykonywaniu tych czynności nie naruszył przepisów prawa, Wojewódzki Sąd Administracyjny w Warszawie orzekł, jak w sentencji wyroku, na podstawie art. 151 ustawy z dnia 30 sierpnia 2002 r. – Prawo o postępowaniu przed sądami administracyjnymi (Dz.U. z 2024 r. poz. 935).