II SA/Wa 342/24

II SA/Wa 342/24 - Wyrok WSA w Warszawie
Data orzeczenia
2024-11-27
orzeczenie nieprawomocne
Data wpływu
2024-03-13
Sąd
Wojewódzki Sąd Administracyjny w Warszawie
Sędziowie
Danuta Kania /przewodniczący sprawozdawca/
Dorota Kozub-Marciniak
Sławomir Fularski
Symbol z opisem
647  Sprawy związane z ochroną danych osobowych
Hasła tematyczne
Ochrona danych osobowych
Skarżony organ
Generalny Inspektor Ochrony Danych Osobowych
Treść wyniku
Uchylono zaskarżoną decyzję w części
Powołane przepisy
Dz.U. 2023 poz 775
art. 104 par. 1
Ustawa z dnia 14 czerwca 1960 r. - Kodeks postępowania administracyjnego (t. j.)
Dz.U.UE.L 2016 nr 119 poz 1 art. 6 ust. 1 lit. f,
Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z  przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE
Sentencja
Wojewódzki Sąd Administracyjny w Warszawie w składzie następującym: Przewodniczący Sędzia WSA Danuta Kania (spr.), Sędzia WSA Sławomir Fularski, Asesor WSA Dorota Kozub-Marciniak, Protokolant starszy specjalista Elwira Sipak po rozpoznaniu na rozprawie w dniu 27 listopada 2024 r. sprawy ze skargi [...] S.A. z siedzibą w [...] na punkt 1 decyzji Prezesa Urzędu Ochrony Danych Osobowych z dnia [...] grudnia 2023 r. nr [...] w przedmiocie przetwarzania danych osobowych 1. uchyla zaskarżoną decyzję w zakresie punktu 1; 2. zasądza od Prezesa Urzędu Ochrony Danych Osobowych na rzecz [...] S.A. z siedzibą w [...] kwotę 697 (sześćset dziewięćdziesiąt siedem) złotych tytułem zwrotu kosztów postępowania.
Uzasadnienie
Decyzją z dnia [...] grudnia 2023 r. nr [...] Prezes Urzędu Ochrony Danych Osobowych (dalej: "Prezes UODO", "organ"), na podstawie art. 104 § 1 ustawy z dnia 14 czerwca 1960 r. Kodeks postępowania administracyjnego (Dz. U. z 2023 r. poz. 775 ze zm.), dalej: "k.p.a.", w związku z art. 7 ust. 1 i 2 ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych (Dz. U. z 2019r. poz. 1781), dalej: "u.o.d.o.", art. 6 ust. 1 i art. 58 ust. 2 lit. c oraz art. 6 ust 1 lit. c i art. 58 ust. 2 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz. Urz. UE L 119 z dnia 4 maja 2016 r., s. 1, Dz. Urz. UE L 127 z dnia 23 maja 2018 r., s. 2 oraz Dz. Urz. UE L 74 z dnia 4 marca 2021r., s. 35), dalej: "RODO",
1) nakazał [...] S.A. z siedzibą w [...] (dalej: "Bank", "strona skarżąca"), usunięcie danych osobowych T. B. (dalej: "uczestnik postępowania") w zakresie umowy o kredyt gotówkowy oraz kartę kredytową nr [...], zawartej w dniu [...] czerwca 2011 r. oraz umowy Kredytu Ratalnego i Umowy o Kartę Kredytową nr [...], zawartej w dniu [...] sierpnia 2012 r. (punkt 1),
2) w pozostałym zakresie odmówił uwzględnienia wniosku (punkt 2).
W uzasadnieniu decyzji organ wskazał, że do Urzędu Ochrony Danych Osobowych wpłynęła skarga T. B. na nieprawidłowości w procesie przetwarzania jego danych osobowych przez [...]S.A.
W skardze tej uczestnik postępowania podniósł, że w rozmowie telefonicznej w dniu [...] września 2019 r., podczas przedstawiania oferty kredytu, pracownik Banku poinformował go, że posiada w Banku konto karty kredytowej - karta z datą otwarcia [...]luty 2012 r. i limitem 2000 zł. Uczestnik zaznaczył przy tym, że posiada dokument z dnia [...] marca 2018 r., który potwierdza dyspozycję zamknięcia przez niego wszystkich usług w Banku i rozwiązania współpracy z Bankiem. Nie zawierał żadnych nowych umów po złożeniu ww. wypowiedzenia w dniu [...] marca 2018 r. Wskazał również, że złożył w Banku wniosek o nieudostępnianie jego danych do kontaktu w celach marketingowych. Żądanie to ponawiał ustnie podczas każdej rozmowy telefonicznej z konsultantami Banku.
W związku z powyższym uczestnik postępowania wniósł o nakazanie Bankowi spełnienia żądania zaprzestania przetwarzania jego danych osobowych we wszystkich celach i bycia zapomnianym.
W wyjaśnieniach złożonych w toku postępowania Bank wskazał, że pozyskał dane osobowe uczestnika i przetwarza je wobec niezbędności takiego przetwarzania do zawarcia i wykonania umów o udzielenie produktów bankowych w postaci:
1) Umowy o kredyt gotówkowy oraz kartę kredytową nr [...] zawartej w dniu [...] czerwca 2011 r. z [...] S.A. (dalej: umowa nr 1); rachunki prowadzone przez Bank na podstawie umowy nr [...], według danych systemowych, zostały zamknięte w dniach [...] i [...] grudnia 2015 r.,
2) Multiproduktowej Umowy Bankowej zawartej w dniu [...] czerwca 2011 r. z [...] S.A. (dalej: umowa nr [...]); rachunki prowadzone przez Bank na podstawie umowy nr [...] zostały zamknięte z datą [...] kwietnia 2018 r. w związku z dyspozycją wypowiedzenia tej umowy złożonej przez uczestnika postępowania w dniu [...] marca 2018 r.,
3) Umowy Kredytu Ratalnego i Umowy o Kartę Kredytową nr [...], zawartej w dniu [...] sierpnia 2012 r. z [...] (Spółka Akcyjna) z siedzibą w [...], Oddział w Polsce z siedzibą w [...] (dalej: umowa nr [...]); rachunek prowadzony przez Bank na podstawie umowy nr [...] według danych systemowych, został zamknięty w dniu [...] sierpnia 2017 r.
Bank wskazał, że jest następcą prawnym [...] S.A. Podniósł, że w związku z ww. umowami, przetwarzał dane identyfikacyjne uczestnika postępowania (w tym imię, nazwisko, numer i seria dokumentu tożsamości, numer PESEL), dane teleadresowe oraz dane finansowe.
Bank przetwarza dane osobowe uczestnika postępowania, pozyskane w ramach umów nr 1-3, w celu spełnienia następujących wymogów:
1) przechowywania dokumentacji wymaganej m.in. na podstawie art. 9k w związku z art. 8b ustawy z dnia 16 listopada 2000 r. o przeciwdziałaniu praniu pieniędzy oraz finansowaniu terroryzmu (Dz. U. Nr 116, poz. 1216 ze zm.), dalej: "ustawa z dnia 16 listopada 2000 r.", w związku z art. 23 ust. 1 pkt 2 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. z 2016 r., 922 ze zm.), dalej: "u.o.d.o. z 1997 r.", w czasookresie obowiązywania ww. regulacji, zaś aktualnie na podstawie art. 49 ust. 1 ustawy z dnia 1 marca 2018 r. o przeciwdziałaniu praniu pieniędzy oraz finansowaniu terroryzmu (Dz.U. z 2023 r., poz. 1124), dalej: "ustawa AML", w związku z art. 6 ust. 1 lit. c RODO,
2) koniecznością uwzględnienia możliwości dochodzenia przez uczestnika postępowania ewentualnych roszczeń związanych z zawarciem i wykonaniem umów nr [...] na podstawie art. 6 ust. 1 lit. f RODO w związku z art. 117 ustawy z dnia 23 kwietnia 1964 r. Kodeks cywilny (Dz.U. z 2023 r., poz. 1610), dalej: "k.c.", w związku z art. 118 i art. 731 k.c. oraz związaną z tym koniecznością umożliwienia Bankowi obrony przed ewentualnymi roszczeniami,
3) koniecznością uwzględnienia możliwości dochodzenia przez uczestnika postępowania ewentualnych roszczeń związanych z przedmiotem niniejszego postępowania, tj. na podstawie art. 6 ust. 1 lit. f RODO w związku z art. 117, art. 118 i art. 731 k.c. w związku z art. 82 RODO oraz związanej z tym konieczności umożliwienia Bankowi obrony przed ewentualnymi roszczeniami,
4) koniecznością zapewnienia Prezesowi UODO dostępu do informacji niezbędnych do przeprowadzenia postępowania w niniejszej sprawie w związku z art. 58 ust. 1 lit. e RODO;
5) zabezpieczenia udziału Banku w ewentualnych postępowaniach sądowoadministracyjnych prowadzonych w następstwie decyzji wydanej przez Prezesa UODO w przedmiotowym postępowaniu - na podstawie art. 7 ust. 2 ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych (Dz. U. z 2019 r., poz. 1781), dalej: dalej: "u.o.d.o. z 2018 r.", w związku z art. 3 § 2 pkt 1 ustawy z dnia 30 sierpnia 2002r. Prawo o postępowaniu przed sądami administracyjnymi (Dz. U. z 2023 r., poz. 1610) dalej: "p.p.s.a.", w związku z art. 13 § 2, art. 53 § 1 oraz art. 54 § 1 p.p.s.a.
Bank wyjaśnił, że dane osobowe uczestnika postępowania, pozyskane w ramach umów nr [...], będą przetwarzane przez Bank:
a) przez okres 5 lat licząc od dnia zakończenia stosunków gospodarczych w ramach umów nr [...]- w związku z podstawami prawnymi przetwarzania danych osobowych wskazanymi w pkt 1 powyżej;
b) do dnia [...] grudnia 2024 r., tj. w związku z przyjętym w Banku 6-letnim okresem przedawnienia roszczeń oraz podstawami prawnymi przetwarzania danych osobowych wskazanymi w pkt 2 - 3 powyżej, przy uwzględnieniu dyspozycji art. 5 ustawy z dnia 13 kwietnia 2018 r. o zmianie ustawy - Kodeks cywilny oraz niektórych innych ustaw (Dz. U. z 2018 r., poz. 1104),
c) do prawomocnego zakończenia postępowania prowadzonego przed Prezesem UODO w niniejszej sprawie - w związku z podstawami prawnymi przetwarzania danych osobowych wskazanymi w pkt 4 - 5 powyżej.
Ustalono, że uczestnik postępowania nie wystąpił wobec Banku z roszczeniami, a Bank nie dochodził roszczeń wobec uczestnika postępowania.
Uwzględniając powyższe Prezes UODO powołał art. 6 ust. 1 RODO podkreślając, iż katalog przesłanek przetwarzania danych określony w tym przepisie ma charakter zamknięty.
Zaznaczył, że w świetle przepisów ustawy z dnia 16 listopada 2000 r. oraz aktualnie obowiązującej ustawy AML, okres przechowywania dokumentacji dotyczącej zastosowanych środków bezpieczeństwa przez Bank w związku z umową nr [...] upłynął wraz z końcem 2020 r., w związku z umową nr [...] - w kwietniu 2023 r., natomiast w związku z umową nr [...] - w sierpniu 2022 r. Oznacza to, że wskazany przez Bank obowiązek przechowywania dokumentacji wymaganej na podstawie ww. przepisów prawa aktualnie już nie istnieje.
Dalej organ wskazał, że zebrany w postępowaniu materiał dowodowy nie wykazał, aby uczestnik postępowania wystąpił z jakimkolwiek roszczeniem wobec Banku, które uzasadniałoby uprawnienie Banku do zachowania i przetwarzania jego danych osobowych dla celów dowodowych w związku z dochodzeniem przez uczestnika tego roszczenia. Podkreślił, że przesłanka z art. 6 ust. 1 lit. f RODO dotyczy sytuacji już istniejącej, w której celem wynikającym z prawnie uzasadnionych interesów realizowanych przez administratora jest konieczność udowodnienia, potrzeba dochodzenia lub obrony przed roszczeniem istniejącym, nie zaś sytuacji, gdy dane są przetwarzane w celu zabezpieczenia się przed ewentualnym roszczeniem.
Organ odwołał się w tym zakresie do wyroku Naczelnego Sądu Administracyjnego z dnia 6 marca 2019 r., sygn. akt I OSK 994/17, w którym wskazano: "fakt, że poszczególne procedury zawierają przepisy dotyczące ciężaru dowodu nie może uzasadniać przetwarzania danych osobowych (...) skoro między stronami nie toczy się żadne postępowanie. Tego rodzaju działanie uznać należy także za sprzeczne z art. 26 ust. 1 u.o.d.o., który stanowi, że administrator przetwarzający dane powinien dołożyć szczególnej staranności w celu ochrony interesów osób, których dane dotyczą, a w szczególności jest obowiązany zapewnić, aby dane te były przetwarzane zgodnie z prawem, a także merytorycznie poprawne i adekwatne w stosunku do celów, w jakich są przetwarzane".
Organ podkreślił, że przy przyjęciu odmiennej interpretacji ww. przepisów, uczestnik postępowania zostałby pozbawiony ochrony na gruncie RODO oraz u.o.d.o. z 2018 r. Przyjęcie bowiem za prawidłowe stanowiska, iż przetwarzanie danych osobowych w celu uchylenia się od negatywnych skutków w przypadku zgłoszenia w przyszłości ewentualnego i nieokreślonego roszczenia stanowi prawnie usprawiedliwiony cel w rozumieniu art. 6 ust. 1 lit. f RODO oznaczałoby, że dane osobowe uczestnika mogą być przetwarzane przez Bank permanentnie, bez konieczności ich usunięcia. Teoretycznie możliwym jest przecież, by uczestnik zwrócił się do Banku z roszczeniem po upływie terminu przedawnienia roszczenia. Prowadziłoby to tym samym do uznania, że przetwarzanie danych osobowych uczestnika przez Bank ma uzasadnienie w przesłance określonej art. 6 ust. 1 lit. f RODO w celu realizacji prawa do obrony przed ewentualnym roszczeniem uczestnika również po upływie ww. terminu.
Dalej organ wskazał, że brak jest uzasadnienia dla przyjęcia, iż terminy dotyczące przedawnienia roszczeń wynikających ze stosunków zobowiązaniowych, określają jednocześnie ramy czasowe, w których dane osobowe mogą być przetwarzane przez Bank. Przedawnienie roszczenia nie wywołuje skutków na gruncie ochrony danych osobowych, nie wpływa bowiem na fakt istnienia roszczenia, a powoduje jedynie zmianę w sferze zarzutów procesowych w postaci możliwości podniesienia okoliczności przedawnienia w sporze sądowym. Okolicznością usprawiedliwiającą przetwarzanie danych osobowych w celu dochodzenia roszczeń jest sam fakt istnienia roszczenia oraz zamiar jego dochodzenia, nie jest nią natomiast zmiana w uprawnieniach procesowych podmiotu pozwanego.
Organ odwołał się również do wyroku Wojewódzkiego Sądu Administracyjnego w Warszawie z dnia 30 czerwca 2022 r., sygn. II SA/Wa 3409/21, gdzie wskazano, że "Bank, jako hipotetyczny pozwany, nie musi (...) przechowywać tak daleko idących danych wnioskodawcy, jak ustalone w sprawie, na wypadek wystąpienia przez niego z ewentualnymi roszczeniami ("na zapas"), gdyż w potencjalnie wniesionym pozwie musiałyby one zostać przez wnioskodawcę podane, więc Bank miałby do nich pełny wgląd. Brak w pozwie tych danych wnioskodawcy musiałby zostać uzupełniony pod rygorem zwrotu pozwu (art. 130 k.p.c.), wnioskodawca nie może więc uniknąć ich podania. Prawidłowo zatem organ uznał, że brak jest spełnienia wskazywanej przez bank przesłanki niezbędności przetwarzania danych do celów, wynikających z prawnie usprawiedliwionych interesów, realizowanych przez administratora odnośnie przetwarzania skarżonych danych osobowych".
Odnośnie stanowiska Banku, iż aktualnie przetwarzanie danych osobowych uczestnika postępowania niezbędne jest do celów wynikających z prawnie uzasadnionych interesów realizowanych przez administratora w związku z postępowaniem prowadzonym przez Prezesa UODO, organ wskazał, że dane osobowe mogą być przetwarzane przez okres niezbędny do realizacji celu, zatem prawomocne zakończenie postępowania administracyjnego spowoduje wygaśnięcie tego celu przetwarzania.
Niezależnie od powyższego organ wskazał, że zgodnie z art. 74 ust. 2 pkt 4 ustawy z dnia 29 września 1994 r. o rachunkowości (Dz.U. z 2023 r. poz. 120 ze zm.), dalej: "ustawa o rachunkowości", dowody księgowe dotyczące środków trwałych w budowie, pożyczek, kredytów oraz umów handlowych, roszczeń dochodzonych w postępowaniu cywilnym lub objętych postępowaniem karnym albo podatkowym - przechowuje się przez 5 lat od początku roku następującego po roku obrotowym, w którym operacje, transakcje i postępowanie zostały ostatecznie zakończone, spłacone, rozliczone lub przedawnione. Zgodnie zaś z art. 74 ust. 2 pkt 8 ww. ustawy pozostałe dowody księgowe i sprawozdania, których obowiązek sporządzenia wynika z ustawy - przechowuje się przez okres 5 lat. Okresy przechowywania oblicza się, stosownie do treści art. 74 ust. 3 ww. ustawy, od początku roku następującego po roku obrotowym, którego dane zbiory dotyczą.
Odnosząc powyższe do przedmiotowych w sprawie umów organ wskazał, iż w odniesieniu do umów nr [...] i [...], ww. 5-letni okres wynikający z ustawy o rachunkowości już upłynął. Jednakże w odniesieniu do umowy nr [...] - zamkniętej w dniu [...] kwietnia 2018 r., wskazany termin przetwarzania danych nie upłynął. Bank aktualnie jest zatem zobowiązany - na podstawie art. 74 ust. 2 pkt 4 i 8 ustawy o rachunkowości - do przechowywania dowodów księgowych dotyczących umowy nr [...] do końca 2023 r. i w tym zakresie spełniona została przesłanka przetwarzania danych osobowych uczestnika postępowania, o której mowa w art. 6 ust. 1 lit. c RODO.
Mając powyższe na względzie organ stwierdził, że przetwarzanie danych osobowych uczestnika postępowania w zakresie dotyczącym umowy nr [...] oraz umowy nr [...], nie znajduje obecnie uzasadnienia w żadnej przesłance legalizującej, określonej w art. 6 ust. 1 RODO. Tym samym, w zakresie dotyczącym ww. umów organ skorzystał z przysługującego mu na podstawie art. 58 ust. 2 lit. c RODO uprawnienia i nakazał Bankowi usunięcie danych osobowych uczestnika.
Jednocześnie organ stwierdził, że przetwarzanie danych osobowych uczestnika w zakresie umowy nr [...] aktualnie znajduje uzasadnienie w art. 74 ust. 2 pkt 4 i 8 ustawy o rachunkowości w związku z art. 6 ust. 1 lit. c RODO. Zatem, pomimo braku wykazania przez Bank w zakresie umowy nr [...] spełnienia przesłanki z art. 6 ust. 1 lit. f RODO, brak jest podstaw do nakazania Bankowi usunięcia danych osobowych uczestnika w zakresie dotyczącym tej umowy.
Pismem z dnia [...] lutego 2024 r. Bank wniósł skargę do Wojewódzkiego Sądu Administracyjnego na punkt 1 decyzji Prezesa UODO z dnia [...] grudnia 2023 r. zarzucając naruszenie:
1) art. 6 ust. 1 lit. f RODO w związku z art. 117 § 1 i 2, art. 118 i art. 119 k.c. oraz w związku z art. 82 RODO poprzez niewłaściwe zastosowanie, a w konsekwencji nieuzasadnione przyjęcie, że przetwarzanie danych przez okres przedawnienia roszczeń nie stanowi prawnie uzasadnionego interesu Banku w rozumieniu art. 6 ust. 1 lit. f RODO, skoro w momencie wydawania decyzji uczestnik postępowania nie zgłosił jeszcze roszczeń; powyższe przepisy uprawniają Bank do przetwarzania danych osobowych w celu obrony przed roszczeniami również w sytuacji, gdy uczestnik ich jeszcze nie zgłosił; już sama możliwość dochodzenia roszczeń w okresie do upływu terminu przedawnienia jest bowiem wystarczającą podstawą do stwierdzenia istnienia prawnie uzasadnionego interesu Banku,
2) art. 7 w związku z art. 77 k.p.a. polegające na niepodjęciu wszystkich czynności niezbędnych do dokładnego wyjaśnienia oraz załatwienia sprawy, a także na niewyczerpującym zebraniu i rozpatrzeniu materiału dowodowego; organ nie ustalił, że uczestnik nigdy nie zrzekł się żadnego z roszczeń przysługujących mu przeciwko Bankowi ani nie zapewnił, że nie będzie ich dochodził; powyższe okoliczności mają istotne znaczenie w niniejszej sprawie, gdyż potwierdzają, że uzasadniony interes Banku w przetwarzaniu danych istnieje przez cały okres przedawnienia roszczeń; organ nie dostrzegł również, że część uprawnień była dochodzona przez uczestnika właśnie w ramach postępowania administracyjnego, a dalsze przetwarzanie danych osobowych jest niezbędne chociażby ze względu na potrzeby niniejszego postępowania sądowoadministracyjnego.
W związku z powyższymi zarzutami Bank wniósł o uchylenie punktu 1 zaskarżonej decyzji oraz zasądzenie od Prezesa UODO na rzecz Banku kosztów postępowania, w tym kosztów zastępstwa prawnego według norm przepisanych oraz opłat skarbowych od pełnomocnictwa.
W motywach skargi Bank wskazał, że uzasadniony interes Banku w przetwarzaniu danych istnieje przez cały okres przedawnienia roszczeń. Gdyby przyjąć stanowisko przeciwne, Bank zostałby zmuszony do natychmiastowego usuwania danych osobowych, które wciąż mogą okazać się niezbędne do realizacji prawa do obrony Banku przed sądem w razie wystąpienia przez uczestnika z roszczeniami przed terminem przedawnienia (czego nadal nie można wykluczyć). To z kolei mogłoby spowodować istotne osłabienie pozycji Banku w ewentualnym sporze sądowym.
Zdaniem Banku uprawnienia uczestnika do dochodzenia roszczeń zaktualizowały się w związku z czynnościami podjętymi przed Bank już na etapie realizacji jego obowiązków wynikających z przepisów prawa oraz z zawarcia i wykonywania umów. Niezależnie od tego, czy roszczenia uczestnika ostatecznie okażą się zasadne, to obecnie istnieją realne (a nie jedynie abstrakcyjne) podstawy do ich dochodzenia. Równie realna pozostaje więc konieczność obrony swoich praw przez Bank.
Bank podkreślił, że przetwarzanie danych osobowych uczestnika w celu obrony przed roszczeniami nie jest przetwarzaniem "na zapas". Taka sytuacja mogłaby mieć miejsce gdyby Bank przetwarzał dane uczestnika pomimo upływu terminu przedawnienia. Przedawnienie roszczeń uczestnika skutkuje bowiem brakiem możliwości uzyskania przez niego ochrony sądowej - jest to więc dla Banku moment graniczny, który powoduje osiągnięcie celu, dla realizacji którego nie jest już niezbędne dalsze przetwarzanie danych osobowych uczestnika. Po upływie okresu przedawnienia roszczeń dalsze przetwarzanie danych nie jest niezbędne dla wykazania, że roszczenie jest już przedawnione - wystarczającą informacją są ramy czasowe, a ta informacja może skutecznie funkcjonować w oderwaniu od danych osobowych.
Obecnie uzasadniony interes Banku w przetwarzaniu danych uczestnika wciąż istnieje, albowiem roszczenia nie uległy jeszcze przedawnieniu. Bank nigdy nie twierdził, że dane osobowe uczestnika mogą być przetwarzane bez żadnych ograniczeń czasowych oraz "permanentnie". Przeciwnie, Bank przyjął jasny i konkretny limit czasowy (okres retencji), zgodny z przepisami prawa, które dotyczą przedawnienia roszczeń.
Bank podniósł również, iż Prezes UODO nie ustalił, że uczestnik postępowania nigdy nie zrzekł się żadnego z roszczeń przysługujących mu przeciwko Bankowi ani nie zapewnił, że nie będzie ich dochodził. W konsekwencji organ nie ustalił, że uzasadniony interes Banku w przetwarzaniu danych istnieje przez cały okres przedawnienia roszczeń, skoro nadal nie można wykluczyć, że uczestnik będzie dochodził tych roszczeń przeciwko Bankowi.
W odpowiedzi na skargę Prezes UODO wniósł o oddalenie skargi podtrzymując stanowisko jak w zaskarżonej decyzji.
Podniósł, iż zebrany w sprawie materiał dowodowy wskazuje bezspornie, że w procesie przetwarzania przez Bank danych osobowych uczestnika postępowania doszło do nieprawidłowości. Nie zaistniała żadna z wymienionych w art. 6 ust. 1 RODO przesłanek, która stanowiłaby o legalności procesu przetwarzania danych w zakresie punktu 1 zaskarżonej decyzji.
Podkreślił, że w postępowaniu zainicjowanym skargą konkretnej osoby, której dane dotyczą, Prezes UODO zobligowany jest zbadać proces przetwarzania jej danych osobowych i ustalić stan faktyczny sprawy zgodny z rzeczywistością, nie zaś ustalać jakie hipotetyczne cele i podstawy przetwarzania danych osobowych tej osoby mogłyby zaistnieć po stronie administratora w przyszłości w związku z pojawieniem się ewentualnych roszczeń. Stanowisko Banku dotyczące uzależnienia czasu przetwarzania danych osobowych w celu ewentualnego dochodzenia roszczeń lub ewentualnej obrony przed nimi od okresu przedawnienia roszczeń cywilnoprawnych jest wewnętrznie sprzeczne. Powołane przez Bank przepisy regulują jedynie okres, w którym można dochodzić roszczeń na drodze sądowej, a ich upływ nie wyklucza możliwości zgłoszenia roszczeń względem dłużnika na drodze pozasądowej.
W piśmie z dnia [...] marca 2024 r. uczestnik postępowania wniósł o oddalenie skargi popierając stanowisko organu przedstawione w odpowiedzi na skargę.
Wojewódzki Sąd Administracyjny w Warszawie zważył, co następuje:
Zgodnie z art. 1 § 1 i § 2 ustawy z dnia 25 lipca 2002 r. - Prawo o ustroju sądów administracyjnych (Dz. U. z 2023 r., poz. 2492 ze zm.) oraz art. 3 § 1 p.p.s.a., sądy administracyjne sprawują wymiar sprawiedliwości przez kontrolę działalności administracji publicznej. Kontrola ta polega na ocenie zgodności zaskarżonego aktu z przepisami postępowania administracyjnego, a także prawidłowości zastosowania i wykładni norm prawa materialnego.
W myśl art. 134 § 1 p.p.s.a. sąd rozstrzyga w granicach danej sprawy nie będąc związany zarzutami i wnioskami skargi oraz powołaną podstawą prawną, z zastrzeżeniem art. 57a. Sąd nie może wydać orzeczenia na niekorzyść skarżącego, chyba że stwierdzi naruszenie prawa skutkujące stwierdzeniem nieważności zaskarżonego aktu lub czynności (§ 2).
Skarga oceniana w świetle powyższych kryteriów zasługuje na uwzględnienie, bowiem decyzja Prezesa UODO z dnia [...] grudnia 2023 r., w części obejmującej punkt 1, została wydana z naruszeniem prawa.
Nakazując Bankowi usunięcie danych osobowych uczestnika postępowania w zakresie dwóch umów, tj. umowy o kredyt gotówkowy oraz kartę kredytową nr [...] zawartej w dniu [...] czerwca 2011 r. oraz umowy Kredytu Ratalnego i Umowy o Kartę Kredytową nr [...] zawartej w dniu [...] sierpnia 2012 r., Prezes UODO stwierdził, że nie zaistniała żadna z przesłanek legalizujących proces przetwarzania danych osobowych wymienionych w art. 6 ust. 1 RODO. W szczególności organ przyjął, że przesłanki takiej nie stanowi art. 6 ust. 1 lit. f RODO w związku z art. 117, art. 118 i w związku z art. 732 Kodeksu cywilnego. Uzasadniając to stanowisko organ wskazał, że uczestnik postępowania nie wystąpił z żadnym roszczeniem wobec Banku, która to okoliczność usprawiedliwiałaby uprawnienie Banku do zachowania i przetwarzania jego danych osobowych dla celów dowodowych w związku z dochodzeniem przez uczestnika tego roszczenia. Jak podkreślił organ przesłanka z art. 6 ust. 1 lit. f RODO dotyczy sytuacji już istniejącej, w której celem wynikającym z prawnie uzasadnionych interesów realizowanych przez administratora jest potrzeba dochodzenia lub obrony przed roszczeniem istniejącym, a nie sytuacji, gdy dane są przetwarzane w celu zabezpieczenia się przed ewentualnym roszczeniem. Nadto wskazał, iż nie można przyjąć, że terminy dotyczące przedawnienia roszczeń wynikających ze stosunków zobowiązaniowych określają jednocześnie ramy czasowe, w których dane osobowe uczestnika postępowanie mogą być przetwarzane przez Bank. Przedawnienie roszczenia nie wywołuje bowiem skutków na gruncie danych osobowych, a powoduje jedynie zmianę w sferze procesowej w postaci możliwości podniesienia przedawnienia roszczenia w sporze sądowym.
Sąd orzekający w niniejszej sprawie powyższego stanowiska nie podziela. Podkreślić należy, że w kwestii przetwarzania danych osobowych przez administratora danych na podstawie art. 6 ust. 1 lit. f RODO w celu zabezpieczenia uzasadnionych interesów administratora na wypadek ewentualnego sporu sądowego w okresie do upływu terminu przedawnienia roszczeń, wypowiedział się Naczelny Sąd Administracyjny w wyroku z dnia 20 lutego 2024 r. sygn. akt III OSK 2700/22 (CBOSA). I jakkolwiek wyrok ten zapadł w sprawie, w której podstawę przetwarzania danych osobowych, o której mowa w art. 6 ust. 1 lit. f RODO, administrator wywodził z przepisów Kodeksu pracy, to jednak poczynione przez NSA w tymże wyroku rozważania natury ogólnej, dotyczące wykładni art. 6 ust. 1 lit. f RODO w kontekście przetwarzania danych osobowych w celu obrony administratora danych przed ewentualnymi roszczeniami, znajdują zastosowanie również w przedmiotowej sprawie.
Podzielając ocenę prawną zawartą w powołanym wyżej wyroku Sąd zauważa, że zgodnie z art. 6 ust. 1 lit. f RODO przetwarzanie jest zgodne z prawem gdy jest niezbędne do celów wynikających z prawnie uzasadnionych interesów realizowanych przez administratora lub przez stronę trzecią, z wyjątkiem sytuacji, w których nadrzędny charakter wobec tych interesów mają interesy lub podstawowe prawa i wolności osoby, której dane dotyczą, wymagające ochrony danych osobowych, w szczególności gdy osoba, której dane dotyczą, jest dzieckiem.
Zastosowanie ww. przepisu jest więc uzasadnione, gdy łącznie spełnione są następujące przesłanki: 1) po stronie administratora istnieją cele, dla osiągnięcia których przetwarzanie danych osobowych jest niezbędne; 2) cele te wynikają z "prawnie uzasadnionych interesów" realizowanych przez administratora; 3) "prawnie uzasadnione interesy" realizowane przez administratora mają charakter nadrzędny wobec interesów lub podstawowych praw i wolności osoby, której dotyczą przetwarzane dane.
Jak wskazał NSA w ww. wyroku, poprzez cel, dla osiągnięcia którego przetwarzanie danych osobowych jest niezbędne, należy rozumieć stan rzeczy, układ rzeczywistości, do którego dąży administrator poprzez to przetwarzanie. "Niezbędność" przetwarzania danych osobowych do osiągnięcia obranego przez administratora celu sprowadza się do ustalenia, że bez tego przetwarzania nie da się go zrealizować. Chodzi więc o wykazanie logicznie uzasadnionego i weryfikowalnego związku przyczynowo-skutkowego pomiędzy przetwarzaniem danych osobowych a realizacją stanu rzeczy, do którego dąży administrator. Ustalenie "niezbędności" przetwarzania danych osobowych dla celów administratora musi opierać się na przesłankach konkretnych, uwzględniających możliwie najszersze spektrum uwarunkowań jego realizacji. Przetwarzanie danych osobowych na podstawie art. 6 ust. 1 lit. f RODO wymaga od administratora wykazania, że jest to konieczne z uwagi na charakter celu, okoliczności faktyczne i prawne jego realizacji oraz relacje podmiotowe pomiędzy administratorem a osobą, której te dane dotyczą. Z kolei prawnie uzasadniony interes administratora należy rozumieć jako interes prawnie dopuszczony, niesprzeczny z porządkiem prawnym.
W tym zakresie NSA podkreślił, że do prawnie uzasadnionych interesów administratora danych osobowych prawodawca unijny odwołał się w motywie 47 preambuły RODO, w którym stwierdził, że "taki prawnie uzasadniony interes może istnieć na przykład w przypadkach, gdy zachodzi istotny i odpowiedni rodzaj powiązania między osobą, której dane dotyczą, a administratorem, na przykład gdy osoba, której dane dotyczą, jest klientem administratora lub działa na jego rzecz. Aby stwierdzić istnienie prawnie uzasadnionego interesu, należałoby w każdym przypadku przeprowadzić dokładną ocenę, w tym ocenę tego, czy w czasie i w kontekście, w którym zbierane są dane osobowe, osoba, której dane dotyczą, ma rozsądne przesłanki by spodziewać się, że może nastąpić przetwarzanie danych w tym celu." Treść motywu 47 preambuły RODO nie wskazuje więc konkretnie, matrycowo, jakie warunki powinny zostać spełnione, aby można było stwierdzić, że administrator przetwarza dane osobowe zgodnie ze swoimi prawnie uzasadnionymi interesami. Podano jedynie przykładowo, iż może chodzić o szczególnego rodzaju relację pomiędzy administratorem a osobą, której dane są przetwarzane. W każdym, konkretnym układzie należy rozstrzygnąć, czy treść i charakter tej relacji w sposób rozsądny uzasadnia takie przetwarzanie w określonym zakresie i czasie.
W motywie 47 prawodawca unijny w ogóle nie powiązał "prawnie uzasadnionych interesów" administratora z porządkiem prawnym. Akcent położył natomiast na charakter relacji łączącej administratora z osobą, której dane są przetwarzane, jej kontekstowość oraz wynikającą z jej indywidualnych uwarunkowań racjonalnie uzasadnioną potrzebę tego przetwarzania. Motyw 47 preambuły RODO w kontekście rekonstrukcji zakresu stosowania art. 6 ust. 1 lit f RODO przesądza, że dopuszczalność przetwarzania danych osobowych na tej podstawie powinna być oceniana kauzalnie, z uwzględnieniem, że zasadnicze znaczenie w tym przedmiocie, powinny mieć uwarunkowania konkretnej relacji pomiędzy administratorem, a osobą której dotyczą przetwarzane dane. Porządek prawny - w tej przestrzeni formułowania ocen - należy traktować jako granicę dopuszczalności prawnie uzasadnionego interesu administratora, na którym opiera przetwarzanie danych osobowych. Porządek prawny może więc być przeszkodą do przetwarzania danych osobowych na podstawie art. 6 ust. 1 lit. f RODO, jeżeli interesu administratora nie da się z nim pogodzić - interes administratora będzie sprzeczny z porządkiem prawnym, a więc nie będzie prawnie uzasadniony. Porządek prawny nie stanowi ścisłej podstawy uzasadnionego interesu administratora do przetwarzania danych osobowych na podstawie art. 6 ust. 1 lit. f RODO, wyznacza natomiast granicę tego przetwarzania.
NSA podkreślił, że kwantyfikatorem rozstrzygającym o dopuszczalności przetwarzania danych osobowych na podstawie art. 6 ust. 1 lit. f RODO jest charakter relacji istniejącej pomiędzy administratorem danych osobowych, a osobą, której dane podlegają przetwarzaniu. Jeżeli z charakteru tej relacji da się racjonalnie wywieść, że przetwarzanie danych osobowych jest niezbędne do zrealizowania przez administratora celu wynikającego z tej relacji i jest to cel przez prawo dopuszczony, to zastosowanie art. 6 ust. 1 lit f RODO będzie uzasadnione, chyba że interesy lub podstawowe prawa i wolności osoby, której przetwarzane dane dotyczą będą nadrzędne wobec interesu administratora.
Odnosząc się do kwestii relacji łączącej administratora danych oraz osobę, której dane dotyczą, NSA zwrócił uwagę na brzmienie motywu 50 RODO oraz przepisu art. 6 ust. 4 RODO, który określa, kiedy istnieje możliwość zmiany celu przewarzania danych osobowych względem celu, w którym zostały pierwotnie zebrane.
Zgodnie z motywem 50 RODO przetwarzanie danych osobowych do celów innych niż cele, w których dane te zostały pierwotnie zebrane, jest dozwolone wyłącznie w przypadkach, gdy jest zgodne z celami, w których dane osobowe zostały pierwotnie zebrane. Ustalenie, czy pomiędzy pierwotnym celem przetwarzania, a wtórnym celem przetwarzania zachodzi zgodność, wymaga uwzględnienia między innymi: wszelkich powiązań pomiędzy tymi celami; kontekstu, w którym dane osobowe zostały zebrane, obejmującego w szczególności rozsądne przesłanki pozwalające osobom, których dane dotyczą, oczekiwać dalszego wykorzystania danych, oparte na rodzaju ich powiązania z administratorem; charakteru danych osobowych; konsekwencji zamierzonego dalszego przetwarzania dla osób, których dane dotyczą; oraz istnienia odpowiednich zabezpieczeń zarówno podczas pierwotnej, jak i zamierzonej operacji dalszego przetwarzania.
Z kolei przepis art. 6 ust. 4 stanowi, że w przypadku, gdy przetwarzanie w celu innym niż cel, w którym dane osobowe zostały zebrane, nie odbywa się na podstawie zgody osoby, której dane dotyczą, ani prawa Unii lub prawa państwa członkowskiego stanowiących w demokratycznym społeczeństwie niezbędny i proporcjonalny środek służący zagwarantowaniu celów, o których mowa w art. 23 ust. 1, administrator - aby ustalić, czy przetwarzanie w innym celu jest zgodne z celem, w którym dane osobowe zostały pierwotnie zebrane - bierze pod uwagę między innymi: a) wszelkie związki między celami, w których zebrano dane osobowe, a celami zamierzonego dalszego przetwarzania; b) kontekst, w którym zebrano dane osobowe, w szczególności relację między osobami, których dane dotyczą, a administratorem; c) charakter danych osobowych, w szczególności czy przetwarzane są szczególne kategorie danych osobowych zgodnie z art. 9 lub dane osobowe dotyczące wyroków skazujących i czynów zabronionych zgodnie z art. 10; d) ewentualne konsekwencje zamierzonego dalszego przetwarzania dla osób, których dane dotyczą; e) istnienie odpowiednich zabezpieczeń, w tym ewentualnie szyfrowania lub pseudonimizacji.
Uwzględniając powyższe NSA wskazał na potrzebę dokonywania przez organ każdorazowej oceny charakteru relacji łączącej administratora danych oraz osobę, której dane dotyczą, w kontekście możliwości dalszego przetwarzania pozyskanych danych celem zabezpieczenia uzasadnionych prawnych interesów administratora oraz tej osoby na wypadek ewentualnego sporu sądowego.
NSA podkreślił jednocześnie, iż nie podziela stanowiska organu, że dane osobowe nie mogą być przetwarzane "na zapas", "na przyszłość". Rozważanie zakresu stosowania art. 6 ust. 1 lit. f RODO w przyjętym kontekście jest nieuzasadnione treścią tego przepisu i choć bywa wyrażane w orzecznictwie, nie może być ocenione jako precyzyjne i tym samym prawidłowe. Wyłączenie stosowania art. 6 ust. 1 lit f RODO, gdy administrator przetwarza dane osobowe na wypadek ewentualnego sporu sądowego, wyłącznie z uwagi na jego potencjalność jest nieuzasadnione. Taka interpretacja art. 6 ust. 1 lit. f RODO byłaby zbyt formalistyczna i nieznajdująca potwierdzenia w przyjętym sposobie jego rozumienia. Jak już wyżej zaznaczono, przetwarzanie danych osobowych na podstawie art. 6 ust. 1 lit. f RODO powinno być niezbędne dla realizacji celu wynikającego z prawnie uzasadnionych interesów administratora, a te należy ustalać z uwzględnieniem charakteru i kontekstu relacji łączącej administratora z osobą, której dane osobowe są przetwarzane. Jeżeli łącząca te dwa podmioty relacja zawiera w sobie prawnie dopuszczalne roszczenie, które może być dochodzone na drodze sądowej, to nie można z góry wyłączyć dopuszczalności przetwarzania danych osobowych na podstawie art. 6 ust. 1 lit. f RODO, wyłącznie z uwagi na potencjalność realizacji tego roszczenia. Należy zauważyć, że relacja łącząca administratora z osobą, której dane za jej zgodą są przetwarzane może ulec zmianie, przekształceniu, wygaśnięciu, co może się wiązać z powstaniem innej, (nowej) relacji, w ramach której uprzednio wyrażona zgoda na przetwarzanie nie będzie już adekwatna. Istotą tej "nowej" relacji może być potencjalny i zarazem prawnie dopuszczalny spór sądowy wynikający z niewłaściwej realizacji praw i obowiązków będących przedmiotem relacji "starej". Nie można w takim układzie wykluczyć, że przetwarzanie danych osobowych przez administratora do czasu wystąpienia przez którąkolwiek ze stron z roszczeniem na drogę sądową, lub do czasu przedawnienia tego roszczenia, będzie zgodne z art. 6 ust. 1 lit. f RODO. Celem administratora wynikającym z jego prawnie uzasadnionych interesów będzie zabezpieczenie się na wypadek konieczności wejścia w spór sądowy.
Kwestia ta jednak, jak wynika z wywodów NSA, wymaga sformułowania ocen prawnych z uwzględnieniem uwarunkowań cechujących konkretną relację łączącą administratora i osobę, której dane dotyczą.
NSA odniósł się również do dotychczasowych poglądów orzecznictwa odnoszących się do omawianego zagadnienia, w tym m.in. do wyroku Naczelnego Sądu Administracyjnego z dnia 6 marca 2019 r. sygn. akt I OSK 994/17 powołanego przez organ w zaskarżonej decyzji na poparcie przyjętego stanowiska. NSA zaznaczył przy tym, że w realiach tej sprawy Sąd II instancji wypowiedział się o braku dopuszczalności przetwarzania danych osobowych przez bank w sytuacji, gdy klient złożył wniosek kredytowy, ale ostatecznie nie zawarł z bankiem żadnej umowy, a więc nie łączył go z bankiem żaden stosunek prawny, który mógłby stanowić źródło przyszłych roszczeń. W takiej sytuacji, jak podkreślił NSA, dalszego przetwarzania danych osobowych klienta nie da się uzasadnić jakąkolwiek relacją prawną z bankiem.
W rozpoznawanej sprawie, pomimo powołania się przez organ na ww. wyrok NSA z dnia 6 marca 2019 r. sygn. akt I OSK 994/17, nie mamy do czynienia ze stanem faktycznym, w którym został on wydany. Z poczynionych przez organ ustaleń wynika bowiem, że Bank oraz uczestnika postępowania łączyły określone w punkcie 1 decyzji: Umowa o kredyt gotówkowy i kartę kredytową z dnia [...] czerwca 2011 r. oraz Umowa Kredytu Ratalnego i Umowa o Kartę Kredytową z dnia [...] sierpnia 2012 r. Umowy te zostały zamknięte odpowiednio w dniach [...] i [...] grudnia 2015 r. oraz [...] sierpnia 2017r. Istniała zatem relacja prawna pomiędzy Bankiem a uczestnikiem postępowania. Organ jednak nie zbadał i nie ocenił, czy pomimo zakończenia ww. relacji, Bank ma podstawę przetwarzania danych osobowych uczestnika w oparciu o art. 6 ust. 1 lit. f RODO, wynikającą z zabezpieczenia się przed potencjalnym, a jednocześnie dopuszczalnym prawnie, sporem sądowym wynikającym z ewentualnej niewłaściwej realizacji praw i obowiązków na podstawie ww. umów. Ocena ta powinna dotyczyć podnoszonej przez Bank argumentacji co do przetwarzania danych osobowych uczestnika z tychże umów w związku z 6-letnim okresem przedawnienia roszczeń (przyjętym na podstawie przepisów Kodeksu cywilnego przy uwzględnieniu art. 5 ustawy z dnia 13 kwietnia 2018 r. o zmianie ustawy Kodeks cywilny oraz niektórych innych ustaw), tj. do dnia 31 grudnia 2024 r.
Takiej oceny organ nie dokonał stwierdzając a priori, z naruszeniem art. 7, art. 77 § 1 i art. 80 oraz art. 107 § 3 k.p.a. w związku z art. 6 ust. 1 lit. f oraz art. 58 ust. 2 lit. c RODO, że nie zaistniała przesłanka dalszego przetwarzania danych osobowych uczestnika postępowania przez Bank po zamknięciu ww. umów, niejako "na zapas", w celu zabezpieczenia się przez ewentualnym roszczeniem w sytuacji, gdy uczestnik nie wystąpił z jakimkolwiek roszczeniem wobec Banku. Tymczasem jak wskazał Naczelny Sąd Administracyjny w wyroku z dnia 4 grudnia 2014 r. sygn. akt I OSK 1001/13 (powołanym w ww. wyroku NSA z dnia 20 lutego 2024 r. sygn. akt III OSK 2700/22) uzależnienie dopuszczalności przetwarzania danych osobowych w oparciu o art. 23 ust. 1 pkt 5 u.o.d.o. od wyraźnej deklaracji wystąpienia na drogę procesu cywilnego jest zbyt formalistyczne i nie znajduje oparcia w prawie. Stanowisko to, jakkolwiek wyrażone na podstawie u.o.d.o. z 1997 r., ma zastosowanie w niniejszej sprawie.
Konkludując Sąd stwierdza, że wobec naruszenia przez Prezesa UODO powołanych przepisów należało zaskarżoną decyzję w części dotyczącej punktu 1 wyeliminować z obrotu prawnego.
Rozpatrując sprawę ponownie organ uwzględni dokonaną ocenę prawną. Podda analizie i oceni czy przetwarzanie przez Bank danych osobowych uczestnika postępowania pozyskanych w związku z zawarciem ww. umów kredytowych oraz umów o kartę kredytową, po zamknięciu ww. umów, było uzasadnione na podstawie art. 6 ust. 1 lit. f RODO, tj. w celu zabezpieczenia danych uczestnika postępowania na potrzeby ewentualnego sporu sądowego w terminie przedawnienia roszczeń wynikającym ze stosunków zobowiązaniowych. Organ weźmie również pod uwagę stanowisko NSA wyrażone w ww. wyroku z dnia 20 lutego 2024 r. sygn. akt III OSK 2700/22, zgodnie z którym kwestia przedawnienia roszczenia powinna być analizowana na gruncie stosowania art. 6 ust. 1 lit. f RODO w aspekcie niezbędności przetwarzania danych osobowych przez administratora. Jeżeli roszczenie uległo przedawnieniu, a zatem w razie sporu sądowego można podnieść zarzuty umożliwiające skuteczną obronę przed tym roszczeniem, dalsze przetwarzanie danych osobowych nie jest niezbędne do osiągnięcia celów wynikających z prawnie uzasadnionych interesów administratora w rozumieniu ww. przepisu.
Mając na względzie wszystko powyższe, Wojewódzki Sąd Administracyjny w Warszawie, na podstawie art. 145 § 1 pkt 1 lit. c w związku z lit. a p.p.s.a., orzekł jak w punkcie 1 sentencji wyroku. O kosztach postępowania obejmujących wpis od skargi (200 złotych) oraz wynagrodzenie pełnomocnika w stawce minimalnej (480 złotych) Sąd postanowił na podstawie art. 200 i art. 205 p.p.s.a., jak w punkcie 2 sentencji wyroku.