II SA/Wa 3550/21

II SA/Wa 3550/21 - Wyrok WSA w Warszawie
Data orzeczenia
2022-05-23
orzeczenie nieprawomocne
Data wpływu
2021-10-12
Sąd
Wojewódzki Sąd Administracyjny w Warszawie
Sędziowie
Agnieszka Góra-Błaszczykowska /przewodniczący sprawozdawca/
Andrzej Wieczorek
Izabela Głowacka-Klimas
Symbol z opisem
647  Sprawy związane z ochroną danych osobowych
Sygn. powiązane
III OSK 2222/22 - Wyrok NSA z 2025-11-05
Skarżony organ
Generalny Inspektor Ochrony Danych Osobowych
Treść wyniku
Uchylono zaskarżoną decyzję w części
Sentencja
Wojewódzki Sąd Administracyjny w Warszawie w składzie następującym: Przewodniczący Sędzia WSA Agnieszka Góra-Błaszczykowska (spr.), Sędzia WSA Andrzej Wieczorek, Sędzia WSA Izabela Głowacka-Klimas, Protokolant specjalista Marcin Kwiatkowski po rozpoznaniu na rozprawie w dniu 23 maja 2022 r. sprawy ze skargi Banku [...] z siedzibą w W. na decyzję Prezesa Urzędu Ochrony Danych Osobowych z dnia [...] sierpnia 2021 r. nr [...] w przedmiocie przetwarzania danych osobowych 1. uchyla punkt pierwszy zaskarżonej decyzji; 2. zasądza od Prezesa Urzędu Ochrony Danych Osobowych na rzecz Banku [...] z siedzibą w W. kwotę 697 zł (sześćset dziewięćdziesiąt siedem złotych) tytułem zwrotu kosztów postępowania
Uzasadnienie
Przedmiotem rozpoznania w niniejszej sprawie była skarga Banku [...] z siedzibą w W. na decyzję Prezesa Urzędu Ochrony Danych Osobowych znak [...] z dnia [...] sierpnia 2021 r. w przedmiocie przetwarzania danych osobowych.
Skarga została złożona w następującym stanie faktycznym sprawy:
W dniu [...] września 2018 r. (data wpływu do organu) P. C. (zwany dalej: wnioskodawca), reprezentowany przez profesjonalnego pełnomocnika, wniósł do Prezesa Urzędu Ochrony Danych Osobowych (zwany dalej: PUODO, organ), skargę na nieprawidłowości w procesie przetwarzania jego danych osobowych przez Bank [...] z siedzibą w W. (zwany dalej: bank, skarżący), polegające na przetwarzaniu danych osobowych w zakresie prowadzonego rachunku bankowego, wniosku o udzielenie kredytu odnawialnego, kierowania do wnioskodawcy korespondencji za pośrednictwem telefonu, wiadomości tekstowych i wiadomości e-mail oraz odmowy udostępnienia kopii jego danych osobowych na adres mailowy.
W treści ww. skargi wnioskodawca wskazał, iż zawarł z bankiem umowę o prowadzenie rachunku bankowego, do którego została wydana karta kredytowa oraz o udzielenie kredytu odnawialnego. Pomimo zakończenia umowy w 2014 r. bank nadal przetwarza dane osobowe wnioskodawcy, dzwoniąc do niego, wysyłając listy, wiadomości e-mail oraz sms. Ponadto wnioskodawca zarzucił bankowi, iż odmówił mu udostępnienia kopii jego danych, zgodnie z jego wnioskiem z dnia [...] lipca
2018 r., uzależniając uzyskanie kopii danych od zaktualizowania adresu korespondencyjnego. Podniósł także, iż bank zbiera dane nadmiarowe, gdyż zwrócił się do niego o podanie kraju urodzenia oraz aktualnego adresu korespondencyjnego. Wnioskodawca wniósł o nakazanie bankowi udostępnienia kopii przetwarzanych danych oraz doprowadzenie do zaniechania żądania danych nadmiarowych.
Decyzją znak [...] z dnia [...] sierpnia 2021 r. organ, działając na podstawie art. 104 § 1 ustawy z dnia 14 czerwca 1960 r. Kodeks postępowania administracyjnego (Dz. U. z 2021 r., poz. 735., zwana dalej: k.p.a.), art. 7 ust. 1 ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych (Dz. U. z 2019 r. poz. 1781, zwana dalej: u.o.d.o.), art. 6 ust. 1 lit. b) i f), art. 15 i art. 58 ust. 2 lit. c), rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (Dz. Urz. UE L 119 z 04.05.2016, str. 1, ze zm., zwane dalej: rozporządzeniem 2016/679), orzekł: w pkt 1 – o nakazie dostarczenia wnioskodawcy przez bank kopii jego danych osobowych podlegających przetwarzaniu, drogą elektroniczną na adres e-mail wskazany we wniosku z dnia [...] lipca 2018 r.,
w pkt 2 – o odmowie uwzględnienia wniosku w pozostałym zakresie.
W uzasadnieniu podjętej decyzji organ ustalił następujący stan faktyczny sprawy. Bank aktualnie przetwarza dane osobowe wnioskodawcy w celu wykonania umowy rachunku bankowego "Konto oszczędnościowe [...]" z dnia [...] kwietnia 2009 r., która (na dzień wydania decyzji) była wiążąca. Umowa o kartę kredytową [...] z dnia [...] kwietnia 2009 r., zawarta przez bank z wnioskodawcą, została rozwiązana, zgodnie z dyspozycją wnioskodawcy z dnia [...] czerwca 2015 r., za
30-dniowym okresem wypowiedzenia.
Wnioskodawca w dniu [...] lipca 2018 r. drogą elektroniczną, korzystając z adresu [...] zwrócił się do banku na adres [...] z wnioskiem o dostęp do danych o przetwarzaniu jego danych osobowych przez bank, tj. informacji o celu przetwarzania, kategoriach danych, o odbiorcach tych danych, okres ich przechowywania oraz o kopie tych danych w formie elektronicznej na adres e-mailowy, z którego wysłany został wniosek. W odpowiedzi elektronicznej na ww. wniosek z dnia [...] lipca 2018 r. bank wskazał wnioskodawcy, iż ze względu na złożoność sprawy i konieczność zebrania wielu informacji odpowiedź zostanie udzielona na adres do korespondencji wnioskodawcy nie później, niż w ciągu dwóch miesięcy od daty zlecenia dyspozycji.
W odpowiedzi na ww. wiadomość banku z dnia [...] sierpnia 2018 r. wnioskodawca drogą elektroniczną w dniu [...] sierpnia 2018 r. poinformował bank, że adres do korespondencji, posiadany przez bank, jest nieaktualny i wniósł o udzielenie odpowiedzi w wersji elektronicznej na maila [...]. W odpowiedzi na ww. wiadomość z dnia [...] sierpnia 2018 r., w dniu [...] września 2018 r., drogą elektroniczną przesłaną na adres [...] bank poinformował wnioskodawcę, że ze względów bezpieczeństwa nie może przesłać kopii danych za pośrednictwem poczty elektronicznej podany adres email. Wezwał też wnioskodawcę o dokonanie
aktualizacji adresu do korespondencji oraz wyjaśnił, iż klient może samodzielnie dokonać zmiany adresu korespondencyjnego, zamieszkania oraz zameldowania, adresu e-mail w serwisie [...] Online (...). Jednocześnie bank poinformował ww., że zmiana możliwa jest również w jednym z oddziałów [...], bądź korespondencyjnie.
Wnioskodawca nie zaktualizował adresu korespondencyjnego w banku. Pismem z dnia [...] września 2018 r. przesłanym drogą elektroniczną na adres [...] w odpowiedzi na ww. wniosek wnioskodawcy z dnia [...] lipca 2018 r. bank poinformował ww. w szczególności, iż jego dane w związku z ww. umową o kartę kredytową zostały przekazane do Biura Informacji Kredytowej S.A. z siedzibą w Warszawie (zwane dalej: BIK), a w związku z procesem archiwizacyjnym udostępnił dokumenty [...] S.A. z siedzibą w [...], zaś na potrzeby realizacji personalizacji i wysyłki kart dane były udostępniane na rzecz [...] sp. z o.o. z siedzibą w [...],[...] sp. z o.o. z siedzibą w [...], [...] S.A. z siedzibą w [...], z kolei w związku z posiadanym przez wnioskodawcę ubezpieczeniem karty kredytowej - dane zostały przekazane [...]. Ww. pismem bank poinformował też wnioskodawcę, że jego dane mogą być również udostępniane podmiotom mającym siedzibę poza EOG oraz organizacjom
międzynarodowym. Wskazał także na podmioty, które mają możliwość dostępu do danych klientów banku w celu wsparcia technicznego dla platformy informatycznej służącej do obsługi klientów. Ponadto bank poinformował ww., iż posiada on w banku konto oszczędnościowe. Jednocześnie bank przesłał wnioskodawcy (w załączeniu)
dokumenty informujące o celu i zasadach przetwarzania przez bank jego danych osobowych.
Następnie pismami z dnia [...] września 2018 r. i z dnia [...] września
2018 r., bank poinformował wnioskodawcę, iż realizacja prawa do uzyskania kopii danych możliwa będzie po aktualizacji adresu do korespondencji. Bank nie udostępnił wnioskodawcy kopii jego danych, podlegających przetwarzaniu. Nie uaktualnił też adresu e-mail wnioskodawcy z [...] na [...].
Organ uznał, że korespondencja kierowana zarówno na adres poczty elektronicznej [...], jak i na adres na [...] trafia do skrzynki w ramach tego samego konta poczty elektronicznej. Założenie konta w którejkolwiek z domen o2.pl, tlen.pl, go2.pl i prokonto.pl skutkuje automatycznym założeniem tego samego konta także w pozostałych domenach. Zawartość danego konta jest identyczna niezależnie od tego, w jakiej domenie spośród wyżej powołanych użytkownik zalogował się na konto. W związku z realizacją ww. umowy rachunku bankowego bank kieruje do wnioskodawcy korespondencję e-mail, poprzez serwis bankowości elektronicznej [...] Online, sms, telefonicznie o charakterze regulacyjnym, dotyczącym bezpieczeństwa, o charakterze informacyjnym i marketingowym.
Prezes UODO stwierdził, że nieuzasadniona była odmowa dostarczenia wnioskodawcy przez skarżącego kopii jego danych osobowych podlegających przetwarzaniu, podobnie jak i uzależnianie jej dostarczenia od dokonania przez wnioskodawcę aktualizacji adresu korespondencyjnego. Wyjaśnił, że art. 15 ust. 3 rozporządzenia 2016/679 dopuszcza udzielenie tej informacji w formie elektronicznej, jeśli osoba, której dane dotyczą, zwraca się o kopię tą drogą. Sam bank dopuszcza również taką możliwość, bowiem w korespondencji kierowanej do organu w niniejszej sprawie wskazywał, iż zgodnie z przyjętymi przez bank zasadami, wynikającymi z przyjęcia najwyższych standardów ochrony danych osobowych objętych również tajemnicą bankową, uzyskanie kopii danych możliwe jest poprzez wysłanie pliku z danymi w formie zaszyfrowanego maila (secure e-mail) na adres e-mail wskazany w systemie banku przekazany przez wnioskodawcę w związku z zawarciem i wykonaniem umów, z zastrzeżeniem, że hasło wymagane do otwarcia pliku zostanie wygenerowane przez klienta zgodnie z funkcjonalnością przewidzianą dla obsługi secure e-mail lub na adres do korespondencji dostępny w systemie banku.
Organ zaznaczył też, że jakkolwiek z materiału dowodowego sprawy wynika, że adres do korespondencji wnioskodawcy nie był aktualny, gdyż wskazywał na to sam wnioskodawca, to jednak istniał również inny sposób wygenerowania hasła do otwarcia pliku. Nie było zatem żadnych przeszkód, by spełnić żądanie wnioskodawcy dotyczące dostarczenia mu kopii danych osobowych we wnioskowany przez niego pismem z dnia [...] lipca 2018 r. sposób, zwłaszcza, że adres e-mail wnioskodawcy, który skarżący przetwarza w swoich zasobach, jest adresem odnoszącym się do tego samego konta poczty elektronicznej, co adres figurujący na wniosku wnioskodawcy z dnia [...] lipca 2018 r. o przesłanie mu kopii danych osobowych, skierowanym do banku drogą elektroniczną.
Prezes UODO wskazał, że postępowanie prowadzone w przedmiocie przetwarzania danych osobowych ma na celu ustalenie, czy w sprawie doszło do naruszenia przepisów o ochronie danych osobowych, a w razie stwierdzenia tego naruszenia, skorzystanie z uprawnień naprawczych, o których mowa w art. 58 ust. 2 rozporządzenia 2106/679. Wobec powyższego, z uwagi na niedostarczenie przez skarżącego wnioskodawcy kopii jego danych, konieczne stało się skorzystanie przez organ z uprawnień naprawczych określonych tym przepisem i nakazanie bankowi spełnienia żądania wnioskodawcy wynikającego z praw przysługujących mu na mocy tego aktu prawnego.
Organ zauważył przy tym, że niekonsekwentne jest stanowisko banku, dotyczące niedostarczenia wnioskodawcy kopii danych. Skoro bowiem w dniu [...] września 2018 r. bank na adres e-mail wnioskodawcy [...], spełnił obowiązek informacyjny, mógł na ten adres dostarczyć wnioskodawcy kopie danych, stosownie do art. 15 ust. 3 rozporządzenia 2016/679.
Jednocześnie zauważył, że w piśmie z dnia [...] lipca 2018 r. wnioskodawca domagał się informacji o celu przetwarzania, kategoriach danych, o odbiorcach tych danych, okresie ich przechowywania. Pomimo, że skarżący literalnie wprost nie odniósł się do tego żądania, to jednak z jego pisma z dnia [...] września 2018 r. wynika zakres przetwarzanych danych, cel (realizacja umowy rachunku oszczędnościowego), okresy przechowywania i kategorie odbiorców. Tym samym uznać należy ww. obowiązek informacyjny za spełniony. Niedopełnienie tego obowiązku nie było jednak kwestionowane przez wnioskodawcę w niniejszym postępowaniu. Wnioskodawca odnosząc się do swojego wniosku z dnia [...] lipca 2018 r., kwestionował wyłącznie niedostarczenie mu kopii danych.
Odnosząc się do twierdzenia wnioskodawcy, dotyczącego żądania przez bank danych nadmiarowych organ ocenił, że z materiału dowodowego sprawy nie wynika, by skarżący w istocie pozyskał kwestionowane dane o kraju urodzenia i aktualnym adresie korespondencyjnym. Powyższe powoduje, że organ nie może oceniać, czy doszło do ewentualnego naruszenia przepisów o ochronie danych osobowych. Natomiast aktualne przetwarzanie danych osobowych wnioskodawcy przez skarżącego w celu realizacji wiążącej strony umowy rachunku bankowego "Konto oszczędnościowe [...]" z dnia [...] kwietnia 2009 r. i kierowanie do niego korespondencji kwestionowanymi kanałami (telefonicznie, listownie, wiadomości e-mail oraz sms), ma co do zasady ma oparcie w art. 6 ust. 1 lit. b) i f) rozporządzenia 2016/679, jako działanie niezbędne do wykonania tej umowy oraz do celów wynikających z prawnie uzasadnionych interesów realizowanych przez bank.
W skardze złożonej na powołane rozstrzygnięcie do sądu administracyjnego skarżący, reprezentowany przez profesjonalnego pełnomocnika, zaskarżył ww. decyzję w części dotyczącej punktu 1, tj. nakazu dostarczenia wnioskodawcy kopii danych. Skarżący wniósł o: stwierdzenie nieważności zaskarżonej decyzji w zakresie punktu 1, ewentualnie o uchylenie zaskarżonej decyzji w części obejmującej punkt 1 oraz zasądzenie zwrotu kosztów postępowania. Wniósł nadto o przeprowadzenie dowodu uzupełniającego z dokumentów, tj.: Regulaminu Rachunków Bankowych w brzmieniu obowiązującym od [...] marca 2017 r.; Regulaminu Kart Kredytowych [...]w [...] S.A. w brzmieniu obowiązującym od [...] grudnia 2008 r.; Regulaminu Kart Kredytowych [...] w [...] S.A. w brzmieniu obowiązującym od [...] czerwca 2015 r. na okoliczność obowiązku aktualizacji danych, spoczywających na wnioskodawcy jako stronie umowy karty kredytowej i umowy rachunku bankowego, zawartych z bankiem, w tym na okoliczność obowiązku aktualizacji danych określonymi kanałami komunikacji; Procedury operacyjnej w zakresie Konta Osobistego, Konta Oszczędnościowego, Konta Super Oszczędnościowego oraz Karty Kredytowej dla Klientów Indywidualnych w Departamencie Operacji Scentralizowanych Bankowości Detalicznej z dnia [...] stycznia 2018 r. - na okoliczność obowiązujących w banku procedur w zakresie aktualizacji danych klientów, w tym ich brzmienia.
Wydanej decyzji skarżący zarzucił naruszenie:
I. przepisów prawa materialnego, które miało wpływ na wynik sprawy, tj.:
1. art. 58 ust. 2 lit. c) w związku z art. 15 ust. 3 rozporządzenia 2016/679, polegające na ich niewłaściwym zastosowaniu i nakazaniu skarżącemu przesłania kopii danych osobowych wnioskodawcy podlegających przetwarzaniu, drogą elektroniczną na adres e-mailowy nie wskazany wprost w decyzji, określony jako "wskazany we wniosku z dnia [...] lipca 2018 r." pomimo, że wniosek wnioskodawcy nie zawierał w swojej treści adresu e-mail, na który miała być przesłana kopia danych, w związku z czym zachodzi niewykonalność decyzji w omawianym zakresie w dniu jej wydania, przy czym niewykonalność ma charakter trwały, co jednocześnie stanowi podstawę do stwierdzenia częściowej nieważności decyzji w oparciu o art. 156 § 1 pkt 5 k.p.a.;
2. art. 12 ust. 6 w związku z art. 24 ust. 1 oraz art. 32 ust. 1 i 2 rozporządzenia 2016/679 polegające na ich niezastosowaniu przez organ w decyzji i uznanie, że działania skarżącego stanowią odmowę realizacji prawa podmiotu danych do otrzymania kopii danych, podczas gdy stanowiły one żądanie dodatkowych informacji niezbędnych do przewidzianego w przepisie art. 12 ust. 6 rozporządzenia 2016/679 potwierdzenia tożsamości osoby, której dane dotyczą, w sytuacji, gdy bank miał uzasadnione wątpliwości co do tożsamości podmiotu danych zgłaszającego się z żądaniem;
3. art. 15 ust. 3 rozporządzenia 2016/679, polegające na jego niewłaściwym zastosowaniu i niezasadnym przyjęciu, że skarżący powinien był wydać kopię danych wnioskodawcy na adres e-mail, z którego skierowano żądanie co do którego bank miał usprawiedliwione wątpliwości w zakresie jego powiązania z podmiotem danych, którego dane są przetwarzane przez bank, co w konsekwencji uzasadniało żądanie dodatkowych informacji niezbędnych do potwierdzenia tożsamości osoby, której dane dotyczą lub odmowę realizacji żądania;
4. art. 15 ust. 3 rozporządzenia 2016/679, polegające na jego niewłaściwym zastosowaniu i niezasadnym przyjęciu, że bank powinien był wydać kopię danych wnioskodawcy poprzez ich przesłanie na określony adres e-mail (nie zaś na posiadany dotychczas i zweryfikowany przez bank adres e-mail podmiotu danych), podczas gdy ww. przepis zobowiązuje administratora danych do wydania kopii danych powszechnie stosowaną drogą elektroniczną, co oznacza, że bank jest uprawniony do wydania tej kopii nie tylko za pomocą poczty elektronicznej, w tym na dowolny adres e-mail, należący do wnioskodawcy, ale też w inny sposób za pomocą powszechnie stosowanej drogi elektronicznej, co w konsekwencji spowodowało nałożenie na bank obowiązku niewynikającego z przepisów prawa;
II. naruszenie przepisów postępowania, które miało istotny wpływ na wynik sprawy, tj.:
1. art. 7 k.p.a. w związku z art. 104 ust. 1-3 ustawy z 29 sierpnia 1997 r. prawo bankowe (Dz.U. z 2020 r. poz. 1896, zwana dalej: p.b.) poprzez naruszenie zasady praworządności i prawdy obiektywnej, polegające na braku wnikliwego i wszechstronnego rozpatrzenia stanu faktycznego w świetle wszystkich przepisów prawa materialnego mogących mieć zastosowanie w sprawie, w szczególności poprzez brak odniesienia stanu faktycznego do przepisów prawa bankowego, które zobowiązują skarżącego do zachowania w tajemnicy informacji, które stanowią tajemnicę bankową, a więc do ochrony tych informacji przed ujawnieniem osobom nieuprawnionym, a w konsekwencji do szczególnej weryfikacji podmiotów, które zwracają się z wnioskiem o ujawnienie informacji objętych tajemnicą bankową, co doprowadziło do uznania przez organ, że skarżący powinien był zrealizować żądanie podmiotu danych do dostarczenia kopii danych na adres e-mail, z którego skierowano żądanie, co do którego bank miał usprawiedliwione wątpliwości w zakresie jego powiązania z podmiotem danych, którego dane są przetwarzane przez bank pomimo, że takie działanie wiązało się z istotnym ryzykiem naruszenia tajemnicy bankowej;
2. art. 7 w związku z art. 77 i art. 80 k.p.a., polegające na uznaniu przez organ za dowód regulaminu podmiotu trzeciego, niebędącego stroną postępowania administracyjnego prowadzonego przez Prezesa UODO i zakończonego decyzją, znajdującego się pod adresem [...], bez dokonania oceny jego wiarygodności i celowości zastosowania w postępowaniu administracyjnym zakończonym decyzją, a w konsekwencji poprzez uwzględnienie w stanie faktycznym okoliczności, iż korespondencja kierowana na adres e-mail w domenie @o2.pl oraz na adres e-mail w domenie @tlen.pl trafia do skrzynki w ramach tego samego konta poczty elektronicznej i uznanie, że okoliczność ta ma znaczenie dla kwestii odpowiedzialności skarżącego w sytuacji, gdy okoliczność ta nie była znana w sposób pewny skarżącemu i jest irrelewantna z punktu widzenia jego obowiązków w zakresie weryfikacji tożsamości osoby, której dane dotyczą oraz realizacji jej żądań, co doprowadziło do uznania przez organ, że skarżący powinien był zrealizować żądanie podmiotu danych do dostarczenia kopii danych na adres e-mail, z którego skierowano żądanie, co do którego bank miał usprawiedliwione wątpliwości w zakresie jego powiązania z podmiotem danych, którego dane są przetwarzane przez bank;
3. art. 75 § 1, art. 77 § 1, art. 80 w zw. z art. 84 § 1 k.p.a., polegające
na nieprzeprowadzeniu dowodu z opinii biegłego w zakresie, w jakim wymagane były wiadomości specjalne, tj. w zakresie oceny zwiększenia się ryzyka naruszenia tajemnicy bankowej w przypadku udostępnienia kopii danych chronionych na nieuwierzytelniony adres email, co doprowadziło do uznania przez organ, że skarżący powinien był zrealizować żądanie
wnioskodawcy do dostarczenia kopii danych na adres e-mail, co do którego bank miał usprawiedliwione wątpliwości w zakresie jego powiązania z podmiotem danych, którego dane były przetwarzane przez bank, pomimo, że takie działanie wiązało się z istotnym ryzykiem naruszenia tajemnicy bankowej.
Uzasadniając złożoną skargę skarżący szczegółowo uzasadnił ww. zarzuty skargi.
W odpowiedzi na skargę organ wniósł o oddalenie skargi, podnosząc argumentację tożsamą z tą jaką prezentował w zaskarżonej decyzji.
W piśmie złożonym w dniu [...] listopada 2021 r. (data wpływu do biura podawczego Sądu) stanowiącym replikę skarżącego na odpowiedź organu na skargę, skarżący wskazał, że argumentacja przedstawiona w odpowiedzi na skargę nie jest zasadna i nie zasługuje na uwzględnienie. W ocenie skarżącego, pismo Prezesa UODO wskazuje na brak zrozumienia stanu faktycznego i istoty niniejszej sprawy. Istota sporu sprowadza się bowiem do ustalenia, czy bank jako administrator miał obowiązek wydać kopię danych osobowych swojego klienta osobie, która kontaktowała się z bankiem z niezweryfikowanego przez bank adresu poczty elektronicznej w sytuacji, gdy wydanie takich kopii danych osobie, której tożsamość nie jest ustalona przez bank, może stanowić naruszenie ochrony danych osobowych i skutkować pociągnięciem skarżącego do odpowiedzialności nie tylko na gruncie przepisów rozporządzenia 2016/679, ale też przepisów prawa bankowego w związku z możliwym naruszeniem tajemnicy bankowej. Zdaniem skarżącego, bank nie miał obowiązku wydać kopii danych osobie, której tożsamości nie ustalił, a co więcej, nie miał prawa wydać takiej kopii niezweryfikowanej osobie.
Wojewódzki Sąd Administracyjny w Warszawie zważył, co następuje:
Zgodnie z treścią art. 3 § 1 ustawy z dnia 30 sierpnia 2002 r. - Prawo o postępowaniu przed sądami administracyjnymi (Dz. U. z 2022 r., poz. 329, zwana dalej: p.p.s.a), sądy administracyjne sprawują kontrolę działalności administracji publicznej i stosują środki określone w ustawie. Oznacza to, iż sąd rozpoznając skargę ocenia, czy zaskarżona decyzja nie narusza przepisów prawa materialnego bądź przepisów postępowania administracyjnego. Zgodnie z art. 134 p.p.s.a. Sąd rozstrzyga w granicach danej sprawy, nie będąc jednak związany zarzutami i wnioskami skargi oraz powołaną w niej podstawą prawną. Uwzględnienie skargi następuje w przypadku stwierdzenia naruszenia przez Sąd przepisów prawa, wskazanego w art. 145 § 1 pkt 1 p.p.s.a.
Skarga okazała się zasadna.
W pierwszej kolejności wskazać należy, że postępowanie w sprawie naruszenia przepisów o ochronie danych jest jednym z postępowań administracyjnych przed Prezesem UODO. O takim jego charakterze rozstrzyga art. 7 ust. 1 u.o.d.o., zgodnie z którym w sprawach nieuregulowanych w ustawie do postępowań administracyjnych przed Prezesem Urzędu Ochrony Danych Osobowych, o których mowa w rozdziale 4-7 i 11 (a więc również w rozdziale 7, dotyczącym postępowania w sprawie naruszenia przepisów o ochronie danych osobowych), stosuje się przepisy Kodeksu postępowania administracyjnego. Według reguł i zasad określonych w Kodeksie postępowania administracyjnego prowadzone jest też postępowanie dowodowe. Jednym ze stadiów postępowania administracyjnego jest stadium wyjaśniające - pozwalające ustalić dokładny stan faktyczny w danej sprawie.
Ustalenie stanu faktycznego sprawy ma fundamentalne znaczenie dla prowadzonego postępowania, gdyż warunkuje prawidłowe ustalenie zakresu praw i obowiązków stron postępowania. W celu ustalenia stanu faktycznego i realizacji zasady prawdy obiektywnej organ obowiązany jest do zebrania i wszechstronnego rozpatrzenia całego materiału dowodowego. Zebranie wszystkich potrzebnych dowodów obliguje organ do ich całościowej oceny (art. 7, art. 77 § 1, art. 80 k.p.a.). Następnie, rolą organu jest przedstawienie w uzasadnieniu podjętego rozstrzygnięcia faktów, które uznał za udowodnione, dowodów, na których się oparł, oraz przyczyn, z powodu których innym dowodom odmówił wiarygodności i mocy dowodowej. W uzasadnieniu prawnym organ winien zaś wyjaśnić podstawę prawną decyzji, z przytoczeniem przepisów prawa (art. 107 § 3 k.p.a.).
W ocenie Sądu, organ nie uczynił zadość obowiązkom, wynikającym z powyższych przepisów procesowych. Analiza zaskarżonej decyzji wskazuje, iż orzekając w niniejszej sprawie organ pominął okoliczność, że skarżący bank związany jest przepisami prawa bankowego, nakładających na niego szereg obowiązków, w tym szczególny obowiązek zachowania tajemnicy bankowej. Zgodnie art. 104 ust. 1 p.b. (stanowiącym legalną definicję tajemnicy bankowej), bank, osoby w nim zatrudnione oraz osoby, za których pośrednictwem bank wykonuje czynności bankowe, są obowiązane zachować tajemnicę bankową, która obejmuje wszystkie informacje dotyczące czynności bankowej, uzyskane w czasie negocjacji, w trakcie zawierania i realizacji umowy, na podstawie której bank tę czynność wykonuje. Bank ma dostęp do informacji o dochodach, wydatkach, oszczędnościach, inwestycjach czy transakcjach, które stanowią ważny element prywatności ich klientów, a których ujawnienie mogłoby mieć doniosłe konsekwencje dla interesów klientów, ich bezpieczeństwa, czy pozycji konkurencyjnej na rynku. Z uwagi na doniosłość konsekwencji, mogących powstać w przypadku ujawnienia danych objętych tajemnicą osobom nieuprawnionym, ochrona tajemnicy bankowej może być uchylona tylko w przypadkach określonych prawem (art. 104 ust. 2 i n.p.b), a bank ponosi odpowiedzialność za szkody wynikające z ujawnienia tajemnicy bankowej i wykorzystania jej niezgodnie z przeznaczeniem. Ochrona informacji stanowiących tajemnicę bankową zabezpieczona jest też sankcją karną.
Ponadto z uwagi na ściśle regulowany charakter działalności, banki związane są rekomendacjami wydawanymi przez Europejski Urząd Nadzoru Bankowego (EBA) i Komisję Nadzoru Finansowego (KNF). W przypadku bezpieczeństwa teleinformatycznego zastosowanie ma Rekomendacja D, wydana przez KNF w styczniu 2013 r., dotycząca zarządzania obszarami technologii informacyjnej i bezpieczeństwa środowiska teleinformatycznego w bankach, która precyzuje lub nakłada dodatkowe obowiązki na banki w tym zakresie. Zgodnie z ww. Rekomendacją D, w zakresie obowiązków weryfikacyjnych bank powinien w szczególności określić i stosować możliwie niezawodne metody i środki potwierdzenia tożsamości i uprawnień klientów, korzystających z elektronicznych kanałów dostępu, minimalizujące ryzyko udzielenia dostępu nieupoważnionym osobom, a dobór tych metod powinien być poprzedzony analizą ryzyka związanego z komunikacją danym kanałem.
Bank został uznany za operatora usług kluczowych, zgodnie z UKSC oraz rozporządzeniem Rady Ministrów z 11 września 2018 r. w sprawie wykazu usług kluczowych oraz progów istotności skutku zakłócającego incydentu dla świadczenia usług kluczowych (Dz. U. z 2018 r. poz. 1806). Na podstawie tych przepisów bank jest zobowiązany do stosowania podwyższonych standardów cyberbezpieczeństwa i przeciwdziałania cyberprzestępstwom. W tym celu zobowiązany jest do wdrożenia szczególnych mechanizmów bezpieczeństwa informacji i zabezpieczenia ich przed dostępem podmiotów nieuprawnionych, zgodnie z obowiązującym go, podwyższonym standardem staranności. Konsekwencją podlegania przez bank ww. przepisom szczególnym, nakładającym nań dodatkowe obowiązki w zakresie przetwarzania informacji i cyberbezpieczeństwa, było wdrożenie procedur uniemożliwiających wydanie informacji i kopii danych do momentu uzyskania całkowitej pewności co do tożsamości podmiotu żądającego.
Orzekając w postępowaniu poprzedzającym wydanie zaskarżonej decyzji organ pominął ww. okoliczności, czym niewątpliwie uchybił przepisom postępowania w zakresie prawidłowego ustalenia stanu faktycznego sprawy. Okoliczności te pominął także w treści zaskarżonej decyzji. Wbrew obowiązkom wynikającym z treści
art. 7, art. 77 § 1 i art. 80 k.p.a., organ nie przeprowadził w sposób należyty postępowania dowodowego, w związku z czym jego ocena była wadliwa i skutkowała wydaniem błędnej decyzji.
Okoliczność, że korespondencja kierowana do wnioskodawcy na adres poczty elektronicznej [...], jak i na adres [...] trafia do skrzynki w ramach tego samego konta poczty elektronicznej, została przyjęta przez organ na podstawie regulaminu portalu internetowego, znajdującego się pod adresem [...]. Organ nie wyjaśnił jednak dlaczego ww. dokument ma zastosowanie w odniesieniu do poczty elektronicznej wnioskodawcy (jako klienta banku, w odniesieniu do czynności bankowych) oraz dlaczego oceniał jego treść w archiwalnym brzmieniu. Jednocześnie zaniechał wezwania tak wnioskodawcy jak i podmiotu dostarczającego pocztę na portalu tlen.pl lub o2.pl do złożenia wyjaśnień.
Istota niniejszej sprawy dotyczyła oceny działań banku w sytuacji, gdy dane identyfikacyjne zawarte we wniosku wnioskodawcy z dnia [...] lipca 2018 r., nie zgadzały się z danymi zawartymi w systemie banku. Mimo próśb i informacji, wnioskodawca nie zaktualizował swoich danych (nie zmienił/ nie zaktualizował adresu mailowego) widniejącego w systemie banku w danych na jego koncie i z tej przyczyny bank nie wysłał żądanych informacji na niezweryfikowany adres mailowy.
Zdaniem Sądu analiza materiału dowodowego zebranego w postępowaniu administracyjnym wskazuje, że bank działał prawidłowo, uwzględniając wewnętrzne procedury, regulujące m.in. kwestię zmiany danych klientów. Tak długo, jak klient banku nie zmieni danych kontaktowych w systemie banku na swoim koncie (co można zrobić przez internet poprzez logowanie do własnego konta lub w placówce), tak długo bank nie może udostępnić kopii danych, chronionych przepisami o ochronie danych osobowych oraz przepisami dotyczącymi tajemnicy bankowej, na nieuwierzytelniony adres email.
Organ nie wyjaśnił przekonująco dlaczego uznał, że konta poczty elektronicznej wnioskodawcy rzeczywiście działały sposób określony przez organ, tj. że w przypadku kont funkcjonujących w kilku domenach, faktycznie wysłanie wiadomości na adres email w jednej domenie umożliwiało jego odebranie przez użytkownika mającego konto w innej domenie. Takie twierdzenia mógłby wyjaśnić ewentualnie tylko biegły, który dokonałby oceny z uwzględnieniem rynkowych i technologicznych standardów bezpieczeństwa, czego nie miał możliwości uczynić Prezes UODO.
Przeciętny użytkownik internetu, w szczególności poczty elektronicznej, jest informowany o konieczności każdorazowego sprawdzenia dokładnie każdej litery i rozszerzenia, występującego w adresie mail, aby uniknąć wysłania maila do przypadkowej osoby albo by nie przekazać danych hakerom czy w ogóle nieuprawnionym osobom. Tego rodzaju informacje są wielokrotnie przekazywane przez UOKiK i wiele różnych instytucji, a nawet szkoły, zwracające uwagę dzieciom na negatywne konsekwencje pomyłki w adresie mailowym czy adresie strony internetowej, mogące skutkować nie tylko kradzieżą danych, ale kradzieżą pieniędzy, zgromadzonych na kontach bankowych. Tymczasem organ dokonał sprzecznego z logiką i doświadczeniem życiowym ustalenia, że konta z różnym rozszerzeniem (tlen.pl i o2.pl) pochodzą w sumie z tej samej domeny i należy je traktować jako należące do jednego użytkownika.
W konsekwencji wykonanie decyzji organu doprowadziłoby bank do naruszenia przepisów prawa bankowego, które nakazują zmianę adresu klienta do korespondencji tylko i wyłącznie po prawidłowym i zgodnym z przepisami zweryfikowaniu danych kontaktowych przez klienta. Wymagania w tym zakresie nie są nadmiernie uciążliwe, bo wystarczy zalogować się przez internet na swoim koncie w banku i zmienić dane kontaktowe. P. C. jednak konsekwentnie tych danych nie zmieniał, a bank został obciążony negatywnymi konsekwencjami jego zaniechania. Biorąc pod uwagę dotychczasowe orzecznictwo PUODO w analogicznych sprawach, znane Sądowi z urzędu, gdyby bank wysłał żądane informacje na niezweryfikowany adres, PUODO ukarałby bank za naruszenie danych osobowych klienta (jak to uczynił w sprawie powoływanej w skardze, dotyczącej przesłania danych na adres omyłkowo podany przez klienta- podczas gdy Warta nie ponosiła odpowiedzialności za omyłkę klienta).
Zgodnie z art. 6 ust. 1 rozporządzenia 2016/679, przetwarzanie danych osobowych jest zgodne z prawem, gdy jest niezbędne do wykonania umowy, której stroną jest osoba, której dane dotyczą, lub do podjęcia działań na żądanie osoby, której dane dotyczą, przed zawarciem umowy (lit. b), a także gdy jest niezbędne do celów wynikających z prawnie uzasadnionych interesów, realizowanych przez administratora lub przez stronę trzecią, z wyjątkiem sytuacji, w których nadrzędny charakter wobec tych interesów mają interesy lub podstawowe prawa i wolności osoby, której dane dotyczą, wymagające ochrony danych osobowych, w szczególności gdy osoba, której dane dotyczą, jest dzieckiem (lit. f).
Według treści art. 15 ust. 1 rozporządzenia 2016/679 osoba, której dane dotyczą, jest uprawniona do uzyskania od administratora potwierdzenia, czy przetwarzane są dane osobowe jej dotyczące, a jeżeli ma to miejsce, jest uprawniona do uzyskania dostępu do nich oraz następujących informacji: a) cele przetwarzania; b) kategorie odnośnych danych osobowych; c) informacje o odbiorcach lub kategoriach odbiorców, którym dane osobowe zostały lub zostaną ujawnione, w szczególności o odbiorcach w państwach trzecich lub organizacjach międzynarodowych; d) w miarę możliwości planowany okres przechowywania danych osobowych, a gdy nie jest to możliwe, kryteria ustalania tego okresu; e) informacje o prawie do żądania od administratora sprostowania, usunięcia lub ograniczenia przetwarzania danych osobowych dotyczącego osoby, której dane dotyczą, oraz do wniesienia sprzeciwu wobec takiego przetwarzania; f) informacje o prawie wniesienia skargi do organu nadzorczego; g) jeżeli dane osobowe nie zostały zebrane od osoby, której dane dotyczą - wszelkie dostępne informacje o ich źródle; h) informacje o zautomatyzowanym podejmowaniu decyzji, w tym o profilowaniu, o którym mowa w art. 22 ust. 1 i 4, oraz - przynajmniej w tych przypadkach - istotne informacje o zasadach ich podejmowania, a także o znaczeniu i przewidywanych konsekwencjach takiego przetwarzania dla osoby, której dane dotyczą. Przepis art. 15 ust. 3 rozporządzenia 2016/679 stanowi, że administrator dostarcza osobie, której dane dotyczą, kopię danych osobowych podlegających przetwarzaniu. Za wszelkie
kolejne kopie, o które zwróci się osoba, której dane dotyczą, administrator może pobrać opłatę w rozsądnej wysokości wynikającej z kosztów administracyjnych. Jeżeli osoba, której dane dotyczą, zwraca się o kopię drogą elektroniczną i jeżeli nie zaznaczy inaczej, informacji udziela się w powszechnie stosowanej formie elektronicznej.
Zgodnie z regulacją art. 12 ust. 6 rozporządzenia 2016/679, bez uszczerbku dla art. 11, jeżeli administrator ma uzasadnione wątpliwości co do tożsamości osoby fizycznej składającej żądanie, o którym mowa w art. 15-21, może zażądać dodatkowych informacji niezbędnych do potwierdzenia tożsamości osoby, której dane dotyczą.
Przepis art. 24 ust. 1 rozporządzenia 2016/679 (określający obowiązki administratora) stanowi też, że uwzględniając charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie i wadze, administrator wdraża odpowiednie środki techniczne i organizacyjne, aby przetwarzanie odbywało się zgodnie z niniejszym rozporządzeniem i aby móc to wykazać. Środki te są w razie potrzeby poddawane przeglądom i uaktualniane.
Z regulacji art. 32 ust. 1 i 2 rozporządzenia 2016/679 (dotyczącej bezpieczeństwa przetwarzania) wynika natomiast, że uwzględniając stan wiedzy technicznej, koszt wdrażania oraz charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie wystąpienia i wadze, administrator i podmiot przetwarzający wdrażają odpowiednie środki techniczne i organizacyjne, aby zapewnić stopień bezpieczeństwa odpowiadający temu ryzyku, w tym między innymi w stosownym przypadku: a) pseudonimizację i szyfrowanie danych osobowych; b) zdolność do ciągłego zapewnienia poufności, integralności, dostępności i odporności systemów i usług przetwarzania; c) zdolność do szybkiego przywrócenia dostępności danych osobowych i dostępu do nich w razie incydentu fizycznego lub technicznego;
d) regularne testowanie, mierzenie i ocenianie skuteczności środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzania. Oceniając, czy stopień bezpieczeństwa jest odpowiedni, uwzględnia się w szczególności ryzyko wiążące się z przetwarzaniem, w szczególności wynikające z przypadkowego lub niezgodnego z prawem zniszczenia, utraty, modyfikacji, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych.
Odnosząc powyższe regulacje prawne do stanu faktycznego niniejszej sprawy Sąd stwierdza, że pomimo bezwarunkowego prawa osoby fizycznej do uzyskania informacji, czy administrator przetwarza jej dane osobowe, bank nie jest uprawniony do udostępnienia danych, objętych tajemnicą bankową jakiejkolwiek osobie bez uprzedniego zweryfikowania, czy jest to osoba uprawniona do otrzymania takich danych. Jakiekolwiek wątpliwości banku jako administratora danych osobowych w tej kwestii wymagają podjęcia działań weryfikacyjnych, przewidzianych m.in. w art. 12 ust. 6 rozporządzenia 2016/679.
Powyższe ustalenie skutkuje uznaniem, że nieprawidłowa była ocena organu uznająca, że podjęte przez bank działania, mające na celu weryfikację danych wnioskodawcy, stanowią w istocie odmowę realizacji prawa do uzyskania kopii danych. Wnioskodawca jako klient banku nie dopełnił, wynikającego z umów zawartych pomiędzy nim i bankiem, obowiązku poinformowania o każdej zmianie danych osobowych, w tym zmianie adresu do korespondencji. W systemie informatycznym banku wnioskodawca przypisany miał adres poczty elektronicznej [...], tj. adres przekazany w związku z zawarciem i wykonywaniem umów łączących strony. Natomiast wniosek wnioskodawcy z dnia [...] lipca 2018 r. złożony został z adresu [...].
Zdaniem Sądu, wezwanie wnioskodawcy przez bank do złożenia dodatkowych informacji, niezbędnych do potwierdzenia tożsamości jego osoby, w sytuacji gdy bank miał uzasadnione wątpliwości co do tożsamości adresata wniosku, miało umocowanie w regulacji art. 12 ust. 6 rozporządzenia 2016/679. Sposób działania banku miał oparcie zarówno w obowiązujących procedurach wewnętrznych, procedurach związanych z bezpieczeństwem teleinformatycznym, standardami cyberbezpieczeństwa, jak i w przepisach rozporządzenia 2016/679 i prawa bankowego. Podjęte przez bank działania zmierzały do ustalenia/weryfikacji/ aktualizacji danych kontaktowych wnioskodawcy, co było konieczne do prawidłowej realizacji obowiązku informacyjnego, o którym mowa w art. 15 ust. 3 rozporządzenia 2016/679.
Okoliczność, że bank częściowo zweryfikował tożsamość wnioskodawcy - po jego imieniu i nazwisku, i przekazał mu informację na posiadany w zasobach adres e-mail, dowodzi, że nie była to weryfikacja kompletna i pozwalająca na przesłanie szczegółowych informacji w zakresie kopii danych, na niezweryfikowany adres e-mail. Przeprowadzona weryfikacja wykazywała bowiem tożsamość danych jedynie w zakresie imienia i nazwiska wnioskodawcy, natomiast porównanie adresów do korespondencji – w zakresie poczty elektronicznej wykazało rozbieżność i nie pozwalało na realizację wniosku wnioskodawcy. Hipotetycznie bowiem osób o tym samym imieniu i nazwisku w Polsce może być wiele, w związku z czym bank nie może opierać się tylko na tych danych.
W ocenie Sądu przedstawione wyżej rozważania, dotyczące nieprawidłowego ustalenia stanu faktycznego sprawy i jego oceny w kontekście obowiązujących przepisów prawa prowadzą do wniosku, że nakaz zawarty w pkt 1 sentencji decyzji nie jest prawidłowy, a skarga banku jest zasadna. Dostrzeżone na skutek wniesionej skargi błędy zaskarżonej decyzji musiały spowodować jej uchylenie, gdyż organ dopuścił się naruszenia art. 7, art. 77 § 1 i art. 80 k.p.a. w związku z art. 107 § 3 k.p.a. w stopniu mogącym mieć istotny wpływ na wynik sprawy (art. 145 § 1 pkt 1 lit. c p.p.s.a.). Sąd nie znalazł natomiast podstaw do stwierdzenia nieważności zaskarżonej decyzji w zakresie punktu 1 na podstawie art. 156 § 1 k.p.a. (art. 145 § 1 pkt 2 p.p.s.a.).
Mając na uwadze powołane okoliczności, Sąd działając na podstawie art. 145 § 1 pkt 1 lit. c p.p.s.a. orzekł o uchyleniu zaskarżonej decyzji (w pkt 1 sentencji wyroku).
O kosztach postępowania obejmujących wynagrodzenie za czynności adwokackie (480 zł), wpis sądowy od skargi (200 zł) oraz opłatę skarbową od pełnomocnictwa (17 z), Sąd orzekł na podstawie art. 200 w zw. z art. 205 § 2 powyższej ustawy oraz § 14 ust. 1 pkt 1 lit. c rozporządzenia Ministra Sprawiedliwości z dnia 22 października 2015 r. w sprawie opłat za czynności adwokackie (Dz. U. z 2015 r. poz. 1800, w pkt 2 sentencji wyroku).