II SA/WA 601/24

II SA/Wa 601/24 - Wyrok WSA w Warszawie
Data orzeczenia
2024-11-28
orzeczenie nieprawomocne
Data wpływu
2024-04-22
Sąd
Wojewódzki Sąd Administracyjny w Warszawie
Sędziowie
Andrzej Kołodziej /przewodniczący/
Joanna Kruszewska-Grońska
Mateusz Rogala /sprawozdawca/
Symbol z opisem
647  Sprawy związane z ochroną danych osobowych
Hasła tematyczne
Ochrona danych osobowych
Skarżony organ
Generalny Inspektor Ochrony Danych Osobowych
Treść wyniku
Oddalono skargę
Powołane przepisy
Dz.U. 2022 poz 2000
art.107 par. 1, art.138 par. 2
Ustawa z dnia 14 czerwca 1960 r. Kodeks postępowania administracyjnego - t.j.
Dz.U. 2024 poz 935
art. 3 par 2 pkt. 1,  art. 134, art. 151.
Ustawa z dnia 30 sierpnia 2002 r. Prawo o postępowaniu przed sądami administracyjnymi (t. j.)
Sentencja
Wojewódzki Sąd Administracyjny w Warszawie w składzie następującym: Przewodniczący Sędzia WSA Andrzej Kołodziej, Sędzia WSA Joanna Kruszewska-Grońska, Asesor WSA Mateusz Rogala (spr.), , Protokolant referent Marta Stec, po rozpoznaniu na rozprawie w dniu 28 listopada 2024 r. sprawy ze skargi [...] S.A. z siedzibą w W. na decyzję Prezesa Urzędu Ochrony Danych Osobowych z dnia [...] lutego 2024 r. nr [....] w przedmiocie przetwarzania danych osobowych oddala skargę
Uzasadnienie
Zaskarżoną do Wojewódzkiego Sądu Administracyjnego w Warszawie decyzją z dnia [...] lutego 2024 r. nr [...] Prezes Urzędu Ochrony Danych Osobowych, działając m.in. na podstawie art. 7 ust. 1 i 2 ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych (Dz. U. z 2019 r., poz. 1781, powoływanej dalej jako u.o.d.o.), art. 6 ust. 1 lit. c) oraz art. 58 ust. 2 rozporządzenia Parlamentu Europejskiego i Rady (UE) nr 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz. Urz. UE L 119 z 4.05.2016, str. 1, powoływanego dalej jako RODO), w pkt 1 odmówił uwzględnienia wniosku A. D. w zakresie skargi na nieprawidłowości w procesie przetwarzania jej danych osobowych przez [...] S.A. z siedzibą w W., polegające na przetwarzaniu jej danych osobowych bez podstawy prawnej; a w pkt 2 umorzył postępowanie w pozostałym zakresie, tj. pozyskania w czerwcu 2021 r. danych osobowych A. D. z kopii dowodu osobistego.
W uzasadnieniu swojego rozstrzygnięcia organ podniósł, że skarga A. D. dotyczyła zdarzenia, które miało mieć miejsce w czerwcu 2021 r., gdy podczas wizyty w oddziale [...] pracownik banku bez jej zgody zeskanował jej dowód osobisty. Skarżąca zawnioskowała o likwidację skanu jej dowodu osobistego, ponieważ obawia się o swoje bezpieczeństwo finansowe.
W toku postępowania bank wyjaśnił, że pozyskał dane osobowe A. D. w związku z fuzją z K. S.A. W wyniku sukcesji praw i obowiązków bank stał się stroną umowy ze skarżącą (umowa rachunku osobistego zawarta w dniu [...] grudnia 2005 r.). Bank podniósł, że pozyskał dane osobowe skarżącej w zakresie: dane identyfikacyjne, teleadresowe, PESEL, numer i seria dowodu tożsamości, dane produktowe. Podstawą przetwarzania danych osobowych skarżącej był art. 6 ust. 1 lit. b) rozporządzenia nr 2016/679. Bank wyjaśnił, że aktualnie produkty/usługi określone w zawartej ze skarżącą umową są nieaktywne. Bank obecnie przetwarza dane osobowe skarżącej na podstawie art. 6 ust. 1 lit. c) i f) rozporządzenia nr 2016/679 w celu wypełniania obowiązków prawnych wynikających z ustawy z dnia 29 września 1994 r. o rachunkowości (Dz. U. 2023 r., poz. 120 ze zm.) oraz ustawy z dnia 1 marca 2018 r. o przeciwdziałaniu praniu pieniędzy i finansowaniu terroryzmu (Dz. U. z 2023 r., poz. 1124).
Ponadto bank wskazał, że dane osobowe skarżącej będą przetwarzane przez okres 5 lat, liczony od początku 2022 r. (rok następujący po roku w którym rachunek został zamknięty) oraz w celach wynikających z prawnie uzasadnionych interesów realizowanych przez bank, w szczególności do obsługi postępowania reklamacyjnego, skarg oraz ustalenia, dochodzenia lub obrony roszczeń. W tym celu dane będą przetwarzane do upływu okresów przedawnienia ewentualnych roszczeń mogących wynikać z umów, które obowiązywały pomiędzy skarżącą a bankiem.
W dalszej części uzasadnienia swojego rozstrzygnięcia organ wyjaśnił, że proces przetwarzania danych osobowych skarżącej jest obecnie niezbędny do wykonania przez bank obowiązków prawnych wynikających z art. 49 ust. 1 ustawy AML oraz art. 74 ust. 2 pkt 4 ustawy o rachunkowości, a tym samym spełniona została przesłanka z art. 6 ust. 1 lit. c) rozporządzenia nr 2016/679.
W ocenie organu, wątpliwości budzi natomiast powołany przez bank jako podstawa prawna przetwarzania danych osobowych skarżącej prawnie usprawiedliwiony cel - art. 6 ust. 1 lit. f) rozporządzenia nr 2016/679. Bank rozumie pod pojęciem prawnie usprawiedliwionego celu w szczególności obronę przed ewentualnymi roszczeniami w okresie przedawnienia roszczeń. W ocenie organu, powyższe uzasadnienie nie jest wystarczające dla uznania spełnienia przesłanki z art. 6 ust. 1 lit. f) rozporządzenia. Przesłanka ta dotyczy bowiem sytuacji już istniejącej, w której celem wynikającym z prawnie uzasadnionych interesów realizowanych przez administratora jest konieczność udowodnienia, potrzeba dochodzenia lub obrony przed roszczeniem istniejącym, nie zaś sytuacji, gdy dane są przetwarzane w celu zabezpieczenia się przed ewentualnym roszczeniem. Przetwarzanie danych osobowych skarżącej na tej podstawie ma charakter przetwarzania wyłącznie "na zapas", tym samym brak jest podstaw prawnych do przetwarzania danych osobowych skarżącej przez bank w ww. celu. Jednakże z uwagi na spełnienie innych przesłanek legalizujących przetwarzanie przez bank danych osobowych skarżącej, brak jest obecnie podstaw do nakazania ich usunięcia.
Z tej przyczyny organ w pkt 1 zaskarżonej decyzji odmówił uwzględnienia wniosku A. D..
Uzasadniając natomiast rozstrzygnięcie zawarte w pkt 2 zaskarżonej decyzji, organ wyjaśnił, że bank kategorycznie zaprzeczył, aby miał miejsce proces przetwarzania danych osobowych skarżącej zawartych w kopii dowodu osobistego, która zdaniem skarżącej wykonana została przez bank w czerwcu 2021 r. Organ dysponuje w tym zakresie wyłącznie sprzecznymi oświadczeniami stron. Z powyższych względów brak jest podstaw by uznać, że kwestionowany przez skarżącą proces przetwarzania jej danych osobowych zawartych w sporządzonej w czerwcu 2021 r. kopii jej dowodu osobistego zaistniał. Postępowanie w tym zakresie podlegało zatem umorzeniu na podstawie art. 105 § 1 ustawy z dnia 14 czerwca 1960 r. – Kodeks postępowania administracyjnego (Dz. U. z 2023 r., poz. 775 ze zm.).
[...] S.A. wniósł na powyższą decyzję skargę do Wojewódzkiego Sądu Administracyjnego w Warszawie, zaskarżając ją w całości.
Bank zarzucił decyzji naruszenie:
1. art. 6 ust. 1 lit. f) rozporządzenia nr 2016/679, poprzez błędną interpretację, a w konsekwencji uznanie, że przetwarzanie danych osobowych w celu ustalenia, dochodzenia lub obrony roszczeń nie stanowi prawnie uzasadnionego interesu banku podczas, gdy bank przetwarza dane uczestnika postępowania w okresie przedawnienia roszczeń cywilnych przez okres wynikających z przepisów ustawy z dnia 23 kwietnia 1964 r. - Kodeks cywilny (powoływanej dalej jako k.c.);
2. art. 6 ust. 1 lit. f) rozporządzenia nr 2016/679 w zw. z art. 117 § 2 i 21, art. 118 i art. 119 k.c., polegające na jego niewłaściwym zastosowaniu i przyjęciu, jakoby przechowywanie danych przez okres przedawnienia roszczeń - również, gdy ani administrator ani osoba, której dane dotyczą, nie zgłosiła jeszcze roszczenia, nie stanowi prawnie uzasadnionego interesu banku, w rozumieniu art. 6 ust. 1 lit. f) rozporządzenia nr 2016/679; podczas gdy przepisy te uprawniają bank do przetwarzania danych osobowych w celu ustalenia, dochodzenia lub ochrony przed roszczeniami;
3. art. 6 i art. 7 in principio k.p.a. oraz art. 7 Konstytucji RP poprzez przekroczenie kompetencji organu i arbitralne stwierdzenie, że pomiędzy stronami umowy o produkt bankowy, nie istnieją bądź nie mogły powstać roszczenia o charakterze cywilnoprawnym, podczas gdy to nie Prezes Urzędu Ochrony Danych Osobowych jest organem kompetentnym do rozstrzygania tejże materii, lecz sąd powszechny;
4. art. 107 § 3 k.p.a. w zw. z art. 8 i art. 9 k.p.a. z uwagi na brak właściwego uzasadnienia prawnego decyzji, we fragmencie odnoszącym się do analizy podstawy do przetwarzania przez bank danych osobowych w oparciu o art. 6 ust. 1 lit. f) rozporządzenia nr 2016/679, poprzez uznanie, że bank nie może przetwarzać danych uczestnika postępowania w oparciu o tę regulację;
5. art. 107 § 3 k.p.a. w zw. z art. 8 w zw. z art. 1 k.p.a. poprzez wyjście w ramach uzasadnienia decyzji poza ramy prawne skargi podmiotu danych oraz poza ramy prawne sprawy administracyjnej, a w konsekwencji niedopuszczalną i arbitralną ingerencję w sferę roszczeń cywilnoprawnych oraz bezzasadne uzależnienie istnienia podstawy przetwarzania danych od stwierdzonej wierzytelności;
6. art. 58 ust. 2 lit. b) w zw. art. 51 ust. 1, art. 55 ust. 1, art. 57-58 rozporządzenia nr 2016/679 poprzez przekroczenie swoich kompetencji i ocenę istnienia roszczeń cywilnoprawnych pomiędzy bankiem a podmiotem danych, podczas gdy taka ocena leży wyłącznie w sferze kompetencji sądu cywilnego w ramach rozpatrywania sprawy cywilnej i w konsekwencji nieuprawnione przyjęcie braku podstawy przetwarzania danych w celu obrony przed roszczeniami.
Mając na uwadze powyższe zarzuty bank wniósł o stwierdzenie nieważności zaskarżonej decyzji, ewentualnie o jej uchylenie i przekazanie sprawy organowi do ponownego rozpatrzenia, a także o zasądzenie kosztów postępowania.
W uzasadnieniu skargi bank podniósł, że uznaje rozstrzygnięcie sprawy za prawidłowe, jednak nie zgadza się z zawartym w uzasadnieniu zaskarżonej decyzji twierdzeniem organu, iż przetwarzanie danych osobowych uczestnika postępowania, przez skarżącego, nie znajduje oparcia w art. 6 ust. 1 lit. f) rozporządzenia nr 2016/679. Zdaniem skarżącego, wskazany fragment uzasadnienia zaskarżonej decyzji i wyrażona tam ocena faktów i prawa (jako jeden z przykładów odniesienia się organu do kwestii przedawnienia roszczeń) może wpłynąć, w jego ocenie bezprawnie, na jego dalszą sytuację prawną.
Skarżący zwrócił uwagę, że obecne przetwarzanie danych uczestnika postępowania przez bank w celu ustalenia, dochodzenia lub obrony przed roszczeniami wynika z faktu, że strony łączyły umowy. Nie sposób uznać, aby uczestnik postępowania nie mógł spodziewać się dalszego przetwarzania w związku z potencjalnymi roszczeniami wynikającymi z zawartych z bankiem umów, tym bardziej, że cel przetwarzania może leżeć także w jego interesie, bowiem przechowywane dane mogą służyć do prawidłowej oceny ewentualnego roszczenia. Skarżący zauważył, że rozporządzenie nr 2016/679 w żadnym miejscu nie uzależnia przetwarzania danych osobowych w celu ustalenia, dochodzenia lub obrony roszczeń od zgłoszenia takiego roszczenia. Dotyczy to m.in. przepisów dot. realizacji prawa do bycia zapomnianym.
Na poparcie swojego stanowiska bank przywołał orzeczenia Trybunału Sprawiedliwości Unii Europejskiej oraz sądów administracyjnych, a także decyzje organu wydawane w innych sprawach.
W odpowiedzi na skargę organ wniósł o jej oddalenie, powołując się na wyroki sądów administracyjnych wydane w analogicznych sprawach, w których stanowisko banku nie zostało podzielone.
Wojewódzki Sąd Administracyjny w Warszawie, zważył co następuje:
Skarga nie zasługuje na uwzględnienie.
Przedmiot sporu w tej sprawie sprowadza się w istocie do oceny prawidłowości dokonanej przez organ w uzasadnieniu zaskarżonej decyzji oceny, że art. 6 ust. 1 lit. f) rozporządzenia nr 2016/679 nie stanowił dla skarżącego banku podstawy do przetwarzania danych osobowych uczestniczki postępowania. Bank kwestionuje konstatację organu, że jako prawnie usprawiedliwiony cel przetwarzania danych nie może być uznana konieczność obrony przed ewentualnymi roszczeniami w okresie przedawnienia roszczeń.
Na wstępie należy stwierdzić, że dopuszczalne jest zaskarżenie samego uzasadnienia decyzji administracyjnej. Potwierdza to bowiem orzecznictwo sądów administracyjnych, w tym Naczelnego Sądu Administracyjnego trafnie przywołane w tym zakresie przez bank w skardze. Stosownie do art. 107 § 1 k.p.a. uzasadnienie jest częścią składową decyzji. Z uwagi na funkcję zewnętrzną uzasadnienia, tzn. jego wpływ na postępowanie w innych sprawach, czy też funkcję wewnętrzną, uwidaczniającą się szczególnie w decyzjach kasacyjnych wydanych w oparciu o art. 138 § 2 k.p.a., dopuszczalne jest zaskarżenie samego uzasadnienia w trybie administracyjnym, jak również dopuszczalna jest skarga do sądu administracyjnego (zob. wyrok Naczelnego Sądu Administracyjnego z dnia 20 maja 1998 r. sygn. akt I SA 1896/97, wszystkie powoływane orzeczenia są dostępne w internetowej bazie orzeczeń sądów administracyjnych). W wyroku z dnia 6 sierpnia 2020 r. sygn. akt II SA/Wa 2222/19 Wojewódzki Sąd Administracyjny w Warszawie stwierdził, że skoro zgodnie z art. 107 § 1 k.p.a. uzasadnienie decyzji administracyjnej stanowi konieczny i istotny jej element, będący "zwykłą" i "niezbędną" jej częścią w sensie składnika decyzji (i w tym kontekście część równoważną z punktu widzenia znaczenia z samą osnową decyzji), to tym samym skarga na uzasadnienie decyzji, jak też sądowa kontrola tego uzasadnienia, mieści się w zakresie kognicji sądów administracyjnych jako orzekanie w sprawach skarg na decyzje administracyjne w rozumieniu art. 3 § 2 pkt 1 p.p.s.a. W konsekwencji wniesienie skargi na uzasadnienie decyzji stanowi w istocie skargę na decyzję, albowiem na skutek skargi sąd rozpoznaje sprawę, której przedmiotem jest - w myśl art. 134 p.p.s.a. - ocena decyzji pod względem zgodności z prawem, a nie tylko jej fragmentu obejmującego uzasadnienie.
Sąd w składzie rozpoznającym niniejszą sprawę uważa, że stanowisko organu w kwestionowanym przez skarżącego zakresie jest zasadne.
Stan faktyczny tej sprawy jest co do zasady bezsporny. Skarżący pozyskał dane osobowe A. D. w związku z fuzją z K. S.A. W wyniku sukcesji praw obowiązków [...] stał się stroną zawartej z uczestniczką postępowania w dniu [...] grudnia 2005 r. umowy rachunku osobistego. Bank podniósł, że pozyskał dane osobowe strony w zakresie: dane identyfikacyjne, teleadresowe, PESEL, numer i seria dowodu tożsamości, dane produktowe. Umowa zawarta pomiędzy uczestniczką postępowania i bankiem przestała obowiązywać z dniem [...] lipca 2021 r. (wyjaśnienia banku zawarte w piśmie z dnia 9 sierpnia 2021 r. – k. 37-39 akt administracyjnych). Te wyjaśnienia banku organ uznał za wiarygodne i nie zakwestionował ich w zaskarżonej decyzji.
Dokonując oceny zgodności z prawem zaskarżonej decyzji, należy wskazać, że zgodnie z motywem 40 rozporządzenia nr 2016/679, aby przetwarzanie danych było zgodne z prawem, powinno się odbywać na podstawie zgody osoby, której dane dotyczą, lub na innej uzasadnionej podstawie przewidzianej prawem: albo w niniejszym rozporządzeniu, albo w innym akcie prawnym Unii lub w prawie państwa członkowskiego, o których mowa w niniejszym rozporządzeniu, w tym musi się ono odbywać z poszanowaniem obowiązku prawnego, któremu podlega administrator, lub z poszanowaniem umowy, której stroną jest osoba, której dane dotyczą, lub w celu podjęcia działań na żądanie osoby, której dane dotyczą, przed zawarciem umowy.
Powyższe znalazło wyraz w art. 6 ust. 1 rozporządzenia nr 2016/679 określającym przesłanki legalności przetwarzania danych osobowych. Zgodnie z tym przepisem, przetwarzanie jest zgodne z prawem wyłącznie w przypadkach, gdy - i w takim zakresie, w jakim - spełniony jest co najmniej jeden z poniższych warunków: a) osoba, której dane dotyczą wyraziła zgodę na przetwarzanie swoich danych osobowych w jednym lub większej liczbie określonych celów; b) przetwarzanie jest niezbędne do wykonania umowy, której stroną jest osoba, której dane dotyczą, lub do podjęcia działań na żądanie osoby, której dane dotyczą, przed zawarciem umowy; c) przetwarzanie jest niezbędne do wypełnienia obowiązku prawnego ciążącego na administratorze; d) przetwarzanie jest niezbędne do ochrony żywotnych interesów osoby, której dane dotyczą, lub innej osoby fizycznej; e) przetwarzanie jest niezbędne do wykonania zadania realizowanego w interesie publicznym lub w ramach sprawowania władzy publicznej powierzonej administratorowi; f) przetwarzanie jest niezbędne do celów wynikających z prawnie uzasadnionych interesów realizowanych przez administratora lub przez stronę trzecią, z wyjątkiem sytuacji, w których nadrzędny charakter wobec tych interesów mają interesy lub podstawowe prawa i wolności osoby, której dane dotyczą, wymagające ochrony danych osobowych, w szczególności gdy osoba, której dane dotyczą, jest dzieckiem. Akapit pierwszy lit. f) nie ma zastosowania do przetwarzania, którego dokonują organy publiczne w ramach realizacji swoich zadań.
Odnosząc się do zarzutów skargi. należy podkreślić, że art. 6 ust. 1 lit. f) rozporządzenia nr 2016/679 stanowi o uprawnieniu do przetwarzania, gdy jest ono niezbędne do celów wynikających z prawnie uzasadnionych interesów realizowanych przez administratora lub przez stronę trzecią, z wyjątkiem sytuacji, w których nadrzędny charakter wobec tych interesów mają interesy lub podstawowe prawa i wolności osoby, której dane dotyczą, wymagające ochrony danych osobowych, w szczególności gdy osoba, której dane dotyczą, jest dzieckiem. Za usprawiedliwiony cel w rozumieniu powołanego przepisu nie może zostać uznane przetwarzanie danych osobowych na wypadek ewentualnego dochodzenia lub obrony roszczeń. Z akt sprawy nie wynika, aby A. D., miała jakiekolwiek roszczenie na drodze cywilnoprawnej do banku. Z akt sprawy i wyjaśnień banku nie wynika, aby wymieniona posiadał w banku zobowiązania (w tym także kredytowe), lub by była na dzień wydania zaskarżonej decyzji posiadaczem rachunku osobistego lub innych produktów bankowych. Z tego względu nie jest dopuszczalne przyjęcie, że to art. 6 ust. 1 lit. f) rozporządzenia nr 2016/679 mógłby stanowić podstawę dla banku do dalszego przetwarzania jej danych na wypadek ewentualnego dochodzenia roszczeń. Odnosząc się do argumentacji banku, należy wskazać, że bank w toku postępowania administracyjnego nie wykazał, nie wynika to też ze skargi, jakich ewentualnie roszczeń chciałby dochodzić od uczestniczki postępowania. Bank nie wskazał, aby A. D. kierowała do niego jakiekolwiek roszczenia.
Jak podkreśla się w orzecznictwie sądów administracyjnych, przesłanka z art. 6 ust 1 lit. f) rozporządzenia nr 2016/679 dotyczy sytuacji już istniejącej, w której celem wynikającym z prawnie uzasadnionych interesów realizowanych, przez administratora jest konieczność udowodnienia, potrzeba dochodzenia lub obrony przed roszczeniem istniejącym, nie zaś sytuacji, gdy dane są przetwarzane w celu zabezpieczenia się przed ewentualnym roszczeniem. Niedopuszczalne jest więc przetwarzanie danych osobowych niejako "na zapas" z założeniem, że mogą być one ewentualnie przydatne w przyszłości oraz z odwołaniem się przy tym do przepisów dotyczących przedawnienia roszczeń cywilnoprawnych (por. wyroki: Wojewódzkiego Sądu Administracyjnego w Warszawie z dnia 12 lipca 2017 r. sygn. akt II SA/Wa 2221/16, Naczelnego Sądu Administracyjnego z dnia 27 sierpnia 2019 r. sygn. akt I OSK 2567/17, Naczelnego Sądu Administracyjnego z dnia 6 marca 2019 r. sygn. akt I OSK 994/17). W niniejszej sprawie skarżący nie powołał się na żadne istniejące w chwili zdarzenia lub w chwili wydawania decyzji roszczenia wynikające z umowy łączącej uprzednio strony. Z tej przyczyny Sąd stwierdził, że sama możliwość powstania roszczenia w związku z rozwiązaną umową nie powoduje, że skarżący posiada prawnie uzasadniony interes w przetwarzaniu danych osobowych uczestnika postępowania na podstawie art. 6 ust. 1 lit. f) rozporządzenia nr 2016/679.
Podnieść należy, że przetwarzanie danych osobowych w oparciu o przesłankę określoną w art. 6 ust. 1 lit. f rozporządzenia nr 2016/679 może odbywać się, gdy przetwarzanie to jest niezbędne do celów wynikających z prawnie uzasadnionych interesów realizowanych przez administratora lub przez stronę trzecią, z wyjątkiem sytuacji, w których nadrzędny charakter wobec tych interesów mają interesy lub podstawowe prawa i wolności osoby, której dane dotyczą, wymagające ochrony danych osobowych. Nie można zaś uznać, że przetwarzanie danych osobowych prowadzone niejako "na wszelki wypadek" jest nadrzędne nad interesami oraz podstawowymi prawami i wolnościami uczestnika postępowania.
Dlatego też nie można zgodzić się ze skarżącym, że obie przesłanki z art. 6 ust. 1 lit. f) rozporządzenia nr 2016/679 zostały spełnione w niniejszej sprawie przy przetwarzaniu danych osobowych A. D. przez bank w celu obrony przed ewentualnymi roszczeniami lub ewentualną potrzebą dochodzenia roszczeń w przyszłości. Słusznie organ podnosi w odpowiedzi na skargę, że przesłanka określona w art. 6 ust. 1 lit. f rozporządzenia nr 2016/679 nie jest ukierunkowana na ochronę interesów sektora bankowego czy też gospodarczego. Legalność przetwarzania danych osobowych w oparciu o tę przesłankę uzależniona jest od tego, czy przetwarzanie to jest niezbędne do celów wynikających z prawnie uzasadnionych interesów realizowanych przez administratora lub przez stronę trzecią, z wyjątkiem sytuacji, w których nadrzędny charakter wobec tych interesów mają interesy lub podstawowe prawa i wolności osoby, której dane dotyczą. Przepis ten nie polega zatem na ochronie wszelkich interesów sektora bankowego. Podobnie jak pozostałe przesłanki wymienione w art. 6 ust. 1 rozporządzenia nr 2016/679 stanowi przesłankę zgodności z prawem procesu przetwarzania. Tym samym chroni przede wszystkim osobę, której proces ten dotyczy przed nieuprawnionym przetwarzaniem jej danych osobowych. Nie można ponadto mówić o zaistnieniu prawnie uzasadnionego interesu w przypadku, gdy dane osobowe przetwarzane są na zapas, na wypadek gdyby taki prawnie uzasadniony interes pojawić się mógł dopiero w przyszłości. Bank niezasadnie skupił się na interesach gospodarczych podmiotów przetwarzających dane osobowe, nie dostrzegając jednocześnie, że z punktu widzenia ochrony danych osobowych dane te mogą być wprawdzie przetwarzane do celów wynikających z prawnie uzasadnionych interesów realizowanych przez administratora lub przez stronę trzecią, ale wyłącznie wówczas, gdy są nadrzędne nad interesami i prawami osoby, której dane dotyczą. Tymczasem sytuacja taka w niniejszej sprawie nie zachodziła, ponieważ ważąc interesy i podstawowe prawa i wolności osoby, której dane dotyczyły, takie jak chociażby gwarantowane (tak na gruncie prawa europejskiego, Konstytucji RP czy prawa cywilnego) prawo do prywatności, z interesem administratora, który dotyczy w tym wypadku zachowania w swych zasobach danych "na wszelki wypadek", tj. na wypadek tego, że mogą się okazać przydatne w przyszłości do dochodzenia lub obrony ewentualnych roszczeń, które obecnie nie istnieją, należało dojść do wniosku, że to interesy i podstawowe prawa i wolności osoby, której dane dotyczą są nadrzędne.
Organ ochrony danych osobowych, wydając swoje rozstrzygnięcie, nie może opierać się na przyszłych niepewnych zdarzeniach, które mogą, lecz nie muszą nastąpić. Organ, wydając decyzję administracyjną, zobowiązany jest do rozstrzygania sprawy w oparciu o stan faktyczny istniejący w chwili wydania tej decyzji. Tym samym decyzja organu nie może wbrew stanowisku banku opierać się na przyszłych i niepewnych okolicznościach faktycznych.
Sąd w składzie orzekającym w niniejszej sprawie nie podziela w związku z tym poglądów zawartych w przywołanych przez bank wyrokach Wojewódzkiego Sądu Administracyjnego w Warszawie. Zauważyć należy, że tutejszy Sąd wydał w ostatnim czasie szereg innych wyroków oddalających skargi na decyzję w sprawach, dotyczących braku możliwości przetwarzania danych osobowych na podstawie art. 6 ust. 1 lit. f) rozporządzenia nr 2016/679 w celu zabezpieczenia się przed ewentualnym przyszłymi i niepewnymi roszczeniami (zob. np. wyroki Wojewódzkiego Sądu Administracyjnego w Warszawie: z dnia 8 marca 2023 r. sygn. akt II SA/Wa 2027/22, z dnia 11 marca 2021 r. sygn. akt II SA/Wa 1340/20, z dnia 13 stycznia 2021 r. sygn. akt II SA/Wa 607/20, z dnia 29 lipca 2021 r. sygn. II SA/Wa 1725/20). Stanowisko zawarte w tych judykatach, Sąd w składzie rozpoznającym niniejszą sprawę w całości podziela.
Z tych przyczyn postawione w skardze zarzuty dotyczące wyżej przedstawionego zagadnienia nie mogły zostać uwzględnione.
Sąd w całości podziela stanowisko organu, że w rozpoznawanej sprawie podstawę dla banku do przetwarzania danych osobowych uczestniczki postępowania stanowi art. 6 ust. 1 lit. c) rozporządzenia nr 2016/679, co uzasadniało wydanie przez organ rozstrzygnięcia zawartego w pkt 1 zaskarżonej decyzji.
Sąd uznał również, że prawidłowo w pkt 2 zaskarżonej decyzji organ umorzył postępowanie w zakresie dotyczącym pozyskania danych osobowych uczestniczki postępowania z kopii dowodu osobistego w czerwcu 2021 r. Zdaniem Sądu, wobec niestwierdzenia, że zdarzenie opisywane w tym zakresie w skardze w istocie miało miejsce zasadne było umorzenie postępowania w tej części na podstawie art. 105 § 1 k.p.a. Rozstrzygnięcie organu w tym zakresie nie było zresztą w istocie kwestionowane przez stronę skarżącą w tej sprawie.
Mając powyższe na uwadze, Wojewódzki Sąd Administracyjny w Warszawie na podstawie art. 151 p.p.s.a. orzekł jak w sentencji.