III OSK 2222/22

III OSK 2222/22 - Wyrok NSA
Data orzeczenia
2025-11-05
orzeczenie prawomocne
Data wpływu
2022-09-09
Sąd
Naczelny Sąd Administracyjny
Sędziowie
Artur Kuś
Maciej Kobak /sprawozdawca/
Teresa Zyglewska /przewodniczący/
Symbol z opisem
647  Sprawy związane z ochroną danych osobowych
Hasła tematyczne
Ochrona danych osobowych
Sygn. powiązane
II SA/Wa 3550/21 - Wyrok WSA w Warszawie z 2022-05-23
Skarżony organ
Generalny Inspektor Ochrony Danych Osobowych
Treść wyniku
Uchylono zaskarżony wyrok i przekazano sprawę do ponownego rozpoznania przez Wojewódzki Sąd Administracyjny
Powołane przepisy
Dz.U. 2024 poz 935
art. 203 pkt 2 i art. 205  § 2
Ustawa z dnia 30 sierpnia 2002 r. Prawo o postępowaniu przed sądami administracyjnymi (t. j.)
Sentencja
Naczelny Sąd Administracyjny w składzie: Przewodniczący: Sędzia NSA Teresa Zyglewska Sędziowie Sędzia NSA Artur Kuś Sędzia del. WSA Maciej Kobak (spr.) Protokolant asystent sędziego Adam Płusa po rozpoznaniu w dniu 5 listopada 2025 r. na rozprawie w Izbie Ogólnoadministracyjnej skargi kasacyjnej Prezesa Urzędu Ochrony Danych Osobowych od wyroku Wojewódzkiego Sądu Administracyjnego w Warszawie z dnia 23 maja 2022 r. sygn. akt II SA/Wa 3550/21 w sprawie ze skargi X S.A. z siedzibą w W. na decyzję Prezesa Urzędu Ochrony Danych Osobowych z dnia 11 sierpnia 2021 r. nr ZSPR.440.1334.2018.AZ.I/134831 w przedmiocie przetwarzania danych osobowych 1. uchyla zaskarżony wyrok w całości i przekazuje sprawę Wojewódzkiemu Sądowi Administracyjnemu w Warszawie do ponownego rozpoznania; 2. zasądza od X S.A. z siedzibą w W. na rzecz Prezesa Urzędu Ochrony Danych Osobowych kwotę 460 (czterysta sześćdziesiąt) złotych tytułem zwrotu kosztów postępowania kasacyjnego.
Uzasadnienie
Wyrokiem z dnia 23 maja 2022 r. sygn. akt II SA/Wa 3550/21 Wojewódzki Sąd Administracyjny w Warszawie po rozpoznaniu skargi X S.A. z siedzibą w W. na decyzję Prezesa Urzędu Ochrony Danych Osobowych (dalej: "organ") z dnia 11 sierpnia 2021 r. nr ZSPR.440.1334.2018.AZ.I/134831 w przedmiocie przetwarzania danych osobowych uchylił punkt pierwszy zaskarżonej decyzji (pkt 1) oraz zasądził zwrot kosztów (pkt 2).
Powyższy wyrok został wydany w następujących okolicznościach faktycznych i prawnych sprawy.
W dniu 16 lipca 2018 r. P. C. (dalej: "wnioskodawca") drogą elektroniczną, korzystając z adresu [...]@o2.pl zwrócił się do banku na adres daneosobowe@[...].pl z wnioskiem o dostęp do danych o przetwarzaniu jego danych osobowych przez bank, tj. informacji o celu przetwarzania, kategoriach danych, o odbiorcach tych danych, okres ich przechowywania oraz o kopie tych danych w formie elektronicznej na adres e-mailowy, z którego wysłany został wniosek. W odpowiedzi elektronicznej bank wskazał wnioskodawcy, iż ze względu na złożoność sprawy i konieczność zebrania wielu informacji odpowiedź zostanie udzielona na adres do korespondencji wnioskodawcy nie później, niż w ciągu dwóch miesięcy od daty zlecenia dyspozycji.
Wnioskodawca drogą elektroniczną w dniu 22 sierpnia 2018 r. poinformował bank, że adres do korespondencji, posiadany przez bank, jest nieaktualny i wniósł o udzielenie odpowiedzi w wersji elektronicznej na maila [...]@o2.pl. W odpowiedzi na ww. wiadomość z 22 sierpnia 2018 r., w dniu 5 września 2018 r., drogą elektroniczną przesłaną na adres [...]@tlen.pl bank poinformował wnioskodawcę, że ze względów bezpieczeństwa nie może przesłać kopii danych za pośrednictwem poczty elektronicznej na podany adres email. Wezwał też wnioskodawcę o dokonanie aktualizacji adresu do korespondencji oraz wyjaśnił, iż klient może samodzielnie dokonać zmiany adresu korespondencyjnego, zamieszkania oraz zameldowania, adresu e-mail w serwisie Y.
Pismem z 25 września 2018 r. przesłanym drogą elektroniczną na adres [...]@tlen.pl bank udzielił żądanych informacji.
Pismami z 5 września 2018 r. i z 25 września 2018 r., bank poinformował wnioskodawcę, iż realizacja prawa do uzyskania kopii danych możliwa będzie po aktualizacji adresu do korespondencji. Bank nie udostępnił wnioskodawcy kopii jego danych, podlegających przetwarzaniu. Nie uaktualnił też adresu e-mail wnioskodawcy z [...]@tlen.pl na [...]@o2.pl.
W dniu 24 września 2018 r. wnioskodawca wniósł do organu skargę na nieprawidłowości w procesie przetwarzania jego danych osobowych przez bank, polegające na przetwarzaniu danych osobowych w zakresie prowadzonego rachunku bankowego, wniosku o udzielenie kredytu odnawialnego, kierowania do wnioskodawcy korespondencji za pośrednictwem telefonu, wiadomości tekstowych i wiadomości e-mail oraz odmowy udostępnienia kopii jego danych osobowych na adres mailowy.
Decyzją znak ZSPR.440.1334.2018.AZ.I./134831 z dnia 11 sierpnia 2021 r. organ, orzekł o nakazie dostarczenia wnioskodawcy przez bank kopii jego danych osobowych podlegających przetwarzaniu drogą elektroniczną na adres e-mail wskazany we wniosku z dnia 16 lipca 2018 r. (pkt 1), oraz o odmowie uwzględnienia wniosku w pozostałym zakresie.
Bank zaskarżył ww. decyzję do WSA w Warszawie w części dotyczącej punktu 1, tj. nakazu dostarczenia wnioskodawcy kopii danych.
W odpowiedzi na skargę organ wniósł o jej oddalenie, podnosząc argumentację tożsamą z tą jaką prezentował w zaskarżonej decyzji.
Opisanym na wstępie wyrokiem WSA w Warszawie uwzględnił skargę. W ocenie Sądu pierwszej instancji, organ nie uczynił zadość obowiązkom, wynikającym z przepisów procesowych. Analiza zaskarżonej decyzji wskazuje, iż organ pominął okoliczność, że skarżący bank związany jest przepisami prawa bankowego, nakładającymi na niego szereg obowiązków, w tym szczególny obowiązek zachowania tajemnicy bankowej.
WSA zwrócił uwagę, że wbrew obowiązkom wynikającym z treści art. 7, art. 77 § 1 i art. 80 ustawy z dnia 14 czerwca 1960 r. Kodeks postępowania administracyjnego (Dz. U. z 2021 r. poz. 735 ze zm., dalej: k.p.a.") organ nie przeprowadził w sposób należyty postępowania dowodowego, w związku z czym jego ocena była wadliwa i skutkowała wydaniem błędnej decyzji. WSA wskazał, że okoliczność, iż korespondencja kierowana do wnioskodawcy na adres poczty elektronicznej [...]@tlen.pl, jak i na adres [...]@o2.pl trafia do skrzynki w ramach tego samego konta poczty elektronicznej, została przyjęta przez organ na podstawie regulaminu portalu internetowego, znajdującego się pod adresem https://pomoc.o2.pl/regulamin/archiwum/2016-05-12. Organ nie wyjaśnił jednak dlaczego ww. dokument ma zastosowanie w odniesieniu do poczty elektronicznej wnioskodawcy (jako klienta banku, w odniesieniu do czynności bankowych) oraz dlaczego oceniał jego treść w archiwalnym brzmieniu. Jednocześnie zaniechał wezwania tak wnioskodawcy jak i podmiotu dostarczającego pocztę na portalu tlen.pl lub o2.pl do złożenia wyjaśnień.
Istota niniejszej sprawy dotyczyła oceny działań banku w sytuacji, gdy dane identyfikacyjne zawarte we wniosku z dnia 16 lipca 2018 r., nie zgadzały się z danymi zawartymi w systemie banku. Mimo próśb i informacji, wnioskodawca nie zaktualizował swoich danych (nie zmienił/ nie zaktualizował adresu mailowego) widniejącego w systemie banku w danych na jego koncie i z tej przyczyny bank nie wysłał żądanych informacji na niezweryfikowany adres mailowy.
Zdaniem Sądu analiza materiału dowodowego zebranego w postępowaniu administracyjnym wskazuje, że bank działał prawidłowo, uwzględniając wewnętrzne procedury, regulujące m.in. kwestię zmiany danych klientów. Tak długo, jak klient banku nie zmieni danych kontaktowych w systemie banku na swoim koncie (co można zrobić przez Internet poprzez logowanie do własnego konta lub w placówce), tak długo bank nie może udostępnić kopii danych, chronionych przepisami o ochronie danych osobowych oraz przepisami dotyczącymi tajemnicy bankowej, na nieuwierzytelniony adres email.
W ocenie składu orzekającego nie wyjaśniono przekonująco dlaczego przyjęto, że konta poczty elektronicznej wnioskodawcy rzeczywiście działały sposób określony przez organ, tj. że w przypadku kont funkcjonujących w kilku domenach, wysłanie wiadomości na adres email w jednej domenie umożliwiało jego odebranie przez użytkownika mającego konto w innej domenie. Takie twierdzenia mógłby wyjaśnić ewentualnie tylko biegły, który dokonałby oceny z uwzględnieniem rynkowych i technologicznych standardów bezpieczeństwa, czego nie miał możliwości uczynić Prezes UODO.
Przeciętny użytkownik Internetu, w szczególności poczty elektronicznej, jest informowany o konieczności każdorazowego sprawdzenia dokładnie każdej litery i rozszerzenia, występującego w adresie mail, aby uniknąć wysłania maila do przypadkowej osoby albo by nie przekazać danych hakerom czy w ogóle nieuprawnionym osobom. Tego rodzaju informacje są wielokrotnie przekazywane przez UOKiK i wiele różnych instytucji, a nawet szkoły, zwracające uwagę dzieciom na negatywne konsekwencje pomyłki w adresie mailowym czy adresie strony internetowej, mogące skutkować nie tylko kradzieżą danych, ale kradzieżą pieniędzy, zgromadzonych na kontach bankowych. Tymczasem organ dokonał sprzecznego z logiką i doświadczeniem życiowym ustalenia, że konta z różnym rozszerzeniem (tlen.pl i o2.pl) pochodzą w sumie z tej samej domeny i należy je traktować jako należące do jednego użytkownika.
W konsekwencji wykonanie decyzji organu doprowadziłoby bank do naruszenia przepisów prawa bankowego, które nakazują zmianę adresu klienta do korespondencji tylko i wyłącznie po prawidłowym i zgodnym z przepisami zweryfikowaniu danych kontaktowych przez klienta. Wymagania w tym zakresie nie są nadmiernie uciążliwe, bo wystarczy zalogować się przez Internet na swoim koncie w banku i zmienić dane kontaktowe. Wnioskodawca jednak konsekwentnie tych danych nie zmieniał, a bank został obciążony negatywnymi konsekwencjami jego zaniechania. Biorąc pod uwagę dotychczasowe orzecznictwo PUODO w analogicznych sprawach, znane Sądowi z urzędu, gdyby bank wysłał żądane informacje na niezweryfikowany adres, PUODO ukarałby bank za naruszenie danych osobowych klienta. Sąd stwierdził, że pomimo bezwarunkowego prawa osoby fizycznej do uzyskania informacji, czy administrator przetwarza jej dane osobowe, bank nie jest uprawniony do udostępnienia danych, objętych tajemnicą bankową jakiejkolwiek osobie bez uprzedniego zweryfikowania, czy jest to osoba uprawniona do otrzymania takich danych. Jakiekolwiek wątpliwości banku jako administratora danych osobowych w tej kwestii wymagają podjęcia działań weryfikacyjnych, przewidzianych m.in. w art. 12 ust. 6 rozporządzenia 2016/679.
Okoliczność, że bank częściowo zweryfikował tożsamość wnioskodawcy - po jego imieniu i nazwisku, i przekazał mu informację na posiadany w zasobach adres e-mail, dowodzi, że nie była to weryfikacja kompletna i pozwalająca na przesłanie szczegółowych informacji w zakresie kopii danych, na niezweryfikowany adres e-mail. Przeprowadzona weryfikacja wykazywała bowiem tożsamość danych jedynie w zakresie imienia i nazwiska wnioskodawcy, natomiast porównanie adresów do korespondencji – w zakresie poczty elektronicznej wykazało rozbieżność i nie pozwalało na realizację wniosku wnioskodawcy. Hipotetycznie bowiem osób o tym samym imieniu i nazwisku w Polsce może być wiele, w związku z czym bank nie może opierać się tylko na tych danych.
W ocenie Sądu pierwszej instancji przedstawione wyżej rozważania, dotyczące nieprawidłowego ustalenia stanu faktycznego sprawy i jego oceny w kontekście obowiązujących przepisów prawa prowadzą do wniosku, że nakaz zawarty w pkt 1 sentencji decyzji nie jest prawidłowy, a skarga banku jest zasadna. Dostrzeżone na skutek wniesionej skargi błędy zaskarżonej decyzji musiały spowodować jej uchylenie, gdyż organ dopuścił się naruszenia art. 7, art. 77 § 1 i art. 80 k.p.a. w związku z art. 107 § 3 k.p.a. w stopniu mogącym mieć istotny wpływ na wynik sprawy. Sąd nie znalazł natomiast podstaw do stwierdzenia nieważności zaskarżonej decyzji w zakresie punktu 1 na podstawie art. 156 § 1 k.p.a.
Skargę kasacyjną od powyższego wyroku wniósł organ zaskarżając go w całości, zarzucając naruszenie:
1) Przepisów postępowania, tj.:
a) art. 145 § 1 pkt 1 lit. c) ustawy z dnia 30 sierpnia 2002 r. Prawo o postępowaniu przed sądami administracyjnymi (Dz. U. z 2022 r. poz. 329, dalej: "p.p.s.a.") w zw. z art. 7, art. 77 § 1 i art. 80 w zw. z art. 107 § 3 k.p.a., poprzez niezasadne uchylenie zaskarżonej decyzji w zakresie jej punktu pierwszego, wskutek uznania, że organ nie przeprowadził w sposób należyty postępowania dowodowego, a w szczególności nie wziął pod uwagę związania w sprawie tajemnicą bankową oraz rekomendacjami wydawanymi przez Europejski Urząd Nadzoru Bankowego i Komisję Nadzoru Finansowego, kreujących podwyższone standardy bezpieczeństwa w zakresie przekazywania informacji, podczas, gdy w sprawie zachodziły przesłanki do wydania ww. zaskarżonej decyzji, bowiem doszło do naruszenia art. 15 ust. 3 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz. Urz. UE L 119 z 4.05.2016, str. 1, Dz. Urz. UE L 127 z 23.05.2018, str. 2 oraz Dz. Urz. UE L 74 z 4.03.2021, str. 35, dalej: "RODO"), zaś udostępnienie kopii danych wskutek dostatecznego zweryfikowania tożsamości osoby, której dane dotyczą, dokonanej za pomocą logicznej korespondencji emailowej z użyciem kont [...]@tlen.pl, jak i [...]@o2.pl pomiędzy stronami postępowania administracyjnego prowadzonego przez organ, opisanej w pkt 3-6 i 8-9 zaskarżonej decyzji, nie naruszało w żadnym stopniu wskazanych standardów bezpieczeństwa, co znalazło wyraz w uzasadnieniu zaskarżonej decyzji;
b) art. 145 § 1 pkt 1 lit. c) p.p.s.a. w zw. z art. 7 i art. 77 § 1 k.p.a. poprzez uznanie, że organ zaniechał wezwania tak wnioskodawcy, jak i podmiotu dostarczającego pocztę na portalu tlen.pl lub o2.pl do złożenia wyjaśnień na okoliczność, że korespondencja kierowana do wnioskodawcy na adres poczty elektronicznej [...]@tlen.pl, jak i na adres [...]@o2.pl trafia do skrzynki w ramach tego samego konta poczty elektronicznej, podczas gdy okoliczność ta wynikała z logicznej korespondencji emailowej z użyciem kont [...]@tlen.pl, jak i [...]@o2.pl pomiędzy stronami postępowania administracyjnego prowadzonego przez organ, opisanej w pkt 3-6 i 8-9 zaskarżonej decyzji, znajdującej się w aktach tego postępowania, zatem przeprowadzenie wskazanego dowodu było zbędne dla ustalenia okoliczności już ustalonej;
c) art. 145 § 1 pkt 1 lit. c) p.p.s.a. w zw. z art. 75 § 1 Kpa i w zw. z art. 84 § 1 k.p.a., poprzez uznanie, że organ nie miał kompetencji (możliwości) do stwierdzenia na podstawie regulaminu portalu internetowego, znajdującego się pod adresem https://pomoc.o2.pl/regulamin/ archiwum/2016-05-12, że korespondencja kierowana na adres poczty elektronicznej [...]@tlen.pl, jak i na adres [...]@o2.pl trafia do skrzynki w ramach tego samego konta poczty elektronicznej i co za tym idzie uznanie,
że takie twierdzenia mógłby wyjaśnić ewentualnie tylko biegły, który dokonałby oceny
z uwzględnieniem rynkowych i technologicznych standardów bezpieczeństwa, podczas gdy ww. regulamin był tylko jednym z dowodów, który mógł się przyczynić do wyjaśnienia sprawy, zaś wysnucie kwestionowanego wniosku wynikało z logicznej korespondencji emailowej z użyciem wskazanych kont pomiędzy stronami postępowania administracyjnego prowadzonego przez organ, opisanej w pkt 3-6 i 8-9
zaskarżonej decyzji oraz z lektury tego regulaminu, zaś do dokonania ww. analizy nie
wymagane było posiadanie wiadomości specjalnych;
d) art. 145 § 1 pkt 1 lit. c) p.p.s.a. w zw. z art. 75 § 1 k.p.a. i w zw. z art. 80 k.p.a., poprzez uznanie, że organ dokonał sprzecznego z logiką i doświadczeniem życiowym ustalenia, że konta z rożnym rozszerzeniem (tlen.pl i o2.pl) pochodzą w sumie z tej samej domeny i należy je traktować jako należące do jednego użytkownika, podczas gdy okoliczność ta wynikała w sposób niebudzący wątpliwości z całokształtu materiału dowodowego, a przede wszystkim z logicznej korespondencji emailowej z użyciem wskazanych kont pomiędzy stronami postępowania administracyjnego prowadzonego przez organ, opisanej w pkt 3-6 i 8-9 zaskarżonej decyzji, a także regulaminu portalu internetowego, znajdującego się pod adresem https://pomoc.o2.pl/regulamin/ archiwum/2016-05-12,
2) prawa materialnego przez błędną jego wykładnię, tj.:
a) art. 12 ust. 6 RODO w z art. 15 ust. 3 RODO - poprzez uznanie, że żądanie banku
dokonania aktualizacji adresu korespondencyjnego stanowiło zażądanie dodatkowych informacji niezbędnych do potwierdzenia tożsamości osoby, której dane dotyczą, wobec wątpliwości co do tożsamości tej osoby fizycznej składającej żądanie z art. 15 ust. 3 RODO, podczas gdy wątpliwości w sprawie co do tożsamości osoby wynikały z rozbieżności pomiędzy adresami email [...]@tlen.pl i [...]@o2.pl, a nie z rozbieżności pomiędzy adresami korespondencyjnymi, zaś żądanie przesłania kopii danych dotyczyło adresu mailowego, zatem aktualizacja adresu korespondencyjnego pozostawała bez znaczenia dla rozwiania wątpliwości co do tożsamości osoby i realizacji wskazanego obowiązku informacyjnego, a działanie banku zbędne dla tego celu;
b) art. 12 ust. 6 RODO w zw. z art. 5 ust. 1 lit. d) RODO - poprzez uznanie, że żądanie banku dokonania aktualizacji adresu korespondencyjnego stanowiło żądanie dodatkowych informacji niezbędnych do potwierdzenia tożsamości osoby, której dane dotyczą w rozumieniu art. 12 ust. 6 RODO czyli żądaniem niezbędnym dla weryfikacji tożsamości, podczas gdy było żądaniem mającym na celu aktualizację danych osobowych w systemie banku, niczym nieuzasadnionym w okolicznościach sprawy i jednocześnie zbędnym dla celu weryfikacji tożsamości, bowiem aktualizacja danych jest procesem odmiennym od weryfikacji danych;
c) art. 12 ust. 6 RODO w z art. 15 ust. 3 RODO - poprzez uznanie, że żądanie banku dokonania aktualizacji adresu korespondencyjnego było konieczne do prawidłowej realizacji obowiązku informacyjnego z art. 15 ust. 3 RODO, podczas weryfikacja tożsamości umożliwiająca wykonanie tego obowiązku została w sprawie dokonana za pośrednictwem logicznej korespondencji emailowej z użyciem kont [...]@tlen,pl, jak i [...]@o2.pl prowadzonej w sprawie pomiędzy stronami postępowania administracyjnego i była wystarczająca dla potwierdzenia tożsamości osoby fizycznej składającej żądanie z art. 15 ust. 3 RODO;
d) art. 15 ust. 3 RODO w zw. z art. 12 ust. 6 RODO - poprzez uznanie, że odmowa udostępnienia kopii danych wobec braku aktualizacji adresu korespondencyjnego była uzasadniona, podczas gdy wobec dostatecznej weryfikacji wnioskodawcy w oparciu o prowadzoną logiczną korespondencję emailową z użyciem kont [...]@tlen.pl, jak i [...]@o2.pl pomiędzy stronami postępowania administracyjnego prowadzonego przez organ, opisanej w pkt 3-6 i 8-9 zaskarżonej decyzji, była nieuzasadniona i stanowiła naruszenie tego przepisu,
e) art. 15 ust. 3 RODO w zw. z art. 12 ust. 6 RODO - poprzez błędne uznanie, że mimo próśb i informacji, wnioskodawca nie zaktualizował swoich danych (nie zmienił/nie zaktualizował adresu mailowego) widniejącego w systemie banku w danych na jego koncie i z tej przyczyny bank nie wysłał żądanych informacji na niezweryfikowany adres mailowy, podczas gdy żądanie banku dotyczyło aktualizacji adresu korespondencyjnego, a nie adresu mailowego i to brak aktualizacji adresu korespondencyjnego stał się przyczyną odmowy udostępnienia kopii danych na adres mailowy podany we wniosku, co było oczywiście nieuzasadnione wobec istnienia logicznej korespondencji emailowej z użyciem kont [...]@tlen.pl, jak i [...]@o2.pl pomiędzy stronami postępowania administracyjnego prowadzonego przez organ, opisanej w pkt 3-6 i 8-9 zaskarżonej decyzji;
f) art. 24 ust. 1 RODO w zw. z art. 32 ust. 1 i 2 RODO poprzez uznanie, że żądanie banku dokonania aktualizacji adresu korespondencyjnego stanowiło jednocześnie wdrożenie odpowiednich środków technicznych i organizacyjnych zapewniających przetwarzanie danych zgodnie z RODO i zapewniających stopień bezpieczeństwa odpowiadający ryzyku naruszenia praw lub wolności, bowiem w sytuacji istnienia logicznej korespondencji emailowej z użyciem kont [...]@tlen.pl, jak i [...]@o2.pl pomiędzy stronami postępowania administracyjnego prowadzonego przez organ, opisanej w pkt 3-6 i 8-9 zaskarżonej decyzji, potwierdzającej tożsamość wnioskodawcy, działanie to było niecelowe.
Na podstawie powyższych zarzutów wniesiono o uchylenie zaskarżonego wyroku oraz rozpoznanie skargi, ewentualnie uchylenie w całości zaskarżonego wyroku i przekazanie sprawy do ponownego rozpoznania WSA w Warszawie, oraz zasądzenie zwrotu kosztów postępowania na rzecz organu. Skarżący kasacyjnie wniósł o rozpoznanie skargi na rozprawie.
W odpowiedzi na skargę kasacyjną organ wniósł o jej oddalenie, rozpoznanie na rozprawie oraz zasądzenie kosztów postępowania, w tym kosztów zastępstwa procesowego.
W piśmie z 1 września 2022 r. wnioskodawca wniósł o uwzględnienie skargi kasacyjnej tj. uchylenie wyroku Sądu I instancji i rozpoznanie skargi banku, względnie o przekazanie sprawy do ponownego rozpoznania Sądowi I instancji, rozpoznanie skargi kasacyjnej na rozprawie oraz rozstrzygnięcie o kosztach postępowania, w tym kosztach zastępstwa procesowego.
Naczelny Sąd Administracyjny zważył, co następuje:
Stosownie do art. 183 § 1 p.p.s.a., Naczelny Sąd Administracyjny rozpoznaje sprawę w granicach skargi kasacyjnej, biorąc pod rozwagę z urzędu jedynie nieważność postępowania. W rozpoznawanej sprawie nie zachodzi żadna
z okoliczności skutkujących nieważnością postępowania, o jakich mowa w art. 183 § 2 p.p.s.a. i nie zachodzi żadna z przesłanek, o których mowa w art. 189 p.p.s.a., które Naczelny Sąd Administracyjny rozważa z urzędu dokonując kontroli zaskarżonego skargą kasacyjną wyroku. W tych okolicznościach w sprawie badaniu podlegały wyłącznie zarzuty podniesione w skardze kasacyjnej na uzasadnienie przytoczonych podstaw kasacyjnych.
Skarga kasacyjna okazała się uzasadniona. Przed oceną podniesionych w niej zarzutów konieczne jest nakreślenie tła normatywnego niniejszej sprawy.
Należy podać, że pismem z 16 lipca 2018 r. wysłanym z adresu [...]@o2.pl P. C. zwrócił się do Banku, na adres daneosobowe@[...].pl
z wnioskiem o cyt.: "[...] na podstawie art. 15 RODO zwracam się o dostęp do danych o przetwarzaniu moich danych osobowych przez X, tj. informacji o celu przetwarzania, kategoriach danych, o odbiorcach tych danych, okres ich przechowywania - oraz o kopie tych danych w formie elektronicznej na ww. maila [...]".
Treść wniosku upoważnia do postawienia tezy, że wnioskodawca realizował dwa odrębne typy uprawnień przewidzianych przepisami RODO. Po pierwsze, realizował uprawnienia przewidziane w art. 15 ust. 1 lit. a-d, tj. domagał się od administratora danych podania informacji o: celu przetwarzania (lit. a), kategorii przetwarzanych danych (lit. b), odbiorcach danych (lit. c) i okresie przechowywania danych (lit. d). Po drugie, na podstawie art. 15 ust. 3 RODO zwrócił się o przesłanie kopii przetwarzanych przez Bank danych. Istotna z perspektywy niniejszej sprawy jest treść powołanego art. 15 ust. 3 RODO, który stanowi: "Administrator dostarcza osobie, której dane dotyczą, kopię danych osobowych podlegających przetwarzaniu. (...). Jeżeli osoba, której dane dotyczą, zwraca się o kopię drogą elektroniczną i jeżeli nie zaznaczy inaczej, informacji udziela się w powszechnie stosowanej formie elektronicznej." Z treści cytowanego przepisu wynika zatem wprost, że o kopię przetwarzanych przez administratora danych osobowych można zwrócić się drogą elektroniczną, i takie kopie administrator ma obowiązek tą samą drogą udostępnić.
Zgodnie z art. 12 ust. 6 RODO "(...) jeżeli administrator ma uzasadnione wątpliwości co do tożsamości osoby fizycznej składającej żądanie, o którym mowa
w art. 15-21, może zażądać dodatkowych informacji niezbędnych do potwierdzenia tożsamości osoby, której dane dotyczą.)". W kontekście niniejszej sprawy postanowienia art. 12 ust. 6 RODO należy odczytywać w ten sposób, że jakiekolwiek wątpliwości organu, co do tożsamości wnioskodawcy uniemożliwiały zrealizowanie jego wniosku z 16 lipca 2018 roku bez uprzedniego podjęcia przez Bank stosowanych czynności identyfikujących. Jak wynika z akt sprawy, co nie jest kwestionowane i zostało potwierdzone przez WSA w przyjętym stanie sprawy, Bank pismem z 25 września 2018 roku wysłanym na adres email wnioskodawcy [...]@tlen.pl udzielił mu informacji, o których mowa w art. 15 ust. 1 lit. a-d RODO, uwzględniając tym samym w części wniosek z 16 lipca 2018 roku. Bank poinformował w szczegółach, w związku z jakimi relacjami prawnymi łączącymi go z wnioskodawcą przetwarza jego dane osobowe, jakie dane osobowe przetwarza, komu te dane zostały przekazane i na jakiej podstawie oraz jak długo zamierza dane przetwarzać.
Uwzględniając takie działanie Banku nie można przyjąć, że miał on wątpliwości z potwierdzeniem tożsamości wnioskodawcy. Częściowe uwzględnienie wniosku dowodzi, że Bank nie wdrożył procedury przewidzianej w art. 12 ust. 6 RODO. Bank przesłał wnioskowane dane na adres, jaki był przypisany w systemie bankowym do wnioskodawcy - [...]@tlen.pl. Nie wysyłał go natomiast na adres podany we wniosku - [...]@o2.pl. To z kolei dowodzi, że Bank nie miał również wątpliwości co do tożsamości wnioskodawcy skoro udzielił mu częściowej odpowiedzi na wniosek na adres email inny niż w tym wniosku wskazany. Brak tożsamości między adresem email wskazanym we wniosku z 16 lipca 2018 roku a adresem email dostępnym w bazie Banku, nie stanowił przeszkody w udzieleniu wnioskodawcy częściowej odpowiedzi na żądanie z 16 lipca 2018 roku. Co istotne, udzielenie odpowiedzi wnioskodawcy przez Bank na adres email inny niż wskazano we wniosku, nie było przez niego kwestionowane.
Sposób i tryb działania Banku nie potwierdza zatem ocen Sądu pierwszej instancji, że jego działania były usprawiedliwione koniecznością wdrożenia trybu
z art. 12 ust. 6 RODO ergo potwierdzenia tożsamości wnioskodawcy, a sama odmowa przesłania kopii przetwarzanych danych osobowych wynikała z faktu, że nie zaktualizował on w bazie Banku swojego adresu email. Skoro Bank nie miał wątpliwości co do tożsamości wnioskodawcy, gdy realizował tę część jego wniosku, którą oparto na art. 15 ust. 1 lit a-d RODO, to konsekwentnie nie powinien mieć takich wątpliwości w zakresie żądania opartego o treść art. 15 ust. 3 RODO.
Należy odnotować, że wbrew twierdzeniem WSA oraz stanowisku prezentowanemu w skardze (s. 12 skargi), z akt sprawy nie wynika, aby Bank miał wątpliwości co do tożsamości wnioskodawcy, a po ich usunięciu był gotowy przesłać kopię przetwarzanych danych osobowych drogą elektroniczną na adres email. W dniu 22 sierpnia 2018 roku Bank poinformował skarżącego, że z uwagi na charakter sprawy udzieli odpowiedzi na wniosek z 16 lipca 2018 roku w ciągu dwóch miesięcy. Zastrzegł przy tym, że odpowiedź zostanie udzielona na adres do korespondencji. W reakcji na tę wiadomość wnioskodawca emailem z 22 sierpnia 2018 roku poinformował Bank, iż jego adres do korespondencji jest nieaktualny i ponowił żądanie udzielenia odpowiedzi na wniosek na adres email: [...]@o2.pl. Pismem z 5 września 2018 roku wysłanym na adres [...]@tlen.pl Bank poinformował wnioskodawcę, iż ze względów bezpieczeństwa "nie może przesłać kopii danych za pośrednictwem poczty elektronicznej email. Tym samym proszę o dokonanie aktualizacji adresu do korespondencji". Z pisma Banku wynika zatem jednoznacznie, iż nie ma on wątpliwości co do tożsamości wnioskodawcy. Wyłączenie możliwości udzielenia odpowiedzi na wniosek z 16 lipca 2018 roku drogą elektroniczną Bank ograniczył jedynie w stosunku do jego części – kopii danych osobowych. Wyłączenia tego nie uzasadnił wątpliwościami co do tożsamości, lecz celami bezpieczeństwa. Na pozostałą część wniosku Bank udzielił odpowiedzi drogą elektroniczną w dniu 25 września 2018 roku, na adres dostępny w jego bazie.
Z przedstawionych okoliczności nie wynika, aby Bank podjął jakiekolwiek działania w celu potwierdzenia tożsamości wnioskodawcy. Bank nie zrealizował wniosku z 16 lipca 2018 roku w zakresie, w jakim opierał się on na art. 15 ust. 3 RODO, a zatem w zakresie, w jakim zawierał żądanie przesłania kopii przetwarzanych danych osobowych. Trzeba podkreślić, że Bank nie tyle kategorycznie odmówił realizacji wniosku w tym zakresie, co przyjął, iż jest ona możliwa wyłącznie tradycyjną drogą pocztową na adres do korespondencji i to dopiero po jego aktualizacji przez wnioskodawcę. Naczelny Sąd Administracyjny zauważa, iż takie działanie Banku pozostaje w wyraźnej sprzeczności z treścią art. 15 ust. 3 RODO, który umożliwia przesłanie kopii przetwarzanych danych osobowych "w powszechnie stosowanej formie elektronicznej".
W tym stanie rzeczy Naczelny Sąd Administracyjny potwierdza zarzut naruszenia art. 145 § 1 pkt 1 lit. c) p.p.s.a. w zw. z art. 7 i art. 77 § 1 k.p.a. Przyjęty przez Sąd pierwszej instancji stan sprawy był wadliwy, albowiem zasadzał się na błędnej ocenie materiału aktowego. WSA błędnie przyjął, że brak uwzględnienia przez Bank wniosku z 16 lipca 2018 roku w zakresie przesłania kopii przetwarzanych danych osobowych wynikał z niepodjęcia przez wnioskodawcę aktywności pozwalającej usunąć wątpliwości co do jego tożsamości. W konsekwencji pozytywnej weryfikacji podlegał również zarzut naruszenia art. 15 ust. 3 w zw. z art. 12 ust. 6 RODO.
Z wyłożonych względów Naczelny Sąd Administracyjny działając na podstawie art. 185 § 1 p.p.s.a. uchylił w całości wyrok WSA w Warszawie i przekazał sprawę temu sądowi do ponownego rozpoznania. WSA uwzględni oceny prawne sformułowane w części zważającej niniejszego uzasadnienia w ponownym postępowaniu. W szczególności będzie miał na uwadze, że nie ma podstaw, aby przyjąć, że działania Banku były prowadzone w trybie art. 12 ust. 6 RODO. Sąd pierwszej instancji oceni, czy działania Banku ograniczające realizację uprawnienia wynikającego z art. 15 ust. 3 RODO poprzez wyłączenie skorzystania z drogi elektronicznej były zgodne z prawem. Należy przy tym zaznaczyć, iż w tej materii należałoby wskazać takie regulacje prawne, które zawężają zakres stosowania
art. 15 ust. 3 RODO.
O kosztach postępowania kasacyjnego rozstrzygnięto na podstawie art. 203 pkt 2 i art. 205 § 2 p.p.s.a.