NSA uchyla wyrok WSA: Bank naruszył prawo podmiotu nie odpowiadając na inny adres e-mail
Organ nadzorczy w sierpniu 2021 r. nakazał Bankowi:
dostarczenia wnioskodawcy przez bank kopii jego danych osobowych podlegających przetwarzaniu, drogą elektroniczną na adres e-mail wskazany we wniosku z dnia […] lipca 2018 r.
Obywatel:
drogą elektroniczną, korzystając z adresu […] zwrócił się do banku na adres […] z wnioskiem o dostęp do danych o przetwarzaniu jego danych osobowych przez bank, tj. informacji o celu przetwarzania, kategoriach danych, o odbiorcach tych danych, okres ich przechowywania oraz o kopie tych danych w formie elektronicznej na adres e-mailowy, z którego wysłany został wniosek
Bank:
poinformował wnioskodawcę, że ze względów bezpieczeństwa nie może przesłać kopii danych za pośrednictwem poczty elektronicznej podany adres email;
wezwał też wnioskodawcę o dokonanie aktualizacji adresu do korespondencji oraz wyjaśnił, iż klient może samodzielnie dokonać zmiany adresu korespondencyjnego, zamieszkania oraz zameldowania, adresu e-mail w serwisie […] Online (…). Jednocześnie bank poinformował ww., że zmiana możliwa jest również w jednym z oddziałów […], bądź korespondencyjnie
WSA w Warszawie wyrokiem z maja 2022 r. uchylił wskazany nakaz Prezesa UODO podnosząc, że:
organ nie uczynił zadość obowiązkom, wynikającym z powyższych przepisów procesowych. Analiza zaskarżonej decyzji wskazuje, iż orzekając w niniejszej sprawie organ pominął okoliczność, że skarżący bank związany jest przepisami prawa bankowego, nakładających na niego szereg obowiązków, w tym szczególny obowiązek zachowania tajemnicy bankowej.
Ponadto z uwagi na ściśle regulowany charakter działalności, banki związane są rekomendacjami wydawanymi przez Europejski Urząd Nadzoru Bankowego (EBA) i Komisję Nadzoru Finansowego (KNF). W przypadku bezpieczeństwa teleinformatycznego zastosowanie ma Rekomendacja D, wydana przez KNF w styczniu 2013 r., dotycząca zarządzania obszarami technologii informacyjnej i bezpieczeństwa środowiska teleinformatycznego w bankach, która precyzuje lub nakłada dodatkowe obowiązki na banki w tym zakresie. Zgodnie z ww. Rekomendacją D, w zakresie obowiązków weryfikacyjnych bank powinien w szczególności określić i stosować możliwie niezawodne metody i środki potwierdzenia tożsamości i uprawnień klientów, korzystających z elektronicznych kanałów dostępu, minimalizujące ryzyko udzielenia dostępu nieupoważnionym osobom, a dobór tych metod powinien być poprzedzony analizą ryzyka związanego z komunikacją danym kanałem.
Orzekając w postępowaniu poprzedzającym wydanie zaskarżonej decyzji organ pominął ww. okoliczności, czym niewątpliwie uchybił przepisom postępowania w zakresie prawidłowego ustalenia stanu faktycznego sprawy. Okoliczności te pominął także w treści zaskarżonej decyzji. Wbrew obowiązkom wynikającym z treści art. 7, art. 77 § 1 i art. 80 k.p.a., organ nie przeprowadził w sposób należyty postępowania dowodowego, w związku z czym jego ocena była wadliwa i skutkowała wydaniem błędnej decyzji.
Okoliczność, że korespondencja kierowana do wnioskodawcy na adres poczty elektronicznej […], jak i na adres […] trafia do skrzynki w ramach tego samego konta poczty elektronicznej, została przyjęta przez organ na podstawie regulaminu portalu internetowego, znajdującego się pod adresem […]. Organ nie wyjaśnił jednak dlaczego ww. dokument ma zastosowanie w odniesieniu do poczty elektronicznej wnioskodawcy (jako klienta banku, w odniesieniu do czynności bankowych) oraz dlaczego oceniał jego treść w archiwalnym brzmieniu. Jednocześnie zaniechał wezwania tak wnioskodawcy jak i podmiotu dostarczającego pocztę na portalu tlen.pl lub o2.pl do złożenia wyjaśnień.
Istota niniejszej sprawy dotyczyła oceny działań banku w sytuacji, gdy dane identyfikacyjne zawarte we wniosku wnioskodawcy z dnia […] lipca 2018 r., nie zgadzały się z danymi zawartymi w systemie banku. Mimo próśb i informacji, wnioskodawca nie zaktualizował swoich danych (nie zmienił/ nie zaktualizował adresu mailowego) widniejącego w systemie banku w danych na jego koncie i z tej przyczyny bank nie wysłał żądanych informacji na niezweryfikowany adres mailowy.
Zdaniem Sądu analiza materiału dowodowego zebranego w postępowaniu administracyjnym wskazuje, że bank działał prawidłowo, uwzględniając wewnętrzne procedury, regulujące m.in. kwestię zmiany danych klientów. Tak długo, jak klient banku nie zmieni danych kontaktowych w systemie banku na swoim koncie (co można zrobić przez internet poprzez logowanie do własnego konta lub w placówce), tak długo bank nie może udostępnić kopii danych, chronionych przepisami o ochronie danych osobowych oraz przepisami dotyczącymi tajemnicy bankowej, na nieuwierzytelniony adres email.
Sąd stwierdza, że pomimo bezwarunkowego prawa osoby fizycznej do uzyskania informacji, czy administrator przetwarza jej dane osobowe, bank nie jest uprawniony do udostępnienia danych, objętych tajemnicą bankową jakiejkolwiek osobie bez uprzedniego zweryfikowania, czy jest to osoba uprawniona do otrzymania takich danych. Jakiekolwiek wątpliwości banku jako administratora danych osobowych w tej kwestii wymagają podjęcia działań weryfikacyjnych, przewidzianych m.in. w art. 12 ust. 6 rozporządzenia 2016/679.
NSA w listopadzie 2025 r. uchylił ten wyrok i przekazał sprawę do ponownego rozpoznania, gdyż:
W kontekście niniejszej sprawy postanowienia art. 12 ust. 6 RODO należy odczytywać w ten sposób, że jakiekolwiek wątpliwości organu, co do tożsamości wnioskodawcy uniemożliwiały zrealizowanie jego wniosku z 16 lipca 2018 roku bez uprzedniego podjęcia przez Bank stosowanych czynności identyfikujących. Jak wynika z akt sprawy, co nie jest kwestionowane i zostało potwierdzone przez WSA w przyjętym stanie sprawy, Bank pismem z 25 września 2018 roku wysłanym na adres email wnioskodawcy […]@tlen.pl udzielił mu informacji, o których mowa w art. 15 ust. 1 lit. a-d RODO, uwzględniając tym samym w części wniosek z 16 lipca 2018 roku. Bank poinformował w szczegółach, w związku z jakimi relacjami prawnymi łączącymi go z wnioskodawcą przetwarza jego dane osobowe, jakie dane osobowe przetwarza, komu te dane zostały przekazane i na jakiej podstawie oraz jak długo zamierza dane przetwarzać.
Uwzględniając takie działanie Banku nie można przyjąć, że miał on wątpliwości z potwierdzeniem tożsamości wnioskodawcy. Częściowe uwzględnienie wniosku dowodzi, że Bank nie wdrożył procedury przewidzianej w art. 12 ust. 6 RODO. Bank przesłał wnioskowane dane na adres, jaki był przypisany w systemie bankowym do wnioskodawcy – […]@tlen.pl. Nie wysyłał go natomiast na adres podany we wniosku – […]@o2.pl. To z kolei dowodzi, że Bank nie miał również wątpliwości co do tożsamości wnioskodawcy skoro udzielił mu częściowej odpowiedzi na wniosek na adres email inny niż w tym wniosku wskazany. Brak tożsamości między adresem email wskazanym we wniosku z 16 lipca 2018 roku a adresem email dostępnym w bazie Banku, nie stanowił przeszkody w udzieleniu wnioskodawcy częściowej odpowiedzi na żądanie z 16 lipca 2018 roku. Co istotne, udzielenie odpowiedzi wnioskodawcy przez Bank na adres email inny niż wskazano we wniosku, nie było przez niego kwestionowane.
Sposób i tryb działania Banku nie potwierdza zatem ocen Sądu pierwszej instancji, że jego działania były usprawiedliwione koniecznością wdrożenia trybu z art. 12 ust. 6 RODO ergo potwierdzenia tożsamości wnioskodawcy, a sama odmowa przesłania kopii przetwarzanych danych osobowych wynikała z faktu, że nie zaktualizował on w bazie Banku swojego adresu email. Skoro Bank nie miał wątpliwości co do tożsamości wnioskodawcy, gdy realizował tę część jego wniosku, którą oparto na art. 15 ust. 1 lit a-d RODO, to konsekwentnie nie powinien mieć takich wątpliwości w zakresie żądania opartego o treść art. 15 ust. 3 RODO.
- Zapoznaj się z argumentacją Urzędu, Sądu czy Trybunału
- Fachowe i czytelne podsumowanie omawianego orzeczenia
- Dostęp do wszystkich aktualności na stronie
- Jako pierwszy masz dostęp do ważnych argumentów
- Pierwszy zapoznasz się z argumentacją Urzędu, Sądu czy Trybunału – nie czekaj na podsumowania miesiąca, które wpada do spamu
- Każda aktualność to fachowe i czytelne podsumowanie omawianego orzeczenia, decyzji czy wytycznych wraz z dostępem do jego treści w serwisie Judykatura.pl
- Jedno miejsce, w którym zapoznasz się z najważniejszymi argumentami orzeczenia oraz z jego treścią niezależnie od tego, z jakiego źródła ono pochodzi
- Utrzymaj zgodność z RODO dzięki byciu na bieżąco z orzecznictwem RODO
wbrew twierdzeniem WSA oraz stanowisku prezentowanemu w skardze (s. 12 skargi), z akt sprawy nie wynika, aby Bank miał wątpliwości co do tożsamości wnioskodawcy, a po ich usunięciu był gotowy przesłać kopię przetwarzanych danych osobowych drogą elektroniczną na adres email.
W dniu 22 sierpnia 2018 roku Bank poinformował skarżącego, że z uwagi na charakter sprawy udzieli odpowiedzi na wniosek z 16 lipca 2018 roku w ciągu dwóch miesięcy. Zastrzegł przy tym, że odpowiedź zostanie udzielona na adres do korespondencji. W reakcji na tę wiadomość wnioskodawca emailem z 22 sierpnia 2018 roku poinformował Bank, iż jego adres do korespondencji jest nieaktualny i ponowił żądanie udzielenia odpowiedzi na wniosek na adres email: […]@o2.pl. Pismem z 5 września 2018 roku wysłanym na adres […]@tlen.pl Bank poinformował wnioskodawcę, iż ze względów bezpieczeństwa “nie może przesłać kopii danych za pośrednictwem poczty elektronicznej email. Tym samym proszę o dokonanie aktualizacji adresu do korespondencji”. Z pisma Banku wynika zatem jednoznacznie, iż nie ma on wątpliwości co do tożsamości wnioskodawcy. Wyłączenie możliwości udzielenia odpowiedzi na wniosek z 16 lipca 2018 roku drogą elektroniczną Bank ograniczył jedynie w stosunku do jego części – kopii danych osobowych. Wyłączenia tego nie uzasadnił wątpliwościami co do tożsamości, lecz celami bezpieczeństwa. Na pozostałą część wniosku Bank udzielił odpowiedzi drogą elektroniczną w dniu 25 września 2018 roku, na adres dostępny w jego bazie.
Z przedstawionych okoliczności nie wynika, aby Bank podjął jakiekolwiek działania w celu potwierdzenia tożsamości wnioskodawcy. Bank nie zrealizował wniosku z 16 lipca 2018 roku w zakresie, w jakim opierał się on na art. 15 ust. 3 RODO, a zatem w zakresie, w jakim zawierał żądanie przesłania kopii przetwarzanych danych osobowych.
Trzeba podkreślić, że Bank nie tyle kategorycznie odmówił realizacji wniosku w tym zakresie, co przyjął, iż jest ona możliwa wyłącznie tradycyjną drogą pocztową na adres do korespondencji i to dopiero po jego aktualizacji przez wnioskodawcę.
Naczelny Sąd Administracyjny zauważa, iż takie działanie Banku pozostaje w wyraźnej sprzeczności z treścią art. 15 ust. 3 RODO, który umożliwia przesłanie kopii przetwarzanych danych osobowych “w powszechnie stosowanej formie elektronicznej”.
W tym stanie rzeczy Naczelny Sąd Administracyjny potwierdza zarzut naruszenia art. 145 § 1 pkt 1 lit. c) p.p.s.a. w zw. z art. 7 i art. 77 § 1 k.p.a. Przyjęty przez Sąd pierwszej instancji stan sprawy był wadliwy, albowiem zasadzał się na błędnej ocenie materiału aktowego. WSA błędnie przyjął, że brak uwzględnienia przez Bank wniosku z 16 lipca 2018 roku w zakresie przesłania kopii przetwarzanych danych osobowych wynikał z niepodjęcia przez wnioskodawcę aktywności pozwalającej usunąć wątpliwości co do jego tożsamości. W konsekwencji pozytywnej weryfikacji podlegał również zarzut naruszenia art. 15 ust. 3 w zw. z art. 12 ust. 6 RODO.