Stan faktyczny tej sprawy wygląda niezbyt skomplikowanie:
Wnioskodawcy w lipcu 2018 r. wnieśli do Prezesa UODO skargę na “nieprawidłowości w procesie przetwarzania ich danych osobowych przez Bank, polegające na przetwarzaniu danych osobowych wnioskodawców bez podstawy prawnej oraz do celów marketingowych”;
W treści skargi wnioskodawcy wnieśli o zakazanie bankowi posługiwania się, przetwarzania i archiwizowania wszelkich danych osobowych ich dotyczących;
Prezes Urzędu Ochrony Danych Osobowych decyzją ze stycznia 2020 r. orzekł: w pkt 1 – o nakazie usunięcia przez bank danych osobowych wnioskodawców, w zakresie ich imion, nazwiska, typu dokumentów tożsamości, numerów dokumentów tożsamości, dat ważności dokumentów tożsamości, kraju wydania dokumentów tożsamości, numerów identyfikacyjnych PESEL, dat urodzenia, miejsc urodzenia, kraju urodzenia, statusów rezydencji, obywatelstwa, imion rodziców, stanu cywilnego, nazwisk panieńskich matek, płci, adresu zamieszkania, adresu korespondencyjnego, numeru telefonu komórkowego, numeru telefonu domowego, formy zatrudnienia i preferowanego języka kontaktu, danych dotyczących posiadanych produktów banku, numerów CIF (numer identyfikacyjny nadawany klientom banku); w pkt 2 – o udzieleniu bankowi upomnienia za naruszenie art. 6 ust. 1, art. 12 ust. 2 i ust. 3, oraz art. 21 ust. 3 rozporządzenia 2016/679 polegające na: a) nieuwzględnieniu w terminie sprzeciwu wnioskodawców, wyrażonego w piśmie z dnia 23 maja 2018 r., z naruszeniem przepisu, zgodnie z którym administrator ułatwia osobie, której dane dotyczą, wykonanie praw przysługujących jej na mocy art. 15-22, b) przetwarzaniu danych osobowych wnioskodawców, w celach marketingowych bez podstawy prawnej, pomimo zgłoszonego sprzeciwu;
WSA w Warszawie wyrokiem z stycznia 2021 r. oddalił skargę Banku wskazując m. in., że skarżący nie wskazywał by przetwarzał dane osobowe wnioskodawców na innej niż określona w art. 6 ust. 1 lit. f) rozporządzenia 2016/679 oraz skazana przez bank podstawa nie uzasadnia przetwarzania danych osobowych wnioskodawców, bowiem nie wystąpili oni z żadnym roszczeniem wobec banku. Tym samym przetwarzanie ich danych osobowych nie ma umocowania w przepisach prawa i nie jest niezbędne dla wypełnienia prawnie usprawiedliwionych celów realizowanych przez bank, a w szczególności podjęcia obrony przed ewentualnymi reklamacjami lub roszczeniami odszkodowawczymi. Gdyby natomiast (hipotetycznie) wnioskodawcy wystąpili z roszczeniami do sądu powszechnego, musieliby podać wszystkie swoje dane osobowe, niezbędne do prowadzenia postępowania, określone w kodeksie postępowania cywilnego. Bank, jako hipotetyczny pozwany, miałby wtedy do nich pełny wgląd.
Aktualności Plus 360 dni
599
PLN z VAT
Zapoznaj się z argumentacją Urzędu, Sądu czy Trybunału
Fachowe i czytelne podsumowanie omawianego orzeczenia
Ponad 2000 orzeczeń o Ochronie Danych Osobowych (RODO). Codzienna aktualizacja bazy orzeczeń.
Teraz zamawiasz Szkolenie RODO - Inspektor Ochrony Danych. Nie musisz podawać karty płatniczej. Wystarczy, że wypełnisz formularz a na podany adres e-mail otrzymasz fakturę VAT do opłacenia.Ważne: Dopiero po zaksięgowaniu płatności – system utworzy konto użytkownika oraz uruchomi subskrypcję. Dopiero od tego momentu rozpoczyna się okres Subskrypcji.
W omawianym orzeczeniu NSA wskazał, że orzeczenie WSA w Warszawie było prawidłowe. NSA argumentuję takie stanowisko wskazując, że:
postępowaniu administracyjnym, którego przedmiotem jest sprawa zgodności z prawem przetwarzania danych osobowych badaniu podlega kwestia, czy administrator przetwarza dane osobowe w sposób prawidłowy i zgodny z przepisami o ochronie danych osobowych;
w każdym konkretnym układzie należy rozstrzygnąć, czy treść i charakter tej relacji w sposób rozsądny uzasadnia takie przetwarzanie w określonym zakresie i czasie. Wyeksponować trzeba, że w motywie 47 prawodawca unijny w ogóle nie powiązał “prawnie uzasadnionych interesów” administratora z porządkiem prawnym;
Akcent położył natomiast na charakter relacji łączącej administratora z osobą, której dane są przetwarzane, jej kontekstowość oraz wynikającą z jej indywidualnych uwarunkowań racjonalnie uzasadnioną potrzebę tego przetwarzania;
W powyższym kontekście należy podnieść, iż w stanie faktycznym niniejszej sprawy jako podstawę przetwarzania danych osobowych wnioskodawców strona skarżąca kasacyjnie wskazywała zabezpieczenie swoich interesów w przypadku dochodzenia przez wnioskodawców ewentualnych roszczeń, podczas gdy nie zostało wykazane, by wnioskodawcy wystąpili wobec strony skarżącej kasacyjnie z jakimkolwiek roszczeniem. Nadto wnioskodawcy przestali być klientami banku wobec zamknięcia ich konta oszczędnościowego i technicznego z dniem 20 lipca 2019 r.
Aktualności Plus 360 dni
599
PLN z VAT
Zapoznaj się z argumentacją Urzędu, Sądu czy Trybunału
Fachowe i czytelne podsumowanie omawianego orzeczenia
Ponad 2000 orzeczeń o Ochronie Danych Osobowych (RODO). Codzienna aktualizacja bazy orzeczeń.
Teraz zamawiasz Szkolenie RODO - Inspektor Ochrony Danych. Nie musisz podawać karty płatniczej. Wystarczy, że wypełnisz formularz a na podany adres e-mail otrzymasz fakturę VAT do opłacenia.Ważne: Dopiero po zaksięgowaniu płatności – system utworzy konto użytkownika oraz uruchomi subskrypcję. Dopiero od tego momentu rozpoczyna się okres Subskrypcji.
w odniesieniu do zarzutu naruszenia art. 6 ust. 1 lit. c RODO w związku z art. 5 ust. 1, art. 6 i art. 9 ustawy z dnia 5 sierpnia 2015 r. o rozpatrywaniu reklamacji przez podmioty rynku finansowego i o Rzeczniku Finansowym (t.j. Dz.U. z 2024 r., poz. 1109) należy podnieść, że powyższe regulacje nie mogą stanowić podstawy do nieograniczonego czasowo przetwarzania danych osobowych, szczególnie tych osób, które już nie są klientami banku. Gdyby inaczej odczytywać powyższe regulacje, prawo do bycia zapomnianym stanowiłoby fikcję. Nadto na taką podstawę przetwarzania danych osobowych administrator nie powoływał się w postępowaniu administracyjnym.
nie jest zasadny także zarzut naruszenia art. 6 ust. 1 lit. c RODO w związku z art. 33, 34 i 49 ustawy z dnia 1 marca 2018 r. o przeciwdziałaniu praniu pieniędzy oraz finansowaniu terroryzmu (t.j. Dz.U. z 2023 r., poz. 1124). Przede wszystkim zarzut ten został nieprawidłowo skonstruowany, gdyż art. 33, 34 i 49 ustawy o przeciwdziałaniu praniu pieniędzy oraz finansowaniu terroryzmu składają się z wielu jednostek redakcyjnych o różnej treści normatywnej, a skarżący kasacyjnie nie wskazał, naruszenie których z nich zarzuca, co było jego obowiązkiem. W tej sytuacji Sąd odwoławczy nie może domyślać się intencji autora skargi kasacyjnej.
na marginesie warto również podkreślić, że w toku postępowania administracyjnego skarżący kasacyjnie nie wskazał konkretnie, jakie regulacje prawne powyższej ustawy stanowią podstawę do przetwarzania danych osobowych wnioskodawców.
w odniesieniu do zarzutu naruszenia art. 6 ust. 1 lit. c RODO w związku z art. 74 ust. 2 pkt 1 i 8 ustawy z dnia 29 września 1994 r. o rachunkowości (t.j. Dz.U. z 2023 r., poz. 120) również należy podnieść, że w toku postępowania administracyjnego strona skarżąca kasacyjnie nie podniosła powyższej okoliczności jako uzasadniającej przetwarzanie danych osobowych wnioskodawców. Należy raz jeszcze nawiązać w tym miejscu do zasady rozliczalności wynikającej z art. 5 ust. 2 RODO i jej konsekwencji. Stwierdzenie, że administrator powinien być w stanie wykazać przestrzeganie zasad, odczytywać należy jako nałożenie na administratora ciężaru dowodowego w zakresie przestrzegania zasad przetwarzania danych. W razie sporu z osobą, której dane dotyczą, albo z organem nadzorczym, administrator powinien być w stanie przedstawić dowody na to, że przestrzega zasad. W niniejszym postępowaniu skarżący kasacyjnie nie wykazał dopuszczalności przetwarzania danych osobowych w sytuacji wycofania przez wnioskodawców zgody na ich przetwarzanie.
Judykatura.pl wykorzystuje jedynie niezbędne pliki cookies, gdyż jest to konieczne do dostarczenia usług świadczonych drogą elektroniczną, których od Nas żądasz.
W razie jakichkolwiek pytań czy wątpliwości w zakresie wykorzystywania plików cookies możesz się z nami skontaktować pod adresem e-mail: kontakt@judykatura.pl
Administratorem danych osobowych jest Piotr Liwszic prowadzący działalność gospodarczą jawneprzezpoufne Piotr Liwszic z siedzibą przy ul. Grzybowskiej 43, 00-855 Warszawa, NIP: 521-332-36-17. Dane osobowe będą przetwarzane w celu świadczenia usług na żądanie użytkownika serwisu. Każdej osobie przysługują odpowiednie prawa wynikające z RODO oraz prawo wniesienia skargi do Prezesa Urzędu Ochrony Danych Osobowych. Więcej informacji na temat przetwarzania danych osobowych znajduje się w Polityce prywatności.
Wykorzystujemy poniższe pliki cookies, gdyż jest to konieczne do dostarczenia usług świadczonych drogą elektroniczną, których od Nas żądasz.
Cele wykorzystywania tych rodzajów plików zostały wskazane obok ich nazwy:
woocommerce_cart_hash
woocommerce_items_in_cart
wp_woocommerce_session_
_ga_1WDWPC51SQ
Jeśli wyłączysz ten plik cookie, nie będziemy mogli zapisać twoich preferencji. Oznacza to, że za każdym razem, gdy odwiedzasz tę witrynę, będziesz musiał ponownie włączyć lub wyłączyć pliki cookie.
Polityka plików cookies
Ze wszystkich niezbędnym informacjami dotyczącymi wykorzystywania przez serwis Judykatura.pl plików cookies można zapoznać się w Polityce Prywatności.
