Niedawno świętowaliśmy pierwsze urodziny serwisu Judykatura.pl, a teraz zaczynamy świętować 4 lata z RODO!

Do końca czerwca 2022 r. wprowadzamy możliwość testowania serwisu Judykatura.pl przez 7 dni zupełnie bez zobowiązań!

Wystarczy, że wybiorą Państwo dowolny pakiet subskrypcji (30 dni, 180 dni oraz 360 dni), a uzyskają dostęp do wszystkich funkcjonalności serwisu zupełnie za darmo na 7 dni!

Subskrypcja 30 dni
Przez 30 dni masz dostęp do zaawansowanej wyszukiwarki:
129
 PLN z VAT
  • Aktualizowanej Bazy Orzeczeń Sądów i Trybunałów
  • Eksperckich tez wybranych orzeczeń
  • Decyzji Polskiego Organu Nadzorczego
  • Decyzji Europejskich Organów Nadzorczych
  • Wytycznych i Opinii EDPB oraz EDPS
  • Konkretnych argumentów w postępowaniu administracyjnym
Wybieram
Subskrypcja 360 dni
Przez 360 dni masz dostęp do wszystkich funkcjonalności subskrypcji 30 dni
1548
 PLN z VAT
  • Dedykowany newsletter zawierający najważniejsze wyroki opublikowane w danym miesiącu wraz z tezami
  • Indywidualnych konsultacji z założycielem serwisu Judykatura.pl w kwestiach związanych z RODO (3 konsultacje w ramach obowiązującej subskrypcji)
  • Oszczędność 15% względem pozostałych pakietów
Wybieram
Subskrypcja 180 dni
Przez 180 dni masz dostęp do wszystkich elementów subskrypcji 90 dni:
774
 PLN z VAT
  • Dedykowany newsletter zawierający najważniejsze wyroki opublikowane w danym miesiącu wraz z tezami
  • Indywidualną konsultację z założycielem serwisu Judykatura.pl w kwestiach związanych z RODO (1 konsultacja w ramach obowiązującej subskrypcji)
  • Oszczędność 10% względem pozostałych pakietów
Wybieram

Jeśli, w tym terminie, nie podejmą Państwo decyzji o anulowaniu subskrypcji to otrzymają Państwo dostęp do serwisu wybranej subskrypcji, a opłata zostanie pobrana automatycznie. Szczegóły w regulaminie promocji.

Serwis Judykatua.pl to:

Orzecznictwo RODO w jednym miejscu

Judykatura.pl to wyszukiwarka zawierająca prawie 2000 orzeczeń, wytycznych oraz decyzji administracyjnych związanych z Ochroną Danych Osobowych (RODO). Ta unikatowa platforma łączy orzecznictwo sądów administracyjnych, sądów powszechnych, trybunałów z decyzjami administracyjnymi organów nadzorczych, opiniami oraz wytycznymi.

W serwisie Judykautra.pl znajdziesz argumenty do swojej sprawy dotyczącej RODO. Wszystko dzięki możliwości przeszukania ponad 750 wyroków Wojewódzkiego Sądu Administracyjnego w Warszawie oraz prawie 240 wyroków Naczelnego Sądu Administracyjnego.

Aktualizowana na bieżąco baza orzeczeń zawiera obecnie także ponad 60 wyroków Trybunału Sprawiedliwości Unii Europejskiej z zakresu ochrony danych osobowych oraz prywatności.

Możliwość przeszukania, w jednym miejscu, ponad 20 wytycznych, opinii i pism Grupy Roboczej art. 29,  Europejskiej Rady Ochrony Danych i Europejskiego Inspektora Ochrony Danych w błyskawiczny sposób doprowadzi Cię do poszukiwanego rozwiązania skomplikowanego stanu faktycznego dotyczącego przetwarzania danych osobowych.

Aktywny monitoring orzecznictwa RODO

Bądź na bieżąco z najnowszym orzecznictwem.

Zastosowaliśmy najnowsze rozwiązania technologiczne monitorujące orzecznictwo. Dzięki temu Judykatura.pl reaguje błyskawicznie i codziennie aktualizuje serwis.

Dodatkowo, nasze systemy monitorują kilkanaście źródeł orzecznictwa, abyś w jednym miejscu mógł znaleźć konkretny argument w swojej sprawie.

Judykatura.pl to platforma wiedzy, która powstała dla Inspektorów Ochrony Danych oraz specjalistów odpowiedzialnych za przestrzeganie prawa ochrony danych osobowych.

Przyjazna nawigacja i posortowane wyniki

Wyniki wyszukiwania w Judykatura.pl zostają automatycznie posortowane i oznaczone odpowiednią ikoną oraz kolorem.

Dla przykładu: czerwona ikona z literą “W” oznacza “Wyrok”, natomiast zielone “W” to “Wytyczne”. “Postanowienie”, “Wytyczne”, “Decyzja”, “Uchwała”, itd.

Pracę z wynikami wyszukiwania wspomaga również rozbudowany system tagów oraz powiązań orzeczeń z poszczególnymi artykułami m.in. RODO, UŚUDE, Prawa bankowego…

Dzięki automatycznemu systemowi sortowania dostajesz to czego szukasz. Od razu.

Judykatura.pl zawiera kilkanaście rodzajów dokumentów, od wyroków sądów po decyzje administracyjne krajowych i zagranicznych organów nadzorczych. Dzięki nim zgromadzisz niezbędne argumenty wsparte konkretami, co pomoże Ci skutecznie wdrożyć oraz egzekwować wymogi RODO.

Przeszukuj zasoby serwisu poprzez wskazanie konkretnego organu wydającego orzeczenie, decyzję czy wytyczną. Możesz także wybrać konkretny artykuł RODO w celu wskazania wszystkich dotyczących go dokumentów.

Bazę prawie 2000 orzeczeń i decyzji możesz również przeszukiwać z użyciem eksperckich tagów, co pozwala na błyskawiczne zawężenie wyników researchu.

Do serii wpisów dotyczących przetwarzania danych “na zapas”, a więc po zakończeniu świadczenia usługi, warto dodać kolejnej orzeczenie WSA, a dotyczące relacji z Bankiem.

Osoba składająca skargę (wnioskodawca) była do któregoś dnia lutego 2019 r. klientem Banku (nie znamy konkretnej daty, bo przecież jej anonimizacja przez WSA w Warszawie ma sens! Z kontekstu orzeczenia można domyślać się, że chodzi tutaj o 28 luty) – w tym dniu uległy rozwiązaniu łączące strony umowy.

Pomimo tego – 18 marca 2019 r. – osoba ta otrzymał od Banku informację o złożonej przezeń reklamacji w sprawie Kredytu, której nie składał.

Zdaniem Wnioskodawcy, od 1 marca 2019 r. Bank nie był uprawniony do przetwarzania jego danych osobowych; nie były one niezbędne do świadczenia umowy; w umowach Wnioskodawca nie udzielił zgody na przetwarzanie danych przez Bank po ich wygaśnięciu; pomimo tego Bank nadal kontaktował się z nim i żądał aktualizacji danych; 13 maja 2019 r. Bank przekazał ponadto – bez zgody i wiedzy Wnioskodawcy – jego dane osobowe do Biura; naruszył tym art. 105a ust. 2 ustawy z 29 sierpnia 1997 r. – Prawo bankowe (Dz.U. z 2020 r. poz. 1896 ze zm.); Bank odmawiał też konsekwentnie udzielenia Wnioskodawcy informacji na podstawie art. 15 RODO i przedstawienia zgody na przetwarzanie danych osobowych, (tak: pisma Wnioskodawcy z 18 marca, 24 kwietnia oraz 3 lipca 2019 r.).

Bank przyznał, że – w wyniku błędu pracownika, polegającego na nieoznaczeniu, po złożeniu wypowiedzenia przez Wnioskodawcę w systemie Banku, braku prolongaty Kredytu – przekazał 5 marca 2019 r. do Biura nieprawidłowe dane, dotyczące zaległości w spłacie Kredytu; nastąpiło to na skutek nienależnego naliczenia – w styczniu 2019 roku – opłaty za odnowienie Kredytu; zaksięgowano ją na rachunku Wnioskodawcy.

Bank wskazał, że Wnioskodawca występował w systemie bankowym jako “aktywny klient” do 5 lipca 2019 r.; wynikiem tego – 28 czerwca 2019 r. – pracownik Banku kontaktował się telefonicznie z Wnioskodawcą w celu aktualizacji danych jego dowodu osobistego; w trakcie tej rozmowy pracownik Banku potwierdził, że Wnioskodawca figurował w tym czasie w bazie klientów Banku – jako “czynny klient” (tak: pismo Banku z 10 lutego 2020 r.).

Wobec tego – 1 lipca 2019 r. – Wnioskodawca za pośrednictwem adresu poczty elektronicznej […] – podając swoje imię i nazwisko – zwrócił się do Banku o wskazanie podstawy żądania i celu aktualizacji swoich danych osobowych; zażądał jednocześnie przedstawienia zgody na przetwarzanie swoich danych, po zakończeniu umowy łączącej go z Bankiem.

W odpowiedzi z 3 lipca 2019 r. Banku odmówił udzielenia żądanych informacji; tłumaczył to brakiem możliwości identyfikacji Wnioskodawcy, jako klienta Banku; sugerował jednocześnie wszczęcie postępowania reklamacyjnego.

Bank wskazał, że nie odnotował w swoim systemie podania Wnioskodawcy o dostęp do danych; wyjaśnił jednocześnie, że – ze względu na tajemnicę bankową i tajemnicę zawodową – może udzielić odpowiedzi lub zrealizować uprawnienia RODO tylko prawidłowo zidentyfikowanej osobie, a w ocenie Banku imię, nazwisko i adres mailowy nie pozwalają na taką identyfikację.

Według Banku treść decyzji Prezesa UODO prowadzi do:

uzasadnionych wątpliwości, za co nałożono na Bank upomnienie; czy chodzi o brak jakiejkolwiek podstawy prawnej (czemu przeczy uzasadnienie we fragmentach wskazujących na podstawy prawne określone art. 6 ust. 1 RODO w zw. z art. 105a ust. 4 i 5 ustawy – Prawo bankowe) czy też o naruszenie wyłącznie art. 6 ust. 1 lit. b RODO – przeczy temu z kolei fragment uzasadnienia, dotyczący przetwarzania danych przez okres przedawnienia roszczeń; niejasnym jest również, których danych dotyczy nakaz usunięcia; nie jest zatem zrozumiała sama sentencja, a uzasadnienie nie wyjaśnia powyższych wątpliwości

Przedstawiono szeroką argumentację przemawiające za tezą, że przechowywanie danych osobowych przez Bank uzasadniają cele gospodarcze – w okresie, gdy jest możliwe realnie dochodzenie roszczeń przez obie strony umowy. Odmienne rozumienie regulacji RODO prowadziłoby do zniweczenie ich praw, wynikających z powszechnie obowiązującego prawa – przepisów K.c. Wskazano też, że obowiązek przetwarzania danych osobowych klientów – po rozwiązaniu umowy – wynika z szeregu powołanych w zarzutach skargi przepisów prawa administracyjnego. Nie uwzględnił ich organ administracji, o ile intencją wydania decyzji w punkcie 3 było nakazanie usunięcia wszelkich danych osobowych Wnioskodawcy. Dotyczy to zarówno samego Banku jak i jego klientów, którzy ze stosownymi roszczeniami mogą występować jeszcze po rozwiązaniu umowy.

Subskrypcja 30 dni
Przez 30 dni masz dostęp do zaawansowanej wyszukiwarki:
129
 PLN z VAT
  • Aktualizowanej Bazy Orzeczeń Sądów i Trybunałów
  • Eksperckich tez wybranych orzeczeń
  • Decyzji Polskiego Organu Nadzorczego
  • Decyzji Europejskich Organów Nadzorczych
  • Wytycznych i Opinii EDPB oraz EDPS
  • Konkretnych argumentów w postępowaniu administracyjnym
Wybieram
Subskrypcja 360 dni
Przez 360 dni masz dostęp do wszystkich funkcjonalności subskrypcji 30 dni
1548
 PLN z VAT
  • Dedykowany newsletter zawierający najważniejsze wyroki opublikowane w danym miesiącu wraz z tezami
  • Indywidualnych konsultacji z założycielem serwisu Judykatura.pl w kwestiach związanych z RODO (3 konsultacje w ramach obowiązującej subskrypcji)
  • Oszczędność 15% względem pozostałych pakietów
Wybieram
Subskrypcja 180 dni
Przez 180 dni masz dostęp do wszystkich elementów subskrypcji 90 dni:
774
 PLN z VAT
  • Dedykowany newsletter zawierający najważniejsze wyroki opublikowane w danym miesiącu wraz z tezami
  • Indywidualną konsultację z założycielem serwisu Judykatura.pl w kwestiach związanych z RODO (1 konsultacja w ramach obowiązującej subskrypcji)
  • Oszczędność 10% względem pozostałych pakietów
Wybieram

W takim stanie “rzeczy” Sąd wskazał:

w danym kontekście nie są trafne zarzuty Banku dotyczące naruszenie przepisów postępowania, co do obowiązku właściwego wyjaśnienia sprawy w jej uwarunkowaniach faktycznych jak i sformułowania orzeczenia w sposób zrozumiały. Wbrew wywodom skargi (potem podtrzymywanym w kolejnych pismach), w kontekście osnowy decyzji jak i jej uzasadnienia rozstrzygnięcie jest zrozumiałe – jednoznaczne. Wynika zeń obowiązek usunięcia przez Bank wszelkich danych Wnioskodawcy.

Bezsporne są też okoliczności faktyczne sprawy – w zakresie, gdzie Bank przyznał, że – dla pewnych celów – dane Wnioskodawcy były używane wyłącznie w następstwie błędu Banku (jego pracownika), zaś na dzień orzekania nie wiąże go z Wnioskodawcą żadna umowa (te, na prowadzenie rachunku osobistego i Kredytu rozwiązano). Wobec szczegółowego zreferowania uzasadnienia orzeczenia organu, gdzie stosowne fakty przywołano, ponowne ich powtarzanie byłoby zbędne.

W tak zarysowanym, bezspornym stanie faktycznym organ mylnie jednak skonstatował, jakoby w ogóle nie było podstaw dla dalszego przetwarzania danych osobowych Wnioskodawcy – wobec uprzedniego rozwiązania umowy i braku aktualnie sporów, co do zobowiązań stron. Trafnie wprawdzie w uzasadnieniu zreferowano ogólne ramy prawne przetwarzania danych osobowych wynikające w RODO. Wobec wcześniejszego przytoczenia, nie ma potrzeby ich powtarzania.

Zasadnie jednak Bank powoływał się na treść art. 6 ust. 1 lit. f RODO. Jako legalną podstawę wskazano tam na przetwarzanie danych, gdy jest to niezbędne dla celów, wynikających z prawnie uzasadnionych interesów, realizowanych przez administratora. Trafnie zauważa też strona skarżąca, że nie zachodzą w sprawie okoliczności wyłączające, przewidziane w danym przepisie in fine – nadrzędny charakter interesów osoby, której dotyczą dane, nad interesem administratora. Skutki prawne przywołanej regulacji – ustanowionej na szczeblu instytucje Unii Europejskich – należy oceniać na gruncie porządku prawnego określonego kraju członkowskiego – w kontekście zakreślenia tam ram prawnie uzasadnionego interesu. Zasadnie zauważył Bank, że wywodzić go można m.in., z przepisów prawa krajowego, dotyczących przedawnienia roszczeń z tytułu umów wiążących strony – stosownych (powoływanych przez obie strony) przepisów K.c.

Nadto Sąd podziela stanowisko Banku, że:

uznanie, jakoby – po rozwiązaniu umowy – obowiązkiem przedsiębiorcy było usunięcie danych kontrahenta, wyłączałoby w istocie jego prawa realizacji potencjalnych roszczeń jeszcze przed jego przedawnieniem. Mogłoby też prowadzić do istotnego ograniczenia praw jego klientów – np. wobec braku stosownej dokumentacji po stronie wyspecjalizowanego podmiotu rynku finansowego. Inaczej mówiąc, prezentowane przez organ rozumienie przepisów, dotyczących ram przetwarzania danych osobowych klientów banków, po wygaśnięciu umów, pozbawiałby obie strony praw, wynikających wprost z generalnych reguł prawa materialnego – K.c. Miałoby to znaczny wpływ na realia obrotu gospodarczego. Intencji wprowadzenia tak głębokiej modyfikacji w relacje umowne – w kontekście sektora bankowego – nie sposób przypisać prawodawcy – w kontekście aktualnego brzmienia regulacji w danym zakresie. Musiałby ją wyrazić wprost.

w tej sytuacji tylko na marginesie trzeba odnotować, że – wobec treści uzasadnienie zaskarżonego aktu – organ nie wypowiedział się w ogóle, czy prezentowany przezeń sposób rozumienia reguł przetwarzanie danych osobowych po wygaśnięciu umowy pozostaje w zgodzie z brzmieniem art. 105a ust. 4-7 ustawy – Prawo bankowe. Odnotował wprawdzie istnienie jednostki redakcyjnej art. 105a ust. 4, lecz nie wskazywał, jakie ma ona znaczenie w rozpoznawanej sprawie. Uchybienie to pozostaje jednak bez znaczenia, gdyż – co wykazano poprzednio – uprawnienie do przechowywania danych osobowych klientów banków po rozwiązaniu umowy wynika wprost ze stosownych reguł K.c.

w kontekście danej sprawy, gdzie nakazano Bankowi usunięcie wszelkich danych osobowych Wnioskodawcy, wyjaśnienie wskazanych kwestii nie miało akurat istotnego znaczenia. Wbrew stanowisku organu, na dzień orzekania istniały w sprawie przesłanki dalszego przetwarzania danych Wnioskodawcy – dla celu ewentualnej realizacji przyszłych nieprzedawnionych jeszcze roszczeń. Rozwiązanie umowy nastąpiło bowiem […] lutego 2019 r. zaś w sprawie orzekano 9 lutego 2021 r. Nie upłynął więc termin określony art. 118 K.c. Orzeczenie o obowiązku usunięcia wszelkich danych osobowych Wnioskodawcy było więc wadliwe. Skoro istniały podstawy przetwarzania danych nie było przesłanek dla nałożenia obowiązku ich usunięcia, w myśl art. 58 ust. 1 lit. g RODO. Bezzasadnie zastosowano daną regulację, wobec błędnej wykładni art. 6 ust. 1 lit. f RODO w zw. z art. 118 K.c.

 

4 lata z RODO!

 

Sąd odnosząc się z kolei do powoływanych przez obie strony stanowisk judykatury:

trzeba odnotować, że w istocie w orzecznictwie sądów administracyjnych wyrażany jest generalnie trafny pogląd, co do braku podstaw dla przetwarzania danych osobowych niejako na zapas – wobec wyłącznie zupełnie hipotetycznej możliwości powstania roszczeń. Trafnie zauważa jednak Bank, że wyrażano go zwykle na gruncie odmiennych stanów faktycznychgdzie między stronami nie dochodziło w ogóle do zawarcia umów (…). Wobec takich uwarunkowań, uzasadniona była konstatacja Sądów, że – z racjonalnych względów – powstanie jakichkolwiek roszczeń nie należało oczekiwać, co w istocie determinuje bezpodstawność gromadzenia danych osobowych, dla tych celów, gdy chodzi o przesłankę z art. 6 ust. 1 lit. f RODO.

Odmienna sytuacja ma jednak miejsce w rozpatrywanym przypadku. Strony były związane uprzednio umową. Ewentualnego powstania roszczeń nie sposób więc wykluczać. Powszechnie znane są przecież np. przypadki kwestionowanie sum spłaty kredytów przez klientów banków już po ich spłaceniu. Niepodobne z kolei zakładać, aby to bank w każdym przypadku musiał z góry oceniać, czy określone roszczenia w przyszłości wystąpią. Z mocy stosownych regulacji normatywnych K.c. dysponuję on określonym czasem, na ustalenie, czy osoba, z którą umowę już rozwiązano, nie ma jednak wobec niego nieuregulowanych zobowiązań.

I w finale Sąd “mówi” tak:

w rozpoznawanej sprawie był poza sporem stan faktyczny wobec ustaleń, że – w następstwie pomyłki Banku (jego pracownika) doszło do przetwarzania danych Wnioskodawcy zarówno przez sam Bank jak i do ich przekazania podmiotowi zewnętrznemu – do Biura. W świetle uzasadnienia skarżonego aktu, wyspecjalizowany w sprawach ochrony danych osobowych organ w istocie nie dopatrzył się (nie powołał w uzasadnieniu) żadnych nieprawidłowości np., co do systemu gromadzenia, zabezpieczenia organizacji baz informacji czy transferu danych, zbędnego duplikowania baz, zbierania nieistotnych informacji. Wszelkie przywoływane przez organ, działania Banku były wyłącznie następstwem naruszenia reguł, dotyczących właściwej obsługi klienta – w ramach działania określonej instytucji rynku finansowego.

każda forma aktywności gospodarczej wiąże się z pewnym marginesem nieuniknionych błędów – ludzkich lub wobec usterek technicznych. Do oceny z kolei, czy w danym przypadku zachowano standardy staranności lub ostrożności, właściwymi są inne, wyspecjalizowany w danym zakresie organy. Nie do zaakceptowania jest natomiast rozumienie przepisów, mających na celu zapewnienie odpowiedniego bezpieczeństwa i ograniczenia przetwarzania danych osobowych, jako stanowiące alternatywny i konkurencyjny mechanizm, służący egzekwowaniu odpowiedniej staranności w relacjach gospodarczych, gdy następstwem błędu jest zbędne – bezzasadne – przetworzenie danych osobowych. Takie sytuację będą wszak właśnie z reguły następstwem wszelkich błędów w relacjach podmiotów gospodarczych z klientami, będącymi osobami fizycznymi.

Niepodobna wszelkich błędów w relacjach gospodarczych, których naturalnym następstwem jest przetwarzania danych osobowych klientów (np. zamieszczenie w wewnętrznej bazie dłużników), kwalifikować, jako naruszenie przepisów RODO. Nie to jest celem danej regulacji.

W ramach orzeczeń WSA w Warszawie, które prowadzą do uchylenia decyzji Prezesa UODO zwrócić uwagę na orzeczenie dotyczące założenia konta w internetowej platformie hazardowej i wniosku uczestnika gry o usunięcie jego danych osobowych.

Właśnie taki wniosek wpłynął do spółki T.S. sp. z o.o. od użytkownika gry (“gracza”), który dokonał jedynie rejestracji w internetowym portalu hazardowym, ale nigdy nie dokonał żadnego zakładu czy gry. W związku z tym uważał, że administrator danych nie powinien przetwarzać jego danych, bo nie ma to żadnego celu i dzięki prawu do bycia zapominanym będzie mógł przestać figurować w serwisie prowadzonym przed T.S. sp. z o.o.

Tak też stwierdził Prezes UODO nakazując, w wydanej decyzji administracyjnej, usunięcie danych Wnioskodawcy, w zakresie jego imienia, nazwiska, numeru PESEL, serii i numeru dowodu osobistego, adresu zamieszkania i adresu e-mail.

Z taką decyzją nie zgodził się administrator danych wskazując, że w branży gier hazardowych obowiązują specyficzne reguły. Podnosił on, że mimo tego, że użytkownik nie dokonał żadnej gry czy zakładu, to jego dane osobowe przetwarza są na podstawie przepisów:

ustawy z dnia 19 listopada 2009 r. o grach hazardowych (Dz. U. z 2020 r. poz. 2094 ze. zm.), zwanej dalej “ustawą o grach”,

rozporządzenia Ministra Finansów z dnia 18 maja 2017 r. w sprawie sposobu oraz zakresu archiwizacji danych związanych z urządzanymi grami hazardowymi przez sieć Internet (Dz.U. poz. 1018), zwanego dalej “rozporządzeniem o archiwizacji”;

ustawy z dnia 1 marca 2018 r. o przeciwdziałaniu praniu pieniędzy oraz finansowaniu terroryzmu (Dz.U. z 2020 r. poz. 971 ze zm.), zwanej dalej “ustawą o przeciwdziałaniu praniu pieniędzy”.

4 lata z RODO!

Administrator danych wskazywał także, że:

zgodnie z art. 15d ust. 3 ustawy o grach, podmiot urządzający gry hazardowe przez sieć Internet musi prowadzić – w czasie rzeczywistym, w stosownym urządzeniu – archiwizację wszelkich danych, związanych z urządzaną grą hazardową, w tym wymienianych między tym podmiotem a uczestnikiem gier hazardowych, pozwalających na ustalenie przebiegu i wyniku gier hazardowych oraz przeprowadzanych transakcji, wynikających z tych gier, oraz danych niezbędnych do identyfikacji uczestnika gier hazardowych; przepis ten stanowi więc wprost i jedynie o gromadzeniu danych, dotyczących uczestnika gry hazardowej, nie zaś osoby, która zamierza takim uczestnikiem zostać.

rejestracja pozyskiwanych w procesie założenia konta danych następuje wyłącznie w celu udziału w grze hazardowej; jest to rejestracja wieloetapowa, pracochłonna i czasochłonna – od uczestnika gry hazardowej wymaga podania szeregu danych oraz weryfikacji (autoryzacji) konta; rejestracja graczy oraz weryfikacja danych – w tym – wieku jest jednocześnie narzędziem ochrony graczy; tym samym celowościowe rozróżnienie procesu rejestracji konta oraz rozpoczęcia udziału w grze hazardowej pozbawione jest znaczenia; gracz nie może bowiem zarejestrować konta w innym celu niż jako warunek udziału w grze hazardowej; co więcej, w procesie rejestracji gracz jest zobowiązany ustanowić pewne limity

WSA w Warszawie podzielił te argumenty uchylając decyzję Prezesa UODO klarując, że:

bezsporne są okoliczności faktyczne danej sprawy – przetwarzanie przez Spółkę danych osobowych Wnioskodawcy, który zarejestrował się, jako uczestnik gry, lecz nie brał udziału w żadnej rozgrywce a następnie żądał usunięcia jego danych osobowych (wobec wcześniejszego zreferowania za organem administracji, jego ponowne opisywanie byłoby bezzasadne). Chybiony jest przez to zarzut skargi, naruszenia przepisów postępowania, w zakresie obowiązku właściwego wyjaśnienia okoliczności faktycznych sprawy, co nie obejmuje kwestii nieprawidłowego rozumienia treści regulacji normatywnych.

w istocie spór pomiędzy stronami sprowadza się do tego, czy Spółka – w myśl obowiązujących przepisów – była obowiązana do dalszego przetwarzania danych osobowych Wnioskodawcy, pozyskanych na etapie rejestracji, bądź też był on uprawniony do skorzystania z tzw. “prawa bycia zapomnianym” – z uwzględnieniem ram art. 17 RODO.

Subskrypcja 30 dni
Przez 30 dni masz dostęp do zaawansowanej wyszukiwarki:
129
 PLN z VAT
  • Aktualizowanej Bazy Orzeczeń Sądów i Trybunałów
  • Eksperckich tez wybranych orzeczeń
  • Decyzji Polskiego Organu Nadzorczego
  • Decyzji Europejskich Organów Nadzorczych
  • Wytycznych i Opinii EDPB oraz EDPS
  • Konkretnych argumentów w postępowaniu administracyjnym
Wybieram
Subskrypcja 360 dni
Przez 360 dni masz dostęp do wszystkich funkcjonalności subskrypcji 30 dni
1548
 PLN z VAT
  • Dedykowany newsletter zawierający najważniejsze wyroki opublikowane w danym miesiącu wraz z tezami
  • Indywidualnych konsultacji z założycielem serwisu Judykatura.pl w kwestiach związanych z RODO (3 konsultacje w ramach obowiązującej subskrypcji)
  • Oszczędność 15% względem pozostałych pakietów
Wybieram
Subskrypcja 180 dni
Przez 180 dni masz dostęp do wszystkich elementów subskrypcji 90 dni:
774
 PLN z VAT
  • Dedykowany newsletter zawierający najważniejsze wyroki opublikowane w danym miesiącu wraz z tezami
  • Indywidualną konsultację z założycielem serwisu Judykatura.pl w kwestiach związanych z RODO (1 konsultacja w ramach obowiązującej subskrypcji)
  • Oszczędność 10% względem pozostałych pakietów
Wybieram

Sąd odniósł się do podstawy prawnej przetwarzania danych osobowych uczestnika gry:

W rozpoznawanej sprawie – wbrew stanowisku organu administracji – istniała podstawa przetwarzania danych osobowych Wnioskodawcy, którego Spółka zasadnie określa mianem “uczestnika gry” (gracza), w rozumieniu ustawy o grach. Mianowicie – w myśl § 3 ust. 3 pkt 1 rozporządzenia o archiwizacji, stanowiącego akt wykonawczy do danej ustawy – archiwizacji, z uwzględnieniem numeru kolejności operacji, podlegają także dane o samym założeniu konta na portalu – tak sformułowanie: “urządzenie archiwizujące oraz jego oprogramowanie w szczególności: 1) zapewniają ciągłą, niemodyfikowalną i jednoznacznie identyfikującą każde zdarzenie niepowtarzalną numerację dla każdego typu archiwizowanych zdarzeń, w szczególności założenia konta, […]”.

Wbrew stanowisku organu, niepodobna uznać, aby – wobec tak jednoznacznej treści wypowiedzi prawodawcy – jego wolą był zapis i chronologiczna archiwizacja (w tym z użyciem ciągłej numeracji) wyłącznie zdarzeń rejestracji, dotyczących osób, które wpierw zarejestrowały się a następnie dokonały operacji – w ramach konkretnej rozgrywki. Z treści wskazanego zapisu nie sposób też domniemywać takiej intencji. Przepisy aktu wykonawczego – wiążące Spółkę, co do zakresu obowiązków archiwizacji danych uczestników gier hazardowych przez sieć Internet, w rozumieniu art. 15d ust. 3 i 7 ustawy o grach – są więc danym zakresie jednoznaczne. Nie mogą być przez obowiązany podmiot interpretowane dowolnie, np. dla zapewnienia domniemanej zgodności z treścią aktu wyższego rzędu. Uprawnienia takie nie przysługują także wyspecjalizowanemu organowi administracji – nawet, gdyby dostrzegł w istocie oczywistą niezgodność aktu wykonawczego z ustawą.

Wypada dodatkowo zauważyć, że system archiwizacji danych o uczestnikach gry przez sieć Internet, rozumianych jako osoby spełniające formalne warunki jej rozpoczęcia (dokonanie rejestracji – utworzenie konta), jest spójny z wyrażoną wprost na szczeblu ustawy o grach zasadą archiwizacji rejestru gości w stacjonarnych ośrodkach gry, gdzie bez znaczenia jest czy wchodząca do obiektu osoba w istocie weźmie udział w rozgrywkach (tak art. 15 ust. 1 i 6).

Na tak postawione pytanie Sąd Okręgowy w Łodzi wypowiedział się twierdząco, a pogląd ten skutkował uchyleniem wyroku Sądu Rejonowego i przekazaniem sprawy do rozpoznania Sądowi Okręgowemu.

Omawiana sprawa miała swój początek w czerwcu 2014 r. gdy J.N., będąc w podróży służbowej, prowadził powierzonym mu przez pracodawcę samochód.

Doszło wtedy do szkody w pojeździe polegającej na pęknięciu szyby przedniej kierowanego przez niego pojazdu spowodowanej uderzeniem w nią kamienia podniesionego przez poprzedzający go samochód.

Taką szkodę, w ramach ubezpieczenia autocasco, pracodawca zgłosił ubezpieczycielowi. Na pojeździe ustanowiony był leasing. Ubezpieczyciel, zgodnie z ustawą z dnia 22 maja 2003 r. o ubezpieczeniach obowiązkowych, Ubezpieczeniowym Funduszu Gwarancyjnym i Polskim Biurze Ubezpieczycieli Komunikacyjnych (t.j. Dz. U. z 2018 r., poz. 473 ze zm.), w postępowaniu likwidacyjnym przekazał do Ubezpieczeniowego Funduszu Gwarancyjnego informacje o zdarzeniu, wskazując J. N. jako kierującego pojazdem w nim uczestniczącym. 

Subskrypcja 30 dni
Przez 30 dni masz dostęp do zaawansowanej wyszukiwarki:
129
 PLN z VAT
  • Aktualizowanej Bazy Orzeczeń Sądów i Trybunałów
  • Eksperckich tez wybranych orzeczeń
  • Decyzji Polskiego Organu Nadzorczego
  • Decyzji Europejskich Organów Nadzorczych
  • Wytycznych i Opinii EDPB oraz EDPS
  • Konkretnych argumentów w postępowaniu administracyjnym
Wybieram
Subskrypcja 360 dni
Przez 360 dni masz dostęp do wszystkich funkcjonalności subskrypcji 30 dni
1548
 PLN z VAT
  • Dedykowany newsletter zawierający najważniejsze wyroki opublikowane w danym miesiącu wraz z tezami
  • Indywidualnych konsultacji z założycielem serwisu Judykatura.pl w kwestiach związanych z RODO (3 konsultacje w ramach obowiązującej subskrypcji)
  • Oszczędność 15% względem pozostałych pakietów
Wybieram
Subskrypcja 180 dni
Przez 180 dni masz dostęp do wszystkich elementów subskrypcji 90 dni:
774
 PLN z VAT
  • Dedykowany newsletter zawierający najważniejsze wyroki opublikowane w danym miesiącu wraz z tezami
  • Indywidualną konsultację z założycielem serwisu Judykatura.pl w kwestiach związanych z RODO (1 konsultacja w ramach obowiązującej subskrypcji)
  • Oszczędność 10% względem pozostałych pakietów
Wybieram

J.N. po pewnym czasie od tego wydarzenia chciał ubezpieczyć swój prywatny pojazd – wtedy podczas weryfikacji jego danych dokonany przez wybranego przez niego ubezpieczyciela, pojawiły się informacje o opisanej wyżej szkodzie z ryzyka autocasco.

Pismem z dnia 29 października 2015 r. J. N. zwrócił się do (…) o korektę wpisu szkodowości, wskazując, że odpowiedzialność za zgłoszoną szkodę i zaistniałe w dniu 27 czerwca 2014 r. zdarzenie przejmuje właściciel pojazdu tj. firma: (…) Sp. z o.o., a w odpowiedzi poinformowano go, że odpowiedzialność za jakość i kompletność danych ponoszą całkowicie towarzystwa ubezpieczeniowe, zaś do wprowadzania w nich korekty uprawniony jest jedynie ten ubezpieczyciel, który je uprzednio nadesłał. 

W październiku 2018 r. J. N. zasięgał mailowo informacji, czy wpis w bazie (…) o szkodzie z ryzyka AC ma wpływ na wysokość składki za ubezpieczenie pojazdu i uzyskał odpowiedź twierdzącą od (…) SA, (…) SA, (…) SA, (…) SA oraz z biura ubezpieczeń i agencji ubezpieczeniowej w P.. W bazie Ośrodka (…), w odnoszącej się do powoda części dotyczącej zdarzeń szkodowych w okresie od dnia 8 marca 2011 r. do dnia 24 sierpnia 2018 r., znajduje się informacja o szkodzie z dnia 27 czerwca 2014 r. z ryzyka AC, gdzie figuruje on jako kierujący pojazdem, nie zaś jako poszkodowany czy sprawca szkody.

Zdaniem Sądu Rejonowego, powództwo okazało się niezasadne, więc należało je oddalić. Sąd podniósł, że powód domagał się zobowiązania pozwanego do usunięcia wpisu o szkodowości przypisanego do powoda, zatem uwzględnienie powództwa wymagałoby w pierwszej kolejności wykazania, że pozwany działał w sposób sprzeczny z prawem.

W ocenie Sądu Rejonowego to, że (…) SA odmówiło powodowi zniżek za bezszkodową jazdę z powodu informacji o tej szkodzie, jest okolicznością leżącą poza odpowiedzialnością pozwanego. Przede wszystkim, nie wiadomo, w jaki sposób dokładnie ubezpieczyciel pozyskuje te dane, skoro, zgodnie z informacjami pochodzącymi z (…), J. N. w historii swojego ubezpieczenia nie ma przypisanej tej szkody, a z wydruku z portalu (…) nie wynikają żadne szczegóły dotyczące jego związku z tą szkodą.

Judykatura.pl – Jeden dostęp do wszystkich spraw RODO!

Przechodząc do stanowiska Sądu Okręgowego dotyczącego ochrony danych osobowych należy wskazać kilka szalenie istotnych stwierdzeń.

Przede wszystkim Sąd Rejonowy:

przy wstępnej analizie treści pozwu zaniedbał zadania sobie pytania, czy z twierdzeń składających się na podstawę faktyczną żądania pozwu wynika, że pomiędzy stronami procesu istnieje jakikolwiek stosunek cywilnoprawny, z którego powód wywodziłby dochodzone roszczenie – a w efekcie orzekł o niezasadności powództwa, kierując się niezbyt jasnymi i nie wiadomo skąd wywiedzionymi kryteriami

Taką ocenę roszczenia powoda można przeprowadzić jedynie wówczas, gdy Sąd jest w stanie wskazać normę prawa materialnego, z której potencjalnie można je wyprowadzić i stwierdzi, że okoliczności ustalone w toku postępowania nie wypełniają przesłanek, od których owa norma uzależnia powstanie i przysługiwanie roszczenia.

W zakresie istnienia albo konieczności istnienia stosunku cywilnoprawnego Sąd Okręgowy powiedział tak:

Odnotować jednak trzeba, że J. N. nie twierdził w toku procesu, że pomiędzy nim i pozwanym ubezpieczycielem istnieje jakikolwiek stosunek cywilnoprawny, a jedynie wywodził, że przekazanie przez pozwanego dotyczących go danych do (…) nastąpiło z naruszeniem art. 102 ust. 4 ustawy z dnia 22 maja 2003 r. o ubezpieczeniach obowiązkowych, Ubezpieczeniowym Funduszu Gwarancyjnym i Polskim Biurze Ubezpieczycieli Komunikacyjnych (t.j. Dz. U. z 2018 r. poz. 473 ze zm.), domagając się przywrócenia stanu zgodnego z prawem.

Co zupełnie umknęło Sądowi Rejonowemu, a zostało zauważone przez Sąd Okręgowy to to, że Sąd Rejonowy w dacie wydania wyroku

W ocenie Sądu odwoławczego w sprawie niniejszej zachodziła sytuacja pierwotnego braku istnienia pozytywnej przesłanki procesowej w postaci dopuszczalności drogi sądowej, ponieważ sprawa o przywrócenie stanu zgodnego z prawem poprzez usunięcie określonych danych osobowych ze zbioru danych przetwarzanych przez inny podmiot niezgodnie z prawem nie należała (w stanie prawnym z chwili wniesienia pozwu) do żadnej z kategorii spraw wymienionych w art. 1 k.p.c. – nie była bowiem sprawą ze stosunków z zakresu prawa cywilnego, rodzinnego i opiekuńczego oraz prawa pracy, sprawą z zakresu ubezpieczeń społecznych, ani wreszcie inną sprawą, do której przepisy Kodeksu postępowania cywilnego stosuje się z mocy ustaw szczególnych.

Dla rozpoznania takiej sprawy przewidziany był tryb administracyjny. W pierwszej kolejności stwierdzić trzeba, że informatyczna baza danych (…), o której mowa w art. 102a ustawy z dnia 22 maja 2003 r. o ubezpieczeniach obowiązkowych, Ubezpieczeniowym Funduszu Gwarancyjnym i Polskim Biurze Ubezpieczycieli Komunikacyjnych (t.j. Dz. U. z 2018 r. poz. 473 ze zm.) była zbiorem danych w rozumieniu art. 7 pkt. 1 ówcześnie obowiązującej ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (t.j. Dz. U. z 2016 r., poz. 922 ze zm.), zwanej dalej u.o.d.o. z 1997 r., zaś przez przetwarzanie danych, w myśl art. 7 pkt. 1 tejże ustawy należało rozumieć jakiekolwiek operacje wykonywane na danych osobowych, m.in. ich zbieranie, utrwalanie, przechowywanie, opracowywanie, zmienianie, udostępnianie i usuwanie, a zwłaszcza te, które wykonuje się w systemach informatycznych; za dane osobowe uważało się wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej (art. 6 ust. 1 u.o.d.o. z 1997 r.).

Sąd Okręgowy oceniając wyrok Sądu I Instancji podkreślił, że:

reżim ochrony dóbr osobistych, oparty na przepisach Konstytucji oraz kodeksu cywilnego, i reżim ochrony danych osobowych, oparty na przepisach Konstytucji oraz ustawy o ochronie danych osobowych, są wobec siebie niezależne.

Skoro jednak o potencjalnym zakwalifikowaniu sprawy do drogi cywilnej decyduje nie tylko przedstawione pod osąd roszczenie, ale także przytoczony przez powoda stan faktyczny, to stwierdzić trzeba, że J. N. nie powołał okoliczności i twierdzeń wskazujących na naruszenie jakichkolwiek jego dóbr osobistych, co skutkować musi przyjęciem, że powód nie zamierzał korzystać z roszczeń przewidzianych w art. 24 k.c. i w konsekwencji zastosować tu należało reżim ochrony danych osobowych przewidziany w ustawie z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (t.j. Dz. U. z 2016 r., poz. 922 ze zm.) – a to z kolei implikowało przyjęcie, że załatwienie niniejszej sprawy należy do drogi administracyjnej.

I co najważniejsze wskazał:

W aktualnym stanie prawnym art. 17 ust. 1 pkt. d Rozporządzenia 2016/679 – podobnie jak uprzednio art. 32 ust. 1 pkt. 6 i art. 35 ust. 1 u.o.d.o. z 1997 r. – stanowi, że osoba, której dane osobowe dotyczą, ma prawo żądania od administratora niezwłocznego usunięcia dotyczących jej danych osobowych, zaś administrator ma obowiązek bez zbędnej zwłoki te dane usunąć, jeżeli były one przetwarzane niezgodnie z prawem, jednak równocześnie art. 79 ust. 1 Rozporządzenia 2016/679 przyznaje takiej osobie – bez uszczerbku dla dostępnych administracyjnych lub pozasądowych środków ochrony prawnej (w tym prawa do wniesienia skargi do organu nadzorczego) – prawo do skutecznego środka ochrony prawnej przed sądem, jeżeli uzna ona, że prawa przysługujące jej na mocy niniejszego rozporządzenia zostały naruszone w wyniku przetwarzania jej danych osobowych z naruszeniem rozporządzenia.

Przewidziana w tym ostatnim przepisie ochrona sądowa dotyczy zatem również realizacji prawa osoby, której dane osobowe dotyczą, do żądania od administratora tych danych niezwłocznego ich usunięcia, jeśli ten nie zadośćuczynił jej wezwaniu, a jednocześnie nie został spełniony żaden z warunków ich przetwarzania przewidzianych w art. 6 ust. 1 Rozporządzenia 2016/679.

Nie ma wątpliwości, że takie właśnie żądanie zgłosił powód w sprawie niniejszej, domagając się od pozwanego usunięcia jego danych osobowych ze zbioru tych danych i wywodząc, że pozwany przetwarza je bezprawnie – czyli, używając sformułowań Rozporządzenia 2016/679, że nie może powołać się na przesłankę zgodności swych działań z prawem przewidzianą w art. 6 ust. 1, w szczególności w podpunkcie c).

Sąd odwoławczy nie ma też wątpliwości, że pozwanego należy uważać za administratora danych osobowych J. N. (lub ewentualnie podmiot przetwarzający te dane) w rozumieniu art. 4 pkt. 7 i 8 Rozporządzenia 2016/679, a stanowisko takie znajduje też pośrednie potwierdzenie w treści art. 105 ust. 4a ustawy z dnia 22 maja 2003 r. o ubezpieczeniach obowiązkowych, Ubezpieczeniowym Funduszu Gwarancyjnym i Polskim Biurze Ubezpieczycieli Komunikacyjnych (t.j. Dz. U. z 2018 r. poz. 473 ze zm.) w związku z art. 16 Rozporządzenia 2016/679.

Czyli Sąd Okręgowy widzi, iż sprawa dotycząca usunięcia danych osobowych jest:

od dnia 25 maja 2018 r. sprawa niniejsza stała się sprawą cywilną w rozumieniu art. 1 k.p.c., skoro do dochodzonego w niej roszczenia należy stosować przepisy Kodeksu cywilnego, a ustawodawca nakazał jej rozpoznawanie przez sądy na podstawie unormowań Kodeksu postępowania cywilnego.

Co jeszcze ciekawsze to to, że według Sądu Okręgowego:

art. 79 Rozporządzenia 2016/679 przewiduje nowe samoistne cywilnoprawne roszczenie o ochronę danych osobowych, pozostające w oderwaniu od dotąd funkcjonującej konstrukcji prawa cywilnego dotyczących ochrony dóbr osobistych, którego poszczególne postacie obejmują realizację na drodze sądowej wszelkich praw przewidzianych w rozdziale III Rozporządzenia 2016/679, w tym prawa do usunięcia danych („prawa do bycia zapomnianym”), o którym mowa w art. 17. Z kolei art. 100 u.o.d.o. z 2018 r. stanowi, że do postępowania w sprawie o roszczenie z tytułu naruszenia przepisów o ochronie danych osobowych, o którym mowa m.in. w art. 79 Rozporządzenia 2016/679, w zakresie nieuregulowanym ustawą stosuje się przepisy Kodeksu postępowania cywilnego

I w zakresie właściwości Sąd Okręgowy wypowiada się tak:

Niemniej jednak analiza obecnie obowiązujących przepisów proceduralnych dotyczących spraw o roszczenia wynikające z naruszenia praw przysługujących na mocy przepisów o ochronie danych osobowych, w szczególności art. 93 u.o.d.o. z 2018 r. i art. 17 pkt. 4 5 k.p.c., prowadzi do wniosku, że do rozpoznawania tych spraw właściwe są wyłącznie sądy okręgowe jako sądy I instancji – a to oznacza, że Sąd Rejonowy dla Łodzi – Śródmieścia w Łodzi rozpoznał sprawę niniejszą i wydał w niej wyrok, choć z mocy powołanych unormowań właściwy był do tego sąd okręgowy bez względu na wartość przedmiotu sporu.

WSA w Warszawie nie tylko, w ekspresowym tempie 7 miesięcy, rozpoznał skargę na decyzję Prezesa Urzędu Ochrony Danych Osobowych, którą to nałożono na Towarzystwo Ubezpieczeń administracyjną karę pieniężną w wysokości prawie 160 000 zł za niezawiadomienie o naruszeniu ochrony danych bez zbędnej zwłoki oraz nakazano zawiadomić osoby, których to naruszenie dotyczyło, ale także odniósł się zarówno do pojęcia naruszenia ochrony danych oraz jego wagi, która inicjuje obowiązek zgłoszenia naruszenia do organu nadzorczego, jak i do oceny konieczności zawiadomienia osób, o takim naruszeniu.

Za nim przejdziemy do prezentacji poglądów Sądu warto krótko przedstawić stan faktyczny:

  1. Pracownik spółki będącej podmiotem przetwarzającym Towarzystwa Ubezpieczeniowego wysłał wiadomość e-mail do osoby nieuprawnionej.
  2. Wiadomość e-mail zawierała niezaszyfrowaną ofertę i kalkulację Towarzystwa Ubezpieczeń, w tym takie dane osobowe jak imię, nazwisko, nr PESEL, datę urodzenia, miejscowość, kod pocztowy.
  3. Podmiot przetwarzający dokonał zgłoszenia naruszenia ochrony danych osobowych organowi nadzorczemu w zakresie w jakim pewne dane przetwarzało jako ich administrator.
  4. Prezes UODO zwrócił się do Towarzystwa Ubezpieczeniowego z żądaniem wyjaśnienia przyczyn niezgłoszenia naruszenia ochrony danych osobowych.
  5. Towarzystwo Ubezpieczeń obszernie przedstawiło swoje stanowisko co do braku takiego obowiązku ze względu na “poziom” prawdopodobieństwa naruszenia ochrony danych osobowych, gdyż nie wszystkie naruszenia ochrony danych osobowych podlegają obowiązkowi zgłoszenia do organu nadzorczego.
  6. Prezes UODO miał inny pogląd na sprawę i w czerwcu 2021 r. wydał decyzję stwierdzającą naruszenie przez Sopockie Towarzystwo Ubezpieczeń ERGO Hestia S.A. […] przepisów art. 33 ust. 1 rozporządzenia 2016/679, polegające na niezgłoszeniu Prezesowi Urzędu Ochrony Danych Osobowych naruszenia ochrony danych osobowych bez zbędnej zwłoki, nie później niż w terminie 72 godzin po stwierdzeniu naruszenia oraz art. 34 ust. 1 rozporządzenia 2016/679, polegające na niezawiadomieniu o naruszeniu ochrony danych osobowych, bez zbędnej zwłoki osoby, której dane dotyczą, nakłada na Sopockie Towarzystwo Ubezpieczeń ERGO Hestia S.A. […] administracyjną karę pieniężną w wysokości 159.176 PLN (słownie: sto pięćdziesiąt dziewięć tysięcy sto siedemdziesiąt sześć złotych) oraz nakazuje, w terminie 3 dni, Sopockiemu Towarzystwu Ubezpieczeń ERGO Hestia S.A. […] zawiadomienie osoby, której dane dotyczą, o naruszeniu ochrony danych osobowych w celu przekazania jej informacji wymaganych zgodnie z art. 34 ust. 2 rozporządzenia 2016/679.

4 lata z RODO!

W skardze do sądu administrator próbował przekonać, że:

  1. nie doszło do naruszenia ochrony danych osobowych, o którym mowa w art. 4 pkt. 12 RODO, gdyż dysponuje on oświadczeniem osoby, która otrzymała wiadomość e-mail, o skasowaniu tej wiadomości przed jej przeczytaniem, a jeśli jednak doszło do naruszenia ochrony danych to “waga” zagrożeń dla osoby, której dane dotyczyły nie wymagała zgłoszenia naruszenia do Prezesa UODO;
  2. jeśli jednak doszło do naruszenia ochrony danych, które należy zgłosić do organu nadzorczego to nie można obronić tezy, że naruszenie ochrony danych osobowych mogło spowodować wysokie ryzyko naruszenia praw lub wolności (art. 34 ust. 1 RODO). Tutaj administrator chciał m. in. przekonać Sąd, że skalkulowana wartość ubezpieczenia domu (300 000 zł) nie stanowi “informacja o stanie finansowym”, o którym mowa w publikacji ENISA dotyczącej metodyki wyliczania “wagi” naruszeń.

Administratorowi udało się przekonać Sąd do drugiego stanowiska. Z powodu konstrukcji treści decyzji administracyjnie Sąd zobowiązany był do uchylenia decyzji w całości. 

Sąd argumentował tak:

Zdaniem Sądu organ zarzucając skarżącej naruszenie art. 34 ust. 1 Rozporządzenia i wymierzając jej w związku z tym karę pieniężną nie wyjaśnił dostatecznie i przekonywająco przesłanek uznania, że naruszenie ochrony danych osobowych przez skarżącą mogło powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych.

Zdaniem Wojewódzkiego Sądu Administracyjnego w Warszawie organ nie wykazał przekonywająco, że w praktyce jest możliwe, np. legalne zaciąganie zobowiązań wyłącznie na podstawie danych obejmujących imię i nazwisko oraz numer PESEL oraz miejscowość i kod pocztowy, ani że na podstawie takich danych można również zawrzeć umowy pożyczki, nawet w instytucjach pozabankowych czy parabankowych, za pośrednictwem Internetu lub telefonicznie.

Wątpliwe, bo niepotwierdzone konkretnymi dowodami wydają się również stwierdzenia organu, że dysponowanie samymi danymi osobowymi, obejmującymi imię i nazwisko oraz numer PESEL pozwala, np. na uzyskanie dostępu do systemów obsługujących udzielanie świadczeń medycznych i na wgląd do danych o stanie zdrowia osoby dotkniętej naruszeniem. Skarżąca podniosła bowiem, że gdyby rzeczywiście udostępnienie danych osobowych, o których mowa w tej sprawie rodziło obiektywnie wysokie ryzyko naruszenia praw lub wolności osób, których te dane dotyczą, udostępnienie takich danych w otwartych rejestrach publicznych, np. rejestr przedsiębiorców w Krajowym Rejestrze Sądowym, czy też w podpisie elektronicznym, mogłoby narażać posiadaczy danych na poważne konsekwencje, również wówczas, gdy dane zostały udostępnione za ich zgodą.

Nie jest również dostatecznie uzasadnione, a przez to nie jest przekonujące stwierdzenie organu, że na skutek nieuprawnionego ujawnienia danych w wyniku przesłania korespondencji zawierającej dane osobowe niewłaściwemu odbiorcy, doszło do ujawnienia nie tylko numeru ewidencyjnego PESEL wraz z imieniem i nazwiskiem, miejscowością i kodem pocztowym osoby, której dane dotyczą, ale również informacji o stanie finansowym (majątkowym) podmiotu danych.

Jak podniosła strona skarżąca w skardze do Sądu, informacja o zamiarze wykupienia przez konkretną osobę polisy ubezpieczenia domu na kwotę 300.000 PLN sama w sobie nie wskazuje, czy chodzi o wycenę nieruchomości należącej do tej osoby, osoby trzeciej, czy też może planowanej przez taką osobę inwestycji (zakupu nieruchomości). Oferta ubezpieczenia nie stanowi również informacji o stanie zobowiązań jej adresata, gdyż wskazana wysokość składki mogłaby ulec zmianie.

Ponadto, jest to wyłącznie propozycja zawarcia umowy składana przez agenta – brak jakichkolwiek podstaw do wnioskowania na jej podstawie o rzeczywistych (końcowych) warunkach przyszłej umowy, zwłaszcza że przesłana omyłkowo korespondencja zawierała również oferty dwóch innych zakładów ubezpieczeń (jak należy przypuszczać – różniące się od oferty skarżącego). Kwota ubezpieczenia jest wartością czysto deklaratoryjną i nie pozwala na ustalenie stanu majątkowego adresata oferty polisy.

W zakresie pierwszego punktu Sąd wskazał, że takie naruszenie, o jakim mowa w sprawie, należało zgłosić do organu nadzorczego, gdyż:

W rozpatrywanym przypadku dane były zawarte w niezaszyfrowanym załączniku. Natomiast charakter i rodzaj udostępnionych danych w dużym stopniu umożliwiał ustalenie tożsamości konkretnej osoby bezpośrednio w oparciu o dane osobowe, których dotyczy naruszenie, bez szczególnej potrzeby gromadzenia dodatkowych informacji pozwalających określić tę tożsamość. W tych okolicznościach osoba, której dane zostały udostępnione utraciła możliwość sprawowania kontroli nad swoimi danymi osobowymi i tym samym doznała naruszenia jej prawa do ochrony danych osobowych (art. 51 ust. 1 Konstytucji RP).

Te okoliczności pozwalają zdaniem Sądu przyjąć, że nie została spełniona określona w art. 33 ust. 1 Rozporządzenia przesłanka zwalniająca administratora danych z obowiązku zgłoszenia organowi nadzoru faktu naruszenia danych osobowych. Należy zatem podzielić stanowisko Prezesa UODO co do tego, że prawdopodobieństwo, by stwierdzone naruszenie ochrony danych osobowych rodziło ryzyko naruszenia praw lub wolności osoby, której dane zostały ujawnione, nie jest małe. Skarżąca miała zatem obowiązek zgłoszenia tego naruszenia organowi nadzoru.

Subskrypcja 30 dni
Przez 30 dni masz dostęp do zaawansowanej wyszukiwarki:
129
 PLN z VAT
  • Aktualizowanej Bazy Orzeczeń Sądów i Trybunałów
  • Eksperckich tez wybranych orzeczeń
  • Decyzji Polskiego Organu Nadzorczego
  • Decyzji Europejskich Organów Nadzorczych
  • Wytycznych i Opinii EDPB oraz EDPS
  • Konkretnych argumentów w postępowaniu administracyjnym
Wybieram
Subskrypcja 360 dni
Przez 360 dni masz dostęp do wszystkich funkcjonalności subskrypcji 30 dni
1548
 PLN z VAT
  • Dedykowany newsletter zawierający najważniejsze wyroki opublikowane w danym miesiącu wraz z tezami
  • Indywidualnych konsultacji z założycielem serwisu Judykatura.pl w kwestiach związanych z RODO (3 konsultacje w ramach obowiązującej subskrypcji)
  • Oszczędność 15% względem pozostałych pakietów
Wybieram
Subskrypcja 180 dni
Przez 180 dni masz dostęp do wszystkich elementów subskrypcji 90 dni:
774
 PLN z VAT
  • Dedykowany newsletter zawierający najważniejsze wyroki opublikowane w danym miesiącu wraz z tezami
  • Indywidualną konsultację z założycielem serwisu Judykatura.pl w kwestiach związanych z RODO (1 konsultacja w ramach obowiązującej subskrypcji)
  • Oszczędność 10% względem pozostałych pakietów
Wybieram

W zakresie samego pojęcia naruszenia Sąd wypowiedział się tak:

W rozpatrywanej sprawie w związku z przesłaniem przez pracownika wiadomości e-mail zawierającej dane osobowe na nieprawidłowy adres e-mail, nieuprawniony odbiorca uzyskał dostęp do danych osobowych.

Słowo “dostęp”, na co zresztą zwraca uwagę strona skarżąca w skardze, oznacza m. in. “możność przyjścia do kogoś, zetknięcia się z kimś, korzystania z czegoś” (por. Internetowy słownik języka polskiego PWN).

Jeszcze inaczej – udostępnić to umożliwić komuś odbiór, przyswojenie czegoś. To pojęcie nie obejmuje zatem skutku tego działania w postaci faktycznego odebrania czy przyswojenia sobie udostępnionej informacji.

Doszło wiec do nieuprawnionego faktycznego, a nie hipotetycznego, udostępnienia danych przetwarzanych przez skarżącą Spółkę, stanowiącego naruszenie ochrony danych osobowych w rozumieniu art. 4 pkt 12 i art. 32 ust. 1 Rozporządzenia. W wyniku naruszenia ochrony danych osobowych administrator utracił kontrolę nad przetwarzanymi danymi osobowymi, natomiast nieuprawniony odbiorca uzyskał do nich dostęp, stał się dysponentem tych danych, co prowadzi do wniosku, że nie może być mowy o incydencie bezpieczeństwa, lecz o naruszeniu ochrony danych osobowych (dotyczącemu poufności danych osobowych).

Niejako na marginesie Sąd podnosi, że nie wszystkie incydenty bezpieczeństwa muszą wiązać się z naruszeniem ochrony danych osobowych. Z naruszeniem ochrony danych osobowych będziemy mieli do czynienia wówczas, gdy administrator nie jest w stanie zapewnić zgodności z zasadami przetwarzania danych osobowych, o których mowa w art. 5 rozporządzenia.

Dla stwierdzenia naruszenia ochrony danych osobowych nie ma zatem znaczenia to, czy nieuprawniony adresat tych danych faktycznie się z nimi zapoznał. W związku z tym jego oświadczenie, że nie zapoznał się z zawartością emaila i że usunął tę wiadomość mailową jest w tej kwestii bez znaczenia.

W kolejnej sprawie z serii dotyczących zadośćuczynienia wynikającego z naruszenia przepisów ochrony danych osobowych omówimy sprawę, której stan faktyczny nadaje się na niezły odcinek serialu dramatycznego – jest tutaj i zdrada i nagrywanie z ukrycia i próba uzyskania danych osobowych z rejestru Gminy i anonimy…

Postaram się skrócić stan faktyczny do kilku punktów, bo nie on jest tutaj najistotniejszy, a jest nim argumentacja sądu stojąca za wyrokiem oddalającym powództwo:

  1. Pani L.P. pozwem z kwietnia 2019 r. domagała się zasądzenia od pozwanej Gminy kwoty 40 000 zł “tytułem odszkodowania za poniesioną szkodę niemajątkową wynikającą z naruszenia dóbr osobistych powódki poprzez bezprawne ujawnienie jej danych osobowych”.
  2. Uzasadniając żądanie powódka podała, że wnioskami z dnia 7 lipca 2018r. oraz 9 lipca 2018r. wystąpiła do Burmistrza O. o udostępnienie danych z rejestru mieszkańców dotyczących dwóch osób, wobec których zamierzała wystąpić z prywatnym aktem oskarżenia.
  3. Decyzjami z dnia 8 sierpnia 2018 r. Burmistrz Gminy O. odmówił udostępnienia danych z uwagi na niewykazanie interesu prawnego. Decyzje zawierały dane osobowe powódki, tj. jej imię i nazwisko. W obu decyzjach, sporządzonych przez Podinspektora ds. ewidencji ludności B. C., a podpisanych przez Sekretarza Gminy O. L. P. (2), działającego z upoważnienia Burmistrza Gminy, wskazano, iż zostały one wysłane również do osób wskazanych wnioskiem, tj. p. S. W. oraz p. A., której danych powódka do dnia dzisiejszego nie ustaliła.
  4. Powódka wskazała, że ustawa o ewidencji ludności nie zawiera podstawy prawnej do udostępniania danych osób składających wniosek o udostępnienie danych osobowych z rejestru mieszkańców osobie, której dany wniosek dotyczył, w związku z tym działanie pozwanej, polegające na doręczeniu odpisów decyzji zawierających dane osobowe powódki, należało uznać za bezprawne.
  5. Powódka wywodziła, iż sama pozwana, jako administrator danych osobowych powódki potwierdziła fakt dokonania naruszenia. Pismem z dnia 28 sierpnia 2018r., stanowiącym odpowiedź na zgłoszenie powódki naruszenia ochrony danych osobowych, pozwana poinformowała bowiem powódkę, że stosownie do treści art. 33 Rozporządzenia Parlamentu Europejskiego i Rady (UE) (…) z dnia 27 kwietnia 2016r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchyleniu dyrektywy oraz art. 55 ustawy o ochronie danych osobowych stwierdzono wystąpienie naruszenia ochrony danych osobowych, zaś naruszenie to zostało zgłoszone Urzędowi (…). W piśmie wskazano również, że podjęto odpowiednie środki zaradcze celem zminimalizowania ewentualnych skutków naruszenia i jego ponownego wystąpienia.
  6. W dniu 15 listopada 2018r. powódka otrzymała anonimowy list, stanowiący swego rodzaju ostrzeżenie przed nią, jako osobą wścibską, zawistną oraz ingerującą w życie innych poprzez wszczynanie postępowań karnych i administracyjnych, a także usiłowanie wydobycia danych osobowych z Gminy. Pismo zawierało również szereg inwektyw kierowanych do powódki, w ocenie powódki stanowiło również formę podżegania do przestępstwa naruszenia jej nietykalności cielesnej.
  7. Powódka bardzo przeżyła fakt ujawnienia jej danych osobowych. Od dnia ujawnienia się tych pism przechodzi załamanie nerwowe, co mając na uwadze jej wiek i liczne schorzenia, bezpośrednio zagraża jej życiu. W dniu 22 listopada 2018 r. powódka pod wpływem stresu doznała zawrotów głowy i upadła, co spowodowało bolesne stłuczenie klatki piersiowej. Powódka obawia się o również o swoje bezpieczeństwo.
  8. W odpowiedzi na wezwanie powódki z dnia 19 listopada 2018r. do zapłaty zadośćuczynienia za naruszenie jej dóbr osobistych pozwana odmówiła uznania roszczenia wskazując, że nie sposób przyjąć, iż ewentualne działanie urzędnika Urzędu Miejskiego w O. w jakikolwiek sposób przyczyniło się do powstania czy eskalacji konfliktu jak się wydaje rodzinnego.
Subskrypcja 30 dni
Przez 30 dni masz dostęp do zaawansowanej wyszukiwarki:
129
 PLN z VAT
  • Aktualizowanej Bazy Orzeczeń Sądów i Trybunałów
  • Eksperckich tez wybranych orzeczeń
  • Decyzji Polskiego Organu Nadzorczego
  • Decyzji Europejskich Organów Nadzorczych
  • Wytycznych i Opinii EDPB oraz EDPS
  • Konkretnych argumentów w postępowaniu administracyjnym
Wybieram
Subskrypcja 360 dni
Przez 360 dni masz dostęp do wszystkich funkcjonalności subskrypcji 30 dni
1548
 PLN z VAT
  • Dedykowany newsletter zawierający najważniejsze wyroki opublikowane w danym miesiącu wraz z tezami
  • Indywidualnych konsultacji z założycielem serwisu Judykatura.pl w kwestiach związanych z RODO (3 konsultacje w ramach obowiązującej subskrypcji)
  • Oszczędność 15% względem pozostałych pakietów
Wybieram
Subskrypcja 180 dni
Przez 180 dni masz dostęp do wszystkich elementów subskrypcji 90 dni:
774
 PLN z VAT
  • Dedykowany newsletter zawierający najważniejsze wyroki opublikowane w danym miesiącu wraz z tezami
  • Indywidualną konsultację z założycielem serwisu Judykatura.pl w kwestiach związanych z RODO (1 konsultacja w ramach obowiązującej subskrypcji)
  • Oszczędność 10% względem pozostałych pakietów
Wybieram

a jeśli chodzi o elementy jak z serialu to Sąd ustalił taki stan faktyczny:

Powódka podejrzewała swojego męża o utrzymywanie kontaktów z innymi kobietami; mąż powódki zaprzeczał temu. Na nagraniu dokonanym telefonem pozostawionym w domu w celu weryfikacji podejrzeń, powódka zidentyfikowała w jej ocenie, głos sąsiadki mieszkającej naprzeciwko, o której wiedziała, że ma na imię A.. Powódka przestraszyła się, że osoba ta odwiedziła jej męża, ponieważ miała wiedzę, iż pracuje ona w aptece i ma do czynienia z lekami.

Powódka mając już “jakieś” informację o tym, kto konkretnie jest “zainteresowany” jej mężem wystąpiła:

w dniu 09 lipca 2018r. do Burmistrza Gminy O. z wnioskiem o udostępnienie danych z rejestru mieszkańców dotyczących S. W. w zakresie adresu i daty zameldowania na pobyt stały i czasowy oraz numeru PESEL; powódka złożyła także wniosek o udostępnienie danych z rejestru mieszkańców dotyczących p. A. zameldowanej przy ul. (…) w O..

Jako uzasadnienie potrzeby uzyskania danych powódka wskazała, iż zamierza wytoczyć powództwo w celu ochrony jej praw wynikających z naruszenia art. 157 i 193 k.k.

Organ rozpatrujący wniosek L.P. o udostępnienie danych osobowych decyzją z sierpnia 2018 r.:

odmówił udostępnienia danych dotyczących p. A.. W uzasadnieniu wskazano, iż L. P. (1) nie wykazała interesu prawnego w uzyskaniu informacji zaś zamiar skierowania do sądu wniosku w celu ochrony praw wynikających z art. 157 k.k. i art. 193 k.k. nie spełnia przesłanek wykazania interesu prawnego. Sam zamiar zainicjowania postępowania sądowego nie wypełnia bowiem istotnych elementarnych wartości, na jakich oparty jest interes prawny. Nie jest to bowiem interes prawny konkretny, aktualny obiektywnie istniejący. Samo deklarowanie zainicjowania w przyszłości postępowania sądowego przesądza o braku uzasadnionych podstaw prawnych i faktycznych wykazania interesu prawnego. Nadto w piśmie wskazano, że wysłane zostało zapytanie do osoby, której wniosek dotyczy w celu uzyskania zgody tej osoby na udostępnienie danych oraz, że w dniu 06 sierpnia 2018r. Urząd otrzymał pismo od Pani A. o niewyrażeniu zgody na udostępnianie jej danych osobowych żadnej innej osobie.

Odpis decyzji wysłano powódce oraz osobie, której dotyczył wniosek tj. p. A..

no i pokazuje się też anonim:

„informacja dot. L. P. (1), zam. O., ul. (…), Informujemy wszystkich mieszkańców O., o (…), która wtrąca się do życia swojego męża i jego przyjaciółki. Pani P. zamiast zając się pracą i zdrowiem, usiłuje psuć związek swojemu mężowi, którego przez wiele lat zaniedbywała i nie dawała tego co kobieta powinna dać. teraz ma wielkie pretensje do świata i do kobiety która go doceniła, pokochała i urodziła mu dziecko. Z informacji urzędu miasta wiemy, że jest wielce niezadowolona z powodu odwiedzin przyjaciółki męża w jej domu, wdraża postępowania administracyjne, śledztwa prokuratorskie i sprawy sądowe. Usiłuje wyciągać dane osobowe z Gminy, ale bez skutku – sprawa (…) Szanowni Mieszkańcy naszego miasta, Każdy kto spotka na swej drodze L. P. (1) powinien splunąć na jej twarz. Kto jej nie zna wskazujemy facjatę celem dokładnego trafienia śliną”.

No i taki list nie mógł wywołać innego efektu niż:

Powódka po otrzymaniu anonimu zgłosiła się do psychiatry; otrzymała receptę na leki psychotropowe, jednak po zapoznaniu się z treścią dołączonych do nich ulotek zdecydowała, że nie będzie ich zażywać. W zamian wieczorami wypiła „drinka”.

I teraz możemy przejść do stanowiska Sądu w zakresie przedstawionego powództwa.

Materialnoprawną podstawę żądania powódki stanowił art. 82 Rozporządzenia Parlamentu Europejskiego i Rady (UE) (…) z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy (…) (dalej (…)), zgodnie z którym każda osoba, która poniosła szkodę majątkową lub niemajątkową w wyniku naruszenia rozporządzenia, ma prawo uzyskać od administratora lub podmiotu przetwarzającego odszkodowanie za poniesioną szkodę (ust. 1). Każdy administrator uczestniczący w przetwarzaniu odpowiada za szkody spowodowane przetwarzaniem naruszającym niniejsze rozporządzenie. Podmiot przetwarzający odpowiada za szkody spowodowane przetwarzaniem wyłącznie, gdy nie dopełnił obowiązków, które rozporządzenie nakłada bezpośrednio na podmioty przetwarzające, lub gdy działał poza zgodnymi z prawem instrukcjami administratora lub wbrew tym instrukcjom (ust. 2). Administrator lub podmiot przetwarzający zostają zwolnieni z odpowiedzialności, jeżeli udowodnią, że w żaden sposób nie ponoszą winy za zdarzenie, które doprowadziło do powstania szkody (ust. 3).

Zgodnie zaś z art. 92 ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych w zakresie nieuregulowanym rozporządzeniem 2016/679, do roszczeń z tytułu naruszenia przepisów o ochronie danych osobowych, o których mowa w art. 79 i art. 82 tego rozporządzenia, stosuje się przepisy kodeksu cywilnego.

Zaś zgodnie z art. 100 tejże ustawy do postępowania w sprawie o roszczenie z tytułu naruszenia przepisów o ochronie danych osobowych, o których mowa w art. 79 i art. 82 rozporządzenia (…), w zakresie nieuregulowanym ustawą o ochronie danych osobowych stosuje się przepisy kodeksu postępowania cywilnego.

Sąd odniósł się też do ważnego zagadnienia – czy mamy tutaj do czynienia z odpowiedzialnością deliktową:

Natomiast w polskim prawie cywilnym zasada ochrony dóbr osobistych człowieka wyrażona została w art. 23 k.c., w myśl którego dobra osobiste człowieka, pozostają pod ochroną prawa cywilnego, niezależnie od ochrony przewidzianej w innych przepisach. Katalog chronionych dóbr osobistych wymienionych w art. 23 k.c. ma przy tym jedynie charakter przykładowy, na co wskazuje sformułowanie „w szczególności”, nie jest to więc katalog wyczerpujący. Środkiem ochrony naruszonych dóbr jest m.in. zadośćuczynienie pieniężne za doznaną krzywdę (art. 448 k.c. w zw. z art. 24 § 1 zd. 3 k.c.).

Przesłanką roszczenia o zapłatę zadośćuczynienia na podstawie przytoczonych przepisów jest wykazanie przez pokrzywdzonego faktu naruszenia konkretnego dobra osobistego oraz doznania krzywdy na skutek naruszenia dobra osobistego. Przepis art. 448 k.c. został umieszczony w tytule VI księgi trzeciej Kodeksu cywilnego “Czyny niedozwolone”, zatem stosuje się do niego zasady reżimu odpowiedzialności deliktowej (orzeczenie SN z dnia 12 grudnia 2002 r., V CKN 1581/00, i z dnia 24 stycznia 2008 r., I CSK 319/07, LEX nr 448025). Warunkiem przyznania zadośćuczynienia pieniężnego za doznaną krzywdę jest więc wina podmiotu, który dopuścił się naruszenia (art. 415 k.c.). Ciężar dowodu w zakresie winy spoczywa na podmiocie, który dochodzi ochrony swoich dóbr osobistych.

4 lata z RODO!

Sąd też wskazał, że:

W celu oceny roszczenia powódki zbadać należało w rozpoznawanej sprawie, czy udostępnienie przez pozwaną Gminę danych osobowych powódki osobom, których dotyczył jej wniosek, było zgodne z prawem.

Zgodnie z art. 46 ust. 1 ustawy z dnia 10 maja 2018 r. o ewidencji ludności, która miała zastosowanie do postępowania organów administracji w niniejszej sprawie, dane z rejestru PESEL oraz rejestrów mieszkańców w zakresie niezbędnym do realizacji ich ustawowych zadań udostępnia się organom państwowym i samorządowym, oraz innym podmiotom w nim wymienionym.

Dane te mogą być udostępnione osobom i jednostkom organizacyjnym, jeżeli wykażą w tym interes prawny (art. 46 ust. 2 pkt 1 ustawy o ewidencji ludności) oraz innym osobom i jednostkom organizacyjnym, jeżeli wykażą interes faktyczny w otrzymaniu danych, pod warunkiem uzyskania zgody osób, których dane dotyczą (art. 46 ust. 2 pkt 3 ustawy o ewidencji ludności). Te dwa przepisy kreują odrębne przesłanki warunkujące udostępnienie danych osobowych.

Tryb uzyskiwania zgody, o której mowa w art. 46 ust. 2 pkt 3 ustawy o ewidencji ludności obecnie określa Rozporządzenie Ministra Cyfryzacji z dnia 21 grudnia 2018 r. w sprawie określenia wzorów wniosków o udostępnienie danych z rejestru mieszkańców i rejestru PESEL oraz trybu uzyskiwania zgody na udostępnienie danych po wykazaniu interesu faktycznego.

W orzeczeniu znajdziemy też podsumowanie:

Działanie to było więc zgodne z art. 6 ust. 1 pkt c (…), gdyż organ do którego zwróciła się powódka zobowiązany był wystąpić do wskazanych przez powódkę osób z wnioskiem o wyrażenie zgody, jednocześnie podając jej imię i nazwisko, jako wnioskodawczyni. Celem udostępnienia danych dotyczących wnioskodawcy była wyłącznie realizacja wniosku powódki, zaś Gmina nie ujawniła danych dotyczących powódki w zakresie szerszym niż zobowiązywały ją do tego przepisy wyżej powołanego rozporządzenia. W tej sytuacji nie można mówić o naruszeniu dóbr osobistych powódki poprzez ujawnienie jej danych osobowych osobom trzecim, skoro działanie Gminy, jako administratora tych danych, było zgodne z prawem, a nadto przez to prawo wymagane.

Niezależnie od powyższego wskazać należy, iż nawet gdyby uznać, że udostępnienie danych osobowych powódki osobom trzecim stanowiło naruszenie przepisów (…) to i tak w ocenie Sądu brak jest adekwatnego związku przyczynowego pomiędzy tym naruszeniem a szkodą niemajatkową powódki.

Reasumując Sąd ocenił, że:

brak w ocenie Sądu w świetle ustalonego stanu faktycznego także wskazywanego przez powódkę związku z zachowaniem strony pozwanej a stanem zdrowia powódki oraz odczuwanym stresem i lękiem. Powódka bowiem jak zeznała dochodzoną pozwem kwotę wyliczyła biorąc pod uwagę pogorszenie stanu zdrowia, fakt wypadania włosów; jak zeznała „teraz musi jeździć po lekarzach i się leczyć”. Powódka zeznała, iż schudła 12 kg od chwili kiedy powzięła wiedzę, iż u jej męża była p. A. i pojawiły się u niej nowe choroby, ponieważ wcześniej chorowała tylko na (…). Nadto po sprawie z S. W. ujawniła się u niej (…), a po otrzymaniu anonimu dostała (…) i została skierowana do szpitala, dostała także (…), co uznaje za skutki stresu. Jednakże z dołączonej przez powódkę dokumentacji lekarskiej wynika, iż już przed majem 2018r. była leczona z powodu (…), (…) i (…); nie wykazała powódka także w ocenie Sądu związku przyczynowego między zachowaniem strony pozwanej a faktem doznania upadku w dniu 22 listopada 2018r.

Sama powódka zeznając w ogóle do tego zdarzenia nie nawiązała, opisując jednak szczegółowo dwa inne zdarzenia napaści na nią, kiedy to zostać miała uderzona oraz przyduszona. Sąd nie czynił jednak w tym zakresie ustaleń faktycznych, albowiem sama powódka w pozwie nie wskazywała na te zdarzenia jako na podstawę faktyczną swego roszczenia. Powódka w żaden sposób nie wykazała, iż to w związku z zachowaniem pozwanej Gminy a nie w związku choćby z problemami małżeńskimi doszło ewentualnie do zmiany czy pogorszenia jej stanu zdrowia.

Mając na względzie powyżej opisane okoliczności Sąd orzekł jak w punkcie I sentencji wyroku, oceniając, iż brak jakichkolwiek podstaw do przyjęcia odpowiedzialności pozwanej Gminy względem powódki. W ocenie Sądu w świetle ustalonego stanu faktycznego udostępnienie danych osobowych powódki osobom trzecim nie stanowiło o naruszeniu przepisów (…), ale nawet i przy przyjęciu odmiennej oceny brak jest podstaw do przyjęcia istnienia adekwatnego związku przyczynowego pomiędzy owym naruszeniem a szkodą niemajatkową powódki.

Subskrypcja 30 dni
Przez 30 dni masz dostęp do zaawansowanej wyszukiwarki:
129
 PLN z VAT
  • Aktualizowanej Bazy Orzeczeń Sądów i Trybunałów
  • Eksperckich tez wybranych orzeczeń
  • Decyzji Polskiego Organu Nadzorczego
  • Decyzji Europejskich Organów Nadzorczych
  • Wytycznych i Opinii EDPB oraz EDPS
  • Konkretnych argumentów w postępowaniu administracyjnym
Wybieram
Subskrypcja 360 dni
Przez 360 dni masz dostęp do wszystkich funkcjonalności subskrypcji 30 dni
1548
 PLN z VAT
  • Dedykowany newsletter zawierający najważniejsze wyroki opublikowane w danym miesiącu wraz z tezami
  • Indywidualnych konsultacji z założycielem serwisu Judykatura.pl w kwestiach związanych z RODO (3 konsultacje w ramach obowiązującej subskrypcji)
  • Oszczędność 15% względem pozostałych pakietów
Wybieram
Subskrypcja 180 dni
Przez 180 dni masz dostęp do wszystkich elementów subskrypcji 90 dni:
774
 PLN z VAT
  • Dedykowany newsletter zawierający najważniejsze wyroki opublikowane w danym miesiącu wraz z tezami
  • Indywidualną konsultację z założycielem serwisu Judykatura.pl w kwestiach związanych z RODO (1 konsultacja w ramach obowiązującej subskrypcji)
  • Oszczędność 10% względem pozostałych pakietów
Wybieram

W Judykatura.pl poruszaliśmy już zagadnienie dotyczące zakresu stosowania przepisów RODO w odniesieniu do materii jaką zajmuje się Instytut Pamięci Narodowej – we wrześniu 2021 r. opisywaliśmy orzeczenie WSA w Warszawie oraz orzeczeni NSA:

NSA uchyla wyrok WSA w sprawie IPN

W najnowszym orzeczeniu WSA w Warszawie, odnoszącym się do powyższego zagadnienia, Sąd “podtrzymał” uprzedni pogląd judykatury wskazując, że niewłaściwa jest wykładnia art. 71 ustawy o IPN dokonana przez Prezesa UODO:

Tymczasem organ, przyjęte przez siebie stanowisko oparł na poglądzie, zgodnie z którym regulacje zawarte w RODO ograniczają się “wyłącznie” do Bazy Materiału Genetycznego (wskazanej w art. 53f ustawy o IPN) – art. 71 ustawy o IPN

Zatem przyjęta przez Prezesa UODO wykładnia nie uwzględnia literalnego brzmienia przepisu, a jego “uzupełnianie” o wspomniane słowa w celu uzyskania określonego celu wykładni stanowi przykład wykładni prawotwórczej contra legem. Niewątpliwie prowadziło to do zastosowania wnioskowania a contrario, lecz pamiętać należy o tym, że wnioskowanie to jest zawodne, a co więcej czym innym jest ustalenie znaczenia interpretowanego przepisu, a czym innym wyprowadzenie wniosków o niewiązaniu skutków prawnych z przypadkami nieunormowanymi. “W większości przypadków, kiedy mamy do czynienia z wnioskowaniem a contrario, podmiot przeprowadzający to wnioskowanie obowiązujący przepis sam dekonstruowuje w ten sposób, by znalazły się w nim wspomniane zwroty “jedynie itp.”

Sprawa została zainicjowana przez A.O., który złożył do Prezesa UODO wniosek o przeprowadzenie postępowania administracyjnego w zakresie przetwarzania danych osobowych na stronie internetowej prowadzonej przez IPN – Komisję Ścigania Zbrodni przeciwko Narodowi Polskiemu.

 

4 lata z RODO!

Prezes UODO, nie zważając na orzeczenia WSA i NSA, które zostały wskazane na początku wpisu, uznał się niewłaściwym do procedowania i wydał postanowienie odmawiające wszczęcia postępowania wskazując w jego podstawie m. in. art. 61 a § 1 kpa.

W odniesieniu do takiej podstawy postanowienia Prezesa UODO Sąd wskazał jednoznacznie, że:

Nadto Sąd orzekający w niniejszej sprawie podziela pogląd wyrażany w wyroku z 25 sierpnia 2020 r., sygn. akt I OSK 3325/19, iż przepis art. 61a § 1 k.p.a. ma zastosowanie tylko wtedy, gdy postępowania zainicjowanego wnioskiem strony nie da się prowadzić.

Innymi słowy, gdy okoliczności prawne wykluczają podjęcie przez organ działań zmierzających do załatwienia sprawy administracyjnej. Jednakże organ odmawiając wszczęcia postępowania administracyjnego, nie może argumentować swojego działania brakiem właściwości, co miało miejsce w niniejszej sprawie. Jeżeli bowiem organ, który otrzymał wniosek uznaje się za niewłaściwy, wówczas zastosowanie znajduje art. 65 lub 66 k.p.a.

W konsekwencji, po zbadaniu treści podania i stwierdzeniu braku właściwości organ winien albo przekazać sprawę organowi właściwemu (art. 65 § 1 k.p.a.), albo, jeżeli takowego nie jest w stanie ustalić lub gdy właściwy jest sąd powszechny – zwrócić podanie wnoszącemu (art. 66 § 3 k.p.a.). W żadnej mierze nie może być to jednak przesłanka do odmowy wszczęcia postępowania, jak miało to miejsce w niniejszej sprawie, gdyż oba tryby (odmowa wszczęcia postępowania oraz przekazanie podania według właściwości) są względem siebie niezależne i niekonkurencyjne.

W marcu 2022 r. Prezes Urzędu Ochrony Danych Osobowych wydał decyzję umarzająca postępowanie w sprawie dotyczącej zgłoszenia, w lipcu 2021 r., naruszenia ochrony danych osobowych.

Naruszenie to polegało na nieautoryzowanym dostępie do systemu informatycznego spółki, która przesłała przedmiotowe zawiadomienie.

Prezes UODO wskazując na swoje uprawnienie uzyskania od administratora i podmiotu przetwarzającego dostępu do wszelkich danych osobowych i wszelkich informacji niezbędnych organowi nadzorczemu do realizacji swoich zadań, wynikające z art. 58 ust. 1 lit. e RODO zwrócił się do spółki o:

„Proszę o przekazanie informacji, czy, a jeśli tak, to z jakimi kategoriami danych i kogo dotyczącymi osoba nieuprawniona mogła się zapoznać, skoro uzyskała dostęp do »listy naszych klientów« i »listy zamówień«, o których mowa w załączniku nr 4 do pisma administratora z dnia […] września 2021 r.

Spółka odpowiedziała, że:

W zakresie »listy naszych klientów« mogło dojść do zapoznania się z informacjami, które nie zawierały w swej treści danych osobowych, ponieważ stanowiły jedynie dane podmiotów będących osobami prawnymi – klientami Spółki […].

Odnosząc się natomiast do »listy zamówień« – mogło dojść do zapoznania się z danymi Klientów, czyli klientów administratorów powierzających Spółce dane osobowe należące do osób fizycznych będących ich klientami końcowymi. W stosunku do tych danych Spółka nie działa jako administrator, lecz jako podmiot przetwarzający, co pozostaje poza zakresem złożonego zawiadomienia, a wskazanie kategorii danych wymagałoby potwierdzenia możliwości ich przekazania przez Spółkę z Klientami

oraz wskazała, że nie ujawni listy administratorów dla których pełni rolę podmiotu przetwarzającego, gdyż:

W odpowiedzi na żądanie przedstawienia listy administratorów danych, dla których Spółka jest podmiotem przetwarzającym, Spółka wskazała m. in., że obowiązek ten [obowiązek zachowania poufności] dotyczy zazwyczaj wszelkich otrzymanych od Administratorów danych, w tym danych o samym zawarciu umów na podstawie których odbywa się współpraca jak i danych o tym, że kontrahent korzysta z usług Spółki. Spółka pragnąc wywiązać się z obowiązku zachowania poufności, w celu uniknięcia negatywnych sankcji, nie tylko prawnych i finansowych, ale także wizerunkowych nie ma możliwości udostępnienia tych danych bez uzyskania uprzedniej zgody Administratorów

lista Administratorów stanowi także prawnie chronioną tajemnicę przedsiębiorstwa Spółki (art. 11 ustawy o zwalczaniu nieuczciwej konkurencji). Informacja ta ma znaczną wartość gospodarczą dla Spółki, ponieważ stanowi bazę klientów Spółki

Subskrypcja 30 dni
Przez 30 dni masz dostęp do zaawansowanej wyszukiwarki:
129
 PLN z VAT
  • Aktualizowanej Bazy Orzeczeń Sądów i Trybunałów
  • Eksperckich tez wybranych orzeczeń
  • Decyzji Polskiego Organu Nadzorczego
  • Decyzji Europejskich Organów Nadzorczych
  • Wytycznych i Opinii EDPB oraz EDPS
  • Konkretnych argumentów w postępowaniu administracyjnym
Wybieram
Subskrypcja 360 dni
Przez 360 dni masz dostęp do wszystkich funkcjonalności subskrypcji 30 dni
1548
 PLN z VAT
  • Dedykowany newsletter zawierający najważniejsze wyroki opublikowane w danym miesiącu wraz z tezami
  • Indywidualnych konsultacji z założycielem serwisu Judykatura.pl w kwestiach związanych z RODO (3 konsultacje w ramach obowiązującej subskrypcji)
  • Oszczędność 15% względem pozostałych pakietów
Wybieram
Subskrypcja 180 dni
Przez 180 dni masz dostęp do wszystkich elementów subskrypcji 90 dni:
774
 PLN z VAT
  • Dedykowany newsletter zawierający najważniejsze wyroki opublikowane w danym miesiącu wraz z tezami
  • Indywidualną konsultację z założycielem serwisu Judykatura.pl w kwestiach związanych z RODO (1 konsultacja w ramach obowiązującej subskrypcji)
  • Oszczędność 10% względem pozostałych pakietów
Wybieram

W odpowiedzi na pytanie o kategorie danych osobowych, które ujawniała „lista zamówień” oraz o ilość osób, których dane te dotyczyły, Spółka podniosła w szczególności, że co do tych danych „Spółka nie działa jako administrator, lecz jako podmiot przetwarzający, wobec czego nie jest uprawniona do udostępnienia tego rodzaju danych bez udokumentowanego polecenia Administratorów.

W takiej sytuacji Departament Kontroli i Naruszeń Urzędu Ochrony Danych Osobowych przeprowadził w styczniu 2022 r. kontrolę zgodności przetwarzania przez spółkę danych osobowych z przepisami o ochronie danych osobowych w związku z naruszeniem ochrony danych osobowych.

W toku kontroli Spółka przedstawiła jednak kontrolującym wszystkie żądane przez nich informacje i dokumenty; zapewniła również w pełnym zakresie wgląd w swoje systemy informatyczne. W szczególności Spółka przedstawiła listę swoich klientów – podmiotów, dla których świadczy usługi związane z przetwarzaniem powierzonych jej danych osobowych. Spółka przedstawiła również informację o przetwarzanych przez nią kategoriach danych osobowych.

Zgodnie z wynikami kontroli Prezes UODO poznał zakres przetwarzanych danych, a powierzonych spółce i są to:

dane pracowników w pełnym zakresie, pracowników klientów Spółki (osoby wskazane do kontaktu w zakresie: imię, nazwisko, adres e-mail oraz ewentualnie nr telefonu), jak również dane klientów podmiotów współpracujących, tj. adresatów przesyłek w zakresie: imię, nazwisko, adres e-mail, nr telefonu, adres wysyłki

Ustalono ponadto, że „osoba, która dostała się do systemu Spółki, miała dostęp do danych pracowników wszystkich klientów, natomiast dostęp do danych wynikających z zamówień dotyczył około 20 klientów [klientów podmiotów współpracujących ze Spółką – adresatów przesyłek].”

Jeśli Prezes UODO otrzymał wszelkie żądane informację to:

niniejsze postępowanie, wszczęte po dacie uzyskania przez Prezesa UODO wszelkich niezbędnych mu (…) informacji, było od chwili jego wszczęcia bezprzedmiotowe. Jak ustalono już w toku postępowania, nie istniał bowiem w tym momencie stan faktyczny uzasadniający nałożenie na Spółkę administracyjnej kary pieniężnej za naruszenie objęte przedmiotem postępowania określonym w piśmie informującym o jego wszczęciu, to jest za naruszenie art. 58 ust. 1 lit. e) Rozporządzenia 2016/679 polegające na niezapewnieniu Prezesowi UODO dostępu do informacji niezbędnych do realizacji jego zadań.

W kolejnym z wpisów dotyczących zadośćuczynienia związanego z nieprawidłowym przetwarzaniem danych osobowych poruszymy orzeczenie Sądu Okręgowego w Poznaniu dotyczące sytuacji, w której powód domagała się od Banku:

nakazania pozwanemu usunięcia z Biura (Informacji Kredytowej – PL) nieprawdziwych informacji o istnieniu zadłużenia powoda wobec pozwanego z tytułu nieobsługiwanego kredytu obrotowego z dnia 2 kwietnia 2012 r.

oraz

zasądzenia od pozwanego na rzecz powoda kwoty 50 000 zł tytułem zadośćuczynienia za naruszenie dóbr osobistych powoda w postaci prawa do poprawnego, zgodnego z prawem i rzetelnego przetwarzania danych osobowych, godności powoda a także jego dobrego imienia i to wraz z odsetkami ustawowymi za opóźnienie od dnia 25 czerwca 2019 r. do dnia zapłaty, zasądzenie od pozwanego na rzecz powoda kwoty 6 642 zł tytułem odszkodowania za wyrządzoną szkodę oraz zasądzenie od pozwanego na rzecz powoda zwrotu kosztów postępowania według norm przepisanych wraz z kosztami zastępstwa procesowego oraz kwoty 17 zł tytułem opłaty skarbowej od pełnomocnictwa.

Subskrypcja 30 dni
Przez 30 dni masz dostęp do zaawansowanej wyszukiwarki:
129
 PLN z VAT
  • Aktualizowanej Bazy Orzeczeń Sądów i Trybunałów
  • Eksperckich tez wybranych orzeczeń
  • Decyzji Polskiego Organu Nadzorczego
  • Decyzji Europejskich Organów Nadzorczych
  • Wytycznych i Opinii EDPB oraz EDPS
  • Konkretnych argumentów w postępowaniu administracyjnym
Wybieram
Subskrypcja 360 dni
Przez 360 dni masz dostęp do wszystkich funkcjonalności subskrypcji 30 dni
1548
 PLN z VAT
  • Dedykowany newsletter zawierający najważniejsze wyroki opublikowane w danym miesiącu wraz z tezami
  • Indywidualnych konsultacji z założycielem serwisu Judykatura.pl w kwestiach związanych z RODO (3 konsultacje w ramach obowiązującej subskrypcji)
  • Oszczędność 15% względem pozostałych pakietów
Wybieram
Subskrypcja 180 dni
Przez 180 dni masz dostęp do wszystkich elementów subskrypcji 90 dni:
774
 PLN z VAT
  • Dedykowany newsletter zawierający najważniejsze wyroki opublikowane w danym miesiącu wraz z tezami
  • Indywidualną konsultację z założycielem serwisu Judykatura.pl w kwestiach związanych z RODO (1 konsultacja w ramach obowiązującej subskrypcji)
  • Oszczędność 10% względem pozostałych pakietów
Wybieram

W treści uzasadnienia pozwu powód wskazał, że w dniu 30 marca 2012 r. pan K. G. – były pracownik (…) Bank S.A. (obecnie (…) Bank S.A. z siedzibą w W.) – działając w celu osiągnięcia korzyści majątkowej, poprzez wprowadzenie w błąd co do osoby zawierającej umowę kredytu oraz własnoręczne podrobienie podpisów powoda na dokumentach kredytowych, a także przedłożenie nierzetelnych dokumentów osobie kredytobiorcy, w wyniku zawartej umowy kredytu nr (…) doprowadził (…) Bank S.A. do niekorzystnego rozporządzenia mieniem w postaci pieniędzy w kwocie 165 385,50 zł, na szkodę tego banku.

Natomiast wyrokiem z dnia 6 listopada 2013 r., sygn. akt III K 473/13 Sąd Rejonowy w P. III Wydział Karny uznał oskarżonego K. G. za winnego przestępstw z art. 297 § 1 KK i art. 286 § 1 KK i art. 270 § 1 KK w zw. z art. 11 $ 2 KK, wymierzając oskarżonemu karę dwóch lat pozbawienia wolności w zawieszeniu na okres czterech lat tytułem próby, orzekając jednocześnie m.in. środek karny w postaci obowiązku naprawienia szkody poprzez zapłatę na rzecz (…) Bank (…) S.A. z siedzibą w W. (w czasie wyrokowania następca (…) Bank S.A.) kwoty 165 385,50 zł.

W związku z działaniem skazanego:

prawdopodobnie w ostatnich miesiącach roku 2018 w Biurze (…) S.A. (…) S.A.) pojawił się wpis o istnieniu nieobsługiwanego zadłużenia powoda z tytułu kredytu obrotowego z 2012 r., który w rzeczywistości zaciągnął skazany za ten czyn K. G..

Powód dowiedział się o przedmiotowym wpisie od pani A. D. Bankowości Korporacyjnej w (…)Bank S.A., która jest opiekunem powoda jako klienta tego Banku i która sprawdzała wiarygodność powoda w (…) S.A. w związku z planami powoda dotyczącymi zaciągnięcia kredytu na działalność gospodarczą.

Wiadomość ta okazała się dla niego ogromnym zaskoczeniem, powód zapomniał o sprawie wyłudzenia kredytu przez w/w skazanego i nie posiadał już jakichkolwiek dokumentów czy informacji w tym zakresie. Pismem z dnia 11 czerwca 2019 r. powód wezwał (…) Bank S.A. z siedzibą w W. do usunięcia nieprawdziwych danych z (…) S.A. oraz zapłaty odszkodowania i zadośćuczynienia.

Pozwany powyższe pismo odebrał 17 czerwca 2019 r., zatem wyznaczony przez powoda 7-dniowy termin do usunięcia danych i zapłaty minął bezskutecznie w dniu 24 czerwca 2019 r.

Do dnia wniesienia pozwu pozwany nie usunął nieprawdziwych danych z (…) S.A. dotyczących rzekomego zadłużenia powoda, nadal przetwarza je z naruszeniem przepisów prawa, nie zadośćuczynił powodowi za wyrządzoną krzywdę i nie pokrył wyrządzonej szkody.

Bank tłumaczył się ze swojego “zachowania”:

pisma wysyłane do Banku przez pełnomocnika powoda omyłkowo nie zostały rozpoznane merytorycznie przez pozwanego z uwagi na zidentyfikowanie powoda jako klienta Banku.

Bank dopiero 8 listopada 2019 r.  zwrócił się do Biura (…) S.A. o dokonanie korekty danych identyfikacyjnych powoda.

Ponadto w dniu 18 listopada 2019 r. na wniosek pozwanego wpis dotyczący kredytu nr (…) został trwale usunięty z bazy (…) S.A.

Subskrypcja 30 dni
Przez 30 dni masz dostęp do zaawansowanej wyszukiwarki:
129
 PLN z VAT
  • Aktualizowanej Bazy Orzeczeń Sądów i Trybunałów
  • Eksperckich tez wybranych orzeczeń
  • Decyzji Polskiego Organu Nadzorczego
  • Decyzji Europejskich Organów Nadzorczych
  • Wytycznych i Opinii EDPB oraz EDPS
  • Konkretnych argumentów w postępowaniu administracyjnym
Wybieram
Subskrypcja 360 dni
Przez 360 dni masz dostęp do wszystkich funkcjonalności subskrypcji 30 dni
1548
 PLN z VAT
  • Dedykowany newsletter zawierający najważniejsze wyroki opublikowane w danym miesiącu wraz z tezami
  • Indywidualnych konsultacji z założycielem serwisu Judykatura.pl w kwestiach związanych z RODO (3 konsultacje w ramach obowiązującej subskrypcji)
  • Oszczędność 15% względem pozostałych pakietów
Wybieram
Subskrypcja 180 dni
Przez 180 dni masz dostęp do wszystkich elementów subskrypcji 90 dni:
774
 PLN z VAT
  • Dedykowany newsletter zawierający najważniejsze wyroki opublikowane w danym miesiącu wraz z tezami
  • Indywidualną konsultację z założycielem serwisu Judykatura.pl w kwestiach związanych z RODO (1 konsultacja w ramach obowiązującej subskrypcji)
  • Oszczędność 10% względem pozostałych pakietów
Wybieram

Sąd zasądzając od pozwanego na rzecz powoda 16 642 zł ( szesnaście tysięcy sześćset czterdzieści dwa złote ) wraz z ustawowymi odsetkami za opóźnienie od dnia 25 czerwca 2019 r. do dnia zapłaty kierował się następującymi argumentami:

Bezspornym w sprawie jest fakt, iż powód w okresie od końca roku 2018 do dnia 18 listopada 2019 r. do dnia wykreślenia danych osobowych powoda z Biura (…) – z tytułu nieistniejącego zadłużenia bezpodstawnie i bezprawnie figurował jako nierzetelny dłużnik w bazie BIK.

Podstawą prawną żądania zadośćuczynienia z tytułu naruszenia dóbr osobistych jest art. 23 KC i 24 § 1 KC w zw. z art. 448 KC.

Sąd uznał, że bank naruszył dobra osobiste powoda tj. godność, cześć, dobre imię i poczucie bezpieczeństwa – poprzez bezpodstawne i bezprawne zaniechanie wykreślenia danych osobowych powoda z bazy Biura (…) w okresie co najmniej od czerwca do listopada 2019 r.

Działanie strony pozwanej było sprzeczne z obowiązującym porządkiem prawnym z uwagi na uchybienie zasadom współżycia społecznego, w szczególności zasadom uczciwości, rzetelności i lojalności szczególnie pożądanej przy działalności finansowej. Dobra osobiste to wartości niemajątkowe. Za dobra osobiste należy uznać dobrą sławę, określaną też mianem dobrego imienia. Dobre imię jest łączone z opinią, jaką mają o nim inne osoby. Nie ulega więc wątpliwości, że dobre imię osoby naruszają działania, które obiektywnie oceniając, przypisują jej niewłaściwe postępowanie mogące spowodować utratę do niej zaufania potrzebnego do prawidłowego funkcjonowania.

Sąd uznał, iż stopień naruszenia dóbr osobistych, jakiego doznał powód, był znaczny. Powód utracił poczucie bezpieczeństwa, wiary w instytucje finansowe. Bezprawne działania strony pozwanej wzbudziły u powoda negatywne odczucia w postaci lęku, utraty wiarygodności w oczach banków. Zdaniem Sądu powód rzeczywiście mógł czuć obawę, że wobec niewykreślenia jego danych osobowych z bazy BIK stanie się niewiarygodny w oczach przede wszystkim instytucji finansowych.

Bezczynność strony pozwanej, zdaniem Sądu wywołały, u powoda poczucie utraty zaufania oczach osób trzecich mylnie wskazując go jako osobę nieuczciwą, niedotrzymującą zawartych umów, a co za tym idzie nierzetelną, co było całkowicie sprzeczne z dotychczasowym wizerunkiem powoda. Powód został postawiony w sytuacji, w której musiał tłumaczyć się z istnienia zadłużenie, którego nigdy nie zaciągnął, a także podjąć dodatkowe czynności zmierzające do uwiarygodnienia swojej dobrej kondycji finansowej.

Sąd uznał, że pozwany uznał żądanie powoda w sposób konkludentny, bowiem po wytoczeniu pozwu wystąpił w dniu 8 listopada 2019 r. do Biura (…) S.A. Z wnioskiem o dokonanie korekty danych identyfikacyjnych powoda. W związku z powyższym w dniu 18 listopada 2019 r. wpis dotyczący kredytu nr (…) został trwale usunięty z bazy (…) S.A.

W związku z powyższym, z racji tego, iż krzywda powoda nie była dla niego tak dotkliwa i długotrwała, Sąd doszedł do przekonania, że kwota 10 000 zł będzie stanowiła dla niego sumę wystarczającą, aby zadośćuczynić jego żądaniu w tym zakresie (pkt 1 i 2 sentencji orzeczenia).

Sąd odniósł się także do drugiego z żądań powoda:

tj. zasądzenia kwoty 6 642 zł tytułem odszkodowania za poniesione koszty obsługi prawnej przez profesjonalnego pełnomocnika na rzecz powoda w niniejszej sprawie

Żądanie to zostało w pełni podzielone przez Sąd:

Pełnomocnik powoda nie tylko zajął się ustaleniem przeciwko komu, gdzie i kiedy zapadł wyrok karny w sprawie wyłudzenia kredytu przypisywanego przez pozwanego powodowi, ale także negocjował z pozwanym dobrowolne zaprzestanie naruszeń oraz w konsekwencji w wyniku bierności pozwanego, powiadomił o jego bezprawnych działaniach organy nadzorcze, tj. Komisję Nadzoru Finansowego oraz Prezesa Urzędu Ochrony D. O.. Jak słusznie wskazał powód nie jest on osobą kompetentną i nie zna się na przepisach prawa, dlatego też swoją sprawę przekazał celem jej prowadzenia swojemu prawnikowi. Sąd zauważył, że gdyby nie bezprawne działanie pozwanego, powód nie musiałby korzystać z fachowej pomocy prawnej i nie poniósłby żadnego kosztu, który stanowi szkodę w majątku powoda. Za całość pomocy prawnej w niniejszej sprawie powód zapłacił kwotę 6 642 zł, dlatego też Sąd w całości zasądził na jego rzecz tę kwotę tytułem odszkodowania.

W wyroku z lutego 2022 r. WSA w Warszawie oddalił skargi Biura Informacji Kredytowej S.A. oraz jednej ze Spółdzielczych Kas Oszczędnościowo-Kredytowych od decyzji Prezesa UODO w przedmiocie nakazania usunięcia danych osobowych w zakresie zapytania kredytowego.

Postępowanie administracyjne zainicjowała skarga M. U. na nieprawidłowości w procesie przetwarzania jej danych osobowych przez Spółdzielczą Kasę Oszczędnościowo-Kredytową polegające na przetwarzaniu przez SKOK jej danych osobowych bez podstawy prawnej, w tym na udostępnieniu danych osobowych Skarżącej na rzecz Biura Informacji Kredytowej S.A.

W toku prowadzonego postępowania administracyjnego Prezes Urzędu Ochrony Danych Osobowych ustalił następujący stan faktyczny:

Skarżąca wskazała, że w dniu […] sierpnia 2019 r. SKOK wysłała zapytanie kredytowe do BIK, w wyniku czego w bazie BIK przetwarzane są jej dane osobowe dotyczące tego zapytania. Skarżąca podniosła, że nie doszło do zawarcia umowy pomiędzy Skarżącą a SKOK. Wobec powyższego Skarżąca wniosła o usunięcie jej danych osobowych przetwarzanych bez podstawy prawnej (dowód: skarga z dnia […] stycznia 2020 r. i załącznik do ww. skargi).

SKOK pozyskał dane osobowe Skarżącej w celu zbadania jej zdolności kredytowej i oceny ryzyka kredytowego. W związku z niezawarciem przez SKOK umowy pożyczki ze Skarżącą jej dane osobowe będą przetwarzane przez SKOK przez okres 3 lat w celu rozpatrywania reklamacji i obrony przed ewentualnymi roszczeniami, co stanowi prawnie uzasadniony interes SKOK (dowód: wyjaśnienia SKOK z dnia […] marca 2020 r.).

Skarżąca zwróciła się do SKOK o usunięcie jej danych osobowych przetwarzanych w związku ze złożonym wnioskiem kredytowym. Powyższy podmiot odmówił usunięcia danych osobowych Skarżącej (dowód: wyjaśnienia SKOK z dnia […] marca 2020 r. wraz załącznikami).

Subskrypcja 30 dni
Przez 30 dni masz dostęp do zaawansowanej wyszukiwarki:
129
 PLN z VAT
  • Aktualizowanej Bazy Orzeczeń Sądów i Trybunałów
  • Eksperckich tez wybranych orzeczeń
  • Decyzji Polskiego Organu Nadzorczego
  • Decyzji Europejskich Organów Nadzorczych
  • Wytycznych i Opinii EDPB oraz EDPS
  • Konkretnych argumentów w postępowaniu administracyjnym
Wybieram
Subskrypcja 360 dni
Przez 360 dni masz dostęp do wszystkich funkcjonalności subskrypcji 30 dni
1548
 PLN z VAT
  • Dedykowany newsletter zawierający najważniejsze wyroki opublikowane w danym miesiącu wraz z tezami
  • Indywidualnych konsultacji z założycielem serwisu Judykatura.pl w kwestiach związanych z RODO (3 konsultacje w ramach obowiązującej subskrypcji)
  • Oszczędność 15% względem pozostałych pakietów
Wybieram
Subskrypcja 180 dni
Przez 180 dni masz dostęp do wszystkich elementów subskrypcji 90 dni:
774
 PLN z VAT
  • Dedykowany newsletter zawierający najważniejsze wyroki opublikowane w danym miesiącu wraz z tezami
  • Indywidualną konsultację z założycielem serwisu Judykatura.pl w kwestiach związanych z RODO (1 konsultacja w ramach obowiązującej subskrypcji)
  • Oszczędność 10% względem pozostałych pakietów
Wybieram

Według skarżących decyzję administracyjną Prezesa UODO widać już pewna utartą linię orzeczniczą w przedmiotowych sprawach:

1. wyrok WSA z dnia 28 września 2021 r. sygn. akt: II SA/Wa 474/21, uchylający decyzję Prezesa UODO nakazującą BIK usunięcie danych o niezrealizowanym zapytaniu kredytowym (dalej: “Wyrok wrześniowy”),

2. wyrok WSA z 29 października 2021 r. sygn. akt: II SA/Wa 506/21, uchylający decyzję Prezesa UODO nakazującą BIK usunięcie danych o niezrealizowanym zapytaniu kredytowym (dalej: “Wyrok październikowy”),

3. wyrok WSA z 10 listopada 2021 r. sygn. akt: II SA/Wa 868/21, uchylający decyzję Prezesa UODO nakazującą usunięcie danych byłego klienta banku, (dalej: “Wyrok listopadowy”),

4. wyrok WSA z dnia 13 grudnia 2021 r. sygn. akt: II SA/Wa 1528/21, uchylający decyzję Prezesa UODO nakazującą usunięcie danych byłego klienta banku (dalej: “Wyrok grudniowy”).

Jednak w tej sprawie WSA w Warszawie zaprezentowało inny pogląd:

Istota sprawy w niniejszym postępowaniu sprowadzała się do oceny tego, czy BIK i SKOK mogły przetwarzać dane osobowe osoby fizycznej, pozyskane dla oceny zdolności kredytowej i analizy ryzyka kredytowego, po dokonaniu takiej oceny i analizy oraz w sytuacji, gdy nie doszło w ogólne do zawarcia umowy kredytowej z osobą fizyczną, której dane pozyskano dla dokonania omawianej oceny i analizy.
Zgodnie z art. 105a ust. 1 Prawa bankowego, przetwarzanie przez banki, inne instytucje ustawowo upoważnione do udzielania kredytów, instytucje pożyczkowe oraz podmioty, o których mowa w art. 59d ustawy z dnia 12 maja 2011 r. o kredycie konsumenckim, a także instytucje utworzone na podstawie art. 105 ust. 4, informacji stanowiących tajemnicę bankową i informacji udostępnionych przez instytucje pożyczkowe oraz podmioty, o których mowa w art. 59d ustawy z dnia 12 maja 2011 r. o kredycie konsumenckim, w zakresie dotyczącym osób fizycznych, może być wykonywane z zastrzeżeniem art. 104, 105 i 106-106d Prawa bankowego w celu oceny zdolności kredytowej i analizy ryzyka kredytowego.

Zgodnie zaś z art. 105a ust. 4 Prawa bankowego, Banki oraz instytucje, o których mowa w art. 105 ust. 4, mogą przetwarzać stanowiące tajemnicę bankową informacje dotyczące osoby fizycznej po wygaśnięciu zobowiązania wynikającego z umowy zawartej z bankiem lub inną instytucją ustawowo upoważnioną do udzielania kredytów bez zgody osoby, której informacje dotyczą, do celów stosowania metod wewnętrznych oraz innych metod i modeli, o których mowa w części trzeciej rozporządzenia nr 575/2013.

I dalej WSA wskazuje:

Przepisy prawa bankowego nie zezwalają zaś na przetwarzanie omawianych danych osobowych po zakończeniu dokonywania oceny zdolności kredytowej i zakończeniu dokonywania analizy ryzyka – w sytuacji, gdy nie doszło do powstania stosunku zobowiązaniowego wynikającego z zawarcia umowy kredytu.

Przenosząc powyższe na realia niniejszej sprawy jako uprawniona jawiła się konkluzja, że SKOK i BIK były uprawnione do przetwarzania spornych danych wyłącznie w czasie, gdy dokonywano oceny zdolności kredytowej rzeczonej osoby fizycznej i analizy ryzyka udzielenia jej kredytu.

Nawet sam skarżący nie przywołał przepisów, które w jego mniemaniu dawałyby organowi prawną możliwość zwracania się w badanej sprawie o opinię, do Komisji Nadzoru Finansowego. Nadto należy mieć na względzie to, że instytucja ta (KNF) nie jest i nie była stroną niniejszego postępowania, nie posiada statusu np. biegłego sądowego a żadne przepisy prawa nie przewidują nadrzędności opinii KNF nad powszechnie obowiązującymi przepisami prawa.

Nadto nie sposób pomijać faktu, że “scoring” kredytowy to metoda oceny wiarygodności podmiotu – zwykle osoby fizycznej lub przedsiębiorstwa – ubiegającego się o kredyt bankowy. Polega na określeniu wiarygodności kredytowej klienta na podstawie porównania jego profilu z profilem klientów, którzy już otrzymali kredyty i je spłacają (patrz wyrok Wojewódzkiego Sądu Administracyjnego w Warszawie z dnia 27 sierpnia 2017 r. sygn. akt II SA/Wa 2221/16). Skoro więc skarżąca po złożeniu zapytania kredytowego nie zawarła umowy kredytowej ze SKOK, to jako uprawniona jawi się konkluzja, iż w przedmiotowej sprawie skarżący powołując się na “scoring”, czynią to w oderwaniu od stanu faktycznego sprawy. Zapytanie objęte niniejszą sprawą nie byłoby bowiem uwzględniane przy “scoringu”.