UZASADNIENIE
Prezes Urzędu Ochrony Danych Osobowych (dalej: organ, Prezes UODO) decyzją z […] marca 2021 r., znak […], na podstawie art. 104 i art. 105 § 1 ustawy z dnia 14 czerwca 1960 r. Kodeks postępowania administracyjnego (Dz.U. z 2020 r. poz. 256; dalej Kpa.), art. 6 ust. 1 oraz art. 58 ust. 2 pkt g rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (Dziennik Urzędowy Unii Europejskiej, L 119, 4 maja 2016), po przeprowadzeniu postępowania administracyjnego w sprawie skargi Pana P.K. (Skarżący) zamieszkałego w M. przy ul. […] […], na nieprawidłowości w procesie przetwarzania jego danych osobowych przez I. B. S.A. z siedzibą w W. przy […] […] (dalej: I. B., Bank), polegające na udostępnieniu bez podstawy prawnej danych PNP S.A. z siedzibą w W. (dalej PNP) przy ul. […] […] (poprzednio: Polski D. M.S.A. z siedzibą w W. przy ul. […] […]; dalej PDM), oraz przetwarzaniu bez podstawy prawnej tych danych przez PNP:
1. nakazał PNP usunięcie przetwarzanych bez podstawy prawnej danych osobowych Pana P. K. zamieszkałego w M. przy ul. […], w zakresie: imion, nazwiska, adresu zameldowania, adresu do korespondencji, numeru PESEL, adresu e-mail, numeru telefonu, numeru rachunku bankowego prowadzonego przez I. B. oraz informacji o kwocie pieniędzy, którą dysponował wyżej wymieniony,
2. w pozostałym zakresie umorzył postępowanie.
Do wydania powyższej decyzji doszło w następującym stanie sprawy.
Do Urzędu Ochrony Danych Osobowych wpłynęła skarga Pana P.K. zamieszkałego w M. przy ul. […], na nieprawidłowości w procesie przetwarzania jego danych osobowych przez I. B., polegające na: udostępnieniu bez podstawy prawnej danych PNP, oraz przetwarzaniu bez podstawy prawnej tych danych przez PNP.
Skarżący podniósł, że pracownik Banku będący w posiadaniu jego danych osobowych, jako klienta Banku, bez zgody i upoważnienia przekazał dane te do PDM, który następnie przetwarzał te bez podstawy prawnej, wykorzystując je w celu podpisania w imieniu Skarżącego umowy nabycia obligacji serii […] S.A. Powyższe dotyczyło danych skarżącego obejmujących imiona, nazwisko, adres zameldowania, adres do korespondencji, numer PESEL, adres e-mail, numer telefonu, numer rachunku bankowego prowadzonego przez Bank, informację o kwocie pieniędzy, którą dysponował Skarżący. Skarżący podkreślił, że nigdy nie wypełniał ani nie podpisywał umowy nabycia obligacji, tym samym nie wyraził zgody na przekazanie, wykorzystanie i przetwarzanie jego danych osobowych przez PDM w żadnym zakresie. Skarżący zażądał ponadto przeprowadzenia kontroli, w celu ustalenia czy doszło do naruszenia jego praw i ukarania winnych tego naruszenia (dowód: pismo skarżącego z […] czerwca 2019 r.).
Bank rozpoczął przetwarzanie danych Skarżącego w dniu […] marca 2017 r. w związku z zawarciem umowy o rachunek oszczędnościowo-rozliczeniowy, która pozostaje aktywna. Bank dane osobowe pozyskał bezpośrednio od Skarżącego.
W przeszłości Bank i Skarżącego łączyła również umowa o rachunek terminowej lokaty oszczędnościowej (dowód: pismo Banku z […] października 2019 r.).
Bank wyjaśnił, iż wobec zainteresowania Skarżącego produktem oferowanym przez PDM, Bank przekazał dane Skarżącego do tego podmiotu w zakresie niezbędnym do skorzystania z oferty i umożliwiającym nawiązanie kontaktu ze Skarżącym w postaci: imienia, nazwiska, numeru telefonu, adresu poczty elektronicznej. Dalszą bezpośrednią korespondencję z PDM Skarżący prowadził osobiście. Bank wskazał, że przekazanie danych Skarżącego nastąpiło w oparciu o art. 23 ust. 1 pkt 3 – obowiązującej w chwili przedmiotowego przekazania – ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. z 2016 r. poz. 922 ze zm.), dalej zwanej ustawą z 1997 r.
Przydział obligacji Skarżącemu nastąpił w dniu […] marca 2017 r. (dowód: pisma Banku z […] października 2019 r. i […] lutego 2020 r.).
Bank zaprzeczył, by działał wbrew woli Skarżącego i wskazał, że Skarżący po otrzymaniu korespondencji z PDM, postępował zgodnie z instrukcjami PDM, w tym dokonał wpłaty kwoty, za którą zadeklarował nabycie obligacji, na wskazany przez oferenta numer rachunku bankowego. O zakończonej transakcji PDM bezpośrednio poinformował Skarżącego przydziałem obligacji (dowód: pismo Banku z […] października 2019 r.).
Bank wskazał, iż Skarżący osobiście wyraził zgodę na zakup obligacji, co potwierdza korespondencja pomiędzy Skarżącym, pod adresem […] a PDM, pod adresami i […] z której wynika, że Skarżący złożył zapis na zakup obligacji i opłacił go, wobec czego w dniu […] marca 2017 r. dokonano przydziału obligacji na jego rzecz (dowód: pismo Banku z […] października 2019 r. i […] lutego 2020 r.).
Bank wskazał, że Skarżący nie żądał od Banku ograniczenia przetwarzania jego danych osobowych oraz sprzeciwu w zakresie przetwarzania jego danych. Występował jedynie z zarzutem wprowadzenia w błąd oraz żądaniem zwrotu środków finansowych, za jakie nabył produkty oferowane przez PDM (dowód: pismo Banku z […] października 2019 r.).
W dniu […] listopada 2018 r. Komisja Nadzoru Finansowego na podstawie art. 167 ust. 2 pkt 2 w związku z art. 167 ust. 1 pkt 1 i 2 ustawy o obrocie instrumentami finansowymi w brzmieniu sprzed wejścia w życie ustawy z dnia 1 marca 2018 r. o zmianie ustawy o obrocie instrumentami finansowymi oraz niektórych innych ustaw, cofnęła Polskiemu […] S.A. z siedzibą w W. zezwolenie na prowadzenie działalności maklerskiej (dowód: Komunikat Komisji Nadzoru Finansowego z […] listopada 2018 r.).
Prezes UODO w uzasadnieniu wskazanej na wstępie decyzji wyjaśnił, że jak wynika z poczynionych w toku postępowania ustaleń, PDM pozyskał i przetwarza dane osobowe Skarżącego w związku z zawarciem i wykonaniem zawartej ze Skarżącym umowy nabycia oferowanych przez PDM obligacji. Do zawarcia ww. umowy doszło […] marca 2017 r., a więc w czasie, gdy obowiązywała ustawa z 1997 r. Skarżący zarzucił PDM, że podmiot ten przetwarza jego dane osobowe bez podstawy prawnej, zaś zgromadzony materiał dowodowy nie wykazał, aby PDM usunął dane osobowe Skarżącego, pozyskane w celu realizacji przedmiotowej umowy, zatem uznać należy, jak stwierdził organ, że dane te nadal są przez PDM przetwarzane. Zdaniem organu do powyższego procesu zastosowanie znajdują więc obecnie przepisy obowiązujące w czasie wydawania rozstrzygnięcia sprawy, tj. rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE, zwanego dalej RODO.
RODO określa obowiązki administratora danych, do których należy przetwarzanie danych osobowych z zachowaniem przesłanek określonych w RODO. Przepisem uprawniającym administratorów danych do przetwarzania zwykłych danych osób fizycznych, w tym ich udostępniania, jest art. 6 ust. 1 RODO, zgodnie z którym, przetwarzanie danych jest dopuszczalne tylko wtedy, gdy spełniona jest jedna z przesłanek wskazanych w tym przepisie. Katalog przesłanek wymienionych w art. 6 ust. 1 RODO, jest zamknięty. Każda z przesłanek legalizujących proces przetwarzania danych osobowych ma charakter autonomiczny i niezależny. Oznacza to, że przesłanki te co do zasady są równoprawne, a wobec tego spełnienie co najmniej jednej z nich stanowi o zgodnym z prawem przetwarzaniu danych osobowych. W konsekwencji zgoda osoby, której dane dotyczą nie jest jedyną podstawą przetwarzania danych osobowych, ponieważ proces przetwarzania danych będzie zgodny z RODO również wówczas, gdy administrator danych wykaże spełnienie innej z wyżej wymienionych przesłanek. Niezależnie od zgody osoby, której dane dotyczą (art. 6 ust. 1 lit. a RODO) przetwarzanie danych osobowych jest dopuszczalne między innymi wtedy, gdy jest to niezbędne do wykonania umowy, której stroną jest osoba, której dane dotyczą. Przesłankę legalizującą powyższy proces stanowi obecnie art. 6 ust. 1 lit. b RODO, w poprzednim stanie prawnym o legalności tego procesu stanowiło zaistnienie przesłanki określonej w art. 23 ust. 1 pkt 3 ustawy z 1997 r. Dodatkowo, jak wskazał Prezes UODO, proces przetwarzania danych osobowych musi być zgodny z zasadami ustanowionymi w art. 5 ust. 1 RODO. Do zasad tych zalicza się między innymi zgodność z prawem, rzetelność i przejrzystość (lit. a), jak również prawidłowość (lit. d). Wspomniane zasady wymagają, by dane osobowe były przetwarzane zgodnie z prawem, rzetelnie i w sposób przejrzysty dla osoby, której dane dotyczą oraz prawidłowe i w razie potrzeby uaktualniane oraz że należy podjąć wszelkie rozsądne działania, aby dane osobowe które są nieprawidłowe w świetle celów ich przetwarzania, zostały niezwłocznie usunięte lub sprostowane. Zgodnie z ustanowioną natomiast w ust. 2 ww. przepisu zasadą rozliczalności administrator jest odpowiedzialny za przestrzeganie zasad określonych w ust. 1 i musi być w stanie powyższe wykazać.
Jak wskazał Prezes UODO, w niniejszej sprawie dane osobowe Skarżącego przetwarzane są przez PDM w związku z zawartą ze Skarżącym umową nabycia oferowanych przez PDM obligacji, w zakresie imion, nazwiska, adresu zameldowania, adresu do korespondencji, numeru PESEL, adresu e-mail, numeru telefonu, numeru rachunku bankowego prowadzonego przez Bank oraz informacji o kwocie pieniędzy, którą dysponował Skarżący.
Prezes UODO wyjaśnił, że zgodnie z definicją określoną w art. 3 pkt 1 w zw. z art. 2 ust. 1 pkt 1 ustawy z dnia 29 lipca 2005 r. o obrocie instrumentami finansowymi (Dz. U. z 2021 r. poz. 328), zwanej dalej uoif., obligacje stanowią instrumenty finansowe. W myśl art. 69 ust. 1 uoif. prowadzenie działalności maklerskiej wymaga zezwolenia Komisji Nadzoru Finansowego, wydanego na wniosek, złożony przez zainteresowany podmiot. Zgodnie natomiast z ust. 2 ww. przepisu działalność maklerska, z zastrzeżeniem art. 16 ust. 3 i 5 oraz art. 70 uoif., obejmuje m.in. wykonywanie czynności polegających na: przyjmowaniu i przekazywaniu zleceń nabycia lub zbycia instrumentów finansowych; wykonywaniu zleceń, o których mowa w pkt 1, na rachunek dającego zlecenie; nabywaniu lub zbywaniu na własny rachunek instrumentów finansowych; zarządzaniu portfelami, w skład których wchodzi jeden lub większa liczba instrumentów finansowych; doradztwie inwestycyjnym; oferowaniu instrumentów finansowych; świadczeniu usług w wykonaniu zawartych umów o gwarancję emisji lub zawieraniu i wykonywaniu innych umów o podobnym charakterze, jeżeli ich przedmiotem są instrumenty finansowe. Ponadto w myśl ust. 4 ww. przepisu działalnością maklerską jest również m.in. wykonywanie przez firmę inwestycyjną czynności polegających na przechowywaniu lub rejestrowaniu instrumentów finansowych, w tym prowadzeniu rachunków papierów wartościowych, rachunków derywatów i rachunków zbiorczych, oraz prowadzeniu rachunków pieniężnych.
Odnosząc się do powyższego Prezes UODO wskazał, że wobec cofnięcia PDM w dniu […] listopada 2018 r. przez Komisję Nadzoru Finansowego zezwolenia na prowadzenie działalności maklerskiej, podmiot ten obecnie nie może wykonywać opisanej wyżej działalności. Tym samym odpadła przesłanka określona w art. 6 ust. 1 lit. b RODO, która legalizowała kwestionowany przez Skarżącego proces przetwarzania jego danych osobowych przez PDM w celu zawarcia i wykonania umowy nabycia obligacji oferowanych przez PDM. Ponadto, pomimo wezwań kierowanych przez organ do PDM w toku niniejszego postępowania, podmiot ten nie wykazał istnienia jakiejkolwiek innej podstawy prawnej, która stanowiłaby obecnie o legalności procesu przetwarzania danych osobowych Skarżącego. Ponownie organ wskazał, że obowiązkiem administratora, w myśl określonej w art. 5 ust. 2 RODO zasady rozliczalności jest wykazanie, że prowadząc procesy przetwarzania danych osobowych przestrzega zasad określonych w art. 5 ust. 1, w tym, że przetwarzanie danych osobowych odbywa się w sposób zgodny z prawem.
Odnosząc się do żądania Skarżącego dotyczącego przeprowadzenia działań kontrolnych, Prezes UODO podkreślił, że czynności kontrolne nie są podejmowane na wniosek osoby zainteresowanej. Powyższa kwestia może być przedmiotem postępowania administracyjnego prowadzonego przez organ właściwy do spraw ochrony danych osobowych z urzędu. Podjęte przez organ do spraw ochrony danych osobowych postępowanie z urzędu toczy się wówczas pomiędzy administratorem danych, a Prezesem Urzędu. Postępowanie kontrolne dotyczące przetwarzania danych osobowych dotyczy bowiem danych osobowych nie tylko Skarżącego, ale także innych osób, których dane są przetwarzane. Tym samym nie może on być wówczas informowany o podejmowanych czynnościach, nie przysługuje mu bowiem status strony postępowania. Kontrola stosowanych przez administratorów praktyk, nie może być przedmiotem indywidualnej skargi, gdyż należy do autonomicznych kompetencji Prezesa UODO.
Organ wyjaśnił również, że poza zakresem kompetencji Prezesa UODO pozostaje orzekanie o popełnieniu przestępstwa, gdyż jedynie organy ścigania władne są ocenić, czy w konkretnej sprawie istnieją podstawy do wszczęcia postępowania przygotowawczego w trybie k.p.k., a o tym, czy przestępstwo istotnie zostało popełnione zadecydować może jedynie sąd powszechny po ewentualnym przeprowadzeniu stosownego postępowania w trybie i na zasadach przewidzianych w odrębnych przepisach.
Prezes UODO stwierdził, że postępowanie administracyjne prowadzone przez organ w każdym przypadku służy zbadaniu zasadności skierowania pod adresem określonego podmiotu nakazu, odpowiadającego dyspozycji art. 58 ust. 2 RODO, służącego przywróceniu stanu zgodnego z prawem w procesie przetwarzania danych. Wobec ustalenia, że obecnie brak jest podstaw prawnych, które legalizowałyby proces przetwarzania danych osobowych Skarżącego przez PDM, Prezes UODO skorzystał z przysługującego mu uprawnienia, o którym mowa w art. 58 ust. 2 lit. g RODO i nakazał PDM usunięcie danych osobowych Skarżącego w zakresie imion, nazwiska, adresu zameldowania, adresu do korespondencji, numeru PESEL, adresu e-mail, numeru telefonu, numeru rachunku bankowego prowadzonego przez Bank oraz informacji o kwocie pieniędzy, którą dysponował Skarżący.
Umarzając ponadto postępowanie w zakresie zarzutu udostępnienia przez Bank danych osobowych Skarżącego bez podstawy prawnej na rzecz PDM, Prezes UODO wyjaśnił, że w czasie, gdy miało dojść do zdarzeń opisanych w treści skargi, obowiązywały przepisy ustawy z 1997 r. Przepisy te określały zasady przetwarzania danych osobowych do 24 maja 2018 r. natomiast od 25 maja 2018 r., obowiązują przepisy RODO, oraz ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych (Dz.U. z 2019 r. poz. 1781), zwanej dalej ustawą z dnia 10 maja 2018 r.
Organ wyjaśnił, że opisane w treści skargi zdarzenie, polegające na udostępnieniu przez Bank danych Skarżącego na rzecz PDM, nie może być rozpatrywane w toku postępowania administracyjnego zmierzającego do wydania decyzji w oparciu o przepisy RODO. Kwestionowany przez Skarżącego proces przetwarzania danych osobowych przez Bank rozpoczął się i zakończył przed 25 maja 2018 r. Artykuł 99 ust. 1 RODO wprost wskazuje, że niniejsze rozporządzenie ma zastosowanie od dnia 25 maja 2018 r. W związku z tym, przepisy RODO mają zastosowanie wyłącznie w sprawach, w których skargę wniesiono od 25 maja 2018 r. i w tej dacie kwestionowany proces przetwarzania danych osobowych trwał. Jednocześnie organ wskazał, że zgodnie z motywem RODO “każdy organ nadzorczy powinien być właściwy na terytorium swojego państwa członkowskiego do wykonywania uprawnień i wypełniania zadań powierzonych mu w myśl niniejszego rozporządzenia. (…) Powinno to dotyczyć rozpatrywania skarg wnoszonych przez osoby, których dane dotyczą, prowadzenia postępowań w sprawie stosowania niniejszego rozporządzenia oraz uświadamiania ryzyka, zasad, zabezpieczeń i praw związanych z przetwarzaniem danych osobowych”. Podkreślił, że zgodnie z art. 55 ust. 1 RODO każdy organ nadzorczy jest właściwy do wypełniania zadań i wykonywania uprawnień powierzonych mu zgodnie z niniejszym rozporządzeniem na terytorium swojego państwa członkowskiego, natomiast do zadań organu nadzorczego należy prowadzenie postępowań w sprawie stosowania tego rozporządzenia (art. 57 ust. 1 lit. h RODO).
Prezes UODO podał, że w sprawie kwestionowanego przez Skarżącego udostępnienia przez Bank jego danych osobowych na rzecz PDM organ nadzorczy nie ma możliwości zastosowania przysługujących mu uprawnień naprawczych. Zdarzenie, którego przedmiotowa skarga dotyczy zakończyło się przed dniem 25 maja 2018 r., a postępowanie administracyjne w tej sprawie zostało zainicjowane po dniu 25 maja 2018 r. Z uwagi na fakt, że kwestionowane w skardze zdarzenie miało miejsce i zakończyło się w czasie, gdy obowiązywały przepisy ustawy z 1997 r., a postępowanie administracyjne przed organem nadzorczym zostało zainicjowane w czasie, gdy zaczęły obowiązywać przepisy ustawy z dnia 10 maja 2018 r. do rozstrzygnięcia przedmiotowej sprawy nie jest możliwe również zastosowanie przepisów ustawy z 1997 r. Artykuł 160 ust. 1 i 2 ustawy z dnia 10 maja 2018 r. stanowi, że jedynie postępowania, wszczęte i niezakończone przed dniem wejścia w życie niniejszej ustawy z dnia 10 maja 2018 r., są prowadzone przez Prezesa UODO, na podstawie ustawy z 1997 r. Tym samym Prezes UODO nie ma możliwości prowadzenia postępowania administracyjnego w oparciu o przepisy ustawy z 1997 r., gdyż postępowanie w przedmiotowej sprawie zostało wszczęte po dniu wejścia w życie ustawy z dnia 10 maja 2018 r. Brak jest również podstawy do korzystania przez Prezesa Urzędu Ochrony Danych Osobowych z uprawnień przewidzianych w uchylonej ustawie z 1997 r. w tym do oceny zgodności zachowania administratora z ww. przepisami w przypadku, gdy skarżony proces przetwarzania nie był kontynuowany po 25 maja 2018 r. Organ nie może również dokonać oceny zgodności kwestionowanych w skardze działań administratora z rozporządzeniem 2016/679, ponieważ zdarzenie będące przedmiotem skargi ma charakter zakończony i nie było kontynuowane po 25 maja 2018 r. Ponadto, jak podał organ, brak jest obecnie przepisów kompetencyjnych uprawniających organ do prowadzenia postępowania w przedmiocie oceny zgodności działania administratora z przepisami ustawy z 1997 r.
Wobec powyższego Prezes UODO stwierdził, że niniejsze postępowanie w zakresie dotyczącym kwestionowanego udostępnienia przez Bank danych osobowych Skarżącego na rzecz PDM podlega umorzeniu na podstawie art. 105 § 1 Kpa. Zgodnie z ww. przepisem, gdy postępowanie z jakiejkolwiek przyczyny stało się bezprzedmiotowe w całości lub w części, organ administracji publicznej wydaje decyzję o umorzeniu postępowania odpowiednio w całości lub w części. Brzmienie powołanej regulacji nie pozostawia wątpliwości, iż w razie stwierdzenia bezprzedmiotowości postępowania organ prowadzący to postępowanie obligatoryjnie je umarza. Ustalenie przez organ publiczny istnienia przesłanki, o której mowa w art. 105 § 1 Kpa. zobowiązuje go, jak podkreśla się w doktrynie i orzecznictwie, do umorzenia postępowania, nie ma bowiem wówczas podstaw do rozstrzygnięcia sprawy co do istoty, a dalsze prowadzenie postępowania w takim przypadku stanowiłoby o jego wadliwości, mającej istotny wpływ na wynik sprawy.
Skarżący, reprezentowany adwokata, wywiódł do Wojewódzkiego Sądu Administracyjnego w Warszawie skargę na wskazaną na wstępie decyzję Prezesa UODO, zarzucając naruszenie następujących przepisów, a mianowicie:
– art. 8 i art. 107 § 3 Kpa. w zw. z art. 2 Konstytucji RP poprzez nienależyte uzasadnienie zaskarżonej decyzji z uwagi na zbyt ogólnikowe stwierdzenia, uniemożliwiające realizację zasady pogłębiania zaufania obywateli do organów administracji publicznej oraz przeprowadzenie kontroli zaskarżonej decyzji;
– art. 6 Kpa. w zw. z art. 2, 31 i 51 Konstytucji RP poprzez nienależyte wypełnienie obowiązku zapewnienia ochrony prawnej naruszonych, poprzez kradzież danych osobowych, wolności człowieka;
– art. 9 i art. 107 § 3 Kpa. w zw. z art. 45 Konstytucji RP poprzez nienależyte wypełnienie obowiązku wyczerpującego informowania stron o okolicznościach faktycznych i prawnych, które mogą mieć wpływ na ustalenie ich praw oraz obowiązków, w szczególności nie wskazanie drogi prawnej, za pomocą której Skarżący może dochodzić swoich praw, będących przedmiotem postępowania administracyjnego, prowadząc do poniesienia szkody przez Skarżącego;
– art. 175 ustawy z dnia 10 maja 2018 roku o ochronie danych osobowych w zw. z art. 8 ust. 1 Karty Praw Podstawowych oraz art. 16 ust. 1 TFUE, a także art. 8 EKPCz poprzez ich niezastosowanie, podczas gdy z wyżej wskazanych przepisów wynika, że ustawodawca wprowadzając rozporządzenie Parlamentu Europejskiego i Rady UE 2016/679 z dnia 27 kwietnia 2016 roku w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/ WE (dalej jako RODO) nie uchylił regulacji dotyczących przetwarzania danych osobowych w celu rozpoznania, zapobiegania, wykrywania i zwalczania czynów zabronionych oraz prowadzenia postępowań w sprawach dotyczących tych czynów, prowadzenia postępowań w sprawach dotyczących tych czynów oraz wykonywania orzeczeń w nich wydanych, kar porządkowych i środków przymusu w zakresie określonym w przepisach stanowiących podstawę działania służb i organów uprawnionych do realizacji zadań w tym zakresie; ponadto naruszono wypływające z Karty Praw Podstawowych oraz TFUE prawo każdej osoby do ochrony danych osobowych jej dotyczących.
Skarżący uznał, że w związku z powyższym na podstawie art. 267 Traktatu o funkcjonowaniu Unii Europejskiej (TFUE) zasadne wydaje się zwrócenie z pytaniem prejudycjalnym do TSUE w celu uzyskania odpowiedzi czy wydane przez organ administracji publicznej decyzje o umorzeniu postępowań bądź odmowie ich wszczęcia poprzez wskazanie, że w oparciu o art. 99 RODO, nie istnieje organ posiadający kompetencje do rozstrzygania spraw, które miały miejsce przed wejściem w życie ustawy RODO (tj. przed 25 maja 2018 roku), a co do których skargi w zakresie naruszeń ochrony danych osobowych zostały wniesione po dacie 25 maja 2018 roku, są zgodne z art. 16 ust. 1 TFUE oraz art. 8 ust. 1 Karty Praw Podstawowych, a jeżeli takie rozstrzygnięcie byłoby uznane za nieprawidłowe, to w oparciu o jakie przepisy (obowiązujące w chwili naruszenia przepisów o ochronie danych osobowych czy też aktualnie obowiązujące) powinny być stosowane.
Mając powyższe zarzuty na względzie Skarżący wniósł o uwzględnienie skargi oraz uchylenie w części dotyczącej umorzenia postępowania, tj. pkt 2 zaskarżonej decyzji na podstawie art. 145 § 1 pkt 1 lit. a i lit. c p.p.s.a. i przekazanie sprawy organowi do ponownego rozpatrzenia. Ponadto wniósł o zasądzenie na rzecz Skarżącego zwrotu kosztów postępowania według norm przepisanych.
W uzasadnieniu skargi Skarżący rozwinął argumentację na rzecz sformułowanych w niej zarzutów. Podkreślił między innymi, że nigdy nie wypełniał ani nie podpisywał umowy nabycia obligacji, co oznacza, że nie wyraził również zgody na przetwarzanie swoich danych osobowych przez PDM w żadnym zakresie.
W piśmie skierowanym do UODO Skarżący zwrócił się także o przeprowadzenie kontroli w celu ustalenia czy doszło do naruszenia jego praw oraz ukarania winnych naruszeń.
W ocenie Skarżącego w niniejszej sprawie doszło do niebudzącego wątpliwości naruszenia podczas procesu przetwarzania danych osobowych, a Skarżący mimo podjętej próby uzyskania pomocy w celu ochrony swoich praw, otrzymał tylko ogólną informację, że nie istnieje organ posiadający kompetencje do rozpoznania w tym zakresie. Takie działanie kreuje sytuację, w której powstaje luka w prawie powodująca pozostawienie poza zakresem zastosowania prawa określonego typu działania, tożsame ze sprawą Skarżącego. Jest to jednoznaczne złamanie zasady ochrony zaufania obywateli do państwa i do stanowionego przez nie prawa. A zatem Skarżący poprzez wydaną przez organ decyzję został pozbawiony prawa do ochrony swoich praw, nie wskazano mu także innej drogi rozwiązania problemu, naruszając tym samym podstawowe zasady demokratycznego państwa prawnego.
Jak stwierdził Skarżący, w przedmiotowej decyzji organ wskazał jedynie, że postępowanie ulega umorzeniu ze względu na brak kompetencji organu do rozstrzygania w zakresie wskazanych naruszeń, które miały miejsce przed wejściem w życie ustawy RODO, tj. 25 maja 2018 roku. W opinii Skarżącego pozostawienie bez należytej reakcji organu w postaci podjęcia chociażby próby usankcjonowania naruszenia, które miało miejsce oraz brak wskazania innej drogi pozwalającej na egzekwowanie w sposób skuteczny roszczenia Skarżącego, z całą pewnością nie może zostać uznane za “rozstrzygnięcie wynikające z racjonalnych przesłanek”. Bowiem pozostawienie poza zakresem sankcjonowania naruszeń, które realnie wystąpiły, pomijając obowiązujące nadrzędne przepisy konstytucyjne nie może wzbudzać poczucia wyczerpującego uzasadnienia i braku możliwości innego rozstrzygnięcia. Organ administracyjny ograniczył się jedynie do wskazania podstawy uniemożliwiającej mu rozpoznanie przedmiotowej sprawie, bez należytego uzasadnienia w zakresie występującej luki prawnej, wartościowania dóbr w oparciu o konstytucyjne przepisy, które wprost wskazują, że w przedmiotowej sprawie konieczne jest zapewnienie ochrony prawnej, a wreszcie pomijając fakt, że Skarżący nie jest podmiotem profesjonalnym, organ nie wskazał niezbędnych wskazówek i wyjaśnień w celu dochodzenia praw w inny sposób, narażając Skarżącego na poniesienie szkody z powodu nieznajomości prawa.
Zdaniem Skarżącego został on pozbawiony zarówno prawa do ochrony danych osobowych, które go dotyczą, ale także kontroli niezależnego organu, który stoi na straży prawidłowego przetwarzania danych osobowych, których to gwarancja wynika zarówno z Konstytucji jak i aktów międzynarodowych. Z tego względu za słuszne należałoby uznać, że skoro do naruszenia w procesie przetwarzania danych osobowych w przedmiotowej sprawie doszło zarówno na gruncie przepisów materialnych ustawy z 1997 roku oraz ustawy RODO, konieczne jest zapewnienie ochrony i rozpoznanie niniejszej sprawy zgodnie z procedurą obowiązującą współcześnie. Jest to rozwiązanie, które pozwoli na wypełnienie znamion zasady do sprawiedliwego, praworządnego przeprowadzenia procesu, zapewnienia ochrony prawnej danych osobowych zarówno na gruncie Konstytucji RP, prawa krajowego jak i międzynarodowych regulacji, a także doprowadzi do pogłębiania zaufania obywateli do państwa i realizowania zasady pewności prawa, nie pozostawiając tym samym poza zakresem prawa wybiórczych przypadków, stanowiących bezprawne działania.
W odpowiedzi na skargę organ wniósł o jej oddalenie, podtrzymując stanowisko zaprezentowane w uzasadnieniu zaskarżonej decyzji.
Wojewódzki Sąd Administracyjny w Warszawie zważył, co następuje.
Zgodnie z art. 1 ustawy z dnia 25 lipca 2002 r. – Prawo o ustroju sądów administracyjnych (t.j. Dz.U. z 2021 r. poz. 137), sądy administracyjne kontrolują działalność administracji publicznej pod względem zgodności z prawem. Z tego też powodu w postępowaniu sądowym nie mogą być brane pod uwagę argumenty natury słusznościowej czy celowościowej. Badana jest wyłącznie legalność aktu administracyjnego, czyli prawidłowość zastosowania przepisów prawa do zaistniałego stanu faktycznego, trafność wykładni tych przepisów oraz prawidłowość zastosowania przyjętej procedury.
Stosownie do art. 134 § 1 ustawy z dnia 30 sierpnia 2002 r. – Prawo o postępowaniu przed sądami administracyjnymi (t.j. Dz.U. z 2022 r. poz. 329; dalej p.p.s.a.), sąd rozstrzyga w granicach danej sprawy, nie będąc związany zarzutami i wnioskami skargi oraz wskazaną podstawą prawną, z zastrzeżeniem art. 57a.
Na zasadzie art. 145 § 1 pkt 1 p.p.s.a., uwzględnienie skargi na decyzję następuje w przypadku naruszenia prawa materialnego, które miało wpływ na wynik sprawy (lit. a), naruszenia prawa dającego podstawę do wznowienia postępowania administracyjnego (lit. b) lub innego naruszenia przepisów postępowania, jeżeli mogło ono mieć istotny wpływ na wynik sprawy (lit. c).
Przeprowadzona przez Sąd, w granicach tak określonej kognicji, kontrola legalności zaskarżonej decyzji w części wskazanej w pkt 2 jej sentencji, wykazała, że została ona wydana bez naruszenia przepisów prawa procesowego i materialnego w stopniu uzasadniającym jej uchylenie, o co wnosił Skarżący w skardze.
Tytułem wyjaśnienia Sąd wskazuje, że Skarżący skargą objął jedynie tę część decyzji Prezesa UODO, którą organ umorzył postępowanie w zakresie zarzutu udostępnienia przez Bank danych osobowych Skarżącego bez podstawy prawnej na rzecz PDM.
Jak wynika z zebranego w niniejszej sprawie materiału dowodowego, Bank rozpoczął przetwarzanie danych Skarżącego w dniu […] marca 2017 r. w związku z zawarciem umowy o rachunek oszczędnościowo-rozliczeniowy. Bank dane osobowe pozyskał bezpośrednio od Skarżącego. W przeszłości Bank i Skarżącego łączyła również umowa o rachunek terminowej lokaty oszczędnościowej, na co wskazuje pismo Banku z […] października 2019 r. Wobec zainteresowania Skarżącego produktem oferowanym przez PDM, Bank przekazał dane Skarżącego do tego podmiotu w zakresie niezbędnym do skorzystania z oferty i umożliwiającym nawiązanie kontaktu ze Skarżącym w postaci: imienia, nazwiska, numeru telefonu, adresu poczty elektronicznej. Dalszą bezpośrednią korespondencję z PDM Skarżący prowadził osobiście. Jak wynika z wyjaśnień Banku, przekazanie danych Skarżącego nastąpiło w oparciu o art. 23 ust. 1 pkt 3 – obowiązującej w chwili przedmiotowego przekazania – ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych.
Natomiast przydział obligacji Skarżącemu nastąpił w dniu […] marca 2017 r., co potwierdzają pisma Banku z […] października 2019 r. i […] lutego 2020 r. Z kolei Skarżący zarzucił PDM, że podmiot ten przetwarza jego dane osobowe bez podstawy prawnej, zaś zgromadzony materiał dowodowy nie wykazał, aby PDM usunął dane osobowe Skarżącego, pozyskane w celu realizacji przedmiotowej umowy.
Odnosząc się do powyższego, niejako ubocznie, w związku z zakresem zaskarżenia określonym przez Skarżącego w skardze, Sąd wskazuje, że do powyżej określonego procesu zastosowanie znajdują obecnie przepisy obowiązujące w czasie wydawania rozstrzygnięcia niniejszej sprawy, tj. rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (RODO).
Ponadto wyjaśnienia wymaga, że postępowanie administracyjne prowadzone przez Prezesa UODO w każdym przypadku służy zbadaniu zasadności skierowania pod adresem określonego podmiotu nakazu, odpowiadającego dyspozycji art. 58 ust. 2 RODO, służącego przywróceniu stanu zgodnego z prawem w procesie przetwarzania danych. Mając na uwadze treść pkt 1 sentencji zaskarżonej decyzji warto wskazać, że wobec ustalenia, zgodnie z którym obecnie brak jest podstaw prawnych, które legalizowałyby proces przetwarzania danych osobowych Skarżącego przez PDM, Prezes UODO skorzystał z przysługującego mu uprawnienia, o którym mowa w art. 58 ust. 2 lit. g RODO i nakazał PDM usunięcie danych osobowych Skarżącego w zakresie imion, nazwiska, adresu zameldowania, adresu do korespondencji, numeru PESEL, adresu e-mail, numeru telefonu, numeru rachunku bankowego prowadzonego przez Bank oraz informacji o kwocie pieniędzy, którą dysponował Skarżący.
Przechodząc do zakresu rozstrzygnięcia organu objętego skargą do Wojewódzkiego Sądu Administracyjnego w Warszawie, Sąd wskazuje, że Prezes UODO zasadnie umorzył postępowanie co do postawionego zarzutu udostępnienia przez Bank danych osobowych Skarżącego bez podstawy prawnej na rzecz PDM.
W czasie, gdy miało dojść do zdarzeń opisanych w treści skargi, obowiązywały przepisy ustawy z 1997 r., które określały zasady przetwarzania danych osobowych do 24 maja 2018 r., natomiast od 25 maja 2018 r., obowiązują przepisy RODO oraz ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych (ustawa z dnia 10 maja 2018 r.).
Opisane w treści skargi zdarzenie, polegające na udostępnieniu przez Bank danych Skarżącego na rzecz PDM, nie może być rozpatrywane w toku postępowania administracyjnego zmierzającego do wydania decyzji w oparciu o przepisy RODO. Kwestionowany przez Skarżącego proces przetwarzania danych osobowych przez Bank rozpoczął się i zakończył przed 25 maja 2018 r., na co wskazują ustalenia poczynione przez organ, a przywołane w części historycznej niniejszego uzasadnienia. Przepis art. 99 ust. 1 RODO wprost wskazuje, że niniejsze rozporządzenie ma zastosowanie od dnia 25 maja 2018 r. W związku z tym, przepisy RODO mają zastosowanie wyłącznie w sprawach, w których skargę wniesiono od 25 maja 2018 r. i w tej dacie kwestionowany proces przetwarzania danych osobowych trwał.
Jednocześnie należy wskazać, że zgodnie z motywem RODO “każdy organ nadzorczy powinien być właściwy na terytorium swojego państwa członkowskiego do wykonywania uprawnień i wypełniania zadań powierzonych mu w myśl niniejszego rozporządzenia. (…) Powinno to dotyczyć rozpatrywania skarg wnoszonych przez osoby, których dane dotyczą, prowadzenia postępowań w sprawie stosowania niniejszego rozporządzenia oraz uświadamiania ryzyka, zasad, zabezpieczeń i praw związanych z przetwarzaniem danych osobowych”. Podkreślić należy, że zgodnie z art. 55 ust. 1 RODO każdy organ nadzorczy jest właściwy do wypełniania zadań i wykonywania uprawnień powierzonych mu zgodnie z niniejszym rozporządzeniem na terytorium swojego państwa członkowskiego, natomiast do zadań organu nadzorczego należy prowadzenie postępowań w sprawie stosowania tego rozporządzenia (art. 57 ust. 1 lit. h RODO).
Przepis art. 58 RODO określa uprawnienia organu nadzorczego. Przepisy art. 58 ust. 1, 2 i 3 RODO wyliczają uprawnienia przysługujące każdemu organowi nadzorczemu – uprawnienia do prowadzenia postępowań, uprawnienia naprawcze i do nakładania kar, uprawnienia do udzielania zezwoleń i uprawnienia doradcze oraz uprawnienia do zgłaszania naruszeń organom wymiaru sprawiedliwości oraz do udziału w postępowaniu sądowym. Ocena dokonywana przez organ w każdym przypadku służy zbadaniu zasadności skierowania pod adresem określonego podmiotu rozstrzygnięcia odpowiadającego dyspozycji art. 58 ust. 2 RODO służącego przywróceniu stanu zgodnego z prawem. W sprawie kwestionowanego przez Skarżącego udostępnienia przez Bank jego danych osobowych na rzecz PDM organ nadzorczy nie miał możliwości zastosowania przysługujących mu uprawnień naprawczych. Zdarzenie, którego dotyczy skarga złożona do Prezesa UODO zakończyło się bowiem przed dniem 25 maja 2018 r., a postępowanie administracyjne w tej sprawie zostało zainicjowane po dniu 25 maja 2018 r.
Z uwagi na fakt, że kwestionowane w skardze zdarzenie miało miejsce i zakończyło się w czasie, gdy obowiązywały przepisy ustawy z 1997 r., a postępowanie administracyjne przed organem nadzorczym zostało zainicjowane w czasie, gdy zaczęły obowiązywać przepisy ustawy z dnia 10 maja 2018 r., do rozstrzygnięcia przedmiotowej sprawy nie mogły również zostać zastosowane przepisy ustawy z 1997 r.
Przepis art. 160 ust. 1 i 2 ustawy z dnia 10 maja 2018 r. stanowi, że jedynie postępowania, wszczęte i niezakończone przed dniem wejścia w życie niniejszej ustawy z dnia 10 maja 2018 r., są prowadzone przez Prezesa UODO, na podstawie ustawy z 1997 r.
Tym samym Prezes UODO nie miał możliwości prowadzenia postępowania administracyjnego w oparciu o przepisy ustawy z 1997 r., gdyż postępowanie w przedmiotowej sprawie zostało wszczęte po dniu wejścia w życie ustawy z dnia 10 maja 2018 r. Nie istniały również podstawy do skorzystania przez Prezesa UODO z uprawnień przewidzianych w uchylonej ustawie z 1997 r. w tym do oceny zgodności zachowania administratora z ww. przepisami w przypadku, gdy skarżony proces przetwarzania nie był kontynuowany po 25 maja 2018 r. Organ nie mógł również dokonać oceny zgodności kwestionowanych w skardze działań administratora z RODO, ponieważ zdarzenie będące przedmiotem skargi ma charakter zakończony i nie było kontynuowane po 25 maja 2018 r. Ponadto brak jest obecnie przepisów kompetencyjnych uprawniających organ do prowadzenia postępowania w przedmiocie oceny zgodności działania administratora z przepisami ustawy z 1997 r.
Wobec powyższego stanowisko Prezesa UODO, zgodnie z którym niniejsze postępowanie w zakresie dotyczącym kwestionowanego udostępnienia przez Bank danych osobowych Skarżącego na rzecz PDM podlega umorzeniu na podstawie art. 105 § 1 Kpa., uznać należy za prawidłowe.
Zgodnie z ww. przepisem Kpa., gdy postępowanie z jakiejkolwiek przyczyny stało się bezprzedmiotowe w całości lub w części, organ administracji publicznej wydaje decyzję o umorzeniu postępowania odpowiednio w całości lub w części. Brzmienie powołanej regulacji nie pozostawia wątpliwości, iż w razie stwierdzenia bezprzedmiotowości postępowania organ prowadzący to postępowanie obligatoryjnie je umarza. Jednocześnie w literaturze przedmiotu wskazuje się, że bezprzedmiotowość postępowania administracyjnego, o której stanowi art. 105 § 1 Kpa. oznacza, że brak jest któregoś z elementów materialnego stosunku prawnego, a wobec tego nie można wydać decyzji załatwiającej sprawę przez rozstrzygnięcie jej co do istoty (B. Adamiak, J. Borkowski “Kodeks postępowania administracyjnego. Komentarz” 7 wydanie Wydawnictwo C.H. Beck, Warszawa 2005 r., str. 485). Analogicznie wypowiedział się Wojewódzki Sąd Administracyjny w Krakowie w wyroku z dnia 27 lutego 2008 r., sygn. akt III SA/Kr 762/2007, stwierdzając, że “Postępowanie staje się bezprzedmiotowe, gdy brak któregoś z elementów stosunku materialnoprawnego, co powoduje, że nie można załatwić sprawy przez rozstrzygnięcie co do istoty”.
Sąd wskazuje, że ustalenie przez organ publiczny istnienia przesłanki, o której mowa w art. 105 § 1 Kpa. zobowiązuje go, jak podkreśla się w doktrynie i orzecznictwie, do umorzenia postępowania, nie ma bowiem wówczas podstaw do rozstrzygnięcia sprawy co do istoty, a dalsze prowadzenie postępowania w takim przypadku stanowiłoby o jego wadliwości, mającej istotny wpływ na wynik sprawy.
Odnosząc się do postawionych przez Skarżącego zarzutów naruszenia przepisów postępowania administracyjnego, wskazać należy, że rozstrzygnięcie w niniejszej sprawie wydane zostało w oparciu o stan faktyczny ustalony między innymi w wyniku złożonych przez strony oświadczeń.
Oświadczenia stron postępowania stanowią dowód równoprawny innym dowodom. Dowód taki podlega zatem swobodnej ocenie organu prowadzącego postępowanie administracyjne (por. wyrok WSA w Warszawie z dnia 26 września 2019 r., sygn. akt II SA/Wa 850/19). W związku z powyższym, sposób działania organu był zdeterminowany spoczywającym na nim, na mocy art. 77 § 1 Kpa., obowiązkiem wyczerpującego zebrania oraz rozpatrzenia całego materiału dowodowego. Zdaniem Sądu wydanie decyzji przez Prezesa UODO zostało poprzedzone dokładnym zbadaniem okoliczności faktycznych sprawy oraz zebraniem niezbędnego i wystarczającego materiału dowodowego. Prezes UODO prowadząc postępowanie w tej sprawie podjął niezbędne i wystarczające działania, konieczne dla wyjaśnienia stanu faktycznego sprawy. Ponadto na podstawie art. 10 Kpa. organ zapewnił stronom czynny udział w każdym stadium postępowania, a przed wydaniem decyzji umożliwił im wypowiedzenie się co do zebranych dowodów i materiałów oraz zgłoszonych żądań.
Biorąc powyższe pod rozwagę, działając na podstawie art. 151 p.p.s.a., Sąd skargę oddalił. |