|
UZASADNIENIE
S. F. Sp. z o.o. w W. (dalej także, jako: Spółka) wniosła do Wojewódzkiego Sądu Administracyjnego w Warszawie skargę na pkt 1 decyzji Prezesa Urzędu Ochrony Danych Osobowych (dalej, jako: organ, Prezes lub Prezes UODO) z dnia […] grudnia 2022 r. w przedmiocie przetwarzania danych osobowych.
Stan sprawy przedstawia się następująco.
Do Prezesa UODO, wpłynęła skarga M. M. (dalej także, jako: skarżący), na nieprawidłowości w procesie przetwarzania jego danych osobowych przez S. F. sp. z o.o. z siedzibą w W. (poprzednio jako Z. Sp. z o.o. z siedzibą w W. przy ul. […] […] oraz V. F. Spółka z o.o. z siedzibą w W. przy ul. […] […] ), polegające na przetwarzaniu danych osobowych skarżącego bez podstawy prawnej.
Skarżący w treści skargi wskazał, że jego dane osobowe zostały wykorzystane przez jego żonę, ale bez jego zgody, do zaciągnięcia licznych pożyczek w Spółce.
Skarżący wskazał, że nie miał wiedzy na temat tych pożyczek, ponieważ w trakcie ich zawierania w okresie od […] listopada 2016 r. do […] maja 2017 r. przebywał na misji wojskowej poza granicami kraju.
Skarżący wskazał, że wobec powyższego Spółka przetwarza jego dane osobowe dotyczące zaciągniętych w tym okresie zobowiązań w zakresie: imię, nazwisko, dane z dowodu osobistego PESEL, numer konta bankowego, bez podstawy prawnej.
Skarżący wraz ze skargą przedłożył postanowienie o umorzeniu dochodzenia z dnia […] marca 2019 r. wydane przez Wydział dw. z Przestępczością Gospodarczą i Korupcją Komendy Powiatowej Policji w M. , sygn. […], zatwierdzone przez Prokuratora Prokuratury Rejonowej w M. w dniu […] marca 2019 r.
W uzasadnieniu ww. postanowienia wskazano, że nie ma możliwości jednoznacznego stwierdzenia kto zawarł poszczególne umowy pożyczek oraz czy nie zawarła ich żona skarżącego za jego domniemaną zgodą. Ponadto stwierdzono, że w okresie zawierania umów pożyczek skarżący pozostawał z żoną w małżeńskim ustroju wspólności ustawowej, pożyczone pieniądze trafiły na ich wspólne konto, i oboje w równym stopniu odpowiedzialni byli za ich spłatę.
Ww. postanowienie zostało utrzymane w mocy postanowieniem Sądu Rejonowego w M. II Wydział Kamy w sprawie o sygn. […] z dnia […] czerwca 2019 r.
W złożonych wyjaśnieniach Spółka wskazała, że pozyskała dane osobowe skarżącego w związku ze składanymi do Spółki przez samego skarżącego wnioskami o zawarcie umowy pożyczki. Spółka wskazała, że umowy o pożyczkę zawierane były ze skarżącym w formie elektronicznej za pośrednictwem Internetu, a w trakcie zawierania umowy nie było fizycznego kontaktu ze skarżącym jak również nie były weryfikowane jego dokumenty.
Spółka wskazała, że skarżący dokonał rejestracji profilu w dniu […] października 2016 r., podając swoje dane osobowe w zakresie: imię, nazwisko, numer pesel, numer dowodu osobistego, numer telefonu komórkowego, adres korespondencyjny oraz adres e-mail. Spółka wskazała, że na nazwisko skarżącego zawarte zostały trzy umowy pożyczki: nr […] z dnia […] października 2016 r. spłacona w dniu […] listopada 2016 r., nr […] z dnia […] listopada 2016 r., spłacona […] grudnia 2016 r. oraz nr […] z dnia […] stycznia 2017 r., spłacona w dniu […] sierpnia 2018 r.
Spółka wskazała, że skarżący w dniu […] lipca 2019 r. wniósł do Spółki pismo zatytułowane “Wniosek i Reklamacja”, w treści którego zwrócił się do Spółki z prośbą o przesłanie szczegółów umów zawieranych pomiędzy Spółką a skarżącym w dniach od […] października 2016 r. do […] lipca 2019 r. Spółka odniosła się do wniosku skarżącego udzielając mu odpowiedz pismem z dnia […] sierpnia 2019 r. Spółka wyjaśniła, że od tamtego okresu do Spółki nie wpłynęła od skarżącego żadna inna korespondencja w sprawie.
Spółka wskazała, że obecnie przetwarza dane osobowe skarżącego wynikające z ww. umów na podstawie art. 6 ust. 1 lit c rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (Dz. Urz. UE L 119 z 4.05.2016, str. 1, Dz. Urz. UE L 127 z 23.05.2018, str. 2 oraz Dz. Urz. UE L 74 z 4.03.2021, str. 35), zwanego dalej RODO, w zw. z art. 32 § 1 i art. 86 ustawy z dnia 29 sierpnia 1997 r. – Ordynacja podatkowa (Dz.U. 2021 poz. 1540), art. 74 ustawy z dnia 29 września 1994 r. o rachunkowości (Dz.U. 2021 poz. 217), art. 33 i art. 49 ustawy z dnia 1 marca 2018 r. o przeciwdziałaniu praniu pieniędzy oraz finansowaniu terroryzmu (Dz.U. 2022 poz. 593, zwana dalej AML).
Spółka wskazała również, że dane skarżącego przetwarza również na podstawie art. 6 ust. 1 lit. f RODO w celu możliwości udzielenia odpowiedzi na reklamacje, ochrony praw przed sądem lub organami administracji publicznej w przypadku wszczęcia przeciwko Spółce postępowania lub zgłoszenia roszczeń. Spółka wskazała, że cyt. “Spółka będzie przetwarzać dane osobowe do upływu okresu wynikającego z obowiązujących przepisów prawa — m.in. jako instytucja zobowiązana z AML – do upływu okresu 5 lat, licząc od dnia w którym przeprowadzono transakcję z klientem oraz 5 lat licząc od dnia zakończenia stosunków gospodarczych z klientem (art. 49 ust. 1 i ust. 2 ustawy z dnia 1 marca 2018 r. o przeciwdziałaniu praniu pieniędzy oraz finansowaniu terroryzmu), do upływu okresu przedawniania zobowiązania podatkowego (art. 86 § 1 ustawy z dnia 29 sierpnia 1997 r. Ordynacja podatkowa oraz art. 74 ustawy o rachunkowości) oraz do upływu okresu przedawnienia roszczeń Skarżącego (art. 118 kodeksu cywilnego — z uwzględnieniem ew. przepisów przejściowych).”
Spółka wskazała, że w chwili obecnej nie toczą się żadne postępowania karne z udziałem Spółki i skarżącego, a toczące się postępowanie karne zostało umorzone dnia […] marca 2019 r. Spółka wskazała, że od pisma skarżącego z dnia […] lipca 2019 r., skarżący nie zwracał się bezpośrednio do Spółki z żadnymi żądaniami. Spółka wskazała również, że nie upłynął termin przedawnienia roszczeń przysługujących skarżącemu.
Ponadto Spółka wyjaśniła cyt. “Obecnie Spółka nie planuje wystąpić do Skarżącego z roszczeniami, jednakże z uwagi na możliwość podjęcia umorzonego postępowania karnego oraz złożoną przez Skarżącego reklamację do Spółki istnieje duże prawdopodobieństwo konieczności podjęcia obrony praw Spółki, czego przejawem jest chociażby zapytanie skierowane przez Prezesa Urzędu Ochrony Danych Osobowych w niniejszej sprawie. Dlatego Spółka podjęła decyzję o dalszym przetwarzaniu wskazanych danych Skarżącego dla celu jakim jest obrona przed ewentualnymi roszczeniami wskazując jednocześnie, że polityka Spółki w tym zakresie przewiduje usuwanie danych przed upływem terminu przedawnienia jeżeli istnieje przynajmniej niskie ryzyko konieczności ochrony praw Spółki.”
Mając powyższe na względzie Prezes UODO zaskarżoną decyzją z dnia […] grudnia 2022 r.:
1. nakazał S. F. sp. z o.o. z siedzibą w W. przy ul. […] […], zaprzestanie przetwarzania danych osobowych M. M. zam. w M. przy ul. W. […], przetwarzanych w związku z umowami nr […] z dnia […] października 2016 r. oraz nr […] z dnia […] listopada 2016 r.;
2. w pozostałym zakresie odmówił uwzględnienia wniosku.
Prezes przytoczył art. 6 ust. 1 RODO oraz motyw 47 RODO i podkreślił, że dokonał jedynie oceny legalności przetwarzania danych osobowych skarżącego, natomiast nie badał kwestii istnienia lub nieistnienia umowy, ani okoliczności jej zawarcia. Poza kompetencjami Prezesa UODO znajduje się bowiem prowadzenie postępowań karnych lub śledczych i w tym zakresie Prezes opiera się na orzeczeniach wydanych przez organy ścigania. W związku z powyższym, dopóki istnienie dotyczących skarżącego wierzytelności nie zostało podważone przez sąd powszechny, wywołuje ona skutki, które podlegają ocenie w świetle ustawy o ochronie danych osobowych.
W ocenie Prezesa UODO, z zebranego materiału dowodowego wynika, że zarówno policja, prokuratura, jak i sąd kamy, uznały, że nie ma wystarczających dowodów na uznanie, że skarżący nie zawarł wskazanych przez Spółkę umów pożyczek lub że nie wyraził zgody na zawarcie tych umów przez żonę. W związku z powyższym w świetle ustalonego w niniejszej sprawie stanu faktycznego uznać należy, że skarżący jest stroną zawartych ze Spółką umów pożyczek: nr […] z dnia […] października 2016 r., nr […] z dnia […] listopada 2016 r. oraz nr […] z dnia […] stycznia 2017 r.
Zobowiązania wynikające z wszystkich powyższych umów zostały spłacone. Spółka wskazała, że kontynuuje przetwarzanie danych osobowych skarżącego na podstawie art. 6 ust. 1 lit. c i f RODO.
W ocenie Prezesa UODO, w świetle ustalonego stanu faktycznego, Spółka obecnie legitymuje się przesłanką legalizującą przetwarzanie danych osobowych skarżącego, dotyczącą umowy nr […] z dnia […] stycznia 2017 r. w postaci art. 6 ust. 1 lit. c RODO, która spłacona została ostatecznie w dniu […] sierpnia 2018 r. W ocenie organu, Spółka przetwarza dane skarżącego w celu realizacji obowiązków prawnych wynikających z przepisów prawa, tj. z art. 74 ust. 2 pkt. 4 ustawy o rachunkowości.
Dalej Prezes przytoczył art. 32 § 1 i art. 86 § 1 Ordynacji podatkowej oraz art. 49 ust. 1 pkt 1 i 2 i art. 34 AML i podniósł, że umowa nr […] z dnia […] stycznia 2017 r. została spłacona ostatecznie w dniu […] sierpnia 2018 r., w związku z czym wynikające z ww. przepisów terminy, jeszcze nie upłynęły. Wobec powyższego, w ocenie Prezesa UODO, przetwarzanie danych osobowych skarżącego przez Spółkę po zakończeniu ww. umowy znajduje oparcie w przesłance z art. 6 ust. 1 lit. c RODO, jako proces niezbędny do wypełnienia obowiązków wynikających z art. 74 ust. 2 pkt. 4 ustawy o rachunkowości, art. 32 § 1 i art. 86 § 1 Ordynacji podatkowej oraz przepisów AML, w tym m.in. art. 49 ust. 1 i 2 AML.
Prezes podkreślił jednak, że powyższe podstawy nie znajdują zastosowania w odniesieniu do umowy pożyczki nr […] z dnia […] października 2016 r., która spłacona została w dniu […] listopada 2016 r., oraz umowy pożyczki nr […] z dnia […] listopada 2016 r., spłaconej […] grudnia 2016 r. W powyższych przypadkach upłynął bowiem 5-letni okres wynikający zarówno z art. 74 ust. 2 pkt. 4 ustawy o rachunkowości, jak również z art. 49 ust. 2 AML.
W ocenie Prezesa Urzędu Ochrony Danych Osobowych, brak jest natomiast spełnienia wskazywanej przez Spółkę przesłanki niezbędności do celów wynikających z prawnie usprawiedliwionych interesów realizowanych przez administratora odnośnie do przetwarzania danych osobowych skarżącego, wynikającej z art. 6 ust. 1 lit. f RODO, dotyczących przetwarzania zarówno umowy nr […] z dnia […] stycznia 2017 r., jak i pozostałych umów: nr […] z dnia […] października 2016 r. oraz nr […] z dnia […] listopada 2016 r.
Spółka nie wykazała, by toczyły się obecnie jakieś postępowania cywilne lub karne, których Spółka oraz skarżący byliby stronami. Spółka nie dochodzi od skarżącego żadnej wierzytelności, wszystkie zobowiązania umowne zostały spłacone przez skarżącego. Spółka wskazała nadto, że nie planuje wystąpić wobec skarżącego z jakimiś roszczeniami. Spółka nie wykazała zatem niezbędności przetwarzania danych skarżącego w powyższych celach. Prezes podkreślił, że przesłanka z art. 6 ust. 1 lit. f RODO dotyczy sytuacji już istniejącej, w której celem wynikającym z prawnie uzasadnionych interesów realizowanych przez administratora jest konieczność udowodnienia, potrzeba dochodzenia lub obrony przed roszczeniem istniejącym, nie zaś sytuacji, gdy dane są przetwarzane w celu zabezpieczenia się przed ewentualnym roszczeniem. W niniejszej sprawie skarżący co prawda skierował do Spółki reklamację, jednakże została ona przez Spółkę rozpoznana i postępowanie reklamacyjne zakończyło się. Również prowadzone przez prokuraturę dochodzenie zostało prawomocnie umorzone. W związku z tym, w chwili obecnej Spółka przetwarza dane skarżącego w ww. celu wyłącznie “na zapas”, aby zabezpieczyć się przed ewentualnym przyszłymi i niepewnymi roszczeniami skarżącego. W tym zakresie Prezes powołał się na wyrok NSA z dnia 6 marca 2019 r. sygn. akt I OSK 994/17.
W związku z powyższym w ocenie Prezesa UODO wskazana przez Spółkę podstawa, wynikająca z art. 6 ust. 1 lit. f RODO, nie uzasadnia przetwarzania danych osobowych skarżącego w niniejszej sprawie przetwarzanych w związku z umowami nr […] z dnia […] października 2016 r. oraz nr […] z dnia […] listopada 2016 r.
Natomiast w odniesieniu do umowy nr […] z dnia […] stycznia 2017 r. z uwagi na spełnienie innej przesłanki legalizującej przetwarzanie przez Spółkę danych osobowych skarżącego, określonej w art. 6 ust. 1 lit. c RODO, zaistniałej w związku z obowiązkami prawnymi wynikającymi z przepisów prawa, tj. z art. 74 ust. 2 pkt. 4 ustawy o rachunkowości, art. 32 §1 i art. 86 § 1 Ordynacji podatkowej oraz przepisów AML, w tym art. 49 ust. 1 i 2 AML, brak jest podstaw do nakazania usunięcia danych osobowych skarżącego przetwarzanych w ww. celu.
W związku ze wskazaniem przez Spółkę, że przetwarzanie danych osobowych skarżącego niezbędne jest aktualnie do celów wynikających z prawnie uzasadnionych interesów realizowanych przez administratora w związku z postępowaniem prowadzonym przez Prezesa UODO oraz w następstwie korespondencji prowadzonej ze skarżącym, Prezes UODO wskazał, że dane osobowe mogą być przetwarzane przez okres niezbędny do realizacji celu, zatem zakończenie postępowania administracyjnego powoduje wygaśnięcie tego celu przetwarzania.
W ocenie Prezesa Urzędu Ochrony Danych Osobowych w niniejszej sprawie nie ma podstaw do stwierdzenia, że dane osobowe skarżącego zostały pozyskane, a następnie przetwarzane były w sposób niezgodny z przepisami RODO. Obecnie przetwarzanie danych osobowych skarżącego przez Spółkę, w zakresie umowy nr […] z dnia […] stycznia 2017 r., znajduje oparcie w art. 6 ust. 1 lit. c RODO, w związku z realizacją przez Spółkę obowiązków prawnych wynikających z przepisów prawa, tj. z art. 74 ust. 2 pkt. 4 ustawy o rachunkowości, art. 32 §1 i art. 86 § 1 Ordynacji podatkowej oraz przepisów AML, w tym m.in. art. 49 ust. 1 i 2 AML. Prezes Urzędu nie stwierdził natomiast istnienia przesłanek uprawniających Spółkę do przetwarzania danych osobowych skarżącego wynikających z umów: nr […] z dnia […] października 2016 r. oraz nr […] z dnia […] listopada 2016 r., wobec czego nakazał zaprzestanie ich przetwarzania.
Z rozstrzygnięciem zawartym w pkt 1 decyzji Spółka nie zgodziła się i wywiodła skargę do Wojewódzkiego Sądu Administracyjnego w Warszawie, wnosząc o uchylenie decyzji w zaskarżonej części oraz zasądzenie od Prezesa UODO na jej rzecz kosztów postępowania według norm przepisanych.
Nadto z ostrożności na podstawie art. 106 § 3 ustawy z dnia 30 sierpnia 2002 r. – Prawo o postepowaniu przed sądami administracyjnymi (Dz. U. z 2023 r. poz. 1634 ze zm., dalej, jako: P.p.s.a.) wniesiono o przeprowadzenie dowodu uzupełniającego z decyzji Prezesa UOKiK z dnia […] grudnia 2019 r. nr […], co jest niezbędne do wyjaśnienia wątpliwości i nie spowoduje przedłużenia postępowania w sprawie.
Zaskarżonej w części decyzji zarzucono:
1. Naruszenie przepisów postępowania, które mogło mieć istotny wpływ na wynik sprawy, a to art. 7, 77 § 1 i art. 80 K.p.a. polegające na niewyczerpującym rozpatrzeniu materiału dowodowego oraz na jego dowolnej ocenie, co w konsekwencji doprowadziło do stwierdzenia naruszenia art. 6 ust. 1 RODO – i nałożenia na Spółkę nakazu zaprzestania przetwarzania danych osobowych klienta;
2. Naruszenie przepisów prawa materialnego mające wpływ na wynik sprawy, a to art. 6 ust. 1 lit f RODO poprzez jego niezastosowanie i uznanie, iż do umów zawartych spłaconych w 2016 r. brak jest przesłanek do przetwarzania danych osobowych, w szczególności nieprawidłowe uznanie, iż Spółka nie posiada uzasadnionego interesu prawnego dla przetwarzania takich danych.
W uzasadnieniu skargi podniesiono, że Prezes UODO powołał się na orzeczenie NSA z dnia 6 marca 2019 r. sygn. akt I OSK 994/17 jednakże w żaden sposób nie odniósł się do indywidualnej sytuacji faktycznej i prawnej w rozpatrywanej sprawie. Stan faktyczny stojący za wydaniem ww. orzeczenia przez NSA jest całkowicie odmienny od stanu faktycznego tej sprawy.
W sprawie będącej podstawą do wydania zaskarżanej decyzji Spółka i skarżący zawarli faktycznie 3 umowy pożyczki, doszło między nimi do przepływu środków pieniężnych oraz do spełniania wzajemnych świadczeń. Tym samym sytuacja prawna stron jak i ryzyko potencjalnych roszczeń jest nieporównywalnie większe niż w stanie faktycznym występującym w cytowanym przez Prezesa UODO orzeczeniu NSA.
W ocenie Spółki, przyjęcie stanowiska organu o bezwarunkowym obowiązku usuwania danych pomimo braku upływu okresu przedawnienia prowadzi do sytuacji, w której Spółka jako administrator jest pozbawiony realnej możliwości obrony przed roszczeniami (zarówno na etapie sądowym, jak i pozasądowym), tym samym dochodzi do zachwiania równowagi pomiędzy prawem osób do dysponowania swoimi prawami, a uzasadnionym interesem administratora. Obowiązek usunięcia danych osobowych, wiąże się z koniecznością usunięcia m.in. historii dokonywanych przez klienta transakcji oraz wszelkiej prowadzonej korespondencji, co w rzeczywistości pozbawia administratora posiadania jakichkolwiek środków dowodowych.
Nawet jeżeliby uznać, że Spółka może ponownie wejść w posiadanie danych osobowych po wytoczeniu ewentualnego roszczenia przez Klienta (ponieważ Klient będzie musiał wykazać roszczenie przed sądem), nie można oczekiwać, iż dany Klient przedstawi wszelkie dokumenty i informacje na etapie postępowania sądowego, w szczególności jeżeli takie dokumenty i informacje będą niekorzystne z punktu widzenia jego pozycji procesowej. Administrator nie będzie miał żadnych danych dotyczących zobowiązania klienta, nie będzie miał możliwości weryfikacji faktu istnienia stosunku prawnego, historii transakcji czy korespondencji z klientem, w takim wypadku administrator będzie pozbawiony realnych możliwości obrony swoich praw. Z tego też powodu przetwarzanie danych osobowych w zakresie przechowywania danych jest uzasadnione. Skoro ustawodawca przewidział termin, w którym mogą być dochodzone roszczenia (ark 118 KC), należy przyjąć, że termin ten również uzasadnia przechowywanie danych osobowych do tego celu.
Spółka wskazała też, że dane osobowe skarżącego przetwarzane przez Spółkę ograniczają się wyłącznie do najmniej dotkliwej formy, tj. – przechowywania danych osobowych. Spółka nie wykorzystuje danych osobowych w żaden inny sposób, w szczególności nie udostępnia danych żadnym osobom trzecim. W takim przypadku sposób przetwarzania danych w celu realizacji uzasadnionego interesu administratora w praktyce nie jest dotkliwe i nie ingeruje w prawa osoby, której dane są przetwarzane. Można w zasadzie stwierdzić, iż Spółka samodzielnie dokonuje ograniczenia przetwarzania danych osobowych rozumienia art. 4 pkt 3 RODO.
W ocenie Spółki, należy również ocenić ryzyko wystąpienia z roszczeniami przez skarżącego. Skarżący składał reklamacje, jednocześnie utrzymywał, iż nie był stroną umów pożyczek oraz, że takie pożyczki zawarła na jego dane osoba trzecia (co ostatecznie nie zostało wykazane w ramach postępowania karnego). Powyższe okoliczności wskazują, iż ryzyko wystąpienia z roszczeniem istnieje, nie jest tylko hipotetyczne.
Wszystko powyższe potwierdza, iż po pierwsze występuje prawnie uzasadniony interes, który jest realizowany przez administratora (konieczność ochrony swoich praw i obrony przed roszczeniami). Po drugie przetwarzanie danych osobowych jest niezbędne dla realizacji celu wynikającego z prawnie uzasadnionych interesów (brak danych osobowych oraz informacji z nimi powiązanych, w tym historii transakcji i korespondencji uniemożliwia skuteczną obronę). Co również istotne, zdaniem Spółki, była ona stroną postępowania przed Prezesem Urzędu Ochrony Konkurencji i Konsumentów, w ramach którego Prezes UOKiK wydał decyzję nr […] nakazującą m.in. poinformowanie wszystkich klientów, którzy spłacili przedterminowo pożyczkę po 16 maja 2016 r. o prawie do złożenia reklamacji i zażądania rozliczenia pożyczki. Decyzja nie jest jeszcze wykonalna w tym zakresie, ponieważ została zaskarżona i obecnie jest na etapie postępowania apelacyjnego przed Sądem Apelacyjnym w Warszawie, jednakże wkrótce można spodziewać się ostatecznego rozstrzygnięcia. Spółka podkreśliła, iż wszystkie pożyczki skarżącego zostały zawarte po […] maja 2016 r, jednocześnie pożyczka o nr […] z dnia […] listopada 2016 r. została spłacona wcześniej, tym samym na Spółce będzie ciążył obowiązek poinformowania Klienta o możliwości złożenia reklamacji oraz ewentualnego rozliczenia pożyczki. Należy przy tym spodziewać się, że Klient (jak i inni klienci, do których będzie kierowane zawiadomienie) będą żądali rozliczenia wszystkich pożyczek. Dla możliwości oceny roszczeń klientów oraz następnie sporządzenia skutecznej odpowiedzi na reklamację, Spółka musi zatem posiadać informacje dotyczące wszystkich pożyczek, których spłata nastąpiła po […] maja 2016 r., w tym dat i historii spłat. Spółka musi mieć możliwość ustalenia do kogo musi zostać wysłane zawiadomienie, czy dana pożyczka była spłacona wcześniej, a zatem czy klientowi przysługuje roszczenie o rozliczenie pożyczki. Usunięcie danych osobowych uniemożliwi Spółce wykonanie decyzji Prezesa UOKiK.
W odpowiedzi na skargę Prezes UODO wniósł o jej oddalenie i podtrzymał swoje dotychczasowe stanowisko, uznając zarzuty skargi za niezasadne. Organ wskazał ponownie, że za niedopuszczalne należy uznać przetwarzanie danych osobowych w oparciu o przesłankę z art. 6 ust. 1 lit. f RODO w sytuacji, gdy pomiędzy stronami nie toczy się żadne postępowanie związane z dochodzeniem roszczeń. Przyjęcie za prawidłowe stanowiska, iż przetwarzanie danych osobowych w celu uchylenia się od negatywnych skutków w przypadku zgłoszenia w przyszłości ewentualnego i nieokreślonego roszczenia, stanowi prawnie usprawiedliwiony cel w rozumieniu art. 6 ust. 1 lit. f RODO oznaczałoby, że dane osobowe skarżącego mogą być przetwarzane przez Spółkę permanentnie, bez konieczności ich usunięcia.
Odnosząc się natomiast do podniesionej przez Spółkę kwestii toczącego się postępowania przed Urzędem Ochrony Konkurencji i Konsumentów, w związku z którym niezbędne jest dalsze przetwarzanie danych osobowych skarżącego, Prezes UODO wskazał, że Spółka nie powołała ww. okoliczności w toku postępowania administracyjnego. Niedopuszczalne jest tym samym powoływanie tejże okoliczności na etapie postępowania sądowego. Na Spółce jako administratorze danych, spoczywa obowiązek wynikający z zasady rozliczalności (art. 5 ust. 2 RODO), zobowiązującej administratora do wykazania przestrzegania przepisów prawa. Nie ulega wątpliwości, że powyższa kwestia nie jest dla Spółki nowa i była jej zanana w trakcie postępowania. Przedłożona wraz ze skargą kopia decyzji Prezesa UOKIK z dnia 30 grudnia 2019 r. nie może mieć więc wpływu na rozstrzygnięcie niniejszej sprawy. Na podstawie art. 58 ust. 1 lit. a RODO na administratorze spoczywa obowiązek dostarczenia wszelkich informacji potrzebnych organowi nadzorczemu do realizacji swoich zadań. Zapewnienie skutecznego stosowania przepisów o ochronie danych osobowych wymaga wdrożenia i stosowania procedur zapewniających rozliczalność danych osobowych. Rozporządzenie nie przesądza przy tym, jak administrator powinien realizować obowiązki z niego wynikające, niemniej jednak wskazuje na konieczność rozliczania się z przestrzegania przepisów, raportowania ich realizacji oraz przedstawiania dowodów świadczących o prawidłowym wykonywaniu obowiązków. Zasada rozliczalności zobowiązuje administratorów danych osobowych do demonstrowania podjęcia wszelkich środków mających na celu zapewnienie zgodności z obowiązkami ochrony danych osobowych. W świetle ww. zasady to administrator danych odpowiada za opracowanie, aktualizowanie i utrzymywanie wszystkich procedur i dokumentów związanych z ochroną informacji, a także za stworzenie możliwości dowodowych wykazujących zgodność przetwarzania z przepisami. W myśl zasady rozliczalności, to na administratorze ciążył obowiązek wykazania, że proces przetwarzania danych osobowych Skarżącego, prowadzony był zgodnie z ww. zasadami.
W piśmie procesowym z dnia […] kwietnia 2023 r. Spółka odniosła się do stanowiska Prezesa UODO zaprezentowanego w odpowiedzi na skargę, podtrzymując swoje dotychczasowe zarzuty i wnioski.
Na rozprawie w dniu […] stycznia 2024 r. pełnomocnik organu podtrzymał stanowisko zaprezentowane w zaskarżonej decyzji.
Na rozprawie Sąd postanowił dopuścić dowód z dokumentu tj. decyzji Prezesa UOKiK z dnia […] grudnia 2019 r. nr […].
Wojewódzki Sąd Administracyjny w Warszawie zważył, co następuje:
Zgodnie z art. 1 ustawy z dnia 25 lipca 2002 r. Prawo o ustroju sądów administracyjnych (Dz. U. z 2022 r. poz. 2492) sądy administracyjne są właściwe do badania zgodności z prawem zaskarżonych aktów administracyjnych, przy czym sąd nie może opierać tej kontroli na kryterium słuszności lub sprawiedliwości społecznej. Kontrolowane rozstrzygnięcie jest zgodne z prawem, jeżeli jest zgodne z powszechnie obowiązującymi przepisami prawa materialnego i przepisami prawa procesowego.
Uchylenie decyzji, względnie stwierdzenie jej nieważności przez sąd następuje tylko w przypadku stwierdzenia istnienia istotnych wad w postępowaniu lub naruszenia przepisów prawa materialnego, mającego wpływ na wynik sprawy, o czym przesadza art. 145 ustawy z dnia 30 sierpnia 2002 r. Prawo o postępowaniu przed sądami administracyjnymi (Dz. U. z 2023 r. poz. 1634 ze zm., dalej, jako: P.p.s.a.).
Zakres kontroli Sądu wyznacza art. 134 P.p.s.a. stanowiący, iż sąd orzeka w granicach danej sprawy, nie będąc jednak związany zarzutami i wnioskami skargi oraz powołaną podstawą prawną.
Dokonując kontroli legalności zaskarżonej decyzji w granicach kompetencji przysługujących sądowi administracyjnemu, na podstawie wymienionych ustaw, Sąd uznał, że skarga zasługuje na uwzględnienie.
W pierwszej kolejności należy podkreślić, że każdy proces przetwarzania danych osobowych musi być zgodny z prawem. Oznacza to, że administrator, przetwarzając dane osobowe zwykłe musi legitymować się przynajmniej jedną z przesłanek określonych w art. 6 ust. 1 RODO (w przypadku przetwarzania danych szczególnej kategorii jedną z przesłanek określonych w art. 9 ust. 2 RODO). Katalog przesłanek wymienionych w art. 6 ust. 1 RODO, jest zamknięty. Każda z przesłanek legalizujących proces przetwarzania danych osobowych ma charakter autonomiczny i niezależny. Przesłanki te co do zasady są równoprawne, a wobec tego spełnienie co najmniej jednej z nich stanowi o zgodnym z prawem przetwarzaniu danych osobowych. W konsekwencji zgoda osoby, której dane dotyczą nie jest jedyną podstawą przetwarzania danych osobowych, bowiem proces przetwarzania danych będzie zgodny z RODO, również wówczas, gdy administrator danych wykaże spełnienie innej z wyżej wymienionych przesłanek.
A więc przetwarzanie jest zgodne z prawem wyłącznie w przypadkach, gdy – i w takim zakresie, w jakim spełniony jest co najmniej jeden z poniższych warunków: a) osoba, której dane dotyczą wyraziła zgodę na przetwarzanie swoich danych osobowych w jednym lub większej liczbie określonych celów; b) przetwarzanie jest niezbędne do wykonania umowy, której stroną jest osoba, której dane dotyczą, lub do podjęcia działań na żądanie osoby, której dane dotyczą, przed zawarciem umowy; c) przetwarzanie jest niezbędne do wypełnienia obowiązku prawnego ciążącego na administratorze; d) przetwarzanie jest niezbędne do ochrony żywotnych interesów osoby, której dane dotyczą, lub innej osoby fizycznej; e) przetwarzanie jest niezbędne do wykonania zadania realizowanego w interesie publicznym lub w ramach sprawowania władzy publicznej powierzonej administratorowi; f) przetwarzanie jest niezbędne do celów wynikających z prawnie uzasadnionych interesów realizowanych przez administratora lub przez stronę trzecią, z wyjątkiem sytuacji, w których nadrzędny charakter wobec tych interesów mają interesy lub podstawowe prawa i wolności osoby, której dane dotyczą, wymagające ochrony danych osobowych, w szczególności gdy osoba, której dane dotyczą, jest dzieckiem. Akapit pierwszy lit. f) nie ma zastosowania do przetwarzania, którego dokonują organy publiczne w ramach realizacji swoich zadań.
W pierwszej kolejności należy podnieść, iż Sąd podziela stanowisko organu, że w świetle ustalonego w niniejszej sprawie stanu faktycznego uznać należy, że skarżący jest stroną zawartych ze Spółką umów pożyczek: nr […] z dnia […] października 2016 r. oraz nr […] z dnia […] listopada 2016 r. (tych dotyczy pkt 1 zaskarżonej decyzji).
Po drugie właściwa jest argumentacja Prezesa UODO, że Spółka obecnie nie legitymuje się przesłanką legalizującą przetwarzanie danych osobowych skarżącego, dotyczącą ww. umów określoną w art. 6 ust. 1 lit. c RODO.
W tej sprawie kwestią sporną pozostaje to czy istnieje przesłanka legitymizująca przetwarzanie danych osobowych skarżącego przez Spółkę określona w art. 6 ust. 1 lit. f RODO.
W orzecznictwie sądów administracyjnych w odniesieniu do przesłanki analogicznej do art. 6 ust. 1 lit. f RODO wynikającej z art. 23 ust. 1 pkt 5 uprzednio obowiązującej ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. 2016 r. poz. 922 ze zm.) wypracowane zostało stanowisko, że przetwarzanie danych winno być niezbędne dla wypełnienia prawnie usprawiedliwionych celów. Niedopuszczalne jest więc przetwarzanie danych osobowych niejako “na zapas” z założeniem, że mogą być one ewentualnie przydatne w przyszłości oraz z odwołaniem się przy tym do przepisów dotyczących przedawnienia roszczeń cywilnoprawnych.
Z kolei w doktrynie przyjmuje się, że dla możliwości oparcia przetwarzania danych osobowych na przepisie art. 6 ust. 1 lit. f RODO konieczne jest, by przetwarzanie było niezbędne dla realizacji prawnie uzasadnionych interesów. Nie wystarczy zatem samo ich występowanie, lecz dodatkowo urzeczywistnienie takich interesów musi wymagać przetwarzania danych osobowych (por. D. Lubasz i W. Chomiczewski /w:/ E. Bielak-Jomaa (red.), D. Lubasz (red.), RODO. Ogólne rozporządzenie o ochronie danych. Komentarz, WKP 2018).
Pojęcie niezbędności należy rozumieć w ten sposób, że przetwarzanie danych dla realizacji prawnie uzasadnionego interesu administratora lub strony trzeciej musi być, rozsądnie oceniając, potrzebne. Musi w tym przypadku występować bezpośredni związek pomiędzy realizacją prawnie uzasadnionego interesu a potrzebą przetwarzania danych osobowych.
Warto zauważyć, że w motywie 47 preambuły do RODO wskazano, że interesy i prawa podstawowe osoby, której dane dotyczą, mogą być nadrzędne wobec interesu administratora danych, w szczególności w przypadkach, gdy dane osobowe są przetwarzane w sytuacji, w której osoby, których dane dotyczą, nie mają rozsądnych przesłanek, by spodziewać się dalszego przetwarzania.
Wobec powyższego, stwierdzić należy, że w przypadku, gdyby administrator chciał skorzystać z tej podstawy przetwarzania danych, powinien przeprowadzić tzw. test równowagi, tzn. dokonać oceny, czy interes administratora lub strony trzeciej, przemawiający za przetwarzaniem danych, jest prawnie uzasadniony, czy przetwarzanie jest niezbędne do realizacji celu wynikającego z tego interesu, a następnie rozważyć, czy interesy lub podstawowe prawa i wolności osoby, której dane dotyczą nie przeważają nad prawnie uzasadnionym interesem administratora lub strony trzeciej (por. wyrok WSA w Warszawie z dnia 29 lipca 2021 r. sygn. akt II SA/Wa 1725/20).
W tej sprawie nie budzi wątpliwości, że na etapie postępowania przed Prezesem UODO, jak i obecnie nie toczyły się żadne postępowania cywilne, karne czy administracyjne, których Spółka oraz skarżący byliby stronami. Spółka nie dochodzi od skarżącego żadnej wierzytelności, ani też nie planuje wystąpić wobec skarżącego z jakimiś roszczeniami.
Tym niemniej na etapie postępowania sądowego ujawniła się nowa okoliczność, która może mieć wpływ na rozstrzygnięcie tej sprawy, a która nie była dotąd oceniana przez organ.
Otóż z decyzji Prezesa UOKiK z dnia […] grudnia 2019 r. nr […] – dopuszczonej przez Sąd jako dowód – wynika, iż Prezes UOKiK nakazał m.in. poinformowanie wszystkich klientów, którzy spłacili przedterminowo pożyczkę po […] maja 2016 r. o prawie do złożenia reklamacji i zażądania rozliczenia pożyczki.
Jak podała Spółka w skardze, wszystkie pożyczki skarżącego zostały zawarte po […] maja 2016 r, jednocześnie pożyczka o nr […] z dnia […] listopada 2016 r. została spłacona wcześniej, tym samym na Spółce będzie ciążył obowiązek (w przyszłości) poinformowania Klienta o możliwości złożenia reklamacji oraz ewentualnego rozliczenia pożyczki.
Dla możliwości poinformowanie wszystkich klientów, którzy spłacili przedterminowo pożyczkę po […] maja 2016 r. o prawie do złożenia reklamacji i zażądania rozliczenia pożyczki, a następnie dla możliwości oceny roszczeń klientów oraz sporządzenia skutecznej odpowiedzi na reklamację, Spółka – jak wyjaśniała – musi posiadać informacje dotyczące wszystkich pożyczek, których spłata nastąpiła po […] maja 2016 r., w tym dat i historii spłat. Spółka musi mieć możliwość ustalenia do kogo musi zostać wysłane zawiadomienie, czy dana pożyczka była spłacona wcześniej, a zatem czy klientowi przysługuje roszczenie o rozliczenie pożyczki. Usunięcie danych osobowych uniemożliwi Spółce wykonanie decyzji Prezesa UOKiK.
Decyzja Prezesa UOKiK na dzień złożenia skargi nie była jeszcze wykonalna we wskazanym zakresie, gdyż, jak wyjaśniała Spółka, została zaskarżona i obecnie jest na etapie postępowania apelacyjnego przed Sądem Apelacyjnym w Warszawie.
W ocenie Sądu ewentualne skutki tej decyzji winne jednak zostać ocenione przez Prezesa UODO w świetle przesłanki z art. 6 ust 1 lit. f RODO, tj. niezbędności przetwarzania danych do celów, wynikających z prawnie usprawiedliwionych interesów, realizowanych przez administratora odnośnie do przetwarzania danych osobowych skarżącego.
W okolicznościach tej sprawy przedwczesne jest twierdzenie organu, że Spółka przetwarza dane osobowe skarżącego wyłączenie “na zapas” aby zabezpieczyć się przed ewentualnymi przyszłymi i niepewnymi roszczeniami. Organ winien bowiem wyjaśnić czy decyzja Prezesa UOKiK z dnia […] grudnia 2019 r. nr […] jest prawomocna czy też została wyeliminowana z obrotu prawnego, a następnie czy w świetle powołanej decyzji i stanowiska Spółki, uzasadnione jest twierdzenie, iż w niniejszej sprawie występuje przesłanka legalizująca przetwarzanie danych osobowych skarżącego z art. 6 ust 1 lit. f RODO. Jest to tym bardziej uzasadnione, że zaprzestanie przetwarzania danych osobowych skarżącego przez Spółkę sprowadza się do ich usunięcia. Spółka ujawniła wskazany dowód w sprawie dopiero na etapie postępowania przez Sądem, jednakże niezasadne jest twierdzenie organu, że to powoduje, iż nie może być on wzięty pod uwagę.
Sąd nie przesądza w żaden sposób o kierunku rozstrzygnięcia sprawy przez organ ale uznał, iż dla prawidłowego jej rozpoznania niezbędne jest poczynienie ww. ustaleń. Należy bowiem pamiętać, że zgodnie z art. 7 K.p.a. w toku postępowania organy administracji publicznej stoją na straży praworządności, z urzędu lub na wniosek stron podejmują wszelkie czynności niezbędne do dokładnego wyjaśnienia stanu faktycznego oraz do załatwienia sprawy, mając na względzie interes społeczny i słuszny interes obywateli.
Prowadzą też postępowanie w sposób budzący zaufanie jego uczestników do władzy publicznej (art. 8 § 1 K.p.a.) i powinny działać w sprawie wnikliwie (art. 12 § 1 K.p.a.). Przepisy te znajdują doprecyzowanie m.in. w art. 77 § 1 K.p.a., zgodnie z którym organ administracji publicznej jest obowiązany w sposób wyczerpujący zebrać i rozpatrzyć cały materiał dowodowy; istotny jest także art. 80 K.p.a., w świetle którego organ administracji publicznej ocenia na podstawie całokształtu materiału dowodowego, czy dana okoliczność została udowodniona.
Organ winien odnieść się do wszystkich aspektów niniejszej sprawy i dokonać ich dogłębnej merytorycznej oceny, a wynik tej oceny przedstawić w sposób spełniający wymogi pełnego uzasadnienia decyzji administracyjnej, zgodnie z art. 107 § 3 K.p.a.
Z tych wszystkich względów Sąd uznał, że zaskarżona decyzja jako wadliwa winna zostać wyeliminowana z obrotu prawnego z uwagi na naruszenie ww. przepisów postępowania.
Mając powyższe na uwadze, Wojewódzki Sąd Administracyjny w Warszawie, działając na podstawie art. 145 § 1 pkt 1 lit. c P.p.s.a., orzekł jak w pkt 1 sentencji. Rozstrzygnięcie o kosztach zawarte w pkt 2 sentencji oparte zostało o treść art. 200 w zw. z art. 205 § 2 P.p.s.a.
Ponownie rozpoznając sprawę organ uwzględni stanowisko przedstawione przez Sąd w niniejszym wyroku. |
