WSA uchyla nakaz usunięcia danych z bazy Banku

Do serii wpisów dotyczących przetwarzania danych “na zapas”, a więc po zakończeniu świadczenia usługi, warto dodać kolejnej orzeczenie WSA, a dotyczące relacji z Bankiem.

Osoba składająca skargę (wnioskodawca) była do któregoś dnia lutego 2019 r. klientem Banku (nie znamy konkretnej daty, bo przecież jej anonimizacja przez WSA w Warszawie ma sens! Z kontekstu orzeczenia można domyślać się, że chodzi tutaj o 28 luty) – w tym dniu uległy rozwiązaniu łączące strony umowy.

Pomimo tego – 18 marca 2019 r. – osoba ta otrzymał od Banku informację o złożonej przezeń reklamacji w sprawie Kredytu, której nie składał.

Zdaniem Wnioskodawcy, od 1 marca 2019 r. Bank nie był uprawniony do przetwarzania jego danych osobowych; nie były one niezbędne do świadczenia umowy; w umowach Wnioskodawca nie udzielił zgody na przetwarzanie danych przez Bank po ich wygaśnięciu; pomimo tego Bank nadal kontaktował się z nim i żądał aktualizacji danych; 13 maja 2019 r. Bank przekazał ponadto – bez zgody i wiedzy Wnioskodawcy – jego dane osobowe do Biura; naruszył tym art. 105a ust. 2 ustawy z 29 sierpnia 1997 r. – Prawo bankowe (Dz.U. z 2020 r. poz. 1896 ze zm.); Bank odmawiał też konsekwentnie udzielenia Wnioskodawcy informacji na podstawie art. 15 RODO i przedstawienia zgody na przetwarzanie danych osobowych, (tak: pisma Wnioskodawcy z 18 marca, 24 kwietnia oraz 3 lipca 2019 r.).

Bank przyznał, że – w wyniku błędu pracownika, polegającego na nieoznaczeniu, po złożeniu wypowiedzenia przez Wnioskodawcę w systemie Banku, braku prolongaty Kredytu – przekazał 5 marca 2019 r. do Biura nieprawidłowe dane, dotyczące zaległości w spłacie Kredytu; nastąpiło to na skutek nienależnego naliczenia – w styczniu 2019 roku – opłaty za odnowienie Kredytu; zaksięgowano ją na rachunku Wnioskodawcy.

Bank wskazał, że Wnioskodawca występował w systemie bankowym jako “aktywny klient” do 5 lipca 2019 r.; wynikiem tego – 28 czerwca 2019 r. – pracownik Banku kontaktował się telefonicznie z Wnioskodawcą w celu aktualizacji danych jego dowodu osobistego; w trakcie tej rozmowy pracownik Banku potwierdził, że Wnioskodawca figurował w tym czasie w bazie klientów Banku – jako “czynny klient” (tak: pismo Banku z 10 lutego 2020 r.).

Wobec tego – 1 lipca 2019 r. – Wnioskodawca za pośrednictwem adresu poczty elektronicznej […] – podając swoje imię i nazwisko – zwrócił się do Banku o wskazanie podstawy żądania i celu aktualizacji swoich danych osobowych; zażądał jednocześnie przedstawienia zgody na przetwarzanie swoich danych, po zakończeniu umowy łączącej go z Bankiem.

W odpowiedzi z 3 lipca 2019 r. Banku odmówił udzielenia żądanych informacji; tłumaczył to brakiem możliwości identyfikacji Wnioskodawcy, jako klienta Banku; sugerował jednocześnie wszczęcie postępowania reklamacyjnego.

Bank wskazał, że nie odnotował w swoim systemie podania Wnioskodawcy o dostęp do danych; wyjaśnił jednocześnie, że – ze względu na tajemnicę bankową i tajemnicę zawodową – może udzielić odpowiedzi lub zrealizować uprawnienia RODO tylko prawidłowo zidentyfikowanej osobie, a w ocenie Banku imię, nazwisko i adres mailowy nie pozwalają na taką identyfikację.

Według Banku treść decyzji Prezesa UODO prowadzi do:

uzasadnionych wątpliwości, za co nałożono na Bank upomnienie; czy chodzi o brak jakiejkolwiek podstawy prawnej (czemu przeczy uzasadnienie we fragmentach wskazujących na podstawy prawne określone art. 6 ust. 1 RODO w zw. z art. 105a ust. 4 i 5 ustawy – Prawo bankowe) czy też o naruszenie wyłącznie art. 6 ust. 1 lit. b RODO – przeczy temu z kolei fragment uzasadnienia, dotyczący przetwarzania danych przez okres przedawnienia roszczeń; niejasnym jest również, których danych dotyczy nakaz usunięcia; nie jest zatem zrozumiała sama sentencja, a uzasadnienie nie wyjaśnia powyższych wątpliwości

Przedstawiono szeroką argumentację przemawiające za tezą, że przechowywanie danych osobowych przez Bank uzasadniają cele gospodarcze – w okresie, gdy jest możliwe realnie dochodzenie roszczeń przez obie strony umowy. Odmienne rozumienie regulacji RODO prowadziłoby do zniweczenie ich praw, wynikających z powszechnie obowiązującego prawa – przepisów K.c. Wskazano też, że obowiązek przetwarzania danych osobowych klientów – po rozwiązaniu umowy – wynika z szeregu powołanych w zarzutach skargi przepisów prawa administracyjnego. Nie uwzględnił ich organ administracji, o ile intencją wydania decyzji w punkcie 3 było nakazanie usunięcia wszelkich danych osobowych Wnioskodawcy. Dotyczy to zarówno samego Banku jak i jego klientów, którzy ze stosownymi roszczeniami mogą występować jeszcze po rozwiązaniu umowy.

Subskrypcja 30 dni
Przez 30 dni masz dostęp do zaawansowanej wyszukiwarki:
129
 PLN z VAT
  • Aktualizowanej Bazy Orzeczeń Sądów i Trybunałów
  • Eksperckich tez wybranych orzeczeń
  • Decyzji Polskiego Organu Nadzorczego
  • Decyzji Europejskich Organów Nadzorczych
  • Wytycznych i Opinii EDPB oraz EDPS
  • Konkretnych argumentów w postępowaniu administracyjnym
Wybieram
Subskrypcja 360 dni
Przez 360 dni masz dostęp do wszystkich funkcjonalności subskrypcji 30 dni
1548
 PLN z VAT
  • Dedykowany newsletter zawierający najważniejsze wyroki opublikowane w danym miesiącu wraz z tezami
  • Indywidualnych konsultacji z założycielem serwisu Judykatura.pl w kwestiach związanych z RODO (3 konsultacje w ramach obowiązującej subskrypcji)
  • Oszczędność 15% względem pozostałych pakietów
Wybieram
Subskrypcja 180 dni
Przez 180 dni masz dostęp do wszystkich elementów subskrypcji 90 dni:
774
 PLN z VAT
  • Dedykowany newsletter zawierający najważniejsze wyroki opublikowane w danym miesiącu wraz z tezami
  • Indywidualną konsultację z założycielem serwisu Judykatura.pl w kwestiach związanych z RODO (1 konsultacja w ramach obowiązującej subskrypcji)
  • Oszczędność 10% względem pozostałych pakietów
Wybieram

W takim stanie “rzeczy” Sąd wskazał:

w danym kontekście nie są trafne zarzuty Banku dotyczące naruszenie przepisów postępowania, co do obowiązku właściwego wyjaśnienia sprawy w jej uwarunkowaniach faktycznych jak i sformułowania orzeczenia w sposób zrozumiały. Wbrew wywodom skargi (potem podtrzymywanym w kolejnych pismach), w kontekście osnowy decyzji jak i jej uzasadnienia rozstrzygnięcie jest zrozumiałe – jednoznaczne. Wynika zeń obowiązek usunięcia przez Bank wszelkich danych Wnioskodawcy.

Bezsporne są też okoliczności faktyczne sprawy – w zakresie, gdzie Bank przyznał, że – dla pewnych celów – dane Wnioskodawcy były używane wyłącznie w następstwie błędu Banku (jego pracownika), zaś na dzień orzekania nie wiąże go z Wnioskodawcą żadna umowa (te, na prowadzenie rachunku osobistego i Kredytu rozwiązano). Wobec szczegółowego zreferowania uzasadnienia orzeczenia organu, gdzie stosowne fakty przywołano, ponowne ich powtarzanie byłoby zbędne.

W tak zarysowanym, bezspornym stanie faktycznym organ mylnie jednak skonstatował, jakoby w ogóle nie było podstaw dla dalszego przetwarzania danych osobowych Wnioskodawcy – wobec uprzedniego rozwiązania umowy i braku aktualnie sporów, co do zobowiązań stron. Trafnie wprawdzie w uzasadnieniu zreferowano ogólne ramy prawne przetwarzania danych osobowych wynikające w RODO. Wobec wcześniejszego przytoczenia, nie ma potrzeby ich powtarzania.

Zasadnie jednak Bank powoływał się na treść art. 6 ust. 1 lit. f RODO. Jako legalną podstawę wskazano tam na przetwarzanie danych, gdy jest to niezbędne dla celów, wynikających z prawnie uzasadnionych interesów, realizowanych przez administratora. Trafnie zauważa też strona skarżąca, że nie zachodzą w sprawie okoliczności wyłączające, przewidziane w danym przepisie in fine – nadrzędny charakter interesów osoby, której dotyczą dane, nad interesem administratora. Skutki prawne przywołanej regulacji – ustanowionej na szczeblu instytucje Unii Europejskich – należy oceniać na gruncie porządku prawnego określonego kraju członkowskiego – w kontekście zakreślenia tam ram prawnie uzasadnionego interesu. Zasadnie zauważył Bank, że wywodzić go można m.in., z przepisów prawa krajowego, dotyczących przedawnienia roszczeń z tytułu umów wiążących strony – stosownych (powoływanych przez obie strony) przepisów K.c.

Nadto Sąd podziela stanowisko Banku, że:

uznanie, jakoby – po rozwiązaniu umowy – obowiązkiem przedsiębiorcy było usunięcie danych kontrahenta, wyłączałoby w istocie jego prawa realizacji potencjalnych roszczeń jeszcze przed jego przedawnieniem. Mogłoby też prowadzić do istotnego ograniczenia praw jego klientów – np. wobec braku stosownej dokumentacji po stronie wyspecjalizowanego podmiotu rynku finansowego. Inaczej mówiąc, prezentowane przez organ rozumienie przepisów, dotyczących ram przetwarzania danych osobowych klientów banków, po wygaśnięciu umów, pozbawiałby obie strony praw, wynikających wprost z generalnych reguł prawa materialnego – K.c. Miałoby to znaczny wpływ na realia obrotu gospodarczego. Intencji wprowadzenia tak głębokiej modyfikacji w relacje umowne – w kontekście sektora bankowego – nie sposób przypisać prawodawcy – w kontekście aktualnego brzmienia regulacji w danym zakresie. Musiałby ją wyrazić wprost.

w tej sytuacji tylko na marginesie trzeba odnotować, że – wobec treści uzasadnienie zaskarżonego aktu – organ nie wypowiedział się w ogóle, czy prezentowany przezeń sposób rozumienia reguł przetwarzanie danych osobowych po wygaśnięciu umowy pozostaje w zgodzie z brzmieniem art. 105a ust. 4-7 ustawy – Prawo bankowe. Odnotował wprawdzie istnienie jednostki redakcyjnej art. 105a ust. 4, lecz nie wskazywał, jakie ma ona znaczenie w rozpoznawanej sprawie. Uchybienie to pozostaje jednak bez znaczenia, gdyż – co wykazano poprzednio – uprawnienie do przechowywania danych osobowych klientów banków po rozwiązaniu umowy wynika wprost ze stosownych reguł K.c.

w kontekście danej sprawy, gdzie nakazano Bankowi usunięcie wszelkich danych osobowych Wnioskodawcy, wyjaśnienie wskazanych kwestii nie miało akurat istotnego znaczenia. Wbrew stanowisku organu, na dzień orzekania istniały w sprawie przesłanki dalszego przetwarzania danych Wnioskodawcy – dla celu ewentualnej realizacji przyszłych nieprzedawnionych jeszcze roszczeń. Rozwiązanie umowy nastąpiło bowiem […] lutego 2019 r. zaś w sprawie orzekano 9 lutego 2021 r. Nie upłynął więc termin określony art. 118 K.c. Orzeczenie o obowiązku usunięcia wszelkich danych osobowych Wnioskodawcy było więc wadliwe. Skoro istniały podstawy przetwarzania danych nie było przesłanek dla nałożenia obowiązku ich usunięcia, w myśl art. 58 ust. 1 lit. g RODO. Bezzasadnie zastosowano daną regulację, wobec błędnej wykładni art. 6 ust. 1 lit. f RODO w zw. z art. 118 K.c.

 

4 lata z RODO!

 

Sąd odnosząc się z kolei do powoływanych przez obie strony stanowisk judykatury:

trzeba odnotować, że w istocie w orzecznictwie sądów administracyjnych wyrażany jest generalnie trafny pogląd, co do braku podstaw dla przetwarzania danych osobowych niejako na zapas – wobec wyłącznie zupełnie hipotetycznej możliwości powstania roszczeń. Trafnie zauważa jednak Bank, że wyrażano go zwykle na gruncie odmiennych stanów faktycznychgdzie między stronami nie dochodziło w ogóle do zawarcia umów (…). Wobec takich uwarunkowań, uzasadniona była konstatacja Sądów, że – z racjonalnych względów – powstanie jakichkolwiek roszczeń nie należało oczekiwać, co w istocie determinuje bezpodstawność gromadzenia danych osobowych, dla tych celów, gdy chodzi o przesłankę z art. 6 ust. 1 lit. f RODO.

Odmienna sytuacja ma jednak miejsce w rozpatrywanym przypadku. Strony były związane uprzednio umową. Ewentualnego powstania roszczeń nie sposób więc wykluczać. Powszechnie znane są przecież np. przypadki kwestionowanie sum spłaty kredytów przez klientów banków już po ich spłaceniu. Niepodobne z kolei zakładać, aby to bank w każdym przypadku musiał z góry oceniać, czy określone roszczenia w przyszłości wystąpią. Z mocy stosownych regulacji normatywnych K.c. dysponuję on określonym czasem, na ustalenie, czy osoba, z którą umowę już rozwiązano, nie ma jednak wobec niego nieuregulowanych zobowiązań.

I w finale Sąd “mówi” tak:

w rozpoznawanej sprawie był poza sporem stan faktyczny wobec ustaleń, że – w następstwie pomyłki Banku (jego pracownika) doszło do przetwarzania danych Wnioskodawcy zarówno przez sam Bank jak i do ich przekazania podmiotowi zewnętrznemu – do Biura. W świetle uzasadnienia skarżonego aktu, wyspecjalizowany w sprawach ochrony danych osobowych organ w istocie nie dopatrzył się (nie powołał w uzasadnieniu) żadnych nieprawidłowości np., co do systemu gromadzenia, zabezpieczenia organizacji baz informacji czy transferu danych, zbędnego duplikowania baz, zbierania nieistotnych informacji. Wszelkie przywoływane przez organ, działania Banku były wyłącznie następstwem naruszenia reguł, dotyczących właściwej obsługi klienta – w ramach działania określonej instytucji rynku finansowego.

każda forma aktywności gospodarczej wiąże się z pewnym marginesem nieuniknionych błędów – ludzkich lub wobec usterek technicznych. Do oceny z kolei, czy w danym przypadku zachowano standardy staranności lub ostrożności, właściwymi są inne, wyspecjalizowany w danym zakresie organy. Nie do zaakceptowania jest natomiast rozumienie przepisów, mających na celu zapewnienie odpowiedniego bezpieczeństwa i ograniczenia przetwarzania danych osobowych, jako stanowiące alternatywny i konkurencyjny mechanizm, służący egzekwowaniu odpowiedniej staranności w relacjach gospodarczych, gdy następstwem błędu jest zbędne – bezzasadne – przetworzenie danych osobowych. Takie sytuację będą wszak właśnie z reguły następstwem wszelkich błędów w relacjach podmiotów gospodarczych z klientami, będącymi osobami fizycznymi.

Niepodobna wszelkich błędów w relacjach gospodarczych, których naturalnym następstwem jest przetwarzania danych osobowych klientów (np. zamieszczenie w wewnętrznej bazie dłużników), kwalifikować, jako naruszenie przepisów RODO. Nie to jest celem danej regulacji.