WSA wypowiada się w temacie uprawnień UODO po zaprzestaniu naruszenia

19.07.2021

W marcu bieżącego roku Wojewódzki Sąd Administracyjny wydał bardzo interesujący wyrok w zakresie dotyczącym granic postępowania administracyjnego przeprowadzanego przez Prezesa Urzędu Ochrony Danych Osobowych. Sąd uchylił decyzję Prezesa UODO w przedmiocie udzielenia Bankowi upomnienia za naruszenie art. 6 ust. 1 RODO. 

Stan faktyczny przedmiotowej sprawy wyglądał następująco.

Obywatel złożył do Prezesa UODO skargę na:

nieprawidłowości w procesie przetwarzania jej danych osobowych przez […] S.A. polegające na przetwarzaniu danych osobowych bez podstawy prawnej oraz udostępnieniu danych osobowych na rzecz […] S.A.

niespełnienie wymagań uprawniających go do rozpoczęcia przetwarzania jej danych osobowych w bazie […], w związku z wierzytelnością wynikającą z umowy nr […], bowiem Bank nigdy nie powiadomił skarżącej o zamiarze przetwarzania jej danych osobowych bez jej zgody w bazie […] stosownie do art. 105a ust. 3 Prawa bankowego.

Organ właściwy w sprawie ochrony danych osobowych przeprowadził postępowanie administracyjne i ustalił m.in., że:

skarżąca zawarła z Bankiem w dniu […] października 2012 r. umowę nr […], z tytułu której powstało zadłużenie; opóźnienie w spłacie wynosiło powyżej 60 dni, a umowa została zamknięta w dniu […] lutego 2018r.,

Bank wskazał, że dane osobowe skarżącej zostały zebrane w związku z zawartymi umowami o produkty bankowe, w tym ww. umową nr […]; dane osobowe skarżącej, tj.: imię, nazwisko, nazwisko rodowe, imiona rodziców, nazwisko panieńskie matki, płeć, data i miejsce urodzenia, pesel, typ i nr dokumentu tożsamości, adres zamieszkania, adres korespondencyjny, adres email, nr telefonu, nazwa pracodawcy, stanowisko, stan cywilny – przetwarzane są obecnie przez Bank w celach stosowania metod wewnętrznych oraz innych metod i modeli,

w związku z zaległościami w spłacie zobowiązania wynikającego z umowy nr […] Bank skierował do skarżącej zawiadomienie wysłane listem zwykłym w dniu […] sierpnia 2017 r. o zamiarze przetwarzania danych po wygaśnięciu zobowiązania, bez jej zgody, zgodnie z przepisami art. 105a ust. 3 Prawa bankowego i przetwarzał dane osobowe skarżącej w celu oceny zdolności kredytowej i analizy ryzyka kredytowego,

skarżąca w dniu […] stycznia 2019 r. wystąpiła do Banku z wnioskiem o zaprzestanie przetwarzania jej danych osobowych w […] S.A.; pismem z dnia […] stycznia 2019 r. Bank poinformował skarżącą, że w zakresie zobowiązania wynikającego z umowy nr […] w systemach informatycznych oznaczone zostało wycofanie zgody na przetwarzanie jej danych osobowych po wygaśnięciu ww. zobowiązania; pomimo wycofania zgody w związku z faktem spełnienia łącznie obydwu warunków określonych w art. 105a ust. 3 Prawa bankowego, Bank nabył prawo do przetwarzania danych osobowych do celów oceny zdolności kredytowej i analizy ryzyka kredytowego bez zgody skarżącej przez okres 5 lat od daty wygaśnięcia ww. zobowiązania,

pismem z dnia […] marca 2019 r. Bank poinformował skarżącą, że jej wniosek został uwzględniony i dane zostały przeniesione do części statystycznej w […] S.A., wobec czego nie będą przetwarzane w celu oceny zdolności kredytowej i analizy ryzyka kredytowego; na dowód powyższego Bank przedłożył zrzut z ekranu potwierdzający przeniesienie danych do części statystycznej […].

Uwzględniając powyższe organ wskazał, że podstawą prawną przetwarzania danych osobowych klientów przez Bank w […] S.A. jest art. 6 ust. 1 lit. f RODO, tj. przetwarzanie jest niezbędne do celów wynikających z prawnie uzasadnionych interesów realizowanych przez administratora, przy czym przetwarzanie danych odbywa się zgodnie z art. 28 ust. 3 RODO, tj. na podstawie zawartej z Bankiem – będącym administratorem – umowy powierzenia przetwarzania danych osobowych.

Wobec powyższego, korzystając z uprawnienia przewidzianego w art. 58 ust. 2 lit. b RODO, organ udzielił Bankowi upomnienia za naruszenie art. 6 ust. 1 RODO polegające na przetwarzaniu w okresie od dnia […] lutego 2018 r. do dnia […] marca 2019 r. danych osobowych skarżącej w systemie […] SA. w celu oceny zdolności kredytowej i analizy ryzyka kredytowego pomimo braku spełniania przesłanek wynikających z art. 105a ust. 3 Prawa bankowego.

W motywach skargi Bank podniósł, że Prezes UODO dokonał wadliwych ustaleń faktycznych i bezpodstawnie przyjął, że Bank dopuścił się uchybienia art. 6 ust. 1 RODO w okresie od dnia […] lutego 2018 r. do dnia […] marca 2019 r. Organ nie dostrzegł bowiem, że zarówno z treści skargi M. M., pisma z dnia […] stycznia 2019 r., jak i wyjaśnień Banku wynika, że przetwarzanie jej danych osobowych po wygaśnięciu zobowiązania odbywało się na podstawie jej pisemnej zgody, aż do czasu jej cofnięcia w zgłoszeniu z dnia […] stycznia 2019 r.

Odchodząc od powyższego problemu wykładni art. 105a ust. 3 Prawa bankowego oraz użytego w tym artykule sformułowania “poinformowania” warto zwrócić uwagę na inny aspekt przedmiotowego postępowania. 

Bank w skardze skierowanej do WSA wskazał, że: 

Bank zaprzestał przetwarzania danych osobowych skarżącej w […] S.A. dla celów oceny zdolności kredytowej i analizy ryzyka kredytowego w marcu 2019 r. W konsekwencji ustał stan, który mógłby naruszać art. 105a ust. 3 ustawy Prawo bankowe, w sytuacji niespełnienia przewidzianych w nim przesłanek legalizujących przetwarzanie danych osobowych po wygaśnięciu zobowiązania bez zgody osoby, której dotyczą.

oraz 

Zdaniem Banku, mając na względzie ratio legis instytucji środka naprawczego, należy zakwestionować możliwość jego nałożenia w sytuacji, gdy nie istnieje już stan naruszający art. 6 ust. 1 RODO (na co zwracał uwagę także organ). W konsekwencji udzielenie upomnienia […] S.A., po przeniesieniu danych osobowych skarżącej do części statystycznej […] S.A., należy uznać za niezasadne i sprzeczne z art. 58 ust. 2 RODO.

WSA wskazało, że:

W świetle powyższego skarga […] S.A. na decyzję z dnia […] maja 2020 r. nr […] podlega uwzględnieniu. Trafny jest bowiem zarzut naruszenia przez organ art. 7, art 77 § 1, art. 107 § 1 pkt 6 k.p.a. w związku z art. 105 ust. 2 Prawa bankowego w stopniu mogącym mieć istotny wpływ na wynik sprawy, co skutkowało uchyleniem ww. decyzji.

Organ bowiem błędnie przyjął w oparciu o zgromadzony materiał dowodowy, że Bank dopuścił się naruszenia art. 6 ust. 1 RODO w okresie od dnia […] lutego 2018r. do dnia […] marca 2019 r. Organ nie dostrzegł, że przetwarzanie danych osobowych skarżącej w […] S.A. po wygaśnięciu zobowiązania, tj. od […] lutego 2018r., miało miejsce na podstawie pisemnej zgody skarżącej, która została cofnięta dopiero w zgłoszeniu nr […] z dnia […] stycznia 2019 r. Powyższa okoliczność wynika z treści skargi z dnia […] lutego 2019 r. inicjującej przedmiotowe postępowanie administracyjne, do której załączona została kopia ww. zgłoszenia. Na okoliczność wycofania zgody skarżącej na przetwarzanie danych osobowych w ww. dacie powołał się również Bank w piśmie skierowanym do skarżącej w dniu […] stycznia 2019 r. oraz w wyjaśnieniach z dnia […] sierpnia 2019 r. złożonych na wezwanie Prezesa UODO.

Jednakże stwierdzenie przez WSA, iż:

Co do zasady okoliczność zaprzestania bezprawnego przetwarzania danych osobowych przez administratora danych (podmiot przetwarzający) przed wydaniem rozstrzygnięcia przez organ ochrony danych osobowych nie powoduje bezprzedmiotowości postępowania w rozumieniu art. 105 § 1 k.p.a. Organ może bowiem skorzystać z przysługujących mu uprawnień naprawczych (w tym poprzez zastosowanie środka z art. 58 ust. 2 lit. b RODO) również po ustaniu naruszeń. Nie jest wymagane, aby stan naruszenia był kontynuowany w dacie wydania rozstrzygnięcia, wystarczy bowiem samo ustalenie, że naruszenie takie zaistniało.

oraz

W niniejszym przypadku jednakże organ, ponownie rozpoznając sprawę, obowiązany będzie uwzględnić faktyczny okres bezpodstawnego przetwarzania danych osobowych skarżącej, a także okoliczność, że stan naruszenia przepisów RODO został naprawiony przez Bank w następstwie wniesienia do Prezesa UODO skargi z dnia […] lutego 2019 r. Czynniki te niewątpliwie mogą mieć istotne znaczenie dla sposobu rozstrzygnięcia niniejszej sprawy.

niesie za sobą istotne konsekwencje dla administratorów danych i otwiera nowe pole postępowań, gdyż do tej pory Prezes UODO umarzała postępowania, w których stwierdzał brak bezprawnego przetwarzania danych osobowych. Jeśli takie stanowisko nie zostanie podważone przez Naczelny Sąd Administracyjny to Prezes UODO będzie miał jeszcze więcej pracy, gdyż nie będzie mógł stwierdzić bezprzedmiotowości postępowania na kanwie zaprzestania bezprawnego przetwarzania danych osobowych przez administratora danych czy podmiot przetwarzający.