Wyrok WSA w Warszawie z dnia 21 czerwca 2022 r., sygn. II SA/Wa 3543/21

Wojewódzki Sąd Administracyjny w Warszawie w składzie następującym: Przewodniczący Sędzia WSA Joanna Kruszewska-Grońska, Sędzia WSA Joanna Kube, Sędzia WSA Waldemar Śledzik (spr.), Protokolant referent stażysta Beata Kowalska, po rozpoznaniu na rozprawie w dniu 21 czerwca 2022 r. sprawy ze skargi [...] [...]Sp. z o.o. w likwidacji z siedzibą w W. na decyzję Prezesa Urzędu Ochrony Danych Osobowych z dnia [...] marca 2021 r. nr [...] w przedmiocie przetwarzania danych osobowych oddala skargę.

Uzasadnienie

T. L. (dalej również: "Wnioskodawca"; "uczestnik postępowania") w piśmie z dnia [...] marca 2020 r. wniósł do Prezesa Urzędu Ochrony Danych Osobowych (dalej: "Prezes PUODO", "Organ") skargę na niezgodne z prawem przetwarzanie jego danych osobowych przez [...] sp. z o.o. z siedzibą w [...] (dalej: "[...]", "Spółka", "Skarżąca"). Wnioskodawca podał, że w dniu [...] marca 2020 r. drogą elektroniczną otrzymał informację, że w wyniku braku należytego zabezpieczenia jego danych osobowych przez Spółkę doszło do ich udostępnienia podmiotom nieuprawnionym. W związku z powyższym wniósł o wszczęcia postępowania w sprawie zbadania czy nie zachodzą przesłanki działania na jego szkodę oraz w zakresie zbadania właściwego stosowania zabezpieczenia danych osobowych i ich przechowywania przez Spółkę.

W pismach z dnia [...] lipca 2020 r., z dnia [...] października 2020 r. i z dnia

[...] stycznia 2021 r. Prezes UODO, na podstawie art. 58 ust. 1 lit. a i e rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (dalej "RODO"), zwrócił się do [...] o złożenie wyjaśnień i dostarczenie informacji w sprawie skargi T. L.na nieprawidłowości w procesie przetwarzania jego danych osobowych.

W pismach z dnia [...] lipca 2020 r., z dnia [...] listopada 2020 r. i z dnia [...] grudnia 2020 r. oraz z dnia [...] stycznia 2021 r. Spółka wyjaśniła, że dane osobowe T. L. przetwarza od dnia [...] maja 2018 r. tj. od dnia, w którym Wnioskodawca dokonał rejestracji na stronie internetowej [...] oraz zawarł ze Spółką ramową umowę pożyczki. Wskazała, że przetwarzała jego dane (imię, nazwisko, nr PESEL, serię i nr dokumentu tożsamości, obywatelstwo, miejsce urodzenia, numer rachunku bankowego, adres zamieszkania/korespondencyjny, adres zameldowania, adres e-mail, numer telefonu komórkowego, numer telefonu pracodawcy, nazwę pracodawcy, zatrudnienie (rodzaj umowy), przychód miesięczny netto, źródła przychodu, ilość osób pozostających na utrzymaniu, stan cywilny, wykształcenie, hasło do profilu klienta na [...]), na podstawie art. 6 ust. 1 lit a, b, c, f rozporządzenia RODO. Spółka podała, że faktycznie nie prowadzi działalności gospodarczej, "całkowicie" usunęła profil Wnioskodawcy jako klienta [...] i obecnie przetwarza jego dane osobowe wyłącznie w celach rachunkowych i podatkowych, a także w zakresie niezbędnym do realizacji obowiązków prawnych lub obrony roszczeń, na podstawie art. 6 ust. 1 lit c i f RODO.