Wyrok WSA w Warszawie z dnia 22 października 2020 r., sygn. II SA/Wa 1953/19

Ochrona danych osobowych

Wojewódzki Sąd Administracyjny w Warszawie w składzie następującym: Przewodniczący Sędzia WSA Sławomir Fularski (spr.), Sędzia WSA Piotr Borowiecki, Sędzia WSA Łukasz Krzycki, po rozpoznaniu na posiedzeniu niejawnym w dniu 22 października 2020 r. sprawy ze skargi M. B. na decyzję Prezesa Urzędu Ochrony Danych Osobowych z dnia [...] lutego 2019 r., nr [...] w przedmiocie przetwarzania danych osobowych oddala skargę

Uzasadnienie

Prezes Urzędu Ochrony Danych Osobowych (dalej jako "Prezes UUDO" lub "organ") działając na podstawie art. 104 § 1 ustawy z dnia 14 czerwca 1960 r. Kodeks postępowania administracyjnego (Dz. U. z 2018 r., poz. 2096 ze zm., dalej jako "k.p.a.") w zw. z art. 7 i art. 60 ust. 1 i 2 ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych (Dz. U. z 2018 r. poz. 1000 ze zm.), art. 6 ust. 1 lit. c) i lit. f), art. 17 ust. 3 lit. b i lit. e), art. 57 ust. 1 lit f) oraz art. 58 ust. 1 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych

w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (Dz. Urz. UE L 119 z 4 maja 2016 r., str. 1 oraz Dz. Urz. UE L 127 z 23 maja 2018 r., str. 2 ze zm., dalej jako "rozporządzenie 2016/679"), w dniu [...] lutego 2019 r. wydał decyzję nr [...], którą odmówił uwzględnienia wniosku M. B. (dalej jako "wnioskodawczyni" lub "skarżąca") w przedmiocie przetwarzania jej danych osobowych przez Bank [...] z siedzibą w [...], przy ul. [...] (dalej jako "Bank"). W uzasadnieniu decyzji podniósł, że wnioskodawczyni wniosła skargę na nieprawidłowości w przetwarzaniu jej danych osobowych przez Bank. W treści skargi wskazała, że Bank przetwarza jej dane osobowe bez podstawy prawnej wynikającej

z rozporządzenia 2016/679, gdyż w 2013 r. jej umowa rachunku bankowego została rozwiązana. W związku z tym skarżąca wniosła o nakazanie Bankowi usunięcie jej danych osobowych przetwarzanych przez Bank (również archiwalnych) oraz wyciągnięcie konsekwencji wynikających z powyższych przepisów, w tym karnych. Organ ustalił, że dane osobowe wnioskodawczyni zostały pozyskane w związku z zawartymi przez nią umowami na wskazane w decyzji produkty bankowe. Celem przetwarzania w powyższych przypadkach było zawarcie i realizacja umów rachunku bankowego, umowy lokaty i umów karty. Bank przetwarza obecnie dane osobowe skarżącej w celu wypełnienia obowiązku prawnego ciążącego na administratorze, polegającym na ustaleniu, dochodzeniu lub obronie roszczeń wynikających z realizacji zawartych z wnioskodawczynią umów, a także w celu wynikającym z prawnie uzasadnionych interesów administratora. Jak wynika z uzasadnienia rozstrzygnięcia organu, przetwarzanie danych osobowych skarżącej pozyskanych w związku z zawartymi przez nią umowami na wymienione w decyzji produkty bankowe zostanie ostatecznie zakończone w 2029 r. Prezes UODO podał, że dokonał na podstawie zgromadzonego materiału dowodowego jedynie oceny przetwarzania danych osobowych wnioskodawczyni pod kątem żądania usunięcia dotyczących jej danych osobowych ze względu na ich przetwarzanie niezgodnie z prawem, a zatem należało ocenić w postępowaniu, czy istnieją przesłanki do przetwarzania danych osobowych skarżącej przez Bank. Przesłanki zgodności z prawem przetwarzania danych osobowych określa art. 6 ust. 1 rozporządzenia 2016/679. Podstawę prawną do przetwarzania danych osobowych wnioskodawczyni przez Bank określa art. 6 ust. 1 lit c) i lit. f) przedmiotowego rozporządzenia w zw. z art. 105a ust. 4 ustawy z dnia 29 sierpnia 1997 r. Prawo bankowe (Dz. U z 2018 r. poz. 2187 ze zm., dalej jako "ustawa Prawo bankowe"). Żądanie usunięcia danych osobowych nie ma zastosowania w przypadkach określonych w art. 17 ust. 3 lit. b) i lit. e) powoływanego rozporządzenia, tj. w zakresie