Wyrok zapadł w następującym stanie faktycznym: Skarżący złożył do Biura Generalnego Inspektora Ochrony Danych Osobowych skargę na nieprawidłowości w procesie przetwarzania jego danych osobowych przez bank.
Klient ten w celu obsługi kilku lokat w banku podał swój prywatny numer telefonu oraz adres e-mail. Ponadto skarżący jako prezes zarządu spółki założył w banku konto firmowe dla spółki.
Zaprzestanie wykorzystania prywatnych danych
Po pewnym czasie skarżący otrzymał na firmowy oraz prywatny adres e-mail zawiadomienie o "połączeniu" systemów bankowości internetowej i podane zostały mu nowe loginy do konta prywatnego oraz firmowego. W związku z tym skarżący wniósł o nakazanie zaprzestania przetwarzania jego danych osobowych, tj. jego prywatnego numeru telefonu komórkowego oraz prywatnego adresu e-mail w celu związanym z obsługą konta firmowego oraz zaprzestania przetwarzania jego danych osobowych, tj. jego służbowego numeru telefonu oraz służbowego adresu e-mail w celu związanym z obsługą konta prywatnego.
Inspektor nie wszczyna postępowania
W toku postępowania wyjaśniającego jeszcze wtedy Generalny Inspektor Ochrony Danych Osobowych (obecnie UODO) ustalił, że bank pozyskał dane osobowe skarżącego w związku z zawarciem z nim umów o prowadzenie lokat terminowych, rachunku oszczędnościowo-rozliczeniowego, umów kredytowych. Bank przetwarza dane skarżącego, jako osoby reprezentującej spółkę w związku ze świadczeniem na rzecz spółki przez bank czynności bankowych, na podstawie zawartych umów.
Bank poinformował skarżącego, że dostęp do bankowości elektronicznej dla niego oraz reprezentowanej przez niego spółki jest oparty na jednym loginie, a w przypadku chęci posiadania przez skarżącego dostępu do bankowości elektronicznej tylko do rachunku firmowego prowadzonego na rzecz spółki należy złożyć dyspozycję wydania drugiego rodzaju bankowości elektronicznej GB24.
23 września 2015 r. w odpowiedzi na wniosek został utworzony osobny dostęp do korporacyjnej bankowości internetowej dla Spółki. GIODO odmówił uwzględnienia wniosku.
WSA oddala skargę klienta
Skargę do Wojewódzkiego Sądu Administracyjnego w Warszawie na tę decyzję złożył skarżący. W ocenie sądu I instancji organ w wydanych decyzjach słusznie stwierdził, że przetwarzanie danych osobowych skarżącego nastąpiło zgodnie z przepisami ustawy. Ustawa określa bowiem zasady postępowania przy przetwarzaniu danych osobowych oraz prawa osób fizycznych, których dane są lub mogą być przetwarzane w zbiorach danych (art. 2 ust. 1 ustawy).
Według WSA oprócz podstawowego obowiązku legalnego przetwarzania danych osobowych ustawa nakłada na ich administratorów także szereg innych związanych z tym procesem powinności. Jedna z nich określona została w art. 26 ust. 1 ustawy, który stanowi, że administrator danych przetwarzający dane powinien dołożyć szczególnej staranności w celu ochrony interesów osób, których dane dotyczą.
Bank wydzielił osobny dostęp do bankowości internetowej reprezentowanej przez skarżącego spółki oraz bankowości elektronicznej skarżącego jako osoby prywatnej. Został też utworzony osobny dostęp do korporacyjnej bankowości internetowej dla spółki. Zdaniem sądu I instancji bank, jako administrator danych dołożył staranności w celu ochrony interesów osób, których dane dotyczą.
Zatem w ocenie sądu I instancji z okoliczności niniejszej sprawy wynika, że w rzeczywistości nie doszło do naruszenia bezpieczeństwa danych osobowych, w tym tajemnicy bankowej. Nikt ze Spółki nie miał dostępu do danych osobowych skarżącego, w tym dotyczących jego rachunku prywatnego.
Skarga kasacyjna
Skarżący złożył skargę kasacyjną, w której stwierdził, że w zaistniałym stanie faktycznym nie doszło do spełnienia żadnej z przesłanek wskazanych w art. 23 ust. 1 ustawy. Oddalenie skargi prowadzi do sankcjonowania stanu nieuzasadnionego, tj. bezpodstawnego przetwarzania danych osobowych.
Naczelny Sąd Administracyjny uznał skargę klienta banku za zasadną i uchylił wyrok WSA wraz z decyzjami GIODO.. Dlatego, że sąd I instancji nie wyjaśnił, czy prywatne dane klienta są bezpieczne.
Możliwość identyfikacji
Organ ochrony danych osobowych ustalił, że bank pozyskał dane osobowe skarżącego w związku z zawartą z nim umową. W oparciu o umowę zawartą ze spółką przetwarza też dane osobowe skarżącego jako osoby reprezentującej spółkę.
Logując się do systemu bankowości elektronicznej za pomocą przyznanego skarżącemu loginu i hasła ma on dostęp do konta prywatnego i konta spółki. Natomiast korzystając z dostępu spółki do bankowości elektronicznej skarżący ma wgląd wyłącznie do jej produktów. Dostęp do bankowości elektronicznej jest zabezpieczony loginem i hasłem nadawanych każdemu z uzyskujących dostęp do tej formy bankowości.
Za uzasadnione Naczelny Sąd Administracyjny uznał jednak zarzuty dotyczące naruszenia art. 26 ust. 1 pkt 2 i art. 36 ustawy. Kwestią zasadniczą w sprawie, w przekonaniu Naczelnego Sądu Administracyjnego, jest podnoszona przez skarżącego okoliczność, że jest on identyfikowany w systemie bankowym na podstawie danych osobowych, pozyskanych przez bank w różnych celach. Z wyjaśnień udzielonych przez bank wynika, i tak zostało przyjęte w stanie faktycznym sprawy, że ostatecznie w banku skarżący posiada jedną "kartotekę", w której widnieją dane uzyskane w związku z umowami zawartymi przez niego jako osobę prywatną.
Inspektor ochrony danych nie rozważył, czy uzyskane przez bank różne dane osobowe skarżącego, przypisane do innych "kont", należały do jednego zarejestrowanego zbioru danych. A jeżeli należały do różnych zbiorów, czy dopuszczalne było przenoszenie danych zawartych w tych zbiorach i czy nie doprowadziło to do utworzenia nowego zbioru danych osobowych, pozwalającego na identyfikowanie skarżącego w oparciu o dane udzielone w różnym celu.
Wobec zmiany stanu prawnego, rozpoznanie sprawy przez organ ochrony danych osobowych będzie wymagało uwzględnienia tej okoliczności - zaznaczył sąd II instancji.
Sygnatura akt I OSK 1150/19 - wyrok NSA z 12 maja 2020 r.
