Decyzja

Na podstawie art. 104 § 1 ustawy z dnia 14 czerwca 1960 r. Kodeks postępowania administracyjnego (Dz. U. z 2020 r., poz. 256), art. 160 ust. 1 i 2 ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych (Dz. U. z 2019 r., poz. 1781) w związku z art. 12 pkt 2 i art. 22 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. z 2016 r., poz. 922  ze zm.) w związku z art. 6 ust. 1 lit. a), b) i f) Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (Dz. Urz. UE L 119 z 04.05.2016, str. 1 oraz Dz. Urz. UE L 127 z 23.05.2018, str. 2), w związku z art. 105a ust. 1 ustawy z dnia 29 sierpnia 1997 r. Prawo bankowe (Dz. U. z 2018 r., poz. 2187 z późn. zm.), po przeprowadzeniu postępowania administracyjnego w sprawie skargi Pana A. S.  na udostępnienie jego danych osobowych osobom nieupoważnionym przez B. S.A., Prezes Urzędu Ochrony Danych Osobowych

odmawia uwzględnienia wniosku.

UZASADNIENIE    

Do Prezesa Urzędu Ochrony Danych Osobowych (dawniej: Generalnego Inspektora Ochrony Danych Osobowych) wpłynęła skarga Pana A. S. (zwanego dalej: „Skarżącym”) na udostępnienie jego danych osobowych osobom nieupoważnionym przez B.S.A. (zwanego dalej: „Bankiem”). W treści skargi Skarżący wskazał, iż w związku ze złożonym przez niego wnioskiem o udzielenie pożyczki gotówkowej, pracownicy Banku weryfikujący prawdziwość złożonego przez niego zaświadczenia o zatrudnieniu, zjawili się w miejscu pracy Skarżącego, gdzie bezprawnie ujawnili wobec osób trzecich informacje stanowiące tajemnicę bankową, w tym zwłaszcza informacje o posiadanych przez Skarżącego zobowiązaniach finansowych, jak i o fakcie ubiegania się o kredyt. Skarżący zarzucił nadto pracownikom Banku przekroczenie uprawnień polegające na tym, iż rzeczywistym powodem wizytacji przeprowadzonej w jego miejscu pracy był fakt zatrudnienia jego małżonki  w rzeczonym Banku.

Wobec powyższego Skarżący zwrócił się do organu nadzorczego z żądaniem zbadania zgodności opisywanych działań Banku z przepisami o ochronie danych osobowych.

W celu ustalenia okoliczności faktycznych istotnych dla rozstrzygnięcia niniejszej sprawy, Prezes Urzędu Ochrony Danych Osobowych wszczął postępowanie administracyjne. Na podstawie zebranego w sprawie materiału dowodowego ustalił następujący stan faktyczny:

1. Bank pozyskał dane osobowe Skarżącego w związku z zawartymi z nim następującymi umowami: Umowy […] z dnia […] września 2007 r., ze zmianami wprowadzonymi  w dniu […] lutego 2009 r. poprzez dopisanie współwłaściciela - Pani M. S., Umowy […] z dnia […] kwietnia 2009 r. oraz Umowy rachunku […] z dnia […] grudnia 2013 r.
2. Dane osobowe Skarżącego pozyskane zostały na podstawie art. 23 ust. 1 pkt 2 i 3 ustawy  z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. z 2002 r. nr 101, poz. 926 z późn. zm), w celu podjęcia przez Bank niezbędnych działań związanych z zawarciem  i wykonaniem umów, wypełnienia usprawiedliwionych potrzeb Banku wynikających  z przepisów prawa oraz prowadzonej działalności marketingowej dotyczącej produktów własnych.
3. Zakres danych osobowych pozyskanych od Skarżącego obejmował: imię, nazwisko, datę urodzenia, numer PESEL, imię ojca, imię matki, nazwisko rodowe matki, serię i numer dokumentu tożsamości, numer telefonu, adres zamieszkania, adres do korespondencji oraz obywatelstwo.
4. W dniu […] kwietnia 2013 r. Skarżący wystąpił do Banku z wnioskiem o pożyczkę ekspresową w wysokości […] zł. Tym sposobem Bank pozyskał dodatkowo, niezbędne dla dokonania oceny zdolności kredytowej i analizy ryzyka kredytowego dane osobowe Skarżącego w zakresie: miejsca jego zatrudnienia, zajmowanego stanowiska, stażu pracy, wykonywanego zawodu, daty zatrudnienia, okresu zatrudnienia, stanu cywilnego oraz wykształcenia.
5. Tego samego dnia, pozostająca w związku małżeńskim ze Skarżącym, Pani M. S., zatrudniona w Oddziale […] Banku […] S.A. dostarczyła do Oddziału Banku zaświadczenie o zatrudnieniu i wysokości zarobków Skarżącego. Za pośrednictwem służbowej poczty elektronicznej ww. zwróciła się do Pani B. K., p.o Kierownika ds. Obsługi Klienta i Spraw Operacyjnych Oddziału […] Banku o jak najszybszą weryfikację zaświadczenia, celem umożliwienia dalszego procedowania wniosku o pożyczkę.
6. Zgodnie z zapisami wiążącej pracowników Banku „Instrukcji służbowej […]” nr […] z dnia […].04.2013 r., w przypadku pożyczek do kwoty […] zł (…) gdy nie jest możliwe uzyskanie numeru telefonu stacjonarnego do pracodawcy wnioskodawcy/ firmy wnioskodawcy (…) Menedżer mógł podjąć decyzję o dokonaniu weryfikacji pod numerem telefonu komórkowego, po łącznym spełnieniu poniższych warunków: 1) uzyskaniu numeru telefonu komórkowego pracodawcy wnioskodawcy/ firmy wnioskodawcy z niezależnego źródła, poprzez kontakt z biurem numerów operatora telekomunikacyjnego, 2) wizytacji siedziby firmy i sporządzeniu notatki z wizytacji zgodnie z wzorem stanowiącym załącznik nr 8 do niniejszej Instrukcji, 3) pozytywnej ocenie wiarygodności firmy, dokonanej w oparciu o wynik wizytacji (§ 107 ust. 2 instrukcji).
7. W dniu […] kwietnia 2013 r. pracownicy Oddziału […] Banku, Pani B. K., p.o. Kierownika ds. Obsługi Klienta i Spraw Operacyjnych oraz Pani E. S., Dyrektor Oddziału podjęły bezskuteczną próbę ustalenia numeru telefonu stacjonarnego do pracodawcy Skarżącego. Następnie, mając na względzie, że prowadzone przez Bank na rzecz Skarżącego rachunki były nieaktywne, zgodnie z obowiązującą instrukcją wewnętrzną, dokonały weryfikacji telefonicznej pracodawcy za pośrednictwem numeru telefonu komórkowego, uzyskanego za pośrednictwem biura numerów TP S.A., tj. […] oraz udały się osobiście do siedziby firmy, w której zatrudniony był Skarżący. W trakcie wizytacji w lokalu zajmowanym przez pracodawcę Skarżącego – C. – wyżej wymienione wyjaśniły obecnym na miejscu osobom cel prowadzonych czynności, którym było wyłącznie sprawdzenie wiarygodności istnienia firmy, nie zaś weryfikowanie danych osobowych Pana A. S. Przebieg wizytacji w siedzibie firmy udokumentowano w formie notatki służbowej z przeprowadzonych czynności terenowych.
8. Skarżący, w dniu […] maja 2013 r., skierował do Banku oraz Komisji Nadzoru Finansowego skargę na zachowanie pracowników Banku, którzy w związku z wykonywanymi obowiązkami służbowymi ujawnili jego zdaniem wobec osób trzecich (tj. pracodawcy oraz współpracowników Skarżącego) informacje stanowiące tajemnicę bankową, w tym: informacje o posiadanych przez Skarżącego zobowiązaniach finansowych, jak i fakt ubiegania się o pożyczkę – co stanowiło naruszenie prawa do prywatności.
9. W związku ze złożoną skargą w Banku zostało przeprowadzone wewnętrzne postępowanie wyjaśniające. W jego toku nie stwierdzono nieprawidłowości w postępowaniu pracowników Banku, a w szczególności nie stwierdzono, aby udostępnili oni osobom nieuprawnionym jakiekolwiek podlegające ochronie prawnej informacje o Skarżącym.
10. Aktualnie Bank przetwarza dane osobowe Skarżącego w zakresie: imienia, nazwiska, daty urodzenia, imion rodziców, numeru PESEL, serii i numeru dokumentu tożsamości, adresu zamieszkania, adresu do korespondencji, obywatelstwa, płci oraz numeru telefonu, wynikające z zawartych nim, aktywnych umów: […] dla numeru rachunku […], […] dla numeru rachunku […], […] dla numeru rachunku […], […] dla numeru rachunku […], umowy […] dla numeru rachunku […], umowy […] dla numeru rachunku […], którego Skarżący jest współwłaścicielem oraz umowy […] numer […]. W odniesieniu do ww. umów Bank przetwarza dane osobowe Skarżącego na podstawie art. 6 ust. 1 lit. b) rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia kwietnia 2016 r. sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (dalej „Rozporządzenie 2016/679”) w celu wykonania umów, których stroną jest Skarżący. Ponadto, na podstawie art. 6 ust. 1 lit. a) Rozporządzenia 2016/679, w oparciu o udzieloną przez Skarżącego zgodę, Bank przetwarza jego dane w celu marketingu produktów i usług podmiotów współpracujących z Bankiem.
11. W odniesieniu do uprzednio zawartych umów, które wygasły bądź zostały rozwiązane przez strony, Bank przetwarza dane osobowe Skarżącego na podstawie art. 6 ust. 1 lit. f) Rozporządzenia 2016/679 w związku z art. 118 i art. 442¹ oraz 731 Ustawy z dnia 23 kwietnia 1964 r. Kodeks cywilny (Dz. U. z 2019r, poz. 1145 j.t. z późn. zm.) w celu dochodzenia  i obrony przed ewentualnymi roszczeniami Skarżącego oraz w związku art. 105a ust. 5 ustawy z dnia 29 sierpnia 1997 r. Prawo bankowe (Dz. U. z 2018 r. , poz. 2187 j.t. z późn. zm.),  w celu wynikającym z prawnie uzasadnionych interesów administratora polegających  na stosowaniu metod wewnętrznych oraz innych metod i modeli, o których mowa w części trzeciej rozporządzenia UE nr 575/2013.

W tym stanie faktycznym, Prezes Urzędu Ochrony Danych Osobowych (zwany dalej także: „Prezesem UODOO”) zważył, co następuje.

Z dniem 25 maja 2018 r. w życie weszły przepisy ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych (Dz. U. z 2019 r., poz. 1781), zwanej dalej „u.o.d.o.”.

W myśl art. 160 ust. 1-3 u.o.d.o., postępowania prowadzone przez Generalnego Inspektora Ochrony Danych Osobowych, wszczęte i niezakończone przed dniem wejścia w życie niniejszej ustawy, prowadzone są przez Prezesa Urzędu Ochrony Danych Osobowych na podstawie ustawy  z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. z 2016 r. poz. 922 ze zm.), zwanej dalej także „ustawą 1997”, zgodnie z zasadami określonymi w ustawie z dnia 14 czerwca 1960 r. Kodeks postępowania administracyjnego (Dz. U. z 2020 r., poz. 256). Jednocześnie, czynności dokonane w postępowaniach, wszczętych i niezakończonych przed dniem wejścia w życie przepisów u.o.d.o., pozostają skuteczne.

Od dnia 25 maja 2018 r. zastosowanie ma również rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (Dz. Urz. UE L 119 z 04.05.2016, str. 1 ze zm.), zwane dalej „Rozporządzeniem 2016/679”.

Uwzględniając powyższe stwierdzić zatem należy, iż niniejsze postępowanie, wszczęte i niezakończone przed dniem 25 maja 2018 r., prowadzone jest na podstawie ustawy  z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (w zakresie dotyczącym przepisów regulujących procedurę administracyjną) oraz na podstawie Rozporządzenia 2016/679 (w zakresie rozstrzygającym o legalności procesu przetwarzania danych osobowych). Wynikający  z przepisów prawa sposób prowadzenia postępowań w sprawach rozpoczętych i niezakończonych przed dniem wejścia w życie nowych regulacji z zakresu ochrony danych osobowych koreluje  z ugruntowanym stanowiskiem doktryny, zgodnie z którym „organ administracji publicznej ocenia stan faktyczny sprawy według chwili wydania decyzji administracyjnej. Reguła ta odnosi się także do oceny stanu prawnego sprawy, co oznacza, że organ administracji publicznej wydaje decyzję administracyjną na podstawie przepisów prawa obowiązujących w chwili jej wydania” (Komentarz do ustawy z dnia 14 czerwca 1960 r. Kodeks postępowania administracyjnego  (Dz. U. 00.98.1071), M. Jaśkowska, A. Wróbel, Lex., el/2012).

W świetle przepisów Rozporządzenia 2016/679, przetwarzanie danych osobowych jest  zgodne z prawem, gdy spełniona zostanie którakolwiek z przesłanek wymienionych w art. 6 ust. 1 Rozporządzenia 2016/679 (stanowiącym odpowiednik obowiązującego do dnia 25 maja 2018 r.  art. 23 ust. 1 ustawy 1997), tj. gdy:

a) osoba, której dane dotyczą wyraziła zgodę na przetwarzanie swoich danych osobowych  w jednym lub większej liczbie określonych celów (analogicznie w art. 23 ust. 1 pkt 1 ustawy 1997;

b) przetwarzanie jest niezbędne do wykonania umowy, której stroną jest osoba, której dane dotyczą, lub do podjęcia działań na żądanie osoby, której dane dotyczą, przed zawarciem umowy (analogicznie w art. 23 ust. 1 pkt 3 ustawy 1997);

c) przetwarzanie jest niezbędne do wypełnienia obowiązku prawnego ciążącego  na administratorze (analogicznie w art. 23 ust. 1 pkt 2 ustawy 1997);

d) przetwarzanie jest niezbędne do ochrony żywotnych interesów osoby, której dane dotyczą,  lub innej osoby fizycznej;

e) przetwarzanie jest niezbędne do wykonania zadania realizowanego w interesie publicznym  lub w ramach sprawowania władzy publicznej powierzonej administratorowi (analogicznie w art. 23 ust. 1 pkt 4 ustawy 1997) bądź wreszcie;

f) przetwarzanie jest niezbędne do celów wynikających z prawnie uzasadnionych interesów realizowanych przez administratora lub przez stronę trzecią, z wyjątkiem sytuacji, w których nadrzędny charakter wobec tych interesów mają interesy lub podstawowe prawa i wolności osoby, której dane dotyczą, wymagające ochrony danych osobowych, w szczególności gdy osoba, której dane dotyczą, jest dzieckiem (analogicznie w art. 23 ust. 1 pkt 5 ustawy 1997).

Przesłanki te odnoszą się do wszelkich form przetwarzania danych, w tym również  do ich udostępnienia. Warunki te są także względem siebie równoprawne, co oznacza, że dla legalności procesu przetwarzania danych wystarczające jest spełnienie jednego z nich.

Odnosząc się natomiast do przedmiotu niniejszej sprawy należy wyjaśnić, że aktem prawnym zawierającym szczegółowe regulacje dotyczące procesu przetwarzania danych osobowych klientów banków jest przede wszystkim ustawa z dnia 29 sierpnia 1997 r. – Prawo bankowe (Dz. U. z 2019 r. poz. 2357), zwana dalej: „Prawem bankowym”.

Zgodnie z brzmieniem art. 105a ust. 1 ww. aktu prawnego, przetwarzanie przez banki (…) informacji stanowiących tajemnicę bankową i informacji udostępnionych przez instytucje pożyczkowe oraz podmioty, o których mowa w art. 59d ustawy z dnia 12 maja 2011 r. o kredycie konsumenckim, w zakresie dotyczącym osób fizycznych może być wykonywane, z zastrzeżeniem art. 104, art. 105 i art. 106-106d, w celu oceny zdolności kredytowej i analizy ryzyka kredytowego.

Jednocześnie w myśl art. 70 Prawa bankowego, bank uzależnia przyznanie kredytu od zdolności kredytowej kredytobiorcy. Przez zdolność kredytową rozumie się zdolność do spłaty zaciągniętego kredytu wraz z odsetkami w terminach określonych w umowie. Kredytobiorca jest obowiązany przedłożyć na żądanie banku dokumenty i informacje niezbędne do dokonania oceny tej zdolności (ust. 1). Kredytobiorca jest również obowiązany umożliwić podejmowanie przez bank czynności związanych z oceną sytuacji finansowej i gospodarczej oraz kontrolę wykorzystania i spłaty kredytu (ust. 3).

Pozyskiwanie informacji, o których mowa w wyżej przytoczonych przepisach prawa,  służyć ma  wypełnianiu przez banki, jako instytucje zaufania publicznego, ich ustawowych obowiązków związanych z koniecznością dokładania szczególnej staranności w zakresie zapewnienia bezpieczeństwa przechowywanych środków pieniężnych, a także koniecznością należytego badania zdolności kredytowej, od której istnienia bank uzależnia udzielenie kredytu. Badanie zdolności kredytowej, na którą składa się zdolność do spłaty zobowiązań i wiarygodność kredytowa, jest niezwykle istotnym elementem działalności banku, służącym zmniejszeniu ryzyka udzielania trudnych kredytów.

Co istotne, szczególnie wobec zarzutów podnoszonych przez Skarżącego, a dotyczących rzekomego nieuprawnionego ujawnienia jego danych osobowych stanowiących tajemnicę bankową, zgodnie z art. 104 ust. 1 Prawa bankowego, bank, osoby w nim zatrudnione oraz osoby, za których pośrednictwem bank wykonuje czynności bankowe, są obowiązane zachować tajemnicę bankową, która obejmuje wszystkie informacje dotyczące czynności bankowej, uzyskane w czasie negocjacji, w trakcie zawierania i realizacji umowy, na podstawie której bank tę czynność wykonuje. Tym samym, tajemnicą bankową objęta jest informacja, która składa się  z wiadomości dotyczących zarówno czynności bankowych, jak i wiadomości dotyczących osoby będącej stroną umowy. Wprowadzenie przytaczanej tu regulacji do krajowego porządku prawnego oznacza, że pracownicy Banku, w przypadku ujawnienia w toku wizytacji danych osobowych Skarżącego, mogliby ponosić odpowiedzialność dyscyplinarną z tego tytułu, Bank zaś  – w przypadku, gdy nieuprawnione ujawnienie danych Skarżącego spowodowałoby powstanie szkody po jego stronie – odpowiedzialność odszkodowawczą.

Odnosząc powyższe rozważania do ustalonego w toku postępowania istotnych okoliczności sprawy wskazać należy, że Bank pozyskał dane osobowe Skarżącego w związku z zawarciem umów o prowadzenie rachunku bankowego. Tym samym podstawę przetwarzania danych Skarżącego przez Bank stanowił w dacie z złożenia skargi art. 23 ust. 1 pkt 2 i 3 obowiązującej uprzednio ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych. Bank przetwarzał dane w oparciu o przepisy prawa, legitymując się przesłanką niezbędności przetwarzania do wykonania umów, których stroną był Skarżący oraz wypełnienia obowiązku prawnego ciążącego  na administratorze.

Obecnie natomiast Bank przetwarza dane osobowe Skarżącego, wynikające z zawartych  z nim aktywnych umów, na podstawie art. 6 ust. 1 lit. a) oraz lit. b) Rozporządzenia 2016/679, co zostało już obszernie omówione w części uzasadnienia poświęconej dokonanym w sprawie ustaleniom faktycznym. W odniesieniu do umów, które na dzień wydania przedmiotowej decyzji wygasły, bądź zostały rozwiązane, Bank przetwarza dane osobowe Skarżącego na podstawie  art. 6 ust. 1 lit. f) Rozporządzenia 2016/679 w związku z art. 118 i art. 442¹ oraz 731 Ustawy  z dnia 23 kwietnia 1964 r. Kodeks cywilny, w celu dochodzenia i obrony przed ewentualnymi roszczeniami Skarżącego oraz w związku z art. 105a ust. 5 Prawa bankowego, w celu wynikającym z prawnie uzasadnionych interesów administratora polegających na stosowaniu metod wewnętrznych oraz innych metod i modeli, o których mowa w części trzeciej rozporządzenia UE nr 575/2013.

Odnosząc się natomiast do podnoszonego przez Skarżącego zarzutu udostępnienia jego danych osobowych osobom nieupoważnionym, w ocenie Prezesa UODO brak jest jakichkolwiek jednoznacznych i niepodważalnych dowodów, które uprawdopodabniałyby opisywany przez niego przebieg wydarzeń. Jak wynika ze zgromadzonego materiału dowodowego, pracownicy Banku, którym powierzona została weryfikacja prawdziwości zaświadczenia o zatrudnieniu, przedłożonego przez Skarżącego wraz z wnioskiem o udzielenie pożyczki gotówkowej, udali się w dniu […] kwietnia 2013 r. do siedziby firmy zatrudniającej Skarżącego – postępując tym samym zgodnie z wiążącą ich instrukcją służbową, a nadto zgodnie z dyspozycją art. 70 Prawa bankowego. Wbrew twierdzeniom Skarżącego, przeprowadzone w niniejszej sprawie postępowanie wyjaśniające nie dało podstaw by sądzić, iż wykonywane przez Panie B. K. oraz E. S. czynności sprawdzające przeprowadzone zostały w sposób wskazujący na brak poszanowania dla praw Skarżącego, w tym zwłaszcza jego prawa do prywatności. Załączona do akt sprawy obszerna dokumentacja wskazuje, że dokonywana przez pracowników Banku weryfikacja miejsca pracy Skarżącego polegała wyłącznie na ocenie wiarygodności istnienia firmy o nazwie C. Osoby dokonujące spornej wizytacji, bezpośrednio przed przystąpieniem do czynności, poinformowały obecnych na miejscu współpracowników Skarżącego o powodzie swego przybycia, czego zresztą nie kwestionowały na żadnym etapie postępowania. Z powyższego nie należy jednak wywodzić,  iż swoim działaniem doprowadziły one do ujawnienie tajemnicy bankowej, w tym zwłaszcza ujawnienia informacji o posiadanych przez Skarżącego zobowiązaniach finansowych czy zamiarze zaciągnięcia kolejnych zobowiązań. Podkreślenia wymaga, iż Skarżący nie przedstawił żadnych dowodów, celem uwiarygodnienia przedstawianej przez niego wersji wydarzeń, nie wskazał nazwisk rzekomych świadków zajścia, nie przytoczył treści rozmów prowadzonych przez pracowników Banku z jego przełożonymi i współpracownikami, wreszcie nie dostarczył, w toku prowadzonego przed Prezesem UODO postępowania, nagrania z monitoringu, na którym miało zostać zarejestrowane zdarzenie będące przedmiotem rozpatrywanej w niniejszej sprawie skargi.

Zarzutom Skarżącego kategorycznie sprzeciwiły się również dokonujące wizytacji Panie B. K. oraz E. S. W pisemnych oświadczeniach, złożonych przed pracodawcą, datowanych na dzień […] sierpnia 2013 r. obie ww. zgodnie oświadczyły, iż w związku z realizacją zleconych im czynności służbowych nie dopuściły się naruszenia tajemnicy bankowej ani też ustawy o ochronie danych osobowych.

Należy również zaznaczyć, że żadnego oparcia w materiale dowodowym nie znajduje teza, jakoby faktycznym powodem wizytacji przeprowadzonej w miejscu pracy Skarżącego był fakt zatrudnienia w B.S.A. jego żony, Pani M. S. Przeciwnie, zgromadzone dowody, w tym zwłaszcza treść mailowej korespondencji służbowej z dnia […] kwietnia 2013 r., wymienionej pomiędzy Panią M. S. a Panią B. K. wskazuje, iż żona Skarżącego osobiście zwróciła się do swoich współpracowników o jak najszybszą weryfikację zaświadczenia o zatrudnieniu i wysokości osiąganych przez Skarżącego zarobków. Mając na uwadze, iż Pani M. S. powinna być zaznajomiona z obowiązującymi w Banku procedurami, należy przypuszczać, iż doskonale zdawała sobie sprawę ze sposobu, w jaki Bank dokona weryfikacji prawdziwości istnienia miejsca zatrudnienia jej męża, o czym powinna była go również poinformować.

Mając na uwadze wszystkie przytoczone okoliczności, zdaniem Prezesa UODO  za bezzasadne należy uznać zawarte w skardze zarzuty Skarżącego kierowane wobec Banku.

W związku z poczynionymi ustaleniami wskazać należy, że dalsze prowadzenie przez Prezesa Ochrony Danych Osobowych postępowania administracyjnego, zainicjowanego skargą  na nieprawidłowości w przetwarzaniu danych osobowych Skarżącego przez Bank, ukierunkowanego  na wydanie decyzji administracyjnej na podstawie art. 18 ust. 1 ustawy 1997 jest niezasadne.

Stosownie do brzmienia ww. przepisu, w przypadku naruszenia przepisów o ochronie danych osobowych, Prezes Urzędu Ochrony Danych Osobowych z urzędu lub na wniosek osoby zainteresowanej, w drodze decyzji administracyjnej, nakazuje przywrócenie stanu zgodnego  z prawem, a w szczególności: usunięcie uchybień (1), uzupełnienie, uaktualnienie, sprostowanie, udostępnienie lub nieudostępnienie danych osobowych (2), zastosowanie dodatkowych środków zabezpieczających zgromadzone dane osobowe (3), wstrzymanie przekazywania danych osobowych do państwa trzeciego (4), zabezpieczenie danych lub przekazanie ich innym podmiotom (5) lub usunięcie danych osobowych (6). Z brzmienia art. 18 ust. 1 ustawy 1997,  a zarazem z definicji decyzji administracyjnej – jako aktu rozstrzygającego w sposób władczy  o prawach i obowiązkach stron postępowania w ustalonym i aktualnym na chwilę jego wydania stanie faktycznym i prawnym – wynika, że organ ochrony danych osobowych nie dokonuje oceny zdarzeń przeszłych, nie kontynuowanych w chwili orzekania. Decyzja Prezesa UODO jest bowiem instrumentem służącym przywróceniu stanu zgodnego z prawem w procesie przetwarzania danych, realizowanym w chwili wydania decyzji.

Biorąc pod uwagę powyższe, należy stwierdzić, iż brak jest podstaw dla sformułowania nakazu, o którym mowa w art. 18 ust. 1 ustawy, albowiem dane osobowe Skarżącego przetwarzane są przez Bank zgodnie z prawem, zaś w toku postępowania nie ujawniono żadnych nieprawidłowości wskazujących na możliwość ich bezprawnego udostępnienia osobom nieupoważnionym.

Z uwagi na powyższe, postępowanie administracyjne w niniejszej sprawie należało zakończyć decyzją o odmowie uwzględnienia wniosku Skarżącego.

W tym stanie faktycznym i prawnym Prezes Urzędu Ochrony Danych Osobowych rozstrzygnął, jak na wstępie.

Na podstawie art. 127 § 3 Kpa od niniejszej decyzji stronie przysługuje prawo do wniesienia wniosku o ponowne rozpatrzenie sprawy w terminie 14 dni od dnia doręczenia decyzji stronie. Jeżeli strona nie chce skorzystać z prawa do złożenia wniosku o ponowne rozpatrzenie sprawy, ma prawo do wniesienia skargi na decyzję do Wojewódzkiego Sądu Administracyjnego w Warszawie w terminie 30 dni od dnia doręczenia jej stronie, za pośrednictwem Prezesa Urzędu Ochrony Danych Osobowych (adres: ul. Stawki 2, 00 - 193 Warszawa). Jednakże w związku z obowiązującym w dniu wydania decyzji stanem epidemii, zgodnie z art. 15zzr ust. 1 pkt 1 ustawy z dnia 2 marca 2020 r. o szczególnych rozwiązaniach związanych z zapobieganiem, przeciwdziałaniem i zwalczaniem COVID-19, innych chorób zakaźnych oraz wywołanych nimi sytuacji kryzysowych (Dz. U. z 2020 r. poz. 374 ze zm.), bieg tych terminów aktualnie nie rozpoczyna się; zaczną one biec w dniu następującym po ostatnim dniu obowiązywania stanu epidemii lub następującego po nim bezpośrednio ewentualnego stanu zagrożenia epidemicznego.

Wpis od skargi wynosi 200 zł. Strona ma prawo ubiegania się o prawo pomocy, w tym zwolnienie od kosztów sądowych.