Decyzja DS.523.5648.2023

Na podstawie art. 104 § 1 ustawy z dnia 14 czerwca 1960 r. Kodeks postępowania administracyjnego (Dz. U. z 2024 r. poz. 572) w zw. z art. 7 ust. 1 i 2 ustawy o ochronie danych osobowych z dnia 10 maja 2018 roku (Dz. U. z 2019 r. poz. 1781) oraz na podstawie z art. 6 ust. 1 i art. 58 ust. 2 lit. b rozporządzenia Parlamentu Europejskiego i Rady UE 2016/679 z 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych (ogólne rozporządzenie o ochronie danych) (Dz. Urz. UE L 119 z 4.05.2016, str. 1,  Dz. Urz. UE L 127 z 23.05.2018, str. 2 oraz Dz. Urz. UE L 74 z 4.03.2021, str. 35),

po przeprowadzeniu postępowania administracyjnego w sprawie skargi Pana S. E., zam. w R., przy ul. (…), na nieprawidłowości w procesie przetwarzania jego danych osobowych przez T. , z siedzibą w U., przy ul. (…), polegające na udostępnieniu innym podmiotom jego danych osobowych bez podstawy prawnej w zakresie jego adresu zamieszkania jako płatnika podczas transferu środków pieniężnych (w przypadku gdy wszyscy dostawcy usług płatniczych uczestniczący w łańcuchu płatności mieli siedzibę w UE), w których kwota nie przekracza 1.000,- EUR (słownie: jeden tysiąc euro), które nie wydawały się być powiązane z innymi transferami środków pieniężnych, które łącznie z przedmiotowym transferem opiewały na kwotę przekraczającą 1.000,- EUR (słownie: jeden tysiąc euro) w okresie po dniu 25 maja 2022 r., Urzędu Ochrony Danych Osobowych

udziela T. z siedzibą w U. przy ul. (…), upomnienia za naruszenie art. 6 ust. 1 Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych), (Dz. Urz. UE L 119 z 4.05.2016, str. 1,  Dz. Urz. UE L 127 z 23.05.2018, str. 2 oraz Dz. Urz. UE L 74 z 4.03.2021, str. 35), polegające na udostępnieniu danych osobowych S. E., zam. w R., przy ul. (…), innych niż nazwisko/nazwę płatnika podczas transferu środków pieniężnych (w przypadku gdy wszyscy dostawcy usług płatniczych uczestniczący w łańcuchu płatności mieli siedzibę w UE), których kwota nie przekraczała 1000 EUR i które nie wydawały się być powiązane z innymi transferami środków pieniężnych, które łącznie z przedmiotowym transferem opiewały na kwotę przekraczającą 1 000 EUR, bez podstawy prawnej, w zakresie jego adresu zamieszkania, w okresie po 25 maja 2022 r.

Uzasadnienie

Do Prezesa Urzędu Ochrony Danych Osobowych wpłynęła skarga Pana S. E., zam. w R., przy ul. (…), zwanego dalej Skarżącym, na nieprawidłowości w procesie przetwarzania jego danych osobowych przez T. , z siedzibą w U., przy ul. (…), zwaną dalej Bankiem, polegające na udostępnieniu innym podmiotom jego danych osobowych bez podstawy prawnej w zakresie jego adresu zamieszkania jako płatnika podczas transferu środków pieniężnych (w przypadku gdy wszyscy dostawcy usług płatniczych uczestniczący w łańcuchu płatności mieli siedzibę w UE), w których kwota nie przekracza 1.000,- EUR (słownie: jeden tysiąc euro), które nie wydawały się być powiązane z innymi transferami środków pieniężnych, które łącznie z przedmiotowym transferem opiewały na kwotę przekraczającą 1.000,- EUR (słownie: jeden tysiąc euro), w okresie po dniu 25 maja 2022 r.

W toku prowadzonego postępowania administracyjnego, Prezes Urzędu Ochrony Danych Osobowych, zwany dalej Prezesem UODO, ustalił następujący stan faktyczny:

1.

Skarżący wskazał, że jego skarga dotyczy uporczywego udostępniania jego danych osobowych na rzecz podmiotów trzecich bez podstawy prawnej oraz zgody Skarżącego przez Bank przy realizacji usług na podstawie umowy o prowadzenie rachunku oszczędnościowo rozliczeniowego pomimo decyzji Prezesa Urzędu Ochrony Danych Osobowych udzielającej Bankowi upomnienia w tym zakresie. Skarżący wniósł o podjęcie stosownej reakcji na nieprawidłowości, które wystąpiły w procesie przetwarzania jego w danych osobowych, gdyż upomnienie jako forma dyscyplinująca nie przyniosła spodziewanych efektów. Jak wskazał Skarżący w decyzji organu nadzorczego z dnia 25 maja 2022 r. wydanej w sprawie o sygnaturze DS.523.3010.2021 skarżone przez niego nieprawidłowości zostały potwierdzone przez Prezesa Urzędu Ochrony Danych Osobowych i dotyczyły one przetwarzania danych osobowych Skarżącego innych niż nazwisko/nazwa płatnika podczas transferu środków płatniczych (w przypadku gdy wszyscy dostawcy usług płatniczych uczestniczący w łańcuchu płatności mieli siedzibę w UE), których kwota nie przekraczała 1000 EUR i które nie wydawały się być powiązane z innymi transferami środków pieniężnych, które łącznie z przedmiotowym transferem opiewały na kwotę nie przekraczającą 1000 EUR bez podstawy prawnej. Pomimo uprawomocnienia się decyzji i zaakceptowania jej przez Bank (o czym Skarżący został poinformowany w trakcie wymiany korespondencji z Bankiem), nieprawidłowości w przetwarzaniu występują nadal. Skarżący wskazał, że Bank nie potrafi określić terminu usunięcia nieprawidłowości, a wskazywany dotychczas Skarżącemu termin wprowadzenia rozwiązań organizacyjnych dostosowujących procedury przy płatnościach, tj. koniec pierwszego półrocza 2023 r., nie został zachowany. Skarżący wskazał, że jego skarga dotyczy dalszego udostępnienia jego danych osobowych pomimo ww. decyzji organu nadzoru (dowód: skarga Skarżącego z dnia 16 października 2023 r. wraz z załącznikami, pismo Skarżącego z dnia 9 stycznia 2024 r. wraz z załącznikami).

2.

Bank wskazał, że kwestie dotyczące podstaw prawnych w zakresie katalogu przetwarzanych danych osobowych przy realizacji zleceń płatniczych poniżej 1000 EUR oraz gdy wszyscy dostawcy usług płatniczych uczestniczący w łańcuchu płatności mają siedzibę w Unii, była przedmiotem skargi z dnia 24 czerwca 2021 r. zarejestrowanej pod sygnaturą DS.523.3010.2021. W toku prowadzonego postępowania wyjaśniającego, argumentacja Banku opierała się m.in. na fakcie, że art. 5 pkt 1 Rozporządzenia Parlamentu Europejskiego I Rady (UE) 2015/847 z dnia 20 maja 2015 r. w sprawie informacji towarzyszących transferom środków pieniężnych i uchylenia rozporządzenia (WE) nr 1781/2006, wskazuje, że na drodze odstępstwa od obowiązków wskazanych w art. 4 pkt 1 ww. rozporządzenia, w przypadku gdy wszyscy dostawcy usług płatniczych uczestniczący w łańcuchu płatności mają siedzibę w Unii, transferom środków pieniężnych towarzyszą co najmniej numer rachunku płatniczego zarówno płatnika, jak i odbiorcy. Przytoczone odstępstwo, wskazuje, że transferowi środków pieniężnych powinien towarzyszyć co najmniej numer rachunku odbiorcy, niemniej przepis nie określa zamkniętego katalogu danych, który dostawca usług płatniczych może wykorzystać przy realizacji transferu płatności. Tym samym Bank uznawał, że przy realizacji zleceń płatniczych mogą zostać przekazane do odbiorcy płatności takie dane jak: nazwisko/nazwa płatnika, numer rachunku płatniczego oraz adres płatnika, a działanie to nie będzie naruszać przepisów ochrony danych wynikających z rozporządzenia Parlamentu Europejskiego i Rady UE 2016/679 z 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych (ogólne rozporządzenie o ochronie danych) (Dz. Urz. UE L 119 z 4.05.2016, str. 1, Dz. Urz. UE L 127 z 23.05.2018, str. 2 oraz Dz. Urz. UE L 74 z 4.03.2021, str. 35), zwanego dalej RODO. Przedstawiona przez Bank argumentacja nie została uznana przez organ nadzorczy, co wiązało się w wydaniem w dniu 25 maja 2022 r. przez Prezesa Urzędu Ochrony Danych Osobowych decyzji upominającej Bank za naruszenie art. 6 ust.1 RODO przy realizacji transferów środków pieniężnych (w przypadku gdy wszyscy dostawcy usług płatniczych uczestniczących w łańcuchu płatności mieli siedzibę w UE), których kwota nie przekracza 1000 EUR i które nie wydawały się powiązane z innymi transferami środków pieniężnych, przekraczającymi kwotę 1000 EUR. Po szczegółowej analizie prawnej otrzymanej decyzji, Bank uznał przedstawione przez organ uzasadnienie oraz odstąpił od prawa wniesienia skargi do sądu administracyjnego na przedmiotową decyzję (dowód: pismo Banku z dnia 9 stycznia 2024 r. wraz z załącznikami).

3.

Bank wskazał, że uznanie decyzji Prezesa Urzędu Ochrony Danych Osobowych z dnia 25 maja 2022 r. wydanej w sprawie o sygnaturze DS.523.3010.2021 jako wiążącej, skutkowało po stronie Banku zobowiązaniem do dostosowania procesów realizacji transferów pieniężnych poniżej 1000 EUR do interpretacji zgodnej z postanowieniami przedmiotowej decyzji. W związku z powyższym, przez Inspektora Ochrony Danych Osobowych do jednostki IT Banku zostały zgłoszone wymagania projektowe dotyczące zmian w sposobie realizacji omawianych zleceń płatniczych. Mając jednak na uwadze fakt, że zmiany dostosowujące tryb realizacji transferów płatniczych obejmują szeroki zakres działań, wiele warstw w systemie informatycznym Banku, ostateczny termin wdrożenia projektu był wielokrotnie przekładany. Mając także na uwadze fakt, że przedmiotowy projekt ma charakter regulatorski w zakresie zapewnienia zgodności przetwarzania danych z przepisami prawa, otrzymał on wysoki priorytet. Niemniej mające miejsce w 2023 r. zmiany przepisów prawa w zakresie m.in. możliwości korzystania przez klientów z e-dowodów, wymusiła realizację i wdrożenie projektów ad-hoc, przez co projekt dotyczący zmian realizacji transferów pieniężnych został przesunięty w czasie. Obecny, planowany termin na wdrożenie zmian został określony przez (…) na II/III kwartał 2024 r. Bank wskazał, że zaimplementowane zmiany trybu realizacji płatności będą dotyczyć całego portfela klientów Banku zdefiniowanych jako „płatnik” zgodnie z Rozporządzeniem nr 1781/2006 Parlamentu Europejskiego i Rady z dnia 15 listopada 2006 r. w sprawie informacji o zleceniodawcach, które towarzyszą przekazom pieniężnym (Dz. U. UE L 345 str. 1 z dnia 8.12.2006) (dowód: pismo Banku z dnia 9 stycznia 2024 r. wraz z załącznikami).

4.

Bank wskazał, że po wydaniu przez Prezesa Urzędu Ochrony Danych Osobowych z dnia 25 maja 2022 r. w sprawie o sygnaturze DS.523.3010.2021, Skarżący kierował do Banku reklamacje dotyczące trybu realizacji przelewów. Przedstawiona przez Bank kopia korespondencji wygląda następująco:

a)

reklamacja Skarżącego z dnia 20 lipca 2022 r. przekazana za pośrednictwem bankowości internetowej, w której Skarżący wskazywał, że w dniu 19 lipca 2020 r. wykonał przelew na kwotę 10 zł, przy którym Skarżący musiał podać imię, nazwisko oraz adres zamieszkania, co w ocenie Skarżącego miało świadczyć o niewykonaniu decyzji Prezesa Urzędu Ochrony Danych Osobowych przez Bank.

b)

Bank przesłał pisemną odpowiedź do Skarżącego w dniu 1 sierpnia 2022 r., w której poinformował Skarżącego, że obecnie pracuje nad wdrożeniem do systemu informatycznego wytycznych przedstawionej w wskazanej przez Skarżącego decyzji;

c)

kolejna reklamacja Skarżącego wpłynęła do Banku w dniu 31 października 2022 r., w której Skarżący pytał o termin zakończenia prac w zakresie dostosowania systemu realizacji płatności do decyzji Prezesa Urzędu Ochrony Danych Osobowych;

d)

Bank odpowiadając na wniosek Skarżącego przygotował dwie odrębne odpowiedzi, tj. odpowiedź na zgłoszoną reklamację z dnia 30 listopada 2022 r. oraz pismo będące realizacją prawa dostępu do danych wynikający z art. 15 RODO; Bank przekazał również Skarżącemu wykaz beneficjentów, którym zostały przekazane dane osobowe Skarżącego;

e)

Skarżący w dniu 30 listopada 2022 r. ponownie zwrócił się do Banku i zakwestionował termin realizacji reklamacji, który w jego ocenie został uchybiony przez Bank;

f)

w dniu 19 grudnia 2022 r. Skarżący przesłał do Banku kolejne zgłoszenie, w którym wskazywał, że Bank nie wskazał mu podstaw prawnych wysyłania bez jego zgody adresu podczas realizacji przelewu,

g)

Bank wskazał, że jednocześnie Skarżący przesłał wiadomości e-mail bezpośrednio do Inspektora Ochrony Danych Banku w dniach 19 grudnia 2022 r. oraz 13 sierpnia 2023 r., na co ten ustosunkował się w dniu 16 stycznia 2023 r. oraz 12 września 2023 r. (dowód: pismo Banku z dnia 9 stycznia 2024 r. wraz z załącznikami).

5.

Bank przesłał zestawienie typu zleceń płatniczych wykonanych przez Skarżącego z rachunków bankowych w Banku wraz ze wskazaniem zakresu danych Skarżącego przekazanych do innych podmiotów w okresie od 25 maja 2022 r. Na wskazanym wykazie wśród niektórych transakcji poniżej 1.000,-EUR widnieją dane osobowe Skarżącego w zakresie jego adresu zamieszkania tj. „(…)”. Bank potwierdził, że wszyscy odbiorcy wskazanych w zestawieniu płatności mają swoją siedzibę w Unii Europejskiej. Zestawienie zawierało wszystkie transakcje do kwoty 5 000 zł, natomiast zostały wykluczone transakcje, które po przeliczeniu według średniego kursu walut obcych ogłoszonego przez NBP przekraczają równowartość 1000 EUR. Zestawienie zawierało następujące typy transakcji płatniczych: płatności BLIK (realizowane za pośrednictwem systemu D. (…)), przelew do innego banku krajowego (realizowane za pośrednictwem systemu Z. (…)), przelew P2P (przelew na telefon realizowane w trybie on-line w systemie D. (…)); przelew wewnętrzny własny (przeksięgowanie wewnętrzne na rachunkach Skarżącego), realizacja polecenia zapłaty z rachunku Klienta (realizowane za pośrednictwem systemu V. (…)); realizacja zlecenia stałego – (realizowane za pośrednictwem systemu V. (…)); rozliczenie transakcji skarbowej (transakcje zawierane bezpośrednio z Bankiem) (dowód: pismo Banku z dnia 9 stycznia 2024 r. wraz z załącznikami, pismo Banku z dnia 13 marca 2024 r. wraz z załącznikami).

6.

Prezes Urzędu Ochrony Danych Osobowych w dniu 25 maja 2022 r. wydał decyzję w sprawie o sygnaturze DS.523.3010.2021, mocą której w pkt 1 udzielił Bankowi upomnienia za naruszenie art. 6 ust. 1 RODO polegające na przetwarzaniu danych osobowych Skarżącego innych niż nazwisko/nazwę płatnika podczas transferu środków pieniężnych (w przypadku gdy wszyscy dostawcy usług płatniczych uczestniczący w łańcuchu płatności mieli siedzibę w UE), których kwota nie przekraczała 1000 EUR i które nie wydawały się być powiązane z innymi transferami środków pieniężnych, które łącznie z przedmiotowym transferem opiewały na kwotę przekraczającą 1 000 EUR, bez podstawy prawnej, natomiast w punkcie drugim w pozostałym zakresie odmówił uwzględnienia wniosku (dowód: notatka służbowa z dnia 19 października 2023 r. wraz z załącznikiem).

Po zapoznaniu się z całością zgromadzonego w sprawie materiału dowodowego, Prezes Urzędu Ochrony Danych Osobowych zważył, co następuje.

W pierwszej kolejności wskazać należy, że Prezes Urzędu Ochrony Danych Osobowych nie ma możliwości w ramach postępowania wszczętego na skutek skargi indywidualnej dokonania oceny ogólnych praktyk dotyczących przetwarzania danych osobowych przez administratora. Ogólne, stosowane przez administratora danych w procesach ich przetwarzania praktyki, jak również ich adekwatność oraz skuteczność, a także przyjęte procedury przetwarzania danych w systemach płatności przez administratora i podmioty działające w jego imieniu, mogą być jedynie przedmiotem postępowania wszczętego przez organ z urzędu. Podobne stanowisko zajął Wojewódzki Sąd Administracyjny w wyroku z dnia 27 maja 2020 r. w sprawie o sygn. akt II SA/Wa 609/20, w którym wskazał, że (cyt.): „jak trafnie wskazuje Prezes UODO, do jego wyłącznej kompetencji należy kontrola ogólnych praktyk stosowanych przez administratorów danych. Innymi słowy, ogólna praktyka banku nie może być przedmiotem indywidualnej skargi”. Skarga wniesiona do Prezesa Urzędu Ochrony Danych Osobowych nie służy dokonywaniu kontroli przyjętych u administratora praktyk na wniosek osoby, której danymi posłużyła się osoba trzecia. Funkcją skargi jest bowiem egzekwowanie przestrzegania przepisów o ochronie danych osobowych w operacjach przetwarzania danych, które bezpośrednio wpływają na osobę, której przetwarzane dane dotyczą.

Drugą istotną kwestią w niniejszej sprawie jest okoliczność, że Skarżący kwestionuje przetwarzanie jego danych osobowych, mające miejsce po wydaniu decyzji przez Prezesa Urzędu Ochrony Danych Osobowych w dniu 25 maja 2022 r. w sprawie o sygnaturze DS.523.3010.2021 w sposób, który w tej decyzji został uznany za nieprawidłowy. Organ w sprawie o sygnaturze DS.523.3010.2021 udzielił Bankowi upomnienia za naruszenie art. 6 ust. 1 RODO polegające na przetwarzaniu danych osobowych Skarżącego innych niż nazwisko/nazwę płatnika podczas transferu środków pieniężnych (w przypadku gdy wszyscy dostawcy usług płatniczych uczestniczący w łańcuchu płatności mieli siedzibę w UE), których kwota nie przekraczała 1000 EUR i które nie wydawały się być powiązane z innymi transferami środków pieniężnych, które łącznie z przedmiotowym transferem opiewały na kwotę przekraczającą 1 000 EUR, bez podstawy prawnej.

Odnosząc się do kwestionowanego w niniejszym postępowaniu procesu przetwarzania danych osobowych Skarżącego należy wskazać, że obowiązki administratora danych, do których należy przetwarzanie danych osobowych z zachowaniem przesłanek określonych w tym Rozporządzeniu. Przepisem uprawniającym administratorów danych do przetwarzania danych osób fizycznych jest art. 6 ust. 1 RODO, zgodnie z którym, przetwarzanie danych jest dopuszczalne tylko wtedy, gdy spełniona jest jedna z przesłanek wskazanych w tym przepisie. Katalog przesłanek wymienionych w art. 6 ust. 1 RODO, jest zamknięty. Każda z przesłanek legalizujących proces przetwarzania danych osobowych ma charakter autonomiczny i niezależny. Oznacza to, że przesłanki te co do zasady są równoprawne, a wobec tego spełnienie co najmniej jednej z nich stanowi o zgodnym z prawem przetwarzaniu danych osobowych. W konsekwencji zgoda osoby, której dane dotyczą nie jest jedyną podstawą przetwarzania danych osobowych, bowiem proces przetwarzania danych będzie zgodny z RODO wówczas, gdy m. in. przetwarzanie jest niezbędne do wypełnienia obowiązku prawnego ciążącego na administratorze (art. 6 ust. 1 lit. c RODO). Dodatkowo, proces przetwarzania danych osobowych musi być zgodny z zasadami ustanowionymi w art. 5 ust. 1 RODO. Jedną z tych zasad jest zasada minimalizacji danych, zgodnie z którą dane osobowe muszę być adekwatne, stosowne oraz ograniczone do tego, co niezbędne do celów, w których są przetwarzane (art. 5 ust. 1 lit. c RODO).

Ocena kwestionowanego przez Skarżącego procesu przetwarzania jego danych osobowych przez Bank wymaga odniesienia się do przepisów rozporządzenia Parlamentu Europejskiego i Rady (UE) 2015/847 z dnia 20 maja 2015 r. w sprawie informacji towarzyszących transferom środków pieniężnych i uchylenia rozporządzenia (WE) nr 1781/2006 (Dz. U. UE L 141 str. 1 z dnia 5.06.2015), zwanego dalej Rozporządzeniem 2015/847 oraz ustawy z dnia 19 sierpnia 2011 r. o usługach płatniczych (Dz. U. z 2024 r. poz. 30), zwanej dalej u.p. Zgodnie z art. 4 ust. 1 Rozporządzenia 2015/847, dostawca usług płatniczych płatnika zapewnia, by transferowi środków pieniężnych towarzyszyły następujące informacje o płatniku: a) nazwisko/nazwa płatnika; b) numer rachunku płatniczego płatnika; oraz c) adres płatnika, numer urzędowego dokumentu osobistego, numer identyfikacyjny klienta lub data i miejsce urodzenia. Zgodnie z art. 4 ust. 4 Rozporządzenia 2015/847 przed transferem środków pieniężnych dostawca usług płatniczych płatnika weryfikuje prawdziwość informacji, o których mowa w ust. 1, na podstawie dokumentów, danych lub informacji uzyskanych z wiarygodnego i niezależnego źródła. Jak stanowi zaś art. 4 ust. 5 Rozporządzenia 2015/847 uznaje się, że weryfikacja, o której mowa w ust. 4, została przeprowadzona w przypadku gdy, m.in. tożsamość płatnika zweryfikowano zgodnie z art. 13 Dyrektywy 2015/849, a informacje uzyskane w ramach tej weryfikacji zachowano zgodnie z art. 40 tej dyrektywy.

Wyżej przywołany art. 4 ust. 1 Rozporządzenia 2015/847 doznaje ograniczenia w związku z regulacją zawartą w art. 5 ust. 1 Rozporządzenia 2015/847, zgodnie z którą w drodze odstępstwa od art. 4 ust. 1 i 2 ww. rozporządzenia, w przypadku gdy wszyscy dostawcy usług płatniczych uczestniczący w łańcuchu płatności mają siedzibę w Unii, transferom środków pieniężnych towarzyszą co najmniej numer rachunku płatniczego zarówno płatnika, jak i odbiorcy lub, w przypadku gdy zastosowanie ma art. 4 ust. 3, niepowtarzalny identyfikator transakcji, bez uszczerbku – w stosownych przypadkach – dla wymogów dotyczących informacji określonych w rozporządzeniu (UE) nr 260/2012. Zgodnie natomiast z art. 5 ust. 2 Rozporządzenia 2015/847, niezależnie od ust. 1 dostawca usług płatniczych płatnika udostępnia w terminie trzech dni roboczych od otrzymania wniosku o udzielenie informacji od dostawcy usług płatniczych odbiorcy lub pośredniczącego dostawcy usług płatniczych: a) w przypadku transferów środków pieniężnych, których kwota przekracza 1 000 EUR, niezależnie od tego, czy transfery te są dokonywane jako jedna lub kilka transakcji, które wydają się być powiązane – informacje o płatniku lub odbiorcy zgodnie z art. 4; b) w przypadku transferów środków pieniężnych, których kwota nie przekracza 1 000 EUR i które nie wydają się być powiązane z innymi transferami środków pieniężnych, które łącznie z przedmiotowym transferem opiewają na kwotę przekraczającą 1 000 EUR - co najmniej: (i) nazwisko/nazwę płatnika, nazwisko/nazwę odbiorcy; oraz (ii) numery rachunków płatniczych płatnika i odbiorcy lub, w przypadku gdy zastosowanie ma art. 4 ust. 3, niepowtarzalny identyfikator transakcji. Należy przytoczyć również art. 5 ust. 3 Rozporządzenia 2015/847, zgodnie z którym w drodze odstępstwa od art. 4 ust. 4 w przypadku transferów środków pieniężnych, o których mowa w ust. 2 lit. b) niniejszego artykułu, dostawca usług płatniczych płatnika nie musi weryfikować informacji o płatniku, chyba że dostawca usług płatniczych płatnika: a) otrzymał środki pieniężne, które mają być przedmiotem transferu, w gotówce lub w postaci anonimowego pieniądza elektronicznego; lub b) ma uzasadnione powody, by podejrzewać pranie pieniędzy lub finansowanie terroryzmu.

Ponadto przytoczenia wymaga również art. 143 u. p., zgodnie z którym: zlecenie płatnicze uznaje się za wykonane na rzecz właściwego odbiorcy, jeżeli zostało wykonane zgodnie z informacjami, o których mowa w art. 23 ust. 1 pkt 1 lub w art. 27 pkt 2 lit. b, a w przypadku wskazania w treści zlecenia płatniczego unikatowego identyfikatora - jeżeli zostało wykonane zgodnie z tym unikatowym identyfikatorem bez względu na dostarczone przez użytkownika inne informacje dodatkowe (ust. 1). Przy wykonaniu transakcji płatniczych z wykorzystaniem rachunku bankowego unikatowym identyfikatorem jest numer rachunku bankowego, chyba że strony uzgodnią w umowie ramowej inny unikatowy identyfikator (ust. 3). Art. 23 ust. 1 pkt 1 u. p. wskazuje natomiast, iż dostawca jest obowiązany dostarczyć lub udostępnić użytkownikowi wyszczególnienie informacji, które muszą być dostarczone przez użytkownika, aby zlecenie płatnicze mogło zostać prawidłowo zainicjowane lub wykonane, albo informację, że wystarczające jest podanie unikatowego identyfikatora. Z kolei art. 27 pkt 2 lit. b wskazuje, że dostawca przekazuje użytkownikowi informacje dotyczące korzystania z usługi płatniczej, tj. wyszczególnienie informacji, które muszą być dostarczone przez użytkownika, aby zlecenie płatnicze mogło zostać prawidłowo zainicjowane lub wykonane albo informację, że wystarczające jest podanie unikatowego identyfikatora.

W świetle powyższych przepisów nie sposób było uznać, że Bank był uprawniony do udostępniania podczas transferów środków pieniężnych wykonywanych przez Skarżącego (w przypadku gdy wszyscy dostawcy usług płatniczych uczestniczący w łańcuchu płatności mieli siedzibę w UE), których kwota nie przekraczała 1000 EURO i które nie wydawały się być powiązane z innymi transferami środków pieniężnych, które łącznie z przedmiotowym transferem opiewały na kwotę przekraczającą 1 000 EUR, danych wykraczających poza jego nazwisko oraz jego numer rachunku płatniczego (zgodnie z art. 5 ust. 2 lit. b tiret pierwsze i tiret drugie Rozporządzenia 2015/847), tym samym kwestionowane przez Skarżącego udostępnienie jego danych osobowych w zakresie adresu zamieszkania było nadmiarowe.

Wymaga podkreślenia, że art. 5 ust. 1 Rozporządzenia 2015/847, stanowiący wyjątek od art. 4 ust. 1 tegoż aktu prawnego, określa minimalny zakres danych osobowych płatnika, który jest niezbędny przy realizacji transferów środków pieniężnych. Gdy nie zachodzą przesłanki z wyżej powołanych art. 5 ust. 2 lit. a Rozporządzenia 2015/847 oraz art. 5 ust. 2 lit. b tiret pierwsze i tiret drugie Rozporządzenia 2015/847, w przypadku, gdy dostawcy usług płatniczych uczestniczący w łańcuchu płatności mają siedzibę w UE, jedynym obligatoryjnym elementem towarzyszącym transferom środków pieniężnych jest numer rachunku płatniczego zarówno płatnika, jak i odbiorcy. W ocenie Prezesa Urzędu Ochrony Danych Osobowych okoliczność, że ww. przepis nie określa zamkniętego katalogu danych, który dostawca usług płatniczych może wykorzystać przy realizacji transferu płatności, nie oznacza, że dopuszczalnym jest wykorzystanie również danych w postaci adresu zamieszkania płatnika. W tym miejscu należy również wskazać, że zgodnie z art. 91 ust. 3 Konstytucji Rzeczpospolitej Polskiej z dnia 2 kwietnia 1997 r. (Dz. U. z 1997 r., poz. 78.483), zwaną dalej Konstytucją RP, jeżeli wynika to z ratyfikowanej przez Rzeczpospolitą Polską umowy konstytuującej organizację międzynarodową, prawo przez nią stanowione jest stosowane bezpośrednio, mając pierwszeństwo w przypadku kolizji z ustawami. Oznacza to, iż Bank stosując art. 143 ust 1 i 3 u.o.p. jest zobowiązany dostosować katalog informacji wymaganych od użytkownika do brzmienia art. 5 ust. 1 i 2 Rozporządzenia 2015/847 oraz mając na względzie zasadę wynikającą z art. 5 ust. 1 lit. c RODO, zgodnie z którą dane osobowe muszą być adekwatne, stosowne oraz ograniczone do tego, co niezbędne do celów, w których są przetwarzane („minimalizacja danych”).

Powyższe stanowisko Prezesa Urzędu Ochrony Danych Osobowych jest zbieżne z poglądami doktryny, zgodnie z którymi zlecenie płatnicze, czyli polecenie wykonania transakcji płatniczej, jest uznawane za wykonane na rzecz właściwego odbiorcy, jeżeli dostawca wykonał to zlecenie zgodnie z podanymi mu informacjami:1) których zakres dostawca uprzednio wskazał (przed wykonaniem pojedynczej transakcji płatniczej lub w umowie ramowej) jako informacje, które użytkownik koniecznie musi dostarczyć, aby zlecenie płatnicze mogło zostać prawidłowo wykonane; 2) obejmującymi wyłącznie podanie unikatowego identyfikatora, o ile dostawca wskazał (przed wykonaniem pojedynczej transakcji płatniczej lub w umowie ramowej), że podanie tego identyfikatora jest wystarczające do prawidłowego wykonania zlecenia płatniczego. W przypadku, gdy użytkownik wskazał unikatowy identyfikator transakcja jest uznawana za wykonaną bez względu na dostarczone przez użytkownika inne informacje dodatkowe. Unikatowy identyfikator to przede wszystkim numer rachunku bankowego (dla transakcji z użyciem rachunku bankowego, co do zasady jego numer będzie unikatowym identyfikatorem, o ile strony nie uzgodnią innego identyfikatora) lub rachunku płatniczego, ewentualnie także kombinacja liter, liczb lub symboli określona przez dostawcę dla użytkownika, która jest podawana przez jednego użytkownika i pozwala na jednoznaczne zidentyfikowanie drugiego biorącego udział w danej transakcji płatniczej użytkownika. Oznacza to, że transakcja jest wykonywana na numer rachunku podany przez użytkownika nawet jeżeli nie ma zbieżności pomiędzy danymi posiadacza tego rachunku a danymi odbiorcy transakcji płatniczej i taka transakcja jest uznawana za wykonaną prawidłowo (M. Stanisławska (red.), Ustawa o usługach płatniczych. Komentarz, Warszawa 2022).

Biorąc powyższe pod uwagę, należy stwierdzić, że przetwarzanie danych Skarżącego innych niż nazwisko/nazwa płatnika w taki sposób, iż ww. dane osobowe były udostępniane innym podmiotom podczas transferu środków pieniężnych (w przypadku gdy wszyscy dostawcy usług płatniczych uczestniczący w łańcuchu płatności mieli siedzibę w UE), których kwota nie przekraczała 1000 EUR i które nie wydawały się być powiązane z innymi transferami środków pieniężnych, które łącznie z przedmiotowym transferem opiewały na kwotę przekraczającą 1 000 EUR przez Bank jest sprzeczne z zasadą, o której mowa w art. 5 ust. 1 lit. c RODO, pozwalającą administratorowi na przetwarzanych danych adekwatnych, stosownych oraz ograniczonych do tego, co niezbędne do celów, w których są przetwarzane.

Ustalone powyżej okoliczności potwierdzają zatem, że w okresie po 25 maja 2022 r. w przedmiotowej sprawie doszło do udostępnienia danych osobowych Skarżącego na rzecz nieuprawnionych odbiorców, który to proces nie znajdował oparcia w żadnej z przesłanek legalizujących proces przetwarzania danych osobowych, wyrażonych w art. 6 ust. 1 RODO. Zgodnie z powyższym należy uznać, że przetwarzanie danych osobowych Skarżącego przez Bank we wskazany wyżej sposób, odbyło się z naruszeniem przepisów o ochronie danych osobowych (art. 6 ust. 1 w zw. z art. 5 ust. 1 lit. c RODO).

Podkreślić należy, że na administratorze i podmiocie przetwarzającym spoczywa stosownie do postanowień art. 31 RODO obowiązek dostarczenia wszelkich informacji potrzebnych organowi nadzorczemu do realizacji swoich zadań. Podmioty te powinny zatem współpracować z organem i udzielać wyczerpujących wyjaśnień na wezwanie organu, realizującego swe zadania zgodnie z art. 58 ust. 1 lit. a i e RODO. Bank jako administrator, zobowiązany jest dokonywać procesów przetwarzania danych osobowych w sposób zgodny z zasadami określonymi w art. 5 ust. 1 RODO, tj. m. in. zgodnie z zasadą minimalizacji. Stosownie natomiast do treści art. 5 ust. 2 RODO jest odpowiedzialny za przestrzeganie przepisów RODO i musi być w stanie wykazać ich przestrzeganie („rozliczalność”). Podzielić należy prezentowane stanowisko, zgodnie z którym „Stwierdzenie, że administrator powinien być w stanie wykazać przestrzeganie zasad, odczytywać można jako nałożenie na administratora ciężaru dowodowego w zakresie przestrzegania zasad przetwarzania danych. W razie sporu z osobą, której dane dotyczą, albo z organem nadzorczym, administrator powinien być w stanie przedstawić dowody na to, że przestrzega zasad.” (P. Fajgielski [w:] Komentarz do rozporządzenia nr 2016/679 w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) [w:] Ogólne rozporządzenie o ochronie danych. Ustawa o ochronie danych osobowych. Komentarz, Warszawa 2018, art. 5.).

Postępowanie administracyjne prowadzone przez Prezesa UODO służy kontroli zgodności przetwarzania danych z przepisami o ochronie danych osobowych i jest ukierunkowane na wydanie decyzji administracyjnej. Decyzje Prezesa UODO służą przywróceniu stanu zgodnego z prawem na podstawie art. 58 ust. 2 lit. b RODO między innymi poprzez udzielenie upomnienia administratorowi w przypadku naruszenia przepisów niniejszego rozporządzenia przez operację przetwarzania. Materiał dowodowy zgromadzony w przedmiotowej sprawie potwierdził, że Bank przetwarzał dane osobowe Skarżącego inne niż nazwisko/nazwę płatnika podczas transferu środków pieniężnych (w przypadku gdy wszyscy dostawcy usług płatniczych uczestniczący w łańcuchu płatności mieli siedzibę w UE), których kwota nie przekraczała 1000 EUR i które nie wydawały się być powiązane z innymi transferami środków pieniężnych, które łącznie z przedmiotowym transferem opiewały na kwotę przekraczającą 1 000 EUR, bez podstawy prawnej. Proces ten nie znajdował bowiem oparcia w żadnej z przesłanek z art. 6 ust. 1 RODO. W związku z powyższym Prezes Urzędu Ochrony Danych Osobowych, korzystając z przysługującego mu uprawnienia określonego w art. 58 ust. 2 lit. b RODO udzielił Bankowi upomnienia w zakresie stwierdzonego naruszenia przepisów ochrony danych osobowych.

Odnosząc się natomiast do żądania Skarżącego nakazania Bankowi podjęcia działań mających na celu zaprzestanie przez Bank nieuprawnionego udostępniania jego danych osobowych bez jego zgody podczas dokonywania wskazanych transferów środków pieniężnych, stwierdzić należy, że w postępowaniu wszczętym na skutek skargi indywidualnej przedmiotem rozstrzygnięcia organu są konkretne procesy przetwarzania, które zaistniały, nie zaś procesy przetwarzania, które dopiero mogą pojawić się w przyszłości. Ponadto nie jest możliwe wydanie rozstrzygnięcia zobowiązującego administratora do zmiany stosowanej przez niego ogólnej praktyki w zakresie procesów przetwarzania danych osobowych, ponieważ rozstrzygnięcie takie może zapaść wyłącznie w postępowaniu prowadzonym przez organ z urzędu. W razie zaś wszczęcia takiego postępowania osobie zawiadamiającej o potencjalnych nieprawidłowościach nie przysługuje status strony postępowania i nie jest ona informowana o jego przebiegu. Kwestie ogólnych praktyk dotyczących przetwarzania danych osobowych dotyczą bowiem danych osobowych nie tylko Skarżącego, ale także innych osób, których dane są przetwarzane.

W tym stanie faktycznym i prawnym Prezes UODO rozstrzygnął jak w sentencji.