Decyzja
ZKE.440.52.2019
Na podstawie art. 104 § 1 ustawy z dnia 14 czerwca 1960 r. Kodeks postępowania administracyjnego (Dz. U. z 2020 r., poz. 256), art. 160 ust. 1 i 2 ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych (Dz. U. z 2019 r., poz. 1781) w związku z art. 12 pkt 2 i art. 22 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. z 2016 r., poz. 922 ze zm.) w związku z art. 6 ust. 1 lit. c) i lit. f) oraz art. 57 ust. 1 lit. a) i lit. f) Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (Dz. Urz. UE L 119 z 04.05.2016, str. 1 oraz Dz. Urz. UE L 127 z 23.05.2018, str. 2), po przeprowadzeniu postępowania administracyjnego w sprawie skargi Pana M. W., na przetwarzanie jego danych osobowych przez A. S.A., Prezes Urzędu Ochrony Danych Osobowych
odmawia uwzględnienia wniosku.
UZASADNIENIE
Do Prezesa Urzędu Ochrony Danych Osobowych (dawniej: Generalnego Inspektora Ochrony Danych Osobowych) wpłynęła skarga Pana M. W., , zwanego dalej: „Skarżącym”, na przetwarzanie jego danych osobowych przez A. S.A., zwany dalej: „Bankiem”.
W treści skargi Skarżący wskazał, że Bank, z którym wyżej wymieniony związany jest umową o prowadzenie rachunku […], realizując swoje zobowiązania wynikające z ustawy z dnia 9 października 2015 r. o wykonywaniu Umowy między Rządem Rzeczypospolitej Polskiej a Rządem Stanów Zjednoczonych Ameryki w sprawie poprawy wypełniania międzynarodowych obowiązków podatkowych oraz wdrożenia ustawodawstwa FATCA, wezwał Skarżącego do wypełnienia pisemnego oświadczenia poprzez wskazanie: jaki jest główny kraj rezydencji podatkowej Skarżącego (pkt 1), czy posiada on status rezydenta podatkowego również w innych krajach (pkt 2) oraz czy posiada on status podatnika Stanów Zjednoczonych (pkt 3 oświadczenia). Skarżący zakwestionował zasadność pozyskiwania przez Bank informacji, o które ten zwrócił się w pkt 1 oraz 2 rzeczonego oświadczenia. Jak wskazał Skarżący, pomimo złożonej przez niego reklamacji, Bank nie udzielił mu informacji w przedmiocie podstawy prawnej legalizującej opisane w skardze działania.
W związku z podniesionymi zarzutami, Skarżący wniósł do Prezesa Urzędu Ochrony Danych Osobowych o zbadanie legalności przetwarzania jego danych osobowych przez Bank, w szczególności w zakresie pozyskiwania przez Bank informacji o rezydencji podatkowej Skarżącego innej niż na terenie Rzeczypospolitej Polskiej bądź Stanów Zjednoczonych Ameryki.
W celu ustalenia okoliczności istotnych dla rozstrzygnięcia niniejszej sprawy, Prezes Urzędu Ochrony Danych Osobowych wszczął postępowanie administracyjne. Na podstawie zebranego w sprawie materiału dowodowego ustalił następujący stan faktyczny:
- Bank pozyskał dane osobowe Skarżącego w dniu […] sierpnia 2015 r. w związku zawarciem umowy rachunku […] numer […], a nadto zawartych w tej samej dacie umów o prowadzenie:
- rachunku […] prowadzonego w walucie […];
- rachunku […] prowadzonego w walucie […];
- karty debetowej […] numer […], przypisanej do rachunku […] numer […] (karta została aktywowana w dniu […] sierpnia 2015 r.).
- Podstawę prawną pozyskania i przetwarzania danych osobowych Skarżącego przez Bank stanowił art. 23 ust. 1 pkt 3 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych, albowiem dane zgromadzono w celu podjęcia niezbędnych działań związanych z zawarciem oraz obsługą wyżej wymienionych umów.
- Zakres przetwarzanych przez Bank danych osobowych Skarżącego obejmował: imię, nazwisko, PESEL, datę urodzenia, kraj urodzenia, miejsce urodzenia, serię i numer dowodu osobistego, obywatelstwo, stan cywilny, adres zameldowania, adres zamieszkania, adres do korespondencji, kraj rezydencji, status dewizowy, numer telefonu komórkowego, nazwisko panieńskie matki oraz imiona rodziców.
- W związku z wejściem w życie przepisów ustawy z dnia 9 października 2015 r. o wykonywaniu Umowy między Rządem Rzeczpospolitej Polskiej a Rządem Stanów Zjednoczonych Ameryki w sprawie poprawy wypełniania międzynarodowych obowiązków podatkowych oraz wdrożenia ustawodawstwa FATCA, zwanej dalej także: „Ustawą FATCA”, Bank zwrócił się do Skarżącego z żądaniem wypełnienia pisemnego oświadczenia poprzez udzielnie odpowiedzi na trzy pytania: jaki jest główny kraj rezydencji podatkowej Skarżącego (pkt 1), czy posiada on status rezydenta podatkowego również w innych krajach (pkt 2) oraz czy posiada on status podatnika Stanów Zjednoczonych (pkt 3).
- Skarżący zakwestionował legalność działań Banku w zakresie pozyskiwania danych dotyczących głównego kraju rezydencji podatkowej oraz statusu rezydenta podatkowego w krajach innych aniżeli Rzeczpospolita Polska bądź Stany Zjednoczone Ameryki, w związku z czym złożył w Oddziale Banku reklamację, w której zażądał wskazania podstawy prawnej zezwalającej na gromadzenie przez Bank ww. danych osobowych.
- Pismami z dnia […] czerwca 2016 r. oraz […] czerwca 2016 r. Bank powiadomił Skarżącego, że: „w celu zabezpieczenia poprawności ustalania rezydencji podatkowej swoich Klientów, dąży do gromadzenia pełnej informacji na temat wszystkich swoich Klientów i umożliwia wszystkim Klientom złożenie Oświadczenia. Bank jest zobligowany do prawidłowego wypełniania obowiązków płatniczych oraz sprawozdawczych na mocy przepisów Ustawy o podatku dochodowym od osób fizycznych. Również powyższe przepisy nakładają na Bank konieczność jednoznacznego ustalenia rezydencji podatkowej wszystkich swoich Klientów.”
- Skarżący, wobec braku wyczerpujących – jego zdaniem – wyjaśnień ze strony Banku, odstąpił od złożenia kwestionowanego oświadczenia oraz wypowiedział w dniu […] października 2016 r. wszystkie łączące go z Bankiem umowy.
- W pisemnych wyjaśnieniach z dnia […] stycznia 2017 r., złożonych przed Prezesem Urzędu Ochrony Danych Osobowych, Bank oświadczył, że pytania dotyczące głównego kraju rezydencji oraz rezydencji podatkowych w innych krajach zostały ujęte w spornym formularzu, celem spełnienia obowiązku wynikającego z ustawy z dnia 26 lipca 1991 r. o podatku dochodowym od osób fizycznych. Jak wyjaśnił Bank (cyt.), „na obowiązek w zakresie prawidłowej identyfikacji rezydencji podatkowej Klientów Banku w szczególności wskazuje art. 3 ust. 2a, art. 30a ust. 2 łącznie z art. 42 ust 2 ww. ustawy. Bank jest zobligowany do prawidłowego wypełniania obowiązków płatnika oraz sprawozdawczych na mocy przepisów powyższej Ustawy PIT. Przepisy te nakładają na Bank konieczność jednoznacznego ustalenia rezydencji podatkowej Klientów.” Jednocześnie Bank podkreślił, że już uprzednio przetwarzał dane osobowe Skarżącego dotyczące rezydencji podatkowej, zgromadzone w związku z ciążącym na Banku obowiązkiem sporządzania dla nierezydentów rocznej, imiennej informacji o uzyskanych przychodach i pobranym podatku (IFT), która to informacja przekazywana jest do urzędu skarbowego. Zawarte w formularzu oświadczenia dodatkowe pytania, dotyczące rezydencji podatkowej Skarżącego, miały charakter komplementarny do pytania dotyczącego FATCA oraz służyły weryfikacji danych posiadanych już przez Bank w kartotekach.
- Obecnie, wobec wypowiedzenia przez Skarżącego wszystkich wiążących go z Bankiem umów, Bank przetwarza jego dane osobowe w zakresie: imienia, drugiego imienia, nazwiska, numeru PESEL, daty urodzenia, kraju urodzenia, miejsca urodzenia, serii i numer dowodu osobistego, daty ważności dowodu, imion rodziców, nazwiska rodowego matki, adresu zameldowania, adresu zamieszkania, adresu do korespondencji, numeru telefonu komórkowego, adresu e-mail, kraju rezydencji oraz obywatelstwa. Podstawę prawną ich przetwarzania stanowi art. 6 ust. 1 lit. c) Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (Dz. Urz. UE L 119 z 04.05.2016, str. 1 oraz Dz. Urz. UE L 127 z 23.05.2018, str. 2), zwanego dalej: „Rozporządzeniem 2016/679”, jako że Bank przechowuje ww. dane osobowe w celu wypełnienia ciążącego na nim obowiązku prawnego, o którym mowa w art. 74 ust. 2 pkt. 4 ustawy z dnia 29 września 1994 r. o rachunkowości, tj. do celów archiwizacyjnych – przez okres minimum 5 lat od końca roku kalendarzowego, w którym nastąpiło zamknięcie rachunków bankowych Skarżącego. Nadto, Bank przetwarza dane osobowe Skarżącego na podstawie art. 6 ust. 1 lit. f) Rozporządzenia 2016/679, w celach wynikających z prawnie uzasadnionych interesów Banku, tj. w celu ochrony przed ewentualnymi roszczeniami Skarżącego – w tym roszczeniami zgłoszonymi w postępowaniu prowadzonym przez Prezesa Urzędu Ochrony Danych Osobowych.
W tym stanie faktycznym, Prezes Urzędu Ochrony Danych Osobowych (zwany dalej także: „Prezesem UODO”) zważył, co następuje.
Z dniem 25 maja 2018 r. w życie weszły przepisy ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych (Dz. U. z 2019 r., poz. 1781), zwanej dalej „u.o.d.o.”.
W myśl art. 160 ust. 1-3 u.o.d.o., postępowania prowadzone przez Generalnego Inspektora Ochrony Danych Osobowych, wszczęte i niezakończone przed dniem wejścia w życie niniejszej ustawy, prowadzone są przez Prezesa Urzędu Ochrony Danych Osobowych na podstawie ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. z 2016 r. poz. 922 ze zm.), zwanej dalej także „ustawą 1997”, zgodnie z zasadami określonymi w ustawie z dnia 14 czerwca 1960 r. Kodeks postępowania administracyjnego (Dz. U. z 2020 r., poz. 256). Jednocześnie, czynności dokonane w postępowaniach, wszczętych i niezakończonych przed dniem wejścia w życie przepisów u.o.d.o., pozostają skuteczne.
Od dnia 25 maja 2018 r. zastosowanie ma również Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (Dz. Urz. UE L 119 z 04.05.2016, str. 1 ze zm. oraz Dz. Urz. UE L 127 z 23.05.2018, str. 2), zwane dalej „Rozporządzeniem 2016/679”.
Stosownie do art. 57 ust. 1 Rozporządzenia 2016/679, bez uszczerbku dla innych zadań określonych na jego mocy, każdy organ nadzorczy na swoim terytorium monitoruje i egzekwuje stosowanie tego rozporządzenia (lit. a) oraz rozpatruje skargi wniesione przez osobę, której dane dotyczą, lub przez umocowany przez nią – zgodnie z art. 80 Rozporządzeniem 2016/679 – podmiot, organizację lub zrzeszenie, w odpowiednim zakresie prowadzi postępowania w przedmiocie tych skarg i w rozsądnym terminie informuje skarżącego o postępach i wynikach tych postępowań (lit. f).
Uwzględniając powyższe stwierdzić zatem należy, iż niniejsze postępowanie, wszczęte i niezakończone przed dniem 25 maja 2018 r., prowadzone jest na podstawie ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (w zakresie dotyczącym przepisów regulujących procedurę administracyjną) oraz na podstawie Rozporządzenia 2016/679 (w zakresie rozstrzygającym o legalności procesu przetwarzania danych osobowych). Wynikający z przepisów prawa sposób prowadzenia postępowań w sprawach rozpoczętych i niezakończonych przed dniem wejścia w życie nowych regulacji z zakresu ochrony danych osobowych koreluje z ugruntowanym stanowiskiem doktryny, zgodnie z którym „organ administracji publicznej ocenia stan faktyczny sprawy według chwili wydania decyzji administracyjnej. Reguła ta odnosi się także do oceny stanu prawnego sprawy, co oznacza, że organ administracji publicznej wydaje decyzję administracyjną na podstawie przepisów prawa obowiązujących w chwili jej wydania” (Komentarz do ustawy z dnia 14 czerwca 1960 r. Kodeks postępowania administracyjnego (Dz. U. 00.98.1071), M. Jaśkowska, A. Wróbel, Lex., el/2012).
Jednocześnie jednak należy wskazać, że podnoszone przez Skarżącego zarzuty dotyczące pozyskiwania przez Bank danych w zakresie rezydencji podatkowej Skarżącego, odnoszą się bezpośrednio do działań Banku podejmowanych w okresie obowiązywania ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych, stąd analiza przetwarzania danych osobowych Skarżącego przez Bank nie może być dokonywana w całkowitym oderwaniu od zawartej w wyżej wymienionym akcie prawnym regulacji.
Wobec powyższego, Prezes Urzędu Danych Osobowych wskazuje, że w świetle przepisów Rozporządzenia 2016/679, przetwarzanie danych osobowych jest zgodne z prawem, gdy spełniona zostanie którakolwiek z przesłanek wymienionych w art. 6 ust. 1 Rozporządzenia 2016/679 (stanowiącym odpowiednik obowiązującego do dnia 25 maja 2018 r. art. 23 ust. 1 ustawy 1997), tj. wówczas gdy:
- osoba, której dane dotyczą wyraziła zgodę na przetwarzanie swoich danych osobowych w jednym lub większej liczbie określonych celów (analogicznie w art. 23 ust.1 pkt 1 ustawy 1997);
- przetwarzanie jest niezbędne do wykonania umowy, której stroną jest osoba, której dane dotyczą, lub do podjęcia działań na żądanie osoby, której dane dotyczą, przed zawarciem umowy (analogicznie w art. 23 ust. 1 pkt 3 ustawy 1997);
- przetwarzanie jest niezbędne do wypełnienia obowiązku prawnego ciążącego na administratorze (analogicznie w art. 23 ust. 1 pkt 2 ustawy 1997);
- przetwarzanie jest niezbędne do ochrony żywotnych interesów osoby, której dane dotyczą, lub innej osoby fizycznej;
- przetwarzanie jest niezbędne do wykonania zadania realizowanego w interesie publicznym lub w ramach sprawowania władzy publicznej powierzonej administratorowi (analogicznie w art. 23 ust. 1 pkt 4 ustawy 1997) bądź wreszcie;
- przetwarzanie jest niezbędne do celów wynikających z prawnie uzasadnionych interesów realizowanych przez administratora lub przez stronę trzecią, z wyjątkiem sytuacji, w których nadrzędny charakter wobec tych interesów mają interesy lub podstawowe prawa i wolności osoby, której dane dotyczą, wymagające ochrony danych osobowych, w szczególności gdy osoba, której dane dotyczą, jest dzieckiem (analogicznie w art. 23 ust. 1 pkt 5 ustawy 1997).
Przesłanki te odnoszą się do wszelkich form przetwarzania danych i są względem siebie równoprawne, co oznacza, że dla legalności procesu przetwarzania danych wystarczające jest spełnienie jednej z nich.
Odnosząc powyższe do ustalonego w sprawie stanu faktycznego należy wskazać, że Bank pozyskał dane osobowe Skarżącego w dniu […] sierpnia 2015 r. w związku z faktem zawarcia umowy rachunku […] numer […] oraz zawartych jednocześnie ze Skarżącym umów o prowadzenie: rachunku […] w walucie […], rachunku […] w walucie […] oraz karty debetowej […] numer […] (przypisanej do rachunku […] numer […]). Przesłankę legalizującą pozyskanie, jak i przetwarzanie danych osobowych Skarżącego przez Bank stanowił wówczas art. 23 ust. 1 pkt 3 ustawy 1997, albowiem Bank zgromadził dane w celu podjęcia niezbędnych działań związanych z zawarciem oraz obsługą wyżej wymienionych umów. Co istotne, Skarżący celem skorzystania z produktów bankowych A. S.A., udostępnił Bankowi informacje dotyczące jego statusu dewizowego […], kraju rezydencji […] oraz obywatelstwa […]. Dane te wprowadzone zostały przez pracowników Banku do indywidualnej „Karty Klienta” przypisanej do osoby Skarżącego. Jak wynika ze zgromadzonego materiału dowodowego, na tym etapie współpracy z Bankiem Skarżący nie kwestionował zasadności pozyskania przez instytucję finansową ww. danych osobowych.
Przechodząc natomiast do meritum niniejszej sprawy, jakim jest próba pozyskania przez Bank informacji o głównym kraju rezydencji podatkowej Skarżącego oraz ewentualnym statusie rezydenta podatkowego w krajach innych aniżeli Rzeczpospolita Polska bądź Stany Zjednoczone Ameryki, wyjaśnić należy, że Bank – wbrew zarzutom Skarżącego – był uprawniony z mocy prawa do przetwarzania tychże informacji. W określonych bowiem przypadkach (np. przy wypłacie skapitalizowanych odsetek od kwot zgromadzonych na rachunkach bankowych), Bank pełni funkcje płatnika zryczałtowanego podatku dochodowego i posiada w związku z powyższym określone obowiązki sprawozdawcze.
Zgodnie z art. 30a ust. 1 pkt 3 ustawy z dnia 26 lipca 1991 r. o podatku dochodowym od osób fizycznych, zwanej dalej: „u.p.d.o.f.”, bank pełni funkcje płatnika 19% zryczałtowanego podatku dochodowego od odsetek naliczanych od środków pieniężnych zgromadzonych na rachunkach bankowych, a wypłacanych osobom fizycznym. Jako płatnik podatku, bank zobowiązany jest m.in. sporządzać oraz przesyłać podatnikowi oraz urzędowi skarbowemu, przy pomocy którego naczelnik urzędu skarbowego właściwego według miejsca zamieszkania podatnika wykonuje swoje zadania, imienną informację o wysokości osiągniętego przez podatnika – a zatem klienta Banku – dochodu (art. 42 ust. 2 u.p.d.o.f). Aby jednak właściwie obliczyć wysokość osiągniętego dochodu, od którego winna zostać pobrana zaliczka na podatek dochodowy, Bank zobowiązany jest uprzednio należycie ustalić kraj rezydencji podatkowej swego klienta. Rezydencja podatkowa, zwana również domicylem podatkowym, to nic innego, jak określone przez przepisy prawa stałe miejsce dopełniania zobowiązań finansowych. Istotą rezydencji podatkowej jest określenie tego kto, oraz w jakim zakresie podlega opodatkowaniu w danym państwie. Ustalenie rezydencji podatkowej jest zatem o tyle ważne, że determinuje krąg klientów banku podlegających opodatkowaniu na terytorium Rzeczypospolitej Polskiej oraz wskazuje, które z uzyskiwanych przez nich dochodów podlegają krajowemu obowiązkowi podatkowemu.
Zgodnie bowiem z art. 3 ust. 1u.p.d.o.f., osoby fizyczne, mające miejsce zamieszkania na terytorium Rzeczypospolitej Polskiej, podlegają obowiązkowi podatkowemu od całości swoich dochodów bez względu na miejsce położenia źródeł przychodów, a zatem bez względu na to, w jakim państwie dochody te zostały uzyskane (jest to tzw. nieograniczony obowiązek podatkowy). Przy tym, za osobę mającą miejsce zamieszkania na terytorium Rzeczypospolitej Polskiej uważa się osobę fizyczną, która: posiada na terytorium Rzeczypospolitej Polskiej centrum interesów osobistych lub gospodarczych lub przebywa na terytorium Rzeczypospolitej Polskiej dłużej niż 183 dni w roku podatkowym (art. 3 ust. 1a u.p.d.o.f.). Natomiast stosownie do brzmienia art. 3 ust. 2 u.p.d.o.f., osoby fizyczne nieposiadające miejsca zamieszkania na terytorium Rzeczypospolitej Polskiej, podlegają obowiązkowi podatkowemu tylko od dochodów osiąganych na terytorium Rzeczypospolitej Polskiej (jest to tzw. ograniczony obowiązek podatkowy).
Co istotne, w przypadku osób fizycznych posiadających miejsce zamieszkania dla celów podatkowych w innych niż Rzeczpospolita Polska państwach, bank uwzględnia postanowienia międzynarodowych umów o unikaniu podwójnego opodatkowania, zawartych przez polskie władze z państwami rezydencji podatkowej takich osób. Zastosowanie zwolnień z opodatkowania bądź niższych stawek podatku, wynikających z właściwych umów o unikaniu podwójnego opodatkowania, możliwe jest jednak wyłączenie pod warunkiem przedstawienia certyfikatu rezydencji podatkowej, a zatem zaświadczenia wydanego przez administrację podatkową państwa rezydencji podatkowej, poświadczającego miejsce zamieszkania dla celów podatkowych w tym właśnie kraju (art. 30a ust. 2 u.p.d.o.f.).
Przenosząc powyższe rozważania prawne na grunt niniejszej sprawy, Prezes UODO stanął na stanowisku, iż Bank nie tylko był uprawniony, ale i zobowiązany pozyskać dane o rezydencji podatkowej Skarżącego. Powyższe było bowiem niezbędne, celem wypełnienia obowiązków płatniczych oraz sprawozdawczych ciążących na Banku, jako płatniku zryczałtowanego podatku dochodowego od osób fizycznych, naliczanego od uzyskiwanych przez Skarżącego dochodów z odsetek od środków pieniężnych zgromadzonych na jego rachunku bankowym. Jak wynika z ustalonego w sprawie stanu faktycznego, Skarżący posiadał w Banku m.in. rachunek [...]. Stosownie natomiast do obowiązujących Skarżącego zapisów Regulaminu […] (stanowiącego załącznik nr […] do pisemnych wyjaśnień Banku z dnia […] stycznia 2017 r.) „w przypadku rachunków […] (…) zgromadzone środki pieniężne oprocentowane są od dnia wpłaty na rachunek do dnia poprzedzającego dzień ich podjęcia, zaś należne odsetki dopisywane są zgodnie z postanowieniami Tabeli Oprocentowania”. Powyższe nie pozostawia wątpliwości co do faktu, iż Bank zobowiązany był na gruncie wiążącej go ze Skarżącym umowy do naliczania oraz wypłaty odsetek od zgromadzonych na rachunku Skarżącego kwot pieniężnych. Z uwagi na powyższe, na Banku ciążyły również określone ustawą, wyżej opisane obowiązki względem tak Skarżącego, jak i względem organów administracji skarbowej. Ponadto wskazać należy, że Skarżący korzystał także z innych produktów oferowanych przez Bank, w tym z rachunku […] prowadzonego w walucie […]. Jak wynika z powyższego, Skarżący był zainteresowany obrotem gotówkowym w walucie obcej, co mogło rodzić po stronie Banku przypuszczenie, iż posiada on status rezydenta podatkowego w innych, aniżeli Rzeczpospolita Polska państwach, a tym samym uzasadniać chęć aktualizacji informacji o statusie dewizowym Skarżącego. Zdaniem Prezesa UODO, Bank miał zarówno podstawy faktyczne, jak i podstawy prawne aby żądać od Skarżącego informacji, o które zwrócił się w kwestionowanym formularzu. Jedynym działaniem Banku, które należałoby poddać krytyce jest natomiast fakt nieudzielenia Skarżącemu jasnej i pełnej informacji o konkretnych przepisach prawa, które legły u podstaw wystąpienia przez Bank z żądaniem wypełnienia spornego formularza. Wyczerpujące wyjaśnienia w powyższym zakresie Bank złożył dopiero w postępowaniu prowadzonym przez Prezesa Urzędu Ochrony Danych Osobowych, zainicjowanym skargą Skarżącego. Powyższe sprzeczne jest z przysługującym Skarżącemu prawem do kontroli przetwarzania jego danych osobowych, które to prawo statuował w dacie złożenia skargi art. 32 ust. 1 ustawy 1997. Niemniej, wobec braku wystąpienia przez Skarżącego z żądaniem wydania decyzji administracyjnej, nakazującej administratorowi danych spełnienie wobec niego obowiązku informacyjnego, brak jest w niniejszym postępowaniu podstawy do wydania takiego rozstrzygnięcia.
Wreszcie należy podnieść, iż Bank nie pozyskał spornych danych, albowiem Skarżący wypowiedział z końcem 2016 r. wszelkie łączące go z Bankiem umowy. Z uwagi na fakt rozwiązania umów i zamknięcia rachunków bankowych, Bank przetwarza obecnie dane osobowe Skarżącego na podstawie art. 6 ust. 1 lit. c) Rozporządzenia 2016/679, w celu wypełnienia ciążącego na nim obowiązku prawnego, o którym mowa w art. 74 ust. 2 pkt. 4 ustawy z dnia 29 września 1994 r. o rachunkowości, tj. do celów archiwizacyjnych – przez okres minimum 5 lat od końca roku kalendarzowego, w którym nastąpiło zamknięcie rachunków bankowych. Nadto, podstawę prawną przetwarzania ww. danych stanowi art. 6 ust. 1 lit. f) Rozporządzenia 2016/679, albowiem Bank przechowuje informacje o Skarżącym w celach wynikających z prawnie uzasadnionych interesów Banku, tj. w celu ochrony przed ewentualnymi roszczeniami Skarżącego, w tym roszczeniami zgłoszonymi w postępowaniu prowadzonym przez Prezesa Urzędu Ochrony Danych Osobowych.
Konkludując powyższe, w ocenie Prezesa UODO nie ma podstaw do stwierdzenia, iż dane osobowe Skarżącego Bank usiłował pozyskać w sposób bezprawny, w zakresie wykraczającym poza ramy wyznaczone przepisami prawa, a zatem nie zaistniała w sprawie przesłanka niezbędna do wydania decyzji nakazującej przywrócenie stanu zgodnego z prawem.
W tym stanie faktycznym i prawnym Prezes Urzędu Ochrony Danych Osobowych rozstrzygnął, jak na wstępie.
Na podstawie art. 127 § 3 Kpa od decyzji przysługuje stronie prawo do wniesienia wniosku o ponowne rozpatrzenie sprawy w terminie 14 dni od dnia jej doręczenia stronie. Jeżeli strona nie chce skorzystać z prawa do złożenia wniosku o ponowne rozpatrzenie sprawy, ma prawo do wniesienia skargi na decyzję do Wojewódzkiego Sądu Administracyjnego w Warszawie w terminie 30 dni od dnia doręczenia jej stronie. Skargę wnosi się za pośrednictwem Prezesa Urzędu (adres: ul. Stawki 2, 00-193 Warszawa). Wpis od skargi wynosi 200 złotych. Strona ma prawo ubiegania się o prawo pomocy, w tym zwolnienie od kosztów sądowych.