II SA/Wa 1014/22

II SA/Wa 1014/22 - Wyrok WSA w Warszawie
Data orzeczenia
2022-10-05
orzeczenie nieprawomocne
Data wpływu
2022-06-14
Sąd
Wojewódzki Sąd Administracyjny w Warszawie
Sędziowie
Agnieszka Góra-Błaszczykowska /przewodniczący/
Andrzej Góraj
Arkadiusz Koziarski. /sprawozdawca/
Symbol z opisem
647  Sprawy związane z ochroną danych osobowych
Hasła tematyczne
Ochrona danych osobowych
Sygn. powiązane
III OSK 183/23 - Wyrok NSA z 2026-01-14
Skarżony organ
Generalny Inspektor Ochrony Danych Osobowych
Treść wyniku
Oddalono skargę
Powołane przepisy
Dz.U. 2021 poz 2439
art. 70 art. 70a art. 105 art. 105a
Ustawa z dnia 29 sierpnia 1997 r. Prawo bankowe (t.j.)
Dz.U.UE.L 2016 nr 119 poz 1  art. 6 ust. 1 lit. c art. 6 ust. 3
Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z  przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE
Sentencja
Wojewódzki Sąd Administracyjny w Warszawie w składzie następującym: Przewodniczący Sędzia WSA Agnieszka Góra-Błaszczykowska, Sędzia WSA Andrzej Góraj, Asesor WSA Arkadiusz Koziarski (spr.), , Protokolant starszy referent Agnieszka Fidor, po rozpoznaniu na rozprawie w dniu 5 października 2022 r. sprawy ze skargi Biura Informacji Kredytowej S. A. z siedzibą w [...] na decyzję Prezesa Urzędu Ochrony Danych Osobowych z dnia [...] kwietnia 2022 r. nr [...] w przedmiocie przetwarzania danych osobowych oddala skargę
Uzasadnienie
Prezes Urzędu Ochrony Danych Osobowych, dalej "PUODO", decyzją z dnia [...] kwietnia 2022 r. nr [...], wydaną na podstawie art. 104 § 1 oraz art. 105 § 1 ustawy z dnia 14 czerwca 1960 r. Kodeks postępowania administracyjnego (Dz.U. z 2021 r. poz. 735, z późn. zm.), dalej "k.p.a." oraz art. 6 ust. 1 i art. 58 ust. 2
lit. c Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (Dz. Urz. UE L 119 z 4.05.2016, str. 1, Dz. Urz. UE L 127 z 23.05.2018, str. 2 oraz Dz. Urz. UE L 74 z 4.03.2021, str. 35), dalej: "RODO", po przeprowadzeniu postępowania administracyjnego w sprawie skargi M. T., na nieprawidłowości w procesie przetwarzanie jego danych osobowych przez [...] z (dalej "[...]") oraz [...] (dalej [...]), polegające na niespełnieniu żądania skarżącego usunięcia jego danych osobowych w zakresie zapytania kredytowego z dnia [...] lutego 2021 r.:
1) nakazał [...] usunięcie danych osobowych M. T. przetwarzanych w związku z zapytaniem kredytowym z dnia [...] lutego 2020 r.,
2) nakazał [...] usunięcie danych osobowych M. T. przetwarzanych w związku z zapytaniem kredytowym z dnia [...] lutego 2020 r., złożonym przez [...].
W uzasadnieniu organ wyjaśnił, że M. T. wniósł skargę na nieprawidłowości w procesie przetwarzanie jego danych osobowych przez [...] oraz [...], polegające na niespełnieniu żądania skarżącego usunięcia jego danych osobowych w zakresie zapytania kredytowego z dnia [...] lutego 2021 r.
Organ podał, że ustalił następujący stan faktyczny:
1. [...] pozyskał dane osobowe skarżącego bezpośrednio od niego w dniu [...] marca 2016 r. w związku z przystąpieniem skarżącego do [...] w charakterze członka w następstwie złożenia deklaracji członkowskiej. W związku z powyższym [...] pozyskał dane osobowe skarżącego w zakresie jego imienia i nazwiska, imion rodziców, nazwiska panieńskiego matki, numeru PESEL, daty i miejsca urodzenia, numeru dowodu osobistego, adresu korespondencyjnego oraz zamieszkania, adres poczty elektronicznej, numeru telefonu oraz stanu cywilnego.
2. W dniu [...] stycznia 2017 r. skarżący złożył wniosek o wypowiedzenie członkostwa, które ustało w dniu [...] maja 2017 r. [...] stwierdził, że zgodnie z art. 6 ust. 1 lit c RODO, w zw. z art. 74 ust. 2 pkt 4) ustawy z dnia 29 września 1994 r. o rachunkowości (Dz. U. z 2021 r. poz. 217 ze zm.), zwanej dalej "ustawą o rachunkowości" [...] jest zobowiązany na mocy przepisów prawa przetwarzać dane osobowe skarżącego przez okres 5 lat od początku roku następującego po roku obrotowym, w którym dokonana jest ostatnia transakcja związana z umową członkostwa tj. wypłatą udziałów członkowskich. [...] stwierdził, że na dzień [...] lipca 2020 r. udziały te nie zostały wypłacone przez skarżącego, więc ustawowy termin nie rozpoczął swojego biegu. Przetwarzanie tych danych odbywa się dla celów rachunkowych, księgowych i archiwalnych.
3. W dniu [...] lutego 2020 r. skarżący wystąpił do [...] z wnioskiem o udzielenie pożyczki, w następstwie którego [...] skierował do [...] zapytanie kredytowe dotyczące skarżącego. Ww. wniosek nie zakończył się zawarciem umowy pomiędzy skarżącym a [...].
4. W dniach [...] lutego 2020 r. oraz [...] kwietnia 2020 r. skarżący zwrócił się do [...] z żądaniem usunięcia jego danych osobowych w zakresie zapytania kredytowego z dnia [...] lutego 2020 r. przetwarzanego w bazie danych [...]. Skarżący wskazał, że w dniu [...] lutego 2020 r. złożył wniosek o udzielenie pożyczki, który został oceniony negatywnie. W ocenie skarżącego z uwagi na nie zawarcie z nim umowy
o pożyczkę brak jest ustawowych przesłanek legalizujących dalsze przetwarzanie przez [...], a tym samym [...] przetwarza jego dane osobowe w zakresie zapytania kredytowego z dnia [...] lutego 2020 r. bez podstawy prawnej.
5. W odpowiedziach udzielonych w dniu [...] kwietnia 2020 r. oraz [...] maja 2020 r. [...] odmówił usunięcia danych osobowych skarżącego w zakresie zapytania kredytowego z dnia [...] lutego 2020 r..
6. [...] wyjaśnił, że przetwarza dane osobowe skarżącego w zakresie zapytania kredytowego z dnia [...] lutego 2020 r. z wniosku o przyznanie pożyczki, który nie zakończył się zawarciem umowy. W tym celu [...] przetwarza dane osobowe skarżącego w zakresie jego imienia i nazwiska, numeru PESEL, daty urodzenia, numeru dowodu osobistego, adresu korespondencyjnego oraz zamieszkania, numeru telefonu, wykształcenia, stanu cywilnego oraz danych o sytuacji finansowej. [...] wskazał, że w przypadku nie zawarcia umowy pożyczki, dane pozyskane w związku z wnioskiem, przetwarza przez okres 3 lat od dnia złożenia wniosku w celu rozpatrywania reklamacji i obrony przed ewentualnymi roszczeniami, co stanowi prawnie uzasadniony interes (art. 6 ust. 1 lit. f) RODO). Ponadto, [...] przetwarza dane podane we wniosku pożyczkowym zgodnie z art. 6 ust. 1 lit c) RODO w zw. z art. 74 ust. 2 pkt 4) ustawy o rachunkowości przez okres 5 lat od początku roku następującego po roku obrotowym, w którym dokonane zostało opłacenie zapytania do [...]. [...] wskazał, że uznał, iż w przypadku skarżącego dopuszczalne jest zablokowanie w [...] danych osobowych dotyczących jego zapytania kredytowego, co też zostało uczynione w dniu [...] października 2021 r. [...] wyraził przekonanie, iż jest uprawniony jako instytucja ustawowo upoważniona do udzielania kredytów (podobnie jak banki), do przetwarzania danych z wniosku kredytowego oraz zapytania kredytowego w sytuacji, gdy do udzielenia kredytu nie doszło w oparciu następujące podstawy prawne i dla następujących celów (art. 6 ust. 1 lit c, e RODO): oceny ryzyka kredytowego, w tym oceny globalnego ryzyka kredytowego (m. in. art. 105 a ust. 1-1b ustawy z dnia 29 sierpnia 1997 r. Prawo bankowe (Dz.U. z 2021 r. poz. 2439 ze zm.), dalej "Prawo banków"; realizacji wymogów ostrożnościowych, tj. zarządzania ryzykiem ekspozycji kredytowych (Rekomendacja A-[...]); wykonywania obowiązków związanych z przeciwdziałaniem praniu pieniędzy i finansowaniu terroryzmu, przeciwdziałaniem popełnianiu innych przestępstw na szkodę [...] (art. 106d Prawa bankowego w związku z art. 16b ustawy z dnia 5 listopada 2009 r. o spółdzielczych kasach oszczędnościowo-kredytowych (Dz.U. z 2021 r. poz. 1844 ze zm.), dalej "ustawą o [...]", oraz w związku z przepisami ustawy z dnia 1 marca 2018 r. o przeciwdziałaniu praniu pieniędzy oraz finansowaniu terroryzmu (Dz.U. z 2022 r. poz. 593), dalej "ustawa AML"; realizacji prawa do wyjaśnienia oceny zdolności kredytowej (art. 70a Prawa bankowego w związku z art. 10 ust. 2 ustawy z dnia 12 maja 2011 r. o kredycie konsumenckim (Dz.U. z 2022 r. poz. 246), dalej "ustawa o kredycie konsumenckim".
7 [...] w treści wyjaśnień wskazał, że przetwarza obecnie dane osobowe skarżącego przekazane przez [...] w związku ze złożonym zapytaniem kredytowym z dnia [...] lutego 2020 r. Dane osobowe skarżącego zostały przekazane do [...] przez [...] na podstawie 105a ust. 1 oraz art. 105 ust. 4 Prawa bankowego oraz na podstawie łączącej [...] i [...] umowy. [...] wyjaśnił, że będzie przetwarzał dane osobowe skarżącego w związku ze złożonymi zapytaniami kredytowymi w celu oceny zdolności kredytowej i analizy ryzyka kredytowego konkretnego klienta przez okres 12 miesięcy od dnia złożenia zapytania, w celu budowy modeli scoringowych, tj. narzędzi wykorzystywanych przez banki do oceny zdolności kredytowej i analizy ryzyka kredytowego przez okres 5 lat od dnia złożenia zapytania, w celach statystycznych oraz stosowania metod wewnętrznych oraz innych metod i modeli przez okres nie dłuższy niż 10 lat od dnia przekazania zapytania do [...], w celach przeciwdziałania przestępstwom oraz wykonywania obowiązków w zakresie określonym w przepisach o przeciwdziałaniu praniu pieniędzy i finansowaniu terroryzmu na podstawie art. 106d Prawa bankowego przez okres 12 miesięcy oraz w celu rozpatrywania ewentualnych reklamacji i roszczeń odszkodowawczych - do momentu przedawnienia potencjalnych roszczeń wynikających z zapytań oraz w celu wypełnienia obowiązku wynikającego z art. 15 RODO w przypadku wystąpienia przez osobę, której dane dotyczą z wnioskiem o udzielenie informacji.
Dalej organ wyjaśnił, że przepisem uprawniającym administratorów danych do przetwarzania zwykłych danych osób fizycznych jest art. 6 ust. 1 RODO, zgodnie z którym, przetwarzanie danych jest dopuszczalne tylko wtedy, gdy spełniona jest jedna z przesłanek wskazanych w tym przepisie. Katalog przesłanek wymienionych w art. 6 ust. 1 RODO, jest zamknięty. Każda z przesłanek legalizujących proces przetwarzania danych osobowych ma charakter autonomiczny i niezależny. Dodatkowo, proces przetwarzania danych osobowych musi być zgodny z zasadami ustanowionymi w art. 5 ust. 1 RODO. Do zasad tych zalicza się między innymi ograniczenie celu (art. 5 ust. 1 lit. b RODO) oraz minimalizację danych (art. 5 ust. 1 lit. c RODO). Wspomniane zasady wymagają, by dane osobowe były zbierane w konkretnych, wyraźnych i prawnie uzasadnionych celach i nieprzetwarzane dalej w sposób niezgodny z tymi celami, a proces przetwarzania danych osobowych był adekwatny, stosowny oraz ograniczony do tego, co niezbędne do celów, w których są przetwarzane. Ponadto na podstawie art. 17 ust. 1 RODO osoba, której dane dotyczą, ma prawo żądania od administratora niezwłocznego usunięcia dotyczących jej danych osobowych, a administrator ma obowiązek bez zbędnej zwłoki usunąć dane osobowe, jeżeli zachodzi jedna z okoliczności wymienionych w tym przepisie. Okolicznością taką jest m. in. brak niezbędności danych osobowych do celów, w których zostały zebrane lub w inny sposób przetwarzane.
PUODO podał również, że [...] wyjaśnił, iż przetwarza dane osobowe skarżącego w zakresie zapytania kredytowego z dnia [...] lutego 2020 r. w celu oceny zdolności kredytowej i analizy ryzyka kredytowego. Zdaniem [...], konieczność dokonania indywidualnej oceny zdolności kredytowej uprawnia go do przetwarzania danych przez okres 12 miesięcy od dnia złożenia zapytania do [...], co znajduje uzasadnienie w art. 6 ust. 1 lit. c RODO w zw. art. 105 ust. 4 oraz art. 105a ust. 1, 1a i 1b oraz art. 70 ust. 1 Prawa bankowego. Dodatkowo w związku z badaniem zdolności kredytowej i analizy ryzyka kredytowego [...] przetwarza dane osobowe skarżącego w celu budowy modeli scoringowych, tj. narzędzi wykorzystywanych przez banki do oceny zdolności kredytowej i analizy ryzyka kredytowego. W tym zakresie będzie przetwarzał dane osobowe skarżącego przez okres 5 lat od dnia złożenia zapytania, który to proces, w ocenie [...], jest niezbędny do realizacji prawnie uzasadnionego interesu [...]. Ponadto [...] przetwarza dane osobowe skarżącego w celach statystycznych oraz stosowania metod wewnętrznych oraz innych metod i model, który to proces zamierza kontynuować przez okres nie dłuższy niż 10 lat od dnia przekazania zapytania do [...] - na podstawie art. 6 ust. 1 lit. f RODO w zw. z art. 105 ust. 1 i 105a ust. 4 Prawa bankowego. [...] wskazał również, że przetwarza dane osobowe skarżącego w celach przeciwdziałania przestępstwom oraz wykonywania obowiązków w zakresie określonym w przepisach o przeciwdziałaniu praniu pieniędzy i finansowaniu terroryzmu - na podstawie art. 106d Prawa bankowego przez okres 12 miesięcy oraz w celu rozpatrywania ewentualnych reklamacji i roszczeń odszkodowawczych - do momentu przedawnienia potencjalnych roszczeń wynikających z zapytań oraz w celu wypełnienia obowiązku wynikającego z art. 15 RODO w przypadku wystąpienia przez osobę, której dane dotyczą z wnioskiem o udzielenie informacji.
[...] natomiast wskazał, że w zakresie zapytania kredytowego z dnia [...] lutego 2020 r. przetwarzał dane osobowe skarżącego w celu rozpatrywania reklamacji i obrony przed ewentualnymi roszczeniami, co stanowi prawnie uzasadniony interes (art. 6 ust. 1 lit. f) RODO). Ponadto, [...] przetwarzał dane podane we wniosku pożyczkowym zgodnie z art. 6 ust. 1 lit c) RODO w zw. z art. 74 ust. 2 pkt 4) ustawy z 29 września 1994 r. o rachunkowości (Dz. U. z 2021 r. poz. 217). Następnie [...] wskazał, że w dniu 7 października 2021 r. zwrócił się do [...] o zablokowanie przetwarzania danych osobowych skarżącego w zakresie zapytania kredytowego z dnia [...] lutego 2020 r., dodając, że wyraża przekonanie, iż jest uprawniony jako instytucja ustawowo upoważniona do udzielania kredytów (podobnie jak banki), do przetwarzania danych z wniosku kredytowego oraz zapytania kredytowego w sytuacji, gdy do udzielenia kredytu nie doszło w oparciu następujące podstawy prawne i dla następujących celów (art. 6 ust. 1 lit c, e RODO): oceny ryzyka kredytowego, w tym oceny globalnego ryzyka kredytowego (m in. art. 105 a ust. 1-lb prawa bankowego); realizacji wymogów ostrożnościowych, tj. zarządzania ryzykiem ekspozycji kredytowych (Rekomendacja A- [...]); wykonywania obowiązków związanych z przeciwdziałaniem praniu pieniędzy i finansowaniu terroryzmu, przeciwdziałaniem popełnianiu innych przestępstw na szkodę [...] (art. 106d Prawa bankowego w związku z art. 16b ustawy o [...] i w związku z przepisami ustawy AML); realizacji prawa do wyjaśnienia oceny zdolności kredytowej (art. 70a Prawa bankowego w związku z art. 10 ust. 2 ustawy o kredycie konsumenckim).
Organ wyjaśnił, że [...] jest instytucją utworzoną na podstawie art. 105 ust. 4 Prawa bankowego, który stanowi, że banki mogą, wspólnie z bankowymi izbami gospodarczymi, utworzyć instytucje upoważnione do gromadzenia, przetwarzania i udostępniania bankom informacji stanowiących tajemnicę bankową w zakresie, w jakim informacje te są potrzebne w związku z wykonywaniem czynności bankowych oraz w związku ze stosowaniem metod wewnętrznych oraz innych metod i modeli, o których mowa w części trzeciej rozporządzenia nr 575/2013, innym instytucjom ustawowo upoważnionym do udzielania kredytów informacji stanowiących tajemnicę bankową w zakresie, w jakim informacje te są niezbędne w związku z udzielaniem kredytów, pożyczek pieniężnych, gwarancji bankowych i poręczeń (pkt 2), instytucjom kredytowym informacji stanowiących tajemnicę bankową w zakresie niezbędnym do oceny zdolności kredytowej konsumenta, o której mowa w art. 9 ustawy z dnia 12 maja 2011 r. o kredycie konsumenckim (pkt 3), instytucjom pożyczkowym i podmiotom, o których mowa w art. 59d ustawy z dnia 12 maja 2011 r. o kredycie konsumenckim na zasadzie wzajemności, informacji stanowiących odpowiednio tajemnice bankową oraz informacje udostępnione przez instytucje pożyczkowe oraz podmioty, o których mowa w art. 59d ustawy z dnia 12 maja 2011 r. o kredycie konsumenckim, w zakresie niezbędnym do oceny zdolności kredytowej konsumenta, o której mowa w art. 9 tej ustawy, i analizy ryzyka kredytowego (pkt 4).
Organ zwrócił uwagę, że zgodnie z art. 105a ust. 1 Prawa bankowego, przetwarzanie przez banki, inne instytucje ustawowo upoważnione do udzielania kredytów, instytucje pożyczkowe oraz podmioty, o których mowa w art. 59d ustawy o kredycie konsumenckim, a także instytucje utworzone na podstawie art. 105 ust. 4, informacji stanowiących tajemnicę bankową i informacji udostępnionych przez instytucje pożyczkowe oraz podmioty, o których mowa w art. 59d ustawy o kredycie konsumenckim, w zakresie dotyczącym osób fizycznych może być wykonywane, z zastrzeżeniem art. 104, art. 105 i art. 106-106d Prawa bankowego w celu oceny zdolności kredytowej i analizy ryzyka kredytowego. Zgodnie zaś z art. 105a ust. 4 Prawa bankowego banki oraz instytucje, o których mowa w art. 105 ust. 4, mogą przetwarzać stanowiące tajemnicę bankową informacje dotyczące osoby fizycznej po wygaśnięciu zobowiązania wynikającego z umowy zawartej z bankiem lub inną instytucją ustawowo upoważnioną do udzielania kredytów bez zgody osoby, której informacje dotyczą, do celów stosowania metod wewnętrznych oraz innych metod i modeli, o których mowa w części trzeciej rozporządzenia nr 575/2013. Stosownie zaś do art. 105a ust. 5 Prawa bankowego przetwarzanie informacji stanowiących tajemnicę bankową w przypadkach, o których mowa w ust. 3, może być wykonywane przez okres nie dłuższy niż 5 lat od dnia wygaśnięcia zobowiązania, a w przypadku, o którym mowa w ust. 4, przez okres 12 lat od dnia wygaśnięcia zobowiązania. Ponadto stosownie do art. 70 ust. 1 Prawa bankowego, bank uzależnia przyznanie kredytu od zdolności kredytowej kredytobiorcy. Przez zdolność kredytową rozumie się zdolność do spłaty zaciągniętego kredytu wraz z odsetkami w terminach określonych w umowie.
PUODO wskazał, że skarżący w dniu [...] lutego 2020 r. wystąpił do [...] z wnioskiem o udzielenie pożyczki. Wobec powyższego [...] oraz [...], na podstawie art. 105a ust. 1 Prawa bankowego w zw. z art. 70 ust. 1 tej ustawy, były uprawnione do przetwarzania danych osobowych skarżącego w celu oceny zdolności kredytowej. Organ podkreślił, że nie doszło do zawarcia umowy pożyczki pomiędzy skarżącym a [...]. Zdaniem organu w związku z powyższym odpadła przesłanka legalizująca dalsze przetwarzanie danych osobowych skarżącego przez [...] oraz [...]. Przesłanki zawarte w art. 105a Prawa bankowego dotyczą bowiem przetwarzania informacji objętych tajemnicą bankową w okresie przed powstaniem zobowiązania, w trakcie jego trwania oraz po wygaśnięciu zobowiązania. Pomiędzy [...] a skarżącym nie zawiązał się żaden stosunek zobowiązaniowy, który stosownie do art. 105a ust. 1-6 Prawa bankowego dawałby podstawę do dalszego przetwarzania danych osobowych skarżącego. Organ podniósł również, że celem przetwarzania danych osobowych skarżącego była ocena zdolności kredytowej i analizy ryzyka kredytowego. W związku z dokonaniem przez [...] oraz [...] oceny zdolności kredytowej i analizy ryzyka kredytowego ww. cel przetwarzania danych osobowych skarżącego został zrealizowany i brak było podstaw prawnych do kontynuowania tego procesu.
Odwołując się do orzecznictwa organ stwierdził, że cel oceny zdolności kredytowej stanowi ocena zdolności do spłaty zaciągniętego kredytu wraz z odsetkami, co ma charakter czynności wstępnej do zawarcia stosownej umowy. Dalsze przetwarzanie danych uzyskanych w celu oceny zdolności kredytowej, w przypadku nie zawarcia stosownej umowy pozostawałaby w oderwaniu od celu, dla którego dane te uzyskano. Niedopuszczalne jest przetwarzanie danych osobowych na przyszłość, a także na potrzeby budowy oceny zdolności kredytowej innych podmiotów, jeżeli nie można zrekonstruować wyraźnej podstawy prawnej takich działań. Odwoływanie się do konieczności przetwarzania danych osobowych wnioskodawcy w zakresie pytań kredytowych po dokonaniu weryfikacji zdolności kredytowej dla potrzeb tworzenia modeli scoringowych jest nieuprawnione. Scoring kredytowy to metoda oceny wiarygodności podmiotu - zwykle osoby fizycznej lub przedsiębiorstwa - ubiegającego się o kredyt bankowy. Polega on na określeniu wiarygodności kredytowej klienta na podstawie porównania jego profilu z profilem klientów, którzy już otrzymali kredyty i je spłacają. W niniejszej sprawie skarżący po złożeniu zapytań kredytowych nie zawarł umowy pożyczki ze [...].
Zdaniem PUODO za podstawę przetwarzania danych osobowych skarżącego, nie mogą być również uznane wskazane przez [...] cele statystyczne i analizy, w tym cel stosowania metod wewnętrznych oraz innych metod i modeli, o których mowa w części trzeciej rozporządzenia nr 575/2013. Powołany przez [...] art. 105a ust. 4 Prawa bankowego daje podstawy do przetwarzania informacji dotyczących osoby fizycznej stanowiących tajemnicę bankową po wygaśnięciu zobowiązania wynikającego z umowy zawartej z bankiem lub inną instytucją ustawowo upoważnioną do udzielania kredytów bez zgody osoby, której te informacje dotyczą. Organ podniósł, że w przedmiotowej sprawie nie doszło do zawarcia umowy kredytu pomiędzy skarżącym a [...], a zatem nie powstał żaden stosunek zobowiązaniowy, o którym mowa w powyższym przepisie.
Organ wyjaśnił również, że zgodnie z brzmieniem powołanego przez [...] jak i [...], art. 106d Prawa bankowego banki, inne instytucje ustawowo upoważnione do udzielania kredytów, izby rozliczeniowe utworzone na podstawie art. 67, instytucje utworzone na mocy art. 105 ust. 4, instytucje pożyczkowe, podmioty, których podstawowa działalność polega na udostępnianiu składników majątkowych na podstawie umowy leasingu, oraz podmioty, o których mowa w art. 59d ustawy z dnia 12 maja 2011 r. o kredycie konsumenckim, mogą przetwarzać i wzajemnie udostępniać informacje, w tym informacje objęte tajemnicą bankową, w przypadkach: 1) uzasadnionych podejrzeń, o których mowa w art. 106a ust. 3; 2) uzasadnionych podejrzeń popełnienia przestępstw dokonywanych na szkodę banków, innych instytucji ustawowo upoważnionych do udzielania kredytów, instytucji kredytowych, instytucji finansowych, instytucji pożyczkowych oraz podmiotów, o których mowa w art. 59d ustawy z dnia 12 maja 2011 r. o kredycie konsumenckim, i ich klientów, w celu i zakresie niezbędnym do zapobiegania tym przestępstwom; 3) wykonywania obowiązków w zakresie określonym w przepisach o przeciwdziałaniu praniu pieniędzy oraz finansowaniu terroryzmu (ust. 1). Podmioty określone w ust. 1 mogą przetwarzać i wzajemnie udostępniać informacje, w tym informacje objęte tajemnicą bankową oraz informacje dotyczące wyroków skazujących, w przypadkach przestępstw dokonywanych na szkodę banków, innych instytucji ustawowo upoważnionych do udzielania kredytów, instytucji kredytowych, instytucji finansowych, instytucji pożyczkowych oraz podmiotów, o których mowa w art. 59d ustawy z dnia 12 maja
2011 r. o kredycie konsumenckim, i ich klientów, w celu i zakresie niezbędnym do zapobiegania tym przestępstwom (ust. 2).
Zdaniem organu zarówno [...] jak i [...] nie mogą przetwarzać danych osobowych skarżącego dotyczących zapytania kredytowego z dnia [...] lutego 2020 r. na podstawie art. 106d Prawa bankowego w celach przeciwdziałania przestępstwom oraz wykonywania obowiązków w zakresie określonym w przepisach o przeciwdziałaniu praniu pieniędzy i finansowaniu terroryzmu, albowiem w toku prowadzonego postępowania nie wykazały, aby zaszła którakolwiek z przesłanek określonych w ww. przepisie. Zdaniem organu w szczególności nie wykazały, aby zaszły uzasadnione podejrzenia, o których mowa w art. 106d ust. 1 pkt 1-2, oraz istnienia obowiązku określonego w przepisach o przeciwdziałaniu praniu pieniędzy oraz finansowaniu terroryzmu, o którym mowa w art. 106d ust. 1 pkt 3. PUODO podkreślił, że art. 33 ust. 2 ustawy AML, wskazuje, że instytucje obowiązane rozpoznają ryzyko prania pieniędzy oraz finansowania terroryzmu związane ze stosunkami gospodarczymi lub z transakcją okazjonalną oraz oceniają poziom rozpoznanego ryzyka. W przypadku zapytania kredytowego, nie można mówić ani o stosunku gospodarczym ani transakcji okazjonalnej, które uzasadniałyby zastosowanie środków bezpieczeństwa finansowego oraz rodziłyby po stronie odpowiednio [...] czy [...] obowiązek prawny wynikający ww. przepisu prawa.
Organ stwierdził, że o ile samo pozyskanie danych osobowych skarżącego przez [...] jako instytucję finansową udzielającą kredytów, a następnie udostępnienie tych danych przez [...] w [...] w związku z badaniem zdolności kredytowej spełniało warunki legalnego przetwarzania danych osobowych, to jednak po dokonaniu tej oceny dalsze przetwarzanie danych przez oba ww. podmioty nie znajduje oparcia w żadnej z przesłanek, o których mowa w art. 6. ust. 1 RODO.
Odnosząc się do powołanego zarówno przez [...], jak i przez [...], celu ustalenia, dochodzenia lub obrony roszczeń, PUODO podniósł, że zebrany w niniejszym postępowaniu materiał dowodowy nie wykazał, aby skarżący wystąpił z jakimkolwiek roszczeniem wobec [...] czy [...], które uzasadniałoby uprawnienie tych podmiotów do zachowania i przetwarzania jego danych osobowych dla celów dowodowych w związku z dochodzeniem przez skarżącego tego roszczenia. [...] i [...] nie wskazały także na istnienie roszczeń, których dochodzą od skarżącego. Organ podkreślił, że przesłanka z art. 6 ust. 1 lit. f RODO dotyczy sytuacji już istniejącej, w której celem wynikającym z prawnie uzasadnionych interesów realizowanych przez administratora jest konieczność udowodnienia, potrzeba dochodzenia lub obrony przed roszczeniem istniejącym, nie zaś sytuacji, gdy dane są przetwarzane w celu zabezpieczenia się przed ewentualnym roszczeniem. Przetwarzanie danych winno być niezbędne dla wypełnienia prawnie usprawiedliwionych celów. Niedopuszczalne jest więc przetwarzanie danych osobowych niejako "na zapas" z założeniem, że mogą być one ewentualnie przydatne w przyszłości oraz z odwołaniem się przy tym do przepisów dotyczących przedawnienia roszczeń cywilnoprawnych. Przeciwna argumentacja prowadziłaby do wniosków, że banki są uprawnione dłużej przetwarzać dane osób, z którymi nie łączył je stosunek prawny, niż dane osób z którymi doszło do zawarcia umowy kredytowej, a w stosunku do których mają zastosowanie ograniczenia wynikające z przepisów art. 105a Prawa bankowego. W ocenie PUODO odwoływanie się w tym wypadku do celów dowodowych na potrzeby ewentualnych postępowań cywilnych, karnych, czy też administracyjnych jakie klient mógłby potencjalnie wtoczyć bankowi na tle nieistniejącego miedzy stronami stosunku zobowiązaniowego, nie znajduje żadnego prawnego i logicznego uzasadnienia.
Organ stwierdził również, że przyjęcie za prawidłowe stanowiska, iż przetwarzanie danych osobowych w celu uchylenia się od negatywnych skutków w przypadku zgłoszenia w przyszłości ewentualnego i nieokreślonego roszczenia, stanowi prawnie usprawiedliwiony cel w rozumieniu art. 6 ust. 1 lit. f RODO oznaczałoby, że dane osobowe skarżącego mogą być przetwarzane przez [...] permanentnie, bez konieczności ich usunięcia. Zdaniem organu teoretycznie możliwym jest przecież by skarżący zwrócił się do [...] lub [...] z roszczeniem po upływie terminu przedawnienia roszczenia.
W ocenie organu brak jest uzasadnienia dla przyjęcia, iż terminy dotyczące przedawnienia roszczeń wynikających ze stosunków zobowiązaniowych określają jednocześnie ramy czasowe, w których dane osobowe mogą być przetwarzane przez [...] i [...]. Przedawnienie roszczenia nie wywołuje skutków na gruncie ochrony danych osobowych, nie wpływa bowiem na fakt istnienia roszczenia, a powoduje jedynie zmianę w sferze zarzutów procesowych w postaci możliwości podniesienia okoliczności przedawnienia w sporze sądowym. Okolicznością usprawiedliwiającą przetwarzanie danych osobowych w celu dochodzenia roszczeń jest sam fakt istnienia roszczenia oraz zamiar jego dochodzenia, nie jest nią natomiast zmiana w uprawnieniach procesowych podmiotu pozwanego.
Następnie organ stwierdził, że brak jest uzasadnienia dla przyjęcia, że [...] jest uprawniony do przetwarzania danych osobowych pozyskanych w związku z zapytaniem kredytowym złożonym w dniu [...] lutego 2020 r. w związku z koniecznością ewentualnego wypełnienia obowiązku wynikającego z art. 15 RODO. Skoro bowiem skarżący zażądał usunięcia jego danych osobowych, należy przyjąć, że nie jest zainteresowany realizacją prawa do dostępu do przetwarzanych jego danych osobowych.
PUODO uznał również, że nie znajduje uzasadnienia powołanie się przez [...] na art. 74 ustawy z dnia 29 września 1994 r. o rachunkowości regulujący okresy przechowywania dowodów, ksiąg i sprawozdań. W związku z zapytaniem kredytowym z dnia [...] lutego 2020 r. nie doszło do powstania żadnych stosunków gospodarczych, które uzasadniałyby przechowywanie danych osobowych skarżącego w zakresie dotyczącym tegoż zapytania kredytowego w oparciu o ten przepis prawa. Zaistnienia tej okoliczności, pomimo wezwania, nie wykazał również [...].
Organ podniósł, że w niniejszej sprawie brak jest celu uzasadniającego dalsze przetwarzanie danych osobowych skarżącego zawartych w zapytaniu kredytowym z dnia [...] lutego 2020 r. zarówno przez [...], jak i przez [...]. [...] w związku z pozyskaniem danych osobowych skarżącego w celu oceny zdolności kredytowej stał się administratorem tych danych osobowych. Natomiast [...] stał się administratorem danych osobowych skarżącego z uwagi na przekazanie tych danych przez [...]. Zdaniem organu należy stwierdzić, że [...] oraz [...] są odrębnymi administratorami. Każdy z tych podmiotów przetwarza dane osobowe skarżącego we własnych celach i samodzielnie ustala sposoby ich przetwarzania. W odniesieniu do kwestionowanego przez skarżącego przetwarzania jego danych osobowych przez [...] i [...] nie zaistniała żadna z wyrażonych w art. 6 ust. 1 RODO przesłanka, która stanowiłaby o legalności tego procesu. Tym samym wniosek skarżącego o usuniecie jego danych osobowych, złożony na podstawie art. 17 ust. 1 RODO uznać należy za zasadny, bowiem dalsze przetwarzanie danych osobowych skarżącego zarówno przez [...] jak i przez [...] nie jest już niezbędne do celów, w których zostały zebrane.
Na powyższą decyzję [...] wniosło skargę do Wojewódzkiego Sądu Administracyjnego w Warszawie. Strona skarżąca wskazał, że zaskarża tą decyzję w części, tj. w zakresie pkt 2.
Zaskarżonej decyzji strona skarżąca zarzuciła:
I. naruszenie przepisów prawa materialnego, to jest:
1. art. 6 ust. 1 lit. c) RODO w zw. z art. 105 ust. 1 pkt. 1c w zw. z art. 105 ust. 4 i w zw. z art. 105a w zw. z art. 70 i art. 5 ust. 1 pkt. 3 ustawy Prawo bankowe, poprzez jego niewłaściwe zastosowanie i w konsekwencji nieuzasadnione przyjęcie, że skarżący nie posiada ww. podstawy prawnej do przetwarzania danych zawartych we wniosku o udzielenie pożyczki w przypadku nie zawarcia umowy o pożyczkę, podczas gdy [...] jest ustawowo zobowiązany do realizacji obowiązku prawnego wynikającego z ww. przepisów polegającego na gromadzeniu, przetwarzaniu i udostępnianiu bankom oraz podmiotom szczegółowo wskazanym w przepisie informacji stanowiących tajemnicę bankową w zakresie, w jakim informacje te są potrzebne w związku z wykonywaniem czynności bankowych w postaci oceny zdolności kredytowej oraz analizy ryzyka kredytowego konkretnego klienta (indywidualna ocena zdolności kredytowej) oraz w związku ze stosowaniem metod wewnętrznych oraz innych metod i modeli, o których mowa w części trzeciej rozporządzenia Parlamentu Europejskiego i rady (UE) nr 575/2013 z dnia 26 czerwca 2013 r. w sprawie wymogów ostrożnościowych dla instytucji kredytowych i firm inwestycyjnych, zmieniające rozporządzenie (UE) nr 648/2012 (dalej jako: rozporządzenia nr 575/2013);
ewentualnie, na wypadek nieuwzględnienia ww. zarzutu, zarzuciła naruszenie art. 6 ust. 1 lit. f) RODO poprzez jego niewłaściwą wykładnię i w konsekwencji niezastosowanie wskutek przyjęcia, że [...] nie posiada podstawy prawnej przetwarzania danych uczestnika postepowania opartej na prawnie uzasadnionym interesie administratora oraz podmiotów trzecich wskazanych w art. 105 ust. 4 pkt. 1-5 Prawa bankowego, w postaci realizacji obowiązku gromadzenia, przetwarzania oraz udostępnienia bankom oraz podmiotom wskazanym w ww. przepisie informacji stanowiących tajemnicę bankową w zakresie, w jakim informacje te są potrzebne w związku z wykonywaniem czynności bankowych w postaci oceny zdolności kredytowej oraz analizy ryzyka kredytowego konkretnego klienta (indywidualna ocena zdolności kredytowej) oraz w związku ze stosowaniem metod wewnętrznych oraz innych metod i modeli, o których mowa w części trzeciej rozporządzenia nr 575/2013;
2. art. 6 ust. 1 lit. c) RODO w zw. z art. 70a w zw. z art. 105 ust. 4 pkt. 1 i 2 oraz w zw. z art. 105a Prawa bankowego poprzez jego niezastosowanie wskutek uznania, że [...] nie posiada podstawy prawnej do przetwarzania danych uczestnika postępowania ("skarżącego" w toku postepowania przed PUODO) w sytuacji niezawarcia umowy o pożyczkę, podczas gdy [...] posiada podstawę prawną przetwarzania z uwagi na niezbędność przetwarzania do wykonania obowiązku prawnego przez banki, instytucje ustawowo uprawnione do udzielania kredytów i [...], w postaci obowiązku przekazania osobie ubiegającej się o pożyczkę w formie pisemnej na jej wniosek wyjaśnień dotyczących dokonanej oceny zdolności kredytowej wnioskującego;
3. art. 6 ust. 1 lit. e) RODO poprzez jego niezastosowanie wskutek uznania, że [...] nie posiada podstawy prawnej do przetwarzania danych uczestnika w sytuacji nie zawarcia umowy o pożyczkę, podczas gdy posiada podstawę prawną przetwarzania z uwagi na niezbędność przetwarzania dla realizacji zadania w interesie publicznym przez banki, instytucje ustawowo uprawnione do udzielania kredytów i [...] w postaci zabezpieczenia ekonomiczno-gospodarczego sektora bankowego, w tym depozytariuszy i zapewnienia stabilności ekonomiczno-gospodarczej sektora bankowego, a w ujęciu makro zapobieganiu kryzysom gospodarczym;
4. art. 6 ust. 1 lit. f) RODO poprzez jego niewłaściwe zastosowanie i w konsekwencji nieuzasadnione przyjęcie, że prawnie uzasadniony interes administratora danych nie może opierać się na przesłance ewentualnego zabezpieczenia roszczeń, podczas gdy istotą uzasadnionego interesu prawnego administratora jest możliwość przetwarzania danych przez okres przedawnienia roszczeń na wypadek konieczności obrony lub dochodzenia ewentualnych roszczeń, które mogą się pojawić w określonym czasie po przeprowadzeniu stosownej analizy zdolności kredytowej oraz analizie ryzyka kredytowego, które to [...] zobowiązany jest gromadzić, przetwarzać i udostępniać bankom i instytucjom ustawowo upoważnionym do udzielania kredytów dla realizacji celów ustawowych badania zdolności kredytowej;
5. art. 6 ust. 1 lit. f) RODO poprzez błędne uznanie, że wskutek braku zawarcia umowy o pożyczkę, [...] nie posiada prawnie uzasadnionego interesu w przetwarzaniu danych uczestnika, podczas gdy istnieje prawnie uzasadniony interes [...] w przetwarzaniu tych informacji pomimo nie zawarcia umowy o pożyczkę, polegający na realizacji działań z zakresu opracowania, utrzymania aktualności i funkcjonalności zbudowanych modeli scoringowych w zgodzie z treścią Rekomendacji W, S i T Komisji Nadzoru Finansowego w zakresie dobrych praktyk i zarządzania ryzykiem kredytowym;
6. art. 6 ust. 1 lit. f) RODO poprzez jego niezastosowanie wskutek uznania, że [...] nie posiada podstawy prawnej do przetwarzania danych uczestnika, podczas gdy posiada on podstawę prawną przetwarzania z uwagi na konieczność zapewnienia rozliczalności działań [...] jako administratora danych osobowych na zasadzie art. 5 ust. 2 RODO w postaci wykazania przestrzegania przepisów dotyczących jakości danych.
II. naruszenie prawa procesowego, mającego istotny wpływ na wynik sprawy, tj.:
1. art. 7, art. 77 § 1, art. 80 k.p.a. w zw. z art. 7 ustawy o ochronie danych osobowych, poprzez niewyczerpujące zebranie, nierozpatrzenie i błędną ocenę całokształtu materiału dowodowego przejawiającego się w zaniechaniu dokonania wyczerpującej analizy charakteru, zakresu oraz celów gospodarczo - ekonomicznych dla jakich zostało [...] oraz obowiązków prawnych i obowiązków wynikających z zawartych przez [...] umów z bankami i instytucjami ustawowo upoważnionymi do udzielania kredytów, skutkującą wadliwą i niepełną oceną stanu faktycznego sprawy oraz charakteru działania [...], co w konsekwencji skutkowało nieuzasadnionym wydaniem przez organ nakazu usunięcia danych osobowych uczestnika;
2. art. 7b w zw. z art. 7. w zw. z art. 77 k.p.a. w zw. z art. 7 UODO poprzez niedokładne wyjaśnienie stanu faktycznego i prawnego koniecznego do podjęcia przez organ stosownych czynności, a w szczególności niezwrócenie się do Komisji Nadzoru Finansowego w celu kompleksowego wyjaśniania stanu faktycznego sprawy oraz współdziałania w zakresie niezbędnym do dokładnego wyjaśnienia stanu prawnego, mając na względzie interes społeczny i słuszny interes obywateli w postaci ustalenia należytych zasad, celów i zakresu przetwarzania danych osobowych o niezrealizowanych zapytaniach kredytowych tak, by procesy przetwarzania danych czyniły zadość zarówno przepisom prawa o ochronie danych osobowych, jak i przepisom szeroko pojętego prawa bankowego, w szczególności dla zapewnienia ochrony wartości, których gwarancje ochrony wynikają z ww. przepisów zgodnie z zasadą proporcjonalności;
3. art. 7, art. 77§ 1 i art. 80 k.p.a. poprzez zaniechanie dokonania oceny Rekomendacji S, W i T Komisji Nadzoru Finansowego jako organu właściwego do sprawowania nadzoru nad instytucjami krajowymi w rozumieniu przepisów UE (regulatora rynku finansowego), które to regulacje nakładają na banki i instytucje ustawowo upoważnione do udzielania kredytów, a w konsekwencji na [...], jako instytucję gromadzącą dane służące do oceny zdolności kredytowej oraz budującą modele scoringowe służące bankom i tymże instytucjom, określone wymagania, które podlegają nadzorowi i egzekwowaniu przez Komisję Nadzoru Finansowego na podstawie bezwzględnie obowiązujących przepisów prawa, co w konsekwencji doprowadziło do zaniechania przez organ oceny podstaw prawnych i celów dla jakich [...] oraz banki i instytucje ustawowo upoważnione do udzielania kredytów są upoważnione do przetwarzania danych w zakresie zdolności kredytowej również w przypadku nie zawarcia umowy kredytowej/pożyczki dla zabezpieczenia interesów banków oraz stabilności rynku gospodarczo-finansowego;
4. art. 7, art. 77 w zw. z art. 80 k.p.a. poprzez zaniechanie wyczerpującego zebrania i rozpatrzenia materiału dowodowego, a w szczególności przejawiającego się brakiem analizy podstawowych zasad funkcjonowania stabilnego sektora finansowego w tym pod kątem istnienia - po stronie banków, a w konsekwencji [...], jako instytucji gromadzącej dane służące do oceny zdolności kredytowej oraz budującej modele scoringowe służące bankom, oczywistego interesu prawnego przejawiającego się w odmowie udzielenia pożyczki wynikającego z braku istnienia zdolności kredytowej po stronie uczestnika, co prowadzi do zabezpieczenia interesu banków przed nieodpowiedzialną polityką udzielania kredytów osobom, które nie mają szans na ich spłacenie oraz do zapewnienia stabilności gospodarczo-ekonomicznej sektora bankowego, a w ujęciu makro zapobieganiu kryzysom gospodarczym;
5. art. 7, art. 77 w zw. z art. 80 k.p.a. poprzez niezbadanie przez organ wszystkich podstaw prawnych dalszego przetwarzania danych o zapytaniach kredytowych, w sytuacji nie zawarcia umowy pożyczki, pomimo, iż przepisy prawa upoważniają [...] do przetwarzania tych danych, co w konsekwencji doprowadziło do błędnego nakazania usunięcie danych osobowych wobec błędnego przyjęcia przez organ braku istnienia podstawy prawnej do przetwarzania danych;
6. art. 8 § 1 i § 2 k.p.a. poprzez odstąpienie przez organ od utrwalonej praktyki rozstrzygania spraw w takim samym stanie faktycznym i prawnym, co z kolei narusza zasadę pogłębiania zaufania obywateli do władzy publicznej.
W oparciu o powyższe zarzuty strona skarżąca wniosła o uchylenie zaskarżonej decyzji w zaskarżonej części, oraz o zasądzenie od organu na jej rzecz zwrotu kosztów postępowania według norm przepisanych, w tym kosztów zastępstwa procesowego.
W odpowiedzi na skargę organ wniósł o jej oddalenie, podtrzymując stanowisko wyrażone w zaskarżonej decyzji.
Odnośnie zarzutu naruszenia art. 7b k.p.a. organ podniósł, że organy administracji są zobligowane do współdziałania ze sobą w każdym przypadku, gdy przyczyni się to do szybszego załatwienia sprawy. Zdaniem PUODO zwrócenie się do Komisji Nadzoru Finansowego nie przyczyniłoby się do szybszego załatwienia sprawy, gdyż sprawa w aspekcie stanowiska organu oraz sądów administracyjnych nie ma charakteru skomplikowanego. Dodatkowo podkreślił, że to PUODO a nie Komisja Nadzoru Finansowego jest organem administracyjnym oceniającym prawidłowość stosowania przepisów o ochronie danych osobowych przez administratorów i podmioty przetwarzające, tym samym stanowisko Komisji Nadzoru Finansów w tym zakresie nie byłoby dla niego wiążące. Stanowisko KNF (niezależnie jakie) nie zmieni okoliczności przedmiotowej sprawy, ponieważ o celach i podstawach przetwarzania danych osobowych decyduje administrator danych, zaś zgodność jego działania z przepisami RODO w zakresie skarżonego procesu przetwarzania danych podlega wyłącznej ocenie PUODO, w ramach przyznanych mu jako organowi nadzorczemu kompetencji.
Dalej organ wskazał, że powoływane przez [...] Rekomendacje Komisji Nadzoru Finansowego należą do nienormatywnych form działania administracji. Wydane przez Komisję Nadzoru Finansowego rekomendacje - podobnie jak inne uchwały ww. organu nadzoru - nie są źródłem ani powszechnie obowiązujących przepisów prawa (jak słusznie zauważył [...]), ani przepisów prawa o charakterze wewnętrznym. PUODO podkreślił, że w Polsce jedynym właściwym i wyspecjalizowanym w sprawach dotyczących ochrony danych osobowych organem jest PUODO, który ma status i kompetencje organu nadzorczego określone obecnie w RODO. Z tego względu PUODO uprawniony jest do samodzielnego dokonywania interpretacji przepisów prawa w zakresie dotyczącym ochrony danych osobowych.
PUODO wskazał, że nie neguje sensu istnienia rekomendacji wydawanych przez Komisję Nadzoru Finansowego, jak też ich przydatności dla funkcjonowania całego sektora bankowego. Nie oznacza to jednak, że uprawnienie w zakresie pozyskiwania i przetwarzania danych osobowych obrazujących historię relacji klienta i banku nie podlegają ograniczeniom. [...] oraz [...] przy realizacji swoich zadań oraz stosowaniu zaleceń formułowanych przez organ nadzoru finansowego są obowiązane uwzględniać ograniczenia w pozyskiwaniu i przetwarzaniu danych osobowych klientów banków wynikające z przepisów dotyczących ochrony osób w związku z przetwarzaniem dotyczących ich danych osobowych.
Organ odwołując się do orzecznictwa wyjaśnił również, że scoring kredytowy to metoda oceny wiarygodności podmiotu, zwykle osoby fizycznej lub przedsiębiorstwa, ubiegającego się o kredyt bankowy. Polega na określeniu wiarygodności kredytowej klienta na podstawie porównania jego profilu z profilem klientów, którzy już otrzymali kredyty i je spłacają. Skarżący po złożeniu zapytania kredytowego nie zawarł umowy kredytowej z [...], a tym samym nie spłacał zaciągniętego kredytu, zatem jego dane zawarte w zapytaniu kredytowym nie mogą być wykorzystywane do tworzenia modeli scoringowych, gdyż brak jest podstawy prawnej do powyższego.
W piśmie procesowym z dnia 21 lutego 2020 września 2022 r., stanowiącym replikę na odpowiedź na skargę, [...] podtrzymał zarzuty skargi oraz przedstawił dodatkową argumentacje na ich poparcie.
Wojewódzki Sąd Administracyjny w Warszawie zważył, co następuje:
Zgodnie z art. 1 § 1 i § 2 ustawy z dnia 25 lipca 2002 r. - Prawo o ustroju sądów administracyjnych (Dz. U. z 2021 r., poz. 137, z późn. zm.) oraz art. 3 § 1 ustawy z dnia 30 sierpnia 2002 r. - Prawo o postępowaniu przed sądami administracyjnymi (Dz. U. z 2022 r., poz. 329, z późn. zm.), dalej: "p.p.s.a." sądy administracyjne sprawują wymiar sprawiedliwości przez kontrolę działalności administracji publicznej. Kontrola ta polega na ocenie zgodności zaskarżonego aktu z przepisami postępowania administracyjnego, a także prawidłowości zastosowania i wykładni norm prawa materialnego. Kontrola ta jest dokonywana według stanu faktycznego i prawnego obowiązującego w dacie wydania zaskarżonego aktu.
W myśl art. 134 § 1 i 2 p.p.s.a. sąd rozstrzyga w granicach danej sprawy nie będąc związany zarzutami i wnioskami skargi oraz powołaną podstawą prawną, z zastrzeżeniem art. 57a, przy czym sąd nie może wydać orzeczenia na niekorzyść skarżącego, chyba że stwierdzi naruszenie prawa skutkujące stwierdzeniem nieważności zaskarżonego aktu lub czynności.
Rozpatrując skargę wedle powyższych kryteriów Sąd uznał, że nie zasługuje ona na uwzględnienie.
Decyzja PUODO z dnia [...] kwietnia 2022 r. w zaskarżonej części nakazuje [...] usunięcia danych osobowych M. T., przetwarzanych w związku z zapytaniem kredytowym z [...] lutego 2020 r. złożonym przez [...].
Kontrolując decyzję w ww. zakresie Sąd zważył, że w świetle RODO przetwarzanie danych osobowych uważa się za legalne, jeśli ich administrator spełni co najmniej jedną z przesłanek wskazanych w art. 6 ust. 1 tego aktu, a mianowicie: a) osoba, której dane dotyczą wyraziła zgodę na przetwarzanie swoich danych osobowych w jednym lub większej liczbie określonych celów, b) przetwarzanie jest niezbędne do wykonania umowy, której stroną jest osoba, której dane dotyczą, lub do podjęcia działań na żądanie osoby, której dane dotyczą, przed zawarciem umowy, c) przetwarzanie jest niezbędne do wypełnienia obowiązku prawnego ciążącego na administratorze, d) przetwarzanie jest niezbędne do ochrony żywotnych interesów osoby, której dane dotyczą, lub innej osoby fizycznej, e) przetwarzanie jest niezbędne do wykonania zadania realizowanego w interesie publicznym lub w ramach sprawowania władzy publicznej powierzonej administratorowi, f) przetwarzanie jest niezbędne do celów wynikających z prawnie uzasadnionych interesów realizowanych przez administratora lub przez stronę trzecią, z wyjątkiem sytuacji, w których nadrzędny charakter wobec tych interesów mają interesy lub podstawowe prawa i wolności osoby, której dane dotyczą, wymagające ochrony danych osobowych, w szczególności gdy osoba, której dane dotyczą, jest dzieckiem.
W sprawie jest niesporne, że [...] pozyskał dane osobowe uczestnika od [...] w związku ze złożeniem z zapytania kredytowego z dnia [...] lutego 2020 r. W przypadku tym nie doszło do zawarcia umowy kredytu. Niesporne jest również, że [...] był uprawniony do przetwarzania danych osobowych skarżącego w celu oceny zdolności kredytowej i analizy ryzyka kredytowego. Skoro jednak nie doszło do zawarcia umowy kredytu, to odpadła przesłanka legalizująca dalsze przetwarzanie danych osobowych skarżącego.
Znajduje to potwierdzenie w treści art. 105a Prawa Bankowego, który w ust. 1 stanowi, że przetwarzanie przez banki, inne instytucje ustawowo upoważnione do udzielania kredytów oraz instytucje utworzone na podstawie art. 105 ust. 4, informacji stanowiących tajemnicę bankową w zakresie dotyczącym osób fizycznych może być wykonywane, z zastrzeżeniem art. 104, art. 105 i art. 106 - 106d ustawy, w celu oceny zdolności kredytowej i analizy ryzyka kredytowego.
Zwrócić należy też uwagę na treść art. 105a ust. 2 oraz ust. 3 – 6 Prawa bankowego.
Z zastrzeżeniem ust. 3, instytucje, o których mowa w ust. 1, mogą przetwarzać informacje stanowiące tajemnicę bankową oraz informacje udostępnione przez instytucje pożyczkowe oraz podmioty, o których mowa w art. 59d ustawy z dnia 12 maja 2011 r. o kredycie konsumenckim, w zakresie dotyczącym osób fizycznych po wygaśnięciu zobowiązania wynikającego z umowy zawartej z bankiem, inną instytucją ustawowo upoważnioną do udzielania kredytów, instytucją pożyczkową lub podmiotem, o którym mowa w art. 59d ustawy z dnia 12 maja 2011 r. o kredycie konsumenckim, pod warunkiem uzyskania pisemnej zgody osoby, której informacje te dotyczą, z zastrzeżeniem ust. 2a. Zgoda ta może być w każdym czasie odwołana (art. 105a ust. 2).
Banki, instytucje oraz podmioty, o których mowa w ust. 1, mogą przetwarzać informacje stanowiące tajemnicę bankową i informacje udostępnione przez instytucje pożyczkowe oraz podmioty, o których mowa w art. 59d ustawy z dnia 12 maja 2011 r. o kredycie konsumenckim, dotyczące osób fizycznych po wygaśnięciu zobowiązania wynikającego z umowy zawartej z bankiem, inną instytucją ustawowo upoważnioną do udzielania kredytów, instytucją pożyczkową lub podmiotem, o którym mowa w art. 59d ustawy z dnia 12 maja 2011 r. o kredycie konsumenckim, bez zgody osoby, której informacje dotyczą, gdy osoba ta nie wykonała zobowiązania lub dopuściła się zwłoki powyżej 60 dni w spełnieniu świadczenia wynikającego z umowy zawartej z bankiem, inną instytucją ustawowo upoważnioną do udzielania kredytów, instytucją pożyczkową lub podmiotem, o którym mowa w art. 59d ustawy z dnia 12 maja 2011 r. o kredycie konsumenckim, a po zaistnieniu tych okoliczności upłynęło co najmniej 30 dni od poinformowania tej osoby przez bank, inną instytucję ustawowo upoważnioną do udzielania kredytów, instytucję pożyczkową albo podmiot, o którym mowa w art. 59d ustawy z dnia 12 maja 2011 r. o kredycie konsumenckim, o zamiarze przetwarzania dotyczących jej tych informacji, bez jej zgody (art. 105a ust. 3).
Banki oraz instytucje, o których mowa w art. 105 ust. 4, mogą przetwarzać stanowiące tajemnicę bankową informacje dotyczące osoby fizycznej po wygaśnięciu zobowiązania wynikającego z umowy zawartej z bankiem lub inną instytucją ustawowo upoważnioną do udzielania kredytów bez zgody osoby, której informacje dotyczą, do celów stosowania metod wewnętrznych oraz innych metod i modeli, o których mowa w części trzeciej rozporządzenia nr 575/2013 (art. 105a ust. 4).
Przetwarzanie informacji stanowiących tajemnicę bankową w przypadkach, o których mowa w ust. 3, może być wykonywane przez okres nie dłuższy niż 5 lat od dnia wygaśnięcia zobowiązania, a w przypadku, o którym mowa w ust. 4, przez okres 12 lat od dnia wygaśnięcia zobowiązania (art. 105a ust. 5).
Zakres przetwarzanych informacji, o których mowa w ust. 3 i 4, może obejmować dane dotyczące osoby fizycznej lub dane dotyczące zobowiązania (art. 105a ust. 6).
Jak wynika z powyższego, przesłanki zawarte w art. 105a Prawa bankowego dotyczą przetwarzania informacji objętych tajemnicą bankową w okresie przed powstaniem zobowiązania, w trakcie jego trwania oraz po wygaśnięciu zobowiązania. Natomiast w sytuacji, gdy w następstwie złożenia wniosku kredytowego nie dochodzi do zawarcia umowy kredytowej z bankiem, brak jest ustawowych przesłanek legalizujących dalsze przetwarzanie przez [...] danych osobowych potencjalnego klienta. Ocena zdolności kredytowej i ryzyka kredytowego ma charakter czynności wstępnych przed zawarciem umowy przez bank. Dalsze przetwarzanie danych, uzyskanych w celu oceny zdolności kredytowej, w przypadku braku zawarcia stosownej umowy, pozostawałoby w oderwaniu od celu, dla którego dane te uzyskano. Niedopuszczalne jest przetwarzanie danych osobowych na przyszłość, a także na potrzeby budowy oceny zdolności kredytowej innych podmiotów, jeżeli nie można zrekonstruować wyraźnej podstawy prawnej takich działań.
W niniejszej sprawie celem przetwarzania danych osobowych skarżącego była ocena zdolności kredytowej i analizy ryzyka kredytowego. W związku z dokonaniem przez [...] tejże oceny powyższy cel przetwarzania danych osobowych skarżącego został zrealizowany i brak jest podstaw prawnych do kontynuowania tego procesu. Trafne jest zatem stanowisko organu, że nie wystąpiła przesłanka legalizująca proces przetwarzania danych określona w art. 6 ust. 1 lit. c i lit. f RODO.
Nieuzasadnione są podniesione w skardze zarzuty naruszenia przepisów prawa materialnego.
Niezasadny jest zarzut naruszenia art. 6 ust. 1 lit. c RODO w zw. z art. 105 ust. 1 pkt 1c w zw. z art. 105 ust. 4 w zw. z art. 105a w zw. z art. 70 i art. 5 ust. 1 pkt 3 Prawa bankowego.
Zgodnie z art. 105 ust. 1 pkt 1c Prawo bankowego bank ma obowiązek udzielenia informacji stanowiących tajemnicę bankową wyłącznie instytucjom, o których mowa w ust. 4, w zakresie niezbędnym do stosowania metod wewnętrznych oraz innych metod i modeli, o których mowa w przepisach części trzeciej rozporządzenia nr 575/2013.
Przepis ten stanowi o obowiązku udzielania przez banki informacji stanowiących tajemnicą bankową podmiotowi jakim jest [...]. Przepis ten nie odnosi się do przetwarzania danych przez [...] w zakresie niezbędnym do stosowania metod wewnętrznych oraz innych metod i modeli, o których mowa w przepisach części trzeciej rozporządzenia nr 575/2013. O przetwarzaniu danych przez [...] w tym celu stanowi powołany wyżej art. 105a ust. 4 Prawa bankowego, który, przypomnieć należy, uprawnia do tego [...] bez zgody osoby, której informacje dotyczą ale "po wygaśnięciu zobowiązania wynikającego z umowy zawartej z bankiem lub inną instytucją ustawowo upoważnioną do udzielania kredytów".
Zgodnie natomiast z art. 105 ust. 4 Prawa bankowego banki mogą, wspólnie z bankowymi izbami gospodarczymi, utworzyć instytucje upoważnione do gromadzenia, przetwarzania i udostępniania:
1) bankom - informacji stanowiących tajemnicę bankową w zakresie, w jakim informacje te są potrzebne w związku z wykonywaniem czynności bankowych oraz w związku ze stosowaniem metod wewnętrznych oraz innych metod i modeli, o których mowa w części trzeciej rozporządzenia nr 575/2013;
2) innym instytucjom ustawowo upoważnionym do udzielania kredytów - informacji stanowiących tajemnicę bankową w zakresie, w jakim informacje te są niezbędne w związku z udzielaniem kredytów, pożyczek pieniężnych, gwarancji bankowych i poręczeń;
3) instytucjom kredytowym - informacji stanowiących tajemnicę bankową w zakresie niezbędnym do oceny zdolności kredytowej konsumenta, o której mowa w art. 9 ustawy z dnia 12 maja 2011 r. o kredycie konsumenckim;
4) instytucjom pożyczkowym i podmiotom, o których mowa w art. 59d ustawy z dnia 12 maja 2011 r. o kredycie konsumenckim - na zasadzie wzajemności, informacji stanowiących odpowiednio tajemnicę bankową oraz informacje udostępnione przez instytucje pożyczkowe oraz podmioty, o których mowa w art. 59d ustawy z dnia 12 maja 2011 r. o kredycie konsumenckim, w zakresie niezbędnym do oceny zdolności kredytowej konsumenta, o której mowa w art. 9 tej ustawy, i analizy ryzyka kredytowego;
5) jednostce zarządzającej systemem ochrony lub bankowi zrzeszającemu - informacji stanowiących tajemnicę bankową w zakresie, w jakim są one niezbędne dla realizacji jej zadań określonych w art. 19 ust. 2, art. 22i ust. 1 i 3-5 oraz art. 22v ust. 2 ustawy o funkcjonowaniu banków spółdzielczych, ich zrzeszaniu się i bankach zrzeszających.
Przepis art. 105 ust. 4 Prawa bankowego jest przepisem o charakterze ogólnym, który stanowi o możliwości utworzenia wspólnie z bankowymi izbami gospodarczymi, instytucji upoważnionych do gromadzenia, przetwarzania i udostępniania danych. Przepis ten nie daje jednak podstaw do nieograniczonego przetwarzania wszelkich danych osobowych przez utworzone instytucje. Zasady przetwarzania danych objętych tajemnicą bankową określa art. 105a Prawa bankowego, którego możliwość uznania za podstawę przetwarzania danych osobowych w niniejszej sprawie został omówiona powyżej. Na gruncie tego przepisu należy oceniać zatem dopuszczalność przetwarzania poszczególnych danych osobowych w określonych ściśle celach. Podstawy prawnej przetwarzania danych osobowych w niniejszej sprawie nie mógł stanowić zatem art. 105 ust. 4 Prawa bankowego samodzielnie, ani też w powiązaniu z art. 105a tej ustawy.
W świetle powyższego przesłanka z art. 6 ust. 1 lit. c RODO nie znajduje zastosowania w okolicznościach niniejszej sprawy. Przepis ten dotyczy bowiem sytuacji, gdy przetwarzanie jest niezbędne do wypełnienia obowiązku prawnego administratora danych, a nie realizacji uprawnienia, o którym mowa w art. 105 ust. 4 Prawa bankowego. Ponadto przepis art. 105 ust. 4 Prawa bankowego nie stanowi o dopuszczalności przetwarzania danych osobowych dotyczących wniosków kredytowych w sytuacji, gdy nie doszło do zawarcia umowy z bankiem. Uznanie takiego procesu przetwarzania danych za legalny wymaga podstawy prawnej, której nie stanowią regulaminy ani umowy zawierane między poszczególnymi instytucjami a bankami.
Z kolei art. 70 Prawa bankowego stanowi wyłącznie o badaniu przez banki zdolności kredytowej i nie zawiera regulacji dotyczących przetwarzania danych osobowych.
Wbrew stanowisku strony skarżącej wyrażonemu w piśmie procesowym z dnia [...] września 2022 r. aktualny pozostaje pogląd wyrażony w powołanym w odpowiedzi na skargę wyroku NSA z dnia 14 września 2005 r., sygn. akt I OSK 39/05, wskazujący, że "Nie można zatem podzielić stanowiska, aby zezwalający na utworzenie instytucji zajmujących się szczególnym przetwarzaniem danych osobowych przepis stanowił zarazem podstawę do przetwarzania przez nie danych osobowych bez zgody osób, których dane dotyczą, gdyż nie tylko literalne brzmienie przepisu nie uzasadnia takiego przekazania, lecz i argumenty logiki prawniczej nie prowadzą do takiego wniosku. Nie można bowiem dowodzić, że w utworzonej zgodnie z prawem instytucji wolno działać w sposób, który sama uzna za odpowiadający jej celom, gdyż zezwolenie na utworzenie nie jest równoznaczne z zezwoleniem na działanie bez ograniczeń."
Powyższa argumentacja dotycząca art. 105 ust. 4 Prawa bankowego, wskazująca na charakter tego przepisu, nie pozwala też na uznanie, że przepis ten określa prawnie uzasadniony interes realizowany przez [...] lub przez stronę trzecią, a który mógłby być rozważny w kontekście art. 6 ust. 1 lit f RODO. Tak jak już podniesiono wyżej art. 105 ust. 4 Prawa bankowego sam w sobie nie może stanowić podstawy prawnej przetwarzania danych osoby ubiegającej się o kredyt. W treści tego przepisu nie można zatem poszukiwać prawnie usprawiedliwionego interesu w przetwarzaniu danych osobowych w sytuacji jak w niniejszej sprawie. Postawiony w tym kontekście zarzut naruszenia art. 6 ust. 1 lit f RODO jest niezasadny.
Na uwzględnienie nie zasługiwał również zarzut naruszenia art. 6 ust. 1 lit c RODO w zw. z art. 70a w zw. z art. 105 ust. 4 pkt 1 i 2 oraz w zw. z art. 105a Prawa bankowego.
Zgodnie z art. 70a ust. 1 Prawa bankowego banki i inne instytucje ustawowo upoważnione do udzielania kredytów na wniosek osoby fizycznej, prawnej lub jednostki organizacyjnej niemającej osobowości prawnej, o ile posiada zdolność prawną, ubiegającej się o kredyt przekazują, w formie pisemnej, wyjaśnienie dotyczące dokonanej przez siebie oceny zdolności kredytowej wnioskującego. Wyjaśnienie, o którym mowa w ust. 1, obejmuje informacje na temat czynników, w tym danych osobowych wnioskującego, które miały wpływ na dokonaną ocenę zdolności kredytowej (art. 70a ust. 2).
Przede wszystkim należy podnieść, że powyższy przepis nakłada na banki i inne instytucje ustawowo upoważnione do udzielania kredytów obowiązek przekazywania osobie fizycznej ubiegającej się o kredyt wyjaśnień dotyczących dokonanej oceny zdolności kredytowej wnioskującego. Tego rodzaju obowiązku przepis ten nie nakłada na instytucje, o których mowa w art. 105 ust 4 Prawa bankowego.
Zgodzić się też należy z organem, że przepis ten nie zakreśla żadnego terminu na wystąpienie z wnioskiem o przekazanie wyjaśnień dotyczących dokonania zdolności kredytowej. Słusznie też organ podnosi w odpowiedzi na skargę, że uczestnik postępowania zrezygnował z ubiegania się o kredyt oraz zwrócił się z żądaniem usunięcia jego danych osobowych przetwarzanych w związku z zapytaniem kredytowym z dnia [...] lutego 2020 r.
Brak jest zatem uzasadnienia dla przyjęcia, że [...] jest uprawniony do przetwarzania danych osobowych w związku z koniecznością ewentualnego wypełnienia obowiązku wynikającego z art. 70a ust. 1 i ust. 2 Prawa bankowego. Uczestnik postępowania wykazał w sposób jednoznaczny wolę usunięcia danych, zatem przyjąć należy, że nie jest zainteresowany realizacją prawa do wyjaśnienia dotyczącego dokonanej oceny zdolności kredytowej, w myśl art. 70a ust. 1 i 2 Prawa bankowego.
W skardze [...] wskazał na naruszenie w sprawie również art. 6 ust. 1 lit e RODO. Przede wszystkim podnieść należy, że przepis ten [...] powołał jako podstawę prawną legalizującą przetwarzanie danych osobowych uczestnika postępowania dopiero w skardze. Zastosowanie tego przepisu w niniejszej sprawie nie było w związku z tym przedmiotem oceny organu. Przepis ten przewiduje dwie przesłanki legalizujące przetwarzanie danych osobowych. Może być ono niezbędne do wykonania zadania realizowanego w interesie publicznym lub niezbędne w ramach sprawowania władzy publicznej powierzonej administratorowi. W obu przypadkach zarówno zadanie, jak i sprawowanie władzy publicznej muszą zostać sprecyzowane w przepisach, o których mowa w art. 6 ust. 3 RODO. Art. 6 ust. 3 RODO stanowi bowiem, że podstawa przetwarzania, o którym mowa w ust. 1 lit. c) i e), musi być określona:
a) w prawie Unii; lub
b) w prawie państwa członkowskiego, któremu podlega administrator.
Cel przetwarzania musi być określony w tej podstawie prawnej lub, w przypadku przetwarzania, o którym mowa w ust. 1 lit. e) - musi być ono niezbędne do wykonania zadania realizowanego w interesie publicznym lub w ramach sprawowania władzy publicznej powierzonej administratorowi. Podstawa prawna może zawierać przepisy szczegółowe dostosowujące stosowanie przepisów niniejszego rozporządzenia, w tym: ogólne warunki zgodności z prawem przetwarzania przez administratora; rodzaj danych podlegających przetwarzaniu; osoby, których dane dotyczą; podmioty, którym można ujawnić dane osobowe; cele, w których można je ujawnić; ograniczenia celu; okresy przechowywania; oraz operacje i procedury przetwarzania, w tym środki zapewniające zgodność z prawem i rzetelność przetwarzania, w tym w innych szczególnych sytuacjach związanych z przetwarzaniem, o których mowa w rozdziale IX. Prawo Unii lub prawo państwa członkowskiego muszą służyć realizacji celu leżącego w interesie publicznym, oraz być proporcjonalne do wyznaczonego, prawnie uzasadnionego celu.
Strona skarżąca powołała się w zakresie tej podstawy przetwarzania danych osobowych na jej rolę w zapewnieniu stabilności ekonomiczno-gospodarczej poprzez skuteczne zabezpieczenie sektora finansowego, w szczególności banków i sektora bankowego, a w ujęciu makroekonomicznym całej gospodarki, przed skutkami nieodpowiedzialnej polityki udzielania finansowania osobom, które nie mają szans na ich spłatę.
Podnieść należy, że w odróżnieniu od przesłanki z art. 6 ust. 1 lit. c – RODO w art. 6 ust. 3 nie wymaga określenia w podstawie prawnej celu przetwarzania, a jedynie takiej jej konstrukcji, z której wynika niezbędność przetwarzania do wykonania zadania realizowanego w interesie publicznym lub w ramach sprawowania władzy publicznej powierzonej administratorowi (zob. E. Bielak-Jomaa (red.), D. Lubasz (red.), "RODO. Ogólne rozporządzenie o ochronie danych. Komentarz", Lex).
Zdaniem Sądu analizowane powyżej przepisy art. 70, art. 70a, art. 105 ust. 4, art. 105a Prawa bankowego nie wskazują na niezbędność przetwarzania przez [...] danych osobowych osoby ubiegającej się o kredyt w sytuacji, gdy nie doszło do zawarcia umowy. Elementu tego nie można się również doszukać w powołanych w skardze art. 9b Prawa bankowego oraz art. 2 ustawy z dnia 21 lipca 2006 r. o nadzorze nad rynkiem finansowym (Dz. U. z 2022 r. poz. 660).
Zarzut naruszenia przez organ art. 6 ust. 1 lit. e RODO nie zasługiwał zatem na uwzględnienie.
W toku postępowania przed organem strona skarżąca jako podstawę przetwarza danych osobowych uczestnika postępowania powoływała również na art. 106d Prawa bankowego, który stanowi, że m. in. instytucje utworzone na mocy art. 105 ust. 4 mogą przetwarzać i wzajemnie udostępniać informacje, w tym informacje objęte tajemnicą bankową, w przypadkach:
1) uzasadnionych podejrzeń, o których mowa w art. 106a ust. 3;
2) uzasadnionych podejrzeń popełnienia przestępstw dokonywanych na szkodę banków, innych instytucji ustawowo upoważnionych do udzielania kredytów, instytucji kredytowych, instytucji finansowych, instytucji pożyczkowych oraz podmiotów, o których mowa w art. 59d ustawy z dnia 12 maja 2011 r. o kredycie konsumenckim, i ich klientów, w celu i zakresie niezbędnym do zapobiegania tym przestępstwom;
3) wykonywania obowiązków w zakresie określonym w przepisach o przeciwdziałaniu praniu pieniędzy oraz finansowaniu terroryzmu.
Z materiału dowodowego sprawy, w tym z wyjaśnień stron udzielonych w toku postępowania administracyjnego, nie wynika, aby w sprawie niniejszej któryś z powyższych przypadków miał miejsce, w szczególności, aby występowało "uzasadnione podejrzenie" co do okoliczności określonych w ww. przepisach. Ponadto zaznaczyć należy, że art. 106d Prawa bankowego nie nakłada na [...] obowiązku prawnego przetwarzania i wzajemnego udostępniania informacji w przypadkach, o których mowa w tym przepisie, a jedynie uprawnia do takich czynności (instytucje w nim wymienione "mogą" przetwarzać). Prawidłowo zatem organ uznał, że art. 106d Prawa bankowego nie uprawniał [...] do przetwarzania danych osobowych uczestnika postępowania.
Zgodnie z art. 33 ust. 2 i 3 ustawy AML instytucje obowiązane rozpoznają ryzyko prania pieniędzy oraz finansowania terroryzmu związane ze stosunkami gospodarczymi lub z transakcją okazjonalną oraz oceniają poziom rozpoznanego ryzyka. Instytucje obowiązane dokumentują rozpoznane ryzyko prania pieniędzy oraz finansowania terroryzmu związane ze stosunkami gospodarczymi lub z transakcją okazjonalną oraz jego ocenę, uwzględniając w szczególności czynniki dotyczące: 1) rodzaju klienta, 2) obszaru geograficznego, 3) przeznaczenia rachunku, 4) rodzaju produktów, usług i sposobów ich dystrybucji, 5) poziomu wartości majątkowych deponowanych przez klienta lub wartości przeprowadzonych transakcji, 6) celu, regularności lub czasu trwania stosunków gospodarczych.
W myśl art. 34 ust. 1 pkt 4 ww. ustawy, środki bezpieczeństwa finansowego obejmują bieżące monitorowanie stosunków gospodarczych klienta, w tym: a) analizę transakcji przeprowadzanych w ramach stosunków gospodarczych w celu zapewnienia, że transakcje te są zgodne z wiedzą instytucji obowiązanej o kliencie, rodzaju i zakresie prowadzonej przez niego działalności oraz zgodne z ryzykiem prania pieniędzy oraz finansowania terroryzmu związanym z tym klientem, b) badanie źródła pochodzenia wartości majątkowych będących w dyspozycji klienta - w przypadkach uzasadnionych okolicznościami, c) zapewnienie, że posiadane dokumenty, dane lub informacje dotyczące stosunków gospodarczych są na bieżąco aktualizowane.
Identyfikacja klienta, zgodnie z art. 36 ust. 1 ustawy polega na ustaleniu w przypadku osoby fizycznej: a) imienia i nazwiska, b) obywatelstwa, c) numeru PESEL lub daty urodzenia - w przypadku gdy nie nadano numeru PESEL, oraz państwa urodzenia, d) serii i numeru dokumentu stwierdzającego tożsamość osoby, e) adresu zamieszkania - w przypadku posiadania tej informacji przez instytucję obowiązaną, f) nazwy (firmy), NIP oraz adresu głównego miejsca wykonywania działalności gospodarczej - w przypadku osoby fizycznej prowadzącej działalność gospodarczą.
W myśl art. 49 us.t 1 i 2 ustawy instytucje obowiązane przechowują przez okres 5 lat, licząc od dnia zakończenia stosunków gospodarczych z klientem lub od dnia przeprowadzenia transakcji okazjonalnej: 1) uzyskane w wyniku stosowania środków bezpieczeństwa finansowego kopie dokumentów i informacje, w tym informacje uzyskane za pomocą środków identyfikacji elektronicznej (...), 2) dowody potwierdzające przeprowadzone transakcje i ewidencje transakcji, obejmujące oryginalne dokumenty lub kopie dokumentów konieczne do identyfikacji transakcji. Instytucje obowiązane przechowują wyniki analiz, o których mowa w art. 34 ust. 3, przez okres 5 lat, licząc od dnia ich przeprowadzenia.
Wskazać należy, że powyższe przepisy dotyczą stosowania środków bezpieczeństwa finansowego wobec klientów instytucji (banków) w ramach prowadzonych stosunków gospodarczych. Nie odnoszą się natomiast do sytuacji, w której przetwarzane są dane z wniosków kredytowych, pomimo nienawiązania stosunku gospodarczego poprzez zawarcie umowy kredytowej.
Nie jest trafny zarzut skargi dotyczący naruszenia przez organ art. 6 ust. 1 lit. f RODO w związku z Rekomendacjami S, W i T Komisji Nadzoru Finansowego. Powołane Rekomendacje nie stanowią obowiązujących przepisów prawa, zatem nie mogły mieć znaczenia dla rozstrzygnięcia podjętego w niniejszej sprawie. Ponadto Rekomendacje nie odnoszą się do kwestii przetwarzania danych osobowych w zakresie zapytań kredytowych w sytuacji, gdy umowa pomiędzy bankiem a potencjalnym klientem nie została zawarta.
Za prawnie usprawiedliwiony cel w rozumieniu art. 6 ust. 1 lit. f RODO nie może zostać uznane przetwarzanie danych osobowych na wypadek ewentualnego dochodzenia lub obrony roszczeń. Zebrany w niniejszym postępowaniu materiał dowodowy nie wykazał, aby uczestnik postępowania wystąpił z jakimkolwiek roszczeniem wobec [...], które uzasadniałoby uprawnienie tych podmiotów do zachowania i przetwarzania jego danych osobowych dla celów dowodowych w związku z dochodzeniem przez skarżącego tego roszczenia. [...] nie wskazał także na istnienie roszczeń, których dochodzi od skarżącego. Okolicznością usprawiedliwiającą przetwarzanie danych osobowych w celu dochodzenia roszczeń jest sam fakt istnienia roszczenia oraz rzeczywisty zamiar jego dochodzenia. Przyjęcie poglądu [...] skutkowałoby tym, że dane osobowe uczestnika postępowania mogłyby być przetwarzane w nieskończoność, gdyż upływ terminu przedawnienia nie uniemożliwia dochodzenia roszczeń skoro nie powoduje ich wygaśnięcia (wywołuje przecież wyłącznie zmianę w sferze zarzutów procesowych).
Nie mógł być skuteczny również zarzut naruszenia prawa materialnego sformułowany w pkt 6 skargi. W ramach tego zarzutu strona skarżąca próbowała wykazać, że zachodzi podstawa prawna do przetwarzania danych osobowych uczestnika postepowania z uwagi na konieczność "zapewnienia rozliczalności działań Skarżącego". Strona skarżąca wskazuje (pkt 22 uzasadnienia skargi), że przetwarzanie danych osobowych uczestnika postępowania umożliwia udokumentowanie tego, że są one przetwarzane z poszanowaniem podstawowych zasad jakości danych osobowych, o których mowa w art. 5 RODO. Innymi słowy strona skarżąca próbuje wykazać, że przetwarza dane osobowe po to, aby móc wykazać, że są one przetwarzane zgodnie z prawem. W ocenie Sądu nie jest w takiej sytuacji spełniona przesłanka określona w art. 6 ust. 1 lit f RODO. Przetwarzanie danych w celu udokumentowania prawidłowości ich przetwarzania nie stanowi celu, który wynika z prawnie uzasadnionego interesu.
Nieuzasadnione są również zarzuty dotyczące naruszenia przepisów prawa procesowego, tj. art. 7, art. 77 § 1 oraz art. 80 k.p.a. bowiem organ prawidłowo zebrał i ocenił zgromadzony w sprawie materiał dowodowy opierając się na wyjaśnieniach [...] dotyczących przetwarzania danych osobowych skarżącego zawartych we wnioskach kredytowych (punkt 2 decyzji). Uzasadnienie decyzji w omawianym zakresie odpowiada wymogom określonym w art. 107 § 3 k.p.a. Organ prawidłowo również nakazał zaprzestanie przez [...] przetwarzania danych osobowych uczestnika postępowania zawartych w ww. wniosku kredytowym.
Nieuzasadniony jest również zarzut naruszenia art. 7b k.p.a. poprzez zaniechanie zwrócenia się do Komisji Nadzoru Finansowego w celu kompleksowego wyjaśnienia stanu faktycznego sprawy. Zgodnie z art. 7b k.p.a. w toku postępowania organy administracji publicznej współdziałają ze sobą w zakresie niezbędnym do dokładnego wyjaśnienia stanu faktycznego i prawnego sprawy, mając na względzie interes społeczny i słuszny interes obywateli oraz sprawność postępowania, przy pomocy środków adekwatnych do charakteru, okoliczności i stopnia złożoności sprawy. W ocenie Sądu stan faktyczny i prawny sprawy został przez organ prawidłowo ustalony i należycie rozpatrzony w oparciu o zgromadzony materiał dowodowy, w tym w oparciu o wyjaśnienia [...]. Nie zachodziły więc przesłanki do podjęcia przez Prezesa UODO współdziałania z innymi organami administracji publicznej w oparciu o ww. przepis w celu wydania rozstrzygnięcia w sprawie.
Sądowi znany jest mu z urzędu odmienny w tym względzie pogląd wyrażony przez Wojewódzki Sąd Administracyjny w Warszawie w nieprawomocnym wyroku z dnia 29 października 2021 r. sygn. akt II SA/Wa 506/21, jednak poglądu tego Sąd w składzie orzekającym nie podziela.
Sąd zauważa, że PUODO jest wyspecjalizowanym w sprawach dotyczących ochrony danych osobowych i niezależnym organem, który ma status i kompetencje organu nadzorczego określone w przepisach RODO. Z tego względu PUODO jest uprawniony do samodzielnego dokonywania interpretacji przepisów prawa w zakresie dotyczącym ochrony danych osobowych. Stanowisko to znajduje potwierdzenie w art. 51 oraz w motywach 117, 122 oraz 123 RODO.
Podsumowując Sąd stwierdza, że decyzja PUODO w zaskarżonej części jest zgodna z prawem, zaś zarzuty skargi nie zasługują na uwzględnienie.
Mając na względzie wszystko powyższe Wojewódzki Sąd Administracyjny w na podstawie art. 151 p.p.s.a. orzekł jak w sentencji wyroku.