II SA/Wa 1082/24

II SA/Wa 1082/24 - Wyrok WSA w Warszawie
Data orzeczenia
2025-01-31
orzeczenie prawomocne
Data wpływu
2024-07-04
Sąd
Wojewódzki Sąd Administracyjny w Warszawie
Sędziowie
Dorota Kozub-Marciniak /sprawozdawca/
Joanna Kube /przewodniczący/
Łukasz Krzycki
Symbol z opisem
647  Sprawy związane z ochroną danych osobowych
Hasła tematyczne
Ochrona danych osobowych
Skarżony organ
Generalny Inspektor Ochrony Danych Osobowych
Treść wyniku
Oddalono skargę
Powołane przepisy
Dz.U. 2024 poz 935
art. 151
Ustawa z dnia 30 sierpnia 2002 r. Prawo o postępowaniu przed sądami administracyjnymi (t. j.)
Sentencja
Wojewódzki Sąd Administracyjny w Warszawie w składzie następującym: Przewodniczący Sędzia WSA Joanna Kube, Sędzia WSA Łukasz Krzycki, Asesor WSA Dorota Kozub-Marciniak (spr.), , Protokolant starszy referent Edyta Brzezicka po rozpoznaniu na rozprawie w dniu 31 stycznia 2025 r. sprawy ze skargi B. S.A. z siedzibą w W. na decyzję Prezesa Urzędu Ochrony Danych Osobowych z dnia [...] kwietnia 2024 r. nr [...] w przedmiocie przetwarzania danych osobowych oddala skargę
Uzasadnienie
Biuro Informacji Kredytowej S.A. z siedzibą w [...] (dalej, jako: BIK) wniosło skargę do Wojewódzkiego Sądu Administracyjnego w Warszawie na decyzję Prezesa Urzędu Ochrony Danych Osobowych (dalej: organ lub PUODO) z dnia [...] kwietnia 2024 r., którą organ udzielił BIK upomnienia za naruszenie art. 6 ust.1 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych, Dz. Urz. UE L 119 z 4.05.2016, str. 1, dalej jako: RODO), które polegało na przetwarzaniu danych M. T. (dalej, jako: skarżący) w zakresie wynikającym z zapytania kredytowego z dnia [...] sierpnia 2022 r., bez podstawy prawnej w okresie od dnia [...] marca 2023 r. do dnia [...] sierpnia 2023 r. w celu indywidualnej oceny zdolności kredytowej i analizy ryzyka kredytowego.
W uzasadnieniu zaskarżonej decyzji podniesiono, że do PUODO wpłynęła skarga M. T., który wskazał, że w dniu [...] sierpnia 2022 r. zawarł umowę o produkt kredytowy z [...] Bankiem S.A. z siedzibą w [...] (dalej, jako: Bank). W wyniku tego zdarzenia BIK pozyskał od Banku jego dane osobowe, w zakresie produktu kredytowego oraz zapytania kredytowego z dnia [...] sierpnia 2022 r. W dniu 27 marca 2023 r. skarżący wycofał zgodę wyrażoną w umowie kredytowej na przetwarzanie danych po wygaśnięciu zobowiązania. W wiadomości z dnia 31 marca 2023 r. BIK wskazał, że przyjął sprzeciw na przetwarzanie danych osobowych skarżącego w zakresie zobowiązania kredytowego, odmówił natomiast zaprzestania przetwarzania danych, w zakresie zapytania kredytowego, powiązanego z tym zobowiązaniem. BIK wskazał skarżącemu, że jego dane będą przetwarzane i udostępniane innym podmiotom przez okres 12 miesięcy od złożenia zapytania i nie wskazał podstawy prawnej do tego, aby część danych po spłaconym zobowiązaniu mogła być nadal przetwarzana bez zgody osoby, której dotyczą. Jednocześnie zastrzegł, że zgodnie z zawartymi umowami zmiana lub usunięcie danych z BIK może nastąpić jedynie na wniosek banku - nie może natomiast takich praw natomiast dochodzić osoba, której dane dotyczą. W ocenie skarżącego BIK przetwarza jego dane osobowe w zakresie zapytania kredytowego z dnia [...] sierpnia 2022 r. w celu oceny zdolności kredytowej i analizy ryzyka kredytowego, bez podstawy prawnej, wobec czego zwrócił się do PUODO z wnioskiem o nakazanie BIK usunięcia jego danych osobowych w tym zakresie.
BIK wyjaśnił, że pozyskał dane osobowe skarżącego w zakresie zapytania kredytowego od Banku w dniu [...] sierpnia 2022 r. Pozyskane przez BIK dane obejmują dane identyfikujące skarżącego (imię, nazwisko, PESEL, serię i numer dowodu osobistego, data urodzenia, płeć), dane z wniosków kredytowych dotyczących wnioskowanych zobowiązań i adres zamieszkania. Dane zostały pozyskane na podstawie art.105 ust. 1 pkt 1 c, art. 105 ust. 4 oraz art. 105 a ust. 1 ustawy z dnia 29 czerwca 1997 r. Prawo bankowe (Dz. U. z 2021 r. poz. 2439 ze zm.) oraz na podstawie umowy zawartej z Bankiem. Dane zostały pozyskane w następujących celach:
1. w celu oceny zdolności kredytowej i analizy ryzyka kredytowego: przez okres 12 miesięcy od dnia złożenia zapytania w celu oceny zdolności kredytowej i analizy ryzyka kredytowego konkretnego klienta (indywidualna ocena zdolności kredytowej skarżącego);
2. nie krócej niż 5 lat i nie dłużej niż 10 lat od dnia złożenia zapytania, w celu budowy modeli scoringowych, a więc narzędzi wykorzystywanych przez banki do oceny zdolności kredytowej i analizy ryzyka kredytowego. BIK buduje przedmiotowe modele w oparciu o przetwarzane w zbiorze BIK dane, w tym dane o złożonych zapytaniach. BIK wskazał, że na konieczność wykorzystania własnych i zewnętrznych baz danych przy ocenie zdolności kredytowej wskazuje również Komisja Nadzoru Finansowego w Rekomendacji T dotyczącej dobrych praktyk w zakresie zarządzania ryzykiem detalicznych ekspozycji kredytowych, powołując się na Rekomendacje 10, 16.4,1.4 a) tiret drugie, 1.4 b) tiret drugie, 17.5 e) oraz wstęp do Rekomendacji);
3. w celach statystycznych oraz stosowania metod wewnętrznych oraz innych metod i modeli. BIK przetwarza dane w celach statystycznych i analiz, których wynikiem nie są dane osobowe i wynik ten nie służy za podstawę podejmowania decyzji dotyczących konkretnych osób fizycznych - podstawą prawną przetwarzania danych osobowych jest prawnie uzasadniony interes administratora danych (art. 6 ust. 1 lit. f) RODO) wynikający z przepisów Prawa bankowego (w tym art. 105 ust. 1 i 105 a ust. 4), polegający na dostarczaniu bankom analiz pozwalających ocenić w szczególności jakość polityki kredytowej na tle rynku, trendy występujące w sektorze bankowym oraz identyfikować zagrożenia płynące z zachowań kredytowych klientów w innych bankach, czy określić maksymalne kwoty kredytów i pożyczek, dla których bank może stosować uproszczone zasady oceny zdolności kredytowej. Dane w tych celach są przetwarzane maksymalnie przez okres 10 lat od dnia złożenia zapytania;
4. w celach przeciwdziałania przestępstwom oraz wykonywania obowiązków w zakresie określonym w przepisach o przeciwdziałaniu praniu pieniędzy oraz finansowaniu terroryzmu na podstawie art. 106d Prawa bankowego oraz art. 33 ust. 2, art. 34 ust. 1 pkt 4 ustawy AML oraz w celu realizacji wniosków klientów banków dotyczących wyjaśnień dokonanej oceny zdolności kredytowej na podstawie art. 70a ustawy Prawo bankowe. BIK wskazał, że aby móc zrealizować cele z przepisu art. 106 d, dane pochodzące z wszystkich wniosków kredytowych należy przetwarzać przez okres 12 miesięcy. Okres ten został ustalony na podstawie art. 5 ust. 1 lit. e RODO;
5. w celu rozpatrywania ewentualnych reklamacji lub roszczeń odszkodowawczych klientów, których termin przedawnienia zgodnie z art. 118 Kodeksu cywilnego wynosi 6 lat (cele dowodowe). BIK wskazał, że podstawę prawną stanowi w tym przypadku art. 6 ust. 1 lit. f RODO, a dodatkową przesłanką jest konieczność wypełnienia ustawowego obowiązku wynikającego z art. 15 RODO w przypadku wystąpienia przez osobę, której dane dotyczą z wnioskiem o udzielenie informacji;
6. w celu realizacji wniosków klientów banków dotyczących wyjaśnień dokonanej oceny zdolności kredytowej na podstawie art. 70a ustawy Prawo bankowe.
W dniu 13 września 2023 r. BIK wyjaśnił, że aktualne pozostają jedynie następujące cele przetwarzania:
1. cel budowy modeli scoringowych, a więc narzędzi wykorzystywanych przez banki do celów oceny zdolności kredytowej i analizy ryzyka kredytowego. BIK buduje przedmiotowe modele w oparciu o przetwarzane w zbiorze BIK dane, w tym dane o złożonych zapytaniach - przetwarzanie będzie się odbywało nie krócej niż 5 lat i nie dłużej niż 10 lat od dnia złożenia zapytania;
2. cele statystyczne oraz stosowania metod wewnętrznych oraz innych metod i modeli: BIK przetwarza dane w celach statystycznych i analiz, których wynikiem nie są dane osobowe i wynik ten nie służy za podstawę podejmowania decyzji dotyczących konkretnych osób fizycznych - podstawą prawną przetwarzania danych osobowych jest prawnie uzasadniony interes administratora danych (art. 6 ust. 1 lit. f) RODO) wynikający z przepisów Prawa bankowego (w tym art. 105 ust. 1 i 105 a ust. 4), polegający na dostarczaniu bankom analiz pozwalających ocenić w szczególności jakość polityki kredytowej na tle rynku, trendy występujące w sektorze bankowym oraz identyfikować zagrożenia płynące z zachowań kredytowych klientów w innych bankach, czy określić maksymalne kwoty kredytów i pożyczek, dla których bank może stosować uproszczone zasady oceny zdolności kredytowej;
3. cele związane z rozpatrywaniem ewentualnych reklamacji lub roszczeń odszkodowawczych klientów, których termin przedawnienia zgodnie z art. 118 Kodeksu cywilnego wynosi 6 lat (cele dowodowe).
BIK wyjaśnił nadto, że dane z zapytania z dnia [...] sierpnia 2022 r. nie są przetwarzane przez BIK w celu indywidulanej oceny zdolności kredytowej i analizy ryzyka kredytowego skarżącego. BIK zaprzestał przetwarzania danych skarżącego wynikających z wyżej wskazanego zapytania kredytowego w celu indywidualnej oceny zdolności kredytowej i analizy ryzyka kredytowego wraz z upływem 12-miesięcznego okresu przetwarzania danych przyjętego przez BIK dla zapytań kredytowych pochodzących od Banków, tj. w dniu [...] sierpnia 2023 r.
Bank nie zwracał się do BIK z wnioskiem o usunięcie danych o wyżej wskazanym zapytaniu kredytowym. W dniu 27 marca 2023 r. skarżący przesłał do BIK następujące żądanie "cofam zgodę indywidualną na przetwarzanie moich danych osobowych do celów oceny zdolności kredytowej i analizy ryzyka kredytowego, w związku ze zobowiązaniem: karta kredytowa, udzielonym na podstawie umowy z dnia [...] sierpnia 2022 r. przez [...] Bank S.A. oraz zapytaniem kredytowym powiązanym z tym zobowiązaniem z dnia [...] sierpnia 2022 r. Wobec powyższego proszę o zaprzestanie przetwarzania danych o zobowiązaniu i zapytaniu kredytowym w celu wyżej wymienionym". BIK odmówił realizacji żądania skarżącego.
BIK poinformował również, że w dniu 2 września 2022 r. Bank przekazał do BIK informację o zawarciu umowy o kartę kredytową z dnia [...] sierpnia 2022 r. między Bankiem, a skarżącym. BIK wyjaśnił, że bliskość dat zawarcia wyżej wskazanej umowy kredytowej i skierowania zapytania kredytowego mogła wskazywać na to, że zapytanie kredytowe z dnia [...] sierpnia 2022 r. zakończyło się zawarciem umowy kredytowej, podkreślił jednak, że Bank nie przekazał wprost do BIK informacji, że umowa ta została zawarta w wyniku wyżej wskazanego zapytania kredytowego. BIK zaznaczył również, że banki w odniesieniu do konkretnego zapytania kredytowego nie przekazują do BIK informacji, jaka finalnie decyzja kredytowa (o udzieleniu czy o odmowie udzielania kredytu) zapadła w odniesieniu do wniosku kredytowego, który jest podstawą złożenia takiego zapytania.
Bank poinformował, że w dniu [...] sierpnia 2022 r. zostało złożone do BIK zapytanie kredytowe w związku z wnioskiem Klienta o udzielenie finansowania przez Bank. W dniu [...] sierpnia 2022 r. została zawarta ze skarżącym umowa nr [...], natomiast pierwszy wsad do BIK w związku z zawartą umową nastąpił z dniem [...] września 2022 r. Bank poinformował, że zobowiązanie wynikające z umowy zawartej ze skarżącym wygasło z dniem [...] lutego 2023 r., informacja ta została przez Bank przekazana do BIK wsadem z dnia 21 lutego 2023 r. Bank wyjaśnił również, że do BIK nie są przekazywane informacje o tym że konkretne zapytanie kredytowe pozostaje w związku z konkretną umową, jak również nie przekazuje informacji, że do zawarcia konkretnej umowy doszło w oparciu o dane konkretnego zapytania kredytowego.
PUODO mając powyższe na względzie, przytoczył treść art. 6 ust. 1RODO, art. 105 ust. 4, art. 105a ust. 1 ustawy Prawo bankowe i wskazał, że BIK był uprawniony do przetwarzania danych osobowych skarżącego w zakresie zapytania kredytowego w celu indywidualnej oceny zdolności kredytowej i analizy ryzyka kredytowego dotyczących skarżącego, do momentu otrzymania od Banku informacji o wygaśnięciu zobowiązania. Informacje o zapytaniu mogły być, w następstwie zawarcia umowy pomiędzy skarżącym a Bankiem, przetwarzane jako informacje dotyczące istniejącego zobowiązania. W ocenie PUODO proces przetwarzania danych osobowych skarżącego przez BIK w zakresie zapytania kredytowego z dnia [...] sierpnia 2022 r. był legalny do momentu uzyskania od Banku informacji o wygaśnięciu zobowiązania bowiem znajdował uzasadnienie w art. 6 ust. 1 lit. f RODO w zw. z art. 105a ust. 1 ustawy Prawo bankowe.
Dalej PUODO zwrócił uwagę na terminy, o których mowa w art. 105 ust. 4i ustawy Prawo bankowe i wywiódł, że BIK miał 7 dni na korektę danych zawartych w systemie, a więc powinien wprowadzić niezbędne zmiany do dnia 28 lutego 2023 r. i w tym terminie zaprzestać przetwarzania danych osobowych skarżącego.
W ocenie PUODO nie sposób zgodzić się z BIK, że zapytanie kredytowe skarżącego z dnia [...] sierpnia 2022 r. nie jest powiązane z umową zawarta z Bankiem w dniu [...] sierpnia 2022 r. Bank nie przekazuje do BIK informacji o tym jaka decyzja kredytowa zapadła w ramach zapytania kredytowego z dnia [...] sierpnia 2022 r. Zgodnie z art. 70 ustawy Prawo bankowe, bank uzależnia przyznanie kredytu od zdolności kredytowej kredytobiorcy. Nadto w sprawie nie wykazano aby skarżący składał inne zapytania kredytowe. Zapytanie kredytowe z dnia [...] sierpnia 2022 r. było jedynym, a więc poinformowanie BIK przez Bank o zawarciu umowy kredytowej było konsekwencją właśnie tego zapytania kredytowego.
PUODO wskazał, że z uwagi na powyższe zasadne był skorzystanie z uprawnienia przewidzianego w art. 58 ust. 2 lit. b RODO i nałożenie na BIK kary upomnienia. Jednocześnie PUODO podkreślił, że skarga M. T. dotyczyła wyłącznie przetwarzania jego danych osobowych w zakresie zapytania kredytowego z dnia [...] sierpnia 2022 r. w celu indywidualnej oceny zdolności kredytowej i analizy ryzyka kredytowego. Organ związany zakresem skargi, rozstrzygnął wyłącznie do legalności przetwarzania danych osobowych skarżącego w tym zakresie.
Z tym rozstrzygnięciem BIK nie zgodził się i wywiódł skargę do Wojewódzkiego Sądu Administracyjnego w Warszawie, wnosząc o uchylenie zaskarżonej decyzji oraz zasądzenie kosztów postepowania według norm przepisanych.
Zaskarżonej decyzji zarzucono naruszenie przepisów prawa materialnego i procesowego, tj.:
1. art. 6 ust. 1 lit. f RODO w zw. z art. 105 ust. 4 w zw. z art. 105a ust. 1 -1 b w zw. z art. 70, art. 9b ust. 1 i art. 5 ust. 1 pkt 3 ustawy Prawo bankowe, poprzez ich niewłaściwe zastosowanie i przyjęcie, iż przetwarzanie przez BIK danych osobowych skarżącego w zakresie wynikającym z zapytania kredytowego z dnia [...] sierpnia 2022 r. w celu oceny zdolności kredytowej i analizy ryzyka kredytowego odbywa się w oparciu o prawnie uzasadniony interes BIK, tj. w oparciu o podstawę wynikającą z art. 6 ust. 1 lit. f RODO, podczas gdy BIK jest ustawowo zobowiązany do realizacji obowiązku prawnego wynikającego z ww. przepisów polegającego na gromadzeniu, przetwarzaniu i udostępnianiu bankom oraz podmiotom szczegółowo wskazanym w art. 59d ustawy z dnia 12 maja 2011 r. o kredycie konsumenckim, informacji stanowiących tajemnicę bankową w zakresie, w jakim informacje te są potrzebne w związku z wykonywaniem czynności bankowych w postaci oceny zdolności kredytowej oraz analizy ryzyka kredytowego konkretnego klienta, w związku z czym BIK przetwarza dane osobowe skarżącego na podstawie art. 6 ust. 1 lit. c RODO;
2. art. 6 ust. 1 lit. f RODO w zw. z art. 5 ust. 1 lit. e RODO poprzez ich niewłaściwe zastosowanie i przyjęcie, iż BIK jest uprawniony do przetwarzania danych skarżącego w zakresie wynikającym zapytania kredytowego z dnia [...] sierpnia 2022 r. w celu oceny zdolności kredytowej i analizy ryzyka kredytowego do momentu ustania zobowiązania powiązanego z tym zapytaniem kredytowym, podczas gdy dla realizacji obowiązków BIK w postaci gromadzenia, przetwarzania i udostępniania bankom oraz podmiotom szczegółowo wskazanym w art. 59d ustawy z dnia 12 maja 2011 r. o kredycie konsumenckim, informacji stanowiących tajemnicę bankową w zakresie, w jakim informacje te są potrzebne w związku z wykonywaniem czynności bankowych w postaci oceny zdolności kredytowej oraz analizy ryzyka kredytowego konkretnego klienta, niezbędne jest przetwarzanie przez BIK danych osobowych skarżącego w zakresie wynikającym z ww. zapytania kredytowego przez okres 12 miesięcy od dnia złożenia zapytania kredytowego;
3. art. 8 § 1 i § 2 K.p.a. poprzez odstąpienie przez organ od utrwalonej praktyki rozstrzygania spraw w takim samym stanie faktycznym i prawnym, co z kolei narusza zasadę pogłębiania zaufania obywateli do władzy publicznej;
4. art. 7 K.p.a., art. 77 § 1 K.p.a. i art. 80 K.p.a. poprzez zaniechanie dokonania oceny Rekomendacji S, W i T Komisji Nadzoru Finansowego jako organu właściwego do sprawowania nadzoru nad instytucjami krajowymi w rozumieniu przepisów UE (regulatora rynku finansowego), które to regulacje nakładają na banki, a w konsekwencji na BIK, jako instytucję gromadzącą dane służące do oceny zdolności kredytowej, określone wymagania, które podlegają nadzorowi i egzekwowaniu przez Komisję Nadzoru Finansowego na podstawie bezwzględnie obowiązujących przepisów prawa, co w konsekwencji doprowadziło do zaniechania przez organ oceny podstaw prawnych i celów dla jakich BIK oraz banki są upoważnione do przetwarzania danych w zakresie zdolności kredytowej dla zabezpieczenia interesów banków oraz stabilności rynku gospodarczo-finansowego.
W uzasadnieniu skargi przedstawiono szczegółową argumentację na poparcie stawianych zarzutów.
W odpowiedzi na skargę organ wniósł o jej oddalenie i podtrzymał swoje dotychczasowe stanowisko. PUODO odniósł się do zarzutów skargi uznając je za pozbawione racji.
Wojewódzki Sąd Administracyjny w Warszawie zważył co następuje:
Zgodnie z art. 1 § 1 i 2 ustawy z dnia 25 lipca 2002 r. – Prawo o ustroju sądów administracyjnych (Dz. U. z 2024 r. poz. 1267) sąd administracyjny sprawuje wymiar sprawiedliwości poprzez kontrolę pod względem zgodności z prawem skarżonej decyzji administracyjnej. Jest więc to kontrola legalności rozstrzygnięcia zapadłego w postępowaniu administracyjnym, z punktu widzenia jego zgodności z prawem materialnym i procesowym.
Oceniając przedmiotową decyzję według powyższych kryteriów, uznać należy, iż nie narusza ona prawa.
Zgodnie z art. 4 pkt 2 RODO, przetwarzanie danych osobowych oznacza operację lub zestaw operacji wykonywanych na danych osobowych lub zestawach danych osobowych w sposób zautomatyzowany lub niezautomatyzowany, taką jak zbieranie, utrwalanie, organizowanie, porządkowanie, przechowywanie, adaptowanie lub modyfikowanie, pobieranie, przeglądanie, wykorzystywanie, ujawnianie poprzez przesłanie, rozpowszechnianie lub innego rodzaju udostępnianie, dopasowywanie lub łączenie, ograniczanie, usuwanie lub niszczenie.
Warunki uznania przetwarzania danych osobowych za legalne określono w art. 6 ust. 1 RODO, który stanowi, że przetwarzanie jest zgodne z prawem wyłącznie w przypadkach i w takim zakresie, w jakim spełniony jest co najmniej jeden z poniższych warunków:
a) osoba, której dane dotyczą wyraziła zgodę na przetwarzanie swoich danych osobowych w jednym lub większej liczbie określonych celów;
b) przetwarzanie jest niezbędne do wykonania umowy, której stroną jest osoba, której dane dotyczą lub do podjęcia działań na żądanie osoby, której dane dotyczą przed zawarciem umowy;
c) przetwarzanie jest niezbędne do wypełnienia obowiązku prawnego ciążącego na administratorze;
d) przetwarzanie jest niezbędne do ochrony żywotnych interesów osoby, której dane dotyczą, lub innej osoby fizycznej;
e) przetwarzanie jest niezbędne do wykonania zadania realizowanego w interesie publicznym lub w ramach sprawowania władzy publicznej powierzonej administratorowi;
f) przetwarzanie jest niezbędne do celów wynikających z prawnie uzasadnionych interesów realizowanych przez administratora lub przez stronę trzecią, z wyjątkiem sytuacji, w których nadrzędny charakter wobec tych interesów mają interesy lub podstawowe prawa i wolności osoby, której dane dotyczą, wymagające ochrony danych osobowych, w szczególności gdy osoba, której dane dotyczą, jest dzieckiem.
Akapit pierwszy lit. f nie ma zastosowania do przetwarzania, którego dokonują organy publiczne w ramach realizacji swoich zadań.
W myśl art. 105a ust. 1 ustawy Prawo bankowe przetwarzanie przez banki, inne instytucje ustawowo upoważnione do udzielania kredytów, instytucje pożyczkowe oraz podmioty, o których mowa w art. 59d ustawy z 12 maja 2011 r. o kredycie konsumenckim, a także instytucje utworzone na podstawie art. 105 ust. 4, informacji stanowiących tajemnicę bankową i informacji udostępnionych przez instytucje pożyczkowe oraz podmioty, o których mowa w art. 59d ustawy z 12 maja 2011 r. o kredycie konsumenckim, w zakresie dotyczącym osób fizycznych, może być wykonywane, z zastrzeżeniem art. 104, art. 105 i art. 106-106d, w celu oceny zdolności kredytowej i analizy ryzyka kredytowego.
BIK jest instytucja utworzoną na podstawie art. 105 ust. 4 ustawy Prawo bankowe, który stanowi, że banki mogą, wspólnie z bankowymi izbami gospodarczymi, utworzyć instytucje upoważnione do gromadzenia, przetwarzania i udostępniania:
1)bankom - informacji stanowiących tajemnicę bankową w zakresie, w jakim informacje te są potrzebne w związku z wykonywaniem czynności bankowych oraz w związku ze stosowaniem metod wewnętrznych oraz innych metod i modeli, o których mowa w części trzeciej rozporządzenia nr 575/2013;
2)innym instytucjom ustawowo upoważnionym do udzielania kredytów - informacji stanowiących tajemnicę bankową w zakresie, w jakim informacje te są niezbędne w związku z udzielaniem kredytów, pożyczek pieniężnych, gwarancji bankowych i poręczeń;
3) instytucjom kredytowym - informacji stanowiących tajemnicę bankową w zakresie niezbędnym do oceny zdolności kredytowej konsumenta, o której mowa w art. 9 ustawy z dnia 12 maja 2011 r. o kredycie konsumenckim;
4) instytucjom pożyczkowym i podmiotom, o których mowa w art. 59d ustawy z dnia 12 maja 2011 r. o kredycie konsumenckim - na zasadzie wzajemności, informacji stanowiących odpowiednio tajemnicę bankową oraz informacje udostępnione przez instytucje pożyczkowe oraz podmioty, o których mowa w art. 59d ustawy z dnia 12 maja 2011 r. o kredycie konsumenckim, w zakresie niezbędnym do oceny zdolności kredytowej konsumenta, o której mowa w art. 9 tej ustawy, i analizy ryzyka kredytowego;
5) jednostce zarządzającej systemem ochrony lub bankowi zrzeszającemu - informacji stanowiących tajemnicę bankową w zakresie, w jakim są one niezbędne dla realizacji jej zadań określonych w art. 19 ust. 2, art. 22i ust. 1 i 3-5 oraz art. 22v ust. 2 ustawy o funkcjonowaniu banków spółdzielczych, ich zrzeszaniu się i bankach zrzeszających.
6) krajowym instytucjom płatniczym, małym instytucjom płatniczym, krajowym instytucjom pieniądza elektronicznego, unijnym instytucjom płatniczym lub unijnym instytucjom pieniądza elektronicznego, w rozumieniu ustawy z dnia 19 sierpnia 2011 r. o usługach płatniczych udzielającym kredytu płatniczego, o którym mowa w art. 74 ust. 3 tej ustawy - informacji stanowiących tajemnicę bankową, w zakresie niezbędnym do oceny zdolności kredytowej konsumenta, o której mowa w art. 9 ustawy z dnia 12 maja 2011 r. o kredycie konsumenckim.
W pierwszej kolejności należy wskazać, że co do zasady podstawę prawną przetwarzania danych osobowych klientów przez Bank w systemie BIK może stanowić art. 6 ust. 1 lit. f RODO, gdy przetwarzanie to jest niezbędne do celów wynikających z prawnie uzasadnionych interesów realizowanych przez administratora. Podkreślenia wymaga, że art. 105 ust. 4 Prawa bankowego nie stanowi samodzielnej przesłanki uprawniającej do przetwarzania danych osobowych bez zgody osoby, której dane dotyczą. Wskazał na to Naczelny Sąd Administracyjny w wyroku z dnia 14 września 2005 r. w sprawie o sygn. akt I OSK 39/05, na który również powołał się PUODO. Zgodnie z tym wyrokiem cyt. "Stosownie do art. 105 ust. 4 Prawa bankowego, banki mogą, wspólnie z bankowymi izbami gospodarczymi, utworzyć instytucje do zbierania i udostępniania bankom oraz innym instytucjom ustawowo upoważnionym do udzielania kredytów informacji o wierzytelnościach oraz o obrotach i stanach rachunków bankowych w zakresie, w jakim informacje te są potrzebne w związku z udzielaniem kredytów, pożyczek pieniężnych, gwarancji bankowych i poręczeń. Nie można zatem podzielić stanowiska, aby zezwalający na utworzenie instytucji zajmujących się szczególnym przetwarzaniem danych osobowych przepis stanowił zarazem podstawę do przetwarzania przez nie danych osobowych bez zgody osób, których dane dotyczą, gdyż nie tylko literalne brzmienie przepisu nie uzasadnia takiego przekazania, lecz i argumenty logiki prawniczej nie prowadzą do takiego wniosku. Nie można bowiem dowodzić, że w utworzonej zgodnie z prawem instytucji wolno działać w sposób, który sama uzna za odpowiadający jej celom, gdyż zezwolenie na utworzenie nie jest równoznaczne z zezwoleniem na działanie bez ograniczeń. Nietrafny jest więc zarzut, aby art. 105 ust. 4 Prawa bankowego był - w rozumieniu art. 23 ust. 1 pkt 2 ustawy o ochronie danych osobowych - przepisem prawa zezwalającym na przetwarzanie danych".
Powyższy przepis nie ustanawia zatem obowiązku, lecz wyłącznie uprawnienie wskazanych podmiotów do utworzenia instytucji o charakterze pomocniczym, upoważnionej do gromadzenia, przetwarzania i udostępnienia danych osobowych objętych tajemnicą bankową i nie stanowi podstawy do przetwarzania danych osobowych w zw. z art. 6 ust. 1 lit. c RODO.
Dalej wskazać trzeba, że zgodnie z art. 70 ust. 1 Prawa bankowego, bank uzależnia przyznanie kredytu od zdolności kredytowej kredytobiorcy. Przez zdolność kredytową rozumie się zdolność do spłaty zaciągniętego kredytu wraz z odsetkami w terminach określonych w umowie. Kredytobiorca jest obowiązany przedłożyć na żądanie banku dokumenty i informacje niezbędne do dokonania oceny tej zdolności.
Analiza powyższych przepisów wskazuje, że BIK na podstawie art. 105a ust. 1 ustawy Prawo bankowe w zw. z art. 70 ust. 1 tej ustawy, były uprawnione do przetwarzania danych osobowych skarżącego w celu oceny zdolności kredytowej i analizy ryzyka kredytowego.
Niemniej art. 105a ust. 2 Prawa bankowego stanowi, że instytucje, o których mowa w ust. 1, mogą przetwarzać informacje stanowiące tajemnicę bankową oraz informacje udostępnione przez instytucje pożyczkowe oraz podmioty, o których mowa w art. 59d ustawy o kredycie konsumenckim, w zakresie dotyczącym osób fizycznych po wygaśnięciu zobowiązania wynikającego z umowy zawartej z bankiem, inną instytucją ustawowo upoważnioną do udzielania kredytów, instytucją pożyczkową lub podmiotem, o którym mowa w art. 59d tej ustawy, pod warunkiem uzyskania pisemnej zgody osoby, której informacje te dotyczą, z zastrzeżeniem ust. 2a. Zgoda ta może być w każdym czasie odwołana. Ust. 3 zaś stanowi, że Banki, instytucje oraz podmioty, o których mowa w ust. 1, mogą przetwarzać informacje stanowiące tajemnicę bankową i informacje udostępnione przez instytucje pożyczkowe oraz podmioty, o których mowa w art. 59d ustawy o kredycie konsumenckim, dotyczące osób fizycznych po wygaśnięciu zobowiązania wynikającego z umowy zawartej z bankiem, inną instytucją ustawowo upoważnioną do udzielania kredytów, instytucją pożyczkową lub podmiotem, o którym mowa w art. 59d tej ustawy, bez zgody osoby, której informacje dotyczą, gdy osoba ta nie wykonała zobowiązania lub dopuściła się zwłoki powyżej 60 dni w spełnieniu świadczenia wynikającego z umowy zawartej z bankiem, inną instytucją ustawowo upoważnioną do udzielania kredytów, instytucją pożyczkową lub podmiotem, o którym mowa w art. 59d ustawy o kredycie konsumenckim, a po zaistnieniu tych okoliczności upłynęło co najmniej 30 dni od poinformowania tej osoby przez bank, inną instytucję ustawowo upoważnioną do udzielania kredytów, instytucję pożyczkową albo podmiot, o którym mowa w tym przepisie, o zamiarze przetwarzania dotyczących jej tych informacji, bez jej zgody. Kolejne przepisy wskazują, że banki oraz instytucje, o których mowa w art. 105 ust. 4, mogą przetwarzać stanowiące tajemnicę bankową informacje dotyczące osoby fizycznej po wygaśnięciu zobowiązania wynikającego z umowy zawartej z bankiem lub inną instytucją ustawowo upoważnioną do udzielania kredytów bez zgody osoby, której informacje dotyczą, do celów stosowania metod wewnętrznych oraz innych metod i modeli, o których mowa w części trzeciej rozporządzenia Parlamentu Europejskiego i Rady (UE) nr 575/2013 z dnia 26 czerwca 2013 roku w sprawie wymogów ostrożnościowych dla instytucji kredytowych i firm inwestycyjnych, zmieniające rozporządzenie (UE) nr 648/2012; dalej "rozporządzenie nr 575/2013" (ust. 4). Przetwarzanie informacji stanowiących tajemnicę bankową w przypadkach, o których mowa w ust. 3, może być wykonywane przez okres nie dłuższy niż 5 lat od dnia wygaśnięcia zobowiązania, a w przypadku, o którym mowa w ust. 4, przez okres 12 lat od dnia wygaśnięcia zobowiązania (ust. 5). Zakres przetwarzanych informacji, o których mowa w ust. 3 i 4, może obejmować dane dotyczące osoby fizycznej lub dane dotyczące zobowiązania (ust. 6).
Przesłanki zawarte w art. 105a ustawy Prawo bankowego dotyczą zatem przetwarzania informacji objętych tajemnicą bankową w okresie przed powstaniem zobowiązania, w trakcie jego trwania oraz po wygaśnięciu zobowiązania.
W tej sprawie BIK pozyskał dane osobowe skarżącego w związku z zapytaniem kredytowym z dnia[...] sierpnia 2022 r. Następnie doszło do zawarcia umowy kredytowej pomiędzy skarżącym, a Bankiem w dniu [...] sierpnia 2022 r. Skarżący w dniu [...] lutego 2023 r. spłacił zobowiązanie wynikające z ww. umowy. Bank poinformował BIK o zamknięciu zobowiązania w dniu 21 lutego 2023 r. W dniu 27 marca 2023 r. skarżący wycofał zgodę wyrażoną w umowie kredytowej na przetwarzanie danych po wygaśnięciu zobowiązania. Nie jest w sprawie jest sporne, że zgody skarżącego na przetwarzanie jego danych osobowych po wygaśnięciu zobowiązania, BIK nie uzyskał.
Zgodzić się należy w związku z powyższym z PUODO, że odpadła przesłanka legalizująca dalsze przetwarzanie danych osobowych skarżącego przez BIK, które to przetwarzanie miało na celu – co wymaga podkreślenia – ocenę zdolności kredytowej i analizę ryzyka kredytowego (przed zawarciem umowy i w trakcie jej trwania). Sąd podziela argumentację PUODO, przedstawioną w zaskarżonej decyzji, zgodnie z którą, brak było podstaw do przetwarzania danych osobowych skarżącego przez BIK po wygaśnięciu zobowiązania wynikającego z umowy, bez jego zgody, w celu oceny zdolności kredytowej i analizy ryzyka kredytowego.
Dodać jedynie można, że zgodnie z art. 5 ust. 1 RODO, dane osobowe muszą być: a) przetwarzane zgodnie z prawem, rzetelnie i w sposób przejrzysty dla osoby, której dane dotyczą ("zgodność z prawem, rzetelność i przejrzystość"); b) zbierane w konkretnych, wyraźnych i prawnie uzasadnionych celach i nieprzetwarzane dalej w sposób niezgodny z tymi celami; dalsze przetwarzanie do celów archiwalnych w interesie publicznym, do celów badań naukowych lub historycznych lub do celów statystycznych nie jest uznawane w myśl art. 89 ust. 1 za niezgodne z pierwotnymi celami ("ograniczenie celu"); c) adekwatne, stosowne oraz ograniczone do tego, co niezbędne do celów, w których są przetwarzane ("minimalizacja danych"); d) prawidłowe i w razie potrzeby uaktualniane; należy podjąć wszelkie rozsądne działania, aby dane osobowe, które są nieprawidłowe w świetle celów ich przetwarzania, zostały niezwłocznie usunięte lub sprostowane ("prawidłowość"); e) przechowywane w formie umożliwiającej identyfikację osoby, której dane dotyczą, przez okres nie dłuższy, niż jest to niezbędne do celów, w których dane te są przetwarzane; dane osobowe można przechowywać przez okres dłuższy, o ile będą one przetwarzane wyłącznie do celów archiwalnych w interesie publicznym, do celów badań naukowych lub historycznych lub do celów statystycznych na mocy art. 89 ust. 1, z zastrzeżeniem że wdrożone zostaną odpowiednie środki techniczne i organizacyjne wymagane na mocy niniejszego rozporządzenia w celu ochrony praw i wolności osób, których dane dotyczą ("ograniczenie przechowywania"); f) przetwarzane w sposób zapewniający odpowiednie bezpieczeństwo danych osobowych, w tym ochronę przed niedozwolonym lub niezgodnym z prawem przetwarzaniem oraz przypadkową utratą, zniszczeniem lub uszkodzeniem, za pomocą odpowiednich środków technicznych lub organizacyjnych ("integralność i poufność"). W ocenie Sądu, zasady przetwarzania danych osobowych nie pozwalają na arbitralne decydowanie przez administratora – w sytuacji braku do tego podstaw – o dalszym przetwarzaniu danych osobowych mimo ustania celu, dla którego dane w zapytaniu kredytowym były zebrane.
Nie jest trafny zarzut BIK dotyczący zaniechania dokonania oceny Rekomendacji S, W i T Komisji Nadzoru Finansowego. Powoływane Rekomendacje Komisji Nadzoru Finansowego nie są źródłem prawa powszechnie obowiązującego. Nie mieszczą się bowiem w zamkniętym katalogu źródeł powszechnie obowiązującego prawa Rzeczypospolitej Polskiej, określonym w art. 87 Konstytucji RP. Ponadto wydaje je organ, który nie ma stosownego umocowania konstytucyjnego. W świetle dychotomiczności i konstytucyjnego systemu źródeł prawa problem stanowi jednak również klasyfikacja rekomendacji jako przepisów prawa o charakterze wewnętrznym w rozumieniu art. 93 ust. 1 Konstytucji RP. Za uznaniem rekomendacji jako elementu systemu aktów prawa wewnętrznego opowiedział się Sąd Najwyższy w postanowieniu z dnia 7 grudnia 1999 r., sygn. akt I CKN 796/99, LEX nr 38875, odnoszącym się do Komisji Nadzoru Bankowego (poprzednika KNF). Jednakże duża część doktryny reprezentuje stanowisko, iż rekomendacje KNF nie mają charakteru normatywnego (jako akty prawa wewnętrznego w rozumieniu art. 93 Konstytucji RP), lecz – stanowiąc jedynie postulat pod adresem banków dotyczący prawidłowej organizacji banku i bezpiecznego – charakter nie władczych form działania administracji (Agnieszka Mikos-Sitek (red.), Zapadka Piotr (red.), "Prawo bankowe. Komentarz", WKP 2022, teza 3 do art. 137). Nie ma przy tym podstaw, aby w tym przypadku, w stanie faktycznym tej sprawy, wywodzić z Rekomendacji KNF prawnie uzasadnione interesy BIK, o których jest mowa w art. 6 ust. 1 lit. f RODO. Rekomendacje KNF, które zawierają konkretne wymagania regulacyjne wobec narzędzi używanych przez banki, nie powinny być interpretowane w sprzeczności z RODO w zakresie legalności przetwarzania danych osobowych.
Zdaniem Sądu, organ prawidłowo wskazał na terminy, o których mowa w art. 105 ust. 4i ustawy Prawo bankowe i wywiódł, że BIK miał 7 dni na korektę danych zawartych w systemie, a więc powinien wprowadzić niezbędne zmiany do dnia 28 lutego 2023 r. i w tym terminie zaprzestać przetwarzania danych osobowych skarżącego. Właściwa zatem była końcowa ocena PUODO, że BIK przetwarzał dane osobowe skarżącego bez podstawy prawnej w okresie od [...] marca 2023 r. do [...] sierpnia 2023 r. kiedy to zaprzestał przetwarzania tych danych w celu indywidualnej oceny zdolności kredytowej i analizy ryzyka kredytowego.
Sąd nie uwzględnił również zarzutów naruszenia przepisów postępowania, które miało istotny wpływ na wynik sprawy, tj. art. 7, 77 § 1 i art. 80 K.p.a. W ocenie Sądu, organ podjął w niniejszej sprawie przewidziane prawem czynności w celu wnikliwego i rzetelnego ustalenia okoliczności faktycznych sprawy. Ustalenia faktyczne organu zostały dokonane w oparciu o całość materiału dowodowego, zgromadzonego i zbadanego w sposób wyczerpujący, a więc przy podjęciu wszelkich kroków niezbędnych do dokładnego wyjaśnienia okoliczności sprawy. Ocena materiału dowodowego została dokonana przez organ zgodnie z zasadą swobodnej oceny dowodów i nie nosi cech dowolności. Decyzja w niniejszej sprawie nie została zaś wydana z naruszeniem art. 107 § 3 K.p.a. Uzasadnienie rozstrzygnięcia spełnia bowiem wymogi określone w ww. przepisie. Zawiera ocenę zebranego w postępowaniu materiału dowodowego, wykładnię stosowanych przepisów oraz ocenę przyjętego stanu faktycznego w świetle obowiązującego prawa. Uzasadnienie zaskarżonej decyzji jest spójne wewnętrznie i logiczne, nie zawiera przy tym luk ani sprzeczności.
Co się zaś tyczy zarzutu naruszenia art. 8 § 1 i 2 K.p.a. poprzez odstąpienie przez organ od utrwalonej praktyki rozstrzygania spraw w takim samym stanie faktycznym i prawnym to należy podnieść, że Sąd nie odnotował takiego działania organu. Ponadto każda sprawa rozstrzygana przez PUODO ma indywidualny charakter i stosowanie swoistej zasady "automatyzmu" nie jest wskazane.
Podsumowując, stwierdzić należy, iż zaskarżona decyzja odpowiada prawu. Z uwagi na powyższe uwarunkowania faktyczne i prawne, zasadne było skorzystanie przez PUODO z uprawnienia przewidzianego w art. 58 ust. 2 lit. b RODO i udzielenia BIK kary upomnienia.
Z tych wszystkich względów, Wojewódzki Sąd Administracyjny w Warszawie, działając na podstawie art. 151 ustawy z dnia 30 sierpnia 2002 r. – Prawo o postępowaniu przed sądami administracyjnymi (Dz. U. z 2024 r. poz. 935 ze zm.), orzekł o oddaleniu skargi.