II SA/WA 1736/22

II SA/Wa 1736/22 - Wyrok WSA w Warszawie
Data orzeczenia
2023-06-05
orzeczenie nieprawomocne
Data wpływu
2022-09-27
Sąd
Wojewódzki Sąd Administracyjny w Warszawie
Sędziowie
Agnieszka Góra-Błaszczykowska /sprawozdawca/
Andrzej Góraj /przewodniczący/
Tomasz Szmydt
Symbol z opisem
647  Sprawy związane z ochroną danych osobowych
Sygn. powiązane
III OSK 2715/23 - Postanowienie NSA z 2023-11-08
III OZ 807/22 - Postanowienie NSA z 2023-01-19
Skarżony organ
Generalny Inspektor Ochrony Danych Osobowych
Treść wyniku
Oddalono skargę
Sentencja
Wojewódzki Sąd Administracyjny w Warszawie w składzie następującym: Przewodniczący Sędzia WSA Andrzej Góraj, Sędzia WSA Agnieszka Góra-Błaszczykowska (spr.), Sędzia WSA Tomasz Szmydt, Protokolant starszy specjalista Bogumiła Kobierska, po rozpoznaniu na rozprawie w dniu 5 czerwca 2023 r. sprawy ze skarg [...] Bank Polska S.A. z siedzibą we [...] S.A. z siedzibą w [...] na decyzję Prezesa Urzędu Ochrony Danych Osobowych z dnia [...] lipca 2022 r. nr [...] w przedmiocie przetwarzania danych osobowych oddala skargi
Uzasadnienie
Przedmiotem rozpoznania w niniejszej sprawie były skargi [...] Spółka Akcyjna z siedzibą w [...] oraz Biura Informacji Kredytowej Spółka Akcyjna z siedzibą w [...] na decyzję Prezesa Urzędu Ochrony Danych Osobowych znak [...] z dnia [...] lipca 2022 r. w przedmiocie przetwarzania danych osobowych.
Skargi zostały złożone w następującym stanie faktycznym sprawy:
Pismem z dnia [...] stycznia 2022 r. (data wpływu do organu – [...] lutego 2022 r.) R. S. (zwany dalej: wnioskodawca, uczestnik postępowania), wniósł do Prezesa Urzędu Ochrony Danych Osobowych (zwany dalej: Prezes UODO, organ), skargę na nieprawidłowości w procesie przetwarzania jego danych osobowych przez [...] Spółka Akcyjna z siedzibą w [...] (zwany dalej: bank, skarżący), polegające na przetwarzaniu jego danych osobowych w zakresie wynikającym z zapytań kredytowych z dnia [...] maja 2021 r. oraz [...] stycznia 2022 r., niezakończonych zawarciem umowy o kredyt, bez podstawy prawnej, w tym w Biurze Informacji Kredytowej Spółka Akcyjna z siedzibą w [...] (zwany dalej: BIK, skarżący) oraz na odmowie spełnienia żądania wnioskodawcy w zakresie usunięcia przez bank informacji o tych zapytaniach.
Decyzją znak [...] z dnia [...] lipca 2022 r. Prezes UODO, działając na podstawie art. 104 § 1 ustawy z dnia 14 czerwca 1960 r. Kodeks postępowania administracyjnego (Dz. U. z 2021 r. poz. 735 ze zm., zwana dalej: k.p.a.) w zw. z art. 7 ust. 1 i 2 ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych (Dz. U. z 2019 r. poz. 1781, zwana dalej: u.o.d.o.) oraz art. 6 ust. 1 i art. 58 ust. 2 lit. c rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych), (Dz. Urz. UE L 119 z 04.05.2016, str. 1 oraz Dz. Urz. UE L 127 z 23.05.2018, str. 2 oraz Dz. Urz. UE L 74 z 4.03.2021, str. 35, zwane dalej: rozporządzeniem 2016/679):
• w pkt 1 - nakazał bankowi usunięcie danych osobowych wnioskodawcy, w zakresie wynikającym z zapytań kredytowych z dnia [...] maja 2021 r. oraz [...] stycznia 2022 r., niezakończonych zawarciem umowy kredytowej;
• w pkt 2 – nakazał BIK usunięcie danych osobowych wnioskodawcy, w zakresie wynikającym z zapytań kredytowych z dnia [...] maja 2021 r. oraz [...] stycznia 2022 r., niezakończonych udzieleniem kredytu, przekazanych przez bank.
W uzasadnieniu podjętej decyzji organ wskazał na następujące ustalenia stanu faktycznego sprawy. Wnioskodawca w dniach [...] maja 2021 r. oraz [...] stycznia 2022 r. złożył w banku wniosek o udzielenie kredytu ratalnego na zakup towarów. Po otrzymaniu odmownej decyzji kredytowej, wnioskodawca w dniu [...] stycznia 2022 r. zwrócił się do banku o usunięcie jego danych osobowych w zakresie ww. zapytań kredytowych w bazie BIK. Bank odmówił usunięcia jego danych osobowych dotyczących zapytań kredytowych z dnia [...] maja 2021 r. oraz [...] stycznia 2022 r. Wnioskodawca wniósł o nakazanie usunięcia jego danych osobowych związanych z zapytaniami kredytowymi w BIK.
Bank wyjaśnił, że pozyskał dane osobowe wnioskodawcy w związku ze złożeniem wniosków o zawarcie umowy kredytu ratalnego z dnia [...] maja 2021 r. o numerze [...], który nie zakończył się zawarciem umowy oraz w związku ze złożeniem wniosku o zawarcie umowy kredytu ratalnego z dnia [...] stycznia 2022 r. o numerze [...], który nie zakończył się zawarciem umowy. Wskazał, że przetwarza dane osobowe wnioskodawcy w zakresie: imię i nazwisko, PESEL, dane dokumentu tożsamości (data urodzenia, seria i numer dowodu osobistego, data wydania i ważności dowodu osobistego), dane teleadresowe wnioskodawcy (adres zameldowania, adres korespondencyjny, numer telefonu, adres email), dane zakładu pracy, a także dane niezbędne do oceny zdolności kredytowej: stan cywilny, informacje o dochodzie i jego źródle, dane o obciążeniach gospodarstwa domowego wnioskodawcy. Bank wskazał, że dane osobowe wnioskodawcy w zakresie zapytań kredytowych z dnia [...] maja 2021 r. oraz [...] stycznia 2022 r. przetwarza w celach: •realizacji wymogów ostrożnościowych tj. oceny ogólnej ekspozycji oraz ryzyka ekspozycji banku wynikających z rozporządzenia Parlamentu Europejskiego i Rady (UE) nr 575/2013 z dnia 26 czerwca 2013 r. w sprawie wymogów ostrożnościowych dla instytucji kredytowych i firm inwestycyjnych, zmieniające rozporządzenie (UE) nr 648/2012 (CRR) tj., (art. 6 pkt 1. lit. c) RODO). Bank wskazał, że ogólne zasady tworzenia modeli służących tym celom określa m.in. CRR oraz rekomendacje KNF, powołując się na pkt 17.5 lit. e Rekomendacji T. Bank wskazał, że będzie przetwarzał dane w tym celu przez okres 6 lat od momentu rozpatrzenia wniosku; •wykonywania obowiązków związanych z przeciwdziałaniem praniu pieniędzy i finansowaniu terroryzmu (art. 6 pkt 1 lit. c rozporządzenia 2016/679). Bank wskazał, że będzie przetwarzał dane w tym celu przez okres 5 lat; •analizy (indywidualnego i portfelowego) ryzyka kredytowego (art. 105a ust. 1-1c ustawy z dnia 29 sierpnia 1997 r. Prawo bankowe (Dz. U. 2021 poz. 2439 ze zm., zwana dalej: p.b.) w zw. art. 6 pkt 1 lit. c rozporządzenia 2016/679), Bank wskazał, że będzie przetwarzał dane w tym celu przez okres 3 lat od momentu rozpatrzenia wniosku; •realizacji prawa do wyjaśnienia oceny zdolności kredytowej na podstawie art. 70a prawa bankowego (art. 6 pkt 1 lit. c rozporządzenia 2016/679) - 6 lat od rozpatrzenia wniosku na podstawie art. 118 Kodeksu cywilnego; •rozpatrywania reklamacji oraz ustalania, obrony i dochodzenia roszczeń – podstawą prawną jest realizacja prawnie uzasadnionego interesu banku (art. 6 pkt 1. lit. f rozporządzenia 2016/679). Bank wyjaśnił, że będzie przetwarzał dane w tym celu przez 6 lat od dnia rozpatrzenia wniosku w oparciu o terminy przedawnienia roszczeń na podstawie art. 118 Kodeksu cywilnego. Bank wyjaśnił, że przekazał dane osobowe wnioskodawcy do BIK na podstawie umowy zawartej pomiędzy bankiem a BIK-em. Bank wysłał zapytania w celu przeprowadzenia oceny zdolności kredytowej i analizy ryzyka kredytowego na podstawie art. 70 ust. 1 p.b. w zw. z art. 105 ust. 4 oraz 105a ust. 1 p.b.
We wniosku skierowanym do banku w dniu [...] sierpnia 2021 r. wnioskodawca wycofał zgodę na przetwarzanie jego danych osobowych oraz żądał usunięcia przetwarzanych danych w BIK w związku ze złożeniem zapytania kredytowego z dnia [...] maja 2021 r. W dniu [...] sierpnia 2021 r. oraz [...] września 2021 r. bank w odpowiedzi na wniosek wnioskodawcy potwierdził wycofanie zgody na przetwarzanie danych osobowych oraz odmówił usunięcia jego danych osobowych w systemach BIK i banku. W dniu [...] stycznia 2022 r. wnioskodawca wniósł o usunięcie z bazy BIK wszelkich informacji dotyczących zapytań kredytowych z dnia [...] maja 2021 r. oraz z dnia [...] stycznia 2022 r. W piśmie z dnia [...] stycznia 2022 r. bank odmówił usunięcia danych osobowych wnioskodawcy. Bank wyjaśnił także, że nie występował wobec wnioskodawcy z roszczeniami i na dzień złożenia odpowiedzi nie zamierza występować. Wskazał, że nie może wykluczyć, że takie roszczenia powstaną w przyszłości.
W złożonych wyjaśnieniach BIK wskazał, że dane w zakresie zapytań kredytowych z dnia [...] maja 2021 r. oraz [...] stycznia 2022 r. pozyskał od banku, na podstawie art. 105 ust. 1 pkt 1c, art. 105 ust. 4 oraz art. 105a ust. 1 p.b., a także na podstawie łączącej bank i BIK umowy. BIK wskazał, że przetwarza dane wnioskodawcy w zakresie ww. zapytań w następujących celach: •w celu oceny zdolności kredytowej i analizy ryzyka kredytowego: przez okres 12 miesięcy od dnia złożenia zapytania w celu oceny zdolności kredytowej i analizy ryzyka kredytowego konkretnego klienta (indywidualna ocena zdolności kredytowej wnioskodawcy); nie krócej niż 5 lat i nie dłużej niż 10 lat od dnia złożenia zapytania, w celu budowy modeli scoringowych, a więc narzędzi wykorzystywanych przez banki do oceny zdolności kredytowej i analizy ryzyka kredytowego. BIK buduje przedmiotowe modele w oparciu o przetwarzane w zbiorze BIK dane, w tym dane o złożonych zapytaniach. BIK wskazał, że na konieczność wykorzystania własnych i zewnętrznych baz danych przy ocenie zdolności kredytowej wskazuje również Komisja Nadzoru Finansowego w Rekomendacji T dotyczącej dobrych praktyk w zakresie zarządzania ryzykiem detalicznych ekspozycji kredytowych, powołując się na Rekomendacje 10, 16.4,1.4 a) tiret drugie, 1.4 b) tiret drugie, 17.5 e) oraz wstęp do Rekomendacji); •w celach statystycznych oraz stosowania metod wewnętrznych oraz innych metod i modeli;
•w celach przeciwdziałania przestępstwom oraz wykonywania obowiązków w zakresie określonym w przepisach o przeciwdziałaniu praniu pieniędzy oraz finansowaniu terroryzmu; •w celu rozpatrywania ewentualnych reklamacji lub roszczeń odszkodowawczych klientów, których termin przedawnienia zgodnie z art. 118 Kodeksu cywilnego wynosi 6 lat (cele dowodowe). BIK wskazał, że podstawę prawną stanowi w tym przypadku art. 6 ust. 1 lit. f rozporządzenia 2016/679, a dodatkową przesłanką jest konieczność wypełnienia ustawowego obowiązku wynikającego z art. 15 rozporządzenia 2016/679 w przypadku wystąpienia przez osobę, której dane dotyczą z wnioskiem o udzielenie informacji; •w celu realizacji wniosków klientów banków dotyczących wyjaśnień dokonanej oceny zdolności kredytowej na podstawie art. 70a p.b. BIK wskazał również, że wnioskodawca, ani bank nie zwracali się do BIK z wnioskiem o usunięcie danych o zapytaniach z dnia [...] maja 2021 r. i [...] stycznia
2022 r. Wnioskodawca i BIK nie wystosowali do siebie nawzajem konkretnego roszczenia czy reklamacji związanych z zapytaniami kredytowymi z dnia [...] maja 2021 r. i [...] stycznia 2022 r.
PUODO odniósł powyższe ustalenia stanu faktycznego sprawy do obwiązujących w tym zakresie przepisów (art. 5 ust. 1 lit. b i c, art. 6 ust. 1, w tym art. 6 ust. 1 lit. f rozporządzenia 2016/679, art. 105 ust. 4, art. 105a ust. 1, 4 i 5, art. 70 ust. 1, art. 106d ust. 1 i 2 p.b., art. 33 ust. 1, 2 i 4, art. 34 ust. 3, art. 35 ust. 2, art. 49 ust. 2 ustawy z dnia 1 marca 2018 r. o przeciwdziałaniu praniu pieniędzy oraz finansowaniu terroryzmu (Dz. U. z 2022 r., poz. 593, zwana dalej: u.p.p.p.f.t., AML) oraz art. 144 ust. 1 lit. d, art. 145 ust. 1, art. 147 ust. 5 lit. b, art. 170 ust. 3 lit. a i ust. 4 lit. a, art. 171 ust. 2, art. 179 ust. 3 lit. e, art. 179 ust. 1 lit. a rozporządzenia 575/2013). Stwierdził, że wnioskodawca dwukrotnie (w dniu [...] maja 2021 r. oraz [...] stycznia 2022 r.) wystąpił do banku z wnioskami o udzielenie kredytu. Wobec powyższego bank oraz BIK, na podstawie art. 105a ust. 1 w zw. z art. 70 ust. 1 p.b., były uprawnione do przetwarzania jego danych osobowych w celu oceny zdolności kredytowej. Do zawarcia umowy kredytu pomiędzy wnioskodawcą i bankiem nie doszło, w związku z czym odpadła przesłanka legalizująca dalsze przetwarzanie danych osobowych ww. przez bank oraz BIK. Przesłanki zawarte w art. 105a p.b. dotyczą bowiem przetwarzania informacji objętych tajemnicą bankową w okresie przed powstaniem zobowiązania, w trakcie jego trwania oraz po wygaśnięciu zobowiązania. Pomiędzy bankiem a wnioskodawcą nie zawiązał się żaden stosunek zobowiązaniowy, który stosownie do art. 105a ust. 1-6 p.b. dawałby podstawę do dalszego przetwarzania danych osobowych ww. Ponadto celem przetwarzania danych osobowych ww. była ocena zdolności kredytowej i analiza ryzyka kredytowego. W związku z dokonaniem przez bank oceny zdolności kredytowej i analizy ryzyka kredytowego, cel przetwarzania danych osobowych wnioskodawcy został zrealizowany i brak jest podstaw prawnych do kontunuowania tego procesu.
W ocenie organu, za podstawę przetwarzania danych osobowych wnioskodawcy nie mogą być również uznane wskazane przez BIK cele statystyczne i analizy, w tym cel stosowania metod wewnętrznych oraz innych metod i modeli. Powołany przez BIK art. 105a ust. 4 p.b. daje podstawy do przetwarzania informacji dotyczących osoby fizycznej stanowiących tajemnicę bankową po wygaśnięciu zobowiązania, wynikającego z umowy zawartej z bankiem lub inną instytucją ustawowo upoważnioną do udzielania kredytów bez zgody osoby, której te informacje dotyczą. Jednak w przedmiotowej sprawie nie doszło do zawarcia umowy kredytu pomiędzy wnioskodawcą a bankiem, a zatem nie powstał żaden stosunek zobowiązaniowy, o którym mowa w powołanym przepisie.
Uznał, że zebrany w postępowaniu materiał dowodowy nie wykazał, aby bank lub BIK mogły przetwarzać dane osobowe wnioskodawcy, dotyczące zapytań kredytowych (z [...] maja 2021 r. i [...] stycznia 2022 r.) na podstawie art. 106d p.b. w celach przeciwdziałania przestępstwom oraz wykonywania obowiązków w zakresie określonym w przepisach AML, bowiem w toku prowadzonego postępowania nie wykazały, aby zaszła którakolwiek z przesłanek określonych w ww. przepisach. W szczególności nie wykazały, aby zaszły uzasadnione podejrzenia, o których mowa w art. 106d ust. 1 pkt 1-2 oraz nie wskazały także nałożonego na niego obowiązku określonego w przepisach o przeciwdziałaniu praniu pieniędzy oraz finansowaniu terroryzmu, o którym mowa w art. 106d ust. 1 pkt 3. Odnosząc się do powołanego zarówno przez bank, jak i przez BIK, celu "ustalenia, dochodzenia lub obrony roszczeń" wskazał, że materiał dowodowy nie wykazał, aby wnioskodawca wystąpił z jakimkolwiek roszczeniem wobec banku lub BIK, które uzasadniałoby uprawnienie tych podmiotów do zachowania i przetwarzania jego danych osobowych dla celów dowodowych w związku z dochodzeniem przez wnioskodawcę tego roszczenia. Bank i BIK nie wskazały także na istnienie roszczeń, których dochodzą od wnioskodawcy.
Podkreślił też, że przesłanka z art. 6 ust. 1 lit. f rozporządzenia 2016/679 dotyczy sytuacji już istniejącej, w której celem wynikającym z prawnie uzasadnionych interesów realizowanych przez administratora jest konieczność udowodnienia, potrzeba dochodzenia lub obrony przed roszczeniem istniejącym, nie zaś sytuacji, gdy dane są przetwarzane w celu zabezpieczenia się przed ewentualnym roszczeniem. Przyjęcie za prawidłowe stanowiska, iż przetwarzanie danych osobowych w celu uchylenia się od negatywnych skutków w przypadku zgłoszenia w przyszłości ewentualnego i nieokreślonego roszczenia, stanowi prawnie usprawiedliwiony cel w rozumieniu art. 6 ust. 1 lit. f rozporządzenia 2016/679 oznaczałoby, że dane osobowe wnioskodawcy mogą być przetwarzane przez Bank i BIK permanentnie, bez konieczności ich usunięcia.
Zdaniem organu brak jest podstaw do przyjęcia, iż terminy dotyczące przedawnienia roszczeń, wynikających ze stosunków zobowiązaniowych określają jednocześnie ramy czasowe, w których dane osobowe mogą być przetwarzane przez bank i BIK. Przedawnienie roszczenia nie wywołuje skutków na gruncie ochrony danych osobowych, nie wpływa bowiem na fakt istnienia roszczenia, a powoduje jedynie zmianę w sferze zarzutów procesowych w postaci możliwości podniesienia okoliczności przedawnienia w sporze sądowym. Okolicznością usprawiedliwiającą przetwarzanie danych osobowych w celu dochodzenia roszczeń jest sam fakt istnienia roszczenia oraz zamiar jego dochodzenia, nie jest nią natomiast zmiana w uprawnieniach procesowych podmiotu pozwanego. Brak jest także podstaw do przyjęcia, że bank jest uprawniony do przetwarzania danych osobowych w związku z koniecznością ewentualnego wypełnienia obowiązku wynikającego z art. 70a ust. 1 i ust. 2 p.b. W doktrynie wskazuje się, że jeśli bank - w wyniku dokonanej oceny zdolności kredytowej (przeprowadzonej zgodnie z przyjętymi rekomendacjami KNF), nie udzieli kredytu, zatem nie dojdzie do zawarcia umowy kredytu, stan taki nie rodzi po stronie ubiegającego się o kredyt żadnych roszczeń na drodze cywilnoprawnej. Ubiegającemu się o kredyt przysługuje tylko możliwość wnioskowania o przedstawienie na piśmie przyczyn odmowy (B. Bajor w: L. Kociucki, J. M. Kondek, K. Królikowska, B. Bajor, Prawo bankowe. Komentarz do przepisów cywilnoprawnych, Warszawa 2020, art. 70a).
Art. 70a p.b. nie przewiduje żadnego terminu na złożenie wniosku o udzielenie informacji dotyczących odmowy udzielenia kredytu. Nie oznacza to jednak, że można jego dane osobowe przetwarzać bezterminowo, gdyż byłoby to sprzeczne z zasadą ograniczenia przechowywania, określoną w art. 5 ust. 1 lit. e rozporządzenia 2016/679. Ponadto powstanie obowiązku, o którym mowa w art. 70a ust. 1 p.b. uzależnione jest od złożenia stosownego wniosku przez osobę ubiegającą się o kredyt. Z dokumentów sprawy wynika, że wnioskodawca dwukrotnie ([...] maja 2021 r. i [...] stycznia 2022 r.) składał zapytania kredytowe do banku, które ostatecznie nie zakończyły się zawarciem umowy z bankiem. Ponadto wnioskodawca dwukrotnie zwracał się do banku o usunięcie jego danych osobowych z BIK, w zakresie dotyczącym zapytań kredytowych. Następnie wnioskodawca zainicjował postępowania przed organem nadzoru, domagając się ochrony danych osobowych.
Prezes UODO stwierdził, że brak jest uzasadnienia dla przyjęcia, że BIK jest uprawniony do przetwarzania danych osobowych, pozyskanych w związku z zapytaniami złożonymi przez bank w dniach [...] maja 2021 r. oraz [...] stycznia 2022 r., w związku z koniecznością ewentualnego wypełnienia obowiązku wynikającego z art. 15 rozporządzenia 2016/679. Usunięcie przez administratora danych osobowych nie uniemożliwia mu wykonania obowiązku uregulowanego w ww. przepisie, gwarantującego osobie, której dane dotyczą, prawa do uzyskania od administratora informacji, czy jej dane są przetwarzane, a w przypadku pozytywnej odpowiedzi na tak postawione pytanie - uprawnienie do dostępu do danych na swój temat oraz uzyskania informacji o okolicznościach przetwarzania danych. Jeśli bowiem administrator nie przetwarza danych dotyczących osoby, która zwraca się z żądaniem udzielenia informacji, to działanie administratora ogranicza się do odpowiedzi przeczącej i nie ma on obowiązku podawać podmiotowi danych innych informacji.
W odniesieniu do wskazanego przez bank celu realizacji wymogów ostrożnościowych tj. oceny ogólnej ekspozycji oraz ryzyka ekspozycji banku wynikających z rozporządzenia nr 575/2013 organ wskazał, że z przepisów tego aktu prawnego nie wynika uprawnienie do przetwarzania danych osobowych w zakresie zapytań kredytowych niezakończonych zawarciem umowy. Instytucja kredytowa jest obowiązana do zbierania informacji przydatnych do skutecznego zarządzania ryzykiem. Nie oznacza to jednak, że gromadzenie danych w systemach ratingowych może odbywać się z naruszeniem przepisów, regulujących kwestie ochrony danych osobowych.
Zdaniem organu bank niewłaściwie wskazuje jako podstawę przetwarzania danych wnioskodawcy Rekomendację T Komisji Nadzoru Finansowego dotyczącą dobrych praktyk w zakresie zarządzania ryzykiem detalicznych ekspozycji kredytowych w związku z badaniem zdolności kredytowej, korzystania z zewnętrznych baz danych, posiadania narzędzi analitycznych wspierających pomiar poziomu ryzyka związanego z detalicznymi ekspozycjami kredytowymi. Bank był uprawniony do przetwarzania danych osobowych wnioskodawcy w celu oceny zdolności kredytowej. Do zawarcia umowy pomiędzy ww. i bankiem nie doszło, zatem odpadła przesłanka legalizująca dalsze przetwarzanie danych osobowych ww. przez bank. Ponadto celem przetwarzania danych osobowych wnioskodawcy była ocena zdolności kredytowej i analiza ryzyka kredytowego. W związku z dokonaniem przez bank oceny zdolności kredytowej i analizy ryzyka kredytowego, cel przetwarzania danych osobowych ww. został zrealizowany, wobec czego brak jest podstaw prawnych do kontynuowania tego procesu.
Organ stwierdził, że w niniejszej sprawie brak jest celu uzasadniającego dalsze przetwarzanie danych osobowych wnioskodawcy zarówno przez bank jak i BIK (z których każdy jest odrębnym administratorem). Uznał także - w odniesieniu do kwestionowanego przez wnioskodawcę przetwarzania jego danych osobowych przez bank i BIK, że w sprawie nie zaistniała żadna z wyrażonych w art. 6 ust. 1 rozporządzenia 2016/679 przesłanka, która stanowiłaby o legalności tego procesu. W tej sytuacji, korzystając z uprawnienia przewidzianego w art. 58 ust. 2 lit. c rozporządzenia 2016/679, organ nakazał bankowi i BIK, usunięcie danych osobowych wnioskodawcy przetwarzanych w związku ze złożonymi zapytaniami kredytowymi (z [...] maja 2021 r. i z [...] stycznia 2022 r.).
W skardze na powołane rozstrzygnięcie bank, reprezentowany przez profesjonalnego pełnomocnika, zaskarżył ww. decyzję w całości. Wniósł o jej uchylenie w całości oraz zasądzenie zwrotu kosztów postępowania. Wydanej decyzji bank zarzucił naruszenie przepisów postępowania administracyjnego, które miało istotny wpływ na wynik sprawy oraz prawa materialnego, które miało wpływ na wynik sprawy, tj.:
1. art. 7, art. 77 §1 i art. 80 k.p.a., polegające na niewyczerpującym rozpatrzeniu materiału dowodowego oraz na jego dowolnej ocenie przejawiającej się w uznaniu, że bank i BIK nie dysponują przesłankami legalizującymi przetwarzanie danych osobowych wnioskodawcy, pomimo że przetwarzanie danych osobowych wnioskodawcy jest niezbędne do realizacji obowiązków prawnych ciążących na banku i BIK oraz realizacji ich prawnie uzasadnionych interesów;
2. art. 7b k.p.a., polegające na braku zwrócenia się do Komisji Nadzoru Finansowego jako organu właściwego w sprawach związanych m.in. z badaniem zdolności kredytowej i analizą ryzyka kredytowego, a także budową modeli scoringowych oraz do Generalnego Inspektora Informacji Finansowej jako organu właściwego w sprawach związanych z m.in. z przeciwdziałaniem praniu pieniędzy i finansowaniu terroryzmu w zakresie wykorzystywania do realizacji tych zadań danych, w tym danych osobowych o niezrealizowanych zapytaniach kredytowych;
3. art. 6 ust. 1 lit. f rozporządzenia 2016/679 w zw. z art. 117 § 2 i § 21 art. 118 oraz art. 119 ustawy z dnia 23 kwietnia 1964 r. - Kodeks cywilny (Dz. U. 2022 r. poz. 1360, zwana dalej: k.c.) poprzez ich niewłaściwe zastosowanie, polegające na uznaniu, że obrona i dochodzenie roszczeń mogą dotyczyć wyłącznie już istniejących roszczeń;
4. art. 6 ust. 1 lit. c rozporządzenia 2016/679 w zw. z art. 39 ust. 1 w zw. z art. 34 ust. 1, art. 35 ust. 1, 36 ust. 1, oraz 49 u.p.p.p.f.t. poprzez ich niewłaściwe zastosowanie polegające na przyjęciu, że na banku nie ciążą obowiązki związane z przeciwdziałaniem praniu pieniędzy oraz finansowaniu terroryzmu wówczas, gdy nie doszło do zawarcia umowy pomiędzy bankiem a klientem - podczas gdy przepisy te nakładają na banki i BIK obowiązek przetwarzania danych osobowych w celu zapewnienia bezpieczeństwa obrotu gospodarczego poprzez przeprowadzenie szczegółowego badania na temat klientów, w tym przyszłych klientów, jak i badania powiązań kapitałowo-osobowych, w tym w zakresie danych dostarczanych przez wnioskodawcę;
5. art. 6 ust. 1 lit. c rozporządzenia 2016/679 w zw. z art. 105 ust. 4 i 105a ust. 1 p.b. poprzez ich błędną wykładnię i przyjęcie, że bank jest jedynie obowiązany do dokonania oceny zdolności kredytowej klientów, podczas gdy z tego przepisu wynika obowiązek dokonania także analizy ryzyka kredytowego;
6. art. 6 ust. 1 lit. c rozporządzenia 2016/679 w zw. z art. 105 ust. 4 p.b. poprzez ich błędną wykładnię i przyjęcie, że bank nie legitymuje się przesłanką do przetwarzania danych, podczas gdy z tego przepisu wynika obowiązek przetwarzania danych, w tym danych z zapytań kredytowych, w zakresie, w jakim informacje te potrzebne są bankom do wykonywania czynności bankowych, w tym oceny zdolności kredytowej i analizy ryzyka kredytowego;
7. art. 6 ust. 1 lit. c rozporządzenia 2016/679 w zw. z art. 144 ust. 1 lit. d, art. 145, art. 147 ust. 5 lit. b, art. 170 ust. 3 lit. a, ust. 4 lit. a, 171 ust. 2 oraz art. 179 ust. 1 lit. a rozporządzenia nr 575/2013 poprzez ich błędną wykładnię i przyjęcie, że na banku nie ciążą obowiązki związane z analizą ryzyka kredytowego wówczas, gdy nie doszło do zawarcia umowy pomiędzy bankiem a klientem;
8. art. 6 ust. 1 lit. c rozporządzenia 2016/679 w zw. z art. 70a p.b. poprzez ich niewłaściwe zastosowanie skutkujące przyjęciem, że bank może dokonać wyjaśnienia, dotyczącego dokonanej oceny zdolności kredytowej wnioskującego bez otrzymanych i przetwarzanych danych osobowych klienta, tylko wtedy, gdy zawarł on umowę z bankiem;
9. art. 6 ust. 1 lit. c rozporządzenia 2016/679 w zw. z art. 106d p.b. poprzez ich niewłaściwe zastosowanie skutkujące przyjęciem, że bank nie jest uprawniony do przetwarzania danych, w tym danych osobowych zawartych we wnioskach kredytowych celem wypełnienia obowiązków wynikających z prawa bankowego, podczas gdy wykazuje on cel przetwarzania danych osobowych polegający na analizie danych podanych we wnioskach kredytowych i analizie zapytań kredytowych złożonych w BIK w określonym czasie w celu wykrycia nieścisłości oraz powzięcia informacji mogących stanowić o uzasadnionym podejrzeniu popełnienia przestępstw, o których mowa w art. 106d p.b.;
10. art. 6 ust. 1 lit. f rozporządzenia 2016/679 w związku z Rekomendacjami S, W i T Komisji Nadzoru Finansowego, polegające na ich niewłaściwym zastosowaniu i przyjęciu, że skarżący nie legitymuje się przesłanką przetwarzania danych, wynikającą z art. 6 ust. 1 lit. f rozporządzenia 2016/679 w związku z Rekomendacjami S, W i T Komisji Nadzoru Finansowego, podczas gdy rekomendacje te nakładają na banki, a w konsekwencji także na BIK, jako instytucję gromadzącą dane służące do oceny zdolności kredytowej oraz budującą modele scoringowe służące bankom, określone wymagania, które następnie podlegają egzekwowaniu przez Komisję Nadzoru Finansowego na podstawie bezwzględnie obowiązujących przepisów prawa.
Uzasadniając złożoną skargę skarżący szczegółowo uzasadnił ww. zarzuty.
BIK zaskarżył ww. decyzję w zakresie punktu 2, wnosząc o jej uchylenie oraz zasądzenie zwrotu kosztów postępowania. Wydanej decyzji skarżący zarzucił naruszenie prawa materialnego oraz prawa procesowego, mającego istotny wpływ na wynik sprawy, tj.:
1. art. 6 ust. 1 lit. c rozporządzenia 2016/679 w zw. z art. 105 ust. 1 pkt. 1c w zw. z art. 105 ust. 4 i w zw. z art. 105a w zw. z art. 70 i art. 5 ust. 1 pkt. 3 p.b., poprzez jego niewłaściwe zastosowanie i w konsekwencji nieuzasadnione przyjęcie, że BIK nie posiada ww. podstawy prawnej do przetwarzania danych zawartych we wniosku kredytowym w przypadku nie zawarcia umowy kredytowej, podczas gdy BIK jest ustawowo zobowiązany do realizacji obowiązku prawnego wynikającego z ww. przepisów polegającego na gromadzeniu, przetwarzaniu i udostępnianiu bankom oraz podmiotom szczegółowo wskazanym w przepisie informacji stanowiących tajemnicę bankową w zakresie, w jakim informacje te są potrzebne w związku z wykonywaniem czynności bankowych w postaci oceny zdolności kredytowej oraz analizy ryzyka kredytowego konkretnego klienta (indywidualna ocena zdolności kredytowej) oraz w związku ze stosowaniem metod wewnętrznych oraz innych metod i modeli, o których mowa w części trzeciej rozporządzenia nr 575/2013;
ewentualnie, na wypadek nieuwzględnienia ww. zarzutu, zarzucił naruszenie:
2. art. 6 ust. 1 lit. f rozporządzenia 2016/679 poprzez jego niewłaściwą wykładnię i w konsekwencji niezastosowanie wskutek przyjęcia, że skarżący nie posiada podstawy prawnej przetwarzania danych uczestnika postępowania, opartej na prawnie uzasadnionym interesie administratora oraz podmiotów trzecich wskazanych w art. 105 ust. 4 pkt 1-5 p.b., w postaci realizacji obowiązku gromadzenia, przetwarzania oraz udostępnienia bankom oraz podmiotom wskazanym w ww. przepisie informacji stanowiących tajemnicę bankową w zakresie, w jakim informacje te są potrzebne w związku z wykonywaniem czynności bankowych w postaci oceny zdolności kredytowej oraz analizy ryzyka kredytowego konkretnego klienta (indywidualna ocena zdolności kredytowej), w celu budowy i utrzymania modeli scoringowych, a więc narzędzi wykorzystywanych przez banki do oceny zdolności kredytowej i analizy ryzyka kredytowego oraz w związku ze stosowaniem metod wewnętrznych oraz innych metod i modeli, o których mowa w części trzeciej rozporządzenia nr 575/2013;
3. art. 6 ust. 1 lit. c rozporządzenia 2016/679 w zw. z art. 70a w zw. z art. 105 ust. 4 pkt 1 i 2 oraz w zw. z art. 105a p.b. poprzez jego niezastosowanie wskutek uznania, że BIK nie posiada podstawy prawnej do przetwarzania danych wnioskodawcy w sytuacji nie zawarcia umowy kredytowej, podczas gdy skarżący posiada podstawę prawną przetwarzania z uwagi na niezbędność przetwarzania do wykonania obowiązku prawnego przez banki i BIK, w postaci obowiązku przekazania osobie ubiegającej się o kredyt w formie pisemnej na jego wniosek wyjaśnień dotyczących dokonanej oceny zdolności kredytowej wnioskującego;
4. art. 6 ust. 1 lit. e rozporządzenia 2016/679 poprzez jego niezastosowanie wskutek uznania, że skarżący nie posiada podstawy prawnej do przetwarzania danych wnioskodawcy w sytuacji nie zawarcia umowy kredytowej, podczas gdy skarżący posiada podstawę prawną przetwarzania z uwagi na niezbędność przetwarzania dla realizacji zadania w interesie publicznym przez banki i BIK w postaci zabezpieczenia ekonomiczno-gospodarczego sektora bankowego, w tym depozytariuszy i zapewnienia stabilności ekonomiczno-gospodarczej sektora bankowego, a w ujęciu makro zapobieganiu kryzysom gospodarczym;
5. art. 6 ust. 1 lit. f rozporządzenia 2016/679 poprzez jego niewłaściwe zastosowanie i w konsekwencji nieuzasadnione przyjęcie, że prawnie uzasadniony interes administratora danych nie może opierać się na przesłance ewentualnego zabezpieczenia roszczeń, podczas gdy istotą uzasadnionego interesu prawnego administratora jest możliwość przetwarzania danych przez okres przedawnienia roszczeń na wypadek konieczności obrony lub dochodzenia ewentualnych roszczeń, które mogą się pojawić w określonym czasie po przeprowadzeniu stosownej analizy zdolności kredytowej oraz analizie ryzyka kredytowego, które to skarżący zobowiązany jest gromadzić, przetwarzać i udostępniać bankom dla realizacji celów ustawowych badania zdolności kredytowej;
6. art. 6 ust. 1 lit. f rozporządzenia 2016/679 poprzez błędne uznanie, że wskutek braku zawarcia umowy kredytowej, BIK nie posiada prawnie uzasadnionego interesu w przetwarzaniu danych uczestnika postępowania, podczas gdy istnieje prawnie uzasadniony interes skarżącego w przetwarzaniu tych informacji pomimo nie zawarcia umowy kredytowej, polegający na realizacji działań z zakresu opracowania, utrzymania aktualności i funkcjonalności zbudowanych modeli scoringowych w zgodzie z treścią Rekomendacji W, S i T Komisji Nadzoru Finansowego w zakresie dobrych praktyk i zarządzania ryzykiem kredytowym;
7. art. 6 ust. 1 lit. f rozporządzenia 2016/679 poprzez jego niezastosowanie wskutek uznania, że skarżący nie posiada podstawy prawnej do przetwarzania danych wnioskodawcy, podczas gdy BIK posiada podstawę prawną przetwarzania z uwagi na konieczność zapewnienia rozliczalności działań skarżącego jako administratora danych osobowych na zasadzie art. 5 ust. 2 rozporządzenia 2016/679 w postaci wykazania przestrzegania przepisów dotyczących jakości danych;
8. art. 7, w zw. z art. 77 § 1 i w zw. z art. 80 k.p.a. w zw. z art. 7 u.o.d.o., poprzez niewyczerpujące zebranie, nierozpatrzenie i błędną ocenę całokształtu materiału dowodowego przejawiającego się w zaniechaniu dokonania wyczerpującej analizy charakteru, zakresu oraz celów gospodarczo–ekonomicznych dla jakich zostało powołane BIK oraz obowiązków prawnych i obowiązków wynikających z zawartych przez BIK umów z bankami, skutkującą wadliwą i niepełną oceną stanu faktycznego sprawy oraz charakteru działania skarżącego, co w konsekwencji skutkowało nieuzasadnionym wydaniem przez organ nakazu usunięcia danych osobowych wnioskodawcy;
9. art. 7b w zw. z art. 7 w zw. z art. 77 k.p.a. w zw. z art. 7 u.o.d.o. poprzez niedokładne wyjaśnienie stanu faktycznego i prawnego koniecznego do podjęcia przez organ stosownych czynności, a w szczególności niezwrócenie się do Komisji Nadzoru Finansowego w celu kompleksowego wyjaśniania stanu faktycznego sprawy oraz współdziałania w zakresie niezbędnym do dokładnego wyjaśnienia stanu prawnego, mając na względzie interes społeczny i słuszny interes obywateli w postaci ustalenia należytych zasad, celów i zakresu przetwarzania danych osobowych o niezrealizowanych zapytaniach kredytowych tak, by procesy przetwarzania danych czyniły zadość zarówno przepisom prawa o ochronie danych osobowych, jak i przepisom szeroko pojętego prawa bankowego, w szczególności dla zapewnienia ochrony wartości, których gwarancje ochrony wynikają z ww. przepisów zgodnie z zasadą proporcjonalności;
10. art. 7, art. 77 § 1 i art. 80 k.p.a. poprzez zaniechanie dokonania oceny Rekomendacji S, W i T Komisji Nadzoru Finansowego jako organu właściwego do sprawowania nadzoru nad instytucjami krajowymi w rozumieniu przepisów UE (regulatora rynku finansowego), które to regulacje nakładają na banki, a w konsekwencji na BIK, jako instytucję gromadzącą dane służące do oceny zdolności kredytowej oraz budującą modele scoringowe służące bankom, określone wymagania, które podlegają nadzorowi i egzekwowaniu przez Komisję Nadzoru Finansowego na podstawie bezwzględnie obowiązujących przepisów prawa, co w konsekwencji doprowadziło do zaniechania przez organ oceny podstaw prawnych i celów dla jakich BIK oraz banki są upoważnione do przetwarzania danych w zakresie zdolności kredytowej również w przypadku nie zawarcia umowy kredytowej dla zabezpieczenia interesów banków oraz stabilności rynku gospodarczo-finansowego;
11. art. 7, art. 77 w zw. z art. 80 k.p.a. poprzez zaniechanie wyczerpującego zebrania i rozpatrzenia materiału dowodowego, a w szczególności przejawiającego się brakiem analizy treści skargi złożonej do Prezesa UODO przez wnioskodawcę pod kątem istnienia - po stronie banków, a w konsekwencji BIK jako instytucji gromadzącej dane służące do oceny zdolności kredytowej oraz budującej modele scoringowe służące bankom - oczywistego interesu prawnego przejawiającego się w odmowie udzielenia kredytu wynikającego z braku istnienia zdolności kredytowej po stronie wnioskodawcy, co prowadzi do zabezpieczenia interesu banków przed nieodpowiedzialną polityką udzielania kredytów osobom, które nie mają szans na ich spłacenie oraz do zapewnienia stabilności gospodarczo-ekonomicznej sektora bankowego, a w ujęciu makro zapobieganiu kryzysom gospodarczym;
12. art. 7, art. 77 w zw. z art. 80 k.p.a. poprzez niewyczerpujące zebranie, nierozpatrzenie i błędną ocenę całokształtu materiału dowodowego przejawiającego się w poczynieniu przez organ założenia, że wnioskodawca domagając się ochrony danych osobowych w postępowaniu przed organem liczy się z utratą możliwości uzyskania informacji wskazanych w art. 70a ust. 1 i 2 p.b. oraz, że wnioskodawca nie był i nie jest zainteresowany realizacją prawa do złożenia wniosku, o którym mowa w art. 70a ust. 1 i 2 p.b., co ma uzasadniać odrzucenie przesłanki z art. 6 ust. 1 lit. c rozporządzenia 2016/679 w zw. z art. 70a w zw. z art. 105 ust. 4 pkt. 1 i 2 oraz w zw. z art. 105a w zw. z art. 105 ust. 4 pkt 1 i 2 p.b. jako podstawy prawnej przetwarzania danych osobowych przez BIK, które to założenie nie znajduje potwierdzenia w materiale dowodowym sprawy;
13. art. 7, art. 77 w zw. z art. 80 poprzez niezbadanie przez organ wszystkich podstaw prawnych dalszego przetwarzania danych o zapytaniach kredytowych, w sytuacji nieudzielenia kredytu, pomimo, iż przepisy prawa upoważniają skarżącego do przetwarzania tych danych, co w konsekwencji doprowadziło do błędnego nakazania skarżącemu usunięcia danych osobowych wobec błędnego przyjęcia przez organ braku istnienia podstawy prawnej do przetwarzania danych;
14. art. 8 § 1 i 2 k.p.a. poprzez odstąpienie przez organ od utrwalonej praktyki rozstrzygania spraw w takim samym stanie faktycznym i prawnym, co z kolei narusza zasadę pogłębiania zaufania obywateli do władzy publicznej.
Uzasadniając złożoną skargę skarżący szczegółowo uzasadnił ww. zarzuty.
W odpowiedzi na skargi organ wniósł o ich oddalenie, podnosząc argumentację tożsamą z zaprezentowaną w zaskarżonej decyzji.
W replice stanowiącej odpowiedź na odpowiedź na skargę BIK wskazał, że w całości podtrzymuje złożoną skargę.
Wojewódzki Sąd Administracyjny w Warszawie, zważył co następuje:
Stosownie do treści art. 3 § 1 ustawy z dnia 30 sierpnia 2002 r. Prawo o postępowaniu przed sądami administracyjnymi (Dz. U. z 2023 r. poz. 259, zwana dalej: p.p.s.a.), sądy administracyjne sprawują kontrolę działalności administracji publicznej i stosują środki określone w ustawie. Oznacza to, iż sąd rozpoznając skargę ocenia, czy zaskarżona decyzja nie narusza przepisów prawa materialnego bądź przepisów postępowania administracyjnego. Zgodnie z art. 134 p.p.s.a. Sąd rozstrzyga w granicach danej sprawy, nie będąc jednak związany zarzutami i wnioskami skargi oraz powołaną w niej podstawą prawną. Zgodnie z art. 135 p.p.s.a. orzekanie następuje w granicach sprawy, w której wydano zaskarżoną decyzję i odbywa się z uwzględnieniem wówczas obowiązujących przepisów prawa.
W pierwszej kolejności Sąd podkreśla, że w pełni akceptuje i podziela argumentację PUODO, zawartą w zaskarżonej decyzji, przyjmując ją za własną.
Dodatkowo zaznaczenia wymaga, że postępowanie w sprawie naruszenia przepisów o ochronie danych jest jednym z postępowań administracyjnych przed Prezesem UODO. O takim jego charakterze rozstrzyga art. 7 ust. 1 u.o.d.o., zgodnie z którym w sprawach nieuregulowanych w ustawie, do postępowań administracyjnych przed Prezesem Urzędu Ochrony Danych Osobowych, o których mowa w rozdziale 4-7 i 11 (a więc również w rozdziale 7 dotyczącym postępowania w sprawie naruszenia przepisów o ochronie danych osobowych), stosuje się przepisy Kodeksu postępowania administracyjnego (dalej jako k.p.a.). Według zasad określonych w k.p.a. prowadzone jest też postępowanie dowodowe oraz postępowanie wyjaśniające - pozwalające ustalić dokładny stan faktyczny w danej sprawie. W wyniku postępowania wyjaśniającego organ administracji publicznej ma dotrzeć do wskazanej w art. 7 k.p.a. prawdy obiektywnej, co czyni za pomocą środków dowodowych.
Jak wynika z przedłożonych przy skardze akt administracyjnych, w celu ustalenia stanu faktycznego sprawy, w związku ze złożoną przez wnioskodawcę skargą, organ wystąpił do Banku oraz do BIK o złożenie pisemnych wyjaśnień oraz potwierdzających je dowodów. Ustalono, że dane osobowe wnioskodawcy skarżący pozyskali od niego, w związku z wnioskiem o kredyt, niezakończony zawarciem umowy.
Ponieważ wniosek uczestnika postępowania nie przeszedł pomyślnej weryfikacji, nie doszło do zawarcia umowy, dlatego zwracał się on o usunięcie jego danych osobowych, wniosków tych jednak bank ani BIK nie uwzględnili.
Stan faktyczny niniejszej sprawy został ustalony prawidłowo przez Prezesa UODO.
Zdaniem Sądu, w zaskarżonej decyzji organ w sposób wyczerpujący wyjaśnił podstawy prawne rozstrzygnięcia i dokonał wykładni mających zastosowanie w sprawie przepisów prawa. Uzasadnienie decyzji jest pełne i wyczerpujące, tak jak tego wymaga art. 107 § 1 pkt 6 w zw. z art. 107 § 3 k.p.a. oraz art. 11 k.p.a.; odpowiada więc wymogom, określonym w przepisach art. 107 § 1 pkt 6 w zw. z art. 107 § 3 k.p.a.
PUODO rozważył wszystkie przepisy, które potencjalnie mogłyby legalizować przetwarzanie tj. art. 6 ust.1 i art.58 ust.2 lit.c) RODO, art.70 i 105a prawa bankowego, art. 33, art. 35 ust. 1, art. 41 ust. 1 pkt 1 i 4, art. 2 ust. 2 pkt 20, art. 49 ust. 1 u.p.p.p.f.t. (AML), i art. 118 k.c. W uzasadnieniu decyzji organ odniósł się więc zarówno do podniesionej przez bank argumentacji, jak również rozszerzył ją o inne przepisy ustawy AML, rozporządzenia 2016/679 oraz kodeksu cywilnego, które w jego ocenie mogłyby mieć zastosowanie w niniejszej sprawie. W ocenie Sądu, z uzasadnienia zaskarżonej decyzji wyraźnie wynikają przyczyny, z powodu których Prezes UODO uznał, że nieprawidłowy jest proces przetwarzania danych osobowych uczestnika postępowania przez skarżące podmioty. Uzasadnienie zaskarżonej decyzji jest spójne wewnętrznie i logiczne, nie zawiera luk ani sprzeczności.
W toku prowadzonego postępowania administracyjnego nie doszło do naruszenia powoływanych w skardze art. 7, art. 7b, art. 77 i art. 80 k.p.a. Organ przeprowadził wymagane prawem postępowanie wyjaśniające, wystarczające dla ustalenia okoliczności mających podstawowe znaczenie dla rozstrzygnięcia sprawy i dokonania oceny, czy zaistniały prawem przewidziane warunki do wydania decyzji.
Przypomnieć należy, że zgodnie z zasadą wyrażoną w art. 80 k.p.a., organ prowadzący postępowanie według swojej wiedzy, doświadczenia oraz wewnętrznego przekonania ocenia wartość dowodową poszczególnych środków dowodowych, wpływ udowodnienia jednej okoliczności na inne okoliczności. Oceniając wyniki postępowania dowodowego (wiarygodność i moc dowodów), organ powinien uwzględnić treść wszystkich przeprowadzonych i rozpatrzonych dowodów, wskazując w uzasadnieniu decyzji fakty, które uznał za udowodnione, dowody, na których się oparł oraz przyczyny, z powodu których innym dowodom odmówił wiarygodności i mocy dowodowej. Analiza uzasadnienia zaskarżonej decyzji prowadzi do wniosku, że Prezes UODO dochował powyższych obowiązków i nie naruszył zasad swobodnej oceny dowodów.
Przed wydaniem zaskarżonej decyzji, zgodnie z obowiązującymi w tym zakresie przepisami k.p.a., organ poinformował skarżących o treści art. 10 § 1 k.p.a. tj. o zgromadzeniu materiału dowodowego, wystarczającego do wydania decyzji, na które skarżący nie zareagował i nie wskazał innych, aniżeli uprzednio podnoszone, podstaw przetwarzania danych osobowych wnioskodawcy.
W sprawie nie doszło też do naruszenia art. 107 § 1 pkt 4 w związku z art. 6 i art. 6 k.p.a. Ocena organu obejmowała legalność przetwarzania przez skarżących danych osobowych wnioskodawcy, prawidłowo więc jako podstawę decyzji wskazano właśnie art. 6 ust. 1 rozporządzenia 2016/679, który wymienia wszystkie przesłanki legalizujące takie działanie. Ponadto jako podstawę decyzji organ wskazał także art. 58 ust. 2 lit. c rozporządzenia 2016/679, przewidującego zastosowanie środka naprawczego zastosowanego wobec skarżącego w postaci nakazu.
W kontekście poczynionych wyżej rozważań za niezasadne uznać należy podnoszone w skardze zarzuty, dotyczące naruszenia przez Prezesa UODO przepisów postępowania, odnoszące się do nieuwzględnienia przez organ, że bank przetwarza dane osobowe uczestnika postępowania na podstawie art. 6 ust. 1 lit. c rozporządzenia 2016/679 w związku z art. 34 ust. 1 i 3, art. 35 ust. 1 pkt 1 i art. 41 ust. 1 pkt 1 u.p.p.p.f.t., które to przepisy nakładają na bank obowiązek stosowania środków bezpieczeństwa finansowego także przed nawiązaniem stosunków gospodarczych, wykonywania tych środków oraz dokumentowania ich wykonania. Zauważyć w tym zakresie należy, uzasadnienie zaskarżonej decyzji zawiera treść przywołanych przepisów i ocenę organu w kontekście ich zastosowania w niniejszej sprawie, która zdaniem Sądu jest prawidłowa.
Odnosząc się do materialnych podstaw sprawy wskazać należy, iż użyte w art. 60 u.o.d.o. określenie "naruszenie przepisów o ochronie danych osobowych" ma szeroki zakres i obejmuje naruszenia wszystkich przepisów o ochronie danych, zarówno zawartych w unijnym rozporządzeniu, jak i w przepisach krajowych, które uzupełniają lub modyfikują regulacje unijne. Zgodnie z treścią art. 4 pkt 2 rozporządzenia 2016/679, przez "przetwarzanie" rozumie się operację lub zestaw operacji, wykonywanych na danych osobowych lub zestawach danych osobowych w sposób zautomatyzowany lub niezautomatyzowany, takie jak zbieranie, utrwalanie, organizowanie, porządkowanie, przechowywanie, adaptowanie lub modyfikowanie, pobieranie, przeglądanie, wykorzystywanie, ujawnianie poprzez przesłanie, rozpowszechnianie lub innego rodzaju udostępnianie, dopasowywanie lub łączenie, ograniczanie, usuwanie lub niszczenie.
Zgodnie z art. 6 ust. 1 rozporządzenia 2016/679 przetwarzanie jest zgodne z prawem wyłącznie w przypadkach, gdy – i w takim zakresie, w jakim – spełniony jest co najmniej jeden z poniższych warunków: a) osoba, której dane dotyczą wyraziła zgodę na przetwarzanie swoich danych osobowych w jednym lub większej liczbie określonych celów; b) przetwarzanie jest niezbędne do wykonania umowy, której stroną jest osoba, której dane dotyczą, lub do podjęcia działań na żądanie osoby, której dane dotyczą, przed zawarciem umowy; c) przetwarzanie jest niezbędne do wypełnienia obowiązku prawnego ciążącego na administratorze; d) przetwarzanie jest niezbędne do ochrony żywotnych interesów osoby, której dane dotyczą, lub innej osoby fizycznej; e) przetwarzanie jest niezbędne do wykonania zadania realizowanego w interesie publicznym lub w ramach sprawowania władzy publicznej powierzonej administratorowi; f) przetwarzanie jest niezbędne do celów wynikających z prawnie uzasadnionych interesów realizowanych przez administratora lub przez stronę trzecią, z wyjątkiem sytuacji, w których nadrzędny charakter wobec tych interesów mają interesy lub podstawowe prawa i wolności osoby, której dane dotyczą, wymagające ochrony danych osobowych, w szczególności gdy osoba, której dane dotyczą, jest dzieckiem.
Zgodnie natomiast z art. 17 ust. 1 rozporządzenia 2016/679 osoba, której dane dotyczą, ma prawo żądania od administratora niezwłocznego usunięcia dotyczących jej danych osobowych, a administrator ma obowiązek bez zbędnej zwłoki usunąć dane osobowe, jeżeli zachodzi jedna z następujących okoliczności: a) dane osobowe nie są już niezbędne do celów, w których zostały zebrane lub w inny sposób przetwarzane; b) osoba, której dane dotyczą, cofnęła zgodę, na której opiera się przetwarzanie zgodnie art. 6 ust. 1 lit. a) lub art. 9 ust. 2 lit. a), i nie ma innej podstawy prawnej przetwarzania; c) osoba, której dane dotyczą, wnosi sprzeciw na mocy art. 21 ust. 1 wobec przetwarzania i nie występują nadrzędne prawnie uzasadnione podstawy przetwarzania lub osoba, której dane dotyczą, wnosi sprzeciw na mocy art. 21 ust. 2 wobec przetwarzania; d) dane osobowe były przetwarzane niezgodnie z prawem; e) dane osobowe muszą zostać usunięte w celu wywiązania się z obowiązku prawnego przewidzianego w prawie Unii lub prawie państwa członkowskiego, któremu podlega administrator; f) dane osobowe zostały zebrane w związku z oferowaniem usług społeczeństwa informacyjnego, o których mowa w art. 8 ust. 1. Jeżeli administrator upublicznił dane osobowe, a na mocy ust. 1 ma obowiązek usunąć te dane osobowe, to - biorąc pod uwagę dostępną technologię i koszt realizacji - podejmuje rozsądne działania, w tym środki techniczne, by poinformować administratorów przetwarzających te dane osobowe, że osoba, której dane dotyczą, żąda, by administratorzy ci usunęli wszelkie łącza do tych danych, kopie tych danych osobowych lub ich replikacje (art. 17 ust. 2).
Zgodnie z art. 17 ust. 3 rozporządzenia 2016/679 ust. 1 i 2 nie mają zastosowania w zakresie, w jakim przetwarzanie jest niezbędne: a) do korzystania z prawa do wolności wypowiedzi i informacji; b) do wywiązania się z prawnego obowiązku wymagającego przetwarzania na mocy prawa Unii lub prawa państwa członkowskiego, któremu podlega administrator lub do wykonania zadania realizowanego w interesie publicznym lub w ramach sprawowania władzy publicznej powierzonej administratorowi; c) z uwagi na względy interesu publicznego w dziedzinie zdrowia publicznego zgodnie z art. 9 ust. 2 lit. h) oraz i) i art. 9 ust. 3; d) do celów archiwalnych w interesie publicznym, do celów badań naukowych lub historycznych lub do celów statystycznych zgodnie z art. 89 ust. 1, o ile prawdopodobne jest, że prawo, o którym mowa w ust. 1, uniemożliwi lub poważnie utrudni realizację celów takiego przetwarzania; lub e) do ustalenia, dochodzenia lub obrony roszczeń.
Ponadto według treści art. 21 ust. 1 rozporządzenia 2016/679 osoba, której dane dotyczą, ma prawo w dowolnym momencie wnieść sprzeciw - z przyczyn związanych z jej szczególną sytuacją - wobec przetwarzania dotyczących jej danych osobowych opartego na art. 6 ust. 1 lit. e) lub f), w tym profilowania na podstawie tych przepisów. Administratorowi nie wolno już przetwarzać tych danych osobowych, chyba że wykaże on istnienie ważnych prawnie, uzasadnionych podstaw do przetwarzania, nadrzędnych wobec interesów, praw i wolności osoby, której dane dotyczą, lub podstaw do ustalenia, dochodzenia lub obrony roszczeń. Jeżeli dane osobowe są przetwarzane na potrzeby marketingu bezpośredniego, osoba, której dane dotyczą, ma prawo w dowolnym momencie wnieść sprzeciw wobec przetwarzania dotyczących jej danych osobowych na potrzeby takiego marketingu, w tym profilowania, w zakresie, w jakim przetwarzanie jest związane z takim marketingiem bezpośrednim (ust. 2). Jeżeli osoba, której dane dotyczą, wniesie sprzeciw wobec przetwarzania do celów marketingu bezpośredniego, danych osobowych nie wolno już przetwarzać do takich celów (ust. 3). Najpóźniej przy okazji pierwszej komunikacji z osobą, której dane dotyczą, wyraźnie informuje się ją o prawie, o którym mowa w ust. 1 i 2, oraz przedstawia się je jasno i odrębnie od wszelkich innych informacji (ust. 4). W związku z korzystaniem z usług społeczeństwa informacyjnego i bez uszczerbku dla dyrektywy 2002/58/WE osoba, której dane dotyczą, może wykonać prawo do sprzeciwu za pośrednictwem zautomatyzowanych środków wykorzystujących specyfikacje techniczne (ust. 5). Jeżeli dane osobowe są przetwarzane do celów badań naukowych lub historycznych lub do celów statystycznych na mocy art. 89 ust. 1, osoba, której dane dotyczą, ma prawo wnieść sprzeciw - z przyczyn związanych z jej szczególną sytuacją - wobec przetwarzania dotyczących jej danych osobowych, chyba że przetwarzanie jest niezbędne do wykonania zadania realizowanego w interesie publicznym (ust. 6).
Wskazać należy, że zgodnie z art. 33 ust. 2 i 3 u.p.p.p.f.t. instytucje obowiązane rozpoznają ryzyko prania pieniędzy oraz finansowania terroryzmu, związane ze stosunkami gospodarczymi lub z transakcją okazjonalną oraz oceniają poziom rozpoznanego ryzyka. Instytucje obowiązane dokumentują rozpoznane ryzyko prania pieniędzy oraz finansowania terroryzmu, związane ze stosunkami gospodarczymi lub z transakcją okazjonalną oraz jego ocenę, uwzględniając w szczególności czynniki dotyczące: 1) rodzaju klienta, 2) obszaru geograficznego, 3) przeznaczenia rachunku, 4) rodzaju produktów, usług i sposobów ich dystrybucji, 5) poziomu wartości majątkowych deponowanych przez klienta lub wartości przeprowadzonych transakcji, 6) celu, regularności lub czasu trwania stosunków gospodarczych.
W myśl art. 34 ust. 1 pkt 4 u.p.p.p.f.t., środki bezpieczeństwa finansowego obejmują bieżące monitorowanie stosunków gospodarczych klienta, w tym: a) analizę transakcji przeprowadzanych w ramach stosunków gospodarczych w celu zapewnienia, że transakcje te są zgodne z wiedzą instytucji obowiązanej o kliencie, rodzaju i zakresie prowadzonej przez niego działalności oraz zgodne z ryzykiem prania pieniędzy oraz finansowania terroryzmu związanym z tym klientem, b) badanie źródła pochodzenia wartości majątkowych będących w dyspozycji klienta - w przypadkach uzasadnionych okolicznościami, c) zapewnienie, że posiadane dokumenty, dane lub informacje dotyczące stosunków gospodarczych są na bieżąco aktualizowane.
Identyfikacja klienta, zgodnie z art. 36 ust. 1 ustawy AML polega na ustaleniu w przypadku osoby fizycznej: a) imienia i nazwiska, b) obywatelstwa, c) numeru PESEL lub daty urodzenia - w przypadku gdy nie nadano numeru PESEL, oraz państwa urodzenia, d) serii i numeru dokumentu stwierdzającego tożsamość osoby, e) adresu zamieszkania - w przypadku posiadania tej informacji przez instytucję obowiązaną, f) nazwy (firmy), NIP oraz adresu głównego miejsca wykonywania działalności gospodarczej - w przypadku osoby fizycznej prowadzącej działalność gospodarczą.
W myśl art. 49 ust. 1 i 2 u.p.p.p.f.t. instytucje obowiązane przechowują przez okres 5 lat, licząc od dnia zakończenia stosunków gospodarczych z klientem lub od dnia przeprowadzenia transakcji okazjonalnej: 1) uzyskane w wyniku stosowania środków bezpieczeństwa finansowego kopie dokumentów i informacje, w tym informacje uzyskane za pomocą środków identyfikacji elektronicznej (...), 2) dowody potwierdzające przeprowadzone transakcje i ewidencje transakcji, obejmujące oryginalne dokumenty lub kopie dokumentów konieczne do identyfikacji transakcji. Instytucje obowiązane przechowują wyniki analiz, o których mowa w art. 34 ust. 3, przez okres 5 lat, licząc od dnia ich przeprowadzenia.
Powołane przepisy dotyczą stosowania środków bezpieczeństwa finansowego wobec klientów instytucji (banków) w ramach prowadzonych stosunków gospodarczych. Nie odnoszą się natomiast do sytuacji, w której przetwarzane są dane ze składanych do banków wniosków, co do których nie doszło do nawiązania stosunku gospodarczego (nie zawarto umowy rachunku bankowego).
Odnosząc zatem powyższe regulacje prawne do stanu faktycznego niniejszej sprawy Sąd stwierdza, że gdy nie doszło do zawarcia umowy kredytowej i wnioskodawca zwrócił się o usunięcie jego danych osobowych, bank ani BIK nie miały podstaw prawnych do dalszego legalnego przetwarzania jego danych osobowych, w celach archiwalnych. Tym samym organ nie naruszył art. 6 ust. 1 lit. c rozporządzenia 2016/679 w związku z art. 49 ust. 1 i 2 oraz w związku z art. 2 ust. 2 pkt 10 oraz art. 33 ust. 2, art. 34 ust. 1 pkt 1 i 2, art. 36 ust. 1 pkt 1 u.p.p.p.f.t.
Odnosząc się do zarzutu skargi, dotyczącego przetwarzania danych archiwalnych w celu archiwalnym (na wypadek wystąpienia przez klienta banku z roszczeniem), Sąd stwierdza, iż zebrany przez organ w toku postępowania administracyjnego materiał dowodowy nie wykazał, by wnioskodawca wystąpił wobec banku z jakimkolwiek roszczeniem, które uprawniłoby bank lub BIK do zachowania i przetwarzania jego danych osobowych dla celów dowodowych w związku z dochodzeniem przez niego owego roszczenia.
Kodeks cywilny (z dnia 23 kwietnia 1964 r., tj. Dz.U. 2019, poz.1145) w art. 117 § 1 stanowi, że z zastrzeżeniem wyjątków w ustawie przewidzianych, roszczenia majątkowe ulegają przedawnieniu. Stosownie do § 2, po upływie terminu przedawnienia ten, przeciwko komu przysługuje roszczenie, może uchylić się od jego zaspokojenia, chyba że zrzeka się korzystania z zarzutu przedawnienia. Jednakże zrzeczenie się zarzutu przedawnienia przed upływem terminu jest nieważne. W myśl § 21 po upływie terminu przedawnienia nie można domagać się zaspokojenia roszczenia przysługującego przeciwko konsumentowi.
Zgodnie z art. 118 k.c. jeżeli przepis szczególny nie stanowi inaczej, termin przedawnienia wynosi sześć lat, a dla roszczeń o świadczenia okresowe oraz roszczeń związanych z prowadzeniem działalności gospodarczej - trzy lata. Jednakże koniec terminu przedawnienia przypada na ostatni dzień roku kalendarzowego, chyba że termin przedawnienia jest krótszy niż dwa lata. Na podstawie art. 119 k.c., terminy przedawnienia nie mogą być skracane ani przedłużane przez czynność prawną.
Nie ma możliwości uznania - jako podstawy aktualnego przetwarzania danych osobowych wnioskodawcy - zabezpieczenie interesów banku lub BIK na okoliczność ewentualnego dochodzenia przez wnioskodawcę roszczeń przed sądem. Materiał dowodowy nie wykazał, by wnioskodawca wystąpił wobec banku z jakimkolwiek roszczeniem, które uprawniłoby bank lub BIK do zachowania i przetwarzania jego danych osobowych dla celów dowodowych w związku z dochodzeniem przez nich tego roszczenia.
Gdyby natomiast (hipotetycznie) wnioskodawca wystąpił z roszczeniami do sądu powszechnego, musiałby podać wszystkie swoje dane osobowe, niezbędne do prowadzenia postępowania, określone w kodeksie postępowania cywilnego (dalej jako k.p.c.).
Przepis art. 126 § 1 k.p.c. stanowi, że każde pismo procesowe powinno zawierać:
1) oznaczenie sądu, do którego jest skierowane;
2) imiona i nazwiska lub nazwy stron, ich przedstawicieli ustawowych i pełnomocników;
3) oznaczenie rodzaju pisma;
4) osnowę wniosku lub oświadczenia;
5) w przypadku gdy jest to konieczne do rozstrzygnięcia co do wniosku lub oświadczenia - wskazanie faktów, na których strona opiera swój wniosek lub oświadczenie, oraz wskazanie dowodu na wykazanie każdego z tych faktów;
6) podpis strony albo jej przedstawiciela ustawowego lub pełnomocnika;
7) wymienienie załączników.
Zgodnie z § 2, gdy pismo procesowe jest pierwszym pismem w sprawie, powinno ponadto zawierać oznaczenie przedmiotu sporu oraz:
1) oznaczenie miejsca zamieszkania lub siedziby i adresy stron albo, w przypadku gdy strona jest przedsiębiorcą wpisanym do Centralnej Ewidencji i Informacji o Działalności Gospodarczej - adres do korespondencji wpisany do Centralnej Ewidencji i Informacji o Działalności Gospodarczej;
11) oznaczenie miejsca zamieszkania lub siedziby i adresy przedstawicieli ustawowych i pełnomocników stron;
2) numer Powszechnego Elektronicznego Systemu Ewidencji Ludności (PESEL) lub numer identyfikacji podatkowej (NIP) powoda będącego osobą fizyczną, jeżeli jest on obowiązany do jego posiadania lub posiada go nie mając takiego obowiązku lub
3) numer w Krajowym Rejestrze Sądowym, a w przypadku jego braku - numer w innym właściwym rejestrze, ewidencji lub NIP powoda niebędącego osobą fizyczną, który nie ma obowiązku wpisu we właściwym rejestrze lub ewidencji, jeżeli jest on obowiązany do jego posiadania.
Bank ani BIK, jako hipotetyczni pozwani, nie muszą więc przechowywać tak daleko idących danych wnioskodawcy, jak ustalone w sprawie, na wypadek wystąpienia przez niego z ewentualnymi roszczeniami ("na zapas"), gdyż w potencjalnie wniesionym pozwie musiałyby one zostać przez wnioskodawcę podane, więc bank lub BIK miałby do nich pełny wgląd. Brak w pozwie tych danych wnioskodawcy musiałby zostać uzupełniony pod rygorem zwrotu pozwu (art.130 k.p.c.), wnioskodawca nie może więc uniknąć ich podania.
Prawidłowo zatem organ uznał, że brak jest spełnienia przesłanki niezbędności do celów wynikających z prawnie usprawiedliwionych interesów, realizowanych przez administratora odnośnie przetwarzania danych osobowych. Przesłanka z art. 6 ust 1 lit. f rozporządzenia 2016/679 dotyczy sytuacji już istniejącej, w której celem wynikającym z prawnie uzasadnionych interesów realizowanych przez administratora jest konieczność udowodnienia, potrzeba dochodzenia lub obrony przed roszczeniem istniejącym, nie zaś sytuacji, gdy dane są przetwarzane w celu zabezpieczenia się przed ewentualnym roszczeniem.
Ponadto zgodnie z art. 5 ust. 1 lit. e rozporządzenia 2016/679 dane osobowe muszą być przechowywane w formie umożliwiającej identyfikację osoby, której dane dotyczą, przez okres nie dłuższy, niż jest to niezbędne do celów, w których dane te są przetwarzane; dane osobowe można przechowywać przez okres dłuższy, o ile będą one przetwarzane wyłącznie do celów archiwalnych w interesie publicznym, do celów badań naukowych lub historycznych lub do celów statystycznych na mocy art. 89 ust. 1 z zastrzeżeniem, że wdrożone zostaną odpowiednie środki techniczne i organizacyjne wymagane na mocy niniejszego rozporządzenia w celu ochrony praw i wolności osób, których dane dotyczą ("ograniczenie przechowywania"). Skarżący nie przetwarza danych osobowych w interesie publicznym, tylko własnym, zatem przesłanka ta nie miała zastosowania w niniejszej sprawie.
Jednocześnie Sąd zauważa, że brak jest uzasadnienia dla przyjęcia, iż terminy dotyczące przedawnienia roszczeń, wynikających ze stosunków zobowiązaniowych określają jednocześnie ramy czasowe, w których dane osobowe mogą być przetwarzane przez bank. Przedawnienie roszczenia nie wywołuje skutków na gruncie ochrony danych osobowych, nie wpływa bowiem na fakt istnienia roszczenia, a powoduje jedynie zmianę w sferze zarzutów procesowych w postaci możliwości podniesienia okoliczności przedawnienia w sporze sądowym.
W okolicznościach niniejszej sprawy przetwarzanie danych osobowych uczestnika postępowania nie ma umocowania w przepisach prawa i nie jest niezbędne dla wypełnienia prawnie usprawiedliwionych celów realizowanych przez bank i BIK, a w szczególności podjęcia obrony przed ewentualnymi reklamacjami lub roszczeniami odszkodowawczymi.
Dlatego nie doszło do naruszenia art. 6 ust. 1 lit. f w związku z art. 5 ust. 1 lit. e rozporządzenia 2016/679 w związku z art. 118 k.c. i innymi przepisami o przedawnieniu, bowiem jak przedstawiono wyżej, Prezes UODO prawidłowo wywiódł, że określona tym przepisem podstawa przetwarzania danych osobowych nie wystąpiła w niniejszej sprawie.
Stwierdzenie przez Sąd, że wszystkie podniesione w skardze zarzuty są bezzasadne, skutkowało oddaleniem skargi. Sąd nie stwierdził też wad decyzji, które nakazywałyby wyeliminowanie jej z porządku prawnego z urzędu.
Mając to na uwadze Sąd, działając na podstawie art. 151 p.p.s.a., orzekł jak w sentencji wyroku.