II SA/Wa 1463/22

II SA/Wa 1463/22 - Wyrok WSA w Warszawie
Data orzeczenia
2022-12-20
orzeczenie nieprawomocne
Data wpływu
2022-08-24
Sąd
Wojewódzki Sąd Administracyjny w Warszawie
Sędziowie
Andrzej Góraj
Arkadiusz Koziarski. /sprawozdawca/
Joanna Kube /przewodniczący/
Symbol z opisem
647  Sprawy związane z ochroną danych osobowych
Hasła tematyczne
Ochrona danych osobowych
Sygn. powiązane
III OSK 753/23 - Postanowienie NSA z 2023-05-09
Skarżony organ
Generalny Inspektor Ochrony Danych Osobowych
Treść wyniku
Oddalono skargi
Powołane przepisy
Dz.U. 2021 poz 2439
art. 105a
Ustawa z dnia 29 sierpnia 1997 r. Prawo bankowe (t.j.)
Sentencja
Wojewódzki Sąd Administracyjny w Warszawie w składzie następującym: Przewodniczący Sędzia WSA Joanna Kube, Sędzia WSA Andrzej Góraj, Asesor WSA Arkadiusz Koziarski (spr.), Protokolant sekretarz sądowy Marcin Rusinowicz-Borkowski po rozpoznaniu na rozprawie w dniu 20 grudnia 2022 r. sprawy ze skargi C. S.A. z siedzibą w [...] na decyzję Prezesa Urzędu Ochrony Danych Osobowych z dnia [...] czerwca 2022 r. nr [...] oraz ze skargi Biura Informacji Kredytowej S.A. z siedzibą w [...] na pkt 2 decyzji Prezesa Urzędu Ochrony Danych Osobowych z dnia [...] czerwca 2022 r. nr [....] w przedmiocie przetwarzania danych osobowych oddala skargi
Uzasadnienie
Prezes Urzędu Ochrony Danych Osobowych, dalej "PUODO", decyzją z dnia [...] czerwca 2022 r. nr [...] wydaną na podstawie art. 104 § 1 oraz ustawy z dnia 14 czerwca 1960 r. Kodeks postępowania administracyjnego (Dz.U. z 2021 r. poz. 735, z późn. zm.), dalej "k.p.a." w zw. z art. z art. 7 ust. 1 i 2 ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych (t. j. Dz. U. z 2019 r. poz. 1781), dalej "u.o.d.o." oraz art. 6 ust. 1 i art. 58 ust. 2 lit. b i c Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (Dz. Urz. UE L 119 z 4.05.2016, str. 1, Dz. Urz. UE L 127 z 23.05.2018, str. 2 oraz Dz. Urz. UE L 74 z 4.03.2021, str. 35), dalej "RODO", po przeprowadzeniu postępowania administracyjnego w sprawie skargi M. H., dalej "skarżący" lub "uczestnik postepowania", na nieprawidłowości w procesie przetwarzania jego danych osobowych przez [...] S.A. z siedzibą w [...]., dalej "Bank", polegające na przetwarzaniu jego danych osobowych w zakresie zapytań kredytowych z dnia [...] grudnia 2019 r., [...] marca 2020 r., [...] maja 2020 r., [...] czerwca 2020 r. niezakończonych udzieleniem kredytu, bez podstawy prawnej, w tym w [...] S. A. z siedzibą w [...]., dalej "[...]", oraz na odmowie spełnienia żądania skarżącego w zakresie usunięcia przez Bank informacji o tych zapytaniach:
1. nakazał Bankowi, usunięcie danych osobowych skarżącego, w zakresie zapytań kredytowych z: [...] marca 2020 r., [...] maja 2020 r., [...] czerwca 2020 r., niezakończonych udzieleniem kredytu;
2. nakazał [...] usunięcie danych osobowych skarżącego, w zakresie zapytań kredytowych z: [...] marca 2020 r., [...] maja 2020 r., [...] czerwca 2020 r., niezakończonych udzieleniem kredytu, przekazanych przez Bank;
3. udzielił Bankowi, upomnienia za przetwarzanie danych osobowych skarżącego H., w zakresie zapytania kredytowego z dnia [...] grudnia 2019 r. bez podstawy prawnej w okresie od [...] grudnia 2019 r. do [...] grudnia 2020 r.
W uzasadnieniu organ wyjaśnił, że do Urzędu wpłynęła skarga skarżącego, na nieprawidłowości w procesie przetwarzania jego danych osobowych Bank, polegające na przetwarzaniu jego danych osobowych w zakresie zapytań kredytowych z dnia [...] grudnia 2019 r., [...] marca 2020 r., [...] maja 2020 r., [...] czerwca 2020 r. niezakończonych udzieleniem kredytu, bez podstawy prawnej, w tym w [...] oraz na odmowie spełnienia żądania skarżącego w zakresie usunięcia przez Bank informacji o tych zapytaniach.
PUODO wskazał, że ustalił następujący stan faktyczny.
Skarżący dwukrotnie zwrócił się do Banku z wnioskiem o usunięcie z [...] dotyczących go informacji w zakresie zapytań kredytowych, niezakończonych udzieleniem kredytu. Bank odmówił usunięcia ww. informacji. Wobec powyższego, skarżący wniósł do PUODO o nakazanie Bankowi usunięcia dotyczących go zapytań kredytowych z dnia [...] grudnia 2019r, [...] marca 2020 r., [...] maja 2020 r. oraz [...] czerwca 2020r., udostępnionych przez Bank w [...].
W złożonych wyjaśnieniach Bank wskazał, że dane osobowe skarżącego pozyskał w związku z zawartą z nim umową kredytu na zakup towarów/usług nr [...] z dnia [...] maja 2011 r., oraz w związku z zapytaniami kredytowymi z: [...] listopada 2019 r., [...] grudnia 2019 r., [...] czerwca 2020 r., [...] lutego 2020 r., [...] marca 2020 r., [...] maja 2020 r. W związku z powyższym Bank wskazał, że przetwarza dane osobowe skarżącego w zakresie: imię i nazwisko, PESEL, dane dokumentu tożsamości (data urodzenia, seria i numer dowodu osobistego, data wydania i ważności dowodu osobistego), dane teleadresowe klienta (adres zameldowania, adres korespondencyjny, numer telefonu, adres email), a także dane niezbędne do oceny zdolności kredytowej: stan cywilny, informacje o dochodzie i jego źródle, dane o obciążeniach gospodarstwa domowego skarżącego;
Bank wskazał, że dane osobowe skarżącego w zakresie zapytań kredytowych z dnia [...] marca 2020 r., [...] maja 2020 r., [...] czerwca 2020 r. przetwarza w celach: rozpatrywania reklamacji oraz ustalania, obrony i dochodzenia roszczeń - podstawą prawną jest realizacja prawnie uzasadnionego interesu Banku (art. 6 pkt 1. lit. f RODO); analizy (indywidualnego i portfelowego) ryzyka kredytowego (art. 105a ustawy z 29 sierpnia 1997 r. Prawo bankowe (Dz.U. 2021 poz. 2439), w zw. art. 6 pkt 1. lit. c RODO); tworzenia modeli scoringowych i przetwarzania danych pochodzących z zapytań kredytowych dla oceny innych osób podstawą prawną jest prawnie uzasadniony interes Banku (art. 6 pkt 1. lit. c RODO), który znajduje potwierdzenie w treści przepisów art. 70 ust. 1 i 105 ust. 4 prawa bankowego, oraz Rekomendacji T KNF dotyczącej dobrych praktyk w zakresie zarządzania ryzykiem detalicznych ekspozycji kredytowych w związku z badaniem zdolności kredytowej, korzystania z zewnętrznych baz danych, posiadania narzędzi analitycznych wspierających pomiar poziomu ryzyka związanego z detalicznymi ekspozycjami kredytowymi; realizacji wymogów ostrożnościowych, tj. oceny ogólnej ekspozycji oraz ryzyka ekspozycji Banku wynikających z RODO (art. 6 pkt 1. lit. c) RODO); wykonywania obowiązków związanych z przeciwdziałaniem praniu pieniędzy i finansowaniu terroryzmu, przeciwdziałaniem popełnianiu innych przestępstw, w tym przestępstw na szkodę banków na podstawie 106d Prawa bankowego oraz art. 34, art. 36 i art. 49 ustawy z dnia 1 marca 2018 r. o przeciwdziałaniu praniu pieniędzy oraz finansowaniu terroryzmu (Dz. U. z 2022 r. poz. 593, z późn. zm.), zwanej dalej " ustawa AML", (art. 6 pkt 1. lit. c RODO); realizacji prawa do wyjaśnienia oceny zdolności kredytowej na podstawie art. 70a Prawa bankowego (art. 6 pkt 1. lit. c RODO).
Ponadto Bank wskazał, że w zakresie zapytań kredytowych, które nie zakończyły się udzieleniem kredytu, Bank ustala terminy przetwarzania danych w oparciu o terminy przedawnienia roszczeń (art. 6 ust. 3 lit. e RODO) na podstawie art. 118 Kodeksu cywilnego na okres 6 lat od rozpatrzenia wniosku. Nadto Bank wskazał, że w związku ze złożonym sprzeciwem przez skarżącego, Bank od [...] lipca 2020 roku nie przetwarza jego danych w celach marketingowych. Bank wskazał nadto, że pismami z dnia [...] grudnia 2019 r. oraz [...] lipca 2020 r. skarżący zwrócił się o zaprzestanie przetwarzania jego danych osobowych w [...]. Pismem z dnia [...] lipca 2020 r. skarżący, zwrócił się do Banku o usunięcie z baz Banku oraz z [...] jego danych osobowych dotyczących zapytań kredytowych z dnia [...] grudnia 2019 r., [...] marca 2020 r., [...] maja 2020 r., [...] czerwca 2020 r. Bank pismem do skarżącego z dnia [...] lipca 2020 r. odmówił realizacji tego żądania, jednocześnie usunął w dniu [...] grudnia 2020 r. z bazy [...] zapytanie kredytowe z dnia [...] grudnia 2019 r.
Organ dalej wskazał, że Bank wyjaśnił, iż nie występował wobec skarżącego
z roszczeniami i nie zamierza występować. Skarżący wystąpił wobec Banku
z roszczeniem o usunięcie danych przetwarzanych przez Bank oraz w [...] związanymi z jego zapytaniami kredytowymi.
Z kolei [...] w złożonych wyjaśnieniach wskazał, że pozyskał i przetwarza dane osobowe skarżącego w zakresie zapytań kredytowych pochodzących z Banku z
[...] marca 2020 r., [...] maja 2020 r. oraz [...] czerwca 2020 r., na podstawie art. 105 ust. 1 pkt 1c, art. 105 ust. 4 oraz art. 105a ust. 1 Prawa bankowego, a także na podstawie łączącej Bank i [...] umowy. [...] wskazał, że przetwarza dane pochodzące z zapytań kredytowych przez okres 12 miesięcy od dnia złożenia zapytania w celu oceny zdolności kredytowej i analizy ryzyka kredytowego konkretnego klienta (indywidualna ocena zdolności kredytowej). [...] będzie przetwarzał dane osobowe skarżącego w związku ze złożonymi zapytaniami kredytowymi w celu budowy modeli scoringowych, tj. narzędzi wykorzystywanych przez banki do oceny zdolności kredytowej i analizy ryzyka kredytowego przez okres nie krócej niż 5 lat i nie dłużej niż 10 lat od dnia złożenia zapytania. [...] wskazał również, że ww. dane skarżącego będzie przetwarzał również: w celach statystycznych oraz stosowania metod wewnętrznych oraz innych metod i modeli przez okres nie dłuższy niż 10 lat; przez okres 12 miesięcy w celach przeciwdziałania przestępstwom oraz wykonywania obowiązków w zakresie określonym w przepisach o przeciwdziałaniu praniu pieniędzy oraz finansowaniu terroryzmu na podstawie art. 106d ustawy Prawo bankowe oraz przepisów ustawy AML (art. 33 ust. 2, art. 34 ust. 1 pkt 4); w celu rozpatrywania ewentualnych reklamacji lub roszczeń odszkodowawczych klientów, których termin przedawnienia zgodnie z art. 118 Kodeksu cywilnego wynosi 6 lat; w celu realizacji wniosków klientów banków dotyczących wyjaśnień dokonanej oceny zdolności kredytowej na podstawie art. 70a ustawy Prawo bankowe oraz z uwagi na konieczność wypełnienia ustawowego obowiązku wynikającego z art. 15 RODO w przypadku wystąpienia przez osobę, której dane dotyczą z wnioskiem o udzielenie informacji.
[...] wskazał również, że ani skarżący, ani Bank nie zwracali się do [...] z żądaniem zaprzestania przetwarzania danych pochodzących z ww. zapytań.
W dalszej części uzasadnienia decyzji PUODO wskazał, że co do zasady podstawą prawną przetwarzania danych osobowych klientów przez Bank i [...] może być obecnie art. 6 ust. 1 lit. f RODO, gdy przetwarzanie to jest niezbędne do celów wynikających z prawnie uzasadnionych interesów realizowanych przez administratora.
Następnie organ wyjaśnił, że zgodnie z art. 105a ust. 1 Prawa bankowego, przetwarzanie przez banki, inne instytucje ustawowo upoważnione do udzielania kredytów, instytucje pożyczkowe oraz podmioty, o których mowa w art. 59d ustawy z dnia 12 maja 2011 r. o kredycie konsumenckim, a także instytucje utworzone na podstawie art. 105 ust. 4, informacji stanowiących tajemnicę bankową i informacji udostępnionych przez instytucje pożyczkowe oraz podmioty, o których mowa w art. 59d ustawy z dnia 12 maja 2011 r. o kredycie konsumenckim, w zakresie dotyczącym osób fizycznych może być wykonywane, z zastrzeżeniem art. 104, 105 i art. 106 - 106d Prawa bankowego w celu oceny zdolności kredytowej i analizy ryzyka kredytowego. Zgodnie zaś z art. 105a ust. 4 Prawa bankowego Banki oraz instytucje, o których mowa w art. 105 ust. 4, mogą przetwarzać stanowiące tajemnicę bankową informacje dotyczące osoby fizycznej po wygaśnięciu zobowiązania wynikającego z umowy zawartej z bankiem lub inną instytucją ustawowo upoważnioną do udzielania kredytów bez zgody osoby, której informacje dotyczą, do celów stosowania metod wewnętrznych oraz innych metod i modeli, o których mowa w części trzeciej rozporządzenia nr 575/2013. Stosownie zaś do art. 105a ust. 5 Prawa bankowego przetwarzanie informacji stanowiących tajemnicę bankową w przypadkach, o których mowa w ust. 3, może być wykonywane przez okres nie dłuższy niż 5 lat od dnia wygaśnięcia zobowiązania, a w przypadku, o którym mowa w ust. 4, przez okres 12 lat od dnia wygaśnięcia zobowiązania. Ponadto stosownie do art. 70 ust. 1 Prawa bankowego, bank uzależnia przyznanie kredytu od zdolności kredytowej kredytobiorcy. Przez zdolność kredytową rozumie się zdolność do spłaty zaciągniętego kredytu wraz z odsetkami w terminach określonych w umowie.
Dalej organ podniósł, że skarżący w dniach [...] grudnia 2019 r., [...] marca 2020 r., [...] maja 2020 r. oraz [...] czerwca 2020r., wystąpił do Banku z wnioskami o udzielenie kredytu. Wobec czego Bank oraz [...], na podstawie art. 105a ust. 1 Prawa bankowego w zw. z art. 70 ust. 1 tej ustawy, były uprawnione do przetwarzania danych osobowych skarżącego w celu oceny jego zdolności kredytowej. PUODO podkreślił, że w związku z ww. zapytaniami nie doszło do zawarcia umowy kredytu pomiędzy skarżącym
a Bankiem. Zdaniem organu w związku z powyższym odpadła przesłanka legalizująca dalsze przetwarzanie danych osobowych skarżącego przez Bank oraz [...]. Przesłanki zawarte w art. 105a Prawa bankowego dotyczą bowiem przetwarzania informacji objętych tajemnicą bankową w okresie przed powstaniem zobowiązania, w trakcie jego trwania oraz po wygaśnięciu zobowiązania. Pomiędzy Bankiem a skarżącym nie zawiązał się żaden stosunek zobowiązaniowy, który stosownie do art. 105a ust. 1-6 Prawa bankowego dawałby podstawę do dalszego przetwarzania danych osobowych skarżącego. PUODO podkreślił również, że celem przetwarzania danych osobowych skarżącego była ocena zdolności kredytowej i analizy ryzyka kredytowego. W związku
z dokonaniem przez Bank oceny zdolności kredytowej i analizy ryzyka kredytowego ww. cel przetwarzania danych osobowych skarżącego został zrealizowany i brak jest podstaw prawnych do kontynuowania tego procesu.
Zdaniem PUODO za podstawę przetwarzania danych osobowych skarżącego, nie mogą być również uznane wskazane przez [...] cele statystyczne i analizy, w tym cel stosowania metod wewnętrznych oraz innych metod i modeli, o których mowa w części trzeciej rozporządzenia nr 575/2013. Powołany przez [...] art. 105a ust. 4 Prawa bankowego daje podstawy do przetwarzania informacji dotyczących osoby fizycznej stanowiących tajemnicę bankową po wygaśnięciu zobowiązania wynikającego z umowy zawartej z bankiem lub inną instytucją ustawowo upoważnioną do udzielania kredytów bez zgody osoby, której te informacje dotyczą. W przedmiotowej zaś sprawie nie doszło do zawarcia umowy kredytu pomiędzy skarżącym a Bankiem, a zatem nie powstał żaden stosunek zobowiązaniowy, o którym mowa w powyższym przepisie.
PUODO uznał również, że zebrany w sprawie materiał dowodowy nie wykazał, aby Bank lub [...] mogły przetwarzać dane osobowe skarżącego dotyczące zapytań kredytowych z [...] marca 2020 r., [...] maja 2020 r. oraz [...] czerwca 2020 r. na podstawie art. 106d Prawa bankowego w celach przeciwdziałania przestępstwom oraz wykonywania obowiązków w zakresie określonym w przepisach AML, albowiem w toku prowadzonego postępowania nie wykazano, aby zaszła którakolwiek z przesłanek określonych w ww. przepisach. W szczególności nie wykazano, aby zaszły uzasadnione podejrzenia, o których mowa w art. 106d ust. 1 pkt 1-2, oraz nie wskazał także nałożonego na niego obowiązku określonego w przepisach o przeciwdziałaniu praniu pieniędzy oraz finansowaniu terroryzmu, o którym mowa w art. 106d ust. 1 pkt 3.
Następnie organ odniósł się do powołanego zarówno przez Bank, jak i przez [...], argumentu wskazującego na przetwarzanie danych osobowych skarżącego w celu ustalenia, dochodzenia lub obrony roszczeń. PUODO podniósł, że zebrany w postępowaniu materiał dowodowy nie wykazał, aby skarżący wystąpił z jakimkolwiek roszczeniem wobec Banku czy [...], które uzasadniałoby uprawnienie tych podmiotów do zachowania i przetwarzania jego danych osobowych dla celów dowodowych w związku z dochodzeniem przez skarżącego tego roszczenia. Bank i [...] nie wskazały także na istnienie roszczeń, których dochodzą od skarżącego. Organ podkreślił, że przesłanka z art. 6 ust. 1 lit. f RODO dotyczy sytuacji już istniejącej, w której celem wynikającym z prawnie uzasadnionych interesów realizowanych przez administratora jest konieczność udowodnienia, potrzeba dochodzenia lub obrony przed roszczeniem istniejącym, nie zaś sytuacji, gdy dane są przetwarzane w celu zabezpieczenia się przed ewentualnym roszczeniem. Organ w tym zakresie powołał się na stanowisko wyrażone w wyroku NSA z dnia 6 marca 2019 r., I OSK 994/17 wyrażone na tle stosowania przesłanki wynikającej z art. 23 ust. 1 pkt 5 ustawy z dnia 29 sierpnia
1997 r. o ochronie danych osobowych (Dz. U. 2016 r. poz. 922 ze zm.), dotyczącej dopuszczalności przetwarzania danych osobowych dla wypełnienia prawnie usprawiedliwionych celów realizowanych przez administratorów danych albo odbiorców danych, gdy przetwarzanie nie narusza praw i wolności osoby, której dane dotyczą.
PUODO podniósł, że przyjęcie za prawidłowe stanowiska, iż przetwarzanie danych osobowych w celu uchylenia się od negatywnych skutków w przypadku zgłoszenia w przyszłości ewentualnego i nieokreślonego roszczenia, stanowi prawnie usprawiedliwiony cel w rozumieniu art. 6 ust. 1 lit. f RODO oznaczałoby, że dane osobowe skarżącego mogą być przetwarzane przez Bank i [...] permanentnie, bez konieczności ich usunięcia. Teoretycznie możliwym jest bowiem by skarżący zwrócił się do Banku lub [...] z roszczeniem po upływie terminu przedawnienia roszczenia. Prowadziłoby to tym samym do uznania, że przetwarzanie danych osobowych skarżącego przez Bank i [...] ma uzasadnienie w przesłance określonej w art. 6 ust. 1 lit. f RODO w celu realizacji prawa do obrony przed ewentualnym roszczeniem skarżącego również po upływie ww. terminu. Organ stwierdził również, że brak jest uzasadnienia dla przyjęcia, iż terminy dotyczące przedawnienia roszczeń wynikających ze stosunków zobowiązaniowych określają jednocześnie ramy czasowe, w których dane osobowe mogą być przetwarzane przez Bank i [...]. Przedawnienie roszczenia nie wywołuje skutków na gruncie ochrony danych osobowych, nie wpływa bowiem na fakt istnienia roszczenia, a powoduje jedynie zmianę w sferze zarzutów procesowych
w postaci możliwości podniesienia okoliczności przedawnienia w sporze sądowym. Zdaniem PUODO okolicznością usprawiedliwiającą przetwarzanie danych osobowych w celu dochodzenia roszczeń jest sam fakt istnienia roszczenia oraz zamiar jego dochodzenia, nie jest nią natomiast zmiana w uprawnieniach procesowych podmiotu pozwanego.
Ponadto organ podniósł, że brak jest również uzasadnienia dla przyjęcia, iż Bank jest uprawniony do przetwarzania danych osobowych w związku z koniecznością ewentualnego wypełnienia obowiązku wynikającego z art. 70a ust. 1 i ust. 2 Prawa bankowego. Stosownie do art. 70a ust. 1 prawa bankowego banki i inne instytucje ustawowo upoważnione do udzielania kredytów na wniosek osoby fizycznej, prawnej lub jednostki organizacyjnej niemającej osobowości prawnej, o ile posiada zdolność prawną, ubiegającej się o kredyt przekazują, w formie pisemnej, wyjaśnienie dotyczące dokonanej przez siebie oceny zdolności kredytowej wnioskującego. Stosownie zaś do art. 70a ust. 2 prawa bankowego wyjaśnienie, o którym mowa w ust. 1, obejmuje informacje na temat czynników, w tym danych osobowych wnioskującego, które miały wpływ na dokonaną ocenę zdolności kredytowej.
Odwołując się do poglądów wyrażonych w doktrynie organ wskazał, że jeśli bank w wyniku dokonanej oceny zdolności kredytowej (przeprowadzonej zgodnie z przyjętymi rekomendacjami KNF) - nie udzieli kredytu, zatem nie dojdzie do zawarcia umowy kredytu, stan taki nie rodzi po stronie ubiegającego się o kredyt żadnych roszczeń na drodze i cywilnoprawnej. Ubiegającemu się o kredyt przysługuje tylko możliwość wnioskowania o przedstawienie na piśmie przyczyn odmowy (B. Bajor [w:] L. Kociucki, J. M. Kondek, K. Królikowska, B. Bajor, Prawo bankowe. Komentarz do przepisów cywilnoprawnych, Warszawa 2020, art. 70(a)). Organ podkreślił, że art. 70a Prawa bankowego nie przewiduje żadnego terminu na złożenie wniosku o udzielenie informacji dotyczących odmowy udzielenia kredytu. Zdaniem PUODO powyższe nie oznacza jednak, że można jego dane osobowe przetwarzać bezterminowo, gdyż byłoby to sprzeczne z zasadą ograniczenia przechowywania, określoną w art. 5 ust. 1 lit. e). Ponadto powstanie obowiązku, o którym mowa w art. 70a ust. 1 Prawa bankowego, uzależnione jest od złożenia stosownego wniosku przez osobę ubiegającą się o kredyt. W niniejszej sprawie ustalono, że skarżący w dniach [...] marca 2020 r., [...] maja 2020 r., [...] czerwca 2020 r., r. składał zapytania kredytowe do Banku, które ostatecznie nie zakończyły się zawarciem umowy z Bankiem. Skarżący dwukrotnie zwracał się do Banku o usunięcie jego danych osobowych z [...], w zakresie dotyczącym ww. zapytań kredytowych. Proces przetwarzania danych osobowych związanych z ww. zapytaniami kredytowymi zakwestionował następnie w niniejszym postępowaniu, domagając się ochrony danych osobowych. Uwzględnienie żądania skarżącego usunięcia przedmiotowych danych skutkować będzie brakiem możliwości udzielenia informacji wskazanych w art. 70a ust. 1 i 2 prawa bankowego, z czym skarżący, żądając usunięcia danych, musi się liczyć. W ocenie PUODO należy uznać więc, że skarżący nie był i nie jest zainteresowany realizacją prawa do złożenia wniosku, o którym mowa w powyższym przepisie, a tym samym nie można uznać, aby stanowił on podstawę przetwarzania danych osobowych skarżącego.
Organ stwierdził również, że brak jest uzasadnienia dla przyjęcia, że [...] jest uprawniony do przetwarzania danych osobowych skarżącego w związku z koniecznością ewentualnego wypełnienia obowiązku wynikającego z art. 15 RODO. Usunięcie przez administratora danych osobowych nie uniemożliwia mu wykonania obowiązku uregulowanego w art. 15 RODO, gwarantującego osobie, której dane dotyczą, prawa do uzyskania od administratora informacji, czy jej dane są przetwarzane, a w przypadku pozytywnej odpowiedzi na tak postawione pytanie - uprawnienie do dostępu do danych na swój temat oraz uzyskania informacji o okolicznościach przetwarzania danych. Jeśli bowiem, administrator nie przetwarza danych dotyczących osoby, która zwraca się z żądaniem udzielenia informacji, to działanie administratora ogranicza się do odpowiedzi przeczącej i nie ma on obowiązku podawać podmiotowi danych innych informacji.
PUODO podał także, że Bank niewłaściwie wskazuje jako podstawę przetwarzania danych skarżącego Rekomendację T Komisji Nadzoru Finansowego dotyczącą dobrych praktyk w zakresie zarządzania ryzykiem detalicznych ekspozycji kredytowych w związku z badaniem zdolności kredytowej, korzystania z zewnętrznych baz danych, posiadania narzędzi analitycznych wspierających pomiar poziomu ryzyka związanego z detalicznymi ekspozycjami kredytowymi. Bank był bowiem uprawniony do przetwarzania danych osobowych skarżącego w celu oceny zdolności kredytowej. Nie doszło do zawarcia umowy pomiędzy skarżącym a Bankiem. W związku z powyższym odpadła przesłanka legalizująca dalsze przetwarzanie danych osobowych skarżącego przez Bank. Celem przetwarzania danych osobowych skarżącego była ocena zdolności kredytowej i analizy ryzyka kredytowego. W związku z dokonaniem przez Bank oceny zdolności kredytowej i analizy ryzyka kredytowego ww. cel przetwarzania danych osobowych skarżącego został zrealizowany, wobec czego brak jest podstaw prawnych do kontynuowania tego procesu.
Następnie organ podniósł, że brak jest celu uzasadniającego dalsze przetwarzanie danych osobowych skarżącego zawartych w przedmiotowych zapytaniach kredytowych zarówno przez Bank, jak i przez [...]. PUODO wyjaśnił, że Bank w związku z pozyskaniem danych osobowych skarżącego w celu oceny zdolności kredytowej stał się administratorem tych danych osobowych. Natomiast [...] stał się administratorem danych osobowych skarżącego z uwagi na przekazanie tych danych przez Bank. W związku z tym Bank oraz [...] są odrębnymi administratorami. Każdy z tych podmiotów przetwarza bowiem dane osobowe skarżącego we własnych celach i samodzielnie ustala sposoby ich przetwarzania. W odniesieniu do kwestionowanego przez skarżącego przetwarzania jego danych osobowych przez Bank i [...] nie zaistniała żadna z wyrażonych w art. 6 ust. 1 RODO przesłanka, która stanowiłaby o legalności tego procesu. Organ wyjaśnił, że korzystając z uprawnienia przewidzianego w art. 58 ust. 2 lit. c RODO, nakazał Bankowi i [...] usunięcie danych osobowych Skarżącego przetwarzanych w związku ze złożonymi zapytaniami kredytowymi z [...] marca 2020 r., [...] maja 2020 r. oraz [...] czerwca 2020 r.
Organ wyjaśnił nadto, że z ustalonego w sprawie stanu faktycznego wynika, że
w związku z wnioskiem skarżącego Bank usunął z bazy [...] w dniu [...] grudnia 2020 r. zapytanie kredytowe z dnia [...] grudnia 2019 r. Bank nie wskazał jednak innych podstaw prawnych przetwarzania tego zapytania z dnia [...] grudnia 2019 r. niż omówione powyżej. Wobec powyższego, w ocenie organu w sprawie doszło do naruszenia przepisów
o ochronie danych osobowych przez Bank, poprzez przetwarzanie danych osobowych skarżącego w zakresie zapytania z dnia [...] grudnia 2019 r. bez podstawy prawnej. Ze zgromadzonego w sprawie materiału dowodowego wynika, że Bank ostatecznie w dniu [...] grudnia 2020 r. usunął dane osobowe skarżącego, a kwestionowane przetwarzanie nie jest już obecnie kontynuowane. W tej sytuacji organ, korzystając z przysługującego mu uprawnienia określonego w art. 58 ust. 2 lit. b RODO udzielił Bankowi upomnienia
w zakresie stwierdzonego naruszenia przepisów ochrony danych osobowych.
Na powyższą decyzję Bank oraz [...] wniosły skargę do Wojewódzkiego Sądu Administracyjnego w Warszawie.
Bank wskazał, że zaskarża decyzję PUODO z dnia [...] czerwca 2022 r. w całości.
Zaskarżonej decyzji Bank zarzucił:
I naruszenie przepisów postępowania, które mogło mieć istotny wpływ na wynik sprawy, tj.:
1) art. 7, art. 77 §1 i art. 80 k.p.a., polegające na niewyczerpującym rozpatrzeniu materiału dowodowego oraz na jego dowolnej ocenie przejawiającej się w uznaniu, że Bank nie dysponuje przesłankami legalizującymi przetwarzanie danych osobowych skarżącego, pomimo że przetwarzanie danych osobowych skarżącego jest niezbędne do realizacji obowiązków prawnych ciążących na Banku oraz realizacji jego prawnie uzasadnionych interesów;
2) art. 7b k.p.a., polegające na braku zwrócenia się do Komisji Nadzoru Finansowego jako organu właściwego w sprawach związanych m.in. z badaniem zdolności kredytowej i analizą ryzyka kredytowego, a także budową modeli scoringowych oraz do Generalnego Inspektora Informacji Finansowej jako organu właściwego w sprawach związanych z m.in. z przeciwdziałaniem praniu pieniędzy i finansowaniu terroryzmu w zakresie wykorzystywania do realizacji tych zadań danych, w tym danych osobowych o niezrealizowanych zapytaniach kredytowych;
II. naruszenie przepisów prawa materialnego, które miało wpływ na wynik sprawy tj.:
1) art. 6 ust. 1 lit. f RODO w zw. z art. 117 §2 i §2:, 118 oraz 119 ustawy z dnia 23 kwietnia 1964 r. - Kodeks cywilny poprzez ich niewłaściwe zastosowanie, polegające na uznaniu, że obrona i dochodzenie roszczeń mogą dotyczyć wyłącznie już istniejących roszczeń;
4) art. 6 ust. 1 lit. c RODO w zw. z art. 39 ust. 1 w zw. z art. 34 ust. 1, art. 35 ust. 1, art. 36 ust. 1, oraz art. 49 ustawy AML poprzez ich niewłaściwe zastosowanie polegające na przyjęciu, że na Banku nie ciążą obowiązki związane z przeciwdziałaniem praniu pieniędzy oraz finansowaniu terroryzmu wówczas, gdy nie doszło do zawarcia umowy pomiędzy Bankiem a klientem - podczas gdy przepisy te nakładają na banki i [...] obowiązek przetwarzania danych osobowych w celu zapewnienia bezpieczeństwa obrotu gospodarczego poprzez przeprowadzenie szczegółowego badania na temat klientów, w tym przyszłych klientów, jak i badania powiązań kapitałowo-osobowych, w tym w zakresie danych dostarczanych przez uczestnika;
5) art. 6 ust. 1 lit. c RODO w zw. z art. 105 ust 4 i 105a ust. 1 ustawy Prawo bankowe poprzez ich błędną wykładnię i przyjęcie, że Bank jest jedynie obowiązany do dokonania oceny zdolności kredytowej klientów, podczas gdy z tego przepisu wynika obowiązek dokonania także analizy ryzyka kredytowego;
6) art. 6 ust. 1 lit. c RODO w zw. z art. 105 ust 4 Prawa bankowego poprzez ich błędną wykładnię i przyjęcie, że Bank nie legitymuje się przesłanką do przetwarzania danych podczas gdy z tego przepisu wynika obowiązek przetwarzania danych, w tym danych z zapytań kredytowych, w zakresie, w jakim informacje te potrzebne są bankom do wykonywania czynności bankowych, w tym oceny zdolności kredytowej i analizy ryzyka kredytowego;
7) art. 6 ust. 1 lit. c RODO w zw. z art. 144 ust. 1 lit. d, art. 145, art. 147 ust. 5 lit. b, art. 170 ust. 3 lit. a, ust. 4 lit. a, 171 ust. 2 oraz art. 179 ust. 1 lit. a Rozporządzenia Parlamentu Europejskiego i rady nr 575/2013 z dnia 26 czerwca 2013 r. w sprawie wymogów ostrożnościowych dla instytucji kredytowych i firm inwestycyjnych, zmieniające rozporządzenie (UE) nr 648/2012 ("CRR") poprzez ich niezastosowanie i przyjęcie, że na Banku nie ciążą obowiązki związane z analizą ryzyka kredytowego wówczas, gdy nie doszło do zawarcia umowy pomiędzy Bankiem a klientem;
8) art. 6 ust. 1 lit. c RODO w zw. z art. 70a Prawa bankowego poprzez ich niewłaściwe zastosowanie skutkujące przyjęciem, że Bank może dokonać wyjaśnienia dotyczącego dokonanej oceny zdolności kredytowej wnioskującego bez otrzymanych i przetwarzanych danych osobowych klienta, tylko wtedy, gdy zawarł on umowę z bankiem;
9) art. 6 ust. 1 lit. c RODO w zw. z art. 106d Prawa bankowego poprzez ich niewłaściwe zastosowanie skutkujące przyjęciem, że Bank nie jest uprawniony do przetwarzania danych, w tym danych osobowych zawartych we wnioskach kredytowych celem wypełnienia obowiązków wynikających z Prawa bankowego; podczas gdy wykazuje on cel przetwarzania danych osobowych polegający na analizie danych podanych we wnioskach kredytowych i analizie zapytań kredytowych złożonych w [...] w określonym czasie w celu wykrycia nieścisłości oraz powzięcia informacji mogących stanowić o uzasadnionym podejrzeniu popełnienia przestępstw, o których mowa w art. 106d Prawa bankowego;
10) art. 6 ust. 1 lit. f RODO w związku z Rekomendacjami S, W i T Komisji Nadzoru Finansowego, polegające na jego niewłaściwym zastosowaniu i przyjęciu, że Bank nie legitymuje się przesłanką przetwarzania danych wynikającą z art. 6 ust. 1 lit. f RODO w związku z Rekomendacjami S, W i T Komisji Nadzoru Finansowego, podczas gdy przepisy te nakładają na banki, a w konsekwencji także na [...], jako instytucję gromadzącą dane służące do oceny zdolności kredytowej oraz budującą modele scoringowe służące bankom, określone wymagania, które następnie podlegają egzekwowaniu przez Komisję Nadzoru Finansowego na podstawie bezwzględnie obowiązujących przepisów prawa;
W oparciu o te zarzuty Bank wniósł o:
1) uchylenie zaskarżonej decyzji w całości;
2) wstrzymanie wykonania zaskarżonej decyzji przez organ, a w przypadku nieuwzględnienia tego wniosku, o wstrzymanie wykonania zaskarżonej decyzji przez Sąd ze względu na spowodowanie w innym wypadku trudnych do odwrócenia skutków;
3) z uwagi na epidemię COVID-19 umożliwienie udziału pełnomocnika w rozprawie w formie wideokonferencji;
4) zasądzenie od organu na rzecz Banki zwrotu kosztów postępowania sądowego, w tym kosztów zastępstwa procesowego, według norm przepisanych oraz opłat skarbowych od pełnomocnictw w łącznej wysokości 34 zł.
W uzasadnieniu skargi Bank podniósł, że pojęcie "zdolności kredytowej" i "ryzyka kredytowego" nie są tożsame. Pierwsze z nich dotyczy rozpoznania i oceny ryzyka związanego z przyznaniem kredytu konkretnej osobie w konkretnej wysokości. Natomiast analiza "ryzyka kredytowego" wiąże się z koniecznością oszacowania ryzyka dla całego banku związanego z danym portfelem zobowiązań np. kredytem we frankach szwajcarskich. O ile bowiem Bank (samodzielnie lub z pomocą [...]) musi początkowo oszacować, jakiej wysokości kredyt może zaoferować konkretnej osobie, osobną kwestią jest oszacowanie, szczególnie dla zobowiązań średnio i długoterminowych czy prawdopodobne jest, że kredytobiorca będzie spłacał zobowiązanie przez cały okres jego trwania. Bank, niejako w imieniu osoby wnioskującej o kredyt, musi ustalić, czy ma ona szansę, również za wiele lat, spłacić kredyt i czy nie popadnie w poważne kłopoty finansowe z powodu zbyt dużego obciążenia kredytami. To zadanie ciążące na Banku jest określane jako analiza ryzyka kredytowego osoby wnioskującej o kredyt. Do tego celu bank musi posiadać obiektywne zasady akceptacji (Rekomendacja T KNF, pkt 16.4 oraz 1.4 a) tiret drugi, 1.4 b) tiret drugi). W oparciu o te zasady bank podejmuje decyzję, czy osoba wnioskująca o kredyt powinna go ostatecznie otrzymać czy też nie.
Bank dalej wyjaśnił, że w celu ustalenia zasad akceptacji bank musi przeprowadzić analizę ryzyka na podstawie zgromadzonej wiedzy na temat wszystkich osób, które wnioskowały o kredyt - zarówno tych z przyznanym kredytem, jak i tych z odmową przyznania kredytu. Podobnie jak w przypadku oceny zdolności kredytowej, w procesie analizy ryzyka kredytowego pomocne są modele scoringowe. Zgodnie bowiem z pkt 16. 3 Rekomendacja T KNF: "Zaleca się stosowanie metod statystycznych do oceny ryzyka portfeli detalicznych ekspozycji kredytowych oraz przeprowadzanie nie rzadziej niż raz w roku testów warunków skrajnych dla tych portfeli w przypadku:
a) banków istotnie zaangażowanych oraz
b) banków które w ramach uproszczonych zasad oceny zdolności kredytowej klientów detalicznych wykorzystuję modele scoringowe."
Zdaniem Banku rolą [...] jako międzybankowej bazy danych, jest realizacja obowiązku wynikającego z art. 105a ust. 1 i 4 Prawa bankowego, polegającego na dostarczaniu bankom informacji zgromadzonych od innych banków, co pozwala bankowi ocenić z poziomu sektora bankowego czy osoba wnioskująca o kredyt ma szanse spłaty kredytu w terminach ustalonych w umowie. Analiza ryzyka wykonywana na podstawie informacji zgromadzonych w [...] pokazuje, że jeśli osoba wielokrotnie wnioskuje o kredyt, to w przypadku udzielenia kredytu będzie ona miała częściej trudności w regularnej obsłudze zobowiązania, niż osoba o mniejszej historii wnioskowania o kredyt. Istotność tego parametru potwierdza też Rekomendacja T KNF w pkt 17.5 e; zgodnie z tym postanowieniem bank uwzględnia analizę odsetka wniosków zaakceptowanych, odrzuconych, przełamanych, z podziałem na segmenty klientów, powody odrzucenia, sposoby dystrybucji, cechy produktu itp. w swoje polityce zarządzania ryzykiem ekspozycji.
W odpowiedzi na skargę Banku PUODO wniósł o jej oddalenie podtrzymując stanowisko wyrażone w zaskarżonej decyzji.
Dodatkowo organ podniósł, że pomimo, iż art. 105a ust. 1 Prawa bankowego na tle pozostałych regulacji znajdujących się w art. 105a Prawa bankowego ma charakter autonomiczny, to jednak jego literalne brzmienie nie daje jakichkolwiek podstaw do dalszego przetwarzania danych osobowych po zakończeniu oceny zdolności kredytowej i analizy ryzyka kredytowego. Organ zauważył, że autonomiczność ww. przepisu nie stoi na przeszkodzie wykładni ww. przepisu w świetle kolejnych przepisów tym bardziej, że część z nich odwołuje się bezpośrednio do niego. Wobec tego stwierdzenia przez Bank, że z art. 105a ust. 1 Prawa bankowego wynika obowiązek przetwarzania danych osobowych pomimo nie zawarcia umowy na skutek złożonego zapytania kredytowego, może prowadzić do wniosku, że na potrzeby oceny zdolności kredytowej i analizy ryzyka kredytowego Bank (lub inne podmioty w tym przepisie wymienione) zgodnie z przepisami Prawa bankowego jest uprawniony do nieograniczonego w czasie przetwarzania danych osobowych, jeżeli nie doszło do zawarcia umowy o kredyt, zaś prawo to doznaje ograniczenia, gdy doszło do zawarcia takiej umowy. W ocenie PUODO gdyby podzielić stanowisko Banku, że pozyskanie danych na etapie złożenia wniosku kredytowego uprawnia Bank do ich przechowywania po odmowie zawarcia umowy kredytowej to regulacje zawarte w art. 105a ust. 2 i 3 i ust. 5 Prawa bankowego, ograniczające sposób przetwarzania danych klientów z umów kredytowych, byłyby pozbawione sensu.
[...] w swojej skardze wskazał, że zaskarża pkt 2 decyzji PUODO z dnia [...] czerwca 2022 r.
Zaskarżonej decyzji zarzucił:
I. naruszenie przepisów prawa materialnego, tj.:
1) art. 6 ust. 1 lit. c) RODO w zw. z art. 105 ust. 1 pkt. 1 c w zw. z art. 105 ust. 4 i w zw. z art. 105a w zw. z art. 70 i art. 5 ust. 1 pkt. 3 ustawy Prawo bankowe poprzez jego niewłaściwe zastosowanie i w konsekwencji nieuzasadnione przyjęcie, że [...] nie posiada ww. podstawy prawnej do przetwarzania danych zawartych we wniosku kredytowym w przypadku niezawarcia umowy kredytowej, podczas gdy jest ustawowo zobowiązany do realizacji obowiązku prawnego wynikającego z ww. przepisów polegającego na gromadzeniu, przetwarzaniu i udostępnianiu bankom oraz podmiotom szczegółowo wskazanym w przepisie informacji stanowiących tajemnicę bankową w zakresie, w jakim informacje te są potrzebne w związku z wykonywaniem czynności bankowych w postaci oceny zdolności kredytowej oraz analizy ryzyka kredytowego konkretnego klienta (indywidualna ocena zdolności kredytowej) oraz w związku ze stosowaniem metod wewnętrznych oraz innych metod i modeli, o których mowa w części trzeciej rozporządzenia Parlamentu Europejskiego i Rady (UE) nr 575/2013 z dnia 26 czerwca 2013 r. w sprawie wymogów ostrożnościowych dla instytucji kredytowych i firm inwestycyjnych, zmieniające rozporządzenie (UE) nr 648/2012;
ewentualnie, na wypadek nieuwzględnienia ww. zarzutu, naruszenie art. 6 ust. 1 lit. f) RODO poprzez jego niewłaściwą wykładnię i w konsekwencji niezastosowanie wskutek przyjęcia, że [...] nie posiada podstawy prawnej przetwarzania danych uczestnika postępowania opartej na prawnie uzasadnionym interesie administratora oraz podmiotów trzecich wskazanych w art. 105 ust. 4 pkt. 1-5 Prawa bankowego, w postaci realizacji obowiązku gromadzenia, przetwarzania oraz udostępnienia bankom oraz podmiotom wskazanym w ww. przepisie informacji stanowiących tajemnicę bankową w zakresie, w jakim informacje te są potrzebne w związku z wykonywaniem czynności bankowych w postaci oceny zdolności kredytowej oraz analizy ryzyka kredytowego konkretnego klienta (indywidualna ocena zdolności kredytowej), w celu budowy i utrzymania modeli scoringowych, a więc narzędzi wykorzystywanych przez banki do oceny zdolności kredytowej i analizy ryzyka kredytowego oraz w związku ze stosowaniem metod wewnętrznych oraz innych metod i modeli, o których mowa w części trzeciej rozporządzenia nr 575/2013;
2) art. 6 ust. 1 lit. c) RODO w zw. z art. 70a w zw. z art. 105 ust. 4 pkt. 1 i 2 oraz w zw. z art. 105a Prawa bankowego poprzez jego niezastosowanie wskutek uznania, że [...] nie posiada podstawy prawnej do przetwarzania danych uczestnika postępowania w sytuacji nie zawarcia umowy kredytowej, podczas gdy [...] posiada podstawę prawną przetwarzania z uwagi na niezbędność przetwarzania do wykonania obowiązku prawnego przez banki i [...], w postaci obowiązku przekazania osobie ubiegającej się o kredyt w formie pisemnej na jego wniosek wyjaśnień dotyczących dokonanej oceny zdolności kredytowej wnioskującego;
3) art. 6 ust. 1 lit. e) RODO poprzez jego niezastosowanie wskutek uznania, że [...] nie posiada podstawy prawnej do przetwarzania danych uczestnika postepowania w sytuacji nie zawarcia umowy kredytowej, podczas gdy [...] posiada podstawę prawną przetwarzania z uwagi na niezbędność przetwarzania dla realizacji zadania w interesie publicznym przez banki i [...] w postaci zabezpieczenia ekonomiczno-gospodarczego sektora bankowego, w tym depozytariuszy i zapewnienia stabilności ekonomiczno- gospodarczej sektora bankowego, a w ujęciu makro zapobieganiu kryzysom gospodarczym;
4. art. 6 ust. 1 lit. f) RODO poprzez jego niewłaściwe zastosowanie
i w konsekwencji nieuzasadnione przyjęcie, że prawnie uzasadniony interes administratora danych nie może opierać się na przesłance ewentualnego zabezpieczenia roszczeń, podczas gdy istotą uzasadnionego interesu prawnego administratora jest możliwość przetwarzania danych przez okres przedawnienia roszczeń na wypadek konieczności obrony lub dochodzenia ewentualnych roszczeń, które mogą się pojawić w określonym czasie po przeprowadzeniu stosownej analizy zdolności kredytowej oraz analizie ryzyka kredytowego, które to [...] zobowiązany jest gromadzić, przetwarzać i udostępniać bankom dla realizacji celów ustawowych badania zdolności kredytowej;
5. art. 6 ust. 1 lit. f) RODO poprzez błędne uznanie, że wskutek braku zawarcia umowy kredytowej, [...] nie posiada prawnie uzasadnionego interesu w przetwarzaniu danych uczestnika postepowania, podczas gdy istnieje prawnie uzasadniony interes [...] w przetwarzaniu tych informacji pomimo nie zawarcia umowy kredytowej, polegający na realizacji działań z zakresu opracowania, utrzymania aktualności i funkcjonalności zbudowanych modeli scoringowych w zgodzie z treścią Rekomendacji W, S i T Komisji Nadzoru Finansowego w zakresie dobrych praktyk i zarządzania ryzykiem kredytowym;
6. art. 6 ust. 1 lit. f) RODO poprzez jego niezastosowanie wskutek uznania, że [...] nie posiada podstawy prawnej do przetwarzania danych uczestnika postępowania, podczas gdy [...] posiada podstawę prawną przetwarzania z uwagi na konieczność zapewnienia rozliczalności działań [...] jako administratora danych osobowych na zasadzie art. 5 ust. 2 RODO w postaci wykazania przestrzegania przepisów dotyczących jakości danych.
II. naruszenie przepisów prawa procesowego, mającego istotny wpływ na wynik sprawy, tj.:
1) art. 7, art. 77 § 1, art. 80 k.p.a. w zw. z art. 7 UODO, poprzez niewyczerpujące zebranie, nierozpatrzenie i błędną ocenę całokształtu materiału dowodowego przejawiającego się w zaniechaniu dokonania wyczerpującej analizy charakteru, zakresu oraz celów gospodarczo - ekonomicznych dla jakich zostało powołane [...] S.A. oraz obowiązków prawnych i obowiązków wynikających z zawartych przez [...] umów z bankami, skutkującą wadliwą i niepełną oceną stanu faktycznego sprawy oraz charakteru działania [...], co w konsekwencji skutkowało nieuzasadnionym wydaniem przez organ nakazu usunięcia danych osobowych uczestnika;
2) art. 7b k.p.a. w zw. z art. 7 k.p.a. w zw. z art. 77 k.p.a. w zw. z art. 7 UODO poprzez niedokładne wyjaśnienie stanu faktycznego i prawnego koniecznego do podjęcia przez organ stosownych czynności, a w szczególności niezwrócenie się do Komisji Nadzoru Finansowego w celu kompleksowego wyjaśniania stanu faktycznego sprawy oraz współdziałania w zakresie niezbędnym do dokładnego wyjaśnienia stanu prawnego, mając na względzie interes społeczny i słuszny interes obywateli w postaci ustalenia należytych zasad, celów i zakresu przetwarzania danych osobowych o niezrealizowanych zapytaniach kredytowych tak, by procesy przetwarzania danych czyniły zadość zarówno przepisom prawa o ochronie danych osobowych, jak i przepisom szeroko pojętego prawa bankowego, w szczególności dla zapewnienia ochrony wartości, których gwarancje ochrony wynikają z ww. przepisów zgodnie z zasadą proporcjonalności;
3) art. 7 k.p.a., art. 77§ 1 k.p.a. i art. 80 k.p.a. poprzez zaniechanie dokonania oceny Rekomendacji S, W i T Komisji Nadzoru Finansowego jako organu właściwego do sprawowania nadzoru nad instytucjami krajowymi w rozumieniu przepisów UE (regulatora rynku finansowego), które to regulacje nakładają na banki, a w konsekwencji na [...], jako instytucję gromadzącą dane służące do oceny zdolności kredytowej oraz budującą modele scoringowe służące bankom, określone wymagania, które podlegają nadzorowi i egzekwowaniu przez Komisję Nadzoru Finansowego na podstawie bezwzględnie obowiązujących przepisów prawa, co w konsekwencji doprowadziło do zaniechania przez organ oceny podstaw prawnych i celów dla jakich [...] oraz banki są upoważnione do przetwarzania danych w zakresie zdolności kredytowej również w przypadku nie zawarcia umowy kredytowej dla zabezpieczenia interesów banków oraz stabilności rynku gospodarczo-finansowego;
4) art. 7 k.p.a., art. 77 k.p.a. w zw. z art. 80 k.p.a. poprzez zaniechanie wyczerpującego zebrania i rozpatrzenia materiału dowodowego, a w szczególności przejawiającego się brakiem analizy treści skargi złożonej do PUODO przez uczestnika postepowania pod kątem istnienia - po stronie banków, a w konsekwencji [...] jako instytucji gromadzącej dane służące do oceny zdolności kredytowej oraz budującej modele scoringowe służące bankom - oczywistego interesu prawnego przejawiającego się w odmowie udzielenia kredytu wynikającego z braku istnienia zdolności kredytowej po stronie uczestnika, co s prowadzi do zabezpieczenia interesu banków przed nieodpowiedzialną polityką udzielania kredytów osobom, które nie mają szans na ich spłacenie oraz do zapewnienia stabilności gospodarczo-ekonomicznej sektora bankowego, a w ujęciu makro zapobieganiu kryzysom gospodarczym;
5) art. 7 k.p.a., art. 77 k.p.a. w zw. z art. 80 k.p.a. poprzez niewyczerpujące zebranie, nierozpatrzenie i błędną ocenę całokształtu materiału dowodowego przejawiającego się w poczynieniu przez organ błędnego założenia, że uczestnik postępowania domagając się ochrony danych osobowych w postępowaniu przed organem liczy się z utratą możliwości uzyskania informacji wskazanych w art. 70a ust. 1 i 2 Prawa bankowego oraz że uczestnik postępowania nie był i nie jest zainteresowany realizacją prawa do złożenia wniosku, o którym mowa w art. 70a ust. 1 i 2 Prawa bankowego, co ma uzasadniać odrzucenie przesłanki z art. 6 ust. 1 lit. c) RODO w zw. z art. 70a w zw. z art. 105 ust. 4 pkt. 1 i 2 oraz w zw. z art. 105a w zw. z art. 105 ust. 4 pkt. 1 i 2 Prawa bankowego jako podstawy prawnej przetwarzania danych osobowych przez [...], które to założenie nie znajduje potwierdzenia w materiale dowodowym sprawy;
6) art. 7 k.p.a., art. 77 k.p.a. w zw. z art. 80 k.p.a. poprzez niezbadanie przez organ wszystkich podstaw prawnych dalszego przetwarzania danych o zapytaniach kredytowych, w sytuacji nieudzielenia kredytu, pomimo, iż przepisy prawa upoważniają [...] do przetwarzania tych danych, co w konsekwencji doprowadziło do błędnego nakazania [...] usunięcie danych osobowych wobec błędnego przyjęcia przez organ braku istnienia podstawy prawnej do przetwarzania danych;
7. art. 8 § 1 i 2 k.p.a. poprzez odstąpienie przez organ od utrwalonej praktyki rozstrzygania spraw w takim samym stanie faktycznym i prawnym, co z kolei narusza zasadę pogłębiania zaufania obywateli do władzy publicznej.
W oparciu o powyższe zarzuty [...] wniósł o:
1) uchylenie decyzji w zaskarżonej części;
2) zasądzenie od organu zwrotu kosztów postępowania według norm przepisanych, w tym kosztów zastępstwa procesowego (w tym zwrotu opłaty skarbowej od pełnomocnictwa w kwocie 17 zł);
3) wstrzymanie wykonania zaskarżonej decyzji w części, a to w zakresie nakazu zawartego w pkt. 2);
4) przeprowadzenie rozprawy.
Odpowiadając na skarg [...] organ wniósł o jej odrzucenie ewentualnie
o oddalenie.
W uzasadnieniu PUODO podniósł, że w [...] uchybił terminowi do wniesienia skargi na decyzję z dnia [...] czerwca 2022 r., skutecznie doręczoną w dniu [...] czerwca 2022r. [...] co prawda nadał skargę na ww. decyzję w dniu [...] lipca 2022 r., jednakże przesłał ją bezpośrednio do Wojewódzkiego Sądu Administracyjnego w Warszawie, który przekazał sprawę do właściwego organu w dniu [...] lipca 2022 r., czyli już po upływie trzydziestodniowego terminu na wniesienie skargi na decyzję.
Ponadto organ powtórzył argumentację zawartą w zaskarżonej decyzji.
W piśmie procesowym z dnia [...] września 2022 r. stanowiącym replikę na odpowiedź na skargę, [...] podniósł, że w świetle art. 54 § 4 ustawy z dnia 30 sierpnia 2002 r. - Prawo o postępowaniu przed sądami administracyjnymi (Dz. U. z 2022 r., poz. 329, z późn. zm.), dalej: "p.p.s.a.", dla oceny zachowanie terminu do wniesienia skargi nie ma znaczenia fakt jej wniesienia bezpośrednio do Wojewódzkiego Sądu Administracyjnego w Warszawie, a nie za pośrednictwem organu.
Ponadto [...] przedstawił dodatkową argumentację na poparcie zarzutów skargi.
Na rozprawie w dniu [...] grudnia 2022 r. Wojewódzki Sąd Administracyjny
w Warszawie postanowił, na podstawie art. 111 § 1 p.p.s.a., zarządzić połączenie spraw II SA/Wa 1463/22 (ze skargi Banku) oraz II SA/Wa 1472/22 (ze skargi [...])
w celu ich łącznego rozpoznania i rozstrzygnięcia i prowadzić dalej pod sygnaturą akt II SA/Wa 1463/22.
Wojewódzki Sąd Administracyjny w Warszawie zważył, co następuje:
Zgodnie z art. 1 § 1 i § 2 ustawy z dnia 25 lipca 2002 r. - Prawo o ustroju sądów administracyjnych (Dz. U. z 2022 r., poz. 2492) oraz art. 3 § 1 p.p.s.a. sądy administracyjne sprawują wymiar sprawiedliwości przez kontrolę działalności administracji publicznej. Kontrola ta polega na ocenie zgodności zaskarżonego aktu z przepisami postępowania administracyjnego, a także prawidłowości zastosowania i wykładni norm prawa materialnego. Kontrola ta jest dokonywana według stanu faktycznego i prawnego obowiązującego w dacie wydania zaskarżonego aktu.
W myśl art. 134 § 1 i 2 p.p.s.a. sąd rozstrzyga w granicach danej sprawy nie będąc związany zarzutami i wnioskami skargi oraz powołaną podstawą prawną, z zastrzeżeniem art. 57a, przy czym sąd nie może wydać orzeczenia na niekorzyść skarżącego, chyba że stwierdzi naruszenie prawa skutkujące stwierdzeniem nieważności zaskarżonego aktu lub czynności.
Rozpatrując skargi Banku oraz [...] wedle powyższych kryteriów Sąd uznał, że nie zasługują one na uwzględnienie.
W pierwszej kolejności wyjaśnić należy, że skarga [...] wniesiona została
z zachowaniem terminu określonego w art. 53 § 1 p.p.s.a. Przepis ten stanowi, że skargę wnosi się w terminie trzydziestu dni od dnia doręczenia skarżącemu rozstrzygnięcia w sprawie albo aktu, o którym mowa w art. 3 § 2 pkt 4a. Stosownie natomiast do treści art. 53 § 4 p.p.s.a. termin, o którym mowa w § 1 i 2, uważa się za zachowany także wtedy, gdy przed jego upływem strona wniosła skargę wprost do sądu administracyjnego. W takim przypadku sąd ten niezwłocznie przesyła skargę odpowiednio do organu, który wydał zaskarżone rozstrzygnięcie, wydał akt lub podjął inną czynność, będącą przedmiotem skargi. Zaskarżona decyzja została doręczona [...] w dniu [...] czerwca 2022 r. [...] wniósł skargę bezpośrednio do Sądu w dniu [...] lipca 2022 r., a więc w terminie określonym w art. 53 § 1 w zw. z § 4 p.p.s.a.
Kontrolując zaskarżona decyzję Sąd zważył, że w świetle RODO przetwarzanie danych osobowych uważa się za legalne, jeśli ich administrator spełni co najmniej jedną z przesłanek wskazanych w art. 6 ust. 1 tego aktu, a mianowicie: a) osoba, której dane dotyczą wyraziła zgodę na przetwarzanie swoich danych osobowych w jednym lub większej liczbie określonych celów, b) przetwarzanie jest niezbędne do wykonania umowy, której stroną jest osoba, której dane dotyczą, lub do podjęcia działań na żądanie osoby, której dane dotyczą, przed zawarciem umowy, c) przetwarzanie jest niezbędne do wypełnienia obowiązku prawnego ciążącego na administratorze, d) przetwarzanie jest niezbędne do ochrony żywotnych interesów osoby, której dane dotyczą, lub innej osoby fizycznej, e) przetwarzanie jest niezbędne do wykonania zadania realizowanego w interesie publicznym lub w ramach sprawowania władzy publicznej powierzonej administratorowi, f) przetwarzanie jest niezbędne do celów wynikających z prawnie uzasadnionych interesów realizowanych przez administratora lub przez stronę trzecią, z wyjątkiem sytuacji, w których nadrzędny charakter wobec tych interesów mają interesy lub podstawowe prawa i wolności osoby, której dane dotyczą, wymagające ochrony danych osobowych, w szczególności gdy osoba, której dane dotyczą, jest dzieckiem.
W sprawie jest niesporne, że Bank oraz [...] pozyskały dane osobowe uczestnika postępowania w związku z zapytaniami kredytowymi z [...] grudnia 2019, [...] marca 2020 r., [...] maja 2020 r. oraz [...] czerwca 2020 r. W przypadku tych zapytań nie doszło do zawarcia umowy między uczestnikiem postępowania a Bankiem. Niesporne jest, że zarówno Bank jak i [...] był uprawnione do przetwarzania danych osobowych uczestnika w celu oceny zdolności kredytowej i analizy ryzyka kredytowego. Skoro jednak nie doszło do zawarcia umowy kredytu, to odpadła przesłanka legalizująca dalsze przetwarzanie danych osobowych skarżącego.
Znajduje to potwierdzenie w treści art. 105a Prawa Bankowego, który w ust. 1 stanowi, że przetwarzanie przez banki, inne instytucje ustawowo upoważnione do udzielania kredytów oraz instytucje utworzone na podstawie art. 105 ust. 4, informacji stanowiących tajemnicę bankową w zakresie dotyczącym osób fizycznych może być wykonywane, z zastrzeżeniem art. 104, art. 105 i art. 106 - 106d ustawy, w celu oceny zdolności kredytowej i analizy ryzyka kredytowego.
Zwrócić należy też uwagę na treść art. 105a ust. 2 oraz ust. 3 – 6 Prawa bankowego.
Z zastrzeżeniem ust. 3, instytucje, o których mowa w ust. 1, mogą przetwarzać informacje stanowiące tajemnicę bankową oraz informacje udostępnione przez instytucje pożyczkowe oraz podmioty, o których mowa w art. 59d ustawy z dnia 12 maja 2011 r. o kredycie konsumenckim, w zakresie dotyczącym osób fizycznych po wygaśnięciu zobowiązania wynikającego z umowy zawartej z bankiem, inną instytucją ustawowo upoważnioną do udzielania kredytów, instytucją pożyczkową lub podmiotem, o którym mowa w art. 59d ustawy z dnia 12 maja 2011 r. o kredycie konsumenckim, pod warunkiem uzyskania pisemnej zgody osoby, której informacje te dotyczą, z zastrzeżeniem ust. 2a. Zgoda ta może być w każdym czasie odwołana (art. 105a ust. 2).
Banki, instytucje oraz podmioty, o których mowa w ust. 1, mogą przetwarzać informacje stanowiące tajemnicę bankową i informacje udostępnione przez instytucje pożyczkowe oraz podmioty, o których mowa w art. 59d ustawy z dnia 12 maja 2011 r. o kredycie konsumenckim, dotyczące osób fizycznych po wygaśnięciu zobowiązania wynikającego z umowy zawartej z bankiem, inną instytucją ustawowo upoważnioną do udzielania kredytów, instytucją pożyczkową lub podmiotem, o którym mowa w art. 59d ustawy z dnia 12 maja 2011 r. o kredycie konsumenckim, bez zgody osoby, której informacje dotyczą, gdy osoba ta nie wykonała zobowiązania lub dopuściła się zwłoki powyżej 60 dni w spełnieniu świadczenia wynikającego z umowy zawartej z bankiem, inną instytucją ustawowo upoważnioną do udzielania kredytów, instytucją pożyczkową lub podmiotem, o którym mowa w art. 59d ustawy z dnia 12 maja 2011 r. o kredycie konsumenckim, a po zaistnieniu tych okoliczności upłynęło co najmniej 30 dni od poinformowania tej osoby przez bank, inną instytucję ustawowo upoważnioną do udzielania kredytów, instytucję pożyczkową albo podmiot, o którym mowa w art. 59d ustawy z dnia 12 maja 2011 r. o kredycie konsumenckim, o zamiarze przetwarzania dotyczących jej tych informacji, bez jej zgody (art. 105a ust. 3).
Banki oraz instytucje, o których mowa w art. 105 ust. 4, mogą przetwarzać stanowiące tajemnicę bankową informacje dotyczące osoby fizycznej po wygaśnięciu zobowiązania wynikającego z umowy zawartej z bankiem lub inną instytucją ustawowo upoważnioną do udzielania kredytów bez zgody osoby, której informacje dotyczą, do celów stosowania metod wewnętrznych oraz innych metod i modeli, o których mowa w części trzeciej rozporządzenia nr 575/2013 (art. 105a ust. 4).
Przetwarzanie informacji stanowiących tajemnicę bankową w przypadkach, o których mowa w ust. 3, może być wykonywane przez okres nie dłuższy niż 5 lat od dnia wygaśnięcia zobowiązania, a w przypadku, o którym mowa w ust. 4, przez okres 12 lat od dnia wygaśnięcia zobowiązania (art. 105a ust. 5).
Zakres przetwarzanych informacji, o których mowa w ust. 3 i 4, może obejmować dane dotyczące osoby fizycznej lub dane dotyczące zobowiązania (art. 105a ust. 6).
Jak wynika z powyższego, przesłanki zawarte w art. 105a Prawa bankowego dotyczą przetwarzania informacji objętych tajemnicą bankową w okresie przed powstaniem zobowiązania, w trakcie jego trwania oraz po wygaśnięciu zobowiązania. Natomiast w sytuacji, gdy w następstwie złożenia wniosku kredytowego nie dochodzi do zawarcia umowy kredytowej z bankiem, brak jest ustawowych przesłanek legalizujących dalsze przetwarzanie przez Bank oraz [...] danych osobowych potencjalnego klienta. Ocena zdolności kredytowej i ryzyka kredytowego ma charakter czynności wstępnych przed zawarciem umowy przez bank. Dalsze przetwarzanie danych, uzyskanych w celu oceny zdolności kredytowej, w przypadku braku zawarcia stosownej umowy, pozostawałoby w oderwaniu od celu, dla którego dane te uzyskano. Niedopuszczalne jest przetwarzanie danych osobowych na przyszłość, a także na potrzeby budowy oceny zdolności kredytowej innych podmiotów, jeżeli nie można zrekonstruować wyraźnej podstawy prawnej takich działań.
W niniejszej sprawie celem przetwarzania danych osobowych skarżącego była ocena zdolności kredytowej i analizy ryzyka kredytowego. W związku z dokonaniem przez Bank oraz [...] tejże oceny powyższy cel przetwarzania danych osobowych skarżącego został zrealizowany i brak jest podstaw prawnych do kontynuowania tego procesu. Trafne jest zatem stanowisko organu, że nie wystąpiła przesłanka legalizująca proces przetwarzania danych określona w art. 6 ust. 1 lit. c i lit. f RODO.
W ocenie Sądu Bank w sposób nieuprawniony próbuje rozszerzyć stosowanie normy wskazanej w art. 105a ust. 1 Prawa bankowego na sytuacje, w których nie dochodzi do zawarcia umowy, a dane osobowe osoby wnioskującej o kredyt są przetwarzane w celu oceny ryzyka kredytowego. Bank wskazuje bowiem, że do takiej oceny istotna jest informacja o składanych wcześniej przez daną osobę wnioskach kredytowych i fakcie nieudzielenie jej kredytu. Bank podkreśla przy tym, że analiza ryzyka kredytowego jest jego obowiązkiem.
Sąd nie neguje, że ocena ryzyka kredytowego jest obowiązkiem banku. Instrumenty służące dokonaniu takiej oceny przez banki muszą jednak być stosowane
z poszanowaniem przepisów prawa normujących uprawnienie banków do przetwarzania danych osobowych potencjalnych klientów. Słusznie zauważa organ
w odpowiedzi na skargę, że prezentowana przez Bank wykładnia art. 105a ust. 1 Prawa bankowego prowadziłaby do wniosku, że na potrzeby oceny zdolności kredytowej
i analizy ryzyka kredytowego banki lub inne podmioty wymienione w tym przepisie byłyby uprawnione do przetwarzania danych osobowych potencjalnych klientów bez żadnego ograniczenia czasowego, mimo że nie zawarto umowy o kredyt. W przypadku zaś gdyby doszło do zawarcia umowy banki byłyby uprawnione do przetwarzania danych osobowych po wygaśnięciu zobowiązania, bez zgody osoby, której informacje dotyczą, przez okres wskazany w art. 105a ust 5 prawa bankowego. Skoro ustawodawca w art. 105a ust. 1 ustawy Prawo bankowe nie wskazał okresu, przez jaki mogą być przetwarzane informacje stanowiące tajemnicę bankową, a w art. 105a ust. 5 wskazał takie okresy w odniesieniu do sytuacji, w których wygasło zobowiązanie, to nie oznacza to, że okres przetwarzania tych informacji, w sytuacji gdy nie doszło do zawarcia umowy, jest nieograniczony. Oznacza to, że przetwarzanie danych osobowych w oparciu o art. 105a ust. 1 ustawy Prawo bankowe jest uprawnione
w odniesieniu do konkretnego zapytania kredytowego. Jeżeli nie dochodzi do zawarcia umowy to uprawnienie do przetwarzania danych osobowych w oparciu o ten przepis wygasa.
Powyższe stanowisko znajduje potwierdzenie w wyroku Naczelnego Sądu Administracyjnego z dnia z 27 lipca 2019 r. sygn. akt I OSK 2567/17 (orzeczenia.nsa.gov.pl). W wyroku tym NSA podniósł, że "Celem oceny zdolności kredytowej i analizy ryzyka kredytowego w odniesieniu do konkretnego klienta jest bowiem zawarcie umowy kredytowej na określonych warunkach. Skoro do niej nie dochodzi wskutek tej czynności banku to nie ma podstaw prawnych do dalszego ich przechowywania. Gdyby podzielić stanowisko skarżącego, że pozyskanie danych na etapie złożenia wniosku kredytowego uprawnia bank do ich nieograniczonego w czasie przechowywania po odmowie zawarcia umowy kredytowej, to regulacje zawarte w art. 105 a ust. 2 i 3 i ust. 5 Prawa bankowego ograniczające w czasie przypadki przetwarzania danych klientów z umów kredytowych pozbawione byłyby sensu. (...) Skoro celem przetwarzania była ocena zdolności kredytowej i analizy ryzyka kredytowego to cel ten odpadł z momentem jej dokonania. W przypadku osób z którymi zawarto umowę kredytową istnieje podstawa do dalszego ich przetwarzania, a w stosunku do tych z którymi nie zawarto umowy takiej podstawy nie sposób wywieść ani z przepisów obowiązującej wówczas ustawy, ani Prawa bankowego."
Niezasadne są zarzuty podniesione przez Bank dotyczące naruszenia przepisów prawa materialnego.
Na uwzględnienie nie zasługiwał zarzut banku wskazujący na naruszenia art. 6 ust. 1 lit f RODO w zw. z art. 117 § 2 i § 21, art. 118 oraz art. 119 Kodeksu cywilnego. Za prawnie usprawiedliwiony cel w rozumieniu art. 6 ust. 1 lit. f RODO nie może zostać uznane przetwarzanie danych osobowych na wypadek ewentualnego dochodzenia lub obrony roszczeń. Zebrany w niniejszym postępowaniu materiał dowodowy nie wykazał, aby uczestnik postępowania wystąpił z jakimkolwiek roszczeniem wobec Banku, które uzasadniałoby uprawnienie tych podmiotów do zachowania i przetwarzania jego danych osobowych dla celów dowodowych w związku z dochodzeniem przez skarżącego tego roszczenia. Bank nie wskazał także na istnienie roszczeń, których dochodzi od uczestnika. Okolicznością usprawiedliwiającą przetwarzanie danych osobowych w celu dochodzenia roszczeń jest sam fakt istnienia roszczenia oraz rzeczywisty zamiar jego dochodzenia (por. wyrok NSA z dnia 6 marca 2019 r., sygn. akt I OSK 994/17, orzeczenia.nsa.gov.pl). Przyjęcie poglądu Banku skutkowałoby tym, że dane osobowe uczestnika postępowania mogłyby być przetwarzane w nieskończoność, gdyż upływ terminu przedawnienia nie uniemożliwia dochodzenia roszczeń skoro nie powoduje ich wygaśnięcia (wywołuje wyłącznie zmianę w sferze zarzutów procesowych).
W ramach podniesionych zarzutów Bank wskazywał również na naruszenie art. 6 ust. 1 lit c RODO w zw. z art. 39 ust. 1 wzw. z art. 34 ust. 1, art. 35 ust. 1 oraz art. 49 ust. 1 ustawy AML. Ponadto w odniesieniu do tego zarzutu w uzasadnieniu skargi Bank powołał się na obowiązki nałożone na niego przez art. 106d Prawa bankowego.
Zarzut ten jest niezasadny.
Stosownie do treści art. 106d Prawa bankowego, instytucje utworzone na mocy art. 105 ust. 4 mogą przetwarzać i wzajemnie udostępniać informacje, w tym informacje objęte tajemnicą bankową, w przypadkach:
1) uzasadnionych podejrzeń, o których mowa w art. 106a ust. 3;
2) uzasadnionych podejrzeń popełnienia przestępstw dokonywanych na szkodę banków, innych instytucji ustawowo upoważnionych do udzielania kredytów, instytucji kredytowych, instytucji finansowych, instytucji pożyczkowych oraz podmiotów, o których mowa w art. 59d ustawy z dnia 12 maja 2011 r. o kredycie konsumenckim, i ich klientów, w celu i zakresie niezbędnym do zapobiegania tym przestępstwom;
3) wykonywania obowiązków w zakresie określonym w przepisach
o przeciwdziałaniu praniu pieniędzy oraz finansowaniu terroryzmu.
Z materiału dowodowego sprawy, w tym z wyjaśnień stron udzielonych w toku postępowania administracyjnego, nie wynika, aby w sprawie niniejszej któryś
z powyższych przypadków miał miejsce, w szczególności, aby występowało "uzasadnione podejrzenie" co do okoliczności określonych w ww. przepisach.
Zgodnie zaś z art. 33 ust. 2 i 3 ustawy AML instytucje obowiązane rozpoznają ryzyko prania pieniędzy oraz finansowania terroryzmu związane ze stosunkami gospodarczymi lub z transakcją okazjonalną oraz oceniają poziom rozpoznanego ryzyka. Instytucje obowiązane dokumentują rozpoznane ryzyko prania pieniędzy oraz finansowania terroryzmu związane ze stosunkami gospodarczymi lub z transakcją okazjonalną oraz jego ocenę, uwzględniając w szczególności czynniki dotyczące: 1) rodzaju klienta, 2) obszaru geograficznego, 3) przeznaczenia rachunku, 4) rodzaju produktów, usług i sposobów ich dystrybucji, 5) poziomu wartości majątkowych deponowanych przez klienta lub wartości przeprowadzonych transakcji, 6) celu, regularności lub czasu trwania stosunków gospodarczych.
W myśl art. 34 ust. 1 ustawy AML środki bezpieczeństwa finansowego obejmują:
1) identyfikację klienta oraz weryfikację jego tożsamości;
2) identyfikację beneficjenta rzeczywistego oraz podejmowanie uzasadnionych czynności w celu:
a) weryfikacji jego tożsamości,
b) ustalenia struktury własności i kontroli - w przypadku klienta będącego osobą prawną, jednostką organizacyjną nieposiadającą osobowości prawnej lub trustem;
3) ocenę stosunków gospodarczych i, stosownie do sytuacji, uzyskanie informacji na temat ich celu i zamierzonego charakteru;
4) bieżące monitorowanie stosunków gospodarczych klienta, w tym:
a) analizę transakcji przeprowadzanych w ramach stosunków gospodarczych w celu zapewnienia, że transakcje te są zgodne z wiedzą instytucji obowiązanej o kliencie, rodzaju i zakresie prowadzonej przez niego działalności oraz zgodne z ryzykiem prania pieniędzy oraz finansowania terroryzmu związanym z tym klientem,
b) badanie źródła pochodzenia wartości majątkowych będących w dyspozycji klienta - w przypadkach uzasadnionych okolicznościami,
c) zapewnienie, że posiadane dokumenty, dane lub informacje dotyczące stosunków gospodarczych są na bieżąco aktualizowane.
Z kolei art. 35 ust. 1 ustawy AML wskazuje, że instytucje obowiązane stosują środki bezpieczeństwa finansowego w przypadku:
1) nawiązywania stosunków gospodarczych;
2) przeprowadzania transakcji okazjonalnej:
a) o równowartości 15 000 euro lub większej, bez względu na to, czy transakcja jest przeprowadzana jako pojedyncza operacja, czy kilka operacji, które wydają się ze sobą powiązane, lub
b) która stanowi transfer środków pieniężnych na kwotę przekraczającą równowartość 1000 euro,
c) z wykorzystaniem waluty wirtualnej o równowartości 1000 euro lub większej - w przypadku instytucji obowiązanych, o których mowa w art. 2 ust. 1 pkt 12;
3) przeprowadzania gotówkowej transakcji okazjonalnej o równowartości 10 000 euro lub większej, bez względu na to, czy transakcja jest przeprowadzana jako pojedyncza operacja, czy kilka operacji, które wydają się ze sobą powiązane - w przypadku instytucji obowiązanych, o których mowa w art. 2 ust. 1 pkt 21-23;
4) obstawiania stawek oraz odbioru wygranych o równowartości 2000 euro lub większej, bez względu na to, czy transakcja jest przeprowadzana jako pojedyncza operacja, czy kilka operacji, które wydają się ze sobą powiązane - w przypadku instytucji obowiązanych, o których mowa w art. 2 ust. 1 pkt 20;
5) podejrzenia prania pieniędzy lub finansowania terroryzmu;
6) wątpliwości co do prawdziwości lub kompletności dotychczas uzyskanych danych identyfikacyjnych klienta.
Identyfikacja klienta, zgodnie z art. 36 ust. 1 ustawy polega na ustaleniu w przypadku osoby fizycznej: a) imienia i nazwiska, b) obywatelstwa, c) numeru PESEL lub daty urodzenia - w przypadku gdy nie nadano numeru PESEL, oraz państwa urodzenia, d) serii i numeru dokumentu stwierdzającego tożsamość osoby, e) adresu zamieszkania - w przypadku posiadania tej informacji przez instytucję obowiązaną, f) nazwy (firmy), NIP oraz adresu głównego miejsca wykonywania działalności gospodarczej - w przypadku osoby fizycznej prowadzącej działalność gospodarczą.
W myśl art. 49 us.t 1 i 2 ustawy instytucje obowiązane przechowują przez okres 5 lat, licząc od dnia zakończenia stosunków gospodarczych z klientem lub od dnia przeprowadzenia transakcji okazjonalnej: 1) uzyskane w wyniku stosowania środków bezpieczeństwa finansowego kopie dokumentów i informacje, w tym informacje uzyskane za pomocą środków identyfikacji elektronicznej (...), 2) dowody potwierdzające przeprowadzone transakcje i ewidencje transakcji, obejmujące oryginalne dokumenty lub kopie dokumentów konieczne do identyfikacji transakcji. Instytucje obowiązane przechowują wyniki analiz, o których mowa w art. 34 ust. 3, przez okres 5 lat, licząc od dnia ich przeprowadzenia.
Wskazać należy, że powyższe przepisy dotyczą stosowania środków bezpieczeństwa finansowego wobec klientów instytucji (banków) w ramach prowadzonych stosunków gospodarczych, czy też transakcji okazjonalnej.
Zgodnie zaś z art. 2 ust. pkt 20 ustawy AML przez "stosunki gospodarcze" rozumie się stosunki instytucji obowiązanej z klientem związane z działalnością zawodową instytucji obowiązanej, które w chwili ich nawiązywania wykazują cechę trwałości. Transakcja okazjonalna to wedle art. 2 ust. 2 pkt 22 ustawy AML transakcja, która nie jest przeprowadzana w ramach stosunków gospodarczych. W przypadku zapytań kredytowych niezakończonych zawarciem umowy nie mamy do czynienia ze "stosunkiem gospodarczym" w myśl przywołanego wyżej przepisu. Tego rodzaju stosunek nie ma bowiem cech trwałości. Nie dochodzi też w tym przypadku do przeprowadzenia transakcji okazjonalnej. Wskazany zaś w art. 49 ust. 1 ustawy AML okres przechowywania dokumentacji należy liczyć od dnia zakończenia stosunków gospodarczych lub od dnia przeprowadzenia transakcji okazjonalnej.
Niezasadny jest również zarzut naruszenia art. 6 ust. 1 lit c RODO w zw. z art. 105 ust. 4 i art. 105a ust. 1 ustawy Prawo bankowe.
Zgodnie z art. 105 ust. 4 Prawa bankowego banki mogą, wspólnie z bankowymi izbami gospodarczymi, utworzyć instytucje upoważnione do gromadzenia, przetwarzania i udostępniania:
1) bankom - informacji stanowiących tajemnicę bankową w zakresie, w jakim informacje te są potrzebne w związku z wykonywaniem czynności bankowych oraz w związku ze stosowaniem metod wewnętrznych oraz innych metod i modeli, o których mowa w części trzeciej rozporządzenia nr 575/2013;
2) innym instytucjom ustawowo upoważnionym do udzielania kredytów - informacji stanowiących tajemnicę bankową w zakresie, w jakim informacje te są niezbędne w związku z udzielaniem kredytów, pożyczek pieniężnych, gwarancji bankowych i poręczeń;
3) instytucjom kredytowym - informacji stanowiących tajemnicę bankową w zakresie niezbędnym do oceny zdolności kredytowej konsumenta, o której mowa w art. 9 ustawy z dnia 12 maja 2011 r. o kredycie konsumenckim;
4) instytucjom pożyczkowym i podmiotom, o których mowa w art. 59d ustawy z dnia 12 maja 2011 r. o kredycie konsumenckim - na zasadzie wzajemności, informacji stanowiących odpowiednio tajemnicę bankową oraz informacje udostępnione przez instytucje pożyczkowe oraz podmioty, o których mowa w art. 59d ustawy z dnia 12 maja 2011 r. o kredycie konsumenckim, w zakresie niezbędnym do oceny zdolności kredytowej konsumenta, o której mowa w art. 9 tej ustawy, i analizy ryzyka kredytowego;
5) jednostce zarządzającej systemem ochrony lub bankowi zrzeszającemu - informacji stanowiących tajemnicę bankową w zakresie, w jakim są one niezbędne dla realizacji jej zadań określonych w art. 19 ust. 2, art. 22i ust. 1 i 3-5 oraz art. 22v ust. 2 ustawy o funkcjonowaniu banków spółdzielczych, ich zrzeszaniu się i bankach zrzeszających.
Przepis art. 105 ust. 4 Prawa bankowego jest przepisem o charakterze ogólnym, który stanowi o możliwości utworzenia wspólnie z bankowymi izbami gospodarczymi, instytucji upoważnionych do gromadzenia, przetwarzania i udostępniania danych. Przepis ten nie daje jednak podstaw do nieograniczonego przetwarzania wszelkich danych osobowych przez utworzone instytucje. Zasady przetwarzania danych objętych tajemnicą bankową określa art. 105a Prawa bankowego, którego możliwość uznania za podstawę przetwarzania danych osobowych w niniejszej sprawie został omówiona powyżej. Na gruncie tego przepisu należy oceniać zatem dopuszczalność przetwarzania poszczególnych danych osobowych w określonych ściśle celach. Podstawy prawnej przetwarzania danych osobowych w niniejszej sprawie nie mógł stanowić zatem art. 105 ust. 4 Prawa bankowego samodzielnie, ani też w powiązaniu z art. 105a tej ustawy.
W świetle powyższego przesłanka z art. 6 ust. 1 lit. c RODO nie znajduje zastosowania w okolicznościach niniejszej sprawy. Przepis ten dotyczy bowiem sytuacji, gdy przetwarzanie jest niezbędne do wypełnienia obowiązku prawnego administratora danych, a nie realizacji uprawnienia, o którym mowa w art. 105 ust. 4 Prawa bankowego. Ponadto przepis art. 105 ust. 4 Prawa bankowego nie stanowi o dopuszczalności przetwarzania danych osobowych dotyczących wniosków kredytowych w sytuacji, gdy nie doszło do zawarcia umowy z bankiem. Uznanie takiego procesu przetwarzania danych za legalny wymaga podstawy prawnej, której nie stanowią regulaminy ani umowy zawierane między poszczególnymi instytucjami a bankami.
W ocenie Sądu aktualny pozostaje pogląd wyrażony w wyroku NSA z dnia 14 września 2005 r., sygn. akt I OSK 39/05, wskazujący, że "Nie można zatem podzielić stanowiska, aby zezwalający na utworzenie instytucji zajmujących się szczególnym przetwarzaniem danych osobowych przepis stanowił zarazem podstawę do przetwarzania przez nie danych osobowych bez zgody osób, których dane dotyczą, gdyż nie tylko literalne brzmienie przepisu nie uzasadnia takiego przekazania, lecz i argumenty logiki prawniczej nie prowadzą do takiego wniosku. Nie można bowiem dowodzić, że w utworzonej zgodnie z prawem instytucji wolno działać w sposób, który sama uzna za odpowiadający jej celom, gdyż zezwolenie na utworzenie nie jest równoznaczne z zezwoleniem na działanie bez ograniczeń."
Na uwzględnienie nie zasługiwał również zarzut Banku dotyczący naruszenia art. 6 ust. 1 lit. c RODO w zw. z art. 144 ust. 1 lit. d, art. 145, art. 147 ust. 5 lit. b, art. 170 ust. 3 lit. a, ust. 4 lit. a, 171 ust. 2 oraz art. 179 ust. 1 lit. a rozporządzenia Parlamentu Europejskiego i rady nr 575/2013 ("CRR"). Zauważyć bowiem należy, że zgodnie z art. 105a ust. 4 banki oraz instytucje, o których mowa w art. 105 ust. 4, mogą przetwarzać stanowiące tajemnicę bankową informacje dotyczące osoby fizycznej po wygaśnięciu zobowiązania wynikającego z umowy zawartej z bankiem lub inną instytucją ustawowo upoważnioną do udzielania kredytów bez zgody osoby, której informacje dotyczą, do celów stosowania metod wewnętrznych oraz innych metod i modeli, o których mowa w części trzeciej rozporządzenia nr 575/2013. W niniejszej sprawie nie doszło zaś do powstania zobowiązania. Poszukiwanie zatem uprawnienia do przetwarzania danych osobowych w takiej sytuacji w przepisach rozporządzenia CRR jest nieuzasadnione.
Niezasadny jest postawiony przez Bank zarzut naruszenia art. 6 ust. 1 lit c RODO w zw. z art. 70a Prawa bankowego.
Zgodnie z art. 70a ust. 1 Prawa bankowego banki i inne instytucje ustawowo upoważnione do udzielania kredytów na wniosek osoby fizycznej, prawnej lub jednostki organizacyjnej niemającej osobowości prawnej, o ile posiada zdolność prawną, ubiegającej się o kredyt przekazują, w formie pisemnej, wyjaśnienie dotyczące dokonanej przez siebie oceny zdolności kredytowej wnioskującego. Wyjaśnienie, o którym mowa w ust. 1, obejmuje informacje na temat czynników, w tym danych osobowych wnioskującego, które miały wpływ na dokonaną ocenę zdolności kredytowej (art. 70a ust. 2).
Przepis ten nie zakreśla żadnego terminu na wystąpienie z wnioskiem o przekazanie wyjaśnień dotyczących dokonania zdolności kredytowej. Nie może to jednak oznaczać, jak słusznie organ podnosi w zaskarżonej decyzji, że przetwarzanie danych osobowych w oparciu o ten przepis byłoby bezterminowe. Uczestnik postępowania wykazał w sposób jednoznaczny wolę usunięcia danych, zatem przyjąć należy, że nie jest zainteresowany realizacją prawa do wyjaśnienia dotyczącego dokonanej oceny zdolności kredytowej, w myśl art. 70a ust. 1 i 2 Prawa bankowego. Brak jest zatem uzasadnienia dla przyjęcia, że Bank jest uprawniony do przetwarzania danych osobowych w związku z koniecznością ewentualnego wypełnienia obowiązku wynikającego z art. 70a ust. 1 i ust. 2 Prawa bankowego.
Nie jest trafny zarzut Banku dotyczący naruszenia przez organ art. 6 ust. 1 lit. f RODO w związku z Rekomendacjami S, W i T Komisji Nadzoru Finansowego. Powołane Rekomendacje nie stanowią obowiązujących przepisów prawa, zatem nie mogły mieć znaczenia dla rozstrzygnięcia podjętego w niniejszej sprawie. Ponadto Rekomendacje nie odnoszą się do kwestii przetwarzania danych osobowych w zakresie zapytań kredytowych w sytuacji, gdy umowa pomiędzy bankiem a potencjalnym klientem nie została zawarta.
Niezasadne okazały się również zarzuty naruszenia przepisów prawa materialnego sformułowane w skardze wywiedzionej przez [...].
[...] w swojej skardze zarzucił m. in. naruszenie art. 6 ust. 1 lit. c RODO w zw. z art. 105 ust. 1 pkt 1c w zw. z art. 105 ust. 4 oraz w zw. z art. 105a w zw. z art. 70 i art. 5 ust. 1 pkt 3 Prawa bankowego. Odnośnie tego zarzutu podnieść należy, że przedstawione wyżej stanowisko Sądu dotyczące art. 105 ust. 4 Prawa bankowego jest aktualne również wobec zarzutu postawionego przez [...].
Z kolei art. 105 ust. 1 pkt 1c Prawo bankowego stanowi, że bank ma obowiązek udzielenia informacji stanowiących tajemnicę bankową wyłącznie instytucjom, o których mowa w ust. 4, w zakresie niezbędnym do stosowania metod wewnętrznych oraz innych metod i modeli, o których mowa w przepisach części trzeciej rozporządzenia nr 575/2013.
Przepis ten stanowi o obowiązku udzielania przez banki informacji stanowiących tajemnicą bankową podmiotowi jakim jest [...]. Przepis ten nie odnosi się do przetwarzania danych przez [...] w zakresie niezbędnym do stosowania metod wewnętrznych oraz innych metod i modeli, o których mowa w przepisach części trzeciej rozporządzenia nr 575/2013. O przetwarzaniu danych przez [...] w tym celu stanowi powołany wyżej art. 105a ust. 4 Prawa bankowego, który, przypomnieć należy, uprawnia do tego [...] bez zgody osoby, której informacje dotyczą ale "po wygaśnięciu zobowiązania wynikającego z umowy zawartej z bankiem lub inną instytucją ustawowo upoważnioną do udzielania kredytów".
Art. 70 Prawa bankowego stanowi natomiast wyłącznie o badaniu przez banki zdolności kredytowej i nie zawiera regulacji dotyczących przetwarzania danych osobowych. Z kolei art. 5 ust. 1 pkt 3 tej ustawy wskazuje, że czynnością bankową jest udzielanie kredytów.
Art. 105 ust. 4 ustawy Prawo bankowe nie mógł zatem stanowić w niniejszej sprawie podstawy przetwarzania danych osobowych uczestnika przez [...] zarówno samodzielnie, jak i w powiązaniu z art. 105 ust. 1 pkt 1c, art. 105a, art. 70 i art. 5 ust. 1 pkt 3 Prawa bankowego.
[...] w swoich zarzutach wskazywał też na naruszenie art. 6 ust. 1 lit. f RODO w zw. z art. 105 ust. 4 ustawy Prawo bankowego. Powyższa argumentacja dotycząca art. 105 ust. 4 Prawa bankowego (przytoczona przy omawianiu zarzutów podniesionych przez Bank), wskazująca na charakter tego przepisu, nie pozwala też na uznanie, że przepis ten określa prawnie uzasadniony interes realizowany przez [...] lub przez stronę trzecią, a który mógłby być rozważny w kontekście art. 6 ust. 1 lit f RODO. Tak jak już podniesiono wyżej art. 105 ust. 4 Prawa bankowego sam w sobie nie może stanowić podstawy prawnej przetwarzania danych osoby ubiegającej się o kredyt. W treści tego przepisu nie można zatem poszukiwać prawnie usprawiedliwionego interesu w przetwarzaniu danych osobowych w sytuacji jak w niniejszej sprawie. Postawiony w tym kontekście zarzut naruszenia art. 6 ust. 1 lit f RODO jest niezasadny.
Na uwzględnienie nie zasługiwał również zarzut [...] dotyczący naruszenia art. 6 ust. 1 lit c RODO w zw. z art. 70a w zw. z art. 105 ust. 4 pkt 1 i 2 Prawa bankowego. Wyrażone wyżej stanowisko Sądu dotyczące art. 70a ustawy Prawo bankowe jako podstawy przetwarzania danych osobowych uczestnika postępowania przez Bank aktualne jest również w kontekście zarzutów sformułowanych przez [...]. Dodać jedynie należy, że art. 70a ustawy Prawo bankowe nakłada na banki i inne instytucje ustawowo upoważnione do udzielania kredytów obowiązek przekazywania osobie fizycznej ubiegającej się o kredyt wyjaśnień dotyczących dokonanej oceny zdolności kredytowej wnioskującego. Tego rodzaju obowiązku przepis ten nie nakłada na instytucje, o których mowa w art. 105 ust 4 Prawa bankowego. Ponadto żaden z przepisów z wymienionych przez [...] w skardze odnośnie tego zarzutu, tj. art. 70a, art. 105 ust. 4 pkt. 1 i 2, art. 105a, art. 105 ust. 4 pkt. 1 i 2 Prawa bankowego, nie stanowi o przetwarzaniu danych osobowych wnioskującej o udzielenie kredytu przez okres 12 miesięcy.
[...] zarzucił w skardze również naruszenie art. 6 ust. 1 lit e RODO.
Przede wszystkim podnieść należy, że przepis ten [...] powołał jako podstawę prawną legalizującą przetwarzanie danych osobowych uczestnika postępowania dopiero w skardze. Zastosowanie tego przepisu w niniejszej sprawie nie było w związku z tym przedmiotem oceny organu.
Przepis ten przewiduje dwie przesłanki legalizujące przetwarzanie danych osobowych. Może być ono niezbędne do wykonania zadania realizowanego w interesie publicznym lub niezbędne w ramach sprawowania władzy publicznej powierzonej administratorowi. W obu przypadkach zarówno zadanie, jak i sprawowanie władzy publicznej muszą zostać sprecyzowane w przepisach, o których mowa w art. 6 ust. 3 RODO. Art. 6 ust. 3 RODO stanowi bowiem, że podstawa przetwarzania, o którym mowa w ust. 1 lit. c) i e), musi być określona:
a) w prawie Unii; lub
b) w prawie państwa członkowskiego, któremu podlega administrator.
Cel przetwarzania musi być określony w tej podstawie prawnej lub, w przypadku przetwarzania, o którym mowa w ust. 1 lit. e) - musi być ono niezbędne do wykonania zadania realizowanego w interesie publicznym lub w ramach sprawowania władzy publicznej powierzonej administratorowi. Podstawa prawna może zawierać przepisy szczegółowe dostosowujące stosowanie przepisów niniejszego rozporządzenia, w tym: ogólne warunki zgodności z prawem przetwarzania przez administratora; rodzaj danych podlegających przetwarzaniu; osoby, których dane dotyczą; podmioty, którym można ujawnić dane osobowe; cele, w których można je ujawnić; ograniczenia celu; okresy przechowywania; oraz operacje i procedury przetwarzania, w tym środki zapewniające zgodność z prawem i rzetelność przetwarzania, w tym w innych szczególnych sytuacjach związanych z przetwarzaniem, o których mowa w rozdziale IX. Prawo Unii lub prawo państwa członkowskiego muszą służyć realizacji celu leżącego w interesie publicznym, oraz być proporcjonalne do wyznaczonego, prawnie uzasadnionego celu.
Strona skarżąca powołała się w zakresie tej podstawy przetwarzania danych osobowych na jej rolę w zabezpieczeniu ekonomiczno-gospodarczego sektora bankowego, w tym depozytariuszy i zapewnienia stabilności ekonomiczno-gospodarczej sektora bankowego, a w ujęciu makro zapobieganiu kryzysom gospodarczym.
Podnieść należy, że w odróżnieniu od przesłanki z art. 6 ust. 1 lit. c – RODO w art. 6 ust. 3 nie wymaga określenia w podstawie prawnej celu przetwarzania, a jedynie takiej jej konstrukcji, z której wynika niezbędność przetwarzania do wykonania zadania realizowanego w interesie publicznym lub w ramach sprawowania władzy publicznej powierzonej administratorowi (zob. E. Bielak-Jomaa (red.), D. Lubasz (red.), "RODO. Ogólne rozporządzenie o ochronie danych. Komentarz", Lex).
Zdaniem Sądu analizowane powyżej przepisy art. 70, art. 70a, art. 105 ust. 4 i art. 105a Prawa bankowego nie wskazują na niezbędność przetwarzania przez [...] danych osobowych osoby ubiegającej się o kredyt w sytuacji, gdy nie doszło do zawarcia umowy.
Zarzut naruszenia przez organ art. 6 ust. 1 lit. e RODO nie zasługiwał zatem na uwzględnienie.
[...] zarzuca również naruszenie art. 6 ust. 1 lit f RODO poprzez:
- nieuzasadnione przyjęcie, że prawnie uzasadniony interes administratora danych nie może opierać się na przesłance ewentualnego zabezpieczenia roszczeń,
- poprzez błędne uznanie, że wskutek braku zawarcia umowy kredytowej, [...] nie posiada prawnie uzasadnionego interesu w przetwarzaniu danych uczestnika, podczas gdy istnieje prawnie uzasadniony interes [...] w przetwarzaniu tych informacji pomimo nie zawarcia umowy kredytowej, polegający na realizacji działań z zakresu opracowania, utrzymania aktualności i funkcjonalności zbudowanych modeli scoringowych w zgodzie z treścią Rekomendacji W, S i T Komisji Nadzoru Finansowego w zakresie dobrych praktyk i zarządzania ryzykiem kredytowym.
Kwestia zabezpieczenia roszczeń i rekomendacji W, S i T Komisji Nadzoru Finansowego omówiona został już powyżej, w odniesieniu do zarzutów podniesionych przez Bank. Zbędne jest zatem powtarzane tej argumentacji w odniesieniu do zarzutów sformułowanych przez [...].
Nie mógł być skuteczny również zarzut naruszenia prawa materialnego sformułowany w pkt 6 skargi. W ramach tego zarzutu [...] próbował wykazać, że zachodzi podstawa prawna do przetwarzania danych osobowych uczestnika postepowania z uwagi na konieczność "zapewnienia rozliczalności działań Skarżącego". Strona skarżąca wskazuje (pkt 23 uzasadnienia skargi), że przetwarzanie danych osobowych uczestnika postępowania umożliwia udokumentowanie tego, że są one przetwarzane z poszanowaniem podstawowych zasad jakości danych osobowych, o których mowa w art. 5 RODO. Innymi słowy [...] próbuje wykazać, że przetwarza dane osobowe po to, aby móc wykazać, że są one przetwarzane zgodnie z prawem.
W ocenie Sądu nie jest w takiej sytuacji spełniona przesłanka określona w art. 6 ust. 1 lit f RODO. Przetwarzanie danych w celu udokumentowania prawidłowości ich przetwarzania nie stanowi celu, który wynika z prawnie uzasadnionego interesu.
Nieuzasadnione są również zarzuty skarg dotyczące naruszenia przepisów prawa procesowego, tj. art. 7, art. 77 § 1 oraz art. 80 k.p.a. bowiem organ prawidłowo zebrał i ocenił zgromadzony w sprawie materiał dowodowy opierając się na wyjaśnieniach Banku oraz [...] dotyczących przetwarzania danych osobowych uczestnika postepowania zawartych we wnioskach kredytowych. Uzasadnienie decyzji odpowiada zaś wymogom określonym w art. 107 § 3 k.p.a.
Nieuzasadniony jest również zarzut naruszenia art. 7b k.p.a. poprzez zaniechanie zwrócenia się do Komisji Nadzoru Finansowego w celu kompleksowego wyjaśnienia stanu faktycznego sprawy. Zgodnie z art. 7b k.p.a. w toku postępowania organy administracji publicznej współdziałają ze sobą w zakresie niezbędnym do dokładnego wyjaśnienia stanu faktycznego i prawnego sprawy, mając na względzie interes społeczny i słuszny interes obywateli oraz sprawność postępowania, przy pomocy środków adekwatnych do charakteru, okoliczności i stopnia złożoności sprawy. W ocenie Sądu stan faktyczny i prawny sprawy został przez organ prawidłowo ustalony i należycie rozpatrzony w oparciu o zgromadzony materiał dowodowy, w tym w oparciu o wyjaśnienia Banku oraz [...]. Nie zachodziły więc przesłanki do podjęcia przez PUODO współdziałania z innymi organami administracji publicznej w oparciu o ww. przepis w celu wydania rozstrzygnięcia w sprawie.
Sądowi znany jest mu z urzędu odmienny w tym względzie pogląd wyrażony przez Wojewódzki Sąd Administracyjny w Warszawie w nieprawomocnym wyroku z dnia 29 października 2021 r. sygn. akt II SA/Wa 506/21, jednak poglądu tego Sąd w składzie orzekającym nie podziela.
Sąd zauważa, że PUODO jest wyspecjalizowanym w sprawach dotyczących ochrony danych osobowych i niezależnym organem, który ma status i kompetencje organu nadzorczego określone w przepisach RODO. Z tego względu PUODO jest uprawniony do samodzielnego dokonywania interpretacji przepisów prawa w zakresie dotyczącym ochrony danych osobowych. Stanowisko to znajduje potwierdzenie w art. 51 oraz w motywach 117, 122 oraz 123 RODO.
Podsumowując Sąd stwierdza, że decyzja PUODO jest zgodna z prawem, zaś zarzuty skarg nie zasługiwały na uwzględnienie.
Mając na względzie powyższe Wojewódzki Sąd Administracyjny w na podstawie art. 151 p.p.s.a. orzekł jak w sentencji wyroku.