II SA/Wa 1486/23

II SA/Wa 1486/23 - Wyrok WSA w Warszawie
Data orzeczenia
2024-03-13
orzeczenie nieprawomocne
Data wpływu
2023-07-28
Sąd
Wojewódzki Sąd Administracyjny w Warszawie
Sędziowie
Ewa Radziszewska-Krupa
Izabela Głowacka-Klimas
Joanna Kube /przewodniczący sprawozdawca/
Symbol z opisem
647  Sprawy związane z ochroną danych osobowych
Hasła tematyczne
Ochrona danych osobowych
Skarżony organ
Generalny Inspektor Ochrony Danych Osobowych
Treść wyniku
Oddalono skargę
Powołane przepisy
Dz.U. 2023 poz 1634
art. 151
Ustawa z dnia 30 sierpnia 2002 r. Prawo o postępowaniu przed sądami administracyjnymi - t.j.
Dz.U.UE.L 2016 nr 119 poz 1 art. 6 ust. 1 lit. c i lit. f, art. 6 ust. 3
Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z  przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE
Dz.U. 2021 poz 2439
art. 70 ust. 1, art. 105,  art. 105a
Ustawa z dnia 29 sierpnia 1997 r. Prawo bankowe (t.j.)
Sentencja
Wojewódzki Sąd Administracyjny w Warszawie w składzie następującym: Przewodniczący Sędzia WSA Joanna Kube (spr.), Sędzia WSA Ewa Radziszewska-Krupa, Sędzia WSA Izabela Głowacka-Klimas, Protokolant referent stażysta Marta Stec, po rozpoznaniu na rozprawie w dniu 13 marca 2024 r. sprawy: ze skargi [...] Banku S.A. z siedzibą w [...] na punkt 1 decyzji Prezesa Urzędu Ochrony Danych Osobowych z dnia [...] maja 2023 r. nr [...] oraz ze skargi Biura Informacji Kredytowej S.A. z siedzibą w [...] na punkt 2 decyzji Prezesa Urzędu Ochrony Danych Osobowych z dnia [...] maja 2023 r. nr [...] w przedmiocie przetwarzania danych osobowych oddala skargi
Uzasadnienie
Prezes Urzędu Ochrony Danych Osobowych (dalej: "Prezes UODO", "organ") decyzją z dnia [...] maja 2023 r. nr [...], na podstawie art. 104 § 1 Kodeksu postępowania administracyjnego (Dz. U. z 2023 r., poz. 775 z późn. zm.), dalej: "k.p.a.", art. 7 ust. 1 i 2 ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych (Dz. U. z 2019 r. poz. 1781), art. 6 ust. 1 oraz art. 58 ust. 2 lit. c rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz. Urz. UE L 119
z 4.05.2016, str. 1, Dz. Urz. UE L 127 z 23.05.2018, str. 2 oraz Dz. Urz. UE L 74
z 4.03.2021, str. 35), dalej "RODO", po przeprowadzeniu postępowania administracyjnego w sprawie skargi K. B. z dnia [...] lutego 2023 r. na nieprawidłowości w procesie przetwarzania jej danych osobowych przez [...] Bank S.A. z siedzibą w [...], polegające na udostępnieniu jej danych osobowych bez podstawy prawnej, dotyczących zapytań kredytowych z dnia [...] maja 2022 r. oraz [...] lutego 2023 r. na rzecz Biura Informacji Kredytowej S.A. z siedzibą
w [...],
1) nakazał [...] Bank S.A. z siedzibą w [...] (dalej: "Bank") usunięcie danych osobowych K. B. w zakresie wynikającym z zapytań kredytowych z dnia [...] maja 2022 r. oraz [...] lutego 2023 r.;
2) nakazał Biuru Informacji Kredytowej S.A. z siedzibą w [...] (dalej: "BIK") usunięcie danych osobowych K. B. w zakresie wynikającym z zapytań kredytowych z dnia [...] maja 2022 r. oraz [...] lutego 2023 r., przekazanych przez [...] Bank S.A. z siedzibą w [...].
W toku przeprowadzonego postępowania wyjaśniającego w niniejszej sprawie Prezes Urzędu ustalił następujący stan faktyczny:
K. B. (dalej: "skarżąca") w skardze do Prezesa UODO wskazała, że Bank przetwarza jej dane osobowe w zakresie zapytań kredytowych z dnia [...] maja 2022 r. oraz [...] lutego 2023 r. w bazie BIK. Bank nie chce usunąć jej danych,
w związku z ww. zapytaniami kredytowymi, pomimo że nie ma wobec Banku żadnych zobowiązań, a ww. wnioski kredytowe nie zakończyły się zawarciem umowy o kredyt.
Bank wskazał, że aktualnie przetwarza dane osobowe skarżącej
w zakresie: imiona, nazwisko, kraj pochodzenia, obywatelstwo, wykształcenie, stan cywilny, PESEL, seria i numer dowodu osobistego, data ważności dowodu osobistego, adres zameldowania, zamieszkania oraz do korespondencji, numer telefonu komórkowego, adres e-mail, informacje o zatrudnieniu oraz osiąganych dochodach.
Podstawą zaś przetwarzania danych pochodzących z wniosków kredytowych jest:
a) obowiązek wynikający z art. 70 ustawy z dnia 29 sierpnia 1997 r. Prawo bankowe (t.j. Dz. U. z 2022 r. poz. 2324 z późn. zm., (dalej: Prawo bankowe) i uprawnienie do pobrania w związku z tym danych z BIK w oparciu o art. 105 ust. 4 oraz art. 105a ust. 1 Prawa bankowego. Powyższe przesłanki znajdują uzasadnienie w art. 6 ust. 1 lit. b RODO;
b) art. 6 ust 1. lit. f RODO, tj. prawnie uzasadniony interes realizowany przez administratora danych, jakim jest ewentualne dochodzenie roszczeń powstałych
w związku z wykonywaniem czynności bankowych oraz innych wynikających
z przepisów powszechnie obowiązujących;
c) zalecenia Komisji Nadzoru Finansowego.
Bank przyjął 12-miesięczny okres retencji danych pochodzących z wniosków kredytowych, które nie zakończyły się zawarciem umowy. Wskazał, że przekazanie danych osobowych skarżącej do BIK, w zakresie zapytań kredytowych z dnia [...] maja 2022 r. oraz dnia [...] lutego 2023 r., nastąpiło na podstawie art. 105 ust. 4 Prawa bankowego i nie wymagało zawarcia z ww. instytucją umowy powierzenia przetwarzania danych. Warunki wzajemnej współpracy Banku z BIK uregulowane są zawartą umową na udostępnianie informacji - umową zawartą w dniu [...] września 2016 r. pomiędzy Bankiem a BIK w zakresie gromadzenia, przetwarzania
i udostępniania informacji, a także aneksem dostosowującym zapisy przedmiotowej umowy do RODO.
Bank podał, że wnioski skarżącej o usunięcie jej danych, w tym zaprzestania ich przetwarzania w bazie BIK, zostały załatwione odmownie.
Bank nie prowadzi wobec skarżącej spraw, w ramach których planuje wystąpić
z jakimkolwiek roszczeniem wobec niej.
BIK z kolei w toku postępowania wskazał, że pozyskał od Banku w zakresie zapytań kredytowych z dnia [...] maja 2022 r. i [...] lutego 2023 r. następujące dane osobowe skarżącej: imię, nazwisko, PESEL, serię i numer dowodu osobistego, datę urodzenia, obywatelstwo, płeć, dane z wniosków kredytowych, dotyczących wnioskowanych zobowiązań i adres zamieszkania.
Podał, że dane skarżącej zostały pozyskane na podstawie art. 105 ust. 1 pkt 1 c, art. 105 ust. 4 oraz art. 105 a ust. 1 Prawa bankowego oraz na podstawie umowy zawartej z Bankiem.
BIK wskazał, że przetwarza dane pochodzące z zapytań kredytowych przez okres 12 miesięcy od dnia złożenia zapytania w celu oceny zdolności kredytowej
i analizy ryzyka kredytowego konkretnego klienta.
BIK wyjaśnił, że przetwarza dane osobowe skarżącej w zakresie zapytań kredytowych z dnia [...] maja 2022 r. i dnia [...] lutego 2023 r. w celu budowy modeli scoringowych, tj. narzędzi wykorzystywanych przez banki do oceny zdolności kredytowej i analizy ryzyka kredytowego przez okres nie krócej niż 5 lat i nie dłużej niż 10 lat od dnia złożenia zapytania.
BIK podał, że podstawą przetwarzania danych w celu oceny zdolności kredytowej i analizy ryzyka kredytowego jest art. 6 ust. 1 lit. c RODO w zw. z art. 105 ust. 4 oraz art. 105a ust. 1, 1a i 1b Prawa bankowego, art. 170 ust. 3 rozporządzenia Parlamentu Europejskiego i Rady (UE) nr 575/2013 z 26 czerwca 2013 r. w sprawie wymogów ostrożnościowych dla instytucji kredytowych i firm inwestycyjnych, zmieniającego rozporządzenie (UE) nr 648/2012 (Dz. Urz. UE L 176 z 27.06.2013, str. 1, z późn. zm.; dalej: "CRR"), art. 171 ust. 2 CRR, 144 ust. 1 lit. d CRR, art. 145 ust. 1 CRR, art. 147 ust. 5 lit. b. CRR, art. 179 ust. 1a CRR oraz art. 180 ust. 2 lit. e CRR.
BIK wskazał, że dane dotyczące zapytań kredytowych z dnia [...] maja 2022 r. oraz dnia [...] lutego 2023 r. skarżącej będzie przetwarzał również w celach statystycznych oraz stosowania metod wewnętrznych oraz innych metod i modeli przez okres nie dłuższy niż 10 lat; w celu rozpatrywania ewentualnych reklamacji lub roszczeń odszkodowawczych klientów, których termin przedawnienia, zgodnie z art. 118 Kodeksu cywilnego, wynosi 6 lat oraz z uwagi na konieczność wypełnienia ustawowego obowiązku wynikającego z art. 15 RODO w przypadku wystąpienia przez osobę, której dane dotyczą z wnioskiem o udzielenie informacji. BIK będzie przetwarzał wyłącznie dane dot. ww. zapytań kredytowych przez okres 12 miesięcy
w celach przeciwdziałania przestępstwom oraz wykonywania obowiązków w zakresie określonym w przepisach o przeciwdziałaniu praniu pieniędzy oraz finansowaniu terroryzmu na podstawie art. 106d Prawa bankowego oraz art. 33 ust. 2, art. 34 ust. 1 pkt 4, art. 36, art. 46 ustawy AML oraz w celu realizacji wniosków klientów banków dotyczących wyjaśnień dokonanej oceny zdolności kredytowej na podstawie art. 70a Prawa bankowego.
BIK stwierdził, że Bank nie zwracał się do BIK o usunięcie danych osobowych skarżącej, dotyczących przedmiotowych zapytań kredytowych z dnia [...] maja 2022 r. oraz dnia [...] lutego 2023 r. Podał, że skarżąca nie wystąpiła do BIK z wnioskiem
o realizację jej praw z zakresu ochrony danych osobowych, w tym o usunięcie jej danych osobowych dotyczących ww. zapytań kredytowych.
Prezes UODO rozstrzygając w przedmiotowej sprawie wskazał, iż przepisem uprawniającym administratorów danych do przetwarzania zwykłych danych osób fizycznych jest art. 6 ust. 1 RODO, zgodnie z którym, przetwarzanie danych jest dopuszczalne tylko wtedy, gdy spełniona jest jedna z przesłanek wskazanych w tym przepisie. Katalog przesłanek wymienionych w art. 6 ust. 1 RODO, jest zamknięty. Każda z przesłanek legalizujących proces przetwarzania danych osobowych ma charakter autonomiczny i niezależny. Dodatkowo, proces przetwarzania danych osobowych musi być zgodny z zasadami ustanowionymi w art. 5 ust. 1 RODO.
Do zasad tych zalicza się między innymi ograniczenie celu (art. 5 ust. 1 lit. b RODO) oraz minimalizację danych (art. 5 ust. 1 lit. c RODO). Wspomniane zasady wymagają, by dane osobowe były zbierane w konkretnych, wyraźnych i prawnie uzasadnionych celach i nieprzetwarzane dalej w sposób niezgodny z tymi celami,
a proces przetwarzania danych osobowych był adekwatny, stosowny oraz ograniczony do tego, co niezbędne do celów, w których są przetwarzane.
Co do zasady podstawą prawną przetwarzania danych osobowych klientów przez Bank i BIK może być obecnie art. 6 ust. 1 lit. f RODO, gdy przetwarzanie to jest niezbędne do celów wynikających z prawnie uzasadnionych interesów realizowanych przez administratora.
Uzasadniając to stanowisko odwołał się do art. 105a ust. 1 Prawa bankowego, który stanowi, że przetwarzanie przez banki, inne instytucje ustawowo upoważnione do udzielania kredytów, instytucje pożyczkowe oraz podmioty, o których mowa w art. 59d ustawy z dnia 12 maja 2011 r. o kredycie konsumenckim, a także instytucje utworzone na podstawie art. 105 ust. 4 (a więc BIK), informacji stanowiących tajemnicę bankową i informacji udostępnionych przez instytucje pożyczkowe oraz podmioty, o których mowa w art. 59d ustawy z dnia 12 maja 2011 r. o kredycie konsumenckim, w zakresie dotyczącym osób fizycznych może być wykonywane,
z zastrzeżeniem art. 104, 105 i art. 106 - 106d Prawa bankowego w celu oceny zdolności kredytowej i analizy ryzyka kredytowego. Następnie organ nadzorczy podał, że stosownie do art. 105a ust. 4 Prawa bankowego, banki oraz instytucje,
o których mowa w art. 105 ust. 4, mogą przetwarzać stanowiące tajemnicę bankową informacje dotyczące osoby fizycznej po wygaśnięciu zobowiązania wynikającego
z umowy zawartej z bankiem lub inną instytucją ustawowo upoważnioną do udzielania kredytów bez zgody osoby, której informacje dotyczą, do celów stosowania metod wewnętrznych oraz innych metod i modeli, o których mowa
w części trzeciej rozporządzenia nr 575/2013 (art. 105a ust. 4 Prawa bankowego). Stosownie zaś do art. 105a ust. 5 Prawa bankowego przetwarzanie informacji stanowiących tajemnicę bankową w przypadkach, o których mowa w ust. 3, może być wykonywane przez okres nie dłuższy niż 5 lat od dnia wygaśnięcia zobowiązania, a w przypadku, o którym mowa w ust. 4, przez okres 12 lat od dnia wygaśnięcia zobowiązania.
Prezes UODO dodał, że zgodnie z art. 70 ust. 1 Prawa bankowego, bank uzależnia przyznanie kredytu od zdolności kredytowej kredytobiorcy. Przez zdolność kredytową rozumie się zdolność do spłaty zaciągniętego kredytu wraz z odsetkami
w terminach określonych w umowie.
Z powyższego wynika, zdaniem Prezesa UODO, że Bank oraz BIK, na podstawie art. 105a ust. 1 w zw. z art. 70 ust. 1 Prawa bankowego, były uprawnione do przetwarzania danych osobowych K. B. w celu oceny zdolności kredytowej w związku z jej zapytaniami kredytowymi złożonymi do Banku w dniu [...] maja 2022 r. oraz w dniu [...] lutego 2023 r. Ponieważ nie doszło do zawarcia umowy kredytu pomiędzy K. B. a Bankiem, odpadła przesłanka legalizująca dalsze przetwarzanie jej danych osobowych przez Bank oraz BIK. Przesłanki zawarte w art. 105a Prawa bankowego dotyczą bowiem przetwarzania informacji objętych tajemnicą bankową w okresie przed powstaniem zobowiązania, w trakcie jego trwania oraz po wygaśnięciu zobowiązania. Pomiędzy Bankiem a K. B. nie zawiązał się żaden stosunek zobowiązaniowy, który stosownie do art. 105a ust. 1 - 6 Prawa bankowego dawałby podstawę do dalszego przetwarzania jej danych osobowych. Celem przetwarzania danych osobowych K. B. była ocena zdolności kredytowej i analizy ryzyka kredytowego. W związku z dokonaniem przez Bank oceny zdolności kredytowej i analizy ryzyka kredytowego ww. cel przetwarzania danych osobowych K. B. został zrealizowany i brak jest podstaw prawnych do kontynuowania tego procesu.
Prezes UODO na poparcie zajętego stanowiska odwołał się do wyroku z dnia 27 sierpnia 2019 r. sygn. akt I OSK 2567/17, w którym Naczelny Sąd Administracyjny wywiódł, że "(...) cel oceny zdolności kredytowej stanowi ocena zdolności do spłaty zaciągniętego kredytu wraz z odsetkami, co ma charakter czynności wstępnej do zawarcia stosownej umowy. Dalsze przetwarzanie danych uzyskanych w celu oceny zdolności kredytowej, w przypadku nie zawarcia stosownej umowy pozostawałaby
w oderwaniu od celu, dla którego dane te uzyskano. (...) niedopuszczalne jest przetwarzanie danych osobowych na przyszłość, a także na potrzeby budowy oceny zdolności kredytowej innych podmiotów, jeżeli nie można zrekonstruować wyraźnej podstawy prawnej takich działań".
W ocenie Prezesa UODO, za podstawę przetwarzania danych osobowych skarżącej nie mogą być również uznane wskazane przez Bank i BIK cele statystyczne i analizy, w tym cel stosowania metod wewnętrznych oraz innych metod i modeli, o których mowa w części trzeciej rozporządzenia CRR.
Prezes UODO nie podzielił stanowiska Banku oraz BIK, że przetwarzanie danych osobowych skarżącej ma na celu przeciwdziałanie przestępstwom oraz wykonywanie obowiązków w zakresie określonym w przepisach AML. Organ przytoczył treść art. 106d Prawa bankowego oraz przepisy ustawy o AML (m. in. art. 33, art. 34 ust.3 i art. 35 ust. 2) i stwierdził, że w toku prowadzonego postępowania Bank i BIK nie wykazały, aby zaszła którakolwiek z przesłanek określonych w tych przepisach. W szczególności nie wykazały, aby istniały uzasadnione podejrzenia,
o których mowa w art. 106d ust. 1 pkt 1-2, oraz nie wskazały także nałożonego na niego obowiązku określonego w przepisach o przeciwdziałaniu praniu pieniędzy oraz finansowaniu terroryzmu, o którym mowa w art. 106d ust. 1 pkt 3.
W uzasadnieniu decyzji Prezes UODO stwierdził ponadto, że zebrany
w niniejszym postępowaniu materiał dowodowy nie wykazał, aby skarżąca wystąpiła z jakimkolwiek roszczeniem wobec Banku czy BIKu, które uzasadniałoby uprawnienie tych podmiotów do zachowania i przetwarzania jej danych osobowych dla celów dowodowych w związku z dochodzeniem przez skarżącą tego roszczenia (art. 6 ust. 1 lit f RODO). Bank i BIK nie wskazały także na istnienie roszczeń, których dochodzą od skarżącej. Przesłanka legalizująca przetwarzanie danych osobowych,
o której mowa w art. 6 ust. 1 lit. f RODO dotyczy sytuacji już istniejącej, w której celem wynikającym z prawnie uzasadnionych interesów realizowanych przez administratora jest konieczność udowodnienia, potrzeba dochodzenia lub obrony przed roszczeniem istniejącym, nie zaś sytuacji, gdy dane są przetwarzane w celu zabezpieczenia się przed ewentualnym roszczeniem. Niedopuszczalne jest przetwarzanie danych osobowych niejako "na zapas", na wszelki wypadek, a więc
z założeniem, że mogą być one ewentualnie przydatne w przyszłości.
Prezes UODO przytoczył wyroki Naczelnego Sądu Administracyjnego z dnia 6 marca 2019 r. sygn. akt I OSK 994/17 (LEX nr 2670498) oraz z 23 września 2005 r. sygn. akt l OSK 712/05 (niepubl., dostępny w CBOSA). Ponadto stwierdził, że przyjęcie za prawidłowe przeciwnego stanowiska, zgodnie z którym przetwarzanie danych osobowych w celu uchylenia się od negatywnych skutków w przypadku zgłoszenia w przyszłości ewentualnego i nieokreślonego roszczenia, stanowi prawnie usprawiedliwiony cel w rozumieniu art. 6 ust. 1 lit. f RODO, oznaczałoby, że dane osobowe skarżącej mogłyby być przetwarzane przez BIK permanentnie, bez konieczności ich usunięcia. Teoretycznie możliwym jest przecież by skarżąca zwróciła się do Banku lub BIK z roszczeniem po upływie terminu przedawnienia roszczenia. Prowadziłoby to tym samym do uznania, że przetwarzanie jej danych osobowych przez Bank i BIK ma uzasadnienie w przesłance określonej art. 6 ust. 1 lit. f RODO w celu realizacji prawa do obrony przed ewentualnym roszczeniem skarżącej również po upływie ww. terminu.
Prezes UODO dodał, że nie podziela stanowiska, zgodnie z którym terminy dotyczące przedawnienia roszczeń wynikających ze stosunków zobowiązaniowych określają jednocześnie ramy czasowe, w których dane osobowe mogą być przetwarzane przez Bank i BIK. Przedawnienie roszczenia nie wywołuje skutków na gruncie ochrony danych osobowych, nie wpływa bowiem na fakt istnienia roszczenia, a powoduje jedynie zmianę w sferze zarzutów procesowych w postaci możliwości podniesienia okoliczności przedawnienia w sporze sądowym. Okolicznością usprawiedliwiającą przetwarzanie danych osobowych w celu dochodzenia roszczeń jest sam fakt istnienia roszczenia oraz zamiar jego dochodzenia, nie jest nią natomiast zmiana w uprawnieniach procesowych podmiotu pozwanego.
Organ nadzorczy nie zgodził się również z zapatrywaniem BIK, że jest uprawniony do przetwarzania danych osobowych pozyskanych w związku
z zapytaniami złożonymi przez Bank, z uwagi na konieczność ewentualnego wypełnienia obowiązku wynikającego z art. 15 RODO. Usunięcie przez administratora danych osobowych nie uniemożliwia mu wykonania obowiązku uregulowanego w tym przepisie, gwarantującego osobie, której dane dotyczą, prawo do uzyskania od administratora informacji, czy jej dane są przetwarzane,
a w przypadku pozytywnej odpowiedzi na tak postawione pytanie - uprawnienie do dostępu do danych na swój temat oraz uzyskania informacji o okolicznościach przetwarzania danych. Jeśli bowiem administrator nie przetwarza danych dotyczących osoby, która zwraca się z żądaniem udzielenia informacji, to działanie administratora ogranicza się do odpowiedzi przeczącej i nie ma on obowiązku podawać podmiotowi danych innych informacji.
Zdaniem Prezesa UODO, brak jest ponadto uzasadnienia dla przyjęcia, że Bank jest uprawniony do przetwarzania danych osobowych w związku
z koniecznością ewentualnego wypełnienia obowiązku wynikającego z art. 70a ust. 1 i ust. 2 Prawa bankowego. Stosownie do art. 70a ust. 1 Prawa bankowego, banki
i inne instytucje ustawowo upoważnione do udzielania kredytów na wniosek osoby fizycznej, prawnej lub jednostki organizacyjnej niemającej osobowości prawnej, o ile posiada zdolność prawną, ubiegającej się o kredyt przekazują, w formie pisemnej, wyjaśnienie dotyczące dokonanej przez siebie oceny zdolności kredytowej wnioskującego. Stosownie zaś do art. 70a ust. 2 prawa bankowego wyjaśnienie,
o którym mowa w ust. 1, obejmuje informacje na temat czynników, w tym danych osobowych wnioskującego, które miały wpływ na dokonaną ocenę zdolności kredytowej.
Prezes UODO wskazał, że powstanie obowiązku, o którym mowa
w art. 70a ust. 1 Prawa bankowego, uzależnione jest od złożenia stosownego wniosku przez osobę ubiegającą się o kredyt. W niniejszej sprawie ustalono, że skarżąca w związku z zapytaniami kredytowymi z dnia [...] maja 2022 r. oraz dnia [...] lutego 2023 r. ubiegała się o zawarcie z Bankiem umowy kredytowej, jednak jej wnioski nie zakończyły się zawarciem umowy z Bankiem. Następnie skarżąca w dniu [...] listopada 2022 r. oraz w dniu [...] lutego 2023 r. zwróciła się do Banku z żądaniem usunięcia jej danych przetwarzanych w związku z ww. zapytaniami oraz usunięcia ich z BIK. Proces przetwarzania danych osobowych związanych z ww. zapytaniami kredytowymi zakwestionowała, domagając się ochrony danych osobowych. Uwzględnienie żądania skarżącej usunięcia przedmiotowych danych skutkować będzie brakiem możliwości udzielenia informacji wskazanych w art. 70a ust. 1 i 2 prawa bankowego, z czym skarżąca, żądając usunięcia danych, musi się liczyć.
W związku z powyższym, skarżąca nie była i nie jest zainteresowana realizacją prawa do złożenia wniosku, o którym mowa w powyższym przepisie, a tym samym nie można uznać, aby stanowił on podstawę przetwarzania danych osobowych skarżącej.
Wobec powyższego, w ocenie Prezesa UODO, brak jest celu uzasadniającego dalsze przetwarzanie danych osobowych skarżącej zawartych
w przedmiotowych zapytaniach kredytowych zarówno przez Bank, jak i przez BIK. Bank w związku z pozyskaniem danych osobowych skarżącej w celu oceny zdolności kredytowej stał się administratorem tych danych osobowych. Natomiast BIK stał się administratorem danych osobowych skarżącej z uwagi na przekazanie tych danych przez Bank. W związku z powyższym zarówno Bank, jak i BIK są odrębnymi administratorami. Każdy z tych podmiotów przetwarza bowiem dane osobowe skarżącej we własnych celach i samodzielnie ustala sposoby ich przetwarzania.
Prezes UODO stwierdził, że wobec niezaistnienia żadnej z wyrażonych w art. 6 ust. 1 RODO przesłanek, która stanowiłaby o legalności procesu przetwarzania przez Bank i BIK danych osobowych skarżącej, na podstawie art. 58 ust. 2 lit. c RODO, nakazał Bankowi oraz BIK usunięcie danych osobowych skarżącej przetwarzanych w związku ze złożonymi zapytaniami kredytowymi z dnia [...] maja 2022 r. oraz dnia [...] lutego 2023 r.
Bank oraz BIK zaskarżyły dwiema skargami do Wojewódzkiego Sądu Administracyjnego w Warszawie decyzję Prezesa UODO z dnia [...] maja 2023 r. nr [...].
Bank zaskarżył tę decyzję w zakresie pkt 1, a więc rozstrzygnięcie nakazujące mu usunięcie danych osobowych skarżącej wynikających z zapytań kredytowych
z [...] maja 2022 r. i [...] lutego 2023 r. niezakończonych udzieleniem kredytu (sprawa zarejestrowana została pod sygn. akt II SA/Wa 1486/23), natomiast BIK wniósł skargę na tę decyzję w zakresie pkt 2, a więc nakazania mu usunięcie danych osobowych skarżącej wynikających z powołanych zapytań kredytowych (sprawa zarejestrowana pod sygn. akt II SA/Wa 1492/23).
Bank wniósł o uchylenie zaskarżonej decyzji w części tj. w zakresie punktu pierwszego oraz o zasądzenie zwrotu kosztów postępowania, w tym kosztów zastępstwa procesowego według norm przepisanych oraz zwrotu kwoty 51 zł uiszczonej opłaty skarbowej od pełnomocnictwa.
BIK z kolei wniósł o uchylenie zaskarżonej decyzji w części, tj. w zakresie punktu drugiego oraz o zasądzenie zwrotu kosztów postępowania, w tym kosztów zastępstwa procesowego według norm przepisanych, w tym zwrotu opłaty skarbowej od pełnomocnictwa w kwocie 17 zł.
Bank zarzucił zaskarżonej decyzji:
I. naruszenie prawa materialnego, tj.:
1) art. 58 ust. 2 lit. c RODO w zw. z art. 6 ust. 1 lit. f RODO poprzez jego niewłaściwe zastosowanie polegające na przyjęciu, że Bank nie legitymuje się podstawą prawną przetwarzania danych z przepisu art. 6 ust. 1 lit. f RODO, podczas gdy organ powinien był uwzględnić, że Bank przetwarza dane w celu obrony przed roszczeniami skarżącej, których ryzyko zgłoszenia jest wysokie, mając na uwadze wszczęte postępowanie przed Prezesem UODO, co skutkowało wydaniem przez Prezesa UODO bezzasadnego nakazu usunięcia danych skarżącej;
2) art. 58 ust. 2 lit. c RODO w zw. z art. 6 ust. 1 lit. f RODO w związku z art. 117 § 2 i § 21, art. 118 i art. 119 ustawy z dnia 23 kwietnia 1964 r. - Kodeks cywilny (tj. Dz. U. z 2022 r., poz. 1360 z późn. zm., dalej: "k.c.") poprzez ich niewłaściwe zastosowanie polegające na przyjęciu, że Bank nie miał prawa przetwarzania danych skarżącej przez okres przedawnienia roszczeń w sytuacji, gdy Bank nie przetwarza danych skarżącej przez cały dopuszczalny okres przedawnienia roszczeń, a jedynie przez okres 12 miesięcy od daty złożenia wniosków kredytowych, co skutkowało nałożeniem nieproporcjonalnego, nieadekwatnego i nadmiernie dotkliwego środka naprawczego, tj. nakazu usunięcia danych z zapytań kredytowych;
3) art. 6 ust. 1 lit. c RODO w zw. z art. 105 ust. 4, art. 105a ust. 1 oraz art. 70 ust. 1 Prawa bankowego poprzez ich błędną wykładnię polegającą na uznaniu, że Bank nie legitymuje się przesłanką przetwarzania danych wynikającą z art. 6 ust. 1 lit. c RODO w zw. z art. 105 ust. 4, art. 105a ust. 1 oraz art. 70 ust. 1 Prawa bankowego, podczas gdy przepisy te nakładają na Bank obowiązki wykonywania czynności bankowych takich jak udzielanie kredytów, obowiązek oceny zdolności kredytowej i analizy ryzyka kredytowego, z którymi wiąże się konieczność przetwarzania danych osobowych, w tym danych z zapytań kredytowych;
4) art. 6 ust. 1 lit. f RODO w związku z Rekomendacjami S, W i T Komisji Nadzoru Finansowego poprzez ich niewłaściwe zastosowanie i przyjęcie, że Bank nie legitymuje się przesłanką przetwarzania danych wynikającą z art. 6 ust. 1 lit. f RODO w związku z Rekomendacjami S, WI T Komisji Nadzoru Finansowego, podczas gdy przepisy te nakładają na banki określone wymagania w związku z budową modeli statystycznych (w tym scoringowych), które następnie podlegają egzekwowaniu przez Komisję Nadzoru Finansowego na podstawie bezwzględnie obowiązujących przepisów prawa;
5) art. 6 ust. 1 lit. c RODO w zw. z art. 105a ust. 1-1c Prawa bankowego, poprzez ich błędną wykładnię polegającą na przyjęciu, że Bank nie legitymuje się przesłanką przetwarzania danych wynikającą z art. 6 ust. 1 lit. c RODO w związku z art. 105a ust. 1-1c Prawa bankowego, podczas gdy Bank wykazuje cel przetwarzania danych osobowych, polegający na dokonywaniu analizy ryzyka kredytowego oraz realizacji wymogów w związku ze stosowaniem metod wewnętrznych oraz innych metod i modeli, o których mowa w części trzeciej CRR;
6) art. 6 ust. 1 lit. c RODO w zw. z art. 144 ust. 1 lit. d, art. 170 ust. 3 lit. a, art. 170 ust. 4 lit. a, art. 171 ust 2 i art. 179 ust. 1 lit. a CRR poprzez ich niewłaściwe zastosowanie i przyjęcie, że Bank nie legitymuje się przesłanką przetwarzania danych wynikającą z art. 6 ust. 1 lit. c RODO w związku z powyższymi przepisami CRR, wskazującymi na określone obowiązki Banku w zakresie wymogów ostrożnościowych i tworzenia modeli oraz metod służących ocenie ryzyka kredytowego;
7) art. 6 ust. 1 lit. c RODO w zw. z art. 106d Prawa bankowego w zw. z art. 33 ust. 2, art. 33 ust. 3, art. 34 ust. 1 pkt 4, art. 36 oraz art. 49 AML, polegające na ich niewłaściwym zastosowaniu i przyjęciu, że Bank nie legitymuje się przesłanką przetwarzania danych, wynikającą z ww. przepisów, podczas gdy Bank wykazuje cel przetwarzania danych osobowych polegający na analizie danych podanych we wnioskach kredytowych i analizie zapytań kredytowych złożonych w BIK
w określonym czasie w celu wykrycia nieścisłości oraz powzięcia informacji mogących stanowić o uzasadnionym podejrzeniu popełnienia przestępstw, o których mowa w art 106d Prawa bankowego, a także wypełnianiu obowiązków zawartych
w AML;
8) art. 6 ust. 1 lit. c RODO w zw. z art. 70a ust. 1 i 2 Prawa bankowego poprzez ich niewłaściwe zastosowanie i przyjęcie, że Bank nie legitymuje się podstawą prawną przetwarzania danych osobowych, podczas gdy przepisy te nakładają na banki, w tym Bank, obowiązek wyjaśniania dokonanej oceny zdolności kredytowej;
9) naruszenie prawa materialnego, tj. przepisu art. 34 ust. 1 ustawy z 10 maja 2018 r. o ochronie danych osobowych (t.j. Dz. U. z 2019 r., poz. 1781, dalej: "u.o.d.o.") w zw. z art. 51 ust. 1 oraz art. 57 ust. 1 lit. f RODO poprzez ich błędną wykładnię polegającą na uznaniu, że Prezes UODO jest organem właściwym do rozstrzygania zagadnień z zakresu tajemnicy bankowej, podczas gdy prawidłowa wykładnia tych przepisów wskazuje, że Prezes UODO jest organem właściwym wyłącznie w sprawach ochrony danych osobowych, co skutkowało wydaniem przez Prezesa UODO bezpodstawnego nakazu usunięcia danych przez Bank;
II. naruszenie przepisów postępowania, które miało istotny wpływ na wynik sprawy, tj.:
1) art. 7b k.p.a. w zw. z art. 52 u.o.d.o. poprzez niezwrócenie się do Komisji Nadzoru Finansowego - organu właściwego w sprawie obowiązków Banku związanych m.in.
z oceną zdolności kredytowej i analizą ryzyka kredytowego, w zakresie wykorzystywania do realizacji tych obowiązków danych osobowych
o niezrealizowanych zapytaniach kredytowych oraz w zakresie wykładni i znaczenia rekomendacji KNF dla systemu bankowego i budowy modeli scoringowych, co skutkowało brakiem analizy przedmiotowych rekomendacji i bezpodstawnym nałożeniem na Bank nakazu usunięcia danych skarżącej;
2) art. 107 § 1 pkt 5 k.p.a. w zw. z art. 104 § 2 k.p.a. w zw. z art. 8 § 1 k.p.a. polegające na nieprecyzyjnym sformułowaniu w zaskarżonej decyzji nakazu usunięcia wszystkich danych skarżącej, wynikających z zapytań kredytowych z dnia [...] maja 2022 r. i z [...] lutego 2023 r., podczas gdy prawidłowo sformułowany nakaz określałby, w zakresie realizacji jakiego celu dane powinny zostać usunięte, co skutkowało nałożeniem na Bank nieprecyzyjnego nakazu usunięcia danych, wzbudzającego wątpliwości po stronie Banku;
3) art. 7 w zw. z art. 77 § 1 i art. 80 k.p.a. w związku z art. 7 u.o.d.o., polegające na niewyczerpującym zebraniu i rozpatrzeniu całego materiału dowodowego
i niepodjęciu wszelkich kroków niezbędnych do dokładnego wyjaśnienia stanu faktycznego i załatwienia sprawy, w tym w szczególności niezbadania wszystkich celów i podstaw prawnych, upoważniających Bank do przetwarzania danych
o zapytaniach kredytowych, w szczególności w zakresie budowy modeli scoringowych, wpływu rozporządzenia CRR oraz rekomendacji Komisji Nadzoru Finansowego na niniejszą sprawę oraz polegające na dokonaniu błędu w ustaleniach faktycznych i uznaniu, że Bank przetwarza dane do upływu okresu przedawnienia roszczeń (choć Bank przetwarza je jedynie przez 12 miesięcy), co skutkowało uznaniem, że Bank nie legitymuje się przesłanką uzasadniającą przetwarzanie danych osobowych skarżącej i w konsekwencji wydaniem przez Prezesa UODO bezpodstawnego nakazu usunięcia danych;
4) art. 107 § 3 k.p.a., polegające na niedostatecznym i niepełnym uzasadnieniu zaskarżonej decyzji poprzez brak odniesienia się do stosowanego przez Bank 12-miesięcznego okresu retencji danych zawartych we wnioskach kredytowych oraz lakoniczne odniesienie się do przetwarzania danych osobowych dla celów statystycznych w celu budowy modeli scoringowych, m.in. na podstawie rozporządzenia CRR i brak rzetelnego odniesienia się do rekomendacji Komisji Nadzoru Finansowego, co skutkuje brakiem możliwości kontroli instancyjnej
i rzetelnego sformułowania zarzutów wobec przedmiotowej decyzji;
5) art. 19, art. 20 w zw. z art. 6 k.p.a. poprzez orzeczenie w zaskarżonej decyzji
w zakresie dotyczącym tajemnicy bankowej, tj. z naruszeniem przepisów
o właściwości rzeczowej Prezesa UODO, tj. przepisu art. 34 ust. 1 u.o.d.o. w sytuacji, gdy organ nie jest właściwy do rozstrzygnięcia w kwestii tajemnicy bankowej, co skutkowało wydaniem przez Prezesa UODO bezpodstawnego nakazu usunięcia danych wobec Banku.
BIK zarzucił zaskarżonej decyzji:
1. naruszenie prawa materialnego, tj.:
1.1. art. 6 ust. 1 lit c RODO w zw. z art. 105 ust. 1 pkt 1 c w zw. z art. 105 ust. 4 i w zw. z art. 105a w zw. z art. 70 i art. 5 ust. 1 pkt 3 Prawa bankowego poprzez jego niewłaściwe zastosowanie i w konsekwencji nieuzasadnione przyjęcie, że skarżący nie legitymuje się podstawą prawną do przetwarzania danych zawartych we wniosku kredytowym w przypadku nie zawarcia umowy kredytowej, podczas gdy BIK jest ustawowo zobowiązany do realizacji obowiązku prawnego wynikającego
z powołanych przepisów, polegającego na gromadzeniu, przetwarzaniu
i udostępnianiu bankom oraz podmiotom szczegółowo wskazanym w przepisie informacji stanowiących tajemnicę bankową w zakresie, w jakim informacje te są potrzebne w związku z wykonywaniem czynności bankowych w postaci oceny zdolności kredytowej oraz analizy ryzyka kredytowego konkretnego klienta (indywidualna ocena zdolności kredytowej) oraz w związku ze stosowaniem metod wewnętrznych oraz innych metod i modeli, o których mowa w części trzeciej rozporządzenia nr 575/2013 z dnia 26 czerwca 2013 r.;
ewentualnie, na wypadek nieuwzględnienia tego zarzutu, zarzucił naruszenie art. 6 ust. 1 lit. f RODO poprzez jego niewłaściwą wykładnię i w konsekwencji niezastosowanie wskutek przyjęcia, że BIK nie posiada podstawy prawnej przetwarzania danych skarżącej opartej na prawnie uzasadnionym interesie administratora oraz podmiotów trzecich wskazanych w art. 105 ust. 4 pkt. 1-5 Prawa bankowego, w postaci realizacji obowiązku gromadzenia, przetwarzania oraz udostępnienia bankom oraz podmiotom wskazanym w tym przepisie informacji stanowiących tajemnicę bankową w zakresie, w jakim informacje te są potrzebne
w związku z wykonywaniem czynności bankowych w postaci oceny zdolności kredytowej oraz analizy ryzyka kredytowego konkretnego klienta (indywidualna ocena zdolności kredytowej), w celu budowy i utrzymania modeli scoringowych,
a więc narzędzi wykorzystywanych przez banki do oceny zdolności kredytowej
i analizy ryzyka kredytowego oraz w związku ze stosowaniem metod wewnętrznych oraz innych metod i modeli, o których mowa w części trzeciej rozporządzenia nr 575/2013;
1.2. art. 6 ust. 1 lit. c RODO w zw. z art. 70a w zw. z art. 105 ust. 4 pkt 1 i 2 oraz w zw. z art. 105a Prawa bankowego poprzez jego niezastosowanie wskutek uznania, że BIK nie posiada podstawy prawnej do przetwarzania danych skarżącej
w sytuacji nie zawarcia umowy kredytowej, podczas gdy BIK posiada podstawę prawną przetwarzania z uwagi na niezbędność przetwarzania do wykonania obowiązku prawnego przez banki i BIK, w postaci obowiązku przekazania osobie ubiegającej się o kredyt w formie pisemnej na jego wniosek wyjaśnień dotyczących dokonanej oceny zdolności kredytowej wnioskującego;
1.3. art. 6 ust. 1 lit. e RODO poprzez jego niezastosowanie wskutek uznania, że BIK nie posiada podstawy prawnej do przetwarzania danych skarżącej w sytuacji nie zawarcia umowy kredytowej, podczas gdy BIK posiada podstawę prawną przetwarzania z uwagi na niezbędność przetwarzania dla realizacji zadania
w interesie publicznym przez banki i BIK w postaci zabezpieczenia ekonomiczno-gospodarczego sektora bankowego, w tym depozytariuszy i zapewnienia stabilności ekonomiczno- gospodarczej sektora bankowego, a w ujęciu makro zapobieganiu kryzysom gospodarczym;
1.4. art. 6 ust. 1 lit. f RODO poprzez jego niewłaściwe zastosowanie
i w konsekwencji nieuzasadnione przyjęcie, że prawnie uzasadniony interes administratora danych nie może opierać się na przesłance ewentualnego zabezpieczenia roszczeń, podczas gdy istotą uzasadnionego interesu prawnego administratora jest możliwość przetwarzania danych przez okres przedawnienia roszczeń na wypadek konieczności obrony lub dochodzenia ewentualnych roszczeń, które mogą się pojawić w określonym czasie po przeprowadzeniu stosownej analizy zdolności kredytowej oraz analizie ryzyka kredytowego, które to BIK zobowiązany jest gromadzić, przetwarzać i udostępniać bankom dla realizacji celów ustawowych badania zdolności kredytowej;
1.5. art. 6 ust. 1 lit. f RODO w związku z Rekomendacjami S, W i T Komisji Nadzoru Finansowego, polegające na jego niewłaściwym zastosowaniu i przyjęciu, że BIK nie legitymuje się przesłanką przetwarzania danych skarżącej, podczas gdy istnieje prawnie uzasadniony interes BIK w przetwarzaniu tych informacji pomimo nie zawarcia umowy kredytowej, polegający na realizacji działań z zakresu opracowania, utrzymania i funkcjonalności zbudowanych modeli scoringowych w zgodzie
z treścią Rekomendacji W S i T Komisji Nadzoru Finansowego, w zakresie dobrych praktyk i zarządzania ryzykiem kredytowym;
1.6. art. 6 ust. 1 lit. f RODO poprzez jego niezastosowanie wskutek uznania, że BIK nie posiada podstawy prawnej do przetwarzania danych skarżącej, podczas gdy BIK posiada podstawę prawną przetwarzania z uwagi na konieczność zapewnienia rozliczalności działań BIK jako administratora danych osobowych na zasadzie art. 5 ust. 2 RODO w postaci wykazania przestrzegania przepisów dotyczących jakości danych;
2. naruszenie przepisów prawa procesowego, mające istotny wpływ na wynik sprawy, tj.:
2.1. art. 7 w zw. z art. 77 § 1 i w zw. z art. 80 k.p.a. w zw. z art. 7 UODO, poprzez niewyczerpujące zebranie, nierozpatrzenie i błędną ocenę całokształtu materiału dowodowego i w konsekwencji zaniechanie dokonania wyczerpującej analizy charakteru, zakresu oraz celów gospodarczo - ekonomicznych dla jakich został powołany BIK oraz obowiązków prawnych i obowiązków wynikających
z zawartych przez BIK umów z bankami, skutkującą wadliwą i niepełną oceną stanu faktycznego sprawy oraz charakteru działania BIK, co w konsekwencji skutkowało nieuzasadnionym wydaniem przez organ nakazu usunięcia danych osobowych skarżącej;
2.2. art. 7b w zw. z art. 7 i art. 77 k.p.a. w zw. z art. 7 UODO poprzez niezwrócenie się do KNF w celu kompleksowego wyjaśniania stanu faktycznego sprawy oraz współdziałania w zakresie niezbędnym do dokładnego wyjaśnienia stanu prawnego, mając na względzie interes społeczny i słuszny interes obywateli
w postaci ustalenia należytych zasad, celów i zakresu przetwarzania danych osobowych o niezrealizowanych zapytaniach kredytowych tak, by procesy przetwarzania danych czyniły zadość zarówno przepisom prawa o ochronie danych osobowych, jak i przepisom szeroko pojętego prawa bankowego;
2.3. art. 7, art. 77 § 1 i art. 80 k.p.a. poprzez zaniechanie dokonania oceny Rekomendacji S, W i T KNF, które to regulacje nakładają na banki, a w konsekwencji na BIK, jako instytucję gromadzącą dane służące do oceny zdolności kredytowej oraz budującą modele scoringowe służące bankom, określone wymagania, które podlegają nadzorowi i egzekwowaniu przez KNF na podstawie bezwzględnie obowiązujących przepisów prawa;
2.4. art. 7, art. 77 w zw. z art. 80 k.p.a. poprzez niedokonanie analizy treści skargi złożonej do PUODO przez skarżącą pod kątem istnienia po stronie banków,
a w konsekwencji BIK, oczywistego interesu prawnego przejawiającego się
w odmowie udzielenia kredytu wynikającego z braku istnienia zdolności kredytowej po stronie skarżącej, co prowadzi do zabezpieczenia interesu banków przed nieodpowiedzialną polityką udzielania kredytów osobom, które nie mają szans na ich spłacenie oraz do zapewnienia stabilności gospodarczo-ekonomicznej sektora bankowego, a w ujęciu makro zapobieganiu kryzysom gospodarczym;
2.5. art. 7, art. 77 w zw. z art. 80 k.p.a. poprzez niezbadanie przez organ wszystkich podstaw prawnych dalszego przetwarzania danych o zapytaniach kredytowych, w sytuacji nieudzielenia kredytu, pomimo że przepisy prawa upoważniają BIK do przetwarzania tych danych.
W uzasadnieniu skargi BIK rozszerzył argumentację podniesionych w niej zarzutów. Odwołując się do art. 105 ust. 4 Prawa bankowego podniósł m. in., że do jego zadań należy gromadzenie, przetwarzanie i udostępnianie bankom informacji stanowiących tajemnicę bankową w zakresie, w jakim informacje te są potrzebne
w związku z wykonywaniem czynności bankowych oraz w związku ze stosowaniem metod wewnętrznych oraz innych metod i modeli, o których mowa
w części trzeciej rozporządzenia nr 575/2013. W konsekwencji BIK ex lege jest zobowiązany do przetwarzania informacji stanowiących tajemnicę bankową, w tym danych osobowych, m.in.: w zakresie, w jakim przepisy wymagają od niego stosowania metod wewnętrznych oraz innych metod i modeli, o których mowa
w części trzeciej rozporządzenia nr 575/2013 lub współuczestniczenia w stosowaniu tych metod i modeli przez inne jednostki sektora bankowego, w zakresie w jakim informacje te są potrzebne w związku z wykonywaniem czynności bankowych.
BIK podniósł, że nie sposób zgodzić się ze stanowiskiem Prezesa UODO, że brak zawarcia umowy kredytowej, wynikający z negatywnej oceny zdolności indywidualnego ryzyka kredytowego, powoduje automatyczne odpadnięcie przesłanki legitymującej BIK do przetwarzania danych osobowych. Każda informacja, zarówno pozytywna, jak i negatywna, jest istotna dla funkcjonalnego opisania rzeczywistości i realiów gospodarczych, w których funkcjonuje sektor bankowy.
BIK wywiódł, że przetwarza dane osobowe skarżącej:
1) w celu budowy i utrzymania skutecznych i poprawnie działających modeli scoringowych, tj. narzędzi służących bankom do oceny zdolności kredytowej i analizy ryzyka kredytowego oraz stosowania metod wewnętrznych oraz innych metod
i modeli, o których mowa w części trzeciej rozporządzenia nr 575/2013, na podstawie art. 6 ust. 1 lit. c) RODO w zw. z art, 105 ust. 1 pkt 1c w zw. z art. 105 ust. 4 i w zw.
z art. 105a w zw. z art. 70 i art. 5 ust. 1 pkt 3 Prawa bankowego i w zw. z przepisami rozporządzenia nr 575/2013,
2) dla realizacji zadania spoczywającego na skarżącym, jako instytucji sektora bankowego w postaci zapewnienia stabilności ekonomiczno-gospodarczej poprzez skuteczne zabezpieczenie sektora finansowego, w szczególności banków i sektora bankowego, a w ujęciu makroekonomicznym całej gospodarki, przed skutkami nieodpowiedzialnej polityki udzielania kredytów osobom, które nie mają szans na ich spłatę, na podstawie art. 6 ust. 1 lit. e RODO w zw. z art. 9b Prawa bankowego oraz art. 2 NadRynFInU,
3) w okresie 12 miesięcy od dnia przekazania przez Bank zapytania kredytowego,
w celu umożliwienia uzyskania wyjaśnień w zakresie czynników, w tym danych osobowych wnioskującego, które miały wpływ na dokonaną ocenę zdolności kredytowej, na podstawie art. 6 ust. 1 lit. c RODO w zw. z art. 70a w zw. z art. 105 ust. 4 pkt 1 i 2 oraz w zw. z art. 105a w zw. z art. 105 ust. 4 pkt 1 i 2 Prawa bankowego,
4) dla realizacji prawnie uzasadnionych interesów skarżącego w postaci realizacji rekomendacji W, S i T KNF, a w konsekwencji zapewnienia narzędzi i możliwości zarzadzania ryzykiem kredytowym i realizacji dobrych praktyk obowiązujących
w sektorze bankowym, na podstawie art. 6 ust. 1 lit. f RODO,
5) dla realizacji prawnie uzasadnionych interesów skarżącego w postaci zabezpieczenia roszczeń, tj. możliwości ustalenia, dochodzenia lub obrony przed ewentualnymi roszczeniami mogącymi mieć związek z dokonaną indywidualną oceną ryzyka kredytowego, na podstawie art. 6 ust. 1 lit. f RODO.
Prezes UODO w odpowiedziach na skargi Banku oraz BIK wniósł o ich oddalenie, podtrzymując stanowisko zaprezentowane w zaskarżonej decyzji.
Bank w piśmie procesowym z dnia [...] lutego 2024 r., stanowiącym replikę na odpowiedź na skargę, podtrzymał w całości skargę i prezentowane w niej stanowisko.
W odpowiedziach na skargi Banku oraz BIK, Prezes UODO wniósł o ich oddalenie, podtrzymując stanowisko zaprezentowane w zaskarżonej decyzji.
Na posiedzeniu w dniu 13 marca 2024 r. Wojewódzki Sąd Administracyjny
w Warszawie, na podstawie art. 111 § 1 p.p.s.a., połączył sprawy o sygn. akt
II SA/Wa 1486/23 ze skargi [...] Bank S.A. z siedzibą w [...] oraz o sygn. akt II SA/Wa 1492/23 ze skargi Biura Informacji Kredytowej S.A. z siedzibą
w [...], w celu ich łącznego rozpoznania i rozstrzygnięcia pod sygn. akt
II SA/Wa 1486/23.
Wojewódzki Sąd Administracyjny w Warszawie zważył, co następuje.
Skargi [...] Bank S.A. z siedzibą w [...] oraz Biura Informacji Kredytowej S.A. z siedzibą w [...] są nieuzasadnione. Zaskarżona decyzja Prezesa UODO z dnia [...] maja 2023 r. zarówno w części dotyczącej rozstrzygnięcia zawartego w punkcie 1, jak i w punkcie 2, nie narusza prawa.
W świetle RODO, przetwarzanie danych osobowych uważa się za legalne, jeśli ich administrator spełni co najmniej jedną z przesłanek wskazanych w art. 6 ust. 1 tego aktu, a mianowicie: a) osoba, której dane dotyczą wyraziła zgodę na przetwarzanie swoich danych osobowych w jednym lub większej liczbie określonych celów, b) przetwarzanie jest niezbędne do wykonania umowy, której stroną jest osoba, której dane dotyczą lub do podjęcia działań na żądanie osoby, której dane dotyczą, przed zawarciem umowy, c) przetwarzanie jest niezbędne do wypełnienia obowiązku prawnego ciążącego na administratorze, d) przetwarzanie jest niezbędne do ochrony żywotnych interesów osoby, której dane dotyczą lub innej osoby fizycznej, e) przetwarzanie jest niezbędne do wykonania zadania realizowanego
w interesie publicznym lub w ramach sprawowania władzy publicznej powierzonej administratorowi, f) przetwarzanie jest niezbędne do celów wynikających z prawnie uzasadnionych interesów realizowanych przez administratora lub przez stronę trzecią, z wyjątkiem sytuacji, w których nadrzędny charakter wobec tych interesów mają interesy lub podstawowe prawa i wolności osoby, której dane dotyczą, wymagające ochrony danych osobowych, w szczególności, gdy osoba, której dane dotyczą, jest dzieckiem.
Nie budzi wątpliwości, że zarówno Bank, jak i BIK, były uprawnione do przetwarzania danych osobowych skarżącej na podstawie art. 105a ust. 1 w zw.
z art. 70 ust. 1 Prawa bankowego, a wiec w celu oceny zdolności kredytowej i analizy ryzyka kredytowego.
Zgodnie z art. 105a ust. 1 Prawa bankowego, przetwarzanie przez banki, inne instytucje ustawowo upoważnione do udzielania kredytów, instytucje pożyczkowe oraz podmioty, o których mowa w art. 59d ustawy z dnia 12 maja 2011 r. o kredycie konsumenckim, a także instytucje utworzone na podstawie art. 105 ust. 4, informacji stanowiących tajemnicę bankową i informacji udostępnionych przez instytucje pożyczkowe oraz podmioty, o których mowa w art. 59d ustawy z dnia 12 maja 2011 r.
o kredycie konsumenckim, w zakresie dotyczącym osób fizycznych, może być wykonywane, z zastrzeżeniem art. 104, art. 105 i art. 106-106d, w celu oceny zdolności kredytowej i analizy ryzyka kredytowego. Stosownie zaś do art. 70 ust. 1 Prawa bankowego, bank uzależnia przyznanie kredytu od zdolności kredytowej kredytobiorcy. Przez zdolność kredytową rozumie się zdolność do spłaty zaciągniętego kredytu wraz z odsetkami w terminach określonych w umowie. Kredytobiorca jest obowiązany przedłożyć na żądanie banku dokumenty i informacje niezbędne do dokonania oceny tej zdolności.
W rozpatrywanej sprawie spór sprowadza się natomiast do odpowiedzi na pytanie, czy w sytuacji, w której nie doszło do zawarcia umowy kredytu między skarżącą a Bankiem, istnieje podstawa do przetwarzania przez Bank oraz BIK jej danych osobowych.
Według art. 105a ust. 2 Prawa bankowego, z zastrzeżeniem ust. 3, instytucje, o których mowa w ust. 1, mogą przetwarzać informacje stanowiące tajemnicę bankową oraz informacje udostępnione przez instytucje pożyczkowe oraz podmioty, o których mowa w art. 59d ustawy z dnia 12 maja 2011 r. o kredycie konsumenckim, w zakresie dotyczącym osób fizycznych po wygaśnięciu zobowiązania wynikającego z umowy zawartej z bankiem, inną instytucją ustawowo upoważnioną do udzielania kredytów, instytucją pożyczkową lub podmiotem, o którym mowa w art. 59d ustawy
z dnia 12 maja 2011 r. o kredycie konsumenckim, pod warunkiem uzyskania pisemnej zgody osoby, której informacje te dotyczą, z zastrzeżeniem ust. 2a. Zgoda ta może być w każdym czasie odwołana. Banki, instytucje oraz podmioty, o których mowa w ust. 1, mogą przetwarzać informacje stanowiące tajemnicę bankową
i informacje udostępnione przez instytucje pożyczkowe oraz podmioty, o których mowa w art. 59d ustawy z dnia 12 maja 2011 r. o kredycie konsumenckim, dotyczące osób fizycznych po wygaśnięciu zobowiązania wynikającego z umowy zawartej
z bankiem, inną instytucją ustawowo upoważnioną do udzielania kredytów, instytucją pożyczkową lub podmiotem, o którym mowa w art. 59d ustawy z dnia 12 maja
2011 r. o kredycie konsumenckim, bez zgody osoby, której informacje dotyczą, gdy osoba ta nie wykonała zobowiązania lub dopuściła się zwłoki powyżej 60 dni
w spełnieniu świadczenia wynikającego z umowy zawartej z bankiem, inną instytucją ustawowo upoważnioną do udzielania kredytów, instytucją pożyczkową lub podmiotem, o którym mowa w art. 59d ustawy z dnia 12 maja 2011 r. o kredycie konsumenckim, a po zaistnieniu tych okoliczności upłynęło co najmniej 30 dni od poinformowania tej osoby przez bank, inną instytucję ustawowo upoważnioną do udzielania kredytów, instytucję pożyczkową albo podmiot, o którym mowa w art. 59d ustawy z dnia 12 maja 2011 r. o kredycie konsumenckim, o zamiarze przetwarzania dotyczących jej tych informacji, bez jej zgody (art. 105a ust. 3).
Zgodnie z art. 105a ust. 4 powołanej ustawy, banki oraz instytucje, o których mowa w art. 105 ust. 4, mogą przetwarzać stanowiące tajemnicę bankową informacje dotyczące osoby fizycznej po wygaśnięciu zobowiązania wynikającego z umowy zawartej z bankiem lub inną instytucją ustawowo upoważnioną do udzielania kredytów bez zgody osoby, której informacje dotyczą, do celów stosowania metod wewnętrznych oraz innych metod i modeli, o których mowa w części trzeciej rozporządzenia nr 575/2013. Przetwarzanie informacji stanowiących tajemnicę bankową w przypadkach, o których mowa w ust. 3, może być wykonywane przez okres nie dłuższy niż 5 lat od dnia wygaśnięcia zobowiązania, a w przypadku,
o którym mowa w ust. 4, przez okres 12 lat od dnia wygaśnięcia zobowiązania (art. 105a ust. 5). Zakres przetwarzanych informacji, o których mowa w ust. 3 i 4, może obejmować dane dotyczące osoby fizycznej lub dane dotyczące zobowiązania (art. 105a ust. 6).
Sąd podziela stanowisko organu, wyrażone w zaskarżonej decyzji, że skoro nie doszło do zawarcia umowy kredytu, to odpadła przesłanka legalizująca dalsze przetwarzanie danych osobowych skarżącej.
Wbrew zarzutom obu skarg, art. 105a Prawa bankowego, w tym powołany
w skargach art. 105a ust. 1, 1a, 1b, 1c Prawa bankowego, który określa warunki dopuszczalności zautomatyzowanego przetwarzania, w tym profilowania danych osobowych w celu oceny zdolności kredytowej i analizy ryzyka kredytowego, nie daje podstaw do dalszego przetwarzania danych skarżącej po zakończeniu oceny zdolności kredytowej i analizy ryzyka kredytowego, gdy umowy nie zawarto. Na podstawie powołanych przepisów Bank, a także BIK nie ma uprawnienia do dalszego przetwarzania tych danych, albowiem umowy nie zawarto i nie wykazano przesłanki legalizującej to działanie. Powołane przepisy art. 105a Prawa bankowego dotyczą przetwarzania informacji objętych tajemnicą bankową w okresie przed powstaniem zobowiązania, w trakcie jego trwania oraz po wygaśnięciu zobowiązania. Natomiast w sytuacji, gdy w następstwie złożenia wniosku kredytowego nie dochodzi do zawarcia umowy kredytowej z bankiem, brak jest ustawowych przesłanek legalizujących dalsze przetwarzanie przez Bank oraz BIK danych osobowych potencjalnego klienta. Ocena zdolności kredytowej i ryzyka kredytowego ma charakter czynności wstępnych przed zawarciem umowy przez bank. Dalsze przetwarzanie danych, uzyskanych w celu oceny zdolności kredytowej, w przypadku braku zawarcia stosownej umowy, pozostawałoby w oderwaniu od celu, dla którego dane te uzyskano. Niedopuszczalne jest przetwarzanie danych osobowych na przyszłość, a także na potrzeby budowy oceny zdolności kredytowej innych podmiotów, jeżeli nie można zrekonstruować wyraźnej podstawy prawnej takich działań.
Bank w sposób nieuprawniony próbuje rozszerzyć stosowanie normy wskazanej w art. 105a ust. 1 Prawa bankowego na sytuacje, w których nie dochodzi do zawarcia umowy, a dane osobowe osoby wnioskującej o kredyt są przetwarzane
w celu oceny ryzyka kredytowego. Bank wskazuje bowiem, że do takiej oceny istotna jest informacja o składanych wcześniej przez daną osobę wnioskach kredytowych
i fakcie nieudzielenie jej kredytu. Bank podkreśla przy tym, że analiza ryzyka kredytowego jest jego obowiązkiem. Sąd nie neguje, że ocena ryzyka kredytowego jest obowiązkiem banku. Instrumenty służące dokonaniu takiej oceny przez banki muszą jednak być stosowane z poszanowaniem przepisów prawa normujących uprawnienie banków do przetwarzania danych osobowych potencjalnych klientów.
Słusznie zauważa organ, że prezentowana przez Bank wykładnia art. 105a ust. 1 Prawa bankowego prowadziłaby do wniosku, że na potrzeby oceny zdolności kredytowej i analizy ryzyka kredytowego banki lub inne podmioty wymienione w tym przepisie byłyby uprawnione do przetwarzania danych osobowych potencjalnych klientów bez żadnego ograniczenia czasowego, mimo że nie zawarto umowy
o kredyt. W przypadku zaś, gdyby doszło do zawarcia umowy banki byłyby uprawnione do przetwarzania danych osobowych po wygaśnięciu zobowiązania, bez zgody osoby, której informacje dotyczą, przez okres wskazany w art. 105a ust 5 prawa bankowego.
Skoro ustawodawca w art. 105a ust. 1 ustawy Prawo bankowe nie wskazał okresu, przez jaki mogą być przetwarzane informacje stanowiące tajemnicę bankową, a w art. 105a ust. 5 wskazał takie okresy w odniesieniu do sytuacji,
w których wygasło zobowiązanie, to nie oznacza to, że okres przetwarzania tych informacji, w sytuacji gdy nie doszło do zawarcia umowy, jest nieograniczony. Oznacza to, że przetwarzanie danych osobowych w oparciu o art. 105a ust. 1 ustawy Prawo bankowe jest uprawnione w odniesieniu do konkretnego zapytania kredytowego. Jeżeli nie dochodzi do zawarcia umowy to uprawnienie do przetwarzania danych osobowych w oparciu o ten przepis wygasa.
Powyższe stanowisko znajduje potwierdzenie w wyroku Naczelnego Sądu Administracyjnego z dnia z dnia 27 lipca 2019 r. sygn. akt I OSK 2567/17 (orzeczenia.nsa.gov.pl). W wyroku tym NSA podniósł, że "Celem oceny zdolności kredytowej i analizy ryzyka kredytowego w odniesieniu do konkretnego klienta jest bowiem zawarcie umowy kredytowej na określonych warunkach. Skoro do niej nie dochodzi wskutek tej czynności banku, to nie ma podstaw prawnych do dalszego ich przechowywania. Gdyby podzielić stanowisko Banku, że pozyskanie danych na etapie złożenia wniosku kredytowego uprawnia bank do ich nieograniczonego
w czasie przechowywania po odmowie zawarcia umowy kredytowej, to regulacje zawarte w art. 105 a ust. 2 i 3 i ust. 5 Prawa bankowego, ograniczające w czasie przypadki przetwarzania danych klientów z umów kredytowych, pozbawione byłyby sensu (...).
Skoro celem przetwarzania była ocena zdolności kredytowej i analizy ryzyka kredytowego, to cel ten odpadł z momentem jej dokonania. W przypadku osób,
z którymi zawarto umowę kredytową, istnieje podstawa do dalszego ich przetwarzania, a w stosunku do tych, z którymi nie zawarto umowy takiej podstawy nie sposób wywieść ani z przepisów obowiązującej wówczas ustawy, ani Prawa bankowego."
Pogląd ten wyrażony został wprawdzie na gruncie poprzednio obowiązującej ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych i obowiązującej przed RODO Dyrektywy 95/46, jednakże w ocenie Sądu, nie stracił na aktualności. Przepisy RODO wzmacniają jeszcze - w porównaniu z Dyrektywą 95/46 - ochronę danych osób fizycznych. Aktualności tego poglądu Naczelnego Sądu Administracyjnego nie zmienia także fakt, że BIK i Bank, przyjęły w swej praktyce określone terminy dalszego przetwarzania danych osobowych osoby, z którą nie zawarto umowy kredytu.
W ocenie Sądu, niezasadny jest również zarzut naruszenia art. 6 ust. 1 lit. c RODO w zw. z art. 105 ust. 1 pkt 1 c w zw. z art. 105 ust. 4 Prawa bankowego.
Zgodnie z art. 105 ust. 1 pkt 1c Prawo bankowego, bank ma obowiązek udzielenia informacji stanowiących tajemnicę bankową wyłącznie instytucjom,
o których mowa w ust. 4, w zakresie niezbędnym do stosowania metod wewnętrznych oraz innych metod i modeli, o których mowa w przepisach części trzeciej rozporządzenia nr 575/2013, natomiast z art. 105 ust. 4 tej ustawy wynika, że banki mogą, wspólnie z bankowymi izbami gospodarczymi, utworzyć instytucje upoważnione do gromadzenia, przetwarzania i udostępniania, m.in. bankom oraz innym podmiotom określonym w tym przepisie, informacji stanowiących tajemnicę bankową w zakresie, w jakim informacje te są potrzebne w związku z wykonywaniem czynności bankowych oraz w związku ze stosowaniem metod wewnętrznych oraz innych metod i modeli, o których mowa w części trzeciej rozporządzenia nr 575/2013.
Zdaniem Sądu, przepis art. 105 ust. 4 Prawa bankowego jest przepisem
o charakterze ogólnym, który nie nakłada na Bank obowiązku korzystania
z zewnętrznej bazy zawierającej informacje o wnioskach z sektora bankowego oraz sektora pożyczkowego, a jedynie stanowi o możliwości utworzenia wspólnie
z bankowymi izbami gospodarczymi, instytucji upoważnionych do gromadzenia, przetwarzania i udostępniania danych, a w konsekwencji nie daje podstaw do nieograniczonego przetwarzania wszelkich danych osobowych przez utworzone instytucje.
Zasady przetwarzania danych objętych tajemnicą bankową określa art. 105a Prawa bankowego, którego możliwość uznania za podstawę przetwarzania danych osobowych w niniejszej sprawie została omówiona powyżej. Na gruncie tego przepisu należy oceniać zatem dopuszczalność przetwarzania poszczególnych danych osobowych w określonych ściśle celach. Podstawy prawnej przetwarzania danych osobowych w niniejszej sprawie nie mógł stanowić zatem art. 105 ust. 4 Prawa bankowego samodzielnie ani też w powiązaniu z art. 105 ust. 1 pkt 1c tej ustawy.
W świetle powyższego, przesłanka z art. 6 ust. 1 lit. c RODO nie znajduje zastosowania w okolicznościach niniejszej sprawy. Przepis ten dotyczy bowiem sytuacji, gdy przetwarzanie jest niezbędne do wypełnienia obowiązku prawnego administratora danych, a nie realizacji uprawnienia, o którym mowa w art. 105 ust. 4 Prawa bankowego. Ponadto przepis art. 105 ust. 4 Prawa bankowego nie stanowi
o dopuszczalności przetwarzania danych osobowych dotyczących wniosków kredytowych w sytuacji, gdy nie doszło do zawarcia umowy z bankiem. Uznanie takiego procesu przetwarzania danych za legalny wymaga podstawy prawnej, której nie stanowią regulaminy ani umowy zawierane między poszczególnymi instytucjami
a bankami.
W ocenie Sądu, aktualny pozostaje pogląd wyrażony w wyroku NSA z dnia 14 września 2005 r., sygn. akt I OSK 39/05, wskazujący, że "Nie można zatem podzielić stanowiska, aby zezwalający na utworzenie instytucji zajmujących się szczególnym przetwarzaniem danych osobowych przepis stanowił zarazem podstawę do przetwarzania przez nie danych osobowych bez zgody osób, których dane dotyczą, gdyż nie tylko literalne brzmienie przepisu nie uzasadnia takiego przekazania, lecz
i argumenty logiki prawniczej nie prowadzą do takiego wniosku. Nie można bowiem dowodzić, że w utworzonej zgodnie z prawem instytucji wolno działać w sposób, który sama uzna za odpowiadający jej celom, gdyż zezwolenie na utworzenie nie jest równoznaczne z zezwoleniem na działanie bez ograniczeń."
Mimo, że powołany wyrok opiera się na innym brzmieniu przepisu art. 105 Prawa bankowego, w ocenie WSA w Warszawie, istota poglądu wyrażonego przez NSA w odniesieniu do przetwarzania danych osobowych, jako instytucję utworzoną na podstawie art. 105 ust. 4 Prawa bankowego, nie straciła na aktualności.
Zmiana brzmienia art. 105 Prawa bankowego na przestrzeni lat, jakie minęły od czasu wydania powołanego wyroku, dodatkowo utwierdza w trafności poglądu wyrażonego przez NSA w wymienionym wyroku, a także trafności stanowiska Prezesa UODO zaprezentowanego w zaskarżonej decyzji w sytuacji, gdy ani Bank ani BIK nie wykazały przesłanki legalizującej dalsze przetwarzanie danych osobowych skarżącej, po osiągnięciu celu w postaci oceny zdolności kredytowej
i ryzyka kredytowego.
Na uwzględnienie nie zasługiwał zarzut Banku dotyczący naruszenia art. 6 ust. 1 lit. f RODO w związku z przytoczonymi w skardze przepisami k.c.
i w nawiązaniu do wskazywanej przez Bank potrzeby przechowywania danych (zawartych w zapytaniach kredytowych) osoby, z którą nie zawarto umowy kredytowej w celu ustalenia, dochodzenia i ochrony przed roszczeniami, ewentualnego zabezpieczenia roszczeń, na wypadek konieczności obrony lub dochodzenia ewentualnych roszczeń, które mogą się pojawić w określonym czasie po przeprowadzeniu stosownej analizy zdolności kredytowej oraz analizie ryzyka kredytowego.
Przepis art. 6 ust. 1 lit. f RODO stanowi o uprawnieniu do przetwarzania danych, gdy jest ono niezbędne do celów wynikających z prawnie uzasadnionych interesów realizowanych przez administratora lub przez stronę trzecią, z wyjątkiem sytuacji, w których nadrzędny charakter wobec tych interesów mają interesy lub podstawowe prawa i wolności osoby, której dane dotyczą, wymagające ochrony danych osobowych, w szczególności, gdy osoba, której dane dotyczą, jest dzieckiem. Za usprawiedliwiony cel, w rozumieniu powołanego przepisu, nie może zostać uznane przetwarzanie danych osobowych na wypadek ewentualnego dochodzenia lub obrony roszczeń.
Z akt sprawy nie wynika, aby skarżąca, która zażądała usunięcia danych
w zakresie zapytań kredytowych, miała jakiekolwiek roszczenia na drodze cywilnoprawnej do Banku lub BIK. Z akt sprawy i wyjaśnień Banku nie wynika, aby wymieniona posiadała w Banku zobowiązania (w tym także kredytowe), czy była posiadaczem rachunku osobistego lub innych produktów bankowych. Jednoznacznie żądała natomiast usunięcia swoich danych, przetwarzanych bez podstawy prawnej.
Z tego względu nie jest dopuszczalne przyjęcie, że to art. 6 ust. 1 lit. f RODO mógłby stanowić podstawę dla Banku, czy BIK do "dalszego" przetwarzania jej danych na wypadek ewentualnego dochodzenia roszczeń.
Odnosząc się do argumentacji Banku, wskazania wymaga, że Bank w toku postępowania administracyjnego nie wykazał, nie wynika to też ze skargi, jakich ewentualnie roszczeń chciałby dochodzić od osoby, która ostatecznie zażądała usunięcia swoich danych w zakresie zapytania kredytowego i z którą to osobą fizyczną nie zawarto umowy.
Wskazania wymaga, że z art. 3531 k.c. wynika zasada swobody umów. Strony mogą zatem w ramach autonomii woli kształtować stosunki cywilnoprawne mocą własnych decyzji. Przepis art. 3531 k.c. wskazuje na podstawowy element, jaki dla swobody umów obligacyjnych ma kompetencja stron w zakresie kształtowania treści zobowiązania. Umowy nie zawarto, zobowiązanie nie powstało. BIK i Bank nie wskazały, aby skarżąca kierowała do nich jakiekolwiek roszczenia (zażądała jedynie usunięcia własnych danych osobowych w związku z tym, że ustał cel ich przetwarzania).
Ważąc interesy skarżącej, która żądała respektowania jej praw do ochrony danych osobowych wynikających z RODO i interesy Banku (oraz BIK), w sytuacji, gdy nie zawarto umowy kredytowej, brak jest podstaw do przyjęcia, że spełniona została przesłanka z art. 6 ust. 1 lit. f RODO.
Sąd rozpoznający niniejszą sprawę podziela pogląd Naczelnego Sądu Administracyjnego, zgodnie z którym niedopuszczalne jest przetwarzanie danych osobowych niejako "na zapas" z założeniem, że mogą być one ewentualnie przydatne w przyszłości, na przykład z odwołaniem się do przepisów dotyczących przedawnienia roszczeń (v. wyrok NSA z dnia 27 marca 2018 r., sygn. akt I OSK 1459/16, orzeczenia.nsa.gov.pl). Wywodzenie zatem także z kwestii przedawnienia roszczeń samodzielnej podstawy do przetwarzania danych – w sytuacji, gdy mowa
o danych osoby, z którą Bank nie zawarł umowy kredytowej, nie jest uprawnione i nie stanowi przesłanki do ich dalszego przetwarzania.
Niezasadne są też zarzuty Banku dotyczące naruszenia art. 6 ust. 1 lit. c RODO w zw. z art. 106d Prawa bankowego, jak i w zw. z przepisami AML (art. 33 ust. 1 - 3, art. 34 ust. 36, 46, 49). Naruszenie to Bank uzasadnił w odniesieniu do art. 106d Prawa bankowego celem w postaci wykrycia nieścisłości oraz powzięcia informacji mogących stanowić o uzasadnionym podejrzeniu popełnienia przestępstw, o których mowa w art. 106d Prawa bankowego, zaś w odniesieniu do przepisów AML wskazał na wynikający z powołanych w skardze przepisów AML obowiązek przetwarzania danych osobowych w celu zapewnienia bezpieczeństwa obrotu gospodarczego poprzez przeprowadzenie szczegółowego badania na temat klientów, w tym przyszłych klientów, jak i badania powiązań kapitałowo-osobowych, w tym w zakresie danych dostarczanych przez Bank, w tym także wtedy, gdy ostatecznie między stronami nie została zawarta umowa.
Zgodnie z art. 106d ust. 1 Prawa bankowego Banki, inne instytucje ustawowo upoważnione do udzielania kredytów, izby rozliczeniowe utworzone na podstawie art. 67, instytucje utworzone na mocy art. 105 ust. 4, instytucje pożyczkowe, podmioty, których podstawowa działalność polega na udostępnianiu składników majątkowych na podstawie umowy leasingu, oraz podmioty, o których mowa w art. 59d ustawy
z dnia 12 maja 2011 r. o kredycie konsumenckim, mogą przetwarzać i wzajemnie udostępniać informacje, w tym informacje objęte tajemnicą bankową, w przypadkach: 1) uzasadnionych podejrzeń, o których mowa w art. 106a ust. 3; 2) uzasadnionych podejrzeń popełnienia przestępstw dokonywanych na szkodę banków, innych instytucji ustawowo upoważnionych do udzielania kredytów, instytucji kredytowych, instytucji finansowych, instytucji pożyczkowych oraz podmiotów, o których mowa
w art. 59d ustawy z dnia 12 maja 2011 r. o kredycie konsumenckim, i ich klientów,
w celu i zakresie niezbędnym do zapobiegania tym przestępstwom; 3) wykonywania obowiązków w zakresie określonym w przepisach o przeciwdziałaniu praniu pieniędzy oraz finansowaniu terroryzmu. Art. 106a ust. 3 Prawa bankowego, do którego odwołano się w art. 106d ust. 1 pkt 1 stanowi, że w przypadku powzięcia uzasadnionego podejrzenia, że zgromadzone na rachunku bankowym środki,
w całości lub w części pochodzą lub mają związek z przestępstwem skarbowym lub przestępstwem innym niż przestępstwo, o którym mowa w art. 165a lub art. 229 Kodeksu karnego, bank jest uprawniony do dokonania blokady środków na tym rachunku. Blokada może nastąpić wyłącznie do wysokości zgromadzonych na rachunku środków, co do których zachodzi takie podejrzenie.
Z materiału dowodowego sprawy, w tym z wyjaśnień stron udzielonych w toku postępowania administracyjnego, nie wynika, aby w sprawie niniejszej któryś
z powyższych przypadków miał miejsce, w szczególności, aby występowało "uzasadnione podejrzenie" co do okoliczności określonych w ww. przepisach.
Powołany w skardze Banku art. 33 ust. 1 AML nakłada na instytucje obowiązane obowiązek m.in. stosowania wobec swoich klientów środków bezpieczeństwa finansowego, których zakres (katalog) znajduje się w art. 34 ustawy AML. Artykuł 34 ust. 1 ustawy AML odnosi się m.in. do bieżącego monitorowania stosunków gospodarczych klienta (w tym analizę transakcji przeprowadzanych
w ramach stosunków gospodarczych, badanie źródła pochodzenia wartości majątkowych będących w dyspozycji klienta - w przypadkach uzasadnionych okolicznościami, zapewnienie, że posiadane dokumenty, dane lub informacje dotyczące stosunków gospodarczych są na bieżąco aktualizowane). Art. 35 wskazuje sytuacje, w których bank jest obowiązany stosować środki bezpieczeństwa finansowego, natomiast art. 36 AML dotyczy kwestii identyfikacji klienta. Na podstawie art. 49 ust. 1 AML, kopie dokumentów i informacje uzyskane w wyniku stosowania środków bezpieczeństwa finansowego, a także dowody potwierdzające przeprowadzone transakcje i ewidencje transakcji, obejmujące oryginalne dokumenty lub kopie dokumentów konieczne do identyfikacji transakcji, przechowuje się przez okres 5 lat licząc od pierwszego dnia roku następującego po roku, w którym zakończono stosunki gospodarcze z klientem, lub w którym przeprowadzono transakcje okazjonalne. W przypadku dokonania analizy przeprowadzonej transakcji
i udokumentowania jej analizy, zgodnie z art. 34 ust. 3 ustawy AML, instytucja pożyczkowa na mocy art. 49 ust. 2 ustawy AML jest obowiązana do przechowywania jej wyników przez okres 5 lat, licząc od pierwszego dnia roku następującego po roku ich przeprowadzenia.
Z wymienionych wyżej przepisów prawa niewątpliwie wynika uprawnienie do monitorowania stosunków gospodarczych klienta i stosowania odpowiednich środków bezpieczeństwa finansowego, co nie ma zupełnie odniesienia do niniejszej sprawy. Bank nie wskazał, jakie działania (w sferze stosunków gospodarczych niedoszłego klienta, osoby, z którą nie zawarł umowy kredytowej) chciałby monitorować.
Nie jest dla Sądu działaniem zrozumiałym powoływanie się przez Bank,
w kontekście tych przepisów, na konieczność monitorowania niedookreślonych stosunków gospodarczych między Bankiem a osobą, z którą umowy kredytowej nie zawarto i która nadto, klientem Banku nie jest. Ogólne twierdzenia Banku o celu
w postaci zapewnienia bezpieczeństwa obrotu gospodarczego nie mogą stanowić – w stanie faktycznym tej sprawy – podstawy legalizującej rozszerzanie podstaw
i celów przetwarzania danych osobowych skarżącej. Z akt sprawy i wyjaśnień Banku w żaden sposób nie wynika, aby wyżej wymienioną łączyły stosunki gospodarcze
z Bankiem, a nadto, aby Bank powziął podejrzenia, czy stwierdził próbę manipulacji.
Powołana ustawa w art. 2 ust. 2 pkt 2 stanowi, że przez stosunki gospodarcze rozumie się stosunki instytucji obowiązanej z klientem związane z działalnością zawodową instytucji obowiązanej, które w chwili ich nawiązywania wykazują cechę trwałości. Z akt sprawy i wyjaśnień Banku nie wynika przy tym, aby skarżąca była klientem Banku w rozumieniu tego pojęcia ujętym w AML.
W przypadku braku nawiązaniu stosunków gospodarczych pomiędzy Bankiem
a wymienioną wyżej osobą fizyczną brak jest zaistnienia zdarzeń wymienionych
w art. 49 ust. 1 AML, tj. zakończenia stosunku gospodarczego z klientem lub przeprowadzenia transakcji okazjonalnej, od wystąpienia których można dopiero liczyć wskazany w ww. przepisie termin przetwarzania danych osobowych.
Zdaniem Sądu, rozszerzanie przez Bank dopuszczalności przetwarzania danych (zawartych w zapytaniu kredytowym) osoby, z którą nie zawarto umowy kredytowej, z powołaniem się na zapewnienie bezpieczeństwa finansowego
w przypadku nawiązywania stosunków gospodarczych, a zatem szeroko rozumiane, ogólne cele, nie znajduje podstawy na gruncie RODO i jest wprost sprzeczne
z zasadą ograniczenia celu (art. 5 ust. 1 lit. b RODO) w sytuacji, w której nie ma mowy o nawiązaniu stosunku zobowiązaniowego.
Niezasadny jest postawiony przez Bank zarzut naruszenia art. 6 ust. 1 lit. c RODO w zw. z art. 70a Prawa bankowego.
Jak już podniesiono, zgodnie z art. 70a ust. 1 Prawa bankowego, banki i inne instytucje ustawowo upoważnione do udzielania kredytów na wniosek osoby fizycznej, prawnej lub jednostki organizacyjnej niemającej osobowości prawnej, o ile posiada zdolność prawną, ubiegającej się o kredyt przekazują, w formie pisemnej, wyjaśnienie dotyczące dokonanej przez siebie oceny zdolności kredytowej wnioskującego. Zgodnie z art. 70 ust. 2 wyjaśnienie, o którym mowa w ust. 1, obejmuje informacje na temat czynników, w tym danych osobowych wnioskującego, które miały wpływ na dokonaną ocenę zdolności kredytowej.
W świetle powyższego, powstanie obowiązku, o którym mowa w art. 70a ust. 1 Prawa bankowego, uzależnione jest od złożenia stosownego wniosku przez osobę ubiegającą się o kredyt. Wniosek taki nie został złożony, a skarżąca po kolejnej odmownej decyzji kredytowej, wniosła o usunięcie swoich danych. W związku
z odmową w tym zakresie podjęła też działania przed Prezesem UODO. Z akt sprawy i całokształtu okoliczności nie wynika, aby wymieniona osoba wystąpiła do Banku, czy BIK o jakiekolwiek wyjaśnienie dotyczące dokonanej oceny zdolności kredytowej. Wynika zaś, że złożyła żądanie usunięcia danych. Nie może być więc mowy o tym, aby w sprawie znajdował zastosowanie art. 70a ust. 1 i 2 Prawa bankowego, uprawniający Bank do przetwarzania danych osobowych skarżącej
w związku z koniecznością ewentualnego wypełnienia obowiązku wynikającego z art. 70a ust. 1 i ust. 2 Prawa bankowego.
Nie jest trafny zarzut Banku dotyczący naruszenia przez organ art. 6 ust. 1 lit. f RODO w związku z Rekomendacjami S, W i T Komisji Nadzoru Finansowego. Powoływane Rekomendacje Komisji Nadzoru Finansowego nie są źródłem prawa powszechnie obowiązującego. Nie ma przy tym podstaw, aby w tym przypadku,
w stanie faktycznym tej sprawy, wywodzić z Rekomendacji KNF – wobec osoby,
z którą nie zawarto umowy kredytowej i która zażądała usunięcia danych – prawnie uzasadnione interesy Banku (i BIK), o których jest mowa w art. 6 ust. 1 lit. f RODO.
Rekomendacje KNF, które zawierają konkretne wymagania regulacyjne wobec narzędzi używanych przez banki, nie powinny być interpretowane w sprzeczności
z RODO w zakresie legalności przetwarzania danych (w zakresie zapytań kredytowych) osób, z którymi nie zawarto umów kredytowych, nie mogą być wykładane w sposób prowadzący do nieuprawnionego przetwarzania takich danych. Twierdzenie, że wypełnienie nakazu Prezesa UODO w postaci usunięcia danych osobowych skarżącej przetwarzanych niezgodnie z prawem prowadziłoby do uniemożliwienia skarżącym realizacji Rekomendacji nie daje podstaw do stwierdzenia o dopuszczalności "dalszego" przetwarzania na gruncie RODO danych zawartych w zapytaniu kredytowym osoby, z którą Bank umowy nie zawarł,
a jednocześnie nie uzyskał zgody tej osoby na dalsze przetwarzanie jej danych osobowych w celach innych niż te, w jakich je zgromadził.
Niezasadne okazały się również zarzuty naruszenia przepisów prawa sformułowane w skardze wywiedzionej przez BIK.
Należy przypomnieć, że BIK w swojej skardze zarzucił m. in. naruszenie art. 6 ust. 1 lit. c RODO w zw. z art. 105 ust. 1 pkt 1c w zw. z art. 105 ust. 4 oraz w zw.
z art. 105a w zw. z art. 70 i art. 5 ust. 1 pkt 3 Prawa bankowego. Odnośnie tego zarzutu podnieść należy, że przedstawione wyżej stanowisko Sądu, dotyczące art. 105 ust. 4 Prawa bankowego, jest aktualne również wobec zarzutu postawionego przez BIK.
Z kolei art. 105 ust. 1 pkt 1c Prawo bankowego stanowi, że bank ma obowiązek udzielenia informacji stanowiących tajemnicę bankową wyłącznie instytucjom, o których mowa w ust. 4, w zakresie niezbędnym do stosowania metod wewnętrznych oraz innych metod i modeli, o których mowa w przepisach części trzeciej rozporządzenia nr 575/2013. Przepis ten stanowi o obowiązku udzielania przez banki informacji stanowiących tajemnicą bankową podmiotowi, jakim jest BIK. Przepis ten nie odnosi się do przetwarzania danych przez BIK w zakresie niezbędnym do stosowania metod wewnętrznych oraz innych metod i modeli,
o których mowa w przepisach części trzeciej rozporządzenia nr 575/2013.
O przetwarzaniu danych przez BIK w tym celu stanowi powołany wyżej art. 105a ust. 4 Prawa bankowego, który, przypomnieć należy, uprawnia do tego BIK bez zgody osoby, której informacje dotyczą, ale "po wygaśnięciu zobowiązania wynikającego
z umowy zawartej z bankiem lub inną instytucją ustawowo upoważnioną do udzielania kredytów".
Jak już wskazywano, art. 70 Prawa bankowego stanowi natomiast wyłącznie
o badaniu przez banki zdolności kredytowej i nie zawiera regulacji dotyczących przetwarzania danych osobowych. Z kolei art. 5 ust. 1 pkt 3 tej ustawy stanowi, że czynnością bankową jest udzielanie kredytów.
Z tego wynika, że art. 105 ust. 4 ustawy Prawo bankowe nie mógł stanowić
w niniejszej sprawie podstawy przetwarzania danych osobowych skarżącej przez BIK zarówno samodzielnie, jak i w powiązaniu z art. 105 ust. 1 pkt 1c, art. 105a, art. 70
i art. 5 ust. 1 pkt 3 Prawa bankowego.
BIK w swoich zarzutach wskazywał też na naruszenie art. 6 ust. 1 lit. f RODO w zw. z art. 105 ust. 4 ustawy Prawo bankowego. Powyższa argumentacja dotycząca art. 105 ust. 4 Prawa bankowego (przytoczona przy omawianiu zarzutów podniesionych przez Bank), wskazująca na charakter tego przepisu, nie pozwala też na uznanie, że przepis ten określa prawnie uzasadniony interes realizowany przez BIK lub przez stronę trzecią, a który mógłby być rozważny w kontekście art. 6 ust. 1 lit f RODO.
Tak jak już podniesiono wyżej, art. 105 ust. 4 Prawa bankowego sam w sobie nie może stanowić podstawy prawnej przetwarzania danych osoby ubiegającej się
o kredyt. W treści tego przepisu nie można zatem poszukiwać prawnie usprawiedliwionego interesu w przetwarzaniu danych osobowych w sytuacji, jak
w niniejszej sprawie. Postawiony w tym kontekście zarzut naruszenia art. 6 ust. 1 lit. f RODO jest niezasadny.
Na uwzględnienie nie zasługiwał również zarzut BIK dotyczący naruszenia art. 6 ust. 1 lit. c RODO w zw. z art. 70a w zw. z art. 105 ust. 4 pkt 1 i 2 Prawa bankowego. Wyrażone wyżej stanowisko Sądu, dotyczące art. 70a ustawy Prawo bankowe, jako podstawy przetwarzania danych osobowych skarżącej przez Bank, aktualne jest również w kontekście zarzutów sformułowanych przez BIK. Dodać jedynie należy, że art. 70a ustawy Prawo bankowe nakłada na banki i inne instytucje ustawowo upoważnione do udzielania kredytów obowiązek przekazywania osobie fizycznej ubiegającej się o kredyt wyjaśnień dotyczących dokonanej oceny zdolności kredytowej wnioskującego. Tego rodzaju obowiązku przepis ten nie nakłada na instytucje, o których mowa w art. 105 ust 4 Prawa bankowego.
Odnosząc się do zarzutu naruszenia art. 6 ust. 1 lit. e RODO, należy zauważyć, że przepis ten przewiduje dwie przesłanki legalizujące przetwarzanie danych osobowych. Może być ono niezbędne do wykonania zadania realizowanego
w interesie publicznym lub niezbędne w ramach sprawowania władzy publicznej powierzonej administratorowi.
W obu przypadkach zarówno zadanie, jak i sprawowanie władzy publicznej, muszą zostać sprecyzowane w przepisach, o których mowa w art. 6 ust. 3 RODO. Art. 6 ust. 3 RODO stanowi bowiem, że podstawa przetwarzania, o której mowa
w ust. 1 lit. c) i e), musi być określona: a) w prawie Unii lub b) w prawie państwa członkowskiego, któremu podlega administrator.
Cel przetwarzania musi być określony w tej podstawie prawnej lub -
w przypadku przetwarzania, o którym mowa w ust. 1 lit. e) - musi być ono niezbędne do wykonania zadania realizowanego w interesie publicznym lub w ramach sprawowania władzy publicznej powierzonej administratorowi. Podstawa prawna może zawierać przepisy szczegółowe dostosowujące stosowanie przepisów niniejszego rozporządzenia, w tym: ogólne warunki zgodności z prawem przetwarzania przez administratora; rodzaj danych podlegających przetwarzaniu; osoby, których dane dotyczą; podmioty, którym można ujawnić dane osobowe; cele, w których można je ujawnić; ograniczenia celu; okresy przechowywania oraz operacje i procedury przetwarzania, w tym środki zapewniające zgodność z prawem
i rzetelność przetwarzania, w tym i w innych szczególnych sytuacjach związanych
z przetwarzaniem, o których mowa w rozdziale IX. Prawo Unii lub prawo państwa członkowskiego muszą służyć realizacji celu leżącego w interesie publicznym, oraz być proporcjonalne do wyznaczonego, prawnie uzasadnionego celu.
BIK powołał się w zakresie tej podstawy przetwarzania danych osobowych na jej rolę w zabezpieczeniu ekonomiczno-gospodarczego sektora bankowego, w tym depozytariuszy, i zapewnienia stabilności ekonomiczno-gospodarczej sektora bankowego, a w ujęciu makro - zapobieganiu kryzysom gospodarczym.
Podnieść należy, że w odróżnieniu od przesłanki z art. 6 ust. 1 lit. c, RODO
w art. 6 ust. 3 nie wymaga określenia w podstawie prawnej celu przetwarzania,
a jedynie takiej jej konstrukcji, z której wynika niezbędność przetwarzania do wykonania zadania realizowanego w interesie publicznym lub w ramach sprawowania władzy publicznej powierzonej administratorowi (zob. E. Bielak-Jomaa (red.), D. Lubasz (red.), "RODO. Ogólne rozporządzenie o ochronie danych. Komentarz", Lex).
Zdaniem Sądu, analizowane powyżej przepisy art. 70, art. 70a, art. 105 ust. 4
i art. 105a Prawa bankowego nie wskazują na niezbędność przetwarzania przez BIK danych osobowych osoby ubiegającej się o kredyt w sytuacji, w której nie doszło do zawarcia umowy. Zarzut naruszenia przez organ art. 6 ust. 1 lit. e RODO nie zasługiwał zatem na uwzględnienie.
Nie jest również uzasadniony zarzut BIK, co do naruszenia art. 6 ust. 1 lit. f RODO poprzez: nieuzasadnione przyjęcie zarzut, że prawnie uzasadniony interes administratora danych nie może opierać się na przesłance ewentualnego zabezpieczenia roszczeń oraz błędne uznanie, że wskutek braku zawarcia umowy kredytowej, BIK nie posiada prawnie uzasadnionego interesu w przetwarzaniu danych skarżącej, podczas gdy istnieje prawnie uzasadniony interes BIK
w przetwarzaniu tych informacji pomimo nie zawarcia umowy kredytowej, polegający na realizacji działań z zakresu opracowania, utrzymania aktualności i funkcjonalności zbudowanych modeli scoringowych w zgodzie z treścią Rekomendacji W, S i T Komisji Nadzoru Finansowego w zakresie dobrych praktyk zarządzania ryzykiem kredytowym.
Kwestia zabezpieczenia roszczeń i rekomendacji W, S i T Komisji Nadzoru Finansowego omówiona została już powyżej, w odniesieniu do zarzutów podniesionych przez Bank. Zbędne jest zatem powtarzane tej argumentacji
w odniesieniu do zarzutów sformułowanych przez BIK.
Także powoływana potrzeba realizacji działań z zakresu opracowania, utrzymania aktualności i funkcjonalności zbudowanych modeli scoringowych, nie stanowi w stanie faktycznym tej sprawy podstawy przetwarzania – w odniesieniu do danych osoby, z którą nie zawarto umowy kredytowej – w celu wynikającym
z prawnie uzasadnionych interesów BIK.
Celem RODO, tak, jak poprzednio Dyrektywy 95/46/WE, jest ochrona prywatności, która powinna być rozpatrywana także w świetle art. 8 Konwencji
o Ochronie Praw Człowieka i Podstawowych Wolności. W sprawie tej nie istnieje tego rodzaju powiązanie pomiędzy osobą, której dane dotyczą, a Bankiem, jak również pomiędzy tą osobą, a BIK, które pozwalałoby "wyprowadzić" istnienie prawnie uzasadnionego interesu po stronie BIK i Banku w dalszym przetwarzaniu danych tej osoby. Z okoliczności sprawy nie wynika przy tym, aby osoba ta mogła spodziewać się w czasie, gdy pozyskiwano od niej dane w celu oceny zdolności kredytowej i ryzyka kredytowego, że będą one dalej przetwarzane, pomimo nie zawarcia umowy kredytowej (v. motyw 47 RODO).
Odnosząc się do argumentacji BIK w zakresie wykładni art. 6 ust. 1 lit. f RODO
i możliwości jego zastosowania, w kontekście obowiązującej wcześniej przesłanki
z art. 23 ust. 1 pkt 5 nieobowiązującej już ustawy o ochronie danych osobowych
z 1997 r., z powołaniem się na prezentowane w skardze poglądy doktryny, można się zgodzić, że użyte w art. 6 ust. 1 lit. f RODO pojęcie "interesu" jest pojęciem szerszym od pojęcia "celu" z art. 23 ust. 1 pkt 5 ustawy o ochronie danych osobowych z 1997 r. Nie zmienia to jednak tego, że jako prawnie uzasadniony interes administratora, na gruncie art. 6 ust. 1 lit. f RODO, nie może być rozumiana każda potrzeba wygenerowana przez danego administratora w związku z prowadzoną działalnością gospodarczą. Przyjęcie takiej koncepcji poddawałoby w wątpliwość funkcjonowanie wszystkich pozostałych przesłanek legalności przetwarzania danych ujętych
w RODO, skoro sama potrzeba, pojawiająca się dynamicznie w ramach prowadzonej działalności gospodarczej (handlowej), czyniłaby dopuszczalnym przetwarzanie danych osobowych. Niewątpliwie zaś ten prawnie uzasadniony interes administratora nie może pozbawiać jednostki prawa do dysponowania własnymi danymi osobowymi i ochrony prywatności. Nadto, wskazać należy na brzmienie art. 7 lit. f nieobowiązującej już Dyrektywy 95/46/WE, którą ustawa z 1997 r. implementowała (art. 23 ust. 1 pkt 5 ustawy z 1997 r.), a stanowił on, że przetwarzanie danych jest konieczne dla potrzeb wynikających z uzasadnionych interesów administratora danych lub osoby trzeciej lub osobom, którym dane są ujawniane, z wyjątkiem sytuacji, kiedy interesy takie podporządkowane są interesom związanym
z podstawowymi prawami i wolnościami osoby, której dane dotyczą, które gwarantują ochronę na podstawie art. 1 ust. 1. W Dyrektywie mowa była zatem o uzasadnionych interesach administratora danych. Stąd też poglądy przywołane przez organ
w decyzji, a prezentowane w orzecznictwie NSA z powołaniem się na tę przesłankę, nie straciły na aktualności.
Podnieść należy przy tym, że w orzecznictwie Trybunału Sprawiedliwości przyjmuje się - i pogląd ten prezentuje także Sąd rozpoznający niniejszą sprawę - że "Ze względu na to, że RODO uchyliło i zastąpiło dyrektywę 95/46, a właściwe przepisy tego rozporządzenia mają w istocie zakres identyczny jak właściwe przepisy tej dyrektywy, orzecznictwo Trybunału dotyczące wspomnianej dyrektywy znajduje również co do zasady zastosowanie w odniesieniu do tego rozporządzenia" (v. wyrok Trybunału Sprawiedliwości z dnia 17 czerwca 2021 r., C-597/19, punkt 107).
Zwrócić należy przy tym uwagę, że w sprawie niniejszej, w jej okolicznościach faktycznych, to prawa i wolności osoby fizycznej, mają nadrzędny charakter nad interesami Banku, jak również BIK. Pamiętać trzeba bowiem, że celem udostępnienia danych osobowych przez osobę fizyczną było rozpatrzenie konkretnego wniosku kredytowego (cel był ściśle określony), zgodnie z przepisami Prawa bankowego,
o czym była już mowa wyżej. Powyższe nie daje podstaw do dalszego przetwarzania danych "na przyszłość" po zakończeniu oceny zdolności kredytowej i analizy ryzyka kredytowego. Samo powołanie się na zasadę rozliczalności (art. 5 ust. 2 RODO) nie legalizuje przetwarzania jakichkolwiek danych. Konieczne jest bowiem, aby
w pierwszej kolejności przetwarzanie danych było zgodne z prawem.
Podkreślenia wymaga, że niezależnie od zrozumienia dla argumentacji Banku
i BIK co do wskazywanych potrzeb, zamierzeń czy celów, jakie podmioty te chciałyby osiągnąć w działalności gospodarczej poprzez dalsze przetwarzanie danych osobowych zawartych w zapytaniach kredytowych skarżącej (osoby, z którą Bank umowy kredytowej nie zawarł), a które zostały jednoznacznie wskazane zarówno
w postępowaniu przed organem, jak i w skargach do Sądu, zaskarżona decyzja (zarówno w zakresie punktu 1, jak i 2) nie narusza prawa.
W sprawie tej cel przetwarzania legalnie zebranych danych osobowych osoby fizycznej (zebranych w celu oceny zdolności kredytowej i analizy ryzyka kredytowego) ustał. Nie wykazano też podstawy prawnej, stanowiącej przesłankę do "dalszego" przetwarzania danych osobowych wymienionej osoby fizycznej.
W ocenie Sądu, niedopuszczalna jest taka interpretacja powołanych
w skargach przepisów Prawa bankowego, AML, k.c., czy rozporządzenia 575/2013, która czyniłaby uprawnionym na gruncie RODO dalsze przetwarzanie danych osobowych zawartych w zapytaniu kredytowym osoby, z którą nie zawarto umowy
(a zatem w celach innych niż cele, w jakich je zebrano), w sytuacji, gdy Prawo bankowe wyraźnie reguluje dopuszczalność przetwarzania danych osobowych przed powstaniem zobowiązania, w trakcie jego trwania i po jego wygaśnięciu.
Przyjęcie interpretacji zaprezentowanej w skargach prowadziłoby do tego, że w odniesieniu do kategorii osób, których dane zawarte zostały w zapytaniu kredytowym, a z którymi nie zawarto umowy kredytowej, istniałaby pełna dowolność tak w zasadach ich przetwarzania (bez zgody osoby - jak należy wnioskować ze stanowisk Banku i BIK), bez informacji przedstawianej przed pozyskaniem danych
o innych celach przetwarzania niż ocena zdolności kredytowej i ryzyka kredytowego, zarówno przez Bank, jak i BIK, jak również dowolne ustalenia w odniesieniu do czasu ich przetwarzania - te kwestie byłyby bowiem i są - jak wynika z akt administracyjnych, tj. wyjaśnień Banku i BIK, ustalane samodzielnie przez te podmioty – z uwzględnieniem przyjmowanych przez nie celów służących co do zasady spełnieniu, jak wskazywano w postępowaniu, określonych wymagań organu nadzoru nad rynkiem finansowym.
Zatem sytuacja osoby, która zwróciła się z zapytaniem kredytowym, i z którą nie zawarto umowy kredytowej, jest z punktu widzenia ochrony danych osobowych, biorąc pod uwagę przepisy Prawa bankowego, sytuacją "gorszą" niż sytuacja osoby, która zawarła umowę kredytową i jej zobowiązanie wygasło. W tym drugim bowiem przypadku, dla dalszego przetwarzania danych w BIK po wygaśnięciu zobowiązania wynikającego z danej umowy, niezbędna jest zgoda osoby, której dane dotyczą. Zgodę taką można nadto w każdym czasie odwołać.
Podkreślenia wymaga, że w demokratycznym państwie prawnym nie jest dopuszczalne dowolne rozszerzanie uprawnień jakiegokolwiek podmiotu - ani organu władzy, ani spółki prawa handlowego, ani żadnego innego podmiotu będącego administratorem w zakresie przetwarzania danych osobowych (art. 47, art. 51 Konstytucji RP). Dane osobowe mogą być przetwarzane co do zasady w celach,
w jakich zostały zebrane. Uprawnienia te powinny być adekwatne, stosowne oraz ograniczone do tego, co niezbędne do osiągnięcia celów, w których zostały zebrane
i są przetwarzane (art. 5 ust. 1 lit. c RODO). Przetwarzanie przez Bank i BIK "na przyszłość" danych zawartych w zapytaniu kredytowym, w sytuacji, gdy nie zawarto umowy, nie znajduje umocowania w żadnej przesłance z art. 6 ust. 1 RODO.
Sąd podziela te poglądy prezentowane w orzecznictwie sądowoadministracyjnym, zgodnie z którymi dalsze przetwarzanie danych, uzyskanych w celu oceny zdolności kredytowej, w przypadku nie zawarcia stosownej umowy, pozostawałoby w oderwaniu od celu, dla którego je uzyskano. Niedopuszczalne jest dalsze przetwarzanie danych osobowych na przyszłość,
a także na potrzeby budowy oceny zdolności kredytowej innych podmiotów, jeżeli nie można zrekonstruować wyraźnej podstawy prawnej takich działań, jak miało to miejsce w niniejszej sprawie (v. wyrok NSA z dnia 27 sierpnia 2019 r. sygn. akt
I OSK 2567/17, orzeczenia.nsa.gov.pl).
Nieuzasadnione są również zarzuty skarg, dotyczące naruszenia przepisów prawa procesowego, tj. art. 7, art. 77 § 1 oraz art. 80 k.p.a., bowiem organ prawidłowo zebrał i ocenił zgromadzony w sprawie materiał dowodowy, opierając się na wyjaśnieniach Banku oraz BIK, dotyczących przetwarzania danych osobowych skarżącej zawartych we wnioskach kredytowych.
Odmienna ocena zarówno Banku, jak i BIK w zakresie wykładni
i zastosowania powołanych przez organ przepisów prawa, nie stanowi o naruszeniu przepisów postępowania, w tym art. 7, art. 77 i 80 k.p.a. Zarzut naruszenia powołanych przepisów, podniesiony przez BIK, poprzez brak analizy przez organ skargi skarżącej pod kątem istnienia po stronie banków i BIK oczywistego interesu prawnego, przejawiającego się w odmowie udzielenia kredytu wynikającego z braku istnienia zdolności kredytowej po stronie skarżącej, nie jest zasadny.
W ocenie Sądu, uzasadnienie decyzji odpowiada zaś wymogom określonym w art. 107 § 3 k.p.a.
Nieuzasadniony jest też zarzut naruszenia art. 7b k.p.a. poprzez zaniechanie zwrócenia się przez Prezesa UODO do KNF, jako organu właściwego
w sprawach związanych m.in. z badaniem zdolności kredytowej i analizy ryzyka kredytowego, a także budową modeli scoringowych, oraz do Generalnego Inspektora Informacji Finansowej, jako organu właściwego w sprawach związanych m.in.
z przeciwdziałaniem praniu pieniędzy i finansowaniu terroryzmu, o informacje dotyczące m.in. wykorzystywania do realizacji tych zadań danych osobowych osób,
z którymi nie zawarto umowy kredytu i w konsekwencji niedostateczne wyjaśnienie stanu faktycznego sprawy.
Zgodnie z art. 7b k.p.a., w toku postępowania organy administracji publicznej współdziałają ze sobą w zakresie niezbędnym do dokładnego wyjaśnienia stanu faktycznego i prawnego sprawy, mając na względzie interes społeczny i słuszny interes obywateli oraz sprawność postępowania, przy pomocy środków adekwatnych do charakteru, okoliczności i stopnia złożoności sprawy.
W ocenie Sądu, stan faktyczny i prawny sprawy został przez organ prawidłowo ustalony i należycie rozpatrzony w oparciu o zgromadzony materiał dowodowy,
w tym w oparciu o wyjaśnienia Banku oraz BIK. Nie zachodziły więc przesłanki do podjęcia przez Prezesa UODO współdziałania z innymi organami administracji publicznej w oparciu o ww. przepis, w celu wydania rozstrzygnięcia w sprawie.
Prezes UODO jest wyspecjalizowanym w sprawach dotyczących ochrony danych osobowych i niezależnym organem, który ma status i kompetencje organu nadzorczego, określone w przepisach RODO. Z tego względu PUODO jest uprawniony do samodzielnego dokonywania interpretacji przepisów prawa
w zakresie dotyczącym ochrony danych osobowych. Stanowisko to znajduje potwierdzenie w art. 51 oraz w motywach 117, 122 oraz 123 RODO.
Konkludując, przesłanki do przetwarzania danych osobowych skarżącej (na przyszłość i w innych wskazywanych obecnie przez Bank i BIK celach) nie stanowi
w tej sprawie, w jej okolicznościach faktycznych, ani dla Banku, ani dla BIK, żaden
z przypadków określonych w art. 6 ust. 1 lit. a-f RODO (czyli nie jest to ani zgoda - zgody takiej bowiem nie uzyskano i z akt sprawy nie wynika, aby zwracano się do skarżącej o zgodę na przetwarzanie w przyszłości jej danych osobowych w celach innych niż ocena zdolności kredytowej i ryzyka kredytowego), ani przetwarzanie niezbędne do wykonania umowy lub działań przed zawarciem umowy, ani wypełnienie obowiązku prawnego ciążącego na administratorze, ani niezbędność dla ochrony żywotnych interesów osoby fizycznej lub innej osoby, ani wykonanie zadania realizowanego w interesie publicznym lub w ramach sprawowania władzy publicznej, ani niezbędność do celów wynikających z prawnie uzasadnionych interesów).
Nie można się przy tym zgodzić z BIK, że organ naruszył m.in. również art. 6 ust. 1 lit. e RODO, ponieważ w sprawie tej nie mamy do czynienia z przetwarzaniem przez BIK i Bank, jako spółki prawa handlowego, danych osobowych (osoby, z którą Bank nie zawarł umowy) w ramach zadania realizowanego w interesie publicznym. Przetwarzanie danych osobowych przez Bank i BIK, jako spółki prawa handlowego, nie ma bowiem miejsca na podstawie art. 6 ust. 1 lit. e RODO, niezależnie od wyznaczanych sobie przez te podmioty celów. Powołanie się na konieczność zabezpieczenia ekonomiczno-gospodarczego sektora bankowego, zapewnienie stabilności gospodarczej sektora bankowego, jako uzasadnienie interesu publicznego, o którym mowa w art. 6 ust. 1 lit. e, w odniesieniu do przetwarzania danych zawartych w zapytaniu kredytowym osoby, z którą bank nie zawarł umowy, nie jest trafne.
Ustaleń Sądu w tym zakresie nie zmienia analiza treści umowy zawartej między wskazanymi spółkami prawa handlowego (BIK i Bankiem). Umowa ta nie stanowi samoistnej podstawy legalności przetwarzania danych osobowych skarżącej w celach wskazywanych obecnie przez wymienione podmioty.
Stosowanie RODO nie może zostać wyłączone poprzez zapis umowy. Ustalenie Prezesa UODO w zakresie braku dopuszczalności przetwarzania danych skarżącej, zawartych w zapytaniu kredytowym wskazanym w decyzji, jest prawidłowe. Nakaz zawarty zarówno w punkcie 1 jak i 2 decyzji jest przy tym jasny, nie ma wątpliwości co do jego zakresu i jest wykonalny.
Podsumowując Sąd stwierdza, że decyzja Prezesa UODO jest zgodna
z prawem, zaś zarzuty skarg nie zasługiwały na uwzględnienie.
W ocenie Sądu, organ zasadnie nakazał w punkcie 1 decyzji Bankowi,
a w punkcie 2 decyzji BIK, usunięcie danych osobowych skarżącej zawartych
w zapytaniach kredytowych.
Mając na względzie powyższe Wojewódzki Sąd Administracyjny w Warszawie na podstawie art. 151 ustawy z dnia 30 sierpnia 2002 r. - Prawo o postępowaniu przed sądami administracyjnymi (t.j. Dz. U. z 2023 r. poz. 1634 z późn. zm.), orzekł jak w sentencji wyroku.