II SA/Wa 1714/23

II SA/Wa 1714/23 - Wyrok WSA w Warszawie
Data orzeczenia
2024-04-16
orzeczenie nieprawomocne
Data wpływu
2023-09-04
Sąd
Wojewódzki Sąd Administracyjny w Warszawie
Sędziowie
Ewa Radziszewska-Krupa /przewodniczący/
Joanna Kube /sprawozdawca/
Mateusz Rogala
Symbol z opisem
647  Sprawy związane z ochroną danych osobowych
Hasła tematyczne
Ochrona danych osobowych
Skarżony organ
Generalny Inspektor Ochrony Danych Osobowych
Treść wyniku
Oddalono skargę
Powołane przepisy
Dz.U. 2023 poz 1634
art. 151
Ustawa z dnia 30 sierpnia 2002 r. Prawo o postępowaniu przed sądami administracyjnymi - t.j.
Dz.U. 2023 poz 2488
art. 5 ust. 1 pkt 3, art. 70a, art. 105 ust. 1 pkt 1c, ust. 4, art. 105a
Ustawa z dnia 29 sierpnia 1997 r. Prawo bankowe (t. j.)
Dz.U.UE.L 2016 nr 119 poz 1 art. 6 ust. 1
Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z  przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE
Sentencja
Wojewódzki Sąd Administracyjny w Warszawie w składzie następującym: Przewodniczący Sędzia WSA Ewa Radziszewska-Krupa, Sędzia WSA Joanna Kube (spr.), Asesor WSA Mateusz Rogala, Protokolant starszy sekretarz sądowy Marcin Rusinowicz-Borkowski po rozpoznaniu na rozprawie w dniu 16 kwietnia 2024 r. sprawy ze skarg [...] S.A. z siedzibą w W. i [...] Bank Polska S.A z siedzibą w W. na decyzję Prezesa Urzędu Ochrony Danych Osobowych z dnia [...] czerwca 2023 r. nr [...] w przedmiocie przetwarzania danych osobowych oddala skargi.
Uzasadnienie
Prezes Urzędu Ochrony Danych Osobowych (dalej: "Prezes UODO", "organ") decyzją z dnia [...] czerwca 2023 r. nr [...] na podstawie art. 104 § 1 Kodeksu postępowania administracyjnego (Dz. U. z 2023 r., poz. 775 z późn. zm.), dalej: "k.p.a.", art. 7 ust. 1 i 2 ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych (Dz. U. z 2019 r. poz. 1781), art. 6 ust. 1 oraz art. 58 ust. 2 lit. c rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz. Urz. UE L 119
z 4.05.2016, str. 1, Dz. Urz. UE L 127 z 23.05.2018, str. 2 oraz Dz. Urz. UE L 74
z 4.03.2021, str. 35), dalej: "RODO", po przeprowadzeniu postępowania administracyjnego w sprawie skargi I. W. z dnia [...] września 2022 r. na nieprawidłowości w procesie przetwarzania jej danych osobowych przez [...] S.A. z siedzibą w [...], polegające na przetwarzaniu jej danych osobowych w zakresie zapytań kredytowych z dnia [...] listopada 2021 r. oraz
[...] sierpnia 2022 r., które nie zakończyły się zawarciem umów kredytowych, w tym w Biurze Informacji Kredytowej S.A. z siedzibą w [...] bez podstawy prawnej,
1) nakazał [...] Bank S.A. z siedzibą w [...] (dalej: "Bank") usunięcie danych osobowych I. W. w zakresie wynikającym z zapytań kredytowych z dnia [...] listopada 2021 r. oraz [...] sierpnia 2022 r.;
2) nakazał [...] S.A. z siedzibą w [...] (dalej: "[...]") usunięcie danych osobowych I. W. w zakresie wynikającym
z zapytań kredytowych z dnia [...] listopada 2021 r. oraz [...] sierpnia 2022 r., przekazanych przez Bank.
W toku przeprowadzonego postępowania wyjaśniającego w niniejszej sprawie Prezes UODO ustalił następujący stan faktyczny:
I. W. (dalej: "skarżąca") w skardze do Prezesa UODO zarzuciła Bankowi nieuprawnione przetwarzanie jej danych osobowych w zakresie zapytań kredytowych z dnia [...] listopada 2021 r. oraz [...] sierpnia 2022 r. Wskazała, że w dniu [...] sierpnia 2022 r. zwróciła się do Banku o usunięcie przedmiotowych danych, lecz Bank odmówił uwzględnienia jej wniosku. Podniosła, że Bank nie chce usunąć jej danych, w związku z ww. zapytaniami kredytowymi, pomimo że ww. wnioski kredytowe nie zakończyły się zawarciem umowy o kredyt.
Bank wskazał, że aktualnie przetwarza dane osobowe skarżącej
w następującym zakresie: imię, nazwisko, nazwisko rodowe matki, numer PESEL, data urodzenia, obywatelstwo, rodzaj, seria, numer i data ważności dokumentu tożsamości), dane adres zameldowania, adres zamieszkania (korespondencyjny) numer telefonu, adres e-mail, stan cywilny, wykształcenie, informacje o rodzaju
i wysokości dochodów oraz okresie zatrudnienia oraz dane finansowe związane
z wnioskowanym kredytem, w tym kwota i rodzaj produktu kredytowego, oraz dane identyfikacyjne i kontaktowe zakładu pracy.
Bank podał, że ww. dane są przetwarzane na podstawie:
1) art. 70 ust. 1 ustawy z 29 sierpnia 1997 r. – Prawo bankowe (t.j. Dz. U. z 2022 r. poz. 2324), dalej: "Prawo bankowe", w związku z którym Bank uzależnia przyznanie kredytu od zdolności kredytowej kredytobiorcy, a kredytobiorca jest obowiązany przedłożyć na żądanie banku dokumenty i informacje niezbędne do dokonania oceny tej zdolności,
2) art. 70a i 105a Prawa bankowego, w związku z koniecznością zagwarantowania możliwości uzyskania wyjaśnień dotyczących dokonanej przez bank oceny zdolności kredytowej lub w związku z koniecznością zapewnienia prawa do otrzymania stosownych wyjaśnień banku co do podstaw decyzji podejmowanych w trybie art. 105a ust. 1 Prawa bankowego,
3) w zakresie stosowania modeli wewnętrznych oraz innych metod i modeli,
o których mowa w części trzeciej rozporządzenia Parlamentu Europejskiego i Rady (UE) nr 575/2013 z 26 czerwca 2013 r. w sprawie wymogów ostrożnościowych dla instytucji kredytowych i firm inwestycyjnych, zmieniającego rozporządzenie (UE) nr 648/2012 (Dz. Urz. UE L 176 z 27.06.2013, str. 1, ze zm.) w zw. z art. 105 ust. 4 pkt 1 Prawa bankowego oraz art. 105a ust. 4 Prawa bankowego, tj. m.in. wymogów kapitałowych określonych w część III ww. rozporządzenia - art. 147 ust. 5 w zw. z art. 147 ust. 2 lit. d) (dotyczących metod klasyfikowania ekspozycji do poszczególnych kategorii ekspozycji) lub art. 171 (dot. klasyfikacji do klas lub pul),
4) w związku z wymogami określonymi przez Komisję Nadzoru Finansowego
w Rekomendacji T dotyczącej dobrych praktyk w zakresie zarządzania ryzykiem detalicznych ekspozycji kredytowych,
5) oceny ryzyka kredytowego, w tym oceny globalnego ryzyka kredytowego, m.in. na podstawie art. 105a ust. 1 -1 c i 105a ust. 4 Prawa bankowego w zw. z powołanymi powyżej przepisami rozporządzenia Parlamentu Europejskiego i Rady (UE) nr 575/2013 z 26 czerwca 2013 r. w sprawie wymogów ostrożnościowych dla instytucji kredytowych zmieniającego rozporządzenie (UE) nr 648/2012, a także
w związku z wymogami określonymi przez Komisję Nadzoru Finansowego
w Rekomendacji T, określonymi powyżej,
6) koniecznością uwzględnienia możliwości dochodzenia przez skarżącą od Banku ewentualnych roszczeń związanych z przedmiotem niniejszego postępowania, tj. na podstawie art. 6 ust. 1 lit. f RODO w zw. z art. 118 ustawy z 23 kwietnia 1964 r. Kodeks cywilny (t.j. Dz. U. z 2022 r. poz. 1360), dalej: "Kodeks cywilny" w zw. z art. 82 RODO oraz związanej z tym konieczności umożliwienia Bankowi obrony przed ewentualnymi roszczeniami (art. 6 ust. lit. f RODO), oraz związanej z tym konieczności umożliwienia Bankowi obrony przed ewentualnymi roszczeniami,
7) ) koniecznością zapewnienia Prezesowi UODO dostępu do informacji niezbędnych do przeprowadzenia postępowania w niniejszej sprawie, w związku z art. 58 ust. 1
lit. e RODO.
Skarżąca, ani też Bank nie występowali wobec siebie wzajemnie z żadnymi roszczeniami.
[...] z kolei w toku postępowania wskazał, że na podstawie art. 105 ust. 1 pkt 1c, art. 105 ust. 4 oraz art. 105a ust. 1 Prawa bankowego oraz na podstawie umowy zawartej z Bankiem pozyskał od Banku dane osobowe skarżącej dotyczące zapytań kredytowych z dnia [...] listopada 2021 r. oraz [...] sierpnia 2022 r. w zakresie danych identyfikujących (imienia, nazwiska, numeru PESEL, serii i numeru dowodu osobistego, daty urodzenia, obywatelstwa, płci), danych majątkowych (dochodu netto, częstotliwości dochodu, trybu zatrudnienia), danych z wniosków kredytowych dotyczących wnioskowanych zobowiązań i adresu zamieszkania.
[...] podał, że w związku z przedmiotowymi zapytaniami kredytowymi przetwarza dane osobowe w następujących celach:
1) indywidualnej oceny zdolności kredytowej i analizy ryzyka kredytowego przez okres 12 miesięcy od dnia złożenia zapytania oraz przez nie krócej niż 5 lat i nie dłużej niż 10 lat od dnia złożenia zapytania, w celu budowy modeli scoringowych na podstawie art. 6 ust. 1 lit. c RODO w zw. z art. 70 ust. 1, art. 105 ust. 4 oraz art. 105a ust. 1, 1a i 1b Prawa bankowego oraz art. 180 ust. 2 rozporządzenia CRR oraz rekomendacji KNF,
2) statystycznych oraz stosowania metod wewnętrznych oraz innych metod i modeli na podstawie art. 6 ust. 1 lit. f RODO w zw. z art. 105 ust. 1 i art. 105a ust. 4 Prawa bankowego przez okres maksymalnie 10 lat od dnia złożenia zapytania,
3) przeciwdziałania przestępstwom oraz wykonywania obowiązków w zakresie określonym w przepisach o przeciwdziałaniu praniu pieniędzy oraz finansowaniu terroryzmu na podstawie art. 106d Prawa bankowego, art. 33 ust. 2 i art. 34 ust. 1 pkt 4 ustawy z dnia 1 marca 2018 r. o przeciwdziałaniu praniu pieniędzy oraz finansowaniu terroryzmu (Dz. U. z 2022 r. poz. 593),
4) rozpatrywania ewentualnych reklamacji lub roszczeń odszkodowawczych klientów przez okres 6 lat na podstawie art. 6 ust. 1 lit. f RODO w zw. z art. 118 kodeksu cywilnego, oraz w celu wypełnienia obowiązku wynikającego z art. 15 RODO
w przypadku wystąpienia przez osobę, której dane dotyczą z wnioskiem o udzielenie informacji,
5) realizacji wniosków klientów banków dotyczących wyjaśnień dokonanej oceny zdolności kredytowej na podstawie art. 6 ust. 1 lit. f RODO w zw. z art. 70a ustawy Prawo bankowe.
[...] wskazał, że skarżąca nie wystąpiła z wnioskiem o usunięcie jej danych dotyczących przedmiotowego zapytania kredytowego. Ponadto, ani skarżąca nie wystosowała do [...] konkretnego roszczenia, ani [...] nie wystąpił do skarżącej
z konkretnym roszczeniem.
Prezes UODO, rozstrzygając w przedmiotowej sprawie wskazał, iż przepisem uprawniającym administratorów danych do przetwarzania zwykłych danych osób fizycznych jest art. 6 ust. 1 RODO, zgodnie z którym, przetwarzanie danych jest dopuszczalne tylko wtedy, gdy spełniona jest jedna z przesłanek wskazanych w tym przepisie. Katalog przesłanek, wymienionych w art. 6 ust. 1 RODO, jest zamknięty. Każda z przesłanek legalizujących proces przetwarzania danych osobowych ma charakter autonomiczny i niezależny. Dodatkowo, proces przetwarzania danych osobowych musi być zgodny z zasadami ustanowionymi w art. 5 ust. 1 RODO.
Do zasad tych zalicza się między innymi ograniczenie celu (art. 5 ust. 1 lit. b RODO) oraz minimalizację danych (art. 5 ust. 1 lit. c RODO). Wspomniane zasady wymagają, by dane osobowe były zbierane w konkretnych, wyraźnych i prawnie uzasadnionych celach i nieprzetwarzane dalej w sposób niezgodny z tymi celami,
a proces przetwarzania danych osobowych był adekwatny, stosowny oraz ograniczony do tego, co niezbędne do celów, w których są przetwarzane.
Co do zasady podstawą prawną przetwarzania danych osobowych klientów przez Bank i [...] może być obecnie art. 6 ust. 1 lit. f RODO, gdy przetwarzanie to jest niezbędne do celów wynikających z prawnie uzasadnionych interesów realizowanych przez administratora.
Uzasadniając to stanowisko, odwołał się do art. 105a ust. 1 Prawa bankowego, który stanowi, że przetwarzanie przez banki, inne instytucje ustawowo upoważnione do udzielania kredytów, instytucje pożyczkowe oraz podmioty,
o których mowa w art. 59d ustawy z dnia 12 maja 2011 r. o kredycie konsumenckim, a także instytucje utworzone na podstawie art. 105 ust. 4 (a więc [...]), informacji stanowiących tajemnicę bankową i informacji udostępnionych przez instytucje pożyczkowe oraz podmioty, o których mowa w art. 59d ustawy z dnia 12 maja 2011 r. o kredycie konsumenckim, w zakresie dotyczącym osób fizycznych może być wykonywane, z zastrzeżeniem art. 104, 105 i art. 106 - 106d Prawa bankowego
w celu oceny zdolności kredytowej i analizy ryzyka kredytowego. Następnie organ nadzorczy podał, że stosownie do art. 105a ust. 4 Prawa bankowego, banki oraz instytucje, o których mowa w art. 105 ust. 4, mogą przetwarzać stanowiące tajemnicę bankową informacje dotyczące osoby fizycznej po wygaśnięciu zobowiązania wynikającego z umowy zawartej z bankiem lub inną instytucją ustawowo upoważnioną do udzielania kredytów bez zgody osoby, której informacje dotyczą, do celów stosowania metod wewnętrznych oraz innych metod i modeli, o których mowa
w części trzeciej rozporządzenia CRR. Stosownie zaś do art. 105a ust. 5 Prawa bankowego, przetwarzanie informacji stanowiących tajemnicę bankową
w przypadkach, o których mowa w ust. 3, może być wykonywane przez okres nie dłuższy niż 5 lat od dnia wygaśnięcia zobowiązania, a w przypadku, o którym mowa w ust. 4, przez okres 12 lat od dnia wygaśnięcia zobowiązania.
Prezes UODO dodał, że zgodnie z art. 70 ust. 1 Prawa bankowego, bank uzależnia przyznanie kredytu od zdolności kredytowej kredytobiorcy. Przez zdolność kredytową rozumie się zdolność do spłaty zaciągniętego kredytu wraz z odsetkami
w terminach określonych w umowie.
Wskazał także na treść art. 9 ust. 3 ustawy z dnia 12 maja 2011 r. o kredycie konsumenckim regulującego obowiązek oceny zdolności kredytowej konsumenta ubiegającego się o kredyt konsumencki, zgodnie z którym jeżeli kredytodawcą jest bank, albo inna instytucja ustawowo upoważniona do udzielania kredytów, ocena zdolności kredytowej dokonywana jest zgodnie z art. 70 Prawa bankowego oraz innymi regulacjami obowiązującymi te podmioty, z uwzględnieniem ust. 1-3.
Z powyższego wynika, zdaniem Prezesa UODO, że Bank oraz [...], na podstawie art. 105a ust. 1 w zw. z art. 70 ust. 1 Prawa bankowego, były uprawnione do przetwarzania danych osobowych skarżącej w celu oceny zdolności kredytowej
w związku z jej zapytaniami kredytowymi złożonymi do Banku w dniu [...] listopada 2021 r. oraz w dniu [...] sierpnia 2022 r. Ponieważ nie doszło do zawarcia umowy kredytu pomiędzy skarżącą a Bankiem, odpadła przesłanka legalizująca dalsze przetwarzanie jej danych osobowych przez Bank oraz [...]. Przesłanki zawarte w art. 105a Prawa bankowego dotyczą bowiem przetwarzania informacji objętych tajemnicą bankową w okresie przed powstaniem zobowiązania, w trakcie jego trwania oraz po wygaśnięciu zobowiązania. Pomiędzy Bankiem a skarżącą nie zawiązał się żaden stosunek zobowiązaniowy, który stosownie do art. 105a ust. 1 - 6 Prawa bankowego dawałby podstawę do dalszego przetwarzania jej danych osobowych. Celem przetwarzania danych osobowych skarżącej była ocena zdolności kredytowej
i analizy ryzyka kredytowego. W związku z dokonaniem przez Bank oceny zdolności kredytowej i analizy ryzyka kredytowego ww. cel przetwarzania danych osobowych skarżącej został zrealizowany i brak jest podstaw prawnych do kontynuowania tego procesu.
Prezes UODO na poparcie zajętego stanowiska odwołał się do wyroku z dnia 27 sierpnia 2019 r. sygn. akt I OSK 2567/17, w którym Naczelny Sąd Administracyjny wywiódł, że "(...) cel oceny zdolności kredytowej stanowi ocena zdolności do spłaty zaciągniętego kredytu wraz z odsetkami, co ma charakter czynności wstępnej do zawarcia stosownej umowy. Dalsze przetwarzanie danych uzyskanych w celu oceny zdolności kredytowej, w przypadku nie zawarcia stosownej umowy pozostawałaby
w oderwaniu od celu dla którego dane te uzyskano. (...) niedopuszczalne jest przetwarzanie danych osobowych na przyszłość, a także na potrzeby budowy oceny zdolności kredytowej innych podmiotów, jeżeli nie można zrekonstruować wyraźnej podstawy prawnej takich działań".
W ocenie Prezesa UODO, za podstawę przetwarzania danych osobowych skarżącej nie mogą być również uznane, wskazane przez Bank i [...], cele statystyczne i analizy, w tym cel stosowania metod wewnętrznych oraz innych metod i modeli, o których mowa w części trzeciej rozporządzenia CRR.
Podkreślił, że powołany przez Bank i [...] art. 105a ust. 4 Prawa bankowego daje podstawy do przetwarzania informacji dotyczących osoby fizycznej stanowiących tajemnicę bankową po wygaśnięciu zobowiązania wynikającego
z umowy zawartej z bankiem lub inną instytucją ustawowo upoważnioną do udzielania kredytów bez zgody osoby, której te informacje dotyczą. W przedmiotowej sprawie nie doszło do zawarcia umowy kredytu pomiędzy skarżącą a Bankiem,
a zatem nie powstał żaden stosunek zobowiązaniowy, o którym mowa w powyższym przepisie. Także powołane przepisy CRR nie wykazują konkretnej przesłanki uprawniającej [...] do wykorzystania danych w zakresie zapytań kredytowych niezakończonych zawarciem umowy do indywidualnej oceny zdolności kredytowej, ani tym bardziej do wykorzystania tego rodzaju danych osobowych do modeli scoringowych.
Odnosząc się do przywołanych rekomendacji Komisji Nadzoru Finansowego Prezes UODO wyjaśnił, że powoływane przez [...] oraz Bank rekomendacje Komisji Nadzoru Finansowego należą do nienormatywnych form działania administracji. Wydane przez Komisję Nadzoru Finansowego rekomendacje - podobnie jak inne uchwały ww. organu nadzoru - nie są źródłem ani powszechnie obowiązujących przepisów prawa, ani przepisów prawa o charakterze wewnętrznym. Przywołane rekomendacje nie stanowią zatem podstawy prawnej legalizującej przetwarzanie danych osobowych w zakresie zapytań kredytowych niezakończonych zawarciem umowy kredytu, zaś ich stosowanie nie może naruszać przepisów RODO.
Prezes UODO nie podzielił stanowiska, że przetwarzanie danych osobowych skarżącej ma na celu przeciwdziałanie przestępstwom oraz wykonywanie obowiązków w zakresie określonym w zakresie określonym w przepisach art. 106d Prawa bankowego i w przepisach ustawy AML. Organ przytoczył treść art. 106d Prawa bankowego oraz przepisy ustawy o AML (m. in. art. 33, art. 34
i art. 35) i stwierdził, że w toku prowadzonego postępowania Bank i [...] nie wykazały, aby zaszła którakolwiek z przesłanek określonych w tych przepisach.
W szczególności nie wykazały, aby istniały uzasadnione podejrzenia, o których mowa w art. 106d ust. 1 pkt 1-2, oraz nie wskazały także nałożonego na niego obowiązku określonego w przepisach o przeciwdziałaniu praniu pieniędzy oraz finansowaniu terroryzmu, o którym mowa w art. 106d ust. 1 pkt 3.
W uzasadnieniu decyzji Prezes UODO stwierdził ponadto, że zebrany
w niniejszym postępowaniu materiał dowodowy nie wykazał, aby skarżąca wystąpiła z jakimkolwiek roszczeniem wobec Banku czy [...], które uzasadniałoby uprawnienie tych podmiotów do zachowania i przetwarzania jej danych osobowych dla celów dowodowych w związku z dochodzeniem przez skarżącą tego roszczenia (art. 6 ust. 1 lit f RODO). Bank i [...] nie wskazały także na istnienie roszczeń, których dochodzą od skarżącej. Przesłanka legalizująca przetwarzanie danych osobowych,
o której mowa w art. 6 ust. 1 lit. f RODO dotyczy sytuacji już istniejącej, w której celem wynikającym z prawnie uzasadnionych interesów realizowanych przez administratora jest konieczność udowodnienia, potrzeba dochodzenia lub obrony przed roszczeniem istniejącym, nie zaś sytuacji, gdy dane są przetwarzane w celu zabezpieczenia się przed ewentualnym roszczeniem lub rozpatrywania ewentualnych reklamacji.
Prezes UODO, argumentując przytoczył stanowisko Naczelnego Sądu Administracyjnego odnoszące się do analogicznej do art. 6 ust. 1 lit. f RODO przesłanki wynikającej z art. 23 ust. 1 pkt 5 ustawy z dnia 29 sierpnia 1997 r.
o ochronie danych osobowych (Dz. U. 2016 r. poz. 922 ze zm.), dotyczącej dopuszczalności przetwarzania danych osobowych dla wypełnienia prawnie usprawiedliwionych celów realizowanych przez administratorów danych albo odbiorców danych, gdy przetwarzanie nie narusza praw i wolności osoby, której dane dotyczą zawarte w wyrokach Naczelnego Sądu Administracyjnego z dnia 6 marca 2019 r. sygn. akt I OSK 994/17 (LEX nr 2670498) oraz z 23 września 2005 r. sygn. akt l OSK 712/05 (dostępne w CBOSA).
Prezes UODO stwierdził, że przyjęcie za prawidłowe przeciwnego stanowiska, zgodnie z którym przetwarzanie danych osobowych w celu uchylenia się od negatywnych skutków w przypadku zgłoszenia w przyszłości ewentualnego
i nieokreślonego roszczenia, stanowi prawnie usprawiedliwiony cel w rozumieniu art. 6 ust. 1 lit. f RODO oznaczałoby, że dane osobowe skarżącej mogłyby być przetwarzane przez [...] permanentnie, bez konieczności ich usunięcia. Teoretycznie możliwym jest przecież by skarżąca zwróciła się do Banku lub [...] z roszczeniem po upływie terminu przedawnienia roszczenia. Prowadziłoby to tym samym do uznania, że przetwarzanie jej danych osobowych przez Bank i [...] ma uzasadnienie
w przesłance określonej art. 6 ust. 1 lit. f RODO w celu realizacji prawa do obrony przed ewentualnym roszczeniem skarżącej również po upływie ww. terminu.
Prezes UODO dodał, że nie podziela stanowiska, zgodnie z którym terminy dotyczące przedawnienia roszczeń wynikających ze stosunków zobowiązaniowych określają jednocześnie ramy czasowe, w których dane osobowe mogą być przetwarzane przez Bank i [...]. Przedawnienie roszczenia nie wywołuje skutków na gruncie ochrony danych osobowych, nie wpływa bowiem na fakt istnienia roszczenia, a powoduje jedynie zmianę w sferze zarzutów procesowych w postaci możliwości podniesienia okoliczności przedawnienia w sporze sądowym. Okolicznością usprawiedliwiającą przetwarzanie danych osobowych w celu dochodzenia roszczeń jest sam fakt istnienia roszczenia oraz zamiar jego dochodzenia, nie jest nią natomiast zmiana w uprawnieniach procesowych podmiotu pozwanego.
Zdaniem Prezesa UODO, brak jest ponadto uzasadnienia dla przyjęcia, że Bank jest uprawniony do przetwarzania danych osobowych w związku
z koniecznością ewentualnego wypełnienia obowiązku wynikającego z art. 70a ust. 1 i ust. 2 Prawa bankowego. Stosownie do art. 70a ust. 1 prawa bankowego banki
i inne instytucje ustawowo upoważnione do udzielania kredytów na wniosek osoby fizycznej, prawnej lub jednostki organizacyjnej niemającej osobowości prawnej, o ile posiada zdolność prawną, ubiegającej się o kredyt przekazują, w formie pisemnej, wyjaśnienie dotyczące dokonanej przez siebie oceny zdolności kredytowej wnioskującego. Stosownie zaś do art. 70a ust. 2 prawa bankowego wyjaśnienie,
o którym mowa w ust. 1, obejmuje informacje na temat czynników, w tym danych osobowych wnioskującego, które miały wpływ na dokonaną ocenę zdolności kredytowej.
Prezes UODO wskazał, że powstanie obowiązku, o którym mowa
w art. 70a ust. 1 Prawa bankowego, uzależnione jest od złożenia stosownego wniosku przez osobę ubiegającą się o kredyt. W niniejszej sprawie ustalono, że skarżąca w związku z zapytaniami kredytowymi z dnia [...] listopada 2021 r. oraz z dnia [...] sierpnia 2022 r. ubiegała się o zawarcie z Bankiem umów, jednak jej wnioski nie zakończyły się zawarciem umowy z Bankiem. Następnie skarżąca zwróciła się do Banku z żądaniem usunięcia jej danych przetwarzanych w związku z ww. zapytaniami oraz usunięcia ich z [...]. Proces przetwarzania danych osobowych związanych z ww. zapytaniami kredytowymi zakwestionowała, domagając się ochrony danych osobowych. Uwzględnienie żądania skarżącej usunięcia przedmiotowych danych skutkować będzie brakiem możliwości udzielenia informacji wskazanych w art. 70a ust. 1 i 2 prawa bankowego, z czym skarżąca, żądając usunięcia danych, musi się liczyć. W związku z powyższym, skarżąca nie była i nie jest zainteresowana realizacją prawa do złożenia wniosku, o którym mowa
w powyższym przepisie, a tym samym nie można uznać, aby stanowił on podstawę przetwarzania danych osobowych skarżącej.
Organ nadzorczy nie zgodził się również z zapatrywaniem, że [...] jest uprawniony do przetwarzania danych osobowych pozyskanych w związku
z zapytaniami złożonymi przez Bank, z uwagi na konieczność ewentualnego wypełnienia obowiązku wynikającego z art. 15 RODO. Usunięcie przez administratora danych osobowych nie uniemożliwia mu wykonania obowiązku uregulowanego w tym przepisie, gwarantującego osobie, której dane dotyczą, prawo do uzyskania od administratora informacji, czy jej dane są przetwarzane,
a w przypadku pozytywnej odpowiedzi na tak postawione pytanie - uprawnienie do dostępu do danych na swój temat oraz uzyskania informacji o okolicznościach przetwarzania danych. Jeśli bowiem administrator nie przetwarza danych dotyczących osoby, która zwraca się z żądaniem udzielenia informacji, to działanie administratora ogranicza się do odpowiedzi przeczącej i nie ma on obowiązku podawać podmiotowi danych innych informacji (tak również: Paweł Fajgielski [w:] Ogólne rozporządzenie o ochronie danych. Ustawa o ochronie danych osobowych. Komentarz. Wolters Kluwer Polska, 2018).
Prezes UODO odnośnie stwierdzenia Banku, że do dnia wydania decyzji będzie przetwarzać dane osobowe skarżącej w związku z przedmiotowym postępowaniem, wskazał, że ww. przesłanka odpadnie w dacie zakończenia tego postępowania.
W ocenie Prezesa UODO, brak jest celu uzasadniającego dalsze przetwarzanie danych osobowych skarżącej, zawartych w przedmiotowych zapytaniach kredytowych, zarówno przez Bank, jak i przez [...]. Bank w związku
z pozyskaniem danych osobowych skarżącej w celu oceny zdolności kredytowej stał się administratorem tych danych osobowych. Natomiast [...] stał się administratorem danych osobowych skarżącej z uwagi na przekazanie tych danych przez Bank.
W związku z powyższym zarówno Bank, jak i [...] , są odrębnymi administratorami. Każdy z tych podmiotów przetwarza bowiem dane osobowe skarżącej we własnych celach i samodzielnie ustala sposoby ich przetwarzania.
Prezes UODO stwierdził, że wobec niezaistnienia żadnej z wyrażonych w art. 6 ust. 1 RODO przesłanek, która stanowiłaby o legalności procesu przetwarzania przez Bank i [...] danych osobowych skarżącej, na podstawie art. 58 ust. 2 lit. c RODO, nakazał Bankowi oraz [...] usunięcie danych osobowych skarżącej przetwarzanych w związku ze złożonymi zapytaniami kredytowymi z dnia [...] listopada 2021 r. oraz dnia [...] sierpnia 2022 r.
Bank oraz [...] zaskarżyły dwiema skargami do Wojewódzkiego Sądu Administracyjnego w Warszawie decyzję Prezesa UODO z dnia [...] czerwca 2023 r. nr [...]
Bank zaskarżył tę decyzję w części dotyczącej jej pkt 1, a więc rozstrzygnięcie nakazujące mu usunięcie danych osobowych skarżącej wynikających z zapytań kredytowych z [...] listopada 2021 r. i [...] sierpnia 2022 r. niezakończonych udzieleniem kredytu (sprawa zarejestrowana została pod sygn. akt II SA/Wa 1716/23), natomiast [...] wniósł skargę na tę decyzję w zakresie jej pkt 2, a więc nakazania mu usunięcie danych osobowych skarżącej wynikających z powołanych zapytań kredytowych (sprawa zarejestrowana pod sygn. akt II SA/Wa 1714/23).
Bank wniósł o uchylenie zaskarżonej decyzji w części, tj. w zakresie punktu pierwszego oraz o zasądzenie zwrotu kosztów postępowania, w tym kosztów zastępstwa procesowego według norm przepisanych oraz opłat skarbowych od pełnomocnictwa.
[...] z kolei wniósł o uchylenie zaskarżonej decyzji w części, tj. w zakresie punktu drugiego oraz o zasądzenie zwrotu kosztów postępowania, w tym kosztów zastępstwa procesowego według norm przepisanych, w tym zwrotu opłaty skarbowej od pełnomocnictwa w kwocie 17 zł.
Bank zarzucił zaskarżonej decyzji:
I. naruszenie przepisów postępowania, mające istotny wpływ na wynik sprawy, tj.
I.1. naruszenie art. 7 w zw. z art. 77 oraz art. 80 k.p.a., polegające na niepodjęciu wszystkich czynności niezbędnych do dokładnego wyjaśnienia oraz załatwienia sprawy, na niewyczerpującym zebraniu i rozpatrzeniu materiału dowodowego,
a także na braku wszechstronnej i merytorycznej oceny zgromadzonego materiału dowodowego; powyższe skutkowało wydaniem przez Prezesa UODO niezasadnego nakazu usunięcia przez Bank danych osobowych skarżącej w zakresie wynikającym z zapytań kredytowych z dnia [...] listopada 2021 r. oraz z dnia [...] sierpnia 2022 r.
W szczególności Prezes UODO:
I.1a. bezzasadnie pominął, że po upływie 12 miesięcy od skierowania przez Bank do [...] zapytania kredytowego z dnia [...] listopada 2021 r. (dotyczącego wniosku
o udzielenie kredytu gotówkowego, złożonego przez skarżącą do Banku tego samego dnia) oraz zapytania kredytowego z dnia [...] sierpnia 2022 r. (dotyczącego wniosku o podwyższenie limitu na karcie kredytowej, złożonego przez skarżącą tego samego dnia) te zapytania są przekazywane do tzw. części statystycznej [...] . Tym samym, w dniu wydania zaskarżonej decyzji ([...] czerwca 2023 r.) - zgodnie z wiedzą Banku - informacja o zapytaniu kredytowym z dnia [...] listopada 2021 r. nie była już dostępna dla innych banków lub innych właściwych podmiotów i instytucji w [...] oraz nie wpływała na ocenę zdolności kredytowej skarżącej. Natomiast informacja
o zapytaniu kredytowym z dnia [...] sierpnia 2022 r. - zgodnie z wiedzą Banku – zostanie przeniesiona do tzw. części statystycznej [...] w najbliższych dniach;
I.1b. nie ustalił wszystkich celów przetwarzania danych osobowych skarżącej, jak również nie uwzględnił w decyzji wszystkich okoliczności przetwarzania tych danych. W konsekwencji organ błędnie nie uwzględnił wszystkich podstaw prawnych dalszego przetwarzania danych skarżącej w sytuacji, gdy umowa o kredyt gotówkowy nie została zawarta, a limit na karcie kredytowej nie został podwyższony;
I.1c. bezzasadnie pominął, że o ile analiza zdolności kredytowej dotyczy rozpoznania oraz oceny ryzyka związanego z przyznaniem kredytu konkretnej osobie
w konkretnej wysokości, o tyle analiza ryzyka kredytowego wiąże się z koniecznością oszacowania ryzyka dla całego banku, związanego z danym portfelem zobowiązań. W celu ustalenia obiektywnych zasad akceptacji, Bank musi przeprowadzić analizę ryzyka kredytowego na podstawie zgromadzonej wiedzy na temat wszystkich osób, które wnioskowały o kredyt - zarówno tych, którym przyznano kredyt, jak i tych, którym odmówiono przyznania kredytu.
Wyraźne rozróżnienie "zdolności kredytowej" i "ryzyka kredytowego" jest tym bardziej istotne w niniejszej sprawie, albowiem organ powołał się w decyzji przede wszystkim na wyrok z dnia 27 sierpnia 2019 r., sygn. akt I OSK 2567/17, podczas gdy w tym orzeczeniu Naczelny Sąd Administracyjny nie oceniał potrzeby wykorzystania danych pod kątem niezbędności do analizy ryzyka kredytowego, a ponadto orzekał na podstawie nieobowiązujących już przepisów ustawy z dnia 29 sierpnia 1997 r.
o ochronie danych osobowych (t.j. Dz. U. z 2016 r., poz. 922 z późn. zm.) i nie analizował przepisów RODO;
I.1d. bezzasadnie pominął, że bazy danych tworzone przez podmioty, które prowadzą działalność bankową, mają rozbudowaną strukturę, w tym zawierają szereg funkcji wyszukiwania oraz udostępniania raportów. Zróżnicowane mogą być również uprawnienia dostępu do zasobów informacji dla poszczególnych grup pracowników (z perspektywy wykonywanych przez nich zadań). Dopiero w takim szerokim kontekście należy rozważyć reguły przetwarzania danych osobowych.
W ocenie Banku, jest on uprawniony do przetwarzania danych skarżącej,
a Prezes UODO powinien wyjaśnić co najwyżej, w jakim terminie i dla jakich celów takie przetwarzanie jest uprawnione, oraz którzy pracownicy Banku powinni mieć dostęp do tych danych (w zakresie niezbędnym do wykonywania przez nich zadań);
I.1e. bezzasadnie założył, że skoro skarżąca nie była dotychczas zainteresowana realizacją swojego prawa do domagania się od Banku wyjaśnień dotyczących oceny zdolności kredytowej, a jednocześnie zażądała usunięcia swoich danych osobowych związanych z zapytaniami kredytowymi, to musi się liczyć z tym, że uwzględnienie żądania skarżącej usunięcia przedmiotowych danych skutkować będzie brakiem możliwości udzielenia informacji wskazanych w art. 70a ust. 1 i 2 ustawy Prawo bankowe. Tymczasem z materiału dowodowego nie wynika, aby skarżąca istotnie "liczyła się" lub była świadoma takich skutków usunięcia swoich danych osobowych. Ponadto sam fakt, że skarżąca do tej pory nie złożyła wniosków do Banku
o udzielenie wyjaśnień dotyczących oceny zdolności kredytowej, nie musi przecież oznaczać, że nie zdecyduje się na skierowanie takich wniosków w przyszłości -
w tym kontekście wymaga podkreślenia, że ustawowy obowiązek udzielenia wyjaśnień dotyczących dokonanej przez Bank oceny zdolności kredytowej nie jest ograniczony określonym terminem;
I.2. naruszenie art. 107 § 1 pkt 5 oraz art. 107 § 3 w zw. z art. 104 ust. 2 k.p.a., polegające na tym, że w decyzji nie wskazano ani nie wyjaśniono, jakie konkretnie dane osobowe skarżącej i w jakim celu przetwarzane przez Bank, Prezes UODO uznaje za objęte zakresem "wynikającym z zapytań kredytowych z dni [...] listopada 2021 r. oraz [...] sierpnia 2022 r.", podczas gdy osnowa decyzji powinna być skonstruowana tak precyzyjnie, aby po stronie obowiązanego podmiotu (tu: Bank
i Biuro) nie było wątpliwości co do zakresu powinności wynikających z tej decyzji. Osnowa zaskarżonej decyzji nie spełnia tego wymogu - wynika z niej jedynie, wobec jakich zdarzeń (tu: zapytania kredytowe z dnia [...] listopada 2021 r. oraz z dnia
[...] sierpnia 2022 r.) mają zostać usunięte dane osobowe skarżacej. Również
w uzasadnieniu decyzji nie wyjaśniono, jakie konkretnie dane osobowe skarżącej oraz w jakim celu przetwarzane przez Bank, Prezes UODO uznaje za objęte zakresem "wynikającym z zapytań kredytowych z dnia [...] listopada 2021 r. oraz
[...] sierpnia 2022 r.";
I.3. naruszenie art. 7 oraz art. 7b w zw. z art. 8 i art. 77 k.p.a., poprzez zaniechanie zwrócenia się przez organ do KNF, jako organu właściwego w sprawach związanych m.in. z badaniem zdolności kredytowej i analizą ryzyka kredytowego oraz budową modeli scoringowych w zakresie wykorzystywania do realizacji tych zadań danych,
w tym danych osobowych o niezrealizowanych zapytaniach kredytowych, tymczasem zwrócenie się przez organ do KNF pozwoliłoby na dokładne wyjaśnienie stanu faktycznego i prawnego sprawy, mając na względzie interes społeczny oraz słuszny interes obywateli w postaci ustalenia należytych zasad, celów oraz zakresu przetwarzania danych o niezrealizowanych zapytaniach kredytowych w taki sposób, aby - zgodnie z zasadą proporcjonalności - procesy przetwarzania danych czyniły zadość zarówno przepisom o ochronie danych osobowych, jak i przepisom szeroko pojętego prawa bankowego oraz zapewnieniu stabilności rynku gospodarczo-finansowego;
II. naruszenie prawa materialnego, tj.:
II.1. naruszenie art. 6 ust. 1 lit. c RODO w zw. z art. 105 ust. 4 oraz art. 105a ust 1 - 1c ustawy Prawo bankowe, poprzez jego niewłaściwe zastosowanie i przyjęcie, że Bank nie legitymuje się przesłanką przetwarzania, podczas gdy z tych przepisów wynika obowiązek przetwarzania danych (również danych z zapytań kredytowych) przez banki i inne instytucje wymienione w art. 105 ust. 4 Prawa bankowego, na zasadzie wzajemności i w zakresie, w jakim informacje te są potrzebne bankom do wykonywania czynności bankowych, w tym oceny zdolności kredytowej i analizy ryzyka kredytowego;
II.2. naruszenie art. 6 ust. 1 lit. c RODO w zw. z art. 105 ust 1, art. 105 ust. 4 pkt 1, art. 5 ust. 1 pkt. 3 oraz art. 70 ust 1 Prawa bankowego w zw. z art. 9 ust 2, 3 i 4 ustawy z dnia 12 maja 2011 r. o kredycie konsumenckim poprzez jego niewłaściwe zastosowanie oraz nieuzasadnione przyjęcie, że Bank nie legitymuje się przesłanką przetwarzania danych, podczas gdy cel przetwarzania danych polega na dostarczaniu Bankowi przez [...] informacji (w tym ocen i modeli scoringowych) niezbędnych do wykonywania czynności bankowych (art. 5 ust. 1 pkt 3 Prawa bankowego), w tym udzielania kredytów, przy czym ocena zdolności kredytowej jest obowiązkiem banków (art. 70 Prawa bankowego w zw. z art. 9 ust. 2, 3 i 4 ustawy
o kredycie konsumenckim). Ponadto brak danych wynikających z decyzji kredytowych wpłynąłby negatywnie na funkcjonujące i przyszłe modele scoringowe;
II.3. naruszenie art. 6 ust. 1 lit. c RODO w zw. z art. 144 ust. 1 lit. d, art. 145 ust. 1, art. 170 ust. 3 lit. a, art. 171 ust. 2 i art. 179 ust. 1 lit. a oraz 181 ust. 2 rozporządzenia Parlamentu Europejskiego i Rady nr 575/2013 z dnia 26 czerwca 2013 r. zmieniające rozporządzenie (UE) nr 648/2012 (Dz. Urz. UE. L 176/1 z dnia 27 czerwca 2013 r.; w zw. z art. 105 ust. 4 pkt 1 Prawa bankowego oraz art. 105a ust. 4 Prawa bankowego, poprzez ich niewłaściwe zastosowanie i przyjęcie, że Bank nie legitymuje się przesłanką przetwarzania danych, wynikającą z art. 6 ust. 1 lit. c RODO w związku z powyższymi przepisami, wskazującymi na określone obowiązki
banków w zakresie wymogów ostrożnościowych;
II.4. naruszenie art. 6 ust. 1 lit. c RODO w zw. z art. 106d Prawa bankowego w zw.
z art. 33 ust. 2, art. 33 ust. 3 pkt 6, art. 34 ust. 1 pkt 4, art. 36, art. 46 oraz art. 49 ust. 1 ustawy AML, poprzez jego niezastosowanie wobec Banku (rozważania Prezesa UODO w tym zakresie odnoszą się wyłącznie do Biura), a w konsekwencji pominięcie, że Bank legitymuje się przesłanką przetwarzania danych wynikającą
z przywołanych wyżej przepisów, które nakładają na Bank obowiązek przetwarzania informacji, w tym danych osobowych, w celu zapewnienia bezpieczeństwa obrotu gospodarczego, poprzez przeprowadzenie szczegółowego badania na temat klientów, w tym przyszłych klientów, jak i badania powiązań kapitałowo-osobowych;
II.5. naruszenie art. 6 ust. 1 lit. c) RODO w zw. z art. 70a ust. 1 i 2 Prawa bankowego, poprzez niewłaściwe zastosowanie, a w konsekwencji nieuzasadnione przyjęcie, że art. 6 ust. 1 lit. c) RODO w zw. z art. 70a ust. 1 i 2 Prawa bankowego nie stanowi podstawy przetwarzania danych skarżącej, skoro dotychczas nie była ona zainteresowana realizacją prawa do domagania się wyjaśnień dotyczących dokonanej przez bank oceny zdolności kredytowej i musi liczyć się
z tym, że po usunięciu jej danych realizacja tego prawa nie będzie możliwa; tymczasem argumentacja przedstawiona w tym zakresie jest oparta na błędnym
i nieuprawnionym założeniu, że usunięcie danych na żądanie skarżącej zwalnia bank z obowiązku udzielenia wyjaśnień dotyczących dokonanej przez bank oceny zdolności kredytowej; taki wniosek nie wynika jednak z art. 70a ust. 1 i 2 Prawa bankowego, a co więcej - obowiązek banku przewidziany w ww. przepisach nie jest nawet ograniczony w czasie. Natomiast, jak zauważył sam organ w decyzji, wykonanie tego obowiązku i udzielenie skarżącej informacji podanych w art. 70a ust. 1 i 2 Prawa bankowego nie będzie możliwe, jeżeli jej dane osobowe zostaną usunięte;
II.6. naruszenie art. 6 ust. 1 lit. f RODO w zw. z art. 117 § 2 i § 21, art. 118 i art. 119 kodeksu cywilnego, poprzez jego niewłaściwe zastosowanie i przyjęcie, że przechowywanie danych przez okres przedawnienia roszczeń nie stanowi prawnie uzasadnionego interesu Banku w rozumieniu art. 6 ust. 1 lit. f) RODO, skoro
w momencie wydawania decyzji ani Bank, ani skarżąca nie zgłosili jeszcze roszczeń tymczasem ww. przepisy uprawniają Bank do przetwarzania danych osobowych
w celu rozpatrywania oraz dochodzenia ewentualnych reklamacji lub roszczeń – również w sytuacji, gdy ani administrator danych osobowych (tu: Bank), ani osoba, której dane dotyczą (tu: skarżąca), nie zgłosiła jeszcze reklamacji lub roszczenia;
II.7. naruszenie art. 6 ust. 1 lit. f RODO w związku z Rekomendacjami S, W i T Komisji Nadzoru Finansowego poprzez ich niewłaściwe zastosowanie i przyjęcie, że Bank nie legitymuje się przesłanką przetwarzania danych, podczas gdy przepisy te nakładają na banki określone wymagania w związku z budową modeli statystycznych (w tym scoringowych), które następnie podlegają egzekwowaniu przez Komisję Nadzoru Finansowego na podstawie bezwzględnie obowiązujących przepisów prawa.
W uzasadnieniu skargi Bank przedstawił argumentację na poparcie stawianych zarzutów.
[...] zarzucił zaskarżonej decyzji:
I. naruszenie prawa materialnego, tj.:
I.1. naruszenie art. 6 ust. 1 lit. c RODO w zw. z art. 105 ust. 1 pkt 1c w zw. z art. 105 ust. 4 i w zw. z art. 105a w zw. z art. 70 i art. 5 ust. 1 pkt 3 Prawa bankowego poprzez jego niewłaściwe zastosowanie i w konsekwencji nieuzasadnione przyjęcie, że [...] nie legitymuje się podstawą prawną do przetwarzania danych zawartych we wniosku kredytowym w przypadku nie zawarcia umowy kredytowej, podczas gdy [...] jest ustawowo zobowiązany do realizacji obowiązku prawnego wynikającego
z powołanych przepisów, polegającego na gromadzeniu, przetwarzaniu
i udostępnianiu bankom oraz podmiotom szczegółowo wskazanym w przepisie informacji stanowiących tajemnicę bankową w zakresie, w jakim informacje te są potrzebne w związku z wykonywaniem czynności bankowych w postaci oceny zdolności kredytowej oraz analizy ryzyka kredytowego konkretnego klienta (indywidualna ocena zdolności kredytowej) oraz w związku ze stosowaniem metod wewnętrznych oraz innych metod i modeli, o których mowa w części trzeciej rozporządzenia nr 575/2013 z dnia 26 czerwca 2013 r.;
ewentualnie, na wypadek nieuwzględnienia tego zarzutu, zarzucił naruszenie art. 6 ust. 1 lit. f RODO poprzez jego niewłaściwą wykładnię i w konsekwencji niezastosowanie wskutek przyjęcia, że [...] nie posiada podstawy prawnej przetwarzania danych skarżącej opartej na prawnie uzasadnionym interesie administratora oraz podmiotów trzecich wskazanych w art. 105 ust. 4 pkt 1-5 Prawa bankowego, w postaci realizacji obowiązku gromadzenia, przetwarzania oraz udostępnienia bankom oraz podmiotom wskazanym w tym przepisie informacji stanowiących tajemnicę bankową w zakresie, w jakim informacje te są potrzebne
w związku z wykonywaniem czynności bankowych w postaci oceny zdolności kredytowej oraz analizy ryzyka kredytowego konkretnego klienta (indywidualna ocena zdolności kredytowej), w celu budowy i utrzymania modeli scoringowych,
a więc narzędzi wykorzystywanych przez banki do oceny zdolności kredytowej
i analizy ryzyka kredytowego oraz w związku ze stosowaniem metod wewnętrznych oraz innych metod i modeli, o których mowa w części trzeciej rozporządzenia nr 575/2013 zmieniającego rozporządzenie (UE) nr 648/2012;
1.2. naruszenie art. 6 ust. 1 lit. c RODO w zw. z art. 70a w zw. z art. 105 ust. 4 pkt 1
i 2 oraz w zw. z art. 105a Prawa bankowego poprzez jego niezastosowanie wskutek uznania, że [...] nie posiada podstawy prawnej do przetwarzania danych skarżącej
w sytuacji nie zawarcia umowy kredytowej, podczas gdy [...] posiada podstawę prawną przetwarzania z uwagi na niezbędność przetwarzania do wykonania obowiązku prawnego przez banki i [...] , w postaci obowiązku przekazania osobie ubiegającej się o kredyt w formie pisemnej na jego wniosek wyjaśnień dotyczących dokonanej oceny zdolności kredytowej wnioskującego;
I.3. naruszenie art. 6 ust. 1 lit. c RODO wzw. z art. 106d ust. 1 pkt 3 Prawa bankowego w zw. 39 ust. 1 w zw. z art. 33 ust. 2, art. 33 ust. 3 pkt 6, art. 34 ust. 1, art. 36 ust. 1 oraz art 49 ust. 1 ustawy z dnia 1 marca 2018 r. o przeciwdziałaniu praniu pieniędzy oraz finansowaniu terroryzmu (AML) w zw. z 105 ust. 1 lit. 1c oraz art. 105 ust. 4 Prawa bankowego, poprzez jego niezastosowanie w skutek przyjęcia, iż na [...] nie ciążą obowiązki związane z przeciwdziałaniem praniu pieniędzy oraz finansowaniu terroryzmu, w sytuacji gdy nie doszło do zawarcia umowy kredytowej pomiędzy skarżącą a Bankiem - podczas gdy przepisy te nakładają na banki jako instytucje obowiązane, a pośrednio na [...] , jako podmiot wspierający banki
w realizacji obowiązków instytucji obowiązanej, obowiązek przetwarzania danych osobowych w celu zapewnienia bezpieczeństwa obrotu gospodarczego poprzez przeprowadzenie szczegółowego badania na temat klientów, w tym przyszłych klientów, jak i badania powiązań kapitałowo-osobowych, w tym także wtedy gdy ostatecznie pomiędzy skarżącą a Bankiem nie została zawarta umowa kredytowa;
1.4. naruszenie art. 6 ust. 1 lit. e RODO poprzez jego niezastosowanie wskutek uznania, że [...] nie posiada podstawy prawnej do przetwarzania danych skarżącej
w sytuacji nie zawarcia umowy kredytowej, podczas gdy [...] posiada podstawę prawną przetwarzania z uwagi na niezbędność przetwarzania dla realizacji zadania
w interesie publicznym przez banki i [...] w postaci zabezpieczenia ekonomiczno-gospodarczego sektora bankowego, w tym depozytariuszy i zapewnienia stabilności ekonomiczno- gospodarczej sektora bankowego, a w ujęciu makro zapobieganiu kryzysom gospodarczym;
1.5. naruszenie art. 6 ust. 1 lit. f RODO poprzez jego niezastosowanie wskutek uznania, że przetwarzanie danych osobowych dla realizacji prawnie uzasadnionych interesów administratora danych w celach zabezpieczenia roszczeń może dotyczyć wyłącznie roszczeń istniejących i aktualnie dochodzonych i w konsekwencji nieuzasadnione przyjęcie, że prawnie uzasadniony interes administratora danych nie istnieje w sytuacji konieczności przetwarzania danych osobowych do ochrony przed roszczeniami istniejącymi, ale nie dochodzonymi w chwili dokonywania oceny, podczas gdy istotą uzasadnionego interesu administratora jest możliwość przetwarzania danych na wypadek konieczności obrony przed roszczeniami istniejącymi lub dochodzenia w przyszłości roszczeń istniejących, które w warunkach niniejszej sprawy są związane z przetwarzaniem danych osobowych na potrzeby opracowania oceny scoringowej skarżącej niezbędnej do przeprowadzenia analizy zdolności kredytowej oraz analizy ryzyka kredytowego, które to [...] zobowiązany jest gromadzić, przetwarzać i udostępniać bankom i instytucjom ustawowo upoważnionym do udzielania kredytów dla realizacji celów ustawowych badania zdolności kredytowej;
1.6. naruszenie art. 6 ust. 1 lit. f RODO poprzez jego niezastosowanie wskutek uznania, że w przypadku braku zawarcia umowy kredytowej [...] nie posiada prawnie uzasadnionego interesu w przetwarzaniu danych skarżącej, podczas gdy istnieje prawnie uzasadniony interes [...] w przetwarzaniu tych informacji pomimo nie zawarcia umowy kredytowej, polegający na realizacji działań z zakresu opracowania,
utrzymania aktualności i funkcjonalności zbudowanych modeli scoringowych
w zgodzie z treścią Rekomendacji W, S i T Komisji Nadzoru Finansowego w zakresie
dobrych praktyk i zarządzania ryzykiem kredytowym;
1.7. naruszenie art. 6 ust. 1 lit. f RODO poprzez jego niezastosowanie wskutek uznania, że [...] nie posiada podstawy prawnej do przetwarzania danych skarżącej, podczas gdy [...] posiada podstawę prawną przetwarzania z uwagi na konieczność zapewnienia rozliczalności działań [...], jako administratora danych osobowych na zasadzie art. 5 ust. 2 RODO w postaci wykazania przestrzegania przepisów dotyczących jakości danych;
II. naruszenie przepisów prawa procesowego, mającego istotny wpływ na wynik sprawy, tj.:
II.1. naruszenie art. 7 w zw. z art. 77 § 1 i w zw. z art. 80 k.p.a. w zw. z art. 7 UODO, poprzez niewyczerpujące zebranie, nierozpatrzenie i błędną ocenę całokształtu materiału dowodowego i w konsekwencji zaniechanie dokonania wyczerpującej analizy charakteru, zakresu oraz celów gospodarczo-ekonomicznych dla jakich został powołany [...] oraz obowiązków prawnych i obowiązków wynikających z zawartych przez [...] umów z bankami, skutkującą wadliwą i niepełną oceną stanu faktycznego sprawy oraz charakteru działania [...], co w konsekwencji skutkowało nieuzasadnionym wydaniem przez organ nakazu usunięcia danych osobowych skarżącej;
II.2. naruszenie art. 7b w zw. z art. 7 i art. 77 k.p.a. w zw. z art. 7 UODO poprzez niezwrócenie się do KNF w celu kompleksowego wyjaśniania stanu faktycznego sprawy oraz współdziałania w zakresie niezbędnym do dokładnego wyjaśnienia stanu prawnego, mając na względzie interes społeczny i słuszny interes obywateli
w postaci ustalenia należytych zasad, celów i zakresu przetwarzania danych osobowych o niezrealizowanych zapytaniach kredytowych tak, by procesy przetwarzania danych czyniły zadość zarówno przepisom prawa o ochronie danych osobowych, jak i przepisom szeroko pojętego prawa bankowego;
II.3. naruszenie art. 7, art. 77 § 1 i art. 80 k.p.a. poprzez zaniechanie dokonania oceny Rekomendacji S, W i T KNF, które to regulacje nakładają na banki,
a w konsekwencji na [...], jako instytucję gromadzącą dane służące do oceny zdolności kredytowej oraz budującą modele scoringowe służące bankom, określone wymagania, które podlegają nadzorowi i egzekwowaniu przez KNF na podstawie bezwzględnie obowiązujących przepisów prawa, co w konsekwencji doprowadziło do zaniechania przez organ oceny podstaw prawnych i celów dla jakich [...] oraz banki są upoważnione do przetwarzania danych w zakresie zdolności kredytowej również
w przypadku nie zawarcia umowy kredytowej dla zabezpieczenia interesów banków oraz stabilności rynku gospodarczo-finansowego;
II.4. naruszenie art. 7, art. 77 w zw. z art. 80 k.p.a. poprzez niedokonanie analizy treści skargi złożonej do Prezesa UODO przez skarżącą pod kątem istnienia po stronie banków, a w konsekwencji [...], jako instytucji gromadzącej dane służące do oceny zdolności kredytowej oraz budującej modele scoringowe służące bankom - oczywistego interesu prawnego przejawiającego się w odmowie udzielenia kredytu wynikającego z braku istnienia zdolności kredytowej po stronie skarżącej, co prowadzi do zabezpieczenia interesu banków przed nieodpowiedzialną polityką udzielania kredytów osobom, które nie mają szans na ich spłacenie oraz do zapewnienia stabilności gospodarczo-ekonomicznej sektora bankowego, a w ujęciu makro zapobieganiu kryzysom gospodarczym;
II.5. naruszenie art. 7, art. 77 w zw. z art. 80 k.p.a. poprzez niezbadanie przez organ wszystkich podstaw prawnych dalszego przetwarzania danych o zapytaniach kredytowych, w sytuacji nieudzielenia kredytu, pomimo że przepisy prawa upoważniają [...]do przetwarzania tych danych co w konsekwencji doprowadziło do błędnego nakazania [...] usunięcia przetwarzanych danych osobowych wobec błędnego przyjęcia przez organ braku istnienia podstawy prawnej do przetwarzania danych.
W uzasadnieniu skargi [...] przedstawił argumentację na poparcie postawionych zarzutów.
Prezes UODO w odpowiedziach na skargi Banku oraz [...] wniósł o ich oddalenie, podtrzymując stanowisko zaprezentowane w zaskarżonej decyzji.
Na posiedzeniu w dniu 16 kwietnia 2024 r. Wojewódzki Sąd Administracyjny
w Warszawie, na podstawie art. 111 § 1 p.p.s.a., połączył sprawy o sygn. akt
II SA/Wa 1714/23 ze skargi [...] Bank Polska S.A. z siedzibą w [...] oraz
o sygn. akt II SA/Wa 1716/23 ze skargi [...] S.A. z siedzibą
w [...], w celu ich łącznego rozpoznania i rozstrzygnięcia pod sygn. akt
II SA/Wa 1714/23.
Wojewódzki Sąd Administracyjny w Warszawie zważył, co następuje.
Skargi [...] Bank Polska S.A. z siedzibą w [...] oraz [...] S.A. z siedzibą w [...] są nieuzasadnione.
Zaskarżona decyzja Prezesa Urzędu Ochrony Danych Osobowych z dnia [...] czerwca 2023 r., zarówno w części dotyczącej rozstrzygnięcia zawartego w punkcie 1, jak i 2, nie narusza prawa.
Dokonując oceny zgodności z prawem zaskarżonej decyzji należy wskazać, że zgodnie z motywem 40 RODO, aby przetwarzanie danych było zgodne z prawem, powinno się odbywać na podstawie zgody osoby, której dane dotyczą, lub na innej uzasadnionej podstawie przewidzianej prawem: albo w niniejszym rozporządzeniu, albo w innym akcie prawnym Unii lub w prawie państwa członkowskiego, o których mowa w niniejszym rozporządzeniu, w tym musi się ono odbywać z poszanowaniem obowiązku prawnego, któremu podlega administrator, lub z poszanowaniem umowy, której stroną jest osoba, której dane dotyczą, lub w celu podjęcia działań na żądanie osoby, której dane dotyczą, przed zawarciem umowy.
W świetle RODO, przetwarzanie danych osobowych uważa się za legalne, jeśli ich administrator spełni co najmniej jedną z przesłanek wskazanych w art. 6 ust. 1 tego aktu, a mianowicie: a) osoba, której dane dotyczą wyraziła zgodę na przetwarzanie swoich danych osobowych w jednym lub większej liczbie określonych celów, b) przetwarzanie jest niezbędne do wykonania umowy, której stroną jest osoba, której dane dotyczą lub do podjęcia działań na żądanie osoby, której dane dotyczą, przed zawarciem umowy, c) przetwarzanie jest niezbędne do wypełnienia obowiązku prawnego ciążącego na administratorze, d) przetwarzanie jest niezbędne do ochrony żywotnych interesów osoby, której dane dotyczą lub innej osoby fizycznej, e) przetwarzanie jest niezbędne do wykonania zadania realizowanego
w interesie publicznym lub w ramach sprawowania władzy publicznej powierzonej administratorowi, f) przetwarzanie jest niezbędne do celów wynikających z prawnie uzasadnionych interesów realizowanych przez administratora lub przez stronę trzecią, z wyjątkiem sytuacji, w których nadrzędny charakter wobec tych interesów mają interesy lub podstawowe prawa i wolności osoby, której dane dotyczą, wymagające ochrony danych osobowych, w szczególności, gdy osoba, której dane dotyczą, jest dzieckiem.
Nie budzi wątpliwości, że zarówno Bank, jak i [...], były uprawnione do przetwarzania danych osobowych skarżącej na podstawie art. 105a ust. 1 w zw.
z art. 70 ust. 1 Prawa bankowego, a więc w celu oceny zdolności kredytowej i analizy ryzyka kredytowego.
Zgodnie z art. 105a ust. 1 Prawa bankowego, przetwarzanie przez banki, inne instytucje ustawowo upoważnione do udzielania kredytów, instytucje pożyczkowe oraz podmioty, o których mowa w art. 59d ustawy z dnia 12 maja 2011 r. o kredycie konsumenckim, a także instytucje utworzone na podstawie art. 105 ust. 4, informacji stanowiących tajemnicę bankową i informacji udostępnionych przez instytucje pożyczkowe oraz podmioty, o których mowa w art. 59d ustawy z dnia 12 maja 2011 r.
o kredycie konsumenckim, w zakresie dotyczącym osób fizycznych może być wykonywane, z zastrzeżeniem art. 104, art. 105 i art. 106-106d, w celu oceny zdolności kredytowej i analizy ryzyka kredytowego.
Zgodnie zaś z art. 105a ust. 4 Prawa bankowego, banki oraz instytucje,
o których mowa w art. 105 ust. 4, mogą przetwarzać stanowiące tajemnicę bankową informacje dotyczące osoby fizycznej po wygaśnięciu zobowiązania wynikającego
z umowy zawartej z bankiem lub inną instytucją ustawowo upoważnioną do udzielania kredytów bez zgody osoby, której informacje dotyczą, do celów stosowania metod wewnętrznych oraz innych metod i modeli, o których mowa
w części trzeciej rozporządzenia nr 575/2013. Jednocześnie zgodnie z art. 105a ust. 5 Prawa bankowego, przetwarzanie informacji stanowiących tajemnicę bankową
w przypadkach, o których mowa w ust. 3, może być wykonywane przez okres nie dłuższy niż 5 lat od dnia wygaśnięcia zobowiązania, a w przypadku, o którym mowa w ust. 4, przez okres 12 lat od dnia wygaśnięcia zobowiązania.
Stosownie zaś do art. 70 ust. 1 Prawa bankowego, bank uzależnia przyznanie kredytu od zdolności kredytowej kredytobiorcy. Przez zdolność kredytową rozumie się zdolność do spłaty zaciągniętego kredytu wraz z odsetkami w terminach określonych w umowie. Kredytobiorca jest obowiązany przedłożyć na żądanie banku dokumenty i informacje niezbędne do dokonania oceny tej zdolności.
Nie ma w świetle powyższego wątpliwości i nie było kwestionowane przez organ w zaskarżonej decyzji, że Bank oraz [...], na podstawie art. 105a ust. 1 Prawa bankowego w zw. z art. 70 ust. 1 tej ustawy, były uprawnione do przetwarzania danych osobowych skarżącej w celu oceny zdolności kredytowej i analizy ryzyka kredytowego. Pogląd ten podziela Sąd rozpoznający niniejszą sprawę.
W rozpatrywanej sprawie spór sprowadza się natomiast do odpowiedzi na pytanie, czy w sytuacji, w której nie doszło do zawarcia umowy kredytu między skarżącą a Bankiem, istnieje podstawa do przetwarzania przez Bank oraz [...] jej danych osobowych.
Według art. 105a ust. 2 Prawa bankowego, z zastrzeżeniem ust. 3, instytucje, o których mowa w ust. 1, mogą przetwarzać informacje stanowiące tajemnicę bankową oraz informacje udostępnione przez instytucje pożyczkowe oraz podmioty, o których mowa w art. 59d ustawy z dnia 12 maja 2011 r. o kredycie konsumenckim, w zakresie dotyczącym osób fizycznych po wygaśnięciu zobowiązania wynikającego z umowy zawartej z bankiem, inną instytucją ustawowo upoważnioną do udzielania kredytów, instytucją pożyczkową lub podmiotem, o którym mowa w art. 59d ustawy
z dnia 12 maja 2011 r. o kredycie konsumenckim, pod warunkiem uzyskania pisemnej zgody osoby, której informacje te dotyczą, z zastrzeżeniem ust. 2a. Zgoda ta może być w każdym czasie odwołana. Banki, instytucje oraz podmioty, o których mowa w ust. 1, mogą przetwarzać informacje stanowiące tajemnicę bankową
i informacje udostępnione przez instytucje pożyczkowe oraz podmioty, o których mowa w art. 59d ustawy z dnia 12 maja 2011 r. o kredycie konsumenckim, dotyczące osób fizycznych po wygaśnięciu zobowiązania wynikającego z umowy zawartej
z bankiem, inną instytucją ustawowo upoważnioną do udzielania kredytów, instytucją pożyczkową lub podmiotem, o którym mowa w art. 59d ustawy z dnia 12 maja
2011 r. o kredycie konsumenckim, bez zgody osoby, której informacje dotyczą, gdy osoba ta nie wykonała zobowiązania lub dopuściła się zwłoki powyżej 60 dni
w spełnieniu świadczenia wynikającego z umowy zawartej z bankiem, inną instytucją ustawowo upoważnioną do udzielania kredytów, instytucją pożyczkową lub podmiotem, o którym mowa w art. 59d ustawy z dnia 12 maja 2011 r. o kredycie konsumenckim, a po zaistnieniu tych okoliczności upłynęło co najmniej 30 dni od poinformowania tej osoby przez bank, inną instytucję ustawowo upoważnioną do udzielania kredytów, instytucję pożyczkową albo podmiot, o którym mowa w art. 59d ustawy z dnia 12 maja 2011 r. o kredycie konsumenckim, o zamiarze przetwarzania dotyczących jej tych informacji, bez jej zgody (art. 105a ust. 3).
Zgodnie z art. 105a ust. 4 powołanej ustawy, banki oraz instytucje, o których mowa w art. 105 ust. 4, mogą przetwarzać stanowiące tajemnicę bankową informacje dotyczące osoby fizycznej po wygaśnięciu zobowiązania wynikającego z umowy zawartej z bankiem lub inną instytucją ustawowo upoważnioną do udzielania kredytów bez zgody osoby, której informacje dotyczą, do celów stosowania metod wewnętrznych oraz innych metod i modeli, o których mowa w części trzeciej rozporządzenia nr 575/2013. Przetwarzanie informacji stanowiących tajemnicę bankową w przypadkach, o których mowa w ust. 3, może być wykonywane przez okres nie dłuższy niż 5 lat od dnia wygaśnięcia zobowiązania, a w przypadku,
o którym mowa w ust. 4, przez okres 12 lat od dnia wygaśnięcia zobowiązania (art. 105a ust. 5). Zakres przetwarzanych informacji, o których mowa w ust. 3 i 4, może obejmować dane dotyczące osoby fizycznej lub dane dotyczące zobowiązania (art. 105a ust. 6).
Sąd podziela stanowisko organu, wyrażone w zaskarżonej decyzji, że skoro nie doszło do zawarcia umowy kredytu, to odpadła przesłanka legalizująca dalsze przetwarzanie danych osobowych skarżącej. Wbrew zarzutom obu skarg, art. 105a Prawa bankowego, w tym powołany w skargach art. 105a ust. 1, 1a, 1b, 1c Prawa bankowego, który określa warunki dopuszczalności zautomatyzowanego przetwarzania, w tym profilowania danych osobowych w celu oceny zdolności kredytowej i analizy ryzyka kredytowego, nie daje podstaw do dalszego przetwarzania danych skarżącej po zakończeniu oceny zdolności kredytowej i analizy ryzyka kredytowego, gdy umowy nie zawarto. Na podstawie powołanych przepisów Bank, a także [...] nie ma uprawnienia do dalszego przetwarzania tych danych, albowiem umowy nie zawarto i nie wykazano przesłanki legalizującej to działanie. Powołane przepisy art. 105a Prawa bankowego dotyczą przetwarzania informacji objętych tajemnicą bankową w okresie przed powstaniem zobowiązania, w trakcie jego trwania oraz po wygaśnięciu zobowiązania. Natomiast w sytuacji, gdy
w następstwie złożenia wniosku kredytowego nie dochodzi do zawarcia umowy kredytowej z bankiem, brak jest ustawowych przesłanek legalizujących dalsze przetwarzanie przez Bank oraz [...] danych osobowych potencjalnego klienta. Ocena zdolności kredytowej i ryzyka kredytowego ma charakter czynności wstępnych przed zawarciem umowy przez bank. Dalsze przetwarzanie danych, uzyskanych w celu oceny zdolności kredytowej, w przypadku braku zawarcia stosownej umowy, pozostawałoby w oderwaniu od celu, dla którego dane te uzyskano. Niedopuszczalne jest przetwarzanie danych osobowych na przyszłość, a także na potrzeby budowy oceny zdolności kredytowej innych podmiotów, jeżeli nie można zrekonstruować wyraźnej podstawy prawnej takich działań.
Bank w sposób nieuprawniony próbuje rozszerzyć stosowanie normy wskazanej w art. 105a ust. 1 Prawa bankowego na sytuacje, w których nie dochodzi do zawarcia umowy, a dane osobowe osoby wnioskującej o kredyt są przetwarzane
w celu oceny ryzyka kredytowego. Bank wskazuje bowiem, że do takiej oceny istotna jest informacja o składanych wcześniej przez daną osobę wnioskach kredytowych
i fakcie nieudzielenie jej kredytu. Bank podkreśla przy tym, że analiza ryzyka kredytowego jest jego obowiązkiem.
Sąd nie neguje, że ocena ryzyka kredytowego jest obowiązkiem banku. Instrumenty służące dokonaniu takiej oceny przez banki muszą jednak być stosowane z poszanowaniem przepisów prawa normujących uprawnienie banków do przetwarzania danych osobowych potencjalnych klientów.
Słusznie zauważa organ, że prezentowana przez Bank wykładnia art. 105a ust. 1 Prawa bankowego prowadziłaby do wniosku, że na potrzeby oceny zdolności kredytowej i analizy ryzyka kredytowego banki lub inne podmioty wymienione w tym przepisie byłyby uprawnione do przetwarzania danych osobowych potencjalnych klientów bez żadnego ograniczenia czasowego, mimo że nie zawarto umowy
o kredyt. W przypadku zaś, gdyby doszło do zawarcia umowy banki byłyby uprawnione do przetwarzania danych osobowych po wygaśnięciu zobowiązania, bez zgody osoby, której informacje dotyczą, przez okres wskazany w art. 105a ust. 5 Prawa bankowego.
Skoro ustawodawca w art. 105a ust. 1 ustawy Prawo bankowe nie wskazał okresu, przez jaki mogą być przetwarzane informacje stanowiące tajemnicę bankową, a w art. 105a ust. 5 wskazał takie okresy w odniesieniu do sytuacji,
w których wygasło zobowiązanie, to nie oznacza to, że okres przetwarzania tych informacji, w sytuacji gdy nie doszło do zawarcia umowy, jest nieograniczony. Przetwarzanie danych osobowych w oparciu o art. 105a ust. 1 ustawy Prawo bankowe jest uprawnione w odniesieniu do konkretnego zapytania kredytowego. Jeżeli nie dochodzi do zawarcia umowy, to uprawnienie do przetwarzania danych osobowych w oparciu o ten przepis wygasa.
Powyższe stanowisko znajduje potwierdzenie w wyroku Naczelnego Sądu Administracyjnego z dnia z 27 lipca 2019 r. sygn. akt I OSK 2567/17 (orzeczenia.nsa.gov.pl). W wyroku tym NSA podniósł, że "Celem oceny zdolności kredytowej i analizy ryzyka kredytowego w odniesieniu do konkretnego klienta jest bowiem zawarcie umowy kredytowej na określonych warunkach. Skoro do niej nie dochodzi wskutek tej czynności banku, to nie ma podstaw prawnych do dalszego ich przechowywania. Gdyby podzielić stanowisko Banku, że pozyskanie danych na etapie złożenia wniosku kredytowego uprawnia bank do ich nieograniczonego
w czasie przechowywania po odmowie zawarcia umowy kredytowej, to regulacje zawarte w art. 105 a ust. 2 i 3 i ust. 5 Prawa bankowego, ograniczające w czasie przypadki przetwarzania danych klientów z umów kredytowych, pozbawione byłyby sensu. (...). Skoro celem przetwarzania była ocena zdolności kredytowej i analizy ryzyka kredytowego, to cel ten odpadł z momentem jej dokonania. W przypadku osób, z którymi zawarto umowę kredytową, istnieje podstawa do dalszego ich przetwarzania, a w stosunku do tych, z którymi nie zawarto umowy, takiej podstawy nie sposób wywieść ani z przepisów obowiązującej wówczas ustawy, ani Prawa bankowego."
Pogląd ten wyrażony został wprawdzie na gruncie poprzednio obowiązującej ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych i obowiązującej przed RODO Dyrektywy 95/46, jednakże - w ocenie Sądu - nie stracił na aktualności. Przepisy RODO wzmacniają jeszcze w porównaniu z Dyrektywą 95/46 ochronę danych osób fizycznych. Aktualności tego poglądu Naczelnego Sądu Administracyjnego nie zmienia także fakt, że [...] i Bank, przyjęły w swej praktyce określone terminy dalszego przetwarzania danych osobowych osoby, z którą nie zawarto umowy kredytu.
Zdaniem Sądu, niezasadny jest również zarzut naruszenia art. 6 ust. 1 lit. c RODO w zw. z art. 105 ust. 1 pkt 1c w zw. z art. 105 ust. 4 Prawa bankowego. Zgodnie z art. 105 ust. 1 pkt 1c Prawo bankowego, bank ma obowiązek udzielenia informacji stanowiących tajemnicę bankową wyłącznie instytucjom,
o których mowa w ust. 4, w zakresie niezbędnym do stosowania metod wewnętrznych oraz innych metod i modeli, o których mowa w przepisach części trzeciej rozporządzenia nr 575/2013. Natomiast z art. 105 ust. 4 tej ustawy wynika, że banki mogą, wspólnie z bankowymi izbami gospodarczymi, utworzyć instytucje upoważnione do gromadzenia, przetwarzania i udostępniania, m.in. bankom oraz innym podmiotom określonym w tym przepisie, informacji stanowiących tajemnicę bankową w zakresie, w jakim informacje te są potrzebne w związku z wykonywaniem czynności bankowych oraz w związku ze stosowaniem metod wewnętrznych oraz innych metod i modeli, o których mowa w części trzeciej rozporządzenia nr 575/2013.
W ocenie Sądu, przepis art. 105 ust. 4 Prawa bankowego jest przepisem
o charakterze ogólnym, który nie nakłada na Bank obowiązku korzystania
z zewnętrznej bazy zawierającej informacje o wnioskach z sektora bankowego oraz sektora pożyczkowego, a jedynie stanowi o możliwości utworzenia wspólnie
z bankowymi izbami gospodarczymi, instytucji upoważnionych do gromadzenia, przetwarzania i udostępniania danych, a w konsekwencji nie daje podstaw do nieograniczonego przetwarzania wszelkich danych osobowych przez utworzone instytucje.
Zasady przetwarzania danych objętych tajemnicą bankową określa art. 105a Prawa bankowego, którego możliwość uznania za podstawę przetwarzania danych osobowych w niniejszej sprawie został omówiona powyżej.
Na gruncie tego przepisu należy oceniać zatem dopuszczalność przetwarzania poszczególnych danych osobowych w określonych ściśle celach. Podstawy prawnej przetwarzania danych osobowych w niniejszej sprawie nie mógł stanowić zatem art. 105 ust. 4 Prawa bankowego samodzielnie ani też w powiązaniu z art. 105 ust. 1 pkt 1c tej ustawy.
W świetle powyższego przesłanka z art. 6 ust. 1 lit. c RODO nie znajduje zastosowania w okolicznościach niniejszej sprawy. Przepis ten dotyczy bowiem sytuacji, gdy przetwarzanie jest niezbędne do wypełnienia obowiązku prawnego administratora danych, a nie realizacji uprawnienia, o którym mowa w art. 105 ust. 4 Prawa bankowego. Ponadto przepis art. 105 ust. 4 Prawa bankowego nie stanowi
o dopuszczalności przetwarzania danych osobowych dotyczących wniosków kredytowych w sytuacji, gdy nie doszło do zawarcia umowy z bankiem. Uznanie takiego procesu przetwarzania danych za legalny wymaga podstawy prawnej, której nie stanowią regulaminy ani umowy zawierane między poszczególnymi instytucjami
a bankami.
W ocenie Sądu, aktualny pozostaje pogląd wyrażony w wyroku NSA z dnia 14 września 2005 r., sygn. akt I OSK 39/05, wskazujący, że "Nie można zatem podzielić stanowiska, aby zezwalający na utworzenie instytucji zajmujących się szczególnym przetwarzaniem danych osobowych przepis stanowił zarazem podstawę do przetwarzania przez nie danych osobowych bez zgody osób, których dane dotyczą, gdyż nie tylko literalne brzmienie przepisu nie uzasadnia takiego przekazania, lecz
i argumenty logiki prawniczej nie prowadzą do takiego wniosku. Nie można bowiem dowodzić, że w utworzonej zgodnie z prawem instytucji wolno działać w sposób, który sama uzna za odpowiadający jej celom, gdyż zezwolenie na utworzenie nie jest równoznaczne z zezwoleniem na działanie bez ograniczeń." Mimo, że powołany wyrok opiera się na innym brzmieniu przepisu art. 105 Prawa bankowego, w ocenie WSA w Warszawie, istota poglądu wyrażonego przez NSA w odniesieniu do przetwarzania danych osobowych, jako instytucję utworzoną na podstawie art. 105 ust. 4 Prawa bankowego, nie straciła na aktualności. Zmiana brzmienia art. 105 Prawa bankowego na przestrzeni lat, jakie minęły od czasu wydania powołanego wyroku, dodatkowo utwierdza w trafności poglądu wyrażonego przez NSA
w wymienionym wyroku, a także trafności stanowiska Prezesa UODO zaprezentowanego w zaskarżonej decyzji w sytuacji, gdy ani Bank, ani [...] nie wykazały przesłanki legalizującej dalsze przetwarzanie danych osobowych skarżącej, po osiągnięciu celu w postaci oceny zdolności kredytowej i ryzyka kredytowego.
Na uwzględnienie nie zasługiwał zarzut Banku dotyczący naruszenia art. 6 ust. 1 lit. f RODO w związku z przytoczonymi w skardze przepisami kodeksu cywilnego i w nawiązaniu do wskazywanej przez Bank potrzeby przechowywania danych (zawartych w zapytaniach kredytowych) osoby, z którą nie zawarto umowy kredytowej w celu ustalenia, dochodzenia i ochrony przed roszczeniami, ewentualnego zabezpieczenia roszczeń, na wypadek konieczności obrony lub dochodzenia ewentualnych roszczeń, które mogą się pojawić w określonym czasie po przeprowadzeniu stosownej analizy zdolności kredytowej oraz analizie ryzyka kredytowego.
Przepis art. 6 ust. 1 lit. f RODO stanowi o uprawnieniu do przetwarzania danych, gdy jest ono niezbędne do celów wynikających z prawnie uzasadnionych interesów realizowanych przez administratora lub przez stronę trzecią, z wyjątkiem sytuacji, w których nadrzędny charakter wobec tych interesów mają interesy lub podstawowe prawa i wolności osoby, której dane dotyczą, wymagające ochrony danych osobowych, w szczególności, gdy osoba, której dane dotyczą, jest dzieckiem. Za usprawiedliwiony cel w rozumieniu powołanego przepisu nie może zostać uznane przetwarzanie danych osobowych na wypadek ewentualnego dochodzenia lub obrony roszczeń. Z akt sprawy nie wynika, aby skarżąca, która zażądała usunięcia danych w zakresie zapytań kredytowych, miała jakiekolwiek roszczenia na drodze cywilnoprawnej do Banku lub [...]. Z akt sprawy i wyjaśnień Banku nie wynika, aby wymieniona posiadała w Banku zobowiązania (w tym także kredytowe), czy była posiadaczem rachunku osobistego lub innych produktów bankowych. Jednoznacznie żądała natomiast usunięcia danych przetwarzanych bez podstawy prawnej. Z tego względu nie jest dopuszczalne przyjęcie, że to art. 6 ust. 1 lit. f RODO mógłby stanowić podstawę dla Banku, czy [...] do dalszego przetwarzania jej danych na wypadek ewentualnego dochodzenia roszczeń.
Odnosząc się do argumentacji Banku, wskazania wymaga, że Bank w toku postępowania administracyjnego nie wykazał, nie wynika też ze skargi, jakich ewentualnie roszczeń chciałby dochodzić od osoby, która ostatecznie zażądała usunięcia swoich danych w zakresie tego zapytania kredytowego, i z którą to osobą fizyczną nie zawarto umowy.
Wskazania wymaga, że z art. 3531 kodeksu cywilnego wynika zasada swobody umów. Strony mogą zatem w ramach autonomii woli kształtować stosunki cywilnoprawne mocą własnych decyzji. Przepis art. 3531 kodeksu cywilnego wskazuje na podstawowy element, jaki dla swobody umów obligacyjnych ma kompetencja stron w zakresie kształtowania treści zobowiązania. Umowy nie zawarto, zobowiązanie nie powstało. [...] i Bank nie wskazały, aby skarżąca kierowała do nich jakiekolwiek roszczenia (zażądała jedynie usunięcia własnych danych osobowych w związku z tym, że ustał cel ich przetwarzania).
Ważąc interesy skarżącej, która żądała respektowania jej praw do ochrony danych osobowych wynikających z RODO i interesy Banku (oraz [...]), w sytuacji, gdy nie zawarto umowy kredytowej, brak jest podstaw do przyjęcia, że spełniona została przesłanka z art. 6 ust. 1 lit. f RODO.
Sąd rozpoznający niniejszą sprawę podziela pogląd Naczelnego Sądu Administracyjnego, zgodnie z którym niedopuszczalne jest przetwarzanie danych osobowych niejako "na zapas" z założeniem, że mogą być one ewentualnie przydatne w przyszłości, na przykład z odwołaniem się do przepisów dotyczących przedawnienia roszczeń (v. wyrok NSA z dnia 27 marca 2018 r., sygn. akt I OSK 1459/16, orzeczenia.nsa.gov.pl). Wywodzenie zatem także z kwestii przedawnienia roszczeń samodzielnej podstawy do przetwarzania danych – w sytuacji, gdy mowa
o danych osoby, z którą Bank nie zawarł umowy kredytowej - nie jest uprawnione
i nie stanowi przesłanki do ich dalszego przetwarzania.
Niezasadne są też zarzuty Banku dotyczące naruszenia art. 6 ust. 1 lit. c RODO w zw. z art. 106d Prawa bankowego, jak i w zw. z przepisami AML (art. 33 ust. 1 - 3, art. 34 ust. 36, 46, 49). Naruszenie to Bank uzasadnił, w odniesieniu do art. 106d Prawa bankowego, celem w postaci wykrycia nieścisłości oraz powzięcia informacji mogących stanowić o uzasadnionym podejrzeniu popełnienia przestępstw, o których mowa w art. 106d Prawa bankowego, zaś w odniesieniu do przepisów AML, wskazał na wynikający z powołanych w skardze przepisów AML obowiązek przetwarzania danych osobowych w celu zapewnienia bezpieczeństwa obrotu gospodarczego poprzez przeprowadzenie szczegółowego badania na temat klientów, w tym przyszłych klientów, jak i badania powiązań kapitałowo-osobowych, w tym w zakresie danych dostarczanych przez Bank, w tym także wtedy, gdy ostatecznie między stronami nie została zawarta umowa.
Zgodnie z art. 106d ust. 1 Prawa bankowego, banki, inne instytucje ustawowo upoważnione do udzielania kredytów, izby rozliczeniowe utworzone na podstawie art. 67, instytucje utworzone na mocy art. 105 ust. 4, instytucje pożyczkowe, podmioty, których podstawowa działalność polega na udostępnianiu składników majątkowych na podstawie umowy leasingu, oraz podmioty, o których mowa w art. 59d ustawy
z dnia 12 maja 2011 r. o kredycie konsumenckim, mogą przetwarzać i wzajemnie udostępniać informacje, w tym informacje objęte tajemnicą bankową, w przypadkach: 1) uzasadnionych podejrzeń, o których mowa w art. 106a ust. 3; 2) uzasadnionych podejrzeń popełnienia przestępstw dokonywanych na szkodę banków, innych instytucji ustawowo upoważnionych do udzielania kredytów, instytucji kredytowych, instytucji finansowych, instytucji pożyczkowych oraz podmiotów, o których mowa
w art. 59d ustawy z dnia 12 maja 2011 r. o kredycie konsumenckim, i ich klientów,
w celu i zakresie niezbędnym do zapobiegania tym przestępstwom; 3) wykonywania obowiązków w zakresie określonym w przepisach o przeciwdziałaniu praniu pieniędzy oraz finansowaniu terroryzmu. Art. 106a ust. 3 Prawa bankowego, do którego odwołano się w art. 106d ust. 1 pkt 1 stanowi, że w przypadku powzięcia uzasadnionego podejrzenia, że zgromadzone na rachunku bankowym środki,
w całości lub w części pochodzą lub mają związek z przestępstwem skarbowym lub przestępstwem innym niż przestępstwo, o którym mowa w art. 165a lub art. 229 Kodeksu karnego, bank jest uprawniony do dokonania blokady środków na tym rachunku. Blokada może nastąpić wyłącznie do wysokości zgromadzonych na rachunku środków, co do których zachodzi takie podejrzenie.
Z materiału dowodowego sprawy, w tym z wyjaśnień stron udzielonych w toku postępowania administracyjnego, nie wynika, aby w sprawie niniejszej któryś
z powyższych przypadków miał miejsce, w szczególności, aby występowało "uzasadnione podejrzenie", co do okoliczności określonych w ww. przepisach.
Powołany w skardze Banku art. 33 ust. 1 AML nakłada na instytucje obowiązane obowiązek m.in. stosowania wobec swoich klientów środków bezpieczeństwa finansowego, których zakres (katalog) znajduje się w art. 34 ustawy AML. Artykuł 34 ust. 1 ustawy AML odnosi się m.in. do bieżącego monitorowania stosunków gospodarczych klienta (w tym analizę transakcji przeprowadzanych
w ramach stosunków gospodarczych, badanie źródła pochodzenia wartości majątkowych będących w dyspozycji klienta - w przypadkach uzasadnionych okolicznościami, zapewnienie, że posiadane dokumenty, dane lub informacje dotyczące stosunków gospodarczych są na bieżąco aktualizowane). Art. 35 wskazuje sytuacje, w których bank jest obowiązany stosować środki bezpieczeństwa finansowego, natomiast art. 36 AML dotyczy kwestii identyfikacji klienta. Na podstawie art. 49 ust. 1 AML, kopie dokumentów i informacje uzyskane w wyniku stosowania środków bezpieczeństwa finansowego, a także dowody potwierdzające przeprowadzone transakcje i ewidencje transakcji, obejmujące oryginalne dokumenty lub kopie dokumentów konieczne do identyfikacji transakcji, przechowuje się przez okres 5 lat licząc od pierwszego dnia roku następującego po roku, w którym zakończono stosunki gospodarcze z klientem, lub w którym przeprowadzono transakcje okazjonalne. W przypadku dokonania analizy przeprowadzonej transakcji
i udokumentowania jej analizy, zgodnie z art. 34 ust. 3 ustawy AML, instytucja pożyczkowa na mocy art. 49 ust. 2 ustawy AML jest obowiązana do przechowywania jej wyników przez okres 5 lat, licząc od pierwszego dnia roku następującego po roku ich przeprowadzenia.
Z wymienionych wyżej przepisów prawa niewątpliwie wynika uprawnienie do monitorowania stosunków gospodarczych klienta i stosowania odpowiednich środków bezpieczeństwa finansowego, co nie ma zupełnie odniesienia do niniejszej sprawy. Bank nie wskazał, jakie działania (w sferze stosunków gospodarczych niedoszłego klienta, osoby, z którą nie zawarł umowy kredytowej) chciałby monitorować. Nie jest dla Sądu działaniem zrozumiałym powoływanie się przez Bank, w kontekście tych przepisów, na konieczność monitorowania niedookreślonych stosunków gospodarczych między Bankiem a osobą, z którą umowy kredytowej nie zawarto i która nadto, klientem Banku nie jest. Ogólne twierdzenia Banku o celu
w postaci zapewnienia bezpieczeństwa obrotu gospodarczego nie mogą stanowić – w stanie faktycznym tej sprawy – podstawy legalizującej rozszerzanie podstaw
i celów przetwarzania danych osobowych skarżącej. Z akt sprawy i wyjaśnień Banku w żaden sposób nie wynika, aby wyżej wymienioną łączyły stosunki gospodarcze
z Bankiem, a nadto, aby Bank powziął podejrzenia, czy stwierdził próbę manipulacji.
Powołana ustawa w art. 2 ust. 2 pkt 2 stanowi, że przez stosunki gospodarcze rozumie się stosunki instytucji obowiązanej z klientem związane z działalnością zawodową instytucji obowiązanej, które w chwili ich nawiązywania wykazują cechę trwałości.
Z akt sprawy i wyjaśnień Banku nie wynika przy tym, aby skarżąca była klientem Banku w rozumieniu tego pojęcia ujętym w AML.
W przypadku braku nawiązaniu stosunków gospodarczych pomiędzy Bankiem
a wymienioną wyżej osobą fizyczną brak jest zaistnienia zdarzeń wymienionych
w art. 49 ust. 1 AML, tj. zakończenia stosunków gospodarczego z klientem lub przeprowadzenia transakcji okazjonalnej, od wystąpienia których można dopiero liczyć wskazany w ww. przepisie termin przetwarzania danych osobowych.
Zdaniem Sądu, rozszerzanie przez Bank dopuszczalności przetwarzania danych (zawartych w zapytaniu kredytowym) osoby, z którą nie zawarto umowy kredytowej, z powołaniem się na zapewnienie bezpieczeństwa finansowego
w przypadku nawiązywania stosunków gospodarczych, a zatem szeroko rozumiane, ogólne cele, nie znajduje podstawy na gruncie RODO i jest wprost sprzeczne
z zasadą ograniczenia celu (art. 5 ust. 1 lit. b RODO) w sytuacji, w której nie ma mowy o nawiązaniu stosunku zobowiązaniowego.
Niezasadny jest postawiony przez Bank zarzut naruszenia art. 6 ust. 1 lit. c RODO w zw. z art. 70a Prawa bankowego.
Jak już podniesiono, zgodnie z art. 70a ust. 1 Prawa bankowego, banki i inne instytucje ustawowo upoważnione do udzielania kredytów, na wniosek osoby fizycznej, prawnej lub jednostki organizacyjnej niemającej osobowości prawnej, o ile posiada zdolność prawną, ubiegającej się o kredyt, przekazują, w formie pisemnej, wyjaśnienie dotyczące dokonanej przez siebie oceny zdolności kredytowej wnioskującego. Zgodnie z art. 70 ust. 2 wyjaśnienie, o którym mowa w ust. 1, obejmuje informacje na temat czynników, w tym danych osobowych wnioskującego, które miały wpływ na dokonaną ocenę zdolności kredytowej.
W świetle powyższego, powstanie obowiązku, o którym mowa w art. 70a ust. 1 Prawa bankowego, uzależnione jest od złożenia stosownego wniosku przez osobę ubiegającą się o kredyt. Wniosek taki nie został złożony, a skarżąca po kolejnej odmownej decyzji kredytowej, wniosła o usunięcie swoich danych. W związku
z odmową w tym zakresie, podjęła też działania przed Prezesem UODO. Z akt sprawy i całokształtu okoliczności nie wynika, aby wymieniona osoba wystąpiła do Banku, czy [...] o jakiekolwiek wyjaśnienie dotyczące dokonanej oceny zdolności kredytowej. Wynika natomiast, że złożyła żądanie usunięcia danych. Nie może być więc mowy o tym, aby w sprawie znajdował zastosowanie art. 70a ust. 1 i 2 Prawa bankowego, uprawniający Bank do przetwarzania danych osobowych skarżącej
w związku z koniecznością ewentualnego wypełnienia obowiązku wynikającego z art. 70a ust. 1 i ust. 2 Prawa bankowego.
Nie jest trafny zarzut Banku dotyczący naruszenia przez organ art. 6 ust. 1 lit. f RODO w związku z Rekomendacjami S, W i T Komisji Nadzoru Finansowego. Powoływane Rekomendacje Komisji Nadzoru Finansowego nie są źródłem prawa powszechnie obowiązującego. Nie ma przy tym podstaw, aby w tym przypadku,
w stanie faktycznym tej sprawy, wywodzić z Rekomendacji KNF – wobec osoby,
z którą nie zawarto umowy kredytowej i która zażądała usunięcia danych – prawnie uzasadnione interesy Banku (i [...]), o których jest mowa w art. 6 ust. 1 lit. f RODO.
Rekomendacje KNF, które zawierają konkretne wymagania regulacyjne wobec narzędzi używanych przez banki, nie powinny być interpretowane w sprzeczności
z RODO w zakresie legalności przetwarzania danych (w zakresie zapytań kredytowych) osób, z którymi nie zawarto umów kredytowych, nie mogą być wykładane w sposób prowadzący do nieuprawnionego przetwarzania takich danych. Twierdzenie, że wypełnienie nakazu Prezesa UODO, w postaci usunięcia danych osobowych skarżącej przetwarzanych niezgodnie z prawem, prowadziłoby do uniemożliwienia Bankowi realizacji Rekomendacji, nie daje podstaw do stwierdzenia
o dopuszczalności "dalszego" przetwarzania na gruncie RODO danych zawartych
w zapytaniu kredytowym osoby, z którą Bank umowy nie zawarł, a jednocześnie nie uzyskał zgody tej osoby na dalsze przetwarzanie jej danych osobowych w celach innych niż te, w jakich je zgromadził.
Niezasadne okazały się również zarzuty naruszenia przepisów prawa sformułowane w skardze wywiedzionej przez [...].
Należy przypomnieć, że [...] w swojej skardze zarzucił m. in. naruszenie art. 6 ust. 1 lit. c RODO w zw. z art. 105 ust. 1 pkt 1c w zw. z art. 105 ust. 4 oraz w zw.
z art. 105a w zw. z art. 70 i art. 5 ust. 1 pkt 3 Prawa bankowego. Odnośnie tego zarzutu podnieść należy, że przedstawione wyżej stanowisko Sądu dotyczące art. 105 ust. 4 Prawa bankowego jest aktualne również wobec zarzutu postawionego przez [...].
Z kolei art. 105 ust. 1 pkt 1c Prawo bankowego stanowi, że bank ma obowiązek udzielenia informacji stanowiących tajemnicę bankową wyłącznie instytucjom, o których mowa w ust. 4, w zakresie niezbędnym do stosowania metod wewnętrznych oraz innych metod i modeli, o których mowa w przepisach części trzeciej rozporządzenia nr 575/2013. Przepis ten stanowi o obowiązku udzielania przez banki informacji, stanowiących tajemnicą bankową, podmiotowi jakim jest [...] . Przepis ten nie odnosi się do przetwarzania danych przez [...] w zakresie niezbędnym do stosowania metod wewnętrznych oraz innych metod i modeli,
o których mowa w przepisach części trzeciej rozporządzenia nr 575/2013.
O przetwarzaniu danych przez [...] w tym celu stanowi powołany wyżej art. 105a ust. 4 Prawa bankowego, który, przypomnieć należy, uprawnia do tego [...] bez zgody osoby, której informacje dotyczą, ale "po wygaśnięciu zobowiązania wynikającego
z umowy zawartej z bankiem lub inną instytucją ustawowo upoważnioną do udzielania kredytów".
Jak już wskazywano, art. 70 Prawa bankowego stanowi natomiast wyłącznie
o badaniu przez banki zdolności kredytowej i nie zawiera regulacji dotyczących przetwarzania danych osobowych. Z kolei art. 5 ust. 1 pkt 3 tej ustawy wskazuje, że czynnością bankową jest udzielanie kredytów.
Z tego wynika, że art. 105 ust. 4 ustawy Prawo bankowe nie mógł stanowić
w niniejszej sprawie podstawy przetwarzania danych osobowych skarżącej przez [...] zarówno samodzielnie, jak i w powiązaniu z art. 105 ust. 1 pkt 1c, art. 105a, art. 70
i art. 5 ust. 1 pkt 3 Prawa bankowego.
[...] w swoich zarzutach wskazywał też na naruszenie art. 6 ust. 1 lit. f RODO w zw. z art. 105 ust. 4 ustawy Prawo bankowego. Powyższa argumentacja dotycząca art. 105 ust. 4 Prawa bankowego (przytoczona przy omawianiu zarzutów podniesionych przez Bank), wskazująca na charakter tego przepisu, nie pozwala też na uznanie, że przepis ten określa prawnie uzasadniony interes realizowany przez [...] lub przez stronę trzecią, a który mógłby być rozważny w kontekście art. 6 ust. 1 lit. f RODO. Tak jak już podniesiono wyżej, art. 105 ust. 4 Prawa bankowego sam
w sobie nie może stanowić podstawy prawnej przetwarzania danych osoby ubiegającej się o kredyt. W treści tego przepisu nie można zatem poszukiwać prawnie usprawiedliwionego interesu w przetwarzaniu danych osobowych w sytuacji, jak w niniejszej sprawie. Postawiony w tym kontekście zarzut naruszenia art. 6 ust. 1 lit. f RODO jest niezasadny.
Na uwzględnienie nie zasługiwał również zarzut [...] dotyczący naruszenia art. 6 ust. 1 lit. c RODO w zw. z art. 70a w zw. z art. 105 ust. 4 pkt 1 i 2 Prawa bankowego. Wyrażone wyżej stanowisko Sądu dotyczące art. 70a ustawy Prawo bankowe, jako podstawy przetwarzania danych osobowych skarżącej przez Bank, aktualne jest również w kontekście zarzutów sformułowanych przez [...]. Dodać jedynie należy, że art. 70a ustawy Prawo bankowe nakłada na banki i inne instytucje ustawowo upoważnione do udzielania kredytów obowiązek przekazywania osobie fizycznej ubiegającej się o kredyt wyjaśnień dotyczących dokonanej oceny zdolności kredytowej wnioskującego. Tego rodzaju obowiązku przepis ten nie nakłada na instytucje, o których mowa w art. 105 ust 4 Prawa bankowego.
Odnosząc się do zarzutu naruszenia art. 6 ust. 1 lit. e RODO, należy zauważyć, że przepis ten przewiduje dwie przesłanki legalizujące przetwarzanie danych osobowych. Może być ono niezbędne do wykonania zadania realizowanego
w interesie publicznym lub niezbędne w ramach sprawowania władzy publicznej powierzonej administratorowi.
W obu przypadkach zarówno zadanie, jak i sprawowanie władzy publicznej, muszą zostać sprecyzowane w przepisach, o których mowa w art. 6 ust. 3 RODO. Art. 6 ust. 3 RODO stanowi bowiem, że podstawa przetwarzania, o którym mowa
w ust. 1 lit. c) i e), musi być określona: a) w prawie Unii lub b) w prawie państwa członkowskiego, któremu podlega administrator.
Cel przetwarzania musi być określony w tej podstawie prawnej lub -
w przypadku przetwarzania, o którym mowa w ust. 1 lit. e) - musi być ono niezbędne do wykonania zadania realizowanego w interesie publicznym lub w ramach sprawowania władzy publicznej powierzonej administratorowi. Podstawa prawna może zawierać przepisy szczegółowe dostosowujące stosowanie przepisów niniejszego rozporządzenia, w tym: ogólne warunki zgodności z prawem przetwarzania przez administratora; rodzaj danych podlegających przetwarzaniu; osoby, których dane dotyczą; podmioty, którym można ujawnić dane osobowe; cele, w których można je ujawnić; ograniczenia celu; okresy przechowywania oraz operacje i procedury przetwarzania, w tym środki zapewniające zgodność z prawem
i rzetelność przetwarzania, w tym i w innych szczególnych sytuacjach związanych
z przetwarzaniem, o których mowa w rozdziale IX. Prawo Unii lub prawo państwa członkowskiego muszą służyć realizacji celu leżącego w interesie publicznym, oraz być proporcjonalne do wyznaczonego, prawnie uzasadnionego celu.
[...] powołał się w zakresie tej podstawy przetwarzania danych osobowych na jej rolę w zabezpieczeniu ekonomiczno-gospodarczego sektora bankowego, w tym depozytariuszy i zapewnienia stabilności ekonomiczno-gospodarczej sektora bankowego, a w ujęciu makro - zapobieganiu kryzysom gospodarczym.
Podnieść należy, że w odróżnieniu od przesłanki z art. 6 ust. 1 lit. c – RODO
w art. 6 ust. 3 nie wymaga określenia w podstawie prawnej celu przetwarzania,
a jedynie takiej jej konstrukcji, z której wynika niezbędność przetwarzania do wykonania zadania realizowanego w interesie publicznym lub w ramach sprawowania władzy publicznej powierzonej administratorowi (zob. E. Bielak-Jomaa (red.), D. Lubasz (red.), "RODO. Ogólne rozporządzenie o ochronie danych. Komentarz", Lex).
Zdaniem Sądu, analizowane powyżej przepisy art. 70, art. 70a, art. 105 ust. 4
i art. 105a Prawa bankowego nie wskazują na niezbędność przetwarzania przez [...] danych osobowych osoby ubiegającej się o kredyt w sytuacji, w której nie doszło do zawarcia umowy. Zarzut naruszenia przez organ art. 6 ust. 1 lit. e RODO nie zasługiwał zatem na uwzględnienie.
Nie jest również uzasadniony zarzut [...], co do naruszenia art. 6 ust. 1 lit. f RODO poprzez nieuzasadnione przyjęcie, że prawnie uzasadniony interes administratora danych nie może opierać się na przesłance ewentualnego zabezpieczenia roszczeń oraz błędne uznanie, że wskutek braku zawarcia umowy kredytowej, [...] nie posiada prawnie uzasadnionego interesu w przetwarzaniu danych skarżącej, podczas gdy istnieje prawnie uzasadniony interes [...]
w przetwarzaniu tych informacji, pomimo nie zawarcia umowy kredytowej, polegający na realizacji działań z zakresu opracowania, utrzymania aktualności i funkcjonalności zbudowanych modeli scoringowych w zgodzie z treścią Rekomendacji W, S i T Komisji Nadzoru Finansowego w zakresie dobrych praktyk zarządzania ryzykiem kredytowym.
Kwestia zabezpieczenia roszczeń i rekomendacji W, S i T Komisji Nadzoru Finansowego omówiona została już powyżej, w odniesieniu do zarzutów podniesionych przez Bank. Zbędne jest zatem powtarzane tej argumentacji
w odniesieniu do zarzutów sformułowanych przez [...].
Także powoływana potrzeba realizacji działań z zakresu opracowania, utrzymania aktualności i funkcjonalności zbudowanych modeli scoringowych, nie stanowi w stanie faktycznym tej sprawy podstawy przetwarzania – w odniesieniu do danych osoby, z którą nie zawarto umowy kredytowej – w celu wynikającym
z prawnie uzasadnionych interesów [...].
Celem RODO, tak, jak poprzednio Dyrektywy 95/46/WE, jest ochrona prywatności, która powinna być rozpatrywana także w świetle art. 8 Konwencji
o Ochronie Praw Człowieka i Podstawowych Wolności. W przedmiotowej sprawie nie istnieje tego rodzaju powiązanie pomiędzy osobą, której dane dotyczą a Bankiem, jak również pomiędzy tą osobą a [...], które pozwalałoby "wyprowadzić" istnienie prawnie uzasadnionego interesu po stronie [...] i Banku w dalszym przetwarzaniu danych tej osoby. Z okoliczności sprawy nie wynika przy tym, aby osoba ta mogła spodziewać się w czasie, gdy pozyskiwano od niej dane w celu oceny zdolności kredytowej i ryzyka kredytowego, że będą one dalej przetwarzane pomimo nie zawarcia umowy kredytowej (v. motyw 47 RODO).
Odnosząc się do argumentacji [...] w zakresie wykładni art. 6 ust. 1 lit. f RODO
i możliwości jego zastosowania, w kontekście obowiązującej wcześniej przesłanki
z art. 23 ust. 1 pkt 5 nieobowiązującej już ustawy o ochronie danych osobowych
z 1997 r., z powołaniem się na prezentowane w skardze poglądy doktryny, można się zgodzić, że użyte w art. 6 ust. 1 lit. f RODO pojęcie "interesu" jest pojęciem szerszym od pojęcia "celu" z art. 23 ust. 1 pkt 5 ustawy o ochronie danych osobowych z 1997 r. Nie zmienia to jednak tego, że jako prawnie uzasadniony interes administratora, na gruncie art. 6 ust. 1 lit. f RODO, nie może być rozumiana każda potrzeba wygenerowana przez danego administratora w związku z prowadzoną działalnością gospodarczą. Przyjęcie takiej koncepcji poddawałoby w wątpliwość funkcjonowanie wszystkich pozostałych przesłanek legalności przetwarzania danych ujętych
w RODO, skoro sama potrzeba, pojawiająca się dynamicznie w ramach prowadzonej działalności gospodarczej (handlowej), czyniłaby dopuszczalnym przetwarzanie danych osobowych. Niewątpliwie zaś ten prawnie uzasadniony interes administratora nie może pozbawiać jednostki prawa do dysponowania własnymi danymi osobowymi i ochrony prywatności.
Nadto, wskazać należy na brzmienie art. 7 lit. f nieobowiązującej już Dyrektywy 95/46/WE, którą ustawa z 1997 r. implementowała (art. 23 ust. 1 pkt 5 ustawy z 1997 r.), który stanowił, że przetwarzanie danych jest konieczne dla potrzeb wynikających z uzasadnionych interesów administratora danych lub osoby trzeciej lub osobom, którym dane są ujawniane, z wyjątkiem sytuacji, kiedy interesy takie podporządkowane są interesom związanym z podstawowymi prawami i wolnościami osoby, której dane dotyczą, które gwarantują ochronę na podstawie art. 1 ust. 1.
W Dyrektywie mowa była zatem o uzasadnionych interesach administratora danych. Stąd też poglądy przywołane przez organ w decyzji, a prezentowane w orzecznictwie NSA z powołaniem się na tę przesłankę, nie straciły na aktualności.
Podnieść należy przy tym, że w orzecznictwie Trybunału Sprawiedliwości przyjmuje się - i pogląd ten prezentuje także Sąd rozpoznający niniejszą sprawę - iż "Ze względu na to, że RODO uchyliło i zastąpiło dyrektywę 95/46, a właściwe przepisy tego rozporządzenia mają w istocie zakres identyczny jak właściwe przepisy tej dyrektywy, orzecznictwo Trybunału dotyczące wspomnianej dyrektywy znajduje również co do zasady zastosowanie w odniesieniu do tego rozporządzenia" (v. wyrok Trybunału Sprawiedliwości z dnia 17 czerwca 2021 r., C-597/19, punkt 107).
Zwrócić należy przy tym uwagę, że w sprawie niniejszej, w jej okolicznościach faktycznych, to prawa i wolności osoby fizycznej, mają nadrzędny charakter nad interesami Banku, jak również [...]. Pamiętać trzeba bowiem, że celem udostępnienia danych osobowych przez osobę fizyczną było rozpatrzenie konkretnego wniosku kredytowego (cel był ściśle określony), zgodnie z przepisami Prawa bankowego,
o czym była już mowa wyżej. Powyższe nie daje podstaw do dalszego przetwarzania danych "na przyszłość" po zakończeniu oceny zdolności kredytowej i analizy ryzyka kredytowego. Samo powołanie się na zasadę rozliczalności (art. 5 ust. 2 RODO) nie legalizuje przetwarzania jakichkolwiek danych. Konieczne jest bowiem, aby
w pierwszej kolejności przetwarzanie danych było zgodne z prawem.
Podkreślenia wymaga, że niezależnie od zrozumienia dla argumentacji Banku i [...] co do wskazywanych potrzeb, zamierzeń czy celów, jakie podmioty te chciałyby osiągnąć w działalności gospodarczej poprzez dalsze przetwarzanie danych osobowych zawartych w zapytaniach kredytowych skarżącej (osoby, z którą Bank umowy kredytowej nie zawarł), a które zostały jednoznacznie wskazane zarówno
w postępowaniu przed organem, jak i w skargach do Sądu, zaskarżona decyzja (zarówno w zakresie punktu 1, jaki 2) nie narusza prawa.
W sprawie tej cel przetwarzania legalnie zebranych danych osobowych osoby fizycznej (zebranych w celu oceny zdolności kredytowej i analizy ryzyka kredytowego) ustał, bowiem - co wykazano już wyżej - takiej podstawy prawnej, stanowiącej przesłankę do "dalszego" przetwarzania danych osobowych wymienionej osoby fizycznej, nie wykazano.
W ocenie Sądu, niedopuszczalna jest taka interpretacja powołanych
w skargach przepisów Prawa bankowego, AML, kodeksu cywilnego, czy rozporządzenia 575/2013, która czyniłaby uprawnionym na gruncie RODO dalsze przetwarzanie danych osobowych zawartych w zapytaniu kredytowym osoby, z którą nie zawarto umowy (a zatem w celach innych niż cele, w jakich je zebrano),
w sytuacji, gdy Prawo bankowe wyraźnie reguluje dopuszczalność przetwarzania danych osobowych przed powstaniem zobowiązania, w trakcie jego trwania i po wygaśnięciu.
Przyjęcie interpretacji zaprezentowanej w skargach prowadziłoby do tego, że w odniesieniu do osób, których dane zawarte zostały w zapytaniu kredytowym, a z którymi nie zawarto umowy kredytowej, istniałaby pełna dowolność tak w zasadach ich przetwarzania - bez zgody osoby (jak należy wnioskować ze stanowisk Banku
i [...]), bez informacji przedstawianej przed pozyskaniem danych o innych celach przetwarzania niż ocena zdolności kredytowej i ryzyka kredytowego, zarówno przez Bank jak i [...] - jak również dowolne ustalenia w odniesieniu do czasu ich przetwarzania (te kwestie byłyby bowiem i są, jak wynika z akt administracyjnych, tj. wyjaśnień Banku i [...], ustalane samodzielnie przez te podmioty, z uwzględnieniem przyjmowanych przez nie celów służących, co do zasady spełnieniu, jak wskazywano w postępowaniu, określonych wymagań organu nadzoru nad rynkiem finansowym).
Zatem sytuacja osoby, która zwróciła się z zapytaniem kredytowym i z którą nie zawarto umowy kredytowej, jest z punktu widzenia ochrony danych osobowych, biorąc pod uwagę przepisy Prawa bankowego, sytuacją "gorszą" niż sytuacja osoby, która zawarła umowę kredytową i jej zobowiązanie wygasło. W tym drugim bowiem przypadku, dla dalszego przetwarzania danych w [...] po wygaśnięciu zobowiązania wynikającego z danej umowy, niezbędna jest zgoda osoby, której dane dotyczą. Zgodę taką można nadto w każdym czasie odwołać.
Podkreślenia wymaga, że w demokratycznym państwie prawnym nie jest dopuszczalne dowolne rozszerzanie uprawnień jakiegokolwiek podmiotu - ani organu władzy, ani spółki prawa handlowego, ani żadnego innego podmiotu będącego administratorem w zakresie przetwarzania danych osobowych (art. 47, art. 51 Konstytucji RP). Dane osobowe mogą być przetwarzane co do zasady w celach,
w jakich zostały zebrane. Uprawnienia te powinny być adekwatne, stosowne oraz ograniczone do tego, co niezbędne do osiągnięcia celów, w których zostały zebrane
i są przetwarzane (art. 5 ust. 1 lit. c RODO). Przetwarzanie przez Bank i [...] "na przyszłość" danych zawartych w zapytaniu kredytowym, w sytuacji, gdy nie zawarto umowy, nie znajduje umocowania w żadnej przesłance z art. 6 ust. 1 RODO.
Sąd podziela te poglądy prezentowane w orzecznictwie sądów administracyjnych, zgodnie z którymi dalsze przetwarzanie danych, uzyskanych
w celu oceny zdolności kredytowej w przypadku nie zawarcia stosownej umowy, pozostawałoby w oderwaniu od celu, dla którego je uzyskano.
Niedopuszczalne jest dalsze przetwarzanie danych osobowych na przyszłość,
a także na potrzeby budowy oceny zdolności kredytowej innych podmiotów, jeżeli nie można zrekonstruować wyraźnej podstawy prawnej takich działań, jak miało to miejsce w niniejszej sprawie (v. wyrok NSA z dnia 27 sierpnia 2019 r. sygn. akt 2567/17, orzeczenia.nsa.gov.pl).
Nieuzasadnione są również zarzuty skarg dotyczące naruszenia przepisów prawa procesowego, tj. art. 7, art. 77 § 1 oraz art. 80 k.p.a., bowiem organ prawidłowo zebrał i ocenił zgromadzony w sprawie materiał dowodowy, opierając się na wyjaśnieniach Banku oraz [...] dotyczących przetwarzania danych osobowych skarżącej zawartych we wnioskach kredytowych.
Odmienna ocena zarówno Banku, jak i [...] w zakresie wykładni
i zastosowania powołanych przez organ przepisów prawa, nie stanowi o naruszeniu przepisów postępowania, w tym art. 7, art. 77 i art. 80 k.p.a. Zarzut naruszenia powołanych przepisów, podniesiony przez [...], poprzez brak analizy przez organ skargi skarżącej pod kątem istnienia po stronie banków i [...] oczywistego interesu prawnego przejawiającego się w odmowie udzielenia kredytu wynikającego z braku istnienia zdolności kredytowej po stronie skarżącej, nie jest zasadny.
W ocenie Sądu, uzasadnienie decyzji odpowiada zaś wymogom określonym
w art. 107 § 3 k.p.a.
Nieuzasadniony jest również zarzut naruszenia art. 7b k.p.a. poprzez zaniechanie zwrócenia się przez Prezesa UODO do KNF, jako organu właściwego
w sprawach związanych m.in. z badaniem zdolności kredytowej i analizy ryzyka kredytowego, a także budową modeli scoringowych, oraz do Generalnego Inspektora Informacji Finansowej, jako organu właściwego w sprawach związanych m.in.
z przeciwdziałaniem praniu pieniędzy i finansowaniu terroryzmu, o informacje dotyczące m.in. wykorzystywania do realizacji tych zadań danych osobowych osób,
z którymi nie zawarto umowy kredytu i w konsekwencji niedostateczne wyjaśnienie stanu faktycznego sprawy.
Zgodnie z art. 7b k.p.a., w toku postępowania organy administracji publicznej współdziałają ze sobą w zakresie niezbędnym do dokładnego wyjaśnienia stanu faktycznego i prawnego sprawy, mając na względzie interes społeczny i słuszny interes obywateli oraz sprawność postępowania, przy pomocy środków adekwatnych do charakteru, okoliczności i stopnia złożoności sprawy.
W ocenie Sądu, stan faktyczny i prawny sprawy został przez organ prawidłowo ustalony i należycie rozpatrzony w oparciu o zgromadzony materiał dowodowy,
w tym w oparciu o wyjaśnienia Banku oraz [...]. Nie zachodziły więc przesłanki do podjęcia przez Prezesa UODO współdziałania z innymi organami administracji publicznej w oparciu o ww. przepis, w celu wydania rozstrzygnięcia w sprawie.
Prezes UODO jest wyspecjalizowanym, w sprawach dotyczących ochrony danych osobowych, i niezależnym organem, który ma status i kompetencje organu nadzorczego, określone w przepisach RODO. Z tego względu Prezes UODO jest uprawniony do samodzielnego dokonywania interpretacji przepisów prawa
w zakresie dotyczącym ochrony danych osobowych. Stanowisko to znajduje potwierdzenie w art. 51 oraz w motywach 117, 122 oraz 123 RODO.
Konkludując, przesłanki do przetwarzania danych osobowych skarżącej (na przyszłość i w innych wskazywanych przez Bank i [...] celach) nie stanowi
w tej sprawie, w jej okolicznościach faktycznych, ani dla Banku, ani dla [...], żaden
z art. 6 ust. 1 lit. a-f RODO (czyli nie jest to ani zgoda - zgody takiej bowiem nie uzyskano i z akt sprawy nie wynika, aby zwracano się do skarżącej o zgodę na przetwarzanie w przyszłości jego danych osobowych w celach innych niż ocena zdolności kredytowej i ryzyka kredytowego - ani przetwarzanie niezbędne do wykonania umowy lub działań przed zawarciem umowy, ani wypełnienie obowiązku prawnego ciążącego na administratorze, ani niezbędność dla ochrony żywotnych interesów osoby fizycznej lub innej osoby, ani wykonanie zadania realizowanego
w interesie publicznym lub w ramach sprawowania władzy publicznej, ani niezbędność do celów wynikających z prawnie uzasadnionych interesów). Nie można się przy tym zgodzić z [...], że organ naruszył m.in. również art. 6 ust. 1 lit. e RODO, ponieważ w sprawie tej nie mamy do czynienia z przetwarzaniem przez [...] i Bank, jako spółki prawa handlowego, danych osobowych (osoby, z którą Bank nie zawarł umowy) w ramach zadania realizowanego w interesie publicznym. Przetwarzanie danych osobowych przez Bank i [...], jako spółki prawa handlowego, nie ma bowiem miejsca na podstawie art. 6 ust. 1 lit. e RODO, niezależnie od wyznaczanych sobie przez te podmioty celów. Powołanie się na konieczność zabezpieczenia ekonomiczno-gospodarczego sektora bankowego, zapewnienie stabilności gospodarczej sektora bankowego, jako uzasadnienie interesu publicznego, o którym mowa w art. 6 ust. 1 lit. e, w odniesieniu do przetwarzania danych zawartych
w zapytaniu kredytowym osoby, z którą Bank nie zawarł umowy, nie jest trafne.
Ustaleń Sądu w tym zakresie nie zmienia analiza treści umowy zawartej między wskazanymi spółkami prawa handlowego ([...] i Bankiem). Umowa ta nie stanowi samoistnej podstawy legalności przetwarzania danych osobowych skarżącej, w celach wskazywanych obecnie przez wymienione podmioty. Stosowanie RODO nie może zostać wyłączone poprzez zapis umowy. Ustalenie Prezesa UODO,
w zakresie braku dopuszczalności przetwarzania danych skarżącej zawartych
w zapytaniach kredytowych wskazanych w decyzji, jest prawidłowe. Nakaz, zawarty zarówno w punkcie 1, jak i 2 decyzji, jest przy tym jasny, nie ma wątpliwości co do jego zakresu i jest wykonalny.
Podsumowując, Sąd stwierdza, że zaskarżona decyzja Prezesa UODO jest zgodna z prawem, zaś zarzuty skarg nie zasługiwały na uwzględnienie.
W ocenie Sądu, organ zasadnie nakazał w punkcie 1 decyzji Bankowi,
a w punkcie 2 decyzji [...], usunięcie danych osobowych skarżącej w zakresie wynikającym z zapytań kredytowych.
Mając na względzie powyższe Wojewódzki Sąd Administracyjny w Warszawie, na podstawie art. 151 ustawy z dnia 30 sierpnia 2002 r. - Prawo o postępowaniu przed sądami administracyjnymi (t.j. Dz. U. z 2023 r. poz. 1634 z późn. zm.), orzekł jak w sentencji wyroku.