II SA/Wa 1721/24

II SA/Wa 1721/24 - Wyrok WSA w Warszawie
Data orzeczenia
2025-07-08
orzeczenie nieprawomocne
Data wpływu
2024-10-28
Sąd
Wojewódzki Sąd Administracyjny w Warszawie
Sędziowie
Ewa Marcinkowska /przewodniczący/
Iwona Maciejuk /sprawozdawca/
Mateusz Rogala
Symbol z opisem
647  Sprawy związane z ochroną danych osobowych
Sygn. powiązane
III OZ 20/25 - Postanowienie NSA z 2025-02-12
Skarżony organ
Generalny Inspektor Ochrony Danych Osobowych
Treść wyniku
Oddalono skargi
Sentencja
Wojewódzki Sąd Administracyjny w Warszawie w składzie następującym: Przewodniczący Sędzia WSA Ewa Marcinkowska, Sędzia WSA Iwona Maciejuk (spr.), Asesor WSA Mateusz Rogala, Protokolant starszy specjalista Elwira Sipak po rozpoznaniu na rozprawie w dniu 8 lipca 2025 r. sprawy ze skarg [...] Bank [...] S.A. z siedzibą w W. oraz B. S.A. z siedzibą w W. na decyzję Prezesa Urzędu Ochrony Danych Osobowych z dnia [...] sierpnia 2024 r. nr [...] w przedmiocie przetwarzania danych osobowych oddala skargi
Uzasadnienie
Prezes Urzędu Ochrony Danych Osobowych decyzją z dnia [...] sierpnia 2024 r. nr [...], na podstawie art. 104 § 1 ustawy z dnia 14 czerwca 1960 r. Kodeks postępowania administracyjnego (Dz. U. z 2024 r. poz. 572), w zw. z art. 7 ust. 1 i 2 ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych (t. j. Dz. U. z 2019 r. poz. 1781) oraz art. 6 ust. 1 oraz art. 58 ust. 2 lit. c rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (Dz. Urz. UE L 74 z 4.03.2021, str. 35) po przeprowadzeniu postępowania administracyjnego w sprawie skargi M. I. na nieprawidłowości w procesie przetwarzania jego danych osobowych przez [....] Bank [...] S. A. z siedzibą [...], polegające na przetwarzaniu danych osobowych wnioskodawcy w zakresie zapytań kredytowych z [...] stycznia 2019 r., [...] marca 2019 r., [...] maja 2019 r., [...] czerwca 2019 r., [...] czerwca 2019 r., [...] sierpnia 2019 r., [...] września 2019 r., [...] października 2019 r., które nie zakończyły się zawarciem umowy, bez podstawy prawnej, w tym kierowaniu tych zapytań do Biura Informacji Kredytowej S.A. z siedzibą w [...], w punkcie 1 nakazał Biuru Informacji Kredytowej S.A. z siedzibą w [...] usunięcie danych osobowych M. I. w zakresie wynikającym z zapytań kredytowych z [...] stycznia 2019 r., [...] marca 2019 r., [...] maja 2019 r., [...] czerwca 2019 r., [...] czerwca 2019 r., [...] sierpnia 2019 r., [...] września 2019 r., [...] października 2019 r., przekazanych przez [....] Bank [...] S. A. z siedzibą we przetwarzanych bez podstawy prawnej; w punkcie 2 nakazał [....] Bank [...] S. A. z siedzibą [...] usunięcie danych osobowych M. I. w zakresie wynikającym z zapytań kredytowych z dni [...] stycznia 2019 r., [...] marca 2019 r., [...] maja 2019 r., [...] czerwca 2019 r., [...] czerwca 2019 r., [...] sierpnia 2019 r., [...] września 2019 r., [...] października 2019 r., przetwarzanych bez podstawy prawnej.
Prezes UODO w uzasadnieniu wskazał, że do Prezesa Urzędu Ochrony Danych Osobowych wpłynęła skarga M. I., na nieprawidłowości w procesie
przetwarzania jego danych osobowych przez [....] Bank [...] S. A. z siedzibą [...], zwany dalej Bankiem, polegające na przetwarzaniu jego danych osobowych w zakresie zapytań kredytowych z [...] stycznia 2019 r., [...] marca 2019 r., [...] maja 2019 r., [...] czerwca 2019 r., [...] czerwca 2019 r., [...] sierpnia 2019 r., [...] września 2019 r., [...] października 2019 r., które nie zakończyły się zawarciem umowy, bez podstawy prawnej, w tym kierowaniu tych zapytań do Biura Informacji Kredytowej S.A. z siedzibą w [...], zwanej dalej BIK.
Prezes UODO ustalił następujący stan faktyczny: 1.W skardze inicjującej niniejsze postępowanie wnioskodawca wskazał, że wystąpił do Banku z zapytaniami kredytowymi w dniach [...] grudnia 2018 r., [...] stycznia 2019 r., [...] marca 2019 r., [...] maja 2019 r., [...] czerwca 2019 r., [...] czerwca 2019 r., [...] sierpnia 2019 r., [...] września 2019 r., [...] października 2019 r. Do zawarcia umowy doszło jedynie w przypadku zapytania z dnia [...] grudnia 2018 r., pozostałe zapytania nie zakończyły się zawarciem umowy. Wnioskodawca zwrócił się do Banku o usunięcie jego danych osobowych dot. ww. wpisów z BIK, lecz pismem z dnia 19 listopada 2019 r. Bank odmówił. Wobec powyższego wniósł o: udzielenie upomnienia Bankowi w związku z naruszeniem przepisów RODO przy przetwarzaniu jego danych osobowych, nakazanie Bankowi spełnienia żądania wynikającego z prawa przysługującego mu na podstawie RODO, to jest nakazanie usunięcia jego danych osobowych, w tym usunięcia zapytań kredytowych skierowanych do BIK, nakazanie Bankowi zawiadomienia wnioskodawcy o naruszeniu jego ochrony danych; zastosowanie wobec Banku kary pieniężnej na mocy art. 83 RODO. (dowód: skarga z dnia [...] listopada 2019 r.); 2. W złożonych wyjaśnieniach Bank wskazał, że w związku ze złożonymi zapytaniami kredytowymi wnioskodawcy, Bank skierował do BIK zapytania w celu zbadania zdolności kredytowej strony, na podstawie łączącej Bank i BIK umowy z dnia [...] sierpnia 2016 r. w sprawie gromadzenia, przetwarzania i udostępniania informacji w bazie SI BIK "Kredytobiorcy", (dowód: wyjaśnienia Banku z dnia 12 marca 2020 r. z załącznikami); 3. Bank wskazał, że wnioskodawca zwrócił się pisemnie do Banku o usunięcie z bazy BIK informacji dotyczących zapytań kredytowych z: [...] grudnia 2019 r., [...] stycznia 2019 r., [...] marca 2019 r., [...] maja 2019 r., [...] czerwca 2019 r., [...] czerwca 2019 r., [...] sierpnia 2019 r., [...] września 2019 r. W odpowiedzi z dnia 19 listopada 2019 r. Bank odmówił wycofania informacji o zapytaniach kredytowych, informując wnioskodawcę, że podstawą przetwarzania zapytań kredytowych w BIK, bez względu na to czy doszło do zawarcia umowy, jest art. 6 ust. 1 lit. c RODO, w zw. z art. 105 ust. 4 Prawa bankowego i nie ma podstaw do usunięcia ww. zapytań kredytowych (dowód: skarga z dnia [...] listopada 2019 r. oraz wyjaśnienia Banku z dnia 12 marca 2020 r. wraz z załącznikami); 4. W złożonych wyjaśnieniach Bank wskazał, że pozyskał dane osobowe wnioskodawcy bezpośrednio od niego w związku z zawarciem umów o świadczenie usług bankowych oraz złożonymi przez wnioskodawcę wnioskami kredytowymi. W związku z powyższym Bank pozyskał dane osobowe wnioskodawcy w zakresie: imię i nazwisko, PESEL, dane dokumentu tożsamości (data urodzenia, seria i numer dowodu osobistego, data wydania i ważności dowodu osobistego), dane teleadresowe Klienta (adres zameldowania, adres korespondencyjny, numer telefonu, adres email), a także dane niezbędne do oceny zdolności kredytowej: stan cywilny, informacje o dochodzie i jego źródle, dane o obciążeniach gospodarstwa domowego wnioskodawcy (dowód: wyjaśnienia Banku z dnia 12 marca 2020 r. wraz z załącznikami). 5. Bank wyjaśnił, że obecnie przetwarza dane osobowe strony w związku z zapytaniami kredytowymi w celach spełnienia obowiązków wynikających z przepisów prawa (art. 6 ust. 1 lit. c RODO) oraz prawnie usprawiedliwionych celów administratora (art. 6 ust. 1 lit. f RODO), w poniższych celach: a. realizacji wymogów ostrożnościowych tj. oceny ogólnej ekspozycji oraz ryzyka ekspozycji Banku wynikających z rozporządzenia Parlamentu Europejskiego I Rady (UE) nr 575/2013 z dnia 26 czerwca 2013 r. w sprawie wymogów ostrożnościowych dla instytucji kredytowych i firm inwestycyjnych, zmieniające rozporządzenie (UE) nr 648/2012, zwanego dalej CRR tj., w zw. z art. 6 pkt 1. lit. c RODO oraz w związku z rekomendacjami KNF. Bank odwołał się do przepisów CRR: art. 144 ust. 1 lit. d, 145 ust. 1, art. 147 ust. 5 lit. b. oraz art. 171 ust. 2. Bank wskazał, że przetwarza dane w tym celu przez okres 6 lat od momentu rozpatrzenia wniosku, aby wywiązać się z obowiązków zarządzania ekspozycjami kredytowymi; b. wykonywania obowiązków związanych z przeciwdziałaniem praniu pieniędzy i finansowaniu terroryzmu, (art. 6 pkt 1. lit. c) RODO). Bank wskazał, że zgodnie z art. 34 ust. 3 ustawy z dnia 1 marca 2018r. o przeciwdziałaniu praniu pieniędzy oraz finansowaniu terroryzmu (Dz.U. 2021 poz. 1132), zwanej dalej AML, instytucje obowiązane dokumentują zastosowane środki bezpieczeństwa finansowego i przechowują je (zgodnie z art. 49 ust. 1 i 2) przez okres 5 lat; c. analizy (indywidualnego i portfelowego) ryzyka kredytowego art. 105 a ustawy z dnia 29 sierpnia 1997 r. Prawo bankowe (Dz.U. 2021 poz. 2439), zwanej dalej Prawem bankowym, w zw. art. 6 pkt 1. lit. c RODO). Bank wskazał, że przetwarza dane w tym celu przez okres 3 lat od momentu rozpatrzenia wniosku, gdyż taki termin pozwala analitykom kredytowym na rzetelne ocenienie wniosku i zabezpieczenie interesów klienta, jak też Banku; d. rozpatrywania reklamacji oraz ustalania, obrony i dochodzenia roszczeń - podstawą prawną jest realizacja prawnie uzasadnionego interesu Banku (art. 6 pkt 1. lit. f RODO. Bank wskazał, że ustala terminy przetwarzania danych w oparciu o terminy przedawnienia roszczeń (art. 6 ust. 3 lit. e RODO) na podstawie art. 118 Kodeksu cywilnego. Termin wynosi 6 lat od dnia rozpatrzenia wniosku (dowód: wyjaśnienia Banku z dnia 24 kwietnia 2024 r.); 6. Bank wskazał, że przetwarza dane osobowe wnioskodawcy w zakresie; imię i nazwisko, PESEL, dane dokumentu tożsamości (data urodzenia, seria i numer dowodu osobistego, data wydania i ważności dowodu osobistego), danych teleadresowych: adres zameldowania, adres korespondencyjny, numer telefonu, adres email, a także danych pochodzących z zapytań kredytowych w celu zarządzania ryzykiem detalicznych ekspozycji kredytowych. Bank wyjaśnił również, że nie przekazał do BIK informacji o podjęciu negatywnej decyzji kredytowej odnośnie ww. zapytań oraz że Bank nie przekazuje do BIK informacji o podjęciu decyzji kredytowej, niezależnie od jej wyniku, (dowód: wyjaśnienia Banku z dnia 24 kwietnia 2024 r.); 7. W złożonych wyjaśnieniach BIK wskazał, że przetwarza dane osobowe wnioskodawcy przekazane przez Bank w związku ze złożonymi przez stronę zapytaniami kredytowymi na podstawie art. 105 ust. 4 Prawa bankowego i na podstawie łączącej strony umowy. BIK wyjaśnił, że będzie przetwarzał dane osobowe strony w związku ze złożonymi zapytaniami kredytowymi w celu budowy modeli scoringowych tj. narzędzi wykorzystywanych przez banki do oceny zdolności kredytowej i analizy ryzyka kredytowego przez okres nie krócej niż 5 lat i nie dłużej niż 10 lat od dnia złożenia zapytania. BIK wskazał również, że podstawą przetwarzania danych przez BIK w celu oceny zdolności kredytowej i analizy ryzyka kredytowego jest art. 6 ust. 1 lit. c RODO w zw. z art. 105 ust. 4 oraz art. 105a ust. 1, 1a i 1b ustawy Prawo bankowe. W przypadku oceny zdolności kredytowej podstawą prawną przetwarzania danych jest również art. 70 ust. 1 ustawy Prawo bankowe. BIK wskazał również, że dodatkową przesłanką legalizującą przetwarzanie danych pochodzących z zapytań w celu budowy modeli scoringowych jest art. 6 ust. 1 lit. f RODO, ponieważ przetwarzanie danych w tym celu stanowi prawnie uzasadniony interes banków i BIK. BIK wskazał, że procesem silnie powiązanym z oceną zdolności kredytowej jest analiza ryzyka kredytowego, która przeprowadzana jest zgodnie z wytycznymi Rekomendacji T KNF. BIK wskazał nadto, że ogólne zasady tworzenia modeli służących celom oceny zdolności kredytowej i analizy ryzyka kredytowego określa m. in. rozporządzenie Parlamentu Europejskiego i Rady (UE) nr 575/2013 z dnia 26 czerwca 2013 r. w sprawie wymogów ostrożnościowych dla instytucji kredytowych i firm inwestycyjnych, zwane dalej CRR oraz rekomendacje KNF. BIK powołał się na obowiązki wynikające z art. 171 ust. 2 CRR, art. 144 ust. 1 lit. d CRR, art. 145 ust. 1 CRR oraz art. 147 ust. 5 lit. b. CRR i wskazał, że ww. dane wnioskodawcy będzie przetwarzał również: w celach statystycznych oraz stosowania metod wewnętrznych oraz innych metod i modeli przez okres nie dłuższy niż 10 lat; w celu rozpatrywania ewentualnych reklamacji lub roszczeń odszkodowawczych klientów, których termin przedawnienia zgodnie z art. 118 Kodeksu cywilnego wynosi 6 lat; (dowód: wyjaśnienia BIK z dnia 23 kwietnia 2024 r.); 8. BIK wskazał również, że przetwarza dane osobowe wnioskodawcy w zakresie: imię, drugie imię, nazwisko, PESEL, seria i numer dowodu osobistego, data urodzenia, płeć, obywatelstwo, dane majątkowe (dochód netto, częstotliwość dochodu, tryb zatrudnienia), dane teleadresowe, dane o zatrudnieniu (nazwa pracodawcy, NIP pracodawcy) oraz dane z wniosków kredytowych dotyczących wnioskowanych zobowiązań: powód złożenia zapytania, relacja klienta do rachunku, typ transakcji, kwota kredytu, waluta, liczba uczestników transakcji. BIK wyjaśnił, że nie uzyskał od Banku informacji, że wyżej wskazane zapytania kredytowe nie zakończyły się zawarciem umów kredytowych, (dowód: wyjaśnienia BIK z dnia 23 kwietnia 2024 r.).
Prezes UODO wskazał, że przepisem uprawniającym administratorów danych do przetwarzania zwykłych danych osób fizycznych jest art. 6 ust. 1 RODO, zgodnie z którym, przetwarzanie danych jest dopuszczalne tylko wtedy, gdy spełniona jest jedna z przesłanek wskazanych w tym przepisie. Katalog przesłanek wymienionych w art. 6 ust. 1 RODO, jest zamknięty. Każda z przesłanek legalizujących proces przetwarzania danych osobowych ma charakter autonomiczny i niezależny. Dodatkowo, proces przetwarzania danych osobowych musi być zgodny z zasadami ustanowionymi w art. 5 ust. 1 RODO. Do zasad tych zalicza się między innymi ograniczenie celu (art. 5 ust. 1 lit. b RODO) oraz minimalizację danych (art. 5 ust. 1 lit. c RODO). Wspomniane zasady wymagają, by dane osobowe były zbierane w konkretnych, wyraźnych i prawnie uzasadnionych celach i nieprzetwarzane dalej w sposób niezgodny z tymi celami, a proces przetwarzania danych osobowych był adekwatny, stosowny oraz ograniczony do tego, co niezbędne do celów, w których są przetwarzane. Co do zasady, podstawą prawną przetwarzania danych osobowych klientów przez Bank i BIK może być obecnie art. 6 ust. 1 lit. f RODO, gdy przetwarzanie to jest niezbędne do celów wynikających z prawnie uzasadnionych interesów realizowanych przez administratora.
Prezes UODO wyjaśnił, że BIK jest instytucją utworzoną na podstawie art. 105 ust. 4 Prawa bankowego. Organ przytoczył treść art. 105a ust. 1, 4 i 5 Prawa bankowego. Ponadto zaznaczył, że stosownie do art. 70 ust. 1 Prawa bankowego, bank uzależnia przyznanie kredytu od zdolności kredytowej kredytobiorcy. Przez zdolność kredytową rozumie się zdolność do spłaty zaciągniętego kredytu wraz z odsetkami w terminach określonych w umowie.
Prezes UODO wskazał, że z ustalonego w niniejszej sprawie stanu faktycznego wynika, że wnioskodawca w dniach [...] grudnia 2018 r., [...] stycznia 2019 r., [...] marca 2019 r., [...] maja 2019 r., [...] czerwca 2019 r., [...] czerwca 2019 r., [...] sierpnia 2019 r., [...] września 2019 r., [...] października 2019 r. wystąpił do Banku z wnioskami o udzielenie kredytu. Wobec tego Bank oraz BIK, na podstawie art. 105 a ust. 1 Prawa bankowego w zw. z art. 70 ust. 1 tej ustawy, były uprawnione do przetwarzania danych osobowych wnioskodawcy w celu oceny zdolności kredytowej. Do zawarcia umowy doszło jedynie w przypadku zapytania z dnia [...] grudnia 2018 r., w przypadku pozostałych zapytań nie doszło do zawarcia umowy kredytu pomiędzy wnioskodawcą a Bankiem. W związku z powyższym w stosunku do tych pozostałych zapytań odpadła przesłanka legalizująca dalsze przetwarzanie danych osobowych wnioskodawcy przez Bank oraz BIK. Przesłanki zawarte w art. 105a Prawa bankowego dotyczą bowiem przetwarzania informacji objętych tajemnicą bankową w okresie przed powstaniem zobowiązania, w trakcie jego trwania oraz po wygaśnięciu zobowiązania. Pomiędzy Bankiem a wnioskodawcą nie zawiązał się stosunek zobowiązaniowy w związku z zapytaniami kredytowymi z dni [...] stycznia 2019 r., [...] marca 2019 r., [...] maja 2019 r., [...] czerwca 2019 r., [...] czerwca 2019 r., [...] sierpnia 2019 r., [...] września 2019 r., [...] października 2019 r., który stosownie do art. 105a ust. 1-6 Prawa bankowego dawałby podstawę do dalszego przetwarzania danych osobowych wnioskodawcy. Prezes UODO podkreślił, iż celem przetwarzania danych osobowych wnioskodawcy była ocena zdolności kredytowej i analizy ryzyka kredytowego. W związku z dokonaniem przez Bank oceny zdolności kredytowej i analizy ryzyka kredytowego, ww. cel przetwarzania danych osobowych wnioskodawcy został zrealizowany i brak jest podstaw prawnych do kontunuowania tego procesu. Organ na poparcie powyższego przywołał wyrok Naczelnego Sądu Administracyjnego z dnia 27 sierpnia 2019 r., sygn. akt I OSK 2567/17, zgodnie z którym cel oceny zdolności kredytowej stanowi ocena zdolności do spłaty zaciągniętego kredytu wraz z odsetkami, co ma charakter czynności wstępnej do zawarcia stosownej umowy. Dalsze przetwarzanie danych uzyskanych w celu oceny zdolności kredytowej, w przypadku niezawarcia stosownej umowy pozostawałoby w oderwaniu od celu dla którego dane te uzyskano, niedopuszczalne jest przetwarzanie danych osobowych na przyszłość, a także na potrzeby budowy oceny zdolności kredytowej innych podmiotów, jeżeli nie można zrekonstruować wyraźnej podstawy prawnej takich działań.
W ocenie Prezesa UODO, Bank oraz BIK niewłaściwie powołują się na Rekomendację T KNF dotyczącą dobrych praktyk w zakresie zarządzania ryzykiem detalicznych ekspozycji kredytowych w związku z badaniem zdolności kredytowej, korzystania z zewnętrznych baz danych, posiadania narzędzi analitycznych wspierających pomiar poziomu ryzyka związanego z detalicznymi ekspozycjami kredytowymi. Bank był uprawniony do przetwarzania danych osobowych wnioskodawcy w celu oceny zdolności kredytowej. Jednak nie doszło do zawarcia umowy pomiędzy wnioskodawcą a Bankiem.
W ocenie organu za podstawę przetwarzania danych osobowych wnioskodawcy, nie mogą być również uznane wskazane przez Bank i BIK cele statystyczne i analizy, w tym cel stosowania metod wewnętrznych oraz innych metod i modeli, o których mowa w części trzeciej CRR. Powołany przez Bank i BIK art. 105a ust. 4 Prawa bankowego daje podstawy do przetwarzania informacji dotyczących osoby fizycznej stanowiących tajemnicę bankową po wygaśnięciu zobowiązania wynikającego z umowy zawartej z bankiem lub inną instytucją ustawowo upoważnioną do udzielania kredytów bez zgody osoby, której te informacje dotyczą. W przedmiotowej sprawie nie doszło do zawarcia umowy kredytu w związku z zapytaniami z dni [...] stycznia 2019 r., [...] marca 2019 r., [...] maja 2019 r., [...] czerwca 2019 r., [...] czerwca 2019 r., [...] sierpnia 2019 r., [...] września 2019 r., [...] października 2019 r. pomiędzy wnioskodawcą a Bankiem, a zatem nie powstał żaden stosunek zobowiązaniowy, o którym mowa w powyższym przepisie. Przytoczone przez BIK przepisy rozporządzenia CRR nie stanowią podstawy prawnej do dalszego przetwarzania danych osobowych wnioskodawcy, w sytuacji, gdy w wyniku podjętych czynności sprawdzających nie doszło do zawarcia umowy kredytowej. Powołane przepisy powyższego rozporządzenia zawierają jedynie ogólne zasady tworzenia modeli służących ocenie ryzyka kredytowego. Prezes UODO nie kwestionuje zasadności tworzenia ww. modeli jednakże stoi na stanowisku, że muszą być one tworzone w taki sposób, aby nie naruszało to prawa do ochrony danych osobowych osób, których dane dotyczą.
Prezes UODO, po przytoczeniu treści art. 144 ust. 1 lit. d CRR, art. 145 ust. 1 CRR, art. 147 ust. 5 lit. b CRR oraz art. 171 ust. 2 CRR wyjaśnił, że zgodnie z powyższymi przepisami instytucja kredytowa jest obowiązana do zbierania informacji przydatnych do skutecznego zarządzania ryzykiem. Nie oznacza to jednak, że gromadzenie danych w systemach ratingowych może odbywać się z naruszeniem przepisów w zakresie ochrony danych osobowych.
Prezes UODO zwrócił uwagę, że Bank wskazał również jako cel aktualnego przetwarzania danych osobowych wnioskodawcy, przeciwdziałanie przestępstwom oraz wykonywanie obowiązków w zakresie określonym w przepisach AML. Organ przytoczył art. 106d Prawa bankowego, art. 33, art. 34 AML. Organ wskazał m.in., że zgodnie z art. 34 ust. 3 AML instytucje obowiązane dokumentują zastosowane środki bezpieczeństwa finansowego oraz wyniki bieżącej analizy przeprowadzanych transakcji. Na żądanie organów, o których mowa w art. 130, instytucje obowiązane wykazują, że przy uwzględnieniu poziomu rozpoznanego ryzyka prania pieniędzy oraz finansowania terroryzmu związanego z danymi stosunkami gospodarczymi lub transakcją okazjonalną zastosowały odpowiednie środki bezpieczeństwa finansowego. Na podstawie art. 49 ust. 2 AML instytucje obowiązane przechowują wyniki analiz, o których mowa w art. 34 ust. 3 AML, przez okres 5 lat, licząc od dnia ich przeprowadzenia.
Prezes UODO stwierdził, że zebrany w sprawie materiał dowodowy nie wykazał, aby Bank mógł przetwarzać dane osobowe wnioskodawcy dotyczące zapytań kredytowych z dni [...] stycznia 2019 r., [...] marca 2019 r., [...] maja 2019 r., [...] czerwca 2019 r., [...] czerwca 2019 r., [...] sierpnia 2019 r., [...] września 2019 r., [...] października 2019 r. na podstawie art. 106d Prawa bankowego w celach przeciwdziałania przestępstwom oraz wykonywania obowiązków w zakresie określonym w przepisach AML, albowiem w toku prowadzonego postępowania nie wykazał, aby zaszła którakolwiek z przesłanek określonych w ww. przepisach. W szczególności nie wykazał, aby zaszły uzasadnione podejrzenia, o których mowa w art. 106d ust. 1 pkt 1-2, oraz nie wskazał także nałożonego na niego obowiązku określonego w przepisach o przeciwdziałaniu praniu pieniędzy oraz finansowaniu terroryzmu, o którym mowa w art. 106d ust. 1 pkt 3. Zebrany w niniejszym postępowaniu materiał dowodowy nie wykazał, aby wnioskodawca wystąpił z jakimkolwiek roszczeniem wobec Banku czy BIK, które uzasadniałoby uprawnienie tych podmiotów do zachowania i przetwarzania jego danych osobowych dla celów dowodowych w związku z dochodzeniem przez wnioskodawcę tego roszczenia. Bank i BIK nie wskazały także na istnienie roszczeń, których dochodzą od wnioskodawcy. Przesłanka z art. 6 ust. 1 lit. f RODO dotyczy sytuacji już istniejącej, w której celem wynikającym z prawnie uzasadnionych interesów realizowanych przez administratora jest konieczność udowodnienia, potrzeba dochodzenia lub obrony przed roszczeniem istniejącym, nie zaś sytuacji, gdy dane są przetwarzane w celu zabezpieczenia się przed ewentualnym roszczeniem.
Prezes UODO podzielił stanowisko Naczelnego Sądu Administracyjnego odnoszące wyrażone w wyroku z dnia 6 marca 2019 r. w sprawie sygn. I OSK 994/17, zgodnie z którym "przepis art. 23 ust. 1 pkt 5 u.o.d.o. zezwala na przetwarzanie danych gdy jest to niezbędne dla wypełnienia prawnie usprawiedliwionych celów realizowanych przez administratorów danych albo odbiorców danych, a przetwarzanie nie narusza praw i wolności osoby, której dane dotyczą. Dokonując wykładni tego przepisu należy zatem zwrócić uwagę, że stosowanie ww. przepisu wymaga wykazania, że chodzi o realizowanie prawnie usprawiedliwionego celu, ale także dokonanie oceny czy dla realizacji tego celu niezbędne jest przekazanie danych, pomimo braku zgody osoby której dane te dotyczą. Ocena ta sprowadza się do wyważania racji i interesów osoby, której danych sprawa dotyczy, a która jest objęta ochroną prawną, a z drugiej administratora danych, również chronionego przez prawo w zakresie w jakim może realizować prawnie usprawiedliwione cele i uprawnienia. Organ przywołał też poglądy prezentowane w wyroku NSA z dnia 23 września 2005 r. (sygn. akt I OSK 712/05, CBOSA), w którym wskazano m.in., że "Prawidłowe jest stanowisko Sądu pierwszej instancji, że niedopuszczalne jest przetwarzanie danych osobowych niejako "na zapas" z założeniem, że mogą być one ewentualnie przydatne w przyszłości. Zauważyć należy, że w rozpoznawanej sprawie znaczenie ma, a no co wskazał organ i Sąd pierwszej instancji, że (...) co prawda w 2012 r. złożył wniosek kredytowy ale strony nie zawarły umowy, a zatem nie powstał między stronami stosunek zobowiązaniowy. Pomiędzy stronami nie toczy się także żadne postępowanie reklamacyjne. Zatem przetwarzania danych strony, a więc na wszelki wypadek, nie można uznać za przetwarzanie niezbędne dla wypełnienia prawnie usprawiedliwionych celów. Zgodnie z art. 23 ust. 1 pkt 2 u.o.d.o. przetwarzanie danych osobowych jest dopuszczalne wtedy, gdy jest to niezbędne dla zrealizowania uprawnienia lub spełnienia obowiązku wynikającego z przepisu prawa. Przepis ten dopuszcza możliwość przetwarzania danych, uzależnia jednak legalność tego procesu od spełnienia dwóch istotnych wymogów, tj. istnienia odpowiedniego przepisu prawa, który przyznaje podmiotowi uprawnienie lub nakłada na niego obowiązek oraz niezbędności przetwarzania danych dla zrealizowania tego uprawnienia lub spełnienia obowiązku wynikającego z tego przepisu. Wymogi te powinny być spełnione łącznie".
Prezes UODO podkreślił, że przy przyjęciu odmiennej interpretacji ww. przepisów.
Wnioskodawca zostałby pozbawiony ochrony na gruncie RODO oraz ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych (Dz. U. z 2019 r., poz. 1781). Przyjęcie za prawidłowe stanowiska, iż przetwarzanie danych osobowych w celu uchylenia się od negatywnych skutków w przypadku zgłoszenia w przyszłości ewentualnego i nieokreślonego roszczenia, stanowi prawnie usprawiedliwiony cel w rozumieniu art. 6 ust. 1 lit. f RODO oznaczałoby, że dane osobowe wnioskodawcy mogą być przetwarzane permanentnie, bez konieczności ich usunięcia. Teoretycznie możliwym jest przecież by wnioskodawca zwrócił się do Banku lub BIK z roszczeniem po upływie terminu przedawnienia. Prowadziłoby to tym samym do uznania, że przetwarzanie danych osobowych wnioskodawcy przez Bank i BIK ma uzasadnienie w przesłance określonej art. 6 ust. 1 lit. f RODO w celu realizacji prawa do obrony przed ewentualnym roszczeniem wnioskodawcy również po upływie ww. terminu.
Prezes UODO zaznaczył, że przedawnienie roszczenia nie wywołuje skutków na gruncie ochrony danych osobowych, nie wpływa bowiem na fakt istnienia roszczenia, a powoduje jedynie zmianę w sferze zarzutów procesowych w postaci możliwości podniesienia okoliczności przedawnienia w sporze sądowym. Okolicznością usprawiedliwiającą przetwarzanie danych osobowych w celu dochodzenia roszczeń jest sam fakt istnienia roszczenia oraz zamiar jego dochodzenia, nie jest nią natomiast zmiana w uprawnieniach procesowych podmiotu pozwanego.
W ocenie Prezesa UODO, w sprawie brak jest celu uzasadniającego przetwarzanie danych osobowych wnioskodawcy zawartych w przedmiotowym zapytaniu kredytowym zarówno przez Bank, jak i przez BIK. Bank w związku z pozyskaniem danych osobowych wnioskodawcy w celu oceny zdolności kredytowej stał się administratorem tych danych osobowych. Natomiast BIK stał się administratorem danych osobowych wnioskodawcy z uwagi na przekazanie tych danych przez Bank. W związku z powyższym Bank oraz BIK są odrębnymi administratorami. Każdy z tych podmiotów przetwarza bowiem dane osobowe wnioskodawcy we własnych celach i samodzielnie ustala sposoby ich przetwarzania. Nie zaistniała też żadna z wyrażonych w art. 6 ust. 1 RODO przesłanka, która stanowiłaby o legalności przetwarzania danych osobowych wnioskodawcy przez Bank i BIK. Dlatego też korzystając z uprawnienia przewidzianego w art. 58 ust. 2 lit. c RODO, Prezes UODO nakazał zarówno Bankowi, jak i BIK, będącymi administratorami, usunięcie danych osobowych wnioskodawcy przetwarzanych w związku ze złożonymi zapytaniami kredytowymi z dni [...] stycznia 2019 r., [...] marca 2019 r., [...] maja 2019 r., [...] czerwca 2019 r., [...] czerwca 2019 r., [...] sierpnia 2019 r., [...] września 2019 r., [...] października 2019 r.
Prezes UODO wyjaśnił, że może podejmować tylko te czynności, które znajdują się w zakresie jego uprawnień oraz tylko w tych sprawach, które należą do jego właściwości. Uprawnienia te i właściwość wynikają z RODO, ustawy o ochronie danych osobowych z dnia 10 maja 2018 r. (tj. Dz.U. 2019 poz. 1781), ale także z szeregu regulacji szczegółowych, które wskazują na ograniczenia kompetencji Prezesa UODO w odniesieniu do przetwarzania danych przez określone podmioty bądź w określonych okolicznościach. W sferze kompetencji Prezesa UODO mieści się nakładanie administracyjnych kar pieniężnych, ale nawet w przypadku stwierdzenia naruszenia przepisów o ochronie danych osobowych przez skarżony podmiot, Prezes UODO nie wydaje tego typu decyzji na wniosek wnioskodawcy. Wobec tego składający skargę nie może żądać nałożenia administracyjnej kary pieniężnej na administratora w postępowaniu zainicjowanym jego skargą, bowiem decyzja o nałożeniu administracyjnej kary pieniężnej należy wyłącznie do kompetencji Prezesa UODO.
Prezes UODO zaznaczył, że zgłoszenia naruszenia do organu nadzorczego dokonuje administrator, o ile nie zaistnieje przesłanka określona w art. 33 RODO, wyłączająca taki obowiązek. Obowiązkiem administratora jest zawiadomienie osoby, której dane dotyczą o naruszeniu, o ile naruszenie to może powodować wysokie ryzyko naruszenia praw i wolności osób fizycznych i nie zaistniała jednocześnie jedna z przesłanek określonych w art. 34 ust. 3, która zwalnia administratora z obowiązku zawiadomienia. Do oceny działania administratora w tym zakresie uprawniony jest organ nadzorczy, który po zbadaniu okoliczności związanych ze zgłoszonym naruszeniem może zażądać od administratora zawiadomienia osoby, której dane dotyczą lub stwierdzić, że spełniona została jedna z przesłanek określonych w art. 34 ust. 3. To organ nadzorczy weryfikuje zatem podjęte przez administratora działania. Stroną postępowania dotyczącego zgłoszenia naruszenia może być wyłącznie administrator.
Decyzja Prezesa UODO z dnia [...] sierpnia 2024 r. nr [...] w całości (w zakresie punktu 1 i 2) stała się przedmiotem skargi [....] Bank [...]Spółka Akcyjna z siedzibą [...], reprezentowanego przez radcę prawnego, do Wojewódzkiego Sądu Administracyjnego w Warszawie. Skarga zarejestrowana została w Sądzie pod sygn. akt II SA/Wa 1721/24. Pełnomocnik zarzucił naruszenie przepisów postępowania, które mogło mieć istotny wpływ na wynik sprawy, tj. naruszenie art. 7, art. 77 §1 i art. 80 k.p.a., polegające na niewyczerpującym rozpatrzeniu materiału dowodowego oraz na jego dowolnej ocenie przejawiającej się w uznaniu, że Bank i BIK nie dysponują przesłankami legalizującymi przetwarzanie danych osobowych wnioskodawcy, pomimo że przetwarzanie danych osobowych wnioskodawcy jest niezbędne do realizacji obowiązków prawnych ciążących na Banku i BIK oraz realizacji ich prawnie uzasadnionych interesów; art. 7b k.p.a., polegające na braku zwrócenia się do Komisji Nadzoru Finansowego jako organu właściwego w sprawach związanych m.in. z badaniem zdolności kredytowej i analizą ryzyka kredytowego, a także budową modeli scoringowych oraz do Generalnego Inspektora Informacji Finansowej jako organu właściwego w sprawach związanych m.in. z przeciwdziałaniem praniu pieniędzy i finansowaniu terroryzmu w zakresie wykorzystywania do realizacji tych zadań danych, w tym danych osobowych o niezrealizowanych zapytaniach kredytowych; prawa materialnego, które miało wpływ na wynik sprawy tj. art. 6 ust. 1 lit. f RODO w zw. z art. 117 § 2 i § 21, 118 oraz 119 ustawy z dnia 23 kwietnia 1964 r. Kodeks cywilny, poprzez ich niewłaściwe zastosowanie, polegające na uznaniu, że obrona i dochodzenie roszczeń mogą dotyczyć wyłącznie już istniejących roszczeń; art. 6 ust. 1 lit. c RODO w zw. z art. 39 ust. 1 w zw. z art. 34 ust. 1, art. 35 ust. 1, 36 ust. 1, oraz 49 ustawy z dnia 1 marca 2018 r. o przeciwdziałaniu praniu pieniędzy oraz finansowaniu terroryzmu ("AML") poprzez ich niewłaściwe zastosowanie polegające na przyjęciu, że na Banku nie ciążą obowiązki związane z przeciwdziałaniem praniu pieniędzy oraz finansowaniu terroryzmu wówczas, gdy nie doszło do zawarcia umowy pomiędzy Bankiem a klientem - podczas gdy przepisy te nakładają na banki i BIK obowiązek przetwarzania danych osobowych w celu zapewnienia bezpieczeństwa obrotu gospodarczego poprzez przeprowadzenie szczegółowego badania na temat klientów, w tym przyszłych klientów, jak i badania powiązań kapitałowo-osobowych, w tym w zakresie danych dostarczanych przez wnioskodawcę, w tym także wtedy, gdy ostatecznie pomiędzy stronami nie została ostatecznie zawarta umowa; art. 6 ust. 1 lit. c RODO w zw. z art. 105 ust. 4 i 105a ust. 1 ustawy z dnia 29 sierpnia 1997 r. - Prawo bankowe poprzez ich błędną wykładnię i przyjęcie, że Bank jest jedynie obowiązany do dokonania oceny zdolności kredytowej klientów, podczas gdy z tego przepisu wynika obowiązek dokonania także analizy ryzyka kredytowego; art. 6 ust. 1 lit. c RODO w zw. z art. 105 ust 4 Prawa bankowego poprzez ich błędną wykładnię i przyjęcie, że Bank nie legitymuje się przesłanką do przetwarzania danych, podczas gdy z tego przepisu wynika obowiązek przetwarzania danych, w tym danych z zapytań kredytowych, w zakresie, w jakim informacje te potrzebne są bankom do wykonywania czynności bankowych, w tym oceny zdolności kredytowej i analizy ryzyka kredytowego; art. 6 ust. 1 lit. c RODO w zw. z art. 144 ust. 1 lit. d, art. 145, art. 147 ust. 5 lit. b, art. 170 ust. 3 lit. a, ust. 4 lit. a, 171 ust. 2 oraz art. 179 ust. 1 lit. a Rozporządzenia Parlamentu Europejskiego i Rady nr 575/2013 z dnia 26 czerwca 2013 r. w sprawie wymogów ostrożnościowych dla instytucji kredytowych i firm inwestycyjnych, zmieniające rozporządzenie (UE) nr 648/2012 ("CRR") poprzez ich błędną wykładnię i przyjęcie, że na Banku nie ciążą obowiązki związane z analizą ryzyka kredytowego wówczas, gdy nie doszło do zawarcia umowy pomiędzy Bankiem a klientem; art. 6 ust. 1 lit. c RODO w zw. z art. 70a Prawa bankowego poprzez ich niewłaściwe zastosowanie skutkujące przyjęciem, że Bank może dokonać wyjaśnienia dotyczącego dokonanej oceny zdolności kredytowej wnioskującego bez otrzymanych i przetwarzanych danych osobowych klienta, tylko wtedy, gdy zawarł on umowę z bankiem; art. 6 ust. 1 lit. c RODO w zw. z art. 106d Prawa bankowego poprzez ich niewłaściwe zastosowanie skutkujące przyjęciem, że Bank nie jest uprawniony do przetwarzania danych, w tym danych osobowych zawartych we wnioskach kredytowych celem wypełnienia obowiązków wynikających z Prawa bankowego; podczas gdy wykazuje on cel przetwarzania danych osobowych polegający na analizie danych podanych we wnioskach kredytowych i analizie zapytań kredytowych złożonych w BIK w określonym czasie w celu wykrycia nieścisłości oraz powzięcia informacji mogących stanowić o uzasadnionym podejrzeniu popełnienia przestępstw, o których mowa w art. 106d Prawa bankowego; art. 6 ust. 1 lit. f RODO w związku z Rekomendacjami S, W i T Komisji Nadzoru Finansowego, polegające na ich niewłaściwym zastosowaniu i przyjęciu, że Bank nie legitymuje się przesłanką przetwarzania danych wynikającą z art. 6 ust. 1 lit. f RODO w związku z Rekomendacjami S, W i T Komisji Nadzoru Finansowego, podczas gdy rekomendacje te nakładają na banki, a w konsekwencji także na BIK, jako instytucję gromadzącą dane służące do oceny zdolności kredytowej oraz budującą modele scoringowe służące bankom, określone wymagania, które następnie podlegają egzekwowaniu przez Komisję Nadzoru Finansowego na podstawie bezwzględnie obowiązujących przepisów prawa.
Bank wniósł o uchylenie, na podstawie art. 145 §1 pkt 1 lit. a i c P.p.s.a., zaskarżonej decyzji w całości oraz zasądzenie od organu na rzecz Banku zwrotu kosztów postępowania sądowego, w tym kosztów zastępstwa procesowego, według norm przepisanych oraz opłaty skarbowej od pełnomocnictwa w wysokości 17 zł na podstawie art. 200 P.p.s.a.
Pełnomocnik w uzasadnieniu przytoczył przebieg postępowania oraz szerzej omówił zarzuty skargi. Podkreślił m.in., że przetwarzanie informacji na podstawie 105a ust. 1 Prawa bankowego odbywa się także w celu oceny ryzyka kredytowego – co jasno wynika z literalnego brzmienia tego przepisu "(...) w celu oceny zdolności kredytowej i analizy ryzyka kredytowego". Przywołany przez Prezesa UODO fragment uzasadnienia wyroku NSA z 27 sierpnia 2019 r. (I OSK 2567/17) wprost dotyczy wyłącznie oceny zdolności kredytowej. Bank podniósł, iż pojęcia "zdolności kredytowej" i "ryzyka kredytowego" nie są tożsame. Pierwsze z nich dotyczy rozpoznania i oceny ryzyka związanego z przyznaniem kredytu konkretnej osobie w konkretnej wysokości. Natomiast analiza "ryzyka kredytowego" wiąże się z koniecznością oszacowania ryzyka dla całego banku związanego z danym portfelem zobowiązań. O ile bowiem Bank (samodzielnie lub z pomocą BIK) musi początkowo oszacować, jakiej wysokości kredyt może zaoferować konkretnej osobie, osobną kwestią jest oszacowanie, szczególnie dla zobowiązań średnio i długoterminowych czy prawdopodobne jest, że kredytobiorca będzie spłacał zobowiązanie przez cały okres jego trwania. Co ważne, nie jest to uprawnienie, ale obowiązek Banku.
Pełnomocnik wyjaśnił, że niejako w imieniu osoby wnioskującej o kredyt, musi ustalić, czy ma ona szansę, również za wiele lat, spłacić kredyt i czy nie popadnie w poważne kłopoty finansowe z powodu zbyt dużego obciążenia kredytami. To zadanie ciążące na Banku jest określane jako analiza ryzyka kredytowego osoby wnioskującej o kredyt. Do tego celu bank musi posiadać obiektywne zasady akceptacji (Rekomendacja T KNF, pkt 16.4 oraz 1.4 a) tiret drugi, 1.4 b) tiret drugi). W oparciu o te zasady Bank podejmuje decyzję, czy osoba wnioskująca o kredyt powinna go ostatecznie otrzymać czy też nie. Wskazał, że na system zarządzania ryzykiem banku składają się identyfikacja, pomiar, kontrola oraz monitorowanie ryzyka występującego w działalności banku służące zapewnieniu prawidłowości działania banku (art. 9b ust. 1 Prawa bankowego) w oparciu o określone zasady akceptacji. Odpowiednie monitorowanie ryzyka banku wymaga uwzględnienia informacji, które pozwalają na jego oszacowanie. Z badań wynika, że ilość złożonych zapytań kredytowych powiązana jest z ryzykiem niespłacenia terminowo zaciąganych zobowiązań.
Bank zaznaczył, że podobnie jak w przypadku oceny zdolności kredytowej, w procesie analizy ryzyka kredytowego pomocne są modele scoringowe. Dla ułatwienia zadań związanych z analizą ryzyka kredytowego powołane zostały międzybankowe instytucje (m.in. BIK), uprawnione do gromadzenia i wymiany danych objętych tajemnicą bankową. Rolą BIK jako międzybankowej bazy danych, jest realizacja obowiązku wynikającego z art. 105a ust. 1 i 4 Prawa bankowego, polegającego na dostarczaniu bankom informacji zgromadzonych od innych banków, co pozwala bankowi ocenić z poziomu sektora bankowego czy osoba wnioskująca o kredyt ma szanse spłaty kredytu w terminach ustalonych w umowie. Analiza ryzyka wykonywana na podstawie informacji zgromadzonych w BIK pokazuje, że jeśli osoba wielokrotnie wnioskuje o kredyt, to w przypadku udzielenia kredytu będzie ona miała częściej trudności w regularnej obsłudze zobowiązania, niż osoba o mniejszej historii wnioskowania o kredyt. Istotność tego parametru potwierdza też Rekomendacja TKNF w pkt 17.5 e; zgodnie z tym postanowieniem Bank uwzględnia analizę odsetka wniosków zaakceptowanych, odrzuconych, przełamanych, z podziałem na segmenty klientów, powody odrzucenia, sposoby dystrybucji, cechy produktu itp. w swoje polityce zarządzania ryzykiem ekspozycji. Analogicznie, wiedza na temat wniosków odrzuconych z innych banków pozwala rozróżnić, która osoba wnioskująca byłaby bardziej skłonna do jego spłaty uwzględniając informacje pochodzące z sektora bankowego. Informacja na temat częstego ubiegania się o kredyt osoby wnioskującej wskazuje na zwiększone ryzyka udzielenia finansowania danemu klientowi dla banku. Ocena zdolności kredytowej i analiza ryzyka uzupełniają się wzajemnie, i są procesami silnie związanymi (wątek ten poruszono we wstępie do Rekomendacji T KNF). Na poparcie swojego stanowiska przywołał wyrok Wojewódzkiego Sądu Administracyjnego z dnia 29 października 2021 r. II SA/Wa 506/21 oraz podzielił wyrażony w nim pogląd.
Podsumowując pełnomocnik wskazał, że obowiązek wynikający z przepisu art. 105a ust. 1 i 1a Prawa bankowego dotyczy przetwarzania danych przed przyznaniem kredytu, w trakcie jego spłaty i przetwarzania danych przez minimalny okres w przypadku nieudzlelenia kredytu - dla celu oszacowania ryzyka spłaty innych kredytów. Dopiero kolejne obowiązki wynikające z przepisu art. 105a Prawa bankowego tj. ust. 2 i 3 regulują kwestie przetwarzania danych po wygaśnięciu zobowiązania, a więc odnoszą się do powstałych zobowiązań. Ponadto, przepis ten nie jest jedynym źródłem obowiązków w zakresie oceny zdolności kredytowej, gdyż osobną podstawą przetwarzania danych w tym wypadku są przepisy CRR.
Pełnomocnik zaznaczył, że zgodnie z wymogami stawianymi bankom przez przepisy CRR, konieczne w przypadku danego rodzaju portfela kredytowego może okazać się wykorzystanie indywidualnych danych o zaciągniętych zobowiązaniach, w tym informacji z wniosków kredytowych. Ocena zdolności i systemy scoringowe jej służące muszą bowiem wskazywać ryzyko indywidualne, dla konkretnego dłużnika (art. 170 ust. 3 lit. a, ust. 4 lit. a CRR), obok ryzyka portfelowego. Jakość danych wykorzystywanych dla wypełnienia obowiązków wskazanych w przepisach CRR jest kwestią kluczową, co znajduje także potwierdzenie w wytycznych Europejskiego Urzędu Nadzoru Bankowego, dotyczących szacowania wartości PD (prawdopodobieństwo niewykonania zobowiązania), szacowania wartości LGD (straty z tytułu niewykonania zobowiązania) oraz postępowania z ekspozycjami cechującymi się niewykonaniem zobowiązania. M. in. w punkcie 17 wytycznym Urząd stwierdza: "Aby dane wykorzystywanie do opracowania modelu i stosowania parametrów ryzyka jako parametry wejściowe do modelu spełniały wymogi dokładności, kompletności i trafności określone w art. 174 lit. b) rozporządzenia (UE) nr 575/2013, powinny one być wystarczająco precyzyjne, aby uniknąć ważniejszych zakłóceń wyniku klasyfikowania ekspozycji do klas lub pul dłużników lub instrumentów i nie powinny zawierać żadnych błędów, które sprawią, że dane nie będą nadawały się do określonego celu". Bank musi bowiem powtórzyć analizę ryzyka na podstawie zgromadzonej wiedzy na temat wszystkich osób, które wnioskowały o kredyt - zarówno tych z przyznanym kredytem, jak i tych z odmową przyznania kredytu (powołany już pkt 17.5 lit. e Rekomendacji T: wskazujący na konieczność analizy odsetka wniosków zaakceptowanych, odrzuconych, przełamanych, z podziałem na segmenty klientów, powody odrzucenia, sposoby dystrybucji, cechy produktu itp.) dla całego portfela zobowiązań. Może to zrobić samodzielnie lub z pomocą BIK. Do tego celu niezbędne jest wykorzystanie informacji świadczących o podwyższonym ryzyku niespłacenia zobowiązania, do których należy informacja o wielokrotnym ubieganiu się o kredyt. Osobnym obowiązkiem jest zachowanie spójności przyjętego modelu (scoringu). Zgodnie z przepisem art. 145 ust. 1 CRR, instytucja stosująca metodę IRB (tj. metodę wewnętrznych ratingów) ma korzystać w odniesieniu do danej kategorii ekspozycji IRB co najmniej przez trzy lata z systemów ratingowych, które odpowiadały w znacznym stopniu wymogom określonym w sekcji 6 CRR, dotyczącym wewnętrznego pomiaru ryzyka i zarządzania ryzykiem (art. 145 ust. 1 CRR); obowiązek stosowania spójnego modelu jest następnie powtórzony w art. 147 ust. 5 lit. b CRR. Niemożliwe jest zatem, przy prawidłowym wypełnianiu obowiązków z CRR, dowolne modyfikowanie stosowanych modeli scoringowych w trakcie ich stosowania czy nagłe usuwanie danych (konieczność przeprowadzenia audytów podkreślono także w pkt 13.2 Rekomendacji W KNF). Dla możliwości monitorowania działania modelu, potrzebne jest porównywanie danych z różnych okresów. Innymi słowy, z uwagi na potwierdzenie wartości informacji dotyczących ubiegania się o kredyt i jej obecne wykorzystywanie w modelach banku, niemożliwe jest jej nieuwzględnienie przez okres co najmniej 12 miesięcy, gdyż nagła zmiana modelu powoduje, że staje się on niewiarygodny i nie pozwala bankowi na porównywanie i skuteczne monitorowanie zmian swojej ekspozycji kredytowej. Zachowanie spójności modelu akcentowane jest również w Rekomendacji W KNF, zgodnie z którą Bank powinien posiadać sformalizowane zasady określające role i odpowiedzialności uczestników procesu zarządzania ryzykiem modeli oraz standardy w zakresie budowy, wdrażania, stosowania, weryfikacji jakości działania i dokumentacji modeli oraz procesu przygotowywania danych służących do budowy i bieżącego zasilania modeli (rekomendacja nr 5). Bank z uwagi na dowody związku pomiędzy informacją dotyczącą wielokrotnego ubiegania się o kredyt nie ma podstaw do usunięcia tych informacji ze swoich modeli. Ich usunięcie byłoby zakwestionowane przez KNF i uniemożliwiłoby wykonywanie obowiązków wynikających z przepisów CRR. Nieuwzględnienie danych pochodzących z wniosków i zapytań kredytowych byłoby w tym kontekście niezrozumiałe i niecelowe.
Pełnomocnik wyjaśnił, że do środków bezpieczeństwa finansowego należą także identyfikacja klienta oraz weryfikacja jego tożsamości (art. 34 ust. 1 pkt 1AML), a ta powinna nastąpić przed nawiązaniem stosunków gospodarczych lub przeprowadzeniem transakcji okazjonalnej (art. 39 ust. 1 AML). Bez znaczenia pozostaje zatem fakt ostatecznego braku zawarcia umowy z klientem. Wskazał, iż zasady akceptacji stosowane wobec wniosków kredytowych uwzględniają cechy osoby wnioskującej o kredyt, m.in. osiągane dochody, stabilność zatrudnienia, wykształcenie, sytuację rodzinną, które są poświadczane bankowi przez samą osobę wnioskującą o kredyt oraz w oparciu o dane zgromadzone w BIK. Dlatego tak ważne jest, aby przeprowadzić analizę danych podanych we wnioskach kredytowych i analizę zapytań kredytowych złożonych w BIK w określonym czasie.
Bank wyjaśnił, że jest zobowiązany przetwarzać dane przez taki okres, jaki pozwala na faktyczne skorzystanie przez osobę ubiegającą się o kredyt na skorzystanie z prawa do uzyskania indywidualnego wyjaśnienia na temat oceny zdolności kredytowej. Wyjaśnienie to obejmuje informacje na temat czynników, w tym danych osobowych wnioskującego, które miały wpływ na dokonaną ocenę zdolności kredytowej. Przepisy nie określają okresu przechowywania danych niemniej przyjęcie zbyt krótkiego okresu przetwarzania danych powodowałoby brak możliwości skorzystania ze wspomnianego uprawnienia, bowiem w przypadku natychmiastowego usunięcia danych, Bank nie miałby podstaw do ich analizy i wyjaśnienia wątpliwości klienta. Bank stoi na stanowisku, że usunięcie danych osobowych uniemożliwiłoby także podjęcie jakiejkolwiek obrony lub skuteczne dochodzenie roszczeń, których źródłem nie musi być wyłącznie zawarta już umowa, mogą one mieć związek także z czynnościami podjętymi przed jej zawarciem (i to nawet wtedy, gdy ostatecznie do tego nie dojdzie). Pełnomocnik podniósł również, że wyczerpujące zbadanie wszystkich okoliczności faktycznych sprawy wymagało współdziałania Prezesa UODO zarówno z KNF (w zakresie dotyczącym PB i CRR), jak i z Generalnym Inspektorem Informacji Finansowej (w zakresie dotyczącym AML).
Prezes Urzędu Ochrony Danych Osobowych w odpowiedzi na skargę Banku wniósł o jej oddalenie, podtrzymując swoje stanowisko wyrażone w zaskarżonej decyzji. Organ odniósł się do zarzutów skargi Banku. Dodatkowo Prezes UODO zwrócił uwagę, że w przypadku interpretacji Rekomendacji KNF Bank powinien uwzględnić przepisy o ochronie danych osobowych i przez ich pryzmat interpretować zalecenia KNF. W ocenie Prezesa UODO przy ocenie niniejszej sprawy przede wszystkim nie można pomijać zmiany relacji pomiędzy przepisami o ochronie danych osobowych a Prawem bankowym po wejściu w życie RODO w dniu 25 maja 2018 r. W przypadku kolizji przepisów poprzednio obowiązującej ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. 2016 r. poz. 922 ze zm.), z przepisami innej ustawy bardziej szczegółowo regulującymi przetwarzanie danych osobowych np. art. 105a Prawa bankowego, stosowano przepisy o większym stopniu szczegółowości przed ogólnymi przepisami regulującymi przetwarzanie danych osobowych zawartych w ustawie z 1997 r. Natomiast po 25 maja 2018 r. w przypadku kolizji przepisów RODO a przepisami ustawy szczegółowo regulującym przetwarzanie danych osobowych, mają one być stosowane tak, aby nie pozostawały w sprzeczności z wymogami RODO, jako aktu prawnego wyższego rzędu niż ustawa. Powyższe ma o tyle istotne znaczenie, że chociażby rekomendacja T KNF została przygotowana przez KNF w 2013 r., czyli przed wejściem w życie RODO, które zmieniło relacje przepisów o ochronie danych osobowych i przepisów zawartych w Prawie bankowym.
Decyzja Prezesa UODO z dnia [...] sierpnia 2024 r. nr [...] w zakresie punktu 1 stała się przedmiotem skargi Biura Informacji Kredytowej S.A. z siedzibą w [...], reprezentowanego przez adwokata. Skarga zarejestrowana została w Sądzie pod sygn. akt II SA/Wa 1722/24. Pełnomocnik zarzucił naruszenie:
- art. 6 ust. 1 lit. c) RODO w zw. z art. 105 ust. 1 pkt. 1c w zw. z art. 105 ust. 4 i w zw. z art. 105a w zw. z art. 70 i art. 5 ust. 1 pkt. 3 ustawy Prawo bankowe poprzez jego niezastosowanie i w konsekwencji niezasadne przyjęcie, że skarżący nie posiada ww. podstawy prawnej do przetwarzania danych zawartych w zapytaniu kredytowym w przypadku nie zawarcia umowy kredytowej, podczas gdy BIK jest ustawowo zobowiązany do realizacji obowiązku prawnego wynikającego z ww. przepisów polegającego na gromadzeniu, przetwarzaniu i udostępnianiu bankom oraz podmiotom szczegółowo wskazanym w przepisie informacji stanowiących tajemnicę bankową w zakresie, w jakim informacje te są potrzebne w związku z wykonywaniem czynności bankowych w postaci oceny zdolności kredytowej oraz analizy ryzyka kredytowego konkretnego klienta (indywidualna ocena zdolności kredytowej) oraz w związku ze stosowaniem metod wewnętrznych oraz innych metod i modeli, o których mowa w części trzeciej rozporządzenia Parlamentu Europejskiego i Rady (UE) nr 575/2013 z dnia 26 czerwca 2013 r. w sprawie wymogów ostrożnościowych dla instytucji kredytowych i firm inwestycyjnych, zmieniające rozporządzenie (UE) nr 648/2012 (dalej jako: rozporządzenia nr 575/2013); ewentualnie, na wypadek nieuwzględnienia ww. zarzutu, zarzucił naruszenie art. 6 ust. 1 lit. f) RODO poprzez jego niezastosowanie wskutek przyjęcia, że skarżący nie posiada podstawy prawnej przetwarzania danych uczestnika 2 opartej na prawnie uzasadnionym interesie administratora oraz podmiotów trzecich wskazanych w art. 105 ust. 4 pkt. 1-5 Prawa bankowego, w postaci realizacji obowiązku gromadzenia, przetwarzania oraz udostępnienia bankom oraz podmiotom wskazanym w ww. przepisie informacji stanowiących tajemnicę bankową w zakresie, w jakim informacje te są potrzebne w związku z wykonywaniem czynności bankowych w postaci oceny zdolności kredytowej oraz analizy ryzyka kredytowego konkretnego klienta (indywidualna ocena zdolności kredytowej), w celu budowy i utrzymania modeli scoringowych, a więc narzędzi wykorzystywanych przez banki do oceny zdolności kredytowej i analizy ryzyka kredytowego oraz w związku ze stosowaniem metod wewnętrznych oraz innych metod i modeli, o których mowa w części trzeciej rozporządzenia nr 575/2013;
- art. 6 ust. 1 lit. c) RODO w zw. z art. 70a w zw. z art. 105 ust. 4 pkt. 1 i 2 oraz w zw. z art. 105a Prawa bankowego poprzez jego niezastosowanie wskutek uznania, że skarżący nie posiada podstawy prawnej do przetwarzania danych Uczestnika 2 w sytuacji niezawarcia umowy kredytowej, podczas gdy skarżący posiada podstawę prawną przetwarzania z uwagi na niezbędność przetwarzania do wykonania obowiązku prawnego przez banki i BIK, w postaci obowiązku przekazania osobie ubiegającej się o kredyt w formie pisemnej na jego wniosek wyjaśnień dotyczących dokonanej oceny zdolności kredytowej wnioskującego;
- art. 6 ust. 1 lit. f) RODO poprzez jego niezastosowanie wskutek uznania, że przetwarzanie danych osobowych dla realizacji prawnie uzasadnionych interesów administratora danych w celach zabezpieczenia roszczeń może dotyczyć wyłącznie roszczeń istniejących i aktualnie dochodzonych i w konsekwencji nieuzasadnione przyjęcie, że prawnie uzasadniony interes administratora danych nie istnieje w sytuacji konieczności przetwarzania danych osobowych do ochrony przed roszczeniami istniejącymi, ale nie dochodzonymi w chwili dokonywania oceny, podczas gdy istotą uzasadnionego interesu administratora jest możliwość przetwarzania danych na wypadek konieczności obrony przed roszczeniami istniejącymi lub dochodzenia w przyszłości roszczeń istniejących, które w warunkach niniejszej sprawy są związane z przetwarzaniem danych osobowych na potrzeby opracowania oceny scoringowej Uczestnika 2 niezbędnej do przeprowadzenia analizy zdolności kredytowej oraz analizy ryzyka kredytowego, które to zobowiązany jest gromadzić, przetwarzać i udostępniać bankom i instytucjom ustawowo upoważnionym do udzielania kredytów dla realizacji celów ustawowych badania zdolności kredytowej;
- art. 6 ust. 1 lit. f) RODO poprzez jego niezastosowanie wskutek uznania, że w przypadku braku zawarcia umowy kredytowej, BIK nie posiada prawnie uzasadnionego interesu w przetwarzaniu danych Uczestnika 2, podczas gdy istnieje prawnie uzasadniony interes skarżącego w przetwarzaniu tych informacji pomimo niezawarcia umowy kredytowej, polegający na realizacji działań z zakresu opracowania, utrzymania aktualności i funkcjonalności zbudowanych modeli scoringowych w zgodzie z treścią Rekomendacji W, S i T Komisji Nadzoru Finansowego w zakresie dobrych praktyk i zarządzania ryzykiem kredytowym;
- art. 7 k.p.a., art. 77 k.p.a. w zw. z art. 80 k.p.a. w zw. z art. 107 § 3 k.p.a. w zw. z art. 7
ust. 1 u.o.d.o. poprzez niezbadanie przez organ wszystkich podstaw prawnych dalszego przetwarzania danych o zapytaniach kredytowych, w sytuacji nieudzielenia kredytu, pomimo, iż przepisy prawa upoważniają skarżącego do przetwarzania tych danych, niewystarczające wyjaśnienia podstaw prawnych decyzji oraz brak oceny istotnych okoliczności sprawy, co w konsekwencji doprowadziło do błędnego nakazania skarżącemu usunięcia przetwarzanych danych osobowych Uczestnika 2 oraz uniemożliwiło skarżącemu zapoznanie się z powodami negatywnej oceny wskazanych przez skarżącego podstaw przetwarzania;
- art. 7, w zw. z art. 77 § 1 i w zw. z art. 80 k.p.a., w zw. z art. 7 u.o.d.o., poprzez niewyczerpujące zebranie, nierozpatrzenie i błędną ocenę całokształtu materiału dowodowego przejawiającego się w zaniechaniu dokonania wyczerpującej analizy charakteru, zakresu oraz celów gospodarczo - ekonomicznych dla jakich zostało powołane Biuro Informacji Kredytowej S.A. oraz obowiązków prawnych i obowiązków wynikających z zawartych przez BIK umów z bankami, skutkującą wadliwą i niepełną oceną stanu faktycznego sprawy oraz charakteru działania skarżącego, co w konsekwencji skutkowało nieuzasadnionym wydaniem przez organ nakazu usunięcia danych osobowych Uczestnika 2;
- art. 7b k.p.a. w zw. z art. 7 k.p.a. w zw. z art. 77 k.p.a. w zw. z art. 7 u.o.d.o. poprzez niedokładne wyjaśnienie stanu faktycznego i prawnego koniecznego do podjęcia przez organ stosownych czynności, a w szczególności niezwrócenie się do Komisji Nadzoru Finansowego w celu kompleksowego wyjaśniania stanu faktycznego sprawy oraz współdziałania w zakresie niezbędnym do dokładnego wyjaśnienia stanu prawnego, mając na względzie interes społeczny i słuszny interes obywateli w postaci ustalenia należytych zasad, celów i zakresu przetwarzania danych osobowych o niezrealizowanych zapytaniach kredytowych tak, by procesy przetwarzania danych czyniły zadość zarówno przepisom prawa o ochronie danych osobowych, jak i przepisom szeroko pojętego prawa bankowego, w szczególności dla zapewnienia ochrony wartości, których gwarancje ochrony wynikają z ww. przepisów zgodnie z zasadą proporcjonalności;
- art. 7 k.p.a., art. 77 § 1 k.p.a. i art. 80 k.p.a. poprzez zaniechanie dokonania oceny Rekomendacji S, W i T Komisji Nadzoru Finansowego jako organu właściwego do sprawowania nadzoru nad instytucjami krajowymi w rozumieniu przepisów UE (regulatora rynku finansowego), które to regulacje nakładają na banki, a w konsekwencji na BIK, jako instytucję gromadzącą dane służące do oceny zdolności kredytowej oraz budującą modele scoringowe służące bankom, określone wymagania, które podlegają nadzorowi i egzekwowaniu przez Komisję Nadzoru Finansowego na podstawie bezwzględnie obowiązujących przepisów prawa, co w konsekwencji doprowadziło do zaniechania przez organ oceny podstaw prawnych i celów dla jakich BIK oraz banki są upoważnione do przetwarzania danych w zakresie zdolności kredytowej również w przypadku nie zawarcia umowy kredytowej dla zabezpieczenia interesów banków oraz stabilności rynku gospodarczo-finansowego;
- art. 7 k.p.a., art. 77 k.p.a. w zw. z art. 80 k.p.a. poprzez zaniechanie wyczerpującego zebrania i rozpatrzenia materiału dowodowego, przejawiające się w szczególności brakiem dokonania analizy podstawowych zasad funkcjonowania stabilnego sektora finansowego w tym pod kątem istnienia - po stronie banków, a w konsekwencji BIK jako instytucji gromadzącej dane służące do oceny zdolności kredytowej oraz budującej modele scoringowe służące bankom - oczywistego interesu prawnego przejawiającego się w odmowie udzielenia kredytu wynikającego z braku istnienia zdolności kredytowej po stronie Uczestnika 2, co prowadzi do zabezpieczenia interesu banków przed nieodpowiedzialną polityką udzielania kredytów osobom, które nie mają szans na ich spłacenie oraz do zapewnienia stabilności gospodarczo-ekonomicznej sektora bankowego, a w ujęciu makro zapobieganiu kryzysom gospodarczym.
BIK wniósł o uchylenie decyzji w zaskarżonej części oraz zasądzenie od organu na rzecz skarżącego zwrotu kosztów postępowania według norm przepisanych, w tym kosztów zastępstwa procesowego (w tym zwrotu opłaty skarbowej od pełnomocnictwa w kwocie 17 zł), na podstawie art. 200 P.p.s.a.
Pełnomocnik BIK w uzasadnieniu przytoczył przebieg postępowania oraz szerzej omówił zarzuty skargi, przytaczając na ich poparcie orzecznictwo sądów administracyjnych. Wskazał m.in., że BIK jest instytucją, o której mowa w art. 105 ust. 4 pkt 1 Prawa bankowego, powołaną w celu zapewnienia sprawnej wymiany informacji w sektorze bankowym. Skarżący pozostaje organizacyjnym i technologicznym wsparciem banków, instytucją służebną wobec banków, a jednocześnie integralnym elementem sektora bankowego, który umożliwia bankom realizację obowiązku wymiany informacji wynikającego wprost z art. 105 ust. 1 Prawa bankowego. Celem działalności skarżącego jest gromadzenie, przetwarzanie i udostępnianie bankom informacji stanowiących tajemnicę bankową w zakresie w jakim informacje te są potrzebne w związku z wykonywaniem czynności bankowych oraz w związku ze stosowaniem metod wewnętrznych oraz innych metod i modeli, o których mowa w części trzeciej rozporządzenia nr 575/2013. Powyższe cele przetwarzania danych osobowych i obowiązki skarżącego wynikają bezpośrednio z celu powołania skarżącego i celów jego działalności, określonych w art. 105 ust. 4 Prawa bankowego, a ww. obowiązek prawny skarżącego do gromadzenia, przetwarzania i udostępniania informacji stanowiących tajemnicę bankową, w tym danych osobowych, należy wywodzić bezpośrednio z faktu powołania skarżącego na mocy art. 105 ust. 4 Prawa bankowego w zw. z adekwatnymi przepisami, dotyczącymi bezpośrednio realizacji przez skarżącego działalności w zakresie wsparcia banków w związku z wykonywaniem czynności bankowych oraz w związku ze stosowaniem metod wewnętrznych oraz innych metod i modeli, o których mowa w części trzeciej rozporządzenia nr 575/2013.
Pełnomocnik BIK wyjaśnił, że dla dokonania oceny zdolności kredytowej stosuje się metody ratingu ryzyka, tzw. metody scoringowe. Modele te pozwalają na skuteczne zabezpieczenie sektora finansowego, w szczególności banków, a w ujęciu makroekonomicznym całej gospodarki przed udzielaniem kredytów osobom, które nie mają szans na ich spłatę, ergo stosowanie poprawnie działających modeli scoringowych przeciwdziała nieodpowiedzialnej polityce udzielania kredytów. Informacja o złożonym zapytaniu kredytowym oraz treść złożonego zapytania są ważnymi zmiennymi pozwalającymi na kalibrację wykorzystywanych przez skarżącego modeli scoringowych i stanowi jeden z elementów konstrukcyjnych tych modeli. Modele scoringowe, jak każdy model ratingowy oparty na zasadach statystycznych, uwzględnia częstotliwość złożonych zapytań kredytowych, wysokość wnioskowanego finansowania oraz przyznane w wyniku tych zapytań wyniki ratingu ryzyka i na tej podstawie pozwala na ocenę ryzyka związanego z udzieleniem finansowania i uniknięcia nadmiernej ekspozycji indywidualnej jednostki na zobowiązania związane ze spłatą udzielonego finansowania. Z drugiej strony, informacje o złożonych zapytaniach kredytowych na zasadzie art. 105 ust. 1 pkt 1-1c w zw. z art. 105 ust. 4 oraz w zw. z art. 105a ust. 1 Prawa bankowego, jest informacją ujawnianą przez skarżącego bankom i instytucjom kierującym odpowiednie zapytania do skarżącego - w ramach realizacji przez skarżącego obowiązków prawnych wynikających z ww. przepisów.
Pełnomocnik BIK zaznaczył, iż sektor bankowy pełni bardzo ważną rolę w zapewnieniu stabilności gospodarczej państwa. Nieodpowiedzialna polityka finansowania powoduje mniej lub bardziej istotne zachwiania stabilności gospodarczej, co prowadzi do trudnych i długotrwałych kryzysów, skutkując realnym zagrożeniem lub szkodą na dobrobycie każdego z nas. Stabilność sektora finansowego jest zabezpieczana m.in. poprzez podejmowanie wszelkich działań mających na celu zmitygowanie ryzyka wystąpienia poważnych kryzysów gospodarczych poprzez odpowiedzialną politykę udzielania kredytów i profesjonalną ocenę implikacji udzielonego finansowania i możliwości odzyskania kapitału. Na instytucjach sektora bankowego jako podmiotach zaufania publicznego, spoczywa obowiązek zabezpieczenia stabilności ekonomicznej i finansowej. Oznacza to m.in. konieczność przeciwdziałania udzielaniu finansowania, co do którego istnieje zbyt duże ryzyko, że nie zostanie on zwrócony. Bez stosowania modeli i metod oceny ryzyka kredytowego, realizacja powyżej wskazanych zadań instytucji sektora bankowego jest niemożliwa, a jak już wskazano powyżej, dla poprawnej budowy takich modeli niezbędne jest przetwarzanie informacji stanowiących tajemnicę bankową, w tym danych osobowych, także wnioskodawcy (M. I.). Prezes UODO nie wziął pod uwagę m.in. poważnych konsekwencji dla stabilności rynku finansowego, wynikających z ewentualnego nieuwzględnienia danych wnioskodawcy jako danych wsadowych w procesie budowania modelu scoringowego. Usunięcie danych wnioskodawcy przez skarżącego może wpłynąć na indywidualną ocenę zdolności kredytowej wnioskodawcy, bowiem uniemożliwi wzięcie pod uwagę powodów danej oceny indywidualnego ryzyka kredytowego wnioskodawcy, w tym informacji o kryteriach i zmiennych, jakie zostały wzięte pod uwagę podczas tej oceny, co w konsekwencji spowoduje powstanie luki w danych wsadowych umożliwiających budowanie poprawnych, funkcjonalnych i skutecznych modeli scoringowych, najwierniej oddających obraz rzeczywistości i realiów gospodarczych, w których funkcjonuje sektor bankowy.
Pełnomocnik BIK zwrócił uwagę, że przetwarzanie danych osobowych wnioskodawcy przez skarżącego nawet w sytuacji, gdy nie doszło pomiędzy Bankiem i wnioskodawcą do zawarcia umowy kredytowej, jest niezbędne dla realizacji rekomendacji W, S i T KNF - przetwarzanie takie odbywa się dla realizacji prawnie uzasadnionych interesów skarżącego w postaci realizacji rekomendacji W, S i T KNF, a w konsekwencji zapewnienia narzędzi i możliwości zarządzania ryzykiem kredytowym i realizacji dobrych praktyk obowiązujących w sektorze bankowym, na podstawie art. 6 ust. 1 lit. f) RODO. Wypełnienie nakazu Prezesa UODO w postaci usunięcia danych osobowych wnioskodawcy w zakresie wynikającym ze wskazanego wyżej zapytania kredytowego, przekazanych skarżącemu przez Bank prowadziłoby do uniemożliwienia skarżącemu realizacji rekomendacji W, S i T KNF, co w konsekwencji może prowadzić do wykluczenia skarżącego z rynku finansowego. Pełnomocnik BIK zarzucił organowi, że ten nie podjął konsultacji z KNF celem ustalenia, jakie dane, w jakim zakresie i przez jaki czas muszą być przetwarzane przez skarżącego w związku z realizacją przez skarżącego zadań w charakterze instytucji sektora bankowego. Brak współdziałania Prezesa UODO z KNF doprowadził do niewzięcia pod uwagę przez Prezesa UODO interesu społecznego oraz słusznego interesu obywateli, co w konsekwencji doprowadziło do sytuacji, w której brak jest możliwości weryfikacji osoby w oparciu o wszystkie dane niezbędne do ww. celu.
Pełnomocnik BIK wskazał, że skarżący uczestniczy w procesie badania zdolności kredytowej m.in w następującym zakresie: poprzez dostarczanie bankom informacji niezbędnych do stosowania przez banki metod wewnętrznych oraz innych metod i modeli, o których mowa w części trzeciej rozporządzenia nr 575/2013 (zgodnie z art. 105 ust. 4 pkt 1) Prawa bankowego; poprzez dostarczanie wprost informacji niezbędnych dla prowadzenia przez instytucje kredytowe oceny zdolności kredytowej (zgodnie z art. 105 ust. 4 pkt 3) Prawa bankowego); poprzez dostarczanie wprost informacji niezbędnych dla prowadzenia przez instytucje pożyczkowe i podmioty, o których mowa w art. 59d ustawy z dnia 12 maja 2011 r. o kredycie konsumenckim oceny zdolności kredytowej i analizy ryzyka kredytowego. Skarżący pozostaje również podmiotem, od którego każda osoba, której indywidualna ocena ryzyka kredytowego została przeprowadzona przez skarżącego, na podstawie modelu scoringowego opracowanego przez skarżącego lub na podstawie informacji ujawnionych przez skarżącego na mocy przepisów Prawa bankowego, może dochodzić swoich praw. Uprawnienia wnioskodawcy do ochrony przysługujących mu praw zaktualizowały się w związku z działaniami już podjętymi przez skarżącego na etapie realizacji przez skarżącego jego obowiązków wynikających z przepisów Prawa bankowego i procedowania wniosku o finansowanie złożonego przez wnioskodawcę w Banku. Jest to moment, w którym zaistniały po stronie wnioskodawcy roszczenia, których to może dochodzić wobec skarżącego. W konsekwencji, podstawy do dochodzenia roszczeń w celu ochrony praw przez wnioskodawcę istnieją i pozostają realne, zatem istnieje również roszczenie po stronie wnioskodawcy. Równie realna pozostaje konieczność obrony swoich przeciwnych praw przez skarżącego wobec tych roszczeń. W ocenie skarżącego ograniczenie przesłanki możliwości przetwarzania danych osobowych dla zabezpieczenia roszczeń wyłącznie do sytuacji, w których roszczenia są już dochodzone, powoduje istotne ograniczenie w korzystaniu przez skarżącego z zagwarantowanego w Konstytucji Rzeczpospolitej Polskiej prawa do sądu.
Prezes UODO w odpowiedzi na skargę BIK wniósł o jej oddalenie, podtrzymując stanowisko wyrażone w zaskarżonej decyzji. Organ odniósł się do zarzutów skargi.
Organ w uzasadnieniu podkreślił m.in., że nie neguje sensu istnienia rekomendacji wydawanych przez Komisję Nadzoru Finansowego, jak też ich przydatności dla funkcjonowania całego sektora bankowego. Informacje o współpracy banków z klientami z pewnością są istotną okolicznością dla skutecznej oceny zdolności kredytowej, analizy ryzyka kredytowego i budowy modeli scoringowych, jednakże powyższe nie oznacza, że uprawnienie w zakresie pozyskiwania i przetwarzania danych osobowych, obrazujących historię relacji klienta i banku, nie podlegają ograniczeniom. Banki oraz BIK przy realizacji swoich zadań oraz stosowaniu zaleceń formułowanych przez organ nadzoru finansowego są obowiązane uwzględniać ograniczenia w pozyskiwaniu i przetwarzaniu danych osobowych klientów banków, wynikające z przepisów dotyczących ochrony osób w związku z przetwarzaniem dotyczących ich danych osobowych. Dodatkowo Prezes UODO zwrócił uwagę, że w przypadku interpretacji Rekomendacji KNF, BIK powinien uwzględnić przepisy o ochronie danych osobowych i przez ich pryzmat interpretować zalecenia KNF. Rekomendacje KNF nie mogą być stosowane przez BIK w oderwaniu od zmian przepisów, gdyż może to doprowadzić do błędnego stosowania ww. rekomendacji przed prawem stanowionym. BIK powinien mieć na uwadze, że rekomendacje KNF dotyczą stanu prawnego aktualnego na dzień ich wydania przez KNF, co oznacza, że z biegiem czasu część rekomendacji może ulegać dezaktualizacji lub powinna być interpretowana z uwzględnieniem aktualnych przepisów prawa.
Wojewódzki Sąd Administracyjny w Warszawie na rozprawie w dniu 8 lipca
2025 r. połączył sprawę ze skargi Banku i BIK do wspólnego rozpoznania i rozstrzygnięcia oraz prowadzenia pod sygn. akt II SA/Wa 1721/24.
Wojewódzki Sąd Administracyjny w Warszawie zważył, co następuje.
Zgodnie z art. 1 § 1 i 2 ustawy z dnia 25 lipca 2002 r. – Prawo o ustroju
sądów administracyjnych (Dz. U. z 2024 r., poz. 1267), sądy administracyjne sprawują wymiar sprawiedliwości przez kontrolę działalności administracji publicznej, przy czym kontrola ta sprawowana jest pod względem zgodności z prawem, jeżeli
ustawy nie stanowią inaczej. Sąd rozstrzyga w granicach danej sprawy, nie będąc jednak związany zarzutami i wnioskami skargi oraz powołaną podstawą prawną (art. 134 § 1 ustawy z dnia 30 sierpnia 2002 r. - Prawo o postępowaniu przed sądami administracyjnymi (Dz.U. z 2024 r., poz. 935), zwanej dalej P.p.s.a.).
Skargi Banku i BIK oceniane w świetle powyższych kryteriów nie podlegały uwzględnieniu. Zaskarżona decyzja Prezesa UODO z dnia [...] sierpnia 2024 r. w całości, a zatem zarówno w części dotyczącej rozstrzygnięcia zawartego w punkcie 1 jak i 2, nie narusza prawa. Organ podjął w tej sprawie decyzję po dokonaniu pełnych ustaleń stanu faktycznego niezbędnych do jej rozstrzygnięcia. Sprawa niniejsza prawidłowo rozpatrzona i rozstrzygnięta została na podstawie RODO. Wszystkie zarzuty naruszenia prawa procesowego i materialnego Sąd uznał za nieuzasadnione.
W sprawie jest bezsporne, że przetwarzanie danych osobowych M. I. (wnioskodawcy) przez Bank i BIK, o którym mowa w sprawie miało miejsce w czasie obowiązywania RODO, tj. w 2019 r. Sprawa dotyczy przetwarzania danych osobowych wnioskodawcy w zakresie wynikającym z zapytań kredytowych z [...] stycznia 2019 r., [...] marca 2019 r., [...] maja 2019 r., [...] czerwca 2019 r., [...] czerwca 2019 r., [...] sierpnia 2019 r., [...] września 2019 r., [...] października 2019 r.
Ustalenia stanu faktycznego co do pozyskanych przez Bank i BIK danych osobowych wnioskodawcy w związku z tymi zapytaniami kredytowymi są bezsporne.
Dokonując oceny zgodności z prawem zaskarżonej decyzji w zakresie punktu 1 i 2, którą Prezes UODO nakazał BIK (w punkcie 1) i Bankowi (w punkcie 2) usunięcie danych osobowych wnioskodawcy w zakresie wynikającym z zapytań kredytowych [...] stycznia 2019 r., [...] marca 2019 r., [...] maja 2019 r., [...] czerwca 2019 r., [...] czerwca 2019 r., [...] sierpnia 2019 r., [...] września 2019 r., [...] października 2019 r. Sąd stwierdził, że zaskarżona decyzja nie narusza prawa materialnego, a także prawa procesowego. Organ podjął w tej sprawie decyzję po dokonaniu pełnych ustaleń stanu faktycznego niezbędnych do jej rozstrzygnięcia. Organ nie naruszył art. 7, art. 77 § 1, art. 80, czy art. 107 § 3 k.p.a. Ustalenia faktyczne poczynione przez organ w zaskarżonej decyzji są prawidłowe i opierają się na wyjaśnieniach Banku i BIK udzielonych w tej sprawie organowi. Uzasadnienie decyzji przedstawia ustalenia faktyczne w sposób wystarczająco wyczerpujący, odnoszący się do istoty sprawy. Ustalenia organu znajdują odzwierciedlenie w aktach postępowania administracyjnego. Uzasadnienie zaskarżonej decyzji zawiera wszystkie wymagane przepisem art. 107 § 3 k.p.a. elementy i pozwala na dokonanie kontroli zaskarżonej decyzji.
Dokonując oceny zgodności z prawem zaskarżonej decyzji w zakresie punktu 1 i 2, którą Prezes UODO nakazał odpowiednio BIK i Bankowi usunięcie danych osobowych uczestnika postępowania wynikających z zapytań kredytowych wymienionych już wyżej, wskazać na wstępie należy, że zgodnie z motywem 40 RODO, aby przetwarzanie danych było zgodne z prawem, powinno się odbywać na podstawie zgody osoby, której dane dotyczą, lub na innej uzasadnionej podstawie przewidzianej prawem: albo w niniejszym rozporządzeniu, albo w innym akcie prawnym Unii lub w prawie państwa członkowskiego, o których mowa w niniejszym rozporządzeniu, w tym musi się ono odbywać z poszanowaniem obowiązku prawnego, któremu podlega administrator, lub z poszanowaniem umowy, której stroną jest osoba, której dane dotyczą, lub w celu podjęcia działań na żądanie osoby, której dane dotyczą, przed zawarciem umowy.
Powyższe znalazło wyraz w art. 6 ust. 1 RODO określającym przesłanki legalności przetwarzania danych osobowych. Zgodnie z tym przepisem, przetwarzanie jest zgodne z prawem wyłącznie w przypadkach, gdy - i w takim zakresie, w jakim - spełniony jest co najmniej jeden z poniższych warunków: a) osoba, której dane dotyczą wyraziła zgodę na przetwarzanie swoich danych osobowych w jednym lub większej liczbie określonych celów; b) przetwarzanie jest niezbędne do wykonania umowy, której stroną jest osoba, której dane dotyczą, lub do podjęcia działań na żądanie osoby, której dane dotyczą, przed zawarciem umowy; c) przetwarzanie jest niezbędne do wypełnienia obowiązku prawnego ciążącego na administratorze; d) przetwarzanie jest niezbędne do ochrony żywotnych interesów osoby, której dane dotyczą, lub innej osoby fizycznej; e) przetwarzanie jest niezbędne do wykonania zadania realizowanego w interesie publicznym lub w ramach sprawowania władzy publicznej powierzonej administratorowi; f) przetwarzanie jest niezbędne do celów wynikających z prawnie uzasadnionych interesów realizowanych przez administratora lub przez stronę trzecią, z wyjątkiem sytuacji, w których nadrzędny charakter wobec tych interesów mają interesy lub podstawowe prawa i wolności osoby, której dane dotyczą, wymagające ochrony danych osobowych, w szczególności gdy osoba, której dane dotyczą, jest dzieckiem. Akapit pierwszy lit. f) nie ma zastosowania do przetwarzania, którego dokonują organy publiczne w ramach realizacji swoich zadań.
Zgodnie z art. 105a ust. 1 Prawa bankowego, przetwarzanie przez banki, inne instytucje ustawowo upoważnione do udzielania kredytów, instytucje pożyczkowe oraz podmioty, o których mowa w art. 59d ustawy z dnia 12 maja 2011 r. o kredycie konsumenckim, a także instytucje utworzone na podstawie art. 105 ust. 4, informacji stanowiących tajemnicę bankową i informacji udostępnionych przez instytucje pożyczkowe oraz podmioty, o których mowa w art. 59d ustawy z dnia 12 maja 2011 r. o kredycie konsumenckim, w zakresie dotyczącym osób fizycznych może być wykonywane, z zastrzeżeniem art. 104, art. 105 i art. 106-106d, w celu oceny zdolności kredytowej i analizy ryzyka kredytowego. Zgodnie zaś z art. 105a ust. 4 Prawa bankowego, banki oraz instytucje, o których mowa w art. 105 ust. 4, mogą przetwarzać stanowiące tajemnicę bankową informacje dotyczące osoby fizycznej po wygaśnięciu zobowiązania wynikającego z umowy zawartej z bankiem lub inną instytucją ustawowo upoważnioną do udzielania kredytów bez zgody osoby, której informacje dotyczą, do celów stosowania metod wewnętrznych oraz innych metod i modeli, o których mowa w części trzeciej rozporządzenia nr 575/2013. Jednocześnie zgodnie z art. 105a ust. 5 Prawa bankowego, przetwarzanie informacji stanowiących tajemnicę bankową w przypadkach, o których mowa w ust. 3, może być wykonywane przez okres nie dłuższy niż 5 lat od dnia wygaśnięcia zobowiązania, a w przypadku, o którym mowa w ust. 4, przez okres 12 lat od dnia wygaśnięcia zobowiązania. Zgodnie z art. 70 ust. 1 Prawa bankowego, bank uzależnia przyznanie kredytu od zdolności kredytowej kredytobiorcy. Przez zdolność kredytową rozumie się zdolność do spłaty zaciągniętego kredytu wraz z odsetkami w terminach określonych w umowie. Kredytobiorca jest obowiązany przedłożyć na żądanie banku dokumenty i informacje niezbędne do dokonania oceny tej zdolności.
Nie ma w świetle powyższego wątpliwości i nie było kwestionowane przez Prezesa UODO w zaskarżonej decyzji, że Bank oraz BIK, na podstawie art. 105a ust. 1 Prawa bankowego w zw. z art. 70 ust. 1 tej ustawy, były uprawnione do przetwarzania danych osobowych uczestnika postępowania (wnioskodawcy) w celu oceny zdolności kredytowej i analizy ryzyka kredytowego. Pogląd ten podziela Sąd rozpoznający niniejszą sprawę. Prezes UODO wskazał w decyzji, że Bank był uprawniony do przetwarzania danych wnioskodawcy w celu oceny zdolności kredytowej, jednakże wprost wskazał jednocześnie (na stronie 7 decyzji), że "W związku z dokonaniem przez Bank oceny zdolności kredytowej i analizy ryzyka kredytowego ww. cel przetwarzania danych osobowych (...) został zrealizowany i brak jest podstaw do kontynuowania tego procesu".
Biorąc pod uwagę, że między wnioskodawcą a Bankiem nie nawiązał się stosunek prawny oparty na wymienionych już wyżej zapytaniach kredytowych, nie została bowiem w związku z nimi zawarta umowa kredytu, cel przetwarzania danych, dla którego zostały one zgromadzone w zakresie wynikającym z zapytań kredytowych z [...] stycznia 2019 r., [...] marca 2019 r., [...] maja 2019 r., [...] czerwca 2019 r., [...] czerwca 2019 r., [...] sierpnia 2019 r., [...] września 2019 r., [...] października 2019 r., ustał, a wnioskodawca jednoznacznie zażądał od Banku usunięcia jego danych osobowych wynikających z tych zapytań kredytowych, w tym zwrócił się do Banku o usunięcie jego danych osobowych przekazanych do BIK.
Nie może być wątpliwości, że ocena zdolności kredytowej i analiza ryzyka kredytowego zostały dokonane (zrealizowane). Zgodnie z art. 105a ust. 2 Prawa bankowego, z zastrzeżeniem ust. 3, instytucje, o których mowa w ust. 1, mogą przetwarzać informacje stanowiące tajemnicę bankową oraz informacje udostępnione przez instytucje pożyczkowe oraz podmioty, o których mowa w art. 59d ustawy z dnia 12 maja 2011 r. o kredycie konsumenckim, w zakresie dotyczącym osób fizycznych po wygaśnięciu zobowiązania wynikającego z umowy zawartej z bankiem, inną instytucją ustawowo upoważnioną do udzielania kredytów, instytucją pożyczkową lub podmiotem, o którym mowa w art. 59d ustawy z dnia 12 maja 2011 r. o kredycie konsumenckim, pod warunkiem uzyskania pisemnej zgody osoby, której informacje te dotyczą, z zastrzeżeniem ust. 2a. Zgoda ta może być w każdym czasie odwołana. Ust. 3 stanowi, że Banki, instytucje oraz podmioty, o których mowa w ust. 1, mogą przetwarzać informacje stanowiące tajemnicę bankową i informacje udostępnione przez instytucje pożyczkowe oraz podmioty, o których mowa w art. 59d ustawy z dnia 12 maja 2011 r. o kredycie konsumenckim, dotyczące osób fizycznych po wygaśnięciu zobowiązania wynikającego z umowy zawartej z bankiem, inną instytucją ustawowo upoważnioną do udzielania kredytów, instytucją pożyczkową lub podmiotem, o którym mowa w art. 59d ustawy z dnia 12 maja 2011 r. o kredycie konsumenckim, bez zgody osoby, której informacje dotyczą, gdy osoba ta nie wykonała zobowiązania lub dopuściła się zwłoki powyżej 60 dni w spełnieniu świadczenia wynikającego z umowy zawartej z bankiem, inną instytucją ustawowo upoważnioną do udzielania kredytów, instytucją pożyczkową lub podmiotem, o którym mowa w art. 59d ustawy z dnia 12 maja 2011 r. o kredycie konsumenckim, a po zaistnieniu tych okoliczności upłynęło co najmniej 30 dni od poinformowania tej osoby przez bank, inną instytucję ustawowo upoważnioną do udzielania kredytów, instytucję pożyczkową albo podmiot, o którym mowa w art. 59d ustawy z dnia 12 maja 2011 r. o kredycie konsumenckim, o zamiarze przetwarzania dotyczących jej tych informacji, bez jej zgody. Kolejne przepisy wskazują, że banki oraz instytucje, o których mowa w art. 105 ust. 4, mogą przetwarzać stanowiące tajemnicę bankową informacje dotyczące osoby fizycznej po wygaśnięciu zobowiązania wynikającego z umowy zawartej z bankiem lub inną instytucją ustawowo upoważnioną do udzielania kredytów bez zgody osoby, której informacje dotyczą, do celów stosowania metod wewnętrznych oraz innych metod i modeli, o których mowa w części trzeciej rozporządzenia nr 575/2013 (ust. 4). Przetwarzanie informacji stanowiących tajemnicę bankową w przypadkach, o których mowa w ust. 3, może być wykonywane przez okres nie dłuższy niż 5 lat od dnia wygaśnięcia zobowiązania, a w przypadku, o którym mowa w ust. 4, przez okres 12 lat od dnia wygaśnięcia zobowiązania (ust. 5). Zakres przetwarzanych informacji, o których mowa w ust. 3 i 4, może obejmować dane dotyczące osoby fizycznej lub dane dotyczące zobowiązania (ust. 6).
Podkreślenia jednak wymaga, że w sprawie tej nie doszło do zawarcia umowy kredytowej pomiędzy Bankiem a wnioskodawcą opartej, czy wynikającej z zapytań kredytowych [...] stycznia 2019 r., [...] marca 2019 r., [...] maja 2019 r., [...] czerwca 2019 r., [...] czerwca 2019 r., [...] sierpnia 2019 r., [...] września 2019 r., [...] października 2019 r. Wnioskodawca wniósł w związku z tym o usunięcie jego danych zawartych w tych zapytaniach.
Zgodzić należało się w związku z powyższym z Prezesem UODO, że odpadła przesłanka legalizująca dalsze przetwarzanie danych osobowych wnioskodawcy przez Bank oraz BIK, które to przetwarzanie miało na celu – co wymaga podkreślenia i czego nie kwestionował organ – ocenę zdolności kredytowej i analizę ryzyka kredytowego. Pomiędzy Bankiem a wymienioną osobą fizyczną nie nawiązał się – w związku z tymi wymienionymi wyżej zapytaniami kredytowymi – żaden stosunek zobowiązaniowy, który stosownie do art. 105a ust. 1 -6 Prawa bankowego dawałby podstawę do dalszego przetwarzania jego danych osobowych zarówno przez Bank jak i BIK. Ustał cel przetwarzania, dla którego pozyskano dane osobowe wnioskodawcy w zakresie wynikającym z tych zapytań i nie ma spełnionej przesłanki ich dalszego przetwarzania, co trafnie stwierdził w zaskarżonej decyzji organ powołany do spraw ochrony danych osobowych. Decyzja nie dotyczy przetwarzania danych wnioskodawcy w zakresie wynikającym z zapytania z dnia 13 grudnia 2018 r., albowiem w tym przypadku doszło do zawarcia umowy kredytu pomiędzy wnioskodawcą a Bankiem, na co wskazał sam wnioskodawca.
Z przedstawionych już wyżej przepisów wynika, że przesłanki zawarte w art. 105a Prawa bankowego dotyczą przetwarzania informacji objętych tajemnicą bankową w okresie przed powstaniem zobowiązania, w trakcie jego trwania oraz po wygaśnięciu zobowiązania. Natomiast w sytuacji, gdy w następstwie złożenia wniosku kredytowego nie dochodzi do zawarcia umowy kredytowej z Bankiem, jak miało to miejsce w niniejszej sprawie w odniesieniu do wymienionych w decyzji zapytań kredytowych, brak jest ustawowych przesłanek legalizujących dalsze przetwarzanie danych osobowych wnioskodawcy w zakresie wynikającym z tych zapytań kredytowych. Przetwarzane są one bowiem w celach wskazanych przez Bank i BIK (innych niż cele, dla których zostały zebrane, tj. oceny zdolności kredytowej i analizy ryzyka kredytowego) bez podstawy prawnej.
Nie może budzić wątpliwości, że ocena zdolności kredytowej i ryzyka kredytowego ma charakter czynności wstępnych przed zawarciem umowy przez Bank. Dalsze przetwarzanie danych, uzyskanych pierwotnie wyłącznie w celu oceny zdolności kredytowej i analizy ryzyka kredytowego, w przypadku braku zawarcia następnie stosownej umowy, pozostaje w oderwaniu od celu, dla którego dane zostały zebrane. Na gruncie RODO niedopuszczalne jest – w takim stanie faktycznym, jak w niniejszej sprawie, gdy nie zawarto w następstwie zapytań kredytowych wskazanych w nakazach (punkt 1 i 2 decyzji) umowy kredytowej (a wnioskodawca nie wyraża zgody (co jest bezsporne) na dalsze przetwarzanie jego danych osobowych w innych celach niż cele, dla których dane w zapytaniu przekazał Bankowi) – przetwarzanie danych osobowych wnioskodawcy w zakresie wynikającym z zapytań z [...] stycznia 2019 r., [...] marca 2019 r., [...] maja 2019 r., [...] czerwca 2019 r., [...] czerwca 2019 r., [...] sierpnia 2019 r., [...] września 2019 r., [...] października 2019 r. "na przyszłość" w zupełnie innych celach niż je zebrano, w tym na potrzeby budowy i utrzymania modeli scoringowych, w związku ze stosowaniem metod wewnętrznych oraz innych metod i modeli, metod statystycznych w sytuacji, gdy nie można zrekonstruować wyraźnej podstawy prawnej takich działań.
W sprawie nie mamy do czynienia z sytuacją, w której w oparciu o wskazane już wyżej zapytania kredytowe nawiązano stosunek zobowiązaniowy i następnie dane wynikające z tych konkretnych zapytań przetwarzane są (w tym także udostępniane) przez administratora nie tylko w celu zasadniczym, tj. realizacji zawartej z klientem umowy, ale także w innych celach, które powstały w trakcie trwania stosunku zobowiązaniowego i które w ocenie administratora winny być, czy mogą być – w związku z trwającym stosunkiem prawnym - kwalifikowane jako jego "prawnie uzasadnione interesy" na gruncie RODO (art. 6 ust. 1 lit.f RODO). Przypadek taki nie zachodzi w niniejszej sprawie. Jak wskazano już wyżej sprawa nie dotyczy przetwarzania danych osobowych w zakresie wynikającym z zapytania kredytowego z 13 grudnia 2018 r., które jak wskazał sam wnioskodawca, zakończyło się zawarciem umowy.
Sprawa niniejsza dotyczy – co wymaga raz jeszcze podkreślenia - przetwarzania danych osoby fizycznej w zakresie wynikającym z zapytań kredytowych z [...] stycznia 2019 r., [...] marca 2019 r., [...] maja 2019 r., [...] czerwca 2019 r., [...] czerwca 2019 r., [...] sierpnia 2019 r., [...] września 2019 r., [...] października 2019 r., w oparciu o które Bank nie zawarł umowy kredytowej, a w związku z tym w zakresie tych danych ustał cel przetwarzania danych tej osoby fizycznej wynikający z art. 105a ust. 1 w zw. z art. 70 ust. 1 Prawa bankowego. Wnioskodawca wniósł o usunięcie danych. Przesłanki do dalszego przetwarzania danych osobowych wnioskodawcy (na przyszłość i w innych wskazywanych obecnie przez Bank i BIK celach) nie stanowi w tej sprawie, w jej okolicznościach faktycznych, ani dla Banku ani dla BIK żadna z przesłanek z art. 6 ust. 1 lit.a -f RODO (czyli nie jest to ani zgoda (zgody takiej bowiem nie uzyskano i z akt sprawy nie wynika, aby zwracano się do wnioskodawcy o zgodę na przetwarzanie w przyszłości jego danych osobowych w celach innych niż ocena zdolności kredytowej i ryzyka kredytowego), ani przetwarzanie niezbędne do wykonania umowy lub działań przed zawarciem umowy, ani wypełnienie obowiązku prawnego ciążącego na administratorze, ani niezbędność dla ochrony żywotnych interesów osoby fizycznej lub innej osoby, ani wykonanie zadania realizowanego w interesie publicznym lub w ramach sprawowania władzy publicznej, ani niezbędność do celów wynikających z prawnie uzasadnionych interesów).
W ocenie Sądu ustalenie Prezesa UODO w zakresie braku dopuszczalności przetwarzania danych wnioskodawcy przez Bank i BIK zakresie wynikającym z zapytań kredytowych z [...] stycznia 2019 r., [...] marca 2019 r., [...] maja 2019 r., [...] czerwca 2019 r., [...] czerwca 2019 r., [...] sierpnia 2019 r., [...] września 2019 r., [...] października 2019 r. jest prawidłowe. Nakaz zawarty w punkcie 1 jak i 2 decyzji jest jasny, nie ma wątpliwości co do jego zakresu i jest wykonalny.
W ocenie Sądu wszystkie zarzuty podniesione przez Bank i BIK w złożonych skargach są niezasadne. Organ trafnie, w prawidłowo poczynionych ustaleniach faktycznych i prawnych, nakazał w punkcie 1 decyzji BIK, a w punkcie 2 decyzji Bankowi usunięcie danych osobowych wnioskodawcy w zakresie wynikającym z wymienionych w decyzji zapytań kredytowych, przetwarzanych bez podstawy prawnej.
Nietrafny, w świetle poczynionych wyżej ustaleń i rozważań, jest zarzut Banku naruszenia art. 6 ust. 1 lit. c RODO w zw. z art. 105 ust. 4, art. 105a ust. 1 Prawa bankowego, jak również zarzut BIK naruszenia art. 6 ust. 1 lit. c (ewentualnie art. 6 ust. 1 lit.f) RODO w zw. z art. 105 ust. 1 pkt 1c w zw. z art. 105 ust. 4 i w zw. z art. 105a w zw. z art. 70 i art. 5 ust. 1 pkt 3 Prawa bankowego. Podkreślenia wymaga przy tym, że Prezes UODO nie kwestionował, że udzielanie kredytów jest czynnością bankową. Warto zwrócić przy tym uwagę, że art. 105 ust. 4 Prawa bankowego nie nakłada na Bank obowiązku korzystania z zewnętrznej bazy zawierającej informacje o wnioskach z sektora bankowego oraz sektora pożyczkowego. Przyznaje jedynie bankom uprawnienie do tworzenia instytucji upoważnionych do gromadzenia, przetwarzania i udostępniania bankom informacji stanowiących tajemnicę bankową we wskazanym zakresie.
Przesłanka z art. 6 ust. 1 lit. c RODO nie znajduje zastosowania w okolicznościach niniejszej sprawy. Przepis ten dotyczy bowiem sytuacji, gdy przetwarzanie jest niezbędne do wypełnienia obowiązku prawnego administratora danych, a nie realizacji uprawnienia, o którym mowa w art. 105 ust. 4 Prawa bankowego. Ponadto przepis art. 105 ust. 4 Prawa bankowego nie stanowi o dopuszczalności przetwarzania danych osobowych dotyczących wniosków kredytowych w sytuacji, gdy nie doszło do zawarcia umowy z Bankiem.
Raz jeszcze podkreślenia wymaga, że Prezes UODO nie kwestionował w tej sprawie, że Bank i BIK miał uprawnienie do przetwarzania danych osobowych wnioskodawcy w celu oceny zdolności kredytowej i analizy ryzyka kredytowego. Cel ten jednak ustał w odniesieniu do przetwarzania danych wnioskodawcy wynikających z zapytań kredytowych wskazanych w decyzji. Dodatkowo wskazania wymaga, że przepis art. 105a ust. 1a, 1b, 1c Prawa bankowego dotyczy określenia warunków dopuszczalności zautomatyzowanego przetwarzania, w tym profilowania danych osobowych w celu oceny zdolności kredytowej i analizy ryzyka kredytowego. Powyższe przepisy w żaden sposób nie dają podstawy do przetwarzania "na przyszłość" danych osoby, z którą umowy nie zawarto, a cel, dla którego dane zebrano ustał. Wbrew zarzutom obu skarg brzmienie art. 105a Prawa bankowego nie daje podstaw do dalszego przetwarzania danych wnioskodawcy po zakończeniu oceny zdolności kredytowej i analizy ryzyka kredytowego, gdy umowy nie zawarto. Na podstawie powołanych przepisów Bank a także BIK nie ma uprawnienia do dalszego przetwarzania tych danych, albowiem umowy w oparciu o wskazywane już wyżej zapytania kredytowe nie zawarto i nie wykazano przesłanki legalizującej to działanie (v. wyrok NSA z dnia 13 lutego 2025 r. sygn. akt III OSK 6563/21, wyrok NSA z dnia 29 maja 2025 r. sygn. akt III OSK 984/22 (orzeczenia.nsa.gov.pl). W wyroku z dnia 13 lutego 2025 r. sygn. akt III OSK 6563/21, wydanym w podobnym stanie faktycznym, jak w niniejszej sprawie, Naczelny Sąd Administracyjny wyraził pogląd, iż w sytuacji, gdy nie doszło do zawarcia umowy kredytowej nie może być wątpliwości, że ocena zdolności kredytowej i analiza ryzyka kredytowego zostały dokonane (zrealizowane).
Sąd za trafny i aktualny uznaje pogląd Naczelnego Sądu Administracyjnego wyrażony w wyroku z dnia 27 sierpnia 2019 r. sygn. akt I OSK 2567/17 (orzeczenia.nsa.gov.pl), zgodnie z którym, "Gdyby podzielić stanowisko skarżącego, że pozyskanie danych na etapie złożenia wniosku kredytowego uprawnia bank do ich nieograniczonego w czasie przechowywania po odmowie zawarcia umowy kredytowej, to regulacje zawarte w art. 105 a ust. 2 i 3 i ust. 5 Prawa bankowego ograniczające w czasie przypadki przetwarzania danych klientów z umów kredytowych pozbawione byłyby sensu".
Pogląd ten wyrażony został wprawdzie na gruncie poprzednio obowiązującej ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych i obowiązującej przed RODO Dyrektywy 95/46, jednakże w ocenie Sądu nie stracił na aktualności. Przepisy RODO wzmacniają jeszcze w porównaniu z Dyrektywą 95/46 ochronę danych osób fizycznych. Aktualności tego poglądu Naczelnego Sądu Administracyjnego nie zmienia także fakt, że BIK i Bank, przyjęły w swej praktyce określone terminy dalszego przetwarzania danych osobowych osoby, z którą nie zawarto umowy kredytu.
Trzeba podkreślić, że zgodnie z art. 5 ust. 1 RODO, dane osobowe muszą być: a) przetwarzane zgodnie z prawem, rzetelnie i w sposób przejrzysty dla osoby, której dane dotyczą ("zgodność z prawem, rzetelność i przejrzystość"); b) zbierane w konkretnych, wyraźnych i prawnie uzasadnionych celach i nieprzetwarzane dalej w sposób niezgodny z tymi celami; dalsze przetwarzanie do celów archiwalnych w interesie publicznym, do celów badań naukowych lub historycznych lub do celów statystycznych nie jest uznawane w myśl art. 89 ust. 1 za niezgodne z pierwotnymi celami ("ograniczenie celu"); c) adekwatne, stosowne oraz ograniczone do tego, co niezbędne do celów, w których są przetwarzane ("minimalizacja danych"); d) prawidłowe i w razie potrzeby uaktualniane; należy podjąć wszelkie rozsądne działania, aby dane osobowe, które są nieprawidłowe w świetle celów ich przetwarzania, zostały niezwłocznie usunięte lub sprostowane ("prawidłowość"); e) przechowywane w formie umożliwiającej identyfikację osoby, której dane dotyczą, przez okres nie dłuższy, niż jest to niezbędne do celów, w których dane te są przetwarzane; dane osobowe można przechowywać przez okres dłuższy, o ile będą one przetwarzane wyłącznie do celów archiwalnych w interesie publicznym, do celów badań naukowych lub historycznych lub do celów statystycznych na mocy art. 89 ust. 1, z zastrzeżeniem że wdrożone zostaną odpowiednie środki techniczne i organizacyjne wymagane na mocy niniejszego rozporządzenia w celu ochrony praw i wolności osób, których dane dotyczą ("ograniczenie przechowywania"); f) przetwarzane w sposób zapewniający odpowiednie bezpieczeństwo danych osobowych, w tym ochronę przed niedozwolonym lub niezgodnym z prawem przetwarzaniem oraz przypadkową utratą, zniszczeniem lub uszkodzeniem, za pomocą odpowiednich środków technicznych lub organizacyjnych ("integralność i poufność").
Przedstawione zasady przetwarzania danych nie pozwalają na arbitralne decydowanie przez administratora – w sytuacji braku do tego podstaw – o dalszym przetwarzaniu (a zatem ich m.in. ujawnianiu poprzez przesyłanie, udostępnianie, utrwalanie, organizowanie, adaptowanie, modyfikowanie) danych osobowych mimo ustania celu, dla którego dane w zapytaniu kredytowym były zebrane. Powyższe znajduje odniesienie do przetwarzania danych przez BIK jako administratora. Do podmiotu tego też mają zastosowanie zasady przetwarzania danych określone w art. 5 RODO. Przepis art. 5 ust. 2 RODO stanowi, że administrator jest odpowiedzialny za przestrzeganie ust. 1 i musi być w stanie wykazać ich przestrzeganie ("rozliczalność"). Skoro Bank i BIK nie dysponuje przesłanką legalności przetwarzania danych w zakresie wynikającym z zapytań kredytowych wskazanych w zaskarżonej decyzji po tym, gdy wniosła ona do Banku o usunięcie jej danych, w tym w bazie BIK, co zasadnie stwierdził Prezes UODO, to nie można przyjąć, aby same zasady określone w RODO mogły wykreować (stanowić) przesłankę legalności przetwarzania danych.
Przetwarzanie zgodnie z art. 4 pkt 2 RODO oznacza operację lub zestaw operacji wykonywanych na danych osobowych lub zestawach danych osobowych w sposób zautomatyzowany lub niezautomatyzowany, taką jak zbieranie, utrwalanie, organizowanie, porządkowanie, przechowywanie, adaptowanie lub modyfikowanie, pobieranie, przeglądanie, wykorzystywanie, ujawnianie poprzez przesłanie, rozpowszechnianie lub innego rodzaju udostępnianie, dopasowywanie lub łączenie, ograniczanie, usuwanie lub niszczenie.
Podkreślenia wymaga, że kwestia oceny zdolności kredytowej i ryzyka kredytowego wnioskodawcy nie stanowi sama w sobie podstawy do dalszego przetwarzania jego danych osobowych na przyszłość w związku z zapytaniami kredytowymi, o których mowa w decyzji.
Zaakceptowanie wykładni przepisów Prawa bankowego, AML, rozporządzenia nr 575/2013, zaprezentowanej w skargach zarówno przez Bank jak i BIK prowadziłaby do stwierdzenia, że na potrzeby oceny zdolności kredytowej i analizy ryzyka kredytowego Bank i BIK mają prawo nieograniczonego w czasie przetwarzania danych zawartych w zapytaniach kredytowych osoby, z którą Bank nie zawarł, w oparciu o te zapytania, umowy o kredyt, zaś prawo to doznaje ograniczenia, gdy doszło do zawarcia takiej umowy. Wprawdzie ani Bank ani BIK nie wskazywały, że przetwarzanie danych będzie nieograniczone w czasie, jednakże nie ma wątpliwości, że – wobec braku podstaw prawnych i ograniczeń czasowych przetwarzania danych wnioskodawcy w celach przyjętych przez te podmioty (po dokonaniu oceny zdolności kredytowej i analizy ryzyka kredytowego) – można byłoby mówić o nieograniczonym w czasie przetwarzaniu tych danych. Narzucenie przez Bank i BIK samym sobie ograniczeń czasowych dla poszczególnych, przyjętych przez te podmioty nowych celów przetwarzania, potwierdza jedynie, że nie można mówić o takim samym poziomie ochrony danych osobowych na gruncie RODO, jak w przypadku osoby, z którą zawarto umowę.
Sąd podziela pogląd wyrażony przez Naczelny Sąd Administracyjny w powołanym już wyżej wyroku z dnia 27 sierpnia 2019 r. sygn. akt I OSK 2567/17, zgodnie z którym takich wyników wykładni art. 105a ust. 1 Prawa bankowego nie sposób zaakceptować, bowiem prowadzą one do skutków, których nie zakładałby racjonalny ustawodawca, a więc do przyznania szerszego uprawnienia do przetwarzania danych osobowych podmiotów, z którymi banku nie łączy żaden stosunek prawny (orzeczenia.nsa.gov.pl).
Raz jeszcze wskazania wymaga, że w sprawie jest niesporne, co wskazywano już wyżej, że BIK, tak jak i Bank, od którego BIK pozyskał dane osobowe wnioskodawcy w zakresie wynikającym z zapytań kredytowych z [...] stycznia 2019 r., [...] marca 2019 r., [...] maja 2019 r., [...] czerwca 2019 r., [...] czerwca 2019 r., [...] sierpnia 2019 r., [...] września 2019 r., [...] października 2019 r., które nie zakończyły się zawarciem umowy, był uprawniony do przetwarzania danych osobowych w celu oceny zdolności kredytowej i analizy ryzyka kredytowego.
Przepis art. 105a ust. 1 Prawa bankowego, stanowi, że przetwarzanie przez banki, inne instytucje ustawowo upoważnione do udzielania kredytów oraz instytucje utworzone na podstawie art. 105 ust. 4, informacji stanowiących tajemnicę bankową w zakresie dotyczącym osób fizycznych może być wykonywane, z zastrzeżeniem art. 104, art. 105 i art. 106 - 106d ustawy, w celu oceny zdolności kredytowej i analizy ryzyka kredytowego. Zgodnie z art. 105 ust. 1 pkt 1c Prawo bankowego, bank ma obowiązek udzielenia informacji stanowiących tajemnicę bankową wyłącznie instytucjom, o których mowa w ust. 4, w zakresie niezbędnym do stosowania metod wewnętrznych oraz innych metod i modeli, o których mowa w przepisach części trzeciej rozporządzenia nr 575/2013.
Jak wskazywano już wyżej, zgodnie z art. 105 ust. 4 Prawa bankowego banki mogą, wspólnie z bankowymi izbami gospodarczymi, utworzyć instytucje upoważnione do gromadzenia, przetwarzania i udostępniania m.in. bankom oraz innym podmiotom określonym w tym przepisie informacji stanowiących tajemnicę bankową w zakresie, w jakim informacje te są potrzebne w związku z wykonywaniem czynności bankowych oraz w związku ze stosowaniem metod wewnętrznych oraz innych metod i modeli, o których mowa w części trzeciej rozporządzenia nr 575/2013. Zdaniem BIK organ niewłaściwie przyjął w decyzji, że BIK w tych okolicznościach nie posiada podstawy prawnej do przetwarzania danych wnioskodawcy. Wbrew twierdzeniom skargi BIK, organ dokonał oceny istotnych okoliczności sprawy, wyjaśnił podstawę prawną decyzji. Okoliczność, że skarżący nie podzielają stanowiska organu i wbrew istniejącym regulacjom prawnym i woli wnioskodawcy (podmiotu danych) próbują wykazać potrzebę dalszego przetwarzania jego danych osobowych w zakresie wynikającym z zapytań kredytowych wskazanych w decyzji, na potrzeby prowadzonej przez skarżących działalności gospodarczej, nie oznacza, że decyzja Prezesa UODO jest wadliwa.
Podkreślenia wymaga, że przepis art. 105 ust. 4 Prawa bankowego jest przepisem o charakterze ogólnym, który stanowi o możliwości utworzenia wspólnie z bankowymi izbami gospodarczymi, instytucji upoważnionych do gromadzenia, przetwarzania i udostępniania danych.
Przepis ten nie daje podstaw do nieograniczonego przetwarzania wszelkich danych osobowych przez utworzone instytucje. Zasady przetwarzania danych objętych tajemnicą bankową określa art. 105a Prawa bankowego, którego możliwość uznania za podstawę przetwarzania danych osobowych w niniejszej sprawie została omówiona już wcześniej. Na gruncie tego przepisu należy oceniać zatem dopuszczalność przetwarzania poszczególnych danych osobowych w określonych ściśle celach. Podstawy prawnej przetwarzania danych osobowych wnioskodawcy w niniejszej sprawie przez BIK, po tym, jak wniósł do Banku o usunięcie jego danych osobowych w związku ze wskazywanymi zapytaniami kredytowymi, nie zawarł z Bankiem umowy kredytowej w związku z tymi zapytaniami, nie mógł stanowić zatem art. 105 ust. 4 Prawa bankowego samodzielnie, ani też w powiązaniu z wszystkimi innymi powołanymi przez BIK we wskazanym wyżej zakresie w skardze przepisami Prawa bankowego, jak również pozostałymi przywołanymi przez skarżących regulacjami prawnymi.
Sąd rozpoznający niniejszą sprawę za trafny uznaje pogląd Naczelnego Sądu Administracyjnego wyrażony w wyroku z dnia 14 września 2005 r. sygn. akt I OSK 39/05, zgodnie z którym "Nie można zatem podzielić stanowiska, aby zezwalający na utworzenie instytucji zajmujących się szczególnym przetwarzaniem danych osobowych przepis stanowił zarazem podstawę do przetwarzania przez nie danych osobowych bez zgody osób, których dane dotyczą, gdyż nie tylko literalne brzmienie przepisu nie uzasadnia takiego przekazania, lecz i argumenty logiki prawniczej nie prowadzą do takiego wniosku. Nie można bowiem dowodzić, że w utworzonej zgodnie z prawem instytucji wolno działać w sposób, który sama uzna za odpowiadający jej celom, gdyż zezwolenie na utworzenie nie jest równoznaczne z zezwoleniem na działanie bez ograniczeń".
Mimo, że powołany wyrok opiera się na innym brzmieniu przepisu art. 105 Prawa bankowego, w ocenie WSA w Warszawie, istota poglądu wyrażonego przez NSA w odniesieniu do przetwarzania danych osobowych przez BIK, jako instytucję utworzoną na podstawie art. 105 ust. 4 Prawa bankowego, nie straciła na aktualności. Zmiana brzmienia art. 105 Prawa bankowego na przestrzeni lat, jakie minęły od czasu wydania powołanego wyroku, dodatkowo utwierdza w trafności poglądu wyrażonego przez NSA w wymienionym wyroku a także trafności stanowiska Prezesa UODO zaprezentowanego w zaskarżonej decyzji w sytuacji, gdy ani Bank ani BIK nie wykazały przesłanki legalizującej dalsze przetwarzanie danych osobowych wnioskodawcy w zakresie wynikającym z zapytań kredytowych wskazanych w zaskarżonej decyzji, po osiągnięciu celu w postaci oceny zdolności kredytowej i ryzyka kredytowego.
Niezasadne są też zarzuty dotyczące naruszenia art. 6 ust. 1 lit.c RODO w zw. z art. 106d Prawa bankowego, jak i w zw. z innymi przepisami Prawa bankowego, a także z przepisami AML i CRR. Naruszenie to uzasadniono między innymi obowiązkiem przetwarzania danych osobowych w celu zapewnienia bezpieczeństwa obrotu gospodarczego poprzez przeprowadzenie szczegółowego badania na temat klientów, w tym przyszłych klientów, jak i badania powiązań kapitałowo-osobowych, w tym w zakresie danych dostarczanych przez skarżącego, w tym także wtedy, gdy ostatecznie między stronami nie została zawarta umowa.
Zgodnie z art. 106d ust. 1 Prawa bankowego Banki, inne instytucje ustawowo upoważnione do udzielania kredytów, izby rozliczeniowe utworzone na podstawie art. 67, instytucje utworzone na mocy art. 105 ust. 4, instytucje pożyczkowe, podmioty, których podstawowa działalność polega na udostępnianiu składników majątkowych na podstawie umowy leasingu, oraz podmioty, o których mowa w art. 59d ustawy z dnia 12 maja 2011 r. o kredycie konsumenckim, mogą przetwarzać i wzajemnie udostępniać informacje, w tym informacje objęte tajemnicą bankową, w przypadkach: 1) uzasadnionych podejrzeń, o których mowa w art. 106a ust. 3; 2) uzasadnionych podejrzeń popełnienia przestępstw dokonywanych na szkodę banków, innych instytucji ustawowo upoważnionych do udzielania kredytów, instytucji kredytowych, instytucji finansowych, instytucji pożyczkowych oraz podmiotów, o których mowa w art. 59d ustawy z dnia 12 maja 2011 r. o kredycie konsumenckim, i ich klientów, w celu i zakresie niezbędnym do zapobiegania tym przestępstwom; 3) wykonywania obowiązków w zakresie określonym w przepisach o przeciwdziałaniu praniu pieniędzy oraz finansowaniu terroryzmu. Art. 106a ust. 3 Prawa bankowego, do którego odwołano się w art. 106d ust. 1 pkt 1 stanowi, że w przypadku powzięcia uzasadnionego podejrzenia, że zgromadzone na rachunku bankowym środki, w całości lub w części pochodzą lub mają związek z przestępstwem skarbowym lub przestępstwem innym niż przestępstwo, o którym mowa w art. 165a lub art. 229 Kodeksu karnego, bank jest uprawniony do dokonania blokady środków na tym rachunku. Blokada może nastąpić wyłącznie do wysokości zgromadzonych na rachunku środków, co do których zachodzi takie podejrzenie.
Przepis art. 33 ust. 1 AML nakłada na instytucje obowiązane obowiązek m.in. stosowania wobec swoich klientów środków bezpieczeństwa finansowego, których zakres (katalog) znajduje się w art. 34 ustawy AML. Artykuł 34 ust. 1 ustawy AML odnosi się m.in. do bieżącego monitorowania stosunków gospodarczych klienta (w tym analizę transakcji przeprowadzanych w ramach stosunków gospodarczych, badanie źródła pochodzenia wartości majątkowych będących w dyspozycji klienta - w przypadkach uzasadnionych okolicznościami, zapewnienie, że posiadane dokumenty, dane lub informacje dotyczące stosunków gospodarczych są na bieżąco aktualizowane). Art. 35 wskazuje sytuacje, w których bank jest obowiązany stosować środki bezpieczeństwa finansowego. Art. 36 AML dotyczy kwestii identyfikacji klienta. Na podstawie art. 49 ust. 1 AML kopie dokumentów i informacje uzyskane w wyniku stosowania środków bezpieczeństwa finansowego a także dowody potwierdzające przeprowadzone transakcje i ewidencje transakcji, obejmujące oryginalne dokumenty lub kopie dokumentów konieczne do identyfikacji transakcji, przechowuje się przez okres 5 lat licząc od pierwszego dnia roku następującego po roku, w którym zakończono stosunki gospodarcze z klientem lub w którym przeprowadzono transakcje okazjonalne. W przypadku dokonania analizy przeprowadzonej transakcji i udokumentowania jej analizy zgodnie z art. 34 ust. 3 ustawy AML, instytucja pożyczkowa na mocy art. 49 ust. 2 ustawy AML jest obowiązana do przechowywania jej wyników przez okres 5 lat, licząc od pierwszego dnia roku następującego po roku ich przeprowadzenia.
Z wymienionych wyżej przepisów prawa niewątpliwie wynika uprawnienie do monitorowania stosunków gospodarczych klienta i stosowania odpowiednich środków bezpieczeństwa finansowego, co nie ma odniesienia do niniejszej sprawy w odniesieniu do danych zawartych w zapytaniach kredytowych w oparciu o które nie zawarto umowy. Nawet w sytuacji, gdy wnioskodawca jest klientem Banku i Bank przetwarza jego dane w zakresie wynikającym z innego zapytania kredytowego niż te zapytania, których dotyczy zaskarżona decyzja, nie ma podstaw, aby automatycznie rozszerzyć zakres przetwarzanych danych. Nadto Bank powołując się na bieżące monitorowanie stosunków gospodarczych nie wskazał jakie konkretne działania (w sferze stosunków gospodarczych osoby, z którą nie zawarł umowy kredytowej w odniesieniu do zapytań kredytowych, których dotyczy decyzja) chciałby monitorować. Ogólne twierdzenia dotyczące zapewnienia bezpieczeństwa obrotu gospodarczego nie mogą stanowić – w stanie faktycznym tej sprawy – podstawy legalizującej rozszerzanie podstaw i celów przetwarzania danych osobowych wnioskodawcy. Bank nie formułował w toku postępowania twierdzeń, że wnioskodawca nie dopełnił wobec Banku jakichkolwiek obowiązków – w związku z zawartą na podstawie innego zapytania kredytowego (którego nie dotyczy zaskarżona decyzja) – umową, jak też nie wykazywał nierzetelności wnioskodawcy w działaniu z Bankiem. Bank nie wskazywał na jakiekolwiek podejrzenia wobec wnioskodawcy.
Zdaniem Sądu rozszerzanie przez Bank dopuszczalności przetwarzania danych (w zakresie wynikającym z zapytań kredytowych z [...] stycznia 2019 r., [...] marca 2019 r., [...] maja 2019 r., [...] czerwca 2019 r., [...] czerwca 2019 r., [...] sierpnia 2019 r., [...] września 2019 r., [...] października 2019 r.) w sytuacji, gdy w oparciu o te zapytania nie zawarto umowy kredytowej, z powołaniem się na zapewnienie bezpieczeństwa finansowego, a zatem szeroko rozumiane, ogólne cele, nie znajduje podstawy na gruncie RODO i jest sprzeczne z zasadą ograniczenia celu (art. 5 ust. 1 lit. b RODO), w sytuacji, gdy w nawiązaniu do tych zapytań nie ma mowy o nawiązaniu stosunku zobowiązaniowego.
Bank wskazywał przy tym m.in., że "Ponieważ informacje na temat danych podanych na poprzednich wnioskach kredytowych mogą wskazywać na próbę manipulacji mającą na celu pranie pieniędzy lub finansowanie terroryzmu czy ukrycie określonych powiązań osobowych, Bank pozyskuje dane na temat wniosków kredytowych w celu wykluczenia takich prób". Sąd zauważa, że z ustaleń faktycznych organu wynika, iż do zawarcia umowy doszło w przypadku zapytania z dnia 13 grudnia 2018 r., a zatem zapytania kredytowego wcześniejszego. Bank nie wskazywał przy tym na próbę manipulacji przez wnioskodawcę w zakresie przedstawianych informacji.
W ocenie Sądu także m.in. z przepisów art. 144 ust. 1 lit. d, art. 145, art. 147 ust. 5 lit. b, art. 170 ust. 3 lit. a, ust. 4 lit. a, art. 171 ust. 2 i art. 179 ust 1 lit. a CRR (rozporządzenie 575/2013), nie wynika podstawa prawna do dalszego przetwarzania danych osobowych wnioskodawcy przez Bank i BIK. Zgodnie z art. 144 ust. 1 lit. d powołanego rozporządzenia, właściwy organ wydaje zezwolenie na mocy art. 143 na stosowanie przez instytucję metody IRB, w tym na stosowanie własnych oszacowań LGD i współczynników konwersji, wyłącznie wtedy, gdy właściwy organ stwierdzi, że wymogi przewidziane w niniejszym rozdziale są spełnione, w szczególności wymogi przewidziane w sekcji 6, oraz że posiadane przez instytucję systemy w zakresie zarządzania oraz oceny ekspozycji na ryzyko kredytowe są należyte i zostały spójnie wdrożone, w szczególności gdy instytucja wykazała w sposób zadowalający właściwym organom spełnienie następujących norm: (...) d) instytucja gromadzi i przechowuje wszystkie odpowiednie dane, aby zapewnić skuteczne wsparcie procesów pomiaru ryzyka kredytowego oraz zarządzania ryzykiem kredytowym. Stosownie do art. 145 ust. 1 tego rozporządzenia, jest wymagane, aby instytucja ubiegająca się o możliwość stosowania metody IRB korzystała, w odniesieniu do omawianych kategorii ekspozycji IRB, co najmniej przez trzy lata poprzedzające zakwalifikowanie się do stosowania metody IRB, z systemów ratingowych, które odpowiadały w znacznym stopniu wymogom określonym w sekcji 6 dotyczącym wewnętrznego pomiaru ryzyka i zarządzania ryzykiem. Art. 147 ust. 5 lit. b stanowi zaś, że aby ekspozycje mogły kwalifikować się do kategorii ekspozycji detalicznych przewidzianej w ust. 2 lit. d), spełniają następujące kryteria: są traktowane przez instytucję w procesie zarządzania ryzykiem w sposób spójny w długim okresie. Z kolei art. 170 ust. 3 lit. a, stanowi, że struktura systemów ratingowych dla ekspozycji detalicznych spełnia następujące wymogi: a) systemy ratingowe odzwierciedlają zarówno ryzyko dłużnika, jak i ryzyko transakcji oraz uwzględniają wszystkie istotne właściwości ryzyka dłużnika i ryzyka transakcji. Zgodnie z art. 171 ust. 2 klasyfikując dłużników i instrumenty do klas lub pul, instytucja uwzględnia wszystkie istotne informacje. Informacje te są aktualne i umożliwiają instytucji prognozowanie zachowania ekspozycji w późniejszym okresie. Im mniej informacji ma do dyspozycji instytucja, tym ostrożniej klasyfikuje ekspozycje do poszczególnych klas lub pul dłużników i instrumentów. Jeżeli instytucja stosuje rating zewnętrzny jako główny czynnik decydujący o przyznaniu wewnętrznego ratingu, instytucja ta zapewnia uwzględnienie innych istotnych informacji oraz stosownie do art. 179 ust. 1 lit. a, przy przeprowadzaniu kwantyfikacji parametrów ryzyka związanego z poszczególnymi klasami lub pulami ratingowymi instytucje stosują następujące wymogi: a) oszacowania własne instytucji dotyczące parametrów ryzyka PD, LGD, współczynnika konwersji i EL uwzględniają wszelkie istotne dane, informacje i metody. Oszacowań dokonuje się na podstawie zarówno doświadczeń z przeszłości, jak i dowodów empirycznych, nie zaś wyłącznie w oparciu o osąd własny. Oszacowania te są wiarygodne i intuicyjne oraz opierają się na istotnych czynnikach odpowiednich parametrów ryzyka. Im mniej danych ma do dyspozycji instytucja, tym ostrożniejsze są jej oszacowania.
Powołane przepisy rozporządzenia 575/2013 nie stanowią podstawy do przetwarzania danych osobowych w zakresie wynikającym z zapytań kredytowych z [...] stycznia 2019 r., [...] marca 2019 r., [...] maja 2019 r., [...] czerwca 2019 r., [...] czerwca 2019 r., [...] sierpnia 2019 r., [...] września 2019 r., [...] października 2019 r. w sytuacji, gdy w oparciu o nie, nie została zawarta umowa kredytowa.
Zdaniem Sądu, obowiązek zbierania informacji przydatnych w zarządzaniu ryzykiem nie może opierać się na naruszeniu przez Bank, czy inną instytucję finansową (BIK) na gruncie RODO praw osoby fizycznej, która przekazała Bankowi swoje dane osobowe wyłącznie w celu oceny zdolności kredytowej i analizy ryzyka kredytowego, która to czynność (w odniesieniu do zapytań kredytowych, których dotyczy decyzja) nie zakończyła się zawarciem umowy kredytowej. Przepisy powołanego rozporządzenia 575/2013 nie stanowią podstawy do "dalszego" przetwarzania danych w zakresie wynikającym z zapytań, w oparciu o które umowy nie zawarto. Konstruowanie skutecznych i poprawnie działających modeli, o których mowa w powołanym rozporządzeniu 575/2013 może następować wyłącznie w oparciu o dane osobowe pozyskane i przetwarzane w sposób legalny.
Organ w sprawie tej nie kwestionował stosowania rozporządzenia nr 575/2013 – w ramach oceny zdolności kredytowej i analizy ryzyka kredytowego – a zatem w związku z wykonywaniem czynności bankowych co do zasady.
Nadto, nie można tracić z pola widzenia, że Prawo bankowe ściśle określa cele i zasady przetwarzania danych osobowych, w tym stanowi, w jakich przypadkach i dla jakich ściśle określonych celów jest dopuszczalne "dalsze" przetwarzanie danych bez zgody osoby fizycznej (po wygaśnięciu zobowiązania). W art. 105a ust. 4 Prawa bankowego ustawodawca wyraźnie wskazał na cele stosowania metod wewnętrznych oraz innych metod i modeli, o których mowa w części trzeciej rozporządzenia nr 575/2013. Prawo bankowe określa też przez jaki czas mogą być przetwarzane dane stanowiące tajemnicę bankową po wygaśnięciu zobowiązania. Rozciąganie uprawnienia – tak w odniesieniu do Banku, jak i BIK – do dalszego przetwarzania danych osobowych w zakresie wynikającym z zapytań kredytowych wymienionych w decyzji, w oparciu o które nie zawarto umowy, a zatem, w związku z przetwarzaniem tych konkretnych danych nie powstało zobowiązanie, nie może spotkać się w świetle przepisów RODO i Prawa bankowego z akceptacją Sądu. Także wszystkie pozostałe wymienione w skardze Banku i BIK przepisy prawa, o których była już mowa, nie stanowią odrębnej podstawy do zalegalizowania "dalszego" przetwarzania danych wnioskodawcy, które zebrane zostały w ściśle określonym celu (o którym miał wiedzę), czyli w celu oceny zdolności kredytowej i analizy ryzyka kredytowego (v. wyrok NSA z dnia 13 lutego 2025 r. sygn. akt III OSK 6563/21, orzeczenia.nsa.gov.pl).
Odnosząc się do zarzutu naruszenia art. 6 ust. 1 lit.c RODO wskazania wymaga, że zgodnie z art. 70a ust. 1 Prawa bankowego, banki i inne instytucje ustawowo upoważnione do udzielania kredytów na wniosek osoby fizycznej, prawnej lub jednostki organizacyjnej niemającej osobowości prawnej, o ile posiada zdolność prawną, ubiegającej się o kredyt przekazują, w formie pisemnej, wyjaśnienie dotyczące dokonanej przez siebie oceny zdolności kredytowej wnioskującego. Zgodnie z art. 70 ust. 2, wyjaśnienie, o którym mowa w ust. 1, obejmuje informacje na temat czynników, w tym danych osobowych wnioskującego, które miały wpływ na dokonaną ocenę zdolności kredytowej. W świetle powyższego wskazania wymaga, że powstanie obowiązku, o którym mowa w art. 70a ust. 1 Prawa bankowego, uzależnione jest od złożenia stosownego wniosku przez osobę ubiegającą się o kredyt. Z akt sprawy nie wynika, aby wniosek taki nie został złożony, jest zaś bezsporne, że wnioskodawca wniósł do Banku o usunięcie swoich danych w zakresie wynikającym z zapytań kredytowych, które nie zakończyły się zawarciem umowy kredytowej. W związku z odmową w tym zakresie podjął też działania przed Prezesem UODO. Z akt sprawy i całokształtu okoliczności nie wynika, aby wymieniona osoba wystąpiła do Banku, czy BIK o jakiekolwiek wyjaśnienie dotyczące dokonanej oceny zdolności kredytowej. Wynika zaś, że złożyła do Banku żądanie usunięcia danych, w tym również w bazie BIK. Nie może być więc mowy o tym, aby w sprawie znajdował zastosowanie art. 70a ust. 1 i 2 Prawa bankowego. Kwestia zmiany brzmienia powołanego przepisu nie ma znaczenia dla rozstrzygnięcia niniejszej sprawy. Przepis art. 70a w brzmieniu wynikającym ze zmiany dokonanej art. 5 pkt 23 ustawy z dnia 16 sierpnia 2023 r. o zmianie niektórych ustaw w związku z zapewnieniem rozwoju rynku finansowego oraz ochrony inwestorów na tym rynku (Dz. U. z 2023 r., poz. 1723), nie miał zastosowania w niniejszej sprawie i nie wpływa na jej wynik. Wynikająca z nowego brzmienia przepisu kwestia terminu roku na złożenie wniosku w sprawie wyjaśnienia dotyczącego dokonanej oceny zdolności kredytowej powiązana jest ściśle przede wszystkim z momentem przekazania osobie fizycznej informacji o dokonanej ocenie zdolności kredytowej. W czasie, gdy wnioskodawcę poinformowano o braku zdolności kredytowej, powołany przepis nie zakreślał terminu na udzielenie informacji wnioskodawcy. Nadto, w sprawie tej termin, o którym mowa w obecnie obowiązującym art. 70 a Prawa bankowego dawno minął, a wnioskodawca jednoznacznie żądał od Banku usunięcia danych zawartych w zapytaniach kredytowych, które nie zakończyły się nawiązaniem stosunku zobowiązaniowego (także w bazie BIK).
Odnosząc się do zarzutów Banku i BIK naruszenia art. 6 ust. 1 lit.f RODO w zw. z Rekomendacjami S, W i T Komisji Nadzoru Finansowego wskazania wymaga, że także ten zarzut nie jest zasadny. Powoływane Rekomendacje Komisji Nadzoru Finansowego nie są źródłem prawa powszechnie obowiązującego. Nie ma przy tym podstaw, aby w tym przypadku, w stanie faktycznym tej sprawy, wywodzić z Rekomendacji KNF – wobec osoby, z którą nie zawarto umowy kredytowej i która zażądała usunięcia danych – prawnie uzasadnione interesy Banku i BIK, o których jest mowa w art. 6 ust. 1 lit.f RODO.
Nadto, podkreślenia wymaga, że Rekomendacje KNF, które zawierają konkretne wymagania regulacyjne wobec narzędzi używanych przez banki, nie powinny być interpretowane w sprzeczności z RODO w zakresie legalności przetwarzania danych (w zakresie zapytań kredytowych) osób, z którymi nie zawarto umów kredytowych, nie mogą być wykładane w sposób prowadzący do nieuprawnionego przetwarzania takich danych. Wypełnienie nakazu Prezesa UODO w postaci nakazu usunięcia danych wnioskodawcy w zakresie wynikającym ze wskazanych w decyzji zapytań, przetwarzanych bez podstawy prawnej nie uniemożliwia realizacji Rekomendacji i nie daje podstaw do stwierdzenia o dopuszczalności "dalszego" przetwarzania na gruncie RODO danych zawartych we wskazanych w decyzji zapytaniach kredytowych, gdy nie zawarto w oparciu o nie umowy, a jednocześnie nie uzyskano zgody wnioskodawcy na dalsze przetwarzanie danych osobowych w celach innych niż te, w jakich je pierwotnie udostępnił. Także powoływana potrzeba realizacji działań z zakresu opracowania, utrzymania aktualności i funkcjonalności zbudowanych modeli scoringowych, nie stanowi w stanie faktycznym tej sprawy podstawy przetwarzania – w odniesieniu do danych osoby, z którą nie zawarto umowy kredytowej – w celu wynikającym z prawnie uzasadnionych interesów BIK.
Nietrafny jest przy tym zarzut naruszenia art. 7b k.p.a. poprzez niezwrócenie się przez Prezesa UODO do KNF jako organu właściwego w sprawach związanych m.in. z badaniem zdolności kredytowej i analizy ryzyka kredytowego, a także budową modeli scoringowych. Zgodnie z powołanym przepisem, w toku postępowania organy administracji publicznej współdziałają ze sobą w zakresie niezbędnym do dokładnego wyjaśnienia stanu faktycznego i prawnego sprawy, mając na względzie interes społeczny i słuszny interes obywateli oraz sprawność postępowania, przy pomocy środków adekwatnych do charakteru, okoliczności i stopnia złożoności sprawy. W sprawie niniejszej Prezes UODO nie miał obowiązku zwracania się do KNF czy innego organu ani w zakresie dokonywanych ustaleń stanu faktycznego ani w zakresie wyjaśnień stanu prawnego.
Prezes UODO jest wyspecjalizowanym organem ochrony danych osobowych, jedynym powołanym i uprawnionym do monitorowania i egzekwowania RODO, a nadto do upowszechniania wśród administratorów i podmiotów przetwarzających wiedzę o obowiązkach spoczywających na nich na mocy RODO (art. 51, art. 52, art. 57, motyw 123, motyw 129 RODO, v. podobnie wyrok WSA w Warszawie z dnia 21 kwietnia 2022 r., sygn. akt II SA/Wa 3131/21, wyrok WSA z dnia 5 maja 2021 r. sygn. akt II SA/Wa 1982/20, orzeczenia.nsa.gov.pl). Zdaniem Sądu nie ma przy tym wątpliwości, że Prezes UODO dokonał w tej sprawie niezbędnych dla jej rozstrzygnięcia ustaleń faktycznych. W zakresie mającym znaczenie dla sprawy organ zebrał niezbędny materiał dowodowy, zwracał się do stron o udzielenie stosownych wyjaśnień, strony wyjaśnień tych udzieliły. Organ zgromadzony materiał dowodowy rozpatrzył wszechstronnie i należycie, a ocena tego materiału na gruncie przepisów RODO nie budzi zdaniem Sądu zastrzeżeń, jest prawidłowa. Odmienna ocena zarówno Banku, jak i BIK w zakresie wykładni i zastosowania powołanych przez organ przepisów prawa nie stanowi o naruszeniu przepisów postępowania, w tym art. 7, 77 i 80 k.p.a.
W odniesieniu do zarzutów skargi wskazania wymaga, że Prezes UODO nie kwestionował w zaskarżonej decyzji uprawnień instytucji finansowych, w tym Banku i BIK do dokonywania ustaleń i ocen w zakresie zdolności kredytowej. Przedmiotem sprawy była ocena zgodności z prawem "dalszego" przetwarzania danych osobowych wnioskodawcy zakresie wynikającym z zapytań kredytowych z [...] stycznia 2019 r., [...] marca 2019 r., [...] maja 2019 r., [...] czerwca 2019 r., [...] czerwca 2019 r., [...] sierpnia 2019 r., [...] września 2019 r., [...] października 2019 r., albowiem to przetwarzanie danych było przez wnioskodawcę w sposób jednoznaczny kwestionowane. Uprawnienie do dokonania oceny w tym przedmiocie Prezes UODO bezspornie posiada na gruncie RODO, jako organ wyspecjalizowany. Gromadząc materiał dowodowy nie był przy tym obowiązany do dokonania analizy funkcjonowania sektora finansowego, aspekt uprawnienia Banku i BIK do oceny zdolności kredytowej i analizy ryzyka kredytowego nie budził żadnych wątpliwości u Prezesa UODO, co znalazło wyraz w uzasadnieniu zaskarżonej decyzji.
Podkreślenia wymaga, że procesy przetwarzania danych osobowych powinny czynić zadość zarówno przepisom prawa o ochronie danych osobowych, jak i przepisom szeroko pojętego prawa bankowego, z uwzględnieniem zasady proporcjonalności.
Odnosząc się ponownie do zarzutu naruszenia art. 6 ust. 1 lit f. RODO, tym razem w zw. z przytoczonymi w skardze przepisami k.c. i w nawiązaniu do wskazywanej przez Bank i BIK potrzeby przechowywania danych (danych w zakresie wynikającym z zapytań kredytowych z [...] stycznia 2019 r., [...] marca 2019 r., [...] maja 2019 r., [...] czerwca 2019 r., [...] czerwca 2019 r., [...] sierpnia 2019 r., [...] września 2019 r., [...] października 2019 r.) osoby, z którą nie zawarto – w oparciu o te zapytania – umowy kredytowej, w celu ustalenia, dochodzenia i ochrony przed roszczeniami, ewentualnego zabezpieczenia roszczeń, na wypadek konieczności obrony lub dochodzenia ewentualnych roszczeń, które mogą się pojawić w określonym czasie po przeprowadzeniu stosownej analizy zdolności kredytowej oraz analizie ryzyka kredytowego wskazania wymaga, że art. 6 ust. 1 lit.f RODO stanowi o uprawnieniu do przetwarzania, gdy jest ono niezbędne do celów wynikających z prawnie uzasadnionych interesów realizowanych przez administratora lub przez stronę trzecią, z wyjątkiem sytuacji, w których nadrzędny charakter wobec tych interesów mają interesy lub podstawowe prawa i wolności osoby, której dane dotyczą, wymagające ochrony danych osobowych, w szczególności gdy osoba, której dane dotyczą, jest dzieckiem. Za usprawiedliwiony cel w rozumieniu powołanego przepisu nie może zostać uznane przetwarzanie danych osobowych na wypadek ewentualnego dochodzenia lub obrony roszczeń (v. wyrok NSA z dnia 29 maja 2025 r. sygn. akt III OSK 984/22, orzeczenia.nsa.gov.pl). Z akt sprawy nie wynika, aby wnioskodawca, który zażądał usunięcia danych w zakresie wskazanych już wyżej zapytań kredytowych, miał jakiekolwiek roszczenie na drodze cywilnoprawnej do Banku lub BIK. Wnioskodawca żądał natomiast usunięcia danych przetwarzanych bez podstawy prawnej. Z tego względu nie jest dopuszczalne przyjęcie, że to art. 6 ust. 1 lit.f RODO mógłby stanowić podstawę dla Banku, czy BIK do "dalszego" przetwarzania jego danych na wypadek ewentualnego dochodzenia roszczeń. W toku postępowania administracyjnego nie wykazano, nie wynika też ze skargi, jakich ewentualnie roszczeń Bank czy BIK chciałby dochodzić od osoby, która zażądała usunięcia swoich danych w zakresie wymienionych w decyzji zapytań kredytowych i z którą to osobą fizyczną nie zawarto w tym zakresie umowy. Wskazania wymaga, że z art. 3531 k.c. wynika zasada swobody umów. Strony mogą zatem w ramach autonomii woli kształtować stosunki cywilnoprawne mocą własnych decyzji Przepis art. 3531 k.c. wskazuje na podstawowy element, jaki dla swobody umów obligacyjnych ma kompetencja stron w zakresie kształtowania treści zobowiązania. Umowy nie zawarto, zobowiązanie w związku z tymi zapytaniami nie powstało. BIK i Bank nie wskazały, aby wnioskodawca kierował do nich jakiekolwiek roszczenia (zażądał jedynie usunięcia własnych danych osobowych, których jest wyłącznym dysponentem, w związku z tym, że ustał cel ich przetwarzania).
Ważąc interesy wnioskodawcy, który żądał respektowania jego praw do ochrony danych osobowych wynikających z RODO i interesy Banku i BIK przedstawiane już wyżej, w sytuacji, gdy nie zawarto umowy kredytowej, brak jest podstaw do przyjęcia, że spełniona została przesłanka z art. 6 ust. 1 lit.f RODO. Sąd rozpoznający niniejszą sprawę podziela pogląd Naczelnego Sądu Administracyjnego, zgodnie z którym niedopuszczalne jest przetwarzanie danych osobowych niejako "na zapas" z założeniem, że mogą być one ewentualnie przydatne w przyszłości, na przykład z odwołaniem się do przepisów dotyczących przedawnienia roszczeń (v. wyrok NSA z dnia 27 marca 2018 r. sygn. akt I OSK 1459/16, orzeczenia.nsa.gov.pl). Wywodzenie zatem także z kwestii przedawnienia roszczeń samodzielnej podstawy do przetwarzania danych – w sytuacji, gdy mowa o danych osoby, z którą Bank nie zawarł umowy kredytowej, nie jest uprawnione i nie stanowi przesłanki do ich dalszego przetwarzania.
Celem RODO, tak, jak poprzednio Dyrektywy 95/46/WE, jest ochrona prywatności, która powinna być rozpatrywana także w świetle art. 8 Konwencji o Ochronie Praw Człowieka i Podstawowych Wolności. W sprawie tej nie istnieje tego rodzaju powiązanie pomiędzy osobą, której dane dotyczą a Bankiem, jak również pomiędzy tą osobą a BIK, które pozwalałoby "wyprowadzić" istnienie prawnie uzasadnionego interesu po stronie BIK i Banku w "dalszym" przetwarzaniu danych tej osoby w zakresie wynikającym z zapytania kredytowego z dnia [...] lutego 2021 r.
W doktrynie podkreśla się, iż "w motywie 47 preambuły do RODO wskazano, że interesy i prawa podstawowe osoby, której dane dotyczą mogą być nadrzędne wobec interesu administratora danych, w szczególności w przypadkach, gdy dane osobowe są przetwarzane, w sytuacji w której osoby, których dane dotyczą, nie mają rozsądnych przesłanek by spodziewać się dalszego przetwarzania" (v. P.Litwiński, P.Barta, M.Kawecki, Rozporządzenie UE w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i swobodnym przepływem takich danych. Komentarz, Warszawa 2018, str. 308).
W motywie 47 RODO wprost wskazuje się, że "Aby stwierdzić istnienie prawnie uzasadnionego interesu, należałoby w każdym przypadku przeprowadzić dokładną ocenę, w tym ocenę tego, czy w czasie i w kontekście, w którym zbierane są dane osobowe, osoba, której dane dotyczą, ma rozsądne przesłanki by spodziewać się, że może nastąpić przetwarzanie danych w tym celu. Interesy i prawa podstawowe osoby, której dane dotyczą, mogą być nadrzędne wobec interesu administratora danych w szczególności w przypadkach, gdy dane osobowe są przetwarzane w sytuacji, w której osoby, których dane dotyczą, nie mają rozsądnych przesłanek, by spodziewać się dalszego przetwarzania".
Z okoliczności sprawy nie wynika, aby wnioskodawca mógł spodziewać się w czasie, gdy pozyskiwano od niego dane w zakresie ujętym w zapytaniach kredytowych wskazanych w decyzji, które nie zakończyły się zawarciem umowy, że będą one "dalej" przetwarzane nie tylko przez Bank, ale i przez BIK (v. motyw 47 RODO).
Sąd wskazuje jednocześnie, że użyte w art. 6 ust. 1 lit. f RODO pojęcie "interesu" jest pojęciem szerszym od pojęcia "celu", o którym była mowa w art. 23 ust. 1 pkt 5 nieobowiązującej już ustawy o ochronie danych osobowych z 1997 r. Nie zmienia to jednak tego, że jako prawnie uzasadniony interes administratora na gruncie art. 6 ust. 1 lit. f RODO nie może być rozumiana każda potrzeba wygenerowana przez danego administratora w związku z prowadzoną działalnością gospodarczą. Przyjęcie takiej koncepcji poddawałoby w wątpliwość funkcjonowanie wszystkich pozostałych przesłanek legalności przetwarzania danych ujętych w RODO, skoro sama potrzeba, pojawiająca się dynamicznie w ramach prowadzonej działalności gospodarczej (handlowej) czyniłaby dopuszczalnym przetwarzanie danych osobowych. Niewątpliwie zaś ten prawnie uzasadniony interes administratora nie może pozbawiać jednostki prawa do dysponowania własnymi danymi osobowymi i ochrony prywatności. Nadto, wskazać należy na brzmienie art. 7 lit. f nieobowiązującej już Dyrektywy 95/46/WE, którą ustawa z 1997 r. implementowała (art. 23 ust. 1 pkt 5 ustawy z 1997 r.), a stanowił on, że przetwarzanie danych jest konieczne dla potrzeb wynikających z uzasadnionych interesów administratora danych lub osoby trzeciej, lub osobom, którym dane są ujawniane, z wyjątkiem sytuacji, kiedy interesy takie podporządkowane są interesom związanym z podstawowymi prawami i wolnościami osoby, której dane dotyczą, które gwarantują ochronę na podstawie art. 1 ust. 1. W Dyrektywie mowa była zatem o uzasadnionych interesach administratora danych. Stąd też poglądy przywołane przez organ w decyzji, a prezentowane w orzecznictwie NSA z powołaniem się na tę przesłankę nie straciły na aktualności.
Podnieść należy przy tym, że w orzecznictwie Trybunału Sprawiedliwości przyjmuje się i pogląd ten prezentuje także Sąd rozpoznający niniejszą sprawę, że "Ze względu na to, że RODO uchyliło i zastąpiło dyrektywę 95/46, a właściwe przepisy tego rozporządzenia mają w istocie zakres identyczny jak właściwe przepisy tej dyrektywy, orzecznictwo Trybunału dotyczące wspomnianej dyrektywy znajduje również co do zasady zastosowanie w odniesieniu do tego rozporządzenia (v. wyrok Trybunału Sprawiedliwości z dnia 17 czerwca 2021 r. C-597/19, punkt 107).
Zwrócić należy przy tym uwagę, że w sprawie niniejszej, w jej okolicznościach faktycznych, to prawa i wolności osoby fizycznej - wnioskodawcy, mają nadrzędny charakter nad interesami Banku, jak również BIK. Pamiętać trzeba bowiem, że celem udostępnienia danych osobowych przez osobę fizyczną było rozpatrzenie konkretnych wniosków kredytowych, cel był ściśle określony), zgodnie z przepisami Prawa bankowego, o czym była już mowa wyżej. Powyższe nie daje podstaw do dalszego przetwarzania danych "na przyszłość" po zakończeniu oceny zdolności kredytowej i analizy ryzyka kredytowego w zakresie danych wynikających z tych zapytań. Trzeba też zwrócić uwagę na nierównowagę występującą między administratorem danych a osobą, której dane dotyczą. Warto zwrócić uwagę, że sama zasada rozliczalności (art. 5 ust. 2 RODO) nie legalizuje przetwarzania jakichkolwiek danych. Konieczne jest bowiem, aby w pierwszej kolejności przetwarzanie danych było zgodne z prawem.
Podkreślenia wymaga, że niezależnie od zrozumienia dla argumentacji Banku i BIK co do wskazywanych potrzeb, zamierzeń, czy celów, jakie podmioty te chciałyby osiągnąć w działalności gospodarczej poprzez "dalsze" przetwarzanie danych osobowych wnioskodawcy w zakresie wynikającym z zapytań kredytowych z [...] stycznia 2019 r., [...] marca 2019 r., [...] maja 2019 r., [...] czerwca 2019 r., [...] czerwca 2019 r., [...] sierpnia 2019 r., [...] września 2019 r., [...] października 2019 r., w oparciu o które to zapytania, umowy kredytowej nie zawarto, zaskarżona decyzja (zarówno w zakresie punktu 1, jak i 2) nie narusza prawa.
W sprawie tej cel przetwarzania legalnie zebranych danych osobowych osoby fizycznej (zebranych w celu oceny zdolności kredytowej i analizy ryzyka kredytowego) ustał. Podkreślić trzeba, że każde przetwarzanie danych osobowych, a tym samym nie tylko zebranie danych, ale także kontynuowanie ich przetwarzania w innych celach musi znajdować podstawę prawną. W sprawie tej, co wykazano już wyżej takiej podstawy prawnej, stanowiącej przesłankę do "dalszego" przetwarzania danych osobowych wymienionej osoby fizycznej, w sprawie tej nie wykazano. W ocenie Sądu niedopuszczalna jest taka interpretacja powołanych w skargach przepisów Prawa bankowego, AML, k.c., czy rozporządzenia 575/2013, która czyniłaby uprawnionym na gruncie RODO dalsze przetwarzanie danych osobowych zawartych w zapytaniach kredytowym osoby, w oparciu, o które nie zawarto umowy (a zatem w celach innych niż cele, w jakich dane zostały przez wnioskodawcę przedstawione Bankowi), w sytuacji, gdy Prawo bankowe wyraźnie reguluje dopuszczalność przetwarzania danych osobowych przed powstaniem zobowiązania, w trakcie jego trwania i po wygaśnięciu.
Przyjęcie interpretacji zaprezentowanej w skargach prowadziłoby do tego, że w odniesieniu do kategorii osób (których dane zawarte zostały w zapytaniu kredytowym, czy jak w tej sprawie zapytaniach kredytowych), w oparciu o które nie zawarto umowy kredytowej istniałaby pełna dowolność tak w zasadach ich przetwarzania (bez zgody osoby (jak należy wnioskować ze stanowisk Banku i BIK), bez informacji przedstawianej przed pozyskaniem danych o innych celach przetwarzania (niż ocena zdolności kredytowej i ryzyka kredytowego) zarówno przez Bank jak i BIK, jak również dowolne ustalenia w odniesieniu do czasu ich przetwarzania (te kwestie byłyby bowiem (i są) i jak wynika z wyjaśnień Banku i BIK, ustalane samodzielnie przez te podmioty – z uwzględnieniem przyjmowanych przez nie celów służących co do zasady spełnieniu określonych wymagań organu nadzoru nad rynkiem finansowym.
Podkreślenia wymaga, że przedmiotem niniejszej sprawy i kompetencji Prezesa UODO nie jest ustalenie możliwego sposobu realizacji przez Bank i BIK obowiązków nakładanych na te podmioty przez instytucje nadzorcze w zakresie prowadzonej działalności. Nie ma przeszkód i jest wskazane, aby realizację tych obowiązków wykonywać z poszanowaniem RODO. Przedmiotem oceny organu ochrony danych osobowych była w tej sprawie wyłącznie kwestia oceny zgodności z prawem "dalszego" przetwarzania danych osobowych konkretnej osoby fizycznej w konkretnych okolicznościach faktycznych. Sąd nie znalazł podstaw do zakwestionowania tej oceny organu.
Zwrócić należy uwagę, że w demokratycznym państwie prawnym nie jest dopuszczalne dowolne rozszerzanie uprawnień jakiegokolwiek podmiotu, ani organu władzy ani spółki prawa handlowego, ani żadnego innego podmiotu będącego administratorem w zakresie przetwarzania danych osobowych (art. 47, art. 51 Konstytucji RP). Dane osobowe mogą być przetwarzane co do zasady w celach, w jakich zostały zebrane. Powinny być adekwatne, stosowne oraz ograniczone do tego co niezbędne do osiągnięcia celów, w których zostały zebrane, są przetwarzane (art. 5 ust. 1 lit.c RODO). Przetwarzanie przez Bank i BIK "na przyszłość" danych zawartych w zapytaniu kredytowym, w sytuacji, gdy nie zawarto umowy, nie znajduje umocowania w żadnej przesłance z art. 6 ust. 1 RODO.
Sąd podziela te poglądy prezentowane w orzecznictwie sądowoadministracyjnym, zgodnie z którymi dalsze przetwarzanie danych uzyskanych w celu oceny zdolności kredytowej, w przypadku nie zawarcia stosownej umowy pozostawałoby w oderwaniu od celu, dla którego je uzyskano. Niedopuszczalne jest dalsze przetwarzanie danych osobowych na przyszłość, a także na potrzeby budowy oceny zdolności kredytowej innych podmiotów, jeżeli nie można zrekonstruować wyraźnej podstawy prawnej takich działań, jak miało to miejsce w niniejszej sprawie (v. wyrok NSA z dnia 27 sierpnia 2019 r. sygn. akt 2567/17, orzeczenia.nsa.gov.pl).
Odnosząc się do kwestii zaskarżenia przez Bank zarówno punktu 1 (nakazu skierowanego do BIK), jak i punktu 2 decyzji (nakazu skierowanego do Banku) Sąd wskazuje jedynie, że Bank i BIK są odrębnymi administratorami. Konsekwencją powyższego, niezależnie od występującego interesu faktycznego Banku w zakresie danych, jakie przetwarza BIK, brak jest podstaw, aby uznać, że po stronie Banku występuje interes prawny (legitymacja prawna) do kwestionowania nakazu wystosowanego przez organ do BIK. Podkreślenia wymaga bowiem, że BIK
samodzielnie decyduje o celach i środkach przetwarzania danych w BIK. Ustalenie interesu prawnego lub obowiązku może nastąpić tylko w związku z normą prawa materialnego. Mieć interes prawny w kwestionowaniu jakiegokolwiek obowiązku nałożonego na BIK na gruncie RODO, znaczy to samo, co ustalić powszechnie obowiązujący przepis prawa, na którego podstawie Bank mógłby skutecznie żądać czynności organu w odniesieniu do działalności BIK. Interes faktyczny nie daje podstaw do kwestionowania przez Bank rozstrzygnięcia zawartego w punkcie 1 decyzji, dotyczącego BIK. Kwestia zaskarżenia przez Bank decyzji w całości pozostaje bez wpływu na wynik sprawy.
Mając na uwadze powyższe, Wojewódzki Sąd Administracyjny w Warszawie, na podstawie art. 151 ustawy z dnia 30 sierpnia 2002 r. - Prawo o postępowaniu przed sądami administracyjnymi (t.j. Dz. U. z 2024 r., poz. 935), orzekł jak w wyroku.