II SA/Wa 1744/24

II SA/Wa 1744/24 - Wyrok WSA w Warszawie
Data orzeczenia
2025-09-05
orzeczenie nieprawomocne
Data wpływu
2024-10-30
Sąd
Wojewódzki Sąd Administracyjny w Warszawie
Sędziowie
Arkadiusz Koziarski.
Ewa Radziszewska-Krupa /przewodniczący/
Joanna Kruszewska-Grońska /sprawozdawca/
Symbol z opisem
647  Sprawy związane z ochroną danych osobowych
Hasła tematyczne
Ochrona danych osobowych
Sygn. powiązane
III OZ 166/25 - Postanowienie NSA z 2025-04-15
Skarżony organ
Generalny Inspektor Ochrony Danych Osobowych
Treść wyniku
Oddalono skargi
Powołane przepisy
Dz.U. 2019 poz 1781
art. 7 ust. 1
Ustawa z dnia 10 maja 2018 r. o ochronie danych osobowych (t. j.)
Dz.U.UE.L 2016 nr 119 poz 1  art. 6 ust. 1 oraz art. 58 ust. 2 lit. c
Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z  przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE
Sentencja
Wojewódzki Sąd Administracyjny w Warszawie w składzie następującym: Przewodniczący Sędzia WSA Ewa Radziszewska-Krupa, Sędzia WSA Joanna Kruszewska-Grońska (spr.), Asesor WSA Arkadiusz Koziarski, , Protokolant starszy sekretarz sądowy Marcin Rusinowicz-Borkowski po rozpoznaniu na rozprawie w dniu 5 września 2025 r. sprawy ze skarg [...] S.A. z siedzibą w [...] i [...] S.A. z siedzibą w [...] na decyzję Prezesa Urzędu Ochrony Danych Osobowych z dnia [...] sierpnia 2024 r. nr [...] w przedmiocie przetwarzania danych osobowych oddala skargi.
Uzasadnienie
Prezes Urzędu Ochrony Danych Osobowych (dalej: "PUODO", "organ") decyzją z [...] sierpnia 2024 r. nr [...], na podstawie art. 104 § 1 ustawy z dnia 14 czerwca 1960 r. Kodeks postępowania administracyjnego (obecnie tekst jednolity: Dz. U. z 2024 r., poz. 572 ze zm.; dalej: "k.p.a.") w związku z art. 7 ust. 1 i 2 ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych (Dz. U. z 2019 r., poz. 1781; dalej: "u.o.d.o."), a także art. 6 ust. 1 oraz art. 58 ust. 2 lit. c rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (Dz. Urz. UE L 119 z 2016 r. ze sprost.; dalej: "RODO"), po przeprowadzeniu postępowania administracyjnego zainicjowanego skargą D. S. (dalej: "uczestnik postępowania") na nieprawidłowości w procesie przetwarzania jego danych osobowych przez [...] Bank Polska S.A. z siedzibą we W. (dalej: "Bank", "skarżący"), polegające na przetwarzaniu danych osobowych uczestnika postępowania w zapytaniu kredytowym z [...] listopada 2020 r., które nie zakończyło się zawarciem umowy kredytowej, w Biurze Informacji Kredytowej S.A. z siedzibą w W. (dalej: "BIK", "skarżący"), bez podstawy prawnej, w pkt 1 nakazał Bankowi usunięcie danych osobowych uczestnika postępowania w zakresie wynikającym z zapytania kredytowego z [...] listopada 2020 r., które nie zakończyło się zawarciem umowy kredytowej, a w pkt 2 nakazał BIK usunięcie, przekazanych przez Bank, danych osobowych uczestnika postępowania w zakresie wynikającym z ww. zapytania kredytowego, które nie zakończyło się zawarciem umowy kredytowej.
W uzasadnieniu powołanej na wstępie decyzji organ podał, że wpłynęła do niego skarga uczestnika postępowania na nieprawidłowości w procesie przetwarzania danych osobowych przez Bank, polegające na przetwarzaniu danych osobowych uczestnika postępowania w zakresie zapytania kredytowego z [...] listopada 2020 r., które nie zakończyło się zawarciem umowy kredytowej, w BIK, bez podstawy prawnej.
PUODO ustalił następujący stan faktyczny sprawy:
( w skardze wszczynającej postępowanie przed organem, uczestnik postępowania wskazał, iż Bank przetwarza jego dane osobowe związane z zapytaniem kredytowym z [...] listopada 2020 r., udostępniając je w zewnętrznej bazie BIK, pomimo wycofania przez niego zgody. Dlatego uczestnik postępowania wniósł o nakazanie Bankowi usunięcia ww. zapytania kredytowego;
( Bank wyjaśnił, że dane uczestnika postępowania pozyskał z wniosków o zawarcie umowy kredytu ratalnego, w tym z wniosku z [...] listopada 2020 r. o nr [...], który nie zakończył się zawarciem umowy. W związku z powyższym Bank przetwarza dane osobowe uczestnika postępowania w następującym zakresie: imię i nazwisko, nr PESEL, data urodzenia, seria i nr dowodu osobistego, data wydania i ważności dowodu osobistego, adres zameldowania, adres korespondencyjny, nr telefonu, adres email, stan cywilny, informacje o dochodzie i jego źródle, dane o obciążeniach gospodarstwa domowego;
( Bank stwierdził, iż podstawą pozyskania danych osobowych uczestnika postępowania było podjęcie działań przed zawarciem umowy (vide art. 6 ust. 1 lit. b RODO) oraz wypełnienie obowiązków prawnych związanych z art. 6 ust. 1 lit. c RODO takich jak:
a) wykonanie środków bezpieczeństwa finansowego oraz przechowywanie danych dla celów przeciwdziałania praniu pieniędzy oraz finansowaniu terroryzmu - vide art. 34 ust. 4, art. 36 i art. 49 ustawy z dnia 1 marca 2018 r. o przeciwdziałaniu praniu pieniędzy oraz finansowaniu terroryzmu (obecnie tekst jednolity: Dz. U. z 2025 r., poz. 644; dalej: "AML"),
b) przeprowadzenie oceny zdolności kredytowej i analizy ryzyka kredytowego na podstawie art. 70 ust. 1 w związku z art. 105 ust. 4 oraz art. 105a ust. 1 ustawy z dnia 29 sierpnia 1997 r. Prawo bankowe (obecnie tekst jednolity: Dz. U. z 2024 r., poz. 1646 ze zm.; dalej: "P.b."),
c) realizacja prawa do wyjaśnienia oceny zdolności kredytowej w oparciu o art. 70a P.b.;
( aktualnie Bank przetwarza dane osobowe uczestnika postępowania w zakresie wynikającym z zapytania kredytowego z [...] listopada 2020 r. w następujących celach:
a) rozpatrywania reklamacji oraz ustalania, obrony i dochodzenia roszczeń na mocy art. 6 pkt 1 lit. f RODO, do czasu upływu okresu 6 lat przedawnienia wynikającego z art. 118 ustawy z dnia 23 kwietnia 1964 r. Kodeks cywilny (obecnie tekst jednolity: Dz. U. z 2025 r., poz. 1071; dalej: "k.c."),
b) analizy ryzyka kredytowego (vide art. 105a P.b. w związku z art. 6 pkt 1 lit. c RODO) - przez okres 3 lat od momentu rozpatrzenia wniosku,
c) tworzenia modeli scoringowych i przetwarzania danych pochodzących z zapytań kredytowych dla oceny innych osób (vide art. 6 pkt 1 lit. c RODO w związku z art. 70 ust. 1 i art. 105 ust. 4 P.b. oraz rekomendacją T Komisji Nadzoru Finansowego; dalej: "KNF") - przez okres 6 lat od momentu rozpatrzenia wniosku,
d) realizacji wymogów ostrożnościowych, tj. oceny ogólnej ekspozycji oraz ryzyka ekspozycji Banku wynikających z rozporządzenia Parlamentu Europejskiego i Rady (UE) nr 575/2013 z dnia 26 czerwca 2013 r. w sprawie wymogów ostrożnościowych dla instytucji kredytowych i firm inwestycyjnych, zmieniającego rozporządzenie (UE) nr 648/2012 (Dz. U. UE L. z 2013 r. Nr 176, str. 1 ze zm.; dalej: "CRR") w związku z art. 6 pkt 1 lit. c RODO - przez okres 6 lat od momentu rozpatrzenia wniosku,
e) wykonywania obowiązków związanych z przeciwdziałaniem praniu pieniędzy i finansowaniu terroryzmu (vide art. 106d ust. 1 pkt 3 P.b. w związku z art. 6 pkt 1 lit. c RODO) - przez okres 5 lat, zgodnie z art. 49 ust. 2 AML,
f) realizacji prawa do wyjaśnienia oceny zdolności kredytowej (vide art. 70a P.b. w związku z art. 6 pkt 1 lit. c RODO);
( Bank przekazał dane osobowe uczestnika postępowania do BIK, w ramach zawartej z BIK umowy, w celu przeprowadzenia oceny zdolności kredytowej i analizy ryzyka kredytowego w oparciu o art. 70 ust. 1 w związku z art. 105 ust. 4 oraz art. 105a ust. 1 P.b. w zakresie: imię i nazwisko, nr PESEL, data urodzenia, seria i nr dowodu osobistego, data wydania i ważności dowodu osobistego, adres zameldowania, adres korespondencyjny, nr telefonu, adres email, dane zakładu pracy, stan cywilny, informacje o dochodzie i jego źródle, dane o obciążeniach gospodarstwa domowego;
( 5 marca 2021 r. uczestnik postępowania zwrócił się do Banku z żądaniem zaprzestania dalszego gromadzenia i przetwarzania jego danych osobowych w BIK, lecz Bank w odpowiedzi z 18 marca 2021 r. odmówił usunięcia danych. Uczestnik postępowania ponowił to żądanie 11 marca 2021 r., a Bank w odpowiedzi z 25 marca 2021 r. podtrzymał swoje dotychczasowe stanowisko;
( poza ww. żądaniem, uczestnik postępowania nie kierował do Banku innych roszczeń. Również Bank nie wystąpił wobec uczestnika postępowania z roszczeniem związanym z zapytaniem kredytowym z [...] listopada 2020 r.;
( BIK wyjaśnił, iż pozyskał od Banku dane osobowe uczestnika postępowania dotyczące ww. zapytania kredytowego i w związku z tym zapytaniem przetwarza je w następujących celach:
a) oceny zdolności kredytowej i analizy ryzyka kredytowego przez okres:
- 12 miesięcy od dnia złożenia zapytania (vide art. 105 ust. 4 oraz art. 105a ust. 1, ust. 1a i ust. 1b w związku z art. 70 ust. 1 P.b.),
- nie krócej niż 5 lat i nie dłużej niż 10 lat od dnia złożenia zapytania, w celu budowy modeli scoringowych, a więc narzędzi wykorzystywanych przez banki do oceny zdolności kredytowej i analizy ryzyka kredytowego (vide art. 145 ust. 1 i art. 147 ust. 5 lit. b, art. 171 ust. 2, art. 144 ust. 1 lit. d CRR, jak również rekomendacji W i T KNF),
b) w celach statystycznych, a także stosowania metod wewnętrznych oraz innych metod i modeli (vide art. 6 ust. 1 lit. f RODO w związku z art. 105 ust. 1 i art. 105a ust. 4 P.b.) - przez okres 10 lat od dnia złożenia zapytania,
c) w celach przeciwdziałania przestępstwom oraz wykonywania obowiązków w zakresie określonym w przepisach o przeciwdziałaniu praniu pieniędzy oraz finansowaniu terroryzmu (vide art. 106d P.b. w związku z art. 33 ust. 2 i art. 34 ust. 1 pkt 4 AML) - przez okres 12 miesięcy,
d) w celu rozpatrywania ewentualnych reklamacji lub roszczeń odszkodowawczych klientów, których termin przedawnienia - w myśl art. 118 k.c. - wynosi 6 lat (cele dowodowe) oraz z uwagi na konieczność wypełnienia ustawowego obowiązku wynikającego z art. 15 RODO w przypadku wystąpienia przez osobę, której dane dotyczą, z wnioskiem o udzielenie informacji,
e) w celu realizacji wniosków klientów banków dotyczących wyjaśnień dokonanej oceny zdolności kredytowej (vide art. 70a P.b.);
( BIK oświadczył, że Bank nie zwracał się do niego o zaprzestanie przetwarzania danych pochodzących z zapytania kredytowego z [...] listopada 2020 r. Nadto do BIK z takim żądaniem (ani z żadnym innym roszczeniem) nie występował uczestnik postępowania.
Mając za podstawę faktyczną ustalenia poczynione w oparciu o przytoczone wyjaśnienia, PUODO zaakcentował, iż przepisem uprawniającym administratorów danych do przetwarzania zwykłych danych osób fizycznych jest art. 6 ust. 1 RODO, w myśl którego, przetwarzanie danych jest dopuszczalne tylko wtedy, gdy spełniona jest jedna z przesłanek wskazanych w tym przepisie. Katalog przesłanek wymienionych w art. 6 ust. 1 RODO jest zamknięty. Każda z przesłanek legalizujących proces przetwarzania danych osobowych ma charakter autonomiczny i niezależny. Dodatkowo proces przetwarzania danych osobowych musi być zgodny z zasadami ustanowionymi w art. 5 ust. 1 RODO. Do zasad tych zalicza się m.in. ograniczenie celu (art. 5 ust. 1 lit. b RODO) oraz minimalizację danych (art. 5 ust. 1 lit. c RODO). Powyższe zasady wymagają, aby dane osobowe były zbierane w konkretnych, wyraźnych i prawnie uzasadnionych celach i nieprzetwarzane dalej w sposób niezgodny z tymi celami, zaś proces przetwarzania danych osobowych był adekwatny, stosowny oraz ograniczony do tego, co niezbędne do celów, w których są przetwarzane. Zasadniczo podstawą prawną przetwarzania danych osobowych klientów przez Bank i BIK może być obecnie art. 6 ust. 1 lit. f RODO, gdy przetwarzanie to jest niezbędne do celów wynikających z prawnie uzasadnionych interesów realizowanych przez administratora.
Organ odnotował, że BIK jest instytucją utworzoną na podstawie art. 105 ust. 4 P.b.; w tym kontekście odwołał się także do treści art. 105a ust. 1 i ust. 5 oraz art. 70 ust. 1 P.b. Zdaniem PUODO, skoro uczestnik postępowania wystąpił do Banku [...] listopada 2020 r. o udzielenie kredytu, to Bank i BIK, na mocy art. 105a ust. 1 i art. 70 ust. 1 P.b., były uprawnione do przetwarzania jego danych osobowych w celu oceny zdolności kredytowej. W sytuacji jednak, gdy nie doszło do zawarcia umowy kredytu pomiędzy uczestnikiem postępowania a Bankiem, to odpadła przesłanka legalizująca dalsze przetwarzanie danych osobowych uczestnika przez Bank i BIK. Przesłanki zawarte w art. 105a P.b. dotyczą bowiem przetwarzania informacji objętych tajemnicą bankową w okresie przed powstaniem zobowiązania, w trakcie jego trwania oraz po wygaśnięciu zobowiązania. Pomiędzy Bankiem a uczestnikiem postępowania nie zawiązał się żaden stosunek zobowiązaniowy, który - stosownie do art. 105a ust. 1-6 P.b. - dawałby podstawę do dalszego przetwarzania danych osobowych tego ostatniego. Celem przetwarzania danych osobowych uczestnika postępowania była wyłącznie ocena zdolności kredytowej i analizy ryzyka kredytowego. Cel ten został zrealizowany i brak jest podstaw do kontynuowania procesu przetwarzania danych.
Na poparcie swojego stanowiska PUODO powołał się na wyrok Naczelnego Sądu Administracyjnego (dalej: "NSA") z 27 sierpnia 2019 r., sygn. akt I OSK 2567/17, w którym stwierdzono, iż cel oceny zdolności kredytowej stanowi ocena zdolności do spłaty zaciągniętego kredytu wraz z odsetkami, co ma charakter czynności wstępnej do zawarcia stosownej umowy. Dalsze przetwarzanie danych uzyskanych w celu oceny zdolności kredytowej, w przypadku niezawarcia stosownej umowy pozostawałoby w oderwaniu od celu, dla którego dane te uzyskano. Niedopuszczalne jest przetwarzanie danych osobowych na przyszłość, a także na potrzeby budowy oceny zdolności kredytowej innych podmiotów, jeżeli nie można zrekonstruować wyraźnej podstawy prawnej takich działań (orzeczenia sądów administracyjnych są dostępne w internetowej bazie orzeczeń na stronie: orzeczenia.nsa.gov.pl).
Według organu, cele statystyczne i analizy, w tym cel stosowanie metod wewnętrznych oraz innych metod i modeli, nie mogą być uznane za podstawę przetwarzania danych osobowych uczestnika postępowania, gdyż art. 105a ust. 4 P.b. umożliwia przetwarzanie informacji dotyczących osoby fizycznej, stanowiących tajemnicę bankową, po wygaśnięciu zobowiązania wynikającego z umowy zawartej z bankiem lub inną instytucją ustawowo upoważnioną do udzielania kredytów bez zgody osoby, której te informacje dotyczą. W rozpatrywanej sprawie nie doszło do zawarcia umowy kredytu, czyli nie powstał stosunek zobowiązaniowy, o którym mowa w ww. przepisie.
Także Bank i BIK nie wykazały, aby zaszła którakolwiek z przesłanek określonych w powołanych przez nie przepisach AML. W szczególności skarżący nie wykazali, by zaistniały uzasadnione podejrzenia, o których mowa w art. 106d ust. 1 pkt 1-2 P.b. ani nie wykazali ciążącego na nich obowiązku przewidzianego w art. 106d ust. 1 pkt 3 P.b.
W kwestii powołanego zarówno przez Bank, jak i przez BIK, celu ustalenia, dochodzenia lub obrony roszczeń, PUODO zwrócił uwagę, że zebrany materiał dowodowy nie wykazał, aby uczestnik postępowania wystąpił z jakimkolwiek roszczeniem wobec Banku czy BIK, które uzasadniałoby uprawnienie tych podmiotów do zachowania i przetwarzania jego danych osobowych dla celów dowodowych w związku z dochodzeniem roszczenia. Bank i BIK nie wskazały też na istnienie roszczeń, których dochodzą od uczestnika postępowania. Organ zaznaczył, iż przesłanka z art. 6 ust. 1 lit. f RODO dotyczy sytuacji już istniejącej, w której celem wynikającym z prawnie uzasadnionych interesów realizowanych przez administratora jest konieczność udowodnienia, potrzeba dochodzenia lub obrony przed roszczeniem istniejącym, a nie sytuacja, gdy dane są przetwarzane w celu zabezpieczenia się przed ewentualnym roszczeniem. Stanowisko to znajduje potwierdzenie w wyrokach NSA z 6 marca 2019 r., sygn. akt I OSK 994/17 i z 23 września 2005 r., sygn. akt I OSK 712/05. Z ostatniego z ww. orzeczeń wynika, że należy ważyć interesy stron, znaleźć równowagę między prawami i wolnościami jednostki z jednej strony a prawnie usprawiedliwionym interesem osoby trzeciej z drugiej strony. Oznacza to obowiązek zapewnienia właściwej równowagi praw i interesów stron, w tym praw podstawowych. Cofnięcie zgody na przetwarzanie danych osobowych nie jest niezbędne dla wypełnienia prawnie usprawiedliwionych celów, którym jest prawo do podjęcia obrony przed ewentualnymi roszczeniami lub zarzutami dotyczącymi przetwarzania danych w celu obsługi wniosku kredytowego. Niedopuszczalne jest przetwarzanie danych osobowych niejako "na zapas" z założeniem, iż mogą one być ewentualnie przydatne w przyszłości.
Jak podniósł organ, przyjęcie odmiennej interpretacji oznaczałoby, że dane osobowe uczestnika postępowania mogą być przetwarzane przez Bank i BIK permanentnie, bez konieczności ich usunięcia. Teoretycznie możliwe jest, by uczestnik postępowania zwrócił się do Banku lub BIK z roszczeniem po upływie terminu przedawnienia roszczenia. Prowadziłoby to do uznania, iż przetwarzanie jego danych osobowych znajduje uzasadnienie w przesłance z art. 6 ust. 1 lit. f RODO, w celu realizacji prawa do obrony przed ewentualnym roszczeniem również po upływie ww. terminu. PUODO nie zaaprobował poglądu, że terminy dotyczące przedawnienia roszczeń wynikających ze stosunków zobowiązaniowych określają ramy czasowe, w których dane osobowe mogą być przetwarzane przez Bank i BIK. Przedawnienie roszczenia nie wywołuje bowiem skutków na gruncie ochrony danych osobowych, nie wpływa na istnienie roszczenia, a powoduje jedynie zmianę w sferze zarzutów procesowych w postaci możliwości podniesienia okoliczności przedawnienia w sporze sądowym. Okolicznością usprawiedliwiającą przetwarzanie danych osobowych, w celu dochodzenia roszczeń jest istnienie roszczenia i zamiar jego dochodzenia, nie jest nią natomiast zmiana w uprawnieniach procesowych podmiotu pozwanego.
Nie ma też podstaw do przyjęcia, iż Bank jest uprawniony do przetwarzania danych osobowych w związku z koniecznością ewentualnego wypełnienia obowiązku wynikającego z art. 70a ust. 1 i ust. 2 P.b. PUODO podzielił stanowisko doktryny, wedle którego, jeśli bank - w wyniku dokonanej oceny zdolności kredytowej (przeprowadzonej zgodnie z przyjętymi rekomendacjami KNF) - nie udzieli kredytu, to nie dojdzie do zawarcia umowy kredytu, a stan taki nie rodzi po stronie ubiegającego się o kredyt żadnych roszczeń na drodze cywilnoprawnej. Ubiegającemu się o kredyt przysługuje tylko możliwość wnioskowania o przedstawienie na piśmie przyczyn odmowy (vide B. Bajor [w:] L. Kociucki, J. M. Kondek, K. Królikowska, B. Bajor, Prawo bankowe. Komentarz do przepisów cywilnoprawnych, Warszawa 2020, art. 70a).
Po bezskutecznym wystąpieniu do Banku o udzielenie kredytu, uczestnik postępowania zażądał usunięcia jego danych przetwarzanych w związku z zapytaniem kredytowym. Następnie zakwestionował proces przetwarzania danych osobowych w niniejszym postępowaniu, domagając się ochrony danych osobowych. Uwzględnienie żądania uczestnika postępowania usunięcia ww. danych skutkować będzie brakiem możliwości udzielenia informacji wskazanych w art. 70a ust. 1 i 2 P.b., z czym uczestnik postępowania musi się liczyć. Skoro nie był i nie jest on zainteresowany realizacją prawa do złożenia wniosku, o którym mowa w ww. przepisie, to nie można uznać, aby przepis ten stanowił podstawę przetwarzania jego danych osobowych.
Zdaniem PUODO, nie można również zaakceptować stanowiska, że BIK jest uprawniony do przetwarzania danych osobowych pozyskanych w związku z zapytaniem kredytowym z [...] listopada 2020 r. w aspekcie ewentualnego wypełnienia obowiązku wynikającego z art. 15 RODO. Usunięcie przez administratora ww. danych osobowych nie uniemożliwia mu wykonania obowiązku z art. 15 RODO. Przepis ten gwarantuje osobie, której dane dotyczą, prawo do uzyskania od administratora informacji, czy jej dane są przetwarzane, a w przypadku pozytywnej odpowiedzi na tak postawione pytanie - uprawnienie do dostępu do danych na swój temat oraz uzyskania informacji o okolicznościach przetwarzania danych. Jeśli administrator nie przetwarza danych dotyczących osoby, która zwraca się z żądaniem udzielenia informacji, to działanie administratora ogranicza się do odpowiedzi przeczącej i nie ma on obowiązku podawania podmiotowi danych innych informacji.
Odnosząc się do powoływanych przez Bank wymogów ostrożnościowych z CRR, PUODO stwierdził, iż z przepisów tych nie wynika uprawnienie do przetwarzania danych osobowych w zakresie zapytań kredytowych. Organ przytoczył treść art. 144 ust. 1 lit. d, art. 145 ust. 1, art. 147 ust. 5 lit. b oraz art. 171 ust. 2 CRR, konkludując, że wprawdzie instytucja kredytowa jest obowiązana do zbierania informacji przydatnych do skutecznego zarządzania ryzykiem, ale nie oznacza to, iż gromadzenie danych w systemach ratingowych może odbywać się z naruszeniem innych przepisów regulujących kwestie ochrony danych osobowych. Ponadto inne przepisy CRR zawierają konkretyzację danych, które mogą być użyte przez instytucje kredytowe oraz firmy inwestycyjne przy realizacji wymogów oszczędnościowych. W CRR wprost wskazano na podstawy prawne przetwarzania danych (vide art. 178 ust. 3 lit. e i lit. f CRR). Nie należą do nich zapytania kredytowe niezakończone zawarciem umowy. W konsekwencji CRR nie przewiduje podstaw prawnych do przetwarzania danych zawartych w zapytaniach kredytowych.
Z kolei wydane przez KNF rekomendacje - podobnie jak inne uchwały tego organu nadzoru - nie są źródłem ani powszechnie obowiązujących przepisów prawa ani przepisów prawa o charakterze wewnętrznym, zaś stosowanie rekomendacji KNF nie może naruszać przepisów RODO.
Organ ocenił, że w przedmiotowej sprawie brak jest celu uzasadniającego dalsze przetwarzanie danych osobowych uczestnika postępowania, zawartych w przedmiotowym zapytaniu kredytowym zarówno przez Bank (administratora danych uczestnika postępowania w związku pozyskaniem ich w celu oceny zdolności kredytowej), jak i przez BIK (administratora danych uczestnika postępowania w związku z przekazaniem ich przez Bank), ponieważ nie zaistniała żadna przesłanka ujęta w art. 6 ust. 1 RODO. Wobec tego, organ, korzystając z uprawnienia przewidzianego w art. 58 ust. 2 lit. c RODO, nakazał obu skarżącym, tj. Bankowi i BIK, usunięcie danych osobowych uczestnika postępowania przetwarzanych w związku z zapytaniem kredytowym z [...] listopada 2020 r.
Opisaną wyżej decyzję organu Bank zaskarżył w całości do Wojewódzkiego Sądu Administracyjnego w Warszawie, zarzucając naruszenie:
1) przepisów postępowania, które mogło mieć istotny wpływ na wynik sprawy, a to naruszenie art. 7, art. 77 § 1 i art. 80 k.p.a., polegające na niewyczerpującym rozpatrzeniu materiału dowodowego oraz na jego dowolnej ocenie przejawiającej się w uznaniu, iż Bank i BIK nie dysponują przesłankami legalizującymi przetwarzanie danych osobowych uczestnika postępowania, mimo że przetwarzanie jego danych osobowych jest niezbędne do realizacji obowiązków prawnych ciążących na skarżących oraz realizacji ich prawnie uzasadnionych interesów;
2) przepisu postępowania - art. 7b k.p.a., polegające na braku zwrócenia się do KNF jako organu właściwego w sprawach związanych m.in. z badaniem zdolności kredytowej i analizą ryzyka kredytowego oraz budową modeli scoringowych, a także do Generalnego Inspektora Informacji Finansowej jako organu właściwego w sprawach związanych m.in. z przeciwdziałaniem praniu pieniędzy i finansowaniu terroryzmu w zakresie wykorzystywania do realizacji tych zadań danych, w tym danych osobowych o niezrealizowanych zapytaniach kredytowych;
3) prawa materialnego, które miało wpływ na wynik sprawy, tj. art. 6 ust. 1 lit. f RODO w związku z art. 117 § 2 i § 21, art. 118 oraz art. 119 k.c., poprzez ich niewłaściwe zastosowanie, polegające na uznaniu, że obrona i dochodzenie roszczeń mogą dotyczyć wyłącznie już istniejących roszczeń;
4) prawa materialnego, tj. art. 6 ust. 1 lit. c RODO w związku z art. 39 ust. 1 oraz art. 34 ust. 1, art. 35 ust. 1, 36 ust. 1 i art. 49 AML poprzez ich niewłaściwe zastosowanie polegające na przyjęciu, iż na Banku nie ciążą obowiązki związane z przeciwdziałaniem praniu pieniędzy oraz finansowaniu terroryzmu wówczas, gdy nie doszło do zawarcia umowy pomiędzy Bankiem a klientem, podczas gdy przepisy te nakładają na banki oraz BIK obowiązek przetwarzania danych osobowych w celu zapewnienia bezpieczeństwa obrotu gospodarczego poprzez przeprowadzenie szczegółowego badania na temat klientów, w tym przyszłych klientów, jak i badania powiązań kapitałowo-osobowych, w tym w zakresie danych dostarczanych przez uczestnika postępowania, w tym także wtedy, gdy ostatecznie pomiędzy stronami nie została ostatecznie zawarta umowa;
5) prawa materialnego, tj. art. 6 ust. 1 lit. c RODO w związku z art. 105 ust. 4 i art. 105a ust. 1 P.b. poprzez ich błędną wykładnię i przyjęcie, że Bank jest jedynie obowiązany do dokonania oceny zdolności kredytowej klientów, podczas gdy z tego przepisu wynika też obowiązek dokonania analizy ryzyka kredytowego;
6) prawa materialnego, tj. art. 6 ust. 1 lit. c RODO w związku z art. 105 ust 4 P.b. poprzez ich błędną wykładnię i przyjęcie, iż Bank nie legitymuje się przesłanką do przetwarzania danych, podczas gdy z tego przepisu wynika obowiązek przetwarzania danych, w tym danych z zapytań kredytowych w zakresie, w jakim informacje te potrzebne są bankom do wykonywania czynności bankowych, w tym oceny zdolności kredytowej i analizy ryzyka kredytowego;
7) prawa materialnego, tj. art. 6 ust. 1 lit. c RODO w związku z art. 144 ust. 1 lit. d, art. 145, art. 147 ust. 5 lit. b, art. 170 ust. 3 lit. a i ust. 4 lit. a, art. 171 ust. 2, a także art. 179 ust. 1 lit. a CRR poprzez ich błędną wykładnię i przyjęcie, że na Banku nie ciążą obowiązki związane z analizą ryzyka kredytowego wówczas, gdy nie doszło do zawarcia umowy pomiędzy Bankiem a klientem;
8) prawa materialnego, tj. art. 6 ust. 1 lit. c RODO w związku z art. 70a P.b. poprzez ich niewłaściwe zastosowanie skutkujące uznaniem, iż Bank może dokonać wyjaśnienia dotyczącego dokonanej oceny zdolności kredytowej wnioskującego bez otrzymanych i przetwarzanych danych osobowych klienta, tylko wtedy, gdy zawarł on umowę z bankiem;
9) prawa materialnego, tj. art. 6 ust. 1 lit. c RODO w związku z art. 106d P.b. poprzez ich niewłaściwe zastosowanie skutkujące przyjęciem, że Bank nie jest uprawniony do przetwarzania danych, w tym danych osobowych zawartych we wnioskach kredytowych celem wypełnienia obowiązków wynikających z P.b., podczas gdy wykazuje on cel przetwarzania danych osobowych polegający na analizie danych podanych we wnioskach kredytowych i analizie zapytań kredytowych złożonych w BIK w określonym czasie w celu wykrycia nieścisłości oraz powzięcia informacji mogących stanowić o uzasadnionym podejrzeniu popełnienia przestępstw, o których mowa w art. 106d P.b.;
10) prawa materialnego, tj. art. 6 ust. 1 lit. f RODO w związku z rekomendacjami S, W i T KNF, polegające na ich niewłaściwym zastosowaniu i przyjęciu, że Bank nie legitymuje się przesłanką przetwarzania danych wynikającą z art. 6 ust. 1 lit. f RODO w związku z rekomendacjami S, W i T KNF, podczas gdy rekomendacje te nakładają na banki, a w konsekwencji także na BIK, jako instytucję gromadzącą dane służące do oceny zdolności kredytowej oraz budującą modele scoringowe służące bankom, określone wymagania, które następnie podlegają egzekwowaniu przez KNF na podstawie bezwzględnie obowiązujących przepisów prawa.
W świetle ww. zarzutów Bank wniósł o uchylenie w całości zaskarżonej decyzji oraz zasądzenie na jego rzecz od organu zwrotu kosztów postępowania sądowego, w tym kosztów zastępstwa procesowego według norm przepisanych oraz opłaty skarbowej od pełnomocnictwa w wysokości 17 zł.
Sprawa ze skargi Banku została zarejestrowana w tutejszym Sądzie pod sygn. akt II SA/Wa 1744/24.
Natomiast BIK zaskarżył do tutejszego Sądu rozstrzygnięcie zawarte w punkcie 2 ww. decyzji PUODO z [...] sierpnia 2024 r., zarzucając:
I. naruszenie prawa materialnego, tj.:
1) art. 6 ust. 1 lit. c RODO w związku z art. 105 ust. 1 pkt 1c, art. 105 ust. 4, art. 105a, art. 70 oraz art. 5 ust. 1 pkt 3 P.b. poprzez jego niezastosowanie i w konsekwencji niezasadne przyjęcie, że BIK nie posiada ww. podstawy prawnej do przetwarzania danych zawartych w zapytaniu kredytowym w przypadku niezawarcia umowy kredytowej, podczas gdy BIK jest ustawowo zobowiązany do realizacji obowiązku prawnego wynikającego z ww. przepisów polegającego na gromadzeniu, przetwarzaniu i udostępnianiu bankom oraz podmiotom szczegółowo wskazanym w przepisie informacji stanowiących tajemnicę bankową w zakresie, w jakim informacje te są potrzebne w związku z wykonywaniem czynności bankowych w postaci oceny zdolności kredytowej oraz analizy ryzyka kredytowego konkretnego klienta (indywidualna ocena zdolności kredytowej) oraz w związku ze stosowaniem metod wewnętrznych oraz innych metod i modeli, o których mowa w części trzeciej CRR, ewentualnie, na wypadek nieuwzględnienia ww. zarzutu - BIK wskazał na naruszenie art. 6 ust. 1 lit. f RODO poprzez jego niezastosowanie wskutek przyjęcia, iż BIK nie posiada podstawy prawnej przetwarzania danych uczestnika postępowania opartej na prawnie uzasadnionym interesie administratora oraz podmiotów trzecich wskazanych w art. 105 ust. 4 pkt. 1-5 P.b. w postaci realizacji obowiązku gromadzenia, przetwarzania oraz udostępnienia bankom oraz podmiotom wskazanym w ww. przepisie informacji stanowiących tajemnicę bankową w zakresie, w jakim informacje te są potrzebne w związku z wykonywaniem czynności bankowych w postaci oceny zdolności kredytowej oraz analizy ryzyka kredytowego konkretnego klienta (indywidualna ocena zdolności kredytowej), w celu budowy i utrzymania modeli scoringowych, a więc narzędzi wykorzystywanych przez banki do oceny zdolności kredytowej i analizy ryzyka kredytowego oraz w związku ze stosowaniem metod wewnętrznych oraz innych metod i modeli, o których mowa w części trzeciej CRR,
2) art. 6 ust. 1 lit. c RODO w związku z art. 70a, art. 105 ust. 4 pkt 1 i 2 oraz art. 105a P.b. poprzez jego niezastosowanie wskutek uznania, iż BIK nie posiada podstawy prawnej do przetwarzania danych uczestnika postępowania w sytuacji niezawarcia umowy kredytowej, podczas gdy posiada podstawę prawną przetwarzania z uwagi na niezbędność przetwarzania do wykonania obowiązku prawnego przez banki i BIK, w postaci obowiązku przekazania osobie ubiegającej się o kredyt w formie pisemnej na jego wniosek wyjaśnień dotyczących dokonanej oceny zdolności kredytowej wnioskującego,
3) art. 6 ust. 1 lit. c RODO w związku z art. 106d ust. 1 pkt 3 P.b. w związku z 39 ust. 1, art. 33 ust. 2 i ust. 3 pkt 6, art. 34 ust. 1, art. 36 ust. 1 oraz art. 49 ust. 1 AML w związku z 105 ust. 1 lit. c oraz art. 105 ust. 4 P.b. poprzez jego niezastosowanie w skutek przyjęcia, iż na BIK nie ciążą obowiązki związane z przeciwdziałaniem praniu pieniędzy oraz finansowaniu terroryzmu, w sytuacji gdy nie doszło do zawarcia umowy kredytowej pomiędzy uczestnikiem postępowania a Bankiem - podczas gdy przepisy te nakładają na banki jako instytucje obowiązane, a pośrednio na BIK, jako podmiot wspierający banki w realizacji obowiązków instytucji obowiązanej, obowiązek przetwarzania danych osobowych w celu zapewnienia bezpieczeństwa obrotu gospodarczego poprzez przeprowadzenie szczegółowego badania na temat klientów, w tym przyszłych klientów, jak i badania powiązań kapitałowo-osobowych, w tym także wtedy, gdy ostatecznie pomiędzy uczestnikiem postępowania a Bankiem nie została zawarta umowa kredytowa,
4) art. 6 ust. 1 lit. f RODO poprzez jego niezastosowanie wskutek uznania, iż przetwarzanie danych osobowych dla realizacji prawnie uzasadnionych interesów administratora danych w celach zabezpieczenia roszczeń może dotyczyć wyłącznie roszczeń istniejących i aktualnie dochodzonych i w konsekwencji nieuzasadnione przyjęcie, że prawnie uzasadniony interes administratora danych nie istnieje w sytuacji konieczności przetwarzania danych osobowych do ochrony przed roszczeniami istniejącymi, ale niedochodzonymi w chwili dokonywania oceny, podczas gdy istotą uzasadnionego interesu administratora jest możliwość przetwarzania danych na wypadek konieczności obrony przed roszczeniami istniejącymi lub dochodzenia w przyszłości roszczeń istniejących, które w warunkach niniejszej sprawy są związane z przetwarzaniem danych osobowych na potrzeby opracowania oceny scoringowej uczestnika postępowania niezbędnej do przeprowadzenia analizy zdolności kredytowej oraz analizy ryzyka kredytowego, które to BIK zobowiązany jest gromadzić, przetwarzać i udostępniać bankom i instytucjom ustawowo upoważnionym do udzielania kredytów dla realizacji celów ustawowych badania zdolności kredytowej,
5) art. 6 ust. 1 lit. f RODO poprzez jego niezastosowanie wskutek uznania, iż w przypadku braku zawarcia umowy kredytowej, BIK nie posiada prawnie uzasadnionego interesu w przetwarzaniu danych uczestnika postępowania, podczas gdy istnieje prawnie uzasadniony interes BIK w przetwarzaniu tych informacji pomimo niezawarcia umowy kredytowej, polegający na realizacji działań z zakresu opracowania, utrzymania aktualności i funkcjonalności zbudowanych modeli scoringowych w zgodzie z treścią rekomendacji W, S i T KNF w zakresie dobrych praktyk i zarządzania ryzykiem kredytowym;
II. naruszenie prawa procesowego, mające istotny wpływ na wynik sprawy, tj.:
1) art. 7, art. 77 w związku z art. 80 i art. 107 § 3 k.p.a. w związku z art. 7 ust. 1 u.o.d.o. poprzez niezbadanie przez organ aktualnych podstaw przetwarzania danych uczestnika postępowania przez BIK, niewystarczające wyjaśnienie podstaw prawnych decyzji oraz brak oceny istotnych okoliczności sprawy, co w konsekwencji doprowadziło do błędnego nakazania BIK usunięcia przetwarzanych danych osobowych uczestnika postępowania oraz uniemożliwiło BIK zapoznanie się z powodami negatywnej oceny wskazanych przez niego podstaw przetwarzania,
2) art. 7, art. 77 § 1 oraz art. 80 k.p.a. w związku z art. 7 u.o.d.o. poprzez niewyczerpujące zebranie, nierozpatrzenie i błędną ocenę całokształtu materiału dowodowego przejawiającego się w zaniechaniu dokonania wyczerpującej analizy charakteru, zakresu oraz celów gospodarczo-ekonomicznych dla jakich zostało powołane BIK, a także obowiązków prawnych i obowiązków wynikających z zawartych przez BIK umów z bankami, skutkującą wadliwą i niepełną oceną stanu faktycznego sprawy oraz charakteru działania BIK, co w konsekwencji skutkowało nieuzasadnionym wydaniem przez organ nakazu usunięcia danych osobowych uczestnika postępowania;
3) art. 7, art. 7b, art. 77 k.p.a. w związku z art. 7 u.o.d.o. poprzez niedokładne wyjaśnienie stanu faktycznego i prawnego koniecznego do podjęcia przez organ stosownych czynności, a w szczególności niezwrócenie się do KNF w celu kompleksowego wyjaśniania stanu faktycznego sprawy oraz współdziałania w zakresie niezbędnym do dokładnego wyjaśnienia stanu prawnego, mając na względzie interes społeczny i słuszny interes obywateli w postaci ustalenia należytych zasad, celów i zakresu przetwarzania danych osobowych o niezrealizowanych zapytaniach kredytowych tak, by procesy przetwarzania danych czyniły zadość zarówno przepisom prawa o ochronie danych osobowych, jak i przepisom szeroko pojętego prawa bankowego, w szczególności dla zapewnienia ochrony wartości, których gwarancje ochrony wynikają z ww. przepisów zgodnie z zasadą proporcjonalności,
4) art. 7, art. 77 § 1 i art. 80 k.p.a. poprzez zaniechanie dokonania oceny rekomendacji S, W i T KNF jako organu właściwego do sprawowania nadzoru nad instytucjami krajowymi w rozumieniu przepisów UE (regulatora rynku finansowego), które to regulacje nakładają na banki, a w konsekwencji na BIK, jako instytucję gromadzącą dane służące do oceny zdolności kredytowej oraz budującą modele scoringowe służące bankom, określone wymagania, które podlegają nadzorowi i egzekwowaniu przez KNF na podstawie bezwzględnie obowiązujących przepisów prawa, co w konsekwencji doprowadziło do zaniechania przez organ oceny podstaw prawnych i celów dla jakich BIK oraz banki są upoważnione do przetwarzania danych w zakresie zdolności kredytowej również w przypadku niezawarcia umowy kredytowej dla zabezpieczenia interesów banków oraz stabilności rynku gospodarczo-finansowego,
5) art. 7, art. 77 w związku z art. 80 k.p.a. poprzez zaniechanie wyczerpującego zebrania i rozpatrzenia materiału dowodowego, przejawiające się w szczególności brakiem dokonania analizy podstawowych zasad funkcjonowania stabilnego sektora finansowego w tym pod kątem istnienia - po stronie banków, a w konsekwencji BIK jako instytucji gromadzącej dane służące do oceny zdolności kredytowej oraz budującej modele scoringowe służące bankom - oczywistego interesu prawnego przejawiającego się w odmowie udzielenia kredytu wynikającego z braku istnienia zdolności kredytowej po stronie uczestnika postępowania, co prowadzi do zabezpieczenia interesu banków przed nieodpowiedzialną polityką udzielania kredytów osobom, które nie mają szans na ich spłacenie oraz do zapewnienia stabilności gospodarczo-ekonomicznej sektora bankowego, a w ujęciu makro zapobieganiu kryzysom gospodarczym.
W oparciu o powyższe zarzuty BIK wniósł o uchylenie decyzji w zaskarżonej części oraz zasądzenie od organu zwrotu kosztów postępowania według norm przepisanych, w tym kosztów zastępstwa procesowego (m.in. opłaty skarbowej od pełnomocnictwa w kwocie 17 zł).
Sprawa zainicjowana skargą BIK została w tutejszym Sądzie zarejestrowana pod sygn. akt II SA/Wa 1745/24.
W odpowiedziach na skargi Banku i BIK organ wniósł o ich oddalenie, podtrzymując stanowisko wyrażone w zaskarżonej decyzji.
Postanowieniem wydanym na rozprawie w dniu 5 września 2025 r. Wojewódzki Sąd Administracyjny w Warszawie, działając na podstawie art. 111 § 1 ustawy z dnia 30 sierpnia 2002 r. Prawo o postępowaniu przed sądami administracyjnymi (Dz. U. z 2024 r., poz. 935 ze zm.; dalej: "p.p.s.a."), połączył do wspólnego rozpoznania i rozstrzygnięcia sprawy: ze skargi Banku o sygn. akt II SA/Wa 1744/24 i ze skargi BIK o sygn. akt II SA/Wa 1745/24 oraz postanowił je prowadzić dalej pod sygn. akt II SA/Wa 1744/24.
Wojewódzki Sąd Administracyjny w Warszawie zważył, co następuje:
Skargi są nieuzasadnione, gdyż zaskarżona decyzja PUODO zarówno w części dotyczącej rozstrzygnięcia zawartego w punkcie 1, jak i w punkcie 2, odpowiada prawu.
Zgodnie z motywem 40 RODO, aby przetwarzanie danych było zgodne z prawem, to powinno się odbywać na podstawie zgody osoby, której dane dotyczą, lub na innej uzasadnionej podstawie, prawem przewidzianej: albo w RODO, albo w innym akcie prawnym Unii lub w prawie państwa członkowskiego, o których mowa w RODO, w tym musi się ono odbywać z poszanowaniem obowiązku prawnego, któremu podlega administrator, lub z poszanowaniem umowy, której stroną jest osoba, której dane dotyczą, lub w celu podjęcia działań na żądanie osoby, której dane dotyczą, przed zawarciem umowy.
W świetle RODO, przetwarzanie danych osobowych uważa się za legalne, jeśli ich administrator spełni co najmniej jedną z przesłanek wskazanych w art. 6 ust. 1 tego aktu, a mianowicie: a) osoba, której dane dotyczą wyraziła zgodę na przetwarzanie swoich danych osobowych w jednym lub większej liczbie określonych celów, b) przetwarzanie jest niezbędne do wykonania umowy, której stroną jest osoba, której dane dotyczą lub do podjęcia działań na żądanie osoby, której dane dotyczą, przed zawarciem umowy, c) przetwarzanie jest niezbędne do wypełnienia obowiązku prawnego ciążącego na administratorze, d) przetwarzanie jest niezbędne do ochrony żywotnych interesów osoby, której dane dotyczą lub innej osoby fizycznej, e) przetwarzanie jest niezbędne do wykonania zadania realizowanego w interesie publicznym lub w ramach sprawowania władzy publicznej powierzonej administratorowi, f) przetwarzanie jest niezbędne do celów wynikających z prawnie uzasadnionych interesów realizowanych przez administratora lub przez stronę trzecią, z wyjątkiem sytuacji, w których nadrzędny charakter wobec tych interesów mają interesy lub podstawowe prawa i wolności osoby, której dane dotyczą, wymagające ochrony danych osobowych, w szczególności, gdy osoba, której dane dotyczą, jest dzieckiem.
W niniejszej sprawie nie budzi wątpliwości oraz nie było kwestionowane przez organ w zaskarżonej decyzji, iż tak Bank, jak i BIK, były uprawnione do przetwarzania danych osobowych uczestnika postępowania w trybie art. 105a ust. 1 i art. 70 ust. 1 P.b., w celu oceny zdolności kredytowej i analizy ryzyka kredytowego.
Stosownie do treści art. 105a ust. 1 P.b., przetwarzanie przez banki, inne instytucje ustawowo upoważnione do udzielania kredytów, instytucje pożyczkowe oraz podmioty, o których mowa w art. 59d ustawy z dnia 12 maja 2011 r. o kredycie konsumenckim (Dz. U. z 2024 r., poz. 1497 ze zm.; dalej: "u.k.k."), a także instytucje utworzone na podstawie art. 105 ust. 4 P.b., informacji stanowiących tajemnicę bankową i informacji udostępnionych przez instytucje pożyczkowe oraz podmioty, o których mowa w art. 59d u.k.k., w zakresie dotyczącym osób fizycznych może być wykonywane, z zastrzeżeniem art. 104, art. 105 i art. 106-106d P.b., w celu oceny zdolności kredytowej i analizy ryzyka kredytowego.
Przepis art. 105a ust. 4 P.b. stanowi, że banki oraz instytucje, o których mowa w art. 105 ust. 4, mogą przetwarzać stanowiące tajemnicę bankową informacje dotyczące osoby fizycznej po wygaśnięciu zobowiązania wynikającego z umowy zawartej z bankiem lub inną instytucją ustawowo upoważnioną do udzielania kredytów bez zgody osoby, której informacje dotyczą, do celów stosowania metod wewnętrznych oraz innych metod i modeli, o których mowa w części trzeciej CRR.
Wedle art. 105a ust. 5 P.b., przetwarzanie informacji stanowiących tajemnicę bankową w przypadkach, o których mowa w ust. 3, może być wykonywane przez okres nie dłuższy niż 5 lat od dnia wygaśnięcia zobowiązania, a w przypadku, o którym mowa w ust. 4, przez okres 12 lat od dnia wygaśnięcia zobowiązania.
Jak wskazuje art. 70 ust. 1 P.b., bank uzależnia przyznanie kredytu od zdolności kredytowej kredytobiorcy. Przez zdolność kredytową rozumie się zdolność do spłaty zaciągniętego kredytu wraz z odsetkami w terminach określonych w umowie. Kredytobiorca jest obowiązany przedłożyć na żądanie banku dokumenty i informacje niezbędne do dokonania oceny tej zdolności.
Sąd, mając powyższe przepisy na względzie stwierdza, iż organ trafnie przyjął, że obaj skarżący, na podstawie ww. przepisów, a w szczególności art. 105a ust. 1 w związku z art. 70 ust. 1 P.b., byli uprawnieni do przetwarzania danych osobowych uczestnika postępowania w celu oceny zdolności kredytowej i analizy ryzyka kredytowego.
Istota sporu między stronami postępowania sprowadza się do odpowiedzi na pytanie, czy w sytuacji, w której nie doszło do zawarcia umowy kredytu między uczestnikiem postępowania a Bankiem, istniała podstawa do dalszego przetwarzania przez skarżących danych osobowych uczestnika postępowania.
W tym miejscu należy przywołać art. 105a ust. 2 P.b., stanowiący, iż z zastrzeżeniem ust. 3, instytucje, o których mowa w ust. 1, mogą przetwarzać informacje stanowiące tajemnicę bankową oraz informacje udostępnione przez instytucje pożyczkowe oraz podmioty, o których mowa w art. 59d u.k.k., w zakresie dotyczącym osób fizycznych po wygaśnięciu zobowiązania wynikającego z umowy zawartej z bankiem, inną instytucją ustawowo upoważnioną do udzielania kredytów, instytucją pożyczkową lub podmiotem, o którym mowa w art. 59d u.k.k., pod warunkiem uzyskania pisemnej zgody osoby, której informacje te dotyczą, z zastrzeżeniem ust. 2a. Zgoda ta może być w każdym czasie odwołana.
Przepis art. 105a ust. 3 P.b. przewiduje, że banki, instytucje oraz podmioty, o których mowa w art. 105a ust. 1 P.b., mogą przetwarzać informacje stanowiące tajemnicę bankową i informacje udostępnione przez instytucje pożyczkowe oraz podmioty, o których mowa w art. 59d u.k.k., dotyczące osób fizycznych po wygaśnięciu zobowiązania wynikającego z umowy zawartej z bankiem, inną instytucją ustawowo upoważnioną do udzielania kredytów, instytucją pożyczkową lub podmiotem, o którym mowa w art. 59d u.k.k., bez zgody osoby, której informacje dotyczą, gdy osoba ta nie wykonała zobowiązania lub dopuściła się zwłoki powyżej 60 dni w spełnieniu świadczenia wynikającego z umowy zawartej z bankiem, inną instytucją ustawowo upoważnioną do udzielania kredytów, instytucją pożyczkową lub podmiotem, o którym mowa w art. 59d u.k.k., a po zaistnieniu tych okoliczności upłynęło co najmniej 30 dni od poinformowania tej osoby przez bank, inną instytucję ustawowo upoważnioną do udzielania kredytów, instytucję pożyczkową albo podmiot, o którym mowa w art. 59d u.k.k., o zamiarze przetwarzania dotyczących tych informacji, bez zgody.
Sąd podziela stanowisko PUODO wyrażone w zaskarżonej decyzji, że skoro nie doszło do zawarcia umowy kredytu z uczestnikiem postępowania przez Bank, to odpadła przesłanka legalizująca dalsze przetwarzanie danych osobowych uczestnika postępowania. Wbrew zarzutom obu skarg, przepis art. 105a P.b., w tym ust. 1, ust. 1a, ust. 1b, i ust. 1c, określa warunki dopuszczalności zautomatyzowanego przetwarzania, w tym profilowania danych osobowych w celu oceny zdolności kredytowej i analizy ryzyka kredytowego oraz nie daje podstaw do dalszego przetwarzania danych osobowych uczestnika postępowania po zakończeniu oceny zdolności kredytowej i analizy ryzyka kredytowego, gdy umowy nie zawarto. Na podstawie ww. przepisów skarżący nie mają uprawnienia do dalszego przetwarzania danych osobowych uczestnika postępowania, ponieważ nie zawarto umowy w związku z jego zapytaniem kredytowym z [...] listopada 2020 r., a tym samym nie wykazano przesłanki legalizującej proces dalszego przetwarzania. Przepisy art. 105a P.b. dotyczą przetwarzania informacji objętych tajemnicą bankową w okresie jedynie przed powstaniem zobowiązania, w trakcie jego trwania oraz po wygaśnięciu zobowiązania. W sytuacji zaś, gdy w następstwie złożenia zapytania kredytowego nie dochodzi do zawarcia umowy kredytowej z bankiem (zobowiązanie nie powstaje), to brak jest podstaw prawnych - ustawowych przesłanek do powołania się na art. 105a P.b., czyli zalegalizowania dalszego przetwarzania danych osobowych potencjalnego klienta przez Bank oraz BIK. Ocena zdolności kredytowej i ryzyka kredytowego ma charakter czynności wstępnych, które w rozpoznawanej sprawie nie doprowadziły do zawarcia umowy przez Bank. W związku z tym dalsze przetwarzanie danych osobowych uczestnika postępowania, które pozyskano jedynie w celu oceny zdolności kredytowej, gdy nie doszło do zawarcia stosownej umowy, pozostawałoby w oderwaniu od celu, dla którego dane te uzyskano. Prawidłowe było zatem przyjęcie przez organ, iż w takim przypadku niedopuszczalne było przetwarzanie danych osobowych uczestnika postępowania na przyszłość, a także na potrzeby budowy oceny zdolności kredytowej innych podmiotów, gdy nie można zrekonstruować wyraźnej podstawy prawnej takich działań BIK i Banku.
Zarówno Bank, jak i BIK w sposób nieuprawniony próbuje rozszerzyć stosowanie art. 105a ust. 1 P.b. na sytuacje, w których nie dochodzi do zawarcia umowy, a dane osobowe osoby wnioskującej o kredyt są przetwarzane w celu oceny ryzyka kredytowego. Sąd nie neguje, że ocena ryzyka kredytowego jest obowiązkiem banku. Instrumenty służące dokonaniu takiej oceny przez banki muszą jednak być stosowane z poszanowaniem przepisów prawa normujących uprawnienie banków do przetwarzania danych osobowych potencjalnych klientów. Słusznie zatem zauważa organ, iż prezentowana przez skarżących wykładnia art. 105a ust. 1 P.b. prowadziłaby do wniosku, że na potrzeby oceny zdolności kredytowej i analizy ryzyka kredytowego banki lub inne podmioty wymienione w tym przepisie byłyby uprawnione do przetwarzania danych osobowych potencjalnych klientów bez żadnego ograniczenia czasowego, mimo że nie zawarto umowy o kredyt. W przypadku zaś, gdyby doszło do zawarcia umowy, banki byłyby uprawnione do przetwarzania danych osobowych po wygaśnięciu zobowiązania, bez zgody osoby, której informacje dotyczą, przez okres wskazany w art. 105a ust. 5 P.b. Takiego stanowiska nie sposób zaakceptować. Skoro ustawodawca w art. 105a ust. 1 P.b. nie wskazał okresu, w ciągu którego mogą być przetwarzane informacje stanowiące tajemnicę bankową, a w art. 105a ust. 5 P.b. wskazał takie okresy w odniesieniu do sytuacji, w których wygasło zobowiązanie, to nie oznacza to, iż okres przetwarzania tych informacji, w sytuacji gdy nie doszło do zawarcia umowy, jest nieograniczony. Przetwarzanie danych osobowych w oparciu o art. 105a ust. 1 P.b. jest uprawnione w odniesieniu do konkretnego zapytania kredytowego. Jeżeli nie dochodzi do zawarcia umowy, to uprawnienie do przetwarzania danych osobowych w oparciu o ten przepis wygasa.
Powyższe stanowisko znajduje potwierdzenie m.in. w wyrokach NSA z 27 lipca 2019 r., sygn. akt I OSK 2567/17; z 13 lutego 2025 r., sygn. akt III OSK 6563/21 i z 29 maja 2025 r., sygn. akt III OSK 984/22. Wskazano w nich, iż cel oceny zdolności kredytowej stanowi ocena zdolności do spłaty zaciągniętego kredytu wraz z odsetkami, co ma charakter czynności wstępnej do zawarcia stosownej umowy. Celem oceny zdolności kredytowej i analizy ryzyka kredytowego w odniesieniu do konkretnego klienta jest bowiem zawarcie umowy kredytowej na określonych warunkach. Skoro do niej nie dochodzi wskutek tej czynności banku, to nie ma podstaw prawnych do dalszego ich przechowywania. Dalsze przetwarzanie danych uzyskanych w celu oceny zdolności kredytowej, w przypadku niezawarcia stosownej umowy pozostawałaby w oderwaniu od celu, dla którego dane te uzyskano. Niedopuszczalne jest przetwarzanie danych osobowych na przyszłość, a także na potrzeby budowy oceny zdolności kredytowej innych podmiotów, jeżeli nie można zrekonstruować wyraźnej podstawy prawnej takich działań. Gdyby podzielić stanowisko Banku, że pozyskanie danych na etapie złożenia wniosku kredytowego, uprawnia go do ich nieograniczonego w czasie przechowywania po odmowie zawarcia umowy kredytowej, to regulacje zawarte w art. 105a ust. 2 i 3 i ust. 5 P.b., ograniczające w czasie przypadki przetwarzania danych klientów z umów kredytowych, byłyby pozbawione sensu. Skoro celem przetwarzania była ocena zdolności kredytowej i analizy ryzyka kredytowego, to cel ten odpadł z momentem jej dokonania. W przypadku osób, z którymi zawarto umowę kredytową, istnieje podstawa do dalszego ich przetwarzania, a w stosunku do tych, z którymi nie zawarto umowy, takiej podstawy nie sposób wywieść ani z przepisów obowiązującej wówczas ustawy o ochronie danych osobowych ani P.b. Pogląd ten nie stracił na aktualności. Przepisy RODO wzmacniają jeszcze, w porównaniu z dyrektywą 95/46, ochronę danych osób fizycznych. Nie ma także znaczenia fakt, iż BIK i Bank, przyjęły w swej praktyce określone terminy dalszego przetwarzania danych osobowych osoby, z którą nie zawarto umowy kredytu.
Zdaniem tutejszego Sądu, niezasadne są również zarzuty naruszenia art. 6 ust. 1 lit. c RODO w związku z art. 105 ust. 1 pkt 1c i w związku z art. 105 ust. 4 P.b.
Bank, zgodnie z art. 105 ust. 1 pkt 1c P.b., ma obowiązek udzielenia informacji stanowiących tajemnicę bankową wyłącznie instytucjom, o których mowa w ust. 4, w zakresie niezbędnym do stosowania metod wewnętrznych oraz innych metod i modeli, o których mowa w przepisach części trzeciej CRR. Natomiast z art. 105 ust. 4 P.b. wynika, że banki mogą, wspólnie z bankowymi izbami gospodarczymi, utworzyć instytucje upoważnione do gromadzenia, przetwarzania i udostępniania, m.in. bankom oraz innym podmiotom określonym w tym przepisie, informacji stanowiących tajemnicę bankową w zakresie, w jakim informacje te są potrzebne w związku z wykonywaniem czynności bankowych oraz w związku ze stosowaniem metod wewnętrznych oraz innych metod i modeli, o których mowa w części trzeciej CRR.
Zdaniem Sądu, przepis art. 105 ust. 4 P.b. jest przepisem o charakterze ogólnym, który nie nakłada na Bank obowiązku korzystania z zewnętrznej bazy zawierającej informacje o wnioskach z sektora bankowego oraz sektora pożyczkowego, a jedynie stanowi o możliwości utworzenia wspólnie z bankowymi izbami gospodarczymi, instytucji upoważnionych do gromadzenia, przetwarzania i udostępniania danych, a w konsekwencji nie daje podstaw do nieograniczonego przetwarzania wszelkich danych osobowych przez utworzone instytucje.
Zasady przetwarzania danych objętych tajemnicą bankową określa art. 105a P.b., który wskazuje na możliwość uznania za podstawę przetwarzania danych osobowych. Na gruncie tego przepisu należy więc oceniać dopuszczalność przetwarzania poszczególnych danych osobowych, w określonych ściśle celach. Podstawy prawnej przetwarzania danych osobowych w rozpoznawanej sprawie nie mógł stanowić zatem art. 105 ust. 4 P.b. samodzielnie ani też w powiązaniu z art. 105 ust. 1 pkt 1c P.b.
Sąd w związku z tym uznaje, iż przesłanka z art. 6 ust. 1 lit. c RODO nie znajduje zastosowania w okolicznościach faktycznych sprawy. Przepis ten dotyczy sytuacji, gdy przetwarzanie jest niezbędne do wypełnienia obowiązku prawnego administratora danych, a nie realizacji uprawnienia, o którym mowa w art. 105 ust. 4 P.b. Ponadto art. 105 ust. 4 P.b. nie stanowi o dopuszczalności przetwarzania danych osobowych dotyczących wniosków kredytowych w sytuacji, gdy nie doszło do zawarcia umowy z bankiem. Uznanie takiego procesu przetwarzania danych za legalny wymaga podstawy prawnej, której nie stanowią regulaminy ani umowy zawierane między poszczególnymi instytucjami a bankami.
Aktualny pozostaje również następujący pogląd wyrażony w wyroku NSA z 14 września 2005 r., sygn. akt I OSK 39/05: "Nie można zatem podzielić stanowiska, aby zezwalający na utworzenie instytucji zajmujących się szczególnym przetwarzaniem danych osobowych przepis stanowił zarazem podstawę do przetwarzania przez nie danych osobowych bez zgody osób, których dane dotyczą, gdyż nie tylko literalne brzmienie przepisu nie uzasadnia takiego przekazania, lecz i argumenty logiki prawniczej nie prowadzą do takiego wniosku. Nie można bowiem dowodzić, że w utworzonej zgodnie z prawem instytucji wolno działać w sposób, który sama uzna za odpowiadający jej celom, gdyż zezwolenie na utworzenie nie jest równoznaczne z zezwoleniem na działanie bez ograniczeń".
Wprawdzie ww. wyrok opiera się na uprzednim brzmieniu art. 105 P.b., to istota poglądu wyrażonego przez NSA w odniesieniu do przetwarzania danych osobowych, jako instytucji utworzonej na podstawie art. 105 ust. 4 P.b., nie straciła na aktualności. Zmiana brzmienia art. 105 P.b. na przestrzeni lat od czasu wydania ww. orzeczenia dodatkowo utwierdza w trafności tego poglądu, a także trafności stanowiska PUODO zaprezentowanego w zaskarżonej decyzji. Niewykazanie przez obu skarżących przesłanki legalizującej dalsze przetwarzanie danych osobowych uczestnika postępowania, po osiągnięciu pierwotnego celu przetwarzania - w postaci oceny zdolności kredytowej i ryzyka kredytowego - prawidłowo implikowało podjęcie przez PUODO czynności, o których mowa w pkt 1 i 2 zaskarżonej decyzji.
Według Sądu, na uwzględnienie nie zasługiwał też zarzut naruszenia art. 6 ust. 1 lit. f RODO w związku z przytoczonymi w skargach przepisami k.c. i w nawiązaniu do potrzeby przechowywania danych (zawartych w zapytaniu kredytowym) uczestnika postępowania, z którym nie zawarto umowy kredytu - w celu ustalenia, dochodzenia i ochrony przed roszczeniami, ewentualnego zabezpieczenia roszczeń, na wypadek konieczności obrony lub dochodzenia ewentualnych roszczeń, które mogą się pojawić w określonym czasie po przeprowadzeniu stosownej analizy zdolności kredytowej oraz analizie ryzyka kredytowego.
Za usprawiedliwiony cel w rozumieniu art. 6 ust. 1 lit. f RODO nie może zostać uznane przetwarzanie danych osobowych na wypadek ewentualnego dochodzenia lub obrony roszczeń. Z akt sprawy nie wynika, aby uczestnik postępowania, który zażądał usunięcia danych w zakresie zapytania kredytowego, miał jakiekolwiek roszczenia na drodze cywilnoprawnej do Banku lub BIK. Z akt sprawy i wyjaśnień Banku nie wynika, aby ww. osoba posiadała w Banku zobowiązania (w tym także kredytowe), czy była posiadaczem rachunku osobistego lub innych produktów bankowych. Uczestnik postępowania jednoznacznie żądał usunięcia swoich danych osobowych, przetwarzanych, w jego ocenie, bez podstawy prawnej. W tym kontekście na uwzględnienie nie zasługiwały zarzuty o naruszeniu ww. przepisów prawa procesowego. Organ, przed wydaniem zaskarżonej decyzji, poczynił niezbędne w sprawie ustalenia faktyczne, jak również rozważył wszystkie wynikające z akt sprawy okoliczności faktyczne w kontekście obowiązujących i powołanych przez obu skarżących przepisów prawa, które mogły być brane pod uwagę. Z tego względu nie doszło do naruszenia art. 7, art. 77, art. 80, art. 107 k.p.a. Przepis art. 6 ust. 1 lit. f RODO nie może stanowić podstawy do dalszego przetwarzania przez Bank i BIK danych osobowych uczestnika postępowania na wypadek ewentualnego dochodzenia przyszłych i niepewnych roszczeń. Przepisy dotyczące przedawnienia odnoszą się do zobowiązań, lecz z uczestnikiem postępowania Bank nie zawarł żadnej umowy, więc chybione jest odwoływanie się do wskazanych w skargach przepisów art. 117 § 21 i art. 118 k.c.
Ważąc interesy uczestnika postępowania, który żądał respektowania swoich praw do ochrony danych osobowych, wynikających z RODO, jak również uwzględniając interesy skarżących, w sytuacji, gdy nie zawarto umowy kredytowej, należało uznać, iż nie było podstaw do przyjęcia, że spełniona została przesłanka z art. 6 ust. 1 lit. f RODO. Tutejszy Sąd podziela pogląd NSA, w myśl którego niedopuszczalne jest przetwarzanie danych osobowych niejako "na zapas" z założeniem, iż mogą być one ewentualnie przydatne w przyszłości (vide wyrok NSA z 27 marca 2018 r., sygn. akt I OSK 1459/16). Wywodzenie z kwestii przedawnienia roszczeń samodzielnej podstawy do przetwarzania danych - w przypadku danych osoby, z którą Bank nie zawarł umowy kredytowej - nie jest uprawnione i nie stanowi przesłanki do ich dalszego przetwarzania.
Niezasadne są też zarzuty dotyczące naruszenia art. 6 ust. 1 lit. c RODO w związku z art. 106d P.b., jak i w związku z przepisami AML.
Stosownie do treści art. 106d ust. 1 P.b., banki, inne instytucje ustawowo upoważnione do udzielania kredytów, izby rozliczeniowe utworzone na podstawie art. 67, instytucje utworzone na mocy art. 105 ust. 4 P.b., instytucje pożyczkowe, podmioty, których podstawowa działalność polega na udostępnianiu składników majątkowych na podstawie umowy leasingu, oraz podmioty, o których mowa w art. 59d u.k.k., mogą przetwarzać i wzajemnie udostępniać informacje, w tym informacje objęte tajemnicą bankową, w przypadkach: 1) uzasadnionych podejrzeń, o których mowa w art. 106a ust. 3; 2) uzasadnionych podejrzeń popełnienia przestępstw dokonywanych na szkodę banków, innych instytucji ustawowo upoważnionych do udzielania kredytów, instytucji kredytowych, instytucji finansowych, instytucji pożyczkowych oraz podmiotów, o których mowa w art. 59d u.k.k., i ich klientów, w celu i zakresie niezbędnym do zapobiegania tym przestępstwom; 3) wykonywania obowiązków w zakresie określonym w przepisach AML.
Art. 106a ust. 3 P.b., do którego odwołano się w art. 106d ust. 1 pkt 1 P.b., stanowi, że w przypadku powzięcia uzasadnionego podejrzenia, iż zgromadzone na rachunku bankowym środki, w całości lub w części pochodzą lub mają związek z przestępstwem skarbowym lub przestępstwem innym niż przestępstwo, o którym mowa w art. 165a lub art. 229 Kodeksu karnego, bank jest uprawniony do dokonania blokady środków na tym rachunku. Blokada może nastąpić wyłącznie do wysokości zgromadzonych na rachunku środków, co do których zachodzi takie podejrzenie.
Z materiału dowodowego sprawy, w tym z wyjaśnień stron udzielonych w toku postępowania administracyjnego, nie wynika, aby w rozpoznawanej sprawie którykolwiek z powyższych przypadków miał miejsce, w szczególności, aby występowało "uzasadnione podejrzenie" co do okoliczności określonych w ww. przepisach.
Przepis art. 33 ust. 1 AML wymaga od instytucji obowiązanych m.in. stosowania wobec swoich klientów środków bezpieczeństwa finansowego, których zakres (katalog) znajduje się w art. 34 AML. W art. 33 ust. 2 AML podano, iż instytucje obowiązane rozpoznają ryzyko prania pieniędzy oraz finansowania terroryzmu związane ze stosunkami gospodarczymi lub z transakcją okazjonalną oraz oceniają poziom rozpoznanego ryzyka. Natomiast w art. 33 ust. 3 pkt 6 AML wskazano, że instytucje obowiązane dokumentują rozpoznane ryzyko prania pieniędzy oraz finansowania terroryzmu związane ze stosunkami gospodarczymi lub z transakcją okazjonalną oraz jego ocenę, uwzględniając w szczególności czynniki dotyczące celu, regularności lub czasu trwania stosunków gospodarczych.
Art. 34 ust. 1 AML odnosi się m.in. do bieżącego monitorowania stosunków gospodarczych klienta (w tym analizę transakcji przeprowadzanych w ramach stosunków gospodarczych, badanie źródła pochodzenia wartości majątkowych będących w dyspozycji klienta - w przypadkach uzasadnionych okolicznościami, zapewnienie, że posiadane dokumenty, dane lub informacje dotyczące stosunków gospodarczych są na bieżąco aktualizowane).
Art. 35 AML określa sytuacje, w których bank jest obowiązany stosować środki bezpieczeństwa finansowego, natomiast art. 36 AML dotyczy kwestii identyfikacji klienta.
Zgodnie z art. 49 ust. 1 AML, kopie dokumentów i informacje uzyskane w wyniku stosowania środków bezpieczeństwa finansowego, a także dowody potwierdzające przeprowadzone transakcje i ewidencje transakcji, obejmujące oryginalne dokumenty lub kopie dokumentów konieczne do identyfikacji transakcji, przechowuje się przez okres 5 lat licząc od pierwszego dnia roku następującego po roku, w którym zakończono stosunki gospodarcze z klientem, lub w którym przeprowadzono transakcje okazjonalne.
W przypadku dokonania analizy przeprowadzonej transakcji i udokumentowania jej analizy, w myśl art. 34 ust. 3 AML, instytucja pożyczkowa na mocy art. 49 ust. 2 AML jest obowiązana do przechowywania jej wyników przez okres 5 lat, licząc od pierwszego dnia roku następującego po roku ich przeprowadzenia.
Z przytoczonych unormowań wynika uprawnienie do monitorowania stosunków gospodarczych klienta i stosowania odpowiednich środków bezpieczeństwa finansowego. Przepisy te nie mają jednak odniesienia do stanu faktycznego sprawy, gdyż nie doszło do zawarcia umowy kredytowej. Żaden ze skarżących nie wskazał, jakie działania (w sferze stosunków gospodarczych niedoszłego klienta, osoby, z którą nie zawarto umowy kredytowej) chciałby monitorować. Nie jest dla Sądu zrozumiałe powoływanie się w kontekście ww. przepisów, na konieczność monitorowania niedookreślonych stosunków gospodarczych między Bankiem a osobą, z którą umowy kredytowej nie zawarto i która nadto, klientem Banku nie jest. Ogólne twierdzenia o celu w postaci zapewnienia bezpieczeństwa obrotu gospodarczego nie mogą stanowić – w stanie faktycznym sprawy – podstawy legalizującej rozszerzanie podstaw i celów przetwarzania danych osobowych uczestnika postępowania. Z akt sprawy nie wynika, aby uczestnika postępowania łączyły stosunki gospodarcze z Bankiem, a nadto, aby Bank powziął podejrzenia bądź stwierdził próbę manipulacji.
Art. 2 ust. 2 pkt 2 AML definiuje stosunki gospodarcze jako stosunki instytucji obowiązanej z klientem związane z działalnością zawodową instytucji obowiązanej, które w chwili ich nawiązywania wykazują cechę trwałości. Tymczasem uczestnik postępowania nie był klientem Banku w rozumieniu ww. przepisu. W przypadku braku nawiązania stosunków gospodarczych pomiędzy Bankiem a ww. osobą fizyczną, brak jest też zdarzeń wymienionych w art. 49 ust. 1 AML, tj. zakończenia stosunków gospodarczego z klientem lub przeprowadzenia transakcji okazjonalnej, od wystąpienia których można dopiero liczyć wskazany w ww. przepisie termin przetwarzania danych osobowych.
Rozszerzanie przez skarżących dopuszczalności przetwarzania danych (zawartych w zapytaniu kredytowym) osoby fizycznej, z którą nie zawarto umowy kredytowej, z powołaniem się na zapewnienie bezpieczeństwa finansowego w przypadku nawiązywania stosunków gospodarczych, a zatem szeroko rozumiane, ogólne cele, nie znajduje podstawy na gruncie RODO i jest wprost sprzeczne z zasadą ograniczenia celu (art. 5 ust. 1 lit. b RODO), gdy nie ma mowy o nawiązaniu stosunku zobowiązaniowego.
Niezasadne są tym samym zarzuty naruszenia art. 6 ust. 1 lit. c RODO w związku z art. 70a P.b.
W myśl art. 70a ust. 1 P.b., banki i inne instytucje ustawowo upoważnione do udzielania kredytów, na wniosek osoby fizycznej, prawnej lub jednostki organizacyjnej niemającej osobowości prawnej, o ile posiada zdolność prawną, ubiegającej się o kredyt, przekazują, w formie pisemnej, wyjaśnienie dotyczące dokonanej przez siebie oceny zdolności kredytowej wnioskującego. Wedle art. 70 ust. 2 P.b. wyjaśnienie, o którym mowa w ust. 1, obejmuje informacje na temat czynników, w tym danych osobowych wnioskującego, które miały wpływ na dokonaną ocenę zdolności kredytowej.
Powstanie obowiązku, o którym mowa w art. 70a ust. 1 P.b., uzależnione jest od złożenia stosownego wniosku przez osobę ubiegającą się o kredyt. Wniosek taki nie został złożony, a uczestnik postępowania po odmownej decyzji kredytowej, wniósł o usunięcie swoich danych. W związku z odmową w tym zakresie, podjął też działania przed PUODO. Z akt sprawy i całokształtu okoliczności nie wynika, aby uczestnik postępowania wystąpił do Banku czy BIK o jakiekolwiek wyjaśnienie dotyczące dokonanej oceny zdolności kredytowej. Natomiast uczestnik postępowania złożył żądanie usunięcia danych. Nie może być zatem mowy o tym, aby w sprawie znajdował zastosowanie art. 70a ust. 1 i 2 P.b., uprawniający Bank do przetwarzania danych osobowych w związku z koniecznością ewentualnego wypełnienia obowiązku wynikającego z art. 70a ust. 1 i ust. 2 P.b.
Nie jest też trafny zarzut dotyczący naruszenia art. 6 ust. 1 lit. f RODO w związku z rekomendacjami KNF (S, W i T). Rekomendacje KNF nie są źródłem prawa powszechnie obowiązującego. Nie ma przy tym podstaw, aby w stanie faktycznym sprawy, wywodzić z rekomendacji KNF – wobec osoby, z którą nie zawarto umowy kredytowej i która zażądała usunięcia danych – prawnie uzasadnione interesy Banku (i BIK), o których jest mowa w art. 6 ust. 1 lit. f RODO. Rekomendacje KNF, które zawierają konkretne wymagania regulacyjne, wobec narzędzi używanych przez banki, nie powinny być interpretowane w sprzeczności z RODO w zakresie legalności przetwarzania danych (w zakresie zapytań kredytowych) osób, z którymi nie zawarto umów kredytowych. Ponadto nie można ich wykładać w sposób prowadzący do nieuprawnionego przetwarzania danych osobowych osób fizycznych, które nie nawiązały z bankiem stosunku umownego. Twierdzenie, że wypełnienie nakazu PUODO, w postaci usunięcia danych osobowych uczestnika postępowania, przetwarzanych niezgodnie z prawem, prowadziłoby do uniemożliwienia Bankowi realizacji rekomendacji, nie daje podstaw do dalszego przetwarzania, na gruncie RODO, danych zawartych w zapytaniu kredytowym osoby, z którą Bank umowy nie zawarł, a jednocześnie nie uzyskał zgody tej osoby na dalsze przetwarzanie jej danych osobowych w celach innych niż te, w jakich je zgromadził.
Sąd wskazuje, że z powodów wyżej wskazanych niezasadne okazały się zarzuty naruszenia m.in. art. 6 ust. 1 lit. c RODO w związku z art. 105 ust. 1 pkt 1c i ust. 4 P.b. oraz art. 105a, art. 70 i art. 5 ust. 1 pkt 3 P.b. Sąd w tym zakresie odwołuje się do przedstawionego wyżej stanowiska dotyczącego art. 105 ust. 4 P.b.
Przepis art. 105 ust. 1 pkt 1c P.b. stanowi, iż bank ma obowiązek udzielenia informacji stanowiących tajemnicę bankową wyłącznie instytucjom, o których mowa w ust. 4, w zakresie niezbędnym do stosowania metod wewnętrznych oraz innych metod i modeli, o których mowa w przepisach części trzeciej CRR. Przepis dotyczy obowiązku udzielania przez banki informacji stanowiących tajemnicą bankową. Nie odnosi się więc do przetwarzania danych przez BIK w zakresie niezbędnym do stosowania metod wewnętrznych oraz innych metod i modeli, o których mowa w przepisach części trzeciej CRR. O przetwarzaniu danych przez BIK w tym celu stanowi art. 105a ust. 4 P.b., który uprawnia do tego BIK bez zgody osoby, której informacje dotyczą, ale "po wygaśnięciu zobowiązania wynikającego z umowy zawartej z bankiem lub inną instytucją ustawowo upoważnioną do udzielania kredytów". Umowa taka nie została zawarta z uczestnikiem postępowania, na co prawidłowo zwrócił uwagę organ w uzasadnieniu zaskarżonej decyzji. Art. 70 P.b. odnosi się do badania przez banki zdolności kredytowej i nie zawiera regulacji dotyczących przetwarzania danych osobowych. Z kolei art. 5 ust. 1 pkt 3 P.b. wskazuje, że czynnością bankową jest udzielanie kredytów.
Podsumowując ten wątek, art. 105 ust. 4 P.b. nie mógł stanowić podstawy przetwarzania danych osobowych uczestnika postępowania przez BIK zarówno samodzielnie, jak i w powiązaniu z art. 105 ust. 1 pkt 1c, art. 105a, art. 70 i art. 5 ust. 1 pkt 3 P.b.
BIK w zarzutach wskazywał też na naruszenie art. 6 ust. 1 lit. f RODO w związku z art. 105 ust. 4 P.b. Argumentacja dotycząca art. 105 ust. 4 P.b., wskazująca na charakter tego przepisu, nie pozwala jednak z ww. podanych powodów, na uznanie, że przepis ten określa prawnie uzasadniony interes realizowany przez BIK lub przez stronę trzecią, a który mógłby być rozważany w kontekście art. 6 ust. 1 lit. f RODO. Tak jak podniesiono wyżej, sam w sobie art. 105 ust. 4 P.b. nie może stanowić podstawy prawnej przetwarzania danych osoby ubiegającej się o kredyt. W treści tego przepisu nie można więc poszukiwać prawnie usprawiedliwionego interesu w przetwarzaniu danych osobowych osoby fizycznej, której w związku z zapytaniem kredytowym nie udzielono kredytu. Postawiony w tym kontekście zarzut naruszenia art. 6 ust. 1 lit. f RODO jest niezasadny.
Stanowisko Sądu dotyczące art. 70a P.b., jako podstawy przetwarzania danych osobowych uczestnika postępowania przez Bank, aktualne jest również w kontekście zarzutów sformułowanych przez BIK. Dodać jedynie należy, iż art. 70a P.b. nakłada na banki i inne instytucje ustawowo upoważnione do udzielania kredytów obowiązek przekazywania osobie fizycznej ubiegającej się o kredyt wyjaśnień dotyczących dokonanej oceny zdolności kredytowej wnioskującego. Tego rodzaju obowiązku przepis ten nie nakłada na instytucje, o których mowa w art. 105 ust. 4 P.b.
Zdaniem Sądu, analizowane wyżej art. 70, art. 70a, art. 105 ust. 4 i art. 105a P.b. nie wskazują na niezbędność przetwarzania przez BIK danych osobowych osoby ubiegającej się o kredyt w sytuacji, w której nie doszło do zawarcia umowy.
Celem RODO jest ochrona prywatności, która powinna być rozpatrywana także w świetle art. 8 Konwencji o Ochronie Praw Człowieka i Podstawowych Wolności. W sprawie nie istnieje tego rodzaju powiązanie pomiędzy osobą, której dane dotyczą (uczestnikiem postępowania) a Bankiem, jak również pomiędzy tą osobą a BIK, które pozwalałoby "wyprowadzić" istnienie prawnie uzasadnionego interesu po stronie BIK i Banku w dalszym przetwarzaniu danych osobowych uczestnika postępowania. Z okoliczności sprawy nie wynika przy tym, aby osoba ta mogła spodziewać się w czasie, gdy pozyskiwano od niej dane, w celu oceny zdolności kredytowej i ryzyka kredytowego, że będą one dalej przetwarzane, pomimo niezawarcia umowy kredytowej (motyw 47 RODO).
Wprawdzie użyte w art. 6 ust. 1 lit. f RODO pojęcie "interesu" jest pojęciem szerszym od pojęcia "celu" z art. 23 ust. 1 pkt 5 u.o.d.o., ale jako prawnie uzasadniony interes administratora, na gruncie art. 6 ust. 1 lit. f RODO, nie może być rozumiana każda potrzeba wygenerowana przez danego administratora w związku z prowadzoną działalnością gospodarczą. Przyjęcie takiej koncepcji poddawałoby w wątpliwość funkcjonowanie wszystkich pozostałych przesłanek legalności przetwarzania danych ujętych w RODO, skoro sama potrzeba, pojawiająca się dynamicznie w ramach prowadzonej działalności gospodarczej (handlowej), czyniłaby dopuszczalnym przetwarzanie danych osobowych. Niewątpliwie ten prawnie uzasadniony interes administratora nie może pozbawiać jednostki prawa do dysponowania własnymi danymi osobowymi i ochrony prywatności.
Z art. 7 lit. f nieobowiązującej już dyrektywy 95/46/WE, którą u.o.d.o. implementowała (art. 23 ust. 1 pkt 5) wynika, iż przetwarzanie danych jest konieczne dla potrzeb wynikających z uzasadnionych interesów administratora danych lub osoby trzeciej lub osobom, którym dane są ujawniane, z wyjątkiem sytuacji, kiedy interesy takie podporządkowane są interesom związanym z podstawowymi prawami i wolnościami osoby, której dane dotyczą, które gwarantują ochronę na podstawie art. 1 ust. 1. W ww. dyrektywie była mowa o uzasadnionych interesach administratora danych. Stąd też poglądy przywołane przez PUODO w zaskarżonej decyzji, a prezentowane w orzecznictwie NSA z powołaniem się na tę przesłankę, nie straciły na aktualności. Warto też nadmienić, że w orzecznictwie Trybunału Sprawiedliwości przyjmuje się – i pogląd ten prezentuje także Sąd rozpoznający niniejszą sprawę, iż "Ze względu na to, że RODO uchyliło i zastąpiło dyrektywę 95/46, a właściwe przepisy tego rozporządzenia mają w istocie zakres identyczny, jak właściwe przepisy tej dyrektywy, orzecznictwo Trybunału dotyczące wspomnianej dyrektywy znajduje również co do zasady zastosowanie w odniesieniu do tego rozporządzenia" (vide wyrok Trybunału Sprawiedliwości z 17 czerwca 2021 r., C-597/19, pkt 107).
W okolicznościach faktycznych rozpoznawanej sprawy, to prawa i wolności osoby fizycznej, mają nadrzędny charakter nad interesami Banku i BIK, więc zarzut naruszenia art. 7 i art. 7b k.p.a. jest niezasadny. Celem udostępnienia danych osobowych przez osobę fizyczną było bowiem rozpatrzenie konkretnego wniosku kredytowego (cel był ściśle określony), zgodnie z przepisami P.b., o czym mowa wyżej. Nie daje to podstaw do dalszego przetwarzania danych "na przyszłość", po zakończeniu oceny zdolności kredytowej i analizy ryzyka kredytowego. Samo powołanie się na zasadę rozliczalności (art. 5 ust. 2 RODO) nie legalizuje przetwarzania jakichkolwiek danych. Konieczne jest bowiem, aby w pierwszej kolejności przetwarzanie danych było zgodne z prawem.
Sąd, niezależnie od rozumienia argumentacji Banku i BIK co do wskazywanych potrzeb, zamierzeń czy celów, jakie podmioty te chciałyby osiągnąć w działalności gospodarczej - przez dalsze przetwarzanie danych osobowych zawartych w zapytaniu kredytowym uczestnika postępowania z [...] listopada 2020 r. (osoby, z którą Bank umowy kredytowej nie zawarł), a które wskazano zarówno w postępowaniu przed organem, jak i w skargach do Sądu, przyjął, że zaskarżona decyzja organu nie narusza prawa. Cel przetwarzania legalnie zebranych danych osobowych uczestnika postępowania (zebranych w celu oceny zdolności kredytowej i analizy ryzyka kredytowego) ustał i nie wykazano innej podstawy prawnej, stanowiącej przesłankę do "dalszego" przetwarzania danych osobowych tej osoby fizycznej.
W ocenie Sądu, niedopuszczalna jest interpretacja powołanych w skargach przepisów P.b., AML, k.c. i CRR, która czyniłaby uprawnionym na gruncie RODO dalsze przetwarzanie danych osobowych zawartych w zapytaniu kredytowym osoby, z którą nie zawarto umowy (a zatem w celach innych niż cele, w jakich je zebrano), w sytuacji, gdy P.b. wyraźnie reguluje dopuszczalność przetwarzania danych osobowych przed powstaniem zobowiązania, w trakcie jego trwania i po wygaśnięciu.
Przyjęcie interpretacji zaprezentowanej w skargach prowadziłoby do tego, że w odniesieniu do osób, których dane zawarte zostały w zapytaniu kredytowym, a z którymi nie zawarto umowy kredytowej, istniałaby pełna dowolność tak w zasadach ich przetwarzania - bez zgody osoby (jak należy wnioskować ze stanowisk Banku i BIK), bez informacji przedstawianej przed pozyskaniem danych o innych celach przetwarzania niż ocena zdolności kredytowej i ryzyka kredytowego, zarówno przez Bank jak i BIK - jak również dowolne ustalenia w odniesieniu do czasu ich przetwarzania (te kwestie byłyby bowiem i są, jak wynika z akt administracyjnych, tj. wyjaśnień Banku i BIK, ustalane samodzielnie przez te podmioty, z uwzględnieniem przyjmowanych przez nie celów służących, co do zasady spełnieniu, jak wskazywano w postępowaniu, określonych wymagań organu nadzoru nad rynkiem finansowym). Sytuacja osoby, która zwróciła się z zapytaniem kredytowym i z którą nie zawarto umowy kredytowej - z punktu widzenia ochrony danych osobowych oraz biorąc pod uwagę przepisy P.b. - byłaby sytuacją gorszą niż sytuacja osoby, która zawarła umowę kredytową i jej zobowiązanie wygasło. W tym drugim bowiem przypadku, dla dalszego przetwarzania danych w BIK po wygaśnięciu zobowiązania wynikającego z danej umowy, niezbędna jest zgoda osoby, której dane dotyczą. Nadto zgodę taką można w każdym czasie odwołać.
Podkreślenia wymaga, iż w demokratycznym państwie prawnym nie jest dopuszczalne dowolne rozszerzanie uprawnień jakiegokolwiek podmiotu - ani organu władzy, ani spółki prawa handlowego, ani innego administratora w zakresie przetwarzania danych osobowych (art. 47 i art. 51 Konstytucji RP). Dane osobowe mogą być przetwarzane co do zasady w celach, w jakich zostały zebrane. Uprawnienia te powinny być adekwatne, stosowne oraz ograniczone do tego, co niezbędne do osiągnięcia celów, w których zostały zebrane i są przetwarzane (art. 5 ust. 1 lit. c RODO). Przetwarzanie przez Bank i BIK "na przyszłość" danych zawartych w zapytaniu kredytowym, gdy nie zawarto umowy, nie znajduje umocowania w żadnej przesłance z art. 6 ust. 1 RODO.
Dodać trzeba, że przedmiotem niniejszej sprawy i kompetencji PUODO nie jest ustalenie możliwego sposobu realizacji przez Bank i BIK obowiązków nakładanych na te podmioty przez instytucje nadzorcze w zakresie prowadzonej działalności. Nie ma przeszkód, aby realizację tych obowiązków wykonywać z poszanowaniem RODO. Przedmiotem oceny organu w tej sprawie była wyłącznie kwestia oceny zgodności z prawem "dalszego" przetwarzania danych osobowych konkretnej osoby fizycznej w konkretnych okolicznościach faktycznych. Tutejszy Sąd nie znalazł podstaw do podważenia powyższego stanowiska PUODO. W konsekwencji Sąd w pełni podziela te poglądy judykatury, które za niedopuszczalne uznają dalsze przetwarzanie danych osobowych w przypadku niezawarcia umowy.
Zdaniem Sądu, w świetle akt sprawy były nieuzasadnione zarzuty skarg dotyczące naruszenia przepisów prawa procesowego: art. 7, art. 77 § 1 oraz art. 80 k.p.a., bowiem organ prawidłowo zebrał i ocenił zgromadzony w sprawie materiał dowodowy, w tym opierając się na wyjaśnieniach Banku oraz BIK dotyczących przetwarzania danych osobowych uczestnika postępowania zawartych we wnioskach kredytowych. Odmienna ocena zarówno Banku, jak i BIK w zakresie wykładni i zastosowania powołanych przez organ przepisów prawa, nie stanowi o naruszeniu przepisów proceduralnych. Uzasadnienie zaskarżonej decyzji odpowiada ponadto wymogom określonym w art. 107 § 3 k.p.a.
Nietrafny jest też zarzut naruszenia art. 7b k.p.a. przez zaniechanie zwrócenia się przez PUODO do KNF jako organu właściwego w sprawach związanych m.in. z badaniem zdolności kredytowej i analizy ryzyka kredytowego oraz budową modeli scoringowych czy Generalnego Inspektora Informacji Finansowej jako organu właściwego w sprawach związanych m.in. z przeciwdziałaniem praniu pieniędzy i finansowaniu terroryzmu, a w konsekwencji niedostateczne wyjaśnienie stanu faktycznego sprawy. Zgodnie z art. 7b k.p.a., w toku postępowania organy administracji publicznej współdziałają ze sobą w zakresie niezbędnym do dokładnego wyjaśnienia stanu faktycznego i prawnego sprawy, mając na względzie interes społeczny i słuszny interes obywateli oraz sprawność postępowania, przy pomocy środków adekwatnych do charakteru, okoliczności i stopnia złożoności sprawy.
W ocenie Sądu, stan faktyczny i prawny sprawy został przez organ prawidłowo ustalony i należycie rozpatrzony w oparciu o zgromadzony materiał dowodowy, w tym przede wszystkim w oparciu o wyjaśnienia Banku oraz BIK. Nie zachodziły więc przesłanki do podjęcia przez PUODO współdziałania z innymi organami administracji publicznej w trybie art. 7b k.p.a. w celu wydania decyzji w sprawie. PUODO jest niezależnym i wyspecjalizowanym organem w sprawach dotyczących ochrony danych osobowych, który ma status i kompetencje organu nadzorczego, określone w przepisach RODO. Jest zatem uprawniony do samodzielnego dokonywania interpretacji przepisów prawa w zakresie dotyczącym ochrony danych osobowych. Potwierdza to art. 51 oraz motywy 117, 122 i 123 RODO.
W okolicznościach faktycznych przedmiotowej sprawy żaden z art. 6 ust. 1 lit. a-f RODO nie stanowił przesłanki przetwarzania danych osobowych uczestnika postępowania (na przyszłość i w innych celach wskazywanych przez Bank i BIK). Jak już wyjaśniono, nie jest trafne powołanie się na konieczność zabezpieczenia ekonomiczno-gospodarczego i zapewnienie stabilności gospodarczej sektora bankowego jako uzasadnienie interesu publicznego, o którym mowa w art. 6 ust. 1 lit. e RODO, w odniesieniu do przetwarzania danych zawartych w zapytaniu kredytowym osoby, z którą Bank nie zawarł umowy.
Ustaleń Sądu w tym zakresie nie zmienia analiza treści umowy zawartej między skarżącymi, bo umowa ta nie stanowi samoistnej podstawy legalności przetwarzania danych osobowych uczestnika postępowania, w celach wskazywanych przez skarżących. Stosowanie RODO nie może zostać wyłączone przez zapis umowy. Ustalenie PUODO, w zakresie braku dopuszczalności przetwarzania danych uczestnika zawartych w zapytaniu kredytowym wskazanym w decyzji, jest prawidłowe. Nakaz, zawarty zarówno w punkcie 1, jak i 2 decyzji, jest przy tym jasny, nie ma wątpliwości co do jego zakresu i jest wykonalny. Tutejszy Sąd nie stwierdził też wad zaskarżonej decyzji, które nakazywałyby wyeliminowanie jej z obrotu prawnego.
Końcowo dostrzec wypada, iż Bank skargą objął pkt 2 decyzji PUODO, stanowiący nakaz skierowany do BIK w sytuacji gdy obaj skarżący, tj. Bank i BIK są odrębnymi administratorami. Niezależnie od występującego po stronie Banku interesu faktycznego w zakresie danych, jakie przetwarza BIK, brak jest podstaw, aby uznać, że Bank posiada interes prawny (legitymację prawną) do kwestionowania nakazu wystosowanego przez organ do BIK. Podkreślenia wymaga bowiem, że BIK
samodzielnie decyduje o celach i środkach przetwarzania danych w BIK. Ustalenie interesu prawnego lub obowiązku może nastąpić tylko w związku z normą prawa materialnego. Mieć interes prawny w kwestionowaniu jakiegokolwiek obowiązku nałożonego na BIK na gruncie RODO, znaczy to samo, co ustalić powszechnie obowiązujący przepis prawa, na którego podstawie Bank mógłby skutecznie żądać czynności PUODO w odniesieniu do działalności BIK. Interes faktyczny nie daje podstaw do kwestionowania przez Bank rozstrzygnięcia zawartego w punkcie 2 decyzji, dotyczącego BIK. Jednakże kwestia zaskarżenia przez Bank decyzji w całości pozostaje bez wpływu na wynik sprawy.
Mając na uwadze wszystko powyższe, Wojewódzki Sąd Administracyjny w Warszawie, na podstawie art. 151 p.p.s.a., orzekł jak w sentencji wyroku.