Lexedit
Wróć do analizy orzeczenia
Pełny tekst orzeczenia

II SA/WA 180/25

Oryginalna, niezmieniona treść orzeczenia. Jeżeli chcesz przeczytać analizę (zagadnienia prawne, podstawa prawna, argumentacja, rozstrzygnięcie), wróć do strony orzeczenia.

II SA/Wa 180/25 - Wyrok WSA w Warszawie
Data orzeczenia
2025-07-23
orzeczenie nieprawomocne
Data wpływu
2025-01-31
Sąd
Wojewódzki Sąd Administracyjny w Warszawie
Sędziowie
Andrzej Góraj /przewodniczący/
Arkadiusz Koziarski.
Joanna Kruszewska-Grońska /sprawozdawca/
Symbol z opisem
647  Sprawy związane z ochroną danych osobowych
Skarżony organ
Generalny Inspektor Ochrony Danych Osobowych
Treść wyniku
Oddalono skargę
Sentencja
Wojewódzki Sąd Administracyjny w Warszawie w składzie następującym: Przewodniczący Sędzia WSA Andrzej Góraj, Sędzia WSA Joanna Kruszewska-Grońska (spr.), Asesor WSA Arkadiusz Koziarski, Protokolant referent Joanna Mazur po rozpoznaniu na rozprawie w dniu 23 lipca 2025 r. sprawy ze skargi Biura Informacji Kredytowej S.A. z siedzibą w [...] na decyzję Prezesa Urzędu Ochrony Danych Osobowych z dnia [...] listopada 2024 r. nr [...] w przedmiocie przetwarzania danych osobowych oddala skargę
Uzasadnienie
Zaskarżoną w niniejszej sprawie decyzją z [...] listopada 2024 r. nr [...] Prezes Urzędu Ochrony Danych Osobowych (dalej: "PUODO", "organ"), po przeprowadzeniu postępowania administracyjnego zainicjowanego skargą E. C. (dalej: "uczestniczka postępowania"), na podstawie art. 104 § 1 ustawy z dnia 14 czerwca 1960 r. Kodeks postępowania administracyjnego (obecnie tekst jednolity: Dz. U. z 2024 r., poz. 572 ze zm.; dalej: "k.p.a.") w związku z art. 7 ust. 1 i ust. 2 ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych (Dz. U. z 2019 r., poz. 1781; dalej: "u.o.d.o.") oraz art. 6 ust. 1, a także art. 58 ust. 2 lit. c rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych - Dz. Urz. UE L 119 z dnia 4 maja 2016 r., str. 1 ze sprost.; dalej: "RODO"), nakazał Biuru Informacji Kredytowej S.A. z siedzibą w [...] (dalej: "skarżący", "BIK") usunięcie danych osobowych uczestniczki postępowania w zakresie informacji o ogłoszeniu upadłości konsumenckiej.
Do wydania zaskarżonej decyzji doszło w następujących okolicznościach.
Pismem z [...] stycznia 2021 r. uczestniczka postępowania zgłosiła do organu nieprawidłowości w przetwarzaniu przez BIK jej danych osobowych dotyczących upadłości konsumenckiej, powołując się na odwołanie zgody na ich przetwarzanie. Powyższa skarga została przez uczestniczkę postępowania doprecyzowana (na wezwanie PUODO) w piśmie z [...] lutego 2021 r. poprzez wskazanie, że wnosi o nakazanie usunięcia przez BIK jej danych osobowych w zakresie upadłości konsumenckiej. Natomiast przy piśmie z [...] marca 2021 r. uczestniczka postępowania przedstawiła skierowane przez nią do skarżącego w dniu [...] sierpnia 2020 r. odwołanie zgody na przetwarzanie danych osobowych (wraz z dowodem nadania listem poleconym), na które nie otrzymała odpowiedzi.
W toku postępowania administracyjnego, wszczętego ww. skargą uczestniczki postępowania, BIK wyjaśnił, iż:
- dane dotyczące ogłoszenia upadłości konsumenckiej uczestniczki postępowania zostały przez niego pozyskane [...] sierpnia 2016 r. z Monitora Sądowego i Gospodarczego, a postanowienie Sądu o ogłoszeniu upadłości zostało wydane [...] grudnia 2015 r.;
- przetwarza następujące dane w zakresie upadłości konsumenckiej uczestniczki postępowania: dane identyfikujące (imię, nazwisko, PESEL) oraz informację o ogłoszeniu upadłości konsumenckiej i dacie wydania przez Sąd postanowienia w tym przedmiocie;
- ww. dane uczestniczki postępowania skarżący pozyskał w celu wykonywania czynności bankowych, w szczególności oceny zdolności kredytowej i analizy ryzyka kredytowego na podstawie art. 6 ust. 1 lit. f) RODO w związku z art. 70 ust. 1, art. 105 ust. 4 i art. 105a ust. 1 ustawy z dnia 29 sierpnia 1997 r. Prawo bankowe (obecnie tekst jednolity: Dz. U. z 2024 r., poz. 1646 ze zm.; dalej: "P.b."), a także w związku z umowami zawartymi pomiędzy bankami;
- ww. dane będą przetwarzane przez BIK w celu oceny zdolności kredytowej i analizy ryzyka kredytowego przez okres 10 lat od dnia wydania postanowienia o ogłoszeniu upadłości, tj. do [...] grudnia 2025 r. włącznie. Zachowanie tego okresu jest zasadne, ponieważ od 1 grudnia 2021 r. zaczęła obowiązywać ustawa z dnia 6 grudnia 2018 r. o Krajowym Rejestrze Zadłużonych, która określa zasady prowadzenia ogólnodostępnego i jawnego rejestru, obejmującego m.in. osoby, wobec których prowadzono postępowanie upadłościowe. Zgodnie z art. 11 ust. 2 ww. ustawy, dane o takich osobach automatycznie przestają być ujawniane po upływie 10 lat od dnia prawomocnego zakończenia lub umorzenia postępowania, którego dotyczą;
- informacje dotyczące upadłości konsumenckiej mają istotne znaczenie z punktu widzenia oceny zdolności kredytowej i analizy ryzyka. Ocena ta dokonywana jest w oparciu o informacje uzyskane od wnioskującego o kredyt, informacje zgromadzone przez bank we własnych zbiorach danych oraz informacje pozyskane z zewnętrznych baz danych. W przypadku oceny zdolności konsumentów, podstawę korzystania z ww. źródeł informacji stanowi art. 9 ust. 2 ustawy o kredycie konsumenckim. Na konieczność wykorzystywania własnych i zewnętrznych baz danych przy ocenie zdolności kredytowej wskazuje również Komisja Nadzoru Finansowego (dalej: "KNF") w Rekomendacji T dotyczącej dobrych praktyk w zakresie zarządzania ryzykiem detalicznych ekspozycji kredytowych. Obiektywizm może być zachowany tylko wtedy, gdy analiza ryzyka jest oparta na pełnych informacjach na temat osób wnioskujących o kredyt, w tym o przebytych przez wnioskujących upadłościach. Przepisy P.b. nie określają zamkniętego katalogu informacji czy danych, jakie mogą być przetwarzane w celu oceny zdolności kredytowej i analizy ryzyka kredytowego, na co wskazuje rozporządzenie Parlamentu Europejskiego i Rady (UE) nr 575/2013 z dnia 26 czerwca 2013 r. w sprawie wymogów ostrożnościowych dla instytucji kredytowych i firm inwestycyjnych, zmieniające rozporządzenie (UE) nr 648/2012 (Dz. U. UE L z 2013 r. Nr 176, str. 1 ze zm.; dalej: "CRR"), jak również rekomendacje KNF. Według art. 178 ust. 3 CRR, jako element wskazujący na prawdopodobieństwo niedokonania płatności uznaje się m.in. wystąpienie przez dłużnika o ogłoszenie upadłości lub postawienie dłużnika w stan upadłości;
- ww. dane są też przetwarzane w celach statystycznych, zaś podstawą prawną przetwarzania ich w tych celach jest prawnie uzasadniony interes administratora danych wynikający z przepisów P.b., polegający na dostarczaniu bankom analiz pozwalających ocenić w szczególności jakość polityki kredytowej na tle rynku i trendy występujące w sektorze bankowym, identyfikować zagrożenia płynące z zachowań kredytowych klientów w innych bankach czy określić maksymalne kwoty kredytów i pożyczek, dla których bank może stosować uproszczone zasady oceny zdolności kredytowej.
Motywując powołaną na wstępie decyzję, organ pokreślił, że przetwarzanie danych osobowych jest dopuszczalne tylko wtedy, gdy zostanie spełniona jedna z przesłanek wymienionych w art. 6 ust. 1 RODO, mających charakter autonomiczny i niezależny. Zgoda osoby, której dane dotyczą, nie jest jedyną podstawą przetwarzania danych osobowych, bowiem proces przetwarzania danych będzie zgodny z RODO także wówczas, gdy administrator danych wykaże spełnienie innej z wyżej wymienionych przesłanek.
Podstawą prawną przetwarzania danych osobowych w zasobach skarżącego jest obecnie art. 6 ust. 1 lit. f RODO w sytuacji, gdy przetwarzanie zostanie uznane za niezbędne do celów wynikających z prawnie uzasadnionych interesów realizowanych przez administratora, nadrzędnych nad interesami i prawami podstawowymi osoby, której dane dotyczą. W myśl motywu 47 RODO podstawą prawną przetwarzania mogą być prawnie uzasadnione interesy administratora, w tym administratora, któremu mogą zostać ujawnione dane osobowe, lub strony trzeciej, o ile w świetle rozsądnych oczekiwań osób, których dane dotyczą, opartych na ich powiązaniach z administratorem nadrzędne nie są interesy lub podstawowe prawa i wolności osoby, której dane dotyczą. Taki prawnie uzasadniony interes może zaistnieć wówczas, gdy zachodzi istotny i odpowiedni rodzaj powiązania między osobą, której dane dotyczą a administratorem, np. gdy osoba, której dane dotyczą, jest klientem administratora lub działa na jego rzecz. Aby stwierdzić istnienie prawnie uzasadnionego interesu, należałoby w każdym przypadku przeprowadzić dokładną ocenę, w szczególności, czy w czasie i w kontekście, w którym zbierane są dane osobowe, osoba, której dane dotyczą, ma rozsądne przesłanki by spodziewać się, iż może nastąpić przetwarzanie danych w tym celu. Interesy i prawa podstawowe osoby, której dane dotyczą, mogą być nadrzędne wobec interesu administratora danych zwłaszcza, gdy proces przetwarzania odbywa się w sytuacji, w której osoby, których dane dotyczą, nie mają rozsądnych przesłanek, by spodziewać się dalszego przetwarzania.
PUODO powołał się też na zawartą w art. 5 ust. 2 RODO zasadę rozliczalności, wedle której administrator zobowiązany jest do przestrzegania zasad określonych w art. 5 ust. 1 RODO i musi być w stanie to wykazać. Z kolei zgodnie z zasadą ograniczenia celu przetwarzania, ujętą w art. 5 ust. 1 lit. b RODO, dane osobowe muszą być zbierane w konkretnych, wyraźnych i prawnie uzasadnionych celach oraz nieprzetwarzane dalej w sposób niezgodny z tymi celami.
Organ przypomniał, iż BIK jest instytucją utworzoną na podstawie art. 105 ust. 4 P.b. Przytoczył też treść art. 70 ust. 1 i art. 105a ust.1-3 P.b., art. 11, art. 4915 i art. 53 w związku z art. 4911 ustawy z dnia 28 lutego 2003 r. Prawo upadłościowe (obecnie tekst jednolity: Dz. U. z 2025 r., poz. 614) oraz art. 1 ust. 1 ustawy z dnia 22 grudnia 1995 r. o wydawaniu Monitora Sądowego i Gospodarczego (Dz. U. z 2023 r., poz. 1395).
Zdaniem PUODO, udostępnianie danych osobowych dotyczących upadłości konsumenckiej w ogólnodostępnych rejestrach lub dziennikach urzędowych takich jak Monitor Sądowy i Gospodarczy, nie oznacza, że proces ich pozyskania i dalszego przetwarzania nie musi znajdować oparcia w przepisach RODO. Również nie może odbywać się z pominięciem wymogów wynikających z przepisów P.b. Przetwarzanie danych osobowych w celu oceny zdolności kredytowej i analizy ryzyka kredytowego znajduje oparcie w art. 105a ust. 1, 2 i 3 P.b., o ile przedmiotowe dane stanowią informacje objęte tajemnicą bankową, a więc są informacjami związanymi z czynnościami bankowymi. W świetle obowiązujących przepisów P.b., możliwość przetwarzania danych objętych tajemnicą bankową w celu oceny zdolności kredytowej i analizy ryzyka kredytowego może odbywać się w przypadku istnienia konkretnego zobowiązania pomiędzy bankiem a podmiotem danych lub też w związku z czynnościami poprzedzającymi powstanie konkretnego zobowiązania, a w pewnych sytuacjach może mieć miejsce po wygaśnięciu zobowiązania wynikającego z umowy zawartej z bankiem. Tymczasem skarżący nie wykazał, aby przetwarzanie danych osobowych uczestniczki postępowania w zakresie informacji o upadłości konsumenckiej w ww. celu było związane z konkretną czynnością bankową, w tym z czynnościami poprzedzającymi powstanie konkretnego zobowiązania. BIK nie wykazał także, aby przetwarzanie ww. danych osobowych, w celu oceny zdolności kredytowej i analizy ryzyka kredytowego, mogło odbywać się na mocy art. 105a ust. 2 i 3 P.b., czyli po wygaśnięciu zobowiązania wynikającego z umowy zawartej z bankiem. Skarżący nie wykazał, by w powyższym zakresie istniał konkretny, wyraźny i prawnie usprawiedliwiony cel przetwarzania spornych danych osobowych uczestniczki postępowania. Tym samym nie można uznać, iż przetwarzanie jej danych osobowych w ww. celu mogło odbywać się w oparciu o wskazany przez BIK art. 6 ust. 1 lit. f RODO, ani by zaistniała inna spośród określonych w art. 6 ust. 1 RODO przesłanek legalizujących ten proces.
Podobnie przetwarzanie danych osobowych do celów stosowania metod wewnętrznych oraz innych metod i modeli, o których mowa w części trzeciej CRR w oparciu o powołany przez skarżącego art. 105a ust. 4 P.b. jest możliwe, o ile dane te stanowią tajemnicę bankową oraz gdy administrator wykaże zaistnienie konkretnego zobowiązania wynikającego z umowy zawartej z bankiem lub inną instytucją ustawowo upoważnioną do udzielania kredytów. Jak już wzmiankowano, BIK nie wykazał, aby istniało konkretne zobowiązanie wynikające z umowy zawartej przez uczestniczkę postępowania z bankiem lub inną instytucją ustawowo upoważnioną do udzielania kredytów, zatem warunek przewidziany w art. 105a ust. 4 P.b. nie został spełniony.
PUODO zaakcentował, iż każdy proces przetwarzania danych osobowych musi znajdować oparcie w przesłankach wynikających z art. 6 ust. 1 RODO. Spełnienie przesłanki z art. 6 ust. 1 lit. f RODO uzależnione jest od tego, czy przetwarzanie jest niezbędne do celów wynikających z prawnie uzasadnionych interesów realizowanych przez administratora lub przez stronę trzecią, z wyjątkiem sytuacji, w których nadrzędny charakter wobec tych interesów mają interesy lub podstawowe prawa i wolności osoby, której dane dotyczą. Przesłanka ta dotyczy sytuacji już istniejącej, w której administrator jest w stanie wykazać, iż realizuje konkretny cel; w przypadku przetwarzania danych na podstawie art. 105a ust. 4 P.b., konieczne jest wykazanie ziszczenia się warunków określonych w tym przepisie, czego skarżący nie dokonał.
Skoro w niniejszej sprawie BIK nie wykazał istnienia przesłanek legalizujących proces przetwarzania danych osobowych uczestniczki postępowania w zakresie informacji o upadłości konsumenckiej, to organ skorzystał z uprawnienia przewidzianego w art. 58 ust. 2 lit. c RODO, nakazując skarżącemu usunięcie tych danych jako przetwarzanych bez podstawy prawnej.
Powyższa decyzja stała się przedmiotem skargi BIK do Wojewódzkiego Sądu Administracyjnego w Warszawie, w której zarzucono:
I. naruszenie prawa materialnego, tj.:
1) art. 6 ust. 1 lit. f RODO w związku z przepisami P.b., w szczególności art. 105a ust. 1-3 P.b., poprzez ich błędną wykładnię i w konsekwencji niezasadne przyjęcie, że skarżący może przetwarzać w celu oceny zdolności kredytowej i analizy ryzyka kredytowego wyłącznie informacje objęte tajemnicą bankową oraz wyłącznie w przypadku, gdy zaistnieje konkretne zobowiązanie wynikające z umowy zawartej z bankiem lub inną instytucją ustawowo upoważnioną do udzielania kredytów, podczas gdy przepis ten w żaden sposób nie ogranicza zakresu danych, które mogą być przetwarzane przez BIK w celu oceny zdolności kredytowej i analizy ryzyka kredytowego, a wyłącznie konstytuuje podstawę prawną dla przetwarzania przez skarżącego danych stanowiących tajemnicę bankową, o których mowa w art. 104 ust. 1 P.b. w zakresie, w jakim informacje te są potrzebne w związku z wykonywaniem czynności bankowych w postaci oceny zdolności kredytowej oraz analizy ryzyka kredytowego konkretnego klienta (indywidualna ocena zdolności kredytowej) oraz w związku z budowaniem i utrzymaniem modeli scoringowych, a więc narzędzi wykorzystywanych przez banki do oceny zdolności kredytowej i analizy ryzyka kredytowego oraz w związku ze stosowaniem metod wewnętrznych oraz innych metod i modeli, o których mowa w części trzeciej CRR,
2) art. 6 ust. 1 lit. f RODO poprzez jego błędną wykładnię i w konsekwencji niezasadne przyjęcie, iż skarżący może przetwarzać w celach statystycznych wyłącznie informacje objęte tajemnicą bankową oraz wyłącznie w przypadku, gdy zaistnieje konkretne zobowiązanie wynikające z umowy zawartej z bankiem lub inną instytucją ustawowo upoważnioną do udzielania kredytów, a więc w warunkach aktualizacji przepisu art. 105a ust. 4 P.b., podczas gdy przepis ten w żaden sposób nie ogranicza możliwości przetwarzania przez BIK danych w celach statystycznych, w tym nie uniemożliwia skarżącemu przetwarzania danych nieobjętych tajemnicą bankową w celach statystycznych, a wyłącznie konstytuuje zasady wykorzystywania danych objętych tajemnicą bankową w celach innych niż ocena zdolności kredytowej i analiza ryzyka kredytowego;
II. naruszenie prawa procesowego, mające istotny wpływ na wynik sprawy, tj.:
1) art. 7 w związku z art. 77 § 1 i art. 80 k.p.a. w związku z art. 7 ust. 1 u.o.d.o., poprzez niewyczerpujące zebranie, nierozpatrzenie i błędną ocenę całokształtu materiału dowodowego przejawiającego się w zaniechaniu dokonania wyczerpującej analizy:
a) charakteru, zakresu oraz celów gospodarczo-ekonomicznych działalności prowadzonej przez BIK, w tym działalności gospodarczej podejmowanej w zakresie wykraczającym poza realizację obowiązków nałożonych na skarżącego przepisami P.b. oraz obowiązków wynikających z zawartych przez niego umów z bankami, co skutkowało wadliwą i niepełną oceną stanu faktycznego sprawy oraz charakteru działania BIK, a w konsekwencji wydaniem przez organ nieuzasadnionego nakazu usunięcia danych osobowych uczestniczki postępowania;
b) podstawowych zasad funkcjonowania skarżącego, nie tylko jako instytucji gromadzącej dane i informacje objęte tajemnicą bankową, służące do oceny zdolności kredytowej oraz budującej modele scoringowe dla banków, ale także jako przedsiębiorcy funkcjonującego w ramach wolnego rynku, co wiąże się z istnieniem oczywistego interesu prawnego po stronie BIK w postaci przewarzania danych osobowych dla osiągania określonych celów w ramach prowadzonej działalności gospodarczej, co doprowadziło do nieprawidłowego uznania, że skarżący nie legitymuje się podstawą prawną do przetwarzania danych osobowych uczestniczki postępowania;
2) art. 7 i art. 77 § 1 w związku z art. 80 oraz art. 107 § 3 k.p.a. w związku z art. 7 ust. 1 u.o.d.o. poprzez niezbadanie przez organ wszystkich podstaw prawnych przetwarzania przez skarżącego danych o upadłości konsumenckiej, niewystarczające wyjaśnienia podstaw prawnych decyzji oraz brak oceny istotnych okoliczności sprawy, co skutkowało błędnym nakazaniem BIK usunięcia danych osobowych uczestniczki postępowania w zakresie informacji o upadłości konsumenckiej oraz uniemożliwiło skarżącemu zapoznanie się z powodami negatywnej oceny wskazanych przez niego podstaw procesu przetwarzania.
W oparciu o ww. zarzuty skarżący wniósł o:
1) uchylenie decyzji w całości na podstawie art. 145 § 1 pkt 1 lit. a i lit. c ustawy z dnia 30 sierpnia 2002 r. Prawo o postępowaniu przed sądami administracyjnymi (Dz. U. z 2024 r., poz. 935 ze zm.; dalej: "p.p.s.a."),
2) zasądzenie od organu na jego rzecz zwrotu kosztów postępowania według norm przepisanych, w tym kosztów zastępstwa procesowego (w tym opłaty skarbowej od pełnomocnictwa w kwocie 17 zł) na mocy art. 200 p.p.s.a.,
3) wstrzymanie wykonania zaskarżonej decyzji.
W uzasadnieniu skargi BIK rozwinął poszczególne jej zarzuty.
Postanowieniem z [...] stycznia 2025 r. nr [...] organ odmówił wstrzymania wykonania zaskarżonej decyzji.
W odpowiedzi na skargę organ wniósł o oddalenie skargi, podtrzymując stanowisko zaprezentowane w uzasadnieniu zaskarżonej decyzji.
Prawomocnym postanowieniem z 5 marca 2025 r., sygn. akt II SA/Wa 180/25, Wojewódzki Sąd Administracyjny w Warszawie odmówił wstrzymania wykonania zaskarżonej decyzji.
Wojewódzki Sąd Administracyjny w Warszawie zważył, co następuje:
Skarga nie zasługuje na uwzględnienie.
W niniejszej sprawie stan faktyczny nie budził wątpliwości; sporna między stronami postępowania była jego ocena prawna.
Zamknięty katalog przesłanek dopuszczalności przetwarzania danych osobowych określa art. 6 ust. 1 RODO. Stosownie do treści tego przepisu, przetwarzanie jest zgodne z prawem wyłącznie w przypadkach, gdy - i w takim zakresie, w jakim - spełniony jest co najmniej jeden z poniższych warunków: a) osoba, której dane dotyczą wyraziła zgodę na przetwarzanie swoich danych osobowych w jednym lub większej liczbie określonych celów; b) przetwarzanie jest niezbędne do wykonania umowy, której stroną jest osoba, której dane dotyczą, lub do podjęcia działań na żądanie osoby, której dane dotyczą, przed zawarciem umowy; c) przetwarzanie jest niezbędne do wypełnienia obowiązku prawnego ciążącego na administratorze; d) przetwarzanie jest niezbędne do ochrony żywotnych interesów osoby, której dane dotyczą, lub innej osoby fizycznej; e) przetwarzanie jest niezbędne do wykonania zadania realizowanego w interesie publicznym lub w ramach sprawowania władzy publicznej powierzonej administratorowi; f) przetwarzanie jest niezbędne do celów wynikających z prawnie uzasadnionych interesów realizowanych przez administratora lub przez stronę trzecią, z wyjątkiem sytuacji, w których nadrzędny charakter wobec tych interesów mają interesy lub podstawowe prawa i wolności osoby, której dane dotyczą, wymagające ochrony danych osobowych, w szczególności gdy osoba, której dane dotyczą, jest dzieckiem. Akapit pierwszy lit. f nie ma zastosowania do przetwarzania, którego dokonują organy publiczne w ramach realizacji swoich zadań.
Zakwestionowane przez PUODO przetwarzanie danych dotyczy tzw. "zwykłych" danych, pozyskanych przez skarżącego w ramach prowadzonej działalności gospodarczej - w odróżnieniu od szczególnych kategorii danych osobowych ujętych w art. 9 i art. 10 RODO. Oznacza to, że zaistnienie jednej z ww. przesłanek (które są samoistne – równoważne, równoprawne) legalizuje przetwarzanie "zwykłych" danych.
Zasady przetwarzania danych osobowych określa art. 5 RODO - jedną z nich jest zbierane w konkretnych, wyraźnych i prawnie uzasadnionych celach i nieprzetwarzane dalej w sposób niezgodny z tymi celami; dalsze przetwarzanie do celów archiwalnych w interesie publicznym, do celów badań naukowych lub historycznych lub do celów statystycznych nie jest uznawane w myśl art. 89 ust. 1 za niezgodne z pierwotnymi celami ("ograniczenie celu" - vide art. 5 ust. 1 lit. b RODO). Administrator (tu: BIK) jest odpowiedzialny za przestrzeganie przepisów art. 5 ust. 1 RODO i musi być w stanie wykazać ich przestrzeganie ("rozliczalność" - vide art. 5 ust. 2 RODO).
Zgodnie z art. 105 ust. 4 P.b., banki mogą, wspólnie z bankowymi izbami gospodarczymi, utworzyć instytucje upoważnione do gromadzenia, przetwarzania i udostępniania:
1) bankom - informacji stanowiących tajemnicę bankową w zakresie, w jakim informacje te są potrzebne w związku z wykonywaniem czynności bankowych oraz w związku ze stosowaniem metod wewnętrznych oraz innych metod i modeli, o których mowa w części trzeciej CRR;
2) innym instytucjom ustawowo upoważnionym do udzielania kredytów - informacji stanowiących tajemnicę bankową w zakresie, w jakim informacje te są niezbędne w związku z udzielaniem kredytów, pożyczek pieniężnych, gwarancji bankowych i poręczeń;
3) instytucjom kredytowym - informacji stanowiących tajemnicę bankową w zakresie niezbędnym do oceny zdolności kredytowej konsumenta, o której mowa w art. 9 ustawy z dnia 12 maja 2011 r. o kredycie konsumenckim;
4) instytucjom pożyczkowym i podmiotom, o których mowa w art. 59d ustawy z dnia 12 maja 2011 r. o kredycie konsumenckim - na zasadzie wzajemności, informacji stanowiących odpowiednio tajemnicę bankową oraz informacje udostępnione przez instytucje pożyczkowe oraz podmioty, o których mowa w art. 59d ustawy z dnia 12 maja 2011 r. o kredycie konsumenckim, w zakresie niezbędnym do oceny zdolności kredytowej konsumenta, o której mowa w art. 9 tej ustawy, i analizy ryzyka kredytowego;
5) jednostce zarządzającej systemem ochrony lub bankowi zrzeszającemu - informacji stanowiących tajemnicę bankową w zakresie, w jakim są one niezbędne dla realizacji jej zadań określonych w art. 19 ust. 2, art. 22i ust. 1 i 3-5 oraz art. 22v ust. 2 ustawy o funkcjonowaniu banków spółdzielczych, ich zrzeszaniu się i bankach zrzeszających;
6) krajowym instytucjom płatniczym, małym instytucjom płatniczym, krajowym instytucjom pieniądza elektronicznego, unijnym instytucjom płatniczym lub unijnym instytucjom pieniądza elektronicznego, w rozumieniu ustawy z dnia 19 sierpnia 2011 r. o usługach płatniczych udzielającym kredytu płatniczego, o którym mowa w art. 74 ust. 3 tej ustawy - informacji stanowiących tajemnicę bankową, w zakresie niezbędnym do oceny zdolności kredytowej konsumenta, o której mowa w art. 9 ustawy z dnia 12 maja 2011 r. o kredycie konsumenckim.
W myśl przepisów art. 105a ust. 1, ust. 2, ust. 3 i ust. 4 P.b.:
( przetwarzanie przez banki, inne instytucje ustawowo upoważnione do udzielania kredytów, instytucje pożyczkowe oraz podmioty, o których mowa w art. 59d ustawy z dnia 12 maja 2011 r. o kredycie konsumenckim, a także instytucje utworzone na podstawie art. 105 ust. 4, informacji stanowiących tajemnicę bankową i informacji udostępnionych przez instytucje pożyczkowe oraz podmioty, o których mowa w art. 59d ustawy z dnia 12 maja 2011 r. o kredycie konsumenckim, w zakresie dotyczącym osób fizycznych może być wykonywane, z zastrzeżeniem art. 104, art. 105 i art. 106-106d, w celu oceny zdolności kredytowej i analizy ryzyka kredytowego (ust. 1);
( z zastrzeżeniem ust. 3, instytucje, o których mowa w ust. 1, mogą przetwarzać informacje stanowiące tajemnicę bankową oraz informacje udostępnione przez instytucje pożyczkowe oraz podmioty, o których mowa w art. 59d ustawy z dnia 12 maja 2011 r. o kredycie konsumenckim, w zakresie dotyczącym osób fizycznych po wygaśnięciu zobowiązania wynikającego z umowy zawartej z bankiem, inną instytucją ustawowo upoważnioną do udzielania kredytów, instytucją pożyczkową lub podmiotem, o którym mowa w art. 59d ustawy z dnia 12 maja 2011 r. o kredycie konsumenckim, pod warunkiem uzyskania pisemnej zgody osoby, której informacje te dotyczą, z zastrzeżeniem ust. 2a. Zgoda ta może być w każdym czasie odwołana (ust. 2);
( banki, instytucje oraz podmioty, o których mowa w ust. 1, mogą przetwarzać informacje stanowiące tajemnicę bankową i informacje udostępnione przez instytucje pożyczkowe oraz podmioty, o których mowa w art. 59d ustawy z dnia 12 maja 2011 r. o kredycie konsumenckim, dotyczące osób fizycznych po wygaśnięciu zobowiązania wynikającego z umowy zawartej z bankiem, inną instytucją ustawowo upoważnioną do udzielania kredytów, instytucją pożyczkową lub podmiotem, o którym mowa w art. 59d ustawy z dnia 12 maja 2011 r. o kredycie konsumenckim, bez zgody osoby, której informacje dotyczą, gdy osoba ta nie wykonała zobowiązania lub dopuściła się zwłoki powyżej 60 dni w spełnieniu świadczenia wynikającego z umowy zawartej z bankiem, inną instytucją ustawowo upoważnioną do udzielania kredytów, instytucją pożyczkową lub podmiotem, o którym mowa w art. 59d ustawy z dnia 12 maja 2011 r. o kredycie konsumenckim, a po zaistnieniu tych okoliczności upłynęło co najmniej 30 dni od poinformowania tej osoby przez bank, inną instytucję ustawowo upoważnioną do udzielania kredytów, instytucję pożyczkową albo podmiot, o którym mowa w art. 59d ustawy z dnia 12 maja 2011 r. o kredycie konsumenckim, o zamiarze przetwarzania dotyczących jej tych informacji, bez jej zgody (ust. 3);
( banki oraz instytucje, o których mowa w art. 105 ust. 4, mogą przetwarzać stanowiące tajemnicę bankową informacje dotyczące osoby fizycznej po wygaśnięciu zobowiązania wynikającego z umowy zawartej z bankiem lub inną instytucją ustawowo upoważnioną do udzielania kredytów bez zgody osoby, której informacje dotyczą, do celów stosowania metod wewnętrznych oraz innych metod i modeli, o których mowa w części trzeciej CRR (ust. 4).
Powołany na podstawie art. 105 ust. 4 P.b. BIK ma pomagać przy ocenie portfelowego ryzyka kredytowego, w tym przygotowaniu wewnętrznych metod statystycznych, a także monitorowaniu ekspozycji banku, wypełnieniu obowiązków wynikających z ustawy o przeciwdziałaniu praniu pieniędzy oraz finansowaniu terroryzmu w zakresie identyfikowania i oceniania ryzyka związanego z praniem pieniędzy i finansowaniem terroryzmu, identyfikowania powiązań z osobami na eksponowanych stanowiskach, stosowania procedur pozwalających na poznanie klienta przed świadczeniem mu usług, wdrożenia i stosowania środków bezpieczeństwa finansowego proporcjonalnych do ryzyka zidentyfikowanego podczas analizy klienta, gromadzenia i przekazywania odpowiednim instytucjom informacji przewidzianych przez ustawę o przeciwdziałaniu praniu pieniędzy oraz finansowaniu terroryzmu oraz wykrywaniu przestępstw na szkodę banków. Ponadto powołanie BIK ma służyć polepszeniu jakości informacji w sektorze bankowym. W efekcie wymiana informacji za pośrednictwem skarżącego przyczynia się do tego, że banki dysponują nie tylko własnymi informacjami, ale też informacjami z całego sektora. W tym miejscu zaakcentować trzeba, że wymiana informacji to obowiązek banków i BIK, którego podstawę prawną stanowi art. 6 ust. 1 lit. c RODO. Przepis ten w związku z art. 105 ust. 4 i art. 105a ust. 1 P.b. legalizuje przetwarzanie danych osobowych klientów banków przez BIK w czasie trwania zobowiązania łączącego bank i klienta banku.
Także proces pozyskania i dalszego przetwarzania danych osobowych dotyczących upadłości konsumenckiej z ogólnodostępnych rejestrów lub dzienników urzędowych takich jak Monitor Sądowy i Gospodarczy musi znajdować oparcie w przepisach RODO.
W przedmiotowej sprawie skarżący samodzielnie pozyskał [...] sierpnia 2016 r. z Monitora Sądowego i Gospodarczego nr [...] ([...]), opublikowanego [...] grudnia 2015 r. następujące dane uczestniczki postępowania: imię, nazwisko, PESEL, informacja o ogłoszeniu upadłości konsumenckiej, data wydania przez Sąd postanowienia o ogłoszeniu upadłości konsumenckiej, informacja o ogłoszeniu upadłości konsumenckiej. Zatem BIK nie pozyskał tych informacji od instytucji, o których mowa w art. 105 ust. 4 P.b.
Powoływany przez skarżącego cel wykonywania czynności bankowych, w szczególności ocena zdolności kredytowej i analiza ryzyka kredytowego w kontekście art. 6 ust. 1 lit. f RODO w związku z art. 105a ust. 1-3 P.b. dotyczy informacji stanowiących tajemnicę bankową. Z kolei przepis art. 104 ust. 1 P.b. wskazuje, iż bank, osoby w nim zatrudnione oraz osoby, za których pośrednictwem bank wykonuje czynności bankowe, są obowiązane zachować tajemnicę bankową, która obejmuje wszystkie informacje dotyczące czynności bankowej, uzyskane w czasie negocjacji, w trakcie zawierania i realizacji umowy, na podstawie której bank tę czynność wykonuje. Tajemnica bankowa oznacza więc "wszystkie informacje dotyczące czynności bankowej, uzyskane w czasie negocjacji, w trakcie zawierania i realizacji umowy, na podstawie której bank tę czynność wykonuje". W konsekwencji ocena zdolności kredytowej i analiza ryzyka kredytowego może odbywać się w przypadku istnienia konkretnego zobowiązania pomiędzy bankiem a podmiotem danych lub w związku z czynnościami poprzedzającymi powstanie konkretnego zobowiązania, a także po wygaśnięciu zobowiązania wynikającego z umowy zawartej z bankiem. Nieodzowne jest powiązanie przetwarzanych danych z konkretną czynnością bankową, a takiego związku w odniesieniu do informacji o upadłości konsumenckiej uczestniczki postępowania skarżący nie wykazał. BIK nie powołał się na żadną konkretną czynność bankową ani na okoliczność po wygaśnięciu zobowiązania wynikającego z umowy zawartej z bankiem. Nie sposób uznać, że istniał konkretny, wyraźny i prawnie usprawiedliwiony cel przetwarzania informacji o upadłości konsumenckiej uczestniczki postępowania.
Według § 1 pkt 2 rozporządzenia Ministra Finansów z dnia 23 czerwca 2016 r. w sprawie szczegółowego zakresu danych podlegających wymianie pomiędzy instytucjami utworzonymi na podstawie przepisów prawa bankowego a instytucjami pożyczkowymi i innymi podmiotami (Dz. U. z 2016 r., poz. 971), zakres danych podlegających wymianie pomiędzy instytucjami utworzonymi na podstawie art. 105 ust. 4 P.b., w celu oceny zdolności kredytowej konsumenta i analizy ryzyka kredytowego, obejmuje dane dotyczące zobowiązania, w tym przebieg realizacji zobowiązania (lit. g), stan zadłużenia z tytułu zobowiązania (lit. h), przyczyny niewykonania zobowiązania lub dopuszczenia się zwłoki w jego wykonaniu (lit. j). Informacja o ogłoszeniu upadłości konsumenckiej zawsze wiąże się z niewykonaniem lub zwłoką w realizacji zobowiązania, a niekiedy może stanowić przyczynę ich wygaśnięcia (np. w razie ogłoszenia upadłości bez planu spłaty).
Z tych samych przyczyn sporne dane uczestniczki postępowania nie mogły być przetwarzane przez skarżącego dla celów statystycznych. Przepis art. 105a ust. 4 P.b. także odwołuje się do tajemnicy bankowej, zaś BIK nie wykazał, by zaistniało konkretne zobowiązanie wynikające z umowy zawartej przez uczestniczkę postępowania z bankiem lub inną instytucją ustawowo upoważnioną do udzielania kredytów.
Trafnie PUODO zauważa w odpowiedzi na skargę, iż art. 6 ust. 1 lit. f RODO nie jest ukierunkowany na ochronę interesów sektora bankowego czy gospodarczego, ale przede wszystkim chroni przed nieuprawnionym przetwarzaniem danych osobę, której proces ten dotyczy. Podnieść należy, że norma zawarta w art. 105a P.b. ma charakter semiimperatywny wobec norm RODO. Jeżeli zakresy normowania i obowiązywania RODO i art. 105a P.b. pokrywają się, to art. 105a P.b. znajduje zastosowanie tylko wtedy, gdy jest korzystniejszy dla osoby fizycznej niż RODO. Ponadto art. 105a P.b. znajduje zastosowanie także w kwestiach nieuregulowanych w RODO; jednak w takim wypadku warunkiem zastosowania art. 105a P.b. jest zachowanie spójności aksjologicznej i prakseologicznej z RODO (vide L. Kociucki [w:] B. Bajor, J. M. Kondek, K. Królikowska, L. Kociucki, Prawo bankowe. Komentarz do przepisów cywilnoprawnych, Warszawa 2020, art. 105a).
Zdaniem Sądu, organ właściwie ocenił, iż skarżący skoncentrował się na interesach gospodarczych podmiotów przetwarzających dane osobowe, nie dostrzegając, że z punktu widzenia ochrony danych osobowych dane te mogą być wprawdzie przetwarzane do celów wynikających z prawnie uzasadnionych interesów, realizowanych przez administratora lub przez stronę trzecią, ale wyłącznie wówczas, gdy są nadrzędne nad interesami i prawami osoby, której dane dotyczą. Tymczasem taka sytuacja w niniejszej sprawie nie zachodziła, ponieważ ważąc interesy oraz podstawowe prawa i wolności uczestniczki postępowania (w tym prawo do prywatności) z interesem administratora, polegającym na przechowywaniu w swoich zasobach danych w zakresie informacji o ogłoszeniu upadłości konsumenckiej na wypadek ich ewentualnej przydatności w przyszłości do oceny zdolności kredytowej i analizy ryzyka kredytowego uczestniczki postępowania, trzeba przyznać walor nadrzędny interesom oraz podstawowym prawom i wolnościom uczestniczki postępowania.
Sąd nie podzielił też zarzutów skargi co do naruszenia art. 7, art. 77 § 1 i art. 80 k.p.a. w związku z art. 7 ust. 1 u.o.d.o., bowiem PUODO zebrał wystarczający do podjęcia rozstrzygnięcia materiał dowodowy oraz dokonał jego właściwej oceny, rozważając wszystkie istotne dla sprawy okoliczności, w tym argumenty podnoszone przez BIK, zaś zaskarżoną decyzję uzasadnił zgodnie z wymogami art. 107 § 3 k.p.a.
Z tych przyczyn Wojewódzki Sąd Administracyjny w Warszawie, w oparciu o art. 151 p.p.s.a., orzekł jak w sentencji wyroku.