II SA/Wa 1875/22

II SA/Wa 1875/22 - Wyrok WSA w Warszawie
Data orzeczenia
2023-09-04
orzeczenie prawomocne
Data wpływu
2022-10-21
Sąd
Wojewódzki Sąd Administracyjny w Warszawie
Sędziowie
Danuta Kania /przewodniczący sprawozdawca/
Symbol z opisem
647  Sprawy związane z ochroną danych osobowych
Hasła tematyczne
Ochrona danych osobowych
Skarżony organ
Generalny Inspektor Ochrony Danych Osobowych
Treść wyniku
Uchylono zaskarżoną decyzję
Powołane przepisy
Dz.U. 2021 poz 735
art. 107 par. 3 art. 7 art. 77
Ustawa z dnia 14 czerwca 1960 r. Kodeks postępowania administracyjnego - tekst jedn.
Dz.U. 2019 poz 1781
art. 6 ust. 3
Ustawa z dnia 10 maja 2018 r. o ochronie danych osobowych (t. j.)
Sentencja
Wojewódzki Sąd Administracyjny w Warszawie w składzie następującym: Przewodniczący Sędzia WSA Ewa Marcinkowska, Sędzia WSA Sławomir Antoniuk, Sędzia WSA Danuta Kania (spr.), Protokolant starszy sekretarz sądowy Marcin Rusinowicz-Borkowski po rozpoznaniu na rozprawie w dniu 22 sierpnia 2023 r. sprawy ze skarg [....] S.A. z siedzibą w W. i [...] S.A. z siedzibą w W. na decyzję Prezesa Urzędu Ochrony Danych Osobowych z dnia [...] sierpnia 2022 r. nr [...] w przedmiocie przetwarzania danych osobowych 1. uchyla zaskarżoną decyzję; 2. zasądza od Prezesa Urzędu Ochrony Danych Osobowych na rzecz strony skarżącej [...] S.A. z siedzibą w W. kwotę 697 (słownie sześćset dziewięćdziesiąt siedem) złotych, tytułem zwrotu kosztów postępowania; 3. zasądza od Prezesa Urzędu Ochrony Danych Osobowych na rzecz strony skarżącej [...] S.A. z siedzibą w W. kwotę 697 (słownie sześćset dziewięćdziesiąt siedem) złotych, tytułem zwrotu kosztów postępowania
Uzasadnienie
Prezes Urzędu Ochrony Danych Osobowych decyzją z dnia [...] sierpnia 2022 r. nr [...] działając na podstawie art. 104 § 1 ustawy z dnia 14 czerwca 1960 r. Kodeks postępowania administracyjnego (Dz. U. z 2021 r., poz. 735.), dalej: "k.p.a.", w związku z art. 7 ust. 1 ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych (Dz. U. z 2019 r., poz. 1781), dalej: "u.o.d.o." oraz art. 6 ust. 1 i art. 58 ust. 2 lit. c rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (Dz. Urz. UE L 119 z dnia 4 maja 2016 r., s. 1, Dz. Urz. UE L 127 z dnia 23 maja 2018 r., s. 2 oraz Dz. Urz. UE L 74 z dnia 4 marca 2021 r., s. 35), dalej: "RODO":
1) nakazał [...] S.A. z siedzibą w [...] (dalej: "[...]") usunięcie danych osobowych M. K. (dalej: "uczestnik postępowania") w zakresie zawartym w zapytaniu kredytowym z dnia [...] maja 2019 r., przekazanych przez [...] S.A. z siedzibą w [...] (dalej: "Bank"),
2) nakazał [...] S.A. z siedzibą w [...] usunięcie danych osobowych M. K. przetwarzanych w związku z zapytaniem kredytowym z dnia [...] maja 2019 r.
W uzasadnieniu powyższej decyzji organ wskazał, że w dniu [...] lutego 2020 r. do Prezesa UODO wpłynęła skarga M. K. na nieprawidłowości w procesie przetwarzania jego danych osobowych przez Bank, polegające na odmowie usunięcia jego danych osobowych pozyskanych w związku z zapytaniem kredytowym z dnia [...] maja 2019 r., a udostępnionych na rzecz [...]. W treści skargi uczestnik postępowania wskazał, że pomiędzy nim a Bankiem nie doszło do zawarcia umowy, a Bank pomimo jego żądań odmówił usunięcia jego danych osobowych przetwarzanych w związku z ww. zapytaniem kredytowym.
W odpowiedzi na wezwanie organu Bank wyjaśnił, że w dniu [...] maja 2019 r. pozyskał dane osobowe uczestnika postępowania, w celu zawarcia umowy kredytowej na podstawie art. 6 ust. 1 lit. b RODO, w zakresie danych identyfikacyjnych, tj. imienia, nazwiska, nr PESEL, nr serii i daty ważności dokumentu tożsamości, daty, miejsca i kraju urodzenia, obywatelstwa, imion rodziców, nazwiska panieńskiego matki; danych kontaktowych: numeru telefonu, adresu e-mail, adresu zamieszkania, adresu do korespondencji; danych dotyczących zatrudnienia: typu dochodu, wysokości dochodu, danych socjodemograficznych, tj. stanu cywilnego, ilości osób na utrzymaniu, wysokości stałych opłat, danych dotyczących zobowiązania, w szczególności źródła zobowiązania, kwoty i waluty, numeru i stanu rachunku, daty powstania zobowiązania, warunków spłaty zobowiązania.
Aktualnie Bank przetwarza dane osobowe uczestnika postępowania w celu realizacji obowiązków Banku związanych z identyfikacją i weryfikacją tożsamości klientów Banku w celach: przeciwdziałania praniu pieniędzy i finansowaniu terroryzmu oraz zapobieganiu przestępstwom - na podstawie art. 6 ust. 1 lit. c RODO zgodnie z wymogami ustawy z dnia 1 marca 2018 r. o przeciwdziałaniu praniu pieniędzy oraz finansowaniu terroryzmu (Dz.U. 2018 poz. 723 ze zm.), dalej: "ustawa AML", tj. zgodnie z obowiązkiem identyfikacji klienta wskazanym w art. 36 w związku z art. 49 ustawy AML; analizy tzw. portfelowego ryzyka kredytowego na podstawie art. 6 ust. 1 lit. c RODO zgodnie z art. 105 ust. 4 oraz 105a ust. 1 - 1 c ustawy z dnia 29 sierpnia 1997 r. Prawo Bankowe (Dz. U. z 2017 r. poz. 1876); archiwalnych i dowodowych, w szczególności w celu ustalenia, dochodzenia i obrony roszczeń zgodnie z terminami przedawnienia roszczeń określonymi w art. 118 ustawy z dnia 23 kwietnia 1964 r. Kodeks cywilny (Dz. U. z 2020 r., poz. 1740) w związku z wejściem w życie w dniu 9 lipca 2018 r. nowelizacji, tj. ustawy z dnia 13 kwietnia 2018 r. o zmianie ustawy Kodeks cywilny oraz niektórych innych ustaw (art. 5) oraz w związku z realizacją reklamacji na podstawie art. 6 ust. 1 lit. f RODO.
Bank oświadczył, że przetwarza dane osobowe uczestnika postępowania pozyskane w związku z zapytaniem z dnia [...] maja 2019 r. na podstawie art. 105a ust. 1- 1c ustawy Prawo bankowe, a także na podstawie art. 171 ust. 2 oraz art. 179 ust. 1a oraz 144 ust. 1 lit. d rozporządzenia Parlamentu Europejskiego i Rady nr 575/2013 z dnia 26 czerwca 2013 r. w sprawie wymogów ostrożnościowych dla instytucji kredytowych i firm inwestycyjnych, zmieniające rozporządzenie (UE) nr 648/2012 (Dz. Urz. UE L 2013 Nr 176, s. 1), dalej: "CRR", co uprawnia Bank do przetwarzania danych osobowych uczestnika postępowania pozyskanych w związku ze złożonym zapytaniem kredytowym przez okres 3 lat od złożenia wniosku kredytowego, oraz art. 70a ustawy Prawo bankowe.
[...] wyjaśnił, że dane dotyczące zapytania kredytowego z dnia [...] maja 2019 r. zostały przekazane do [...] przez Bank na podstawie art. 105 ust. 4 i art. 105a ust. 1 ustawy Prawo bankowe oraz na podstawie łączącej Bank i [...] umowy. Zakres danych osobowych uczestnika postępowania przetwarzanych w związku ze złożonymi przez Bank do [...] zapytaniami kredytowymi obejmuje: imię i nazwisko, nr PESEL, numer i serię dokumentu tożsamości, datę urodzenia, płeć, obywatelstwo, dane adresowe oraz dane z wniosku kredytowego, dotyczące wnioskowanego kredytu.
[...] wskazał, że nie przetwarza danych o zapytaniu kredytowym z dnia [...] maja 2019 r. w celu oceny zdolności kredytowej i analizy ryzyka kredytowego ze względu na upływ 12 miesięcy od złożenia zapytania kredytowego. Zapytanie jest przetwarzane w celu budowy modeli scoringowych, a więc narzędzi wykorzystywanych przez banki do oceny zdolności kredytowej i analizy ryzyka kredytowego przez okres 5 lat od dnia złożenia zapytania. W celach statystycznych, stosowania metod wewnętrznych oraz innych metod i modeli, podstawą przetwarzania jest prawnie uzasadniony interes administratora danych (art. 6 ust. 1 lit. f RODO) wynikający z przepisów ustawy Prawo bankowe (w tym art. 105 ust. 1 i art. 105a ust. 4). [...] wskazał, że przetwarza dane z zapytania kredytowego w celach przeciwdziałania przestępstwom oraz wykonywania obowiązków w zakresie określonym w przepisach o przeciwdziałaniu praniu pieniędzy oraz finansowaniu terroryzmu - na podstawie art. 106d ustawy Prawo bankowe oraz art. 33 ust. 2 ustawy AML. Ponadto dane te przetwarza w celu rozpatrywania ewentualnych reklamacji lub roszczeń odszkodowawczych klientów, których termin przedawnienia zgodnie z art. 118 Kodeksu cywilnego wynosi 6 lat (cele dowodowe).
Uwzględniając powyższe Prezes UODO wskazał, iż przepisem uprawniającym administratorów danych do przetwarzania zwykłych danych osób fizycznych jest art. 6 ust. 1 RODO, przy czym katalog przesłanek wymienionych w tym przepisie jest zamknięty, a każda z przesłanek legalizujących proces przetwarzania danych osobowych ma charakter autonomiczny i niezależny.
Organ zaznaczył, że proces przetwarzania danych osobowych musi być zgodny z zasadami ustanowionymi w art. 5 ust. 1 RODO, do których zalicza się m.in. ograniczenie celu oraz minimalizację danych (art. 5 ust. 1 lit. b i c RODO). Zasady te wymagają, by dane osobowe były zbierane w konkretnych, wyraźnych i prawnie uzasadnionych celach i nieprzetwarzane dalej w sposób niezgodny z tymi celami, a proces przetwarzania danych osobowych był adekwatny oraz ograniczony do tego, co niezbędne do celów, w których są przetwarzane.
Organ wskazał, że co do zasady podstawą prawną przetwarzania danych osobowych klientów przez Bank i [...] jest obecnie art. 6 ust. 1 lit. f RODO, tj. przetwarzanie jest niezbędne do celów wynikających z prawnie uzasadnionych interesów realizowanych przez administratora.
Organ powołał również art. 105 ust. 4 pkt 2 - 4 ustawy Prawo bankowe podnosząc, że w oparciu o ww. przepis utworzone zostało [...] S.A. Wskazał również na treść art. 105a ust. 1, ust. 4 i 5 oraz art. 70 ust. 1 Prawa bankowego.
Następnie podniósł, że uczestnik postępowania w dniu [...] maja 2019 r. wystąpił do Banku z wnioskiem o udzielenie kredytu. Wobec powyższego Bank oraz [...], na podstawie art. 105a ust. 1 w związku z art. 70 ust. 1 ustawy Prawo bankowe, były uprawnione do przetwarzania jego danych osobowych w celu oceny zdolności kredytowej. Do zawarcia umowy kredytu pomiędzy uczestnikiem postępowania a Bankiem nie doszło, zatem odpadła przesłanka legalizująca dalsze przetwarzanie danych osobowych przez Bank oraz [...]. Przesłanki zawarte w art. 105a ustawy Prawo bankowe dotyczą bowiem przetwarzania informacji objętych tajemnicą bankową w okresie przed powstaniem zobowiązania, w trakcie jego trwania oraz po wygaśnięciu zobowiązania. Pomiędzy Bankiem a uczestnikiem postępowania nie zawiązał się żaden stosunek zobowiązaniowy, który stosownie do art. 105a ust. 1-6 ustawy Prawo bankowe dawałby podstawę do dalszego przetwarzania danych osobowych uczestnika postępowania.
Organ podkreślił, że celem przetwarzania danych osobowych uczestnika postępowania była ocena zdolności kredytowej i analizy ryzyka kredytowego. W związku z dokonaniem przez Bank oceny zdolności kredytowej i analizy ryzyka kredytowego powyższy cel przetwarzania danych osobowych został zrealizowany i brak jest podstaw prawnych do kontynuowania tego procesu.
W ocenie organu, za podstawę przetwarzania danych osobowych uczestnika postępowania nie mogą być również uznane wskazane przez [...] cele statystyczne i analizy, w tym cel stosowania metod wewnętrznych oraz innych metod i modeli, o których mowa w części trzeciej CRR. Powołany przez [...] art. 105a ust. 4 ustawy Prawo bankowe daje podstawy do przetwarzania informacji dotyczących osoby fizycznej stanowiących tajemnicę bankową po wygaśnięciu zobowiązania wynikającego z umowy zawartej z bankiem lub inną instytucją ustawowo upoważnioną do udzielania kredytów bez zgody osoby, której te informacje dotyczą. W przedmiotowej sprawie nie doszło natomiast do zawarcia umowy kredytu pomiędzy uczestnikiem postępowania a Bankiem, a zatem nie powstał żaden stosunek zobowiązaniowy, o którym mowa w ww. przepisie.
Organ wskazał również, że zebrany w sprawie materiał dowodowy nie wykazał aby [...] mógł przetwarzać dane osobowe uczestnika postępowania dotyczące zapytania kredytowego z dnia [...] maja 2019 r. na podstawie art. 106d ustawy Prawo bankowe w celach przeciwdziałania przestępstwom oraz wykonywania obowiązków w zakresie określonym w przepisach o przeciwdziałaniu praniu pieniędzy i finansowaniu terroryzmu, albowiem w toku prowadzonego postępowania nie wykazał, aby zaistniała którakolwiek z przesłanek określonych w ww. przepisie. W szczególności nie wykazał, aby wystąpiły uzasadnione podejrzenia, o których mowa w art. 106d ust. 1 pkt 1-2 ww. ustawy, nie wykazał również nałożonego na niego obowiązku określonego w przepisach o przeciwdziałaniu praniu pieniędzy oraz finansowaniu terroryzmu, o którym mowa w art. 106d ust. 1 pkt 3 ww. ustawy. Przywołany art. 33 ust. 2 ustawy AML wskazuje natomiast, że instytucje obowiązane rozpoznają ryzyko prania pieniędzy oraz finansowania terroryzmu związane ze stosunkami gospodarczymi lub z transakcją okazjonalną oraz oceniają poziom rozpoznanego ryzyka. W przypadku zapytania kredytowego nie można mówić ani o stosunku gospodarczym ani transakcji okazjonalnej, które uzasadniałyby zastosowanie środków bezpieczeństwa finansowego oraz rodziłyby po stronie [...] obowiązek prawny wynikający ww. przepisu.
Dalej organ stwierdził, iż zebrany w postępowaniu materiał dowodowy nie wykazał, aby uczestnik postępowania wystąpił z jakimkolwiek roszczeniem wobec Banku czy [...], które uzasadniałoby uprawnienie tych podmiotów do zachowania i przetwarzania jego danych osobowych dla celów dowodowych w związku z dochodzeniem tego roszczenia. Bank i [...] nie wskazały także na istnienie roszczeń, których dochodzą od uczestnika postępowania. Organ zaznaczył, że przesłanka z art. 6 ust. 1 lit. f RODO dotyczy sytuacji już istniejącej, w której celem wynikającym z prawnie uzasadnionych interesów realizowanych przez administratora jest konieczność udowodnienia, potrzeba dochodzenia lub obrony przed roszczeniem istniejącym, nie zaś sytuacji, gdy dane są przetwarzane w celu zabezpieczenia się przed ewentualnym roszczeniem.
Organ powołał w tym względzie stanowisko Naczelnego Sądu Administracyjnego odnoszące się do analogicznej do art. 6 ust. 1 lit. f RODO przesłanki wynikającej z art. 23 ust. 1 pkt 5 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz.U. 2016 r. poz. 922 ze zm.), dotyczącej dopuszczalności przetwarzania danych osobowych dla wypełnienia prawnie usprawiedliwionych celów realizowanych przez administratorów danych albo odbiorców danych, gdy przetwarzanie nie narusza praw i wolności osoby, której dane dotyczą. Sąd ten w wyroku z dnia 6 marca 2019 r. sygn. akt I OSK 994/17 (publ. LEX nr 2670498) orzekł, iż: "(...) niedopuszczalne jest przetwarzanie danych osobowych niejako "na zapas" z założeniem, że mogą być one ewentualnie przydatne w przyszłości. Zauważyć należy, że w rozpoznawanej sprawie znaczenie ma, a no co wskazał organ i Sąd pierwszej instancji, że (...) co prawda w 2012 r. złożył wniosek kredytowy ale strony nie zawarły umowy, a zatem nie powstał między stronami stosunek zobowiązaniowy. Pomiędzy stronami nie toczy się także żadne postępowanie reklamacyjne. Zatem przetwarzania danych strony na wszelki wypadek nie można uznać za przetwarzanie niezbędne dla wypełnienia prawnie usprawiedliwionych celów. Zgodnie z art. 23 ust. 1 pkt 2 u.o.d.o. przetwarzanie danych osobowych jest dopuszczalne wtedy, gdy jest to niezbędne dla zrealizowania uprawnienia lub spełnienia obowiązku wynikającego z przepisu prawa. Przepis ten dopuszcza możliwość przetwarzania danych, uzależnia jednak legalność tego procesu od spełnienia dwóch istotnych wymogów, tj. istnienia odpowiedniego przepisu prawa, który przyznaje podmiotowi uprawnienie lub nakłada na niego obowiązek oraz niezbędności przetwarzania danych dla zrealizowania tego uprawnienia lub spełnienia obowiązku wynikającego z tego przepisu. Wymogi te powinny być spełnione łącznie.".
Organ podkreślił, że przy przyjęciu odmiennej interpretacji ww. przepisów, uczestnik postępowania zostałby pozbawiony ochrony na gruncie RODO oraz przepisów u.o.d.o. Przyjęcie bowiem za prawidłowe stanowiska, iż przetwarzanie danych osobowych w celu uchylenia się od negatywnych skutków w przypadku zgłoszenia w przyszłości ewentualnego i nieokreślonego roszczenia stanowi prawnie usprawiedliwiony cel w rozumieniu art. 6 ust. 1 lit. f RODO oznaczałoby, że dane osobowe uczestnika postępowania mogą być przetwarzane przez [...] permanentnie, bez konieczności ich usunięcia. Teoretycznie możliwym jest przecież by uczestnik postępowania zwrócił się do Banku lub [...] z roszczeniem po upływie terminu przedawnienia roszczenia. Prowadziłoby to tym samym do uznania, że przetwarzanie jego danych osobowych przez Bank i [...] ma uzasadnienie w przesłance określonej art. 6 ust. 1 lit. f RODO w celu realizacji prawa do obrony przed ewentualnym roszczeniem uczestnika postępowania również po upływie ww. terminu.
Uwzględniając powyższe organ wskazał, że brak jest uzasadnienia dla przyjęcia, iż terminy dotyczące przedawnienia roszczeń wynikających ze stosunków zobowiązaniowych określają jednocześnie ramy czasowe, w których dane osobowe mogą być przetwarzane przez Bank i [...]. Przedawnienie roszczenia nie wywołuje skutków na gruncie ochrony danych osobowych, nie wpływa bowiem na fakt istnienia roszczenia, a powoduje jedynie zmianę w sferze zarzutów procesowych w postaci możliwości podniesienia okoliczności przedawnienia w sporze sądowym. Okolicznością usprawiedliwiającą przetwarzanie danych osobowych w celu dochodzenia roszczeń jest sam fakt istnienia roszczenia oraz zamiar jego dochodzenia, nie jest nią natomiast zmiana w uprawnieniach procesowych podmiotu pozwanego.
W ocenie organu brak jest uzasadnienia dla przyjęcia, że [...] jest uprawniony do przetwarzania danych osobowych w związku z koniecznością ewentualnego wypełnienia obowiązku wynikającego z art. 15 RODO. Skoro bowiem uczestnik postępowania zażądał usunięcia jego danych osobowych na podstawie art. 17 ust. 1 RODO, należy przyjąć, że nie jest zainteresowany realizacją prawa do dostępu do przetwarzanych jego danych osobowych. Ponadto usunięcie przez administratora danych osobowych nie uniemożliwia mu wykonania obowiązku uregulowanego w art. 15 RODO, gwarantującego osobie, której dane dotyczą, prawa do uzyskania od administratora informacji, czy jej dane są przetwarzane, a w przypadku pozytywnej odpowiedzi na tak postawione pytanie - uprawnienie do dostępu do danych na swój temat oraz uzyskania informacji o okolicznościach przetwarzania danych. Jeśli bowiem administrator nie przetwarza danych dotyczących osoby, która zwraca się z żądaniem udzielenia informacji, to działanie administratora ogranicza się do odpowiedzi przeczącej i nie ma on obowiązku podawać podmiotowi danych innych informacji.
Podsumowując organ stwierdził, iż w niniejszej sprawie brak jest celu uzasadniającego dalsze przetwarzanie danych osobowych uczestnika postępowania zawartych w przedmiotowym zapytaniu kredytowym zarówno przez Bank, jak i przez [...]. Bank w związku z pozyskaniem danych osobowych uczestnika postępowania w celu oceny zdolności kredytowej stał się administratorem tych danych osobowych. Natomiast [...] stał się administratorem danych osobowych z uwagi na przekazanie tych danych przez Bank. W związku z powyższym Bank oraz [...] są odrębnymi administratorami. Każdy z tych podmiotów przetwarza dane osobowe uczestnika we własnych celach i samodzielnie ustala sposoby ich przetwarzania. W odniesieniu do kwestionowanego przez uczestnika postępowania przetwarzania jego danych osobowych przez Bank i [...] nie zaistniała żadna z wyrażonych w art. 6 ust. 1 RODO przesłanka, która stanowiłaby o legalności tego procesu.
Pismem z dnia 26 września 2022 r. Bank wniósł skargę na powyższą decyzję Prezesa UODO z dnia [...] sierpnia 2022 r., w części obejmującej punkt 2, zarzucając naruszenie:
- art. 7 w związku z art. 77 i art. 80 k.p.a. polegające na niewyczerpującym zebraniu i rozpatrzeniu całego materiału dowodowego i niepodjęciu wszelkich kroków niezbędnych do dokładnego wyjaśnienia stanu faktycznego i załatwienia sprawy, co skutkowało nakazem usunięcia danych osobowych uczestnika postępowania przez Bank oraz [...],
- art. 7b k.p.a. polegające na zaniechaniu zwrócenia się do Komisji Nadzoru Finansowego jako organu właściwego w sprawach dotyczących badania zdolności kredytowej i analizy ryzyka kredytowego, w tym w szczególności budowy modeli scoringowych i wykorzystywania w nich informacji o niezrealizowanych zapytaniach kredytowych - przy czym w niniejszej sprawie obowiązuje decyzja administracyjna wydana przez KNF wspólnie z nadzorem portugalskim na podstawie art. 129 dyrektywy 2006/48/WE Parlamentu Europejskiego i Rady z dnia 14 czerwca 2006 r. w sprawie podejmowania i prowadzenia działalności przez instytucje kredytowe (dalej: "dyrektywa 2006/48/WE"),
- art. 6 ust. 1 lit. c RODO w związku z art. 5 ust. 1, art. 6 i art. 9 ustawy z dnia 5 sierpnia 2015 r. o rozpatrywaniu reklamacji przez podmioty rynku finansowego i o Rzeczniku Finansowym (Dz. U. z 2019 r., poz. 2279) dalej: "ustawa o rozpatrywaniu reklamacji (...)", polegające na jego niewłaściwym zastosowaniu i przyjęciu, że na Banku jako podmiocie rynku finansowego nie spoczywają określone obowiązki w zakresie rozpatrywania i udzielania odpowiedzi bez ograniczeń czasowych na reklamacje klientów, co uprawnia skarżącego do przetwarzania danych osobowych na podstawie art. 6 ust. 1 lit. c RODO w celu realizacji tych obowiązków,
- art. 6 ust. 1 lit. c RODO w związku z art. 70a ust. 1 i 2 ustawy Prawo bankowe polegające na jego niewłaściwym zastosowaniu i przyjęciu, że na Banku jako podmiocie rynku finansowego nie spoczywa obowiązek wyjaśnienia dokonanej oceny zdolności kredytowej wnioskującego, podczas gdy Bank wykazuje cel przetwarzania danych osobowych polegający na obowiązku prawnym wyjaśnienia dokonanej przez siebie oceny zdolności kredytowej, co uprawnia Bank do przetwarzania danych osobowych na podstawie art. 6 ust. 1 lit. c RODO w celu realizacji tych obowiązków, niezależnie od tego czy doszło do zawarcia umowy kredytu;
- art. 6 ust. 1 lit. f RODO w związku z art. 117 § 2 i § 21, art. 118 i art. 119 ustawy Kodeks cywilny polegające na jego niewłaściwym zastosowaniu i przyjęciu, że przechowywanie danych przez okres przedawnienia roszczeń, również w przypadku, gdy ani administrator, ani osoba, której dane dotyczą, nie zgłosiła jeszcze roszczenia, nie stanowi prawnie uzasadnionego interesu skarżącego w rozumieniu art. 6 ust. 1 lit. f RODO, podczas gdy przepisy te uprawniają skarżącego do przetwarzania danych osobowych w celu ustalenia, dochodzenia i ochrony przed roszczeniami.
W związku z powyższymi zarzutami Bank wniósł o uchylenie zaskarżonej decyzji w całości oraz o zasądzenie zwrotu kosztów postępowania, w tym kosztów zastępstwa procesowego, według norm przepisanych.
W uzasadnieniu skargi Bank - odnosząc się zarzutów naruszenia przepisów postępowania - wskazał, że organ zaniechał dokonania ustaleń w zakresie wszystkich podstaw prawnych i celów przetwarzania danych osobowych, pomimo przekazania przez Bank wyczerpujących wyjaśnień na ten temat. W przypadku klientów zainteresowanych produktami kredytowymi Bank dysponuje bowiem szeregiem podstaw prawnych przetwarzania danych ww. klientów, w zdecydowanej większości opartych na powszechnie obowiązujących przepisach prawa odnoszących się do działalności bankowej.
W pismach z dnia: [...] czerwca, [...] września, [...] listopada 2020 r. oraz [...] stycznia 2021 r., Bank wskazywał organowi na obowiązującą metodę modelowania globalnego ryzyka kredytowego, która zakłada wykorzystanie informacji o negatywnych decyzjach kredytowych. Model ten jest objęty decyzją KNF, a jego zmiana jest możliwa jedynie po zatwierdzeniu jej przez KNF. Organ w uzasadnieniu decyzji odniósł się jedynie do przepisów Prawa bankowego, które jest zaledwie jednym z kilkuset aktów prawnych regulujących działalność bankową w Polsce. Mimo wielokrotnych obszernych wyjaśnień Banku, organ w żaden sposób nie odniósł się do wskazanych przesłanek budowania modeli scoringowych i obowiązków ciążących Banku w tym zakresie.
Zdaniem Banku, błędne jest stanowisko organu, że nie istniały podstawy we wskazanych przez Bank przepisach prawa do przetwarzania danych osobowych uczestnika postępowania. Przetwarzanie danych w związku ze stosowaniem przez Bank metody IRB, zatwierdzonej decyzją KNF i organu nadzoru finansowego z [...] nie jest bowiem uprawnieniem Banku, lecz jego obowiązkiem.
Dla badania portfelowego ryzyka kredytowego potrzebne jest korzystanie z zaawansowanych metod statystycznych. Pozwalają one na stałe monitorowanie ryzyka kredytowego dla Banku, czy nawet całej grupy kapitałowej w oparciu z jednej strony o dane na temat konkretnych zobowiązań, z drugiej o dane makroekonomiczne. Ogólne zasady tworzenia modeli służących tym celom określa m.in. CRR oraz rekomendacje KNF. Szereg przepisów CRR zakłada obowiązek badania zdolności i ryzyka kredytowego w oparciu o możliwe szeroki katalog informacji. Ponadto [...] i banki, dla prawidłowego wypełnienia swoich obowiązków, zobowiązane są uwzględniać wszystkie istotne i aktualne informacje, które umożliwiają prognozowanie ekspozycji w późniejszym okresie (art. 171 ust. 2 oraz art. 179 ust. 1a CRR oraz 144 ust. 1 lit. d CRR). Przy czym, co nie zostało zauważone przez organ, ocena zdolności i systemy stopingowe jej służące muszą wskazywać ryzyko indywidualne, dla konkretnego dłużnika (art. 170 ust. 3 lit. a, ust. 4 lit. a CRR), obok ryzyka portfelowego. Organ zdaje się nie zauważać, że na Banku ciąży obowiązek prawny analizy ryzyka kredytowego nie tylko indywidualnego, ale również tzw. ryzyka portfelowego.
Istotnym z perspektywy możliwości prawidłowej oceny dokonanej analizy i oceny prawidłowości modelu jest monitorowanie otoczenia Banku, w tym sytuacji makroekonomicznej czy ilości odrzuconych wniosków oraz sytuacji majątkowej osób, którym nie udzielono finansowania. Bank musi bowiem powtórzyć analizę ryzyka na podstawie zgromadzonej wiedzy na temat wszystkich osób, które wnioskowały o kredyt - zarówno tych, którym przyznano kredyt, jak i tych, którym odmówiono jego przyznania.
Osobnym obowiązkiem jest zachowanie spójności przyjętego modelu, co wynika z art. 145 ust. 1 i art. 147 ust. 5 lit. b CRR. Dane osobowe służą nie tylko do zasilenia modelu, ale też do pierwotnej budowy modelu i dalszego monitorowania jego prawidłowości po wdrożeniu. Niemożliwe jest zatem, przy prawidłowym wypełnianiu obowiązków z CRR, dowolne modyfikowanie stosowanych modeli scoringowych w trakcie ich stosowania, czy nagłe usuwanie danych. Dla możliwości monitorowania działania modelu, potrzebne jest porównywanie danych z różnych okresów. Nieuwzględnienie danych pochodzących z wniosków i zapytań kredytowych byłoby w tym kontekście niezrozumiałe i niecelowe.
Wydając zaskarżoną decyzję organ nie wyjaśnił zatem w ogóle sprawy, nie wyjaśnił nawet stanu faktycznego. Organ nie ustalił, pomimo wskazania tego przez Bank, że w niniejszej sprawie istotną jest decyzja, wydana przez KNF wspólnie z nadzorem [...] na podstawie art. 129 dyrektywy 2006/48/WE, dotycząca stosowania metody IRB. W czasie przed wydaniem decyzji organ nie zasięgnął informacji czy przetwarzanie danych na ww. podstawach ma dalej miejsce i czy odbywa się nadal dla innych celów. Organ nie odniósł się do głównych przesłanek przetwarzania wskazanych przez Bank w ww. pismach i nakazał [...]-owi i Bankowi usunięcie danych osobowych. Organ nie ustalił także poprawnie zakresu swojej decyzji. Organ posługuje się wielokrotnie liczbą mnogą w sytuacji, gdy decyzja została wydana względem jednego wniosku kredytowego, choć z pominięciem celów przetwarzania. Uczestnik postępowania złożył natomiast dwa wnioski kredytowe.
Dalej Bank wskazał, że w niniejszej sprawie wymagana jest znajomość obowiązków spoczywających na Banku i [...], wynikających zarówno z przepisów Prawa bankowego, CRR, jak i działań oraz oczekiwań organów nadzorczych, w tym w szczególności decyzji KNF oraz wydawanych przez ten organ Rekomendacji dla sektora bankowego. Wydając decyzję w przedmiotowej sprawie organ powinien był wziąć pod uwagę art. 180 ust. 2 lit. e i art. 145 ust. 1 CRR oraz rekomendacje S, W i T Komisji Nadzoru Finansowego.
Zdaniem Banku, zajęcie stanowiska przez KNF w przedmiotowej sprawie nie oznacza ograniczenia niezależności organu w zakresie ochrony danych osobowych, będzie jednak niezbędne do uprzedniego ustalenia obowiązków Banku i [...], do których w opisanym wyżej zakresie budowania i utrzymywania modelu organ się nie odniósł, pomijając w szczególności funkcjonujące w obrocie decyzje administracyjne. Dopiero ustalenie obowiązku Banku wynikającego m.in. z wydanych przez inne organy decyzji, może być podstawą do określenia jakie obowiązki (dalsze czy pochodne) spoczywają na obu instytucjach w związku z przetwarzaniem danych.
Odnosząc się do zarzutów naruszenia przepisów prawa materialnego Bank wskazał, że ustawa o rozpatrywaniu reklamacji (...) przewiduje prawo klienta do złożenia reklamacji wobec podmiotu rynku finansowego, w tym również Banku. Ustawa ta nie definiuje pojęcia "klient", ani żadnego okresu retencji danych. Reklamacja może dotyczyć udzielenia lub nieudzielenia kredytu. Bank nie ma możliwości poprawnego rozpatrzenia reklamacji (art. 5 ww. ustawy), o ile nie posiada jakichkolwiek danych klienta wnoszącego reklamację.
Bank wskazał również, powołując się na obowiązek udzielania wyjaśnień na temat dokonanej oceny zdolności kredytowej klienta wynikający z art. 70a ust. 1 ustawy Prawo bankowe, że przepisy nie określają okresu przechowywania danych. Niemniej jednak przyjęcie zbyt krótkiego okresu retencji powodowałoby brak możliwości skorzystania ze wspomnianego uprawnienia, bowiem w przypadku natychmiastowego usunięcia danych Bank nie miałby podstaw do ich analizy i wyjaśnienia wątpliwości klienta. Nie jest zatem wykluczone, że dane przetwarzane na potrzeby realizacji ww. obowiązku przetwarzane są nie krócej niż czas, przez który dane te są przetwarzane przez administratora na potrzeby realizacji innych celów przetwarzania.
Zdaniem Banku, tak długo jak Bank ma obowiązek przetwarzać dane dla celów realizacji obowiązków wynikających z ustawy o reklamacji (...), jak i art. 70a ust. 1 ustawy Prawo bankowe, tak długo może przetwarzać dane w związku z obroną przed ewentualnymi roszczeniami. Nie jest to przechowywanie danych "na zapas". Upływ okresu przedawnienia kończy stan niepewności dłużnika co do konieczności zabezpieczania środków (w tym dowodowych) na wypadek roszczenia drugiej strony. Po upływie tego okresu strona ma pewność, że druga strona będzie dochodzić od niej spełnienia świadczenia, takie uprawnienie straci bowiem w wyniku zgłoszenia zarzutu przedawnienia. Brak danych klienta uniemożliwiłby analizę zasadności roszczenia. Trudno bowiem uznać, że Bank miałby rozpatrywać zasadność roszczenia nie mając własnych danych o kliencie.
W odpowiedzi na skargę Prezes UODO wniósł o oddalenie skargi podtrzymując stanowisko jak w zaskarżonej decyzji. Przedstawił również dodatkową argumentację mającą przemawiać za bezzasadnością podniesionych zarzutów.
Pismem z dnia 26 września 2022 r. [...] wniósł do Wojewódzkiego Sądu Administracyjnego w Warszawie skargę na powyższą decyzję Prezesa UODO z dnia [...] sierpnia 2022 r. w części dotyczącej punktu 1, zarzucając naruszenie:
- art. 6 ust. 1 lit. c RODO w związku z art. 105 ust. 1 pkt. 1c w związku z art. 105 ust. 4 i w związku z art. 105a w związku z art. 70 i art. 5 ust. 1 pkt. 3 ustawy Prawo bankowe poprzez jego niewłaściwe zastosowanie i w konsekwencji nieuzasadnione przyjęcie, że skarżący nie posiada ww. podstawy prawnej do przetwarzania danych zawartych we wniosku kredytowym w przypadku nie zawarcia umowy kredytowej, podczas gdy [...] jest ustawowo zobowiązany do realizacji obowiązku prawnego wynikającego z ww. przepisów, polegającego na gromadzeniu, przetwarzaniu i udostępnianiu bankom oraz podmiotom szczegółowo wskazanym w przepisie informacji stanowiących tajemnicę bankową w zakresie, w jakim informacje te są potrzebne w związku z wykonywaniem czynności bankowych w postaci oceny zdolności kredytowej oraz analizy ryzyka kredytowego konkretnego klienta (indywidualna ocena zdolności kredytowej) oraz w związku ze stosowaniem metod wewnętrznych oraz innych metod i modeli, o których mowa w części trzeciej CRR;
- ewentualnie, na wypadek nieuwzględnienia ww. zarzutu - naruszenie art. 6 ust. 1 lit. f RODO poprzez jego niewłaściwą wykładnię i w konsekwencji niezastosowanie wskutek przyjęcia, że skarżący nie posiada podstawy prawnej przetwarzania danych uczestnika postępowania opartej na prawnie uzasadnionym interesie administratora oraz podmiotów trzecich wskazanych w art. 105 ust. 4 pkt. 1-5 ustawy Prawo bankowe, w postaci realizacji obowiązku gromadzenia, przetwarzania oraz udostępnienia bankom oraz podmiotom wskazanym w ww. przepisie informacji stanowiących tajemnicę bankową w zakresie, w jakim informacje te są potrzebne w związku z wykonywaniem czynności bankowych w postaci oceny zdolności kredytowej oraz analizy ryzyka kredytowego konkretnego klienta (indywidualna ocena zdolności kredytowej), w celu budowy i utrzymania modeli scoringowych, a więc narzędzi wykorzystywanych przez banki do oceny zdolności kredytowej i analizy ryzyka kredytowego oraz w związku ze stosowaniem metod wewnętrznych oraz innych metod i modeli, o których mowa w części trzeciej CRR,
- art. 6 ust. 1 lit. c RODO w związku z art. 70a w związku z art. 105 ust. 4 pkt 1 i 2 oraz w związku z art. 105a ustawy Prawo bankowe poprzez jego niezastosowanie wskutek uznania, że skarżący nie posiada podstawy prawnej do przetwarzania danych uczestnika postępowania w sytuacji nie zawarcia umowy kredytowej, podczas gdy skarżący posiada podstawę prawną przetwarzania z uwagi na niezbędność przetwarzania do wykonania obowiązku prawnego przez banki i [...], w postaci obowiązku przekazania osobie ubiegającej się o kredyt w formie pisemnej na jego wniosek wyjaśnień dotyczących dokonanej oceny zdolności kredytowej,
- art. 6 ust. 1 lit. e RODO poprzez jego niezastosowanie wskutek uznania, że skarżący nie posiada podstawy prawnej do przetwarzania danych uczestnika postępowania w sytuacji nie zawarcia umowy kredytowej, podczas gdy skarżący posiada podstawę prawną przetwarzania z uwagi na niezbędność przetwarzania dla realizacji zadania w interesie publicznym przez banki i [...] w postaci zabezpieczenia ekonomiczno-gospodarczego sektora bankowego, w tym depozytariuszy i zapewnienia stabilności ekonomiczno-gospodarczej sektora bankowego, a w ujęciu makro zapobieganiu kryzysom gospodarczym,
- art. 6 ust. 1 lit. f RODO poprzez jego niewłaściwe zastosowanie i w konsekwencji nieuzasadnione przyjęcie, że prawnie uzasadniony interes administratora danych nie może opierać się na przesłance ewentualnego zabezpieczenia roszczeń, podczas gdy istotą uzasadnionego interesu prawnego administratora jest możliwość przetwarzania danych przez okres przedawnienia roszczeń na wypadek konieczności obrony lub dochodzenia ewentualnych roszczeń, które mogą się pojawić w określonym czasie po przeprowadzeniu stosownej analizy zdolności kredytowej oraz analizie ryzyka kredytowego, które to skarżący zobowiązany jest gromadzić, przetwarzać i udostępniać bankom dla realizacji celów ustawowych badania zdolności kredytowej,
- art. 6 ust. 1 lit. f RODO poprzez błędne uznanie, że wskutek braku zawarcia umowy kredytowej [...] nie posiada prawnie uzasadnionego interesu w przetwarzaniu danych uczestnika postępowania, podczas gdy istnieje prawnie uzasadniony interes skarżącego w przetwarzaniu tych informacji pomimo nie zawarcia umowy kredytowej, polegający na realizacji działań z zakresu opracowania, utrzymania aktualności i funkcjonalności zbudowanych modeli scoringowych w zgodzie z treścią Rekomendacji W, S i T Komisji Nadzoru Finansowego w zakresie dobrych praktyk i zarządzania ryzykiem kredytowym,
- art. 6 ust. 1 lit. f RODO poprzez jego niezastosowanie wskutek uznania, że skarżący nie posiada podstawy prawnej do przetwarzania danych uczestnika postępowania, podczas gdy skarżący posiada podstawę prawną przetwarzania z uwagi na konieczność zapewnienia rozliczalności działań skarżącego jako administratora danych osobowych na zasadzie art. 5 ust. 2 RODO w postaci wykazania przestrzegania przepisów dotyczących jakości danych.
Zaskarżonej decyzji zarzucono również naruszenie:
- art. 7 w związku z art. 77 § 1 i w związku z art. 80 k.p.a. w związku z art. 7 u.o.d.o. poprzez niewyczerpujące zebranie, nierozpatrzenie i błędną ocenę całokształtu materiału dowodowego przejawiającego się w zaniechaniu dokonania wyczerpującej analizy charakteru, zakresu oraz celów gospodarczo-ekonomicznych dla jakich zostało powołane [...] S.A. oraz obowiązków prawnych i obowiązków wynikających z zawartych przez [...] umów z bankami, co skutkowało wadliwą i niepełną oceną stanu faktycznego sprawy oraz charakteru działania skarżącego, a co w konsekwencji skutkowało nieuzasadnionym wydaniem przez organ nakazu usunięcia danych osobowych uczestnika postępowania,
- art. 7b k.p.a. w związku z art. 7 k.p.a. w związku z art. 77 k.p.a. w związku z art. 7 u.o.d.o. poprzez niedokładne wyjaśnienie stanu faktycznego i prawnego koniecznego do podjęcia przez organ stosownych czynności, a w szczególności niezwrócenie się do Komisji Nadzoru Finansowego w celu kompleksowego wyjaśnienia stanu faktycznego sprawy oraz współdziałania w zakresie niezbędnym do dokładnego wyjaśnienia stanu prawnego, mając na względzie interes społeczny i słuszny interes obywateli w postaci ustalenia należytych zasad, celów i zakresu przetwarzania danych osobowych o niezrealizowanych zapytaniach kredytowych tak, by procesy przetwarzania danych czyniły zadość zarówno przepisom prawa o ochronie danych osobowych, jak i przepisom szeroko pojętego prawa bankowego, w szczególności dla zapewnienia ochrony wartości, których gwarancje ochrony wynikają z ww. przepisów zgodnie z zasadą proporcjonalności,
- art. 7, art. 77 § 1 i art. 80 k.p.a. poprzez zaniechanie dokonania oceny Rekomendacji S, W i T Komisji Nadzoru Finansowego jako organu właściwego do sprawowania nadzoru nad instytucjami krajowymi w rozumieniu przepisów UE (regulatora rynku finansowego), które to regulacje nakładają na banki, a w konsekwencji na [...], jako instytucję gromadzącą dane służące do oceny zdolności kredytowej oraz budującą modele scoringowe służące bankom, określone wymagania, które podlegają nadzorowi i egzekwowaniu przez Komisję Nadzoru Finansowego na podstawie bezwzględnie obowiązujących przepisów prawa, co w konsekwencji doprowadziło do zaniechania przez organ oceny podstaw prawnych i celów dla jakich [...] oraz banki są upoważnione do przetwarzania danych w zakresie zdolności kredytowej również w przypadku nie zawarcia umowy kredytowej dla zabezpieczenia interesów banków oraz stabilności rynku gospodarczo-finansowego,
- art. 7, art. 77 w związku z art. 80 k.p.a. poprzez zaniechanie wyczerpującego zebrania i rozpatrzenia materiału dowodowego, a w szczególności przejawiającego się brakiem analizy treści skargi złożonej do Prezesa UODO przez uczestnika postępowania pod kątem istnienia - po stronie banków, a w konsekwencji [...] jako instytucji gromadzącej dane służące do oceny zdolności kredytowej oraz budującej modele scoringowe służące bankom - oczywistego interesu prawnego przejawiającego się w odmowie udzielenia kredytu wynikającego z braku istnienia zdolności kredytowej po stronie uczestnika postępowania, co prowadzi do zabezpieczenia interesu banków przed nieodpowiedzialną polityką udzielania kredytów osobom, które nie mają szans na ich spłacenie oraz do zapewnienia stabilności gospodarczo-ekonomicznej sektora bankowego, a w ujęciu makro zapobieganiu kryzysom gospodarczym;
- art. 7, art. 77 w związku z art. 80 k.p.a. poprzez niezbadanie przez organ wszystkich podstaw prawnych dalszego przetwarzania danych o zapytaniach kredytowych, w sytuacji nieudzielenia kredytu, pomimo, iż przepisy prawa upoważniają skarżącego do przetwarzania tych danych, co w konsekwencji doprowadziło do błędnego nakazania skarżącemu usunięcia danych osobowych wobec błędnego przyjęcia przez organ braku istnienia podstawy prawnej do przetwarzania danych;
- art. 8 § 1 i 2 k.p.a. poprzez odstąpienie przez organ od utrwalonej praktyki rozstrzygania spraw w takim samym stanie faktycznym i prawnym, co z kolei narusza zasadę pogłębiania zaufania obywateli do władzy publicznej.
W związku z powyższymi zarzutami [...] wniósł o uchylenie zaskarżonej decyzji w części, tj. w zakresie nakazu zawartego w punkcie 1; zasądzenie kosztów postępowania, w tym kosztów zastępstwa procesowego, według norm przepisanych oraz wstrzymanie wykonania zaskarżonej decyzji w części, tj. w zakresie nakazu zawartego w punkcie 1.
W uzasadnieniu skargi, powołując się na art. 105 ust. 4 pkt 1 w związku z art. 105 ust. 1 ustawy Prawo bankowe, wskazano w szczególności, że [...] jest ex lege zobligowany do przetwarzania informacji stanowiących tajemnicę bankową, w tym danych osobowych m.in. w zakresie, w jakim przepisy wymagają od [...] stosowania metod wewnętrznych oraz innych metod i modeli, o których mowa w części trzeciej CRR lub współuczestniczenia w stosowaniu tych metod i modeli przez inne jednostki sektora bankowego, w zakresie w jakim informacje te są potrzebne w związku z wykonywaniem czynności bankowych. Powyższe cele przetwarzania danych wynikają bezpośrednio z celu powołania [...] i celów jego działalności, określonych w art. 105 ust. 4 ustawy Prawo bankowe.
Podniesiono, że dla dokonania oceny zdolności kredytowej stosuje się metody ratingu ryzyka, tzw. metody scoringowe. Modele te pozwalają na skuteczne zabezpieczenie sektora finansowego, w szczególności banków, a w ujęciu makroekonomicznym całej gospodarki przed udzielaniem kredytów osobom, które nie mają szans na ich spłatę, ergo stosowanie poprawnie działających modeli scoringowych przeciwdziała nieodpowiedzialnej polityce udzielania kredytów.
Stwierdzono, iż nie sposób zgodzić się ze stanowiskiem Prezesa UODO, że brak zawarcia umowy kredytowej wynikający z negatywnej oceny zdolności indywidualnego ryzyka kredytowego powoduje automatyczne odpadnięcie przesłanki legitymującej [...] do przetwarzania danych osobowych. Każda informacja, zarówno pozytywna jak i negatywna, jest istotna dla funkcjonalnego opisania rzeczywistości i realiów gospodarczych, w których funkcjonuje sektor bankowy.
Wskazano też, powołując się na powołał się na art. 6 ust. 1 lit. e RODO oraz art. 2 ustawy z dnia 21 lipca 2006 r. o nadzorze nad rynkiem finansowym (Dz. U. z 2022 r., poz. 660), dalej: "ustawa o nadzorze (...)", na konieczność zapewnienia stabilności ekonomiczno-gospodarczej poprzez skuteczne zabezpieczenie sektora finansowego, w szczególności banków i sektora bankowego, a w ujęciu makroekonomicznym całej gospodarki, przed skutkami nieodpowiedzialnej polityki udzielania kredytów osobom, które nie mają szans na ich spłatę.
Podniesiono m.in., że wypełnienie nakazu w postaci usunięcia danych osobowych uczestnika postępowania w zakresie zapytania kredytowego z dnia [...] maja 2019 r. przekazanego [...] przez Bank prowadziłoby do uniemożliwienia [...] realizacji Rekomendacji W, S i T KNF, co w konsekwencji, jak podano, może prowadzić do wykluczenia [...] z rynku finansowego. Wskazano, że na żadnym etapie postępowania organ nie podjął się analizy wpływu rekomendacji W, S i T KNF oraz ich wpływu na instytucje sektora bankowego, w tym Banku, co skutkuje wydaniem zaskarżonej decyzji z rażącym naruszeniem art. 7, art. 77 § 1 i art. 80 k.p.a.
Podniesiono, że [...] jest zobligowany do przetwarzania danych osobowych uczestnika postępowania w celu umożliwienia uzyskania wyjaśnień w zakresie czynników, w tym danych osobowych wnioskującego, które miały wpływ na dokonaną ocenę zdolności kredytowej, na podstawie art. 6 ust. 1 lit. c RODO w związku z art. 70a w związku z art. 105 ust. 4 pkt. 1 i 2 oraz w związku z art. 105a w zw. z art. 105 ust. 4 pkt. 1 i 2 ustawy Prawo bankowe. Wskazano przy tym, że na dzień opracowania niniejszej skargi okres 12 miesięcy liczony od dnia złożenia zapytania upłynął, w związku z czym dane uczestnika postępowania nie są już przetwarzane przez [...] w ww. celu.
Wskazano, że Prezes UODO argumentuje brak możliwości zastosowania art. 6 ust. 1 lit. f RODO jako podstawy prawnej przetwarzania danych osobowych uczestnika postępowania przez [...] powołując się na wyrok NSA, który opiera się na art. 23 ust. 1 pkt. 5 nieobowiązującej już ustawy o ochronie danych osobowych z 1997 r. W poprzednim stanie prawnym, przesłanka, o której mowa, określała "prawnie usprawiedliwione cele". Uszczegółowienie tych celów miało miejsce w art. 23 ust. 4 ustawy, który wymieniał marketing bezpośredni własnych produktów lub usług administratora danych oraz dochodzenie roszczeń z tytułu prowadzonej działalności gospodarczej. Przesłanka dochodzenia roszczeń z tytułu prowadzonej działalności gospodarczej była więc dość restrykcyjnie i wąsko sformułowana, w przeciwieństwie do obecnego brzmienia art. 6 ust. 1 lit. f RODO. Powołując się na poglądy prezentowane w doktrynie wskazano m.in., że "Na gruncie art. 6 ust. 1 lit. f RODO należy stwierdzić, iż prawodawca unijny, wprowadzając kategorię "uzasadnionego interesu administratora", ustanowił szerszą przesłankę przetwarzania danych osobowych. Pojęcie "interesu" bowiem będzie kategorią szerszą niż pojęcie "celu". (M. Sakowska-Baryła (red.), Ogólne rozporządzenie o ochronie danych osobowych. Komentarz, Warszawa 2018). Organ - wydając skarżoną decyzję - nie uwzględnił kluczowej różnicy pomiędzy ww. przepisami, co doprowadziło do naruszenia prawa materialnego, a to poprzez błędną wykładnię przesłanki z art. 6 ust. 1 lit. f RODO.
Podniesiono, że nie sposób zgodzić się z interpretacją Prezesa UODO, iż przetwarzanie danych osobowych w celu ewentualnego zabezpieczenia roszczeń nie może opierać się na przesłance prawnie uzasadnionego interesu administratora danych. Taka interpretacja prowadziłaby do braku możliwości dalszego przetwarzania danych osobowych uczestnika postępowania w zakresie zapytania kredytowego z dnia [...] maja 2019 r., m.in. dla potrzeb niniejszego postępowania. Powołano się również na poglądy prezentowane w wyroku WSA w Warszawie z dnia 4 sierpnia 2022 r. sygn. akt II SA/Wa 542/22, w tym powołane w wymienionym wyroku poglądy doktryny. Zaznaczono, że chodzi o ewentualne roszczenia mogące mieć związek z dokonaną indywidualną oceną ryzyka kredytowego.
Końcowo podniesiono, że na [...], jako administratorze danych, spoczywa obowiązek wykazania, że podejmowane przez niego działania są zgodne z obowiązującymi przepisami, w tym przepisami RODO, co wynika z zasady rozliczalności zawartej w art. 5 ust. 2. Pozbawienie [...] możliwości przetwarzania danych osobowych uczestnika postępowania w zakresie zapytania kredytowego z dnia [...] maja 2019 r. prowadziłoby do uniemożliwienia wykazania przez [...], że jego działania były i są podejmowane z uwzględnieniem wszystkich obowiązków spoczywających na [...] - jako administratorze danych.
W odpowiedzi na powyższą skargę Prezes UODO wniósł o oddalenie skargi podtrzymując stanowisko jak w zaskarżonej decyzji. Organ odniósł się do zarzutów skargi wskazując na ich niezasadność.
W piśmie procesowym z dnia 4 kwietnia 2023 r. [...] zawarł replikę na odpowiedź Prezesa UODO na skargę z dnia 26 września 2022 r. oraz podtrzymał zarzuty i wnioski skargi.
Wskazał w szczególności, że organ nie wyjaśnił, dlaczego jego zdaniem wyczerpująco ustalił stan faktyczny oraz podjął wszelkie niezbędne czynności, ani nie wyjaśnił dlaczego doszło do nieprawidłowości w procesie przetwarzania danych osobowych biorąc pod uwagę cały stan faktyczny sprawy. Organ nie wyjaśnił w jaki sposób dokonał oceny roli [...] w kwestionowanym procesie przetwarzania danych.
Zdaniem [...] organ zupełnie nie zbadał konsekwencji realizacji nakazu usunięcia danych dla produktów [...] oferowanych bankom, ergo implikacji, jakie realizacja takiego nakazu, niesprecyzowanego co do zakresu i celu, będzie nieść właśnie dla sektora bankowego i dla stabilności gospodarczo-ekonomicznej. Organ całkowicie zaniechał w prowadzonym przez siebie postępowaniu analizy skutków wydanej przez siebie decyzji, podejmując rozważania wyłącznie z ukierunkowaniem na treść skargi podmiotu danych, jednocześnie zapominając, że "przetwarzanie danych osobowych należy zorganizować w taki sposób, aby służyło ludzkości. Prawo do ochrony danych nie jest prawem bezwzględnym; należy je postrzegać w kontekście jego funkcji społecznej i wyważyć względem innych praw podstawowych w myśl zasady proporcjonalności" (Motyw 4 rozporządzenia 2016/679).
Postanowieniem z dnia 21 grudnia 2022 r. II SA/Wa 1934/22 Wojewódzki Sąd Administracyjny w Warszawie wstrzymał wykonanie zaskarżonej decyzji w zakresie punktu 1.
Wojewódzki Sąd Administracyjny w Warszawie na rozprawie w dniu 22 sierpnia 2023r. postanowił połączyć sprawę ze skargi [...] S.A. z siedzibą w [...] (II SA/Wa 1875/22) oraz sprawę ze skargi [...] S.A. z siedzibą w [...] (II SA/Wa 1934/22) do łącznego rozpoznania i rozstrzygnięcia oraz prowadzenia pod sygn. akt II SA/Wa 1875/22.
Obecny na rozprawie pełnomocnik Banku doprecyzował, że przedmiotem zaskarżenia jest punkt 2 decyzji Prezesa UODO z dnia [...] sierpnia 2022 r. i wniosek o uchylenie decyzji dotyczy jej punktu 2.
Wojewódzki Sąd Administracyjny w Warszawie zważył, co następuje.
Zgodnie z art. 1 § 1 i § 2 ustawy z dnia 25 lipca 2002 r. - Prawo o ustroju sądów administracyjnych (Dz. U. z 2022 r., poz. 2492 ze zm.), dalej: "p.u.s.a." oraz art. 3 § 1 ustawy z dnia 30 sierpnia 2002 r. Prawo o postępowaniu przed sądami administracyjnymi (Dz. U. z 2023 r., poz. 1634 ze zm.), dalej: "p.p.s.a.", sądy administracyjne sprawują wymiar sprawiedliwości przez kontrolę działalności administracji publicznej. Kontrola ta polega na ocenie zgodności zaskarżonego aktu z przepisami postępowania administracyjnego, a także prawidłowości zastosowania i wykładni norm prawa materialnego.
W myśl zaś art. 134 § 1 p.p.s.a. sąd rozstrzyga w granicach danej sprawy nie będąc związany zarzutami i wnioskami skargi oraz powołaną podstawą prawną, z zastrzeżeniem art. 57a.
Skargi oceniane w świetle powyższych kryteriów zasługują na uwzględnienie, bowiem zaskarżona decyzja Prezesa UODO z dnia [...] sierpnia 2023 r. narusza przepisy postępowania administracyjnego, tj. art. 7, art. 77 § 1 i art. 80 k.p.a. oraz art. 107 § 3 k.p.a. w związku z art. 7 ust. 1 u.o.d.o., w stopniu mogącym mieć istotny wpływ na wynik sprawy (art. 145 § 1 pkt 1 lit. c p.p.s.a.).
Uwzględniając powyższe wskazać należy, że podstawowym obowiązkiem organu z punktu widzenia prowadzonego postępowania administracyjnego jest ustalenie stanu faktycznego sprawy, gdyż warunkuje prawidłowe ustalenie zakresu praw i obowiązków stron postępowania. W celu ustalenia stanu faktycznego i realizacji zasady prawdy obiektywnej organ obowiązany jest - zarówno na wniosek strony, jak i z urzędu - do podejmowania wszelkich czynności koniecznych do dokładnego wyjaśnienia stanu faktycznego sprawy, a w konsekwencji do jej załatwienia (art. 7 k.p.a.). Zgromadzenie materiału dowodowego w niezbędnym zakresie obliguje organ do jego wszechstronnej analizy i oceny (art. 77 § 1, art. 80 k.p.a.). Wyniki tejże oceny powinny znaleźć odzwierciedlenie w uzasadnieniu faktycznym podjętego rozstrzygnięcia. Motywując decyzję organ jest więc obowiązany przedstawić fakty, które uznał za udowodnione, dowody, na których się oparł, oraz przyczyny, z powodu których innym dowodom odmówił wiarygodności i mocy dowodowej. W uzasadnieniu prawnym winien zaś wyjaśnić podstawę prawną decyzji, z przytoczeniem przepisów prawa (art. 107 § 3 k.p.a.).
Rolą uzasadnienia decyzji jest objaśnienie toku rozumowania, który doprowadził organ administracji do zastosowania przepisu prawa w konkretnej sprawie. W sferze faktów (uzasadnienia faktycznego) chodzi o wyjaśnienie okoliczności wskazujących na potrzebę lub konieczność wydania decyzji w danej sprawie i wobec określonych podmiotów oraz wpływu tych okoliczności na treść rozstrzygnięcia. W sferze prawa (uzasadnienia prawnego) chodzi zaś o wskazanie obowiązującej normy i jej znaczenia ustalonego w drodze wykładni.
Uzasadnienie decyzji ma więc na celu poznanie motywów jakimi kierował się organ podejmując rozstrzygnięcie. Nie jest przy tym możliwe zastąpienie rozstrzygnięcia uzasadnieniem decyzji, ani też wywodzenie rozstrzygnięcia z uzasadnienia decyzji (por. wyrok NSA z dnia 6 grudnia 2021 r., sygn. akt I OSK 1086/20, publ. CBOSA). Nie jest też rolą Sądu "wyszukiwanie" w uzasadnieniu decyzji motywów podjętego przez organ rozstrzygnięcia. Z uzasadnienia decyzji powinien w sposób jednoznaczny wynikać rezultat stosowania prawa do konkretnego przypadku, w kontekście określonych okoliczności faktycznych i materiału dowodowego.
Organ narusza zatem art. 107 § 3 k.p.a. wtedy, gdy uzasadnienie decyzji nie zawiera wszystkich elementów wymienionych w tym przepisie albo gdy - mimo formalnej poprawności - treść uzasadnienia nie pozwala na skontrolowanie poprawności rozstrzygnięcia sprawy, a tym samym czyni - w stopniu istotnym - wątpliwym poprawność przeprowadzenia postępowania wyjaśniającego w sprawie (por. wyroki NSA: z dnia 6 października 2020 r. sygn. akt I 3235/18; z dnia 24 kwietnia 2018 r. sygn. akt I OSK 1351/16; publ. CBOSA).
Organ ma obowiązek rozstrzygnąć sprawę poprzez wydanie decyzji w oparciu o stan faktyczny i prawny istniejący w dacie wydania tej decyzji. Jak podkreśla się w piśmiennictwie: "organ administracji publicznej ocenia stan faktyczny sprawy według chwili wydania decyzji administracyjnej. Reguła ta odnosi się także do oceny stanu prawnego sprawy, co oznacza, że organ (...) wydaje decyzję administracyjną na podstawie przepisów prawa obowiązujących w chwili jej wydania (...). Rozstrzyganie w postępowaniu administracyjnym polega na zastosowaniu obowiązującego prawa do ustalonego stanu faktycznego sprawy administracyjnej. W ten sposób organ administracji publicznej realizuje cel postępowania administracyjnego, jakim jest urzeczywistnienie obowiązującej normy prawnej w zakresie stosunków administracyjno-prawnych, gdy stosunki te tego wymagają (Komentarz do ustawy z dnia 14 czerwca 1960 r. Kodeks postępowania administracyjnego M. Jaśkowska, A. Wrobel, Lex., el/2012). Powyższe stanowisko znajduje również odzwierciedlenie w poglądach orzecznictwa. Mianowicie, w wyroku z dnia 2 marca 2021 r. sygn. akt II OSK 2478/18 (publ. CBOSA) Naczelny Sąd Administracyjny stwierdził, iż dla oceny legalności decyzji miarodajny jest stan faktyczny istniejący na dzień wydania tej decyzji. Natomiast w wyroku z dnia 7 maja 2008 r. sygn. akt I OSK 761/07 (publ. j.w.) NSA wskazał: "badając (...) legalność przetwarzania danych osobowych, GIODO ma obowiązek ustalenia, czy na datę wydawania rozstrzygnięcia w sprawie dane konkretnego podmiotu są przetwarzane oraz czy czynione to jest w sposób zgodny z prawem". Powyższy pogląd zachowuje aktualność na gruncie obecnie obowiązujących przepisów RODO oraz u.o.d.o. z dnia 10 maja 2018 r.
W ocenie Sądu, w postępowaniu administracyjnym zakończonym wydaniem zaskarżonej decyzji Prezes UODO nie wywiązał się z powyższych obowiązków, a uchybienia procesowe jakich się dopuścił skutkowały uchyleniem zaskarżonej decyzji w całości.
Z akt sprawy wynika, że M. K., po raz pierwszy w dniu [...] listopada 2018 r., a następnie w dniu [...] maja 2019 r., wystąpił do Banku z wnioskiem o udzielenie kredytu. W związku z powyższym Bank pozyskał, na podstawie art. 70 ust. 1, art. 105 ust. 4 i art. 105a ust. 1 ustawy Prawo Bankowe, jego dane osobowe w zakresie danych identyfikacyjnych, tj. imienia, nazwiska, nr PESEL, nr serii i daty ważności dokumentu tożsamości, daty, miejsca i kraju urodzenia, obywatelstwa, imion rodziców, nazwiska panieńskiego matki; danych kontaktowych: numeru telefonu, adresu e-mail, adresu zamieszkania, adresu do korespondencji; danych dotyczących zatrudnienia: typu dochodu, wysokości dochodu, danych socjodemograficznych, tj. stanu cywilnego, ilości osób na utrzymaniu, wysokości stałych opłat, danych dotyczących zobowiązania, w szczególności źródła zobowiązania, kwoty i waluty, numeru i stanu rachunku, daty powstania zobowiązania, warunków spłaty zobowiązania. Bank pozyskał ww. dane osobowe bezpośrednio od uczestnika postępowania oraz z [...].
W dniu [...] maja 2019 r. Bank, na podstawie art. 105 ust. 4 i art. 105a ust. 1 ustawy Prawo bankowe oraz na podstawie umowy łączącej Bank i [...], przekazał do [...] dane osobowe uczestnika postępowania w związku ze złożeniem zapytania kredytowego w ww. dacie. Zakres danych osobowych uczestnika postępowania obejmował: imię i nazwisko, nr PESEL, numer i serię dokumentu tożsamości, datę urodzenia, płeć, obywatelstwo, dane adresowe oraz dane z wniosku kredytowego dotyczące wnioskowanego kredytu.
Jak wyjaśnił Bank oraz [...] (odpowiednio w pismach z dnia: [...] czerwca 2020r. oraz [...] czerwca 2020 r.), pierwotnym celem przetwarzania danych osobowych objętych wnioskiem kredytowym z dnia [...] maja 2019 r. była ocena zdolności kredytowej oraz analiza ryzyka kredytowego konkretnego klienta (ocena indywidualnej zdolności kredytowej i analiza indywidualnego ryzyka kredytowego). Podstawę prawną przetwarzania danych stanowił art. 6 ust. 1 lit. c RODO w związku z art. 105 ust. 4, art. 105a ust. 1, 1a i 1b oraz art. 70 ustawy Prawo bankowe. Z wyjaśnień Banku i [...]-u wynika, że w dacie złożenia tychże wyjaśnień ani Bank, ani [...] nie przetwarzały danych osobowych uczestnika postępowania w celu indywidualnej oceny zdolności kredytowej oraz analizy ryzyka kredytowego. [...] wskazał na upływ 12 miesięcy od złożenia ww. zapytania kredytowego, tj. upływ okresu przetwarzania danych w tym celu, zaś Bank nie wymienił ww. pierwotnego celu przetwarzania danych wśród aktualnych (na datę [...] czerwca 2020 r.) celów przetwarzania danych osobowych uczestnika postępowania.
Pomimo tego, w zaskarżonej decyzji Prezes UODO stwierdził, że "w związku z dokonaniem przez Bank oceny zdolności kredytowej i analizy ryzyka kredytowego ww. cel przetwarzania danych osobowych skarżącego został zrealizowany i brak jest podstaw prawnych do kontynowania tego procesu". Organ nie wyjaśnił przy tym z jakich powodów przyjął, że Bank oraz [...] nadal (w dacie wydania zaskarżonej decyzji) kontynuują proces przetwarzania danych osobowych uczestnika postępowania w ww. celach.
Organ stwierdził również, że "w niniejszej sprawie brak jest celu uzasadniającego dalsze przetwarzanie danych osobowych skarżącego zawartych w przedmiotowych zapytaniach kredytowych zarówno przez Bank, jak i przez [...]".
Odnosząc się do powyższej konkluzji zauważyć należy, że przedmiotem rozstrzygnięcia był nakaz usunięcia danych osobowych uczestnika postępowania w zakresie dotyczącym jednego tylko zapytania kredytowego, tj. z dnia [...] maja 2019 r. Na powyższą rozbieżność dotyczącą zakresu rozstrzygnięcia oraz uzasadnienia decyzji trafnie zwrócił uwagę Bank w uzasadnieniu skargi.
Ponadto, stwierdzając brak celu uzasadniającego dalsze przetwarzanie danych osobowych uczestnika postępowania, organ nie ustalił w sposób prawidłowy w jakich aktualnie (tj. na datę wydania zaskarżonej decyzji) celach Bank oraz [...] przetwarzają te dane osobowe oraz nie dokonał wyczerpującej oceny legalności przetwarzania danych osobowych dla tychże celów. Organ nie wziął pod uwagę wyjaśnień składanych wielokrotnie przez Bank oraz przez [...] w toku postępowania administracyjnego i w sposób wybiórczy ustosunkował się do twierdzeń tych podmiotów pomijając istotne aspekty sprawy.
Ma to o tyle istotne znaczenie, że w sytuacji, gdy organ nakazał usunięcie danych osobowych uczestnika postępowania zawartych w ww. zapytaniu kredytowym, przetwarzanych przez Bank i [...], to z uzasadnienia zaskarżonej decyzji powinno wynikać w sposób bezsporny, w jakim celu (w jakich celach) ww. podmioty aktualnie (na datę wydania decyzji) przetwarzają dane osobowe uczestnika postępowania oraz że cele, dla których dane osobowe są przetwarzane, nie znajdują oparcia w żadnej z przesłanek legalizujących przetwarzanie danych osobowych, wymienionych w art. 6 ust. 1 RODO. Uzasadnienie zaskarżonej decyzji nie zawiera wyczerpujących ustaleń faktycznych oraz przekonującej argumentacji prawnej w ww. zakresie.
Powyższe uchybienie organu zostało trafnie dostrzeżone przez Bank, który podnosząc zarzut naruszenia art. 7 i art. 77 § 1 k.p.a. wprost wskazał, że organ nie wyjaśnił stanu faktycznego sprawy, a nadto "w czasie przed wydaniem decyzji organ nie zasięgnął informacji, czy przetwarzanie danych na ww. podstawach (uwidocznionych na s. 4 skargi, k. 14 verte akt admin. - uwaga Sądu) ma dalej miejsce i czy odbywa się nadal dla innych celów".
Uwzględniając powyższe zauważyć należy, że skarga uczestnika postępowania na przetwarzanie danych osobowych przez Bank i [...], zawartych w zapytaniu kredytowym z dnia [...] maja 2019 r., wpłynęła do organu w dniu [...] lutego 2020 r. Od zgromadzenia przez Prezesa UODO materiału dowodowego, który został uznany za wystarczający do wydania decyzji, do wydania zaskarżonej decyzji upłynęło ponad dwanaście miesięcy. Od dołączenia do akt sprawy ostatniego pisma wyjaśniającego Banku do wydania decyzji upłynął rok i pięć miesięcy, natomiast od dołączenia do akt sprawy ostatniego pisma wyjaśniającego [...]-u do wydania decyzji - rok i cztery miesiące. Pisma to wpłynęły do organu odpowiednio w dniu [...] marca 2021r. oraz w dniu [...] kwietnia 2021 r. Organ skierował do stron postępowania zawiadomienie o zgromadzeniu materiału dowodowego w dniu [...] lipca 2021 r., natomiast zaskarżoną decyzję wydał w dniu [...] sierpnia 2022 r.
Upływ czasu oraz ewentualne zmiany stanu faktycznego nie zostały jednak uwzględnione przez organ przy ustalaniu celów, dla których Bank oraz [...] przetwarzają dane osobowe uczestnika postępowania. Tymczasem, już w świetle wyjaśnień Banku złożonych w pismach w dniach [...] czerwca 2020 r. oraz [...] marca 2021 r. wątpliwości budzi stwierdzenie organu, że Bank "aktualnie" przetwarza dane osobowe w celu realizacji obowiązków Banku związanych z identyfikacją i weryfikacją tożsamości klientów Banku w celu przeciwdziałania praniu pieniędzy i finansowaniu terroryzmu oraz zapobieganiu przestępstwom na podstawie art. 6 ust. 1 lit. c RODO zgodnie z wymogami ustawy AML. Jakkolwiek bowiem powyższy cel przetwarzania danych osobowych został wskazany przez Bank w piśmie z dnia [...] czerwca 2020 r., to jednak w piśmie z dnia [...] lutego 2021 r. Bank stwierdził, że "obecnie, w związku z nie zawarciem ostatecznie umowy ze skarżącym, Bank nie przetwarza danych na tej podstawie (tj. na podstawie art. 34 ust. 1 pkt 1 i art. 35 ust. 1 pkt 1 ustawy AML - uwaga Sądu) dla celu wypełnienia obowiązków aml-owych". Z uzasadnienia zaskarżonej decyzji nie wynika, aby organ uwzględnił powyższe wyjaśnienia Banku. Uznał bowiem, że w dacie wydania decyzji Bank nadal przetwarza dane osobowe uczestnika postępowania w celu wypełnienia obowiązków wynikających z ustawy AML, jednak nie wyjaśnił z jakich powodów przyjął takie stanowisko.
Analogicznie, wątpliwości budzi stanowisko organu, że Bank "aktualnie" przetwarza dane osobowe uczestnika postępowania w celu analizy tzw. portfelowego ryzyka kredytowego na podstawie art. 6 ust. 1 lit. c RODO w związku z art. 105 ust. 4 oraz art. 105a ust. 1 - 1c ustawy Prawo bankowe. W wyjaśnieniach z dnia [...] czerwca 2020 r. i [...] września 2020 r. Bank w istocie wskazał, że jednym z ciążących na nim obowiązków jest analiza portfelowego ryzyka kredytowego, stanowiącego element systemu zarządzania ryzykiem Banku. W tym celu Bank zobowiązany jest do przetwarzania danych osobowych uczestnika postępowania co najmniej 3 lata i jest to minimalny okres retencji danych (art. 145 ust. 1 CRR). Natomiast w wyjaśnieniach z dnia [...] listopada 2020 r. Bank stwierdził, że "nie planuje wydłużenia terminu ponad ww. wymieniony i planuje usunięcie danych uczestnika postępowania w najbliższym możliwym terminie, tj. po upływie 3 lat od złożenia wniosku kredytowego". Z uzasadnienia zaskarżonej decyzji nie wynika, aby organ uwzględnił ww. stanowisko Banku. Przed wydaniem decyzji nie ustalił w sposób niebudzący wątpliwości, czy Bank nadal przetwarza dane osobowe uczestnika postępowania w opisanym celu, czy też ze względu na upływ czasu, dane te faktycznie usunął.
W przypadku [...] organ wskazał m.in. w zaskarżonej decyzji, że podmiot ten przetwarza dane osobowe uczestnika postępowania z zapytania kredytowego z dnia [...] maja 2019 r. w celach przeciwdziałania przestępstwom oraz wykonywania obowiązków w zakresie określonym w przepisach o przeciwdziałaniu praniu pieniędzy oraz finansowaniu terroryzmu, na podstawie art. 106d ustawy Prawo bankowe w związku z art. 33 ust. 2 ustawy AML. Tymczasem w wyjaśnieniach skierowanych do organu w dniach [...] czerwca 2020 r. i [...] kwietnia 2021 r. [...] wskazał, że dla realizacji celów przetwarzania danych z art. 106d ustawy Prawo bankowe "dane osobowe pochodzące z wszystkich wniosków kredytowych należy przetwarzać przez okres 12 miesięcy". Z uzasadnienia zaskarżonej decyzji nie wynika, aby informacja ta była wzięta pod uwagę przez organ w kontekście obowiązku ustalenia stanu faktycznego sprawy na dzień wydania decyzji.
W świetle powyższego nie można zgodzić się z konstatacją organu zawartą w odpowiedzi na skargę, że wyjaśnienia Banku i [...]-u "zostały ocenione jako wartościowy materiał dowodowy i stanowiły podstawę ustaleń faktycznych poczynionych w niniejszej sprawie, co wynika z opisu ustalonego stanu faktycznego".
Niezależnie od powyższego, w ocenie Sądu, podzielić należy stanowisko skarżących Banku i [...]-u, że organ nie rozważył w sposób wyczerpujący wyjaśnień tych podmiotów wielokrotnie kierowanych do organu w toku postępowania administracyjnego, a dotyczących celów oraz podstaw prawnych przetwarzania danych uczestnika postępowania.
Jak podniesiono w skardze, a co wynika ze zgromadzonego materiału dowodowego, Bank w pismach z dnia: [...] czerwca 2020 r., [...] września 2020 r. i [...] listopada 2020 r. wskazywał organowi na obowiązek analizy i oceny portfelowego ryzyka kredytowego. Podkreślał, że dla realizacji tych obowiązków musi posiadać obiektywne cechy akceptacji (Rekomendacja T KNF). Zasady akceptacji uwzględniają cechy osoby wnioskującej o kredyt, m.in. osiągane dochody, stabilność zatrudnienia, wykształcenie, sytuację rodzinną. Zakres danych wykorzystywanych do zarządzania ryzykiem detalicznych ekspozycji kredytowych w dużej mierze pokrywa się z zakresem danych wykorzystywanych dla oceny zdolności kredytowej. W celu ustalenia zasad akceptacji Bank musi przeprowadzić analizę ryzyka na podstawie zgromadzonej wiedzy na temat wszystkich osób, które wnioskowały o kredyt - zarówno tych, którym przyznano kredyt, jak i tych, którym odmówiono jego przyznania. Zgodnie z postanowieniami Rekomendacji T KNF, Bank w swojej polityce zarządzania ryzykiem ekspozycji uwzględnia analizę odsetka wniosków zaakceptowanych, odrzuconych, przełamanych, z podziałem na segmenty klientów, powody odrzucenia, sposoby dystrybucji, cechy produktu. W świetle pkt 10.4 Rekomendacji T KNF informacja na temat częstego ubiegania się o kredyt osoby wnioskującej może wskazywać na zwiększone ryzyko udzielenia finansowania danemu klientowi i musi być wzięta pod uwagę w celu wypełnienia obowiązku Banku w oparciu o art. 105a ust. 1-1c ustawy Prawo bankowe oraz wykonania zaleceń Rekomendacji T KNF.
Bank podnosił również, że dla badania portfelowego ryzyka kredytowego potrzebne jest korzystanie z zaawansowanych metod statystycznych, które pozwalają na stałe monitorowanie ryzyka kredytowego dla Banku czy nawet całej grupy kapitałowej w oparciu o - z jednej strony dane na temat konkretnych zobowiązań, z drugiej - o dane makroekonomiczne. Ogóle zasady tworzenia modeli służących tym celom określa m.in. CRR oraz rekomendacje KNF. Szereg przepisów CRR zakłada obowiązek badania zdolności kredytowej i ryzyka kredytowego w oparciu o możliwie szeroki katalog informacji. Jednocześnie [...] i banki, dla prawidłowego wypełniania swoich obowiązków, zobowiązane są uwzględnić wszystkie istotne i aktualne informacje, które umożliwiają prognozowanie ekspozycji w późniejszym okresie (art. 171 ust. 2, art. 179 ust. 1a oraz art. 144 ust. 1 lit. d CRR). Ocena zdolności kredytowej i systemy jej służące muszą bowiem wskazywać ryzyko indywidualne, dla konkretnego dłużnika (art. 170 ust. 3 lit. a, ust. 4 lit. a CRR), obok ryzyka portfelowego.
Bank podkreślał, że jakość danych wykorzystywanych dla wypełnienia obowiązków wskazanych w przepisach CRR jest kwestią kluczową, co znajduje potwierdzenie w Wytycznych Europejskiego Urzędu Nadzoru Bankowego, dotyczących szacowania wartości PD (prawdopodobieństwo niewykonania zobowiązania), szacowania wartości LGD (straty z tytułu niewykonania zobowiązania) oraz postępowania z ekspozycjami cechującymi się niewykonaniem zobowiązania (pkt 17 Wytycznych). Nadto wskazywał, że istotnym z perspektywy możliwości prawidłowej oceny dokonanej analizy i oceny prawidłowości modelu jest monitorowanie otoczenia Banku, w tym sytuacji makroekonomicznej, czy ilości odrzuconych wniosków oraz sytuacji majątkowej osób, którym nie udzielono finansowania. Bank, samodzielnie lub z pomocą [...], musi bowiem powtórzyć analizę ryzyka na podstawie zgromadzonej wiedzy na temat wszystkich osób, które wnioskowały o kredyt - zarówno tych, którym przyznano kredyt, jak i tym, którym odmówiono jego przyznania, dla całego portfela zobowiązań.
Bank zwrócił również uwagę na obowiązek zachowania spójności przyjętego modelu. Obowiązek ten określony został w art. 145 ust. 1 CRR (w stosunku do instytucji stosującej metodę IRB, tj. metodę wewnętrznych ratingów), a następnie powtórzony w art. 147 ust. 5 lit. b CRR. Niemożliwe jest, przy prawidłowym wypełnianiu obowiązków z CRR, dowolne modyfikowanie stosowanych modeli scoringowych w trakcie ich stosowania, czy nagłe usuwanie danych. Dla prawidłowości monitorowania działania modelu potrzebne jest porównanie danych z różnych okresów.
W kwestii wyjaśnień składanych przez Bank w toku postępowania Sąd dostrzega również, że w aktach administracyjnych znajduje się pismo Banku z dnia [...] stycznia 2021 r., mające zawierać w formie załącznika ("[...] - uzupełnienie.docx.xml") dodatkowe wyjaśnienia w sprawie. Wyjaśnienia te nie zostały jednak załączone do akt administracyjnych. W związku z powoływaniem się przez Bank na ww. wyjaśnienia w skardze oraz na rozprawie w dniu 22 sierpnia 2023 r., Sąd wezwał pełnomocnika organu do złożenia do akt sprawy ww. załącznika do pisma Banku z dnia [...] stycznia 2021 r. W piśmie z dnia 23 sierpnia 2023 r. pełnomocnik organu poinformował, że "załącznik do pisma stanowi jedynie podpis elektroniczny bez treści i dlatego taka jest jego forma. W związku z powyższym zwrócono się do Banku pismem z dnia [...] lutego 2021 r. ponownie o uzupełnienie wyjaśnień. Oryginał pisma z dnia [...] lutego 2021 r. z podpisem znajduje się w aktach sprawy". Do ww. pisma z dnia 23 sierpnia 2023 r. załączono 8-stronicowe pismo, podpisane podpisem elektronicznym przez pełnomocnika Banku, zawierające nieczytelne znaki. Niezależnie jednak od tego, czy na ww. wyjaśnienia Banku składa się wyłącznie podpis elektroniczny bez treści, czy też odczytanie treści ww. wyjaśnień wymagało zastosowania odpowiedniego programu (formatu) komputerowego, stwierdzić należy, że z akt administracyjnych sprawy nie wynika, aby organ po wpłynięciu pisma z dnia [...] stycznia 2021 r. poinformował Bank o ww. sytuacji i uzyskał stosowne wyjaśnienia. Warto też zauważyć, że pismo Banku z dnia [...] stycznia 2021 r. miało stanowić odpowiedź za wezwanie organu z dnia [...] października 2020 r. o "uzupełnienie złożonych wyjaśnień poprzez wskazanie czy, a jeżeli tak, to jak długo Bank będzie przetwarzał dane osobowe Skarżącego dotyczące zapytania kredytowego z dnia [...] maja 2019 r.". Natomiast znajdujące się w aktach sprawy pismo Banku z dnia [...] lutego 2021 r. stanowi odpowiedź na wezwanie Banku z dnia [...] lutego 2021 r. o odmiennej treści, a mianowicie na wezwanie do uzupełnienia złożonych wyjaśnień "poprzez wskazanie przepisu prawa stanowiącego podstawę przetwarzania przez Bank danych osobowych Skarżącego w celu wykonywania obowiązków związanych w przeciwdziałaniem praniu pieniędzy i finansowaniu terroryzmu poprzez wskazanie konkretnych przesłanek zastosowania środków bezpieczeństwa finansowego zgodnie z art. 35 AML".
W świetle powyższego nie sposób przyjąć, że istotny dla rozstrzygnięcia sprawy materiał dowodowy został przez organ w sposób wyczerpujący zgromadzony oraz rzetelnie i wszechstronnie oceniony, z poszanowaniem zasad wynikających z art. 7, art. 8 i art. 9 k.p.a.
Odnośnie natomiast wyjaśnień [...] wskazać należy, że w pismach z dnia [...] czerwca 2020 r. oraz [...] września 2020 r. podmiot ten podnosił m.in., iż przepisy ustawy Prawo bankowe nie określają zamkniętego katalogu informacji czy danych, jakie mogą być przetwarzane dla oceny zdolności kredytowej i analizy ryzyka kredytowego. Ogólne zasady tworzenia modeli służących tym celom określa CRR oraz rekomendacje KNF. Szereg przepisów CRR zakłada obowiązek badania zdolności i ryzyka kredytowego w oparciu o możliwie szeroki katalog informacji. [...] i banki, dla prawidłowego wypełnienia swoich obowiązków, zobowiązane są uwzględniać wszystkie istotne i aktualne informacje, które umożliwiają prognozowanie ekspozycji w późniejszym okresie (art. 171 ust. 2 oraz art. 144 ust. 1 lit. d CRR).
[...] wskazywał również, że istotnym wymogiem w analizie ryzyka kredytowego z wykorzystaniem modeli scoringowych jest zachowanie spójności przyjętego modelu, który to obowiązek wynika z art. 145 ust. 1 oraz art. 147 ust. 5 lit. b CRR.
Podejmując rozstrzygnięcie organ nie ustosunkował się w ogóle do powyższej argumentacji Banku i [...]-u. Nie wyjaśnił z jakich względów uznał, że proces przetwarzania danych osobowych uczestnika postępowania z ww. zapytania kredytowego nie znajduje uzasadnienia w wymienionych przepisach CRR w związku z art. 6 ust. 1 lit. c RODO. Do argumentacji skarżących organ miał obowiązek się odnieść zwłaszcza wobec brzmienia art. 6 ust. 3 RODO, zgodnie z którym podstawa przetwarzania, o którym mowa w ust. 1 lit. c i e, musi być określona w prawie Unii lub w prawie państwa członkowskiego, któremu podlega administrator. Obowiązku tego organ jednak nie dopełnił.
Istotnego uchybienia art. 107 § 3 k.p.a. w powyższym zakresie nie może sanować późniejsza aktywność procesowa organu w odpowiedzi na skargę. Odpowiedź na skargę nie jest aktem skarżonym i rozstrzyganym w postępowaniu sądowym. Nie stanowi też uzupełnienia decyzji administracyjnej. Zgodnie z ugruntowanym poglądem orzecznictwa sądów administracyjnych w sytuacji, gdy wywody i okoliczności podniesione dopiero w odpowiedzi na skargę nie stanowiły przedmiotu postępowania poprzedzającego wydanie zaskarżonej decyzji i nie zostały zawarte w jej uzasadnieniu, to nie mogą być przedmiotem oceny Sądu (por. np. wyrok NSA z dnia 27 czerwca 2001 r., sygn. akt V SA 3659/00, publ. LEX nr 84485; wyrok NSA z dnia 24 maja 2019 r., sygn. akt II FSK 521/19, publ. CBOSA).
Sąd w składzie orzekającym pogląd ten w pełni podziela oraz stwierdza, że Prezes UODO nie mógł naprawić wadliwości zaskarżonej decyzji przez odpowiednie skonstruowanie odpowiedzi na skargę, gdyż to decyzja administracyjna stanowi akt, z którego strony skarżące powinny czerpać pełną, wszechstronną, zgodnie z prawem umotywowaną informację o swej sytuacji prawnej. Skoro w uzasadnieniu zaskarżonej decyzji brak jest wyjaśnienia oraz oceny wskazanych powyżej, istotnych okoliczności sprawy z punktu widzenia obowiązujących przepisów prawa materialnego, to należało uznać, że zarzuty skarg w zakresie naruszenia art. 7, art. 77 § 1 oraz art. 107 § 3 k.p.a. okazały się zasadne.
W tym miejscu zauważyć należy, iż wskazując na powyższe wadliwości zaskarżonej decyzji Sąd dostrzega pozostałą argumentację zawartą w jej uzasadnieniu, a dotyczącą braku podstaw prawnych dla przetwarzania danych osobowych uczestnika postępowania w innych celach wymienionych przez Bank oraz [...]. Argumentacja ta nie daje jednak podstaw do przyjęcia, że zaskarżona decyzja jest zgodna z prawem. Jak już bowiem wyżej wskazano, nie jest rzeczą Sądu wyszukiwanie w uzasadnieniu decyzji argumentów na poparcie podjętego rozstrzygnięcia w przypadku zaniechania rozpatrzenia przez organ okoliczności faktycznych mogących mieć istotny wpływ na wynik sprawy. Nie jest też rzeczą Sądu zastępowanie organu w ustalaniu istotnych okoliczności faktycznych sprawy oraz dokonywaniu ich oceny prawnej. Obowiązki te spoczywają bowiem na organie administracji, a kontroli Sądu podlega ich realizacja z punktu widzenia obowiązującego prawa.
Podsumowując Sąd stwierdza, że wskazane powyżej uchybienia procesowe jakich dopuścił się Prezes UODO skutkowały uchyleniem zaskarżonej decyzji na podstawie art. 145 § 1 pkt 1 lit. c p.p.s.a. Zgodnie z tym przepisem decyzja lub postanowienie podlega uchyleniu, gdy sąd stwierdzi inne naruszenie przepisów postępowania, jeżeli mogło ono mieć istotny wpływ na wynik sprawy. Przez możliwość istotnego wpływu na wynik sprawy należy rozumieć uprawdopodobnienie oddziaływania naruszeń prawa procesowego na treść rozstrzygnięcia. Sąd bowiem nigdy nie może mieć absolutnej pewności, jaki wpływ na wydanie rozstrzygnięcia o określonej treści miało naruszenie określonych przepisów proceduralnych, np. o postępowaniu dowodowym. W tej kategorii podstawy uchylenia mieści się brak należytej staranności wykazywany przez organ administracyjny w prowadzeniu sprawy, a wyrażający się w rozstrzyganiu bez pełnej znajomości jej stanu faktycznego oraz materiału dowodowego zebranego w danej sprawie. "Innym naruszeniem przepisów postępowania" jest między innymi nieuwzględnienie całokształtu materiału dowodowego znajdującego się w aktach sprawy (por. T. Woś [w:] T. Woś (red.), Postępowanie przed sadami administracyjnymi (2010), s. 272; wyrok NSA z dnia 11 stycznia 2006 r., sygn. akt II GSK 332/05, publ. LEX nr 193380; wyrok NSA z dnia 28 sierpnia 2014 r., sygn. akt I OSK 160/13,publ. LEX nr 1569474).
Rozpatrując sprawę ponownie Prezes UODO uwzględni powyższą ocenę prawną. Przeprowadzi uzupełniające postępowanie dowodowe dla wyjaśnienia przez Bank i [...] aktualnych celów i podstaw prawnych przetwarzania danych osobowych uczestnika postępowania z zapytania kredytowego z dnia [...] maja 2019 r. Stosownie do obowiązków wynikających z art. 7, art. 77 § 1 i 80 k.p.a. wszechstronnie i rzetelnie rozpatrzy zgromadzony materiał dowodowy, a podjęte rozstrzygnięcie uzasadni zgodnie z wymogami określonymi w art. 107 § 3 k.p.a. odnosząc się wszystkich okoliczności i argumentów, istotnych dla rozstrzygnięcia sprawy.
Organ rozważy również stanowisko przedstawione przez pełnomocnika Banku na rozprawie w dniu 22 sierpnia 2023 r., a dotyczące kontroli przeprowadzonej w Banku przez Prezesa UODO w dniach [...]-[...] czerwca 2022 r. Jak wskazał pełnomocnik Banku, w toku tejże kontroli nie stwierdzono żadnego naruszenia przepisów obowiązującego prawa w zakresie profilowania klientów i potencjalnych klientów, w tym przetwarzania danych osobowych osób, którym nie udzielono kredytu. Organ weźmie również pod uwagę, że w terminie publikacyjnym, jako załącznik do protokołu rozprawy, pełnomocnik Banku złożył do akt sprawy pismo procesowe z dnia 25 sierpnia 2023 r., w którym powołał się na s. 9 i s. 17 Protokołu ww. kontroli, gdzie wskazano podstawy prawne oraz okresy przetwarzania danych w związku z niezrealizowanymi wnioskami kredytowymi. Wskazał również na skierowane do Banku pismo Prezesa UODO z dnia [...] lutego 2023 r. o braku zidentyfikowanych naruszeń w czasie kontroli. Do ww. pisma procesowego pełnomocnik Banku załączył kopię Protokołu kontroli oraz pisma Prezesa UODO z dnia [...] lutego 2023 r.
Mając na względzie wszystko powyższe Wojewódzki Sąd Administracyjny w Warszawie, na podstawie art. 145 § 1 pkt 1 lit. c p.p.s.a., orzekł jak w punkcie 1 sentencji wyroku. O kosztach postępowania, obejmujących wpis od skargi (200 złotych) oraz koszty zastępstwa procesowego (480 złotych) wraz z opłatą skarbową od pełnomocnictwa (17 złotych), Sąd postanowił jak w punktach 2 i 3 sentencji wyroku.