II SA/Wa 1942/22

II SA/Wa 1942/22 - Wyrok WSA w Warszawie
Data orzeczenia
2023-04-25
orzeczenie nieprawomocne
Data wpływu
2022-11-02
Sąd
Wojewódzki Sąd Administracyjny w Warszawie
Sędziowie
Agnieszka Góra-Błaszczykowska
Iwona Maciejuk /przewodniczący sprawozdawca/
Tomasz Szmydt
Symbol z opisem
647  Sprawy związane z ochroną danych osobowych
Sygn. powiązane
III OSK 2636/23 - Postanowienie NSA z 2023-11-08
III OZ 40/23 - Postanowienie NSA z 2023-02-09
Skarżony organ
Generalny Inspektor Ochrony Danych Osobowych
Treść wyniku
Oddalono skargi
Sentencja
Wojewódzki Sąd Administracyjny w Warszawie w składzie następującym: Przewodniczący Sędzia WSA Iwona Maciejuk (spr.), Sędzia WSA Agnieszka Góra-Błaszczykowska, Sędzia WSA Tomasz Szmydt, Protokolant referent Beata Kowalska po rozpoznaniu na rozprawie w dniu 25 kwietnia 2023 r. sprawy ze skarg [...] Bank Polska S.A. z siedzibą w W. oraz B. S.A z siedzibą w W. na decyzję Prezesa Urzędu Ochrony Danych Osobowych z dnia [...] sierpnia 2022 r. nr [...] w przedmiocie przetwarzania danych osobowych oddala skargi.
Uzasadnienie
Prezes Urzędu Ochrony Danych Osobowych decyzją z dnia [...] sierpnia 2022 r.
nr [...], na podstawie art. 104 § 1 ustawy z dnia 14 czerwca
1960 r. Kodeks postępowania administracyjnego (t.j. Dz. U. z 2021 r. poz. 735), zwanej dalej k.p.a., w zw. z art. 7 ust. 1 i 2 ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych (t.j. Dz. U. z 2019 r., poz. 1781) oraz art. 6 ust. 1 oraz art. 58 ust. 2 lit. c rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (Dziennik Urzędowy Unii Europejskiej, L 74 z 4 marca 2021, str. 35) ), zwanego dalej RODO, po przeprowadzeniu postępowania administracyjnego w sprawie skargi D. G., zwanego dalej wnioskodawcą, na nieprawidłowości w procesie przetwarzania jego danych osobowych przez [...] S.A. z siedzibą w [...], dalej "Bank" polegające na przetwarzaniu jego danych osobowych w zakresie zapytania kredytowego z dnia [...] marca 2021 r., niezakończonego udzieleniem kredytu, bez podstawy prawnej, w tym w Biurze Informacji Kredytowej S. A. z siedzibą w [...] oraz na odmowie spełnienia żądania w zakresie usunięcia informacji o tym zapytaniu, w punkcie 1 nakazał Biuru Informacji Kredytowej S.A. usunięcie danych osobowych D. G. zawartych w zapytaniu kredytowym z dnia [...] marca 2021 r., przekazanym przez [...]. S.A., przetwarzanych bez podstawy prawnej; w punkcie 2 nakazał [...]. S.A. usunięcie danych osobowych D. G., zawartych w zapytaniu kredytowym z dnia [...] marca 2021 r., przetwarzanych bez podstawy prawnej.
W uzasadnieniu Prezes UODO wskazał, że w dniu 11 października 2021 r. wpłynęła skarga D. G. na nieprawidłowości w procesie przetwarzania jego danych osobowych przez [...] S.A., polegające na przetwarzaniu danych osobowych wymienionego w zakresie zapytania kredytowego z dnia [...] marca 2021 r., niezakończonego udzieleniem kredytu, bez podstawy prawnej, w tym w BIK oraz na odmowie spełnienia żądania w zakresie usunięcia przez Bank informacji o tym zapytaniu.
Prezes UODO ustalił następujący stan faktyczny:
1. D. G. w skardze wskazał, że Bank przetwarza jego dane osobowe w związku z zapytaniem kredytowym niezakończonym udzieleniem kredytu z dnia [...] marca 2021 r. Wskazał, że w dniu 11 września 2021 r. złożył do Banku reklamację w związku z przetwarzaniem jego danych, dotyczących ww. zapytania kredytowego w BIK. Bank odmówił jednak usunięcia tych danych oraz wykreślenia ich z bazy BIK. Wobec tego wniósł o nakazanie Bankowi zaprzestania przetwarzania jego danych dotyczących zapytania kredytowego z dnia [...] marca 2021 r.;
2. w złożonych wyjaśnieniach Bank wskazał, że pozyskał dane osobowe bezpośrednio od wnioskodawcy w dniu [...] marca 2021 r. w związku ze złożeniem wniosku o zawarcie umowy kredytu gotówkowego (o wskazanym w decyzji numerze). W związku z powyższym Bank pozyskał dane osobowe D. G. w zakresie: imię i nazwisko, PESEL, dane dokumentu tożsamości (data urodzenia, seria i numer dowodu osobistego, data wydania i ważności dowodu osobistego), dane teleadresowe (adres zameldowania, adres korespondencyjny, numer telefonu, adres email), dane zakładu pracy, dane niezbędne do oceny zdolności kredytowej: stan cywilny, informacje o dochodzie i jego źródle, dane o obciążeniach gospodarstwa domowego;
3. Bank wskazał, że obecnie przetwarza dane osobowe wnioskodawcy, w związku z zapytaniem kredytowym z dnia [...] marca 2021 r. w następujących celach: rozpatrywania reklamacji oraz ustalania, obrony i dochodzenia roszczeń - podstawą prawną jest realizacja prawnie uzasadnionego interesu Banku (art. 6 pkt 1. lit. f RODO); analizy (indywidualnego i portfelowego) ryzyka kredytowego (art. 105 a ustawy z dnia 29 sierpnia 1997 r. Prawo bankowe (Dz.U. 2021 poz. 2439), zwanej dalej Prawem bankowym, w zw. art. 6 pkt 1 lit. c RODO); tworzenia modeli scoringowych i przetwarzania danych pochodzących z zapytań kredytowych dla oceny innych osób, podstawą prawną jest prawnie uzasadniony interes Banku (art. 6 pkt 1. lit. c RODO), który znajduje potwierdzenie w treści: przepisów art. 70 ust. 1 i 105 ust. 4 Prawa bankowego, Rekomendacji T KNF dotyczącej dobrych praktyk w zakresie zarządzania ryzykiem detalicznych ekspozycji kredytowych w związku z badaniem zdolności kredytowej, korzystania z zewnętrznych baz danych, posiadania narzędzi analitycznych wspierających pomiar poziomu ryzyka związanego z detalicznymi ekspozycjami kredytowymi; realizacji wymogów ostrożnościowych tj. oceny ogólnej ekspozycji oraz ryzyka ekspozycji Banku wynikających z rozporządzenia Parlamentu Europejskiego I Rady (UE) nr 575/2013 z dnia 26 czerwca 2013 roku w sprawie wymogów ostrożnościowych dla instytucji kredytowych i firm inwestycyjnych, zmieniające rozporządzenie (UE) nr 648/2012, (art. 6 pkt 1. lit. c RODO); wykonywania obowiązków związanych z przeciwdziałaniem praniu pieniędzy i finansowaniu terroryzmu (art. 6 pkt 1. lit. c RODO), Bank będzie przetwarzać dane w tym celu przez okres 5 lat zgodnie z art. 49 ust. 2 ustawy z dnia 1 marca 2018 r. o przeciwdziałaniu praniu pieniędzy i finansowaniu terroryzmu (t.j. Dz.U. 2022 poz. 593), zwanej dalej AML; realizacji prawa do wyjaśnienia oceny zdolności kredytowej na podstawie art. 70a Prawa bankowego (art. 6 pkt 1. lit. c RODO);
4. Bank wskazał również, że udostępnił dane osobowe D. G. w celu przeprowadzenia oceny zdolności kredytowej i analizy ryzyka kredytowego na podstawie art. 70 ust. 1 ustawy Prawo bankowe w związku z art. 105 ust. 4 oraz 105a ust. 1 Prawa bankowego. Bank przekazał dane osobowe wymienionego na podstawie zawartej pomiędzy Bankiem a BIK umowy z dnia 1 sierpnia 2016 r. Bank udostępnił dane osobowe D. G. do BIK w dniu [...] marca 2021 r. w związku ze złożonym zapytaniem wskazanym w zakresie: imię i nazwisko, PESEL, dane dokumentu tożsamości (data urodzenia, seria i numer dowodu osobistego, data wydania i ważności dowodu osobistego), dane teleadresowe (adres zameldowania, adres korespondencyjny, numer telefonu, adres email), dane zakładu pracy, dane niezbędne do oceny zdolności kredytowej: stan cywilny, informacje o dochodzie i jego źródle, dane o obciążeniach gospodarstwa domowego;
5. Bank wyjaśnił nadto, że cyt. "(...) skarżący zwrócił się do Banku w dniu [...] marca 2021 r. z żądaniem usunięcia danych osobowych Skarżącego z baz BIK (...). W odpowiedzi z dnia 26 marca 2021 r. Bank odmówił usunięcia danych informując Skarżącego o braku podstaw uprawniających Bank do usunięcia jego danych osobowych (...). Skarżący ponownie zwrócił się do Banku w dniu 11 września 2021 r. z żądaniem usunięcia danych osobowych Skarżącego z baz BIK (...). Bank odpowiedzią z dnia 29 września 2021 roku ponownie odmówił usunięcia danych, informując Skarżącego o braku podstaw uprawniających Bank do usunięcia jego danych osobowych (...)." Bank na wezwanie Prezesa UODO nie wskazał, by skarżący wystąpił do Banku z konkretnym roszczeniem lub by Bank wystąpił lub zamierzał wystąpić z takim roszczeniem.
6. BIK w treści wyjaśnień wskazał, że przetwarza obecnie dane osobowe D. G. przekazane przez Bank w związku ze złożonym zapytaniem kredytowym z dnia [...] marca 2021 r. Dane osobowe wymienionego zostały przekazane do BIK przez Bank na podstawie art. 105 ust. 4 oraz 105a ust. 1 Prawa bankowego oraz na podstawie łączącej Bank i BIK umowy. BIK wyjaśnił, że będzie przetwarzał dane osobowe wnioskodawcy w związku ze złożonymi zapytaniami kredytowymi w celu budowy modeli scoringowych tj. narzędzi wykorzystywanych przez banki do oceny zdolności kredytowej i analizy ryzyka kredytowego przez okres 5 lat od dnia złożenia zapytania; w celach statystycznych oraz stosowania metod wewnętrznych oraz innych metod i modeli przez okres nie dłuższy niż 10 lat od dnia przekazania zapytania do BIK; w celach przeciwdziałania przestępstwom oraz wykonywania obowiązków w zakresie określonym w przepisach o przeciwdziałaniu praniu pieniędzy oraz finansowaniu terroryzmu, na podstawie art. 106d Prawa bankowego oraz przepisów AML; w celu rozpatrywania ewentualnych reklamacji i roszczeń odszkodowawczych - do momentu przedawnienia potencjalnych roszczeń wynikających z zapytań oraz w celu wypełnienia obowiązku wynikającego z art. 15 RODO w przypadku wystąpienia przez osobę, której dane dotyczą z wnioskiem o udzielenie informacji. Jednocześnie BIK wskazał, że wnioskodawca zwrócił się z żądaniem usunięcia jego danych osobowych przetwarzanych bez podstawy prawnej, ale nie wykazał, by wnioskodawca wystąpił z żądaniem opartym o art. 15 RODO, ani nie wystąpił do niego z żadnym konkretnym roszczeniem, jak również BIK nie wystąpił wobec D. G. i nie zamierza występować z takim roszczeniem.
Rozstrzygając w niniejszej sprawie Prezes UODO wskazał m.in., że przepisem uprawniającym administratorów danych do przetwarzania zwykłych danych osób fizycznych, w tym ich udostępniania, jest art. 6 ust. 1 RODO, zgodnie z którym, przetwarzanie danych jest dopuszczalne tylko wtedy, gdy spełniona jest jedna z przesłanek wskazanych w tym przepisie. Katalog przesłanek wymienionych w art. 6 ust. 1 RODO, jest zamknięty. Każda z przesłanek legalizujących proces przetwarzania danych osobowych ma charakter autonomiczny i niezależny. Dodatkowo, proces przetwarzania danych osobowych musi być zgodny z zasadami ustanowionymi w art. 5 ust. 1 RODO, Do zasad tych zalicza się między innymi ograniczenie celu (art. 5 ust. 1 lit. b RODO) oraz minimalizację danych (art. 5 ust. 1 lit. c RODO). Wspomniane zasady wymagają, by dane osobowe były zbierane w konkretnych, wyraźnych i prawnie uzasadnionych celach i nieprzetwarzane dalej w sposób niezgodny z tymi celami, a proces przetwarzania danych osobowych był adekwatny, stosowny oraz ograniczony do tego, co niezbędne do celów, w których są przetwarzane.
Organ wskazał, że BIK jest instytucją utworzoną na podstawie art. 105 ust. 4 Prawa bankowego. Przytoczył treść powołanego przepisu oraz art. 105a ust. 1 Prawa bankowego. Wskazał, że zgodnie z art. 105a ust. 4 Prawa bankowego Banki oraz instytucje, o których mowa w art. 105 ust. 4, mogą przetwarzać stanowiące tajemnicę bankową informacje dotyczące osoby fizycznej po wygaśnięciu zobowiązania wynikającego z umowy zawartej z bankiem lub inną instytucją ustawowo upoważnioną do udzielania kredytów bez zgody osoby, której informacje dotyczą, do celów stosowania metod wewnętrznych oraz innych metod i modeli, o których mowa w części trzeciej rozporządzenia nr 575/2013. Stosownie zaś do art. 105a ust. 5 Prawa bankowego przetwarzanie informacji stanowiących tajemnicę bankową w przypadkach, o których mowa w ust. 3, może być wykonywane przez okres nie dłuższy niż 5 lat od dnia wygaśnięcia zobowiązania, a w przypadku, o którym mowa w ust. 4, przez okres 12 lat od dnia wygaśnięcia zobowiązania.
Organ przytoczył treść art. 106d Prawa bankowego. Stwierdził, że zebrany w sprawie materiał dowodowy nie wykazał, by Bank lub BIK mogły przetwarzać dane osobowe D. G. dotyczące zapytania kredytowego z [...] marca 2021 r. na podstawie art. 106d Prawa bankowego w celach przeciwdziałania przestępstwom oraz wykonywania obowiązków w zakresie określonym w przepisach AML, albowiem w toku prowadzonego postępowania nie wykazały, aby zaszła którakolwiek z przesłanek określonych w ww. przepisie. W szczególności nie wykazały, aby zaszły uzasadnione podejrzenia, o których mowa w art. 106d ust. 1 pkt 1-2, oraz nie wskazał także nałożonego na niego obowiązku określonego w przepisach o przeciwdziałaniu praniu pieniędzy oraz finansowaniu terroryzmu, o którym mowa w art. 106d ust. 1 pkt 3.
Prezes UODO wskazał, że stosownie do art. 70 ust. 1 Prawa bankowego, bank uzależnia przyznanie kredytu od zdolności kredytowej kredytobiorcy. Przez zdolność kredytową rozumie się zdolność do spłaty zaciągniętego kredytu wraz z odsetkami w terminach określonych w umowie. Podniósł, że D. G. w dniu [...] marca
2021 r. wystąpił do Banku z wnioskiem o udzielenie kredytu. Stwierdził, że wobec powyższego Bank oraz BIK, na podstawie art. 105a ust. 1 Prawa bankowego w zw. z art. 70 ust. 1 tej ustawy, były uprawnione do przetwarzania danych osobowych wnioskodawcy w celu oceny zdolności kredytowej. Organ podkreślił, że ostatecznie nie doszło do zawarcia umowy kredytu pomiędzy D. G. a Bankiem. W związku z powyższym odpadła przesłanka legalizująca dalsze przetwarzanie danych osobowych wymienionego przez Bank oraz BIK. Przesłanki zawarte w art. 105a Prawa bankowego dotyczą bowiem przetwarzania informacji objętych tajemnicą bankową w okresie przed powstaniem zobowiązania, w trakcie jego trwania oraz po wygaśnięciu zobowiązania. Pomiędzy Bankiem a wymienioną osobą nie zawiązał się żaden stosunek zobowiązaniowy, który stosownie do art. 105a ust. 1-6 Prawa bankowego dawałby podstawę do dalszego przetwarzania danych osobowych. Prezes UODO podkreślił, że celem przetwarzania danych osobowych wnioskodawcy była ocena zdolności kredytowej i analizy ryzyka kredytowego. W związku z dokonaniem przez Bank oceny zdolności kredytowej i analizy ryzyka kredytowego ww. cel przetwarzania danych osobowych wnioskodawcy został zrealizowany i brak jest podstaw prawnych do kontynuowania tego procesu. Na poparcie powyższego stanowiska organ powołał się na wyrok NSA z dnia 27 sierpnia 2019 r., sygn. akt I OSK 2567/17.
W ocenie Prezesa UODO, Bank niewłaściwie wskazuje jako podstawę przetwarzania danych D. G. Rekomendację T KNF dotyczącą dobrych praktyk w zakresie zarządzania ryzykiem detalicznych ekspozycji kredytowych w związku z badaniem zdolności kredytowej, korzystania z zewnętrznych baz danych, posiadania narzędzi analitycznych wspierających pomiar poziomu ryzyka związanego z detalicznymi ekspozycjami kredytowymi. Wskazał, że Bank był uprawniony do oceny zdolności kredytowej wnioskodawcy, jednak do zawarcia umowy pomiędzy wnioskodawca a bankiem nie doszło. Odpadła zatem przesłanka legalizująca dalsze przetwarzanie danych D. G..
Prezes UODO stwierdził, że za podstawę przetwarzania danych osobowych wnioskodawcy, nie mogą być również uznane wskazane przez Bank i BIK cele statystyczne i analizy, w tym cel stosowania metod wewnętrznych oraz innych metod i modeli, o których mowa w części trzeciej rozporządzenia nr 575/2013. Zdaniem organu powołany przez BIK art. 105a ust. 4 Prawa bankowego daje podstawy do przetwarzania informacji dotyczących osoby fizycznej stanowiących tajemnicę bankową po wygaśnięciu zobowiązania wynikającego z umowy zawartej z bankiem lub inną instytucją ustawowo upoważnioną do udzielania kredytów bez zgody osoby, której te informacje dotyczą. Organ raz jeszcze wskazał, że w przedmiotowej sprawie nie doszło do zawarcia umowy kredytu pomiędzy wymienioną osobą a Bankiem, a zatem nie powstał żaden stosunek zobowiązaniowy, o którym mowa w powyższym przepisie.
Odnosząc się do powołanego zarówno przez Bank, jak i przez BIK celu rozpatrywania ewentualnych reklamacji lub obrony przed roszczeniami Prezes UODO stwierdził, że zebrany w niniejszym postępowaniu materiał dowodowy nie wykazał, aby D. G. wystąpił z reklamacją lub jakimkolwiek roszczeniem wobec Banku lub BIK, które uzasadniałoby uprawnienie tych podmiotów do zachowania i przetwarzania danych osobowych dla celów dowodowych w związku z dochodzeniem roszczenia. Organ podkreślił, że przesłanka z art. 6 ust. 1 lit. f RODO dotyczy sytuacji już istniejącej, w której celem wynikającym z prawnie uzasadnionych interesów realizowanych przez administratora jest konieczność udowodnienia, potrzeba dochodzenia lub obrony przed roszczeniem istniejącym, nie zaś sytuacji, gdy dane są przetwarzane w celu zabezpieczenia się przed ewentualnym roszczeniem. Prezes UODO przytoczył stanowisko Naczelnego Sądu Administracyjnego przedstawione w wyroku z dnia 6 marca 2019 r. o sygn. akt I OSK 994/17, odnoszące się do analogicznej do art. 6 ust. 1 lit.f RODO przesłanki określonej w art. 23 ust. 1 pkt 5 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. 2016 r. poz. 922 ze zm.). Organ zaznaczył, że przy przyjęciu odmiennej interpretacji w/w przepisów niż zaprezentowana przez NSA w powołanym wyroku, wnioskodawca zostałby pozbawiony ochrony na gruncie RODO oraz ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych. Przyjęcie za prawidłowe stanowiska, iż przetwarzanie danych osobowych w celu uchylenia się od negatywnych skutków w przypadku zgłoszenia w przyszłości ewentualnego i nieokreślonego roszczenia, stanowi prawnie usprawiedliwiony cel w rozumieniu art. 6 ust. 1 lit. f RODO oznaczałoby, że dane osobowe D. G. mogą być przetwarzane przez Bank i BIK permanentnie, bez konieczności ich usunięcia. Zdaniem organu teoretycznie możliwe jest by D. G. zwrócił się do Banku lub BIK z roszczeniem po upływie terminu przedawnienia roszczenia. Prowadziłoby to tym samym do uznania, że przetwarzanie danych osobowych wymienionego przez Bank i BIK ma uzasadnienie w przesłance określonej art. 6 ust. 1 lit. f RODO w celu realizacji prawa do obrony przed ewentualnym roszczeniem wnioskodawcy również po upływie w/w terminu.
Organ stwierdził, że brak jest uzasadnienia dla przyjęcia, że terminy dotyczące przedawnienia roszczeń wynikających ze stosunków zobowiązaniowych określają jednocześnie ramy czasowe, w których dane osobowe mogą być przetwarzane przez Bank i BIK. Organ podkreślił, że przedawnienie roszczenia nie wywołuje skutków na gruncie ochrony danych osobowych, nie wpływa bowiem na fakt istnienia roszczenia, a powoduje jedynie zmianę w sferze zarzutów procesowych w postaci możliwości podniesienia okoliczności przedawnienia w sporze sądowym. Okolicznością usprawiedliwiającą przetwarzanie danych osobowych w celu dochodzenia roszczeń jest sam fakt istnienia roszczenia oraz zamiar jego dochodzenia, nie jest nią natomiast zmiana w uprawnieniach procesowych podmiotu pozwanego.
W ocenie Prezesa UODO brak jest uzasadnienia dla przyjęcia, że BIK jest uprawniony do przetwarzania danych osobowych w związku z koniecznością ewentualnego wypełnienia obowiązku wynikającego z art. 15 RODO. Ponadto usunięcie przez administratora danych osobowych nie uniemożliwia mu wykonania obowiązku uregulowanego w art. 15 RODO, gwarantującego osobie, której dane dotyczą, prawa do uzyskania od administratora informacji, czy jego dane są przetwarzane, a w przypadku pozytywnej odpowiedzi na tak postawione pytanie - uprawnienie do dostępu do danych na swój temat oraz uzyskania informacji o okolicznościach przetwarzania danych. Jeśli bowiem, administrator nie przetwarza danych dotyczących osoby, która zwraca się z żądaniem udzielenia informacji, to działanie administratora ogranicza się do odpowiedzi przeczącej i nie ma on obowiązku podawać podmiotowi danych innych informacji.
W ocenie Prezesa UODO w niniejszej sprawie brak jest celu uzasadniającego dalsze przetwarzanie danych osobowych D. G. zawartych w zapytaniu kredytowym z dnia [...] marca 2021 r. zarówno przez Bank, jak i przez BIK. Organ wskazał nadto, że Bank w związku z pozyskaniem danych osobowych wymienionego w celu oceny zdolności kredytowej stał się administratorem tych danych osobowych. Natomiast BIK stał się administratorem danych osobowych D. G. z uwagi na przekazanie tych danych przez Bank. W związku z powyższym Bank oraz BIK są odrębnymi administratorami. Każdy z tych podmiotów przetwarza bowiem dane osobowe wymienionego we własnych celach i samodzielnie ustala sposoby ich przetwarzania. W odniesieniu do kwestionowanego przez wnioskodawcę przetwarzania jego danych osobowych przez Bank i BIK zdaniem organu nie zaistniała żadna przesłanka z wymienionych w art. 6 ust. 1 RODO, która stanowiłaby o legalności tego procesu. Z tego względu organ skierował do Banku i BIK nakazy dotyczące danych osobowych wnioskodawcy przetwarzanych w związku ze złożonym zapytaniem kredytowym z dnia [...] marca 2021 r.
Decyzja Prezesa Urzędu Ochrony Danych Osobowych z dnia [...] sierpnia 2022 r. nr [...] stała się przedmiotem skarg do Wojewódzkiego Sądu Administracyjnego w Warszawie: 1. [...] S.A. z siedzibą w [...], który zaskarżył w całości decyzję (sprawa zarejestrowana została pod sygn. akt II SA/Wa 1942/22) oraz 2. Biura Informacji Kredytowej S.A. z siedzibą w [...], które zaskarżyło punkt 1 decyzji (sprawa zarejestrowana została pod sygn. akt II SA/Wa 1943/22).
[...] S.A., reprezentowany przez radcę prawnego, wnosząc o uchylenie zaskarżonej decyzji w całości oraz zasądzenie zwrotu kosztów postępowania sądowego, w tym kosztów zastępstwa procesowego, według norm przepisanych oraz opłat skarbowych od pełnomocnictw w łącznej wysokości 34 zł, zarzucił:
1. naruszenie przepisów postępowania, które mogło mieć istotny wpływ na wynik sprawy, tj.: art. 7, art. 77 § 1 i art. 80 k.p.a., polegające na niewyczerpującym rozpatrzeniu materiału dowodowego oraz na jego dowolnej ocenie przejawiającej się w uznaniu, że Bank i BIK nie dysponują przesłankami legalizującymi przetwarzanie danych osobowych D. G., pomimo że przetwarzanie danych osobowych wymienionego jest niezbędne do realizacji obowiązków prawnych ciążących na Banku i BIK oraz realizacji ich prawnie uzasadnionych interesów;
2. naruszenie przepisów postępowania, które miało istotny wpływ na wynik sprawy, tj.: art. 7b k.p.a., polegające na braku zwrócenia się do Komisji Nadzoru Finansowego jako organu właściwego w sprawach związanych m.in. z badaniem zdolności kredytowej i analizą ryzyka kredytowego, a także budową modeli scoringowych oraz do Generalnego Inspektora Informacji Finansowej jako organu właściwego w sprawach związanych z m.in. z przeciwdziałaniem praniu pieniędzy i finansowaniu terroryzmu w zakresie wykorzystywania do realizacji tych zadań danych, w tym danych osobowych o niezrealizowanych zapytaniach kredytowych;
3. naruszenie prawa materialnego, które miało wpływ na wynik sprawy, tj.:
- art. 6 ust. 1 lit. f RODO w zw. z art. 117 § 2 i § 21 , art. 118 oraz 119 ustawy z dnia 23 kwietnia 1964 r. - Kodeks cywilny poprzez ich niewłaściwe zastosowanie, polegające na uznaniu, że obrona i dochodzenie roszczeń mogą dotyczyć wyłącznie już istniejących roszczeń;
- art. 6 ust. 1 lit. c RODO w zw. z art. 39 ust. 1 w zw. z art. 34 ust. 1, art. 35 ust. 1,36 ust. 1, oraz 49 AML, poprzez ich niewłaściwe zastosowanie polegające na przyjęciu, że na Banku nie ciążą obowiązki związane z przeciwdziałaniem praniu pieniędzy oraz finansowaniu terroryzmu wówczas, gdy nie doszło do zawarcia umowy pomiędzy Bankiem a klientem - podczas gdy przepisy te nakładają na banki i BIK obowiązek przetwarzania danych osobowych w celu zapewnienia bezpieczeństwa obrotu gospodarczego poprzez przeprowadzenie szczegółowego badania na temat klientów, w tym przyszłych klientów, jak i badania powiązań kapitałowo-osobowych, w tym w zakresie danych dostarczanych przez skarżącego, w tym także wtedy, gdy ostatecznie pomiędzy stronami nie została ostatecznie zawarta umowa;
- art. 6 ust. 1 lit. c RODO w zw. z art. 105 ust. 4 i 105a ust. 1 Prawa bankowego poprzez ich błędną wykładnię i przyjęcie, że Bank jest jedynie obowiązany do dokonania oceny zdolności kredytowej klientów, podczas gdy z tego przepisu wynika obowiązek dokonania także analizy ryzyka kredytowego;
- art. 6 ust. 1 lit. c RODO w zw. z art. 105 ust. 4 Prawa bankowego poprzez ich błędną wykładnię i przyjęcie, że Bank nie legitymuje się przesłanką do przetwarzania danych podczas gdy z tego przepisu wynika obowiązek przetwarzania danych, w tym danych z zapytań kredytowych, w zakresie, w jakim informacje te potrzebne są bankom do wykonywania czynności bankowych, w tym oceny zdolności kredytowej i analizy ryzyka kredytowego;
- art. 6 ust. 1 lit. c RODO w zw. z art. 144 ust. 1 lit. d, art. 145, art. 147 ust. 5 lit. b, art. 170 ust. 3 lit. a, ust. 4 lit. a, 171 ust. 2 oraz art. 179 ust. 1 lit. a rozporządzenia nr 575/2013 poprzez ich błędną wykładnię i przyjęcie, że na Banku nie ciążą obowiązki związane z analizą ryzyka kredytowego wówczas, gdy nie doszło do zawarcia umowy pomiędzy Bankiem a klientem;
- art. 6 ust. 1 lit. c RODO w zw. z art. 70a Prawa bankowego poprzez ich niewłaściwe zastosowanie skutkujące przyjęciem, że Bank może dokonać wyjaśnienia dotyczącego dokonanej oceny zdolności kredytowej wnioskującego bez otrzymanych i przetwarzanych danych osobowych klienta, tylko wtedy, gdy zawarł on umowę z bankiem;
- art. 6 ust. 1 lit. c RODO w zw. z art. 106d Prawa bankowego poprzez ich niewłaściwe zastosowanie skutkujące przyjęciem, że Bank nie jest uprawniony do przetwarzania danych, w tym danych osobowych zawartych we wnioskach kredytowych celem wypełnienia obowiązków wynikających z Prawa bankowego; podczas gdy wykazuje on cel przetwarzania danych osobowych polegający na analizie danych podanych we wnioskach kredytowych i analizie zapytań kredytowych złożonych w BIK w określonym czasie w celu wykrycia nieścisłości oraz powzięcia informacji mogących stanowić o uzasadnionym podejrzeniu popełnienia przestępstw, o których mowa w art. 106d Prawa bankowego;
- art. 6 ust. 1 lit. f RODO w związku z Rekomendacjami S, W i T KNF, polegające na ich niewłaściwym zastosowaniu i przyjęciu, że skarżący nie legitymują się przesłanką przetwarzania danych wynikającą z art. 6 ust. 1 lit. f RODO w związku z Rekomendacjami S, W i T KNF, podczas gdy rekomendacje te nakładają na banki, a w konsekwencji także na BIK, jako instytucję gromadzącą dane służące do oceny zdolności kredytowej oraz budującą modele scoringowe służące bankom, określone wymagania, które następnie podlegają egzekwowaniu przez KNF na podstawie bezwzględnie obowiązujących przepisów prawa.
W uzasadnieniu pełnomocnik rozszerzył argumentację podniesionych zarzutów. Wskazał m.in., że organ wydając zaskarżoną decyzję przede wszystkim nie wyjaśnił w sposób dokładny stanu sprawy i opierając się na nieprawidłowych przesłankach, nakazał Bankowi i BIK usunięcie danych osobowych uczestnika, mylnie uznając, że brak jest podstawy prawnej do ich przetwarzania w sytuacji, gdy nie udzielono kredytu (nie zawarto umowy). Zdaniem Banku, Prezes UODO nie zbadał wszystkich podstaw prawnych dalszego przetwarzania danych o zapytaniach kredytowych, pomimo, iż przepisy prawa upoważniają BIK, a także Bank do przetwarzania tych danych również w sytuacji, gdy kredytu nie udzielono.
Bank podkreślił, że Prezes UODO dokonując interpretacji art. 105a ust. 1 Prawa bankowego zupełnie pominął, że przetwarzanie informacji na jego podstawie odbywa się także w celu oceny ryzyka kredytowego. Pełnomocnik podniósł, że pojęcie "zdolności kredytowej" i "ryzyka kredytowego" nie są tożsame. Pierwsze z nich dotyczy rozpoznania i oceny ryzyka związanego z przyznaniem kredytu konkretnej osobie w konkretnej wysokości. Natomiast analiza "ryzyka kredytowego" wiąże się z koniecznością oszacowania ryzyka dla całego banku związanego z danym portfelem zobowiązań np. kredytem we frankach szwajcarskich. O ile bowiem Bank (samodzielnie lub z pomocą BIK) musi początkowo oszacować, jakiej wysokości kredyt może zaoferować konkretnej osobie, osobną kwestią jest oszacowanie, szczególnie dla zobowiązań średnio i długoterminowych czy prawdopodobne jest, że kredytobiorca będzie spłacał zobowiązanie przez cały okres jego trwania. Co ważne, nie jest to uprawnienie, ale obowiązek Banku. Pełnomocnik wskazał też m.in., że osoba wnioskująca o kredyt, a nierzadko o kolejny kredyt, ma wiedzę wyłącznie o swojej bieżącej sytuacji finansowej, którą ocenia najczęściej dobrze. Natomiast Bank, jak wskazano - niejako w imieniu osoby wnioskującej o kredyt - musi ustalić, czy ma ona szansę, również za wiele lat, spłacić kredyt i czy nie popadnie w poważne kłopoty finansowe z powodu zbyt dużego obciążenia kredytami. To zadanie ciążące na Banku jest określane jako analiza ryzyka kredytowego osoby wnioskującej o kredyt. Do tego celu bank musi posiadać obiektywne zasady akceptacji (Rekomendacja T KNF, pkt 16.4 oraz 1.4 a) tiret drugi, 1.4 b) tiret drugi). W oparciu o te zasady bank podejmuje decyzję, czy osoba wnioskująca o kredyt powinna go ostatecznie otrzymać czy też nie. Wskazano też m.in., że z badań empirycznych wynika, że ilość złożonych zapytań kredytowych powiązana jest z ryzykiem niespłacenia terminowo zaciąganych zobowiązań.
Pełnomocnik wyjaśnił m.in., że w celu ustalenia zasad akceptacji bank musi przeprowadzić analizę ryzyka na podstawie zgromadzonej wiedzy na temat wszystkich osób, które wnioskowały o kredyt - zarówno tych z przyznanym kredytem, jak i tych z odmową przyznania kredytu (wstęp do Rekomendacji T KNF).
Wynika to z tego, że Bank potrzebuje informacji o cechach osób wnioskujących z obu tych grup, ponieważ wtedy wie jakimi cechami charakteryzują się osoby bardziej skłonne do spłaty kredytu, a jakimi cechami osoby mniej skłonne do spłaty kredytu. Wówczas Bank może rozróżnić, która osoba wnioskująca ma szansę spłacić kredyt w terminach ustalonych w umowie, a która nie. Dzięki zasadom akceptacji ustalonym w powyższy sposób, osoba wnioskująca może liczyć na rzetelną ocenę swojej zdolności kredytowej.
Pełnomocnik Banku wskazał, że zgodnie z pkt 16. 3 Rekomendacja T KNF: "Zaleca się stosowanie metod statystycznych do oceny ryzyka portfeli detalicznych ekspozycji kredytowych oraz przeprowadzanie nie rzadziej niż raz w roku testów warunków skrajnych dla tych portfeli w przypadku: a) banków istotnie zaangażowanych oraz b) banków które w ramach uproszczonych zasad oceny zdolności kredytowej klientów detalicznych wykorzystuję modele scoringowe."
Pełnomocnik Banku wskazał, że rolą BIK jako międzybankowej bazy danych, jest realizacja obowiązku wynikającego z art. 105a ust. 1 i 4 Prawa bankowego, polegającego na dostarczaniu bankom informacji zgromadzonych od innych banków, co pozwala bankowi ocenić z poziomu sektora bankowego czy osoba wnioskująca o kredyt ma szanse spłaty kredytu w terminach ustalonych w umowie. Analiza ryzyka wykonywana na podstawie informacji zgromadzonych w BIK pokazuje, że jeśli osoba wielokrotnie wnioskuje o kredyt, to w przypadku udzielenia kredytu będzie ona miała częściej trudności w regularnej obsłudze zobowiązania, niż osoba o mniejszej historii wnioskowania o kredyt. Istotność tego parametru potwierdza też Rekomendacja T KNF w pkt 17.5 e; zgodnie z tym postanowieniem bank uwzględnia analizę odsetka wniosków zaakceptowanych, odrzuconych, przełamanych, z podziałem na segmenty klientów, powody odrzucenia, sposoby dystrybucji, cechy produktu itp. w swoje polityce zarządzania ryzykiem ekspozycji. Pełnomocnik przywołał poglądy wyrażone przez WSA w Warszawie w wyroku z dnia 29 października 2021 r. sygn. akt II SA/Wa 506/21.
Pełnomocnik wskazał też m.in., że obowiązek wynikający z przepisu art. 105a ust. 1 i 1a Prawa bankowego dotyczy przetwarzania danych przed przyznaniem kredytu, w trakcie jego spłaty i przetwarzania danych przez minimalny okres w przypadku nieudzielenia kredytu - dla celu oszacowania ryzyka spłaty innych kredytów. Dopiero kolejne obowiązki wynikające z przepisu art. 105a Prawa bankowego, tj. ust. 2 i 3 regulują kwestie przetwarzania danych po wygaśnięciu zobowiązania, a więc odnoszą się do powstałych zobowiązań. Ponadto, przepis ten nie jest jedynym źródłem obowiązków w zakresie oceny zdolności kredytowej, gdyż osobną podstawą przetwarzania danych w tym wypadku są przepisy rozporządzenia nr 575/2013. Pełnomocnik podniósł również m.in., że istotnym z perspektywy możliwości prawidłowej oceny dokonanej analizy i oceny prawidłowości modelu jest monitorowanie otoczenia Banku, w tym sytuacji makroekonomicznej czy liczby odrzuconych wniosków oraz sytuacji majątkowej osób, którym nie udzielono finansowania. Bank musi bowiem powtórzyć analizę ryzyka na podstawie zgromadzonej wiedzy na temat wszystkich osób, które wnioskowały o kredyt-zarówno tych z przyznanym kredytem, jak i tych z odmową przyznania kredytu.
Odnosząc się do obowiązków wynikających z AML pełnomocnik podniósł m.in., że informacje na temat danych podanych na poprzednich wnioskach kredytowych mogą wskazywać na próbę manipulacji mającą na celu pranie pieniędzy lub finansowanie terroryzmu czy ukrycie określonych powiązań osobowych. Bank pozyskuje dane na temat wniosków kredytowych w celu wykluczenia takich prób. Do środków bezpieczeństwa finansowego należą także identyfikacja klienta oraz weryfikacja jego tożsamości (art. 34 ust. 1 pkt 1 AML), a ta powinna nastąpić przed nawiązaniem stosunków gospodarczych lub przeprowadzeniem transakcji okazjonalnej (art. 39 ust. 1 AML). Bez znaczenia pozostaje zatem fakt ostatecznego braku zawarcia umowy z klientem.
Pełnomocnik Banku wskazał też m.in., że przetwarzanie danych osobowych w związku z dochodzeniem lub obroną przed roszczeniami jest w zasadzie modelowym przypadkiem, o którym mowa w art. 6 ust 1 lit f RODO. Przywołał motyw 47 RODO. Pełnomocnik podniósł m.in., że osoba, której dane dotyczą niewątpliwie ma rozsądne przesłanki, by spodziewać, że w związku z wnioskiem kredytowym (i to nawet takim, który nie zakończył się zawarciem umowy) może nastąpić przetwarzanie jej danych - ona sama lub bank mogą bowiem wystąpić z roszczeniami związane z tym procesem. Podkreślił, że roszczenia te niekoniecznie muszą być uzasadnione - nie można wykluczyć, że będą sformułowane błędnie, co jednak nie oznacza jeszcze, że nie powstanie potrzeba podjęcia obrony swoich interesów. Pełnomocnik wskazał też m.in., że w ocenie Banku w niniejszej sprawie wymagana jest znajomość obowiązków spoczywających na bankach i BIK, wynikających zarówno z Prawa bankowego, jak i działań oraz oczekiwań organów nadzorczych, w tym w szczególności KNF oraz wydawanych przez ten organ Rekomendacji dla sektora bankowego. PUODO powinien był, badając cele przetwarzania danych po stronie banku i BIK, zwrócić się do KNF o wyjaśnienia w zakresie obowiązków regulacyjnych tych podmiotów, czego jednak nie uczynił, wypowiadając się arbitralnie w materii merytorycznie właściwej innemu organowi, w tym wypadku KNF. Pełnomocnik powołał się na wyrok WSA w Warszawie z dnia 28 września 2021 r. sygn. akt II SA/Wa 474/21.
Prezes UODO w odpowiedzi na skargę Banku wniósł o jej oddalenie podtrzymując stanowisko zaprezentowane w zaskarżonej decyzji. Odniósł się do zarzutów skargi Banku wskazując na ich niezasadność.
Biuro Informacji Kredytowej S.A. z siedzibą w [...], reprezentowane przez adwokata, zaskarżając punkt 1 decyzji wniosło o jej uchylenie w tym zakresie oraz zasądzenie zwrotu kosztów postępowania, w tym kosztów zastępstwa procesowego według norm przepisanych ( w tym zwrotu opłaty skarbowej od pełnomocnictwa w kwocie 17 zł). Pełnomocnik zarzucił:
1. naruszenie przepisów prawa materialnego, tj.:
- art. 6 ust. 1 lit. c RODO w zw. z art. 105 ust. 1 pkt 1 c w zw. z art. 105 ust. 4 i w zw. z art. 105a w zw. z art. 70 i art. 5 ust. 1 pkt 3 Prawa bankowego poprzez jego niewłaściwe zastosowanie i w konsekwencji nieuzasadnione przyjęcie, że skarżący nie posiada ww. podstawy prawnej do przetwarzania danych zawartych we wniosku kredytowym w przypadku nie zawarcia umowy kredytowej, podczas gdy BIK jest ustawowo zobowiązany do realizacji obowiązku prawnego wynikającego z ww. przepisów polegającego na gromadzeniu, przetwarzaniu i udostępnianiu bankom oraz podmiotom szczegółowo wskazanym w przepisie informacji stanowiących tajemnicę bankową w zakresie, w jakim informacje te są potrzebne w związku z wykonywaniem czynności bankowych w postaci oceny zdolności kredytowej oraz analizy ryzyka kredytowego konkretnego klienta (indywidualna ocena zdolności kredytowej) oraz w związku ze stosowaniem metod wewnętrznych oraz innych metod i modeli, o których mowa w części trzeciej rozporządzenia nr 575/2013 z dnia 26 czerwca 2013 r.;
ewentualnie, na wypadek nieuwzględnienia ww. zarzutu, zarzucił naruszenie art. 6 ust. 1 lit. f RODO poprzez jego niewłaściwą wykładnię i w konsekwencji niezastosowanie wskutek przyjęcia, że BIK nie posiada podstawy prawnej przetwarzania danych D. G. opartej na prawnie uzasadnionym interesie administratora oraz podmiotów trzecich wskazanych w art. 105 ust. 4 pkt. 1-5 Prawa bankowego, w postaci realizacji obowiązku gromadzenia, przetwarzania oraz udostępnienia bankom oraz podmiotom wskazanym w ww. przepisie informacji stanowiących tajemnicę bankową w zakresie, w jakim informacje te są potrzebne w związku z wykonywaniem czynności bankowych w postaci oceny zdolności kredytowej oraz analizy ryzyka kredytowego konkretnego klienta (indywidualna ocena zdolności kredytowej), w celu budowy i utrzymania modeli scoringowych, a więc narzędzi wykorzystywanych przez banki do oceny zdolności kredytowej i analizy ryzyka kredytowego oraz w związku ze stosowaniem metod wewnętrznych oraz innych metod i modeli, o których mowa w części trzeciej rozporządzenia nr 575/2013;
- art. 6 ust. 1 lit. c RODO w zw. z art. 70a w zw. z art. 105 ust. 4 pkt 1 i 2 oraz w zw. z art. 105a Prawa bankowego poprzez jego niezastosowanie wskutek uznania, że BIK nie posiada podstawy prawnej do przetwarzania danych D. G. w sytuacji nie zawarcia umowy kredytowej, podczas gdy BIK posiada podstawę prawną przetwarzania z uwagi na niezbędność przetwarzania do wykonania obowiązku prawnego przez banki i BIK, w postaci obowiązku przekazania osobie ubiegającej się o kredyt w formie pisemnej na jego wniosek wyjaśnień dotyczących dokonanej oceny zdolności kredytowej wnioskującego;
- art. 6 ust. 1 lit. e RODO poprzez jego niezastosowanie wskutek uznania, że BIK nie posiada podstawy prawnej do przetwarzania danych D. G. w sytuacji nie zawarcia umowy kredytowej, podczas gdy BIK posiada podstawę prawną przetwarzania z uwagi na niezbędność przetwarzania dla realizacji zadania w interesie publicznym przez banki i BIK w postaci zabezpieczenia ekonomiczno-gospodarczego sektora bankowego, w tym depozytariuszy i zapewnienia stabilności ekonomiczno- gospodarczej sektora bankowego, a w ujęciu makro zapobieganiu kryzysom gospodarczym;
- art. 6 ust. 1 lit. f RODO poprzez jego niewłaściwe zastosowanie i w konsekwencji nieuzasadnione przyjęcie, że prawnie uzasadniony interes administratora danych nie może opierać się na przesłance ewentualnego zabezpieczenia roszczeń, podczas gdy istotą uzasadnionego interesu prawnego administratora jest możliwość przetwarzania danych przez okres przedawnienia roszczeń na wypadek konieczności obrony lub dochodzenia ewentualnych roszczeń, które mogą się pojawić w określonym czasie po przeprowadzeniu stosownej analizy zdolności kredytowej oraz analizie ryzyka kredytowego, które to BIK zobowiązany jest gromadzić, przetwarzać i udostępniać bankom dla realizacji celów ustawowych badania zdolności kredytowej;
- art. 6 ust. 1 lit. f RODO poprzez błędne uznanie, że wskutek braku zawarcia umowy kredytowej, BIK nie posiada prawnie uzasadnionego interesu w przetwarzaniu danych D. G., podczas gdy istnieje prawnie uzasadniony interes BIK w przetwarzaniu tych informacji pomimo nie zawarcia umowy kredytowej, polegający na realizacji działań z zakresu opracowania, utrzymania aktualności i funkcjonalności zbudowanych modeli scoringowych w zgodzie z treścią Rekomendacji W, S i T KNF w zakresie dobrych praktyk i zarządzania ryzykiem kredytowym;
- art. 6 ust. 1 lit. f RODO poprzez jego niezastosowanie wskutek uznania, że BIK nie posiada podstawy prawnej do przetwarzania danych D. G., podczas gdy BIK posiada podstawę prawną przetwarzania z uwagi na konieczność zapewnienia rozliczalności działań BIK jako administratora danych osobowych na zasadzie art. 5 ust. 2 RODO w postaci wykazania przestrzegania przepisów dotyczących jakości danych.
2. naruszenie przepisów prawa procesowego, mającego istotny wpływ na wynik sprawy, tj.:
- art. 107 § 1 k.p.a. w związku z naruszeniem art. 8 § 1 i 2 k.p.a., poprzez wydanie decyzji nakładającej na BIK nieprecyzyjnie określone w osnowie obowiązki, których wykonanie jest obiektywnie niemożliwe bez podjęcia dalszych działań i prób sprecyzowania treści obowiązku wynikającego z nakazu zawartego w osnowie wydanej decyzji, co w sposób oczywisty stoi w sprzeczności z zasadą precyzyjnego określenia obowiązków nałożonych na adresata decyzji administracyjnej;
- art. 7 w zw. z art. 77 § 1 i w zw. z art. 80 k.p.a. w zw. z art. 7 UODO, poprzez niewyczerpujące zebranie, nierozpatrzenie i błędną ocenę całokształtu materiału dowodowego przejawiającego się w zaniechaniu dokonania wyczerpującej analizy charakteru, zakresu oraz celów gospodarczo - ekonomicznych dla jakich zostało powołane Biuro Informacji Kredytowej S.A. oraz obowiązków prawnych i obowiązków wynikających z zawartych przez BIK umów z bankami, skutkującą wadliwą i niepełną oceną stanu faktycznego sprawy oraz charakteru działania BIK, co w konsekwencji skutkowało nieuzasadnionym wydaniem przez organ nakazu usunięcia danych osobowych D. G.;
- art. 7b k.p.a. w zw. z art. 7 k.p.a. w zw. z art. 77 k.p.a. w zw. z art. 7 UODO poprzez niedokładne wyjaśnienie stanu faktycznego i prawnego koniecznego do podjęcia przez organ stosownych czynności, a w szczególności niezwrócenie się do KNF w celu kompleksowego wyjaśniania stanu faktycznego sprawy oraz współdziałania w zakresie niezbędnym do dokładnego wyjaśnienia stanu prawnego, mając na względzie interes społeczny i słuszny interes obywateli w postaci ustalenia należytych zasad, celów i zakresu przetwarzania danych osobowych o niezrealizowanych zapytaniach kredytowych tak, by procesy przetwarzania danych czyniły zadość zarówno przepisom prawa o ochronie danych osobowych, jak i przepisom szeroko pojętego prawa bankowego, w szczególności dla zapewnienia ochrony wartości, których gwarancje ochrony wynikają z ww. przepisów zgodnie z zasadą proporcjonalności;
- art. 7 k.p.a., art. 77 § 1 k.p.a. i art. 80 k.p.a. poprzez zaniechanie dokonania oceny Rekomendacji S, W i T KNF jako organu właściwego do sprawowania nadzoru nad instytucjami krajowymi w rozumieniu przepisów UE (regulatora rynku finansowego), które to regulacje nakładają na banki, a w konsekwencji na BIK, jako instytucję gromadzącą dane służące do oceny zdolności kredytowej oraz budującą modele scoringowe służące bankom, określone wymagania, które podlegają nadzorowi i egzekwowaniu przez KNF na podstawie bezwzględnie obowiązujących przepisów prawa, co w konsekwencji doprowadziło do zaniechania przez organ oceny podstaw prawnych i celów dla jakich BIK oraz banki są upoważnione do przetwarzania danych w zakresie zdolności kredytowej również w przypadku nie zawarcia umowy kredytowej dla zabezpieczenia interesów banków oraz stabilności rynku gospodarczo-finansowego;
- art. 7 k.p.a., art. 77 k.p.a. w zw. z art. 80 k.p.a. poprzez zaniechanie wyczerpującego zebrania i rozpatrzenia materiału dowodowego, a w szczególności przejawiającego się brakiem analizy treści skargi złożonej do PUODO przez D. G. pod kątem istnienia - po stronie banków, a w konsekwencji BIK jako instytucji gromadzącej dane służące do oceny zdolności kredytowej oraz budującej modele scoringowe służące bankom - oczywistego interesu prawnego przejawiającego się w odmowie udzielenia kredytu wynikającego z braku istnienia zdolności kredytowej po stronie uczestnika, co prowadzi do zabezpieczenia interesu banków przed nieodpowiedzialną polityką udzielania kredytów osobom, które nie mają szans na ich spłacenie oraz do zapewnienia stabilności gospodarczo-ekonomicznej sektora bankowego, a w ujęciu makro zapobieganiu kryzysom gospodarczym;
- art. 7 k.p.a., art. 77 k.p.a. w zw. z art. 80 k.p.a. poprzez niezbadanie przez organ wszystkich podstaw prawnych dalszego przetwarzania danych o zapytaniach kredytowych, w sytuacji nieudzielenia kredytu, pomimo, iż przepisy prawa upoważniają BIK do przetwarzania tych danych, co w konsekwencji doprowadziło do błędnego nakazania BIK usunięcie danych osobowych wobec błędnego przyjęcia przez organ braku istnienia podstawy prawnej do przetwarzania danych;
- art. 8 § 1 i 2 k.p.a. poprzez odstąpienie przez organ od utrwalonej praktyki rozstrzygania spraw w takim samym stanie faktycznym i prawnym, co z kolei narusza zasadę pogłębiania zaufania obywateli do władzy publicznej.
W uzasadnieniu pełnomocnik rozszerzył argumentację podniesionych zarzutów skargi. Podniesiono dodatkowo, że decyzja została wydana z rażącym naruszeniem przepisów o postępowaniu, jakim jest nieprecyzyjne określenie obowiązku BIK w związku z wydaniem przez PUODO w punkcie 1 nakazu usunięcia danych osobowych D. G. w zakresie zapytania kredytowego z dnia [...] marca 2021 r. "przetwarzanych bez podstawy prawnej". Pełnomocnik wskazał, że rozstrzygnięcie musi być sformułowane w sposób jasny, wyraźny i jednoznaczny. Podniósł, że osnowa skarżonej decyzji w pkt. 1 zawiera nakaz usunięcia danych D. G. przez BIK w zakresie danych zawartych w zapytaniu kredytowym z dnia [...] marca 2021 r., "przetwarzanych bez podstawy prawnej". Organ jednocześnie pozostawił kwestii swobodnej interpretacji BIK, które dane są przetwarzane "bez podstawy prawnej". Podniesiono, że częściowo odpowiedzi na tę wątpliwość BIK może szukać w uzasadnieniu decyzji, jednak podejmowanie takich działań pozostaje sprzeczne z zasadą precyzji formułowania praw i obowiązków przez organ wydający decyzję administracyjną. BIK nie ma obiektywnych możliwości ustalenia, jakich danych i jakiego przetwarzania dotyczy nakaz - poza informacją o zakresie danych, organ nie wskazał ani celów przetwarzania, które uważa za realizowane z naruszeniem zasady legalności przetwarzania, ani podstaw prawnych, których przyjęcie przez skarżącego w ocenie organu jest niewłaściwe. Skarżona decyzja została wydana z rażącym naruszeniem art. 107 k.p.a., co skutkuje obiektywnym brakiem możliwości jej realizacji, a to poprzez brak możliwości określenia jednoznacznej i precyzyjnej treści nakazu oraz naruszeniem art. 8 § 1 i 2 k.p.a., mającym istotny wpływ na wynik sprawy.
Pełnomocnik powołując się na art. 105 ust. 4 pkt 1 w zw. z art. 105 ust. 1 Prawa bankowego wskazał też m.in., że BIK jest ex lege zobligowany do przetwarzania informacji stanowiących tajemnicę bankową, w tym danych osobowych m.in. w zakresie, w jakim przepisy wymagają od BIK stosowania metod wewnętrznych oraz innych metod i modeli, o których mowa w części trzeciej rozporządzenia nr 575/2013 lub współuczestniczenia w stosowaniu tych metod i modeli przez inne jednostki sektora bankowego, w zakresie w jakim informacje te są potrzebne w związku z wykonywaniem czynności bankowych. Te cele przetwarzania danych wynikają bezpośrednio z celu powołania BIK i celów jego działalności, określonych w art. 105 ust. 4 Prawa bankowego.
Pełnomocnik podniósł też m.in., że dla dokonania oceny zdolności kredytowej stosuje się metody ratingu ryzyka, tzw. metody scoringowe. Modele te pozwalają na skuteczne zabezpieczenie sektora finansowego, w szczególności banków, a w ujęciu makroekonomicznym całej gospodarki przed udzielaniem kredytów osobom, które nie mają szans na ich spłatę, ergo stosowanie poprawnie działających modeli scoringowych przeciwdziała nieodpowiedzialnej polityce udzielania kredytów. Brak ostrożności w zakresie udzielania finansowania podmiotom niewypłacalnym, w tym wynikający z braku odpowiednio dokładnej weryfikacji zdolności do spłaty zobowiązania przez podmiot otrzymujący finansowanie, był przyczyną wielu głębokich nowożytnych kryzysów gospodarczych, w tym kryzysu gospodarczego w Stanach Zjednoczonych w latach 2007-2009. Pełnomocnik podniósł, że nie sposób zgodzić się ze stanowiskiem Prezesa UODO, że brak zawarcia umowy kredytowej wynikający z negatywnej oceny zdolności indywidualnego ryzyka kredytowego powoduje automatyczne odpadnięcie przesłanki legitymującej BIK do przetwarzania danych osobowych. Każda informacja, zarówno pozytywna jak i negatywna, jest istotna dla funkcjonalnego opisania rzeczywistości i realiów gospodarczych, w których funkcjonuje sektor bankowy. Pełnomocnik stwierdził, że wypełnienie nakazu PUODO w postaci usunięcia danych osobowych D. G. w zakresie zapytania kredytowego z dnia [...] marca 2021 r. przekazanego przez Bank prowadziłoby zdaniem skarżącego do rażącego naruszenia prawa powszechnie obowiązującego przez BIK, zatem w swojej istocie jest niewykonalne. Podniesiono m.in., że poprawnie funkcjonujące, odpowiadające rzeczywistości i kompletne modele scoringowe stanowią skuteczne zabezpieczenie sektora finansowego, w szczególności banków i sektora bankowego, a w ujęciu makroekonomicznym całej gospodarki, przed udzielaniem kredytów osobom, które nie mają szans na ich spłatę. Sektor bankowy pełni bardzo ważną rolę w zapewnieniu stabilności gospodarczej państwa. Nieodpowiedzialna polityka finansowania powoduje mniej lub bardziej istotne zachwiania stabilności gospodarczej, co prowadzi do trudnych i długotrwałych kryzysów, skutkując realnym zagrożeniem lub szkodą na dobrobycie każdego z nas (zob. A. Dobrzańska, E. Kosycarz, B. Pietrzak [w:] A. Alińska, K. Wasiak (red.). Mechanizmy stabilności systemu finansowego, C.H. Beck 2017, str. 20). Skarżący wskazał też na konieczność zapewnienia stabilności ekonomiczno-gospodarczej poprzez skuteczne zabezpieczenie sektora finansowego, w szczególności banków i sektora bankowego, a w ujęciu makroekonomicznym całej gospodarki, przed skutkami nieodpowiedzialnej polityki udzielania kredytów osobom, które nie mają szans na ich spłatę (powołał się na art. 6 ust. 1 lit. e RODO). Podniesiono m.in., że wypełnienie nakazu w postaci usunięcia danych osobowych D. G. w zakresie zapytania kredytowego z dnia [...] marca 2021 r. przekazanego BIK przez Bank prowadziłoby do uniemożliwienia BIK realizacji Rekomendacji W,S i T KNF, co w konsekwencji, jak podano, może prowadzić do wykluczenia BIK z rynku finansowego. Wskazano też m.in., że PUODO nie podjął konsultacji z KNF celem ustalenia, jakie dane, w jakim zakresie i przez jaki czas muszą być przetwarzane przez BIK w związku z realizacją przez BIK zadań w charakterze instytucji sektora bankowego. Podniesiono, że pozostaje BIK jest zobligowany do przetwarzania danych osobowych D. G. w celu umożliwienia uzyskania wyjaśnień w zakresie czynników, w tym danych osobowych wnioskującego, które miały wpływ na dokonaną ocenę zdolności kredytowej, na podstawie art. 6 ust. 1 lit. c) RODO w zw. z art. 70a w zw. z art. 105 ust. 4 pkt. 1 i 2 oraz w zw. z art. 105a w zw. z art. 105 ust. 4 pkt. 1 i 2 Prawa bankowego. Na dzień opracowania niniejszej skargi okres 12 miesięcy liczony od dnia złożenia zapytania upłynął, w związku z czym dane D. G. nie są już przetwarzane przez BIK w ww. celu.
Pełnomocnik wskazał też, że Prezes UODO argumentuje brak możliwości zastosowania art. 6 ust. 1 lit. f RODO jako podstawy prawnej przetwarzania danych osobowych D. G. przez BIK powołując się na wyrok NSA, który opiera się na art. 23 ust. 1 pkt. 5 nieobowiązującej już ustawy o ochronie danych osobowych z 1997 r. Pełnomocnik podkreślił, że w poprzednim stanie prawnym, przesłanka, o której mowa, określała "prawnie usprawiedliwione cele". Uszczegółowienie tych celów miało miejsce w art. 23 ust. 4 ustawy, który wymieniał marketing bezpośredni własnych produktów lub usług administratora danych oraz dochodzenie roszczeń z tytułu prowadzonej działalności gospodarczej. Przesłanka dochodzenia roszczeń z tytułu prowadzonej działalności gospodarczej była więc dość restrykcyjnie i wąsko sformułowana, w przeciwieństwie do obecnego brzmienia art. 6 ust. 1 lit. f RODO. Powołując się na poglądy prezentowane w doktrynie pełnomocnik wskazał m.in., że "Na gruncie art. 6 ust. 1 lit. f RODO należy stwierdzić, iż prawodawca unijny, wprowadzając kategorię "uzasadnionego interesu administratora", ustanowił szerszą przesłankę przetwarzania danych osobowych. Pojęcie "interesu" bowiem będzie kategorią szerszą niż pojęcie "celu". (M. Sakowska-Baryła (red.), Ogólne rozporządzenie o ochronie danych osobowych. Komentarz, Warszawa 2018). Pełnomocnik odnosząc się do wyroku NSA powołanego przez PUODO wskazał, że nie sposób odmówić mu słuszności, jednakże , że organ wydając skarżoną decyzję, nie uwzględnił kluczowej różnicy pomiędzy tymi przepisami, co doprowadziło do naruszenia prawa materialnego, a to poprzez błędną wykładnię przesłanki z art. 6 ust. 1 lit. f RODO. Nie sposób zgodzić się z interpretacją Prezesa UODO, że przetwarzanie danych osobowych w celu ewentualnego zabezpieczenia roszczeń nie może opierać się na przesłance prawnie uzasadnionego interesu administratora danych. Odmienna interpretacja prowadziłaby do braku możliwości dalszego przetwarzania informacji w postaci danych osobowych D. G. w zakresie zapytania kredytowego z dnia [...] marca 2021 r., m.in. dla potrzeb niniejszego postępowania. Pełnomocnik BIK powołał się na poglądy prezentowane w wyroku WSA w Warszawie z dnia 4 sierpnia 2022 r. sygn. akt II SA/Wa 542/22, w tym powołane w wymienionym wyroku poglądy doktryny. Wskazał, że chodzi o ewentualne roszczenia mogące mieć związek z dokonaną indywidualną oceną ryzyka kredytowego.
Pełnomocnik uzasadniając zarzut naruszenia art. 8 k.p.a. wskazał, że organ nie wziął pod uwagę utrwalonej praktyki rozstrzygania spraw w takim samym stanie faktycznym i prawnym. Wskazano na wyrok WSA w Warszawie z dnia 29 października 2021 r. sygn. akt. II SA/Wa 506/21, wyrok WSA w Warszawie z dnia 28 września 2021 r. sygn. akt II SA/Wa 474/21 i wyrok WSA w Warszawie z dnia 27 lipca 2022 r. sygn. akt II SA/Wa 3709/21 ).
Prezes Urzędu Ochrony Danych Osobowych w odpowiedzi na skargę BIK wniósł o jej oddalenie, podtrzymując stanowisko zawarte w zaskarżonej decyzji. Organ odniósł się do zarzutów skargi wskazując na ich niezasadność.
Pełnomocnik BIK w piśmie procesowym z dnia 4 kwietnia 2023 r., stanowiącym replikę na odpowiedź na skargę, podtrzymał w całości skargę BIK i prezentowane w niej stanowisko. Odniósł się do twierdzeń organu zawartych w odpowiedzi na skargę. Podniósł m.in., że odpowiedź organu na skargę BIK nie zawiera żadnego merytorycznego odniesienia się do zarzutów naruszenia art. 7, art. 77, art. 80 k.p.a. Nie sposób zgodzić się z twierdzeniem Prezesa UODO jakoby wyczerpująco zebrał i rozpatrzył materiał dowodowy. Odnosząc się do stanowiska organu w zakresie zwrócenia się do KNF pełnomocnik BIK podniósł, że sprawa ma skomplikowany charakter bowiem dotyczy sektora finansowego oraz jego poprawnego funkcjonowania w zakresie niezrealizowanych zapytań kredytowych poprawnego funkcjonowania w zakresie niezrealizowanych zapytań kredytowych oraz potrzeby rynku finansowego w dalszym przetwarzaniu danych oraz w zakresie funkcjonowania kompletnych modeli scoringowych odpowiadających rzeczywistości, które w swojej istocie stanowią skuteczne zabezpieczenie sektora finansowego, w szczególności banków i sektora bankowego, a w ujęciu makroekonomicznym całej gospodarki w zakresie polityki udzielania kredytów, a więc w sferze, która ma absolutnie kluczowe znaczenie dla funkcjonowania rynku finansowego, a w dalszej perspektywie państwa. Podniesiono również m.in., że Prezes UODO zupełnie nie zbadał konsekwencji realizacji nakazu usunięcia danych dla produktów BIK oferowanych bankom, ergo implikacji, jakie realizacja takiego nakazu, niesprecyzowanego co do zakresu i celu, będzie nieść właśnie dla sektora bankowego i dla stabilności gospodarczo-ekonomicznej. Prezes UODO całkowicie zaniechał w prowadzonym przez siebie postępowaniu analizy skutków wydanej przez siebie decyzji, podejmując rozważania wyłącznie z ukierunkowaniem na treść skargi podmiotu danych, jednocześnie zapominając, że "Przetwarzanie danych osobowych należy zorganizować w taki sposób, aby służyło ludzkości. Prawo do ochrony danych nie jest prawem bezwzględnym; należy je postrzegać w kontekście jego funkcji społecznej i wyważyć względem innych praw podstawowych w myśl zasady proporcjonalności" (Motyw 4 RODO). Podkreślono też m.in., że powołany przez PUODO wyrok NSA jest z 14 września 2005 r. i opiera się na innym brzmieniu art. 105 Prawa bankowego. Od tego czasu przepis art. 105 Prawa bankowego był kilkadziesiąt razy zmieniany. Co istotne, od tego czasu szeroko rozumiany sektor bankowy przeszedł duże zmiany, regulacje prawne były wielokrotnie zmieniane, a organ nadzorczy KNF wydawał wiele opinii i rekomendacji w kontekście zmian na rynku i w odniesieniu do jego potrzeb. Zauważono również, że argumentacja odpowiedzi na skargę na stronie nr 24 odnosi się do zapytań kredytowych z innej daty niż [...] marca 2021 r., a więc nie dotyczy tej sprawy. Podniesiono także m.in., że negatywny wynik zapytania kredytowego nie zmienia faktu, iż między BIK a osobą fizyczną, wnioskującą o kredyt, doszło do podjęcia specyficznej czynności prawnej, przygotowującej do zawarcia umowy. W wyniku nawiązania tej relacji, po stronie osoby wnioskującej o kredyt powstały uprawnienia, których zrealizowania może żądać od BIK jako administratora danych osobowych. Po stronie BIK powstał zaś szereg obowiązków wynikających z RODO, w tym również powinność wykazania – zarówno w stosunku do tej osoby, jak i na żądanie organu - że wykonuje on nałożone na niego obowiązki.
BIK podkreślił też, że nigdy nie twierdził, że dane osobowe mogą być przetwarzane bez ograniczeń czasowych – wręcz przeciwnie, BIK przyjmuje konkretne i jasno określone limity czasowe dla każdego celu przetwarzania danych. Po zrealizowaniu założonych celów przetwarzania, dane osobowe D. G. zostaną usunięte, gdyż ich przetwarzanie nie będzie wówczas konieczne dla realizacji przez BIK zasady rozliczalności.
Wojewódzki Sąd Administracyjny w Warszawie na rozprawie w dniu 25 kwietnia 2023 r. postanowił połączyć sprawę ze skargi [...] S.A. i skargi Biura Informacji Kredytowej S.A. w celu łącznego rozpoznania i rozstrzygnięcia oraz prowadzenia pod sygn. akt II SA/Wa 1942/22.
Wojewódzki Sąd Administracyjny w Warszawie zważył, co następuje.
Skargi Banku i BIK nie podlegały uwzględnieniu. Zaskarżona decyzja Prezesa UODO z dnia [...] sierpnia 2022 r. w całości, a zatem zarówno w części dotyczącej rozstrzygnięcia zawartego w punkcie 1 jak i 2, nie narusza prawa. Organ podjął w tej sprawie decyzję po dokonaniu pełnych ustaleń stanu faktycznego niezbędnych do jej rozstrzygnięcia. Sprawa niniejsza prawidłowo rozpatrzona i rozstrzygnięta została na podstawie RODO.
W sprawie jest bezsporne, że przetwarzanie danych osobowych D. G. przez Bank i BIK miało miejsce w czasie obowiązywania RODO, tj. w 2021 r. Wymieniony złożył do Banku wniosek kredytowy w dniu [...] marca 2021 r., co jest bezsporne. Bank wskazał w toku postępowania administracyjnego, że pozyskał w ten sposób i przetwarza dane wymienionego w zakresie: imię, nazwisko, PESEL, data urodzenia, seria i numer dowodu osobistego, data wydania i ważności dowodu osobistego, adres zameldowania, adres korespondencyjny, numer telefonu, adres email, dane zakładu pracy, stan cywilny, informacje o dochodzie i jego źródle, dane o obciążeniach gospodarstwa domowego. Niesporny jest też ustalony cel pozyskania danych wymienionego, tj. ocena zdolności kredytowej i ryzyka kredytowego. Cele dalszego przetwarzania przez Bank danych osobowych wymienionej wyżej osoby, z którą Bank nie zawarł umowy, zawartych w zapytaniu kredytowym, organ przedstawił w ustaleniach faktycznych decyzji, opartych na wyjaśnieniach Banku, które to ustalenia są bezsporne. Wskazać należy, że obejmują one takie cele jak: rozpatrywanie reklamacji oraz ustalanie, obrona i dochodzenie roszczeń (Bank wskazał, że w tym celu dane będzie przetwarzał przez 6 lat od dnia rozpatrzenia wniosku na podstawie art. 118 k.c.), analiza (indywidualnego i portfelowego) ryzyka kredytowego (Bank wskazał, że przepis prawa "nie precyzuje terminu" przetwarzania danych, zatem kierując się zasadą celowości i minimalizacji danych Bank przyjął okres przetwarzania danych w tym celu przez 3 lata od momentu rozpatrzenia wniosku, albowiem ten okres, jak wskazano, pozwala analitykom kredytowym na rzetelne ocenienie wniosku i zabezpieczenie interesów klienta i Banku), tworzenie modeli scoringowych i przetwarzanie danych pochodzących z zapytań kredytowych dla oceny innych osób (Bank wskazał, że przepis prawa "nie precyzuje terminu" przetwarzania danych także w tym celu, zatem kierując się zasadą celowości i minimalizacji danych Bank przyjął, że będzie przetwarzał dane D. G. w tym celu przez okres 6 lat od momentu rozpatrzenia wniosku, gdyż taki termin pozwala na budowanie wiarygodnego modelu scoringowego), realizacji wymogów ostrożnościowych tj. oceny ogólnej ekspozycji oraz ryzyka ekspozycji Banku wynikających z rozporządzenia nr 575/2013 (Bank wskazał, że przepis prawa "nie precyzuje terminu" przetwarzania danych w tym celu, zatem Bank stosuje zgodnie z zasadami celowości i minimalizacji danych okres 6 lat przetwarzania od momentu rozpatrzenia wniosku, aby wywiązać się z obowiązków zarządzania ekspozycjami kredytowymi), wykonywanie obowiązków związanych z przeciwdziałaniem praniu pieniędzy i finansowaniu terroryzmu (przetwarzanie danych osobowych D. G. w tym celu trwać będzie 5 lat, powołano się na art. 49 ust. 2 AML), realizacja prawa do wyjaśnienia oceny zdolności kredytowej (zgodnie z wyjaśnieniami "Bank nie ogranicza terminu w realizacji tego prawa. Termin ten jest jednak nie dłuższy, niż przetwarzania danych w celu obrony roszczeń").
D. G. poza wnioskami z dnia [...] marca 2021 r. i [...] września 2021 r. stanowiącymi żądania usunięcia danych nie kierował do Banku innych wniosków, reklamacji ani roszczeń (wyjaśnienia Banku – karta nr 49 akt admin.)
W sprawie jest także bezsporne, że BIK pozyskał dane osobowe D. G. w zakresie zapytania kredytowego z dnia [...] marca 2021 r. od Banku, na podstawie art. 105 ust. 4, art. 105a ust. 1 Prawa Bankowego oraz umowy zawartej między BIK i Bank.
Cele natomiast przetwarzania przez BIK danych D. G. pozyskanych od Banku w zakresie zapytania kredytowego zostały wskazane przez organ w ustaleniach faktycznych decyzji, na podstawie wyjaśnień uzyskanych od BIK i obejmują takie cele jak: ocena zdolności kredytowej i analizy ryzyka kredytowego (indywidualna ocena zdolności kredytowej), w tym zakresie BIK przyjął, że tak pozyskane dane D. G. będzie przetwarzał okres 12 miesięcy od dnia złożenia zapytania kredytowego; przetwarzanie w celu budowania modeli scoringowych, a więc narzędzi wykorzystywanych przez banki do oceny zdolności kredytowej i analizy ryzyka kredytowego - przez przyjęty przez BIK okres nie krócej niż 5 lat i nie dłużej niż 10 lat od dnia złożenia zapytania kredytowego; w celach statystycznych oraz stosowania metod wewnętrznych oraz innych metod i modeli przez okres nie dłuższy niż 10 lat od dnia przekazania zapytania do BIK (BIK wskazał w wyjaśnieniach, że przyjęty przez niego okres do 10 lat przetwarzania danych D. G. w tych celach wydaje się terminem, który w pełni pozwala zrealizować wymienione cele; zaznaczono, że okres 10 lat pozwala na pełne jakościowe uwzględnienie danych historycznych w celu prawidłowego zbudowania modeli statystycznych); w celach przeciwdziałania przestępstwom oraz wykonywania obowiązków w zakresie określonym w przepisach o przeciwdziałaniu praniu pieniędzy oraz finansowaniu terroryzmu (BIK wskazał w wyjaśnieniach, że aby zrealizować te cele dane pochodzące z wszystkich wniosków kredytowych należy przetwarzać przez okres 12 miesięcy – akta admin. karta 38); w celu rozpatrywania ewentualnych reklamacji i roszczeń odszkodowawczych - do momentu przedawnienia potencjalnych roszczeń wynikających z zapytań (6 lat art. 118 k.c. (cele dowodowe)) oraz w celu realizacji wniosków klientów banków dotyczących wyjaśnień dokonanej oceny zdolności kredytowej na podstawie art. 70a Prawa bankowego, wypełnienie obowiązku wynikającego z art. 15 RODO. Jednocześnie BIK wskazał, że wnioskodawca zwrócił się z żądaniem usunięcia jego danych osobowych. Wnioskodawca nie wystąpił do BIK z żadnym konkretnym roszczeniem, jak również BIK nie wystąpił wobec D. G. i nie zamierza występować z takim roszczeniem. W sprawie jest bezsporne również, że D. G. nie wystąpił do BIK z żądaniem opartym o art. 15 RODO (prawo do uzyskania potwierdzenia przetwarzania i dostępu do danych. W sprawie jest też bezsporne, że D. G. w dniu [...] marca 2021 r., a zatem kilka dni po złożeniu wniosku kredytowego zażądał pismem skierowanym do Banku usunięcia jego danych osobowych w związku z zapytaniem kredytowym (wyjaśnienia Banku – karta 49 akt adm.), a następnie żądanie w tym zakresie ponowił w dniu 11 września 2021 r. Bank w odpowiedzi z dnia 26 marca 2021 r. i 29 września 2021 r. odmówił usunięcia danych wnioskodawcy. Z akt administracyjnych i wyjaśnień Banku nie wynika, aby D. G. posiadał zobowiązanie (w tym kredytowe) w Banku, aby posiadał w Banku rachunek osobisty, czy inne produkty bankowe.
Dokonując oceny zgodności z prawem zaskarżonej decyzji w zakresie punktu 1 i 2, którą Prezes UODO nakazał BIK i Bankowi usunięcie danych osobowych D. G. zawartych w zapytaniu kredytowym z dnia [...] marca 2021 r. przetwarzanych bez podstawy prawnej, wskazać na wstępie należy, że zgodnie z motywem 40 RODO, aby przetwarzanie danych było zgodne z prawem, powinno się odbywać na podstawie zgody osoby, której dane dotyczą, lub na innej uzasadnionej podstawie przewidzianej prawem: albo w niniejszym rozporządzeniu, albo w innym akcie prawnym Unii lub w prawie państwa członkowskiego, o których mowa w niniejszym rozporządzeniu, w tym musi się ono odbywać z poszanowaniem obowiązku prawnego, któremu podlega administrator, lub z poszanowaniem umowy, której stroną jest osoba, której dane dotyczą, lub w celu podjęcia działań na żądanie osoby, której dane dotyczą, przed zawarciem umowy.
Powyższe znalazło wyraz w art. 6 ust. 1 RODO określającym przesłanki legalności przetwarzania danych osobowych. Zgodnie z tym przepisem, przetwarzanie jest zgodne z prawem wyłącznie w przypadkach, gdy - i w takim zakresie, w jakim - spełniony jest co najmniej jeden z poniższych warunków: a) osoba, której dane dotyczą wyraziła zgodę na przetwarzanie swoich danych osobowych w jednym lub większej liczbie określonych celów; b) przetwarzanie jest niezbędne do wykonania umowy, której stroną jest osoba, której dane dotyczą, lub do podjęcia działań na żądanie osoby, której dane dotyczą, przed zawarciem umowy; c) przetwarzanie jest niezbędne do wypełnienia obowiązku prawnego ciążącego na administratorze; d) przetwarzanie jest niezbędne do ochrony żywotnych interesów osoby, której dane dotyczą, lub innej osoby fizycznej; e) przetwarzanie jest niezbędne do wykonania zadania realizowanego w interesie publicznym lub w ramach sprawowania władzy publicznej powierzonej administratorowi; f) przetwarzanie jest niezbędne do celów wynikających z prawnie uzasadnionych interesów realizowanych przez administratora lub przez stronę trzecią, z wyjątkiem sytuacji, w których nadrzędny charakter wobec tych interesów mają interesy lub podstawowe prawa i wolności osoby, której dane dotyczą, wymagające ochrony danych osobowych, w szczególności gdy osoba, której dane dotyczą, jest dzieckiem. Akapit pierwszy lit. f) nie ma zastosowania do przetwarzania, którego dokonują organy publiczne w ramach realizacji swoich zadań.
Zgodnie z art. 105a ust. 1 Prawa bankowego, przetwarzanie przez banki, inne instytucje ustawowo upoważnione do udzielania kredytów, instytucje pożyczkowe oraz podmioty, o których mowa w art. 59d ustawy z dnia 12 maja 2011 r. o kredycie konsumenckim, a także instytucje utworzone na podstawie art. 105 ust. 4, informacji stanowiących tajemnicę bankową i informacji udostępnionych przez instytucje pożyczkowe oraz podmioty, o których mowa w art. 59d ustawy z dnia 12 maja 2011 r. o kredycie konsumenckim, w zakresie dotyczącym osób fizycznych może być wykonywane, z zastrzeżeniem art. 104, art. 105 i art. 106-106d, w celu oceny zdolności kredytowej i analizy ryzyka kredytowego. Zgodnie zaś z art. 105a ust. 4 Prawa bankowego, banki oraz instytucje, o których mowa w art. 105 ust. 4, mogą przetwarzać stanowiące tajemnicę bankową informacje dotyczące osoby fizycznej po wygaśnięciu zobowiązania wynikającego z umowy zawartej z bankiem lub inną instytucją ustawowo upoważnioną do udzielania kredytów bez zgody osoby, której informacje dotyczą, do celów stosowania metod wewnętrznych oraz innych metod i modeli, o których mowa w części trzeciej rozporządzenia nr 575/2013. Jednocześnie zgodnie z art. 105a ust. 5 Prawa bankowego, przetwarzanie informacji stanowiących tajemnicę bankową w przypadkach, o których mowa w ust. 3, może być wykonywane przez okres nie dłuższy niż 5 lat od dnia wygaśnięcia zobowiązania, a w przypadku, o którym mowa w ust. 4, przez okres 12 lat od dnia wygaśnięcia zobowiązania. Zgodnie z art. 70 ust. 1 Prawa bankowego, bank uzależnia przyznanie kredytu od zdolności kredytowej kredytobiorcy. Przez zdolność kredytową rozumie się zdolność do spłaty zaciągniętego kredytu wraz z odsetkami w terminach określonych w umowie. Kredytobiorca jest obowiązany przedłożyć na żądanie banku dokumenty i informacje niezbędne do dokonania oceny tej zdolności.
Nie ma w świetle powyższego wątpliwości i nie było kwestionowane przez Prezesa UODO w zaskarżonej decyzji (wbrew twierdzeniom Banku), że Bank oraz BIK, na podstawie art. 105a ust. 1 Prawa bankowego w zw. z art. 70 ust. 1 tej ustawy, były uprawnione do przetwarzania danych osobowych D. G. w celu oceny zdolności kredytowej i analizy ryzyka kredytowego. Pogląd ten podziela Sąd rozpoznający niniejszą sprawę. Wprawdzie Prezes UODO wskazał w decyzji, że Bank był uprawniony do przetwarzania danych wnioskodawcy w celu oceny zdolności kredytowej, jednakże wprost wskazał jednocześnie, że "W związku z dokonaniem przez Bank oceny zdolności kredytowej i analizy ryzyka kredytowego ww. cel przetwarzania danych osobowych (...) został zrealizowany i brak jest podstaw do kontynuowania tego procesu". Biorąc pod uwagę, że decyzja kredytowa w związku z zapytaniem kredytowym z dnia [...] marca 2021 r. zapadła w tym samym dniu, tj. [...] marca 2021 r. (wyjaśnienia Banku z dnia 5 stycznia 2022 r., karta nr 49 akt administr.), nie może być wątpliwości, że ocena zdolności kredytowej i analiza ryzyka kredytowego zostały dokonane (zrealizowane). Cel przetwarzania danych, dla którego zostały one zgromadzone w zapytaniu kredytowym, został osiągnięty, ustał.
Zgodnie z art. 105a ust. 2 Prawa bankowego, z zastrzeżeniem ust. 3, instytucje, o których mowa w ust. 1, mogą przetwarzać informacje stanowiące tajemnicę bankową oraz informacje udostępnione przez instytucje pożyczkowe oraz podmioty, o których mowa w art. 59d ustawy z dnia 12 maja 2011 r. o kredycie konsumenckim, w zakresie dotyczącym osób fizycznych po wygaśnięciu zobowiązania wynikającego z umowy zawartej z bankiem, inną instytucją ustawowo upoważnioną do udzielania kredytów, instytucją pożyczkową lub podmiotem, o którym mowa w art. 59d ustawy z dnia 12 maja 2011 r. o kredycie konsumenckim, pod warunkiem uzyskania pisemnej zgody osoby, której informacje te dotyczą, z zastrzeżeniem ust. 2a. Zgoda ta może być w każdym czasie odwołana. Ust. 3 stanowi, że Banki, instytucje oraz podmioty, o których mowa w ust. 1, mogą przetwarzać informacje stanowiące tajemnicę bankową i informacje udostępnione przez instytucje pożyczkowe oraz podmioty, o których mowa w art. 59d ustawy z dnia 12 maja 2011 r. o kredycie konsumenckim, dotyczące osób fizycznych po wygaśnięciu zobowiązania wynikającego z umowy zawartej z bankiem, inną instytucją ustawowo upoważnioną do udzielania kredytów, instytucją pożyczkową lub podmiotem, o którym mowa w art. 59d ustawy z dnia 12 maja 2011 r. o kredycie konsumenckim, bez zgody osoby, której informacje dotyczą, gdy osoba ta nie wykonała zobowiązania lub dopuściła się zwłoki powyżej 60 dni w spełnieniu świadczenia wynikającego z umowy zawartej z bankiem, inną instytucją ustawowo upoważnioną do udzielania kredytów, instytucją pożyczkową lub podmiotem, o którym mowa w art. 59d ustawy z dnia 12 maja 2011 r. o kredycie konsumenckim, a po zaistnieniu tych okoliczności upłynęło co najmniej 30 dni od poinformowania tej osoby przez bank, inną instytucję ustawowo upoważnioną do udzielania kredytów, instytucję pożyczkową albo podmiot, o którym mowa w art. 59d ustawy z dnia 12 maja 2011 r. o kredycie konsumenckim, o zamiarze przetwarzania dotyczących jej tych informacji, bez jej zgody. Kolejne przepisy wskazują, że banki oraz instytucje, o których mowa w art. 105 ust. 4, mogą przetwarzać stanowiące tajemnicę bankową informacje dotyczące osoby fizycznej po wygaśnięciu zobowiązania wynikającego z umowy zawartej z bankiem lub inną instytucją ustawowo upoważnioną do udzielania kredytów bez zgody osoby, której informacje dotyczą, do celów stosowania metod wewnętrznych oraz innych metod i modeli, o których mowa w części trzeciej rozporządzenia nr 575/2013 (ust. 4). Przetwarzanie informacji stanowiących tajemnicę bankową w przypadkach, o których mowa w ust. 3, może być wykonywane przez okres nie dłuższy niż 5 lat od dnia wygaśnięcia zobowiązania, a w przypadku, o którym mowa w ust. 4, przez okres 12 lat od dnia wygaśnięcia zobowiązania (ust. 5). Zakres przetwarzanych informacji, o których mowa w ust. 3 i 4, może obejmować dane dotyczące osoby fizycznej lub dane dotyczące zobowiązania (ust. 6).
Podkreślenia jednak wymaga, że w sprawie tej nie doszło do zawarcia umowy kredytowej pomiędzy Bankiem a D. G.. Wnioskodawca już po kilku dniach, a następnie ponownie po kilku miesiącach od złożenia wniosku o kredyt wniósł o usunięcie jego danych.
Zgodzić należało się w związku z powyższym z Prezesem UODO, że odpadła przesłanka legalizująca dalsze przetwarzanie danych osobowych D. G. przez Bank oraz BIK, które to przetwarzanie miało na celu – co wymaga podkreślenia i czego nie kwestionował organ – ocenę zdolności kredytowej i analizę ryzyka kredytowego (przed zawarciem umowy). Pomiędzy Bankiem a wymienioną osobą fizyczną nie nawiązał się żaden stosunek zobowiązaniowy, który stosownie do art. 105a ust. 1 -6 Prawa bankowego dawałby podstawę do dalszego przetwarzania jego danych osobowych zarówno przez Bank jak i BIK. Ustał cel przetwarzania, dla którego pozyskano dane osobowe D. G. i nie ma spełnionej przesłanki ich dalszego przetwarzania, co trafnie stwierdził w zaskarżonej decyzji organ powołany do spraw ochrony danych osobowych.
Z przedstawionych wyżej przepisów wynika, że przesłanki zawarte w art. 105a Prawa bankowego dotyczą przetwarzania informacji objętych tajemnicą bankową w okresie przed powstaniem zobowiązania, w trakcie jego trwania oraz po wygaśnięciu zobowiązania. Natomiast w sytuacji, gdy w następstwie złożenia wniosku kredytowego nie dochodzi do zawarcia umowy kredytowej z Bankiem, jak miało to miejsce w niniejszej sprawie, brak jest ustawowych przesłanek legalizujących dalsze przetwarzanie danych osobowych D. G. zawartych w zapytaniu kredytowym z dnia [...] marca 2021 r. Przetwarzane są one bowiem w celach wskazanych przez Bank i BIK (innych niż cele, dla których zostały zebrane, tj. oceny zdolności kredytowej i analizy ryzyka kredytowego) bez podstawy prawnej.
W świetle powyższego trzeba też wskazać, że sposób sformułowania nakazu w decyzji nie stanowi o rażącym naruszeniu art. 107 § 1 k.p.a. Rozstrzygnięcie decyzji jest w ocenie Sądu na tyle jasne i precyzyjne, że nie wywołuje trudności w sferze wykonania. Nie ma przy tym wątpliwości, że nakaz usunięcia dotyczy danych osobowych D. G. zawartych w zapytaniu kredytowym z dnia [...] marca 2021 r. Zarówno Bank jak i BIK znają to zapytanie i zawarte w nim dane osobowe wymienionej osoby fizycznej. Dodanie przez organ w nakazach formuły "przetwarzanych bez podstawy prawnej" wiąże się ściśle ze stwierdzeniem przez organ w decyzji, że dane te po osiągnięciu przez BIK i Bank celu przetwarzania w postaci oceny zdolności kredytowej i ryzyka kredytowego, są przetwarzane w sposób naruszający RODO. Nakazy nie są więc nieprecyzyjne, a z całą pewnością nie można mówić o ich niewykonalności na gruncie tej sprawy i dokonanych ustaleń faktycznych. Nakazy mogły być oczywiście sformułowane w sposób bardziej szczegółowy, jednakże nie odnosiłyby się do innych danych niż dane osobowe D. G. zawarte w zapytaniu kredytowym z dnia [...] marca 2021 r., które w ocenie Prezesa UODO przetwarzane są przez BIK i Bank – po osiągnięciu celu – dla którego zostały zebrane – bez podstawy prawnej.
Nie może budzić wątpliwości, że ocena zdolności kredytowej i ryzyka kredytowego ma charakter czynności wstępnych przed zawarciem umowy przez bank. Dalsze przetwarzanie danych, uzyskanych pierwotnie wyłącznie w celu oceny zdolności kredytowej i analizy ryzyka kredytowego, w przypadku braku zawarcia stosownej umowy, pozostaje w oderwaniu od celu, dla którego dane zostały zebrane. Na gruncie RODO niedopuszczalne jest – w takim stanie faktycznym, jak w niniejszej sprawie, gdy nie zawarto umowy kredytowej – przetwarzanie danych osobowych D. G. "na przyszłość" w zupełnie innych celach niż je zebrano, w tym na potrzeby oceny zdolności kredytowej innych osób, w sytuacji, gdy nie można zrekonstruować wyraźnej podstawy prawnej takich działań.
W sprawie nie mamy do czynienia z sytuacją, w której nawiązano stosunek zobowiązaniowy i następnie dane przetwarzane są (w tym także udostępniane) przez administratora nie tylko w celu zasadniczym, tj. realizacji zawartej z klientem umowy,
ale także w innych celach, które powstały w trakcie trwania stosunku zobowiązaniowego i które w ocenie administratora winny być, czy mogą być – w związku z trwającym stosunkiem prawnym - kwalifikowane jako jego "prawnie uzasadnione interesy" na gruncie RODO (art. 6 ust. 1 lit.f RODO). Przypadek taki nie zachodzi w niniejszej sprawie.
Sprawa niniejsza dotyczy – co wymaga raz jeszcze podkreślenia - przetwarzania danych osoby fizycznej, z którą Bank nie zawarł żadnej umowy, ustał przy tym cel przetwarzania danych tej osoby fizycznej wynikający z art. 105a ust. 1 w zw. z art. 70 ust. 1 Prawa bankowego, osoba ta wniosła o zaprzestanie przetwarzania danych i ich usunięcie. Przesłanki do dalszego przetwarzania danych osobowych D. G. (na przyszłość i w innych wskazywanych obecnie przez Bank i BIK celach) nie stanowi w tej sprawie, w jej okolicznościach faktycznych, ani dla Banku ani dla BIK żadna z przesłanek z art. 6 ust. 1 lit.a -f RODO (czyli nie jest to ani zgoda (zgody takiej bowiem nie uzyskano i z akt sprawy nie wynika, aby zwracano się do D. G. o zgodę na przetwarzanie w przyszłości jego danych osobowych w celach innych niż ocena zdolności kredytowej i ryzyka kredytowego), ani przetwarzanie niezbędne do wykonania umowy lub działań przed zawarciem umowy, ani wypełnienie obowiązku prawnego ciążącego na administratorze, ani niezbędność dla ochrony żywotnych interesów osoby fizycznej lub innej osoby, ani wykonanie zadania realizowanego w interesie publicznym lub w ramach sprawowania władzy publicznej, ani niezbędność do celów wynikających z prawnie uzasadnionych interesów). Nie można się przy tym zgodzić z BIK, że organ naruszył m.in. również art. 6 ust. 1 lit.e RODO, albowiem wbrew twierdzeniom skargi w sprawie tej nie mamy do czynienia z przetwarzaniem przez BIK i Bank jako spółki prawa handlowego danych osobowych (osoby z którą Bank nie zawarł umowy) w ramach zadania realizowanego w interesie publicznym, o czym jest mowa w art. 6 ust. 1 lit.e RODO. Przetwarzanie danych osobowych przez Bank i BIK, jako spółki prawa handlowego nie ma miejsca na podstawie art. 6 ust. 1 lit e RODO, niezależnie od wyznaczanych sobie przez te podmioty celów. Także określenie jako przedmiotu działalności gospodarczej "przetwarzanie danych" wymaga dla tego przetwarzania legalnej podstawy. Powołanie się na konieczność zabezpieczenia ekonomiczno-gospodarczego sektora bankowego, zapewnienie stabilności gospodarczej sektora bankowego jako uzasadnienie interesu publicznego, o którym mowa w art. 6 ust. 1 lit.e, w odniesieniu do przetwarzania danych zawartych w zapytaniu kredytowym osoby, z którą bank nie zawarł umowy nie jest trafne. Ustaleń Sądu w tym zakresie nie zmienia analiza treści znajdującej się w aktach administracyjnych umowy zawartej między wskazanymi spółkami prawa handlowego (BIK i Bankiem [...] S.A.). Umowa ta nie stanowi samoistnej podstawy legalności przetwarzania danych osobowych D. G. w celach wskazywanych obecnie przez wymienione podmioty. Stosowanie RODO nie może zostać wyłączone poprzez zapis umowy.
Ustalenie Prezesa UODO w zakresie braku dopuszczalności przetwarzania danych D. G. zawartych w zapytaniu kredytowym wskazanym w decyzji jest prawidłowe. Nakaz zawarty zarówno w punkcie 1 jak i 2 decyzji jest przy tym, jak wskazano już wyżej, jasny, nie ma wątpliwości co do jego zakresu i jest wykonalny.
Za nieuzasadnione Sąd uznał wszystkie zarzuty podniesione przez Bank i BIK w złożonych w tej sprawie skargach. W ocenie Sądu organ zasadnie nakazał w punkcie 1 decyzji BIK, a w punkcie 2 decyzji Bankowi usunięcie danych osobowych D. G. zawartych w zapytaniu kredytowym z dnia [...] marca 2021 r. przetwarzanych bez podstawy prawnej.
Nietrafny, w świetle poczynionych wyżej ustaleń i rozważań, jest zarzut Banku naruszenia art. 6 ust. 1 lit. c RODO w zw. z art. 105 ust. 4, art. 105a ust. 1 Prawa bankowego, jak również zarzut BIK dotyczący naruszenia art. 6 ust. 1 lit. c (ewentualnie art. 6 ust. 1 lit.f) RODO w zw. z art. 105 ust. 1 pkt 1c w zw. z art. 105 ust. 4 i w zw. z art. 105a w zw. z art. 70 i art. 5 ust. 1 pkt 3 Prawa bankowego. Podkreślenia wymaga przy tym, że Prezes UODO nie kwestionował, że udzielanie kredytów jest czynnością bankową. Warto zwrócić przy tym uwagę, że art. 105 ust. 4 Prawa bankowego nie nakłada na Bank obowiązku korzystania z zewnętrznej bazy zawierającej informacje o wnioskach z sektora bankowego oraz sektora pożyczkowego. Przyznaje jedynie bankom uprawnienie do tworzenia instytucji upoważnionych do gromadzenia, przetwarzania i udostępniania bankom informacji stanowiących tajemnicę bankową we wskazanym zakresie.
Przesłanka z art. 6 ust. 1 lit. c RODO nie znajduje zastosowania w okolicznościach niniejszej sprawy. Przepis ten dotyczy bowiem sytuacji, gdy przetwarzanie jest niezbędne do wypełnienia obowiązku prawnego administratora danych, a nie realizacji uprawnienia, o którym mowa w art. 105 ust. 4 Prawa bankowego. Ponadto przepis art. 105 ust. 4 Prawa bankowego nie stanowi o dopuszczalności przetwarzania danych osobowych dotyczących wniosków kredytowych w sytuacji, gdy nie doszło do zawarcia umowy z Bankiem.
Raz jeszcze podkreślenia wymaga, że Prezes UODO nie kwestionował w tej sprawie, że Bank i BIK miał uprawnienie do przetwarzania danych osobowych D. G. w celu oceny zdolności kredytowej i analizy ryzyka kredytowego. Cel ten jednak ustał. Przepis art. 105a ust. 1a, 1b, 1c Prawa bankowego dotyczy określenia warunków dopuszczalności zautomatyzowanego przetwarzania, w tym profilowania danych osobowych w celu oceny zdolności kredytowej i analizy ryzyka kredytowego. Powyższe przepisy w żaden sposób nie dają podstawy do przetwarzania "na przyszłość" danych osoby, z którą umowy nie zawarto, a cel, dla którego dane zebrano ustał. Wbrew zarzutom obu skarg brzmienie art. 105a Prawa bankowego nie daje podstaw do dalszego przetwarzania danych D. G. po zakończeniu oceny zdolności kredytowej i analizy ryzyka kredytowego, gdy umowy nie zawarto. Na podstawie powołanych przepisów Bank a także BIK nie ma uprawnienia do dalszego przetwarzania tych danych, albowiem umowy nie zawarto i nie wykazano przesłanki legalizującej to działanie.
Sąd podziela pogląd Naczelnego Sądu Administracyjnego wyrażony w wyroku z dnia 27 sierpnia 2019 r. sygn. akt I OSK 2567/17 (orzeczenia.nsa.gov.pl), zgodnie z którym, "Gdyby podzielić stanowisko skarżącego, że pozyskanie danych na etapie złożenia wniosku kredytowego uprawnia bank do ich nieograniczonego w czasie przechowywania po odmowie zawarcia umowy kredytowej, to regulacje zawarte w art. 105 a ust. 2 i 3 i ust. 5 Prawa bankowego ograniczające w czasie przypadki przetwarzania danych klientów z umów kredytowych pozbawione byłyby sensu".
Pogląd ten wyrażony został wprawdzie na gruncie poprzednio obowiązującej ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych i obowiązującej przed RODO Dyrektywy 95/46, jednakże w ocenie Sądu nie stracił na aktualności. Przepisy RODO wzmacniają jeszcze w porównaniu z Dyrektywą 95/46 ochronę danych osób fizycznych. Aktualności tego poglądu Naczelnego Sądu Administracyjnego nie zmienia także fakt, że BIK i Bank, przyjęły w swej praktyce określone terminy dalszego przetwarzania danych osobowych osoby, z którą nie zawarto umowy kredytu.
Trzeba podkreślić, że zgodnie z art. 5 ust. 1 RODO, dane osobowe muszą być: a) przetwarzane zgodnie z prawem, rzetelnie i w sposób przejrzysty dla osoby, której dane dotyczą ("zgodność z prawem, rzetelność i przejrzystość"); b) zbierane w konkretnych, wyraźnych i prawnie uzasadnionych celach i nieprzetwarzane dalej w sposób niezgodny z tymi celami; dalsze przetwarzanie do celów archiwalnych w interesie publicznym, do celów badań naukowych lub historycznych lub do celów statystycznych nie jest uznawane w myśl art. 89 ust. 1 za niezgodne z pierwotnymi celami ("ograniczenie celu"); c) adekwatne, stosowne oraz ograniczone do tego, co niezbędne do celów, w których są przetwarzane ("minimalizacja danych"); d) prawidłowe i w razie potrzeby uaktualniane; należy podjąć wszelkie rozsądne działania, aby dane osobowe, które są nieprawidłowe w świetle celów ich przetwarzania, zostały niezwłocznie usunięte lub sprostowane ("prawidłowość"); e) przechowywane w formie umożliwiającej identyfikację osoby, której dane dotyczą, przez okres nie dłuższy, niż jest to niezbędne do celów, w których dane te są przetwarzane; dane osobowe można przechowywać przez okres dłuższy, o ile będą one przetwarzane wyłącznie do celów archiwalnych w interesie publicznym, do celów badań naukowych lub historycznych lub do celów statystycznych na mocy art. 89 ust. 1, z zastrzeżeniem że wdrożone zostaną odpowiednie środki techniczne i organizacyjne wymagane na mocy niniejszego rozporządzenia w celu ochrony praw i wolności osób, których dane dotyczą ("ograniczenie przechowywania"); f) przetwarzane w sposób zapewniający odpowiednie bezpieczeństwo danych osobowych, w tym ochronę przed niedozwolonym lub niezgodnym z prawem przetwarzaniem oraz przypadkową utratą, zniszczeniem lub uszkodzeniem, za pomocą odpowiednich środków technicznych lub organizacyjnych ("integralność i poufność").
Przedstawione zasady przetwarzania danych nie pozwalają na arbitralne decydowanie przez administratora – w sytuacji braku do tego podstaw – o dalszym przetwarzaniu (a zatem ich m.in. ujawnianiu poprzez przesyłanie, udostępnianie, utrwalanie, organizowanie, adaptowanie, modyfikowanie) danych osobowych mimo ustania celu, dla którego dane w zapytaniu kredytowym były zebrane. Powyższe znajduje odniesienie do przetwarzania danych przez BIK jako administratora. Do podmiotu tego też mają zastosowanie zasady przetwarzania danych określone w art. 5 RODO. Przepis art. 5 ust. 2 RODO stanowi, że administrator jest odpowiedzialny za przestrzeganie ust. 1 i musi być w stanie wykazać ich przestrzeganie ("rozliczalność"). W ocenie BIK ze względu na tę właśnie rozliczalność ma on podstawę w art. 6 ust. 1 lit.f RODO do przetwarzania danych D. G.. Skoro Bank i BIK nie dysponuje przesłanką legalności przetwarzania danych zawartych w zapytaniu kredytowym wymienionej osoby po tym, gdy wniosła ona o usunięcie tych danych, co zasadnie stwierdził Prezes UODO, to nie można przyjąć, aby same zasady określone w RODO mogły wykreować (stanowić) przesłankę legalności przetwarzania danych.
Przetwarzanie zgodnie z art. 4 pkt 2 RODO oznacza operację lub zestaw operacji wykonywanych na danych osobowych lub zestawach danych osobowych w sposób zautomatyzowany lub niezautomatyzowany, taką jak zbieranie, utrwalanie, organizowanie, porządkowanie, przechowywanie, adaptowanie lub modyfikowanie, pobieranie, przeglądanie, wykorzystywanie, ujawnianie poprzez przesłanie, rozpowszechnianie lub innego rodzaju udostępnianie, dopasowywanie lub łączenie, ograniczanie, usuwanie lub niszczenie.
Podkreślenia wymaga, że kwestia oceny zdolności kredytowej i ryzyka kredytowego, która w odniesieniu do wniosku D. G. dokonana została w tym samym dniu, w którym złożono zapytanie kredytowe, tj. [...] marca 2021 r. nie stanowi sama w sobie podstawy do dalszego przetwarzania jego danych osobowych danych osobowych na przyszłość.
Zaakceptowanie wykładni przepisów Prawa bankowego, AML, rozporządzenia nr 575/2013 zaprezentowanej w skargach zarówno przez Bank jak i BIK prowadziłaby do stwierdzenia, że na potrzeby oceny zdolności kredytowej i analizy ryzyka kredytowego Bank i BIK mają prawo nieograniczonego w czasie przetwarzania danych osoby, z którą Bank nie zawarł umowy o kredyt, zaś prawo to doznaje ograniczenia, gdy doszło do zawarcia takiej umowy. Wprawdzie ani Bank ani BIK nie wskazywały, że przetwarzanie danych będzie nieograniczone w czasie, jednakże nie ma wątpliwości, że – wobec braku podstaw prawnych i ograniczeń czasowych przetwarzania danych D. G. w celach przyjętych przez te podmioty (po dokonaniu oceny zdolności kredytowej i analizy ryzyka kredytowego) – można byłoby mówić o nieograniczonym w czasie przetwarzaniu tych danych. Narzucenie przez Bank i BIK samym sobie ograniczeń czasowych dla poszczególnych, przyjętych przez te podmioty nowych celów przetwarzania, potwierdza jedynie, że nie można mówić o takim samym poziomie ochrony danych osobowych na gruncie RODO, jak w przypadku osoby, z którą zawarto umowę.
Sąd podziela pogląd wyrażony przez Naczelny Sąd Administracyjny w powołanym już wyżej wyroku, zgodnie z którym takich wyników wykładni art. 105a ust. 1 Prawa bankowego nie sposób zaakceptować, bowiem prowadzą one do skutków, których nie zakładałby racjonalny ustawodawca, a więc do przyznania szerszego uprawnienia do przetwarzania danych osobowych podmiotów, z którymi banku nie łączy żaden stosunek prawny (wyrok NSA z dnia 27 sierpnia 2019 r. sygn. akt 2567/17).
Raz jeszcze wskazania wymaga, że w sprawie jest niesporne, co wskazywano już wyżej, że BIK, tak jak i Bank, od którego BIK pozyskał dane osobowe D. G. w zakresie zapytania kredytowego, był uprawniony do przetwarzania danych osobowych w celu oceny zdolności kredytowej i analizy ryzyka kredytowego.
Przepis art. 105a ust. 1 Prawa bankowego, stanowi, że przetwarzanie przez banki, inne instytucje ustawowo upoważnione do udzielania kredytów oraz instytucje utworzone na podstawie art. 105 ust. 4, informacji stanowiących tajemnicę bankową w zakresie dotyczącym osób fizycznych może być wykonywane, z zastrzeżeniem art. 104, art. 105 i art. 106 - 106d ustawy, w celu oceny zdolności kredytowej i analizy ryzyka kredytowego. Zgodnie z art. 105 ust. 1 pkt 1c Prawo bankowego, bank ma obowiązek udzielenia informacji stanowiących tajemnicę bankową wyłącznie instytucjom, o których mowa w ust. 4, w zakresie niezbędnym do stosowania metod wewnętrznych oraz innych metod i modeli, o których mowa w przepisach części trzeciej rozporządzenia nr 575/2013.
Jak wskazywano już wyżej, zgodnie z art. 105 ust. 4 Prawa bankowego banki mogą, wspólnie z bankowymi izbami gospodarczymi, utworzyć instytucje upoważnione do gromadzenia, przetwarzania i udostępniania m.in. bankom oraz innym podmiotom określonym w tym przepisie informacji stanowiących tajemnicę bankową w zakresie, w jakim informacje te są potrzebne w związku z wykonywaniem czynności bankowych oraz w związku ze stosowaniem metod wewnętrznych oraz innych metod i modeli, o których mowa w części trzeciej rozporządzenia nr 575/2013. Zdaniem BIK organ niewłaściwie przyjął w decyzji, że BIK w tych okolicznościach nie posiada podstawy prawnej do przetwarzania danych D. G. zawartych w zapytaniu kredytowym z dnia [...] marca 2021 r. (w sytuacji, gdy umowy kredytowej nie zawarto).
Podkreślenia wymaga, że przepis art. 105 ust. 4 Prawa bankowego jest przepisem o charakterze ogólnym, który stanowi o możliwości utworzenia wspólnie z bankowymi izbami gospodarczymi, instytucji upoważnionych do gromadzenia, przetwarzania i udostępniania danych.
Podkreślenia wymaga, że przepis ten nie daje podstaw do nieograniczonego przetwarzania wszelkich danych osobowych przez utworzone instytucje. Zasady przetwarzania danych objętych tajemnicą bankową określa art. 105a Prawa bankowego, którego możliwość uznania za podstawę przetwarzania danych osobowych w niniejszej sprawie została omówiona już wcześniej. Na gruncie tego przepisu należy oceniać zatem dopuszczalność przetwarzania poszczególnych danych osobowych w określonych ściśle celach. Podstawy prawnej przetwarzania danych osobowych D. G. w niniejszej sprawie przez BIK, po tym, jak wniósł o usunięcie danych osobowych, nie zawarł z Bankiem umowy kredytowej, nie mógł stanowić zatem art. 105 ust. 4 Prawa bankowego samodzielnie, ani też w powiązaniu z wszystkimi innymi powołanymi przez BIK we wskazanym wyżej zakresie w skardze przepisami Prawa bankowego.
Sąd rozpoznający niniejszą sprawę za trafny uznaje pogląd Naczelnego Sądu Administracyjnego wyrażony w wyroku z dnia 14 września 2005 r. sygn. akt I OSK 39/05, zgodnie z którym "Nie można zatem podzielić stanowiska, aby zezwalający na utworzenie instytucji zajmujących się szczególnym przetwarzaniem danych osobowych przepis stanowił zarazem podstawę do przetwarzania przez nie danych osobowych bez zgody osób, których dane dotyczą, gdyż nie tylko literalne brzmienie przepisu nie uzasadnia takiego przekazania, lecz i argumenty logiki prawniczej nie prowadzą do takiego wniosku. Nie można bowiem dowodzić, że w utworzonej zgodnie z prawem instytucji wolno działać w sposób, który sama uzna za odpowiadający jej celom, gdyż zezwolenie na utworzenie nie jest równoznaczne z zezwoleniem na działanie bez ograniczeń".
Mimo, że powołany wyrok opiera się na innym brzmieniu przepisu art. 105 Prawa bankowego, co podniósł BIK w piśmie procesowym z dnia 4 kwietnia 2023 r., w ocenie WSA w Warszawie, istota poglądu wyrażonego przez NSA w odniesieniu do przetwarzania danych osobowych przez BIK, jako instytucję utworzoną na podstawie art. 105 ust. 4 Prawa bankowego, nie straciła na aktualności. Zmiana brzmienia art. 105 Prawa bankowego na przestrzeni lat, jakie minęły od czasu wydania powołanego wyroku, dodatkowo utwierdza w trafności poglądu wyrażonego przez NSA w wymienionym wyroku a także trafności stanowiska Prezesa UODO zaprezentowanego w zaskarżonej decyzji w sytuacji, gdy ani Bank ani BIK nie wykazały przesłanki legalizującej dalsze przetwarzanie danych osobowych D. G., po osiągnięciu celu w postaci oceny zdolności kredytowej i ryzyka kredytowego.
Niezasadne są też zarzuty Banku dotyczące naruszenia art. 6 ust. 1 lit.c RODO w zw. z art. 106d Prawa bankowego, jak i w zw. z przepisami AML. Naruszenie to Bank uzasadnił w odniesieniu do art. 106d Prawa bankowego celem w postaci wykrycia nieścisłości oraz powzięcia informacji mogących stanowić o uzasadnionym podejrzeniu popełnienia przestępstw, o których mowa w art. 106d Prawa bankowego, zaś w odniesieniu do przepisów AML wskazał na wynikający z powołanych w skardze przepisów AML obowiązek przetwarzania danych osobowych w celu zapewnienia bezpieczeństwa obrotu gospodarczego poprzez przeprowadzenie szczegółowego badania na temat klientów, w tym przyszłych klientów, jak i badania powiązań kapitałowo-osobowych, w tym w zakresie danych dostarczanych przez skarżącego, w tym także wtedy, gdy ostatecznie między stronami nie została zawarta umowa.
Zgodnie z art. 106d ust. 1 Prawa bankowego Banki, inne instytucje ustawowo upoważnione do udzielania kredytów, izby rozliczeniowe utworzone na podstawie art. 67, instytucje utworzone na mocy art. 105 ust. 4, instytucje pożyczkowe, podmioty, których podstawowa działalność polega na udostępnianiu składników majątkowych na podstawie umowy leasingu, oraz podmioty, o których mowa w art. 59d ustawy z dnia 12 maja 2011 r. o kredycie konsumenckim, mogą przetwarzać i wzajemnie udostępniać informacje, w tym informacje objęte tajemnicą bankową, w przypadkach: 1) uzasadnionych podejrzeń, o których mowa w art. 106a ust. 3; 2) uzasadnionych podejrzeń popełnienia przestępstw dokonywanych na szkodę banków, innych instytucji ustawowo upoważnionych do udzielania kredytów, instytucji kredytowych, instytucji finansowych, instytucji pożyczkowych oraz podmiotów, o których mowa w art. 59d ustawy z dnia 12 maja 2011 r. o kredycie konsumenckim, i ich klientów, w celu i zakresie niezbędnym do zapobiegania tym przestępstwom; 3) wykonywania obowiązków w zakresie określonym w przepisach o przeciwdziałaniu praniu pieniędzy oraz finansowaniu terroryzmu. Art. 106a ust. 3 Prawa bankowego, do którego odwołano się w art. 106d ust. 1 pkt 1 stanowi, że w przypadku powzięcia uzasadnionego podejrzenia, że zgromadzone na rachunku bankowym środki, w całości lub w części pochodzą lub mają związek z przestępstwem skarbowym lub przestępstwem innym niż przestępstwo, o którym mowa w art. 165a lub art. 229 Kodeksu karnego, bank jest uprawniony do dokonania blokady środków na tym rachunku. Blokada może nastąpić wyłącznie do wysokości zgromadzonych na rachunku środków, co do których zachodzi takie podejrzenie.
Na wstępie wskazania wymaga, że przepis art. 33 ust. 1 AML nakłada na instytucje obowiązane obowiązek m.in. stosowania wobec swoich klientów środków bezpieczeństwa finansowego, których zakres (katalog) znajduje się w art. 34 ustawy AML. Artykuł 34 ust. 1 ustawy AML odnosi się m.in. do bieżącego monitorowania stosunków gospodarczych klienta (w tym analizę transakcji przeprowadzanych w ramach stosunków gospodarczych, badanie źródła pochodzenia wartości majątkowych będących w dyspozycji klienta - w przypadkach uzasadnionych okolicznościami, zapewnienie, że posiadane dokumenty, dane lub informacje dotyczące stosunków gospodarczych są na bieżąco aktualizowane). Art. 35 wskazuje sytuacje, w których bank jest obowiązany stosować środki bezpieczeństwa finansowego. Art. 36 AML dotyczy kwestii identyfikacji klienta. Na podstawie art. 49 ust. 1 AML kopie dokumentów i informacje uzyskane w wyniku stosowania środków bezpieczeństwa finansowego a także dowody potwierdzające przeprowadzone transakcje i ewidencje transakcji, obejmujące oryginalne dokumenty lub kopie dokumentów konieczne do identyfikacji transakcji, przechowuje się przez okres 5 lat licząc od pierwszego dnia roku następującego po roku, w którym zakończono stosunki gospodarcze z klientem lub w którym przeprowadzono transakcje okazjonalne. W przypadku dokonania analizy przeprowadzonej transakcji i udokumentowania jej analizy zgodnie z art. 34 ust. 3 ustawy AML, instytucja pożyczkowa na mocy art. 49 ust. 2 ustawy AML jest obowiązana do przechowywania jej wyników przez okres 5 lat, licząc od pierwszego dnia roku następującego po roku ich przeprowadzenia.
Z wymienionych wyżej przepisów prawa niewątpliwie wynika uprawnienie do monitorowania stosunków gospodarczych klienta i stosowania odpowiednich środków bezpieczeństwa finansowego, co nie ma zupełnie odniesienia do niniejszej sprawy. Bank nie wskazał jakie działania (w sferze stosunków gospodarczych niedoszłego klienta, osoby, z którą nie zawarł umowy kredytowej) chciałby monitorować. Nie jest dla Sądu działaniem zrozumiałym powoływanie się przez Bank w kontekście tych przepisów na konieczność monitorowania niedookreślonych stosunków gospodarczych między Bankiem a osobą, z którą umowy kredytowej nie zawarto i która nadto, klientem Banku nie jest. Ogólne twierdzenia Banku o celu w postaci "zapewnienia bezpieczeństwa obrotu gospodarczego" nie mogą stanowić – w stanie faktycznym tej sprawy – podstawy legalizującej rozszerzanie podstaw i celów przetwarzania danych osobowych D. G.. Z akt sprawy i wyjaśnień Banku w żaden sposób nie wynika, aby wyżej wymienionego łączyły stosunki gospodarcze z Bankiem, a nadto, aby Bank powziął podejrzenia, czy stwierdził próbę manipulacji. Powołana ustawa w art. 2 ust. 2 pkt 2 stanowi, że przez stosunki gospodarcze rozumie się stosunki instytucji obowiązanej z klientem związane z działalnością zawodową instytucji obowiązanej, które w chwili ich nawiązywania wykazują cechę trwałości. Z akt sprawy i wyjaśnień Banku nie wynika przy tym, aby wnioskodawca był klientem Banku w rozumieniu tego pojęcia ujętym w AML.
W przypadku braku nawiązaniu stosunków gospodarczych pomiędzy Bankiem a wymienioną wyżej osobą fizyczną brak jest zaistnienia zdarzeń wymienionych w art. 49 ust. 1 AML tj. zakończenia stosunków gospodarczego z klientem lub przeprowadzenia transakcji okazjonalnej, od wystąpienia których można dopiero liczyć wskazany w ww. przepisie termin przetwarzania danych osobowych.
Zdaniem Sądu rozszerzanie przez Bank dopuszczalności przetwarzania danych (zawartych w zapytaniu kredytowym) osoby, z którą nie zawarto umowy kredytowej, z powołaniem się na "zapewnienie bezpieczeństwa finansowego w przypadku nawiązywania stosunków gospodarczych", a zatem szeroko rozumiane, ogólne cele, nie znajduje podstawy na gruncie RODO i jest wprost sprzeczne z zasadą ograniczenia celu (art. 5 ust. 1 lit. b RODO), w sytuacji, gdy nie ma mowy o nawiązaniu stosunku zobowiązaniowego.
Z kolei z następnych powołanych przez Bank w skardze przepisów art. 144 ust. 1 lit. d, art. 145, art. 147 ust. 5 lit. b, art. 170 ust. 3 lit. a, ust. 4 lit. a, art. 171 ust. 2 i art. 179 ust 1 lit. a CRR (rozporządzenie 575/2013), także nie wynika podstawa prawna do dalszego przetwarzania danych osobowych D. G. przez Bank i BIK. Zgodnie z art. 144 ust. 1 lit. d powołanego rozporządzenia, właściwy organ wydaje zezwolenie na mocy art. 143 na stosowanie przez instytucję metody IRB, w tym na stosowanie własnych oszacowań LGD i współczynników konwersji, wyłącznie wtedy, gdy właściwy organ stwierdzi, że wymogi przewidziane w niniejszym rozdziale są spełnione, w szczególności wymogi przewidziane w sekcji 6, oraz że posiadane przez instytucję systemy w zakresie zarządzania oraz oceny ekspozycji na ryzyko kredytowe są należyte i zostały spójnie wdrożone, w szczególności gdy instytucja wykazała w sposób zadowalający właściwym organom spełnienie następujących norm: (...) d) instytucja gromadzi i przechowuje wszystkie odpowiednie dane, aby zapewnić skuteczne wsparcie procesów pomiaru ryzyka kredytowego oraz zarządzania ryzykiem kredytowym. Stosownie do art. 145 ust. 1 tego rozporządzenia, jest wymagane, aby instytucja ubiegająca się o możliwość stosowania metody IRB korzystała, w odniesieniu do omawianych kategorii ekspozycji IRB, co najmniej przez trzy lata poprzedzające zakwalifikowanie się do stosowania metody IRB, z systemów ratingowych, które odpowiadały w znacznym stopniu wymogom określonym w sekcji 6 dotyczącym wewnętrznego pomiaru ryzyka i zarządzania ryzykiem. Art. 147 ust. 5 lit. b stanowi zaś, że aby ekspozycje mogły kwalifikować się do kategorii ekspozycji detalicznych przewidzianej w ust. 2 lit. d), spełniają następujące kryteria: są traktowane przez instytucję w procesie zarządzania ryzykiem w sposób spójny w długim okresie. Z kolei art. 170 ust. 3 lit. a, stanowi, że struktura systemów ratingowych dla ekspozycji detalicznych spełnia następujące wymogi: a) systemy ratingowe odzwierciedlają zarówno ryzyko dłużnika, jak i ryzyko transakcji oraz uwzględniają wszystkie istotne właściwości ryzyka dłużnika i ryzyka transakcji. Zgodnie z art. 171 ust. 2 klasyfikując dłużników i instrumenty do klas lub pul, instytucja uwzględnia wszystkie istotne informacje. Informacje te są aktualne i umożliwiają instytucji prognozowanie zachowania ekspozycji w późniejszym okresie. Im mniej informacji ma do dyspozycji instytucja, tym ostrożniej klasyfikuje ekspozycje do poszczególnych klas lub pul dłużników i instrumentów. Jeżeli instytucja stosuje rating zewnętrzny jako główny czynnik decydujący o przyznaniu wewnętrznego ratingu, instytucja ta zapewnia uwzględnienie innych istotnych informacji oraz stosownie do art. 179 ust. 1 lit. a, przy przeprowadzaniu kwantyfikacji parametrów ryzyka związanego z poszczególnymi klasami lub pulami ratingowymi instytucje stosują następujące wymogi: a) oszacowania własne instytucji dotyczące parametrów ryzyka PD, LGD, współczynnika konwersji i EL uwzględniają wszelkie istotne dane, informacje i metody. Oszacowań dokonuje się na podstawie zarówno doświadczeń z przeszłości, jak i dowodów empirycznych, nie zaś wyłącznie w oparciu o osąd własny. Oszacowania te są wiarygodne i intuicyjne oraz opierają się na istotnych czynnikach odpowiednich parametrów ryzyka. Im mniej danych ma do dyspozycji instytucja, tym ostrożniejsze są jej oszacowania.
Powołane przepisy rozporządzenia 575/2013 nie stanowią podstawy do przetwarzania danych osobowych zawartych w zapytaniach kredytowych osoby, z którą nie zawarto umowy kredytu.
Zdaniem Sądu, obowiązek zbierania informacji przydatnych w zarządzaniu ryzykiem nie może opierać się na naruszeniu przez Bank, czy inną instytucję finansową (BIK) na gruncie RODO praw osoby fizycznej, która przekazała Bankowi swoje dane osobowe wyłącznie w celu oceny zdolności kredytowej i analizy ryzyka kredytowego, która to czynność nie zakończyła się zawarciem umowy kredytowej. Przepisy powołanego rozporządzenia 575/2013 nie stanowią podstawy do "dalszego" przetwarzania danych zawartych w zapytaniu kredytowym w sytuacji nie nawiązania stosunku zobowiązaniowego. Sąd podziela twierdzenie Prezesa UODO zawarte w odpowiedzi na skargę, że konstruowanie skutecznych i poprawnie działających modeli, o których mowa w powołanym rozporządzeniu 575/2013 może następować wyłącznie w oparciu o dane osobowe pozyskane i przetwarzane w sposób legalny.
Dodatkowo wskazania wymaga, że Prezes UODO nie kwestionował stosowania rozporządzenia nr 575/2013 – w ramach oceny zdolności kredytowej i analizy ryzyka kredytowego – a zatem w związku z wykonywaniem czynności bankowych co do zasady. Stwierdził jedynie, że nie wynika z nich podstawa prawna do przetwarzania danych osobowych zawartych w zapytaniu kredytowym D. G., a zatem osoby, z którą umowy kredytowej nie zawarto.
Nadto, co Sąd podkreślał już wcześniej, nie można tracić z pola widzenia, że Prawo bankowe ściśle określa cele i zasady przetwarzania danych osobowych, w tym stanowi, w jakich przypadkach i dla jakich ściśle określonych celów jest dopuszczalne "dalsze" przetwarzanie danych bez zgody osoby fizycznej (po wygaśnięciu zobowiązania). W art. 105a ust. 4 Prawa bankowego ustawodawca wyraźnie wskazał na cele stosowania metod wewnętrznych oraz innych metod i modeli, o których mowa w części trzeciej rozporządzenia nr 575/2013. Prawo bankowe określa też przez jaki czas mogą być przetwarzane dane stanowiące tajemnicę bankową po wygaśnięciu zobowiązania. Rozciąganie uprawnienia – tak w odniesieniu do Banku, jak i BIK – do dalszego przetwarzania danych osobowych zawartych w zapytaniu kredytowym z [...] marca 2021 r. w przypadku, gdy nie powstało zobowiązanie nie może spotkać się w świetle przepisów RODO i Prawa bankowego z akceptacją Sądu. Także wszystkie pozostałe wymienione w skardze Banku i BIK przepisy prawa, o których była już mowa, nie stanowią odrębnej podstawy do zalegalizowania "dalszego" przetwarzania danych D. G., które zebrane zostały w ściśle określonym celu (o którym miał wiedzę), czyli w celu oceny zdolności kredytowej i analizy ryzyka kredytowego.
Odnosząc się do kolejnego zarzutu Banku i BIK dotyczącego naruszenia art. 6 ust. 1 lit.c RODO wskazania wymaga, że zgodnie z art. 70a ust. 1 Prawa bankowego, banki i inne instytucje ustawowo upoważnione do udzielania kredytów na wniosek osoby fizycznej, prawnej lub jednostki organizacyjnej niemającej osobowości prawnej, o ile posiada zdolność prawną, ubiegającej się o kredyt przekazują, w formie pisemnej, wyjaśnienie dotyczące dokonanej przez siebie oceny zdolności kredytowej wnioskującego. Zgodnie z art. 70 ust. 2, wyjaśnienie, o którym mowa w ust. 1, obejmuje informacje na temat czynników, w tym danych osobowych wnioskującego, które miały wpływ na dokonaną ocenę zdolności kredytowej.
W świetle powyższego wskazania wymaga, że powstanie obowiązku, o którym mowa w art. 70a ust. 1 Prawa bankowego, uzależnione jest od złożenia stosownego wniosku przez osobę ubiegającą się o kredyt. Wniosek taki nie został złożony, a uczestnik niniejszego postępowania kilka dni po decyzji kredytowej, a kolejny raz po kilku miesiącach wniósł o usunięcie swoich danych. W związku z odmową w tym zakresie podjął też działania przed Prezesem UODO. Z akt sprawy i całokształtu okoliczności nie wynika, aby wymieniona osoba wystąpiła do Banku, czy BIK o jakiekolwiek wyjaśnienie dotyczące dokonanej oceny zdolności kredytowej. Wynika zaś, że złożyła żądanie usunięcia danych, w tym również w bazie BIK. Nie może być więc mowy o tym, aby w sprawie znajdował zastosowanie art. 70a ust. 1 i 2 Prawa bankowego.
Odnosząc się do zarzutów Banku i BIK naruszenia art. 6 ust. 1 lit.f RODO w zw. z Rekomendacjami S, W i T Komisji Nadzoru Finansowego wskazania wymaga, że także ten zarzut nie jest zasadny. Powoływane Rekomendacje Komisji Nadzoru Finansowego nie są źródłem prawa powszechnie obowiązującego. Nie ma przy tym podstaw, aby w tym przypadku, w stanie faktycznym tej sprawy, wywodzić z Rekomendacji KNF – wobec osoby, z którą nie zawarto umowy kredytowej i która zażądała usunięcia danych – prawnie uzasadnione interesy Banku i BIK, o których jest mowa w art. 6 ust. 1 lit.f RODO.
Nadto, podkreślenia wymaga, że Rekomendacje KNF, które zawierają konkretne wymagania regulacyjne wobec narzędzi używanych przez banki, nie powinny być interpretowane w sprzeczności z RODO w zakresie legalności przetwarzania danych (w zakresie zapytań kredytowych) osób, z którymi nie zawarto umów kredytowych, nie mogą być wykładane w sposób prowadzący do nieuprawnionego przetwarzania takich danych. Twierdzenie, że wypełnienie nakazu Prezesa UODO w postaci usunięcia danych osobowych D. G. przetwarzanych niezgodnie z prawem prowadziłoby do uniemożliwienia BIK realizacji Rekomendacji nie daje podstaw do stwierdzenia o dopuszczalności "dalszego" przetwarzania na gruncie RODO danych zawartych w zapytaniu kredytowym osoby, z którą Bank umowy nie zawarł, a jednocześnie nie uzyskał zgody tej osoby na dalsze przetwarzanie jej danych osobowych w celach innych niż te, w jakich je zgromadził. Także powoływana potrzeba realizacji działań z zakresu opracowania, utrzymania aktualności i funkcjonalności zbudowanych modeli scoringowych, nie stanowi w stanie faktycznym tej sprawy podstawy przetwarzania – w odniesieniu do danych osoby, z którą nie zawarto umowy kredytowej – w celu wynikającym z prawnie uzasadnionych interesów BIK.
Nietrafny jest przy tym zarzut naruszenia art. 7b k.p.a. poprzez niezwrócenie się przez Prezesa UODO do KNF jako organu właściwego w sprawach związanych m.in. z badaniem zdolności kredytowej i analizy ryzyka kredytowego, a także budową modeli scoringowych oraz do Generalnego Inspektora Informacji Finansowej jako organu właściwego w sprawach związanych m.in. z przeciwdziałaniem praniu pieniędzy i finansowaniu terroryzmu w zakresie wykorzystywania do realizacji tych zadań danych osobowych o niezrealizowanych zapytaniach kredytowych. BIK w tym aspekcie wskazał przy tym, że powyższe zwrócenie się do KNF było konieczne w celu kompleksowego wyjaśnienia stanu faktycznego sprawy oraz współdziałania w zakresie niezbędnym do dokładnego wyjaśnienia stanu prawnego, mając na względzie interes społeczny i słuszny interes obywateli, w postaci ustalenia m.in. należytych zasad, celów i zakresu przetwarzanych danych osobowych o niezrealizowanych zapytaniach kredytowych.
Zgodnie z powołanym przepisem, w toku postępowania organy administracji publicznej współdziałają ze sobą w zakresie niezbędnym do dokładnego wyjaśnienia stanu faktycznego i prawnego sprawy, mając na względzie interes społeczny i słuszny interes obywateli oraz sprawność postępowania, przy pomocy środków adekwatnych do charakteru, okoliczności i stopnia złożoności sprawy. W sprawie niniejszej Prezes UODO nie miał obowiązku zwracania się do KNF czy GIIF ani w zakresie dokonywanych ustaleń stanu faktycznego ani w zakresie wyjaśnień stanu prawnego.
Prezes UODO jest wyspecjalizowanym organem ochrony danych osobowych, jedynym powołanym i uprawnionym do monitorowania i egzekwowania RODO, a nadto do upowszechniania wśród administratorów i podmiotów przetwarzających wiedzę o obowiązkach spoczywających na nich na mocy RODO (art. 51, art. 52, art. 57, motyw 123, motyw 129 RODO, v. podobnie wyrok WSA w Warszawie z dnia 21 kwietnia 2022 r., sygn. akt II SA/Wa 3131/21, wyrok WSA z dnia 5 maja 2021 r. sygn. akt II SA/Wa 1982/20, orzeczenia.nsa.gov.pl). Zdaniem Sądu nie ma przy tym wątpliwości, że Prezes UODO dokonał w tej sprawie niezbędnych dla jej rozstrzygnięcia ustaleń faktycznych (omyłkowe wskazanie w samej odpowiedzi na skargę BIK dat zapytań kredytowych, nie stanowi o błędnych ustaleniach faktycznych w tej sprawie). W zakresie mającym znaczenie dla sprawy organ zebrał niezbędny materiał dowodowy, zwracał się do stron o udzielenie stosownych wyjaśnień, strony wyjaśnień tych udzieliły. Organ zgromadzony materiał dowodowy rozpatrzył wszechstronnie i należycie, a ocena tego materiału na gruncie przepisów RODO nie budzi zdaniem Sądu zastrzeżeń, jest prawidłowa. Odmienna ocena zarówno Banku, jak i BIK w zakresie wykładni i zastosowania powołanych przez organ przepisów prawa nie stanowi o naruszeniu przepisów postępowania, w tym art. 7, 77 i 80 k.p.a. Zarzut naruszenia powołanych przepisów, podniesiony przez BIK, poprzez brak analizy przez PUODO skargi uczestnika niniejszego postępowania pod kątem istnienia po stronie banków i BIK oczywistego interesu prawnego przejawiającego się w odmowie udzielenia kredytu wynikającego z braku istnienia zdolności kredytowej po stronie D. G., nie jest zasadny.
Prezes UODO nie kwestionował w zaskarżonej decyzji uprawnień instytucji finansowych w tym Banku i BIK do dokonywania ustaleń i ocen w zakresie zdolności kredytowej. Przedmiotem sprawy była ocena zgodności z prawem "dalszego" przetwarzania danych osobowych wymienionej wyżej osoby zawartych w zapytaniu kredytowym z [...] marca 2021 r., albowiem to przetwarzanie danych było przez D. G. kwestionowane. Uprawnienie do dokonania oceny w tym przedmiocie Prezes UODO bezspornie posiada na gruncie RODO, jako organ wyspecjalizowany. Gromadząc materiał dowodowy nie był przy tym obowiązany do dokonania analizy funkcjonowania sektora finansowego pod kątem wskazywanym w skargach, albowiem aspekt uprawnienia Banku i BIK do oceny zdolności kredytowej i analizy ryzyka kredytowego nie budził żadnych wątpliwości u Prezesa UODO, co znalazło wyraz w uzasadnieniu zaskarżonej decyzji.
Sąd nie kwestionuje "postulatu" BIK, że należy dążyć do tego, aby procesy przetwarzania danych osobowych czyniły zadość zarówno przepisom prawa o ochronie danych osobowych, jak i przepisom szeroko pojętego prawa bankowego, z uwzględnieniem zasady proporcjonalności, jednakże w ocenie Sądu osiągnięcie tego celu w niniejszej sprawie – przy uwzględnieniu obowiązujących regulacji prawnych – nie jest możliwe w inny sposób, jak poprzez realizację nakazów usunięcia danych D. G., zawartych w punkcie 1 i 2 zaskarżonej decyzji Prezesa UODO, w sytuacji, gdy ani Bank ani BIK nie dysponowały zgodą wymienionego na dalsze przetwarzanie jego danych osobowych.
Za niezasadny Sąd uznał także zarzut naruszenia art. 8 k.p.a. poprzez nieuwzględnienie przez organ dotychczas wydanych wyroków przez WSA w Warszawie (sygn. akt II SA/Wa 506/21, II SA/Wa 474/21, II SA/Wa 3709/21). Każda sprawa rozstrzygana jest przez organ indywidualnie. Sąd rozpoznający niniejszą sprawę podziela odmienne poglądy od zaprezentowanych w powołanych przez BIK orzeczeniach sądowoadministracyjnych (dla przykładu wskazać można na wyrok WSA w Warszawie o sygn. akt II SA/Wa 3131/21, II SA/Wa 1014/22, II SA/Wa 1982/20, II SA/Wa 1128/21, II SA/Wa 942/22, wyrok NSA sygn. akt I OSK 2567/17, I OSK 994/17).
Odnosząc się ponownie do zarzutu naruszenia art. 6 ust. 1 lit f. RODO, tym razem w zw. z przytoczonymi w skardze przepisami k.c. i w nawiązaniu do wskazywanej przez Bank i BIK potrzeby przechowywania danych (zawartych w zapytaniu kredytowym z [...] marca 2021 r.) osoby, z którą nie zawarto umowy kredytowej w celu ustalenia, dochodzenia i ochrony przed roszczeniami, ewentualnego zabezpieczenia roszczeń, na wypadek konieczności obrony lub dochodzenia ewentualnych roszczeń, które mogą się pojawić w określonym czasie po przeprowadzeniu stosownej analizy zdolności kredytowej oraz analizie ryzyka kredytowego wskazania wymaga, że art. 6 ust. 1 lit.f RODO stanowi o uprawnieniu do przetwarzania, gdy jest ono niezbędne do celów wynikających z prawnie uzasadnionych interesów realizowanych przez administratora lub przez stronę trzecią, z wyjątkiem sytuacji, w których nadrzędny charakter wobec tych interesów mają interesy lub podstawowe prawa i wolności osoby, której dane dotyczą, wymagające ochrony danych osobowych, w szczególności gdy osoba, której dane dotyczą, jest dzieckiem. Za usprawiedliwiony cel w rozumieniu powołanego przepisu nie może zostać uznane przetwarzanie danych osobowych na wypadek ewentualnego dochodzenia lub obrony roszczeń. Z akt sprawy nie wynika, aby D. G., który zażądał usunięcia danych w zakresie zapytania kredytowego, miał jakiekolwiek roszczenie na drodze cywilnoprawnej do Banku lub BIK. Z akt sprawy i wyjaśnień Banku nie wynika, aby wymieniony posiadał w Banku zobowiązania (w tym także kredytowe), czy był posiadaczem rachunku osobistego lub innych produktów bankowych. Jednoznacznie żądał natomiast usunięcia danych przetwarzanych bez podstawy prawnej. Z tego względu nie jest dopuszczalne przyjęcie, że to art. 6 ust. 1 lit.f RODO mógłby stanowić podstawę dla Banku, czy BIK do "dalszego" przetwarzania jego danych na wypadek ewentualnego dochodzenia roszczeń. Odnosząc się do argumentacji Banku wskazania wymaga, że Bank w toku postępowania administracyjnego nie wykazał, nie wynika też ze skargi, jakich ewentualnie roszczeń chciałby dochodzić od osoby, która ostatecznie, najpierw po kilku dniach, a ponownie po kilku miesiącach od złożenia zapytania kredytowego, zażądała usunięcia swoich danych w zakresie tego zapytania kredytowego i z którą to osobą fizyczną nie zawarto umowy. Wskazania wymaga, że z art. 3531 k.c. wynika zasada swobody umów. Strony mogą zatem w ramach autonomii woli kształtować stosunki cywilnoprawne mocą własnych decyzji Przepis art. 3531 k.c. wskazuje na podstawowy element, jaki dla swobody umów obligacyjnych ma kompetencja stron w zakresie kształtowania treści zobowiązania. Umowy nie zawarto, zobowiązanie nie powstało. BIK i Bank nie wskazały, aby D. G. kierował do nich jakiekolwiek roszczenia (zażądał jedynie usunięcia własnych danych osobowych w związku z tym, że ustał cel ich przetwarzania).
Ważąc interesy uczestnika postępowania, który żądał respektowania jego praw do ochrony danych osobowych wynikających z RODO i interesy Banku i BIK przedstawiane już wyżej, w sytuacji, gdy nie zawarto umowy kredytowej, brak jest podstaw do przyjęcia, że spełniona została przesłanka z art. 6 ust. 1 lit.f RODO. Sąd rozpoznający niniejszą sprawę podziela pogląd Naczelnego Sądu Administracyjnego, zgodnie z którym niedopuszczalne jest przetwarzanie danych osobowych niejako "na zapas" z założeniem, że mogą być one ewentualnie przydatne w przyszłości, na przykład z odwołaniem się do przepisów dotyczących przedawnienia roszczeń (v. wyrok NSA z dnia 27 marca 2018 r. sygn. akt I OSK 1459/16, orzeczenia.nsa.gov.pl). Wywodzenie zatem także z kwestii przedawnienia roszczeń samodzielnej podstawy do przetwarzania danych – w sytuacji, gdy mowa o danych osoby, z którą Bank nie zawarł umowy kredytowej, nie jest uprawnione i nie stanowi przesłanki do ich dalszego przetwarzania.
Celem RODO, tak, jak poprzednio Dyrektywy 95/46/WE, jest ochrona prywatności, która powinna być rozpatrywana także w świetle art. 8 Konwencji o Ochronie Praw Człowieka i Podstawowych Wolności. W sprawie tej nie istnieje tego rodzaju powiązanie pomiędzy osobą, której dane dotyczą a Bankiem, jak również pomiędzy tą osobą a BIK, które pozwalałoby "wyprowadzić" istnienie prawnie uzasadnionego interesu po stronie BIK i Banku w "dalszym" przetwarzaniu danych tej osoby. Z okoliczności sprawy nie wynika przy tym, aby osoba ta mogła spodziewać się w czasie, gdy pozyskiwano od niej dane w celu oceny zdolności kredytowej i ryzyka kredytowego, że będą one "dalej" przetwarzane pomimo nie zawarcia umowy kredytowej (v. motyw 47 RODO). Odnosząc się do argumentacji BIK w zakresie wykładni art. 6 ust. 1 lit. f RODO i możliwości jego zastosowania, w kontekście obowiązującej wcześniej przesłanki z art. 23 ust. 1 pkt 5 nieobowiązującej już ustawy o ochronie danych osobowych z 1997 r., z powołaniem się na prezentowane w skardze poglądy doktryny, można się zgodzić, że użyte w art. 6 ust. 1 lit. f RODO pojęcie "interesu" jest pojęciem szerszym od pojęcia "celu" z art. 23 ust. 1 pkt 5 ustawy o ochronie danych osobowych z 1997 r. Nie zmienia to jednak tego, że jako prawnie uzasadniony interes administratora na gruncie art. 6 ust. 1 lit. f RODO nie może być rozumiana każda potrzeba wygenerowana przez danego administratora w związku z prowadzoną działalnością gospodarczą. Przyjęcie takiej koncepcji poddawałoby w wątpliwość funkcjonowanie wszystkich pozostałych przesłanek legalności przetwarzania danych ujętych w RODO, skoro sama potrzeba, pojawiająca się dynamicznie w ramach prowadzonej działalności gospodarczej (handlowej) czyniłaby dopuszczalnym przetwarzanie danych osobowych. Niewątpliwie zaś ten prawnie uzasadniony interes administratora nie może pozbawiać jednostki prawa do dysponowania własnymi danymi osobowymi i ochrony prywatności. Nadto, wskazać należy na brzmienie art. 7 lit. f nieobowiązującej już Dyrektywy 95/46/WE, którą ustawa z 1997 r. implementowała (art. 23 ust. 1 pkt 5 ustawy z 1997 r.), a stanowił on, że przetwarzanie danych jest konieczne dla potrzeb wynikających z uzasadnionych interesów administratora danych lub osoby trzeciej, lub osobom, którym dane są ujawniane, z wyjątkiem sytuacji, kiedy interesy takie podporządkowane są interesom związanym z podstawowymi prawami i wolnościami osoby, której dane dotyczą, które gwarantują ochronę na podstawie art. 1 ust. 1. W Dyrektywie mowa była zatem o uzasadnionych interesach administratora danych. Stąd też poglądy przywołane przez organ w decyzji, a prezentowane w orzecznictwie NSA z powołaniem się na tę przesłankę nie straciły na aktualności.
Podnieść należy przy tym, że w orzecznictwie Trybunału Sprawiedliwości przyjmuje się i pogląd ten prezentuje także Sąd rozpoznający niniejszą sprawę, że "Ze względu na to, że RODO uchyliło i zastąpiło dyrektywę 95/46, a właściwe przepisy tego rozporządzenia mają w istocie zakres identyczny jak właściwe przepisy tej dyrektywy, orzecznictwo Trybunału dotyczące wspomnianej dyrektywy znajduje również co do zasady zastosowanie w odniesieniu do tego rozporządzenia (v. wyrok Trybunału Sprawiedliwości z dnia 17 czerwca 2021 r. C-597/19, punkt 107).
Podkreślenia wymaga nadto, że gdy chodzi o podnoszony przez Bank cel przetwarzania danych wymienionej osoby po tym, gdy nie zawarto umowy, tj. wskazywane ogólnie wykrycie nieścisłości oraz powzięcie informacji mogących stanowić o uzasadnionym podejrzeniu popełnienia przestępstw, o których mowa w art. 106d Prawa bankowego, to Bank nie wykazał, aby przypadek taki miał miejsce w tej sprawie.
Zwrócić należy przy tym uwagę, że w sprawie niniejszej, w jej okolicznościach faktycznych, to prawa i wolności osoby fizycznej, mają nadrzędny charakter nad interesami Banku, jak również BIK. Pamiętać trzeba bowiem, że celem udostępnienia danych osobowych przez osobę fizyczną było rozpatrzenie konkretnego wniosku kredytowego (cel był ściśle określony), zgodnie z przepisami Prawa bankowego, o czym była już mowa wyżej. Powyższe nie daje podstaw do dalszego przetwarzania danych "na przyszłość" po zakończeniu oceny zdolności kredytowej i analizy ryzyka kredytowego. Samo powołanie się na zasadę rozliczalności (art. 5 ust. 2 RODO) nie legalizuje przetwarzania jakichkolwiek danych. Konieczne jest bowiem, aby w pierwszej kolejności przetwarzanie danych było zgodne z prawem.
Podkreślenia wymaga, że niezależnie od zrozumienia dla argumentacji Banku i BIK co do wskazywanych potrzeb, zamierzeń, czy celów, jakie podmioty te chciałyby osiągnąć w działalności gospodarczej poprzez "dalsze" przetwarzanie danych osobowych zawartych w zapytaniu kredytowym D. G. (osoby, z którą Bank umowy kredytowej nie zawarł), a które zostały jednoznacznie wskazane zarówno w postępowaniu przed organem, jak i w skargach do Sądu, zaskarżona decyzja (zarówno w zakresie punktu 1, jak i 2) nie narusza prawa.
W sprawie tej cel przetwarzania legalnie zebranych danych osobowych osoby fizycznej (zebranych w celu oceny zdolności kredytowej i analizy ryzyka kredytowego) ustał. Podkreślić trzeba, że każde przetwarzanie danych osobowych, tj. a tym samym nie tylko zebranie danych, ale także kontynuowanie ich przetwarzania w innych celach musi znajdować podstawę prawną. W sprawie tej, co wykazano już wyżej takiej podstawy prawnej, stanowiącej przesłankę do "dalszego" przetwarzania danych osobowych wymienionej osoby fizycznej, w sprawie tej nie wykazano. W ocenie Sądu niedopuszczalna jest taka interpretacja powołanych w skargach przepisów Prawa bankowego, AML, k.c., czy rozporządzenia 575/2013, która czyniłaby uprawnionym na gruncie RODO dalsze przetwarzanie danych osobowych zawartych w zapytaniu kredytowym osoby, z którą nie zawarto umowy (a zatem w celach innych niż cele, w jakich je zebrano), w sytuacji, gdy Prawo bankowe wyraźnie reguluje dopuszczalność przetwarzania danych osobowych przed powstaniem zobowiązania, w trakcie jego trwania i po wygaśnięciu.
Przyjęcie interpretacji zaprezentowanej w skargach prowadziłoby do tego, że w odniesieniu do kategorii osób (których dane zawarte zostały w zapytaniu kredytowym), z którymi nie zawarto umowy kredytowej istniałaby pełna dowolność tak w zasadach ich przetwarzania (bez zgody osoby (jak należy wnioskować ze stanowisk Banku i BIK), bez informacji przedstawianej przed pozyskaniem danych o innych celach przetwarzania (niż ocena zdolności kredytowej i ryzyka kredytowego) zarówno przez Bank jak i BIK, jak również dowolne ustalenia w odniesieniu do czasu ich przetwarzania (te kwestie byłyby bowiem (i są) i jak wynika z akt administracyjnych, tj. wyjaśnień Banku i BIK, ustalane samodzielnie przez te podmioty – z uwzględnieniem przyjmowanych przez nie celów służących co do zasady spełnieniu, jak wskazywano w postępowaniu, określonych wymagań organu nadzoru nad rynkiem finansowym.
Sytuacja zatem D. G., tj. osoby, która zwróciła się z zapytaniem kredytowym i z którą nie zawarto umowy kredytowej, jest z punktu widzenia ochrony danych osobowych, biorąc pod uwagę przepisy Prawa bankowego, sytuacją "gorszą" niż sytuacja osoby, która zawarła umowę kredytową i jej zobowiązanie wygasło. W tym drugim bowiem przypadku dla dalszego przetwarzania danych w BIK po wygaśnięciu zobowiązania wynikającego z danej umowy niezbędna jest zgoda osoby, której dane dotyczą. Zgodę taką można nadto w każdym czasie odwołać.
Zwrócić należy uwagę, że przedmiotem niniejszej sprawy i kompetencji Prezesa UODO nie jest ustalenie możliwego sposobu realizacji przez Bank i BIK obowiązków nakładanych na te podmioty przez instytucje nadzorcze w zakresie prowadzonej działalności. Nie ma przeszkód i jest wskazane, aby realizację tych obowiązków wykonywać z poszanowaniem RODO. Przedmiotem oceny organu ochrony danych osobowych była w tej sprawie wyłącznie kwestia oceny zgodności z prawem "dalszego" przetwarzania danych osobowych konkretnej osoby fizycznej w konkretnych okolicznościach faktycznych. Sąd nie znalazł podstaw do zakwestionowania tej oceny organu.
Podkreślenia wymaga, że w demokratycznym państwie prawnym nie jest dopuszczalne dowolne rozszerzanie uprawnień jakiegokolwiek podmiotu, ani organu władzy ani spółki prawa handlowego, ani żadnego innego podmiotu będącego administratorem w zakresie przetwarzania danych osobowych (art. 47, art. 51 Konstytucji RP). Dane osobowe mogą być przetwarzane co do zasady w celach, w jakich zostały zebrane. Powinny być adekwatne, stosowne oraz ograniczone do tego co niezbędne do osiągnięcia celów, w których zostały zebrane, są przetwarzane (art. 5 ust. 1 lit.c RODO). Przetwarzanie przez Bank i BIK "na przyszłość" danych zawartych w zapytaniu kredytowym, w sytuacji, gdy nie zawarto umowy, nie znajduje umocowania w żadnej przesłance z art. 6 ust. 1 RODO.
Sąd podziela te poglądy prezentowane w orzecznictwie sądowoadministracyjnym, zgodnie z którymi dalsze przetwarzanie danych uzyskanych w celu oceny zdolności kredytowej, w przypadku nie zawarcia stosownej umowy pozostawałoby w oderwaniu od celu, dla którego je uzyskano. Niedopuszczalne jest dalsze przetwarzanie danych osobowych na przyszłość, a także na potrzeby budowy oceny zdolności kredytowej innych podmiotów, jeżeli nie można zrekonstruować wyraźnej podstawy prawnej takich działań, jak miało to miejsce w niniejszej sprawie (v. wyrok NSA z dnia 27 sierpnia 2019 r. sygn. akt 2567/17, orzeczenia.nsa.gov.pl).
Odnosząc się do kwestii zaskarżenia przez Bank zarówno punktu 1 (nakazu skierowanego do BIK), jak i punktu 2 decyzji (nakazu skierowanego do Banku) Sąd wskazuje jedynie, że Bank i BIK są odrębnymi administratorami. Prawidłowe jest dokonane w zaskarżonej decyzji ustalenie organu w tym zakresie. Konsekwencją powyższego, niezależnie od występującego interesu faktycznego Banku w zakresie danych, jakie przetwarza BIK, brak jest podstaw, aby uznać, że po stronie Banku występuje interes prawny (legitymacja prawna) do kwestionowania nakazu wystosowanego przez organ do BIK. Podkreślenia wymaga bowiem, że BIK samodzielnie decyduje o celach i środkach przetwarzania danych w BIK. Kwestia zaskarżenia przez Bank decyzji w całości pozostaje bez wpływu na wynik sprawy.
Mając na uwadze powyższe, Wojewódzki Sąd Administracyjny w Warszawie, na podstawie art. 151 ustawy z dnia 30 sierpnia 2002 r. - Prawo o postępowaniu przed sądami administracyjnymi (t.j. Dz. U. z 2023 r., poz. 259), orzekł jak w wyroku.