II SA/Wa 1958/24

II SA/Wa 1958/24 - Wyrok WSA w Warszawie
Data orzeczenia
2025-07-03
orzeczenie nieprawomocne
Data wpływu
2024-12-03
Sąd
Wojewódzki Sąd Administracyjny w Warszawie
Sędziowie
Andrzej Góraj /przewodniczący/
Łukasz Krzycki
Mateusz Rogala /sprawozdawca/
Symbol z opisem
647  Sprawy związane z ochroną danych osobowych
Skarżony organ
Generalny Inspektor Ochrony Danych Osobowych
Treść wyniku
Oddalono skargi
Sentencja
Wojewódzki Sąd Administracyjny w Warszawie w składzie następującym: Przewodniczący Sędzia WSA Andrzej Góraj, Sędzia WSA Łukasz Krzycki, Asesor WSA Mateusz Rogala (spr.), , Protokolant starszy sekretarz sądowy Marcin Rusinowicz-Borkowski po rozpoznaniu na rozprawie w dniu 3 lipca 2025 r. sprawy ze skarg Banku [...] S.A. z siedzibą w W. i B. I. K. S.A. z siedzibą w W. na decyzję Prezesa Urzędu Ochrony Danych Osobowych z dnia [...] września 2024 r. nr [...] w przedmiocie przetwarzania danych osobowych oddala skargi.
Uzasadnienie
Zaskarżoną do Wojewódzkiego Sądu Administracyjnego w Warszawie decyzją z dnia [...] września 2024 r. nr [...] Prezes Urzędu Ochrony Danych Osobowych, działając m.in. na podstawie art. 7 ust. 1 i 2 ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych (Dz. U. z 2019 r., poz. 1781, powoływanej dalej jako u.o.d.o.), art. 6 ust. 1 oraz art. 58 ust. 2 lit. c) rozporządzenia Parlamentu Europejskiego i Rady (UE) nr 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz. Urz. UE L 119 z 4.05.2016, str. 1, powoływanego dalej jako RODO), w pkt 1 nakazał Bankowi [...] S.A. z siedzibą w [...] usunięcie danych osobowych P. J. w zakresie wynikającym z zapytania kredytowego z dnia [...] lutego 2023 r.; a w pkt 2 nakazał Biuru Informacji Kredytowej z siedzibą w [...] usunięcie danych osobowych P. J. w zakresie wynikającym z zapytania kredytowego z dnia [...] lutego 2023 r. przekazanych przez Bank [...] S.A.
W uzasadnieniu swojego rozstrzygnięcia organ podniósł, że P. J. wniósł do Prezesa Urzędu Ochrony Danych Osobowych skargę na nieprawidłowości w procesie przetwarzania jego danych osobowych przez Bank [...] S.A., polegające na przetwarzaniu jego danych osobowych w zakresie wynikającym z zapytania kredytowego z dnia [...] lutego 2023 r., niezakończonego zawarciem umowy kredytowej, w Biurze Informacji Kredytowej S.A.
Jak podniósł wnioskodawca, bank przetwarza jego dane osobowe wynikające z zapytania kredytowego z dnia [...] lutego 2023 r., mimo iż nie doszło do zawarcia umowy kredytowej. Ponadto bank udostępnia te dane w bazie BIK, pomimo zwrócenia się do banku z żądaniem zaprzestania przetwarzania tych danych oraz udostępnienia ich do BIK. Wobec powyższego wnioskodawca zwrócił się do organu o nakazanie bankowi usunięcia jego danych osobowych dotyczących ww. zapytania kredytowego, w tym usunięcie ich z bazy BIK.
W toku postępowania bank wyjaśnił, że pozyskał dane osobowe strony w związku zapytaniem kredytowym z dnia [...] lutego 2023 r. Wniosek ten zakończył się negatywną weryfikacją. Bank pozyskał następujące dane osobowe wnioskodawcy: 1) dane identyfikacyjne: imię, nazwisko, nr PESEL, seria i numer dokumentu tożsamości, obywatelstwo; 2) dane kontaktowe: nr telefonu, adres zamieszkania i adres korespondencyjny, 3) dane dotyczące zatrudnienia; 4) dane finansowe: źródło dochodu, miesięczne koszty utrzymania i zobowiązania, posiadane aktywa; 5) dane socjo-demograficzne: stan cywilny, liczba osób na utrzymaniu; 6) informacja o przyznanych produktach kredytowych w grupie [...] ; 7) informacja o produktach kredytowych w innych bankach; 6) dane pozyskane z BIK S.A. w związku z zapytaniem kredytowym. Bank poinformował, że wnioskodawca jest aktywnym klientem banku, w tym posiada produkty kredytowe, w związku z czym bank sukcesywnie pozyskiwał jego dane osobowe w związku z nabywaniem przez niego kolejnych produktów.
Bank wyjaśnił, że przetwarza dane osobowe wnioskodawcy w zakresie zapytania kredytowego z dnia [...] lutego 2023 r. w następujących celach oraz w oparciu o następujące podstawy prawne:
a. analizy ryzyka kredytowego na podstawie art. 6 ust. 1 lit. c) rozporządzenia nr 2016/679 zgodnie z art. 105a ust. 1 -1c ustawy z dnia 29 sierpnia 1997 r. – Prawo bankowe (Dz. U. z 2022 r., poz. 2324 ze zm.) w zw. z art. 180 ust. 2 lit. e) i art. 145 ust. 1 rozporządzenia Parlamentu Europejskiego i Rady (UE) nr 575/2013 z dnia 26 czerwca 2013 r. w sprawie wymogów ostrożnościowych dla instytucji kredytowych oraz zmieniające rozporządzenie (UE) nr 648/2012 (Dz. U. UE L z 2013 r. Nr 176, s. 1, powoływanego dalej jako rozporządzenie CRR); Bank ma obowiązek przetwarzać dane wnioskodawcy w zakresie objętym skargą przez 5 lat od ich zebrania;
b. informacyjnych, tj. w celu wykonania obowiązku wskazanego w art. 70a Prawa bankowego - na podstawie art. 6 ust. 1 lit. c) rozporządzenia nr 2016/679 zgodnie z art. 70a Prawa bankowego;
c. archiwalnych i dowodowych, w szczególności w celu ustalenia, dochodzenia i obrony roszczeń zgodnie z terminami przedawnienia roszczeń określonymi w art. 118 Kodeksu cywilnego, w związku z wejściem w życie 9 lipca 2018 r. nowelizacji - tj. ustawy z dnia 13 kwietnia 2018 r. o zmianie ustawy - Kodeks cywilny oraz niektórych innych ustaw (art. 5) oraz w związku z realizacją reklamacji na podstawie art. 6 ust. 1 lit. f) rozporządzenia nr 2016/679.
Bank podał, że wnioskodawca nie wystąpił z roszczeniem w stosunku do banku oraz że dotychczas bank również nie wystąpił z roszczeniem przeciwko wnioskodawcy.
Z kolei Biuro Informacji Kredytowej w złożonych do organu wyjaśnieniach wskazało, że dane wnioskodawcy w zakresie zapytania kredytowego z dnia [...] lutego 2023 r. pozyskało od banku, na podstawie art. 105 ust. 4 oraz art. 105a ust. 1 Prawa bankowego, a także na podstawie łączącej bank i BIK umowy. Pozyskane dane obejmują dane identyfikujące wnioskodawcę (imię, nazwisko, PESEL, serię i numer dowodu osobistego, data urodzenia, obywatelstwo, płeć), dane z wniosku kredytowego dotyczącego wnioskowanego zobowiązania i adres zamieszkania.
BIK wskazał, że przetwarza dane wnioskodawcy w ww. zakresie w celu:
a. oceny zdolności kredytowej i analizy ryzyka kredytowego: przez okres 12 miesięcy od dnia złożenia zapytania w celu oceny zdolności kredytowej i analizy ryzyka kredytowego konkretnego klienta (indywidualna ocena zdolności kredytowej wnioskodawcy); nie krócej niż 5 lat i nie dłużej niż 10 lat od dnia złożenia zapytania, w celu budowy modeli scoringowych, a więc narzędzi wykorzystywanych przez banki do oceny zdolności kredytowej i analizy ryzyka kredytowego. BIK buduje przedmiotowe modele w oparciu o przetwarzane w zbiorze BIK dane, w tym dane o złożonych zapytaniach. BIK wskazał, że na konieczność wykorzystania własnych i zewnętrznych baz danych przy ocenie zdolności kredytowej wskazuje również Komisja Nadzoru Finansowego w Rekomendacji T dotyczącej dobrych praktyk w zakresie zarządzania ryzykiem detalicznych ekspozycji kredytowych, powołując się na Rekomendacje 10, 16.4, 1.4 a) tiret drugie, 1.4 b) tiret drugie, 17.5 e) oraz wstęp do Rekomendacji; podstawą przetwarzania danych przez BIK w celu oceny zdolności kredytowej i analizy ryzyka kredytowego jest art. 6 ust. 1 lit. c) rozporządzenia nr 2016/679 w zw. z art. 105 ust. 4 oraz art. 105a ust. 1, 1a i 1b Prawa bankowego, art. 171 ust. 2, art. 144 ust. 1 lit. d), art. 145 ust. 1 oraz art. 147 ust. 5 lit. b) rozporządzenia CRR;
b. w celach statystycznych oraz stosowania metod wewnętrznych oraz innych metod i modeli; dane w tych celach są przetwarzane maksymalnie przez okres 10 lat od dnia złożenia zapytania;
c. w celach przeciwdziałania przestępstwom oraz wykonywania obowiązków w zakresie określonym w przepisach o przeciwdziałaniu praniu pieniędzy oraz finansowaniu terroryzmu na podstawie art. 106d Prawa bankowego oraz art. 33 ust. 2, art. 34 ust. 1 pkt 4 ustawy z dnia 1 marca 2018 r. o przeciwdziałaniu praniu pieniędzy oraz finansowaniu terroryzmu (Dz. U. z 2023 r., poz. 1124 ze zm., powoływanej dalej jako ustawa AML);
d. w celu rozpatrywania ewentualnych reklamacji lub roszczeń odszkodowawczych klientów, których termin przedawnienia zgodnie z art. 118 Kodeksu cywilnego wynosi 6 lat (cele dowodowe). BIK wskazał, że podstawę prawną stanowi w tym przypadku art. 6 ust. 1 lit. f) rozporządzenia nr 2016/679, a dodatkową przesłanką jest konieczność wypełnienia ustawowego obowiązku wynikającego z art. 15 rozporządzenia nr 2016/679 w przypadku wystąpienia przez osobę, której dane dotyczą, z wnioskiem o udzielenie informacji;
e. w celu realizacji wniosków klientów banków dotyczących wyjaśnień dokonanej oceny zdolności kredytowej na podstawie art. 70a Prawa bankowego.
W dalszej części uzasadnienia organ stwierdził, że wnioskodawca w dniu 28 lutego 2023 r. wystąpił do banku z wnioskiem o udzielenie kredytu. Wobec powyższego bank oraz BIK, na podstawie art. 105a ust. 1 w zw. z art. 70 ust. 1 Prawa bankowego, były uprawnione do przetwarzania jego danych osobowych w celu oceny zdolności kredytowej. Do zawarcia umowy kredytu pomiędzy wnioskodawcą i bankiem nie doszło, w związku z czym odpadła przesłanka legalizująca dalsze przetwarzanie jego danych osobowych przez bank oraz BIK. Przesłanki zawarte w art. 105a Prawa bankowego dotyczą bowiem przetwarzania informacji objętych tajemnicą bankową w okresie przed powstaniem zobowiązania, w trakcie jego trwania oraz po wygaśnięciu zobowiązania. Pomiędzy bankiem a wnioskodawcą nie zawiązał się żaden stosunek zobowiązaniowy, który stosownie do art. 105a ust. 1-6 Prawa bankowego dawałby podstawę do dalszego przetwarzania danych osobowych wnioskodawcy. Ponadto celem przetwarzania danych osobowych wnioskodawcy była ocena zdolności kredytowej i analiza ryzyka kredytowego. W związku z dokonaniem przez bank oceny zdolności kredytowej i analizy ryzyka kredytowego, cel przetwarzania danych osobowych wnioskodawcy został zrealizowany i brak jest podstaw prawnych do kontunuowania tego procesu.
Ponadto przytoczone przez bank i BIK przepisy rozporządzenia CRR również nie stanowią podstawy prawnej do dalszego przetwarzania danych osobowych wnioskodawcy, w sytuacji gdy w wyniku podjętych czynności sprawdzających nie doszło do zawarcia umowy kredytowej. Powołane przepisy powyższego rozporządzenia zawierają bowiem ogólne zasady tworzenia modeli służących ocenie ryzyka kredytowego, zatem żaden z nich nie stoi w sprzeczności z rozstrzygnięciem organu. Organ zaznaczył, że nie kwestionuje zasadności tworzenia ww. modeli, jednak stoi na stanowisku, że muszą być one tworzone w taki sposób, aby nie naruszało to prawa do ochrony danych osobowych osób, których dane dotyczą. Jak wynika bowiem z przepisów rozporządzenia CRR, instytucja kredytowa jest obowiązana do zbierania informacji przydatnych do skutecznego zarządzania ryzykiem. Nie oznacza to jednak, że gromadzenie danych w systemach ratingowych może odbywać się z naruszeniem innych przepisów regulujących kwestie ochrony danych osobowych.
W ocenie organu, jako podstawa przetwarzania danych osobowych wnioskodawcy nie mogą być również uznane wskazane przez BIK cele statystyczne i analizy, w tym cel stosowania metod wewnętrznych oraz innych metod i modeli. Powołany przez BIK art. 105a ust. 4 Prawa bankowego daje podstawy do przetwarzania informacji dotyczących osoby fizycznej stanowiących tajemnicę bankową po wygaśnięciu zobowiązania wynikającego z umowy zawartej z bankiem lub inną instytucją ustawowo upoważnioną do udzielania kredytów bez zgody osoby, której te informacje dotyczą. Jednak w przedmiotowej sprawie nie doszło do zawarcia umowy kredytu pomiędzy wnioskodawcą a bankiem, a zatem nie powstał żaden stosunek zobowiązaniowy, o którym mowa w powyższym przepisie.
Organ podniósł, że zebrany w sprawie materiał dowodowy nie wykazał, aby BIK mógł przetwarzać dane osobowe wnioskodawcy dotyczące zapytania kredytowego z dnia [...] lutego 2023 r. na podstawie art. 106d Prawa bankowego w celach przeciwdziałania przestępstwom oraz wykonywania obowiązków w zakresie określonym w przepisach ustawy AML, bowiem w toku prowadzonego postępowania nie wykazał, aby zaszła którakolwiek z przesłanek określonych w ww. przepisach. W szczególności nie wykazał, aby zaszły uzasadnione podejrzenia, o których mowa w art. 106d ust. 1 pkt 1-2 Prawa bankowego oraz nie wskazał nałożonego na niego obowiązku określonego w przepisach o przeciwdziałaniu praniu pieniędzy oraz finansowaniu terroryzmu, o którym mowa w art. 106d ust. 1 pkt 3 tej ustawy.
Organ uznał, że zebrany w postępowaniu materiał dowodowy nie wykazał, aby wnioskodawca wystąpił z jakimkolwiek roszczeniem wobec banku lub BIK, które uzasadniałoby uprawnienie tych podmiotów do zachowania i przetwarzania jego danych osobowych dla celów dowodowych w związku z dochodzeniem przez wnioskodawcę tego roszczenia. Podkreślił też, że przesłanka z art. 6 ust. 1 lit. f) rozporządzenia nr 2016/679 dotyczy sytuacji już istniejącej, w której celem wynikającym z prawnie uzasadnionych interesów realizowanych przez administratora jest konieczność udowodnienia, potrzeba dochodzenia lub obrony przed roszczeniem istniejącym, nie zaś sytuacji, gdy dane są przetwarzane w celu zabezpieczenia się przed ewentualnym roszczeniem. Przyjęcie za prawidłowe stanowiska, iż przetwarzanie danych osobowych w celu uchylenia się od negatywnych skutków w przypadku zgłoszenia w przyszłości ewentualnego i nieokreślonego roszczenia, stanowi prawnie usprawiedliwiony cel w rozumieniu art. 6 ust. 1 lit. f) rozporządzenia nr 2016/679 oznaczałoby, że dane osobowe wnioskodawcy mogą być przetwarzane przez bank i BIK permanentnie, bez konieczności ich usunięcia.
Zdaniem organu, brak jest podstaw do przyjęcia, iż terminy dotyczące przedawnienia roszczeń, wynikających ze stosunków zobowiązaniowych określają jednocześnie ramy czasowe, w których dane osobowe mogą być przetwarzane przez bank i BIK. Przedawnienie roszczenia nie wywołuje skutków na gruncie ochrony danych osobowych, nie wpływa bowiem na fakt istnienia roszczenia, a powoduje jedynie zmianę w sferze zarzutów procesowych w postaci możliwości podniesienia okoliczności przedawnienia w sporze sądowym. Okolicznością usprawiedliwiającą przetwarzanie danych osobowych w celu dochodzenia roszczeń jest sam fakt istnienia roszczenia oraz zamiar jego dochodzenia, nie jest nią natomiast zmiana w uprawnieniach procesowych podmiotu pozwanego.
Organ stwierdził, że brak jest uzasadnienia dla przyjęcia, że BIK jest uprawniony do przetwarzania danych osobowych w związku z koniecznością ewentualnego wypełnienia obowiązku wynikającego z art. 15 rozporządzenia nr 2016/679. BIK nie wykazał, by wnioskodawca zwrócił się do niego z wnioskiem o wypełnienie tego obowiązku. Usunięcie przez administratora danych osobowych nie uniemożliwia mu wykonania obowiązku uregulowanego w tym przepisie, gwarantującego osobie, której dane dotyczą, prawa do uzyskania od administratora informacji, czy jej dane są przetwarzane, a w przypadku pozytywnej odpowiedzi na tak postawione pytanie - uprawnienie do dostępu do danych na swój temat oraz uzyskania informacji o okolicznościach przetwarzania danych. Jeśli bowiem administrator nie przetwarza danych dotyczących osoby, która zwraca się z żądaniem udzielenia informacji, to działanie administratora ogranicza się do odpowiedzi przeczącej i nie ma on obowiązku podawać podmiotowi danych innych informacji.
Zdaniem organu, brak jest również uzasadnienia dla przyjęcia, że bank jest obecnie uprawniony do przetwarzania danych osobowych wnioskodawcy w związku z koniecznością ewentualnego wypełnienia obowiązku wynikającego z art. 70a ust. 1 i ust. 2 Prawa bankowego w brzmieniu tych przepisów, obowiązującym w dacie pozyskania danych wynikających z zapytania kredytowego. Powstanie obowiązku, o którym mowa w art. 70a ust. 1 Prawa bankowego w ówczesnym brzmieniu, uzależnione było od złożenia stosownego wniosku przez osobę ubiegającą się o kredyt. W niniejszej sprawie wnioskodawca zwracał się do banku o usunięcie jego danych osobowych z BIK, w zakresie dotyczącym zapytania kredytowego z dnia [...] lutego 2023 r. Proces przetwarzania danych osobowych związanych z ww. zapytaniem kredytowym zakwestionował następnie w postępowaniu przed organem, domagając się ochrony danych osobowych. Uwzględnienie żądania wnioskodawcy usunięcia przedmiotowych danych skutkować będzie brakiem możliwości udzielenia informacji wskazanych w art. 70a ust. 1 i 2 Prawa bankowego, z czym wnioskodawca, żądając usunięcia danych, musiał się liczyć. Należy uznać więc, że nie był on i nie jest zainteresowany realizacją prawa do złożenia wniosku, o którym mowa w tym przepisie.
W konsekwencji organ stwierdził, że w niniejszej sprawie brak jest celu uzasadniającego dalsze przetwarzanie danych osobowych wnioskodawcy zarówno przez bank jak i BIK. Uznał także - w odniesieniu do kwestionowanego przez wnioskodawcę przetwarzania jego danych osobowych przez bank i BIK, że w sprawie nie zaistniała żadna z wyrażonych w art. 6 ust. 1 rozporządzenia nr 2016/679 przesłanka, która stanowiłaby o legalności tego procesu. W tej sytuacji, korzystając z uprawnienia przewidzianego w art. 58 ust. 2 lit. c) rozporządzenia nr 2016/679, organ nakazał bankowi i BIK, usunięcie danych osobowych wnioskodawcy w zakresie wynikającym z zapytania kredytowego z dnia [...] lutego 2023 r.
W skardze na powołane rozstrzygnięcie Bank [...] S.A. zaskarżył powyższą decyzję w zakresie pkt 1. Wniósł o jej uchylenie w całości i przekazanie sprawy organowi do ponownego rozpoznania oraz zasądzenie zwrotu kosztów postępowania.
Bank zarzucił decyzji naruszenie przepisów prawa procesowego, tj. art. 7, art. 7b, art. 77 § 1 oraz art. 80 ustawy z dnia 14 czerwca 1960 r. – Kodeks postępowania administracyjnego (Dz. U. z 2024 r., poz. 572 ze zm., powoływanej dalej jako k.p.a.) polegające na nieustaleniu przez organ wpływu zatwierdzania przez KNF metodyki IRB stosowanej przez bank na proces przetwarzania danych osobowych klienta, co było konieczne do potwierdzenia niezbędności przetwarzania tych danych osobowych oraz na niezwróceniu się do KNF w celu ustalenia i oceny niezbędności przechowywania informacji o wniosku kredytowym z dnia [...] lutego 2023 r., który nie zakończył się zawarciem umowy, jako koniecznego elementu metody IRB, która została zatwierdzona przez KNF, co miało istotny wpływ na wynik sprawy.
Bank postawił także zarzuty naruszenia przepisów prawa materialnego, tj.:
1) art. 6 ust. 1 lit. f) rozporządzenia nr 2016/679 w zw. z art. 117 i art. 118 k.c. poprzez uznanie, że przetwarzanie danych osobowych klienta przez bank nie jest niezbędne do celów wynikających z prawnie uzasadnionych interesów banku oraz nie ma oparcia w art. 6 ust. 1 lit. f) rozporządzenia nr 2016/679, podczas gdy przetwarzanie danych osobowych klienta jest niezbędne do celów obrony przed ewentualnymi roszczeniami oraz ma oparcie w art. 6 ust. 1 lit. f) rozporządzenia nr 2016/679;
2) art. 6 ust. 1 lit. c) rozporządzenia nr 2016/679 w zw. z art. 70a ust. 1 i 2 Prawa bankowego poprzez ich błędną wykładnię polegającą na uznaniu, że bank nie ma obowiązku przetwarzania danych osobowych klienta w celu wykonania obowiązku opisanego w art. 70a ust. 1 i 2 Prawa bankowego, gdy klient żąda usunięcia danych osobowych i pośrednio informuje, że nie był i nie jest zainteresowany realizacją prawa do złożenia wniosku, o którym mowa w tym przepisie, podczas gdy obowiązek przewidziany w art. 70a ust. 1 i 2 Prawa bankowego ma charakter obiektywny i bank jest zobligowany do realizacji postanowień tego przepisu niezależnie od tego, czy uprzednio klient zażądał usunięcia danych osobowych, co oznacza, że bank zobligowany jest do przetwarzania danych osobowych klienta w celu wykonania art. 70a ust. 1 i 2 Prawa bankowego.
W uzasadnieniu skargi bank podniósł, że zgodnie z art. 143 ust. 1 rozporządzenia CRR, jeżeli spełnione są określone warunki, właściwy organ zezwala instytucjom na obliczanie kwot ekspozycji ważonych ryzykiem przy wykorzystaniu metody wewnętrznych ratingów (zwanej dalej "metodą IRB"). Takim organem w polskim porządku prawnym jest Komisja Nadzoru Finansowego. Jednocześnie zgodnie z art. 148 rozporządzenia CRR, instytucje oraz wszelkie jednostki dominujące i ich jednostki zależne wdrażają metodę IRB w odniesieniu do wszystkich ekspozycji. Stosowana przez bank metoda IRB zatwierdzona przez KNF zakłada, w zależności od grupy badanych, wykorzystanie następujących informacji: ilość dni od ostatniej negatywnej decyzji kredytowej, ilość dni od ostatniej złożonego wniosku kredytowego (bez względu na wynik), ilość dni od ostatniego odrzuconego wniosku o pożyczkę gotówką. Przesłanki te stosuje się zamiennie, w zależności od badania i grupy ryzyka. Ewentualna zmiana modelu musi zostać zatwierdzona przez KNF, zgodnie z art. 143 ust. 3 rozporządzenia CRR.
W ocenie banku, organ zignorował fakt zatwierdzenia stosowania metody IRB przez KNF, jak również zaniechał ustalenia jaki wpływ ww. okoliczność ma dla procesu przetwarzania danych osobowych klienta, w zakresie wniosku kredytowego z dnia [...] lutego 2023 r. oraz możliwości przetwarzania danych osobowych przez bank w ramach zatwierdzonej metody. W szczególności organ nie zwrócił się do Komisji Nadzoru Finansowego w celu kompleksowego wyjaśnienia ww. okoliczności, pomimo obowiązku współdziałania w zakresie niezbędnym do dokładnego wyjaśnienia stanu prawnego i faktycznego, mając na względzie interes społeczny i słuszny interes obywateli.
Bank zwrócił następnie uwagę, że klient w samej treści skargi do organu zarzucił bankowi wprowadzenie go w błąd. Prawdopodobne jest zatem, że klient wystąpi z roszczeniem w stosunku do banku o zawarcie z nim umowy kredytu na warunkach, które jego zdaniem stanowiły ofertę banku. Klient zarzucił bowiem w treści skargi bankowi, że przedstawiając treści zawarte w reklamie, wprowadził go w błąd co do możliwości zawarcia umowy kredytu.
Bank podkreślił, że usunięcie danych osobowych klienta oznaczałoby de facto pozbawienie banku prawa do obrony przed roszczeniami, które mogłyby być zgłoszone przez klienta. Z powyższego wynika, że przetwarzanie danych osobowych klienta, pomimo że finalnie nie doszło do zawarcia z nim umowy, jest niezbędne do celów obrony przed ewentualnymi roszczeniami, w tym rozpatrzenia takich roszczeń.
Bank zauważył, że zarówno poprzednie, jak i obecne brzmienie art. 70a Prawa bankowego nie zwalnia banku lub innej instytucji uprawnionej do udzielania kredytów, od konieczności wykonania obowiązku przewidzianego w tym przepisie, również w sytuacji gdy klient najpierw domagał się usunięcia jego danych osobowych. Obowiązek banku ma charakter obiektywny, co oznacza, że bank musi go wykonać w przypadku, gdy klient domagałby się jego realizacji. Jeżeli bank zrealizowałby żądanie usunięcia danych osobowych, a następnie otrzymałby wniosek o realizację prawa opisanego w art. 70a ust. 1 i 2 Prawa bankowego, to uchybiłby temu przepisowi, ponieważ nie posiadałby danych osobowych klienta, umożliwiających jego wykonanie.
Bank zauważył dodatkowo, że posiada większość informacji zawartych we wniosku z dnia [...] lutego 2023 r. z uwagi na to, że te same kategorie informacji są przetwarzane w związku z tym, że klient posiada również inne produkty bankowe w spółce - czego klient nie kwestionuje oraz nie było to objęte przedmiotem postępowania. W związku z czym bank, niezależnie od złożonego wniosku z dnia [...] lutego 2023 r. przetwarza i będzie przetwarzać w ramach umów dotyczących innych produktów bankowych m.in. imię, nazwisko, PESEL, numer i serię dowodu tożsamości, obywatelstwo, dane kontaktowe: nr telefonu, adres zamieszkania i adres korespondencyjny, dane dotyczące zatrudnienia, dane finansowe: źródło dochodu, miesięczne koszty utrzymania i zobowiązania, posiadane aktywa, dane socjo-demograficzne: stan cywilny, ile osób na utrzymaniu, informacja o przyznanych produktach kredytowych w grupie [...] - które to informacje klient przedstawił w ramach korzystania z produktów bankowych oferowanych przez spółkę.
Biuro Informacji Kredytowej S.A. zaskarżyło decyzję z dnia [...] września 2024 r. w zakresie punktu 2, wnosząc o jej uchylenie w zaskarżonej części oraz o zasądzenie zwrotu kosztów postępowania. Skarżący zarzucił decyzji naruszenie prawa materialnego oraz prawa procesowego, mające istotny wpływ na wynik sprawy, tj.:
1. art. 6 ust. 1 lit. c) rozporządzenia nr 2016/679 w zw. z art. 105 ust. 1 pkt 1c w zw. z art. 105 ust. 4 i w zw. z art. 105a w zw. z art. 70 i art. 5 ust. 1 pkt 3 Prawa bankowego, poprzez jego niewłaściwe zastosowanie i w konsekwencji nieuzasadnione przyjęcie, że BIK nie posiada ww. podstawy prawnej do przetwarzania danych zawartych we wniosku kredytowym w przypadku niezawarcia umowy kredytowej, podczas gdy BIK jest ustawowo zobowiązany do realizacji obowiązku prawnego wynikającego z ww. przepisów polegającego na gromadzeniu, przetwarzaniu i udostępnianiu bankom oraz podmiotom szczegółowo wskazanym w przepisie informacji stanowiących tajemnicę bankową w zakresie, w jakim informacje te są potrzebne w związku z wykonywaniem czynności bankowych w postaci oceny zdolności kredytowej oraz analizy ryzyka kredytowego konkretnego klienta (indywidualna ocena zdolności kredytowej) oraz w związku ze stosowaniem metod wewnętrznych oraz innych metod i modeli, o których mowa w części trzeciej rozporządzenia CRR; ewentualnie, na wypadek nieuwzględnienia ww. zarzutu, zarzucił naruszenie: art. 6 ust. 1 lit. f) rozporządzenia nr 2016/679 poprzez jego niewłaściwą wykładnię i w konsekwencji niezastosowanie wskutek przyjęcia, że skarżący nie posiada podstawy prawnej przetwarzania danych uczestnika postępowania, opartej na prawnie uzasadnionym interesie administratora oraz podmiotów trzecich wskazanych w art. 105 ust. 4 pkt 1-5 Prawa bankowego, w postaci realizacji obowiązku gromadzenia, przetwarzania oraz udostępnienia bankom oraz podmiotom wskazanym w ww. przepisie informacji stanowiących tajemnicę bankową w zakresie, w jakim informacje te są potrzebne w związku z wykonywaniem czynności bankowych w postaci oceny zdolności kredytowej oraz analizy ryzyka kredytowego konkretnego klienta (indywidualna ocena zdolności kredytowej), w celu budowy i utrzymania modeli scoringowych, a więc narzędzi wykorzystywanych przez banki do oceny zdolności kredytowej i analizy ryzyka kredytowego oraz w związku ze stosowaniem metod wewnętrznych oraz innych metod i modeli, o których mowa w części trzeciej rozporządzenia CRR;
2. art. 6 ust. 1 lit. c) rozporządzenia nr 2016/679 w zw. z art. 70a w zw. z art. 105 ust. 4 pkt 1 i 2 oraz art. 105a Prawa bankowego poprzez jego niezastosowanie wskutek uznania, że skarżący nie posiada podstawy prawnej do przetwarzania danych uczestnika postępowania w sytuacji niezawarcia umowy kredytowej, podczas gdy skarżący posiada podstawę prawną przetwarzania z uwagi na niezbędność przetwarzania do wykonania obowiązku prawnego przez banki i BIK, w postaci obowiązku przekazania osobie ubiegającej się o kredyt w formie pisemnej na jego wniosek wyjaśnień dotyczących dokonanej oceny zdolności kredytowej wnioskującego;
3. art. 6 ust. 1 lit. c) rozporządzenia nr 2016/679 w zw. z art. 106d ust. 1 pkt 3 Prawa bankowego w zw. z art. 39 ust. 1 w zw. z art. 33 ust. 2, art. 33 ust. 3 pkt 6, art. 34 ust. 1 pkt, art. 36 ust. 1 oraz art. 49 ust. 1 ustawy AML, poprzez jego niezastosowanie wskutek przyjęcia, że na BIK nie ciążą obowiązki związane z przeciwdziałaniem praniu pieniędzy oraz finansowaniu terroryzmu w sytuacji, gdy nie doszło do zawarcia umowy kredytowej pomiędzy wnioskodawcą a bankiem - podczas gdy przepisy te nakładają na banki jako instytucje zobowiązane, a pośrednio na BIK, jako podmiot wspierający banki w realizacji obowiązków instytucji obowiązanej, obowiązek przetwarzania danych osobowych w celu zapewnienia bezpieczeństwa obrotu gospodarczego poprzez przeprowadzenie szczegółowego badania na temat klientów, w tym przyszłych klientów, jak i badania powiązań kapitałowo-osobowych, w tym także wtedy, gdy ostatecznie pomiędzy stronami nie została zawarta umowa kredytowa;
4. art. 6 ust. 1 lit. f) rozporządzenia nr 2016/679 poprzez jego niewłaściwe zastosowanie i przyjęcie, że przetwarzanie danych osobowych dla realizacji prawnie uzasadnionych interesów administratora danych w celach zabezpieczenia roszczeń może dotyczyć wyłącznie roszczeń istniejących i aktualnie dochodzonych i w konsekwencji nieuzasadnione przyjęcie, że prawnie uzasadniony interes administratora danych nie istnieje w sytuacji konieczności przetwarzania danych osobowych do ochrony przed roszczeniami istniejącymi, ale niedochodzonymi w chwili dokonywania oceny, podczas gdy istotą uzasadnionego interesu administratora jest możliwość przetwarzania danych na wypadek konieczności obrony przed roszczeniami istniejącymi lub dochodzenia w przyszłości roszczeń istniejących, które w warunkach niniejszej sprawy są związane przetwarzaniem danych osobowych na potrzeby opracowania oceny scoringowej wnioskodawcy niezbędnej do przeprowadzenia analizy zdolności kredytowej oraz analizy ryzyka kredytowego, które to skarżący zobowiązany jest gromadzić, przetwarzać i udostępniać bankom i instytucjom ustawowo upoważnionym dla realizacji celów ustawowych badania zdolności kredytowej;
5. art. 6 ust. 1 lit. f) rozporządzenia nr 2016/679 poprzez jego niewłaściwe zastosowanie i przyjęcie, że w przypadku braku zawarcia umowy kredytowej, BIK nie posiada prawnie uzasadnionego interesu w przetwarzaniu danych uczestnika postępowania, podczas gdy istnieje prawnie uzasadniony interes skarżącego w przetwarzaniu tych informacji pomimo niezawarcia umowy kredytowej, polegający na realizacji działań z zakresu opracowania, utrzymania aktualności i funkcjonalności zbudowanych modeli scoringowych w zgodzie z treścią Rekomendacji W, S i T Komisji Nadzoru Finansowego w zakresie dobrych praktyk i zarządzania ryzykiem kredytowym;
6. art. 7, art. 77 w zw. z art. 80 w zw. z art. 107 § 3 k.p.a. w zw. z art. 7 ust. 1 u.o.d.o., poprzez niezbadanie przez organ wszystkich podstaw prawnych dalszego przetwarzania danych o zapytaniach kredytowych, w sytuacji nieudzielenia kredytu, pomimo iż przepisy prawa upoważniają skarżącego do przetwarzania tych danych, niewystarczające wyjaśnienie podstaw prawnych decyzji oraz brak oceny istotnych okoliczności sprawy, co w konsekwencji doprowadziło do błędnego nakazania skarżącemu usunięcia danych osobowych oraz uniemożliwiło skarżącemu zapoznanie się z powodami negatywnej oceny wskazanych przez skarżącego podstaw przetwarzania;
7. art. 7 w zw. z art. 77 § 1 i w zw. z art. 80 k.p.a. w zw. z art. 7 u.o.d.o., poprzez niewyczerpujące zebranie, nierozpatrzenie i błędną ocenę całokształtu materiału dowodowego przejawiającego się w zaniechaniu dokonania wyczerpującej analizy charakteru, zakresu oraz celów gospodarczo-ekonomicznych, dla jakich zostało powołane BIK oraz obowiązków prawnych i obowiązków wynikających z zawartych przez BIK umów z bankami, skutkującą wadliwą i niepełną oceną stanu faktycznego sprawy oraz charakteru działania skarżącego, co w konsekwencji skutkowało nieuzasadnionym wydaniem przez organ nakazu usunięcia danych osobowych wnioskodawcy;
8. art. 7b w zw. z art. 7 w zw. z art. 77 k.p.a. w zw. z art. 7 u.o.d.o. poprzez niedokładne wyjaśnienie stanu faktycznego i prawnego koniecznego do podjęcia przez organ stosownych czynności, a w szczególności niezwrócenie się do Komisji Nadzoru Finansowego w celu kompleksowego wyjaśnienia stanu faktycznego sprawy oraz współdziałania w zakresie niezbędnym do dokładnego wyjaśnienia stanu prawnego, mając na względzie interes społeczny i słuszny interes obywateli w postaci ustalenia należytych zasad, celów i zakresu przetwarzania danych osobowych o niezrealizowanych zapytaniach kredytowych tak, by procesy przetwarzania danych czyniły zadość zarówno przepisom prawa o ochronie danych osobowych, jak i przepisom szeroko pojętego prawa bankowego, w szczególności dla zapewnienia ochrony wartości, których gwarancje ochrony wynikają z ww. przepisów zgodnie z zasadą proporcjonalności;
9. art. 7, art. 77 § 1 i art. 80 k.p.a. poprzez zaniechanie dokonania oceny Rekomendacji S, W i T Komisji Nadzoru Finansowego jako organu właściwego do sprawowania nadzoru nad instytucjami krajowymi w rozumieniu przepisów UE (regulatora rynku finansowego), które to regulacje nakładają na banki, a w konsekwencji na BIK, jako instytucję gromadzącą dane służące do oceny zdolności kredytowej oraz budującą modele scoringowe służące bankom, określone wymagania, które podlegają nadzorowi i egzekwowaniu przez Komisję Nadzoru Finansowego na podstawie bezwzględnie obowiązujących przepisów prawa, co w konsekwencji doprowadziło do zaniechania przez organ oceny podstaw prawnych i celów, dla jakich BIK oraz banki są upoważnione do przetwarzania danych w zakresie zdolności kredytowej również w przypadku niezawarcia umowy kredytowej dla zabezpieczenia interesów banków oraz stabilności rynku gospodarczo-finansowego;
10. art. 7, art. 77 w zw. z art. 80 k.p.a. poprzez zaniechanie wyczerpującego zebrania i rozpatrzenia materiału dowodowego, przejawiające się w szczególności brakiem dokonania analizy podstawowych zasad funkcjonowania stabilnego sektora finansowego w tym pod kątem istnienia - po stronie banków, a w konsekwencji BIK jako instytucji gromadzącej dane służące do oceny zdolności kredytowej oraz budującej modele scoringowe służące bankom - oczywistego interesu prawnego przejawiającego się w odmowie udzielenia kredytu wynikającego z braku istnienia zdolności kredytowej po stronie wnioskodawcy, co prowadzi do zabezpieczenia interesu banków przed nieodpowiedzialną polityką udzielania kredytów osobom, które nie mają szans na ich spłacenie oraz do zapewnienia stabilności gospodarczo-ekonomicznej sektora bankowego, a w ujęciu makro zapobieganiu kryzysom gospodarczym.
W uzasadnieniu skargi skarżący przedstawił argumentację na poparcie postawionych zarzutów.
W odpowiedzi na skargi organ wniósł o ich oddalenie, podnosząc argumentację tożsamą z zaprezentowaną w zaskarżonej decyzji.
Postanowieniem z dnia 21 stycznia 2025 r. Wojewódzki Sąd Administracyjny w Warszawie połączył, na podstawie art. 111 § 1 ustawy z dnia 30 sierpnia 2002 r. – Prawo o postępowaniu przed sądami administracyjnymi (Dz. U. z 2024 r., poz. 935 ze zm., powoływanej dalej jako p.p.s.a.), do wspólnego rozpoznania i rozstrzygnięcia sprawy ze skargi Banku [...] S.A. oraz ze skargi Biura Informacji Kredytowej S.A. i postanowił prowadzić je pod sygn. akt II SA/Wa 1958/24.
Następnie postanowieniem z dnia 21 stycznia 2025 r. sygn. akt II SA/Wa 1958/24 Wojewódzki Sąd Administracyjny w Warszawie wstrzymał wykonanie pkt 2 zaskarżonej decyzji.
Wojewódzki Sąd Administracyjny w Warszawie, zważył co następuje:
Skargi nie zasługują na uwzględnienie. Zaskarżona decyzja nie narusza bowiem prawa zarówno w części dotyczącej rozstrzygnięcia zawartego w punkcie 1, jak i w pkt 2. Organ podjął w tej sprawie decyzję po dokonaniu pełnych ustaleń stanu faktycznego niezbędnych do jej rozstrzygnięcia.
Stan faktyczny tej sprawy jest w istocie bezsporny. Przetwarzanie danych osobowych P. J.przez oba skarżące podmioty miało miejsce w czasie obowiązywania rozporządzenia nr 2016/679, tj. w 2023 r. Wymieniony złożył do Banku [...] wniosek kredytowy w dniu [...] lutego 2023 r. Bank wskazał w toku postępowania administracyjnego, że pozyskał w ten sposób i przetwarza dane wymienionego w zakresie: 1) dane identyfikacyjne: imię, nazwisko, nr PESEL, seria i numer dokumentu tożsamości, obywatelstwo; 2) dane kontaktowe: nr telefonu, adres zamieszkania i adres korespondencyjny, 3) dane dotyczące zatrudnienia; 4) dane finansowe: źródło dochodu, miesięczne koszty utrzymania i zobowiązania, posiadane aktywa; 5) dane socjo-demograficzne: stan cywilny, liczba osób na utrzymaniu; 6) informacja o przyznanych produktach kredytowych w grupie [...] ; 7) informacja o produktach kredytowych w innych bankach; 6) dane pozyskane z BIK S.A. w związku z zapytaniem kredytowym. Niesporny jest też ustalony cel pozyskania danych wymienionego, tj. ocena zdolności kredytowej i ryzyka kredytowego. W sprawie jest także bezsporne, że BIK pozyskał dane osobowe wnioskodawcy w zakresie zapytania kredytowego z dnia [...] lutego 2023 r. od banku, na podstawie art. 105 ust. 4, art. 105a ust. 1 Prawa bankowego oraz umowy zawartej między BIK i bankiem.
Dokonując oceny zgodności z prawem zaskarżonej decyzji, należy wskazać, że zgodnie z motywem 40 rozporządzenia nr 2016/679, aby przetwarzanie danych było zgodne z prawem, powinno się odbywać na podstawie zgody osoby, której dane dotyczą, lub na innej uzasadnionej podstawie przewidzianej prawem: albo w niniejszym rozporządzeniu, albo w innym akcie prawnym Unii lub w prawie państwa członkowskiego, o których mowa w niniejszym rozporządzeniu, w tym musi się ono odbywać z poszanowaniem obowiązku prawnego, któremu podlega administrator, lub z poszanowaniem umowy, której stroną jest osoba, której dane dotyczą, lub w celu podjęcia działań na żądanie osoby, której dane dotyczą, przed zawarciem umowy.
Powyższe znalazło wyraz w art. 6 ust. 1 rozporządzenia nr 2016/679 określającym przesłanki legalności przetwarzania danych osobowych. Zgodnie z tym przepisem, przetwarzanie jest zgodne z prawem wyłącznie w przypadkach, gdy - i w takim zakresie, w jakim - spełniony jest co najmniej jeden z poniższych warunków: a) osoba, której dane dotyczą wyraziła zgodę na przetwarzanie swoich danych osobowych w jednym lub większej liczbie określonych celów; b) przetwarzanie jest niezbędne do wykonania umowy, której stroną jest osoba, której dane dotyczą, lub do podjęcia działań na żądanie osoby, której dane dotyczą, przed zawarciem umowy; c) przetwarzanie jest niezbędne do wypełnienia obowiązku prawnego ciążącego na administratorze; d) przetwarzanie jest niezbędne do ochrony żywotnych interesów osoby, której dane dotyczą, lub innej osoby fizycznej; e) przetwarzanie jest niezbędne do wykonania zadania realizowanego w interesie publicznym lub w ramach sprawowania władzy publicznej powierzonej administratorowi; f) przetwarzanie jest niezbędne do celów wynikających z prawnie uzasadnionych interesów realizowanych przez administratora lub przez stronę trzecią, z wyjątkiem sytuacji, w których nadrzędny charakter wobec tych interesów mają interesy lub podstawowe prawa i wolności osoby, której dane dotyczą, wymagające ochrony danych osobowych, w szczególności gdy osoba, której dane dotyczą, jest dzieckiem. Akapit pierwszy lit. f) nie ma zastosowania do przetwarzania, którego dokonują organy publiczne w ramach realizacji swoich zadań.
Zgodnie z art. 105a ust. 1 Prawa bankowego, przetwarzanie przez banki, inne instytucje ustawowo upoważnione do udzielania kredytów, instytucje pożyczkowe oraz podmioty, o których mowa w art. 59d ustawy z dnia 12 maja 2011 r. o kredycie konsumenckim, a także instytucje utworzone na podstawie art. 105 ust. 4, informacji stanowiących tajemnicę bankową i informacji udostępnionych przez instytucje pożyczkowe oraz podmioty, o których mowa w art. 59d ustawy z dnia 12 maja 2011 r. o kredycie konsumenckim, w zakresie dotyczącym osób fizycznych może być wykonywane, z zastrzeżeniem art. 104, art. 105 i art. 106-106d, w celu oceny zdolności kredytowej i analizy ryzyka kredytowego. Zgodnie zaś z art. 105a ust. 4 Prawa bankowego, banki oraz instytucje, o których mowa w art. 105 ust. 4, mogą przetwarzać stanowiące tajemnicę bankową informacje dotyczące osoby fizycznej po wygaśnięciu zobowiązania wynikającego z umowy zawartej z bankiem lub inną instytucją ustawowo upoważnioną do udzielania kredytów bez zgody osoby, której informacje dotyczą, do celów stosowania metod wewnętrznych oraz innych metod i modeli, o których mowa w części trzeciej rozporządzenia nr 575/2013. Jednocześnie zgodnie z art. 105a ust. 5 Prawa bankowego, przetwarzanie informacji stanowiących tajemnicę bankową w przypadkach, o których mowa w ust. 3, może być wykonywane przez okres nie dłuższy niż 5 lat od dnia wygaśnięcia zobowiązania, a w przypadku, o którym mowa w ust. 4, przez okres 12 lat od dnia wygaśnięcia zobowiązania. Zgodnie z art. 70 ust. 1 Prawa bankowego, bank uzależnia przyznanie kredytu od zdolności kredytowej kredytobiorcy. Przez zdolność kredytową rozumie się zdolność do spłaty zaciągniętego kredytu wraz z odsetkami w terminach określonych w umowie. Kredytobiorca jest obowiązany przedłożyć na żądanie banku dokumenty i informacje niezbędne do dokonania oceny tej zdolności.
Nie ma w świetle powyższego wątpliwości i nie było kwestionowane przez organ w zaskarżonej decyzji, że bank oraz BIK, na podstawie art. 105a ust. 1 Prawa bankowego w zw. z art. 70 ust. 1 tej ustawy, były uprawnione do przetwarzania danych osobowych wnioskodawcy w celu oceny zdolności kredytowej i analizy ryzyka kredytowego. Pogląd ten podziela Sąd rozpoznający niniejszą sprawę. Wprawdzie Prezes UODO wskazał w decyzji, że bank był uprawniony do przetwarzania danych wnioskodawcy w celu oceny zdolności kredytowej, jednakże wprost wskazał jednocześnie, że "W związku z dokonaniem przez Bank oceny zdolności kredytowej i analizy ryzyka kredytowego ww. cel przetwarzania danych osobowych (...) został zrealizowany i brak jest podstaw do kontynuowania tego procesu" (s. 6 uzasadnienia zaskarżonej decyzji). Biorąc pod uwagę, że w związku z zapytaniem kredytowym z dnia [...] lutego 2023 r. nie doszło do zawarcia umowy kredytowej (co nie jest sporne w tej sprawie), nie może być wątpliwości, że ocena zdolności kredytowej i analiza ryzyka kredytowego zostały dokonane (zrealizowane). Cel przetwarzania danych, dla którego zostały one zgromadzone w zapytaniu kredytowym, został osiągnięty.
Zgodnie z art. 105a ust. 2 Prawa bankowego, z zastrzeżeniem ust. 3, instytucje, o których mowa w ust. 1, mogą przetwarzać informacje stanowiące tajemnicę bankową oraz informacje udostępnione przez instytucje pożyczkowe oraz podmioty, o których mowa w art. 59d ustawy z dnia 12 maja 2011 r. o kredycie konsumenckim, w zakresie dotyczącym osób fizycznych po wygaśnięciu zobowiązania wynikającego z umowy zawartej z bankiem, inną instytucją ustawowo upoważnioną do udzielania kredytów, instytucją pożyczkową lub podmiotem, o którym mowa w art. 59d ustawy z dnia 12 maja 2011 r. o kredycie konsumenckim, pod warunkiem uzyskania pisemnej zgody osoby, której informacje te dotyczą, z zastrzeżeniem ust. 2a. Zgoda ta może być w każdym czasie odwołana. Ust. 3 stanowi, że banki, instytucje oraz podmioty, o których mowa w ust. 1, mogą przetwarzać informacje stanowiące tajemnicę bankową i informacje udostępnione przez instytucje pożyczkowe oraz podmioty, o których mowa w art. 59d ustawy z dnia 12 maja 2011 r. o kredycie konsumenckim, dotyczące osób fizycznych po wygaśnięciu zobowiązania wynikającego z umowy zawartej z bankiem, inną instytucją ustawowo upoważnioną do udzielania kredytów, instytucją pożyczkową lub podmiotem, o którym mowa w art. 59d ustawy z dnia 12 maja 2011 r. o kredycie konsumenckim, bez zgody osoby, której informacje dotyczą, gdy osoba ta nie wykonała zobowiązania lub dopuściła się zwłoki powyżej 60 dni w spełnieniu świadczenia wynikającego z umowy zawartej z bankiem, inną instytucją ustawowo upoważnioną do udzielania kredytów, instytucją pożyczkową lub podmiotem, o którym mowa w art. 59d ustawy z dnia 12 maja 2011 r. o kredycie konsumenckim, a po zaistnieniu tych okoliczności upłynęło co najmniej 30 dni od poinformowania tej osoby przez bank, inną instytucję ustawowo upoważnioną do udzielania kredytów, instytucję pożyczkową albo podmiot, o którym mowa w art. 59d ustawy z dnia 12 maja 2011 r. o kredycie konsumenckim, o zamiarze przetwarzania dotyczących jej tych informacji, bez jej zgody. Kolejne przepisy wskazują, że banki oraz instytucje, o których mowa w art. 105 ust. 4, mogą przetwarzać stanowiące tajemnicę bankową informacje dotyczące osoby fizycznej po wygaśnięciu zobowiązania wynikającego z umowy zawartej z bankiem lub inną instytucją ustawowo upoważnioną do udzielania kredytów bez zgody osoby, której informacje dotyczą, do celów stosowania metod wewnętrznych oraz innych metod i modeli, o których mowa w części trzeciej rozporządzenia nr 575/2013 (ust. 4). Przetwarzanie informacji stanowiących tajemnicę bankową w przypadkach, o których mowa w ust. 3, może być wykonywane przez okres nie dłuższy niż 5 lat od dnia wygaśnięcia zobowiązania, a w przypadku, o którym mowa w ust. 4, przez okres 12 lat od dnia wygaśnięcia zobowiązania (ust. 5). Zakres przetwarzanych informacji, o których mowa w ust. 3 i 4, może obejmować dane dotyczące osoby fizycznej lub dane dotyczące zobowiązania (ust. 6).
Podkreślenia jednak wymaga, że w sprawie tej nie doszło do zawarcia umowy kredytowej pomiędzy bankiem a P. J. . Wnioskodawca wniósł następnie o usunięcie jego danych związanych z zapytaniem kredytowym z dnia [...] lutego 2023 r.
Zgodzić należało się w związku z powyższym z organem, że odpadła przesłanka legalizująca dalsze przetwarzanie danych osobowych wnioskodawcy przez bank oraz BIK, które to przetwarzanie miało na celu – co wymaga podkreślenia i czego nie kwestionował organ – ocenę zdolności kredytowej i analizę ryzyka kredytowego (przed zawarciem umowy). Pomiędzy bankiem a wnioskodawcą nie nawiązał się żaden stosunek zobowiązaniowy związany z tym zapytaniem kredytowym, który stosownie do art. 105a ust. 1-6 Prawa bankowego dawałby podstawę do dalszego przetwarzania jego danych osobowych w tym zakresie zarówno przez bank jak i BIK. Ustał cel przetwarzania, dla którego pozyskano dane osobowe wnioskodawcy i nie ma spełnionej przesłanki ich dalszego przetwarzania, co trafnie stwierdził w zaskarżonej decyzji organ.
Z przedstawionych wyżej przepisów wynika, że przesłanki zawarte w art. 105a Prawa bankowego dotyczą przetwarzania informacji objętych tajemnicą bankową w okresie przed powstaniem zobowiązania, w trakcie jego trwania oraz po wygaśnięciu zobowiązania. Natomiast w sytuacji, gdy w następstwie złożenia wniosku kredytowego nie dochodzi do zawarcia umowy kredytowej z bankiem, jak miało to miejsce w niniejszej sprawie, brak jest ustawowych przesłanek legalizujących dalsze przetwarzanie danych osobowych wnioskodawcy zawartych w zapytaniu kredytowym z dnia [...] lutego 2023 r. Przetwarzane są one bowiem w celach wskazanych przez bank i BIK (innych niż cele, dla których zostały zebrane, tj. oceny zdolności kredytowej i analizy ryzyka kredytowego) bez podstawy prawnej.
Nie budzi wątpliwości Sądu, że ocena zdolności kredytowej i ryzyka kredytowego ma charakter czynności wstępnych przed zawarciem umowy przez bank. Dalsze przetwarzanie danych, uzyskanych pierwotnie wyłącznie w celu oceny zdolności kredytowej i analizy ryzyka kredytowego, w przypadku braku zawarcia stosownej umowy, pozostaje w oderwaniu od celu, dla którego dane zostały zebrane. Na gruncie rozporządzenia nr 2016/679 niedopuszczalne jest – w takim stanie faktycznym, jak w niniejszej sprawie, gdy nie zawarto umowy kredytowej – przetwarzanie danych osobowych wnioskodawcy "na przyszłość" w zupełnie innych celach niż je zebrano, w tym na potrzeby oceny zdolności kredytowej innych osób, w sytuacji, gdy nie można zrekonstruować wyraźnej podstawy prawnej takich działań.
W sprawie nie mamy do czynienia z sytuacją, w której nawiązano stosunek zobowiązaniowy i następnie dane przetwarzane są (w tym także udostępniane) przez administratora nie tylko w celu zasadniczym, tj. realizacji zawartej z klientem umowy, ale także w innych celach, które powstały w trakcie trwania stosunku zobowiązaniowego i które w ocenie administratora winny być, czy mogą być – w związku z trwającym stosunkiem prawnym - kwalifikowane jako jego "prawnie uzasadnione interesy" na gruncie RODO (art. 6 ust. 1 lit. f rozporządzenia nr 2016/679).
Sprawa niniejsza dotyczy – co wymaga raz jeszcze podkreślenia – przetwarzania danych osoby fizycznej, z którą bank nie zawarł umowy kredytowej na podstawie konkretnie wskazanego wniosku kredytowego, ustał przy tym cel przetwarzania danych tej osoby fizycznej w tym zakresie wynikającym z art. 105a ust. 1 w zw. z art. 70 ust. 1 Prawa bankowego, osoba ta wniosła o zaprzestanie przetwarzania danych i ich usunięcie. Przesłanki do dalszego przetwarzania danych osobowych P. J. (na przyszłość i w innych wskazywanych obecnie przez bank i BIK celach) nie stanowi w tej sprawie, w jej okolicznościach faktycznych, ani dla banku ani dla BIK żadna z przesłanek z art. 6 ust. 1 lit. a-f rozporządzenia nr 2016/679. Ustalenie organu w zakresie braku dopuszczalności przetwarzania danych wnioskodawcy zawartych w zapytaniu kredytowym wskazanym w decyzji jest zatem prawidłowe.
Za nieuzasadnione Sąd uznał wszystkie zarzuty podniesione przez bank i BIK w złożonych w tej sprawie skargach. W ocenie Sądu, organ zasadnie nakazał w punkcie 1 decyzji bankowi, a w punkcie 2 decyzji BIK usunięcie danych osobowych P. J.w zakresie wynikającym z zapytania kredytowego z dnia [...] lutego 2023 r. niezakończonego zawarciem umowy kredytowej.
Nietrafny, w świetle poczynionych wyżej ustaleń i rozważań, jest zarzut BIK dotyczący naruszenia art. 6 ust. 1 lit. c (ewentualnie art. 6 ust. 1 lit. f) rozporządzenia nr 2016/679 w zw. z art. 105 ust. 1 pkt 1c w zw. z art. 105 ust. 4 i w zw. z art. 105a w zw. z art. 70 i art. 5 ust. 1 pkt 3 Prawa bankowego. Podkreślenia wymaga przy tym, że organ nie kwestionował, że udzielanie kredytów jest czynnością bankową. Warto zwrócić przy tym uwagę, że art. 105 ust. 4 Prawa bankowego nie nakłada na bank obowiązku korzystania z zewnętrznej bazy zawierającej informacje o wnioskach z sektora bankowego oraz sektora pożyczkowego. Przyznaje jedynie bankom uprawnienie do tworzenia instytucji upoważnionych do gromadzenia, przetwarzania i udostępniania bankom informacji stanowiących tajemnicę bankową we wskazanym zakresie.
Przesłanka z art. 6 ust. 1 lit. c) rozporządzenia nr 2016/679 nie znajduje zastosowania w okolicznościach niniejszej sprawy. Przepis ten dotyczy bowiem sytuacji, gdy przetwarzanie jest niezbędne do wypełnienia obowiązku prawnego administratora danych, a nie realizacji uprawnienia, o którym mowa w art. 105 ust. 4 Prawa bankowego. Ponadto przepis art. 105 ust. 4 Prawa bankowego nie stanowi o dopuszczalności przetwarzania danych osobowych dotyczących wniosków kredytowych w sytuacji, gdy nie doszło do zawarcia umowy z bankiem.
Przepis art. 105a ust. 1a, 1b, 1c Prawa bankowego dotyczy określenia warunków dopuszczalności zautomatyzowanego przetwarzania, w tym profilowania danych osobowych w celu oceny zdolności kredytowej i analizy ryzyka kredytowego. Powyższe przepisy w żaden sposób nie dają podstawy do przetwarzania "na przyszłość" danych osoby, z którą umowy nie zawarto, a cel, dla którego dane zebrano ustał. Wbrew zarzutom obu skarg brzmienie art. 105a Prawa bankowego nie daje podstaw do dalszego przetwarzania danych wnioskodawcy po zakończeniu oceny zdolności kredytowej i analizy ryzyka kredytowego, gdy umowy nie zawarto. Na podstawie powołanych przepisów bank a także BIK nie ma uprawnienia do dalszego przetwarzania tych danych, albowiem umowy nie zawarto i nie wykazano przesłanki legalizującej to działanie.
Sąd podziela pogląd Naczelnego Sądu Administracyjnego wyrażony w wyroku z dnia 27 sierpnia 2019 r. sygn. akt I OSK 2567/17 (wszystkie powoływane orzeczenia są dostępne w internetowej bazie orzeczeń sądów administracyjnych), zgodnie z którym, "Gdyby podzielić stanowisko skarżącego, że pozyskanie danych na etapie złożenia wniosku kredytowego uprawnia bank do ich nieograniczonego w czasie przechowywania po odmowie zawarcia umowy kredytowej, to regulacje zawarte w art. 105 a ust. 2 i 3 i ust. 5 Prawa bankowego ograniczające w czasie przypadki przetwarzania danych klientów z umów kredytowych pozbawione byłyby sensu".
Pogląd ten wyrażony został wprawdzie na gruncie poprzednio obowiązującej ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych i obowiązującej przed rozporządzeniem nr 2016/679 Dyrektywy 95/46, jednakże w ocenie Sądu nie stracił na aktualności. Przepisy rozporządzenia nr 2016/679 wzmacniają jeszcze w porównaniu z Dyrektywą 95/46 ochronę danych osób fizycznych. Aktualności tego poglądu Naczelnego Sądu Administracyjnego nie zmienia także fakt, że BIK i bank, przyjęły w swej praktyce określone terminy dalszego przetwarzania danych osobowych osoby, z którą nie zawarto umowy kredytu.
Zgodnie z art. 5 ust. 1 rozporządzenia nr 2016/679, dane osobowe muszą być: a) przetwarzane zgodnie z prawem, rzetelnie i w sposób przejrzysty dla osoby, której dane dotyczą ("zgodność z prawem, rzetelność i przejrzystość"); b) zbierane w konkretnych, wyraźnych i prawnie uzasadnionych celach i nieprzetwarzane dalej w sposób niezgodny z tymi celami; dalsze przetwarzanie do celów archiwalnych w interesie publicznym, do celów badań naukowych lub historycznych lub do celów statystycznych nie jest uznawane w myśl art. 89 ust. 1 za niezgodne z pierwotnymi celami ("ograniczenie celu"); c) adekwatne, stosowne oraz ograniczone do tego, co niezbędne do celów, w których są przetwarzane ("minimalizacja danych"); d) prawidłowe i w razie potrzeby uaktualniane; należy podjąć wszelkie rozsądne działania, aby dane osobowe, które są nieprawidłowe w świetle celów ich przetwarzania, zostały niezwłocznie usunięte lub sprostowane ("prawidłowość"); e) przechowywane w formie umożliwiającej identyfikację osoby, której dane dotyczą, przez okres nie dłuższy, niż jest to niezbędne do celów, w których dane te są przetwarzane; dane osobowe można przechowywać przez okres dłuższy, o ile będą one przetwarzane wyłącznie do celów archiwalnych w interesie publicznym, do celów badań naukowych lub historycznych lub do celów statystycznych na mocy art. 89 ust. 1, z zastrzeżeniem że wdrożone zostaną odpowiednie środki techniczne i organizacyjne wymagane na mocy niniejszego rozporządzenia w celu ochrony praw i wolności osób, których dane dotyczą ("ograniczenie przechowywania"); f) przetwarzane w sposób zapewniający odpowiednie bezpieczeństwo danych osobowych, w tym ochronę przed niedozwolonym lub niezgodnym z prawem przetwarzaniem oraz przypadkową utratą, zniszczeniem lub uszkodzeniem, za pomocą odpowiednich środków technicznych lub organizacyjnych ("integralność i poufność").
Przedstawione zasady przetwarzania danych nie pozwalają na arbitralne decydowanie przez administratora – w sytuacji braku do tego podstaw – o dalszym przetwarzaniu (a zatem ich m.in. ujawnianiu poprzez przesyłanie, udostępnianie, utrwalanie, organizowanie, adaptowanie, modyfikowanie) danych osobowych mimo ustania celu, dla którego dane w zapytaniu kredytowym były zebrane. Powyższe znajduje odniesienie do przetwarzania danych przez BIK jako administratora. Do podmiotu tego też mają zastosowanie zasady przetwarzania danych określone w art. 5 rozporządzenia nr 2016/679. Przepis art. 5 ust. 2 rozporządzenia nr 2016/679 stanowi, że administrator jest odpowiedzialny za przestrzeganie ust. 1 i musi być w stanie wykazać ich przestrzeganie ("rozliczalność"). W ocenie BIK, ze względu na tę właśnie rozliczalność ma on podstawę w art. 6 ust. 1 lit. f) rozporządzenia nr 2016/679 do przetwarzania danych P. J.. Skoro bank i BIK nie dysponują przesłanką legalności przetwarzania danych zawartych w zapytaniu kredytowym wymienionej osoby po tym, gdy wniosła ona o usunięcie tych danych, co zasadnie stwierdził organ, to nie można przyjąć, aby same zasady określone w rozporządzeniu nr 2016/679 mogły wykreować (stanowić) przesłankę legalności przetwarzania danych.
Z kolei zaakceptowanie wykładni przepisów Prawa bankowego, ustawy AML, rozporządzenia CRR zaprezentowanej w skardze BIK prowadziłaby do stwierdzenia, że na potrzeby oceny zdolności kredytowej i analizy ryzyka kredytowego bank i BIK mają prawo nieograniczonego w czasie przetwarzania danych osoby, z którą bank nie zawarł umowy o kredyt, zaś prawo to doznaje ograniczenia, gdy doszło do zawarcia takiej umowy. Wprawdzie ani bank ani BIK nie wskazywały, że przetwarzanie danych będzie nieograniczone w czasie, jednakże nie ma wątpliwości, że – wobec braku podstaw prawnych i ograniczeń czasowych przetwarzania danych wnioskodawcy w celach przyjętych przez te podmioty (po dokonaniu oceny zdolności kredytowej i analizy ryzyka kredytowego) – można byłoby mówić o nieograniczonym w czasie przetwarzaniu tych danych. Narzucenie przez bank i BIK samym sobie ograniczeń czasowych dla poszczególnych, przyjętych przez te podmioty nowych celów przetwarzania, potwierdza jedynie, że nie można mówić o takim samym poziomie ochrony danych osobowych na gruncie rozporządzenia nr 2016/679, jak w przypadku osoby, z którą zawarto umowę.
Sąd podziela pogląd wyrażony przez Naczelny Sąd Administracyjny w powołanym wyżej wyroku z dnia 27 sierpnia 2019 r., zgodnie z którym takich wyników wykładni art. 105a ust. 1 Prawa bankowego nie sposób zaakceptować, bowiem prowadzą one do skutków, których nie zakładałby racjonalny ustawodawca, a więc do przyznania szerszego uprawnienia do przetwarzania danych osobowych podmiotów, z którymi banku nie łączy żaden stosunek prawny.
Przepis art. 105a ust. 1 Prawa bankowego, stanowi, że przetwarzanie przez banki, inne instytucje ustawowo upoważnione do udzielania kredytów oraz instytucje utworzone na podstawie art. 105 ust. 4, informacji stanowiących tajemnicę bankową w zakresie dotyczącym osób fizycznych może być wykonywane, z zastrzeżeniem art. 104, art. 105 i art. 106 - 106d ustawy, w celu oceny zdolności kredytowej i analizy ryzyka kredytowego. Zgodnie z art. 105 ust. 1 pkt 1c Prawo bankowego, bank ma obowiązek udzielenia informacji stanowiących tajemnicę bankową wyłącznie instytucjom, o których mowa w ust. 4, w zakresie niezbędnym do stosowania metod wewnętrznych oraz innych metod i modeli, o których mowa w przepisach części trzeciej rozporządzenia nr 575/2013.
Jak wskazywano już wyżej, zgodnie z art. 105 ust. 4 Prawa bankowego banki mogą, wspólnie z bankowymi izbami gospodarczymi, utworzyć instytucje upoważnione do gromadzenia, przetwarzania i udostępniania m.in. bankom oraz innym podmiotom określonym w tym przepisie informacji stanowiących tajemnicę bankową w zakresie, w jakim informacje te są potrzebne w związku z wykonywaniem czynności bankowych oraz w związku ze stosowaniem metod wewnętrznych oraz innych metod i modeli, o których mowa w części trzeciej rozporządzenia CRR. Zdaniem BIK, organ niewłaściwie przyjął w decyzji, że BIK w tych okolicznościach nie posiada podstawy prawnej do przetwarzania danych P. J. zawartych w zapytaniu kredytowym z dnia [...] lutego 2023 r. (w sytuacji, gdy umowy kredytowej nie zawarto).
Podkreślenia wymaga, że przepis art. 105 ust. 4 Prawa bankowego jest przepisem o charakterze ogólnym, który stanowi o możliwości utworzenia wspólnie z bankowymi izbami gospodarczymi, instytucji upoważnionych do gromadzenia, przetwarzania i udostępniania danych. Przepis ten nie daje podstaw do nieograniczonego przetwarzania wszelkich danych osobowych przez utworzone instytucje. Zasady przetwarzania danych objętych tajemnicą bankową określa art. 105a Prawa bankowego, którego możliwość uznania za podstawę przetwarzania danych osobowych w niniejszej sprawie została omówiona już wcześniej. Na gruncie tego przepisu należy oceniać zatem dopuszczalność przetwarzania poszczególnych danych osobowych w określonych ściśle celach. Podstawy prawnej przetwarzania danych osobowych wnioskodawcy w niniejszej sprawie przez BIK, po tym, jak wniósł o usunięcie danych osobowych, nie zawarł z bankiem umowy kredytowej, nie mógł stanowić zatem art. 105 ust. 4 Prawa bankowego samodzielnie, ani też w powiązaniu z wszystkimi innymi powołanymi przez BIK we wskazanym wyżej zakresie w skardze przepisami Prawa bankowego.
Niezasadne są też zarzuty BIK dotyczące naruszenia art. 6 ust. 1 lit. c) RODO w zw. z art. 106d Prawa bankowego, jak i w związku z przepisami ustawy AML. Naruszenie to skarżący uzasadnił w odniesieniu do art. 106d Prawa bankowego celem w postaci wykrycia nieścisłości oraz powzięcia informacji mogących stanowić o uzasadnionym podejrzeniu popełnienia przestępstw, o których mowa w art. 106d Prawa bankowego, zaś w odniesieniu do przepisów ustawy AML wskazał na wynikający z powołanych w skardze przepisów tej ustawy obowiązek przetwarzania danych osobowych w celu zapewnienia bezpieczeństwa obrotu gospodarczego poprzez przeprowadzenie szczegółowego badania na temat klientów, w tym przyszłych klientów, jak i badania powiązań kapitałowo-osobowych, w tym w zakresie danych dostarczanych przez skarżącego, w tym także wtedy, gdy ostatecznie między stronami nie została zawarta umowa.
Zgodnie z art. 106d ust. 1 Prawa bankowego, banki, inne instytucje ustawowo upoważnione do udzielania kredytów, izby rozliczeniowe utworzone na podstawie art. 67, instytucje utworzone na mocy art. 105 ust. 4, instytucje pożyczkowe, podmioty, których podstawowa działalność polega na udostępnianiu składników majątkowych na podstawie umowy leasingu, oraz podmioty, o których mowa w art. 59d ustawy z dnia 12 maja 2011 r. o kredycie konsumenckim, mogą przetwarzać i wzajemnie udostępniać informacje, w tym informacje objęte tajemnicą bankową, w przypadkach: 1) uzasadnionych podejrzeń, o których mowa w art. 106a ust. 3; 2) uzasadnionych podejrzeń popełnienia przestępstw dokonywanych na szkodę banków, innych instytucji ustawowo upoważnionych do udzielania kredytów, instytucji kredytowych, instytucji finansowych, instytucji pożyczkowych oraz podmiotów, o których mowa w art. 59d ustawy z dnia 12 maja 2011 r. o kredycie konsumenckim, i ich klientów, w celu i zakresie niezbędnym do zapobiegania tym przestępstwom; 3) wykonywania obowiązków w zakresie określonym w przepisach o przeciwdziałaniu praniu pieniędzy oraz finansowaniu terroryzmu. Art. 106a ust. 3 Prawa bankowego, do którego odwołano się w art. 106d ust. 1 pkt 1 stanowi, że w przypadku powzięcia uzasadnionego podejrzenia, że zgromadzone na rachunku bankowym środki, w całości lub w części pochodzą lub mają związek z przestępstwem skarbowym lub przestępstwem innym niż przestępstwo, o którym mowa w art. 165a lub art. 229 Kodeksu karnego, bank jest uprawniony do dokonania blokady środków na tym rachunku. Blokada może nastąpić wyłącznie do wysokości zgromadzonych na rachunku środków, co do których zachodzi takie podejrzenie.
Należy zauważyć, że art. 33 ust. 1 ustawy AML nakłada na instytucje obowiązane obowiązek m.in. stosowania wobec swoich klientów środków bezpieczeństwa finansowego, których zakres (katalog) znajduje się w art. 34 ustawy AML. Artykuł 34 ust. 1 ustawy AML odnosi się m.in. do bieżącego monitorowania stosunków gospodarczych klienta (w tym analizę transakcji przeprowadzanych w ramach stosunków gospodarczych, badanie źródła pochodzenia wartości majątkowych będących w dyspozycji klienta - w przypadkach uzasadnionych okolicznościami, zapewnienie, że posiadane dokumenty, dane lub informacje dotyczące stosunków gospodarczych są na bieżąco aktualizowane). Art. 35 wskazuje sytuacje, w których bank jest obowiązany stosować środki bezpieczeństwa finansowego. Art. 36 ustawy AML dotyczy kwestii identyfikacji klienta. Na podstawie art. 49 ust. 1 tej ustawy kopie dokumentów i informacje uzyskane w wyniku stosowania środków bezpieczeństwa finansowego a także dowody potwierdzające przeprowadzone transakcje i ewidencje transakcji, obejmujące oryginalne dokumenty lub kopie dokumentów konieczne do identyfikacji transakcji, przechowuje się przez okres 5 lat licząc od pierwszego dnia roku następującego po roku, w którym zakończono stosunki gospodarcze z klientem lub w którym przeprowadzono transakcje okazjonalne. W przypadku dokonania analizy przeprowadzonej transakcji i udokumentowania jej analizy zgodnie z art. 34 ust. 3 ustawy AML, instytucja pożyczkowa na mocy art. 49 ust. 2 ustawy AML jest obowiązana do przechowywania jej wyników przez okres 5 lat, licząc od pierwszego dnia roku następującego po roku ich przeprowadzenia.
Z wymienionych wyżej przepisów prawa niewątpliwie wynika uprawnienie do monitorowania stosunków gospodarczych klienta i stosowania odpowiednich środków bezpieczeństwa finansowego, co nie ma zupełnie odniesienia do niniejszej sprawy. Bank nie wskazał jakie działania (w sferze stosunków gospodarczych osoby, z którą nie zawarł umowy kredytowej) chciałby monitorować. Ogólne twierdzenia o celu w postaci "zapewnienia bezpieczeństwa obrotu gospodarczego" nie mogą stanowić – w stanie faktycznym tej sprawy – podstawy legalizującej rozszerzanie podstaw i celów przetwarzania danych osobowych wnioskodawcy. Z akt sprawy i wyjaśnień banku w żaden sposób nie wynika, aby bank powziął podejrzenia, czy stwierdził próbę manipulacji.
Zdaniem Sądu, rozszerzanie przez bank dopuszczalności przetwarzania danych (zawartych w zapytaniu kredytowym) osoby, z którą nie zawarto umowy kredytowej, z powołaniem się na "zapewnienie bezpieczeństwa finansowego w przypadku nawiązywania stosunków gospodarczych", a zatem szeroko rozumiane, ogólne cele, nie znajduje podstawy na gruncie rozporządzenia nr 2016/679 i jest wprost sprzeczne z zasadą ograniczenia celu (art. 5 ust. 1 lit. b rozporządzenia nr 2016/679), w sytuacji, gdy nie ma mowy o nawiązaniu stosunku zobowiązaniowego.
Z kolei z powołanej przez BIK w skardze części trzeciej rozporządzenia CRR także nie wynika podstawa prawna do dalszego przetwarzania danych osobowych P. J. przez bank i BIK. Zgodnie z art. 144 ust. 1 lit. d) powołanego rozporządzenia, właściwy organ wydaje zezwolenie na mocy art. 143 na stosowanie przez instytucję metody IRB, w tym na stosowanie własnych oszacowań LGD i współczynników konwersji, wyłącznie wtedy, gdy właściwy organ stwierdzi, że wymogi przewidziane w niniejszym rozdziale są spełnione, w szczególności wymogi przewidziane w sekcji 6, oraz że posiadane przez instytucję systemy w zakresie zarządzania oraz oceny ekspozycji na ryzyko kredytowe są należyte i zostały spójnie wdrożone, w szczególności gdy instytucja wykazała w sposób zadowalający właściwym organom spełnienie następujących norm: (...) d) instytucja gromadzi i przechowuje wszystkie odpowiednie dane, aby zapewnić skuteczne wsparcie procesów pomiaru ryzyka kredytowego oraz zarządzania ryzykiem kredytowym. Stosownie do art. 145 ust. 1 tego rozporządzenia, jest wymagane, aby instytucja ubiegająca się o możliwość stosowania metody IRB korzystała, w odniesieniu do omawianych kategorii ekspozycji IRB, co najmniej przez trzy lata poprzedzające zakwalifikowanie się do stosowania metody IRB, z systemów ratingowych, które odpowiadały w znacznym stopniu wymogom określonym w sekcji 6 dotyczącym wewnętrznego pomiaru ryzyka i zarządzania ryzykiem. Z kolei art. 170 ust. 3 lit. a, stanowi, że struktura systemów ratingowych dla ekspozycji detalicznych spełnia następujące wymogi: a) systemy ratingowe odzwierciedlają zarówno ryzyko dłużnika, jak i ryzyko transakcji oraz uwzględniają wszystkie istotne właściwości ryzyka dłużnika i ryzyka transakcji. Zgodnie z art. 171 ust. 2 klasyfikując dłużników i instrumenty do klas lub pul, instytucja uwzględnia wszystkie istotne informacje. Informacje te są aktualne i umożliwiają instytucji prognozowanie zachowania ekspozycji w późniejszym okresie. Im mniej informacji ma do dyspozycji instytucja, tym ostrożniej klasyfikuje ekspozycje do poszczególnych klas lub pul dłużników i instrumentów. Jeżeli instytucja stosuje rating zewnętrzny jako główny czynnik decydujący o przyznaniu wewnętrznego ratingu, instytucja ta zapewnia uwzględnienie innych istotnych informacji oraz stosownie do art. 179 ust. 1 lit. a, przy przeprowadzaniu kwantyfikacji parametrów ryzyka związanego z poszczególnymi klasami lub pulami ratingowymi instytucje stosują następujące wymogi: a) oszacowania własne instytucji dotyczące parametrów ryzyka PD, LGD, współczynnika konwersji i EL uwzględniają wszelkie istotne dane, informacje i metody. Oszacowań dokonuje się na podstawie zarówno doświadczeń z przeszłości, jak i dowodów empirycznych, nie zaś wyłącznie w oparciu o osąd własny. Oszacowania te są wiarygodne i intuicyjne oraz opierają się na istotnych czynnikach odpowiednich parametrów ryzyka. Im mniej danych ma do dyspozycji instytucja, tym ostrożniejsze są jej oszacowania. W myśl zaś art. 181 ust. 2 rozporządzenia, w odniesieniu do ekspozycji detalicznych instytucje mogą podjąć następujące działania: a) przeprowadzić oszacowania wartości LGD na podstawie zrealizowanych strat i odpowiednich oszacowań PD; b) uwzględniać kwoty do wykorzystania w przyszłości w swoich współczynnikach konwersji lub oszacowaniach LGD; c) w przypadku nabytych wierzytelności detalicznych stosować zewnętrzne i wewnętrzne dane źródłowe do oszacowań LGD. W przypadku ekspozycji detalicznych oszacowania LGD opierają się na danych z okresu co najmniej pięciu lat. Instytucja nie musi przypisywać równej wagi do danych historycznych, jeżeli późniejsze dane stanowią lepszy predyktor wskaźników straty. Przy wdrażaniu metody IRB instytucje mogą, pod warunkiem uzyskania zezwolenia właściwych organów, korzystać z odpowiednich danych obejmujących okres dwóch lat. Okres ten ulega co roku wydłużeniu o jeden rok do momentu, gdy istotne dane będą obejmować okres pięciu lat.
Powołane przepisy rozporządzenia CRR nie stanowią podstawy do przetwarzania danych osobowych zawartych w zapytaniach kredytowych osoby, z którą nie zawarto umowy kredytu. Należy przy tym podkreślić, odnosząc się do argumentacji banku w tym zakresie, że udzielnie przez Komisję Nadzoru Finansowego zezwolenia na stosowanie metody IRB na podstawie art. 143 ust. 1 rozporządzenia CRR, nie przesądza w sposób władczy o tym, że przyjęte przez instytucję finansową zasady przetwarzania danych osobowych są zgodne z prawem. Komisja Nadzoru Finansowego nie ma bowiem kompetencji do wydawania władczych rozstrzygnięć w tym zakresie. Stosowanie przez bank i BIK metodyki zatwierdzonej przez KNF nie oznacza samo w sobie o legalności przetwarzania danych osobowych, bowiem, jak już wskazano wyżej, o takiej legalności decyduje treść przepisów powszechnie obowiązującego prawa.
Zdaniem Sądu, obowiązek zbierania informacji przydatnych w zarządzaniu ryzykiem nie może opierać się na naruszeniu przez bank, czy inną instytucję finansową (BIK) na gruncie rozporządzenia nr 2016/679 praw osoby fizycznej, która przekazała bankowi swoje dane osobowe wyłącznie w celu oceny zdolności kredytowej i analizy ryzyka kredytowego, która to czynność nie zakończyła się zawarciem umowy kredytowej. Przepisy rozporządzenia CRR nie stanowią podstawy do "dalszego" przetwarzania danych zawartych w zapytaniu kredytowym w sytuacji nienawiązania stosunku zobowiązaniowego. W ocenie Sądu, konstruowanie skutecznych i poprawnie działających modeli, o których mowa w powołanym rozporządzeniu CRR może następować wyłącznie w oparciu o dane osobowe pozyskane i przetwarzane w sposób legalny.
Dodatkowo wskazania wymaga, że organ nie kwestionował stosowania rozporządzenia CRR – w ramach oceny zdolności kredytowej i analizy ryzyka kredytowego – a zatem w związku z wykonywaniem czynności bankowych co do zasady. Stwierdził jedynie, że nie wynika z nich podstawa prawna do przetwarzania danych osobowych zawartych w zapytaniu kredytowym P. J., a zatem osoby, z którą umowy kredytowej nie zawarto.
Ponadto, co Sąd podkreślał już wcześniej, nie można tracić z pola widzenia, że Prawo bankowe ściśle określa cele i zasady przetwarzania danych osobowych, w tym stanowi, w jakich przypadkach i dla jakich ściśle określonych celów jest dopuszczalne "dalsze" przetwarzanie danych bez zgody osoby fizycznej (po wygaśnięciu zobowiązania). W art. 105a ust. 4 Prawa bankowego ustawodawca wyraźnie wskazał na cele stosowania metod wewnętrznych oraz innych metod i modeli, o których mowa w części trzeciej rozporządzenia CRR. Prawo bankowe określa też, przez jaki czas mogą być przetwarzane dane stanowiące tajemnicę bankową po wygaśnięciu zobowiązania. Rozciąganie uprawnienia – tak w odniesieniu do banku, jak i BIK – do dalszego przetwarzania danych osobowych zawartych w zapytaniu kredytowym z dnia [...] lutego 2023 r. w przypadku, gdy nie powstało zobowiązanie nie może spotkać się w świetle przepisów rozporządzenia nr 2016/679 i Prawa bankowego z akceptacją Sądu. Także wszystkie pozostałe wymienione w skardze banku i BIK przepisy prawa, o których była już mowa, nie stanowią odrębnej podstawy do zalegalizowania "dalszego" przetwarzania danych wnioskodawcy, które zebrane zostały w ściśle określonym celu (o którym miał wiedzę), czyli w celu oceny zdolności kredytowej i analizy ryzyka kredytowego.
Odnosząc się do kolejnego zarzutu banku i BIK dotyczącego naruszenia art. 6 ust. 1 lit. c) RODO wskazania wymaga, że zgodnie z art. 70a ust. 1 Prawa bankowego, banki i inne instytucje ustawowo upoważnione do udzielania kredytów na wniosek osoby fizycznej, prawnej lub jednostki organizacyjnej niemającej osobowości prawnej, o ile posiada zdolność prawną, ubiegającej się o kredyt przekazują, w formie pisemnej, wyjaśnienie dotyczące dokonanej przez siebie oceny zdolności kredytowej wnioskującego. Zgodnie z art. 70 ust. 2, wyjaśnienie, o którym mowa w ust. 1, obejmuje informacje na temat czynników, w tym danych osobowych wnioskującego, które miały wpływ na dokonaną ocenę zdolności kredytowej.
W świetle powyższego należy wyjaśnić, że powstanie obowiązku, o którym mowa w art. 70a ust. 1 Prawa bankowego, uzależnione jest od złożenia stosownego wniosku przez osobę ubiegającą się o kredyt. Wniosek taki nie został złożony, a uczestnik niniejszego postępowania wniósł o usunięcie swoich danych. W związku z odmową w tym zakresie podjął też działania przed Prezesem UODO. Z akt sprawy i całokształtu okoliczności nie wynika, aby wnioskodawca wystąpił do banku, czy BIK o jakiekolwiek wyjaśnienie dotyczące dokonanej oceny zdolności kredytowej. Wynika zaś, że złożył żądanie usunięcia danych, w tym również w bazie BIK. Nie może być więc mowy o tym, aby w sprawie znajdował zastosowanie art. 70a ust. 1 i 2 Prawa bankowego.
Odnosząc się do zarzutów BIK naruszenia art. 6 ust. 1 lit. f) rozporządzenia nr 2016/679 w zw. z Rekomendacjami S, W i T Komisji Nadzoru Finansowego wskazania wymaga, że także ten zarzut nie jest zasadny. Powoływane Rekomendacje Komisji Nadzoru Finansowego nie są źródłem prawa powszechnie obowiązującego. Nie ma przy tym podstaw, aby w tym przypadku, w stanie faktycznym tej sprawy, wywodzić z Rekomendacji KNF – wobec osoby, z którą nie zawarto umowy kredytowej i która zażądała usunięcia danych – prawnie uzasadnione interesy banku i BIK, o których jest mowa w art. 6 ust. 1 lit. f) rozporządzenia nr 2016/679.
Należy podkreślić, że rekomendacje KNF, które zawierają konkretne wymagania regulacyjne wobec narzędzi używanych przez banki, nie powinny być interpretowane w sprzeczności z rozporządzeniem nr 2016/679 w zakresie legalności przetwarzania danych (w zakresie zapytań kredytowych) osób, z którymi nie zawarto umów kredytowych, nie mogą być wykładane w sposób prowadzący do nieuprawnionego przetwarzania takich danych. Twierdzenie, że wypełnienie nakazu organu w postaci usunięcia danych osobowych P. J. przetwarzanych niezgodnie z prawem prowadziłoby do uniemożliwienia BIK realizacji Rekomendacji nie daje podstaw do stwierdzenia o dopuszczalności "dalszego" przetwarzania na gruncie rozporządzenia nr 2016/679 danych zawartych w zapytaniu kredytowym osoby, z którą bank nie zawarł umowy, a jednocześnie nie uzyskał zgody tej osoby na dalsze przetwarzanie jej danych osobowych w celach innych niż te, w jakich je zgromadził. Także powoływana potrzeba realizacji działań z zakresu opracowania, utrzymania aktualności i funkcjonalności zbudowanych modeli scoringowych, nie stanowi w stanie faktycznym tej sprawy podstawy przetwarzania – w odniesieniu do danych osoby, z którą nie zawarto umowy kredytowej – w celu wynikającym z prawnie uzasadnionych interesów BIK.
Nietrafny jest przy tym zarzut naruszenia art. 7b k.p.a. poprzez niezwrócenie się przez Prezesa UODO do KNF jako organu właściwego w sprawach związanych m.in. z badaniem zdolności kredytowej i analizy ryzyka kredytowego, a także budową modeli scoringowych. BIK w tym aspekcie wskazał przy tym, że powyższe zwrócenie się do KNF było konieczne w celu kompleksowego wyjaśnienia stanu faktycznego sprawy oraz współdziałania w zakresie niezbędnym do dokładnego wyjaśnienia stanu prawnego, mając na względzie interes społeczny i słuszny interes obywateli, w postaci ustalenia m.in. należytych zasad, celów i zakresu przetwarzanych danych osobowych o niezrealizowanych zapytaniach kredytowych.
Zgodnie z powołanym przepisem, w toku postępowania organy administracji publicznej współdziałają ze sobą w zakresie niezbędnym do dokładnego wyjaśnienia stanu faktycznego i prawnego sprawy, mając na względzie interes społeczny i słuszny interes obywateli oraz sprawność postępowania, przy pomocy środków adekwatnych do charakteru, okoliczności i stopnia złożoności sprawy. W sprawie niniejszej Prezes UODO nie miał obowiązku zwracania się do KNF ani w zakresie dokonywanych ustaleń stanu faktycznego ani w zakresie wyjaśnień stanu prawnego.
Prezes UODO jest wyspecjalizowanym organem ochrony danych osobowych, jedynym powołanym i uprawnionym do monitorowania i egzekwowania rozporządzenia nr 2016/679, a nadto do upowszechniania wśród administratorów i podmiotów przetwarzających wiedzę o obowiązkach spoczywających na nich na mocy rozporządzenia nr 2016/679 (art. 51, art. 52, art. 57, motyw 123, motyw 129 rozporządzenia nr 2016/679, por. podobnie wyrok WSA w Warszawie z dnia 21 kwietnia 2022 r., sygn. akt II SA/Wa 3131/21, wyrok WSA z dnia 5 maja 2021 r. sygn. akt II SA/Wa 1982/20). Zdaniem Sądu, nie ma wątpliwości, że organ dokonał w tej sprawie niezbędnych dla jej rozstrzygnięcia ustaleń faktycznych. W zakresie mającym znaczenie dla sprawy organ zebrał niezbędny materiał dowodowy, zwracał się do stron o udzielenie stosownych wyjaśnień, strony wyjaśnień tych udzieliły. Organ rozpatrzył wszechstronnie i należycie zgromadzony materiał dowodowy, a ocena tego materiału na gruncie przepisów rozporządzenia nr 2016/679 nie budzi zdaniem Sądu zastrzeżeń, jest prawidłowa. Odmienna ocena zarówno banku, jak i BIK w zakresie wykładni i zastosowania powołanych przez organ przepisów prawa nie stanowi o naruszeniu przepisów postępowania, w tym art. 7, 77 i 80 k.p.a. Zarzut naruszenia powołanych przepisów, podniesiony przez BIK, poprzez brak analizy przez organ skargi uczestnika niniejszego postępowania pod kątem istnienia po stronie banków i BIK oczywistego interesu prawnego przejawiającego się w odmowie udzielenia kredytu wynikającego z braku istnienia zdolności kredytowej po stronie P. J., nie jest zasadny.
Organ nie kwestionował w zaskarżonej decyzji uprawnień instytucji finansowych w tym banku i BIK do dokonywania ustaleń i ocen w zakresie zdolności kredytowej. Przedmiotem sprawy była ocena zgodności z prawem "dalszego" przetwarzania danych osobowych wymienionej wyżej osoby zawartych w zapytaniu kredytowym z dnia [...] lutego 2023 r., bowiem to przetwarzanie danych było przez wnioskodawcę kwestionowane. Uprawnienie do dokonania oceny w tym przedmiocie Prezes UODO bezspornie posiada na gruncie rozporządzenia nr 2016/679, jako organ wyspecjalizowany. Gromadząc materiał dowodowy nie był przy tym obowiązany do dokonania analizy funkcjonowania sektora finansowego pod kątem wskazywanym w skargach, bowiem aspekt uprawnienia banku i BIK do oceny zdolności kredytowej i analizy ryzyka kredytowego nie budził żadnych wątpliwości u Prezesa UODO, co znalazło wyraz w uzasadnieniu zaskarżonej decyzji.
Sąd nie kwestionuje przy tym "postulatu" BIK, że należy dążyć do tego, aby procesy przetwarzania danych osobowych czyniły zadość zarówno przepisom prawa o ochronie danych osobowych, jak i przepisom szeroko pojętego prawa bankowego, z uwzględnieniem zasady proporcjonalności, jednak w ocenie Sądu osiągnięcie tego celu w niniejszej sprawie – przy uwzględnieniu obowiązujących regulacji prawnych – nie jest możliwe w inny sposób, jak poprzez realizację nakazów usunięcia danych P. J., zawartych w punkcie 1 i 2 zaskarżonej decyzji, w sytuacji, gdy ani bank ani BIK nie dysponowały zgodą wymienionego na dalsze przetwarzanie jego danych osobowych.
Odnosząc się ponownie do zarzutu naruszenia art. 6 ust. 1 lit. f) rozporządzenia nr 2016/679, tym razem w związku z przytoczonymi w skardze przepisami k.c. i w nawiązaniu do wskazywanej przez bank i BIK potrzeby przechowywania danych (zawartych w zapytaniu kredytowym z dnia [...] lutego 2023 r.) osoby, z którą nie zawarto umowy kredytowej w celu ustalenia, dochodzenia i ochrony przed roszczeniami, ewentualnego zabezpieczenia roszczeń, na wypadek konieczności obrony lub dochodzenia ewentualnych roszczeń, które mogą się pojawić w określonym czasie po przeprowadzeniu stosownej analizy zdolności kredytowej oraz analizie ryzyka kredytowego wskazania wymaga, że art. 6 ust. 1 lit. f) rozporządzenia nr 2016/679 stanowi o uprawnieniu do przetwarzania, gdy jest ono niezbędne do celów wynikających z prawnie uzasadnionych interesów realizowanych przez administratora lub przez stronę trzecią, z wyjątkiem sytuacji, w których nadrzędny charakter wobec tych interesów mają interesy lub podstawowe prawa i wolności osoby, której dane dotyczą, wymagające ochrony danych osobowych, w szczególności gdy osoba, której dane dotyczą, jest dzieckiem. Za usprawiedliwiony cel w rozumieniu powołanego przepisu nie może zostać uznane przetwarzanie danych osobowych na wypadek ewentualnego dochodzenia lub obrony roszczeń. Z akt sprawy nie wynika, aby P. J., który zażądał usunięcia danych w zakresie zapytania kredytowego, miał jakiekolwiek roszczenie na drodze cywilnoprawnej do banku lub BIK. Jednoznacznie żądał natomiast usunięcia danych przetwarzanych bez podstawy prawnej. Z tego względu nie jest dopuszczalne przyjęcie, że to art. 6 ust. 1 lit. f) rozporządzenia nr 2016/679 mógłby stanowić podstawę dla banku, czy BIK do "dalszego" przetwarzania jego danych na wypadek ewentualnego dochodzenia roszczeń. Odnosząc się do argumentacji banku wskazania wymaga, że bank w toku postępowania administracyjnego nie wykazał, nie wynika to też ze skargi, jakich ewentualnie roszczeń chciałby dochodzić od osoby, która zażądała usunięcia swoich danych w zakresie tego zapytania kredytowego i z którą to osobą fizyczną nie zawarto umowy. BIK i bank nie wskazały, aby P. J. kierował do nich jakiekolwiek roszczenia (zażądał jedynie usunięcia własnych danych osobowych w związku z tym, że ustał cel ich przetwarzania).
Ważąc interesy uczestnika postępowania, który żądał respektowania jego praw do ochrony danych osobowych wynikających z rozporządzenia nr 2016/679 i interesy banku i BIK przedstawiane już wyżej, w sytuacji, gdy nie zawarto umowy kredytowej, brak jest podstaw do przyjęcia, że spełniona została przesłanka z art. 6 ust. 1 lit. f) rozporządzenia nr 2016/679. Sąd rozpoznający niniejszą sprawę podziela pogląd Naczelnego Sądu Administracyjnego, zgodnie z którym niedopuszczalne jest przetwarzanie danych osobowych niejako "na zapas" z założeniem, że mogą być one ewentualnie przydatne w przyszłości, na przykład z odwołaniem się do przepisów dotyczących przedawnienia roszczeń (por. wyrok NSA z dnia 27 marca 2018 r. sygn. akt I OSK 1459/16). Wywodzenie zatem także z kwestii przedawnienia roszczeń samodzielnej podstawy do przetwarzania danych – w sytuacji, gdy mowa o danych osoby, z którą bank nie zawarł umowy kredytowej, nie jest uprawnione i nie stanowi przesłanki do ich dalszego przetwarzania.
Celem rozporządzenia nr 2016/679, tak, jak poprzednio Dyrektywy 95/46/WE, jest ochrona prywatności, która powinna być rozpatrywana także w świetle art. 8 Konwencji o Ochronie Praw Człowieka i Podstawowych Wolności. W sprawie tej nie istnieje tego rodzaju powiązanie pomiędzy osobą, której dane dotyczą a bankiem, jak również pomiędzy tą osobą a BIK, które pozwalałoby "wyprowadzić" istnienie prawnie uzasadnionego interesu po stronie BIK i banku w "dalszym" przetwarzaniu danych tej osoby. Z okoliczności sprawy nie wynika przy tym, aby osoba ta mogła spodziewać się w czasie, gdy pozyskiwano od niej dane w celu oceny zdolności kredytowej i ryzyka kredytowego, że będą one "dalej" przetwarzane pomimo niezawarcia umowy kredytowej (por. motyw 47 rozporządzenia nr 2016/679). Jako prawnie uzasadniony interes administratora na gruncie art. 6 ust. 1 lit. f) rozporządzenia nr 2016/679 nie może być rozumiana każda potrzeba wygenerowana przez danego administratora w związku z prowadzoną działalnością gospodarczą. Przyjęcie takiej koncepcji poddawałoby w wątpliwość funkcjonowanie wszystkich pozostałych przesłanek legalności przetwarzania danych ujętych w rozporządzeniu nr 2016/679, skoro sama potrzeba, pojawiająca się dynamicznie w ramach prowadzonej działalności gospodarczej (handlowej) czyniłaby dopuszczalnym przetwarzanie danych osobowych. Niewątpliwie zaś ten prawnie uzasadniony interes administratora nie może pozbawiać jednostki prawa do dysponowania własnymi danymi osobowymi i ochrony prywatności.
Zwrócić należy uwagę, że w sprawie niniejszej, w jej okolicznościach faktycznych, prawa i wolności osoby fizycznej, mają nadrzędny charakter nad interesami banku, jak również BIK. Pamiętać trzeba bowiem, że celem udostępnienia danych osobowych przez osobę fizyczną było rozpatrzenie konkretnego wniosku kredytowego (cel był ściśle określony), zgodnie z przepisami Prawa bankowego. Powyższe nie daje podstaw do dalszego przetwarzania danych "na przyszłość" po zakończeniu oceny zdolności kredytowej i analizy ryzyka kredytowego. Samo powołanie się na zasadę rozliczalności (art. 5 ust. 2 rozporządzenia nr 2016/679) nie legalizuje przetwarzania jakichkolwiek danych. Konieczne jest bowiem, aby w pierwszej kolejności przetwarzanie danych było zgodne z prawem.
Podkreślenia wymaga, że niezależnie od zrozumienia dla argumentacji banku i BIK co do wskazywanych potrzeb, zamierzeń, czy celów, jakie podmioty te chciałyby osiągnąć w działalności gospodarczej poprzez "dalsze" przetwarzanie danych osobowych zawartych w zapytaniu kredytowym P. J., a które zostały jednoznacznie wskazane zarówno w postępowaniu przed organem, jak i w skargach do Sądu, zaskarżona decyzja (zarówno w zakresie punktu 1, jak i 2) nie narusza prawa.
W sprawie tej cel przetwarzania legalnie zebranych danych osobowych osoby fizycznej (zebranych w celu oceny zdolności kredytowej i analizy ryzyka kredytowego) ustał. Podkreślić trzeba, że każde przetwarzanie danych osobowych, a tym samym nie tylko zebranie danych, ale także kontynuowanie ich przetwarzania w innych celach musi znajdować podstawę prawną. W sprawie tej, co wykazano już wyżej takiej podstawy prawnej, stanowiącej przesłankę do "dalszego" przetwarzania danych osobowych wymienionej osoby fizycznej, w sprawie tej nie wykazano. W ocenie Sądu, niedopuszczalna jest taka interpretacja powołanych w skargach przepisów Prawa bankowego, ustawy AML, k.c., czy rozporządzenia CRR, która czyniłaby uprawnionym na gruncie rozporządzenia nr 2016/679 dalsze przetwarzanie danych osobowych zawartych w zapytaniu kredytowym osoby, z którą nie zawarto umowy (a zatem w celach innych niż cele, w jakich je zebrano), w sytuacji, gdy Prawo bankowe wyraźnie reguluje dopuszczalność przetwarzania danych osobowych przed powstaniem zobowiązania, w trakcie jego trwania i po wygaśnięciu.
Przyjęcie interpretacji zaprezentowanej w skargach prowadziłoby do tego, że w odniesieniu do kategorii osób (których dane zawarte zostały w zapytaniu kredytowym), z którymi nie zawarto umowy kredytowej, istniałaby pełna dowolność tak w zasadach ich przetwarzania (bez zgody osoby, jak należy wnioskować ze stanowisk banku i BIK), bez informacji przedstawianej przed pozyskaniem danych o innych celach przetwarzania (niż ocena zdolności kredytowej i ryzyka kredytowego) zarówno przez bank jak i BIK, jak również dowolne ustalenia w odniesieniu do czasu ich przetwarzania (te kwestie byłyby bowiem (i są) i jak wynika z akt administracyjnych, tj. wyjaśnień banku i BIK, ustalane samodzielnie przez te podmioty – z uwzględnieniem przyjmowanych przez nie celów służących co do zasady spełnieniu, jak wskazywano w postępowaniu, określonych wymagań organu nadzoru nad rynkiem finansowym.
W konsekwencji sytuacja P. J., tj. osoby, która zwróciła się z zapytaniem kredytowym i z którą nie zawarto umowy kredytowej, jest z punktu widzenia ochrony danych osobowych, biorąc pod uwagę przepisy Prawa bankowego, sytuacją "gorszą" niż sytuacja osoby, która zawarła umowę kredytową i jej zobowiązanie wygasło. W tym drugim bowiem przypadku dla dalszego przetwarzania danych w BIK po wygaśnięciu zobowiązania wynikającego z danej umowy niezbędna jest zgoda osoby, której dane dotyczą. Zgodę taką można nadto w każdym czasie odwołać.
Zwrócić należy uwagę, że przedmiotem niniejszej sprawy i kompetencji organu nie jest ustalenie możliwego sposobu realizacji przez bank i BIK obowiązków nakładanych na te podmioty przez instytucje nadzorcze w zakresie prowadzonej działalności. Nie ma przeszkód i jest wskazane, aby realizację tych obowiązków wykonywać z poszanowaniem rozporządzenia nr 2016/679. Przedmiotem oceny organu ochrony danych osobowych była w tej sprawie wyłącznie kwestia oceny zgodności z prawem "dalszego" przetwarzania danych osobowych konkretnej osoby fizycznej w konkretnych okolicznościach faktycznych. Sąd nie znalazł podstaw do zakwestionowania tej oceny organu.
Podkreślenia wymaga, że w demokratycznym państwie prawnym nie jest dopuszczalne dowolne rozszerzanie uprawnień jakiegokolwiek podmiotu, ani organu władzy ani spółki prawa handlowego, ani żadnego innego podmiotu będącego administratorem w zakresie przetwarzania danych osobowych (art. 47, art. 51 Konstytucji RP). Dane osobowe mogą być przetwarzane co do zasady w celach, w jakich zostały zebrane. Powinny być adekwatne, stosowne oraz ograniczone do tego co niezbędne do osiągnięcia celów, w których zostały zebrane, są przetwarzane (art. 5 ust. 1 lit. c rozporządzenia nr 2016/679). Przetwarzanie przez bank i BIK "na przyszłość" danych zawartych w zapytaniu kredytowym, w sytuacji, gdy nie zawarto umowy, nie znajduje umocowania w żadnej przesłance z art. 6 ust. 1 rozporządzenia nr 2016/679.
Sąd podziela prezentowane w orzecznictwie sądowoadministracyjnym poglądy, zgodnie z którymi dalsze przetwarzanie danych uzyskanych w celu oceny zdolności kredytowej, w przypadku nie zawarcia stosownej umowy pozostawałoby w oderwaniu od celu, dla którego je uzyskano. Niedopuszczalne jest dalsze przetwarzanie danych osobowych na przyszłość, a także na potrzeby budowy oceny zdolności kredytowej innych podmiotów, jeżeli nie można zrekonstruować wyraźnej podstawy prawnej takich działań, jak miało to miejsce w niniejszej sprawie (por. np. wyroki NSA z dnia 27 sierpnia 2019 r. sygn. akt I OSK 2567/17, z dnia 13 lutego 2025 r. sygn. akt III OSK 6563/21 oraz z dnia 29 maja 2025 r. sygn. akt III OSK 984/22, a także wyroki Wojewódzkiego Sądu Administracyjnego w Warszawie z dnia 25 kwietnia 2023 r. sygn. akt II SA/Wa 1942/22 oraz z dnia 5 czerwca 2023 r. sygn. akt II SA/Wa 1736/22).
Mając powyższe na uwadze, Wojewódzki Sąd Administracyjny w Warszawie na podstawie art. 151 p.p.s.a. orzekł jak w sentencji