II SA/Wa 1982/20

II SA/Wa 1982/20 - Wyrok WSA w Warszawie
Data orzeczenia
2021-05-05
orzeczenie prawomocne
Data wpływu
2020-10-09
Sąd
Wojewódzki Sąd Administracyjny w Warszawie
Sędziowie
Andrzej Góraj
Joanna Kube /sprawozdawca/
Sławomir Antoniuk /przewodniczący/
Symbol z opisem
647  Sprawy związane z ochroną danych osobowych
Hasła tematyczne
Ochrona danych osobowych
Sygn. powiązane
III OSK 6563/21 - Wyrok NSA z 2025-02-13
Skarżony organ
Generalny Inspektor Ochrony Danych Osobowych
Treść wyniku
Oddalono skargę
Powołane przepisy
Dz.U. 2017 poz 1876
art. 105 ust. 4, art 105a ust. 1
Ustawa z dnia 29 sierpnia 1997 r. Prawo bankowe  - tekst jedn.
Dz.U. 2019 poz 2325
art. 151
Ustawa z dnia 30 sierpnia 2002 r. Prawo o postępowaniu przed sądami administracyjnymi - t.j.
Dz.U. 2018 poz 1000
art. 4 pkt 2, art. 5 ust. 1, art. 6 ust. 1 lit. c
Ustawa z dnia 10 maja 2018 r. o ochronie danych osobowych
Sentencja
Wojewódzki Sąd Administracyjny w Warszawie w składzie następującym: Przewodniczący Sędzia WSA Sławomir Antoniuk, Sędzia WSA Andrzej Góraj, Sędzia WSA Joanna Kube (spr.), po rozpoznaniu na posiedzeniu niejawnym w dniu 5 maja 2021 r. sprawy ze skarg Biura Informacji Kredytowej z siedzibą w [...] oraz [...] Bank S.A. z siedzibą w [...] na decyzję Prezesa Urzędu Ochrony Danych Osobowych z dnia [...] sierpnia 2020 nr [...] w przedmiocie przetwarzania danych osobowych oddala skargę
Uzasadnienie
Prezes Urzędu Ochrony Danych Osobowych decyzją z dnia [...] sierpnia 2020 r. nr [...], na podstawie art. 104 § 1 Kodeksu postępowania administracyjnego (Dz. U. z 2020 r., poz. 2256 z późn. zm.), dalej: "k.p.a.", art. 7 ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych (Dz. U.
z 2019 r. poz. 1781), art. 6 ust. 1 lit. f) w zw. z art. 5 lit. e), art. 57 ust. 1 lit. a) i f), oraz art. 58 ust. 2 lit. b) i g) rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz. Urz. UE. L 119 z 04.05.2016 r., str. 1, ze zm.), dalej "RODO", po przeprowadzeniu postępowania administracyjnego w sprawie skargi A. G. na przetwarzanie jego danych osobowych przez [...] Bank S.A. z siedzibą w W., w tym ich udostępnienie Biuru Informacji Kredytowej S.A. z siedzibą w W. w zakresie zapytania kredytowego z dnia [...] listopada 2017 r., nakazał [...] Bank S.A. z siedzibą w W. zaprzestania przetwarzania danych osobowych A. G. w zakresie zapytania kredytowego z dnia [...] listopada 2017 r. w systemie Biura Informacji Kredytowej S.A. z siedzibą w W., przetwarzanych na podstawie art. 105 ust. 4 ustawy z dnia 29 sierpnia 1997 r. - Prawo bankowe (Dz. U. z 2019 r. poz. 2357, dalej: "Prawo bankowe".
A. G., dalej: "skarżący", skierował do Prezesa Urzędu Ochrony Danych Osobowych, dalej: "Prezesa Urzędu", skargę na udostępnienie jego danych osobowych przez [...] Bank S.A. z siedzibą w W. (dalej: "Bank"), w tym ich udostępnienie Biuru Informacji Kredytowej S.A. z siedzibą w W., dalej: "BIK", w zakresie zapytania kredytowego z dnia [...] listopada 2017 r.
W toku przeprowadzonego postępowania wyjaśniającego w niniejszej sprawie Prezes Urzędu ustalił następujący stan faktyczny:
1. Bank pozyskał dane osobowe bezpośrednio od skarżącego w związku ze złożeniem w dniu [...] lipca 2017 r. wniosku o udzielenie kredytu. Kolejny wniosek o udzielenie kredytu skarżący złożył w dniu [...] listopada 2017 r. Powyższe wnioski nie zakończyły się zawarciem umów.
2. Ponadto, w dniu [...] marca 2018 r. skarżący podpisał z Bankiem umowę ramową o świadczenie usług oferowanych przez Bank dla osoby fizycznej, regulującą m.in. ogólne zasady korzystania z kanałów elektronicznych Tego samego dnia skarżący podpisał z Bankiem umowę o prowadzenie rachunku firmowego. W dniu [...] maja 2018 r. skarżący podpisał umowę o prowadzenie rachunku oszczędnościowo - rozliczeniowego. Wskazane umowy pozostają aktywne w systemie Banku.
3. Skarżący w dniu [...] sierpnia 2018 r. oraz w dniu [...] października 2018 r. ponownie wnioskował o udzielenie kredytu w Banku, jednak w obu przypadkach nie doszło do zawarcia umów.
4. Bank przetwarza dane skarżącego w następującym zakresie: imię, nazwisko, PESEL, NIP, data urodzenia, kraj urodzenia, miejsce urodzenia, seria i numer dowodu osobistego, data ważności dowodu osobistego, wizerunek, adres e-mail, obywatelstwo, adres zameldowania, zamieszkania oraz do korespondencji, kraj rezydencji, status dewizowy, numer telefonu komórkowego, nazwisko panieńskie matki, imiona rodziców, dane o wysokości uzyskiwanego dochodu oraz dane dotyczące pracodawcy.
5. Skarżący, w dniu [...] listopada 2017 r., za pośrednictwem O. S.A.
z siedzibą w W., który pośredniczy dla Banku w realizacji czynności bankowych, wnioskował o udzielenie kredytu w Banku. Skarżący upoważnił Bank do zasięgania informacji o zobowiązaniach w instytucjach utworzonych na podstawie art. 105 ust. 4 Prawa bankowego.
6. W dniu [...] października 2018 r. do Banku wpłynął wniosek skarżącego dotyczący usunięcia zapytań kredytowych oraz wycofania zgody na przetwarzanie jego danych dla celów marketingowych Banku, które powiązane były z wnioskami kredytowymi złożonymi w dniu [...] sierpnia 2018 r. oraz w dniu [...] października 2018 r. W odpowiedzi na nadesłaną korespondencję, Bank odnotował sprzeciw wobec przetwarzania danych skarżącego dla celów marketingowych oraz wskazał przesłanki na przetwarzanie danych wynikających ze złożonych zapytań kredytowych, w przypadku kiedy nie doszło do zawarcia umowy z Bankiem.
7. W związku z posiadaniem aktywnych umów łączących skarżącego z Bankiem, podstawą prawną przetwarzania danych osobowych jest art. 6 ust. 1 lit. b RODO czyli w zakresie niezbędnym do realizacji umów oraz podjęciem działań przed zawarciem umowy. Ponadto, dane skarżącego przetwarzane są na podstawie art. 6 ust. 1 pkt c RODO, tj. w związku z obowiązkiem prawnym wynikającym z art. 74 ustawy z dnia 29 września 1994 r. o rachunkowości (Dz. U. 1994 nr 121 poz. 591).
Przesłanką przetwarzania danych osobowych skarżącego jest również - zgodnie
z art. 6 ust. 1 pkt f RODO - prawnie uzasadniony interes realizowany przez administratora danych, jakim jest ewentualne dochodzenie roszczeń powstałych
w związku z wykonywaniem czynności bankowych oraz innych wynikających
z przepisów powszechnie obowiązujących. Zakres czasowy przetwarzania danych
w powyższym celu określa art. 118 Kodeksu cywilnego.
8. Z wyjaśnień BIK wynika, że BIK pozyskał dane osobowe skarżącego od Banku w zakresie zapytań kredytowych, związanych z rozpatrzeniem przez Bank wniosków kredytowych. Zapytania zostały złożone do BIK przez Bank na podstawie art. 105 ust. 4 Prawa bankowego i na podstawie łączącej strony umowy, w celu oceny zdolności kredytowej i analizy ryzyka kredytowego.
9. Zapytanie Banku do BIK w dniu [...] listopada 2017 r. było związane z oceną zdolności kredytowej i analizą ryzyka kredytowego związanego z wnioskiem kredytowym o kredyt na kwotę 1.000 zł. Zapytanie zostało złożone na podstawie art. 105 ust. 4 Prawa bankowego. Bank przekazał do BIK dane w zakresie: danych na temat wnioskowanego kredytu (relacja klienta do rachunku, typ transakcji, kwota kredytu, waluta, liczba uczestników transakcji, numer wniosku kredytowego), dane identyfikujące osobę (imiona i nazwisko, PESEL, rodzaj dokumentu tożsamości, datę urodzenia, płeć, serię i numer dokumentu tożsamości, obywatelstwo), dane adresowe i teleadresowe, informację o udzieleniu upoważnienia na złożenie zapytania do biura informacji gospodarczej.
Prezes Urzędu zwrócił uwagę, że w czasie, gdy nastąpiło przekazanie danych osobowych skarżącego przez Bank do BIK, obowiązywała ustawa z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. z 2016 r. poz. 922 z późn. zm.). W związku z powyższym przekazanie przez Bank do bazy BIK danych skarżącego nastąpiło w oparciu o przesłankę, o której mowa w art. 23 ust. 1 pkt 2 ww. ustawy (na mocy którego przetwarzanie danych było dopuszczalne tylko wtedy, gdy było to niezbędne dla zrealizowania uprawnienia lub spełnienia obowiązku wynikającego z przepisu prawa) w związku z art. 105 ust. 4 oraz art. 105a ust. 1 Prawa bankowego.
Podkreślił, iż dla legalności tego udostępnienia zgoda skarżącego nie była wymagana. Nie mniej, zwrócił uwagę, że podstawa prawna, na którą powołuje się Bank w swoich wyjaśnieniach, tj. art. 105 ust. 4 Prawa bankowego, jedynie ogólnie reguluje prawo banków do oceny zdolności kredytowej i oceny ryzyka kredytowego i nie stanowi o dopuszczalności przetwarzania danych osobowych dotyczących zapytań kredytowych. Z powyższego przepisu nie wynika umocowanie instytucji, jaką jest BIK, do przetwarzania danych osobowych pozyskanych uprzednio w ramach zapytań kredytowych, po dokonaniu weryfikacji zdolności kredytowej osoby ubiegającej się o kredyt. Uznanie takiego procesu przetwarzania danych za legalny wymaga podstawy prawnej.
Nie stanowią takiej podstawy regulaminy ani umowy zawierane między poszczególnymi instytucjami a bankami, ponieważ powszechnie obowiązujące przepisy prawa mają charakter nadrzędny nad tego rodzaju umowami oraz regulaminami.
Przeprowadzone postępowanie wykazało, że w dniu [...] listopada 2017 r. Bank skierował do BIK zapytanie kredytowe, w celu oceny zdolności kredytowej skarżącego, bowiem w podpisanym wniosku kredytowym skarżący upoważnił Bank do zasięgania informacji o zobowiązaniach w instytucjach utworzonych na podstawie art. 105 ust. 4 Prawa bankowego.
Zgodnie z art. 5 lit. e RODO, dane osobowe muszą być przechowywane w formie umożliwiającej identyfikację osoby, której dane dotyczą, przez okres nie dłuższy, niż jest to niezbędne do celów, w których dane te są przetwarzane; dane osobowe można przechowywać przez okres dłuższy, o ile będą one przetwarzane wyłącznie do celów archiwalnych w interesie publicznym, do celów badań naukowych lub historycznych lub do celów statystycznych na mocy art. 89 ust. 1
z zastrzeżeniem, że wdrożone zostaną odpowiednie środki techniczne i organizacyjne wymagane na mocy niniejszego rozporządzenia w celu ochrony praw i wolności osób, których dane dotyczą ("ograniczenie przechowywania").
Zdaniem Prezesa Urzędu, nie może mieć miejsca przetwarzanie danych związanych z zapytaniami, które nie zakończyły się przyznaniem kredytu, w oparciu o wskazany przez Bank w wyjaśnieniach art. 6 ust. 1 lit. f RODO. Takie działanie prowadziłoby bowiem do rozszerzającej wykładni art. 6 ust. 1 lit. f w związku z art. 5 lit. e RODO, który stanowi iż dane osobowe muszą być przechowywane w formie umożliwiającej identyfikację osoby, której dane dotyczą, przez okres nie dłuższy, niż jest to niezbędne do celów, w których dane te są przetwarzane.
W przedmiotowej sprawie celem była weryfikacja danych skarżącego w BIK w kontekście jego zdolności kredytowej. Cel ten został osiągnięty, niezależnie od faktu, czy proces taki zakończył się zawarciem umowy o udzielenie kredytu. Gromadzenie wskazanych danych w wieloletniej perspektywie "na przyszłość" nie znajduje oparcia w przepisach RODO. Po osiągnięciu celu (np. wykonaniu zawartej umowy, realizacji danego zadania) dane powinny zostać usunięte, zanonimizowane lub też przekazane podmiotowi uprawnionemu ustawowo do ich przejęcia od administratora. W tym celu administrator danych jest zobowiązany do stałego nadzorowania zawartości swoich zbiorów pod kątem konieczności usuwania danych zbędnych, albo do których przetwarzania przestał być upoważniony ustawowo lub
w drodze umowy.
Prezes Urzędu stwierdził, że samo pozyskanie danych osobowych skarżącego
przez Bank, a następnie udostępnienie ich do BIK, w zakresie zapytania kredytowego z dnia [...] listopada 2017 r., spełnia warunki legalnego przetwarzania danych osobowych, natomiast przetwarzanie tych danych w BIK już po dokonaniu jego weryfikacji zdolności kredytowej nie ma podstaw prawnych, w tym narusza zasadę wynikającą z art. 5 lit. e RODO, tj. zasadę ograniczonego przechowywania. Argumentując, odwołał się do wyroku NSA z dnia 27 sierpnia 2019 r. sygn. akt I OSK 2567/17.
Prezes Urzędu, powołując się na ustalone okoliczności faktyczne i prawne, uznał za konieczne, na podstawie art. 58 ust. 2 lit. g) RODO, nakazanie wyeliminowania nieprawidłowości w procesie przetwarzania danych osobowych skarżącego w sposób określony w sentencji rozstrzygnięcia decyzji.
W skardze do Wojewódzkiego Sądu Administracyjnego w Warszawie z dnia 7 sierpnia 2019 r. [...] Bank S.A. z siedzibą w W. wniósł o uchylenie zaskarżonej decyzji w całości oraz o zasądzenie zwrotu kosztów postępowania,
w tym kosztów zastępstwa procesowego według norm przepisanych, Bank zarzucił zaskarżonej decyzji:
1. naruszenie przepisów postępowania, które miało istotny wpływ na wynik sprawy, tj. art. 7, art. 7a, art. 7b, art. 8 § 1 i § 2, art. 77 § 1 i § 4, art. 80, art. 81a, art. 107 § 3 k.p.a. w zw. z art. 52 ustawy o ochronie danych osobowych, polegające na niewyczerpującym zebraniu i rozpatrzeniu całego materiału dowodowego i niepodjęciu wszelkich kroków niezbędnych do dokładnego wyjaśnienia stanu faktycznego i załatwienia sprawy, w szczególności brak współdziałania z KNF w przedmiotowym zakresie, co skutkowało nakazem zaprzestania przetwarzania przez Bank danych osobowych A. G. w zakresie wskazanym w zaskarżonej decyzji poprzez:
I) błędne ustalenie stanu faktycznego, polegające na przyjęciu, że wyłącznym celem przetwarzania danych w zakresie wskazanym w decyzji była weryfikacja danych wnioskodawcy w BIK w kontekście jego zdolności kredytowej oraz że cel przetwarzania danych przez Bank uznać należy za osiągnięty po dokonaniu weryfikacji zdolności kredytowej wnioskodawcy, podczas gdy Bank, przetwarzając dane wnioskodawcy, realizuje również inne cele, które wymagają dłuższego okresu przechowywania danych;
2) naruszenie zasady podejmowania z urzędu wszelkich czynności niezbędnych do dokładnego wyjaśnienia stanu faktycznego oraz do załatwienia sprawy, poprzez zaniechanie ustalenia wszystkich celów przetwarzania danych wnioskodawcy przez Bank oraz otoczenia regulacyjnego, w jakim funkcjonują Bank i BIK, w tym zasad i obowiązków w zakresie dokonywania przez nich oceny ryzyka kredytowego oraz zakresu danych koniecznych do wykonania takiej oceny oraz okresu przechowywania danych w tym celu;
3) naruszenie zasady rozstrzygania wątpliwości, co do treści normy prawnej oraz stanu faktycznego, na korzyść skarżącego, w przypadku gdy przedmiotem postępowania jest odebranie stronie uprawnienia poprzez zawężającą interpretację przepisu art. 105 ust. 4 Prawa bankowego w sposób wykluczający ustalenie na jego podstawie uprawnienia Banku oraz BIK do przetwarzania danych wnioskodawcy i stwierdzenie, że przepis ten jedynie ogólnie reguluje prawo bankowe do oceny zdolności kredytowej i oceny ryzyka kredytowego i nie stanowi o dopuszczalności przetwarzania danych osobowych, dotyczących zapytań kredytowych, podczas gdy, zgodnie z zasadą art. 7a oraz 81a k.p.a., ewentualne wątpliwości w zakresie treści tego przepisu oraz stanu faktycznego powinny być rozstrzygnięte na korzyść skarżącego;
4) brak skierowania wystąpienia do Komisji Nadzoru Finansowego (KNF) oraz brak współdziałania z KNF w zakresie niezbędnym do dokładnego wyjaśnienia stanu faktycznego i prawnego sprawy poprzez zaniechanie zwrócenia się do KNF, jako organu właściwego w sprawach nadzoru nad rynkiem finansowym, w celu ustalenia jakie obowiązki regulacyjne nałożone są na Bank w zakresie analizy ryzyka kredytowego, jak również w zakresie Rekomendacji S, W i T wydanych przez KNF oraz jak wpływają one na zakres zbierania oraz okres przetwarzania danych osobowych osób wnioskujących o kredyt, co doprowadziło do pominięcia w rozstrzygnięciu organu analizy dopuszczalności przetwarzania danych na cele związane z oceną tego ryzyka oraz przestrzeganiem powyższych rekomendacji;
5) brak wskazania podstawy prawnej i wyczerpującego uzasadnienia zaskarżonej decyzji wynikające z błędnego ustalenia, że z przepisu art. 105 ust. 4 Prawa bankowego nie wynika umocowanie skarżącego oraz BIK do przetwarzania danych osobowych pozyskanych uprzednio w ramach zapytań kredytowych, po dokonaniu weryfikacji zdolności kredytowej osoby ubiegającej się o kredyt, bez uwzględnienia całokształtu okoliczności istotnych dla rozstrzygnięcia sprawy w ich wzajemnym powiązaniu oraz poprzez pominięcie w uzasadnieniu wskazania innych przepisów, z których wynika obowiązek Banku przetwarzania danych wnioskodawcy, co uniemożliwia skarżącemu poznanie motywów, jakimi kierował się organ, a w rezultacie uniemożliwia pełną kontrolę instancyjną;
II. naruszenie prawa materialnego, które miało wpływ na wynik sprawy, tj.:
1) art. 6 ust. 1 lit. c RODO w związku z art. 106d Prawa bankowego, polegające na jego niewłaściwym zastosowaniu i przyjęciu, że skarżący nie legitymuje się przesłanką przetwarzania danych wynikającą z art. 6 ust. 1 lit. c RODO w związku z art. 106d Prawa bankowego, podczas gdy skarżący wykazuje cel przetwarzania danych osobowych, polegający na analizie podanych danych we wnioskach kredytowych i analizie zapytań kredytowych złożonych w BIK w określonym czasie, w celu wykrycia potencjalnych nieścisłości, powzięcia informacji mogących stanowić o uzasadnionym podejrzeniu popełnienia przestępstw oraz zapobiegania tym przestępstwom, o których mowa w art. 106d Prawa bankowego;
2) art. 6 ust. 1 lit. c RODO w zw. art. 70a Prawa bankowego poprzez niezastosowanie tego przepisu oraz nierozważenie, czy Bank ma obowiązek przetwarzać dane wnioskodawcy również po zakończeniu procesu oceny zdolności kredytowej na potrzeby realizacji obowiązku przewidzianego w art. 70a Prawa bankowego;
3) art. 6 ust. 1 lit. f RODO w związku z treścią obowiązujących Bank Rekomendacji S, W i T wydanych przez KNF, polegające na jego niewłaściwym zastosowaniu i przyjęciu, że skarżący nie legitymuje się przesłanką przetwarzania danych wynikającą z art. 6 ust. 1 lit. f RODO w związku z Rekomendacjami S, W i T Komisji Nadzoru Finansowego, podczas gdy przepisy te nakładają na skarżącego wymagania, które następnie podlegają egzekwowaniu przez Komisję Nadzoru Finansowego na podstawie bezwzględnie obowiązujących przepisów prawa;
4) art. 6 ust. 1 lit. c RODO w związku z art. 105 ust. 4 Prawa bankowego, polegające na jego niewłaściwym zastosowaniu i przyjęciu, że skarżący nie legitymuje się przesłanką przetwarzania danych wynikającą z art. 6 ust. 1 lit. c RODO w związku z art. 105 ust. 4 ustawy Prawa bankowego, podczas gdy Bank przechowując dane wnioskodawcy w systemach BIK wykazuje cel przetwarzania danych osobowych, polegający na dostarczaniu bankom informacji, w tym ocen punktowych i modeli scoringowych niezbędnych do dokonywania przez banki oceny zdolności kredytowej oraz błędne przyjęcie, że podstawa prawna, na którą powołuje się Bank w swoich wyjaśnieniach, tj. art. 105 ust. 4 Prawa bankowego, jedynie ogólnie reguluje prawo Banku do oceny zdolności kredytowej i oceny ryzyka kredytowego i nie stanowi o dopuszczalności przetwarzania danych osobowych dotyczących zapytań kredytowych, podczas gdy w rzeczywistości przepis ten stanowi podstawę prawną do
przetwarzania danych przez Bank w dwóch osobnych celach, tj. w celu oceny zdolności kredytowej oraz w celu oceny ryzyka kredytowego;
5) art. 6 ust. 1 lit. c RODO w związku z art. 105a ust. 1-1c Prawa bankowego, polegające na jego niewłaściwym zastosowaniu i przyjęciu, że skarżący nie legitymuje się przesłanką przetwarzania danych wynikającą z art. 6 ust. 1 lit. c RODO w związku z art. 105a ust. 1-1c Prawa bankowego, podczas gdy skarżący wykazuje cel przetwarzania danych osobowych, polegający na dokonywaniu analizy ryzyka kredytowego oraz realizacji wymogów w związku ze stosowaniem metod wewnętrznych oraz innych metod i modeli, o których mowa w części trzeciej rozporządzenia Parlamentu Europejskiego i Rady nr 575/2013 z dnia 26 czerwca 2013 r. w sprawie wymogów ostrożnościowych dla instytucji kredytowych i firm inwestycyjnych, zmieniające rozporządzenie (UE) nr 648/2012 (Dz.Urz.UE.L 2013 Nr 176, str. 1, dalej jako "CRR").
6) art. 5 ust. 1 lit e RODO, polegające na jego niewłaściwym zastosowaniu i przyjęciu, że przetwarzanie opisanych w zaskarżonej decyzji danych osobowych w systemach BIK po dokonaniu weryfikacji zdolności kredytowej wnioskującego, narusza wynikającą z tego przepisu zasadę ograniczonego przechowywania, podczas gdy dane wnioskującego nadal były konieczne do prawnie uzasadnionych celów skarżącego, dla których były przetwarzane, a które wynikały z przepisów art. 105 ust. 4, art. 105a czy art. 70 ust. 1, art. 70a, art. 106d Prawa bankowego, art. 9 ustawy z dnia 12 maja 2011 r. o kredycie konsumenckim (t.j. Dz.U. z 2019 r. poz. 1083) oraz CRR.
W odpowiedzi na skargę Prezes Urzędu wniósł o jej oddalenie, podtrzymując stanowisko zaprezentowane w zaskarżonej decyzji.
W ocenie Prezesa Urzędu, chybiony jest zarzut braku rozpatrzenia przez organ całego materiału dowodowego i podjęcia wszelkich czynności zmierzających do wyjaśnienia sprawy.
Prezes Urzędu przy ustaleniu okoliczności rozpatrywanej sprawy opierał się na dowodach (dokumentach) i wyjaśnieniach złożonych przez Bank, które w sposób szczegółowy poddał analizie.
W toku postępowania Bank złożył wobec Prezesa Urzędu niepozostawiające jakichkolwiek wątpliwości wyjaśnienia, co do celu przetwarzania danych osobowych A. G., nie skorzystał z prawa do wypowiedzenia się co do zebranego materiału dowodowego. Dopiero na etapie złożenia skargi na decyzję Bank wskazuje, iż przetwarza dane również w innych celach niż tylko te wymienione w wyjaśnieniach w toku postępowania. Niezasadny jest więc zarzut, że przy wydawaniu decyzji naruszone zostały przepisy art. 7b oraz art. 81a k.p.a., bowiem zgromadzony w toku postępowania materiał dowodowy, składający się z wyjaśnień Banku oraz BIK, nie zawierał niedających się usunąć wątpliwości co do stanu faktycznego.
Prezes Urzędu podkreślił, iż Bank, jako podmiot w pełni profesjonalny, przetwarzający dane osobowe na ogromną skalę, powinien być w stanie odpowiedzieć w sposób zgodny ze stanem faktycznym na konkretne i jednoznaczne pytanie o aktualną podstawę i cel przetwarzania danych osobowych, stąd też Prezes Urzędu jako takie potraktował złożone w toku postępowania wyjaśnienia i uznał, iż zasługują one na uwzględnienie. Bank, jako administrator danych dysponować powinien najlepszą wiedzą, co do prowadzonych przez siebie procesów przetwarzania danych osobowych, ich aktualnych celów i podstaw prawnych. Jest ponadto zobowiązany do udzielenia organowi nadzorczemu, zgodnie z art. 58 ust. 1 lit. e) RODO, wszelkich informacji niezbędnych do realizacji zadań przez Prezesa Urzędu.
Obowiązek wykazania przez administratora przestrzegania przepisów dotyczących ochrony danych osobowych wynika także z art. 5 ust. 2 RODO. Zapewnienie skutecznego stosowania przepisów o ochronie danych osobowych wymaga wdrożenia i stosowania procedur zapewniających rozliczalność danych osobowych. Rozporządzenie ogólne nie przesądza przy tym, jak administrator powinien realizować obowiązki z niego wynikające, niemniej jednak wskazuje na konieczność rozliczania się z przestrzegania przepisów, raportowania ich realizacji oraz przedstawiania dowodów świadczących o prawidłowym wykonywaniu obowiązków. Zasada rozliczalności zobowiązuje administratorów danych osobowych do demonstrowania podjęcia wszelkich środków mających na celu zapewnienie zgodności z obowiązkami ochrony danych osobowych. W świetle ww. zasady, to administrator danych odpowiada za opracowanie, aktualizowanie i utrzymywanie wszystkich procedur i dokumentów związanych z ochroną informacji, a także za stworzenie możliwości dowodowych wykazujących zgodność przetwarzania z przepisami.
Odnosząc się do zarzutu naruszenia przez Prezesa Urzędu art. 7b k.p.a. poprzez zaniechanie zwrócenia się do Komisji Nadzoru Finansowego, jako organu właściwego w sprawach obowiązków banków związanych m.in. z badaniem zdolności kredytowej i analizy ryzyka kredytowego w zakresie wykorzystywania do realizacji tych obowiązków danych, w tym danych osobowych o niezrealizowanych zapytaniach kredytowych, Prezes Urzędu uznał, że jako organ nadzorczy w zakresie stosowania przepisów dotyczących ochrony danych osobowych nie ma potrzeby zwracania się do Komisji Nadzoru Finansowego w trybie art. 7b k.p.a.
Jak wskazał NSA w wyroku z dnia 27 lutego 2018 r., sygn. akt II OSK 3116/17, "prawna doniosłość art. 7b k.p.a. polega na tym, że podnosi on do rangi zasady ogólnej nakaz współdziałania organów administracji w związku z potrzebą wyjaśnienia stanu faktycznego i prawnego sprawy, nie formalizując przy tym sposobów tego współdziałania. Można zatem przyjąć, że organy administracji są zobligowane do współdziałania ze sobą w każdym przypadku, gdy przyczyni się to do szybszego załatwienia sprawy".
Zdaniem Prezesa Urzędu, zwrócenie się do Komisji Nadzoru Finansowego nie
przyczyniłoby się do szybszego załatwienia sprawy, a zgromadzony w sprawie materiał dowodowy pozwolił ustalić niesporne okoliczności i fakty. Również stopień skomplikowania sprawy, w tym oceny zgromadzonego w sprawie materiału dowodowego, nie przekraczał zakresu wiadomości jaki pozostaje w gestii Prezesa Urzędu.
Odnośnie zaś Rekomendacji S, W i T Komisji Nadzoru Finansowego, wskazał, że są one jedynie rekomendacjami, zaleceniami organu jakim jest Komisja Nadzoru Finansowego. Nie mają one, jak słusznie wskazał Bank, charakteru bezwzględnie obowiązującego.
Prezes Urzędu zwrócił uwagę na treść pkt 73 preambuły RODO, który stanowi, że w prawie państwa członkowskiego można przewidzieć ograniczenia dotyczące określonych zasad oraz prawa do informacji, dostępu do danych osobowych i ich sprostowania lub usuwania, prawa do przenoszenia danych, prawa do sprzeciwu, decyzji opartych na profilowaniu, zawiadamiania osoby, której dane dotyczą, o naruszeniu ochrony danych osobowych oraz określonych powiązanych obowiązków administratorów, o ile jest to niezbędne i proporcjonalne w społeczeństwie demokratycznym, m.in. by zapewnić ochronę innych ważnych celów leżących w ogólnym interesie publicznym Unii lub państwa członkowskiego, w szczególności (...) dalsze przetwarzanie zarchiwizowanych danych osobowych w celu dostarczenia konkretnych informacji o postawie politycznej w ramach dawnych systemów państw totalitarnych (...). Ograniczenia te powinny być zgodne z wymogami Karty praw podstawowych oraz Europejskiej konwencji o ochronie praw
człowieka i podstawowych wolności. Tymczasem w obowiązującym w Polsce porządku prawnym takie ograniczenia, w odniesieniu do zakresu przetwarzania przez Bank i BIK danych A. G., nie występują. Tak więc, ochrona danych osobowych zapewniana przez przepisy RODO jest zasadą, a wyjątki od tej zasady muszą być wyartykułowane w sposób wyraźny i konkretny (por. wyrok NSA z dnia 25 sierpnia 2020 r., sygn. akt I OSK 3325/19).
Reasumując Prezes Urzędu stwierdził, że zaskarżona decyzja wydana została w oparciu o zgromadzony materiał, w tym wyjaśnienia Banku, obecnie zaś Bank wskazuje inne podstawy przetwarzania danych osobowych niż podnosił w toku postępowania, choć posiadał wówczas najlepszą wiedzę co do prowadzonego przez siebie procesu przetwarzania danych osobowych A. G. i na wezwanie Prezesa Urzędu zobowiązany był złożyć pełne wyjaśnienia co do tego procesu. Powoływanie się zatem przez Bank w skardze na niewskazane wcześniej, pomimo wezwania Prezesa Urzędu, przesłanki i cele przetwarzania danych osobowych dopiero na etapie skargi do Sądu nie może świadczyć o nieprawidłowości podjętego rozstrzygnięcia. Podnoszone w tym względzie kwestie stanowią polemikę ze stanowiskiem organu, która nie znajduje odzwierciedlenia w zgromadzonym w sprawie materiale dowodowym.
W replice z dnia [...] kwietnia 2021 r. skarżący Bank podtrzymał skargę i nawiązując do przedłożonej odpowiedzi na skargę podniósł w szczególności, że organ w swoim wywodzie odniósł się wyłącznie do zarzutu naruszenia art. 105 ust. 4 Prawa bankowego, wskazując, że przepis ten "jedynie ogólnie reguluje prawo banków do oceny zdolności kredytowej i oceny ryzyka kredytowego i nie stanowi o dopuszczalności przetwarzania danych osobowych dotyczących zapytań kredytowych". Wnoszący skargę nie podzielił tej oceny i podtrzymał stanowisko, że przepis ten stanowi wystarczającą podstawę prawną przetwarzania oraz określa cele przetwarzania danych o klientach banków oraz osobach zainteresowanych usługami banków. Wymiana danych objętych zapytaniami kredytowymi jest bowiem niezbędna do realizacji zadań banku (w tym skarżącego), o których mowa w art. 105 ust. 4 Prawa bankowego. W ten sposób ww. przepisy korespondują z podstawą prawną przetwarzania danych osobowych, o której mowa w art. 6 ust. 1 lit. c) RODO.
Skarżący Bank, zakwestionował również stanowisko organu, przyjmujące, iż Rekomendacje S, W i T Komisji Nadzoru Finansowego są irrelewantne z punktu widzenia określenia podstaw prawnych przetwarzania danych osobowych przez Bank. Zwrócił uwagę, że dostosowanie się przez Bank do szczegółowych wytycznych, zawartych w rekomendacjach Komisji Nadzoru Finansowego, stanowi niewątpliwie jej prawnie uzasadniony interes w rozumieniu art. 6 ust. 1 lit. f) RODO, ponieważ brak ich wdrożenia stanowi przesłankę do zastosowania środków nadzoru i odpowiedzialności nie tylko wobec skarżącego (jako Banku), ale również osób nim zarządzających (np. na podstawie art. 138 ust. 3 Prawa bankowego).
Również Biuro Informacji Kredytowej S.A. z siedzibą w W., pismem
z dnia [...] września 2020 r. skierowało skargę na decyzję Prezesa Urzędu z dnia [...] sierpnia 2020 r., wnosząc o jej uchylenie w całości oraz zasądzenie dla skarżącego zwrotu kosztów postępowania w tym kosztów zastępstwa procesowego według norm przepisanych.
BIK zarzucił zaskarżonej decyzji:
1) naruszenie przepisów postępowania, które miało istotny wpływ na wynik sprawy, tj. art. 7 w związku z art. 77 i art. 80 k.p.a., polegające na niewyczerpującym zebraniu i rozpatrzeniu całego materiału dowodowego i niepodjęciu wszelkich kroków niezbędnych do dokładnego wyjaśnienia stanu faktycznego i załatwienia sprawy, co skutkowało nakazem zaprzestania przetwarzania danych osobowych A. G. w systemie Biura Informacji Kredytowej S.A. w zakresie wskazanym w zaskarżonej decyzji;
2) naruszenie przepisów postępowania, które miało istotny wpływ na wynik sprawy, tj. art. 7b k.p.a., polegające na zaniechaniu zwrócenia się do Komisji Nadzoru Finansowego, jako organu właściwego w sprawach obowiązków banków związanych
m.in. z badaniem zdolności kredytowej i analizy ryzyka kredytowego, w zakresie wykorzystywania do realizacji tych obowiązków danych, w tym danych osobowych o niezrealizowanych zapytaniach kredytowych;
3) naruszenie prawa materialnego, które miało wpływ na wynik sprawy, tj. art. 6 ust. 1 lit. c RODO w zw. z art. 105 ust. 4 Prawa bankowego, polegające na jego niewłaściwym zastosowaniu i przyjęciu, że skarżący nie legitymuje się przesłanką przetwarzania danych wynikającą z art. 6 ust. 1 lit. c RODO w związku z art. 105 ust. 4 Prawa bankowego, podczas gdy przepisy te nakładają na skarżącego obowiązek przetwarzania danych osobowych, w tym danych z zapytań kredytowych przekazanych przez banki i inne instytucje wymienione w art. 105 ust. 4 Prawa bankowego na zasadzie wzajemności i w zakresie, w jakim informacje te potrzebne są bankom do wykonywania czynności bankowych, w tym oceny zdolności kredytowej i analizy ryzyka kredytowego oraz innym instytucjom (instytucjom pożyczkowym) w zakresie niezbędnym do oceny zdolności kredytowej i analizy ryzyka kredytowego;
4) naruszenie prawa materialnego, które miało wpływ na wynik sprawy, tj. art. 6 ust. 1 lit. f RODO w związku z Rekomendacjami S, W i T Komisji Nadzoru Finansowego, polegające na jego niewłaściwym zastosowaniu i przyjęciu, że skarżący nie legitymuje się przesłanką przetwarzania danych wynikającą z art. 6 ust. 1 lit. f RODO w związku z Rekomendacjami S, W i T Komisji Nadzoru Finansowego, podczas gdy przepisy te nakładają na banki, a w konsekwencji na BIK, jako instytucję gromadzącą dane służące do oceny zdolności kredytowej oraz budującą modele scoringowe służące bankom, określone wymagania, które następnie podlegają egzekwowaniu przez Komisję Nadzoru Finansowego na podstawie bezwzględnie obowiązujących przepisów prawa;
5) naruszenie prawa materialnego, które miało wpływ na wynik sprawy, tj. art. 6 ust. 1 lit. c RODO w związku z art. 105 ust. 4 pkt 1, art. 5 ust. 1 pkt 3 oraz art. 70 ust. 1 Prawa bankowego, polegające na jego niewłaściwym zastosowaniu i przyjęciu, że skarżący nie legitymuje się przesłanką przetwarzania danych wynikającą z art. 6 ust. 1 lit. c RODO w związku z art. 105 ust. 4 pkt 1 Prawa bankowego, podczas gdy skarżący wykazuje cel przetwarzania danych osobowych polegający na dostarczaniu bankom informacji (w tym ocen i modeli scoringowych) niezbędnych do wykonywania
czynności bankowych (art. 5 ust. 1 pkt 3 Prawa bankowego), w tym udzielania kredytów, przy czym ocena zdolności kredytowej jest obowiązkiem banków (art. 70 ust. Prawa bankowego);
6) naruszenie prawa materialnego, które miało wpływ na wynik sprawy, tj. art. 6 ust. 1 lit. c RODO w związku z art. 105a ust. 1-1c Prawa bankowego, polegające na jego niewłaściwym zastosowaniu i przyjęciu, że skarżący nie legitymuje się przesłanką przetwarzania danych wynikającą z art. 6 ust. 1 lit. c RODO w związku z art. 105a ust. 1-1c Prawa bankowego, podczas gdy skarżący wykazuje cel przetwarzania danych osobowych polegający na przekazywaniu bankom, w tym [...] Bank S.A. z siedzibą w W. będącemu stroną tego postępowania, informacji niezbędnych do oceny zdolności kredytowej i analizy ryzyka kredytowego;
7) naruszenie prawa materialnego, które miało wpływ na wynik sprawy, tj. art. 6 ust. 1 lit. c RODO w związku z art. 106d Prawa bankowego, polegające na jego niewłaściwym zastosowaniu i przyjęciu, że skarżący nie legitymuje się przesłanką przetwarzania danych wynikającą z art. 6 ust. 1 lit. c RODO w związku z art. 106d Prawa bankowego, podczas gdy skarżący wykazuje cel przetwarzania danych osobowych polegający na analizie danych podanych we wnioskach kredytowych i analizie zapytań kredytowych złożonych w BIK w określonym czasie w celu wykrycia potencjalnych nieścisłości oraz powzięcia informacji mogących stanowić o uzasadnionym podejrzeniu popełnienia przestępstw, o których mowa w art. 106d Prawa bankowego;
8) naruszenie prawa materialnego, które miało wpływ na wynik sprawy, tj. art. 6 ust. 1 lit. c RODO w związku z art. 33 ust. 2, art. 33 ust. 3 pkt 6, art. 34 ust. 1 pkt 4, art. 36, art. 46 oraz art. 49 ust. 1 ustawy z dnia 1 marca 2018 r. o przeciwdziałaniu praniu pieniędzy oraz finansowaniu terroryzmu (AML), polegające na jego niewłaściwym zastosowaniu i przyjęciu, że skarżący nie legitymuje się przesłanką przetwarzania danych wynikającą z art. 6 ust. 1 lit. c RODO w związku z art. 33 ust. 2, art. 33 ust. 3
pkt 6, art. 34 ust. 1 pkt 4, art. 36, art. 46 oraz art. 49 ust. 1 AML, podczas gdy przepisy te nakładają na banki i BIK obowiązek przetwarzania danych osobowych w celu zapewnienia bezpieczeństwa obrotu gospodarczego poprzez przeprowadzenie szczegółowego badania na temat klientów, w tym przyszłych klientów, jak i badania powiązań kapitałowo-osobowych, w tym w zakresie danych dostarczanych przez skarżącego;
9) naruszenie prawa materialnego, które miało wpływ na wynik sprawy, tj. art. 6 ust. 1 lit. c RODO w związku z art. 144 ust. 1 lit. d, art. 145 ust. 1, art. 170 ust. 3 lit a, art. 171 ust. 2 i art. 179 ust 1 lit. a rozporządzenia Parlamentu Europejskiego i Rady nr 575/2013 z dnia 26 czerwca 2013 r. w sprawie wymogów ostrożnościowych dla instytucji kredytowych i firm inwestycyjnych, zmieniające rozporządzenie (UE) nr 648/2012 (Dz.Urz.UE.L 2013 Nr 176, str. 1, (CRR) polegające na jego niewłaściwym zastosowaniu i przyjęciu, że skarżący nie legitymuje się przesłanką przetwarzania danych wynikającą z art. 6 ust. I lit. c RODO w związku z tymi przepisami CRR wskazującymi na określone obowiązki w zakresie wymogów ostrożnościowych;
10) naruszenie prawa materialnego, które miało wpływ na wynik sprawy, tj. art. 6 ust. 1 lit. c RODO w związku z art. 70a ust. 1 i 2 Prawa bankowego, polegające na jego niewłaściwym zastosowaniu i przyjęciu, że skarżący nie legitymuje się podstawą prawną przetwarzania danych osobowych, podczas gdy przepisy te nakładają na banki obowiązek wyjaśniania decyzji kredytowych, a wyjaśnienie to musi obejmować dane przetwarzane i dostarczane przez skarżącego.
W odpowiedzi na skargę BIK Prezes Urzędu wniósł o jej oddalenie, podtrzymując stanowisko zaprezentowane zarówno w zaskarżonej decyzji, jak
i w odpowiedzi na skargę Banku.
BIK w replice z dnia [...] listopada 2020 r. na odpowiedź na skargę Prezesa Urzędu, podtrzymał skargę i zakwestionował stanowisko Prezesa Urzędu, odnośnie art. 105 ust. 4 Prawa bankowego. Wskazał, że przepis ten stanowi nie tylko upoważnienie do stworzenia takiego podmiotu jak BIK, ale jest również podstawą do przetwarzania informacji objętych tajemnicą bankową, w tym danych osobowych przez sam BIK. Przepis 105 ust. 4 Prawa bankowego wyznacza w istocie cele dalszego przetwarzania danych o klientach banków i osobach chcących skorzystać z produktów bankowych. BIK, jako instytucja powołana na podstawie tego przepisu, służy realizacji tych celów. Przepis ten stanowi prostą konsekwencję nałożonego na banki w art. 105 ust. 1 Prawa bankowego obowiązku wymiany między nimi informacji, stanowiących tajemnicę bankową w zakresie, w jakim informacje te są niezbędne w związku z wykonywaniem czynności bankowych oraz nabywaniem i zbywaniem wierzytelności. W tym właśnie celu banki - w oparciu o art. 105 ust. 4 - powołały instytucję taką jak BIK, aby za pośrednictwem stworzonego przez BIK systemu wymiany danych móc "centralnie" takie dane wymieniać, co miało się przyczynić i przyczynia się z oczywistych powodów (odpytanie o dane w jednym miejscu zamiast odpytywania kilkudziesięciu banków po kolei, z osobna) do przyspieszenia procedur kredytowych i obsługi klienta w tym zakresie. W analizowanym kontekście nie można traktować BIK jako niezależnego od banków podmiotu realizującego własne cele, ale jako podmiot służebny, realizujący wszystkie zadania dla sektora bankowego w oparciu o wyraźne przepisy ustawowe, których adresatami są banki.
BIK wyraził obawę, że wyrażone prze organ stanowisko, może prowadzić do zakwestionowania wymiany jakichkolwiek informacji.
Odnośnie zaś znaczenia Rekomendacji Komisji Nadzoru Finansowego, podkreślono, że służą one z jednej strony interpretacji obowiązujących przepisów, z drugiej wyznaczają standardy realizacji poszczególnych obowiązków. Z tego powodu na rynku finansowym trudno sobie wyobrazić nieprzestrzeganie rekomendacji KNF. Może to bowiem spowodować nałożenie na taki podmiot stosownych sankcji - przewidzianych m. in. w art. 138 Prawa bankowego.
Na posiedzeniu w dniu 5 maja 2021 r. Wojewódzki Sąd Administracyjny w Warszawie, na podstawie art. 111 § 1 p.p.s.a., połączył sprawy o sygn. akt II SA/Wa 1982/20 ze skargi [...] Bank S.A. z siedzibą w W. oraz o sygn. akt II SA/Wa 1983/20 ze skargi Biura Informacji Kredytowej S.A. z siedzibą w W., w celu ich łącznego rozpoznania i rozstrzygnięcia pod sygn. akt II SA/Wa 1982/20.
Wojewódzki Sąd Administracyjny w Warszawie zważył, co następuje.
Zgodnie z art. 1 ustawy z dnia 25 lipca 2002 r. – Prawo o ustroju sądów administracyjnych (Dz. U. z 2021 r. poz. 137), sądy administracyjne kontrolują działalność administracji publicznej pod względem zgodności z prawem. Z tego też powodu w postępowaniu sądowym nie mogą być brane pod uwagę argumenty natury słusznościowej czy celowościowej. Badana jest wyłącznie legalność aktu administracyjnego, czyli prawidłowość zastosowania przepisów prawa do zaistniałego stanu faktycznego, trafność wykładni tych przepisów oraz prawidłowość zastosowania przyjętej procedury.
Stosownie do art. 134 § 1 ustawy z dnia 30 sierpnia 2002 r. – Prawo o postępowaniu przed sądami administracyjnymi (Dz. U. z 2019 r. poz. 2325 z późn. zm.), dalej "p.p.s.a.", sąd rozstrzyga w granicach danej sprawy, nie będąc związany zarzutami i wnioskami skargi oraz wskazaną podstawą prawną, z zastrzeżeniem art. 57a.
Na zasadzie art. 145 § 1 pkt 1 p.p.s.a, uwzględnienie skargi na decyzję następuje w przypadku naruszenia prawa materialnego, które miało wpływ na wynik sprawy (lit. a), naruszenie prawa dającego podstawę do wznowienia postępowania administracyjnego (lit. b) lub innego naruszenia przepisów postępowania, jeżeli mogło ono mieć istotny wpływ na wynik sprawy (lit. c).
Przeprowadzona przez Sąd, w granicach tak określonej kognicji, kontrola legalności decyzji Prezesa Urzędu Ochrony Danych Osobowych, dalej: "Prezesa Urzędu", z dnia [...] sierpnia 2020 r., wykazała, że została ona wydana bez naruszenia przepisów prawa procesowego i materialnego w stopniu uzasadniającym jej uchylenie, o co wnosili skarżący w skargach.
Od dnia 25 maja 2018 r. w polskim porządku prawnym obowiązuje ustawa z dnia 10 maja 2018 r. o ochronie danych osobowych (Dz. U. z 2019 r. poz. 1781), jak również rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz. U. UE. Seria L. rok 2016 nr 119 str. 1 z dnia 2016.05.04 z późn. zm.), dalej "RODO", które stosuje się bezpośrednio.
Przetwarzanie danych definiuje art. 4 pkt 2 RODO, zgodnie z którym przetwarzanie danych oznacza "operację lub zestaw operacji wykonywanych na danych osobowych lub zestawach danych osobowych w sposób zautomatyzowany lub niezautomatyzowany, taką jak zbieranie, utrwalanie, organizowanie, porządkowanie, przechowywanie, adaptowanie lub modyfikowanie, pobieranie, przeglądanie, wykorzystywanie, ujawnianie poprzez przesłanie, rozpowszechnianie lub innego rodzaju udostępnianie, dopasowywanie lub łączenie, ograniczanie, usuwanie lub niszczenie.
Sposób postępowania przy przetwarzaniu danych osobowych wyznacza art. 5 ust. 1 RODO, ujmując je w formę podstawowych obowiązków administratora. Z jego treści wynika, że dane osobowe muszą być: a) przetwarzane zgodnie z prawem, rzetelnie i w sposób przejrzysty dla osoby, której dane dotyczą (zgodność z prawem, rzetelność i przejrzystość), b) zbierane w konkretnych, wyraźnych i prawnie uzasadnionych celach i nieprzetwarzane dalej w sposób niezgodny z tymi celami (ograniczenie celu), c) adekwatne, stosowne oraz ograniczone do tego, co niezbędne do celów, w których są przetwarzane (minimalizacja danych),
d) prawidłowe i w razie potrzeby uaktualniane, a dane osobowe, które są nieprawidłowe w świetle celów ich przetwarzania, muszą być niezwłocznie usunięte lub sprostowane (prawidłowość), e) przechowywane w formie umożliwiającej identyfikację osoby, której dotyczą, przez okres nie dłuższy, niż jest to niezbędne do celów, w których dane te są przetwarzane (ograniczenie przechowywania),
f) przetwarzane w sposób zapewniający odpowiednie bezpieczeństwo danych osobowych, w tym ochronę przed niedozwolonym lub niezgodnym z prawem przetwarzaniem oraz przypadkową utratą, zniszczeniem lub uszkodzeniem, za pomocą odpowiednich środków technicznych lub organizacyjnych (integralność
i poufność).
Zgodnie z ust. 2 art. 5 RODO, administrator jest odpowiedzialny za przestrzeganie powyższych zasad i musi być w stanie wykazać ich przestrzeganie (rozliczalność).
Przetwarzanie danych osobowych uważa się za legalne, jeśli ich administrator spełni co najmniej jedną z przesłanek wskazanych w art. 6 ust. 1 rozporządzenia RODO, tzn.: a) osoba, której dane dotyczą wyraziła zgodę na przetwarzanie swoich danych osobowych w jednym lub większej liczbie określonych celów,
b) przetwarzanie jest niezbędne do wykonania umowy, której stroną jest osoba, której dane dotyczą, lub do podjęcia działań na żądanie osoby, której dane dotyczą, przed zawarciem umowy, c) przetwarzanie jest niezbędne do wypełnienia obowiązku prawnego ciążącego na administratorze, d) przetwarzanie jest niezbędne do ochrony żywotnych interesów osoby, której dane dotyczą, lub innej osoby fizycznej,
e) przetwarzanie jest niezbędne do wykonania zadania realizowanego w interesie publicznym lub w ramach sprawowania władzy publicznej powierzonej administratorowi, f) przetwarzanie jest niezbędne do celów wynikających z prawnie uzasadnionych interesów realizowanych przez administratora lub przez stronę trzecią, z wyjątkiem sytuacji, w których nadrzędny charakter wobec tych interesów mają interesy lub podstawowe prawa i wolności osoby, której dane dotyczą, wymagające ochrony danych osobowych, w szczególności gdy osoba, której dane dotyczą, jest dzieckiem.
Powołany przepis art. 6 ust. 1 RODO określa ogólne materialne przesłanki przetwarzania danych osobowych. Przesłanki te mają charakter generalny, odnoszą się do wszelkich form przetwarzania danych, w tym zarówno do przetwarzania "na własne potrzeby" administratora, jak i "na zewnątrz". Są one, co do zasady, równoprawne, mają charakter autonomiczny i niezależny, co oznacza, że wystarczy wystąpienie jednej z nich, by przetwarzanie danych mogło być uznane za usprawiedliwione.
W sprawie jest niesporne, że Bank pozyskał dane osobowe bezpośrednio od A. G. w związku ze złożeniem w dniu [...] lipca 2017 r. wniosku o udzielenie kredytu. Kolejny wniosek o udzielenie kredytu ww. złożył w dniu [...] listopada 2017 r. Powyższe wnioski nie zakończyły się zawarciem umów.
W przedmiotowej sprawie aktem prawnym, zawierającym szczegółowe regulacje dotyczące procesu przetwarzania danych osobowych klientów banków, jest przede wszystkim ustawa z dnia 29 sierpnia 1997 r. - Prawo bankowe (Dz. U. z 2019 r. poz. 2357), dalej: "Prawo bankowe".
Podstawą przetwarzania danych osobowych klientów banków, w tym ich przekazania do BIK w czasie trwania zobowiązania łączącego bank i klienta banku, jest artykuł 6 ust. 1 lit. c RODO w zw. z art. 105 ust. 4 i art. 105a ust. 1 Prawa bankowego.
Zdaniem Sądu, za uprawnione należy uznać stanowisko Prezesa Urzędu, że w sytuacji gdy w następstwie złożenia wniosku kredytowego nie dochodzi do zawarcia umowy kredytowej z bankiem, brak jest przesłanek ustawowych legalizujących dalsze przetwarzanie danych osobowych niedoszłego klienta.
Taki wniosek wypływa z literalnego brzmienia art. 105a Prawa bankowego.
Zgodnie z art. 105a ust. 1 Prawa bankowego, przetwarzanie przez banki, inne instytucje ustawowo upoważnione do udzielania kredytów oraz instytucje utworzone na podstawie art. 105 ust. 4, informacji stanowiących tajemnicę bankową w zakresie dotyczącym osób fizycznych może być wykonywane (...) w celu oceny zdolności kredytowej i analizy ryzyka kredytowego.
Stosownie zaś do art. 105a ust. 2 Prawa bankowego, z zastrzeżeniem ust. 3, instytucje, o których mowa w ust. 1, mogą przetwarzać informacje stanowiące tajemnicę bankową oraz informacje udostępnione przez instytucje pożyczkowe oraz podmioty, o których mowa w art. 59d ustawy z dnia 12 maja 2011 r. o kredycie konsumenckim, w zakresie dotyczącym osób fizycznych po wygaśnięciu zobowiązania wynikającego z umowy zawartej z bankiem, inną instytucją ustawowo upoważnioną do udzielania kredytów, instytucją pożyczkową lub podmiotem, o którym mowa w art. 59d ustawy z dnia 12 maja 2011 r. o kredycie konsumenckim, pod warunkiem uzyskania pisemnej zgody osoby, której informacje te dotyczą, z zastrzeżeniem ust. 2a. Zgoda ta może być w każdym czasie odwołana.
Natomiast art. 105a ust. 3 Prawa bankowego stanowi, że banki, instytucje oraz podmioty, o których mowa w ust. 1, mogą przetwarzać informacje stanowiące tajemnicę bankową i informacje udostępnione przez instytucje pożyczkowe oraz podmioty, o których mowa w art. 59d ustawy z dnia 12 maja 2011 r. o kredycie konsumenckim, dotyczące osób fizycznych po wygaśnięciu zobowiązania wynikającego z umowy zawartej z bankiem, inną instytucją ustawowo upoważnioną do udzielania kredytów, instytucją pożyczkową lub podmiotem, o którym mowa w art. 59d ustawy z dnia 12 maja 2011 r. o kredycie konsumenckim, bez zgody osoby, której informacje dotyczą, gdy osoba ta nie wykonała zobowiązania lub dopuściła się zwłoki powyżej 60 dni w spełnieniu świadczenia wynikającego z umowy zawartej z bankiem, inną instytucją ustawowo upoważnioną do udzielania kredytów, instytucją pożyczkową lub podmiotem, o którym mowa w art. 59d ustawy z dnia 12 maja
2011 r. o kredycie konsumenckim, a po zaistnieniu tych okoliczności upłynęło co najmniej 30 dni od poinformowania tej osoby przez bank, inną instytucję ustawowo upoważnioną do udzielania kredytów, instytucję pożyczkową albo podmiot, o którym mowa w art. 59d ustawy z dnia 12 maja 2011 r. o kredycie konsumenckim, o zamiarze przetwarzania dotyczących jej tych informacji, bez jej zgody.
Według art. 105a ust. 4 Prawa bankowego, banki oraz instytucje, o których mowa w art. 105 ust. 4, mogą przetwarzać stanowiące tajemnicę bankową informacje dotyczące osoby fizycznej po wygaśnięciu zobowiązania wynikającego z umowy zawartej z bankiem lub inną instytucją ustawowo upoważnioną do udzielania kredytów bez zgody osoby, której informacje dotyczą, do celów stosowania metod wewnętrznych oraz innych metod i modeli, o których mowa w części trzeciej rozporządzenia nr 575/2013.
Natomiast ust. 5 art. 105a Prawa bankowego przewiduje, że przetwarzanie informacji stanowiących tajemnicę bankową w przypadkach, o których mowa w ust. 3, może być wykonywane przez okres nie dłuższy niż 5 lat od dnia wygaśnięcia zobowiązania, a w przypadku, o którym mowa w ust. 4, przez okres 12 lat od dnia wygaśnięcia zobowiązania.
Zakres przetwarzanych informacji, o których mowa w ust. 3 i 4, może obejmować dane dotyczące osoby fizycznej lub dane dotyczące zobowiązania (art. 105a ust. 6).
Przepis art. 105a Prawa bankowego zatem wyraźnie reguluje prawo do przetwarzania danych osobowych w sytuacji wygaśnięcia zobowiązania, wynikającego z umowy zawartej z bankiem lub inną instytucją lub podmiotem tam wymienionym, wprowadzając maksymalny limit czasowy tego przetwarzania.
Uzasadnione jest zatem w ocenie Sądu stanowisko Prezesa Urzędu, iż w sytuacji, gdy w następstwie złożenia wniosku kredytowego nie dochodzi do zawarcia umowy kredytowej z bankiem brak jest przesłanek ustawowych legalizujących dalsze przetwarzanie przez bank danych osobowych niedoszłego klienta.
Zwrócić trzeba uwagę, że ocena zdolności kredytowej i ryzyka kredytowego ma charakter czynności wstępnych przed zawarciem umowy przez bank. Dalsze przetwarzanie danych, uzyskanych w celu oceny zdolności kredytowej, w przypadku niezawarcia stosownej umowy, pozostawałoby w oderwaniu od celu, dla którego dane te uzyskano. Niedopuszczalne jest przetwarzanie danych osobowych na przyszłość, a także na potrzeby budowy oceny zdolności kredytowej innych podmiotów, jeżeli nie można zrekonstruować wyraźnej podstawy prawnej takich działań.
Przetwarzanie danych w zakresie oceny zdolności kredytowej i analizy ryzyka kredytowego, związanych z zapytaniami, które nie zakończyły się przyznaniem kredytu, nie może mieć miejsca w oparciu o wskazany przez skarżących art. 6 ust. 1 lit. f RODO, ponieważ ustawodawca w art. 105a Prawa bankowego wyraźnie wskazał granice przetwarzania danych w zakresie oceny zdolności kredytowej i analizy ryzyka kredytowego. W takich okolicznościach, wbrew temu uznanie przetwarzania za legalne z uwagi na "prawnie uzasadniony interes" administratora lub strony trzeciej prowadziłoby do niewłaściwej wykładni art. 6 ust. 1 lit. f w związku z art. 5 lit. e RODO, który stanowi iż dane osobowe muszą być przechowywane w formie umożliwiającej identyfikację osoby, której dane dotyczą, przez okres nie dłuższy, niż jest to niezbędne do celów, w których dane te są przetwarzane.
Zatem, Prezes Urzędu prawidłowo przyjął, że w sprawie nie została spełniona przesłanka niezbędności do celów wynikających z prawnie usprawiedliwionych interesów realizowanych przez administratora odnośnie art. 6 ust. 1 lit. f RODO.
W ocenie Sądu, w sprawie tej nie został naruszony przepis art. 7, art. 7a, art. 77, art. 80, art. 81a, oraz art. 107 § 3 k.p.a. Prezes Urzędu w sposób wyczerpujący zebrał i rozpatrzył cały materiał dowodowy. Natomiast uzasadnienie zaskarżonej decyzji zawiera wskazania faktów, które organ uznał za udowodnione, dowodów, na których się oparł, oraz przyczyn, z powodu których innym dowodom odmówił wiarygodności i mocy dowodowej, zaś uzasadnienie prawne zawiera, w nawiązaniu do powyższego, należyte wyjaśnienia podstawy prawnej podjętego rozstrzygnięcia.
Prezes Urzędu nie naruszył art. 7b k.p.a. poprzez zaniechanie zwrócenia się do Komisji Nadzoru Finansowego, uznając, że jako organ nadzorczy w zakresie stosowania przepisów dotyczących ochrony danych osobowych, nie ma potrzeby zwracania się do Komisji Nadzoru Finansowego w trybie art. 7b k.p.a.
Nie budzi także wątpliwości stanowisko Prezesa Urzędu odnośnie związania Banku i BIK Rekomendacjami Komisji Nadzoru Finansowego.
Zdaniem Sądu, w kontrolowanej sprawie nie zostały naruszone, ponieważ nie miały w sprawie zastosowania, przepisy Rozporządzenia Parlamentu Europejskiego i Rady nr 575/2013 z dnia 26 czerwca 2013 r. w sprawie wymogów ostrożnościowych dla instytucji kredytowych i firm inwestycyjnych, zmieniające rozporządzenie (UE) nr 648/2012 (Dz.Urz.UE.L 2013 Nr 176, str. 1, (CRR), ustawa z dnia 1 marca 2018 r. o przeciwdziałaniu praniu pieniędzy oraz finansowaniu terroryzmu (AML) ani też ustawy z dnia 29 września 1994 r. o rachunkowości (Dz. U. 1994 nr 121 poz. 591).
Skoro w okolicznościach przedmiotowej sprawy, A. G. nie wyraził zgody na przetwarzanie jego danych osobowych przez Bank stosownie do art. 6 ust. 1 lit. a RODO, a administrator danych nie wykazał innej podstawy legalizującej czynności przetwarzania, to Prezes Urzędu miał podstawę nakazać Bankowi zaprzestania przetwarzania danych osobowych A. G. w zakresie zapytania kredytowego z dnia [...] listopada 2017 r. w systemie Biura Informacji Kredytowej S.A.
Skoro zatem wszystkie podniesione przez skarżących zarzuty, zarówno dotyczące naruszenia prawa materialnego, jak i procesowego, okazały się chybione oraz brak jest podstaw do uznania, że Prezes Urzędu dopuścił się innych naruszeń prawa, które mogłyby stanowić o uchyleniu albo stwierdzeniu nieważności zaskarżonej decyzji, Wojewódzki Sąd Administracyjny w Warszawie, na podstawie art. 151 p.p.s.a., orzekł jak w sentencji wyroku.
Sprawa została rozpoznana na posiedzeniu niejawnym w oparciu o zarządzenie Przewodniczącego Wydziału II z dnia 15 kwietnia 2021 r., wydane na podstawie art. 15zzs4 ust. 3 ustawy z dnia 2 marca 2020 r. o szczególnych rozwiązaniach związanych z zapobieganiem, przeciwdziałaniem i zwalczaniem COVID-19, innych chorób zakaźnych oraz wywołanych nimi sytuacji kryzysowych (Dz. U. z 2020 r., poz. 1842 z późn. zm.).