II SA/Wa 1997/24

II SA/Wa 1997/24 - Wyrok WSA w Warszawie
Data orzeczenia
2025-07-02
orzeczenie nieprawomocne
Data wpływu
2024-12-09
Sąd
Wojewódzki Sąd Administracyjny w Warszawie
Sędziowie
Anna Pośpiech-Kłak /sprawozdawca/
Danuta Kania /przewodniczący/
Joanna Kruszewska-Grońska
Symbol z opisem
647  Sprawy związane z ochroną danych osobowych
Hasła tematyczne
Ochrona danych osobowych
Skarżony organ
Generalny Inspektor Ochrony Danych Osobowych
Treść wyniku
Oddalono skargę
Powołane przepisy
Dz.U. 2024 poz 935
art. 151
Ustawa z dnia 30 sierpnia 2002 r. Prawo o postępowaniu przed sądami administracyjnymi (t. j.)
Sentencja
Wojewódzki Sąd Administracyjny w Warszawie w składzie następującym: Przewodniczący Sędzia WSA Danuta Kania, Sędzia WSA Joanna Kruszewska-Grońska, Asesor WSA Anna Pośpiech-Kłak (spr.), , Protokolant referent Magdalena Morawiec, , po rozpoznaniu na rozprawie w dniu 2 lipca 2025 r. sprawy ze skargi [...] z siedzibą w Warszawie na punkt 1 decyzji Prezesa Urzędu Ochrony Danych Osobowych z dnia [...] października 2024 r. nr [....] w przedmiocie przetwarzania danych osobowych oddala skargę
Uzasadnienie
Zaskarżoną decyzją z dnia [...] października 2024 r. nr [...] Prezes Urzędu Ochrony Danych Osobowych, zw. dalej "Prezes UODO", "organ", na podstawie art. 104 § 1 ustawy z dnia 14 czerwca 1960 r. Kodeks postępowania administracyjnego (Dz. U. z 2024 r. poz. 572), zw. dalej "k.p.a.", w związku z art. 7 ust. 1 i ust. 2 ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych (Dz. U. z 2019 r. poz. 1781), zw. dalej "u.o.d.o." oraz art. 6 ust. 1 oraz art. 58 ust. 2 lit. c rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (Dz. Urz. UE L 119 z 4.05.2016, str. 1, Dz. Urz. UE L 127 z 23.05.2018, str. 2 oraz Dz. Urz. UE L 74 z 4.03.2021, str. 35), zw. dalej "RODO", po przeprowadzeniu postępowania administracyjnego w sprawie skargi L. M., zw. dalej "wnioskodawcą" na nieprawidłowości w procesie przetwarzania jego danych osobowych przez [...] S.A. z siedzibą w[...] , zw. dalej "bankiem", "skarżącym", polegające na przetwarzaniu bez podstawy prawnej jego danych osobowych w zakresie wynikającym z zapytań kredytowych z [...] maja 2023 r., [...] czerwca 2023 r. oraz [...] września 2023 r., które nie zakończyły się zawarciem umowy kredytowej, w Biurze Informacji Kredytowej S.A. z siedzibą w [....], zw. dalej "BIK" bez podstawy prawnej: w pkt 1 - nakazał [...] S.A. z siedzibą w [...] usunięcie danych osobowych L. M., w zakresie wynikającym z zapytań kredytowych z [...] maja 2023 r., [...] czerwca 2023 r. oraz [...] września 2023 r., niezakończonych udzieleniem kredytu; w pkt 2 - nakazał Biuru Informacji Kredytowej S.A. z siedzibą w [...], usunięcie danych osobowych L. M. w zakresie wynikającym z zapytań kredytowych z [...] maja 2023 r., [...] czerwca 2023 r. oraz [...] września 2023 r., przekazanych przez [...] S.A. z siedzibą w [...], niezakończonych udzieleniem kredytu.
W uzasadnieniu decyzji Prezes UODO wskazał, że w dniu 5 marca 2024 r. wnioskodawca wniósł do Prezesa UODO skargę na nieprawidłowości w procesie przetwarzania jego danych osobowych przez bank, polegające na przetwarzaniu jego danych osobowych w zakresie wynikającym z zapytań kredytowych z [...] maja 2023 r., [...] czerwca 2023 r. oraz [...] września 2023 r., które nie zakończyły się zawarciem umowy kredytowej w BIK, bez podstawy prawnej. Podniósł, że w dniu 7 lutego 2024 r. złożył przez infolinię banku wniosek o usunięcie przekazanych do BIK zapytań kredytowych z [...] maja 2023 r., [...] czerwca 2023 r. oraz [...] września 2023 r., które nie zakończyły się zawarciem umowy kredytowej. Bank odmówił usunięcia ww. zapytań, co skutkowało złożeniem niniejszej skargi z wnioskiem o nakazanie bankowi usunięcia ww. zapytań kredytowych, przetwarzanych bez podstawy prawnej w BIK.
Ustosunkowując się do złożonej skargi bank wyjaśnił, że w ramach wniosków kredytowych z [...] maja 2023 r., [...] czerwca 2023 r. oraz [...] września 2023 r., pozyskał od wnioskodawcy następujące dane osobowe: dane identyfikacyjne (imiona, nazwisko, nazwisko rodowe, nazwisko rodowe matki, numer PESEL, data urodzenia, rodzaj, seria, numer, data ważności i data wydania dokumentu tożsamości), dane kontaktowe (adres zameldowania, adres zamieszkania (korespondencyjny), numer telefonu, adres e-mail), dane dotyczące sytuacji rodzinnej i finansowej (status rezydencji podatkowej, stan cywilny, wykształcenie, informacje o rodzaju i wysokości dochodów, stanowisku, okresie zatrudnienia, stanowisku, danych identyfikacyjnych i kontaktowych zakładu pracy) oraz dane finansowe związane z wnioskowanym kredytem, w tym kwota i rodzaj produktu kredytowego.
Bank wskazał, że pozyskał dane osobowe wnioskodawcy w celach: zawarcia i wykonania umowy produktowej na podstawie art. 6 ust. 1 lit. b RODO, określenia ryzyka kredytowego i zdolności do spłaty zadłużenia oraz oszacowania możliwości zaoferowania wnioskodawcy produktów bankowych na określonych warunkach, a także w związku z koniecznością spełnienia wymogów prawnych spoczywających na banku, m.in. w związku z przepisami ustawy z 1 marca 2018 r. o przeciwdziałaniu praniu pieniędzy oraz finansowaniu terroryzmu (Dz. U. z 2023 r. poz. 1124 ze zm.), zw. dalej "ustawą AML").
Bank wyjaśnił, że decyzje kredytowe dotyczące wniosków kredytowych z [...] maja 2023 r., [...] czerwca 2023 r. oraz [...] września 2023 r., zostały wydane przez bank w tej samej dacie, tj. odpowiednio: [...] maja 2023 r., [...] czerwca 2023 r. i [...] września 2023 r.
Podał, że dane osobowe wnioskodawcy pozyskane w ramach opisanych wyżej wniosków kredytowych, w tym dotyczące zapytań kredytowych zrealizowanych przez bank w BIK w związku z procesowaniem tych wniosków kredytowych, są aktualnie przetwarzane przez bank na podstawie art. 6 ust. 1 lit. c RODO, tj. z uwagi na konieczność spełniania przez bank wymogów: 1) art. 70 ust. 1 ustawy z 29 sierpnia 1997 r. Prawo bankowe (Dz. U. z 2023 r. poz. 2488 ze zm.), zw. dalej "Prawem bankowym", związku z którym bank uzależnia przyznanie kredytu od zdolności kredytowej kredytobiorcy, a kredytobiorca jest obowiązany przedłożyć na żądanie banku dokumenty i informacje niezbędne do dokonania oceny tej zdolności; 2) art. 70a i art. 105a Prawa bankowego w związku z koniecznością zagwarantowania możliwości uzyskania wyjaśnień dotyczących dokonanej przez bank oceny zdolności kredytowej lub w związku z koniecznością zapewnienia prawa do otrzymania stosownych wyjaśnień banku co do podstaw decyzji podejmowanych w trybie art. 105a ust. 1 Prawa bankowego; 3) w zakresie stosowania modeli wewnętrznych oraz innych metod i modeli, o których mowa w części trzeciej rozporządzenia Parlamentu Europejskiego i Rady (UE) nr 575/2013 z 26 czerwca 2013 r. w sprawie wymogów ostrożnościowych dla instytucji kredytowych i firm inwestycyjnych, zmieniającego rozporządzenie (UE) nr 648/2012 (Dz. Urz. UE L 176 z 27.06.2013, str. 1 ze zm.), zw. dalej "CRR", w zw. z art. 105 ust. 4 pkt 1 Prawa bankowego oraz art. 105a ust. 4 Prawa bankowego, tj. m.in. wymogów kapitałowych określonych w części III ww. rozporządzenia – 144 ust. 1 lit. d, art. 145 ust. 1, art. 147 ust. 5 w zw. z art. 147 ust. 2 lit. d CRR (dotyczących metody wewnętrznych ratingów (IRB)) oraz art. art. 170 ust. 3 lit. a, art. 171 ust. 2 i art. 179 ust 1 lit. a CRR (dotyczących wymogów dotyczących metody IRB oraz kwantyfikacji ryzyka); 4) w związku z wymogami określonymi przez Komisję Nadzoru Finansowego w Rekomendacji T dotyczącej dobrych praktyk w zakresie zarządzania ryzykiem detalicznych ekspozycji kredytowych; 5) oceny ryzyka kredytowego, w tym oceny globalnego ryzyka kredytowego, m.in. na podstawie art. 105a ust. 1 -1 c i 105a ust. 4 Prawa bankowego w zw. powołanymi powyżej przepisami CRR, a także w związku z wymogami określonymi przez Komisję Nadzoru Finansowego w Rekomendacji T – w powyższych celach bank będzie przetwarzał dane osobowe wnioskodawcy pozyskane w ramach opisanych wyżej wniosków kredytowych, w tym dotyczące zapytań kredytowych zrealizowanych przez bank w BIK w związku z procesowaniem tych wniosków kredytowych, przez okres 2 lat od daty ww. wniosków; 6) koniecznością uwzględnienia możliwości dochodzenia przez wnioskodawcę od banku ewentualnych roszczeń związanych z przedmiotem niniejszego postępowania, tj. na podstawie art. 6 ust. 1 lit. f RODO w zw. z art. 118 ustawy z 23 kwietnia 1964 r. Kodeks cywilny (Dz. U. z 2024 r. poz. 1061), zw. dalej "k.c.", w zw. z art. 82 RODO oraz związanej z tym konieczności umożliwienia bankowi obrony przed ewentualnymi roszczeniami - przez okres 6 lat od daty prawomocnego zakończenia niniejszego postępowania prowadzonego przez Prezesa UODO; 7) koniecznością zapewnienia Prezesowi UODO dostępu do informacji niezbędnych do przeprowadzenia postępowania w niniejszej sprawie, w związku z art. 58 ust. 1 lit. e RODO; 8) zabezpieczenia udziału banku w ewentualnych postępowaniach sądowoadministracyjnych prowadzonych w następstwie decyzji wydanej przez organ w przedmiotowym postępowaniu, na podstawie art. 7 ust. 2 u.o.d.o. w związku z art. 3 § 2 pkt 1 ustawy z 30 sierpnia 2002 r. Prawo o postępowaniu przed sądami administracyjnymi (Dz. U. z 2024 r. poz. 935), zw. dalej "p.p.s.a.", w związku z art. 13 § 2 w zw. z art. 53 § 1 w zw. z art. 54 § 1 p.p.s.a. - do prawomocnego zakończenia postępowania prowadzonego przed organem w niniejszej sprawcie.
Bank wskazał, że dane osobowe wnioskodawcy wynikające z zapytań kredytowych z [...] maja 2023 r., [...] czerwca 2023 r. i [...] września 2023 r. zostały przekazane do BIK w tym samym dniu w celu oceny zdolności kredytowej wnioskodawcy w banku. Wśród danych osobowych ww. przekazanych w ramach przedmiotowego zapytania do BIK były następujące kategorie danych osobowych: dane identyfikacyjne (numer PESEL, imię, nazwisko, dane dotyczące dokumentu tożsamości (rodzaj, seria i numer), data urodzenia, obywatelstwo, płeć, dane adresowe (kod kraju zamieszkania, kod pocztowy, miejscowość, ulica, numer domu i numer lokalu) oraz dane socjodemograficzne (m.in. powód złożenia zapytania, liczba wnioskodawców, waluta wniosku, relacja wnioskodawcy do wniosku typ transakcji, kwota kredytu, numer NIP zakładu pracy). Podstawą prawną złożenia przez bank powyższych zapytań do BIK był: art. 5 ust. 1 pkt 3 w zw. z art. 70 ust. 1 w zw. z art. 105 ust. 4 w zw. z art. 105 ust. 1 pkt 1 c Prawa bankowego oraz art. 9 ust. 2 i 4 ustawy z 12 maja 2011 r. o kredycie konsumenckim (Dz. U. z 2024 r. poz. 1497), zw. dalej "ustawą o kredycie konsumenckim" oraz łącząca bank i BIK umowa.
Bank wyjaśnił, że decyzje kredytowe dotyczące ww. wniosków kredytowych zostały wydane przez bank w tej samej dacie. Podał, że w zakresie wniosku kredytowego z [...] maja 2023 r. wnioskodawca został poinformowany o negatywnej decyzji kredytowej w formie wiadomości e-mail wysłanej przez bank [...] maja 2023 r. W zakresie wniosku kredytowego z [...] czerwca 2023 r. bank przekazał wnioskodawcy informację o negatywnej decyzji kredytowej w formie wiadomości e-mail oraz wiadomości SMS wysłanych przez bank [...] czerwca 2023 r. Natomiast w zakresie wniosku kredytowego z [...] września 2023 r. bank przekazał wnioskodawcy informację o negatywnej decyzji kredytowej w formie ustnej, w trakcie rozmowy telefonicznej wnioskodawcy z pracownikiem banku przeprowadzonej w dniu [...] września 2023 r.
Bank podał również, że informacja o decyzji kredytowej banku nie jest przekazywana przez bank do BIK. Wskazał, że prowadził z wnioskodawcą korespondencję w sprawie żądania usunięcia z BIK zapytań kredytowych zrealizowanych przez bank w BIK w ramach procesowania ww. wniosków kredytowych. Zgłoszenia w powyższym zakresie wnioskodawca kierował do banku w trakcie rozmów telefonicznych, komunikacji e-mail oraz korespondencji pisemnej, w odpowiedzi na co bank kierował do wnioskodawcy pisemne odpowiedzi. W związku ze zgłoszeniem telefonicznym ww. z [...] listopada 2023 r. bank skierował do wnioskodawcy pisemną odpowiedź z 24 listopada 2023 r. W związku z dodatkowym zgłoszeniem telefonicznym wnioskodawcy z [...] lutego 2024 r. bank skierował do ww. pisemną odpowiedź z 26 lutego 2024 r. W związku ze zgłoszeniem wnioskodawcy z [...] lutego 2024 r. w formie wiadomości e-mail, bank skierował do niego pisemną odpowiedź z 27 lutego 2024 r. Dodatkowo, w odpowiedzi na pismo wnioskodawcy z 23 lutego 2024 r., bank udzielił odpowiedzi w formie pisma 12 marca 2024 r.
Ustosunkowując się do złożonej przez wnioskodawcę do organu skargi BIK podał, że pozyskał od banku dane osobowe wnioskodawcy w zakresie ww. zapytań kredytowych z [...] maja 2023 r., [...] czerwca 2023 r. i [...] września 2023 r. w zakresie: imię, nazwisko, PESEL, seria i numer dowodu osobistego, data urodzenia, obywatelstwo, płeć, dane z wniosku kredytowego dotyczącego wnioskowanego zobowiązania i adres zamieszkania. BIK wskazał, że ww. dane dotyczące opisanych wyżej zapytań kredytowych zostały przekazane do BIK przez bank na podstawie art. 105 ust. 4 i art. 105a ust. 1 Prawa bankowego oraz na podstawie łączącej bank i BIK umowy z [...] lipca 2016 r. w sprawie gromadzenia, przetwarzania i udostępniania informacji w bazie SI BIK "Kredytobiorcy".
BIK wskazał, że przetwarza dane osobowe wnioskodawcy w celu oceny zdolności kredytowej i analizy ryzyka kredytowego - przez okres 12 miesięcy od dnia złożenia zapytania w celu oceny zdolności kredytowej i analizy ryzyka kredytowego konkretnego klienta (indywidualna ocena zdolności kredytowej) oraz w związku ze złożonymi zapytaniami kredytowymi w celu budowy modeli scoringowych (tj. narzędzi wykorzystywanych przez banki do oceny zdolności kredytowej i analizy ryzyka kredytowego) przez okres nie krócej niż 5 lat i nie dłużej niż 10 lat od dnia złożenia zapytania. Podstawą przetwarzania danych przez BIK w celu oceny zdolności kredytowej i analizy ryzyka kredytowego jest art. 6 ust. 1 lit. c RODO w zw. z art. 105 ust. 4 oraz art. 105a ust. 1, 1a i 1b Prawa bankowego. W przypadku oceny zdolności kredytowej podstawą prawną przetwarzania danych jest również art. 70 ust. 1 Prawa bankowego. Dodatkową przesłanką legalizującą przetwarzanie danych pochodzących z zapytań w celu budowy modeli scoringowych jest art. 6 ust. 1 lit. f RODO, ponieważ przetwarzanie danych w tym celu stanowi prawnie uzasadniony interes banków i BIK. BIK wskazał, że procesem silnie powiązanym z oceną zdolności kredytowej jest analiza ryzyka kredytowego, która przeprowadzana jest zgodnie z wytycznymi Rekomendacji T KNF. Podał nadto, że ogólne zasady tworzenia modeli służących celom oceny zdolności kredytowej i analizy ryzyka kredytowego określa m. in. CRR oraz rekomendacje KNF. BIK powołał się także na obowiązki wynikające z art. 171 ust 2 CRR, art. 144 ust. 1 lit. d CRR, art. 145 ust. 1 CRR oraz art. 147 ust. 5 lit. b. CRR.
Podał, że przetwarza dane osobowe wnioskodawcy także: 1) w celach statystycznych oraz stosowania metod wewnętrznych oraz innych metod i modeli przez okres nie dłuższy niż 10 lat; 2) w celach przeciwdziałania przestępstwom oraz wykonywania obowiązków w zakresie określonym w przepisach o przeciwdziałaniu praniu pieniędzy oraz finansowaniu terroryzmu na podstawie art. 106d p.b. oraz przepisów AML przez okres 12 miesięcy; 3) w celu rozpatrywania ewentualnych reklamacji lub roszczeń odszkodowawczych klientów, których termin przedawnienia zgodnie z art. 118 k.c. wynosi 6 lat. Podstawę prawną stanowi w tym przypadku art. 6 ust. 1 lit. f RODO tj. uzasadniony prawnie interes administratora danych. Dodatkową przesłanką jest konieczność wypełnienia ustawowego obowiązku wynikającego z art. 15 RODO w przypadku wystąpienia przez osobę, której dane dotyczą z wnioskiem o udzielenie informacji; 4) w celu realizacji wniosków klientów banków dotyczących wyjaśnień dokonanej oceny zdolności kredytowej na podstawie art. 70a p.b. Dodatkową podstawą jest art. 6 ust. 1 lit. f RODO w zw. z rekomendacjami oraz zaleceniami KNF.
BIK wskazał, że nie otrzymał od banku informacji, że opisane wyżej zapytania kredytowe nie zakończyły się zawarciem umów kredytowych. BIK wskazał, że w dniu [...] grudnia 2023 r. wnioskodawca zwrócił się do BIK o usunięcie jego danych osobowych wynikających z ww. zapytań kredytowych. BIK udzielił odpowiedzi w dniu 5 stycznia 2024 r. odmawiając usunięcia danych. Wnioskodawca zwrócił się ponownie do BIK pismem z 26 lutego 2024 r., na które BIK odpowiedział w dniu 12 marca 2024 r.
Odnosząc powyższe ustalenia stanu faktycznego sprawy do obwiązujących w tym zakresie przepisów (art. 5 ust. 1 lit. b i c, art. 6 ust. 1, w tym art. 6 ust. 1 lit. f RODO; art. 105 ust. 4, art. 105a ust. 1, 4 i 5, art. 70 ust. 1, art. 70a ust. 1 i 2, art. 106d ust. 1 i 2 Prawa bankowego; art. 33 ust. 1, 2 i 4, art. 34 ust. 3, art. 35 ust. 2, art. 49 ust. 2 ustawy AML; oraz art. 144 ust. 1 lit. d, art. 145 ust. 1, art. 147 ust. 5 lit. b, art. 171 ust. 2 CRR, art. 23 ust. 1 pkt 2 i pkt 5 u.o.d.o.) organ stwierdził, że wnioskodawca trzykrotnie (w dniach [...] maja 20213 r., [...] czerwca 2023 r. oraz [...] września 2023 r.) wystąpił do banku z wnioskami o udzielenie kredytu. Wobec powyższego bank oraz BIK, na podstawie art. 105a ust. 1 w zw. z art. 70 ust. 1 Prawa bankowego, były uprawnione do przetwarzania jego danych osobowych w celu oceny zdolności kredytowej. Do zawarcia umowy kredytu pomiędzy wnioskodawcą i bankiem jednak nie doszło, w związku z czym odpadła przesłanka legalizująca dalsze przetwarzanie danych osobowych ww. przez bank oraz BIK. Przesłanki zawarte w art. 105a Prawa bankowego dotyczą bowiem przetwarzania informacji objętych tajemnicą bankową w okresie przed powstaniem zobowiązania, w trakcie jego trwania oraz po wygaśnięciu zobowiązania. Pomiędzy bankiem a wnioskodawcą nie zawiązał się żaden stosunek zobowiązaniowy, który stosownie do art. 105a ust. 1-6 Prawa bankowego dawałby podstawę do dalszego przetwarzania danych osobowych wnioskodawcy. Ponadto celem przetwarzania danych osobowych ww. była ocena zdolności kredytowej i analiza ryzyka kredytowego. W związku z dokonaniem przez bank oceny zdolności kredytowej i analizy ryzyka kredytowego wnioskodawcy cel przetwarzania danych osobowych wnioskodawcy został zrealizowany i brak jest podstaw prawnych do kontunuowania tego procesu.
W ocenie organu za podstawę przetwarzania danych osobowych wnioskodawcy, nie może być również uznana wskazana przez bank i BIK Rekomendacja T KNF dotycząca dobrych praktyk w zakresie zarządzania ryzykiem detalicznych ekspozycji kredytowych w związku z badaniem zdolności kredytowej, korzystania z zewnętrznych baz danych, posiadania narzędzi analitycznych wspierających pomiar poziomu ryzyka związanego z detalicznymi ekspozycjami kredytowymi. Bank był uprawniony do przetwarzania danych osobowych wnioskodawcy w celu oceny zdolności kredytowej. Skoro jednak pomiędzy wnioskodawcą i bankiem nie doszło do zawarcia umowy, odpadła przesłanka legalizująca dalsze przetwarzanie danych osobowych ww. przez bank. Ponadto celem przetwarzania danych osobowych wnioskodawcy była ocena zdolności kredytowej i analiza ryzyka kredytowego. W związku z dokonaniem przez bank oceny zdolności kredytowej i analizy ryzyka kredytowego ww. cel przetwarzania danych osobowych wnioskodawcy został zrealizowany, zatem brak jest podstaw prawnych do kontynuowania tego procesu.
Legalnej podstawy przetwarzania danych osobowych wnioskodawcy nie mogą również stanowić powołane przez bank i BIK cele statystyczne i analizy, w tym cel stosowania metod wewnętrznych oraz innych metod i modeli. Powołane przez bank i BIK przepisy CRR nie stanowią podstawy prawnej do dalszego przetwarzania danych osobowych wnioskodawcy, w sytuacji, gdy w wyniku podjętych czynności sprawdzających nie doszło do zawarcia umowy kredytowej. Powołane przepisy powyższego rozporządzenia CRR zawierają jedynie ogólne zasady tworzenia modeli służących ocenie ryzyka kredytowego. Organ nie kwestionuje zasadności tworzenia ww. modeli, ocenił jednak, że muszą być one tworzone w taki sposób, aby nie naruszało to prawa do ochrony danych osobowych osób, których dane dotyczą.
Instytucja kredytowa jest obowiązana do zbierania informacji przydatnych do skutecznego zarządzania ryzykiem. Nie oznacza to jednak, że gromadzenie danych w systemach ratingowych może odbywać się z naruszeniem przepisów w zakresie ochrony danych osobowych.
Ocenił, że zebrany w niniejszym postępowaniu materiał dowodowy nie wykazał, aby BIK mógł przetwarzać dane osobowe wnioskodawcy dotyczące zapytań kredytowych (z [...] maja 2023 r., [...] czerwca 2023 r. i [...] września 2023 r.) na podstawie art. 106d Prawa bankowego w celach przeciwdziałania przestępstwom oraz wykonywania obowiązków w zakresie określonym w przepisach ustawy AML, bowiem w toku prowadzonego postępowania nie wykazał, aby zaszła którakolwiek z przesłanek określonych w ww. przepisach. W szczególności nie wykazał, aby zaszły uzasadnione podejrzenia, o których mowa w art. 106d ust. 1 pkt 1-2 Prawa bankowego oraz nie wskazał także nałożonego na niego obowiązku określonego w przepisach ustawy AML, o którym mowa w art. 106d ust. 1 pkt 3 Prawa bankowego.
Odnosząc się do powołanego zarówno przez bank, jak i BIK, celu ustalenia, dochodzenia lub obrony roszczeń Prezes UODO podał, że zebrany w niniejszym postępowaniu materiał dowodowy nie wykazał, aby wnioskodawca wystąpił z jakimkolwiek roszczeniem wobec banku czy BIK, które uzasadniałoby uprawnienie tych podmiotów do zachowania i przetwarzania jego danych osobowych dla celów dowodowych w związku z dochodzeniem przez wnioskodawcę tego roszczenia. Bank i BIK nie wskazały także na istnienie roszczeń, których dochodzą od wnioskodawcy.
Podkreślił też, że przesłanka z art. 6 ust. 1 lit. f RODO dotyczy sytuacji już istniejącej, w której celem wynikającym z prawnie uzasadnionych interesów realizowanych przez administratora jest konieczność udowodnienia, potrzeba dochodzenia lub obrony przed roszczeniem istniejącym, nie zaś sytuacji, gdy dane są przetwarzane w celu zabezpieczenia się przed ewentualnym roszczeniem. Przyjęcie za prawidłowe stanowiska, iż przetwarzanie danych osobowych w celu uchylenia się od negatywnych skutków w przypadku zgłoszenia w przyszłości ewentualnego i nieokreślonego roszczenia, stanowi prawnie usprawiedliwiony cel w rozumieniu art. 6 ust. 1 lit. f RODO oznaczałoby, że dane osobowe wnioskodawcy mogą być przetwarzane przez bank i BIK permanentnie, bez konieczności ich usunięcia.
Zdaniem organu brak jest podstaw do przyjęcia, iż terminy dotyczące przedawnienia roszczeń wynikających ze stosunków zobowiązaniowych określają jednocześnie ramy czasowe, w których dane osobowe mogą być przetwarzane przez bank i BIK. Przedawnienie roszczenia nie wywołuje skutków na gruncie ochrony danych osobowych, nie wpływa bowiem na fakt istnienia roszczenia, a powoduje jedynie zmianę w sferze zarzutów procesowych w postaci możliwości podniesienia okoliczności przedawnienia w sporze sądowym. Okolicznością usprawiedliwiającą przetwarzanie danych osobowych w celu dochodzenia roszczeń jest sam fakt istnienia roszczenia oraz zamiar jego dochodzenia, nie jest nią natomiast zmiana w uprawnieniach procesowych podmiotu pozwanego. Brak jest także podstaw do przyjęcia, że bank jest uprawniony do przetwarzania danych osobowych w związku z koniecznością ewentualnego wypełnienia obowiązku wynikającego z art. 70a ust. 1 i ust. 2 Prawa bankowego. Jak wskazuje się na tą okoliczność w doktrynie, jeśli bank - w wyniku dokonanej oceny zdolności kredytowej (przeprowadzonej zgodnie z przyjętymi rekomendacjami KNF), nie udzieli kredytu, zatem nie dojdzie do zawarcia umowy kredytu, stan taki nie rodzi po stronie ubiegającego się o kredyt żadnych roszczeń na drodze cywilnoprawnej. Ubiegającemu się o kredyt przysługuje tylko możliwość wnioskowania o przedstawienie na piśmie przyczyn odmowy (B. Bajor [w:] L. Kociucki, J. M. Kondek, K. Królikowska, B. Bajor, Prawo bankowe. Komentarz do przepisów cywilnoprawnych, Warszawa 2020, art. 70(a)). Art. 70a Prawa bankowego nie przewiduje żadnego terminu na złożenie wniosku o udzielenie informacji dotyczących odmowy udzielenia kredytu. Powyższe nie oznacza jednak, że można jego dane osobowe przetwarzać bezterminowo, gdyż byłoby to sprzeczne z zasadą ograniczenia przechowywania, określoną w art. 5 ust. 1 lit. e RODO.
Ponadto powstanie obowiązku, o którym mowa w art. 70a ust. 1 Prawa bankowego uzależnione jest od złożenia stosownego wniosku przez osobę ubiegającą się o kredyt. Z dokumentów sprawy wynika, że wnioskodawca trzykrotnie ([...] maja 2023 r., [...] czerwca 2023 r. i [...] września 2023 r.) składał zapytania kredytowe do banku, które ostatecznie nie zakończyły się zawarciem umowy z bankiem. Ponadto wnioskodawca wielokrotnie (w rozmowach telefonicznych, wiadomościach elektronicznych i sms, korespondencji pisemnej) zwracał się do banku o usunięcie jego danych osobowych przetwarzanych w BIK, w zakresie dotyczącym ww., zapytań kredytowych. Na powyższe wnioski wnioskodawcy bank każdorazowo udzielał negatywnych odpowiedzi. Następnie wnioskodawca zainicjował postępowania przed organem nadzoru, domagając się ochrony danych osobowych. Uwzględnienie jego żądania usunięcia przedmiotowych danych skutkować będzie brakiem możliwości udzielenia informacji wskazanych w art. 70a ust. 1 i 2 Prawa bankowego, z czym wnioskodawca żądając usunięcia danych, musi się liczyć. Zdaniem Prezesa UODO powyższe oznacza, że wnioskodawca nie był i nie jest zainteresowany realizacją prawa do złożenia wniosku, o którym mowa w powyższym przepisie, a tym samym nie można uznać, by stanowił on podstawę przetwarzania danych osobowych wnioskodawcy. Organ nie zaakceptował stanowiska BIK, że jest on uprawniony do przetwarzania danych osobowych w związku z koniecznością ewentualnego wypełnienia obowiązku wynikającego z art. 70a Prawa bankowego. Ww. przepis nie nakłada bowiem jakichkolwiek obowiązków prawnych na BIK, dotyczy wyłącznie banków i innych instytucji ustawowo upoważnionych do udzielania kredytów. Nie może więc stanowić podstawy do przetwarzania danych osobowych wnioskodawcy wynikających z przedmiotowych zapytań przez BIK.
Prezes UODO stwierdził również, że brak jest uzasadnienia dla przyjęcia, że BIK jest uprawniony do przetwarzania danych osobowych pozyskanych w związku
z zapytaniami złożonymi przez bank w dniach [...] maja 2023 r., [...] czerwca 2023 r.
i [...] września 2023 r., w związku z koniecznością ewentualnego wypełnienia obowiązku wynikającego z art. 15 RODO. Usunięcie przez administratora danych osobowych nie uniemożliwia mu wykonania obowiązku uregulowanego w ww. przepisie, gwarantującego osobie, której dane dotyczą, prawa do uzyskania od administratora informacji, czy jej dane są przetwarzane, a w przypadku pozytywnej odpowiedzi na tak postawione pytanie - uprawnienie do dostępu do danych na swój temat oraz uzyskania informacji o okolicznościach przetwarzania danych. Jeśli bowiem, administrator nie przetwarza danych dotyczących osoby, która zwraca się z żądaniem udzielenia informacji, to działanie administratora ogranicza się do odpowiedzi przeczącej i nie ma on obowiązku podawać podmiotowi danych innych informacji.
Organ stwierdził, że w niniejszej sprawie brak jest celu uzasadniającego przetwarzanie danych osobowych wnioskodawcy zawartych w zapytaniach kredytowych (które nie zakończyły się zawarciem umowy) przez bank jak i BIK (z których każdy jest odrębnym administratorem). Uznał także - w odniesieniu do kwestionowanego przez wnioskodawcę przetwarzania jego danych osobowych przez bank i BIK, że w sprawie nie zaistniała żadna z wyrażonych w art. 6 ust. 1 RODO przesłanka legalizująca. W tej sytuacji, korzystając z uprawnienia przewidzianego w art. 58 ust. 2 lit. c RODO, organ nakazał bankowi i BIK, usunięcie danych osobowych wnioskodawcy przetwarzanych w związku ze złożonymi przez niego zapytaniami kredytowymi (z [...] maja 2023 r., [...] czerwca 2023 r. i [...] września 2023 r.).
Skargę na punkt pierwszy decyzji Prezesa UODOW złożył bank, wnosząc o uchylenie jej w zaskarżonej części oraz zasądzenie zwrotu kosztów postępowania. Bank zarzucił naruszenie przepisów postępowania oraz prawa materialnego, mające istotny wpływ na wynik sprawy, tj.:
1. art. 7 w zw. z art. 77 oraz art. 80 k.p.a., polegające na niepodjęciu wszystkich czynności niezbędnych do dokładnego wyjaśnienia oraz załatwienia sprawy, na niewyczerpującym zebraniu i rozpatrzeniu materiału dowodowego, a także na braku wszechstronnej i merytorycznej oceny zgromadzonego materiału dowodowego, co skutkowało wydaniem przez organ niezasadnego nakazu usunięcia danych osobowych wnioskodawcy przez bank w zakresie wynikającym z zapytań kredytowych z [...] maja 2023 r., [...] czerwca 2023 r. oraz [...] września 2023 r.; w szczególności Prezes UODO: nie ustalił, że po upływie 12 miesięcy od skierowania przez skarżącego do BIK ww. zapytań kredytowych (dotyczących wniosków o udzielnie kredytu, złożonego przez wnioskodawcę w tym samym dniu) zapytania te zostały przekazane do tzw. części statystycznej BIK. Tym samym, w dniu wydania zaskarżonej decyzji - zgodnie z wiedzą banku - informacja o ww. zapytaniach kredytowych nie była już dostępna dla innych banków lub innych właściwych podmiotów czy instytucji w BIK oraz nie wpływała na ocenę zdolności kredytowej wnioskodawcy; nie ustalił wszystkich celów przetwarzania danych osobowych wnioskodawcy, jak również nie uwzględnił wszystkich okoliczności przetwarzania tych danych, w konsekwencji błędnie nie uwzględnił wszystkich podstaw prawnych dalszego przetwarzania danych wnioskodawcy w sytuacji, gdy nie została zawarta umowa o kredyt; bezzasadnie pominął, że o ile analiza zdolności kredytowej dotyczy rozpoznania oraz oceny ryzyka związanego z przyznaniem kredytu konkretnej osobie w konkretnej wysokości, o tyle analiza ryzyka kredytowego wiąże się z koniecznością oszacowania ryzyka dla całego banku, związanego z danym portfelem zobowiązań. W celu ustalenia obiektywnych zasad akceptacji, bank przeprowadza analizę ryzyka kredytowego na podstawie wiedzy zgromadzonej na temat wszystkich osób, które wnioskowały o kredyt. Wyraźne rozróżnienie "zdolności kredytowej" oraz "ryzyka kredytowego" jest tym bardziej istotne w niniejszej sprawie, bowiem organ powołał się w zaskarżonej decyzji przede wszystkim na wyrok z dnia 27 sierpnia 2019 r., sygn. akt I OSK 2567/172, podczas gdy w orzeczeniu tym Naczelny Sąd Administracyjny nie oceniał potrzeby wykorzystania danych pod kątem niezbędności do analizy ryzyka kredytowego, a ponadto orzekał na podstawie nieobowiązujących już przepisów ustawy o ochronie danych osobowych i nie analizował przepisów RODO; bezzasadnie pominął, że bazy danych tworzone przez podmioty, które prowadzą działalność bankową, mają rozbudowaną strukturę, w tym zawierają szereg funkcji wyszukiwania oraz udostępniania raportów. Zróżnicowane mogą być również uprawnienia dostępu do zasobów informacji dla poszczególnych grup pracowników (z perspektywy wykonywanych przez nich zadań). Dopiero w takim szerokim kontekście należy rozważyć reguły przetwarzania danych osobowych. W ocenie banku jest on uprawniony do przetwarzania danych wnioskodawcy, a Prezes UODO powinien wyjaśnić co najwyżej, w jakim terminie i dla jakich celów takie przetwarzanie jest uprawnione oraz którzy pracownicy banku powinni mieć dostęp do tych danych (w zakresie niezbędnym do wykonywania przez nich zadań); bezzasadnie założył, że skoro wnioskodawca nie był dotychczas zainteresowany realizacją swojego prawa do domagania się od skarżącego wyjaśnień dotyczących oceny zdolności kredytowej, a jednocześnie zażądał usunięcia swoich danych osobowych związanych z zapytaniem kredytowym, to musi się liczyć z tym, że uwzględnienie żądania wnioskodawcy usunięcia przedmiotowych danych skutkować będzie brakiem możliwości udzielenia informacji wskazanych w art. 70a ust. 1 i 2 Prawa bankowego. Tymczasem z materiału dowodowego nie wynika, aby wnioskodawca istotnie "liczył się" lub był świadomy takich skutków usunięcia swoich danych osobowych. Wobec tego sam fakt, że wnioskodawca nie zażądał do tej pory od banku wyjaśnień dotyczących oceny zdolności kredytowej, nie musiał przecież oznaczać, że nie zdecyduje się na skierowanie takiego wniosku w przyszłości;
2. art. 7 oraz art. 7b w zw. z art. 8 i art. 77 k.p.a. polegające na zaniechaniu zwrócenia się przez Prezesa DODO do KNF, jako organu właściwego w sprawach związanych m.in. z badaniem zdolności kredytowej i analizą ryzyka kredytowego oraz budową modeli scoringowych w zakresie wykorzystywania do realizacji tych zadań danych, w tym danych osobowych o niezrealizowanych zapytaniach kredytowych, tymczasem zwrócenie się przez organ do KNF pozwoliłoby na dokładne wyjaśnienie stanu faktycznego i prawnego sprawy, mając na względzie interes społeczny oraz słuszny interes obywateli w postaci ustalenia należytych zasad, celów oraz zakresu przetwarzania danych o niezrealizowanych zapytaniach kredytowych w taki sposób, aby - zgodnie z zasadą proporcjonalności - procesy przetwarzania danych czyniły zadość zarówno przepisom o ochronie danych osobowych, jak i przepisom szeroko pojętego prawa bankowego oraz zapewnieniu stabilności rynku gospodarczo-finansowego;
3. art. 6 ust. 1 lit. c RODO w zw. z art. 105 ust. 4 oraz art. 105a ust. 1-6 Prawa bankowego poprzez niewłaściwe zastosowanie, a w konsekwencji nieuzasadnione przyjęcie, że skoro nie doszło do zawarcia umowy kredytu, to bank nie legitymuje się przesłanką przetwarzania danych osobowych wnioskodawcy wynikającą z art. 6 ust. 1 lit. c RODO w zw. z art. 105 ust. 4 oraz art. 105a ust. 1 - 6 Prawa bankowego, podczas gdy z przepisów tych wynika obowiązek przetwarzania danych (również danych z zapytań kredytowych) przez banki oraz inne instytucje wymienione w art. 105 ust. 4 Prawa bankowego, na zasadzie wzajemności i w zakresie, w jakim informacje te są potrzebne bankom do wykonywania czynności bankowych, w tym oceny zdolności kredytowej i analizy ryzyka kredytowego. Celem art. 105 ust. 4 Prawa bankowego jest zatem nie tylko poinformowanie banku, który rozpatruje wniosek kredytowy, ale i przetwarzanie takiego zapytania przez określony czas i tym samym umożliwienie innemu bankowi (w związku z wnioskiem tej samej osoby złożonym w innym banku) otrzymanie informacji, czy wnioskodawca ubiegał się już o kredyt i z jakim skutkiem - co ma znaczenie dla oceny zdolności i wiarygodności kredytowej dla innego banku. Zdaniem skarżącego przyjęcie jako właściwego stanowiska prezentowanego przez Prezesa UODO może natomiast ostatecznie doprowadzić do zakwestionowania wymiany jakichkolwiek informacji między bankami i BIK. Ponadto, wbrew ocenie przedstawionej przez Organ, również obowiązki wynikające z art. 105a ust. 1 - 6 Prawa bankowego nie przestają istnieć w sytuacji, gdy umowa kredytu nie zostaje zawarta - bank w dalszym ciągu jest bowiem objęty obowiązkiem przetwarzania danych w celu analizy ryzyka kredytowego;
4. art. 6 ust. 1 lit. c RODO w zw. z art. 105 ust. 1, art. 105 ust. 4 pkt 1, art. 5 ust. 1 pkt. 3 oraz art. 70 ust. 1 Prawa bankowego w zw. z art. 9 ust. 2, 3 i 4 ustawy o kredycie konsumenckim poprzez jego niewłaściwe zastosowanie oraz nieuzasadnione przyjęcie, że skarżący nie legitymuje się przesłanką przetwarzania danych wynikającą z art. 6 ust. 1 lit. c RODO w zw. z art. 105 ust. 1, art. 105 ust. 4 pkt 1, art. 5 ust. 1 pkt 3 oraz art. 70 ust. 1 p.b. w zw. z art. 9 ust. 2, 3 i 4 ustawy o kredycie konsumenckim, podczas gdy cel przetwarzania danych polega na dostarczaniu bankowi przez BIK informacji (w tym ocen i modeli scoringowych) niezbędnych do wykonywania czynności bankowych (art. 5 ust. 1 pkt 3 Prawa bankowego), w tym udzielania kredytów, przy czym ocena zdolności kredytowej jest obowiązkiem banków (art. 70 Prawa bankowego w zw. z art. 9 ust. 2, 3 i 4 ustawy o kredycie konsumenckim). Ponadto brak danych wynikających z decyzji kredytowych wpłynąłby negatywnie na funkcjonujące i przyszłe modele scoringowe;
5. art. 6 ust. 1 lit. c RODO w zw. z art. 144 ust. 1 lit. d, art. 145 ust. 1, art. 170 ust. 3 lit. a, art. 171 ust. 2, art. 179 ust. 1 lit. a oraz art. 181 ust. 2 CRR poprzez niewłaściwe zastosowanie oraz nieuzasadnione przyjęcie, że skarżący nie legitymuje się przesłanką przetwarzania danych wynikającą z art. 6 ust. 1 lit. c RODO w zw. z przepisami CRR, podczas gdy przepisy te wskazują na określone obowiązki banków w zakresie wymogów ostrożnościowych, a ponadto nakładają na skarżącego obowiązek tworzenia zaawansowanych modeli statystycznych z wykorzystaniem wszystkich istotnych i aktualnych informacji, natomiast bank obowiązany jest do zachowania spójności modelu. Usunięcie danych osobowych wnioskodawcy w trakcie trzyletniego okresu ich przetwarzania na podstawie przepisów CRR prowadziłoby zaś do naruszenia tego obowiązku;
6. art. 6 ust. 1 lit. c RODO w zw. z art. 106d ust. 3 Prawa bankowego, art. 33 ust. 1, art. 33 ust. 2, art. 33 ust. 4, art. 34 ust. 3, art. 34 ust. 3, art. 35 ust. 2, art. 46 oraz art. 49 ust. 1 i 2 ustawy AML poprzez niewłaściwe zastosowanie oraz nieuzasadnione przyjęcie, że bank nie legitymuje się podstawą przetwarzania danych wynikającą z art. 6 ust. 1 lit. c RODO w zw. z art. 106d ust. 3 Prawa bankowego, art. 33 ust. 1, art. 33 ust. 2, art. 33 ust. 4, art. 34 ust. 3. art. 34 ust. 3, art. 35 ust. 2, art. 46 oraz art. 49 ust. 1 i 2 ustawy AML, podczas gdy przywołane przepisy nakładają na skarżącego obowiązek przetwarzania informacji, w tym danych osobowych, w celu zapewnienia bezpieczeństwa obrotu gospodarczego, poprzez przeprowadzenie szczegółowego badania na temat klientów, w tym przyszłych klientów, jak i badania powiązań kapitałowo-osobowych;
7. art. 6 ust. 1 lit. c RODO w zw. z art. 70a ust. 1 i 2 Prawa bankowego poprzez niewłaściwe zastosowanie, a w konsekwencji nieuzasadnione przyjęcie, że art. 6 ust. 1 lit. c RODO w zw. z art. 70a ust. 1 i 2 Prawa bankowego nie stanowi podstawy przetwarzania danych wnioskodawcy, skoro dotychczas nie był on zainteresowany realizacją prawa do domagania się od skarżącego wyjaśnień dotyczących dokonanej przez bank oceny zdolności kredytowej i musi liczyć się z tym, że po usunięciu jego danych realizacja tego prawa nie będzie możliwa, tymczasem argumentacja przedstawiona w tym zakresie jest oparta na błędnym i nieuprawnionym założeniu, że usunięcie danych na żądanie wnioskodawcy zwalnia bank z obowiązku udzielenia wyjaśnień dotyczących oceny zdolności kredytowej. Taki wniosek nie wynika jednak z art. 70a ust. 1 i 2 Prawa bankowego. Natomiast jak zauważył sam organ, wykonanie tego obowiązku i udzielenie wnioskodawcy informacji podanych w art. 70a ust. 1 i 2 Prawa bankowego nie będzie możliwe, jeżeli dane osobowe wnioskodawcy zostaną usunięte;
8. art. 6 ust. 1 lit. f RODO w zw. z 117 § 2 i 21, art. 118 i art. 119 k.c. poprzez niewłaściwe zastosowanie, a w konsekwencji nieuzasadnione przyjęcie, że przechowywanie danych przez okres przedawnienia roszczeń nie stanowi prawnie uzasadnionego interesu banku w rozumieniu art. 6 ust. 1 lit. f RODO, skoro w momencie wydawania decyzji ani bank, ani wnioskodawca nie zgłosili jeszcze roszczeń, tymczasem przepisy art. 6 ust. 1 lit. f RODO w zw. z art. 117 § 2 i 21, art. 118 i art. 119 k.c. uprawniają bank do przetwarzania danych osobowych w celu rozpatrywania oraz dochodzenia ewentualnych reklamacji lub roszczeń – również w sytuacji, gdy ani administrator danych osobowych (bank), ani osoba, której dane dotyczą (wnioskodawca), nie zgłosiła jeszcze reklamacji lub roszczenia;
9. art. 6 ust. 1 lit. f RODO w zw. z następującymi rekomendacjami wydanymi przez KNF: Rekomendacją T z lutego 2013 r., dotyczącą dobrych praktyk w zakresie zarządzania ryzykiem detalicznych ekspozycji kredytowych (załącznik do uchwały KNF nr 59/2013 z dnia 26 lutego 2013 r. (Dz. Urz. KNF z 2013 r., poz. 11); Rekomendacją W z lipca 2015 r., dotyczącą zarządzania ryzykiem modeli w bankach (załącznik do uchwały KNF nr 332/2015 z dnia 21 lipca 2015 r. (Dz. Urz. KNF z 2015 r., poz. 49); Rekomendacją S z grudnia 2019 r., dotyczącą dobrych praktyk w zakresie zarządzania ekspozycjami kredytowymi zabezpieczonymi hipotecznie (załącznik do uchwały KNF nr 492/2019 z dnia 3 grudnia 2019 r. (Dz. Urz. KNF z 2019 r.. poz. 39), poprzez niewłaściwe zastosowanie oraz niezasadne przyjęcie, że bank nie legitymuje się przesłanką przetwarzania wynikającą z art. 6 ust. 1 lit. f RODO w zw. z ww. rekomendacjami KNF, podczas gdy ww. rekomendacje KNF nakładają na banki oraz BIK (jako instytucję powołaną na mocy art. 105 ust. 4 Prawa bankowego) określone wymagania nie tylko w związku z oceną danego, konkretnego wniosku kredytowego, ale także w odniesieniu do budowy metod i modeli statystycznych (w tym scoringowych); te wymagania podlegają następnie wyegzekwowaniu przez KNF na podstawie bezwzględnie obowiązujących przepisów prawa.
W odpowiedzi na skargę organ, podtrzymując dotychczasową argumentację, wniósł o oddalenie skargi.
Wojewódzki Sąd Administracyjny w Warszawie, zważył co następuje:
Sąd administracyjny wykonuje wymiar sprawiedliwości, poddając kontroli decyzje wydawane przez organy administracji publicznej pod względem ich zgodności z prawem, badając czy właściwie zastosowano przepisy prawa materialnego i przestrzegano przepisów proceduralnych w postępowaniu administracyjnym. Sąd jest władny wzruszyć zaskarżoną decyzję jedynie w przypadku stwierdzenia naruszenia prawa. Art. 145 ustawy Prawo o postępowaniu przed sądami administracyjnymi (dalej jako P.p.s.a.) określa w jakich sytuacjach decyzje lub postanowienia podlegają uchyleniu.
Skarga Banku oceniana według powyższych kryteriów nie zasługuje na uwzględnienie. Zaskarżona w punkcie pierwszym decyzja Prezesa UODO z dnia [...] października 2024 r. nie narusza prawa. Organ wydał zaskarżoną decyzję, po dokonaniu ustaleń stanu faktycznego, należycie ją uzasadniając.
Stan faktyczny tej sprawy jest w istocie bezsporny. Bank w ramach wniosków kredytowych z dnia [...] maja 2023 r., [...] czerwca 2023 r., [...] września 2023 r. w tych samych dniach złożył zapytania kredytowe do BIK, jednak zapytania te nie zakończyły się zawarciem umów kredytowych. Bank wskazał, ze w związku z tymi wnioskami pozyskał i przetwarza dane wnioskodawcy w zakresie: dane identyfikacyjne (imiona, nazwisko, nazwisko rodowe matki, numer PESEL, data urodzenia, rodzaj, seria, numer, data wydania i data ważności dokumentu tożsamości), dane kontaktowe (adres zameldowania, adres zamieszkania (korespondencyjny), numer telefonu, adres e-mail, dane dot. sytuacji rodzinnej i finansowej (status rezydencji podatkowej, stan cywilny, wykształcenie, informacje o rodzaju i wysokości dochodów, stanowisko, okresie zatrudnienia oraz danych identyfikacyjnych i kontaktowych zakładu pracy) oraz dane finansowe związane z wnioskowanym kredytem, w tym kwota i rodzaj produktu kredytowego. Niesporny jest też ustalony cel pozyskania danych wymienionego, tj. ocena zdolności kredytowej i ryzyka kredytowego. W sprawie jest także bezsporne, że BIK pozyskał dane osobowe wnioskodawcy w zakresie zapytań kredytowych kolejno w dniu [...] maja 2023 r., [...] czerwca 2023 r. oraz [...] września 2023 r. na podstawie art. 105 ust. 4, art. 105a ust. 1 Prawa Bankowego oraz umowy zawartej między BIK i Bankiem.
Dokonując oceny zgodności z prawem zaskarżonej decyzji należy wskazać, że zgodnie z motywem 40 RODO, aby przetwarzanie danych było zgodne z prawem, powinno się odbywać na podstawie zgody osoby, której dane dotyczą, lub na innej uzasadnionej podstawie przewidzianej prawem: albo w niniejszym rozporządzeniu, albo w innym akcie prawnym Unii lub w prawie państwa członkowskiego, o których mowa w niniejszym rozporządzeniu, w tym musi się ono odbywać z poszanowaniem obowiązku prawnego, któremu podlega administrator, lub z poszanowaniem umowy, której stroną jest osoba, której dane dotyczą, lub w celu podjęcia działań na żądanie osoby, której dane dotyczą, przed zawarciem umowy.
Powyższe znalazło wyraz w art. 6 ust. 1 RODO określającym przesłanki legalności przetwarzania danych osobowych. Zgodnie z tym przepisem, przetwarzanie jest zgodne z prawem wyłącznie w przypadkach, gdy - i w takim zakresie, w jakim - spełniony jest co najmniej jeden z poniższych warunków: a) osoba, której dane dotyczą wyraziła zgodę na przetwarzanie swoich danych osobowych w jednym lub większej liczbie określonych celów; b) przetwarzanie jest niezbędne do wykonania umowy, której stroną jest osoba, której dane dotyczą, lub do podjęcia działań na żądanie osoby, której dane dotyczą, przed zawarciem umowy; c) przetwarzanie jest niezbędne do wypełnienia obowiązku prawnego ciążącego na administratorze; d) przetwarzanie jest niezbędne do ochrony żywotnych interesów osoby, której dane dotyczą, lub innej osoby fizycznej; e) przetwarzanie jest niezbędne do wykonania zadania realizowanego w interesie publicznym lub w ramach sprawowania władzy publicznej powierzonej administratorowi; f) przetwarzanie jest niezbędne do celów wynikających z prawnie uzasadnionych interesów realizowanych przez administratora lub przez stronę trzecią, z wyjątkiem sytuacji, w których nadrzędny charakter wobec tych interesów mają interesy lub podstawowe prawa i wolności osoby, której dane dotyczą, wymagające ochrony danych osobowych, w szczególności gdy osoba, której dane dotyczą, jest dzieckiem. Akapit pierwszy lit. f) nie ma zastosowania do przetwarzania, którego dokonują organy publiczne w ramach realizacji swoich zadań.
Zgodnie z art. 105a ust. 1 Prawa bankowego, przetwarzanie przez banki, inne instytucje ustawowo upoważnione do udzielania kredytów, instytucje pożyczkowe oraz podmioty, o których mowa w art. 59d ustawy z dnia 12 maja 2011 r. o kredycie konsumenckim, a także instytucje utworzone na podstawie art. 105 ust. 4, informacji stanowiących tajemnicę bankową i informacji udostępnionych przez instytucje pożyczkowe oraz podmioty, o których mowa w art. 59d ustawy z dnia 12 maja 2011 r. o kredycie konsumenckim, w zakresie dotyczącym osób fizycznych może być wykonywane, z zastrzeżeniem art. 104, art. 105 i art. 106-106d, w celu oceny zdolności kredytowej i analizy ryzyka kredytowego. Zgodnie zaś z art. 105a ust. 4 Prawa bankowego, banki oraz instytucje, o których mowa w art. 105 ust. 4, mogą przetwarzać stanowiące tajemnicę bankową informacje dotyczące osoby fizycznej po wygaśnięciu zobowiązania wynikającego z umowy zawartej z bankiem lub inną instytucją ustawowo upoważnioną do udzielania kredytów bez zgody osoby, której informacje dotyczą, do celów stosowania metod wewnętrznych oraz innych metod i modeli, o których mowa w części trzeciej rozporządzenia CRR. Jednocześnie zgodnie z art. 105a ust. 5 Prawa bankowego, przetwarzanie informacji stanowiących tajemnicę bankową w przypadkach, o których mowa w ust. 3, może być wykonywane przez okres nie dłuższy niż 5 lat od dnia wygaśnięcia zobowiązania, a w przypadku, o którym mowa w ust. 4, przez okres 12 lat od dnia wygaśnięcia zobowiązania. Zgodnie z art. 70 ust. 1 Prawa bankowego, bank uzależnia przyznanie kredytu od zdolności kredytowej kredytobiorcy. Przez zdolność kredytową rozumie się zdolność do spłaty zaciągniętego kredytu wraz z odsetkami w terminach określonych w umowie. Kredytobiorca jest obowiązany przedłożyć na żądanie banku dokumenty i informacje niezbędne do dokonania oceny tej zdolności.
Nie ma w świetle powyższych przepisów wątpliwości i nie było kwestionowane przez organ w zaskarżonej decyzji, że Bank na podstawie art. 105a ust. 1 Prawa bankowego w zw. z art. 70 ust. 1 tej ustawy, był uprawniony do przetwarzania danych osobowych wnioskodawcy w celu oceny zdolności kredytowej i analizy ryzyka kredytowego. Pogląd ten podziela Sąd rozpoznający niniejszą sprawę. W związku z zapytaniami kredytowymi z [...] maja 2023 r., [...] czerwca 2023 r. oraz [...] września 2023 r. nie doszło jednak do zawarcia umów kredytowych (co nie jest sporne w sprawie), a zatem nie może być wątpliwości, że ocena zdolności kredytowej i analiza ryzyka kredytowego zostały dokonane (zrealizowane). Cel przetwarzania danych, dla którego zostały one zgromadzone w zapytaniach kredytowych, został tym samym osiągnięty.
Zgodnie z art. 105a ust. 2 Prawa bankowego, z zastrzeżeniem ust. 3, instytucje, o których mowa w ust. 1, mogą przetwarzać informacje stanowiące tajemnicę bankową oraz informacje udostępnione przez instytucje pożyczkowe oraz podmioty, o których mowa w art. 59d ustawy z dnia 12 maja 2011 r. o kredycie konsumenckim, w zakresie dotyczącym osób fizycznych po wygaśnięciu zobowiązania wynikającego z umowy zawartej z bankiem, inną instytucją ustawowo upoważnioną do udzielania kredytów, instytucją pożyczkową lub podmiotem, o którym mowa w art. 59d ustawy z dnia 12 maja 2011 r. o kredycie konsumenckim, pod warunkiem uzyskania pisemnej zgody osoby, której informacje te dotyczą, z zastrzeżeniem ust. 2a. Zgoda ta może być w każdym czasie odwołana. Ust. 3 stanowi, że banki, instytucje oraz podmioty, o których mowa w ust. 1, mogą przetwarzać informacje stanowiące tajemnicę bankową i informacje udostępnione przez instytucje pożyczkowe oraz podmioty, o których mowa w art. 59d ustawy z dnia 12 maja 2011 r. o kredycie konsumenckim, dotyczące osób fizycznych po wygaśnięciu zobowiązania wynikającego z umowy zawartej z bankiem, inną instytucją ustawowo upoważnioną do udzielania kredytów, instytucją pożyczkową lub podmiotem, o którym mowa w art. 59d ustawy z dnia 12 maja 2011 r. o kredycie konsumenckim, bez zgody osoby, której informacje dotyczą, gdy osoba ta nie wykonała zobowiązania lub dopuściła się zwłoki powyżej 60 dni w spełnieniu świadczenia wynikającego z umowy zawartej z bankiem, inną instytucją ustawowo upoważnioną do udzielania kredytów, instytucją pożyczkową lub podmiotem, o którym mowa w art. 59d ustawy z dnia 12 maja 2011 r. o kredycie konsumenckim, a po zaistnieniu tych okoliczności upłynęło co najmniej 30 dni od poinformowania tej osoby przez bank, inną instytucję ustawowo upoważnioną do udzielania kredytów, instytucję pożyczkową albo podmiot, o którym mowa w art. 59d ustawy z dnia 12 maja 2011 r. o kredycie konsumenckim, o zamiarze przetwarzania dotyczących jej tych informacji, bez jej zgody. Kolejne przepisy wskazują, że banki oraz instytucje, o których mowa w art. 105 ust. 4, mogą przetwarzać stanowiące tajemnicę bankową informacje dotyczące osoby fizycznej po wygaśnięciu zobowiązania wynikającego z umowy zawartej z bankiem lub inną instytucją ustawowo upoważnioną do udzielania kredytów bez zgody osoby, której informacje dotyczą, do celów stosowania metod wewnętrznych oraz innych metod i modeli, o których mowa w części trzeciej rozporządzenia CRR (ust. 4). Przetwarzanie informacji stanowiących tajemnicę bankową w przypadkach, o których mowa w ust. 3, może być wykonywane przez okres nie dłuższy niż 5 lat od dnia wygaśnięcia zobowiązania, a w przypadku, o którym mowa w ust. 4, przez okres 12 lat od dnia wygaśnięcia zobowiązania (ust. 5). Zakres przetwarzanych informacji, o których mowa w ust. 3 i 4, może obejmować dane dotyczące osoby fizycznej lub dane dotyczące zobowiązania (ust. 6).
W niniejszej sprawie nie doszło jednak do zawarcia umów kredytowych pomiędzy Bankiem, a wnioskodawcą. W związku z tym zgodzić się należało z organem, że odpadła przesłanka legalizująca dalsze przetwarzanie danych osobowych wnioskodawcy przez Bank, które to przetwarzanie miało na celu – co wymaga podkreślenia – ocenę zdolności kredytowej i analizę ryzyka kredytowego (przed zawarciem umowy). Pomiędzy Bankiem, a wnioskodawczynią nie nawiązał się żaden stosunek zobowiązaniowy, który stosownie do art. 105a ust. 1-6 Prawa bankowego dawałby podstawę do dalszego przetwarzania jego danych osobowych przez Bank. Ustał cel przetwarzania, dla którego pozyskano dane osobowe wnioskodawczyni i nie ma spełnionej przesłanki ich dalszego przetwarzania, co trafnie stwierdził w zaskarżonej decyzji organ.
Z przedstawionych wyżej przepisów wynika bowiem, że przesłanki zawarte w art. 105a Prawa bankowego dotyczą przetwarzania informacji objętych tajemnicą bankową w okresie przed powstaniem zobowiązania, w trakcie jego trwania oraz po wygaśnięciu zobowiązania. Natomiast w sytuacji, gdy w następstwie złożenia wniosku kredytowego nie dochodzi do zawarcia umowy kredytowej z bankiem, jak miało to miejsce w niniejszej sprawie, brak jest ustawowych przesłanek legalizujących dalsze przetwarzanie danych osobowych wnioskodawczyni zawartych w zapytaniach kredytowych.
Nie budzi wątpliwości, że ocena zdolności kredytowej i ryzyka kredytowego ma charakter czynności wstępnych przed zawarciem umowy przez Bank. Dalsze przetwarzanie danych, uzyskanych pierwotnie wyłącznie w celu oceny zdolności kredytowej i analizy ryzyka kredytowego, w przypadku braku zawarcia stosownej umowy, pozostaje w oderwaniu od celu, dla którego dane zostały zebrane. Na gruncie RODO niedopuszczalne jest – w takim stanie faktycznym, jak w niniejszej sprawie, gdy nie zawarto umów kredytowych – przetwarzanie danych osobowych wnioskodawczyni "na przyszłość" w zupełnie innych celach niż je zebrano, w tym na potrzeby oceny zdolności kredytowej innych osób, w sytuacji, gdy nie można zrekonstruować wyraźnej podstawy prawnej takich działań.
W sprawie niewątpliwie nie mamy do czynienia z sytuacją, w której nawiązano stosunek zobowiązaniowy i następnie dane przetwarzane są (w tym także udostępniane) przez administratora nie tylko w celu zasadniczym, tj. realizacji zawartej z klientem umowy, ale także w innych celach, które powstały w trakcie trwania stosunku zobowiązaniowego i które w ocenie administratora winny być, czy mogą być – w związku z trwającym stosunkiem prawnym - kwalifikowane jako jego "prawnie uzasadnione interesy" na gruncie RODO (art. 6 ust. 1 lit. f RODO).
Sprawa niniejsza dotyczy bowiem – co wymaga raz jeszcze podkreślenia – przetwarzania danych osoby fizycznej, z którą Bank nie zawarł żadnej umowy, ustał przy tym cel przetwarzania danych tej osoby fizycznej wynikający z art. 105a ust. 1 w zw. z art. 70 ust. 1 Prawa bankowego, a osoba ta wniosła o zaprzestanie przetwarzania jej danych i ich usunięcie. Podstawy do dalszego przetwarzania danych osobowych wnioskodawcy (na przyszłość i w innych wskazywanych obecnie przez Bank celach) nie stanowi w tej sprawie, w jej okolicznościach faktycznych dla Banku żadna z przesłanek z art. 6 ust. 1 lit. b-f RODO.
W ocenie Sądu, organ nie naruszył art. 6 ust. 1 lit. e) RODO, bowiem w sprawie tej nie mamy do czynienia z przetwarzaniem przez Bank jako spółki prawa handlowego danych osobowych (osoby z którą bank nie zawarł umowy) w ramach zadania realizowanego w interesie publicznym, o czym jest mowa w art. 6 ust. 1 lit. e) RODO. Przetwarzanie danych osobowych przez Bank jako spółki prawa handlowego nie ma miejsca na podstawie art. 6 ust. 1 lit. e) RODO, niezależnie od wyznaczanych sobie przez te podmioty celów. Także określenie jako przedmiotu działalności gospodarczej "przetwarzanie danych" wymaga dla tego przetwarzania legalnej podstawy. Konieczność zabezpieczenia ekonomiczno-gospodarczego sektora bankowego, zapewnienie stabilności gospodarczej sektora bankowego jako uzasadnienie interesu publicznego, o którym mowa w art. 6 ust. 1 lit. e) RODO, w odniesieniu do przetwarzania danych zawartych w zapytaniu kredytowym osoby, z którą Bank nie zawarł umowy nie jest trafne. Ustaleń Sądu w tym zakresie nie zmienia analiza treści znajdującej się w aktach administracyjnych umowy zawartej między BIK i [...] S.A. Umowa ta nie stanowi samoistnej podstawy legalności przetwarzania danych osobowych wnioskodawcy w celach wskazywanych przez Bank. Stosowanie RODO nie może zostać wyłączone poprzez zapis umowy.
Ustalenia organu w zakresie braku dopuszczalności przetwarzania danych wnioskodawcy zawartych w zapytaniach kredytowych wskazanych w decyzji są zatem prawidłowe. W świetle powyższego należy też wskazać, że sposób sformułowania nakazu w zaskarżonej decyzji nie stanowi o naruszeniu art. 107 § 1 pkt 5 k.p.a. Rozstrzygnięcie decyzji jest w ocenie Sądu na tyle jasne i precyzyjne, że nie wywołuje trudności w sferze wykonania. Nie ma przy tym wątpliwości, że nakaz usunięcia dotyczy danych osobowych wnioskodawcy zawartych w zapytaniach kredytowych z [...] maja 2023 r., [...] czerwca 2023 r., [...] września 2023 r. Bank zna treść zapytań kredytowych z [...] maja 2023 r., [...] czerwca 2023 r., [...] września 2023 r. i zawarte w nich dane osobowe wnioskodawcy. Nakazy usunięcia danych osobowych nie są więc nieprecyzyjne, a z całą pewnością nie można mówić o ich niewykonalności na gruncie tej sprawy i dokonanych ustaleń faktycznych.
Nietrafny, w świetle poczynionych wyżej ustaleń i rozważań, jest także zarzut Banku naruszenia art. 6 ust. 1 lit. c) RODO w zw. z art. 105 ust. 4 Prawa bankowego. Podkreślenia wymaga, że organ nie kwestionował, że udzielanie kredytów jest czynnością bankową. Należy jednak zwrócić uwagę, że art. 105 ust. 4 Prawa bankowego nie nakłada na Bank obowiązku korzystania z zewnętrznej bazy zawierającej informacje o wnioskach z sektora bankowego oraz sektora pożyczkowego. Przyznaje jedynie bankom uprawnienie do tworzenia instytucji upoważnionych do gromadzenia, przetwarzania i udostępniania bankom informacji stanowiących tajemnicę bankową we wskazanym zakresie.
W stanie faktycznym niniejszej sprawy nie znajduje też zastosowania przesłanka z art. 6 ust. 1 lit. c) RODO. Przepis ten dotyczy bowiem sytuacji, gdy przetwarzanie jest niezbędne do wypełnienia obowiązku prawnego administratora danych, a nie realizacji uprawnienia, o którym mowa w art. 105 ust. 4 Prawa bankowego. Ponadto przepis art. 105 ust. 4 Prawa bankowego nie stanowi o dopuszczalności przetwarzania danych osobowych dotyczących wniosków kredytowych w sytuacji, gdy nie doszło do zawarcia umowy z bankiem.
Przepisy art. 105a ust. 1a, 1b, 1c Prawa bankowego dotyczą określenia warunków dopuszczalności zautomatyzowanego przetwarzania, w tym profilowania danych osobowych w celu oceny zdolności kredytowej i analizy ryzyka kredytowego. Powyższe przepisy w żaden sposób nie dają podstawy do przetwarzania "na przyszłość" danych osoby, z którą umowy nie zawarto, a cel, dla którego dane zebrano ustał. Wbrew zarzutom skargi brzmienie art. 105a Prawa bankowego nie daje podstaw do dalszego przetwarzania danych wnioskodawczyni po zakończeniu oceny zdolności kredytowej i analizy ryzyka kredytowego, gdy umowy nie zawarto. Na podstawie powołanych przepisów Bank nie ma uprawnienia do dalszego przetwarzania tych danych, albowiem umowy nie zawarto i nie wykazano przesłanki legalizującej to działanie.
Sąd podziela pogląd Naczelnego Sądu Administracyjnego wyrażony w wyroku z dnia 27 sierpnia 2019 r. sygn. akt I OSK 2567/17, zgodnie z którym "Gdyby podzielić stanowisko skarżącego, że pozyskanie danych na etapie złożenia wniosku kredytowego uprawnia bank do ich nieograniczonego w czasie przechowywania po odmowie zawarcia umowy kredytowej, to regulacje zawarte w art. 105a ust. 2 i 3 i ust. 5 Prawa bankowego ograniczające w czasie przypadki przetwarzania danych klientów z umów kredytowych pozbawione byłyby sensu".
Pogląd ten – jak trafnie zauważył skarżący Bank – wyrażony został wprawdzie na gruncie poprzednio obowiązującej ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych i obowiązującej przed RODO Dyrektywy 95/46, jednakże w ocenie Sądu nie stracił na aktualności. Przepisy RODO wzmacniają jeszcze w porównaniu z Dyrektywą 95/46 ochronę danych osób fizycznych. Aktualności tego poglądu Naczelnego Sądu Administracyjnego nie zmienia także fakt, że Bank przyjął w swej praktyce określone terminy dalszego przetwarzania danych osobowych osoby, z którą nie zawarto umowy kredytowej.
Zgodnie z art. 5 ust. 1 RODO, dane osobowe muszą być: a) przetwarzane zgodnie z prawem, rzetelnie i w sposób przejrzysty dla osoby, której dane dotyczą ("zgodność z prawem, rzetelność i przejrzystość"); b) zbierane w konkretnych, wyraźnych i prawnie uzasadnionych celach i nieprzetwarzane dalej w sposób niezgodny z tymi celami; dalsze przetwarzanie do celów archiwalnych w interesie publicznym, do celów badań naukowych lub historycznych lub do celów statystycznych nie jest uznawane w myśl art. 89 ust. 1 za niezgodne z pierwotnymi celami ("ograniczenie celu"); c) adekwatne, stosowne oraz ograniczone do tego, co niezbędne do celów, w których są przetwarzane ("minimalizacja danych"); d) prawidłowe i w razie potrzeby uaktualniane; należy podjąć wszelkie rozsądne działania, aby dane osobowe, które są nieprawidłowe w świetle celów ich przetwarzania, zostały niezwłocznie usunięte lub sprostowane ("prawidłowość"); e) przechowywane w formie umożliwiającej identyfikację osoby, której dane dotyczą, przez okres nie dłuższy, niż jest to niezbędne do celów, w których dane te są przetwarzane; dane osobowe można przechowywać przez okres dłuższy, o ile będą one przetwarzane wyłącznie do celów archiwalnych w interesie publicznym, do celów badań naukowych lub historycznych lub do celów statystycznych na mocy art. 89 ust. 1, z zastrzeżeniem że wdrożone zostaną odpowiednie środki techniczne i organizacyjne wymagane na mocy niniejszego rozporządzenia w celu ochrony praw i wolności osób, których dane dotyczą ("ograniczenie przechowywania"); f) przetwarzane w sposób zapewniający odpowiednie bezpieczeństwo danych osobowych, w tym ochronę przed niedozwolonym lub niezgodnym z prawem przetwarzaniem oraz przypadkową utratą, zniszczeniem lub uszkodzeniem, za pomocą odpowiednich środków technicznych lub organizacyjnych ("integralność i poufność").
Przedstawione zasady przetwarzania danych nie pozwalają na arbitralne decydowanie przez administratora – w sytuacji braku do tego podstaw – o dalszym przetwarzaniu (a zatem ich m.in. ujawnianiu poprzez przesyłanie, udostępnianie, utrwalanie, organizowanie, adaptowanie, modyfikowanie) danych osobowych mimo ustania celu, dla którego dane w zapytaniu kredytowym były zebrane. Powyższe znajduje odniesienie do przetwarzania danych przez Bank jako administratora. Do podmiotu tego też mają zastosowanie zasady przetwarzania danych określone w art. 5 RODO. Przepis art. 5 ust. 2 RODO stanowi, że administrator jest odpowiedzialny za przestrzeganie ust. 1 i musi być w stanie wykazać ich przestrzeganie ("rozliczalność"). Nie sposób jednak ze względu na tę właśnie rozliczalność dostrzec podstawę ma on podstawę w art. 6 ust. 1 lit. f) RODO do przetwarzania danych wnioskodawcy. Skoro jednak Bank nie dysponuje przesłanką legalności przetwarzania danych zawartych w zapytaniach kredytowych wnioskodawcy po tym, gdy wniósł on o usunięcie tych danych, co zasadnie stwierdził organ, to nie można przyjąć, aby same zasady określone w RODO mogły wykreować przesłankę legalności przetwarzania danych.
Z kolei zaakceptowanie wykładni przepisów Prawa bankowego, ustawy AML, rozporządzenia CRR zaprezentowanej w skardze przez Bank, prowadziłaby do stwierdzenia, że na potrzeby oceny zdolności kredytowej i analizy ryzyka kredytowego Bank ma prawo nieograniczonego w czasie przetwarzania danych osoby, z którą Bank nie zawarł umowy o kredyt, zaś prawo to doznaje ograniczenia, gdy doszło do zawarcia takiej umowy. Wprawdzie Bank nie wskazywał, że przetwarzanie danych będzie nieograniczone w czasie, jednakże nie ma wątpliwości, że – wobec braku podstaw prawnych i ograniczeń czasowych przetwarzania danych wnioskodawcy w celach przyjętych przez ten podmiot (po dokonaniu oceny zdolności kredytowej i analizy ryzyka kredytowego) – można byłoby mówić o nieograniczonym w czasie przetwarzaniu tych danych. Narzucenie przez Bank samemu sobie ograniczeń czasowych dla poszczególnych, przyjętych przez ten podmiot nowych celów przetwarzania, potwierdza jedynie, że nie można mówić o takim samym poziomie ochrony danych osobowych na gruncie RODO, jak w przypadku osoby, z którą zawarto umowę.
Sąd podziela pogląd wyrażony przez Naczelny Sąd Administracyjny w powołanym wyżej wyroku z dnia 27 sierpnia 2019 r., zgodnie z którym takich wyników wykładni art. 105a ust. 1 Prawa bankowego nie sposób zaakceptować, bowiem prowadzą one do skutków, których nie zakładałby racjonalny ustawodawca, a więc do przyznania szerszego uprawnienia do przetwarzania danych osobowych podmiotów, z którymi banku nie łączy żaden stosunek prawny.
Przepis art. 105a ust. 1 Prawa bankowego, stanowi, że przetwarzanie przez banki, inne instytucje ustawowo upoważnione do udzielania kredytów oraz instytucje utworzone na podstawie art. 105 ust. 4, informacji stanowiących tajemnicę bankową w zakresie dotyczącym osób fizycznych może być wykonywane, z zastrzeżeniem art. 104, art. 105 i art. 106 - 106d ustawy, w celu oceny zdolności kredytowej i analizy ryzyka kredytowego. Zgodnie z art. 105 ust. 1 pkt 1c Prawa bankowego, bank ma obowiązek udzielenia informacji stanowiących tajemnicę bankową wyłącznie instytucjom, o których mowa w ust. 4, w zakresie niezbędnym do stosowania metod wewnętrznych oraz innych metod i modeli, o których mowa w przepisach części trzeciej rozporządzenia CRR.
Niezasadne są również zarzuty Banku dotyczące naruszenia art. 6 ust. 1 lit. c) RODO w zw. z art. 106d Prawa bankowego, jak i w związku z przepisami ustawy AML. Naruszenie to Bank uzasadnił w odniesieniu do art. 106d Prawa bankowego celem w postaci wykrycia nieścisłości oraz powzięcia informacji mogących stanowić o uzasadnionym podejrzeniu popełnienia przestępstw, o których mowa w art. 106d Prawa bankowego, zaś w odniesieniu do przepisów ustawy AML wskazał na wynikający z powołanych w skardze przepisów tej ustawy obowiązek przetwarzania danych osobowych w celu zapewnienia bezpieczeństwa obrotu gospodarczego poprzez przeprowadzenie szczegółowego badania na temat klientów, w tym przyszłych klientów, jak i badania powiązań kapitałowo-osobowych, w tym w zakresie danych dostarczanych przez skarżącego, w tym także wtedy, gdy ostatecznie między stronami nie została zawarta umowa.
Zgodnie z art. 106d ust. 1 Prawa bankowego, banki, inne instytucje ustawowo upoważnione do udzielania kredytów, izby rozliczeniowe utworzone na podstawie art. 67, instytucje utworzone na mocy art. 105 ust. 4, instytucje pożyczkowe, podmioty, których podstawowa działalność polega na udostępnianiu składników majątkowych na podstawie umowy leasingu, oraz podmioty, o których mowa w art. 59d ustawy z dnia 12 maja 2011 r. o kredycie konsumenckim, mogą przetwarzać i wzajemnie udostępniać informacje, w tym informacje objęte tajemnicą bankową, w przypadkach: 1) uzasadnionych podejrzeń, o których mowa w art. 106a ust. 3; 2) uzasadnionych podejrzeń popełnienia przestępstw dokonywanych na szkodę banków, innych instytucji ustawowo upoważnionych do udzielania kredytów, instytucji kredytowych, instytucji finansowych, instytucji pożyczkowych oraz podmiotów, o których mowa w art. 59d ustawy z dnia 12 maja 2011 r. o kredycie konsumenckim, i ich klientów, w celu i zakresie niezbędnym do zapobiegania tym przestępstwom; 3) wykonywania obowiązków w zakresie określonym w przepisach o przeciwdziałaniu praniu pieniędzy oraz finansowaniu terroryzmu. Art. 106a ust. 3 Prawa bankowego, do którego odwołano się w art. 106d ust. 1 pkt 1 stanowi natomiast, że w przypadku powzięcia uzasadnionego podejrzenia, że zgromadzone na rachunku bankowym środki, w całości lub w części pochodzą lub mają związek z przestępstwem skarbowym lub przestępstwem innym niż przestępstwo, o którym mowa w art. 165a lub art. 229 Kodeksu karnego, bank jest uprawniony do dokonania blokady środków na tym rachunku. Blokada może nastąpić wyłącznie do wysokości zgromadzonych na rachunku środków, co do których zachodzi takie podejrzenie.
Należy zauważyć, że art. 33 ust. 1 ustawy AML nakłada na instytucje obowiązane obowiązek m.in. stosowania wobec swoich klientów środków bezpieczeństwa finansowego, których zakres (katalog) znajduje się w art. 34 ustawy AML. Artykuł 34 ust. 1 ustawy AML odnosi się m.in. do bieżącego monitorowania stosunków gospodarczych klienta (w tym analizę transakcji przeprowadzanych w ramach stosunków gospodarczych, badanie źródła pochodzenia wartości majątkowych będących w dyspozycji klienta - w przypadkach uzasadnionych okolicznościami, zapewnienie, że posiadane dokumenty, dane lub informacje dotyczące stosunków gospodarczych są na bieżąco aktualizowane). Art. 35 wskazuje sytuacje, w których bank jest obowiązany stosować środki bezpieczeństwa finansowego. Art. 36 ustawy AML dotyczy kwestii identyfikacji klienta. Na podstawie art. 49 ust. 1 tej ustawy kopie dokumentów i informacje uzyskane w wyniku stosowania środków bezpieczeństwa finansowego a także dowody potwierdzające przeprowadzone transakcje i ewidencje transakcji, obejmujące oryginalne dokumenty lub kopie dokumentów konieczne do identyfikacji transakcji, przechowuje się przez okres 5 lat licząc od pierwszego dnia roku następującego po roku, w którym zakończono stosunki gospodarcze z klientem lub w którym przeprowadzono transakcje okazjonalne. W przypadku dokonania analizy przeprowadzonej transakcji i udokumentowania jej analizy zgodnie z art. 34 ust. 3 ustawy AML, instytucja pożyczkowa na mocy art. 49 ust. 2 ustawy AML jest obowiązana do przechowywania jej wyników przez okres 5 lat, licząc od pierwszego dnia roku następującego po roku ich przeprowadzenia.
Z wymienionych wyżej przepisów prawa niewątpliwie wynika uprawnienie do monitorowania stosunków gospodarczych klienta i stosowania odpowiednich środków bezpieczeństwa finansowego, co nie ma zupełnie odniesienia do niniejszej sprawy. Bank nie wskazał jakie działania (w sferze stosunków gospodarczych niedoszłego klienta, osoby, z którą nie zawarł umów kredytowych) chciałby monitorować.
Zdaniem Sądu, rozszerzanie przez Bank dopuszczalności przetwarzania danych (zawartych w zapytaniach kredytowych) osoby, z którą nie zawarto umów kredytowych, z powołaniem się na "zapewnienie bezpieczeństwa finansowego w przypadku nawiązywania stosunków gospodarczych", a zatem szeroko rozumiane, ogólne cele, nie znajduje podstawy na gruncie RODO i jest wprost sprzeczne z zasadą ograniczenia celu (art. 5 ust. 1 lit. b RODO), w sytuacji, gdy nie ma mowy o nawiązaniu stosunku zobowiązaniowego.
W ocenie Sądu, także z powołanych przez Bank w skardze przepisów art. 144 ust. 1 lit. d), art. 145 ust. 1, art. 170 ust. 3 lit. a), art. 171 ust. 2 i art. 179 ust 1 lit. a) oraz art. 181 ust. 2 rozporządzenia CRR nie wynika podstawa prawna do dalszego przetwarzania danych osobowych wnioskodawcy przez Bank. Zgodnie z art. 144 ust. 1 lit. d) rozporządzenia CRR, właściwy organ wydaje zezwolenie na mocy art. 143 na stosowanie przez instytucję metody IRB, w tym na stosowanie własnych oszacowań LGD i współczynników konwersji, wyłącznie wtedy, gdy właściwy organ stwierdzi, że wymogi przewidziane w niniejszym rozdziale są spełnione, w szczególności wymogi przewidziane w sekcji 6, oraz że posiadane przez instytucję systemy w zakresie zarządzania oraz oceny ekspozycji na ryzyko kredytowe są należyte i zostały spójnie wdrożone, w szczególności gdy instytucja wykazała w sposób zadowalający właściwym organom spełnienie następujących norm: (...) d) instytucja gromadzi i przechowuje wszystkie odpowiednie dane, aby zapewnić skuteczne wsparcie procesów pomiaru ryzyka kredytowego oraz zarządzania ryzykiem kredytowym. Stosownie do art. 145 ust. 1 tego rozporządzenia, jest wymagane, aby instytucja ubiegająca się o możliwość stosowania metody IRB korzystała, w odniesieniu do omawianych kategorii ekspozycji IRB, co najmniej przez trzy lata poprzedzające zakwalifikowanie się do stosowania metody IRB, z systemów ratingowych, które odpowiadały w znacznym stopniu wymogom określonym w sekcji 6 dotyczącym wewnętrznego pomiaru ryzyka i zarządzania ryzykiem. Z kolei art. 170 ust. 3 lit. a, stanowi, że struktura systemów ratingowych dla ekspozycji detalicznych spełnia następujące wymogi: a) systemy ratingowe odzwierciedlają zarówno ryzyko dłużnika, jak i ryzyko transakcji oraz uwzględniają wszystkie istotne właściwości ryzyka dłużnika i ryzyka transakcji. Zgodnie z art. 171 ust. 2 klasyfikując dłużników i instrumenty do klas lub pul, instytucja uwzględnia wszystkie istotne informacje. Informacje te są aktualne i umożliwiają instytucji prognozowanie zachowania ekspozycji w późniejszym okresie. Im mniej informacji ma do dyspozycji instytucja, tym ostrożniej klasyfikuje ekspozycje do poszczególnych klas lub pul dłużników i instrumentów. Jeżeli instytucja stosuje rating zewnętrzny jako główny czynnik decydujący o przyznaniu wewnętrznego ratingu, instytucja ta zapewnia uwzględnienie innych istotnych informacji oraz stosownie do art. 179 ust. 1 lit. a, przy przeprowadzaniu kwantyfikacji parametrów ryzyka związanego z poszczególnymi klasami lub pulami ratingowymi instytucje stosują następujące wymogi: a) oszacowania własne instytucji dotyczące parametrów ryzyka PD, LGD, współczynnika konwersji i EL uwzględniają wszelkie istotne dane, informacje i metody. Oszacowań dokonuje się na podstawie zarówno doświadczeń z przeszłości, jak i dowodów empirycznych, nie zaś wyłącznie w oparciu o osąd własny. Oszacowania te są wiarygodne i intuicyjne oraz opierają się na istotnych czynnikach odpowiednich parametrów ryzyka. Im mniej danych ma do dyspozycji instytucja, tym ostrożniejsze są jej oszacowania. W myśl zaś art. 181 ust. 2 rozporządzenia CRR, w odniesieniu do ekspozycji detalicznych instytucje mogą podjąć następujące działania: a) przeprowadzić oszacowania wartości LGD na podstawie zrealizowanych strat i odpowiednich oszacowań PD; b) uwzględniać kwoty do wykorzystania w przyszłości w swoich współczynnikach konwersji lub oszacowaniach LGD; c) w przypadku nabytych wierzytelności detalicznych stosować zewnętrzne i wewnętrzne dane źródłowe do oszacowań LGD. W przypadku ekspozycji detalicznych oszacowania LGD opierają się na danych z okresu co najmniej pięciu lat. Instytucja nie musi przypisywać równej wagi do danych historycznych, jeżeli późniejsze dane stanowią lepszy predyktor wskaźników straty. Przy wdrażaniu metody IRB instytucje mogą, pod warunkiem uzyskania zezwolenia właściwych organów, korzystać z odpowiednich danych obejmujących okres dwóch lat. Okres ten ulega co roku wydłużeniu o jeden rok do momentu, gdy istotne dane będą obejmować okres pięciu lat.
Powołane przepisy rozporządzenia CRR nie stanowią podstawy do przetwarzania danych osobowych zawartych w zapytaniach kredytowych osoby, z którą nie zawarto umów kredytowych.
Zdaniem Sądu, obowiązek zbierania informacji przydatnych w zarządzaniu ryzykiem nie może opierać się na naruszeniu przez Bank, na gruncie RODO praw osoby fizycznej, która przekazała Bankowi swoje dane osobowe wyłącznie w celu oceny zdolności kredytowej i analizy ryzyka kredytowego, która to czynność nie zakończyła się zawarciem umowy kredytowej. Przepisy powołanego rozporządzenia CRR nie stanowią podstawy do "dalszego" przetwarzania danych zawartych w zapytaniu kredytowym w sytuacji nienawiązania stosunku zobowiązaniowego. Konstruowanie skutecznych i poprawnie działających modeli, o których mowa w powołanym rozporządzeniu CRR może następować wyłącznie w oparciu o dane osobowe pozyskane i przetwarzane w sposób legalny.
Dodatkowo wskazania wymaga, że organ nie kwestionował stosowania rozporządzenia CRR – w ramach oceny zdolności kredytowej i analizy ryzyka kredytowego – a zatem w związku z wykonywaniem czynności bankowych co do zasady. Stwierdził jedynie, że nie wynika z nich podstawa prawna do przetwarzania danych osobowych zawartych w zapytaniach kredytowych wnioskodawcy, a zatem osoby, z którą umów kredytowych nie zawarto.
Nie można tracić z pola widzenia, że Prawo bankowe ściśle określa cele i zasady przetwarzania danych osobowych, w tym stanowi, w jakich przypadkach i dla jakich ściśle określonych celów jest dopuszczalne "dalsze" przetwarzanie danych bez zgody osoby fizycznej (po wygaśnięciu zobowiązania). W art. 105a ust. 4 Prawa bankowego ustawodawca wyraźnie wskazał na cele stosowania metod wewnętrznych oraz innych metod i modeli, o których mowa w części trzeciej rozporządzenia CRR. Prawo bankowe określa też, przez jaki czas mogą być przetwarzane dane stanowiące tajemnicę bankową po wygaśnięciu zobowiązania. Rozciąganie uprawnienia – w odniesieniu do Banku – do dalszego przetwarzania danych osobowych zawartych w zapytaniach kredytowych w przypadku, gdy nie powstało zobowiązanie nie może spotkać się w świetle przepisów RODO i Prawa bankowego z akceptacją Sądu. Także wszystkie pozostałe wymienione w skardze Banku przepisy prawa, o których była już wcześniej mowa, nie stanowią odrębnej podstawy do zalegalizowania "dalszego" przetwarzania danych wnioskodawcy, które zebrane zostały w ściśle określonym celu, czyli w celu oceny zdolności kredytowej i analizy ryzyka kredytowego.
Odnosząc się z kolei do zarzutów Banku dotyczących naruszenia art. 6 ust. 1 lit. c) RODO wskazać należy, że zgodnie z art. 70a ust. 1 Prawa bankowego, banki i inne instytucje ustawowo upoważnione do udzielania kredytów na wniosek osoby fizycznej, prawnej lub jednostki organizacyjnej niemającej osobowości prawnej, o ile posiada zdolność prawną, ubiegającej się o kredyt przekazują, w formie pisemnej, wyjaśnienie dotyczące dokonanej przez siebie oceny zdolności kredytowej wnioskującego. Zgodnie natomiast z art. 70 ust. 2, wyjaśnienie, o którym mowa w ust. 1, obejmuje informacje na temat czynników, w tym danych osobowych wnioskującego, które miały wpływ na dokonaną ocenę zdolności kredytowej.
W świetle powyższego należy wyjaśnić, że powstanie obowiązku, o którym mowa w art. 70a ust. 1 Prawa bankowego, uzależnione jest od złożenia stosownego wniosku przez osobę ubiegającą się o kredyt. Z akt sprawy i całokształtu okoliczności sprawy nie wynika, aby wnioskodawca występował do Banku o jakiekolwiek wyjaśnienie dotyczące dokonanej oceny zdolności kredytowej. Wynika zaś, że złożył żądanie usunięcia danych, a w związku z odmową w tym zakresie wystąpił ze skargą do Prezesa UODO. Nie może być więc mowy o tym, aby w sprawie znajdował zastosowanie art. 70a ust. 1 i 2 Prawa bankowego.
Odnosząc się zaś do zarzutów Banku dotyczących naruszenia art. 6 ust. 1 lit. f) RODO w zw. z Rekomendacjami S, W i T Komisji Nadzoru Finansowego wskazania wymaga, że powoływane Rekomendacje Komisji Nadzoru Finansowego nie są źródłem prawa powszechnie obowiązującego. Nie ma przy tym podstaw, aby w tym przypadku, w stanie faktycznym tej sprawy, wywodzić z Rekomendacji KNF – wobec osoby, z którą nie zawarto umowy kredytowej i która zażądała usunięcia danych – prawnie uzasadnione interesy Banku, o których jest mowa w art. 6 ust. 1 lit. f) RODO.
Należy podkreślić, że rekomendacje KNF, które zawierają konkretne wymagania regulacyjne wobec narzędzi używanych przez banki, nie powinny być interpretowane w sprzeczności z RODO w zakresie legalności przetwarzania danych (w zakresie zapytań kredytowych) osób, z którymi nie zawarto umów kredytowych, nie mogą być wykładane w sposób prowadzący do nieuprawnionego przetwarzania takich danych. Twierdzenie, że wypełnienie nakazu organu w postaci usunięcia danych osobowych K. G. przetwarzanych niezgodnie z prawem prowadziłoby do uniemożliwienia Bankowi realizacji Rekomendacji, nie daje podstaw do stwierdzenia o dopuszczalności "dalszego" przetwarzania na gruncie RODO danych zawartych w zapytaniu kredytowym osoby, z którą bank nie zawarł umowy, a jednocześnie nie uzyskał zgody tej osoby na dalsze przetwarzanie jej danych osobowych w celach innych niż te, w jakich je zgromadził. Także powoływana potrzeba realizacji działań z zakresu opracowania, utrzymania aktualności i funkcjonalności zbudowanych modeli scoringowych, nie stanowi w stanie faktycznym tej sprawy podstawy przetwarzania – w odniesieniu do danych osoby, z którą nie zawarto umowy kredytowej – w celu wynikającym z prawnie uzasadnionych interesów Banku.
Nietrafny jest przy tym zarzut naruszenia art. 7b K.p.a. poprzez niezwrócenie się przez Prezesa UODO do KNF jako organu właściwego w sprawach związanych m.in. z badaniem zdolności kredytowej i analizy ryzyka kredytowego, a także budową modeli scoringowych. Powyższe zwrócenie się do KNF było konieczne w celu kompleksowego wyjaśnienia stanu faktycznego sprawy oraz współdziałania w zakresie niezbędnym do dokładnego wyjaśnienia stanu prawnego, mając na względzie interes społeczny i słuszny interes obywateli, w postaci ustalenia m.in. należytych zasad, celów i zakresu przetwarzanych danych osobowych o niezrealizowanych zapytaniach kredytowych.
Zgodnie z powołanym przepisem, w toku postępowania organy administracji publicznej współdziałają ze sobą w zakresie niezbędnym do dokładnego wyjaśnienia stanu faktycznego i prawnego sprawy, mając na względzie interes społeczny i słuszny interes obywateli oraz sprawność postępowania, przy pomocy środków adekwatnych do charakteru, okoliczności i stopnia złożoności sprawy. W sprawie niniejszej Prezes UODO nie miał obowiązku zwracania się do KNF ani w zakresie dokonywanych ustaleń stanu faktycznego ani w zakresie wyjaśnień stanu prawnego.
Prezes UODO jest wyspecjalizowanym organem w sprawach ochrony danych osobowych, który ma status i kompetencje organu nadzorczego określone w przepisach RODO. Z tego względu Prezes UODO jest uprawniony do samodzielnego dokonywania interpretacji przepisów prawa w zakresie dotyczącym ochrony danych osobowych. Stanowisko to znajduje potwierdzenie w art. 51 oraz motywach 117, 122 oraz 123 RODO.
Zdaniem Sądu, organ dokonał w tej sprawie niezbędnych dla jej rozstrzygnięcia ustaleń faktycznych. W zakresie mającym znaczenie dla sprawy organ zebrał niezbędny materiał dowodowy, zwracał się do stron o udzielenie stosownych wyjaśnień, strony wyjaśnień tych udzieliły. Organ rozpatrzył wszechstronnie i należycie zgromadzony materiał dowodowy, a ocena tego materiału na gruncie przepisów RODO nie budzi zdaniem Sądu zastrzeżeń, jest prawidłowa. Odmienna ocena zarówno Banku w zakresie wykładni i zastosowania powołanych przez organ przepisów prawa nie stanowi o naruszeniu przepisów postępowania, w tym art. 7, 77 i 80 k.p.a.
Organ nie kwestionował w zaskarżonej decyzji uprawnień Banku do dokonywania ustaleń i ocen w zakresie zdolności kredytowej. Przedmiotem sprawy była ocena zgodności z prawem "dalszego" przetwarzania danych osobowych wnioskodawczyni zawartych w zapytaniach kredytowych z [...] maja 2023 r., [...] czerwca 2023 r. i [...] września 2023 r., bowiem to przetwarzanie danych było przez wnioskodawczynię kwestionowane. Uprawnienie do dokonania oceny w tym przedmiocie Prezes UODO bezspornie posiada na gruncie RODO, jako organ wyspecjalizowany. Gromadząc materiał dowodowy nie był przy tym obowiązany do dokonania analizy funkcjonowania sektora finansowego, bowiem aspekt uprawnienia Banku do oceny zdolności kredytowej i analizy ryzyka kredytowego nie budził żadnych wątpliwości u Prezesa UODO, co znalazło wyraz w uzasadnieniu zaskarżonej decyzji.
Sąd nie kwestionuje, że należy dążyć do tego, aby procesy przetwarzania danych osobowych czyniły zadość zarówno przepisom prawa o ochronie danych osobowych, jak i przepisom szeroko pojętego prawa bankowego, z uwzględnieniem zasady proporcjonalności, jednak w ocenie Sądu osiągnięcie tego celu w niniejszej sprawie – przy uwzględnieniu obowiązujących regulacji prawnych – nie jest możliwe w inny sposób, jak poprzez realizację nakazu usunięcia danych wnioskodawcy, w sytuacji, gdy Bank nie dysponował zgodą wymienionego na dalsze przetwarzanie jego danych osobowych.
Odnosząc się natomiast do zarzutu naruszenia art. 6 ust. 1 lit f) RODO w związku z przytoczonymi w skardze przepisami K.c. i w nawiązaniu do wskazywanej przez Bank potrzeby przechowywania danych (zawartych w zapytaniach kredytowych z [...] maja 2023 r., [...] czerwca 2023 r., [...] września 2023 r.) osoby, z którą nie zawarto umów kredytowych w celu ustalenia, dochodzenia i ochrony przed roszczeniami, ewentualnego zabezpieczenia roszczeń, na wypadek konieczności obrony lub dochodzenia ewentualnych roszczeń, które mogą się pojawić w określonym czasie po przeprowadzeniu stosownej analizy zdolności kredytowej oraz analizie ryzyka kredytowego wskazania wymaga, że art. 6 ust. 1 lit. f) RODO stanowi o uprawnieniu do przetwarzania, gdy jest ono niezbędne do celów wynikających z prawnie uzasadnionych interesów realizowanych przez administratora lub przez stronę trzecią, z wyjątkiem sytuacji, w których nadrzędny charakter wobec tych interesów mają interesy lub podstawowe prawa i wolności osoby, której dane dotyczą, wymagające ochrony danych osobowych, w szczególności gdy osoba, której dane dotyczą, jest dzieckiem. Za usprawiedliwiony cel w rozumieniu powołanego przepisu nie może zostać uznane przetwarzanie danych osobowych na wypadek ewentualnego dochodzenia lub obrony roszczeń. Z akt sprawy nie wynika, aby wnioskodawca miał jakiekolwiek roszczenie na drodze cywilnoprawnej do Banku lub BIK. Z tego względu nie jest dopuszczalne przyjęcie, że to art. 6 ust. 1 lit. f) RODO mógłby stanowić podstawę dla Banku do "dalszego" przetwarzania jego danych na wypadek ewentualnego dochodzenia roszczeń. Odnosząc się do argumentacji Banku wskazania wymaga, że Bank w toku postępowania administracyjnego nie wykazał, jakich ewentualnie roszczeń chciałby dochodzić od osoby, w zakresie zapytań kredytowych i z którą to osobą fizyczną nie zawarto umów. Bank nie wskazały, aby wnioskodawca kierował do nich jakiekolwiek roszczenia.
Ważąc interesy wnioskodawcy, który żąda respektowania jego praw do ochrony danych osobowych wynikających z RODO oraz interesy Banku brak jest podstaw do przyjęcia, że spełniona została przesłanka z art. 6 ust. 1 lit. f) RODO. Sąd rozpoznający niniejszą sprawę podziela w tym zakresie pogląd Naczelnego Sądu Administracyjnego, zgodnie z którym niedopuszczalne jest przetwarzanie danych osobowych niejako "na zapas" z założeniem, że mogą być one ewentualnie przydatne w przyszłości, na przykład z odwołaniem się do przepisów dotyczących przedawnienia roszczeń (por. wyrok NSA z dnia 27 marca 2018 r. sygn. akt I OSK 1459/16). Wywodzenie zatem także z kwestii przedawnienia roszczeń samodzielnej podstawy do przetwarzania danych – w sytuacji, gdy mowa o danych osoby, z którą Bank nie zawarł umowy kredytowej, nie jest uprawnione i nie stanowi przesłanki do ich dalszego przetwarzania.
Celem RODO, tak, jak poprzednio Dyrektywy 95/46/WE, jest ochrona prywatności, która powinna być rozpatrywana także w świetle art. 8 Konwencji o Ochronie Praw Człowieka i Podstawowych Wolności. W sprawie tej nie istnieje tego rodzaju powiązanie pomiędzy wnioskodawcą a Bankiem, które pozwalałoby "wyprowadzić" istnienie prawnie uzasadnionego interesu po stronie Banku w "dalszym" przetwarzaniu danych wnioskodawczyni. Z okoliczności sprawy nie wynika przy tym, aby osoba ta mogła spodziewać się w czasie, gdy pozyskiwano od niej dane w celu oceny zdolności kredytowej i ryzyka kredytowego, że będą one "dalej" przetwarzane pomimo nie zawarcia umów kredytowych. Samo powołanie się na zasadę rozliczalności (art. 5 ust. 2 RODO) nie legalizuje przetwarzania jakichkolwiek danych. Konieczne jest bowiem, aby w pierwszej kolejności przetwarzanie danych było zgodne z prawem.
W ocenie Sądu, niedopuszczalna jest taka interpretacja powołanych w skardze przepisów Prawa bankowego, ustawy AML, K.c., czy rozporządzenia CRR, która czyniłaby uprawnionym na gruncie RODO dalsze przetwarzanie danych osobowych zawartych w zapytaniach kredytowych osoby, z którą nie zawarto umów (a zatem w celach innych niż cele, w jakich je zebrano), w sytuacji, gdy Prawo bankowe wyraźnie reguluje dopuszczalność przetwarzania danych osobowych przed powstaniem zobowiązania, w trakcie jego trwania i po wygaśnięciu.
Przyjęcie interpretacji zaprezentowanej w skardze prowadziłoby do tego, że w odniesieniu do kategorii osób (których dane zawarte zostały w zapytaniach kredytowych), z którymi nie zawarto umów kredytowych istniałaby pełna dowolność tak w zasadach ich przetwarzania (bez zgody osoby, jak należy wnioskować ze stanowiska Banku), bez informacji przedstawianej przed pozyskaniem danych o innych celach przetwarzania (niż ocena zdolności kredytowej i ryzyka kredytowego) przez Bank, jak również dowolne ustalenia w odniesieniu do czasu ich przetwarzania (te kwestie byłyby bowiem (i są) i jak wynika z akt administracyjnych, tj. wyjaśnień Banku, ustalane samodzielnie przez te podmioty – z uwzględnieniem przyjmowanych przez nie celów służących co do zasady spełnieniu, jak wskazywano w postępowaniu, określonych wymagań organu nadzoru nad rynkiem finansowym.
Zaznaczyć przy tym należy, że przedmiotem niniejszej sprawy i w kompetencji Prezesa UODO nie jest ustalenie możliwego sposobu realizacji przez Bank obowiązków nakładanych na te podmioty przez instytucje nadzorcze w zakresie prowadzonej działalności. Nie ma przeszkód i jest wskazane, aby realizację tych obowiązków wykonywać z poszanowaniem RODO. Przedmiotem oceny organu ochrony danych osobowych była w tej sprawie wyłącznie kwestia oceny zgodności z prawem "dalszego" przetwarzania danych osobowych konkretnej osoby fizycznej w konkretnych okolicznościach faktycznych. Sąd nie znalazł podstaw do zakwestionowania tej oceny.
Mając powyższe na uwadze, Wojewódzki Sąd Administracyjny w Warszawie, na podstawie art. 151 P.p.s.a. orzekł jak w sentencji wyroku.