II SA/Wa 214/24

II SA/Wa 214/24 - Wyrok WSA w Warszawie
Data orzeczenia
2024-09-09
orzeczenie nieprawomocne
Data wpływu
2024-02-14
Sąd
Wojewódzki Sąd Administracyjny w Warszawie
Sędziowie
Andrzej Góraj
Arkadiusz Koziarski. /sprawozdawca/
Łukasz Krzycki /przewodniczący/
Symbol z opisem
647  Sprawy związane z ochroną danych osobowych
Hasła tematyczne
Ochrona danych osobowych
Skarżony organ
Generalny Inspektor Ochrony Danych Osobowych
Treść wyniku
Oddalono skargę
Powołane przepisy
Dz.U. 2023 poz 2488
art.105a ust.1, ust.4, ust. 5, art. 70 ust.1, art. 106a ust.3
Ustawa z dnia 29 sierpnia 1997 r. Prawo bankowe (t. j.)
Dz.U.UE.L 2016 nr 119 poz 1 art. 6 ust.1, art. 5 ust. 1,
Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z  przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE
Dz.U. 2022 poz 2000
art. 7b, 8, 77, 80
Ustawa z dnia 14 czerwca 1960 r. Kodeks postępowania administracyjnego - t.j.
Sentencja
Wojewódzki Sąd Administracyjny w Warszawie w składzie następującym: Przewodniczący Sędzia WSA Łukasz Krzycki, Sędzia WSA Andrzej Góraj, Asesor WSA Arkadiusz Koziarski (spr.), Protokolant starszy specjalista Elwira Sipak, po rozpoznaniu na rozprawie w dniu 9 września 2024 r. sprawy ze skargi Biura Informacji Kredytowej S.A. z siedzibą w [...] na punkt 2 decyzji Prezesa Urzędu Ochrony Danych Osobowych z dnia [...] grudnia 2023 r. nr [...] w przedmiocie przetwarzania danych osobowych oddala skargę
Uzasadnienie
Prezes Urzędu Ochrony Danych Osobowych, dalej "PUODO", decyzją z dnia [...] grudnia 2023 r. nr [...], wydaną na podstawie art. 104 § 1 ustawy z dnia 14 czerwca 1960 r. Kodeks postępowania administracyjnego (Dz.U. z 2023 poz. 775 ze zm.), dalej "k.p.a." w zw. z art. 7 ust. 1 i 2 ustawy z dnia 10 maja 2018 r.
o ochronie danych osobowych (Dz. U. z 2019 r. poz. 1781), art. 6 ust. 1 oraz art. 58 ust. 2 lit. c rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz. Urz. UE L 119 z 4.05.2016, str. 1, Dz. Urz. UE L 127 z 23.05.2018, str. 2 oraz Dz. Urz. UE L 74 z 4.03.2021, str. 35), dalej "RODO", po przeprowadzeniu postępowania administracyjnego w sprawie skargi G. B., dalej "skarżący bądź uczestnik postępowania" na nieprawidłowości w procesie przetwarzania jego danych osobowych przez [...] S.A. z siedzibą w [...], dalej "Bank" polegające na przetwarzaniu danych osobowych skarżącego w zakresie wynikającym z zapytań kredytowych z dnia [...] lipca 2020 r., [...] listopada 2020 r. oraz [...] stycznia 2021 r., które nie zakończyły się zawarciem umów kredytowych, w tym w [...] S.A. z siedzibą w [...], dalej "[...]" bez podstawy prawnej:
1. nakazał Bankowi usunięcie danych osobowych skarżącego, w zakresie wynikającym z zapytań kredytowych z dnia [...] lipca 2020 r., [...] listopada
2020 r. oraz [...] stycznia 2021 r., które nie zakończyły się zawarciem umów kredytowych;
2. nakazał [...] usunięcie danych osobowych skarżącego, w zakresie wynikającym z zapytań kredytowych z dnia [...] lipca 2020 r., [...] listopada 2020 r. oraz [...] stycznia 2021 r., które nie zakończyły się zawarciem umów kredytowych, przekazanych przez Bank.
W uzasadnieniu organ wyjaśnił, że do Urzędu wpłynęła skarga skarżącego, na nieprawidłowości w procesie przetwarzania jego danych osobowych Bank, polegające na przetwarzaniu jego danych osobowych w zakresie zapytań kredytowych z dnia [...] lipca 2020 r., [...] listopada 2020 r. oraz [...] stycznia 2021 r., które nie zakończyły się zawarciem umów kredytowych, bez podstawy prawnej, w tym w [...].
PUODO wskazał, że ustalił następujący stan faktyczny:
1) W skardze inicjującej niniejsze postępowanie skarżący wskazał, że Bank przetwarza bez podstawy prawnej, jego dane osobowe wynikające z zapytań kredytowych z dnia [...] lipca 2020 r., [...] listopada 2020 r. oraz [...] stycznia 2021 r., które nie zakończyły się udzieleniem kredytu. Ponadto skarżący wskazał, że Bank przekazał te dane do [...], który również przetwarza je bez podstawy prawnej. Skarżący trzema odrębnymi pismami z dnia [...] stycznia 2021 r. zwrócił-się do Banku z żądaniem usunięcia jego danych wynikających z ww. zapytań kredytowych z Banku oraz [...]. Bank odmówił spełnienia żądania skarżącego;
2) W złożonych wyjaśnieniach Bank wskazał, że pozyskał dane osobowe skarżącego w związku ze złożonymi przez skarżącego wnioskami kredytowym z dnia [...] lipca 2020 r., [...] listopada 2020 r., [...] stycznia 2021 r., które nie zakończyły się zawarciem umowy z Bankiem. W związku z ww. wnioskami kredytowymi Bank złożył
w tych samych datach do [...] zapytania kredytowe. Bank wskazał, że przetwarza dane osobowe skarżącego dot. ww. zapytań kredytowych w zakresie: danych identyfikacyjnych (imię, nazwisko, data urodzenia, numer PESEL, rodzaj, seria, numer, data ważności dokumentu tożsamości, imię ojca, imię matki, nazwisko panieńskie matki, obywatelstwo), danych kontaktowych (adres zameldowania, adres zamieszkania (korespondencyjny), numer telefonu, adres e-mail) oraz danych socjo-demograficznych (informacje o zatrudnieniu, w tym dane zakładu pracy, wykształcenie, dochody i wydatki, stan cywilny, liczba osób w gospodarstwie domowym, ustrój majątkowy małżonków);
3) Bank wskazał, że przekazał dane osobowe skarżącego dotyczące ww. zapytań kredytowych do [...] w związku z wnioskami kredytowymi złożonymi przez skarżącego z uwagi na konieczność podjęcia działań wymaganych przed zawarciem umowy kredytowej, w tym określenia ryzyka kredytowego i zdolności do spłaty zadłużenia oraz oszacowania możliwości zaoferowania skarżącemu produktów bankowych na określonych warunkach. Bank wskazał, że podstawą prawną przekazania przez Bank zapytania kredytowego do [...] są przepisy: art. 6 ust. 1 lit. b) RODO oraz art. 6 ust. 1 lit. c) RODO w związku z art. 105 ust. 1 pkt 1c oraz art. 105 ust. 4 ustawy z 29 sierpnia 1997r. Prawo bankowe (Dz.U. z 2023r., poz.2488, ze zm., zwana dalej "u.P.b.");
4) Bank wskazał, że przekazał do [...] dane osobowe skarżącego w zakresie: danych identyfikacyjnych (imię, nazwisko, numer PESEL, dane dotyczące dokumentu tożsamości, nazwisko rodowe, nazwisko panieńskie matki, imię ojca, imię matki, data urodzenia, miejsce urodzenia, obywatelstwo), danych adresowych i teleadresowych, danych socjo-demograficznych (informacje o zatrudnieniu lub prowadzonej działalności gospodarczej, wykształcenie, dochody i wydatki, stan cywilny, liczba osób w gospodarstwie domowym, ustrój majątkowy małżonków);
5) [...] przedłożył również umowę z dnia [...] lipca 2016 r. łączącą [...] i Bank na podstawie której nastąpiło przekazanie danych do [...]. (dowód: wyjaśnienia [...] z dnia [...] maja 2022 r. wraz z załącznikami);
6) Bank wskazał również, że ww. dane są przetwarzane na podstawie art. 6 ust. 1 lit. c) RODO w związku z art. 6 ust. 1 lit. f) RODO, tj. z uwagi na konieczność spełniania przez Bank wymogów:
a) art. 70 ust. 1 u.P.b., w związku z którym Bank uzależnia przyznanie kredytu od zdolności kredytowej kredytobiorcy, a kredytobiorca jest obowiązany przedłożyć na żądanie banku dokumenty i informacje niezbędne do dokonania oceny tej zdolności;
b) art. 70a i 105a u.P.b. w związku z koniecznością zagwarantowania możliwości uzyskania wyjaśnień dotyczących dokonanej przez Bank oceny zdolności kredytowej (art. 70a Prawa bankowego) lub w związku z koniecznością zapewnienia prawa do otrzymania stosownych wyjaśnień Banku co do podstaw decyzji podejmowanych w trybie art. 105a ust. 1 Prawa bankowego,
c) w zakresie stosowania modeli wewnętrznych oraz innych metod i modeli, o których mowa w części trzeciej rozporządzenia Parlamentu Europejskiego i Rady (UE) nr 575/2013 z 26 czerwca 2013 r. w sprawie wymogów ostrożnościowych dla instytucji kredytowych i firm inwestycyjnych, zmieniającego rozporządzenie (UE) nr 648/2012 (Dz. Urz. UE L 176 z 27.06.2013, str. 1, z późn. zm.), w zw. z art. 105 ust. 4 pkt 1) Prawa bankowego oraz art. 105a ust. 4 u.P.b., tj. m.in. wymogów kapitałowych określonych w części III ww. rozporządzenia - art. 147 ust. 5 w zw. z art. 147 ust. 2 lit. d) (dotyczących metod klasyfikowania ekspozycji do poszczególnych kategorii ekspozycji) lub art. 171 (dot. klasyfikacji do klas lub pul);
d) w związku z wymogami określonymi przez Komisję Nadzoru Finansowego w Rekomendacji T dotyczącej dobrych praktyk w zakresie zarządzania ryzykiem detalicznych ekspozycji kredytowych;
e) oceny ryzyka kredytowego, w tym oceny globalnego ryzyka kredytowego, m.in. na podstawie art. 105a ust. 1 -1 c i 105a ust 4 u.P.b. w zw. z powołanymi powyżej przepisami rozporządzenia Parlamentu Europejskiego i Rady (UE) nr 648/2012, a także w związku z wymogami określonymi przez Komisję Nadzoru Finansowego w Rekomendacji T, określonymi powyżej;
f) koniecznością uwzględnienia możliwości dochodzenia przez skarżącego od Banku ewentualnych roszczeń związanych z przedmiotem niniejszego postępowania, tj. na podstawie art. 6 ust. 1 lit. f) RODO w zw. z art. 118 ustawy z 23 kwietnia 1964 r. Kodeks cywilny (dalej jako "KC"), w zw. z art. 82 RODO oraz związanej z tym konieczności umożliwienia Bankowi obrony przed ewentualnymi roszczeniami (art. 6 ust. lit. f) RODO);
g) koniecznością zapewnienia Prezesowi Urzędu Ochrony Danych Osobowych dostępu do informacji niezbędnych do przeprowadzenia postępowania w niniejszej sprawie, w związku z art. 58 ust. 1 lit. e) RODO.
h) wynikających z przepisów ustawy z 1 marca 2018 r. o przeciwdziałaniu praniu pieniędzy oraz finansowaniu terroryzmu (dalej "ustawa AML"), takich jak m.in.:
- identyfikowanie i ocenianie ryzyka związanego z praniem pieniędzy i finansowaniem terroryzmu (art. 33 ust. 2 ustawy AML),
- stosowanie procedur pozwalających na poznanie klienta przed świadczeniem mu usług szczególnie poprzez wzięcie pod uwagę celu, regularności lub czasu trwania stosunków gospodarczych (art. 33 ust. 3 pkt 6) ustawy AML),
- identyfikacja klienta i beneficjenta rzeczywistego oraz weryfikacja tożsamości klienta i beneficjenta rzeczywistego przed nawiązaniem stosunków gospodarczych (art. 33 ust. 1 w związku z art. 34 ust. 1, w związku z art. 35. ust 1 pkt 1), w związku z art. 36, w związku z art. 39 ustawy AML),
- identyfikowanie powiązań z osobami na eksponowanych stanowiskach, tj. obowiązek identyfikacji wśród obecnych i potencjalnych klientów osób na eksponowanych stanowiskach politycznych, członków rodzin oraz osób z nimi blisko związanych (art. 46 ustawy AML),
7) Bank wskazał, że otrzymał od skarżącego żądania zawarte w trzech pismach z dnia [...] stycznia 2021 r. w zakresie zaprzestania przetwarzania jego danych osobowych w zakresie wynikającym z zapytań kredytowych z [...] lipca 2020 r., [...] listopada 2020 r., [...] stycznia 2021 r., w tym ich przetwarzania w [...].
8) W złożonych wyjaśnieniach [...] wskazał, że pozyskał dane osobowe Skarżącego w zakresie zapytań kredytowych z dnia z [...] lipca 2020 r., [...] listopada 2020 r., [...] stycznia 2021 r. na podstawie art. 105 ust. 4 oraz art. 105a ust. 1 u.P.b., a także na podstawie łączącej Bank i [...] umowy. [...] wskazał, że pozostał dane osobowe skarżącego w zakresie: danych identyfikujących skarżącego (imię, nazwisko, PESEL, serię i numer dowodu osobistego, data urodzenia, obywatelstwo, płeć), danych z wniosku kredytowego dotyczących wnioskowanego zobowiązania (powód złożenia wniosku, relacja do rachunku, typ transakcji, kwota kredytu, waluta, kurs waluty, liczba uczestników transakcji), adres zamieszkania, (dowód: wyjaśnienia [...] z dnia [...] października 2021 r. oraz [...] maja 2022 r.)
9) [...] w treści wyjaśnień wskazał, że przetwarza dane osobowe skarżącego przekazane przez Bank w związku z zapytaniami kredytowymi z dnia z [...] lipca 2020 r., [...] listopada 2020 r., [...] stycznia 2021 r. w:
a) w celu oceny zdolności kredytowej i analizy ryzyka kredytowego: przez okres 12 miesięcy od dnia złożenia zapytania w celu oceny zdolności kredytowej i analizy ryzyka kredytowego konkretnego klienta (indywidualna ocena zdolności kredytowej Skarżącego); nie krócej niż 5 lat i nie dłużej niż 10 lat od dnia złożenia zapytania, w celu budowy modeli scoringowych, a więc narzędzi wykorzystywanych przez banki do oceny zdolności kredytowej i analizy ryzyka kredytowego. [...] buduje przedmiotowe modele w oparciu o przetwarzane w zbiorze [...] dane, w tym dane o złożonych zapytaniach. [...] wskazał, że procesem silnie powiązanym z oceną zdolności kredytowej jest analiza ryzyka kredytowego, która przeprowadzana jest zgodnie z wytycznymi Rekomendacji T KNF. [...]wskazał nadto, że ogólne zasady tworzenia modeli służących celom oceny zdolności kredytowej i analizy ryzyka kredytowego określa m. in. rozporządzenie Parlamentu Europejskiego i Rady (UE) nr 575/2013 z dnia 26 czerwca 2013 r. w sprawie wymogów ostrożnościowych dla instytucji kredytowych i firm inwestycyjnych, zwane dalej CRR oraz rekomendacje KNF;
b) w celach statystycznych oraz stosowania metod wewnętrznych oraz innych metod i modeli, o których mowa w art. 105a ust. 4 u.P.b. - podstawą przetwarzania danych osobowych są przepisy Prawa bankowego art. 105 ust. 1, art. 105a ust. 4;
c) w celach przeciwdziałania przestępstwom oraz wykonywania obowiązków w zakresie określonym w przepisach o przeciwdziałaniu praniu pieniędzy oraz finansowaniu terroryzmu. [...] wskazał, że podstawę prawną stanowi art. 106d u.P.b. oraz art. 33 ust. 2, art. 34 ust. 1 pkt 4 ustawy AML;
d) w celu rozpatrywania ewentualnych reklamacji lub roszczeń odszkodowawczych klientów, których termin przedawnienia zgodnie z art. 118 Kodeksu cywilnego wynosi 6 lat (cele dowodowe). [...] wskazał, że podstawę prawną stanowi w tym przypadku art. 6 ust. 1 lit. f RODO, a dodatkową przesłanką jest konieczność wypełnienia ustawowego obowiązku wynikającego z art. 15 RODO w przypadku wystąpienia przez osobę, której dane dotyczą z wnioskiem o udzielenie informacji;
e) w celu realizacji wniosków klientów banków dotyczących wyjaśnień dokonanej oceny zdolności kredytowej na podstawie art. 70a u.P.b.
f) Jednocześnie w wyjaśnieniach [...] wskazał, że skarżący nie zwrócił się z wnioskiem o usunięcie danych dotyczących zapytań kredytowego z dnia [...] lipca 2020 r., [...] listopada 2020 r., [...] stycznia 2021 r. Ponadto skarżący nie wystosował w stosunku do [...], a [...] w stosunku do skarżącego konkretnego roszczenia związanego z zapytań kredytowego z dnia [...] lipca 2020 r., [...] listopada 2020 r., [...] stycznia 2021 r.
Dalej organ wskazał, że [...] jest instytucją utworzoną na podstawie art. 105 ust. 4 u.P.b. Organ przytoczył treść art. 105 ust. 4 pkt 1-4 u.P.b.
PUODO wyjaśnił, że zgodnie z art. 105a ust. 1 u.P.b., przetwarzanie przez banki, inne instytucje ustawowo upoważnione do udzielania kredytów, instytucje pożyczkowe oraz podmioty, o których mowa w art. 59d ustawy z dnia 12 maja 2011 r. o kredycie konsumenckim (Dz.U. z 2022r., poz. 246, zwana dalej "u.k.k."), a także instytucje utworzone na podstawie art. 105 ust. 4, informacji stanowiących tajemnicę bankową i informacji udostępnionych przez instytucje pożyczkowe oraz podmioty, o których mowa w art. 59d u.k.k., w zakresie dotyczącym osób fizycznych może być wykonywane, z zastrzeżeniem art. 104, 105 i art. 106- 106d u.P.b. w celu oceny zdolności kredytowej i analizy ryzyka kredytowego. Zgodnie zaś z art. 105a ust. 4 u.P.b. Banki oraz instytucje, o których mowa w art. 105 ust. 4, mogą przetwarzać stanowiące tajemnicę bankową informacje dotyczące osoby fizycznej po wygaśnięciu zobowiązania wynikającego z umowy zawartej z bankiem lub inną instytucją ustawowo upoważnioną do udzielania kredytów bez zgody osoby, której informacje dotyczą, do celów stosowania metod wewnętrznych oraz innych metod i modeli, o których mowa w części trzeciej rozporządzenia nr 575/2013. Stosownie zaś do art. 105a ust. 5 u.P.b. przetwarzanie informacji stanowiących tajemnicę bankową w przypadkach, o których mowa w ust. 3, może być wykonywane przez okres nie dłuższy niż 5 lat od dnia wygaśnięcia zobowiązania, a w przypadku, o którym mowa w ust. 4, przez okres 12 lat od dnia wygaśnięcia zobowiązania.
PUODO podał, że zgodnie z art. 70 ust. 1 u.P.b., bank uzależnia przyznanie kredytu od zdolności kredytowej kredytobiorcy. Przez zdolność kredytową rozumie się zdolność do spłaty zaciągniętego kredytu wraz z odsetkami w terminach określonych w umowie.
Organ podniósł, że skarżący w dniach [...] listopada 2020 r., [...] lipca 2020 r. oraz [...] stycznia 2021 r. zwrócił się do Banku z wnioskiem o kredyt. Wobec powyższego Bank oraz [...], na podstawie art. 105a ust. 1 u.P.b. w zw. z art. 70 ust. 1 tej ustawy, były uprawnione do przetwarzania danych osobowych skarżącego w celu oceny zdolności kredytowej. Organ podkreślił, że nie doszło do zawarcia umowy kredytu pomiędzy skarżącym a Bankiem. W związku z powyższym odpadła przesłanka legalizująca dalsze przetwarzanie danych osobowych skarżącego przez Bank oraz [...].
W ocenie PUODO przesłanki zawarte w art. 105a u.P.b. dotyczą bowiem przetwarzania informacji objętych tajemnicą bankową w okresie przed powstaniem zobowiązania, w trakcie jego trwania oraz po wygaśnięciu zobowiązania. Pomiędzy Bankiem a skarżącym nie zawiązał się żaden stosunek zobowiązaniowy, który stosownie do art. 105a ust. 1-6 u.P.b. dawałby podstawę do dalszego przetwarzania danych osobowych skarżącego. Organ podkreślił również, że celem przetwarzania danych osobowych skarżącego była ocena zdolności kredytowej i analizy ryzyka kredytowego. W związku z dokonaniem przez Bank oceny zdolności kredytowej i analizy ryzyka kredytowego ww. cel przetwarzania danych osobowych skarżącego został zrealizowany i brak jest podstaw prawnych do kontunuowania tego procesu.
Zdaniem PUODO, Bank oraz [...] niewłaściwie wskazują jako podstawę przetwarzania danych Skarżącego Rekomendację T Komisji Nadzoru Finansowego dotyczącą dobrych praktyk w zakresie zarządzania ryzykiem detalicznych ekspozycji kredytowych w związku z badaniem zdolności kredytowej, korzystania z zewnętrznych baz danych, posiadania narzędzi analitycznych wspierających pomiar poziomu ryzyka związanego z detalicznymi ekspozycjami kredytowymi.
Organ wskazał, że podziela pogląd wyrażony w wyroku Naczelnego Sądu Administracyjnego z dnia 27 sierpnia 2019 r., sygn. akt I OSK 2567/17, zgodnie z którym cyt.: "(...) cel oceny zdolności kredytowej stanowi ocena zdolności do spłaty zaciągniętego kredytu wraz z odsetkami, co ma charakter czynności wstępnej do zawarcia stosownej umowy. Dalsze przetwarzanie danych uzyskanych w celu oceny zdolności kredytowej, w przypadku nie zawarcia stosownej umowy pozostawałaby w oderwaniu od celu dla którego dane te uzyskano. (...) niedopuszczalne jest przetwarzanie danych osobowych na przyszłość, a także na potrzeby budowy oceny zdolności kredytowej innych podmiotów, jeżeli nie można zrekonstruować wyraźnej podstawy prawnej takich działań."
W ocenie organu za podstawę przetwarzania danych osobowych skarżącego, nie mogą być również uznane wskazane przez Bank oraz [...] cele statystyczne i analizy, w tym cel stosowania metod wewnętrznych oraz innych metod i modeli, o których mowa w części trzeciej rozporządzenia nr 575/2013. Powołany bowiem przez Bank oraz [...] art. 105a ust. 4 u.P.b. daje podstawy do przetwarzania informacji dotyczących osoby fizycznej stanowiących tajemnicę bankową po wygaśnięciu zobowiązania wynikającego z umowy zawartej z bankiem lub inną instytucją ustawowo upoważnioną do udzielania kredytów bez zgody osoby, której te informacje dotyczą. W przedmiotowej sprawie nie doszło zaś do zawarcia umowy kredytu pomiędzy skarżącym a Bankiem, a zatem nie powstał żaden stosunek zobowiązaniowy, o którym mowa w powyższym przepisie.
Organ zwrócił uwagę, że zarówno Bank, jak i [...], wskazały również jako cel przetwarzania danych osobowych skarżącego, przeciwdziałanie przestępstwom oraz wykonywanie obowiązków w zakresie określonym w przepisach AML. Organ podał, że zgodnie z brzmieniem art. 106d ust. 1 u.P.b. m.in. banki, inne instytucje ustawowo upoważnione do udzielania kredytów, izby rozliczeniowe utworzone na podstawie art. 67, instytucje utworzone na mocy art. 105 ust. 4, instytucje pożyczkowe, instytucje finansowe których podstawowa działalność polega na udostępnianiu składników majątkowych na podstawie umowy leasingu lub świadczeniu usług faktoringowych,, oraz podmioty, o których mowa w art. 59d u.k.k., mogą przetwarzać i wzajemnie udostępniać informacje, w tym informacje objęte tajemnicą bankową, w przypadkach:
1) uzasadnionych podejrzeń, o których mowa w art. 106a ust. 3;
2) uzasadnionych podejrzeń popełnienia przestępstw dokonywanych na szkodę banków, innych instytucji ustawowo upoważnionych do udzielania kredytów, instytucji kredytowych, instytucji finansowych, instytucji pożyczkowych oraz podmiotów, o których mowa w art. 59d u.k.k., i ich klientów, w celu i zakresie niezbędnym do zapobiegania tym przestępstwom;
3) wykonywania obowiązków w zakresie określonym w przepisach o przeciwdziałaniu praniu pieniędzy oraz finansowaniu terroryzmu (ust. 1).
Podmioty określone w ust. 1 mogą przetwarzać i wzajemnie udostępniać informacje, w tym informacje objęte tajemnicą bankową oraz informacje dotyczące wyroków skazujących, w przypadkach przestępstw dokonywanych na szkodę banków, innych instytucji ustawowo upoważnionych do udzielania kredytów, instytucji kredytowych, instytucji finansowych, instytucji pożyczkowych oraz podmiotów, o których mowa w art. 59d u.k.k., i ich klientów, w celu i zakresie niezbędnym do zapobiegania tym przestępstwom (ust. 2).
Dalej organ przywołał treść przepisów art. 33 ust. 1, art. 35 ust. 2, art. 34 ust. 3 oraz art. 49 ust. 2 ustawy AML i stwierdził, że zebrany w sprawie materiał dowodowy nie wykazał, aby Bank lub [...] mogły przetwarzać dane osobowe skarżącego dotyczące zapytań kredytowych z dnia [...] listopada 2020 r., [...] lipca 2020 r. oraz [...] stycznia 2021 r. na podstawie art. 106d u.P.b. w celach przeciwdziałania przestępstwom oraz wykonywania obowiązków w zakresie określonym w przepisach AML. W toku prowadzonego postępowania nie wykazały bowiem, aby zaszła którakolwiek z przesłanek określonych w ww. przepisach. W szczególności nie wykazały, aby zaszły uzasadnione podejrzenia, o których mowa w art. 106d ust. 1 pkt 1-2, oraz nie wskazały także nałożonego na nie obowiązku określonego w przepisach o przeciwdziałaniu praniu pieniędzy oraz finansowaniu terroryzmu, o którym mowa w art. 106d ust. 1 pkt 3. W niniejszej sprawie w związku z przedmiotowymi zapytaniami kredytowymi nie doszło do nawiązania stosunków gospodarczych, ani do przeprowadzenia jakiejkolwiek transakcji.
Odnosząc się do powołanego zarówno przez Bank, jak i przez [...], celu ustalenia, dochodzenia lub obrony roszczeń, a w przypadku [...] celu rozpatrywania ewentualnych reklamacji, PUODO wskazał, że zebrany w niniejszym postępowaniu materiał dowodowy nie wykazał, aby skarżący w związku z przedmiotowymi zapytaniami kredytowymi wystąpił z jakimkolwiek roszczeniem wobec Banku czy [...] lub też aby złożył reklamację w [...], które uzasadniałyby uprawnienie tych podmiotów do zachowania i przetwarzania jego danych osobowych dla celów dowodowych w związku z dochodzeniem przez skarżącego tego roszczenia, czy rozpatrywania reklamacji przez [...]. Bank i [...] nie wskazały także na istnienie roszczeń, których dochodzą od skarżącego. Organ podkreślił, że przesłanka z art. 6 ust. 1 lit. f RODO dotyczy sytuacji już istniejącej, w której celem wynikającym z prawnie uzasadnionych interesów realizowanych przez administratora jest konieczność udowodnienia, potrzeba dochodzenia lub obrony przed roszczeniem istniejącym, nie zaś sytuacji, gdy dane są przetwarzane w celu zabezpieczenia się przed ewentualnym roszczeniem.
Zdaniem PUODO przy przyjęciu odmiennej interpretacji ww. przepisów, skarżący zostałaby pozbawiony ochrony na gruncie RODO oraz ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych (Dz. U. z 2019 r., poz. 1781). Przyjęcie bowiem za prawidłowe stanowiska, iż przetwarzanie danych osobowych w celu uchylenia się od negatywnych skutków w przypadku zgłoszenia w przyszłości ewentualnego i nieokreślonego roszczenia, stanowi prawnie usprawiedliwiony cel w rozumieniu art. 6 ust. 1 lit. f RODO oznaczałoby, że dane osobowe skarżącego mogą być przetwarzane permanentnie, bez konieczności ich usunięcia. Teoretycznie możliwym jest przecież by skarżący zwrócił się do Banku lub [...] z roszczeniem po upływie terminu przedawnienia. Prowadziłoby to tym samym do uznania, że przetwarzanie danych osobowych skarżącego przez Bank i [...] ma uzasadnienie w przesłance określonej art. 6 ust. 1 lit. f RODO w celu realizacji prawa do obrony przed ewentualnym roszczeniem Skarżącego również po upływie ww. terminu.
Organ podniósł, że brak jest uzasadnienia dla przyjęcia, iż terminy dotyczące przedawnienia roszczeń wynikających ze stosunków zobowiązaniowych określają jednocześnie ramy czasowe, w których dane osobowe mogą być przetwarzane przez Bank i [...]. Przedawnienie roszczenia nie wywołuje skutków na gruncie ochrony danych osobowych, nie wpływa bowiem na fakt istnienia roszczenia, a powoduje jedynie zmianę w sferze zarzutów procesowych w postaci możliwości podniesienia okoliczności przedawnienia w sporze sądowym. Okolicznością usprawiedliwiającą przetwarzanie danych osobowych w celu dochodzenia roszczeń jest sam fakt istnienia roszczenia oraz zamiar jego dochodzenia, nie jest nią natomiast zmiana w uprawnieniach procesowych podmiotu pozwanego.
PUODO uznał również, że brak jest uzasadnienia dla przyjęcia, że Bank i [...] są uprawnione do przetwarzania danych osobowych w związku z koniecznością ewentualnego wypełnienia obowiązku wynikającego z art. 70a ust. 1 i ust. 2 u.P.b. Stosownie do treści art. 70a ust. 1 u.P.b. w brzmieniu obowiązującym w dacie pozyskania danych skarżącego przez Bank, banki i inne instytucje ustawowo upoważnione do udzielania kredytów na wniosek osoby fizycznej, prawnej lub jednostki organizacyjnej niemającej osobowości prawnej, o ile posiada zdolność prawną, ubiegającej się o kredyt przekazują, w formie pisemnej, wyjaśnienie dotyczące dokonanej przez siebie oceny zdolności kredytowej wnioskującego. Stosownie zaś do art. 70a ust. 2 u.P.b. wyjaśnienie, o którym mowa w ust. 1, obejmuje informacje na temat czynników, w tym danych osobowych wnioskującego, które miały wpływ na dokonaną ocenę zdolności kredytowej.
Organ wskazał, że podziela wskazywane w doktrynie stanowisko, zgodnie
z którym jeśli bank - w wyniku dokonanej oceny zdolności kredytowej (przeprowadzonej zgodnie z przyjętymi rekomendacjami KNF - nie udzieli kredytu, zatem nie dojdzie do zawarcia umowy kredytu, stan taki nie rodzi po stronie ubiegającego się o kredyt żadnych roszczeń na drodze cywilnoprawnej. Ubiegającemu się o kredyt przysługuje tylko możliwość wnioskowania o przedstawienie na piśmie przyczyn odmowy. Organ podkreślił, że art. 70a Prawa bankowego nie przewiduje żadnego terminu na złożenie wniosku o udzielenie informacji dotyczących odmowy udzielenia kredytu. Zdaniem PUODO powyższe nie oznacza, że można dane osobowe skarżącego, wynikające z przedmiotowych zapytań kredytowych przetwarzać bezterminowo, gdyż byłoby to sprzeczne z zasadą ograniczenia przechowywania, określoną w art. 5 ust. 1 lit. e) RODO.
Organ zwrócił uwagę, że powstanie obowiązku, o którym mowa w art. 70a ust. 1 u.P.b. w ówczesnym brzmieniu, uzależnione było od złożenia stosownego wniosku przez osobę ubiegającą się o kredyt. W niniejszej sprawie ustalono, że skarżący w związku z zapytaniem kredytowym z dnia [...] listopada 2020 r., [...] lipca 2020 r. oraz [...] stycznia 2021 r. ubiegał się o zawarcie z Bankiem umowy kredytu, jednak jego wnioski nie zakończyły się zawarciem umowy z Bankiem. Następnie skarżący zwrócił się do Banku z żądaniem usunięcia jego danych przetwarzanych w związku z ww. zapytaniami oraz usunięcia danych z [...]. Proces przetwarzania danych osobowych związanych z ww. zapytaniami kredytowymi zakwestionował następnie w niniejszym postępowaniu, domagając się ochrony danych osobowych. Uwzględnienie żądania skarżącego usunięcia przedmiotowych danych skutkować będzie brakiem możliwości udzielenia informacji wskazanych w art. 70a ust. 1 i 2 prawa bankowego, z czym skarżący, żądając usunięcia danych, musi się liczyć. W ocenie PUODO należy uznać więc, że skarżący nie był i nie jest zainteresowany realizacją prawa do złożenia wniosku, o którym mowa w powyższym przepisie, a tym samym nie można uznać, aby stanowił on podstawę przetwarzania danych osobowych skarżącego. Organ podkreślił, że art. 70a ust. 1 Prawa bankowego w brzmieniu obowiązującym w dacie pozyskania danych skarżącego przez Bank, nie nakładał żadnego obowiązku na [...], gdyż dotyczył wyłącznie banków i innych instytucji ustawowo upoważnionych do udzielania kredytów.
Ponadto organ uznał, że brak jest także uzasadnienia dla przyjęcia, iż [...] jest uprawniony do przetwarzania danych osobowych pozyskanych w związku
z zapytaniami złożonymi przez Bank w dniach [...] listopada 2020 r., [...] lipca 2020 r. oraz [...] stycznia 2021 r. w związku z koniecznością ewentualnego wypełnienia obowiązku wynikającego z art. 15 RODO. Usunięcie przez administratora danych osobowych nie uniemożliwia mu wykonania obowiązku uregulowanego w art. 15 RODO. Powyższy przepis gwarantuje osobie, której dane dotyczą, prawo do uzyskania od administratora informacji, czyjej dane są przetwarzane, a w przypadku pozytywnej odpowiedzi na tak postawione pytanie - uprawnienie do dostępu do danych na swój temat oraz uzyskania informacji o okolicznościach przetwarzania danych. Jeśli bowiem administrator nie przetwarza danych dotyczących osoby, która zwraca się z żądaniem udzielenia informacji, to działanie administratora ogranicza się do odpowiedzi przeczącej i nie ma on obowiązku podawać podmiotowi danych innych informacji.
PUODO podniósł również, że Bank wskazał, iż obecnie przetwarza dane osobowe skarżącego w związku z niniejszym postępowaniem. Zakończenie postępowania w sprawie spowoduje wygaśnięcie celu przetwarzania danych na potrzeby tego postępowania. W myśl określonej w art. 5 ust. 1 lit. b RODO zasady ograniczenia celu przetwarzania, dane osobowe nie mogą zaś być przetwarzane dalej w sposób niezgodny z celami, w których zostały zebrane.
Reasumując organ stwierdził, że w niniejszej sprawie brak jest obecnie celu uzasadniającego przetwarzanie danych osobowych skarżącego zawartych
w przedmiotowych zapytaniach kredytowych z dnia [...] lipca 2020 r., [...] listopada 2020 r. oraz [...] stycznia 2021 r. zarówno przez Bank, jak i przez [...]. Organ wskazał w tym miejscu, że Bank w związku z pozyskaniem danych osobowych skarżącego w celu oceny zdolności kredytowej stał się administratorem tych danych osobowych. Natomiast [...] stał się administratorem danych osobowych skarżącego z uwagi na przekazanie tych danych przez Bank. W związku z powyższym Bank oraz [...] są odrębnymi administratorami. Każdy z tych podmiotów przetwarza bowiem dane osobowe skarżącego we własnych celach i samodzielnie ustala sposoby ich przetwarzania. W odniesieniu zaś do kwestionowanego przez skarżącego przetwarzania jego danych osobowych przez Bank i [...] nie zaistniała żadna z wyrażonych w art. 6 ust. 1 RODO przesłanka, która stanowiłaby o legalności tego procesu. Dlatego też korzystając
z uprawnienia przewidzianego w art. 58 ust. 2 lit. c RODO, organ nakazał zarówno Bankowi, jak i [...], będącymi administratorami, usunięcie danych osobowych skarżącego wynikających ze wskazanych wyżej zapytań kredytowych, które nie zakończyły się zawarciem umowy.
Na powyższą decyzję [...] wniósł skargę do Wojewódzkiego Sądu Administracyjnego w Warszawie, wskazując, że zaskarżą ją w części, tj. w zakresie pkt 2. Zaskarżonej decyzji [...] zarzucił:
1. naruszenie prawa materialnego, tj.:
1.1. art. 6 ust. 1 lit. c) ROD w zw. z art. 105 ust. 1 pkt. 1c w zw. z art. 105 ust. 4 i w zw. z art. 105a w zw. z art. 70 i art. 5 ust. 1 pkt. 3 u.P.b. poprzez jego niezastosowanie i w konsekwencji niezasadne przyjęcie, że [...] nie posiada ww. podstawy prawnej do przetwarzania danych zawartych w zapytaniu kredytowym w przypadku nie zawarcia umowy kredytowej, podczas gdy [...] jest ustawowo zobowiązany do realizacji obowiązku prawnego wynikającego z ww. przepisów polegającego na gromadzeniu, przetwarzaniu i udostępnianiu bankom oraz podmiotom szczegółowo wskazanym w przepisie informacji stanowiących tajemnicę bankową w zakresie, w jakim informacje te są potrzebne w związku z wykonywaniem czynności bankowych w postaci oceny zdolności kredytowej oraz analizy ryzyka kredytowego konkretnego klienta (indywidualna ocena zdolności kredytowej) oraz w związku ze stosowaniem metod wewnętrznych oraz innych metod i modeli, o których mowa w części trzeciej rozporządzenia Parlamentu Europejskiego i Rady (UE) nr 575/2013 z dnia 26 czerwca 2013 r. w sprawie wymogów ostrożnościowych dla instytucji kredytowych i firm inwestycyjnych, zmieniające rozporządzenie (UE) nr 648/2012 (dalej jako: rozporządzenia nr 575/2013);
ewentualnie, na wypadek nieuwzględnienia ww. zarzutu: [...] zarzucił naruszenie art. 6 ust. 1 lit. f) RODO poprzez jego niezastosowanie wskutek przyjęcia, że [...] nie posiada podstawy prawnej przetwarzania danych uczestnika postępowania opartej na prawnie uzasadnionym interesie administratora oraz podmiotów trzecich wskazanych w art. 105 ust. 4 pkt. 1-5 u.P.b., w postaci realizacji obowiązku gromadzenia, przetwarzania oraz udostępnienia bankom oraz podmiotom wskazanym w ww. przepisie informacji stanowiących tajemnicę bankową w zakresie, w jakim informacje te są potrzebne w związku z wykonywaniem czynności bankowych w postaci oceny zdolności kredytowej oraz analizy ryzyka kredytowego konkretnego klienta (indywidualna ocena zdolności kredytowej), w celu budowy i utrzymania modeli scoringowych, a więc narzędzi wykorzystywanych przez banki do oceny zdolności kredytowej i analizy ryzyka kredytowego oraz w związku ze stosowaniem metod wewnętrznych oraz innych metod i modeli, o których mowa w części trzeciej rozporządzenia nr 575/2013;
1.2. art. 6 ust. 1 lit. c) RODO w zw. z art. 70a w zw. z art. 105 ust. 4 pkt. 1 i 2 oraz w zw. z art. 105a u.P.b. poprzez jego niezastosowanie wskutek uznania, że [...] nie posiada podstawy prawnej do przetwarzania danych uczestnika postępowania w sytuacji niezawarcia umowy kredytowej, podczas gdy [...] posiada podstawę prawną przetwarzania z uwagi na niezbędność przetwarzania do wykonania obowiązku prawnego przez banki i [...], w postaci obowiązku przekazania osobie ubiegającej się o kredyt w formie pisemnej na jego wniosek wyjaśnień dotyczących dokonanej oceny zdolności kredytowej wnioskującego;
1.3. art. 6 ust. 1 lit. c) RODO w zw. z art. 106d ust. 1 pkt 3 u.P.b. w zw. 39 ust. 1 w zw. z art. 33 ust. 2, art. 33 ust. 3 pkt 6, art 34 ust. 1 pkt., at. 36 ust. 1 oraz art. 49 ust. 1 ustawy z dnia 1 marca 2018 r. o przeciwdziałaniu praniu pieniędzy oraz finansowaniu terroryzmu (Dz. U. z 2023 r. poz. 1124), dalej jako: "AML", w zw. z 105 ust. 1 lit. 1c oraz art. 105 ust. 4 u.P.b., poprzez jego niezastosowanie w skutek przyjęcia, iż na [...] nie ciążą obowiązki związane z przeciwdziałaniem praniu pieniędzy oraz finansowaniu terroryzmu, w sytuacji gdy nie doszło do zawarcia umowy kredytowej pomiędzy uczestnikiem postepowania a Bankiem - podczas gdy przepisy te nakładają na banki jako instytucje obowiązane, a pośrednio na [...], jako podmiot wspierający banki w realizacji obowiązków instytucji obowiązanej, obowiązek przetwarzania danych osobowych w celu zapewnienia bezpieczeństwa obrotu gospodarczego poprzez przeprowadzenie szczegółowego badania na temat klientów, w tym przyszłych klientów, jak i badania powiązań kapitałowo-osobowych, w tym także wtedy gdy ostatecznie pomiędzy uczestnikiem postępowania a Bankiem nie została zawarta umowa kredytowa;
1.4. art. 6 ust. 1 lit. e) RODO poprzez jego niezastosowanie wskutek uznania, że [...] nie posiada podstawy prawnej do przetwarzania danych uczestnika postępowania w sytuacji nie zawarcia umowy kredytowej, podczas gdy [...] posiada podstawę prawną przetwarzania z uwagi na niezbędność przetwarzania dla realizacji zadania w interesie publicznym przez banki i [...] w postaci zabezpieczenia ekonomiczno-gospodarczego sektora bankowego, w tym depozytariuszy i zapewnienia stabilności ekonomiczno-gospodarczej sektora bankowego, a w ujęciu makro zapobieganiu kryzysom gospodarczym;
1.5. art. 6 ust. 1 lit. f) RODO poprzez jego niezastosowanie wskutek uznania, że przetwarzanie danych osobowych dla realizacji prawnie uzasadnionych interesów administratora danych w celach zabezpieczenia roszczeń może dotyczyć wyłącznie roszczeń istniejących i aktualnie dochodzonych i w konsekwencji nieuzasadnione przyjęcie, że prawnie uzasadniony interes administratora danych nie istnieje w sytuacji konieczności przetwarzania danych osobowych do ochrony przed roszczeniami istniejącymi, ale nie dochodzonymi w chwili dokonywania oceny, podczas gdy istotą uzasadnionego interesu administratora jest możliwość przetwarzania danych na wypadek konieczności obrony przed roszczeniami istniejącymi lub dochodzenia w przyszłości roszczeń istniejących, które w warunkach niniejszej sprawy są związane z przetwarzaniem danych osobowych na potrzeby opracowania oceny scoringowej uczestnika postępowania niezbędnej do przeprowadzenia analizy zdolności kredytowej oraz analizy ryzyka kredytowego, które to [...] zobowiązany jest gromadzić, przetwarzać i udostępniać bankom i instytucjom ustawowo upoważnionym do udzielania kredytów dla realizacji celów ustawowych badania zdolności kredytowej;
1.6. art. 6 ust. 1 lit. f) RODO poprzez jego niezastosowanie wskutek uznania, że w przypadku braku zawarcia umowy kredytowej, [...] nie posiada prawnie uzasadnionego interesu w przetwarzaniu danych uczestnika postępowania, podczas gdy istnieje prawnie uzasadniony interes [...] w przetwarzaniu tych informacji pomimo nie zawarcia umowy kredytowej, polegający na realizacji działań z zakresu opracowania, utrzymania aktualności i funkcjonalności zbudowanych modeli scoringowych w zgodzie z treścią Rekomendacji W, S i T Komisji Nadzoru Finansowego w zakresie dobrych praktyk i zarządzania ryzykiem kredytowym;
1.7. art. 6 ust. 1 lit. f) RODO poprzez jego niezastosowanie wskutek uznania, że [...] nie posiada podstawy prawnej do przetwarzania danych uczestnika postępowania, podczas gdy [...] posiada podstawę prawną przetwarzania z uwagi na konieczność zapewnienia rozliczalności jego działań jako administratora danych osobowych na zasadzie art. 5 ust. 2 RODO w postaci wykazania przestrzegania przepisów dotyczących jakości danych.
2. naruszenie prawa procesowego, mającego istotny wpływ na wynik sprawy, tj.:
2.1. art. 7 k.p.a., art. 77 k.p.a. w zw. z art. 80 k.p.a. w zw. z art. 107 § 3 k.p.a. w zw. z art. 7 ust. 1 UODO poprzez niezbadanie przez organ aktualnych podstaw przetwarzania danych uczestnika postępowania przez [...], niewystarczające wyjaśnienia podstaw prawnych decyzji oraz brak oceny istotnych okoliczności sprawy, co w konsekwencji doprowadziło do błędnego nakazania [...] usunięcia przetwarzanych danych osobowych uczestnika postępowania oraz uniemożliwiło [...] zapoznanie się z powodami negatywnej oceny wskazanych przez niego podstaw przetwarzania;
2.2. art. 7, w zw. z art. 77 § 1 iw zw. z art. 80 k.p.a., w zw. z art. 7 UODO, poprzez niewyczerpujące zebranie, nierozpatrzenie i błędną ocenę całokształtu materiału dowodowego przejawiającego się w zaniechaniu dokonania wyczerpującej analizy charakteru, zakresu oraz celów gospodarczo-ekonomicznych dla jakich zostało powołane [...] oraz obowiązków prawnych i obowiązków wynikających z zawartych przez [...] umów z bankami, skutkującą wadliwą i niepełną oceną stanu faktycznego sprawy oraz charakteru działania [...], co w konsekwencji skutkowało nieuzasadnionym wydaniem przez organ nakazu usunięcia danych osobowych uczestnika postępowania;
2.3. art. 7b k.p.a. w zw. z art. 7 k.p.a. w zw. z art. 77 k.p.a. w zw. z art. 7 UODO poprzez niedokładne wyjaśnienie stanu faktycznego i prawnego koniecznego do podjęcia przez organ stosownych czynności, a w szczególności niezwrócenie się do Komisji Nadzoru Finansowego w celu kompleksowego wyjaśniania stanu faktycznego sprawy oraz współdziałania w zakresie niezbędnym do dokładnego wyjaśnienia stanu prawnego, mając na względzie interes społeczny i słuszny interes obywateli w postaci ustalenia należytych zasad, celów i zakresu przetwarzania danych osobowych o niezrealizowanych zapytaniach kredytowych tak, by procesy przetwarzania danych czyniły zadość zarówno przepisom prawa o ochronie danych osobowych, jak i przepisom szeroko pojętego prawa bankowego, w szczególności dla zapewnienia ochrony wartości, których gwarancje ochrony wynikają z ww. przepisów zgodnie z zasadą proporcjonalności;
2.4. art. 7 k.p.a., art. 77 § 1 k.p.a. i art. 80 k.p.a. poprzez zaniechanie dokonania oceny Rekomendacji S, W i T Komisji Nadzoru Finansowego jako organu właściwego do sprawowania nadzoru nad instytucjami krajowymi w rozumieniu przepisów UE (regulatora rynku finansowego), które to regulacje nakładają na banki, a w konsekwencji na [...], jako instytucję gromadzącą dane służące do oceny zdolności kredytowej oraz budującą modele scoringowe służące bankom, określone wymagania, które podlegają nadzorowi i egzekwowaniu przez Komisję Nadzoru Finansowego na podstawie bezwzględnie obowiązujących przepisów prawa, co w konsekwencji doprowadziło do zaniechania przez organ oceny podstaw prawnych i celów dla jakich [...] oraz banki są upoważnione do przetwarzania danych w zakresie zdolności kredytowej również w przypadku nie zawarcia umowy kredytowej dla zabezpieczenia interesów banków oraz stabilności rynku gospodarczo-finansowego;
2.5. art. 7 k.p.a., art. 77 k.p.a. w zw. z art. 80 k.p.a. poprzez zaniechanie wyczerpującego zebrania i rozpatrzenia materiału dowodowego, przejawiające się w szczególności brakiem dokonania analizy podstawowych zasad funkcjonowania stabilnego sektora finansowego w tym pod kątem istnienia - po stronie banków, a w konsekwencji [...] jako instytucji gromadzącej dane służące do oceny zdolności kredytowej oraz budującej modele scoringowe służące bankom - oczywistego interesu prawnego przejawiającego się w odmowie udzielenia kredytu wynikającego z braku istnienia zdolności kredytowej po stronie Uczestnika 2, co prowadzi do zabezpieczenia interesu banków przed nieodpowiedzialną polityką udzielania kredytów osobom, które nie mają szans na ich spłacenie oraz do zapewnienia stabilności gospodarczo-ekonomicznej sektora bankowego, a w ujęciu makro zapobieganiu kryzysom gospodarczym.
W oparciu o powyższe zarzuty [...] wniósł o uchylenie decyzji w zaskarżonej części, zasądzenie od organu zwrotu kosztów postępowania według norm przepisanych, w tym kosztów zastępstwa procesowego (w tym zwrotu opłaty skarbowej od pełnomocnictwa w kwocie 17 zł), jak również o wstrzymanie wykonania zaskarżonej decyzji w zaskarżonej części.
W odpowiedzi na skargę organ wniósł o jej oddalenie podtrzymując stanowisko wyrażone w zaskarżonej decyzji.
Wojewódzki Sąd Administracyjny w Warszawie zważył, co następuje:
Zgodnie z art. 1 § 1 i § 2 ustawy z dnia 25 lipca 2002 r. - Prawo o ustroju sądów administracyjnych (Dz. U. z 2024 r., poz. 1267) oraz art. 3 § 1 ustawy z dnia 30 sierpnia 2002 r. prawo o postępowaniu przed sądami administracyjnymi (Dz. U. 2023 r. poz. 1634, z późn. zm.) dalej "p.p.s.a.", sądy administracyjne sprawują wymiar sprawiedliwości przez kontrolę działalności administracji publicznej. Kontrola ta polega na ocenie zgodności zaskarżonego aktu z przepisami postępowania administracyjnego, a także prawidłowości zastosowania i wykładni norm prawa materialnego. Kontrola ta jest dokonywana według stanu faktycznego i prawnego obowiązującego w dacie wydania zaskarżonego aktu.
W myśl art. 134 § 1 i 2 p.p.s.a. sąd rozstrzyga w granicach danej sprawy nie będąc związany zarzutami i wnioskami skargi oraz powołaną podstawą prawną, z zastrzeżeniem art. 57a, przy czym sąd nie może wydać orzeczenia na niekorzyść skarżącego, chyba że stwierdzi naruszenie prawa skutkujące stwierdzeniem nieważności zaskarżonego aktu lub czynności.
Rozpatrując skargę [...] wedle powyższych kryteriów Sąd uznał, że nie zasługuje ona na uwzględnienie.
W sprawie jest niesporne, że Bank oraz [...] pozyskały dane osobowe uczestnika postępowania w związku z zapytaniami kredytowymi z [...] lipca 2020 r., [...] listopada
2020 r., [...] stycznia 2021 r. W przypadku tych zapytań nie doszło do zawarcia umowy między uczestnikiem postępowania a Bankiem. Niesporne jest, że zarówno Bank jak
i [...] był uprawnione do przetwarzania danych osobowych uczestnika w celu oceny zdolności kredytowej i analizy ryzyka kredytowego. Skoro jednak nie doszło do zawarcia umowy kredytu, to odpadła przesłanka legalizująca dalsze przetwarzanie danych osobowych skarżącego.
Dokonując oceny zgodności z prawem ww. punktu 2 decyzji należy wskazać, że zgodnie z motywem 40 RODO, aby przetwarzanie danych było zgodne z prawem, powinno się odbywać na podstawie zgody osoby, której dane dotyczą, lub na innej uzasadnionej podstawie przewidzianej prawem: albo w niniejszym rozporządzeniu, albo w innym akcie prawnym Unii lub w prawie państwa członkowskiego, o których mowa w niniejszym rozporządzeniu, w tym musi się ono odbywać z poszanowaniem obowiązku prawnego, któremu podlega administrator, lub z poszanowaniem umowy, której stroną jest osoba, której dane dotyczą, lub w celu podjęcia działań na żądanie osoby, której dane dotyczą, przed zawarciem umowy.
Powyższe znalazło wyraz w art. 6 ust. 1 RODO, określającym przesłanki legalności przetwarzania danych osobowych. Zgodnie z tym przepisem, przetwarzanie jest zgodne z prawem wyłącznie w przypadkach, gdy - i w takim zakresie, w jakim - spełniony jest co najmniej jeden z poniższych warunków:
a) osoba, której dane dotyczą wyraziła zgodę na przetwarzanie swoich danych osobowych w jednym lub większej liczbie określonych celów;
b) przetwarzanie jest niezbędne do wykonania umowy, której stroną jest osoba, której dane dotyczą, lub do podjęcia działań na żądanie osoby, której dane dotyczą, przed zawarciem umowy;
c) przetwarzanie jest niezbędne do wypełnienia obowiązku prawnego ciążącego na administratorze;
d) przetwarzanie jest niezbędne do ochrony żywotnych interesów osoby, której dane dotyczą, lub innej osoby fizycznej;
e) przetwarzanie jest niezbędne do wykonania zadania realizowanego w interesie publicznym lub w ramach sprawowania władzy publicznej powierzonej administratorowi;
f) przetwarzanie jest niezbędne do celów wynikających z prawnie uzasadnionych interesów realizowanych przez administratora lub przez stronę trzecią, z wyjątkiem sytuacji, w których nadrzędny charakter wobec tych interesów mają interesy lub podstawowe prawa i wolności osoby, której dane dotyczą, wymagające ochrony danych osobowych, w szczególności gdy osoba, której dane dotyczą, jest dzieckiem. Akapit pierwszy lit. f) nie ma zastosowania do przetwarzania, którego dokonują organy publiczne w ramach realizacji swoich zadań.
Zgodnie z art. 105a ust. 1 u.P.b. przetwarzanie przez banki, inne instytucje ustawowo upoważnione do udzielania kredytów, instytucje pożyczkowe oraz podmioty, o których mowa w art. 59d u.k.k., a także instytucje utworzone na podstawie art. 105 ust. 4 u.P.b., informacji stanowiących tajemnicę bankową i informacji udostępnionych przez instytucje pożyczkowe oraz podmioty, o których mowa w art. 59d u.k.k., w zakresie dotyczącym osób fizycznych może być wykonywane, z zastrzeżeniem art. 104, art. 105 i art. 106-106d u.P.b., w celu oceny zdolności kredytowej i analizy ryzyka kredytowego. Zgodnie zaś z art. 105a ust. 4 u.P.b., banki oraz instytucje, o których mowa w art. 105 ust. 4 u.P.b., mogą przetwarzać stanowiące tajemnicę bankową informacje dotyczące osoby fizycznej po wygaśnięciu zobowiązania wynikającego z umowy zawartej z bankiem lub inną instytucją ustawowo upoważnioną do udzielania kredytów bez zgody osoby, której informacje dotyczą, do celów stosowania metod wewnętrznych oraz innych metod i modeli, o których mowa w części trzeciej rozporządzenia nr 575/2013 Jednocześnie zgodnie z art. 105a ust. 5 u.P.b., przetwarzanie informacji stanowiących tajemnicę bankową w przypadkach, o których mowa w ust. 3, może być wykonywane przez okres nie dłuższy niż 5 lat od dnia wygaśnięcia zobowiązania, a w przypadku, o którym mowa w ust. 4, przez okres 12 lat od dnia wygaśnięcia zobowiązania. Zgodnie z art. 70 ust. 1 u.P.b., bank uzależnia przyznanie kredytu od zdolności kredytowej kredytobiorcy. Przez zdolność kredytową rozumie się zdolność do spłaty zaciągniętego kredytu wraz z odsetkami w terminach określonych w umowie. Kredytobiorca jest obowiązany przedłożyć na żądanie banku dokumenty i informacje niezbędne do dokonania oceny tej zdolności.
W świetle ww. przepisów, a w szczególności na podstawie art. 105a ust. 1 i art. 70 ust. 1 u.P.b. uprawnione było przetwarzania danych osobowych uczestnika postępowania w celu oceny zdolności kredytowej i analizy ryzyka kredytowego. Warto jednak podkreślić, że w związku z ww. zapytaniami kredytowym uczestnika postępowania nie doszło do zawarcia umowy kredytowej. Nie może być wątpliwości, że ocena zdolności kredytowej i analiza ryzyka kredytowego zostały dokonane (zrealizowane). Cel przetwarzania danych, dla którego zostały one zgromadzone
w zapytaniu kredytowym, został osiągnięty.
Zgodnie z art. 105a ust. 2 u.P.b., z zastrzeżeniem ust. 3, instytucje, o których mowa w ust. 1, mogą przetwarzać informacje stanowiące tajemnicę bankową oraz informacje udostępnione przez instytucje pożyczkowe oraz podmioty, o których mowa w art. 59d u.k.k., w zakresie dotyczącym osób fizycznych po wygaśnięciu zobowiązania wynikającego z umowy zawartej z bankiem, inną instytucją ustawowo upoważnioną do udzielania kredytów, instytucją pożyczkową lub podmiotem, o którym mowa w art. 59d u.k.k., pod warunkiem uzyskania pisemnej zgody osoby, której informacje te dotyczą, z zastrzeżeniem ust. 2a. Zgoda ta może być w każdym czasie odwołana.
Z art. 105a ust. 3 u.P.b. stanowi, że Banki, instytucje oraz podmioty, o których mowa w ust. 1, mogą przetwarzać informacje stanowiące tajemnicę bankową i informacje udostępnione przez instytucje pożyczkowe oraz podmioty, o których mowa w art. 59d u.k.k., dotyczące osób fizycznych po wygaśnięciu zobowiązania wynikającego z umowy zawartej z bankiem, inną instytucją ustawowo upoważnioną do udzielania kredytów, instytucją pożyczkową lub podmiotem, o którym mowa w art. 59d u.k.k., bez zgody osoby, której informacje dotyczą, gdy osoba ta nie wykonała zobowiązania lub dopuściła się zwłoki powyżej 60 dni w spełnieniu świadczenia wynikającego z umowy zawartej z bankiem, inną instytucją ustawowo upoważnioną do udzielania kredytów, instytucją pożyczkową lub podmiotem, o którym mowa w art. 59d u.k.k., a po zaistnieniu tych okoliczności upłynęło co najmniej 30 dni od poinformowania tej osoby przez bank, inną instytucję ustawowo upoważnioną do udzielania kredytów, instytucję pożyczkową albo podmiot, o którym mowa w art. 59d u.k.k., o zamiarze przetwarzania dotyczących jej tych informacji, bez jej zgody. Instytucje, o których mowa w art. 105 ust. 4 u.P.b., mogą przetwarzać stanowiące tajemnicę bankową informacje dotyczące osoby fizycznej po wygaśnięciu zobowiązania wynikającego z umowy zawartej z bankiem lub inną instytucją ustawowo upoważnioną do udzielania kredytów bez zgody osoby, której informacje dotyczą, do celów stosowania metod wewnętrznych oraz innych metod i modeli, o których mowa w części trzeciej rozporządzenia nr 575/2013. Przetwarzanie informacji stanowiących tajemnicę bankową w przypadkach, o których mowa w ust. 3, może być wykonywane przez okres nie dłuższy niż 5 lat od dnia wygaśnięcia zobowiązania, a w przypadku, o którym mowa w ust. 4, przez okres 12 lat od dnia wygaśnięcia zobowiązania (ust. 5). Zakres przetwarzanych informacji, o których mowa w ust. 3 i 4, może obejmować dane dotyczące osoby fizycznej lub dane dotyczące zobowiązania (ust. 6).
Podkreślenia jednak wymaga, że w sprawie nie doszło do zawarcia umowy kredytowej pomiędzy Bankiem a uczestnikiem postępowania, który w związku z tym wniósł o usunięcie jego danych dostępnych w [...]. Wobec tego należy zgodzić się z PUODO, że odpadła przesłanka legalizująca dalsze przetwarzanie danych osobowych uczestnika postępowania przez [...], które to przetwarzanie miało na celu – co wymaga podkreślenia– ocenę zdolności kredytowej i analizę ryzyka kredytowego (przed zawarciem umowy). Skoro nie doszło do nawiązania stosunku zobowiązaniowego, który stosownie do art. 105a ust. 1-6 u.P.b. dawałby podstawę do dalszego przetwarzania danych osobowych uczestnika postępowania przez [...], to należało uznać, tak jak prawidłowo przyjął PUODO, że ustał cel przetwarzania danych osobowych uczestnika postępowania pozyskanych tylko i wyłącznie w celu oceny zdolności kredytowej i analizy ryzyka kredytowego.
Z ww. przepisów wynika, że przesłanki zawarte w art. 105a u.P.b. dotyczą przetwarzania informacji objętych tajemnicą bankową w okresie przed powstaniem zobowiązania, w trakcie jego trwania oraz po wygaśnięciu zobowiązania. Natomiast w sytuacji, gdy w następstwie złożenia wniosku kredytowego nie dochodzi do zawarcia umowy kredytowej z bankiem, jak miało to miejsce w sprawie, brak jest ustawowych przesłanek legalizujących przetwarzanie danych osobowych uczestnika postepowania, zawartych w ww. zapytaniu kredytowym. Przetwarzane są one bowiem bez podstawy prawnej, w celach innych niż te, w których zostały zebrane, tj. oceny zdolności kredytowej i analizy ryzyka kredytowego.
W świetle powyższego trzeba też wskazać, że sposób sformułowania nakazu w decyzji jest prawidłowy. Rozstrzygnięcie decyzji jest w ocenie Sądu na tyle jasne
i precyzyjne, że nie wywołuje trudności w sferze wykonania. Nie ma przy tym wątpliwości, że nakaz usunięcia dotyczy danych osobowych uczestnika postepowania zawartych w ww. zapytaniach kredytowych. [...] zna te zapytania i zawarte w nich dane osobowe uczestnika postępowania. Nie budzi wątpliwości, że ocena zdolności kredytowej i ryzyka kredytowego ma charakter czynności wstępnych przed zawarciem umowy kredytowej. Dalsze przetwarzanie danych, uzyskanych wyłącznie w celu oceny zdolności kredytowej i analizy ryzyka kredytowego, w przypadku braku zawarcia stosownej umowy, pozostaje w oderwaniu od celu, dla którego dane zebrano. Na gruncie RODO niedopuszczalne jest – w takim stanie faktycznym, jak w sprawie, gdy nie zawarto umowy kredytowej – przetwarzanie danych osobowych "na przyszłość", w innych celach niż je zebrano, w tym na potrzeby oceny zdolności kredytowej innych osób, gdy nie można zrekonstruować wyraźnej podstawy prawnej takich działań w odniesieniu do uczestnika postępowania.
Skoro w sprawie nie mamy do czynienia z sytuacją, w której nawiązano stosunek zobowiązaniowy i dane te są przetwarzane (w tym także udostępniane) przez administratora nie tylko w celu zasadniczym (w celu realizacji umowy), ale także w innych celach, które powstały w trakcie trwania stosunku zobowiązaniowego i które w ocenie administratora winny być, czy mogą być uznane za związane ze stosunkiem prawnym i tym samym kwalifikowane jako "prawnie uzasadnione interesy", to należało uznać, że trafnie PUODO uznał, że brak jest podstaw do uznania, że zachodzi przesłanka z art. 6 ust. 1 lit. f RODO. Dalsze przetwarzanie danych osobowych uczestnika postępowania na przyszłość, i w innych celach wskazywanych obecnie przez [...] nie stanowi przesłanek z art. 6 ust. 1 lit. a -f RODO w okolicznościach faktycznych sprawy.
PUODO nie naruszył więc powołanych w skardze przepisów art. 6 ust. 1 RODO, w tym w szczególności lit. e) tego przepisu, bo [...] przetwarza dane osobowe uczestnika postępowania, z którym nie zawarto umowy kredytowej, jako spółka prawa handlowego, a nie w celu niezbędnym do wykonania zadania realizowanego w interesie publicznym lub w ramach sprawowania władzy publicznej powierzonej [...]. Powołanie się na konieczność zabezpieczenia ekonomiczno-gospodarczego sektora bankowego, zapewnienie stabilności gospodarczej sektora bankowego jako uzasadnienie interesu publicznego, o którym mowa w art. 6 ust. 1 lit. e) RODO, w odniesieniu do przetwarzania danych zawartych w zapytaniu kredytowym osoby, z którą bank nie zawarł umowy nie jest trafne. Umowa zawarta przez [...] z Bankiem nie stanowi samoistnej podstawy legalności przetwarzania danych osobowych uczestnika postepowania, gdyż stosowanie przepisów RODO nie może zostać wyłączone przez zapis umowy.
Nie jest kwestionowane, że udzielanie kredytów jest czynnością bankową. Art. 105 ust. 4 u.P.b. przyznaje jednak bankom jedynie uprawnienie do tworzenia instytucji upoważnionych do gromadzenia, przetwarzania i udostępniania bankom informacji stanowiących tajemnicę bankową we wskazanym zakresie. Warto też podkreślić, że art. 105a ust. 1a, 1b, 1c u.P.b. dotyczy określenia warunków dopuszczalności zautomatyzowanego przetwarzania, w tym profilowania danych osobowych w celu oceny zdolności kredytowej i analizy ryzyka kredytowego. Należy więc przyjąć, że ww. przepisy nie dają podstawy do przetwarzania "na przyszłość" danych osoby, z którą umowy nie zawarto, a cel, dla którego dane zebrano ustał. Tym samym nie można uznać, że przesłanka z art. 6 ust. 1 lit. c) RODO mogła znaleźć zastosowanie w okolicznościach sprawy. Przepis ten dotyczy bowiem sytuacji, gdy przetwarzanie jest niezbędne do wypełnienia obowiązku prawnego administratora danych, a nie realizacji uprawnienia, o którym mowa w art. 105 ust. 4 u.P.b. Ponadto art. 105 ust. 4 u.P.b. nie stanowi o dopuszczalności przetwarzania danych osobowych dotyczących wniosków kredytowych w sytuacji, gdy nie doszło do zawarcia umowy z bankiem.
Podkreślenia wymaga, że art. 105a u.P.b. nie daje też podstaw do dalszego przetwarzania danych uczestnika postępowania już po zakończeniu oceny zdolności kredytowej i analizy ryzyka kredytowego, gdy umowy kredytowej nie zawarto. Tym samym [...], choć powołuje ww. przepisy, nie ma na ich podstawie uprawnienia do dalszego przetwarzania ww. danych, albowiem umowy kredytowej nie zawarto i nie wykazano przesłanki legalizującej działanie [...].
Sąd podziela pogląd Naczelnego Sądu Administracyjnego wyrażony w wyroku
z 27 sierpnia 2019 r. sygn. akt I OSK 2567/17, że gdyby podzielić stanowisko skarżącego, że pozyskanie danych na etapie złożenia wniosku kredytowego uprawnia bank do ich nieograniczonego w czasie przechowywania danych, także po odmowie zawarcia umowy kredytowej, to regulacje zawarte w art. 105 a ust. 2 i 3 i ust. 5 u.P.b., ograniczające w czasie przypadki przetwarzania danych klientów z umów kredytowych pozbawione byłyby sensu (dostępny na orzeczenia.nsa.gov.pl). Jakkolwiek pogląd ten wyrażono na gruncie poprzednio obowiązującej u.o.d.o. i Dyrektywy 95/46, to nie stracił on na aktualności. Przepisy RODO wzmacniają bowiem w porównaniu z Dyrektywą 95/46 ochronę danych osób fizycznych. Aktualności ww. poglądu NSA nie zmienia także to, że [...] przyjął w swej praktyce określone terminy dalszego przetwarzania danych osobowych osoby, z którą nie zawarto umowy kredytu. Zgodnie z art. 5 ust. 1 RODO, dane osobowe muszą być:
a) przetwarzane zgodnie z prawem, rzetelnie i w sposób przejrzysty dla osoby, której dane dotyczą ("zgodność z prawem, rzetelność i przejrzystość");
b) zbierane w konkretnych, wyraźnych i prawnie uzasadnionych celach i nieprzetwarzane dalej w sposób niezgodny z tymi celami; dalsze przetwarzanie do celów archiwalnych w interesie publicznym, do celów badań naukowych lub historycznych lub do celów statystycznych nie jest uznawane w myśl art. 89 ust. 1 za niezgodne z pierwotnymi celami ("ograniczenie celu");
c) adekwatne, stosowne oraz ograniczone do tego, co niezbędne do celów, w których są przetwarzane ("minimalizacja danych");
d) prawidłowe i w razie potrzeby uaktualniane; należy podjąć wszelkie rozsądne działania, aby dane osobowe, które są nieprawidłowe w świetle celów ich przetwarzania, zostały niezwłocznie usunięte lub sprostowane ("prawidłowość");
e) przechowywane w formie umożliwiającej identyfikację osoby, której dane dotyczą, przez okres nie dłuższy, niż jest to niezbędne do celów, w których dane te są przetwarzane; dane osobowe można przechowywać przez okres dłuższy, o ile będą one przetwarzane wyłącznie do celów archiwalnych w interesie publicznym, do celów badań naukowych lub historycznych lub do celów statystycznych na mocy art. 89 ust. 1, z zastrzeżeniem że wdrożone zostaną odpowiednie środki techniczne i organizacyjne wymagane na mocy niniejszego rozporządzenia w celu ochrony praw i wolności osób, których dane dotyczą ("ograniczenie przechowywania");
f) przetwarzane w sposób zapewniający odpowiednie bezpieczeństwo danych osobowych, w tym ochronę przed niedozwolonym lub niezgodnym z prawem przetwarzaniem oraz przypadkową utratą, zniszczeniem lub uszkodzeniem, za pomocą odpowiednich środków technicznych lub organizacyjnych ("integralność i poufność").
Ww. zasady przetwarzania danych osobowych nie pozwalają na arbitralne decydowanie przez administratora – w sytuacji braku wyraźnej podstawy prawnej –
o dalszym przetwarzaniu (a zatem m.in. ich ujawniania przez przesyłanie, udostępniania, utrwalania, organizowania, adaptowania, modyfikowania), mimo ustania celu, dla którego dane w zapytaniu kredytowym były zebrane. Do [...], jako administratora, mają zastosowanie ww. zasady przetwarzania danych określone w art. 5 RODO. Przepis art. 5 ust. 2 RODO stanowi, że administrator jest odpowiedzialny za przestrzeganie ust. 1 i musi być w stanie wykazać, że przestrzega ww. zasad ("rozliczalność").
Zdaniem Sądu, wbrew zarzutom skargi o naruszeniu art. 6 ust. 1 lit. c) i f) RODO, PUODO wskazał w toku postępowania, że [...] nie wykazał, iż dysponuje przesłanką legalności przetwarzania danych osobowych uczestnika postępowania, zawartych
w ww. zapytaniu kredytowym, po tym, gdy wniósł on o usunięcie jego danych osobowych oraz gdy nie zawarto umowy kredytowej. Stanowisko [...] zaprezentowane w skardze, że należało w sprawie sięgnąć do wykładni przepisów u.P.b, AML i Rozporządzenia 75/2013, prowadziłaby do stwierdzenia, że na potrzeby oceny zdolności kredytowej i analizy ryzyka kredytowego, [...] ma prawo nieograniczonego w czasie przetwarzania danych osoby, z którą bank nie zawarł umowy o kredyt, zaś prawo to doznaje ograniczenia, gdy doszło do zawarcia takiej umowy. Wprawdzie [...] nie wskazał, że przetwarzanie danych osobowych uczestnika postepowania będzie nieograniczone w czasie, jednakże – wobec braku podstaw prawnych i ograniczeń czasowych przetwarzania danych osobowych uczestnika - w celach przyjętych przez [...] (już po tym, jak nie zawarto umowy kredytowej i po dokonaniu oceny zdolności kredytowej i analizy ryzyka kredytowego) – można byłoby mówić o nieograniczonym w czasie przetwarzaniu tych danych. Narzucenie przez [...] ograniczeń czasowych dla poszczególnych, przyjętych przez te podmioty nowych celów przetwarzania, potwierdza jedynie, że nie można mówić o takim samym poziomie ochrony danych osobowych na gruncie RODO, jak w przypadku osoby, z którą zawarto umowę.
Sąd podziela pogląd wyrażony przez Naczelny Sąd Administracyjny w ww. wyroku z 27 sierpnia 2019 r., zgodnie z którym takich wyników wykładni art. 105a ust. 1 u.P.b. nie sposób zaakceptować, bowiem prowadzą one do skutków, których nie zakładałby racjonalny ustawodawca, a więc do przyznania szerszego uprawnienia do przetwarzania danych osobowych podmiotów, z którymi banku nie łączy żaden stosunek prawny.
Dalej zwrócić uwagę należy, że przepis art. 105a ust. 1 u.P.b., stanowi, że przetwarzanie przez banki, inne instytucje ustawowo upoważnione do udzielania kredytów oraz instytucje utworzone na podstawie art. 105 ust. 4 u.P.b., informacji stanowiących tajemnicę bankową w zakresie dotyczącym osób fizycznych może być wykonywane, z zastrzeżeniem art. 104, art. 105 i art. 106 - 106d u.P.b., w celu oceny zdolności kredytowej i analizy ryzyka kredytowego.
Zgodnie z art. 105 ust. 1 pkt 1c u.P.b., bank ma obowiązek udzielenia informacji stanowiących tajemnicę bankową wyłącznie instytucjom, o których mowa w ust. 4, w zakresie niezbędnym do stosowania metod wewnętrznych oraz innych metod i modeli, o których mowa w przepisach części trzeciej Rozporządzenia 575/2013. Zgodnie zaś
z art. 105 ust. 4 u.P.b. banki mogą, wspólnie z bankowymi izbami gospodarczymi, utworzyć instytucje upoważnione do gromadzenia, przetwarzania i udostępniania m.in. bankom oraz innym podmiotom określonym w tym przepisie informacji stanowiących tajemnicę bankową w zakresie, w jakim informacje te są potrzebne w związku z wykonywaniem czynności bankowych oraz w związku ze stosowaniem metod wewnętrznych oraz innych metod i modeli, o których mowa w części trzeciej rozporządzenia nr 575/2013.
Podkreślenia wymaga, że art. 105 ust. 4 u.P.b. jest przepisem o charakterze ogólnym, który stanowi o możliwości utworzenia wspólnie z bankowymi izbami gospodarczymi, instytucji upoważnionych do gromadzenia, przetwarzania
i udostępniania danych. Przepis ten nie daje podstaw do nieograniczonego przetwarzania wszelkich danych osobowych przez utworzone instytucje. Zasady przetwarzania danych objętych tajemnicą bankową określa art. 105a u.P.b., którego możliwość uznania za podstawę przetwarzania danych osobowych w sprawie omówiono już wcześniej. Na gruncie tego przepisu należy oceniać zatem dopuszczalność przetwarzania poszczególnych danych osobowych w ściśle określonych celach. Podstawy prawnej przetwarzania danych osobowych uczestnika postępowania przez [...], po tym, jak uczestnik ten wniósł o usunięcie danych osobowych i nie zawarł z Bankiem umowy kredytowej, nie mógł samodzielnie stanowić art. 105 ust. 4 u.P.b., ani też w powiązaniu z wszystkimi innymi powołanymi przez [...] w skardze przepisami u.P.b.
Niezasadne są też zarzuty banku dotyczące naruszenia art. 6 ust. 1 lit. c) RODO w zw. z art. 106d u.P.b. i w związku z przepisami AML.
Zgodnie z art. 106d ust. 1 u.P.b. Banki, inne instytucje ustawowo upoważnione do udzielania kredytów, izby rozliczeniowe utworzone na podstawie art. 67, instytucje utworzone na mocy art. 105 ust. 4, instytucje pożyczkowe, podmioty, których podstawowa działalność polega na udostępnianiu składników majątkowych na podstawie umowy leasingu, oraz podmioty, o których mowa w art. 59d u.k.k., mogą przetwarzać i wzajemnie udostępniać informacje, w tym informacje objęte tajemnicą bankową, w przypadkach: 1) uzasadnionych podejrzeń, o których mowa w art. 106a ust. 3; 2) uzasadnionych podejrzeń popełnienia przestępstw dokonywanych na szkodę banków, innych instytucji ustawowo upoważnionych do udzielania kredytów, instytucji kredytowych, instytucji finansowych, instytucji pożyczkowych oraz podmiotów, o których mowa w art. 59d u.k.k., i ich klientów, w celu i zakresie niezbędnym do zapobiegania tym przestępstwom; 3) wykonywania obowiązków w zakresie określonym w przepisach o przeciwdziałaniu praniu pieniędzy oraz finansowaniu terroryzmu.
Art. 106a ust. 3 Prawa bankowego, do którego odwołano się w art. 106d ust. 1 pkt 1 stanowi, że w przypadku powzięcia uzasadnionego podejrzenia, że zgromadzone na rachunku bankowym środki, w całości lub w części pochodzą lub mają związek z przestępstwem skarbowym lub przestępstwem innym niż przestępstwo, o którym mowa w art. 165a lub art. 229 Kodeksu karnego, bank jest uprawniony do dokonania blokady środków na tym rachunku. Blokada może nastąpić wyłącznie do wysokości zgromadzonych na rachunku środków, co do których zachodzi takie podejrzenie.
Należy zauważyć, że art. 33 ust. 1 AML nakłada na instytucje obowiązane obowiązek m.in. stosowania wobec swoich klientów środków bezpieczeństwa finansowego, których zakres (katalog) znajduje się w art. 34 AML. Art. 34 ust. 1 AML odnosi się m.in. do bieżącego monitorowania stosunków gospodarczych klienta (w tym analizę transakcji przeprowadzanych w ramach stosunków gospodarczych, badanie źródła pochodzenia wartości majątkowych będących w dyspozycji klienta – w przypadkach uzasadnionych okolicznościami, zapewnienie, że posiadane dokumenty, dane lub informacje dotyczące stosunków gospodarczych są na bieżąco aktualizowane). Art. 35 AML wskazuje sytuacje, w których bank jest obowiązany stosować środki bezpieczeństwa finansowego. Art. 36 AML dotyczy kwestii identyfikacji klienta.
Na podstawie art. 49 ust. 1 AML, kopie dokumentów i informacje uzyskane w wyniku stosowania środków bezpieczeństwa finansowego a także dowody potwierdzające przeprowadzone transakcje i ewidencje transakcji, obejmujące oryginalne dokumenty lub kopie dokumentów konieczne do identyfikacji transakcji, przechowuje się przez okres 5 lat licząc od pierwszego dnia roku następującego po roku, w którym zakończono stosunki gospodarcze z klientem lub w którym przeprowadzono transakcje okazjonalne.
W przypadku dokonania analizy przeprowadzonej transakcji i udokumentowania jej analizy, zgodnie z art. 34 ust. 3 AML, instytucja pożyczkowa, na mocy art. 49 ust. 2 AML, jest obowiązana do przechowywania jej wyników przez 5 lat, licząc od pierwszego dnia roku następującego po roku ich przeprowadzenia.
Z ww. przepisów wynika uprawnienie do monitorowania stosunków gospodarczych klienta i stosowania odpowiednich środków bezpieczeństwa finansowego. Nie ma to jednak odniesienia do rozpoznawanej sprawy, gdy nie zawarto umowy kredytowej i nie można mówić o transakcji. Ogólne twierdzenia o celu w postaci "zapewnienia bezpieczeństwa obrotu gospodarczego" nie mogą stanowić – w stanie faktycznym tej sprawy – podstawy legalizującej rozszerzanie podstaw i celów przetwarzania danych osobowych uczestnika postępowania. W art. 2 ust. 2 pkt 2 AML wskazano, że przez stosunki gospodarcze rozumie się stosunki instytucji obowiązanej z klientem związane z działalnością zawodową instytucji obowiązanej, które w chwili ich nawiązywania wykazują cechę trwałości.
Rozszerzanie zatem [...] dopuszczalności przetwarzania danych (zawartych w zapytaniu kredytowym) osoby, z którą nie zawarto umowy kredytowej, z powołaniem się na "zapewnienie bezpieczeństwa obrotu gospodarczego", a zatem szeroko rozumiane, ogólne cele, nie znajduje podstawy na gruncie RODO i jest wprost sprzeczne z zasadą ograniczenia celu (art. 5 ust. 1 lit. b RODO), w sytuacji, gdy nie ma mowy o nawiązaniu stosunku zobowiązaniowego.
Zdaniem Sądu z art. 144 ust. 1 lit. d), art. 145, art. 147 ust. 5 lit. b), art. 170 ust. 3 lit. a), ust. 4 lit. a), art. 171 ust. 2 i art. 179 ust 1 lit. a) Rozporządzenie 575/2013 nie wynika podstawa prawna do dalszego przetwarzania danych osobowych uczestnika postepowania.
Zgodnie z art. 144 ust. 1 lit. d) ww. Rozporządzenia, właściwy organ wydaje zezwolenie na mocy art. 143 na stosowanie przez instytucję metody IRB, w tym na stosowanie własnych oszacowań LGD i współczynników konwersji, wyłącznie wtedy, gdy właściwy organ stwierdzi, że wymogi przewidziane w niniejszym rozdziale są spełnione, w szczególności wymogi przewidziane w sekcji 6, oraz że posiadane przez instytucję systemy w zakresie zarządzania oraz oceny ekspozycji na ryzyko kredytowe są należyte i zostały spójnie wdrożone, w szczególności gdy instytucja wykazała w sposób zadowalający właściwym organom spełnienie następujących norm: (...) d) instytucja gromadzi i przechowuje wszystkie odpowiednie dane, aby zapewnić skuteczne wsparcie procesów pomiaru ryzyka kredytowego oraz zarządzania ryzykiem kredytowym. Stosownie do art. 145 ust. 1 ww. Rozporządzenia, jest wymagane, aby instytucja ubiegająca się o możliwość stosowania metody IRB korzystała, w odniesieniu do omawianych kategorii ekspozycji IRB, co najmniej przez trzy lata poprzedzające zakwalifikowanie się do stosowania metody IRB, z systemów ratingowych, które odpowiadały w znacznym stopniu wymogom określonym w sekcji 6 dotyczącym wewnętrznego pomiaru ryzyka i zarządzania ryzykiem. Art. 147 ust. 5 lit. b stanowi zaś, że aby ekspozycje mogły kwalifikować się do kategorii ekspozycji detalicznych przewidzianej w ust. 2 lit. d), spełniają następujące kryteria: są traktowane przez instytucję w procesie zarządzania ryzykiem w sposób spójny w długim okresie. Z kolei art. 170 ust. 3 lit. a, stanowi, że struktura systemów ratingowych dla ekspozycji detalicznych spełnia następujące wymogi: a) systemy ratingowe odzwierciedlają zarówno ryzyko dłużnika, jak i ryzyko transakcji oraz uwzględniają wszystkie istotne właściwości ryzyka dłużnika i ryzyka transakcji. Zgodnie z art. 171 ust. 2 klasyfikując dłużników i instrumenty do klas lub pul, instytucja uwzględnia wszystkie istotne informacje. Informacje te są aktualne i umożliwiają instytucji prognozowanie zachowania ekspozycji w późniejszym okresie. Im mniej informacji ma do dyspozycji instytucja, tym ostrożniej klasyfikuje ekspozycje do poszczególnych klas lub pul dłużników i instrumentów. Jeżeli instytucja stosuje rating zewnętrzny jako główny czynnik decydujący o przyznaniu wewnętrznego ratingu, instytucja ta zapewnia uwzględnienie innych istotnych informacji oraz stosownie do art. 179 ust. 1 lit. a, przy przeprowadzaniu kwantyfikacji parametrów ryzyka związanego z poszczególnymi klasami lub pulami ratingowymi instytucje stosują następujące wymogi: a) oszacowania własne instytucji dotyczące parametrów ryzyka PD, LGD, współczynnika konwersji i EL uwzględniają wszelkie istotne dane, informacje i metody. Oszacowań dokonuje się na podstawie zarówno doświadczeń z przeszłości, jak i dowodów empirycznych, nie zaś wyłącznie w oparciu o osąd własny. Oszacowania te są wiarygodne i intuicyjne oraz opierają się na istotnych czynnikach odpowiednich parametrów ryzyka. Im mniej danych ma do dyspozycji instytucja, tym ostrożniejsze są jej oszacowania.
Powołane przepisy rozporządzenia 575/2013 nie stanowią podstawy do przetwarzania danych osobowych zawartych w zapytaniach kredytowych osoby, z którą nie zawarto umowy kredytu.
Zdaniem Sądu, obowiązek zbierania informacji przydatnych w zarządzaniu ryzykiem nie może opierać się na naruszeniu przez [...] na gruncie RODO praw osoby fizycznej, która przekazała Bankowi swoje dane osobowe wyłącznie w celu oceny zdolności kredytowej i analizy ryzyka kredytowego, gdy czynność ta nie zakończyła się zawarciem umowy kredytowej. Przepisy powołanego rozporządzenia 575/2013 nie stanowią podstawy do "dalszego" przetwarzania danych zawartych w zapytaniu kredytowym w sytuacji nienawiązania stosunku zobowiązaniowego. Konstruowanie skutecznych i poprawnie działających modeli, o których mowa w powołanym rozporządzeniu 575/2013 może następować wyłącznie w oparciu o dane osobowe pozyskane i przetwarzane w sposób legalny.
PUODO nie kwestionował stosowania Rozporządzenia 575/2013 – w ramach oceny zdolności kredytowej i analizy ryzyka kredytowego – a zatem w związku
z wykonywaniem czynności bankowych co do zasady. Nie wynika jednak z nich podstawa prawna do przetwarzania danych osobowych zawartych w ww. zapytaniach kredytowych, a zatem osoby, z którą umowy kredytowej nie zawarto. Prawo bankowe,
o czym mowa wyżej, ściśle określa cele i zasady przetwarzania danych osobowych,
w tym stanowi, w jakich przypadkach i dla jakich ściśle określonych celów jest dopuszczalne "dalsze" przetwarzanie danych bez zgody osoby fizycznej (po wygaśnięciu zobowiązania). W art. 105a ust. 4 u.P.b. wyraźnie wskazano na cele stosowania metod wewnętrznych oraz innych metod i modeli, o których mowa w części trzeciej Rozporządzenia 575/2013. Prawo bankowe określa też, przez jaki czas mogą być przetwarzane dane stanowiące tajemnicę bankową po wygaśnięciu zobowiązania. Rozciąganie uprawnienia [...] do dalszego przetwarzania danych osobowych zawartych w ww. zapytaniu kredytowym, gdy nie powstało zobowiązanie nie może spotkać się w świetle przepisów RODO i u.P.b. z akceptacją Sądu. Także pozostałe w skardze [...] przepisy prawa, o których była już mowa, nie stanowią odrębnej podstawy do zalegalizowania "dalszego" przetwarzania danych wnioskodawcy, które zebrano w ściśle określonym celu - oceny zdolności kredytowej i analizy ryzyka kredytowego.
Niezasadny jest również zarzut naruszenia art. 6 ust. 1 lit. c) RODO w zw. z art. 70a w zw. z art. 105 ust. 4 pkt 1 i 2 u.P.b. Zgodnie z art. 70a ust. 1 u.P.b., w brzmieniu mającym zastosowanie w sprawie, banki i inne instytucje ustawowo upoważnione do udzielania kredytów na wniosek osoby fizycznej, prawnej lub jednostki organizacyjnej niemającej osobowości prawnej, o ile posiada zdolność prawną, ubiegającej się o kredyt przekazują, w formie pisemnej, wyjaśnienie dotyczące dokonanej przez siebie oceny zdolności kredytowej wnioskującego. Zgodnie zaś z art. 70a ust. 2 u.P.b., wyjaśnienie, o którym mowa w ust. 1, obejmuje informacje na temat czynników, w tym danych osobowych wnioskującego, które miały wpływ na dokonaną ocenę zdolności kredytowej.
Powstanie obowiązku, o którym mowa w art. 70a ust. 1 u.P.b., uzależnione jest od złożenia wniosku o przedłożenie wyjaśnień dotyczących dokonanej oceny zdolności kredytowej. Z akt nie wynika, aby uczestnik postepowania złożył taki wniosek. Uczestnik zwrócił się natomiast o usunięcie danych osobowych związanych z zapytaniem kredytowym i w związku z odmową w tym zakresie podjął działania przed PUODO.
Dodać również należy, że art. 70a u.P.b. nakłada na banki i inne instytucje ustawowo upoważnione do udzielania kredytów obowiązek przekazywania osobie fizycznej ubiegającej się o kredyt wyjaśnień dotyczących dokonanej oceny zdolności kredytowej wnioskującego. Tego rodzaju obowiązku przepis ten nie nakłada na instytucje, o których mowa w art. 105 ust 4 u.P.b.
Nie może być więc mowy o tym, aby podstawę do dalszego przetwarzania danych osobowych uczestnika postępowania przez [...] stanowił art. 70a ust. 1 i 2 u.P.b.
Sąd, odnosząc się do zarzutów naruszenia art. 6 ust. 1 lit. f) RODO w zw.
z Rekomendacjami KNF S, W i T, uznaje go za niezasadny, podnosząc, że Rekomendacje KNF nie są źródłem prawa powszechnie obowiązującego. Nie ma przy tym podstaw, aby w tym przypadku, w stanie faktycznym sprawy, wywodzić z Rekomendacji KNF – wobec osoby, z którą nie zawarto umowy kredytowej i która zażądała usunięcia danych – prawnie uzasadnione interesy [...], o których jest mowa w art. 6 ust. 1 lit. f) RODO.
Należy podkreślić, że Rekomendacje KNF, które zawierają konkretne wymagania regulacyjne wobec narzędzi używanych przez banki, nie powinny być interpretowane w sprzeczności z RODO w zakresie legalności przetwarzania danych (w zakresie zapytań kredytowych) osób, z którymi nie zawarto umów kredytowych, nie mogą być wykładane w sposób prowadzący do nieuprawnionego przetwarzania takich danych. Twierdzenie, że wypełnienie nakazu organu w postaci usunięcia danych osobowych uczestnika, przetwarzanych bez uzasadnionej podstawy prawnej prowadziłoby do uniemożliwienia [...] realizacji ww. Rekomendacji KNF, nie daje podstaw do stwierdzenia
o dopuszczalności "dalszego" przetwarzania na gruncie RODO danych zawartych
w zapytaniu kredytowym osoby, z którą Bank nie zawarł umowy, a jednocześnie nie uzyskał zgody tej osoby na dalsze przetwarzanie jej danych osobowych, w celach innych niż te, w jakich je zgromadził. Także powoływana potrzeba realizacji działań
z zakresu opracowania, utrzymania aktualności i funkcjonalności zbudowanych modeli scoringowych, nie stanowi w stanie faktycznym tej sprawy podstawy przetwarzania –
w odniesieniu do danych osoby, z którą nie zawarto umowy kredytowej – w celu wynikającym z prawnie uzasadnionych interesów [...].
Nietrafny jest przy tym zarzut naruszenia art. 7b k.p.a. w związku z art. 7 i art. 77 k.p.a. - przez niezwrócenie się przez PUODO do KNF jako organu właściwego
w sprawach związanych m.in. z badaniem zdolności kredytowej i analizy ryzyka kredytowego, a także budową modeli scoringowych, w celu kompleksowego wyjaśnienia stanu faktycznego sprawy oraz współdziałania w zakresie niezbędnym do dokładnego wyjaśnienia stanu prawnego, mając na względzie interes społeczny
i słuszny interes obywateli, w postaci ustalenia m.in. należytych zasad, celów i zakresu przetwarzanych danych osobowych o niezrealizowanych zapytaniach kredytowych.
Zgodnie z art. 7b k.p.a., w toku postępowania organy administracji publicznej współdziałają ze sobą w zakresie niezbędnym do dokładnego wyjaśnienia stanu faktycznego i prawnego sprawy, mając na względzie interes społeczny i słuszny interes obywateli oraz sprawność postępowania, przy pomocy środków adekwatnych do charakteru, okoliczności i stopnia złożoności sprawy. W sprawie niniejszej PUODO nie miał obowiązku zwracania się do KNF ani w zakresie dokonywanych ustaleń stanu faktycznego ani w zakresie wyjaśnień stanu prawnego. PUODO jest wyspecjalizowanym organem ochrony danych osobowych, jedynym powołanym
i uprawnionym do monitorowania i egzekwowania RODO, a nadto do upowszechniania wśród administratorów i podmiotów przetwarzających wiedzę o obowiązkach spoczywających na nich na mocy RODO (art. 51, art. 52, art. 57, motyw 123, motyw 129 RODO; wyroki WSA w Warszawie z 21 kwietnia 2022r. sygn. akt II SA/Wa 3131/21; 5 maja 2021r. sygn. akt II SA/Wa 1982/20 - orzeczenia.nsa.gov.pl).
Zdaniem Sądu, nie ma wątpliwości, że PUODO dokonał niezbędnych w sprawie ustaleń faktycznych i zebrał niezbędny materiał dowodowy, zwracał się też do [...] o udzielenie stosownych wyjaśnień i je otrzymał. Organ rozpatrzył wszechstronnie i należycie zgromadzony materiał dowodowy, a ocena tego materiału na gruncie przepisów RODO nie budzi - zdaniem Sądu – zastrzeżeń oraz jest prawidłowa. Odmienna ocena [...] w zakresie wykładni i zastosowania powołanych przez organ przepisów prawa nie stanowi o naruszeniu przepisów postępowania, w tym art. 7, art. 77 i art. 80 k.p.a. Zarzut naruszenia powołanych przepisów, podniesiony przez [...] nie jest więc zasadny. Organ zbadał istnienie interesu prawnego [...] do przetwarzania danych osobowych uczestnika postępowania i uznał, że w świetle obowiązujących przepisów prawa nie zachodził. PUODO nie kwestionował w zaskarżonej decyzji uprawnień instytucji finansowych, w tym [...], do dokonywania ustaleń i ocen w zakresie zdolności kredytowej. Przedmiotem sprawy była ocena zgodności z prawem "dalszego" przetwarzania danych osobowych uczestnika postępowania zawartych w ww. zapytaniach kredytowych, bowiem to przetwarzanie danych było kwestionowane. PUODO bezspornie posiada uprawnienie do dokonania oceny w tym przedmiocie na gruncie RODO, jako organ wyspecjalizowany. Gromadząc materiał dowodowy organ ten nie był przy tym obowiązany do dokonania analizy funkcjonowania sektora finansowego pod kątem wskazywanym w skardze, bo aspekt uprawnienia [...] do oceny zdolności kredytowej i analizy ryzyka kredytowego nie budził wątpliwości, co znalazło wyraz w uzasadnieniu zaskarżonej decyzji.
Sąd nie kwestionuje przy tym "postulatu", że należy dążyć do tego, aby procesy przetwarzania danych osobowych czyniły zadość zarówno przepisom prawa o ochronie danych osobowych, jak i przepisom szeroko pojętego prawa bankowego, z uwzględnieniem zasady proporcjonalności, jednak - w ocenie Sądu - osiągnięcie tego celu w sprawie – przy uwzględnieniu obowiązujących regulacji prawnych – nie jest możliwe w inny sposób, jak przez realizację nakazów usunięcia danych uczestnika, zawartych w zaskarżonym punkcie 2 decyzji, w sytuacji, gdy [...] nie dysponował zgodą uczestnika postępowania na dalsze przetwarzanie jego danych osobowych.
Sąd, odnosząc się ponownie do zarzutu naruszenia art. 6 ust. 1 lit f) RODO, tym razem w nawiązaniu do wskazywanej przez [...] potrzeby przechowywania danych (zawartych w ww. zapytaniu kredytowym) osoby, z którą nie zawarto umowy kredytowej, w celu ustalenia, dochodzenia i ochrony przed roszczeniami, ewentualnego zabezpieczenia roszczeń, na wypadek konieczności obrony lub dochodzenia ewentualnych roszczeń, które mogą się pojawić w określonym czasie po przeprowadzeniu stosownej analizy zdolności kredytowej oraz analizie ryzyka kredytowego wskazania wymaga, że art. 6 ust. 1 lit. f) RODO stanowi o uprawnieniu do przetwarzania, gdy jest ono niezbędne do celów wynikających z prawnie uzasadnionych interesów realizowanych przez administratora lub przez stronę trzecią, z wyjątkiem sytuacji, w których nadrzędny charakter wobec tych interesów mają interesy lub podstawowe prawa i wolności osoby, której dane dotyczą, wymagające ochrony danych osobowych, w szczególności gdy osoba, której dane dotyczą, jest dzieckiem. Za usprawiedliwiony cel w rozumieniu ww. przepisu nie może zostać uznane przetwarzanie danych osobowych na wypadek ewentualnego dochodzenia lub obrony roszczeń. Z akt sprawy nie wynika, aby uczestnik postępowania, który zażądał usunięcia danych w zakresie zapytania kredytowego, miał jakiekolwiek roszczenie na drodze cywilnoprawnej do [...]. Z akt sprawy nie wynika też, aby uczestnik postępowania posiadał jakiekolwiek zobowiązania (w tym także kredytowe), czy był posiadaczem rachunku osobistego lub innych produktów bankowych. Jednoznacznie żądał usunięcia swoich danych osobowych, powołując się na ich przetwarzanie bez podstawy prawnej. Z tego względu nie jest dopuszczalne przyjęcie, że to art. 6 ust. 1 lit. f) RODO mógłby stanowić podstawę dla [...] do "dalszego" przetwarzania ww. danych, na wypadek ewentualnego dochodzenia roszczeń. W toku postępowania administracyjnego nie wykazano i nie wynika to też ze skargi, jakich ewentualnie roszczeń mógłby dochodzić uczestnik, która zażąda usunięcia swoich danych w zakresie ww. zapytań kredytowych i z którą to osobą fizyczną nie zawarto umowy kredytowej. [...] nie wskazał, aby uczestnik postępowania kierował jakiekolwiek roszczenia (zażądał jedynie usunięcia własnych danych osobowych w związku z tym, że ustał cel ich przetwarzania). Ważąc interesy zatem uczestnika postępowania, który żądał respektowania jego praw do ochrony danych osobowych, wynikających z RODO, oraz interesy [...] przedstawiane w postępowaniu administracyjnym i w skardze, w sytuacji, gdy Bank nie zawarł z uczestnikiem postepowania umowy kredytowej, należało uznać, że brak było podstaw do przyjęcia, że spełniona została przesłanka z art. 6 ust. 1 lit. f) RODO.
Sąd rozpoznający sprawę podziela pogląd Naczelnego Sądu Administracyjnego, zgodnie z którym niedopuszczalne jest przetwarzanie danych osobowych niejako "na zapas" z założeniem, że mogą być one ewentualnie przydatne w przyszłości, na przykład z odwołaniem się do przepisów dotyczących przedawnienia roszczeń (por. wyrok NSA z 27 marca 2018r. sygn. akt I OSK 1459/16, orzeczenia.nsa.gov.pl). Wywodzenie zatem także z kwestii przedawnienia roszczeń samodzielnej podstawy do przetwarzania danych – w sytuacji, gdy mowa o danych osoby, z którą Bank nie zawarł umowy kredytowej, nie jest uprawnione i nie stanowi przesłanki do ich dalszego przetwarzania.
Celem RODO, tak, jak poprzednio Dyrektywy 95/46/WE, jest ochrona prywatności, która powinna być rozpatrywana także w świetle art. 8 Konwencji o Ochronie Praw Człowieka i Podstawowych Wolności. W sprawie tej nie istnieje tego rodzaju powiązanie pomiędzy osobą, której dane dotyczą a bankiem, jak również pomiędzy tą osobą a [...], które pozwalałoby "wyprowadzić" istnienie prawnie uzasadnionego interesu po stronie [...] w "dalszym" przetwarzaniu danych tej osoby.
Z okoliczności sprawy nie wynika przy tym, aby osoba ta mogła spodziewać się
w czasie, gdy pozyskiwano od niej dane w celu oceny zdolności kredytowej i ryzyka kredytowego, że będą one "dalej" przetwarzane mimo nie zawarcia umowy kredytowej (por. motyw 47 RODO). Jako prawnie uzasadniony interes administratora na gruncie art. 6 ust. 1 lit. f) RODO nie może być rozumiana każda potrzeba wygenerowana przez danego administratora w związku z prowadzoną działalnością gospodarczą. Przyjęcie takiej koncepcji poddawałoby w wątpliwość funkcjonowanie wszystkich pozostałych przesłanek legalności przetwarzania danych ujętych w RODO, skoro sama potrzeba, pojawiająca się dynamicznie w ramach prowadzonej działalności gospodarczej (handlowej) czyniłaby dopuszczalnym przetwarzanie danych osobowych. Niewątpliwie zaś ten prawnie uzasadniony interes administratora nie może pozbawiać jednostki prawa do dysponowania własnymi danymi osobowymi i ochrony prywatności.
Pamiętać trzeba również, że celem udostępnienia danych osobowych przez osobę fizyczną było rozpatrzenie konkretnego wniosku kredytowego (cel był ściśle określony), zgodnie z przepisami u.P.b. Powyższe nie daje podstaw do dalszego przetwarzania danych "na przyszłość" po zakończeniu oceny zdolności kredytowej
i analizy ryzyka kredytowego. Samo powołanie się na zasadę rozliczalności (art. 5 ust. 2 RODO) nie legalizuje przetwarzania jakichkolwiek danych. Konieczne jest bowiem, aby w pierwszej kolejności przetwarzanie danych było zgodne z prawem.
Podkreślenia wymaga też, że niezależnie od zrozumienia dla argumentacji [...], co do potrzeb, zamierzeń, czy celów, jakie chciałyby osiągnąć w działalności gospodarczej przez "dalsze" przetwarzanie danych osobowych zawartych w ww. zapytaniach kredytowych uczestnika postepowania, a które wskazano w postępowaniu administracyjnym i w skardze do Sądu, zaskarżony pkt 2 decyzji nie narusza prawa. Cel przetwarzania legalnie zebranych danych osobowych osoby fizycznej - ocena zdolności kredytowej i analizy ryzyka kredytowego - ustał. Tym samym każde inne przetwarzanie danych osobowych, w tym w innych celach niż pierwotnie przewidziane, musi mieć wyraźną podstawę prawną. PUODO wykazał natomiast, że takiej podstawy prawnej, stanowiącej przesłankę do "dalszego" przetwarzania danych osobowych uczestnika postępowania, z którym nie zawarto umowy kredytowej, nie wykazano. Sąd zgadza się, z organem w tym zakresie, wskazując, że podstawy tej nie stanowią też powoływane w skardze przepisy u.P.b., AML, czy Rozporządzenia 575/2013, bo wynikających z nich przetworzeń danych osobowych dokonuje się w celach innych niż cele, w jakich ww. dane zebrano od uczestnika postępowania. W demokratycznym państwie prawnym nie jest dopuszczalne dowolne rozszerzanie uprawnień jakiegokolwiek podmiotu, ani organu władzy ani spółki prawa handlowego, ani żadnego innego podmiotu będącego administratorem w zakresie przetwarzania danych osobowych (art. 47, art. 51 Konstytucji RP). Dane osobowe mogą być przetwarzane co do zasady w celach, w jakich je zebrano. Cele te powinny być adekwatne i ograniczone do tego co niezbędne do ich osiągnięcia, w których zostały zebrane (art. 5 ust. 1 lit. c RODO). Przetwarzanie przez [...] "na przyszłość" danych zawartych w zapytaniach kredytowych, w sytuacji, gdy nie zawarto umowy kredytowej z uczestnikiem postępowania, nie znajduje umocowania w żadnej przesłance z art. 6 ust. 1 RODO.
Przyjęcie natomiast interpretacji zaprezentowanej w skardze prowadziłoby do tego, że wobec osoby, której dane zawarto w zapytaniu kredytowym i z którą nie zawarto umowy kredytowej, istniałaby dowolność, tak co do zasad przetwarzania jej danych osobowych (bez jej zgody, jak można wnioskować ze stanowiska [...] zawartego w skardze), jak również co do przedstawienia innych celów przetwarzania, których nie ujawniono wprost przed pozyskaniem danych (innych niż ocena zdolności kredytowej i ryzyka kredytowego) oraz co do dowolnego ustalenia przez [...] czasu przetwarzania danych z uwzględnieniem przyjmowanych celów, które służą określonym wymogom organu nadzoru nad rynkiem finansowym.
Zdaniem Sądu, gdyby PUODO nie wydał zaskarżonego punktu 2 decyzji, to sytuacja uczestnika postępowania – osoby fizycznej, która zwróciła się z zapytaniem kredytowym i z którą nie zawarto umowy kredytowej – byłaby gorsza z punktu widzenia ochrony danych osobowych przewidzianych w RODO i odczytywanych łącznie z ww. przepisami u.P.b., niż sytuacja osoby, która zawarła umowę kredytową i jej zobowiązanie wygasło. W tym drugim bowiem przypadku, po wygaśnięciu zobowiązania wynikającego z danej umowy, do dalszego przetwarzania danych w [...] niezbędna byłaby zgoda osoby, której dane dotyczą, odwołalna w każdym czasie. Uczestnik postepowania, który zażądał natomiast usunięcia swoich danych osobowych, byłby pozbawiony ochrony, choć przetwarzano jego dane w celu, który nie jest ściśle związany z konkretną czynnością, w związku z którą uzyskano i przetwarzano dane. Sąd w związku z tym uznaje, że [...], chcąc realizować obowiązki nałożone przez instytucje nadzorcze, w zakresie prowadzonej działalności, a jednocześnie chcąc przetwarzać dane osobowe konkretnej osoby fizycznej w konkretnych okolicznościach faktycznych – uczestnika postepowania, który w związku z zapytaniem kredytowym stanowiącym podstawę do zebrania i przetwarzania danych, nie uzyskał kredytu - powinien przestrzegać przepisów RODO w zakresie "dalszego" przetwarzania, które nie wiąże się z oceną zdolności kredytowej i analizą ryzyka. Sąd podziela bowiem prezentowane w orzecznictwie poglądy, zgodnie z którymi dalsze przetwarzanie danych, uzyskanych w celu oceny zdolności kredytowej, w przypadku nie zawarcia tej umowy, pozostawałoby w oderwaniu od celu, dla którego uzyskano i przetwarzano dane osobowe uczestnika postępowania. Tym samy niedopuszczalne jest dalsze przetwarzanie danych osobowych na przyszłość, a także na potrzeby budowy oceny zdolności kredytowej innych podmiotów, jeżeli nie można zrekonstruować wyraźnej podstawy prawnej takich działań, jak miało to miejsce w sprawie (por. wyrok NSA z 27 sierpnia 2019r. sygn. akt I OSK 2567/17, wyroki WSA w Warszawie z: 25 kwietnia 2023r. sygn. akt II SA/Wa 1942/22 i 5 czerwca 2023r. sygn. akt II SA/Wa 1736/22 – dostępne na orzeczenia.nsa.gov.pl).
Zdaniem Sądu w świetle uzasadnienia zawartego w ww. decyzji PUODO, odnoszącego się do punktu 2 tej decyzji za nieuzasadnione należało uznać zarzuty skargi co do naruszenia art. 7, art. 77 § 1 i art. 80 k.p.a., bowiem organ prawidłowo zebrał i ocenił zgromadzony w sprawie materiał dowodowy, opierając się m.in. na wyjaśnieniach [...], dotyczących przetwarzania danych osobowych uczestnika postępowania. Rozważył wszystkie istotne w sprawie okoliczności i odniósł się do podnoszonych przez [...] argumentów. Odmienna ocena [...] w zakresie wykładni i zastosowania powołanych przez organ przepisów prawa, nie stanowi o naruszeniu przepisów postępowania, w tym art. 7, art. 77 i art. 80 k.p.a., szczególnie, gdy organ uzasadniając swoje stanowisko powołał się na obowiązujące przepisy i w sposób logiczny i spójny uzasadnił swoje stanowisko, konstruując uzasadnienie decyzji w zakresie punktu 2 zgodnie z wymogami określonymi w art. 107 § 3 k.p.a.
Podsumowując Sąd stwierdza, że decyzja PUODO jest zgodna z prawem, zaś zarzuty skarg nie zasługiwały na uwzględnienie.
Mając na względzie powyższe Wojewódzki Sąd Administracyjny w na podstawie art. 151 p.p.s.a. orzekł jak w sentencji wyroku.