II SA/Wa 2264/23

II SA/Wa 2264/23 - Wyrok WSA w Warszawie
Data orzeczenia
2024-05-27
orzeczenie nieprawomocne
Data wpływu
2023-12-01
Sąd
Wojewódzki Sąd Administracyjny w Warszawie
Sędziowie
Arkadiusz Koziarski
Izabela Głowacka-Klimas /przewodniczący/
Łukasz Krzycki /sprawozdawca/
Symbol z opisem
647  Sprawy związane z ochroną danych osobowych
Hasła tematyczne
Ochrona danych osobowych
Skarżony organ
Generalny Inspektor Ochrony Danych Osobowych
Treść wyniku
Uchylono zaskarżoną decyzję
Powołane przepisy
Dz.U. 2023 poz 2488
art. 105a
Ustawa z dnia 29 sierpnia 1997 r. Prawo bankowe (t. j.)
Dz.U.UE.L 2016 nr 119 poz 1 art. art. 4 pkt 2, 6 ust. 1 lit. c, f
Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z  przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE
Sentencja
Wojewódzki Sąd Administracyjny w Warszawie w składzie następującym: Przewodniczący Sędzia WSA Izabela Głowacka-Klimas, Sędzia WSA Łukasz Krzycki (spr.), Asesor WSA Arkadiusz Koziarski, Protokolant starszy sekretarz sądowy Marcin Rusinowicz-Borkowski, po rozpoznaniu na rozprawie w dniu 27 maja 2024 r. sprawy ze skargi [...] S.A. z siedzibą w [...] na decyzję Prezesa Urzędu Ochrony Danych Osobowych z dnia [...] września 2023 r. nr [...] w przedmiocie przetwarzania danych osobowych 1. uchyla zaskarżoną decyzję; 2. zasądza od Prezesa Urzędu Ochrony Danych Osobowych na rzecz strony skarżącej [...] S.A. z siedzibą w [...] kwotę 697 (sześćset dziewięćdziesiąt siedem) złotych, tytułem zwrotu kosztów postępowania.
Uzasadnienie
Zaskarżoną decyzją - przywołując art. 6 ust. 1 oraz art. 58 ust. 2 lit. c rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (Dz.Urz. UE L. nr 119. str. 1, ze zm.), zwanego dalej "RODO", wobec skargi p. R. J., zwanego dalej "Wnioskodawcą" na nieprawidłowości w procesie przetwarzania jego danych osobowych przez [...] Bank Polska S.A., zwany "dalej Bankiem", polegające na czynieniu tego bez podstawy prawnej w zakresie zapytania kredytowego z [...] grudnia 2021 r. niezakończonego udzieleniem kredytu – nakazano Bankowi: zaprzestania przetwarzania danych osobowych Wnioskodawcy, w zakresie wynikającym z zapytania kredytowego z [...] grudnia 2021 r., zwanego dalej "Zapytaniem".
W uzasadnieniu decyzji przywołano następujące okoliczności faktyczne i prawne uwarunkowania sprawy:
- do organu wpłynęła skarga Wnioskodawcy,
- w toku postępowania ustalono następujący stan faktyczny:
- Wnioskodawca - w skardze inicjującej postępowanie - wskazał, że Bank przetwarza jego dane osobowe w związku z Zapytaniem - niezakończonym udzieleniem kredytu; wnioskiem z [...] kwietnia 2022 r. zwrócił się on do Banku z żądaniem zaprzestania przetwarzania swoich danych osobowych - wynikających z Zapytania; w piśmie tym cofnął zgodę na przetwarzanie danych; w odpowiedzi Bank - pismem z [...] maja 2022 r. - odmówił realizacji żądania oraz wskazał, że dane Wnioskodawcy będą przetwarzane przez 5 lat; Wnioskodawca wystąpił więc o nakazanie Bankowi usunięcia swoich danych osobowych i zaprzestania ich dalszego przetwarzania, (tak: skarga z [...] czerwca 2022 r. z załącznikiem);
- wedle stanowiska Banku (tak wyjaśnienia z [...] lipca 2022 r. z załącznikami):
pozyskał on dane osobowe bezpośrednio od Wnioskodawcy [...] grudnia 2021 r. - w związku ze złożeniem wniosku kredytowego; pozyskano dane osobowe Wnioskodawcy w zakresie: dane identyfikacyjne (imię i nazwisko, nazwisko rodowe, nazwisko panieńskie matki, numer PESEL, data urodzenia, obywatelstwo, rodzaj, seria, numer, data wydania i data ważności dokumentu tożsamości oraz jego kserokopia), dane kontaktowe (adres zameldowania, adres zamieszkania/korespondencyjny, numer telefonu, adres e-mail), dane dotyczące sytuacji rodzinnej i finansowej (stan cywilny, liczba dzieci, informacja o rozdzielności majątkowej, wykształcenie, informacje o źródle i wysokości dochodów - w tym dokumenty potwierdzające ich wysokość - dane kontaktowe i identyfikacyjne zakładu pracy, zawód, okres zatrudnienia) i dane finansowe związane z wnioskowanym kredytem - w tym kwota i rodzaj produktu kredytowego oraz cel jego udzielenia; do zawarcia umowy kredytu nie doszło; Wnioskodawca bowiem zrezygnował z kredytu,
- obecnie przetwarza dane osobowe Wnioskodawcy w związku z Zapytaniem na podstawie art. 6 ust. 1 lit. c, w zw. z art. 6 ust. 1 lit. f RODO - z uwagi na konieczność spełniania następujących wymogów: "(...) 1) art. 70 ust. 1 ustawy z 29 sierpnia 1997 r. Prawo bankowe [...] w związku z którym Bank uzależnia przyznanie kredytu od zdolności kredytowej kredytobiorcy, a kredytobiorca jest obowiązany przedłożyć na żądanie banku dokumenty i informacje niezbędne do dokonania oceny tej zdolności; 2) art. 70a i 105a Prawa bankowego, w związku z koniecznością zagwarantowania możliwości uzyskania wyjaśnień dotyczących dokonanej przez Bank oceny zdolności kredytowej (art. 70a Prawa bankowego) lub w związku z koniecznością zapewnienia prawa do otrzymania stosownych wyjaśnień Banku co do podstaw decyzji podejmowanych w trybie art. 105a ust. 1 Prawa bankowego; 3) w zakresie stosowania modeli wewnętrznych oraz innych metod i modeli, o których mowa w części trzeciej rozporządzenia Parlamentu Europejskiego i Rady (UE) nr 575/2013 z 26 czerwca 2013 r. w sprawie wymogów ostrożnościowych dla instytucji kredytowych i firm inwestycyjnych, zmieniającego rozporządzenie (UE) nr 648/2012 (Dz. Urz. UE L 176 z 27.06.2013, str. 1, z późn. zm.), w zw. z art. 105 ust. 4 pkt 1) Prawa bankowego oraz art. 105a ust. 4 Prawa bankowego, tj. m.in. wymogów kapitałowych określonych w część III ww. rozporządzenia - art. 147 ust. 5 w zw. z art. 147 ust. 2 lit. d) (dotyczących metod klasyfikowania ekspozycji do poszczególnych kategorii ekspozycji) lub art. 171 (dot. klasyfikacji do klas lub pul); 4) w związku z wymogami określonymi przez Komisję Nadzoru Finansowego w Rekomendacji T dotyczącej dobrych praktyk w zakresie zarządzania ryzykiem detalicznych ekspozycji kredytowych. (...) 5) oceny ryzyka kredytowego, w tym oceny globalnego ryzyka kredytowego, m.in. na podstawie art. 105a ust. 1 -1 c i 105a ust. 4 Prawa bankowego w zw. powołanymi powyżej przepisami rozporządzenia Parlamentu Europejskiego i Rady (UE) nr 575/2013 z 26 czerwca 2013 r. w sprawie wymogów ostrożnościowych dla instytucji kredytowych oraz zmieniającego rozporządzenie (UE) nr 648/2012, a także w związku z wymogami określonymi przez Komisję Nadzoru Finansowego w Rekomendacji T, określonymi powyżej; 6) konieczności uwzględnienia możliwości dochodzenia przez Skarżącego od Banku ewentualnych roszczeń związanych z przedmiotem niniejszego postępowania, tj. na podstawie art. 6 ust. 1 lit. f) RODO w zw. z art. 118 ustawy z 23 kwietnia 1964 r. Kodeks cywilny, w zw. z art. 82 RODO oraz związanej z tym konieczności umożliwienia Bankowi obrony przed ewentualnymi roszczeniami (art. 6 ust. lit. f) RODO).";
"Pismem z [...] lutego 2022 r. Skarżący zwrócił się z wnioskiem o usunięcie zapytania kredytowego zrealizowanego w BIK S.A. przez Bank w związku z procesowaniem wniosku kredytowego z [...].12.2021 r. Bank udzielił Skarżącemu odpowiedzi w formie pisma z [...] lutego 2022 r. (...) Na dodatkowe pismo Skarżącego z [...] marca 2022 r. Bank udzielił odpowiedzi w postaci pisma z [...] marca 2022 r. (...) Kolejna korespondencja Skarżącego w tej sprawie (tj. pismo z [...] kwietnia 2022 r.) zostało równolegle zaewidencjonowane i przeprocesowanie przez Bank jako reklamacja, a także wniosek o usunięcie danych osobowych Skarżącego z zasobów Banku. W związku z powyższym, w odpowiedzi na ww. pismo Skarżącego Bank udzielił odpowiedzi w postaci pism: z [...] maja 2022 r. (w zakresie wniosku o osunięcie danych osobowych), oraz [...] czerwca 2022 r. (w zakresie postępowań reklamacyjnych).",
- Bank wskazał również, że: "(...) nie posiada informacji, aby Skarżący wystąpił w stosunku do Banku z roszczeniem. Dodatkowo, Inspektor Ochrony Danych Banku nie otrzymał informacji o innych, nowych zgłoszeniach reklamacyjnych zgłoszonych przez Skarżącego i dotyczących przedmiotu niniejszego postępowania, poza zgłoszeniami wskazanymi i dołączonymi do pisma Banku z [...] lipca 2022 r. (...) Do dnia sporządzenia niniejszego pisma Bank nie wystąpił w stosunku do Skarżącego z roszczeniem w związku z wnioskiem kredytowym z [...].12.2021 r. (tak: wyjaśnienia Banku z [...] października 2022 r.),
- obowiązki administratora danych regulują przepisy RODO, do których należy przetwarzanie danych osobowych z zachowaniem przesłanek tam określonych; przepisem uprawniającym administratorów do przetwarzania zwykłych danych osób fizycznych - w tym udostępniania - jest art. 6 ust. 1 RODO; zgodnie z nim, przetwarzanie danych jest dopuszczalne tylko pod warunkiem wystąpienia jednej z przesłanek wskazanych w tym przepisie; ich katalog jest zamknięty; każda z legalizujących proces przetwarzania danych osobowych przesłanek ma charakter autonomiczny i niezależny; proces przetwarzania danych osobowych musi być też zgodny z zasadami, ustanowionymi w art. 5 ust. 1 RODO; zalicza się do nich m.in. ograniczenie celu (art. 5 ust. 1 lit. b RODO) oraz minimalizację danych (art. 5 ust. 1 lit. c RODO); wedle tych zasad dane osobowe można zbierać tylko w konkretnych, wyraźnych i prawnie uzasadnionych celach i nie przetwarza się ich dalej niezgodnie z tymi celami, a proces przetwarzania danych osobowych winien być adekwatny, stosowny oraz ograniczony do tego, co niezbędne do celów, w których są przetwarzane,
- zgodnie z art. 105a ust. 1 ustawy z dnia 29 sierpnia 1997 r. - Prawo bankowe (Dz. U. z 2022 r., poz. 2324 ze zm.), przetwarzanie przez banki, a także instytucje utworzone na podstawie art. 105 ust. 4 danego aktu, stanowiących tajemnicę bankową informacji, w zakresie dotyczącym osób fizycznych, można wykonywać - z zastrzeżeniem art. 104, 105 i art. 106-106d ustawy – Prawo bankowe - w celu oceny zdolności kredytowej i analizy ryzyka kredytowego; zgodnie zaś z art. 105a ust. 4 danej ustawy, banki oraz instytucje, o których mowa w art. 105 ust. 4, mogą przetwarzać stanowiące tajemnicę bankową zaś dotyczące osoby fizycznej informacje, po wygaśnięciu zobowiązania wynikającego z umowy zawartej z bankiem lub inną instytucją ustawowo upoważnioną do udzielania kredytów bez zgody osoby, której informacje dotyczą, do celów stosowania metod wewnętrznych oraz innych metod i modeli, o których mowa w części trzeciej rozporządzenia nr 575/2013; stosownie zaś do art. 105a ust. 5 ustawy - Prawo bankowe, przetwarzać - stanowiące tajemnicę bankową - informacji można w przypadkach, o których mowa w ust. 3, przez okres nie dłuższy niż 5 lat od wygaśnięcia zobowiązania, a w przypadku, o którym mowa w ust. 4, przez okres 12 lat od jego wygaśnięcia,
- ponadto - stosownie do art. 70 ust. 1 ustawy - Prawo bankowe, bank uzależnia przyznanie kredytu od zdolności kredytowej kredytobiorcy; przez zdolność kredytową, rozumie się zdolność do spłaty zaciągniętego kredytu wraz z odsetkami w terminach określonych w umowie,
- [...] grudnia 2021 r. Wnioskodawca wystąpił do Banku o udzielenie kredytu; wobec tego Bank - na podstawie art. 105a ust. 1 ustawy - Prawo bankowe, w zw. z art. 70 ust. 1 tej ustawy - był uprawniony do przetwarzania jego danych osobowych w celu oceny zdolności kredytowej; nie doszło jednak ostatecznie do zawarcia umowy kredytu pomiędzy Wnioskodawcą a Bankiem; w związku z tym odpadła przesłanka, legalizująca dalsze przetwarzanie przez Bank danych osobowych Wnioskodawcy; przesłanki - zawarte w art. 105a ustawy - Prawo bankowe - dotyczą bowiem przetwarzania informacji objętych tajemnicą bankową w okresie przed powstaniem zobowiązania, w trakcie jego trwania oraz po wygaśnięciu zobowiązania; pomiędzy Bankiem a Wnioskodawcą nie zawiązał się żaden stosunek zobowiązaniowy, który - stosownie do art. 105a ust. 1-6 ustawy - Prawo bankowe - dawałby podstawę do dalszego przetwarzania danych osobowych; podkreślono, że celem przetwarzania danych osobowych Wnioskodawcy była ocena zdolności kredytowej i analizy ryzyka kredytowego; w związku z dokonaniem przez Bank oceny zdolności kredytowej i analizy ryzyka kredytowego dany cel przetwarzania danych osobowych Wnioskodawcy zrealizowano; brak jest więc podstaw prawnych do kontynuowania tego procesu,
- Bank wskazuje niewłaściwie - jako podstawę przetwarzania danych Wnioskodawcy – "Rekomendację T" Komisji Nadzoru Finansowego (dalej jako KNF"), dotyczącą dobrych praktyk w zakresie zarządzania ryzykiem detalicznych ekspozycji kredytowych w związku z badaniem zdolności kredytowej, korzystania z zewnętrznych baz danych, posiadania narzędzi analitycznych wspierających pomiar poziomu ryzyka związanego z detalicznymi ekspozycjami kredytowymi; Bank był uprawniony do przetwarzania danych osobowych Wnioskodawcy w celu oceny zdolności kredytowej; nie doszło jednak do zawarcia umowy pomiędzy Wnioskodawcą a Bankiem; w związku z tym odpadła przesłanka legalizująca dalsze przetwarzanie przez Bank danych osobowych Wnioskodawcy; celem przetwarzania jego danych osobowych była ocena zdolności kredytowej i analiza ryzyka kredytowego; w związku z dokonaniem przez Bank oceny zdolności kredytowej i analizy ryzyka kredytowego, cel przetwarzania danych osobowych zrealizowano; nie ma wobec tego podstaw prawnych do kontynuowania tego procesu; organ podziela pogląd - wyrażony w wyroku Naczelnego Sądu Administracyjnego z 27 sierpnia 2019 r. (sygn. akt I OSK 2567/17, dostępny na stronie internetowej orzeczenia.nsa.gov.pl/cbo/query - w Centralnej Bazie Orzeczeń Sądów Administracyjnych, zwanej dalej "CBOSA"); zgodnie z nim: "(...) cel oceny zdolności kredytowej stanowi ocena zdolności do spłaty zaciągniętego kredytu wraz z odsetkami, co ma charakter czynności wstępnej do zawarcia stosownej umowy. Dalsze przetwarzanie danych uzyskanych w celu oceny zdolności kredytowej, w przypadku nie zawarcia stosownej umowy pozostawałaby w oderwaniu od celu dla którego dane te uzyskano. (...) niedopuszczalne jest przetwarzanie danych osobowych na przyszłość, a także na potrzeby budowy oceny zdolności kredytowej innych podmiotów, jeżeli nie można zrekonstruować wyraźnej podstawy prawnej takich działań.",
- nie można również uznać za podstawę przetwarzania danych osobowych Wnioskodawcy celu wskazanego przez Bank - stosowania metod wewnętrznych oraz innych metod i modeli, o których mowa w części trzeciej rozporządzenia Parlamentu Europejskiego i Rady nr 575/2013 z dnia 26 czerwca 2013 r. w sprawie wymogów ostrożnościowych dla instytucji kredytowych i firm inwestycyjnych, zmieniające rozporządzenie (UE) nr 648/2012 (Dz. Urz. UE. L 176/1 z dnia 27 czerwca 2013 r.), zwanego dalej "CRR"; powołany przez Bank art. 105a ust. 4 ustawy - Prawo bankowe daje podstawy do przetwarzania dotyczących osoby fizycznej a stanowiących tajemnicę bankową informacji po wygaśnięciu zobowiązania, wynikającego z umowy zawartej z bankiem bez zgody osoby, której te informacje dotyczą; w przedmiotowej sprawie nie doszło do zawarcia umowy kredytu pomiędzy Wnioskodawcą a Bankiem; nie powstał zatem żaden stosunek zobowiązaniowy - o którym mowa w danym przepisie,
- nie ma uzasadnienia dla przyjęcia, że Bank jest zobowiązany do przetwarzania danych osobowych w związku z koniecznością ewentualnego wypełnienia obowiązku wynikającego z art. 70a ust. 1 i 2 ustawy - Prawo bankowe; stosownie do ust. 1 banki – m.in. na wniosek osoby fizycznej - przekazują w formie pisemnej, wyjaśnienie, dotyczące dokonanej oceny zdolności kredytowej wnioskującego; stosownie zaś do art. 70a ust. 2 danej ustawy wyjaśnienie, o którym mowa w ust. 1, obejmuje informacje na temat czynników - w tym danych osobowych wnioskującego - które miały wpływ na ocenę zdolności kredytowej; powstanie obowiązku, o którym mowa w art. 70a ust. 1, uzależniono od złożenia stosownego wniosku przez osobę ubiegającą się o kredyt; w niniejszej sprawie ustalono, że Wnioskodawca zrezygnował z ubiegania się o kredyt oraz - pismem z [...] kwietnia 2022 r. - zwrócił się do Banku o usunięcie jego danych osobowych, związanych z zapytaniem kredytowym z [...] grudnia 2021 r.; oczywiste jest, że uwzględnienie żądania Wnioskodawcy - usunięcia przedmiotowych danych - będzie skutkować brakiem możliwości udzielenia informacji, wskazanych w art. 70a ust. 1 i 2 ustawy - Prawo bankowe; należy więc uznać, że Wnioskodawca nie był ani nie jest zainteresowany realizacją prawa do złożenia wniosku, o którym mowa w powyższym przepisie; nie można tym samym uznać, aby stanowił on podstawę przetwarzania danych osobowych,
- odnosząc się do powołanego przez Bank celu rozpatrywania ewentualnych reklamacji lub obrony przed roszczeniami, stwierdzono: zebrany w postępowaniu materiał dowodowy nie wykazał, aby Wnioskodawca wystąpił z reklamacją lub jakimkolwiek roszczeniem wobec Banku, które uzasadniałoby uprawnienie tego podmiotu do zachowania i przetwarzania danych osobowych dla celów dowodowych w związku z dochodzeniem roszczenia; przesłanka z art. 6 ust. 1 lit. f RODO dotyczy sytuacji już istniejącej, gdy wynikającym z prawnie uzasadnionych interesów realizowanych przez administratora celem jest konieczność udowodnienia, potrzeba dochodzenia lub obrony przed roszczeniem istniejącym; nie dotyczy to sytuacji, gdy dane są przetwarzane w celu zabezpieczenia się przed ewentualnym roszczeniem,
- organ podziela stanowisko Naczelnego Sądu Administracyjnego, odnoszące się do analogicznej do art. 6 ust. 1 lit. f RODO przesłanki, wynikającej z art. 23 ust. 1 pkt 5 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz.U. 2016 r. poz. 922 ze zm.), dotyczącej dopuszczalności przetwarzania danych osobowych dla wypełnienia prawnie usprawiedliwionych celów realizowanych przez administratorów danych albo odbiorców danych, gdy przetwarzanie nie narusza praw i wolności osoby, której dane dotyczą; w wyroku z 6 marca 2019 r. (sygn. akt I OSK 994/17 – dostępny w CBOSA) wskazano: "(...) art. 23 ust. 1 pkt 5 u.o.d.o. zezwala na przetwarzanie danych gdy jest to niezbędne dla wypełnienia prawnie usprawiedliwionych celów realizowanych przez administratorów danych albo odbiorców danych, a przetwarzanie nie narusza praw i wolności osoby, której dane dotyczą. Dokonując wykładni tego przepisu należy zatem zwrócić uwagę, że stosowanie ww. przepisu wymaga wykazania, że chodzi o realizowanie prawnie usprawiedliwionego celu, ale także dokonanie oceny czy dla realizacji tego celu niezbędne jest przekazanie danych, pomimo braku zgody osoby której dane te dotyczą. Ocena ta sprowadza się do wyważania racji i interesów osoby, której danych sprawa dotyczy, a która jest objęta ochroną prawną, a z drugiej administratora danych, również chronionego przez prawo w zakresie w jakim może realizować prawnie usprawiedliwione cele i uprawnienia. Naczelny Sąd Administracyjny w wyroku z dnia 23 września 2005 r. (sygn. akt I OSK 712/05, CBOSA) już wskazywał, że rozstrzygając o legalności przetwarzania danych trzeba każdorazowo, ważąc interesy stron, znaleźć równowagę między prawami i wolnościami jednostki z jednej strony a prawnie usprawiedliwionym interesem osoby trzeciej z drugiej strony. Oznacza to obowiązek zapewnienia właściwej równowagi praw i interesów stron w tym praw podstawowych. Zdaniem Naczelnego Sądu Administracyjnego przetwarzanie danych osobowych (...), który cofnął zgodę na ich przetwarzanie, nie jest niezbędne dla wypełnienia prawnie usprawiedliwionych celów realizowanych przez (...), a którym jest prawo do podjęcia obrony przed ewentualnymi roszczeniami lub zarzutami dotyczącymi przetwarzania danych (...) w celu obsługi wniosku kredytowego. Wskazać, należy że przepis art. 23 ust. 1 pkt 5 ustawy na pierwszym miejscu wymienia warunek, że przetwarzanie danych winno być niezbędne dla wypełnienia prawnie usprawiedliwionych celów. Prawidłowe jest stanowisko Sądu pierwszej instancji, że niedopuszczalne jest przetwarzanie danych osobowych niejako "na zapas" z założeniem, że mogą być one ewentualnie przydatne w przyszłości. Zauważyć należy, że w rozpoznawanej sprawie znaczenie ma, a no co wskazał organ i Sąd pierwszej instancji, że (...) co prawda w 2012 r. złożył wniosek kredytowy ale strony nie zawarły umowy, a zatem nie powstał między stronami stosunek zobowiązaniowy. Pomiędzy stronami nie toczy się także żadne postępowanie reklamacyjne. Zatem przetwarzania danych strony, a więc na wszelki wypadek, nie można uznać za przetwarzanie niezbędne dla wypełnienia prawnie usprawiedliwionych celów. Zgodnie z art. 23 ust. 1 pkt 2 u.o.d.o. przetwarzanie danych osobowych jest dopuszczalne wtedy, gdy jest to niezbędne dla zrealizowania uprawnienia lub spełnienia obowiązku wynikającego z przepisu prawa. Przepis ten dopuszcza możliwość przetwarzania danych, uzależnia jednak legalność tego procesu od spełnienia dwóch istotnych wymogów, tj. istnienia odpowiedniego przepisu prawa, który przyznaje podmiotowi uprawnienie lub nakłada na niego obowiązek oraz niezbędności przetwarzania danych dla zrealizowania tego uprawnienia lub spełnienia obowiązku wynikającego z tego przepisu. Wymogi te powinny być spełnione łącznie.",
- przy przyjęciu odmiennej interpretacji wskazanych przepisów pozbawionoby Wnioskodawcę ochrony na gruncie RODO; przyjęcie za prawidłowe stanowiska - jakoby przetwarzanie danych osobowych w celu uchylenia się od negatywnych skutków w przypadku zgłoszenia w przyszłości ewentualnego i nieokreślonego roszczenia, stanowi prawnie usprawiedliwiony cel, w rozumieniu art. 6 ust. 1 lit. f RODO - oznaczałoby, że dane osobowe Bank może przetwarzać permanentnie - bez konieczności usunięcia; teoretycznie jest wszak możliwe, że Wnioskodawca zwróci się do Banku z roszczeniem po upływie terminu jego przedawnienia; prowadziłoby to do uznania, że przetwarzanie danych osobowych przez Bank ma uzasadnienie w przesłance określonej art. 6 ust. 1 lit f RODO - w celu realizacji prawa do obrony przed ewentualnym roszczeniem - również po upływie terminu przedawnienia; nie ma uzasadnienia dla przyjęcia, że - dotyczące przedawnienia roszczeń wynikających ze stosunków zobowiązaniowych -terminy określają jednocześnie ramy czasowe, w których Bank może przetwarzać dane osobowe; przedawnienie roszczenia nie wywołuje skutków na gruncie ochrony danych osobowych; nie wpływa bowiem na fakt istnienia roszczenia, a powoduje jedynie zmianę w sferze zarzutów procesowych – w postaci możliwości podniesienia okoliczności przedawnienia w sporze sądowym; okolicznością usprawiedliwiającą przetwarzanie danych osobowych w celu dochodzenia roszczeń jest sam fakt istnienia roszczenia oraz zamiar jego dochodzenia, nie jest nią natomiast zmiana w uprawnieniach procesowych podmiotu pozwanego,
- wobec powyższego nie ma w niniejszej sprawie celu, uzasadniającego dalsze przetwarzanie przez Bank danych osobowych Wnioskodawcy, zawartych w Zapytaniu; w odniesieniu do kwestionowanego przezeń przetwarzania danych osobowych przez Bank, nie zaistniała żadna z wyrażonych w art. 6 ust. 1 RODO przesłanek, które stanowiłyby o legalności tego procesu; dlatego też - korzystając z uprawnienia przewidzianego w art. 58 ust. 2 lit c RODO - skierowano do Banku, będącego administratorem danych osobowych Wnioskodawcy, nakaz dotyczący danych osobowych przetwarzanych w związku z Zapytaniem.
Bank, reprezentowany przez pełnomocnika – radcę prawnego, zarzucił wydanie skarżonej decyzji z naruszeniem przepisów:
- postępowania:
. - art. 7 w zw. z art. 77 oraz art. 80 ustawy z dnia 14 czerwca 1960 r. - Kodeks postępowania administracyjnego (Dz.U. z 2023 r., poz. 775), zwanej dalej "K.p.a.", polegające na:
. niepodjęciu wszystkich czynności, niezbędnych do dokładnego wyjaśnienia oraz załatwienia sprawy,
. niewyczerpującym zebraniu i rozpatrzeniu materiału dowodowego,
. braku wszechstronnej i merytorycznej oceny zgromadzonego materiału dowodowego;
. skutkowało to wydaniem niezasadnego nakazu zaprzestania przetwarzania danych osobowych Wnioskodawcy w zakresie wynikającym z Zapytania; w szczególności:
. nie ustalono, że po upływie 12 miesięcy od skierowania przez Bank do Biura Informacji Kredytowej S.A., zwanej dalej "BIK", Zapytania przekazano je do tzw. części statystycznej BIK; tym samym - w dniu wydania zaskarżonej decyzji ([...] września 2023 r.) - zgodnie z wiedzą Banku, informacja o Zapytaniu nie była już dostępna dla innych banków lub innych właściwych podmiotów, czy instytucji w BIK oraz nie wpływała na ocenę zdolności kredytowej Wnioskodawcy;
. nie ustalono wszystkich celów przetwarzania danych osobowych Wnioskodawcy, jak również nie uwzględniono w decyzji wszystkich okoliczności przetwarzania tych danych; w konsekwencji błędnie nie uwzględniono wszystkich podstaw prawnych dalszego przetwarzania danych Wnioskodawcy, gdy nie zawarto umowy o kredyt;
. bezzasadnie pominięto, że - o ile analiza zdolności kredytowej dotyczy rozpoznania oraz oceny ryzyka związanego z przyznaniem kredytu konkretnej osobie w konkretnej wysokości, o tyle - analiza ryzyka kredytowego wiąże się z koniecznością oszacowania ryzyka dla całego banku - związanego z danym portfelem zobowiązań; w celu ustalenia obiektywnych zasad akceptacji, Bank przeprowadza analizę ryzyka kredytowego na podstawie wiedzy zgromadzonej na temat wszystkich osób, które wnioskowały o kredyt; wyraźne rozróżnienie "zdolności kredytowej" oraz "ryzyka kredytowego" jest istotne w niniejszej sprawie, albowiem w uzasadnieniu decyzji przywołano przede wszystkim wyrok o sygn. akt I OSK 2567/17; w orzeczeniu tym tymczasem nie oceniano potrzeby wykorzystania danych pod kątem niezbędności do analizy ryzyka kredytowego; orzekano też na podstawie nieobowiązujących już przepisów - ustawy o ochronie danych osobowych z 1997 roku; nie analizowano zaś przepisów RODO;
. bezzasadnie pominięto, że bazy danych - tworzone przez podmioty, które prowadzą działalność bankową - mają rozbudowaną strukturę – w tym zawierają szereg funkcji wyszukiwania oraz udostępniania raportów; zróżnicowane mogą być również uprawnienia dostępu do zasobów informacji dla poszczególnych grup pracowników - z perspektywy wykonywanych przez nich zadań; dopiero w takim szerokim kontekście należy rozważyć reguły przetwarzania danych osobowych; Bank ma prawo przetwarzać dane Wnioskodawcy; organ winien wyjaśnić co najwyżej, w jakim terminie i dla jakich celów takie przetwarzanie jest uprawnione oraz którzy pracownicy Banku powinni mieć dostęp do tych danych - w zakresie niezbędnym do wykonywania przez nich zadań;
. bezzasadnie założono, że - skoro Wnioskodawca nie był dotychczas zainteresowany realizacją swojego prawa do domagania się od Banku wyjaśnień, dotyczących oceny zdolności kredytowej, a jednocześnie zażądał usunięcia swoich danych osobowych, związanych z zapytaniem kredytowym - musi się liczyć, że "(u)względnienie żądania Skarżącego usunięcia przedmiotowych danych skutkować będzie brakiem możliwości udzielenia informacji wskazanych w art. 70a ust. 1 i 2 prawa bankowego"; z materiału dowodowego nie wynika tymczasem, aby Wnioskodawca istotnie "liczył się" lub był świadomy takich skutków usunięcia swoich danych osobowych; w dniu wydania zaskarżonej decyzji ([...] września 2023 r.) ustawowy obowiązek udzielenia wyjaśnień, co do oceny zdolności kredytowej, nie był ponadto ograniczony żadnym terminem; wobec tego wyłącznie to, że Wnioskodawca nie zażądał do tej pory od Banku wyjaśnień, dotyczących oceny zdolności kredytowej, nie musi oznaczać, że nie zdecyduje się na skierowanie takiego wniosku w przyszłości;
. - art. 7 oraz art. 7b w zw. z art. 8 i 77 K.p.a., przez zaniechanie zwrócenia się przez organ do KNF, jako właściwej w sprawach związanych m.in. z badaniem zdolności kredytowej i analizą ryzyka kredytowego oraz budowy modeli scoringowych w zakresie wykorzystywania - do realizacji tych zadań - danych, w tym osobowych o niezrealizowanych zapytaniach kredytowych; zwrócenie się do KNF pozwoliłoby tymczasem dokładnie wyjaśnić stan faktyczny i prawny sprawy - mając na względzie interes społeczny oraz słuszny interes obywateli - w postaci ustalenia należytych zasad, celów oraz zakresu przetwarzania danych o niezrealizowanych zapytaniach kredytowych tak, aby - zgodnie z zasadą proporcjonalności - procesy przetwarzania danych czyniły zadość zarówno przepisom o ochronie danych osobowych, jak i przepisom szeroko pojętego prawa bankowego oraz zapewnieniu stabilności rynku gospodarczo-finansowego,
- prawa materialnego,
- art. 6 ust. 1 lit. c RODO, w zw. z art. 105 ust. 4 oraz art. 105a ust. 1 - 1c ustawy - Prawo bankowe, poprzez niewłaściwe zastosowanie; w konsekwencji bezzasadnie przyjęto, że - skoro nie doszło do zawarcia umowy kredytu - Bank nie legitymuje się przesłanką przetwarzania danych osobowych Wnioskodawcy, wynikającą z art. 6 ust. 1 lit. c RODO; z przepisów tych wynika tymczasem obowiązek przetwarzania danych (również danych z zapytań kredytowych) przez banki oraz inne instytucje wymienione w art. 105 ust. 4 ustawy - Prawo bankowe, na zasadzie wzajemności i w zakresie, w jakim informacje te są potrzebne bankom do wykonywania czynności bankowych, w tym oceny zdolności kredytowej i analizy ryzyka kredytowego; celem art. 105 ust. 4 jest zatem nie tylko poinformowanie banku, który rozpatruje wniosek kredytowy, ale i przetwarzanie takiego zapytania przez określony czas i tym samym umożliwienie innemu bankowi - w związku z wnioskiem tej samej osoby, złożonym w innym banku - otrzymanie informacji, czy wnioskodawca ubiegał się już o kredyt i z jakim skutkiem; ma to znaczenie dla oceny zdolności i wiarygodności kredytowej dla innego banku; przyjęcie jako właściwego prezentowanego przez organ stanowiska może doprowadzić ostatecznie do zakwestionowania wymiany jakichkolwiek informacji między bankami i BIK; wbrew stanowisku organu, również obowiązki wynikające z art. 105a ust. 1 - 1c Prawa bankowego nie ustają, gdy umowy kredytu nie zawarto; Bank jest bowiem w dalszym ciągu objęty obowiązkiem przetwarzania danych w celu analizy ryzyka kredytowego;
- art. 6 ust. 1 lit. c RODO, w zw. z art. 105 ust. 1 i 4 pkt. 1, art. 5 ust. 1 pkt. 3 oraz art. 70 ust. 1 ustawy - Prawo bankowe, w zw. z art. 9 ust. 2, 3 i 4 ustawy z dnia 12 maja 2011 r. o kredycie konsumenckim (Dz. U. z 2023 r., poz. 1028 ze zm.) zwanej dalej "ustawą o kredycie", poprzez jego niewłaściwe zastosowanie oraz nieuzasadnione przyjęcie, że Bank nie legitymuje się przesłanką przetwarzania danych wynikającą z art. 6 ust. 1 lit. c RODO, gdy cel przetwarzania danych polega na dostarczaniu Bankowi przez BIK informacji (w tym ocen i modeli scoringowych) niezbędnych do wykonywania czynności bankowych (art. 5 ust. 1 pkt 3 Prawa bankowego), w tym udzielania kredytów; ocena zdolności kredytowej jest przy tym obowiązkiem banków (art. 70 ustawy - Prawo bankowe, w zw. z art. 9 ust. 2, 3 i 4 ustawy o kredycie); ponadto brak wynikających z decyzji kredytowych danych wpłynąłby negatywnie na funkcjonujące i przyszłe modele scoringowe;
- art. 6 ust. 1 lit. c RODO w zw. z art. 144 ust 1 lit. d, art. 145 ust. 1, art. 170 ust. 3 lit. a, art. 171 ust. 2, art. 179 ust 1 lit. a oraz art. 181 ust. 2 CRR - poprzez niewłaściwe zastosowanie oraz nieuzasadnione przyjęcie, że Bank nie legitymuje się przesłanką przetwarzania danych wynikającą z art. 6 ust. 1 lit. c RODO w zw. z przepisami CRR; przepisami tymi nałożono tymczasem na banki określone obowiązki w zakresie wymogów ostrożnościowych, a ponadto - na Bank - powinność tworzenia zaawansowanych modeli statystycznych z wykorzystaniem wszystkich istotnych i aktualnych informacji; Bank obowiązany jest natomiast do zachowania spójności modelu; usunięcie danych osobowych Wnioskodawcy w trakcie trzyletniego okresu ich przetwarzania na podstawie przepisów CRR prowadziłoby do naruszenia tego obowiązku;
- art. 6 ust. 1 lit. c RODO, w zw. z art. 106d ust. 3 ustawy - Prawo bankowe, art. 33 ust. 2, i ust. 3 pkt. 6, art. 34 ust. 1 pkt 4, art. 36, 46 oraz art. 49 ust. 1 ustawy z dnia 1 marca 2018 r. o przeciwdziałaniu praniu pieniędzy oraz finansowaniu terroryzmu (Dz.U. z 2023 r., poz. 1124), zwanej dalej "ustawą AML", poprzez ich niezastosowanie; w konsekwencji pominięto, że Bank legitymuje się wynikającą ze wskazanych przepisów przesłanką przetwarzania danych; zobowiązano nimi Bank do przetwarzania informacji, w tym danych osobowych, w celu zapewnienia bezpieczeństwa obrotu gospodarczego - poprzez przeprowadzenie szczegółowego badania na temat klientów, w tym przyszłych, jak i badania powiązań kapitałowo-osobowych;
- art. 6 ust. 1 lit. c RODO w zw. z art. 70a ust. 1 i 2 ustawy - Prawo bankowe, poprzez niewłaściwe zastosowanie; w konsekwencji niezasadnie przyjęto, że art. 6 ust. 1 lit. c RODO nie stanowi podstawy przetwarzania danych Wnioskodawcy, skoro dotychczas nie był on zainteresowany realizacją prawa do domagania się od Banku wyjaśnień, dotyczących dokonanej przez tenże oceny zdolności kredytowej a Wnioskodawca musi się liczyć, że - po usunięciu jego danych - realizacja tego prawa nie będzie możliwa; argumentacja przedstawiona w tym zakresie jest tymczasem oparta na błędnym i nieuprawnionym założeniu, że usunięcie na żądanie Wnioskodawcy danych zwalnia Bank z obowiązku udzielenia wyjaśnień, dotyczących oceny zdolności kredytowej; wniosek taki nie wynika jednak z art. 70a ust. 1 i 2 ustawy - Prawo bankowe; co więcej - w dniu wydania zaskarżonej decyzji ([...] września 2023 r.) - obowiązku przewidzianego w danych przepisach nie ograniczono w czasie; co zauważył natomiast sam organ w uzasadnieniu decyzji, wykonanie tego obowiązku - udzielenie Wnioskodawcy informacji wedle w art. 70a ust. 1 i 2 ustawy - Prawo bankowe - nie będzie możliwe, w razie usunięcia danych osobowych Wnioskodawcy;
- art. 6 ust. 1 lit. f RODO w zw. z art. 117 § 2 i 21, art. 118 i art. 119 ustawy z dnia 23 kwietnia 1964 r. - Kodeks cywilny (Dz. U. z 2023 r., poz. 1610) zwanej dalej "K.c.", poprzez niewłaściwe zastosowanie; w konsekwencji bezzasadnie przyjęto, że przechowywanie danych przez okres przedawnienia roszczeń nie stanowi prawnie uzasadnionego interesu Banku, w rozumieniu art. 6 ust. 1 lit. f RODO - skoro (w momencie wydawania decyzji) ani Bank, ani Wnioskodawca nie zgłosili jeszcze roszczeń; wskazanymi przepisami uprawniono tymczasem Bank do przetwarzania danych osobowych w celu rozpatrywania oraz dochodzenia ewentualnych reklamacji lub roszczeń - również, gdy ani administrator danych osobowych (tu: Bank), ani osoba, której dane dotyczą (tu: Wnioskodawca), nie zgłosiła jeszcze reklamacji lub roszczenia;
- art. 6 ust. 1 lit. f RODO, w zw. z rekomendacjami, wydanymi przez KNF:
"Rekomendacją T", dotyczącą dobrych praktyk w zakresie zarządzania ryzykiem detalicznych ekspozycji kredytowych - załącznik do uchwały KNF nr 59/2013 z dnia 26 lutego 2013 r. (Dz. Urz. KNF z 2013 r., poz. 11),
"Rekomendacją W", dotyczącą zarządzania ryzykiem modeli w bankach - załącznik do uchwały KNF nr 332/2015 z dnia 21 lipca 2015 r. (Dz. Urz. KNF z 2015 r., poz. 49),
"Rekomendacją S", dotyczącą dobrych praktyk w zakresie zarządzania ekspozycjami kredytowymi zabezpieczonymi hipotecznie - załącznik do uchwały KNF nr 492/2019 z dnia 3 grudnia 2019 r. (Dz. Urz. KNF z 2019 r., poz. 39)
poprzez niewłaściwe zastosowanie oraz niezasadne przyjęcie, że Bank nie legitymuje się przesłanką przetwarzania, wynikającą z art. 6 ust. 1 lit. f RODO w zw. ze wskazanymi rekomendacjami; nałożono nimi tymczasem na banki oraz BIK (jako instytucję powołaną na mocy art. 105 ust. 4 ustawy - Prawo bankowe), określone wymagania - nie tylko w związku z oceną danego, konkretnego wniosku kredytowego, ale także co do budowy metod i modeli statystycznych (w tym scoringowych); są one egzekwowane przez KNF – na podstawie bezwzględnie obowiązujących przepisów.
Zarzucono też:
- kwalifikowaną wadliwość decyzji z uwagi niewykonalność, która ma charakter trwały (art. 156 § 1 pkt. 5 K.p.a.); Bankowi nakazano "zaprzestania przetwarzania danych osobowych" Wnioskodawcy; pominięto, że pojęcie "przetwarzania" danych osobowych jest bardzo szerokie; zgodnie z art. 4 pkt 2 RODO, obejmuje także przechowywanie czy usuwanie danych osobowych; skoro - zgodnie z osnową decyzji - Bank ma "zaprzestać przetwarzania" danych osobowych Wnioskodawcy, oznacza to, że nie może wykonać żadnej z operacji wymienionych w art. 4 pkt. 2 RODO - w tym nie ani przechowywać tych danych, ani ich usunąć; w konsekwencji decyzja nie jest możliwa do wykonania; niewykonalność stanowi natomiast podstawę stwierdzenia jej nieważności,
- wydanie decyzji z naruszeniem art. 107 § 1 pkt. 5 oraz § 3 w zw. z art. 104 § 2 K.p.a.; osnowę decyzji sformułowano bowiem niejednoznacznie i nieprecyzyjnie; nie wskazano w niej bowiem ani nie wyjaśniono, jakie konkretnie czynności powinien podjąć Bank; nie jest też jasne, jakie konkretnie dane osobowe Wnioskodawcy i w jakim celu przetwarzane przez Bank, uznano za objęte zakresem "wynikającym z zapytania kredytowego z dnia 16 grudnia 2021 r."; osnowa decyzji powinna być zaś skonstruowana precyzyjnie, aby - po stronie obowiązanego podmiotu (tu: Bank) - nie było żadnych wątpliwości, co do zakresu wynikających z niej powinności; osnowa kwestionowanego aktu nie spełnia tego wymagania; wynika z niej jedynie, wobec jakiego zdarzenia (Zapytanie) należy usunąć dane osobowe Wnioskodawcy; w uzasadnieniu decyzji również nie wyjaśniono, jakie szczegółowe czynności powinien podjąć Bank, aby "zaprzestać przetwarzania" i jakie konkretnie dane osobowe Wnioskodawcy oraz, w jakim celu przetwarzane przez Bank, uznano za objęte zakresem "wynikającym" z Zapytania.
W uzasadnieniu skargi szeroko rozwinięto przywołane wyżej zarzuty.
Wniesiono o uchylenie zaskarżonej decyzji oraz zasądzenie zwrotu kosztów postępowania sądowego.
W odpowiedzi na skargę organ wniósł o jej oddalenie, podtrzymując dotychczasową argumentację.
Sąd zważył, co następuje.
Chybiony jest najdalej idący zarzut skargi - obarczenia kwestionowanej decyzji wadą nieważności. Odwołując się do reguł racjonalnego wykładania treści wypowiedzi - w powiązaniu z wywodami uzasadnienia skarżonego aktu - wynikającą z rozstrzygnięcia powinnością Banku, jest usunięcie wszelkich informacji związanych z operacją obsługi Zapytania Wnioskodawcy. Trafnie zauważono wprawdzie w skardze, że czynność "usunięcia" danych osobowych stanowi - wedle definicji normatywnych (art. 4 pkt 2 RODO) - także formę "przetwarzania danych". Kontekst użycia w osnowie decyzji ogólnego pojęcia "przetwarzanie" danych, w połączeniu z powinnością zaprzestania tej czynności, oznacza - przy zastosowaniu zasad logicznego rozumowania - konieczność usunięcia danych. Intencja jest tu jednoznaczna. W orzeczeniu - wbrew wywodom skargi - wystarczająco precyzyjnie określono też zakres obowiązku. Z osnowy decyzji, w powiązaniu z jej uzasadnieniem, wynika powinność usunięcia z systemu informatycznego Banku, wszelkich informacji pozwalających zidentyfikować operację obsługi Zapytania.
W takich ramach, Sąd ocenił legalność oskarżonej decyzji.
Skarga zasługuje na uwzględnienie, gdyż wydając orzeczenie naruszono przepisy prawa materialnego, zakreślające możliwość przetwarzania danych osobowych wobec prawnie uzasadnionych interesów administratorów (tu Banku), oraz realizacji ciążącego na administratorze obowiązku prawnego, a także regulacji, statuujących właściwość organu, wyspecjalizowanego w sprawach ochrony danych osobowych – w zakresie stosowania przezeń przepisów naprawczych. Miało to istotny wpływ na wynik sprawy. W następstwie tego nie wyjaśniono bowiem jej okoliczności faktycznych w szeregu istotnych aspektów. Stanowi to z kolei o naruszeniu stosownych przepisów postępowanie, zaś mogło mieć istotny wpływ na jej wynik. Ocena orzeczenia w tym zakresie wymaga jednak wpierw prawidłowego ustalenia ram prawnych sprawy - reguł materialnoprawnych.
Organ właściwie wprawdzie opisał uwarunkowania prawne sprawy – w kontekście przytoczenia wynikających z RODO reguł przetwarzania danych osobowych. Niesporne są także fakty w zakresie ustalenia, że - na dzień wydania zaskarżonej decyzji - dane osobowe Wnioskodawcy w związku z Zapytaniem były w konkretnym zakresie nadal przetwarzane w pewnych celach przez Bank (tak stanowisko Banku w toku postępowania). Przywoływanie przez Sąd ponownie okoliczności sprawy w podanych kwestiach nie byłoby zasadne wobec uprzedniego przytoczenia istotnych faktów - przy referowaniu sprawy.
Skoro wynikający z decyzji nakaz stanowił o powinności usunięcia wszelkich danych osobowych Wnioskodawcy wobec konkretnego Zapytania - z wszelkich baz danych administratora - oznacza to brak po jego stronie jakiejkolwiek dokumentacji poszczególnych zdarzeń, które - choćby dla zarchiwizowania - muszą być wszak oznaczone - powiązane z konkretna osobą.
Orzekając w sprawie organ błędnie wyłożył znaczenie normatywne przepisów, zakreślających granice uprawnienia do przetwarzania danych osobowych zamieszczonych w art. 105a ustawy - Prawo bankowe.
Otóż - wedle stanowiska organu - w razie nie zawarcia umowy kredytowej, granice możliwości przetwarzania danych osobowych wnioskodawców dla celów oceny zdolności kredytowej oraz ryzyka kredytowego wyczerpująco określa art. 105a ust. 3-7 ustawy - Prawo bankowe. Stanowisko to nie jest trafne, przy zastosowaniu prawidłowej metody wykładni przedmiotowych regulacji.
Otóż prawodawca - doprecyzowując w ust. 3-7 reguły przetwarzania danych osobowych dla celu zdolności kredytowej oraz ryzyka kredytowego bez zgody zainteresowanych – odniósł to expressis verbis jedynie do przypadków, gdy doszło do zawarcia umowy kredytowej. Nie miał jednak woli wyłączenia tym możliwości przetwarzania danych dla tych samych celów wobec nie zawarcia umowy. Wniosek taki potwierdza brzmienie innych regulacji samej ustawy - Prawo bankowe - w tym art. 70a. W świetle tego przepisu, każdy klient banku jest uprawniony zwrócić się o wyjaśnienie przesłanek rozpoznania jego wniosku – dokonanej oceny zdolności kredytowej (tak ust. 1). Na dzień orzekania w danej sprawie, nie weszła w życie jeszcze regulacja, którą ograniczono czas, gdy uprawnienie to mogło być realizowane przez wnioskujących o kredyt (stosowna nowela ustawy - Prawo bankowe). Do urzeczywistnienia danego prawa po stronie klientów niezbędne jest oczywiście przetwarzanie danych osobowych przez Banku - w zakresie wykraczającym poza granice przewidziane art. 105a ust. 3-7 dalej ustawy.
Chybiona jest przy tym argumentacja organu jakoby - wobec żądania Wnioskodawcy usunięcia jego danych osobowych - Bank mógł się uważać za zwolniony od realizacji stanowionego na szczeblu ustawy obowiązku. Skoro uprawnienia do rezygnacji dla klientów nie przewidziano wprost, nie sposób domniemywać, aby każda żądająca usunięcia swoich danych (np. bezpośrednio po rozpatrzeniu wniosku) osoba miała świadomość utraty konkretnego stanowionego ustawową uprawnienia. Przyjęta w danym przypadku przez organ interpretacja znaczenia reguły legalizującej przetwarzanie danych - wskazanej art 6 ust. 1 lit. C RODO, wypacza sens danej regulacji w przyjętym brzmieniu. Przy takim rozumieniu przepisu, w każdym bowiem przypadku, gdzie przepisy nakazują przetwarzanie danych, konieczne byłoby rozważanie, czy - wobec stanowiska zainteresowanej osoby (jej żądań) - należy konkretną stanowioną prawem powinność przetwarzania danych nadal realizować. Takie rozumienie danej regulacji jest sprzeczne z jej treścią normatywną. W danym zakresie zarzuty skargi są oczywiście zasadne.
Równocześnie - na co słusznie zwrócono uwagę w skardze - wbrew stanowisku organu, z samego brzmienia art. 105a ust. 1 i 1a ustawy - Prawo bankowe, nie wynika, aby ustanowiono nim prawną podstawę przetwarzania danych tylko w okresie od złożenia konkretnego wniosku do jego rozpoznania. Zakreślono tam bowiem wyłącznie cel, gdy dopuszczono przetwarzanie danych osobowych - to ocena zdolności kredytowej i analizy ryzyka kredytowego. Gdyby - jak wywodzi to organ - warunki przetwarzania danych osobowych bez zgody zainteresowanego dla tego celu wyczerpująco określono w przywołanym art. 105a ust. 3-7 ustawy - Prawo bankowe, nie istniałaby żadna podstawa do przetwarzania danych na etapie rozpoznawania wniosków - w tym informowaniu nawzajem banków o złożeniu równoległych wniosków.
Wobec wskazanych uwarunkowań, zasadne jest przyjęcie, że - z woli prawodawcy - na szczeblu ustawowym szczegółowo uregulowano pewne zasady przetwarzania danych osobowych klientów banków (innych instytucji kredytowych) dla potrzeb oceny zdolności kredytowej oraz ryzyka kredytowego (w tym okres przechowywania informacji), jedynie wobec przypadków, gdy doszło do zawarcia umowy kredytowej. W pozostałych zaś sytuacjach, analizując istnienie podstawy przetwarzania danych, należy odnieść się do reguł ogólnych takiego procesu - w tym potrzeby ważenia słusznego interesu osoby, której dane są przetwarzane oraz administratora. Trzeba mieć w tym na uwadze zakres ciążących na banku (instytucji kredytowej), powinności z mocy regulacji szczególnych w tym CRR. Inaczej mówiąc, w art. 105a ust. 3-7 ustawy - Prawo bankowe nie ustanowiono zamkniętego katalogu przypadków, gdy można przetwarzać dane osobowe występującego o kredyt bez jego zgody - lecz jedynie warunki czynienia tego gdy kredyt zawarto.
Zasadne jest wobec tego przyjęcie, że podstawy przetwarzania takich danych mogą wynikać z reguł odrębnych – np. ochrony słusznych interesów banku w obrocie gospodarczym. W tym kontekście należy wskazać, że trafne są zarzuty skargi, gdzie podniesiono, że uzasadniony interes administratora przemawiał za dalszym przetwarzaniem danych osobowych Wnioskodawcy, będących niejako niezbędnym znacznikiem identyfikującym zdarzenie - skierowania konkretnego Zapytania i ewentualnego udzielenia nań odpowiedzi przez Bank.
Nie budzi wątpliwości trafność wywodów Banku, gdzie wskazano, że informacje o określonym zdarzeniu mogą mieć istotne znaczenie zarówno w kontekście przywołanego już obowiązku informacyjnego, zakreślonego art. 70a ustawy – Prawo bankowe, jak i wobec ewentualnych roszczeń, z którymi mogą wobec Banku występować ich niedoszli klienci - w związku z domniemanymi nieprawidłowościami, w kontekście rozpatrywanie ich wniosków kredytowych oraz ewentualnie negatywnymi ich następstwami z perspektywy swoich interesów (nie udzielenie kredytu bądź zaproponowanie go na warunkach, nieakceptowalnych dla konkretnego klienta). Roszczenia mogą dotyczyć także domniemanych nieprawidłowości w zakresie przetwarzanie danych osobowych wnioskujących o kredyt - na etapie procedury rozpoznawanie ich wniosków – a więc także obsługi konkretnego Zapytania przez Bank.
Nie jest trafne stanowisko organu, jakoby możliwość przetwarzania danych osobowych - w kontekście potencjalnych przyszłych roszczeń - mogła być ograniczona wyłącznie do przypadków, gdy toczą się stosowne postępowania - kwestie w tym zakresie wyjaśniano w przedmiotowej sprawie i szczegółowo się do niej odnoszono – nawet, gdy teza taką bywa prezentowana w judykaturze. Sąd w tym składzie poglądu tego nie podziela.
Nie sposób bowiem przyjąć, aby art. 105 ust. 3-7 ustawy - Prawo bankowe - gdzie wymieniono szereg szczegółowych przypadków i warunków przetwarzania danych osobowych klientów przez banki i inne instytucje finansowe - miał być rozumiany jako lex specialis – regulacja wyłączająca uprawnienia, wynikające z ogólnych reguł K.c., w kwestii przedawnienia roszczeń bądź je modyfikująca.
Intencji takiej nie sposób przypisać racjonalnemu prawodawcy na gruncie reguły ogólnej, wyrażonej art. 6 ust. 1 RODO, w szczególności w lit. f tego aktu – w kontekście ewentualnego realnego i drastycznego ograniczenia ochrony przed dochodzeniem potencjalnych roszczeń. Trafnie zauważa Bank, że uznanie, jakoby – wobec nie zawarcia umowy kredytu – jego obowiązkiem było usunięcie danych niedoszłego klienta, wyłączałoby w istocie możliwość ochrony przed jego roszczeniami jeszcze przed ich przedawnieniem. Mogłoby też prowadzić do istotnego ograniczenia praw samych klientów banków i innych instytucji finansowych – np. wobec braku stosownej dokumentacji po stronie wyspecjalizowanych podmiotów rynku finansowego. Inaczej mówiąc, prezentowane przez organ rozumienie przepisów, określających ramy przetwarzania danych osobowych niedoszłych klientów banków i innych instytucji finansowych, gdy nie zawarto umów, pozbawiałoby obie strony praw, wynikających wprost z generalnych reguł prawa materialnego - K.c. Miałoby to wpływ na realia obrotu gospodarczego. Intencji wprowadzenia tak głębokiej modyfikacji w relacje między niedoszłymi kontrahentami - w kontekście sektora bankowego - nie sposób przypisać prawodawcy, wobec aktualnego brzmienia regulacji w danym zakresie. Musiałby ją wyrazić wprost.
Nie jest trafna argumentacja organu, jakoby odnoszenie się do kwestii przedawnienia roszczeń - w kontekście podstaw prawnych przetwarzania danych osobowych - było niezasadne, skoro upływ terminu nie powoduje ich wygaśnięcia. Skoro po terminach przedawnienia możliwość dochodzenia roszczeń jest znacznie ograniczona (instytucja zarzutu przedawnienia), zaś oceny występowania podstaw przetwarzania danych osobowych, dokonuje się w kontekście niezbędności dla celów wynikających z prawnie uzasadnionych interesów realizowanych przez administratora przetwarzanie danych - gdy realizacja potencjalnych roszczeń nie jest faktycznie możliwa – przetwarzanie nie znajduje już racjonalnych podstaw. Istnieje więc obiektywna granica czasowa, gdy nie ma przesłanek legalizujących dalsze przetwarzania danych dla określonego celu.
Trafnie wprawdzie organ przywołuje fragmenty orzeczenia o sygn. akt I OSK 2567/17, gdzie ogólnie odnotowano brak podstaw przetwarzania danych, gdy nie doszło do zawarcia umowy. Pomija jednak część końcową cytowanego fragmentu. Wskazano tam wprost, że bezprawność ta dotyczy przypadków, gdy administrator nie może wskazać prawnie uzasadnionych celów przetwarzania. Przetwarzanie informacji dla celów archiwalnych - wobec powinności z art. 70a ustawy - Prawo bankowe, czy potencjalnego ryzyka roszczeń w celu zabezpieczenia przed nimi - stanowi taki cel, w myśl art. 6 ust. 1 lit. f RODO.
Organ nie odniósł się z kolei stosownie wyczerpująco do innych możliwych – a zdaniem Banku wymaganych - celów przetwarzania danych osobowych, wynikających m.in z CRR – także w kontekście stosownych rekomendacji KNF. Nie można uznać za wystarczające przyjęcie przez organ, że dalsze przetwarzanie danych o zapytaniach nie jest wymagane mimo powoływania przez strony reguł ostrożnościowych, stanowionych na szczeblu ustawodawstwa Unii Europejskiej (w CRR), wobec wadliwego - wąskiego wyłożenie przypadków przetwarzania danych osobowych przez banki, jako wyczerpująco wymienionych w art. 105a ust. 3-7 ustawy - Prawo bankowe (tylko w razie zawarcia umowy). Należy podkreślić, że z uzasadnienia zaskarżonej decyzji nie wynika, aby organ ogólnie kwestionował przydatność przetwarzania danych Wnioskodawcy pozyskanych przy obsłudze operacji Zapytania dla oceny zdolności ryzyka kredytowego, także w kontekście budowy tzw. modeli scoringowych. Wobec błędnego wyłożenia treści normatywnej przepisów prawa bankowego wywodził jedynie, że – po stronie Banku - nie występuje w danym zakresie obowiązek prawny bądź nie jest to niezbędne dla celów wynikających z prawnie uzasadnionych interesów. Może budzić z kolei wątpliwości teza organu, gdzie twierdzono, jakoby problematyka ilości wniosków kredytowych konkretnej osoby, niezakończonych zawarciem umowy, nie miała znaczenia dla oceny zdolności kredytowej, gdy odmienne stanowisko prezentuje tu podmiot rynku finansowego, zajmujący się profesjonalnie obsługą kredytów. Rozstrzygnięcie danej kwestii wymagać może wiedzy specjalnej. Kwestie te wymagają ponownej analizy przy właściwym rozumieniu treści normatywnej stosownych regulacji.
Przedwczesnym byłoby więc zajmowanie przez Sąd stanowiska, czy tak rozumiane rozstrzygnięcie organu naruszałoby również regułę art. 6 ust. 1 lit. c RODO oraz stosowne powołane w skardze regulacja prawa materialnego, z których miałby wynikać obowiązek dalszego przetwarzania danych Wnioskodawcy, w tym rekomendacji KNF. Musiałby w tej kwestii ewentualnie zająć wpierw wyczerpujące stanowisko organ, wydając orzeczenie w sprawie.
Wobec wadliwego wyłożenia treści normatywnej przepisów, zakreślających możliwość przetwarzania danych osobowych Wnioskodawcy, sprawy nie wyjaśniono także w innym istotnym aspekcie.
Co wynika z uzasadnienia decyzji, na dzień orzekania w sprawie, Bank przetwarzał dane Wnioskodawcy w bardzo szerokim zakresie - m.in. dane identyfikacyjne - jak nazwisko panieńskie matki, dane o dokumencie tożsamości - informacje o miejscu i warunkach zatrudnienia, wiele danych teleadresowych (w tym adres email oraz dane kontaktowe miejsca zatrudnienia) itd. W kontekście podstaw, legalizujących przetwarzania tych danych - powinności czy też uzasadnionego interesu prawnego - wymaga wyjaśnienia, czy cały zakres danych jest w istocie niezbędny dla realizacji dopuszczalnych celów przetwarzania, oraz czy dane są gromadzone w sposób umożliwiający dostęp do nich tylko dla realizacji zadań, znajdujących oparcie w art. 6 ust. 1 lit. c lub f RODO. Powinnością Banku jest bowiem minimalizacja przetwarzania danych osobowych wyłącznie do zakresu niezbędnych oraz stosowne ich zabezpieczenie, aby wykluczyć ich wykorzystanie w celach innych niż są nadal legalnie przetwarzane.
Wobec niewyjaśnienia tych kwestii przez organ, przedwczesne byłoby odnoszenie się przez Sąd do zarzutów skargi, jakoby mylnie przyjęto, że dane są nadal dostępne w pewnych zakresach (w tym, kto jest faktycznie obecnie ich dysponentem), bądź że należycie je zabezpieczono przed dostępem w celach innych niż ocena zdolności kredytowej danego Wnioskodawcy, czy też ogólnie ryzyka kredytowego.
Jeżeli Bank przetwarza nadal dane Wnioskodawcy, w zakresie gdzie wykracza to poza uprawnione cele (np. w bazach gdzie możliwy jest do nich szeroki dostęp), organ jest uprawniony - wobec skargi Wnioskodawcy – wydać w stosownym zakresie decyzję naprawczą.
W danym zakresie nie można więc uznać sprawy za właściwie wyjaśnioną, także w kontekście sformułowania stosownego uzasadnienia, co czyni zasadnym zarzuty naruszenia art. 7, 77 § 1 oraz art. 107 § 3 K.p.a.
Chybione są natomiast inne zarzuty skargi z następujących powodów:
- organ nie był obowiązany występować do innej wyspecjalizowanej instytucji - np. KNF - w celu ustalenia ram ciążących na Banku obowiązków, wobec stosownych reguł wewnętrznych, dotyczących funkcjonowania sektora bankowego; określają je bowiem także stosowne ramy normatywne, z uwzględnieniem charakteru rekomendacji; może natomiast zasięgnąć stosownej opinii, o ile poweźmie określone wątpliwości; ostateczna ocena ram prawnych przetwarzania danych osobowych przez sektor bankowy pozostaje w indywidualnej kompetencji organu wyspecjalizowanego w sprawach ochrony danych osobowych,
- orzekając w sprawie, organ nie był obowiązany odnosić się do kwestii przetwarzania przez Bank danych Wnioskodawcy dla potrzeb wynikających z ustawy AML; celu takiego – jako legalizujący przetwarzanie w konkretnych zakresach - nie deklarował administrator na etapie postępowania administracyjnego; niemniej organ odniesie się do tej kwestii obecnie - rozpoznając ponownie sprawę.
Kluczowego znaczenia nie może też mieć, że informacje o ilości składanych wniosków kredytowych mogą być istotne z perspektywy oceny dla potrzeb banków i innych instytucji finansowych zdolności kredytowej czy ryzyka kredytowego. Oznacza to tylko tyle, że w interesie sektora bankowego może być szerokie przetwarzanie takich danych, dla bieżącej oceny kolejnych wniosków - np. przez znaczny okres. Sama użyteczność w danym kontekście nie przesądza jednak, że działania te są nakazane w ramach reguł ostrożnościowych, stanowionych w regulacjach szczególnych. Jeżeli nie jest to wskazane wprost w stosownych, wiążących Bank aktach (w danej kwestii organ nie zajął dotąd wyczerpującego stanowiska), przydatność danych nie może determinować legalności przetwarzania. Przy ocenie, czy przetwarzanie danych Wnioskodawcy jest niezbędne do celów wynikających z prawie uzasadnionych interesów (w myśl art. 6 ust. 1 lit. f RODO), należy mieć na uwadze, że - o ile przetwarzanie informacji o nieprzyznanych kredytach ma istotne znaczenie z perspektywy ograniczenia ryzyka kredytowego - działanie to może dotyczyć nie tylko partykularnego interesu sektora bankowego lecz także publicznego - w kontekście ograniczenia kosztów kredytów, jako następstwa redukcji ryzyka.
Jeżeli intencją Wnioskodawcy było jedynie zaprzestanie przetwarzanie danych osobowych przez Bank w celu oceny jego dalszych wniosków kredytowych – w tym udostępnianie informacji o uprzednich zapytaniach kredytowych podmiotom trzecim, w tym zakresie może koncentrować się dalsze postępowanie organu – wobec konkretnej skargi. Nie musi okazać się konieczna ocena wszelkich aspektów przetwarzania danych Wnioskodawcy przez Bank – np. w celach archiwalnych (w tym ochrona przed roszczeniami, realizacji innych obowiązków), czy w celu tworzenie modeli ostrożnościowych (scoriningu).
Z przytoczonych wyżej przyczyn, na podstawie art. 145 § 1 pkt 1 lit. a i c ustawy z dnia 30 sierpnia 2002 r. - Prawo o postępowaniu przed sądami administracyjnymi (Dz.U. z 2023 r., poz. 1634 ze zm.), orzeczono jak w pkt 1 sentencji. O zwrocie kosztów postępowania orzeczono jak w pkt 2 w myśl art. 200 w zw. z art. 205 § 2 powyższej ustawy oraz § 14 ust. 1 pkt 1 lit. c rozporządzenia Ministra Sprawiedliwości z dnia 22 października 2015 r. w sprawie opłat za czynności radców prawnych (Dz.U. z 2018 r., poz. 265). Do kosztów zaliczono wynagrodzenie pełnomocnika w kwocie 480 zł, wpis sądowy od skargi - 200 zł oraz 17 zł tytułem opłaty skarbowej od pełnomocnictwa.
Rozpatrując ponownie sprawę organ administracji uwzględni ocenę prawną, sformułowaną w niniejszym uzasadnieniu.
-----------------------
19