II SA/Wa 2264/23
Podsumowanie
Przejdź do pełnego tekstuWojewódzki Sąd Administracyjny w Warszawie rozpoznał skargę Banku [...] S.A. na decyzję Prezesa Urzędu Ochrony Danych Osobowych, która nakazywała bankowi zaprzestanie przetwarzania danych osobowych wnioskodawcy w zakresie wynikającym z zapytania kredytowego niezakończonego udzieleniem kredytu. Sąd uchylił zaskarżoną decyzję, uznając, że organ błędnie zinterpretował przepisy Prawa bankowego i RODO. Sąd stwierdził, że bank ma uzasadniony interes prawny w dalszym przetwarzaniu danych osobowych wnioskodawcy, nawet jeśli umowa kredytowa nie została zawarta. Podstawą przetwarzania mogą być cele takie jak analiza ryzyka kredytowego, ochrona przed ewentualnymi roszczeniami, a także obowiązki wynikające z przepisów Prawa bankowego (np. art. 70a) oraz regulacji unijnych (CRR). Sąd podkreślił, że przepisy Prawa bankowego dotyczące przetwarzania danych po niezawarciu umowy nie stanowią zamkniętego katalogu, a interpretacja organu była zbyt wąska i nie uwzględniała wszystkich legalnych podstaw przetwarzania danych przez banki. Sąd wskazał również na potrzebę ponownego zbadania zakresu przetwarzanych danych pod kątem zasady minimalizacji i proporcjonalności.
Przeanalizuj tę sprawę w pełnym kontekście orzecznictwa.
Analiza orzecznictwa · odpowiedzi na pytania · badanie przepisów · drafting pism.
Wartość praktyczna
Siła precedensu: WysokaUzasadnienie dalszego przetwarzania danych osobowych przez banki po niezakończonych zapytaniach kredytowych, interpretacja przepisów RODO i Prawa bankowego w kontekście ochrony danych.
Dotyczy specyficznej sytuacji niezakończonego zapytania kredytowego i interpretacji przepisów prawa bankowego oraz RODO. Wymaga indywidualnej oceny każdego przypadku.
Zagadnienia prawne (3)
Czy bank może przetwarzać dane osobowe wnioskodawcy w związku z zapytaniem kredytowym, które nie zakończyło się zawarciem umowy, w celu analizy ryzyka kredytowego lub ochrony uzasadnionych interesów?Ratio decidendi
Odpowiedź sądu
Tak, bank może przetwarzać dane osobowe w takich celach, o ile wykaże istnienie prawnie uzasadnionego interesu lub obowiązku prawnego, a interpretacja przepisów Prawa bankowego i RODO nie wyklucza takiej możliwości.
Uzasadnienie
Sąd uznał, że interpretacja organu była zbyt wąska i nie uwzględniała wszystkich podstaw prawnych przetwarzania danych przez banki, takich jak analiza ryzyka kredytowego, ochrona przed roszczeniami czy obowiązki wynikające z Prawa bankowego i CRR. Sąd podkreślił, że przepisy Prawa bankowego nie wyczerpują wszystkich możliwości przetwarzania danych po niezawarciu umowy.
Czy decyzja nakazująca zaprzestanie przetwarzania danych osobowych jest niewykonalna, jeśli obejmuje również przechowywanie i usuwanie danych?
Odpowiedź sądu
Nie, decyzja nie jest niewykonalna. Choć usunięcie danych jest formą przetwarzania, intencja sądu była jasna – usunięcie wszelkich informacji związanych z zapytaniem kredytowym.
Uzasadnienie
Sąd uznał, że wykładnia językowa i logiczna pozwala na zrozumienie, że nakaz zaprzestania przetwarzania oznacza konieczność usunięcia danych. Zakres obowiązku został wystarczająco precyzyjnie określony w powiązaniu z uzasadnieniem decyzji.
Czy organ ochrony danych osobowych jest zobowiązany do zwrócenia się o opinię do Komisji Nadzoru Finansowego w sprawach dotyczących przetwarzania danych przez banki?
Odpowiedź sądu
Nie, organ nie jest zobowiązany do zwrócenia się o opinię do KNF, choć może to zrobić w przypadku wątpliwości. Ostateczna ocena prawna należy do organu ochrony danych.
Uzasadnienie
Kompetencja do oceny legalności przetwarzania danych osobowych leży po stronie organu ochrony danych, nawet jeśli sprawa dotyczy sektora bankowego i jego specyficznych regulacji.
Przepisy (10)
Główne
RODO art. 6 § ust. 1 lit. c, f
Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679
Przetwarzanie danych jest dopuszczalne, gdy jest niezbędne do wypełnienia prawnie usprawiedliwionych celów realizowanych przez administratora lub gdy jest niezbędne do wykonania obowiązku prawnego.
Prawo bankowe art. 105a § ust. 1, 1a, 3-7
Ustawa z dnia 29 sierpnia 1997 r. Prawo bankowe
Reguluje przetwarzanie danych objętych tajemnicą bankową w celu oceny zdolności kredytowej i analizy ryzyka kredytowego, w tym po wygaśnięciu zobowiązania.
Pomocnicze
RODO art. 5 § ust. 1 lit. b, c
Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679
Zasady ograniczenia celu i minimalizacji danych.
RODO art. 58 § ust. 2 lit. c
Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679
Uprawnienie organu do nakazania administratorowi danych zaprzestania przetwarzania.
Prawo bankowe art. 70 § ust. 1
Ustawa z dnia 29 sierpnia 1997 r. Prawo bankowe
Bank uzależnia przyznanie kredytu od zdolności kredytowej.
Prawo bankowe art. 70a § ust. 1, 2
Ustawa z dnia 29 sierpnia 1997 r. Prawo bankowe
Prawo klienta do uzyskania wyjaśnień dotyczących oceny zdolności kredytowej.
k.c. art. 118
Ustawa z dnia 23 kwietnia 1964 r. Kodeks cywilny
Przepisy dotyczące przedawnienia roszczeń.
K.p.a. art. 7
Ustawa z dnia 14 czerwca 1960 r. Kodeks postępowania administracyjnego
Obowiązek organu do dokładnego wyjaśnienia sprawy.
K.p.a. art. 77 § § 1
Ustawa z dnia 14 czerwca 1960 r. Kodeks postępowania administracyjnego
Obowiązek wyczerpującego zebrania i rozpatrzenia materiału dowodowego.
K.p.a. art. 107 § § 3
Ustawa z dnia 14 czerwca 1960 r. Kodeks postępowania administracyjnego
Wymogi dotyczące uzasadnienia decyzji.
Argumenty
Skuteczne argumenty
Bank ma uzasadniony interes prawny w dalszym przetwarzaniu danych osobowych wnioskodawcy po niezakończonym zapytaniu kredytowym. • Przepisy Prawa bankowego nie wyczerpują wszystkich podstaw prawnych przetwarzania danych przez banki w takich sytuacjach. • Interpretacja organu ochrony danych była zbyt wąska i nie uwzględniała wszystkich legalnych podstaw przetwarzania.
Odrzucone argumenty
Decyzja organu była niewykonalna z powodu nakazu zaprzestania przetwarzania danych, który obejmuje również przechowywanie i usuwanie. • Organ był zobowiązany zwrócić się o opinię do KNF. • Przetwarzanie danych po niezawarciu umowy kredytowej jest niedopuszczalne bez wyraźnej podstawy prawnej.
Godne uwagi sformułowania
Przetwarzanie danych osobowych na zapas jest niedopuszczalne. • Wykładnia językowa i logiczna pozwala na zrozumienie, że nakaz zaprzestania przetwarzania oznacza konieczność usunięcia danych. • Pomiędzy Bankiem a Wnioskodawcą nie zawiązał się żaden stosunek zobowiązaniowy, który dawałby podstawę do dalszego przetwarzania danych osobowych.
Skład orzekający
Izabela Głowacka-Klimas
przewodniczący
Łukasz Krzycki
sprawozdawca
Arkadiusz Koziarski
członek
Informacje dodatkowe
Wartość precedensowa
Siła: Wysoka
Powoływalne dla: "Uzasadnienie dalszego przetwarzania danych osobowych przez banki po niezakończonych zapytaniach kredytowych, interpretacja przepisów RODO i Prawa bankowego w kontekście ochrony danych."
Ograniczenia: Dotyczy specyficznej sytuacji niezakończonego zapytania kredytowego i interpretacji przepisów prawa bankowego oraz RODO. Wymaga indywidualnej oceny każdego przypadku.
Wartość merytoryczna
Ocena: 7/10
Sprawa dotyczy powszechnego zagadnienia przetwarzania danych osobowych przez banki po złożeniu wniosku kredytowego, co jest istotne dla wielu konsumentów i przedsiębiorców. Wyrok wyjaśnia granice przetwarzania danych w kontekście uzasadnionego interesu banku.
“Czy bank może przechowywać Twoje dane po odrzuceniu wniosku o kredyt? Sąd wyjaśnia.”
Sektor
bankowość
Twój asystent do analizy prawnej.
Zadaj pytanie prawne, zleć analizę orzecznictwa i przepisów, lub poproś o projekt pisma — AI przeszuka 1,4 mln orzeczeń i aktualne akty prawne.
- Analiza orzecznictwa i przepisów
- Drafting pism i dokumentów
- Odpowiedzi na pytania prawne
- Pogłębiona analiza z doktryny
Pełny tekst orzeczenia
Oryginalna treść postanowienia (niezmieniona). Otwiera się jako osobna strona.