II SA/Wa 3131/21

II SA/Wa 3131/21 - Wyrok WSA w Warszawie
Data orzeczenia
2022-04-21
orzeczenie prawomocne
Data wpływu
2021-08-31
Sąd
Wojewódzki Sąd Administracyjny w Warszawie
Sędziowie
Andrzej Kołodziej /przewodniczący/
Danuta Kania /sprawozdawca/
Ewa Marcinkowska
Symbol z opisem
647  Sprawy związane z ochroną danych osobowych
Hasła tematyczne
Ochrona danych osobowych
Sygn. powiązane
III OSK 1877/22 - Wyrok NSA z 2025-10-01
Skarżony organ
Generalny Inspektor Ochrony Danych Osobowych
Treść wyniku
Uchylono zaskarżoną decyzję w części
Powołane przepisy
Dz.U. 2019 poz 2325
art. 151 art. 145 par. 1 pkt 1 lit. c
Ustawa z dnia 30 sierpnia 2002 r. Prawo o postępowaniu przed sądami administracyjnymi - t.j.
Dz.U. 2021 poz 735
art. 7 art. 77 art. 80
Ustawa z dnia 14 czerwca 1960 r. Kodeks postępowania administracyjnego - tekst jedn.
Sentencja
Wojewódzki Sąd Administracyjny w Warszawie w składzie następującym: Przewodniczący Sędzia WSA Andrzej Kołodziej, Sędzia WSA Ewa Marcinkowska, Sędzia WSA Danuta Kania (spr.), Protokolant specjalista Monika Gieroń, po rozpoznaniu na rozprawie w dniu 21 kwietnia 2022 r. sprawy ze skarg A. S.A. z siedzibą w W. oraz B. S.A. z siedzibą w W. na decyzję Prezesa Urzędu Ochrony Danych Osobowych z dnia [...] czerwca 2021 r. nr [...] w przedmiocie przetwarzania danych osobowych 1. uchyla zaskarżoną decyzję w zakresie punktu 2, 2. oddala skargę A. S.A. z siedzibą w W. w zakresie punktu 1 decyzji, 3. zasądza od Prezesa Urzędu Ochrony Danych Osobowych na rzecz B. S.A z siedzibą w W. kwotę 697 zł (słownie: sześćset dziewięćdziesiąt siedem złotych) tytułem zwrotu kosztów postępowania.
Uzasadnienie
Prezes Urzędu Ochrony Danych Osobowych (dalej: "Prezes UODO", "organ"), decyzją nr [...] z dnia [...] czerwca 2021 r. działając na podstawie art. 104 § 1 i art. 105 § 1 ustawy z dnia 14 czerwca 1960 r. Kodeks postępowania administracyjnego (Dz. U. z 2020 r., poz. 256 ze zm.), dalej: "k.p.a.", oraz art. 6 ust. 1, art. 58 ust. 2 lit. c rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (Dz. Urz. UE L 119 z dnia 4 maja 2016 r., s. 1 oraz Dz. Urz. UE L 127 z dnia 23 maja 2018 r., s. 2), dalej: "RODO":
1) nakazał [...] Bank S.A. z siedzibą w [...] (dalej: "Bank") zaprzestania przetwarzania danych osobowych A. O. (dalej: "skarżący") dotyczących wniosku kredytowego z dnia [...] czerwca 2020 r., [...] października 2020 r. oraz [...] listopada 2020 r. niezakończonych udzieleniem kredytu,
2) nakazał [...] S.A. z siedzibą w [...] (dalej: "[...]") usunięcie danych osobowych A. O. w zakresie zapytań kredytowych z dnia [...] listopada 2020 r., [...] października 2020 r., [...] czerwca 2020 r., [...] maja 2020 r., [...] kwietnia 2020 r., [...] września 2019 r., [...] sierpnia 2019 r., [...] czerwca 2019 r. i [...] marca 2019 r. przekazanych przez [...] S.A. z siedzibą w [...],
3) umorzył postępowanie w pozostałym zakresie.
W uzasadnieniu powyższej decyzji organ wskazał, że do UODO wpłynęła skarga A. O. na nieprawidłowości w procesie przetwarzania jego danych osobowych przez Bank, polegające na niespełnieniu żądania usunięcia jego danych osobowych, w tym danych przetwarzanych w celach marketingowych oraz udostępnionych na rzecz [...].
W toku postępowania administracyjnego Prezes UODO ustalił, że:
1) Skarżący złożył skargę na Bank z uwagi na odmowę wycofania jego zgody na przetwarzanie jego danych osobowych przez Bank w [...] oraz nieuwzględnienie żądania zaprzestania przetwarzania jego danych osobowych w celach marketingowych. Skarżący żądając usunięcia i zaprzestania przetwarzania jego danych osobowych zaznaczył, że nie posiada konta w Banku oraz żadnych zobowiązań czy umów wskazując jedynie, że wykonał w celach informacyjnych zapytania kredytowe,
2) Bank wskazał, że skarżący wielokrotnie zwracał się do Banku z wnioskiem o udzielenie kredytu, jednak żaden z wniosków nie zakończył się zawarciem umowy. Zakres przetwarzanych przez Bank danych osobowych skarżącego obejmuje: imiona, nazwisko, datę urodzenia, miejsce urodzenia, kraj pochodzenia, obywatelstwo, wykształcenie, stan cywilny, PESEL, NIP, serię i numer dowodu osobistego, datę wydania dowodu osobistego, datę ważności dowodu osobistego, wizerunek, adres zameldowania, zamieszkania oraz do korespondencji, status dewizowy, numer telefonu komórkowego, numer telefonu służbowego, adres e-mail, imiona rodziców, nazwisko panieńskie matki, miejsce zatrudnienia oraz osiągane dochody. Bank wyjaśnił, że do [...] skierowane zostały zapytania kredytowe o skarżącego - osobę fizyczną - w dniu: [...] listopada 2018 r., [...] listopada 2018 r., [...] grudnia 2018 r., [...] kwietnia 2019 r., [...] maja 2019 r., [...] lipca 2019 r., [...] sierpnia 2019 r. oraz zapytania kredytowe w ramach prowadzonej działalności gospodarczej w dniu: [...] stycznia 2020 r., [...] marca 2020 r., [...] maja 2020 r., [...] czerwca 2020 r., [...] października 2020 r., [...] listopada 2020 r.,
3) Bank wyjaśnił, że w związku z wielokrotnymi wnioskami skarżącego dotyczącymi usunięcia z bazy [...] zapytań kredytowych, podjął uznaniowe decyzje i dokonał korekty wcześniejszego ich usunięcia. Zapytania kredytowe skierowane do [...] w dniu: [...] listopada 2018 r., [...] listopada 2018 r., [...] grudnia 2018 r., [...] kwietnia 2019 r. oraz [...] maja 2019 r. - usunięte zostały z bazy [...] w dniu [...] września 2019 r., zaś zapytania z dnia: [...] lipca 2019 r. i [...] sierpnia 2019 r. - usunięte zostały w dniu [...] lutego 2020 r. na podstawie kolejnego wniosku skarżącego. Zapytania kredytowe złożone w ramach prowadzonej działalności gospodarczej, tj. z dnia [...] stycznia 2020 r. - usunięto w dniu [...] lutego 2020 r., z dnia [...] marca 2020 r. - usunięto w dniu [...] maja 2020 r., z dnia [...] maja 2020 r. - usunięto w dniu [...] maja 2020 r.,
4) Bank wskazał, że przetwarzanie informacji pochodzących z wniosków kredytowych, które nie zakończyły się zawarciem z Bankiem umowy kredytowej jest niezbędne do wypełnienia obowiązku wynikającego z art. 70 ustawy z dnia 29 sierpnia 1997 r. Prawo bankowe (Dz. U. z 2021 r., poz. 2439 ze zm.) i uprawnienia do pobrania w związku z tym danych z [...] w oparciu o art. 105 ust. 4 oraz art. 105a ust. 1 ww. ustawy. Bank wskazał, że: "(...) powyższe przesłanki znajdują uzasadnienie w art. 6 ust. 1 lit. b RODO, a więc w związku z wykonywaniem czynności bankowej jest to niezbędne do realizacji umowy lub do podjęcia działań na żądanie osoby, której dane dotyczą przed zawarciem umowy. Kolejną podstawą przetwarzania danych osobowych skarżącego w powiązaniu z wnioskami kredytowymi, które nie zakończyły się zawarciem umowy, jest art. 6 ust. 1 lit. f RODO, tj. prawnie uzasadniony interes realizowany przez administratora danych, jakim jest ewentualne dochodzenie roszczeń powstałych w związku z wykonywaniem czynności bankowych oraz innych wynikających z przepisów powszechnie obowiązujących. Z uwagi na składane przez skarżącego wnioski i reklamacje Bank nie zaprzestał przetwarzania danych powiązanych z wnioskami w celu umożliwienia obrony przed roszczeniami (...)",
5) Bank wyjaśnił, że w dniu [...] lutego 2015 r. za pośrednictwem bankowości elektronicznej skarżący wyraził zgodę na przetwarzanie jego danych dla celów marketingowych Banku. W dniu [...] listopada 2016 r. na podstawie dyspozycji skarżącego, informacja o cofnięciu wzmiankowanej zgody została odnotowana w systemie informatycznym przez pracownika Banku. Po tym terminie Bank nie przetwarzał danych skarżącego do wspomnianych celów, ani nie inicjował komunikacji o charakterze marketingowym. Ponadto, na podstawie dyspozycji skarżącego w dniu [...] października 2019 r. w systemie Banku został odnotowany sprzeciw na przetwarzanie danych skarżącego dla celów marketingowych, który skarżący zgłosił wraz z wnioskiem o usunięcie zapytań kredytowych z bazy [...],
6) [...] w wyjaśnieniach złożonych na potrzeby niniejszego postępowania wskazał, że nie przetwarza obecnie danych osobowych skarżącego przekazanych przez Bank w zapytaniach kredytowych, czy też w zakresie umów kredytowych. Podniósł jednakże, że przetwarza dane skarżącego przekazane przez Bank w 9 zapytaniach zarządzanie klientem złożonych przez Bank w dniach: [...] listopada 2020 r., [...] października 2020 r., [...] czerwca 2020 r., [...] maja 2020 r., [...] kwietnia 2020 r., [...] września 2019 r., [...] sierpnia 2019 r., [...] czerwca 2019 r. i [...] marca 2019 r. Dane z zapytań zarządzanie klientem są przetwarzane w celu rozpatrywania ewentualnych reklamacji lub roszczeń odszkodowawczych klientów oraz w celu wypełnienia obowiązku z art. 15 ust. 1 lit. c w związku z art. 6 ust. 1 lit. f RODO,
Uwzględniając powyższe Prezes UODO wskazał, iż przepisem uprawniającym administratorów danych do przetwarzania zwykłych danych osób fizycznych jest art. 6 ust. 1 RODO, przy czym katalog przesłanek wymienionych w art. 6 ust. 1 RODO, jest zamknięty, a każda z przesłanek legalizujących proces przetwarzania danych osobowych ma charakter autonomiczny i niezależny.
Proces przetwarzania danych osobowych musi być zgodny z zasadami ustanowionymi w art. 5 ust. 1 RODO, do których zalicza się m.in. ograniczenie celu (art. 5 ust. 1 lit. b RODO) oraz minimalizację danych (art. 5 ust. 1 lit. c RODO). Zasady te wymagają, by dane osobowe były zbierane w konkretnych, wyraźnych i prawnie uzasadnionych celach i nieprzetwarzane dalej w sposób niezgodny z tymi celami, a proces przetwarzania danych osobowych był adekwatny oraz ograniczony do tego, co niezbędne do celów, w których są przetwarzane.
Organ wskazał, że co do zasady podstawą prawną przetwarzania danych osobowych klientów przez Bank i [...] jest obecnie art. 6 ust. 1 lit. f RODO, tj. przetwarzanie jest niezbędne do celów wynikających z prawnie uzasadnionych interesów realizowanych przez administratora.
Dalej organ powołał art. 105 ust. 4 Prawa bankowego podnosząc, że w oparciu o ww. przepis utworzone zostało [...]. Wskazał również na treść art. 105a ust. 1, ust. 4 i 5 oraz art. 70 ust. 1 Prawa bankowego.
Uwzględniając powyższe organ stwierdził, że skarżący w dniach: [...] listopada 2018 r., [...] listopada 2018 r., [...] grudnia 2018 r., [...] kwietnia 2019 r., [...] maja 2019 r., [...] lipca 2019 r., [...] sierpnia 2019 r., [...] stycznia 2020 r., [...] marca 2020 r., [...] maja 2020 r., [...] czerwca 2020 r., [...] października 2020 r., [...] listopada 2020 r. wystąpił do Banku z wnioskami o udzielenie kredytu. Zatem Bank oraz [...], na podstawie art. 105a ust. 1 w związku z art. 70 ust. 1 Prawa bankowego, były uprawnione do przetwarzania danych osobowych skarżącego w celu oceny zdolności kredytowej. Nie doszło jednak do zawarcia umowy kredytu pomiędzy skarżącym a Bankiem, a zatem odpadła przesłanka legalizująca dalsze przetwarzanie danych osobowych skarżącego przez Bank oraz [...]. Przesłanki zawarte w art. 105a Prawa bankowego dotyczą bowiem przetwarzania informacji objętych tajemnicą bankową w okresie przed powstaniem zobowiązania, w trakcie jego trwania oraz po wygaśnięciu zobowiązania. Pomiędzy Bankiem a skarżącym nie zawiązał się żaden stosunek zobowiązaniowy, który - stosownie do art. 105a ust. 1 - 6 Prawa bankowego - dawałby podstawę do dalszego przetwarzania danych osobowych skarżącego.
Organ zaznaczył przy tym, że celem przetwarzania danych osobowych skarżącego była ocena zdolności kredytowej i analiza ryzyka kredytowego. W związku z dokonaniem przez Bank tejże oceny, powyższy cel przetwarzania danych osobowych skarżącego został zrealizowany i brak jest podstaw prawnych do kontynuowania tego procesu.
Następnie organ wskazał, że w odniesieniu do danych osobowych pochodzących z zapytań kredytowych z dnia: [...] listopada 2018 r., [...] listopada 2018 r., [...] grudnia 2018 r., [...] kwietnia 2019 r. oraz [...] maja 2019 r. - Bank złożył dyspozycję ich usunięcia z baz [...] S.A. w dniu [...] września 2019 r. W przypadku zapytania z dnia: [...] lipca 2019 r. oraz [...] sierpnia 2019 r. - usunięcie nastąpiło w dniu [...] lutego 2020 r. W zakresie zapytań kredytowych złożonych w ramach prowadzonej działalności gospodarczej, tj.: z dnia [...] stycznia 2020 r. - zapytanie usunięto w dniu [...] maja 2020 r., a z dnia [...] maja 2020 r. - zapytanie usunięto w dniu [...] maja 2020 r.
Z materiału dowodowego zgromadzonego w sprawie wynika natomiast, że Bank w dalszym ciągu przetwarza dane osobowe skarżącego pochodzące z zapytań kredytowych złożonych w dniach: [...] czerwca 2020 r., [...] października 2020 r. oraz [...] listopada 2020 r.
Odnosząc się do powołanego przez Bank oraz [...] celu ustalenia, dochodzenia lub obrony roszczeń, organ wskazał, że w niniejszym postępowaniu materiał dowodowy nie wykazał, aby skarżący wystąpił z jakimkolwiek roszczeniem wobec Banku czy wobec [...], które uzasadniałoby uprawnienie tych podmiotów do zachowania i przetwarzania jego danych osobowych dla celów dowodowych w związku z dochodzeniem przez skarżącego tego roszczenia. Bank i [...] nie wskazały także na istnienie roszczeń, których dochodzą od skarżącego.
Organ podkreślił przy tym, że przesłanka z art. 6 ust. 1 lit. f RODO dotyczy sytuacji już istniejącej, w której celem wynikającym z prawnie uzasadnionych interesów realizowanych przez administratora jest konieczność udowodnienia, potrzeba dochodzenia lub obrony przed roszczeniem istniejącym, nie zaś sytuacji, gdy dane są przetwarzane w celu zabezpieczenia się przed ewentualnym roszczeniem. Przy przyjęciu odmiennej interpretacji ww. przepisów skarżący zostałby pozbawiony ochrony na gruncie RODO oraz ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych (Dz. U. z 2019 r., poz. 1781 ze zm.). Przyjęcie za prawidłowe stanowiska, iż przetwarzanie danych osobowych w celu uchylenia się od negatywnych skutków w przypadku zgłoszenia w przyszłości ewentualnego i nieokreślonego roszczenia, stanowi prawnie usprawiedliwiony cel w rozumieniu art. 6 ust. 1 lit. f RODO oznaczałoby, że dane osobowe skarżącego mogą być przetwarzane przez [...] permanentnie, bez konieczności ich usunięcia. Teoretycznie możliwym jest przecież by skarżący zwrócił się do Banku lub [...] z roszczeniem po upływie terminu przedawnienia roszczenia. Prowadziłoby to tym samym do uznania, że przetwarzanie danych osobowych skarżącego przez Bank i [...] ma uzasadnienie w przesłance określonej art. 6 ust. 1 lit. f RODO w celu realizacji prawa do obrony przed ewentualnym roszczeniem skarżącego również po upływie ww. terminu.
Zdaniem organu, brak jest uzasadnienia dla przyjęcia, iż terminy dotyczące przedawnienia roszczeń wynikających ze stosunków zobowiązaniowych określają jednocześnie ramy czasowe, w których dane osobowe mogą być przetwarzane przez Bank i [...]. Przedawnienie roszczenia nie wywołuje skutków na gruncie ochrony danych osobowych, nie wpływa bowiem na fakt istnienia roszczenia, a powoduje jedynie zmianę w sferze zarzutów procesowych w postaci możliwości podniesienia okoliczności przedawnienia w sporze sądowym. Okolicznością usprawiedliwiającą przetwarzanie danych osobowych w celu dochodzenia roszczeń jest sam fakt istnienia roszczenia oraz zamiar jego dochodzenia, nie jest nią natomiast zmiana w uprawnieniach procesowych podmiotu pozwanego.
Brak jest również uzasadnienia dla przyjęcia, że [...] jest uprawniony do przetwarzania danych osobowych pozyskanych w związku z zapytaniami złożonymi przez Bank w dniach: [...] listopada 2020 r., [...] października 2020 r., [...] czerwca 2020 r., [...] maja 2020 r., [...] kwietnia 2020 r., [...] września 2019 r., [...] sierpnia 2019 r., [...] czerwca 2019 r. i [...] marca 2019 r. w związku z koniecznością ewentualnego wypełnienia obowiązku wynikającego z art. 15 RODO. Skoro bowiem skarżący zażądał usunięcia jego danych osobowych na podstawie art. 17 ust. 1 RODO, należy przyjąć, że nie jest zainteresowany realizacją prawa do dostępu do przetwarzanych jego danych osobowych. Ponadto usunięcie przez administratora danych osobowych nie uniemożliwia mu wykonania obowiązku uregulowanego w art. 15 RODO, gwarantującego osobie, której dane dotyczą, prawa do uzyskania od administratora informacji, czy jej dane są przetwarzane, a w przypadku pozytywnej odpowiedzi na tak postawione pytanie - uprawnienia do dostępu do danych na swój temat oraz uzyskania informacji o okolicznościach przetwarzania danych. Jeśli bowiem, administrator nie przetwarza danych dotyczących osoby, która zwraca się z żądaniem udzielenia informacji, to działanie administratora ogranicza się do odpowiedzi przeczącej i nie ma on obowiązku podawać podmiotowi danych innych informacji.
W ocenie organu w niniejszej sprawie brak jest celu uzasadniającego dalsze przetwarzanie danych osobowych skarżącego zawartych w przedmiotowych zapytaniach kredytowych zarówno przez Bank, jak i przez [...], przy czym Bank i [...] są odrębnymi administratorami danych osobowych skarżącego. Bank stał się administratorem tych danych w związku z ich pozyskaniem w celu oceny zdolności kredytowej, natomiast [...] stał się administratorem danych z uwagi na ich przekazanie przez Bank. Każdy z tych podmiotów przetwarza dane osobowe skarżącego we własnych celach i samodzielnie ustala sposoby ich przetwarzania. W odniesieniu do kwestionowanego przez skarżącego przetwarzania jego danych osobowych przez ww. podmioty nie zaistniała żadna z wyrażonych w art. 6 ust. 1 RODO przesłanka, która stanowiłaby o legalności tego procesu.
W związku z powyższym, korzystając z uprawnienia przewidzianego w art. 58 ust. 2 lit. c RODO, organ zobowiązał Bank oraz [...] do usunięcia danych osobowych skarżącego przetwarzanych w związku z zapytaniami określonymi w sentencji decyzji.
Dalej organ wskazał, iż ze zgromadzonego w sprawie materiału dowodowego wynika, że skarżący dwukrotnie cofał zgodę na przetwarzanie jego danych w celach marketingowych, tj. w dniach: [...] listopada 2016 r. i [...] października 2019 r. W obu przypadkach zgoda ta została odnotowana w systemie informatycznym Banku. Oba oświadczenia zostały złożone przez skarżącego przed dniem [...] stycznia 2020 r., a więc przed wniesieniem do UODO skargi rozpoznawanej w niniejszej sprawie. Zaistniała zatem przesłanka umorzenia postępowania - w zakresie przetwarzania danych osobowych skarżącego w celach marketingowych - ze względu na jego bezprzedmiotowość w rozumieniu art. 105 § 1 k.p.a. Przy czym przesłanka ta wystąpiła jeszcze przed wszczęciem postępowania, co zostało ustalone dopiero w niniejszym postępowaniu.
Pismem z dnia 3 sierpnia 2021 r. [...] wniósł do Wojewódzkiego Sądu Administracyjnego w Warszawie skargę na powyższą decyzję Prezesa UODO z dnia [...] czerwca 2021 r. w części - w zakresie punktu 2, zarzucając naruszenie:
- art. 7 w związku z art. 77 i art. 80 k.p.a. polegające na niewyczerpującym zebraniu i rozpatrzeniu całego materiału dowodowego i niepodjęciu wszelkich kroków niezbędnych do dokładnego wyjaśnienia stanu faktycznego i załatwienia sprawy, co skutkowało nakazem usunięcia danych osobowych skarżącego w systemie [...] w zakresie wskazanym w zaskarżonej decyzji,
- art. 8 i art. 107 § 1 i 3 k.p.a. polegające na nieprecyzyjnym określeniu rozstrzygnięcia w zakresie nakazania [...] usunięcia zapytań kredytowych pochodzących z Banku dotyczących skarżącego oraz nienależytym uzasadnieniu zaskarżonej decyzji, co uniemożliwia realizację zasady pogłębiania zaufania obywateli do organów państwa oraz uniemożliwia realizację decyzji, ponieważ w bazach [...] nie są przetwarzane żadne zapytania kredytowe pochodzące z Banku a dotyczące skarżącego,
- art. 7b k.p.a. polegające na zaniechaniu zwrócenia się do Komisji Nadzoru Finansowego, jako organu właściwego w sprawach obowiązków banków związanych m.in. z wykorzystaniem danych przetwarzanych przez skarżącego na potrzeby czynności bankowych, w tym także badania zdolności kredytowej i analizy ryzyka kredytowego, a także danych osobowych dotyczących zapytań zarządzanie klientami,
- art. 6 ust. 1 lit. c RODO w związku z art. 105 ust. 4 Prawa bankowego, polegające na jego niewłaściwym zastosowaniu i przyjęciu, że [...] nie legitymuje się przesłanką przetwarzania danych wynikającą z art. 6 ust. 1 lit. c RODO w związku z art. 105 ust. 4 Prawa bankowego, podczas gdy [...] wykazuje cel przetwarzania danych osobowych polegający na przekazywaniu bankom raportów zarządzanie klientami w związku z wykonywaniem przez banki czynności bankowych innych niż udzielenie nowego zobowiązania o charakterze kredytowym klientowi banku,
W związku z powyższymi zarzutami [...] wniósł o: uwzględnienie skargi i stwierdzenie nieważności decyzji organu w części dotyczącej punktu 2 decyzji, a na wypadek uznania przez Sąd, że nie ma podstaw do stwierdzenia nieważności decyzji, o jej uchylenie w części - w zakresie punktu 2; wstrzymanie wykonania zaskarżonej decyzji w części dotyczącej punktu 2 decyzji; zasądzenie od organu na rzecz [...] zwrotu kosztów postępowania według norm przepisanych.
W motywach skargi podniesiono w szczególności, że Prezes UODO pominął całkowicie wyjaśnienia [...] z dnia [...] listopada 2021 r., z których wynikało, że raport zarządzanie klientami udostępniany jest bankom w związku z wykonywaniem czynności bankowych innych niż udzielenie nowego zobowiązania o charakterze kredytowym klientowi, a także w sytuacji, gdy: bank składa zapytanie o przedsiębiorcę prowadzącego własną działalność gospodarczą/rolniczą (samodzielnie lub w ramach spółki cywilnej), który wnioskuje w banku o zobowiązanie o charakterze kredytowym na potrzeby prowadzonej działalności gospodarczej i dla oceny zdolności kredytowej oraz analizy ryzyka kredytowego tej osoby niezbędna jest weryfikacja jej zobowiązań, jako konsumenta; bank zamierza przedstawić ofertę klientowi z własnej inicjatywy, jak też w odpowiedzi na zapytanie ofertowe klienta; bank dokonuje weryfikacji, na potrzeby oceny zdolności kredytowej i analizy ryzyka, osoby fizycznej, która jest dłużnikiem z wierzytelności pieniężnej przysługującej innemu podmiotowi, która to wierzytelność ma być przedmiotem nabycia lub została nabyta przez Bank.
Organ nie wziął pod uwagę ww. celów i podstaw prawnych przetwarzania danych, w szczególności faktu, że zapytania zarządzanie klientami mogą być pobierane przez bank w przypadku, gdy bank i klienta łączy stosunek umowny. Podkreślono przy tym, że organ jest zobowiązany do stosowania z urzędu obowiązujących przepisów prawa.
Wskazano również, że organ nie dokonał ustaleń w zakresie wszystkich podstaw prawnych i celów przetwarzania danych osobowych przez [...] S.A., choć z drugiej strony uznał, że takie podstawy prawne istnieją powołując art. 6 ust. 1 lit. f RODO. Organ postawił niejako znak równości pomiędzy przetwarzaniem przez Bank danych zgromadzonych we wnioskach kredytowych niezakończonych zawarciem umowy, a danymi osobowymi przetwarzanymi przez [...] w zakresie zapytań zarządzanie klientami. Tymczasem cele przetwarzania jak i podstawy są zasadniczo różne. Zapytania kredytowe są składane przez banki w [...] w celu oceny zdolności kredytowej konsumentów w ramach procesu podejmowania decyzji kredytowej (niekoniecznie zatem zapytanie o konkretną osobę dotyczy klienta banku, bowiem osoba ta może nie mieć jeszcze żadnej relacji umownej z bankiem), natomiast zapytania zarządzanie klientami składane są w związku z wykonywaniem innych czynności bankowych i dotyczy klientów, z którymi bank ma już stosunek umowny.
Organ w sentencji zaskarżonej decyzji nakazał [...] usunięcie danych osobowych skarżącego w zakresie zapytań kredytowych z dnia [...] listopada 2020 r., [...] października 2020 r., [...] czerwca 2020 r., [...] maja 2020 r., [...] kwietnia 2020 r., [...] września 2019 r., [...] sierpnia 2019 r., [...] czerwca 2019 r. oraz [...] marca 2019 r. [...] nie może zrealizować ww. nakazu z uwagi na to, że nie przetwarza aktualnie żadnych zapytań kredytowych pochodzących z Banku a dotyczących skarżącego. Wszystkie bowiem zapytania wymienione w zaskarżonej decyzji, złożone w [...] w ww. datach, są przetwarzane jako zapytania zarządzanie klientami. [...] przetwarza dane osobowe skarżącego w zakresie zapytań zarządzanie klientami w zupełnie innym celu niż w zakresie zapytań kredytowych.
W odpowiedzi na skargę Prezes UODO wniósł o jej oddalenie podtrzymując stanowisko jak w zaskarżonej decyzji. Wskazał nadto, że dokonując oceny zgromadzonego w sprawie materiału dowodowego nie dał wiary wyjaśnieniom [...] S.A. jakoby ten nie przetwarzał danych osobowych skarżącego związanych z zapytaniami kredytowymi, bowiem Bank jednoznacznie wskazał, że przetwarzał w [...] zapytania kredytowe dotyczące skarżącego. Z twierdzeń Banku wynika, że jedyne zapytania jakie były kierowane do [...] w związku z danymi osobowymi skarżącego dotyczyły zapytań kredytowych, nie zaś zapytań o zarządzanie klientem. [...] natomiast nie przedstawił żadnych dowodów na poparcie zgłoszonych twierdzeń, a z materiału dowodowego przedstawionego przez Bank oraz skarżącego wynika odmienny - od przedstawianego przez [...] - stan faktyczny.
Pismem z dnia 4 sierpnia 2021 r. Bank wniósł do Wojewódzkiego Sądu Administracyjnego w Warszawie skargę na decyzję Prezesa UODO z dnia [...] czerwca 2021 r. w zakresie punktu 1 zarzucając naruszenie:
- art. 7 w związku z art. 77 oraz art. 80, art. 8 § 1 i § 2 k.p.a. poprzez nierozważenie całości okoliczności istotnych dla rozstrzygnięcia sprawy, w tym poprzez brak analizy wpływu przetwarzania danych osobowych potencjalnych kredytobiorców, których wnioski nie zakończyły się zawarciem umowy kredytowej, na obowiązki ustawowe banków oraz na analizę ekspozycji kredytowej całego sektora bankowego,
- art. 7b k.p.a. w związku z art. 52 ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych (Dz. U. z 2019 r., poz. 1781 ze zm.), poprzez zaniechanie zwrócenia się do Komisji Nadzoru Finansowego (dalej: "KNF") jako organu właściwego w sprawach nadzoru nad rynkiem finansowym w celu ustalenia jakie obowiązki regulacyjne nałożone są na Bank w zakresie analizy ryzyka kredytowego, jak również w zakresie Rekomendacji S, W i T wydanych przez KNF, oraz jak wpływają one na zakres zbierania oraz okres przetwarzania danych osobowych osób wnioskujących o kredyt, co doprowadziło do pominięcia w decyzji analizy dopuszczalności przetwarzania danych na cele związane z oceną tego ryzyka oraz przestrzeganiem powyższych rekomendacji,
- art. 107 § 3 k.p.a. poprzez brak sporządzenia uzasadnienia decyzji w sposób wymagany tym przepisem, w tym przede wszystkim brak przytoczenia wszelkich podstaw prawnych decyzji,
- art. 6 ust. 1 lit. c RODO w związku z art. 105 ust. 4, art. 70 ust. 1 oraz art. 105a ust. 1 Prawa bankowego, polegające na niewłaściwym zastosowaniu poprzez przyjęcie, że Bank nie legitymuje się przesłanką przetwarzania danych wynikającą z art. 6 ust. 1 lit. c RODO w związku z art. 105 ust. 4, art. 70 ust. 1 oraz art. 105a ust. 1 Prawa bankowego, podczas gdy Bank przechowując dane wnioskodawcy w systemach [...] wykazuje cel przetwarzania danych osobowych polegający na dostarczaniu bankom informacji, w tym ocen punktowych i modeli scoringowych, niezbędnych do dokonywania przez banki oceny zdolności kredytowej oraz błędne przyjęcie, że podstawa prawna, na którą powołuje się Bank w swoich wyjaśnieniach, tj. art. 105 ust. 4 Prawa bankowego, jedynie ogólnie reguluje prawo Banku do oceny zdolności kredytowej i oceny ryzyka kredytowego i nie stanowi o dopuszczalności przetwarzania danych osobowych dotyczących zapytań kredytowych, podczas gdy w rzeczywistości przepis ten stanowi podstawę prawną do przetwarzania danych przez Bank w dwóch osobnych celach, tj. w celu oceny zdolności kredytowej oraz w celu oceny ryzyka kredytowego,
- art. 6 ust. 1 lit. c RODO w związku z art. 105a ust. 1 - 1c Prawa bankowego, polegające na jego niewłaściwym zastosowaniu poprzez przyjęcie, że Bank nie legitymuje się przesłanką przetwarzania danych wynikającą z art. 6 ust. 1 lit. c RODO w związku z art. 105a ust. 1 - 1c Prawa bankowego, podczas gdy Bank wykazuje cel przetwarzania danych osobowych polegający na dokonywaniu analizy ryzyka kredytowego oraz realizacji wymogów w związku ze stosowaniem metod wewnętrznych oraz innych metod i modeli, o których mowa w części trzeciej Rozporządzenia Parlamentu Europejskiego i Rady nr 575/2013 z dnia 26 czerwca 2013 r. w sprawie wymogów ostrożnościowych dla instytucji kredytowych i firm inwestycyjnych (dalej: "CRR"),
- art. 6 ust. 1 lit. c RODO w związku z art. 106d Prawa bankowego oraz art. 33 ust. 2, art. 33 ust. 3, art. 34 ust. 1 pkt 4, art. 36 oraz art. 49 ustawy z dnia 1 marca 2018 r. o przeciwdziałaniu praniu pieniędzy oraz finansowaniu terroryzmu (Dz. U. z 2021 r., poz. 1132) polegające na jego niewłaściwym zastosowaniu poprzez przyjęcie, że Bank nie legitymuje się przesłanką przetwarzania danych wynikającą z art. 6 ust. 1 lit. c RODO w związku z art. 106d Prawa bankowego, podczas gdy Bank wykazuje cel przetwarzania danych osobowych polegający na analizie podanych danych we wnioskach kredytowych i analizie zapytań kredytowych złożonych w [...] w określonym czasie w celu wykrycia potencjalnych nieścisłości, powzięcia informacji mogących stanowić o uzasadnionym podejrzeniu popełnienia przestępstw oraz zapobiegania tym przestępstwom, o których mowa w art. 106d Prawa bankowego, a także wypełnianiu obowiązków zawartych w ustawie o przeciwdziałaniu praniu pieniędzy oraz finansowaniu terroryzmu,
- art. 6 ust. 1 lit. f RODO w związku z treścią obowiązujących Bank Rekomendacji S, W i T wydanych przez KNF, polegające na jego niewłaściwym zastosowaniu poprzez przyjęcie, że Bank nie legitymuje się przesłanką przetwarzania danych wynikającą z art. 6 ust. 1 lit. f RODO w związku z Rekomendacjami S, W i T KNF, podczas gdy przepisy te nakładają na Bank wymagania, które następnie podlegają egzekwowaniu przez KNF na podstawie bezwzględnie obowiązujących przepisów prawa,
- art. 6 ust. 1 lit. c RODO w związku z art. 70a Prawa bankowego polegające na jego niewłaściwym zastosowaniu poprzez brak rozważenia czy Bank ma obowiązek przetwarzać dane wnioskodawcy również po zakończeniu procesu oceny zdolności kredytowej na potrzeby realizacji obowiązku przewidzianego w art. 70a Prawa bankowego.
W związku z powyższymi zarzutami skarżący wniósł o: uchylenie zaskarżonej decyzji w punktach 1 i 2; wstrzymanie wykonania decyzji z uwagi na niebezpieczeństwo spowodowania trudnych do odwrócenia skutków; zasądzenie kosztów postepowania.
W uzasadnieniu skargi podniesiono w szczególności, że organ pominął wynikający z art. 105a ust. 1 Prawa bankowego obowiązek Banku sprawdzania zarówno zdolności kredytowej, jak i oceny ryzyka kredytowego. Wypełnienie tego drugiego obowiązku bez możliwości przetwarzania danych osobowych klientów, których procesy kredytowe nie zakończyły się zawarciem umowy, staje się co do zasady niemożliwe. Dodatkowo, stanowisko organu stoi w sprzeczności z celem tworzenia instytucji wymienionych w art. 105 ust. 4 Prawa bankowego, w tym [...].
Wskazano również, że historia klientów związana z ich aktywnością w sektorze bankowym, a także sektorze instytucji pożyczkowych (w szczególności w zakresie liczby zaakceptowanych oraz odrzuconych wniosków kredytowych), jest bardzo istotnym czynnikiem z perspektywy oceny ryzyka kredytowego klienta w procesie kredytowym. Informacja o odrzuceniu przez inny bank wniosku danego klienta wskazywać może na nieakceptowalny dla innych instytucji profil ryzyka i pozwala na wykorzystanie "kolektywnej" wiedzy sektora. Usunięcie tych danych niezwłocznie po zakończeniu oceny kredytowej dla indywidualnego klienta rodziłoby następujące konsekwencje: utratę natychmiastowej informacji o ciążącej na kliencie niezrealizowanej presji finansowej; obniżenie skuteczności bankowych polityk kredytowych; obniżenie trafności scoringów [...], podwyższone koszty ryzyka kredytowego i produktów bankowych; interwencyjną zmianę parametrów polityk kredytowych wymuszającą przeprowadzenie analiz współzależności procesów akceptacji, utrzymania, windykacji i szacowania rezerw bankowych; przebudowę, zatwierdzenie i wdrożenie nowych bankowych modeli scoringowych.
Podniesiono, iż osobnym celem przetwarzania danych jest rozpoznanie i ocena ryzyka związanego z przyznaniem kredytu konkretnej osobie w konkretnej wysokości oraz oszacowanie ryzyka dla banku związanego z danym portfelem zobowiązań. O ile bowiem Bank (samodzielnie lub z pomocą [...]) musi początkowo oszacować, jakiej wysokości kredyt może zaoferować konkretnej osobie, odrębną kwestią jest oszacowanie (szczególnie dla zobowiązań średnio i długoterminowych), czy prawdopodobne jest, że kredytobiorca będzie spłacał zobowiązanie przez cały okres jego trwania. Nie jest to uprawnienie, lecz obowiązek Banku.
Obowiązek wynikający z przepisu art. 105a ust. 1 i 1a Prawa bankowego dotyczy przetwarzania danych przed przyznaniem kredytu, w trakcie jego spłaty i przetwarzania danych przez minimalny okres w przypadku nieudzielenia kredytu - dla celu oszacowania ryzyka spłaty innych kredytów. Dopiero kolejne obowiązki wynikające z art. 105a ust. 2 i 3 ww. ustawy regulują kwestie przetwarzania danych po wygaśnięciu zobowiązania, a więc odnoszą się do powstałych zobowiązań. Ponadto, przepis ten nie jest jedynym źródłem obowiązków w zakresie ryzyka kredytowego, gdyż osobną podstawą przetwarzania danych w tym wypadku są przepisy CRR. Dla badania ryzyka portfelowego ryzyka kredytowego potrzebne jest korzystanie z zaawansowanych metod statystycznych, czyli tzw. metod scoringowych. Pozwalają one na stałe monitorowanie ryzyka kredytowego dla banku czy nawet całej grupy kapitałowej w oparciu z jednej strony o dane na temat konkretnych zobowiązań, z drugiej o dane makroekonomiczne.
Podniesiono nadto, iż w zaskarżonej decyzji organ pominął wynikającą zarówno z rekomendacji KNF, jak i z prawa europejskiego, konieczność tworzenia i wykorzystywania w praktyce modeli scoringowych, które mają zapewnić stabilność sektora bankowego w zakresie oceny ryzyka kredytowego. Dla oceny takiego ryzyka kluczowe są informacje o podmiotach, które nie otrzymały kredytów oraz o powodach odmowy ich przyznania. W konsekwencji, natychmiastowe usuwanie informacji na temat niezaakceptowanych wniosków kredytowych nie pozwala na skuteczną realizację zobowiązań określonych w rozporządzeniu CRR, pozbawiając przy tym uprawnień wskazanych w art. 105a ust. 1 - 1c Prawa bankowego.
Zaznaczono, iż sektor bankowy jest zobowiązany do tworzenia modeli scoringowych nie tylko na gruncie prawa europejskiego, ale również rekomendacji KNF. Organ pominął w zaskarżonej decyzji wątek konsekwencji jakie dla Banku, jak i całego sektora, może nieść brak możliwości przetwarzania danych klientów, których wnioski kredytowe nie zakończyły się przyznaniem kredytu. W praktyce, wnioski przedstawione przez organ prowadzą do sytuacji, w której Bank nie jest w stanie spełnić nałożonych na niego wymogów, za których niespełnienie grożą mu poważne konsekwencje ze strony organów kontroli państwowej.
Wskazano również, że organ pominął kwestię obowiązku Banku do gromadzenia i sprawdzania informacji, które mogą stanowić dowody różnego rodzaju przestępstw finansowych. Tymczasem art. 106d ust. 2 Prawa Bankowego stanowi, że informacje objęte tajemnicą bankową mogą być przetwarzane w celu i zakresie niezbędnym do zapobiegania przestępstwom wskazanym w tym przepisie, czyli w celu prewencyjnym - bez potrzeby wykazywania uzasadnionego podejrzenia popełnienia przestępstwa do każdego indywidualnego przypadku.
Odnośnie zarzutów procesowych podniesiono w szczególności, że organ zaniechał wszechstronnego rozważenia skutków prawnych zarówno dla Banku, jak i dla całego systemu bankowego wynikających z uznania, że dane z wniosków kredytowych należy usunąć natychmiast po zakończeniu indywidualnego procesu oceny zdolności kredytowej. Skutki te mogą polegać zarówno na niemożliwości spełnienia przez banki wiążących je obowiązków regulacyjnych, jak też na wzroście ryzyka oszustw kredytowych, które to ryzyko może przyczynić się w szerszej perspektywie do destabilizacji systemu finansowego. Zaskarżona decyzja nie może być zatem uznana za wydaną z uwzględnieniem interesu społecznego, który polega na zapewnieniu stabilnego i silnego sektora bankowego w Polsce, przewidującego narzędzia dla banków, aby w sposób prawidłowy mogły budować modele scoringowe dotyczące przyznawanych kredytów.
Nadto wskazano, iż organ z naruszeniem art. 7 oraz 9 k.p.a. uznał, że podstawa prawna, na którą powołuje się Bank w swoich wyjaśnieniach, tj. art. 105 ust. 4 Prawa bankowego, nie może stanowić podstawy prawnej do przetwarzania danych osobowych potencjalnych kredytobiorców w zakresie zapytań kredytowych, podczas gdy w rzeczywistości przepis ten stanowi podstawę prawną do przetwarzania danych przez Bank w dwóch osobnych celach, tj. w celu oceny zdolności kredytowej oraz w celu oceny ryzyka kredytowego. Tym samym organ zaniechał ustaleń prawnych i faktycznych dotyczących drugiego ze wskazanych w powyższym przepisie celów tj. przetwarzania danych w celu oceny ryzyka kredytowego.
W odpowiedzi na skargę Prezes UODO wniósł o jej oddalenie podtrzymując stanowisko jak w zaskarżonej decyzji. Przedstawił również dodatkową argumentację mającą przemawiać za bezzasadnością podniesionych zarzutów.
Postanowieniami z dnia 29 października 2021 r. sygn. akt II SA/Wa 3131/21 i sygn. akt II SA/Wa 3143/21 Wojewódzki Sąd Administracyjny w Warszawie wstrzymał wykonanie odpowiednio punktu 1 oraz punktu 2 zaskarżonej decyzji.
W pismach procesowych z dnia 11 marca 2022 r. Prezes UODO podtrzymał stanowisko zawarte w odpowiedzi na skargę wnosząc o oddalenie skarg. Powołał się również na treść komunikatu opublikowanego na stronie internetowej Urzędu (https://uodo.gov.pl/pl/138/2251) w odniesieniu do wyroków Wojewódzkiego Sądu Administracyjnego w Warszawie wydanych w podobnych przedmiotowo sprawach.
Obecny na rozprawie pełnomocnik Banku doprecyzował, że przedmiotem zaskarżenia jest punkt 1 decyzji Prezesa UODO z dnia [...] czerwca 2021 r. i wniosek o uchylenie decyzji dotyczy wyłącznie punktu 1.
Wojewódzki Sąd Administracyjny w Warszawie zważył, co następuje.
Zgodnie z art. 1 § 1 i § 2 ustawy z dnia 25 lipca 2002 r. - Prawo o ustroju sądów administracyjnych (Dz. U. z 2019 r., poz. 2167) oraz art. 3 § 1 ustawy z dnia 30 sierpnia 2002 r. - Prawo o postępowaniu przed sądami administracyjnymi (Dz. U. z 2022 r., poz. 329), dalej: "p.p.s.a.", sądy administracyjne sprawują wymiar sprawiedliwości przez kontrolę działalności administracji publicznej. Kontrola ta polega na ocenie zgodności zaskarżonego aktu z przepisami postępowania administracyjnego, a także prawidłowości zastosowania i wykładni norm prawa materialnego. Kontrola ta jest dokonywana według stanu faktycznego i prawnego obowiązującego w dacie wydania zaskarżonego aktu.
W myśl art. 134 § 1 i 2 p.p.s.a. sąd rozstrzyga w granicach danej sprawy nie będąc związany zarzutami i wnioskami skargi oraz powołaną podstawą prawną, z zastrzeżeniem art. 57a, przy czym sąd nie może wydać orzeczenia na niekorzyść skarżącego, chyba że stwierdzi naruszenie prawa skutkujące stwierdzeniem nieważności zaskarżonego aktu lub czynności.
Uwzględniając powyższe Sąd uznał, że skarga [...] zasługuje na uwzględnienie. Sąd nie znalazł podstaw do stwierdzenia nieważności decyzji Prezesa UODO z dnia [...] czerwca 2021 r. w zakresie punktu 2 na podstawie art. 156 § 1 k.p.a. (art. 145 § 1 pkt 2 p.p.s.a.), uznał jednak, że organ dopuścił się naruszenia art. 7, art. 77 § 1 i art. 80 k.p.a. w związku z art. 107 § 3 k.p.a. w stopniu mogącym mieć istotny wpływ na wynik sprawy (art. 145 § 1 pkt 1 lit. c p.p.s.a.).
Podkreślić należy, że ustalenie stanu faktycznego sprawy ma fundamentalne znaczenie dla prowadzonego postępowania, gdyż warunkuje prawidłowe ustalenie zakresu praw i obowiązków stron postępowania. W celu ustalenia stanu faktycznego i realizacji zasady prawdy obiektywnej organ obowiązany jest do zebrania i wszechstronnego rozpatrzenia całego materiału dowodowego. Zebranie wszystkich potrzebnych dowodów obliguje organ do ich całościowej oceny (art. 7, art. 77 § 1, art. 80 k.p.a.). Następnie, rolą organu jest przedstawienie w uzasadnieniu podjętego rozstrzygnięcia faktów, które uznał za udowodnione, dowodów, na których się oparł, oraz przyczyn, z powodu których innym dowodom odmówił wiarygodności i mocy dowodowej. W uzasadnieniu prawnym organ winien zaś wyjaśnić podstawę prawną decyzji, z przytoczeniem przepisów prawa (art. 107 § 3 k.p.a.).
W ocenie Sądu, organ nie uczynił zadość obowiązkom wynikającym z powyższych przepisów procesowych.
Mianowicie, w punkcie 2 sentencji zaskarżonej decyzji organ nakazał [...] usunięcie danych osobowych A. O. w zakresie przekazanych przez Bank zapytań kredytowych z dnia: [...] listopada 2020 r., [...] października 2020 r., [...] czerwca 2020 r., [...] maja 2020 r., [...] kwietnia 2020 r., [...] września 2019 r., [...] sierpnia 2019 r., [...] czerwca 2019 r. i [...] marca 2019 r. Tymczasem jak wynika z wyjaśnień [...] z dnia [...] listopada 2020 r. skierowanych do organu, [...] "(...) nie przetwarza danych osobowych skarżącego przekazanych przez [...] S.A. w zapytaniach kredytowych oraz w zakresie umów kredytowych. [...] przetwarza natomiast dane skarżącego przekazane przez Bank w 9 zapytaniach zarządzanie klientem (...)". Daty tych zapytań pokrywają się z datami zapytań kredytowych wymienionych w punkcie 2 sentencji decyzji.
W dalszej części ww. wyjaśnień [...] wskazał, iż raport zarządzanie klientem jest udostępniany w związku z wykonywaniem czynności bankowych innych niż udzielanie nowego zobowiązania o charakterze kredytowym klientowi. Wskazał również szczegółowo inne sytuacje, w których bank składa zapytanie o przedsiębiorcę prowadzącego własną działalność gospodarczą/rolniczą (samodzielnie lub w ramach spółki osobowej) lub zapytanie zarządzaniem klientem indywidualnym. Z treści tych wyjaśnień wynika, że co do zasady zapytania zarządzanie klientem (przedsiębiorcom/klientem indywidualnym) mogą być pobierane przez bank w przypadku, gdy bank i klienta łączy stosunek umowny.
[...] podkreślił przy tym, że "dane z zapytań zarządzanie klientem nie są udostępniane bankom oraz nie są wykorzystywane do oceny zdolności kredytowej i oceny ryzyka kredytowego (...)". Wskazał przy tym, że "Bank nie zwracał się do [...] o usunięcie danych skarżącego w zakresie ww. zapytań", a "skarżący nie zwracał się do [...] o usunięcie jego danych osobowych przekazanych przez Bank".
Organ powyższych wyjaśnień należycie nie rozważył. Nie wyjaśnił w uzasadnieniu zaskarżonej decyzji z jakich powodów uznał, że podstawy prawne i cele przetwarzania danych osobowych dotyczących zapytań zarządzanie klientem i zapytań kredytowych są tożsame. Nie wyjaśnił też z jakich względów postawił znak równości pomiędzy "zapytaniem kredytowym" określonym w punkcie 2 sentencji decyzji a zapytaniem "zarządzenie klientem", o którym mowa w wyjaśnieniach [...] z dnia [...] listopada 2020 r. powołanych w uzasadnieniu zaskarżonej decyzji. Na uchybienia te trafnie wskazał pełnomocnik [...] w treści skargi podkreślając, iż nakaz sformułowany w punkcie 2 sentencji zaskarżonej decyzji nie jest możliwy do zrealizowania, bowiem organ "nakazał [...] usunięcie zapytań kredytowych złożonych przez Bank w określonych datach, których [...] faktycznie nie przetwarza w swoich zbiorach".
Na powyższą ocenę nie może mieć wpływu argumentacja organu zawarta w odpowiedzi na skargę, bowiem jest ona spóźniona i nieprzekonująca. Przede wszystkim, rozważania organu dotyczące ewentualnego braku wiarygodności wyjaśnień [...] udzielonych w toku postępowania administracyjnego powinny znaleźć swój wyraz w uzasadnieniu zaskarżonej decyzji. Wynika to ze spoczywającego na organie obowiązku wszechstronnego zebrania i rozpatrzenia całego materiału dowodowego sprawy oraz prawidłowego uzasadnienia decyzji. Ocenie Sądu podlega zaskarżona decyzja, a nie odpowiedź na skargę, która nie jest aktem administracyjnym. Niezależnie od tego wskazać należy, że w dniu [...] listopada 2020 r. Bank udzielił organowi wyjaśnień, z których wynika, że "na dzień [...] listopada 2020 r. w bazie [...] przetwarzane są wyłącznie zapytania kredytowe skierowane o skarżącego w ramach prowadzonej działalności gospodarczej w dniu [...] czerwca 2020 r., w dniu [...] października 2020 r. oraz w dniu [...] listopada 2020 r.". Przetwarzanie dotyczy więc danych z trzech zapytań kredytowych. Ponadto, do wyjaśnień Banku z dnia [...] sierpnia 2020 r. zostało załączone pismo Banku skierowane w dniu [...] lipca 2020 r. do A. O., w którym wskazano, że "Na dzień sporządzenia niniejszego pisma w bazie [...] widnieją jedynie wpisy dotyczące zarządzania klientem, które nie mają wpływu na ocenę scoringową Klienta. (...) Bank skierował do (...)[...] zapytania zarządzania Klientem indywidualnym w związku z wykonywaniem czynności bankowych (...)". W świetle powyższego nie można podzielić stanowiska organu zawartego w odpowiedzi na skargę, że jedyne zapytania jakie były kierowane do [...] w związku z danymi osobowymi skarżącego dotyczyły zapytań kredytowych, a nie zapytań o zarządzanie klientem.
Podsumowując stwierdzić należy, że podniesione przez [...] zarzuty naruszenia art. 7, art. 77 § 1 i art. 80 k.p.a. w związku z art. 107 § 3 k.p.a. są uzasadnione i skutkowały uchyleniem zaskarżonej decyzji. Wobec uchybień o charakterze procesowym przedwczesnym było odnoszenie się do zarzutów naruszenia prawa materialnego.
Ponownie rozpatrując sprawę w ww. zakresie organ uwzględni dokonaną ocenę prawną. Wnikliwie rozpatrzy i oceni zgromadzony w sprawie materiał dowodowy w kwestii możliwości przetwarzania przez [...] danych osobowych skarżącego w zapytaniach kredytowych w datach wymienionych w punkcie 2 decyzji.
Sąd nie znalazł natomiast podstaw do uwzględnienia skargi Banku w części dotyczącej punktu 1 zaskarżonej decyzji. W punkcie tym organ nakazał Bankowi zaprzestania przetwarzania danych osobowych A. O. dotyczących wniosków kredytowych z dnia [...] czerwca 2020 r., [...] października 2020 r. oraz [...] listopada 2020 r., niezakończonych udzieleniem kredytu.
Kontrolując decyzję w ww. zakresie Sąd zważył, że w świetle RODO przetwarzanie danych osobowych uważa się za legalne, jeśli ich administrator spełni co najmniej jedną z przesłanek wskazanych w art. 6 ust. 1 tego aktu, a mianowicie: a) osoba, której dane dotyczą wyraziła zgodę na przetwarzanie swoich danych osobowych w jednym lub większej liczbie określonych celów, b) przetwarzanie jest niezbędne do wykonania umowy, której stroną jest osoba, której dane dotyczą, lub do podjęcia działań na żądanie osoby, której dane dotyczą, przed zawarciem umowy, c) przetwarzanie jest niezbędne do wypełnienia obowiązku prawnego ciążącego na administratorze, d) przetwarzanie jest niezbędne do ochrony żywotnych interesów osoby, której dane dotyczą, lub innej osoby fizycznej, e) przetwarzanie jest niezbędne do wykonania zadania realizowanego w interesie publicznym lub w ramach sprawowania władzy publicznej powierzonej administratorowi, f) przetwarzanie jest niezbędne do celów wynikających z prawnie uzasadnionych interesów realizowanych przez administratora lub przez stronę trzecią, z wyjątkiem sytuacji, w których nadrzędny charakter wobec tych interesów mają interesy lub podstawowe prawa i wolności osoby, której dane dotyczą, wymagające ochrony danych osobowych, w szczególności gdy osoba, której dane dotyczą, jest dzieckiem.
W sprawie jest niesporne, że Bank pozyskał dane osobowe bezpośrednio od skarżącego w związku ze złożeniem wniosków o udzielenie kredytu w datach wskazanych w punkcie 1 sentencji decyzji. Wnioski te nie zakończyły się zawarciem umów. Niesporne jest również, że Bank był uprawniony do przetwarzania danych osobowych skarżącego w celu oceny zdolności kredytowej i analizy ryzyka kredytowego. Skoro jednak nie doszło do zawarcia umowy kredytu pomiędzy skarżącym a bankiem, to odpadła przesłanka legalizująca dalsze przetwarzanie danych osobowych skarżącego przez Bank.
Znajduje to potwierdzenie w treści art. 105a Prawa Bankowego, który w ust. 1 stanowi, że przetwarzanie przez banki, inne instytucje ustawowo upoważnione do udzielania kredytów oraz instytucje utworzone na podstawie art. 105 ust. 4, informacji stanowiących tajemnicę bankową w zakresie dotyczącym osób fizycznych może być wykonywane, z zastrzeżeniem art. 104, art. 105 i art. 106 - 106d ustawy, w celu oceny zdolności kredytowej i analizy ryzyka kredytowego. Z zastrzeżeniem ust. 3, instytucje, o których mowa w ust. 1, mogą przetwarzać informacje stanowiące tajemnicę bankową oraz informacje udostępnione przez instytucje pożyczkowe oraz podmioty, o których mowa w art. 59d ustawy z dnia 12 maja 2011 r. o kredycie konsumenckim, w zakresie dotyczącym osób fizycznych po wygaśnięciu zobowiązania wynikającego z umowy zawartej z bankiem, inną instytucją ustawowo upoważnioną do udzielania kredytów, instytucją pożyczkową lub podmiotem, o którym mowa w art. 59d ustawy z dnia 12 maja 2011 r. o kredycie konsumenckim, pod warunkiem uzyskania pisemnej zgody osoby, której informacje te dotyczą, z zastrzeżeniem ust. 2a. Zgoda ta może być w każdym czasie odwołana (ust. 2). Banki, instytucje oraz podmioty, o których mowa w ust. 1, mogą przetwarzać informacje stanowiące tajemnicę bankową i informacje udostępnione przez instytucje pożyczkowe oraz podmioty, o których mowa w art. 59d ustawy z dnia 12 maja 2011 r. o kredycie konsumenckim, dotyczące osób fizycznych po wygaśnięciu zobowiązania wynikającego z umowy zawartej z bankiem, inną instytucją ustawowo upoważnioną do udzielania kredytów, instytucją pożyczkową lub podmiotem, o którym mowa w art. 59d ustawy z dnia 12 maja 2011 r. o kredycie konsumenckim, bez zgody osoby, której informacje dotyczą, gdy osoba ta nie wykonała zobowiązania lub dopuściła się zwłoki powyżej 60 dni w spełnieniu świadczenia wynikającego z umowy zawartej z bankiem, inną instytucją ustawowo upoważnioną do udzielania kredytów, instytucją pożyczkową lub podmiotem, o którym mowa w art. 59d ustawy z dnia 12 maja 2011 r. o kredycie konsumenckim, a po zaistnieniu tych okoliczności upłynęło co najmniej 30 dni od poinformowania tej osoby przez bank, inną instytucję ustawowo upoważnioną do udzielania kredytów, instytucję pożyczkową albo podmiot, o którym mowa w art. 59d ustawy z dnia 12 maja 2011 r. o kredycie konsumenckim, o zamiarze przetwarzania dotyczących jej tych informacji, bez jej zgody (ust. 3). Banki oraz instytucje, o których mowa w art. 105 ust. 4, mogą przetwarzać stanowiące tajemnicę bankową informacje dotyczące osoby fizycznej po wygaśnięciu zobowiązania wynikającego z umowy zawartej z bankiem lub inną instytucją ustawowo upoważnioną do udzielania kredytów bez zgody osoby, której informacje dotyczą, do celów stosowania metod wewnętrznych oraz innych metod i modeli, o których mowa w części trzeciej rozporządzenia nr 575/2013 (ust. 4). Przetwarzanie informacji stanowiących tajemnicę bankową w przypadkach, o których mowa w ust. 3, może być wykonywane przez okres nie dłuższy niż 5 lat od dnia wygaśnięcia zobowiązania, a w przypadku, o którym mowa w ust. 4, przez okres 12 lat od dnia wygaśnięcia zobowiązania (ust. 5). Zakres przetwarzanych informacji, o których mowa w ust. 3 i 4, może obejmować dane dotyczące osoby fizycznej lub dane dotyczące zobowiązania (ust. 6).
Jak wynika z powyższego, przesłanki zawarte w art. 105a Prawa bankowego dotyczą przetwarzania informacji objętych tajemnicą bankową w okresie przed powstaniem zobowiązania, w trakcie jego trwania oraz po wygaśnięciu zobowiązania. Natomiast w sytuacji, gdy w następstwie złożenia wniosku kredytowego nie dochodzi do zawarcia umowy kredytowej z bankiem, brak jest ustawowych przesłanek legalizujących dalsze przetwarzanie przez bank danych osobowych potencjalnego klienta. Ocena zdolności kredytowej i ryzyka kredytowego ma charakter czynności wstępnych przed zawarciem umowy przez bank. Dalsze przetwarzanie danych, uzyskanych w celu oceny zdolności kredytowej, w przypadku braku zawarcia stosownej umowy, pozostawałoby w oderwaniu od celu, dla którego dane te uzyskano. Niedopuszczalne jest przetwarzanie danych osobowych na przyszłość, a także na potrzeby budowy oceny zdolności kredytowej innych podmiotów, jeżeli nie można zrekonstruować wyraźnej podstawy prawnej takich działań.
Celem przetwarzania danych osobowych skarżącego była ocena zdolności kredytowej i analizy ryzyka kredytowego. W związku z dokonaniem przez Bank tejże oceny powyższy cel przetwarzania danych osobowych skarżącego został zrealizowany i brak jest podstaw prawnych do kontynuowania tego procesu. Trafne jest zatem stanowisko organu, że nie wystąpiła przesłanka legalizująca proces przetwarzania danych określona w art. 6 ust. 1 lit. c i lit. f RODO.
Nieuzasadnione są podniesione w skardze zarzuty naruszenia przepisów prawa materialnego.
W sprawie nie doszło do naruszenia art. 6 ust. 1 lit. c RODO w związku z art. 105 ust. 4, art. 70 ust. 1 oraz art. 105a ust. 1 Prawa bankowego. Wbrew twierdzeniom skargi art. 105 ust. 4 nie nakłada na Bank obowiązku korzystania z zewnętrznej bazy zawierającej informacje o wnioskach z sektora bankowego oraz sektora pożyczkowego. Powołany przepis przyznaje bankom uprawnienie do tworzenia instytucji upoważnionych do gromadzenia, przetwarzania i udostępniania bankom informacji stanowiących tajemnicę bankową w zakresie, w jakim informacje te są potrzebne w związku z wykonywaniem czynności bankowych oraz w związku ze stosowaniem metod wewnętrznych oraz innych metod i modeli, o których mowa w części trzeciej rozporządzenia nr 575/2013 (pkt 1), innym instytucjom ustawowo upoważnionym do udzielania kredytów - informacji stanowiących tajemnicę bankową w zakresie, w jakim informacje te są niezbędne w związku z udzielaniem kredytów, pożyczek pieniężnych, gwarancji bankowych i poręczeń (pkt 2), instytucjom kredytowym informacji stanowiących tajemnicę bankową w zakresie niezbędnym do oceny zdolności kredytowej konsumenta, o której mowa w art. 9 ustawy z dnia 12 maja 2011 r. o kredycie konsumenckim (pkt 3), instytucjom pożyczkowym i podmiotom, o których mowa w art. 59d ustawy z dnia 12 maja 2011 r. o kredycie konsumenckim na zasadzie wzajemności, informacji stanowiących odpowiednio tajemnicę bankową oraz informacje udostępnione przez instytucje pożyczkowe oraz podmioty, o których mowa w art. 59d ustawy z dnia 12 maja 2011 r. o kredycie konsumenckim, w zakresie niezbędnym do oceny zdolności kredytowej konsumenta, o której mowa w art. 9 tej ustawy, i analizy ryzyka kredytowego (pkt 4).
W świetle powyższego przesłanka z art. 6 ust. 1 lit. c RODO nie znajduje zastosowania w okolicznościach niniejszej sprawy. Przepis ten dotyczy bowiem sytuacji, gdy przetwarzanie jest niezbędne do wypełnienia obowiązku prawnego administratora danych, a nie realizacji uprawnienia, o którym mowa w art. 105 ust. 4 Prawa bankowego. Ponadto przepis art. 105 ust. 4 Prawa bankowego nie stanowi o dopuszczalności przetwarzania danych osobowych dotyczących wniosków kredytowych w sytuacji, gdy nie doszło do zawarcia umowy z Bankiem. Uznanie takiego procesu przetwarzania danych za legalny wymaga podstawy prawnej, której nie stanowią regulaminy ani umowy zawierane między poszczególnymi instytucjami a bankami. Argumentacja przedstawiona w skardze w ww. zakresie pozostaje bez wpływu na podjęte w sprawie rozstrzygnięcie.
Oceny dokonanej przez organ nie podważa również stanowisko Banku w kontekście przepisów rozporządzenia Parlamentu Europejskiego i Rady nr 575/2013 z dnia 26 czerwca 2013 r. w sprawie wymogów ostrożnościowych dla instytucji kredytowych i firm inwestycyjnych (CRR). Powołane w skardze przepisy, tj. art. 171 ust. 2 CRR (dotyczący klasyfikacji dłużników do klas i pul przy uwzględnieniu wszystkich istotnych informacji), art. 179 ust. 1a (dotyczący wymogu oszacowań własnych instytucji dotyczących parametrów ryzyka PD, LGD, współczynnika konwersji i EL przy uwzględnieniu wszelkich istotnych danych, informacji i metod), art. 144 ust. 1 lit. d (dotyczący spełnienia, przy ocenie wniosku o stosowanie metody IRB, normy dotyczącej gromadzenia i przechowywania wszystkich odpowiednich danych w celu zapewnienia skutecznego wsparcia procesów pomiaru ryzyka kredytowego oraz zarządzania ryzykiem kredytowym), a także art. 170 ust. 3 lit. a (dotyczący spełnienia, dla struktury systemów ratingowych dla ekspozycji detalicznych, wymogu dotyczącego odzwierciedlenia zarówno ryzyka dłużnika, jak i ryzyka transakcji oraz uwzględnienia wszystkich istotnych właściwości ryzyka dłużnika i ryzyka transakcji) i art. 170 ust. 4 lit. a (dotyczący uwzględniania, podczas klasyfikacji ekspozycji do odpowiednich kategorii lub pul, charakterystyki ryzyka dłużnika) dotyczą ogólnych zasad tworzenia modeli i metod służących ocenie ryzyka kredytowego, zatem żaden z ww. przepisów nie stoi w sprzeczności z rozstrzygnięciem organu.
Nieuzasadniony jest również zarzut skargi dotyczący naruszenia art. 6 ust. 1 lit. c RODO w związku z art. 106d Prawa bankowego, który stanowi, że banki (...) mogą przetwarzać i wzajemnie udostępniać informacje, w tym informacje objęte tajemnicą bankową, w przypadkach: uzasadnionych podejrzeń, o których mowa w art. 106a ust. 3 (pkt 1), uzasadnionych podejrzeń popełnienia przestępstw dokonywanych na szkodę banków (...) w celu i zakresie niezbędnym do zapobiegania tym przestępstwom (pkt 2), wykonywania obowiązków w zakresie określonym w przepisach o przeciwdziałaniu praniu pieniędzy oraz finansowaniu terroryzmu (pkt 3). W myśl art. 106a ust. 3 ww. ustawy, w przypadku powzięcia uzasadnionego podejrzenia, że zgromadzone na rachunku bankowym środki, w całości lub w części pochodzą lub mają związek z przestępstwem skarbowym lub przestępstwem innym niż przestępstwo, o którym mowa w art. 165a lub art. 299 Kodeksu karnego, bank jest uprawniony do dokonania blokady środków na tym rachunku. Blokada może nastąpić wyłącznie do wysokości zgromadzonych na rachunku środków, co do których zachodzi takie podejrzenie.
Z materiału dowodowego sprawy, w tym z wyjaśnień Banku udzielonych w toku postępowania administracyjnego, nie wynika, aby w sprawie niniejszej któryś z powyższych przypadków miał miejsce, w szczególności, aby występowało "uzasadnione podejrzenie" Banku co do okoliczności określonych w ww. przepisach. Z argumentów skargi również nie wynika, aby ww. przesłanka została spełniona. Ponadto zaznaczyć należy, że art. 106d Prawa bankowego nie nakłada na banki obowiązku prawnego przetwarzania i wzajemnego udostępniania informacji w przypadkach, o których mowa w tym przepisie, a jedynie uprawnia do takich czynności (banki "mogą" przetwarzać). Argumentacja skargi nie podważa podjętego w sprawie rozstrzygnięcia oraz stanowiska organu, iż brak jest podstaw do uznania, że w sprawie wystąpiła przesłanka z art. 6 ust. 1 lit. c RODO.
Zgodnie z powołanym w skardze art. 33 ust. 2 i 3 ustawy z dnia 1 marca 2018r. o przeciwdziałaniu praniu pieniędzy oraz finansowaniu terroryzmu, instytucje obowiązane rozpoznają ryzyko prania pieniędzy oraz finansowania terroryzmu związane ze stosunkami gospodarczymi lub z transakcją okazjonalną oraz oceniają poziom rozpoznanego ryzyka. Instytucje obowiązane dokumentują rozpoznane ryzyko prania pieniędzy oraz finansowania terroryzmu związane ze stosunkami gospodarczymi lub z transakcją okazjonalną oraz jego ocenę, uwzględniając w szczególności czynniki dotyczące: 1) rodzaju klienta, 2) obszaru geograficznego, 3) przeznaczenia rachunku, 4) rodzaju produktów, usług i sposobów ich dystrybucji, 5) poziomu wartości majątkowych deponowanych przez klienta lub wartości przeprowadzonych transakcji, 6) celu, regularności lub czasu trwania stosunków gospodarczych. W myśl art. 34 ust. 1 pkt 4 ww. ustawy, środki bezpieczeństwa finansowego obejmują bieżące monitorowanie stosunków gospodarczych klienta, w tym: a) analizę transakcji przeprowadzanych w ramach stosunków gospodarczych w celu zapewnienia, że transakcje te są zgodne z wiedzą instytucji obowiązanej o kliencie, rodzaju i zakresie prowadzonej przez niego działalności oraz zgodne z ryzykiem prania pieniędzy oraz finansowania terroryzmu związanym z tym klientem, b) badanie źródła pochodzenia wartości majątkowych będących w dyspozycji klienta - w przypadkach uzasadnionych okolicznościami, c) zapewnienie, że posiadane dokumenty, dane lub informacje dotyczące stosunków gospodarczych są na bieżąco aktualizowane. Identyfikacja klienta, zgodnie z art. 36 ust. 1 ustawy polega na ustaleniu w przypadku osoby fizycznej: a) imienia i nazwiska, b) obywatelstwa, c) numeru PESEL lub daty urodzenia - w przypadku gdy nie nadano numeru PESEL, oraz państwa urodzenia, d) serii i numeru dokumentu stwierdzającego tożsamość osoby, e) adresu zamieszkania - w przypadku posiadania tej informacji przez instytucję obowiązaną, f) nazwy (firmy), NIP oraz adresu głównego miejsca wykonywania działalności gospodarczej - w przypadku osoby fizycznej prowadzącej działalność gospodarczą. W myśl art. 49 us.t 1 i 2 ustawy instytucje obowiązane przechowują przez okres 5 lat, licząc od dnia zakończenia stosunków gospodarczych z klientem lub od dnia przeprowadzenia transakcji okazjonalnej: 1) uzyskane w wyniku stosowania środków bezpieczeństwa finansowego kopie dokumentów i informacje, w tym informacje uzyskane za pomocą środków identyfikacji elektronicznej (...), 2) dowody potwierdzające przeprowadzone transakcje i ewidencje transakcji, obejmujące oryginalne dokumenty lub kopie dokumentów konieczne do identyfikacji transakcji. Instytucje obowiązane przechowują wyniki analiz, o których mowa w art. 34 ust. 3, przez okres 5 lat, licząc od dnia ich przeprowadzenia.
Wskazać należy, że powyższe przepisy dotyczą stosowania środków bezpieczeństwa finansowego wobec klientów instytucji (banków) w ramach prowadzonych stosunków gospodarczych. Nie odnoszą się natomiast do sytuacji, w której Bank przetwarza dane z wniosków kredytowych skarżącego, pomimo nienawiązania stosunku gospodarczego poprzez zawarcie umowy kredytowej. Ponadto Bank, oprócz powołania ww. przepisów ustawy, nie przedstawił przekonującej argumentacji, która podważałaby stanowisko organu, a z której wynikałoby w szczególności, że w niniejszej sprawie zachodziła którakolwiek z przesłanek stosowania środków bezpieczeństwa finansowego określonych w art. 35 ust. 1 lub 2 ww. ustawy. Przedstawiona w skardze argumentacja pozostaje bez wpływu na podjęte w sprawie rozstrzygnięcie.
Nie jest trafny zarzut skargi dotyczący naruszenia przez organ art. 6 ust. 1 lit. f RODO w związku z Rekomendacjami S, W i T Komisji Nadzoru Finansowego. Powołane Rekomendacje nie stanowią obowiązujących przepisów prawa, zatem nie mogły mieć znaczenia dla rozstrzygnięcia podjętego w niniejszej sprawie. Ponadto Rekomendacje nie odnoszą się do kwestii przetwarzania danych osobowych w zakresie zapytań kredytowych w sytuacji, gdy umowa pomiędzy bankiem a potencjalnym klientem nie została zawarta.
Za prawnie usprawiedliwiony cel w rozumieniu art. 6 ust. 1 lit. f RODO nie może zostać uznane przetwarzanie danych osobowych na wypadek ewentualnego dochodzenia lub obrony roszczeń. Zebrany w niniejszym postępowaniu materiał dowodowy nie wykazał, aby skarżący wystąpił z jakimkolwiek roszczeniem wobec Banku, które uzasadniałoby uprawnienie tych podmiotów do zachowania i przetwarzania jego danych osobowych dla celów dowodowych w związku z dochodzeniem przez skarżącego tego roszczenia. Bank nie wskazał także na istnienie roszczeń, których dochodzi od skarżącego. Jak trafnie wskazał organ w zaskarżonej decyzji, okolicznością usprawiedliwiającą przetwarzanie danych osobowych w celu dochodzenia roszczeń jest sam fakt istnienia roszczenia oraz rzeczywisty zamiar jego dochodzenia, nie jest nią natomiast zmiana w uprawnieniach procesowych danego podmiotu, bowiem przedawnienie roszczenia nie wywołuje skutków procesowych na gruncie ochrony danych osobowych.
Brak jest uzasadnienia dla przyjęcia, że Bank jest uprawniony do przetwarzania danych osobowych w związku z koniecznością ewentualnego wypełnienia obowiązku wynikającego z art. 70a ust. 1 i ust. 2 Prawa bankowego. Skarżący wykazał w sposób jednoznaczny wolę usunięcia danych, zatem przyjąć należy, że nie jest zainteresowany realizacją prawa do wyjaśnienia dotyczącego dokonanej przez Bank oceny zdolności kredytowej, w myśl art. 70a ust. 1 i 2 Prawa bankowego.
Nieuzasadnione są również zarzuty dotyczące naruszenia przepisów prawa procesowego, tj. art. 7, art. 77 § 1 oraz art. 80 k.p.a. bowiem organ prawidłowo zebrał i ocenił zgromadzony w sprawie materiał dowodowy opierając się na wyjaśnieniach Banku dotyczących przetwarzania danych osobowych skarżącego zawartych we wnioskach kredytowych (punkt 2 decyzji). Uzasadnienie decyzji w omawianym zakresie odpowiada wymogom określonym w art. 107 § 3 k.p.a. Organ prawidłowo również nakazał zaprzestanie przez Bank przetwarzania danych osobowych skarżącego zawartych w ww. wnioskach kredytowych, przy czym zakres danych osobowych organ ustalił w oparciu o wyjaśnienia Banku zawarte w piśmie z dnia [...] sierpnia 2020 r.
Zaznaczyć w tym miejscu należy, że Bank - pomimo kilkakrotnych wezwań organu do udzielenia wyjaśnień w sprawie i udzielenia odpowiedzi w pismach z dnia [...] sierpnia 2020 r., [...] listopada 2020 r. i [...] lutego 2021 r. - podniósł na etapie skargi nowe argumenty dotyczące celów i podstaw przetwarzania danych zarzucając organowi zaniechanie podjęcia z urzędu określonych działań i poczynienia stosownych ustaleń. Zarzuty te są nieuzasadnione. Jak bowiem trafnie zauważył organ w odpowiedzi na skargę, zgodnie z wyrażoną w art. 5 ust. 2 RODO zasadą rozliczalności, to na administratorze ciąży obowiązek wykazania, że proces przetwarzania danych osobowych prowadzony jest zgodnie z regułami określonymi w art. 5 ust. 1 RIODO. Administrator nie może oczekiwać, że to organ ochrony danych osobowych zastąpi go w realizacji obowiązków wynikających z zasady rozliczalności. Zatem to na Banku ciążył obowiązek wykazania na wezwanie organu, że przetwarza dane osobowe skarżącego, wynikające z ww. zapytań kredytowych, w sposób zgodny z prawem. To administrator określa cele i sposoby przetwarzania danych osobowych (art. 4 pkt 7 RODO), na administratorze ciąży również obowiązek wykazania, że procesy te prowadzone są zgodnie z zasadami określonymi w art. 5 ust. 1 RODO.
Nieuzasadniony jest również zarzut naruszenia art. 7b k.p.a. w związku z art. 52 ustawy o ochronie danych osobowych poprzez zaniechanie zwrócenia się do Komisji Nadzoru Finansowego w celu ustalenia jakie obowiązki regulacyjne nałożone są na Bank w zakresie analizy ryzyka kredytowego, jak również w zakresie Rekomendacji S, W i T wydanych przez KNF, oraz jak wpływają one na zakres zbierania oraz okres przetwarzania danych osobowych osób wnioskujących o kredyt. Zgodnie z art. 7b k.p.a. w toku postępowania organy administracji publicznej współdziałają ze sobą w zakresie niezbędnym do dokładnego wyjaśnienia stanu faktycznego i prawnego sprawy, mając na względzie interes społeczny i słuszny interes obywateli oraz sprawność postępowania, przy pomocy środków adekwatnych do charakteru, okoliczności i stopnia złożoności sprawy. W ocenie Sądu stan faktyczny i prawny sprawy został przez organ prawidłowo ustalony i należycie rozpatrzony w oparciu o zgromadzony materiał dowodowy, w tym w oparciu o wyjaśnienia Banku. Nie zachodziły więc przesłanki do podjęcia przez Prezesa UODO współdziałania z innymi organami administracji publicznej w oparciu o ww. przepis w celu wydania rozstrzygnięcia w sprawie.
Na marginesie Sąd zauważa, że znany jest mu z urzędu odmienny w tym względzie pogląd wyrażony przez Wojewódzki Sąd Administracyjny w Warszawie w nieprawomocnym wyroku z dnia 29 października 2021 r. sygn. akt II SA/Wa 506/21, jednak poglądu tego Sąd w składzie orzekającym nie podziela.
Sąd zauważa, że Prezes UODO jest wyspecjalizowanym w sprawach dotyczących ochrony danych osobowych i niezależnym organem, który ma status i kompetencje organu nadzorczego określone w przepisach RODO. Z tego względu Prezes UODO jest uprawniony do samodzielnego dokonywania interpretacji przepisów prawa w zakresie dotyczącym ochrony danych osobowych. Stanowisko to znajduje potwierdzenie w art. 51 oraz w motywach 117, 122 oraz 123 RODO.
Podsumowując te część rozważań Sąd stwierdza, że zaskarżona decyzja w zakresie punktu 1 jest zgodna z prawem, zaś zarzuty i wnioski skargi nie zasługują na uwzględnienie.
Mając na względzie wszystko powyższe Wojewódzki Sąd Administracyjny w Warszawie uwzględnił skargę [...] i działając na podstawie art. 145 § 1 pkt 1 lit. c p.p.s.a. orzekł jak w punkcie 1 sentencji wyroku. Sąd oddalił skargę Banku, o czym orzekł na podstawie art. 151 p.p.s.a. jak w punkcie 2 sentencji wyroku. O kosztach postępowania obejmujących wpis od skargi oraz wynagrodzenie pełnomocnika [...] w stawce minimalnej, Sąd postanowił w oparciu o art. 200 i art. 205 § 2 p.p.s.a. jak w punkcie 3 sentencji wyroku.