II SA/WA 327/25

II SA/Wa 327/25 - Wyrok WSA w Warszawie
Data orzeczenia
2025-07-16
orzeczenie prawomocne
Data wpływu
2025-02-27
Sąd
Wojewódzki Sąd Administracyjny w Warszawie
Sędziowie
Andrzej Kołodziej /przewodniczący/
Anna Pośpiech-Kłak /sprawozdawca/
Joanna Kruszewska-Grońska
Symbol z opisem
647  Sprawy związane z ochroną danych osobowych
Skarżony organ
Generalny Inspektor Ochrony Danych Osobowych
Treść wyniku
Oddalono skargę
Sentencja
Wojewódzki Sąd Administracyjny w Warszawie w składzie następującym: Przewodniczący Sędzia WSA Andrzej Kołodziej, Sędzia WSA Joanna Kruszewska-Grońska, Asesor WSA Anna Pośpiech-Kłak (spr.), Protokolant starszy referent Edyta Brzezicka po rozpoznaniu na rozprawie w dniu 16 lipca 2025 r. sprawy ze skargi [...] S.A. w [...] na decyzję Prezesa Urzędu Ochrony Danych Osobowych z dnia [...] grudnia 2024 r. nr [...] w zakresie jej punktu 2 w przedmiocie przetwarzania danych osobowych oddala skargę
Uzasadnienie
Zaskarżoną decyzją z dnia [...] grudnia 2024 r. nr [...] Prezes Urzędu Ochrony Danych Osobowych, zw. dalej "Prezes UODO", "organ", na podstawie art. 104 § 1 ustawy z dnia 14 czerwca 1960 r. Kodeks postępowania administracyjnego (Dz. U. z 2024 r. poz. 572), zw. dalej "k.p.a." w związku z art. 7 ust. 1 i ust. 2 ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych (Dz. U. z 2019 r. poz. 1781), zw. dalej "u.o.d.o.", oraz art. 6 ust. 1 oraz art. 58 ust. 2 lit. b rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (Dz. Urz. UE L 119 z 4.05.2016, str. 1, Dz. Urz. UE L 127 z 23.05.2018, str. 2 oraz Dz. Urz. UE L 74 z 4.03.2021, str. 35), zw. dalej "rozporządzeniem 2016/679", "RODO", po przeprowadzeniu postępowania administracyjnego w sprawie skargi K.L., zw. dalej "wnioskodawcą", "uczestnikiem", na nieprawidłowości w procesie przetwarzania jego danych osobowych - przez Bank [...] S.A. z siedzibą w [...], zw. dalej "bank", polegające na przetwarzaniu danych osobowych wnioskodawcy w zakresie zapytania kredytowego z dnia [...] lipca 2022 r., które nie zakończyło się zawarciem umowy kredytowej, jak również przez Biuro Informacji Kredytowej S.A., zw. dalej "BIK" i "skarżący" - bez podstawy prawnej:
• w pkt 1 - udzielił bankowi upomnienia za przetwarzanie danych osobowych wnioskodawcy, w zakresie wynikającym z zapytania kredytowego z dnia [...] lipca 2022 r., niezakończonego udzieleniem kredytu, bez podstawy prawnej w okresie od dnia [...] listopada 2022 r. do dnia [...] listopada 2022 r.;
• w pkt 2 - udzielił BIK upomnienia za przetwarzanie danych osobowych wnioskodawcy, w zakresie wynikającym z zapytania kredytowego z dnia [...] lipca 2022 r, niezakończonego udzieleniem kredytu, bez podstawy prawnej w okresie od dnia [...] listopada 2022 r. do [...] grudnia 2022 r., przekazanych przez bank.
W uzasadnieniu podjętej decyzji organ wskazał na następujące ustalenia stanu faktycznego i ocenę prawną sprawy.
W dniu [...] listopada 2023 r. wnioskodawca wniósł do Prezesa UODO skargę na nieprawidłowości w procesie przetwarzania jego danych osobowych przez bank polegające na przetwarzaniu tych danych w zakresie zapytania kredytowego z dnia [...] lipca 2022 r., które nie zakończyło się zawarciem umowy kredytowej, bez podstawy prawnej.
Wnioskodawca podniósł, że w dniach [...] września 2022 r. oraz [...] października 2022 r. zwrócił się do banku z wnioskiem o usunięcie jego danych osobowych dotyczących zapytania kredytowego. Bank nie odpowiedział na jego żądanie i nie usunął wskazanych danych, wobec czego zwrócił się do Prezesa UODO z wnioskiem o nakazanie usunięcia bankowi jego danych osobowych w zakresie zapytania kredytowego z dnia [...] lipca 2023 r. do BIK.
Ustosunkowując się do złożonej skargi bank wyjaśnił, że pozyskał dane wnioskodawcy w zakresie zapytania kredytowego z dnia [...] lipca 2022 r., które nie zakończyło się zawarciem umowy kredytowej, w ramach procesu o udzielenie kredytu przez bank. Bank dla potrzeb oceny zdolności kredytowej wnioskodawcy zwrócił się do BIK z zapytaniem kredytowym do BIK. Niezbędność przetwarzania danych osobowych wnioskodawcy wynikała z art. 6 ust. 1 lit. b RODO w związku z art. 70 ust. 1, art. 105a ust. 1, 1a i 1b oraz art. 105 ust. 4 ustawy z dnia 29 sierpnia 1997 r. Prawo bankowe (Dz.U. z 2023 r. poz. 2488 ze zm.), zw. dalej "p.b.". Wskazał, że zakres pozyskanych danych wnioskodawcy obejmuje: imię i nazwisko, numer PESEL, dane dotyczące dokumentu tożsamości, miejsce urodzenia, obywatelstwo, imiona rodziców, nazwisko rodowe matki, data urodzenia, płeć, adres e-mail, numer telefonu, adres zamieszkania, dane dotyczące zatrudnienia wykształcenie, stan cywilny, liczba dzieci na utrzymaniu, status mieszkaniowy, informacje w zakresie zobowiązań finansowych i oceny punktowej (scoring).
Bank wskazał, że przetwarzał dane osobowe wnioskodawcy w następujących celach: 1) oceny ryzyka kredytowego, w tym oceny globalnego ryzyka kredytowego (przetwarzanie danych odbywa się zgodnie z art. 105a ust. 1-1c p.b., a wobec braku uregulowania okresu przetwarzania w kontekście wskazanych celów oceny zdolności kredytowej i analizy ryzyka kredytowego, przyjęty został okres 5 lat przetwarzania danych dla celów związanych z analizą ryzyka kredytowego, natomiast okres 12 miesięcy dla celów związanych z oceną zdolności kredytowej); 2) realizacji wymogów ostrożnościowych, tj. oceny ogólnej ekspozycji oraz ryzyka ekspozycji banku, do czego służy stosowanie wewnętrznych metod oraz innych metod i modeli, o których mowa w części trzeciej rozporządzenia Parlamentu Europejskiego i Rady (UE) nr 575/2013 z 26 czerwca 2013 r. w sprawie wymogów ostrożnościowych dla instytucji kredytowych i firm inwestycyjnych, zmieniającego rozporządzenie (UE) nr 648/2012 (Dz. Urz. UE L 176 z 27.06.2013, str. 1, ze zm.), zw. dalej "CRR", dane są przetwarzane przez okres do 12 lat zgodnie z art. 105a ust. 4-6 p.b.; 3) wykonywanie obowiązków związanych z przeciwdziałaniem praniu pieniędzy i finansowaniu terroryzmu, w szczególności wynikających z rozdziałów 5, 7 i 8 ustawy z dnia 1 marca 2018 r. o przeciwdziałaniu praniu pieniędzy i finansowaniu terroryzmu (Dz. U. z 2023 r. poz. 1124 ze zm.), zw. dalej "AML", a także wykonywanie obowiązków związanych z przeciwdziałaniem popełnianiu innych przestępstw, w tym przestępstw na szkodę banków zgodnie z art. 106d p.b., zgodnie z art. 49 AML bank ma obowiązek przechowywania dokumentacji przez 5 lat, chyba że przed upływem tego okresu Generalny Inspektor Informacji Finansowej zażąda dłuższego przechowywania dokumentacji, jednak przez kolejny okres nie dłuższy niż 5 lat; 4) realizacji prawa do wyjaśnienia oceny zdolności kredytowej - dane są przetwarzane przez okres 6 lat, zgodnie z art. 70a p.b. w związku z art. 118 oraz 442 ustawy z dnia 23 kwietnia 1964 r. Kodeks cywilny (Dz. U. z 2024 r. poz. 1061), zw. dalej "k.c.", 6-letni okres w korelacji z ogólnymi przepisami dotyczącymi przedawnienia roszczeń, przyjęto z uwagi na fakt, iż przepisy Prawa bankowego nie określają okresu przechowywania danych dla realizacji obowiązku z art. 70a p.b., niemniej przyjęcie zbyt krótkiego okresu retencji powodowałoby brak możliwości skorzystania przez klienta ze wspomnianego uprawnienia, bowiem
w przypadku zbyt szybkiego usunięcia danych, bank nie miałby podstaw do ich analizy i wyjaśnienia wątpliwości klienta; 5) w ogólnym celu związanym z zabezpieczeniem możliwości ustalenia, dochodzenia lub obrony przed roszczeniami, na podstawie art. 6 ust. 1 lit. c lub f RODO w związku z art. 118 oraz art. 442 k.c.
Podał, że dane wnioskodawcy przekazał do BIK w dniu [...] lipca 2022 r. w związku z realizacją procesu o udzielenie pożyczki. Bank przekazał dane wnioskodawcy do BIK w zakresie: imienia i nazwiska, numeru PESEL, rodzaju i numeru dokumentu tożsamości, w celu przeprowadzenia oceny jego zdolności kredytowej na podstawie art. 6 ust. 1 lit. b RODO z art. 70 ust. 1, art. 105a ust. 1 i Ib oraz art. 105 ust. 4 p.b. Wskazał, że Biuro Inspektora Ochrony Danych w toku wewnętrznego postępowania wyjaśniającego pozyskało informację, iż Oddział Banku [...] S.A. na dzień udzielenia przedmiotowej odpowiedzi, nie jest w posiadaniu dowodu potwierdzającego wyrażenie przez wnioskodawcę zgody na udostępnienie jego danych osobowych do BIK w zakresie zapytania kredytowego z dnia [...] lipca 2022 r. W związku z zaistniałą sytuacją bank podjął działania w celu usunięcia danych wnioskodawcy dotyczących zapytania kredytowego z [...] lipca 2022 r. z bazy BIK. Dane zostały usunięte w dniu [...] listopada 2022 r. Podkreślił, iż wnioskodawca w swoim piśmie do banku, jak i skardze skierowanej do Prezesa UODO przyznał fakt, iż ubiegał się o kredyt w banku (wniosek kredytowy został złożony przez ww. w dniu [...] lipca 2022 r.), a co za tym idzie wyraził wobec banku zgodę na złożenie zapytania kredytowego i udostępnienie jego danych do BIK, w celu zbadania zdolności kredytowej oraz zweryfikowania możliwości zawarcia umowy o kredyt z bankiem. Powyższy fakt jest bezsporny. Podstawą prawną przekazania przez bank danych wnioskodawcy do BIK jest art. 105 ust. 4 p.b. Dodatkowo bank wskazał, że dane zostały przekazane do BIK na podstawie łączącej oba podmioty umowy.
Bank nadmienił również, że korekta dotycząca usunięcia ww. zapytania kredytowego została zdefiniowana przez bank w dniu [...] listopada 2022 r. a wykonana w dniu [...] listopada 2022 r. W dniu [...] listopada 2022 r. Departament Systemów, Projektów i Analityki Ryzyka Kredytowego potwierdził, iż zapytanie kredytowe z dnia [...] lipca 2022 r. nie było widoczne w bazie BIK. W dniu [...] grudnia 2022 r. bank otrzymał od BIK prośbę o weryfikację czy zapytanie powinno być zablokowane czy też powinno zostać usunięte. Bank potwierdził do BIK w dniu [...] grudnia 2022 r., że przedmiotowe zapytanie powinno zostać usunięte. Bank wyjaśnił, że negatywna decyzja kredytowa w zakresie zapytania kredytowego z dnia [...] lipca 2022 r. została podjęta tego samego dnia. Bank nie przekazał tej informacji do BIK.
Bank poinformował, że prowadził z wnioskodawcą następującą korespondencję
w przedmiocie usunięcia jego danych osobowych przetwarzanych przez bank
w zakresie zapytania kredytowego z dnia [...] lipca 2022 r., które nie zakończyło się zawarciem umowy kredytowej. W dniu [...] listopada 2022 r. bank otrzymał pismo z dnia [...] października 2022 r. dotyczące usunięcia zapytania kredytowego. Pismem z dnia [...] listopada 2022 r. bank udzielił wnioskodawcy odpowiedzi, w której poinformował go o spełnieniu jego żądania i usunięciu jego danych osobowych w zakresie zapytania kredytowego z dnia [...] lipca 2022 r. z BIK.
Ustosunkowując się do złożonej przez wnioskodawcę do organu skargi BIK podał, że w dniu [...] listopada 2022 r. przetwarzanie danych o zapytaniu kredytowym z dnia [...] lipca 2022 r. zostało zablokowane, po tym dniu dane te były przechowywane przez BIK wyłącznie w celach dowodowych. Podstawę prawną stanowił w tym przypadku art. 6 ust. 1 lit. f RODO, tj. uzasadniony prawnie interes administratora danych polegający na rozpatrzeniu zgłoszenia będącego przedmiotem reklamacji oraz obrony przez potencjalnymi roszczeniami. Dodatkową przesłanką przetwarzania danych w powyższym celu była konieczność wypełnienia ustawowego obowiązku wynikającego z art. 15 RODO w przypadku wystąpienia przez osobę, której dane dotyczą z wnioskiem o udzielenie informacji. Następnie w dniu [...] grudnia 2022 r. na wniosek banku dane w zakresie zapytania kredytowego z dnia [...] lipca 2022 r. zostały usunięte. Wskazał, że bank nie przekazał do BIK informacji o negatywnej decyzji kredytowej w zakresie zapytania kredytowego z dnia [...] lipca 2022 r.
BIK poinformował, że w okresie od dnia [...] lipca 2022 r. do dnia [...] listopada 2022 r. dane wnioskodawcy wynikające z wyżej wskazanego zapytania kredytowego były przetwarzane przez BIK w następujących celach: 1) w celu oceny zdolności kredytowej i analizy ryzyka kredytowego: przez okres 12 miesięcy od dnia złożenia zapytania w celu oceny zdolności kredytowej i analizy ryzyka kredytowego konkretnego klienta (indywidualna ocena zdolności kredytowej wnioskodawcy); w celu budowy modeli scoringowych, a więc narzędzi wykorzystywanych przez banki do oceny zdolności kredytowej i analizy ryzyka kredytowego. BIK buduje przedmiotowe modele w oparciu o przetwarzane w zbiorze BIK dane, w tym dane o złożonych zapytaniach. BIK wskazał, że na konieczność wykorzystania własnych i zewnętrznych baz danych przy ocenie zdolności kredytowej wskazuje również Komisja Nadzoru Finansowego w Rekomendacji T dotyczącej dobrych praktyk w zakresie zarządzania ryzykiem detalicznych ekspozycji kredytowych, powołując się na Rekomendacje 10, 16.4,1.4 a tiret drugie, 1.4 b tiret drugie, 17.5 e oraz wstęp do Rekomendacji. Podstawą przetwarzania danych przez BIK w celu oceny zdolności kredytowej i analizy ryzyka kredytowego jest art. 6 ust. 1 lit. c RODO w zw. z art. art. 105 ust. 4 oraz art. 105a ust. 1, 1 a i 1 b p.b., art. 171 ust. 2 CRR, art. 144 ust. 1 lit. d CRR, art. 145 ust. 1 CRR oraz art. 147 ust. 5 lit. b. CRR; 2) w celach statystycznych oraz stosowania metod wewnętrznych oraz innych metod i modeli - na podstawie art. 6 ust. 1 lit. f RODO w związku z prawnie uzasadnionym interesem administratora danych wynikającym z przepisów Prawa bankowego, w tym art. 105 ust. 1 i 105 a ust. 4; 3) w celach przeciwdziałania przestępstwom oraz wykonywania obowiązków w zakresie określonym w przepisach o przeciwdziałaniu praniu pieniędzy oraz finansowaniu terroryzmu na podstawie art. 106d p.b. oraz art. 33 ust. 2, art. 34 ust. 1 pkt 4 AML; 4) w celu rozpatrywania ewentualnych reklamacji lub roszczeń odszkodowawczych klientów, których termin przedawnienia zgodnie z art. 118 k.c. wynosi 6 lat (cele dowodowe). Podstawę prawną stanowi w tym przypadku art. 6 ust. 1 lit. f RODO, a dodatkową przesłanką jest konieczność wypełnienia ustawowego obowiązku wynikającego z art. 15 RODO w przypadku wystąpienia przez osobę, której dane dotyczą z wnioskiem o udzielenie informacji: 5) w celu realizacji wniosków klientów banków dotyczących wyjaśnień dokonanej oceny zdolności kredytowej na podstawie art. 70a p.b.
Odnosząc powyższe do obwiązujących w tym zakresie przepisów, tj. art. 5 ust. 1 lit. b i c, art. 6 ust. 1, w tym art. 6 ust. 1 lit. f, art. 15 RODO; art. 105 ust. 4, art. 105a ust. 1 i 4, art. 70 ust. 1, art. 70a ust. 1 i 2, art. 106d p.b.; art. 33 ust. 1, 2 i 4, art. 34 ust. 3, art. 35 ust. 2, art. 49 ust. 2 AML; oraz art. 144 ust. 1 lit. d, art. 145 ust. 1, art. 147 ust. 5 lit. b, art. 171 ust. 2, art. 178 ust. 3 lit. e, i lit. f CRR, art. 23 ust. 1 pkt 2 u.o.d.o., organ stwierdził, że wnioskodawca w dniu [...] lipca 2022 r. wystąpił do banku z wnioskiem o udzielenie kredytu. Wobec powyższego bank oraz BIK, na podstawie art. 105a ust. 1 w zw. z art. 70 ust. 1 p.b., były uprawnione do przetwarzania jego danych osobowych w celu oceny zdolności kredytowej i analizy ryzyka kredytowego. Do zawarcia umowy kredytu pomiędzy wnioskodawcą i bankiem jednak nie doszło, w związku z czym odpadła przesłanka legalizująca dalsze przetwarzanie danych osobowych ww. przez bank oraz przez BIK. Przesłanki zawarte w art. 105a p.b. dotyczą bowiem przetwarzania informacji objętych tajemnicą bankową w okresie przed powstaniem zobowiązania, w trakcie jego trwania oraz po wygaśnięciu zobowiązania. Pomiędzy bankiem a wnioskodawcą nie doszło do nawiązania stosunku zobowiązaniowego wynikającego z zapytania kredytowego z dnia [...] lipca 2022 r., który stosownie do art. 105a ust. 1-6 p.b. dawałby podstawę do dalszego przetwarzania danych osobowych wnioskodawcy. Celem przetwarzania danych osobowych wnioskodawcy była wyłącznie ocena zdolności kredytowej i analiza ryzyka kredytowego. W związku z dokonaniem przez bank oceny zdolności kredytowej i analizy ryzyka kredytowego ww. cel przetwarzania danych osobowych wnioskodawcy został zrealizowany, zatem brak było podstaw prawnych do kontynuowania tego procesu po dokonaniu wskazanej oceny zdolności kredytowej i analizy ryzyka kredytowego.
W ocenie organu za podstawę przetwarzania danych osobowych wnioskodawcy, nie mogą być uznane wskazana przez bank i BIK cele statystyczne i analizy, w tym cel stosowania metod wewnętrznych oraz innych metod i modeli, o których mowa w części trzeciej rozporządzenia CRR. Podkreślił, że art. 105a ust. 4 p.b. daje podstawy do przetwarzania informacji dotyczących osoby fizycznej stanowiących tajemnicę bankową po wygaśnięciu zobowiązania wynikającego z umowy zawartej z bankiem lub inną instytucją ustawowo upoważnioną do udzielania kredytów bez zgody osoby, której te informacje dotyczą. Jednak w przedmiotowej sprawie nie doszło do zawarcia umowy kredytu pomiędzy wnioskodawcą a bankiem, a zatem nie powstał żaden stosunek zobowiązaniowy, o którym mowa w powyższym przepisie. Także powołane przepisy CRR nie wykazują konkretnej przesłanki uprawniającej BIK do wykorzystania danych w zakresie zapytań kredytowych niezakończonych zawarciem umowy do indywidualnej oceny zdolności kredytowej, ani tym bardziej do wykorzystania tego rodzaju danych osobowych do modeli scoringowych. Podkreślił, że przepisy CRR zawierają konkretyzację danych, które mogą być użyte przez instytucje kredytowe oraz firmy inwestycyjne przy realizacji wymogów ostrożnościowych, natomiast nie uczyniono na gruncie ww. rozporządzenia tego samego w przypadku zapytań kredytowych niezakończonych zawarciem umowy, przez co nie sposób uznać, że przewiduje ono podstawy prawne do przetwarzania danych w nich zawartych.
Z przepisów CRR wynika, że instytucja kredytowa jest obowiązana do zbierania informacji przydatnych do skutecznego zarządzania ryzykiem. Nie oznacza to jednak, że gromadzenie danych w systemach ratingowych może odbywać się z naruszeniem innych przepisów regulujących kwestie ochrony danych osobowych. Przepisy CRR zawierają konkretyzację danych, które mogą być użyte przez instytucje kredytowe oraz firmy inwestycyjne przy realizacji wymogów ostrożnościowych. W przedmiotowym rozporządzeniu wprost wskazano, że za elementy wskazujące na prawdopodobieństwo niedokonania płatności uznaje się sytuacje takie jak m. in. złożenie przez instytucję wniosku o postawienie dłużnika w stan upadłości lub podobnego wniosku w odniesieniu do zobowiązań kredytowych dłużnika wobec instytucji, jednostki dominującej lub którejkolwiek z jej jednostek zależnych lub wystąpienie przez dłużnika o ogłoszenie upadłości lub o przyznanie podobnej ochrony lub postawienie dłużnika w stan upadłości bądź przyznanie mu podobnej ochrony, jeżeli umożliwiłoby mu to uniknięcie lub opóźnienie spłaty zobowiązań kredytowych wobec instytucji, jednostki dominującej lub którejkolwiek z jej jednostek zależnych. W CRR nie dokonano takiego konkretnego wskazania w przypadku zapytań kredytowych niezakończonych zawarciem umowy, tym samym organ nie uznał, że przewiduje ono podstawy prawne do przetwarzania danych w nich zawartych.
W ocenie organu legalnej podstawy przetwarzania danych osobowych wnioskodawcy w zakresie zapytań kredytowych niezakończonych zawarciem umowy kredytu, nie mogą również stanowić Rekomendacje Komisji Nadzoru Finansowego (KNF), które należą do nienormatywnych form działania administracji. Wydane przez KNF rekomendacje - podobnie jak inne uchwały ww. organu nadzoru - nie są źródłem ani powszechnie obowiązujących przepisów prawa, ani przepisów prawa o charakterze wewnętrznym. Przywołane rekomendacje nie stanowią podstawy prawnej legalizującej przetwarzanie danych osobowych, zaś ich stosowanie nie może naruszać przepisów RODO.
Organ stwierdził, że zebrany w niniejszym postępowaniu materiał dowodowy nie wykazał, aby bank lub BIK mogły przetwarzać dane osobowe wnioskodawcy dotyczące zapytania kredytowego z dnia [...] lipca 2022 r., na podstawie art. 106d p.b. w celach przeciwdziałania przestępstwom oraz wykonywania obowiązków w zakresie określonym w przepisach ustawy AML, bowiem w toku prowadzonego postępowania nie wykazały, aby zaszła którakolwiek z przesłanek określonych w ww. przepisach. W szczególności nie wykazały, aby zaszły uzasadnione podejrzenia, o których mowa w art. 106d ust. 1 pkt 1-2 p.b. oraz nie wskazały także nałożonego na nich obowiązku określonego w przepisach ustawy AML, o którym mowa w art. 106d ust. 1 pkt 3 p.b.
Odnosząc się do powołanego zarówno przez bank, jak i BIK, celu ustalenia, dochodzenia lub obrony roszczeń Prezes UODO podał, że zebrany w niniejszym postępowaniu materiał dowodowy nie wykazał, aby wnioskodawca wystąpił z jakimkolwiek roszczeniem wobec banku czy BIK, które uzasadniałoby uprawnienie tych podmiotów do zachowania i przetwarzania jego danych osobowych dla celów dowodowych w związku z dochodzeniem przez wnioskodawcę tego roszczenia. Bank i BIK nie wskazały także na istnienie roszczeń, których dochodzą od wnioskodawcy. Podkreślił też, że z art. 6 ust. 1 lit. f RODO dotyczy sytuacji już istniejącej, w której celem wynikającym z prawnie uzasadnionych interesów realizowanych przez administratora jest konieczność udowodnienia, potrzeba dochodzenia lub obrony przed roszczeniem istniejącym, nie zaś sytuacji, gdy dane są przetwarzane w celu zabezpieczenia się przed ewentualnym roszczeniem. Przyjęcie za prawidłowe stanowiska, iż przetwarzanie danych osobowych w celu uchylenia się od negatywnych skutków w przypadku zgłoszenia w przyszłości ewentualnego i nieokreślonego roszczenia, stanowi prawnie usprawiedliwiony cel w rozumieniu art. 6 ust. 1 lit. f RODO oznaczałoby, że dane osobowe wnioskodawcy mogą być przetwarzane przez bank i BIK permanentnie, bez konieczności ich usunięcia.
Zdaniem organu brak jest podstaw do przyjęcia, iż terminy dotyczące przedawnienia roszczeń wynikających ze stosunków zobowiązaniowych określają jednocześnie ramy czasowe, w których dane osobowe mogą być przetwarzane przez bank i BIK. Przedawnienie roszczenia nie wywołuje skutków na gruncie ochrony danych osobowych, nie wpływa bowiem na fakt istnienia roszczenia, a powoduje jedynie zmianę w sferze zarzutów procesowych w postaci możliwości podniesienia okoliczności przedawnienia w sporze sądowym. Okolicznością usprawiedliwiającą przetwarzanie danych osobowych w celu dochodzenia roszczeń jest sam fakt istnienia roszczenia oraz zamiar jego dochodzenia, nie jest nią natomiast zmiana w uprawnieniach procesowych strony.
Brak jest także podstaw do przyjęcia, że bank jest uprawniony do przetwarzania danych osobowych w związku z koniecznością ewentualnego wypełnienia obowiązku wynikającego z art. 70a ust. 1 i ust. 2 p.b. Jeśli bank - w wyniku dokonanej oceny zdolności kredytowej (przeprowadzonej zgodnie z przyjętymi rekomendacjami KNF), nie udzieli kredytu, zatem nie dochodzi do zawarcia umowy kredytu, stan taki nie rodzi po stronie ubiegającego się o kredyt żadnych roszczeń na drodze cywilnoprawnej. Ubiegającemu się o kredyt przysługuje tylko możliwość wnioskowania o przedstawienie na piśmie przyczyn odmowy (B. Bajor [w:] L. Kociucki, J. M. Kondek, K. Królikowska, B. Bajor, Prawo bankowe. Komentarz do przepisów cywilnoprawnych, Warszawa 2020, art. 70(a)). Art. 70a p.b. nie przewiduje żadnego terminu na złożenie wniosku o udzielenie informacji dotyczących odmowy udzielenia kredytu. Powyższe nie oznacza jednak, że można dane osobowe przetwarzać bezterminowo, gdyż byłoby to sprzeczne z zasadą ograniczenia przechowywania, określoną w art. 5 ust. 1 lit. e RODO.
Ponadto powstanie obowiązku, o którym mowa w art. 70a ust. 1 p.b. w brzemieniu obowiązującym na dzień przedmiotowego zapytania kredytowego, uzależnione jest od złożenia stosownego wniosku przez osobę ubiegającą się o kredyt. Złożony do banku wniosek kredytowy z dnia [...] lipca 2022 r., ostatecznie nie zakończył się zawarciem umowy z bankiem. Ponadto wnioskodawca zwrócił się do banku z żądaniem usunięcia jego danych osobowych przetwarzanych w BIK, a następnie zainicjował postępowania przed organem nadzoru, domagając się ochrony danych osobowych. Uwzględnienie jego żądania usunięcia przedmiotowych danych skutkować będzie brakiem możliwości udzielenia informacji wskazanych w art. 70a ust. 1 i 2 p.b., z czym wnioskodawca żądając usunięcia danych, musi się liczyć. Zdaniem Prezesa UODO powyższe oznacza, że wnioskodawca nie był i nie jest zainteresowany realizacją prawa do złożenia wniosku, o którym mowa w przywołanym przepisie, a tym samym nie można uznać, by stanowił on podstawę przetwarzania danych osobowych wnioskodawcy.
Organ nie zaakceptował stanowiska BIK, że jest on uprawniony do przetwarzania danych osobowych w związku z koniecznością ewentualnego wypełnienia obowiązku wynikającego z art. 70a p.b. Przepis ten nie nakłada jakichkolwiek obowiązków prawnych na BIK, gdyż dotyczy wyłącznie banków i innych instytucji ustawowo upoważnionych do udzielania kredytów. Nie może więc stanowić podstawy do przetwarzania danych osobowych wnioskodawcy wynikających z zapytań przez BIK.
Prezes UODO stwierdził również, że brak jest uzasadnienia dla przyjęcia, że BIK jest uprawniony do przetwarzania danych osobowych pozyskanych w związku z zapytaniem kredytowym z dnia [...] lipca 2022 r., w związku z koniecznością ewentualnego wypełnienia obowiązku wynikającego z art. 15 RODO. Usunięcie przez administratora danych osobowych nie uniemożliwia mu wykonania obowiązku uregulowanego w tym przepisie, gwarantującego osobie, której dane dotyczą, prawa do uzyskania od administratora informacji, czy jej dane są przetwarzane, a w przypadku pozytywnej odpowiedzi na tak postawione pytanie - uprawnienie do dostępu do własnych danych oraz uzyskania informacji o okolicznościach przetwarzania danych. Jeśli bowiem, administrator nie przetwarza danych dotyczących osoby, która zwraca się z żądaniem udzielenia informacji, to działanie administratora ogranicza się do odpowiedzi przeczącej i nie ma on obowiązku podawać podmiotowi danych innych informacji.
Organ stwierdził, że w niniejszej sprawie brak jest celu uzasadniającego przetwarzanie danych osobowych wnioskodawcy zawartych w przedmiotowym zapytaniu kredytowym, zarówno przez bank jak i BIK (z których każdy jest odrębnym administratorem). Uznał także - w odniesieniu do kwestionowanego przez wnioskodawcę przetwarzania jego danych osobowych przez bank i BIK, że w sprawie nie zaistniała żadna z wyrażonych w art. 6 ust. 1 RODO przesłanka legalizująca. Ocenił, że bank nie wskazał podstaw prawnych przetwarzania danych osobowych wynikających z zapytania kredytowego z dnia [...] lipca 2022 r., po dniu w którym wnioskodawca zwrócił się do banku o zaprzestanie przetwarzania jego danych osobowych dotyczących ww. zapytania, a więc po dniu [...] listopada 2022 r., kiedy to do banku wpłynęło pismo ww. z dnia [...] października 2022 r. z wnioskiem o usunięcie jego danych osobowych w zakresie zapytania kredytowego. Bank zwrócił się do BIK o usunięcie ww. zapytania wnioskodawcy w dniu [...] listopada 2022 r. BIK na skutek uzyskanej informacji, skierował do banku prośbę o weryfikację czy zapytanie powinno zostać zablokowane czy też usunięte. W dniu [...] grudnia 2022 r. bank potwierdził BIK, że chodzi o usunięcie ww. zapytania kredytowego. Ostatecznie BIK usunął dane wnioskodawcy wynikające z zapytania kredytowego z dnia [...] lipca 2022 r. w dniu [...] grudnia 2022 r. Zdaniem Prezesa UODO BIK od dnia [...] listopada 2022 r. dysponował informacją, iż przetwarzanie danych osobowych wnioskodawcy dotyczących ww. zapytania kredytowego powinno zostać zaprzestane, w związku z tym, że umowa pomiędzy wnioskodawcą a bankiem nie została zawarta. W dodatku, jak wskazał BIK, po [...] listopada 2022 r. przetwarzał dane osobowe wnioskodawcy wyłącznie w celach dowodowych. Podstawę prawną stanowił w tym przypadku art. 6 ust. 1 lit. f RODO, tj. uzasadniony prawnie interes administratora danych polegający na rozpatrzeniu zgłoszenia będącego przedmiotem reklamacji oraz obrony przez potencjalnymi roszczeniami. Dodatkową przesłanką przetwarzania danych w powyższym celu była konieczność wypełnienia ustawowego obowiązku wynikającego z art. 15 RODO w przypadku wystąpienia przez osobę, której dane dotyczą z wnioskiem o udzielenie informacji.
Organ podał, że wnioskodawca wskazał, iż pismami z dnia [...] września
2022 r. i [...] października 2022 r. zwrócił się do banku o usunięcie jego danych osobowych w skarżonym zakresie. Bank jednak wyjaśnił, że w dniu [...] listopada 2022 r. otrzymał jedynie pismo z dnia [...] października 2022 r. Skarżący natomiast nie wykazał w żaden sposób, że faktycznie zwracał się do banku wcześniej, tj. w dniu [...] września 2022 r. Wobec tego Prezes UODO jako udowodnioną przyjął okoliczność zwrócenia się przez wnioskodawcę do banku o usunięcie jego danych osobowych w zakresie przedmiotowego zapytania kredytowego pismem z dnia [...] października 2022 r.
Zdaniem organu w niniejszej sprawie doszło do naruszenia przepisów o ochronie danych osobowych przez bank poprzez przetwarzanie danych osobowych wnioskodawcy w zakresie wynikającym z zapytania kredytowego z dnia [...] lipca 2022h r. bez podstawy prawnej w okresie po dniu otrzymania żądania ww. usunięcia jego danych osobowych, tj. od dnia [...] listopada 2022 r. do dnia [...] listopada 2022 r. oraz przez BIK, poprzez przetwarzanie danych osobowych wnioskodawcy w zakresie zapytania kredytowego z dnia [...] lipca 2022 r. bez podstawy prawnej w okresie po dniu otrzymania od banku informacji o tym, iż przedmiotowe zapytanie powinno zostać usunięte, tj. od dnia [...] listopada 2022 r. do dnia [...] grudnia 2022 r. Wcześniej bowiem, pomimo niewykazania istnienia wskazanych podstaw przetwarzania danych osobowych ww., BIK nie dysponował informacją o konieczności usunięcia danych osobowych wnioskodawcy wynikających z przedmiotowego zapytania kredytowego.
W tej sytuacji, korzystając z uprawnienia przewidzianego w art. 58 ust. 2 lit. b RODO, organ udzielił bankowi i BIK, upomnień w zakresie stwierdzonych naruszeń przepisów RODO.
Skargę na decyzję Prezesa UODO z dnia [...] grudnia 2024 r. w części dotyczącej pkt 2 złożył BIK, wnosząc o uchylenie jej w tej części oraz zasądzenie zwrotu kosztów postępowania.
BIK zarzucił naruszenie prawa materialnego, mającego wpływ na wynik sprawy, tj.: art. 6 ust. 1 lit. f RODO, poprzez jego niezastosowanie wskutek uznania, że przetwarzanie danych osobowych dla realizacji prawnie uzasadnionych interesów administratora danych w celach zabezpieczenia roszczeń może dotyczyć wyłącznie roszczeń istniejących i aktualnie dochodzonych i w konsekwencji nieuzasadnione przyjęcie, że prawnie uzasadniony interes administratora danych nie istniał, w sytuacji konieczności przetwarzania danych osobowych do ochrony przed roszczeniami istniejącymi, ale nie dochodzonymi, podczas gdy istotą uzasadnionego interesu administratora jest możliwość przetwarzania danych na wypadek konieczności obrony przed roszczeniami istniejącymi lub dochodzenia w przyszłości roszczeń istniejących, które w warunkach niniejszej sprawy były związane z przetwarzaniem danych osobowych na potrzeby zapytania kredytowego oraz opracowania oceny scoringowej wnioskodawcy, niezbędnej do przeprowadzenia analizy zdolności kredytowej oraz analizy ryzyka kredytowego, które to skarżący zobowiązany jest gromadzić, przetwarzać i udostępniać bankom i instytucjom ustawowo upoważnionym do udzielania kredytów dla realizacji celów ustawowych badania zdolności kredytowej; oraz naruszenie prawa procesowego, mającego istotny wpływ na wynik sprawy, tj.: art. 7, art. 77 w zw. z art. 80 w zw. z art. 107 § 3 k.p.a. w zw. z art. 7 ust. 1 u.o.d.o., poprzez niezbadanie przez organ wszystkich okoliczności składających się na istnienie po stronie skarżącego podstawy prawnej przetwarzania danych wnioskodawcy, tj. realizacji prawnie uzasadnionego interesu skarżącego w postaci zabezpieczenia roszczeń, a w szczególności możliwości ustalenia, dochodzenia lub obrony przed roszczeniami mogącymi mieć związek z dokonaną indywidualną oceną ryzyka kredytowego, pomimo, iż przepis prawa oraz okoliczności faktyczne całokształtu sprawy upoważniały skarżącego do przetwarzania danych w celach dowodowych; niewystarczające wyjaśnienie podstawy prawnej decyzji oraz brak oceny istotnych okoliczności sprawy uzasadniających istnienie po stronie skarżącego uzasadnionego interesu w przetwarzaniu danych osobowych wnioskodawcy, co w konsekwencji doprowadziło do błędnego uznania, że skarżący przetwarzał dane osobowe w okresie wskazanym w decyzji bez podstawy prawnej. W obszernym uzasadnieniu skargi BIK rozwinął podniesione zarzuty.
W odpowiedzi na skargę organ, podtrzymując dotychczasową argumentację, wniósł o oddalenie skargi.
Wojewódzki Sąd Administracyjny w Warszawie zważył, co następuje:
W świetle art. 1 § 1 ustawy z dnia 25 lipca 2002 r. Prawo o ustroju sądów administracyjnych (Dz.U. z 2024 r. poz. 1267 ze zm.), sądy administracyjne sprawują wymiar sprawiedliwości przez kontrolę działalności administracji publicznej, przy czym stosownie do § 2 art. 1 powołanej ustawy kontrola ta sprawowana jest pod względem zgodności z prawem, jeżeli ustawy nie stanowią inaczej.
Skarga BIK oceniana według podanych kryteriów kontroli nie zasługuje na uwzględnienie. Zaskarżona decyzja Prezesa UODO z [...] grudnia 2023 r. w części dotyczącej rozstrzygnięcia zawartego w punkcie 2, nie narusza prawa. Organ podjął w tej sprawie decyzję po dokonaniu wymaganych ustaleń stanu faktycznego niezbędnych do jej rozstrzygnięcia oraz swoje stanowisko należycie uzasadnił.
W sprawie jest bezsporne, że przetwarzanie danych osobowych uczestniczka przez BIK powinno odbywać się z poszanowaniem przepisów RODO. W sprawie jest bezsporne, że BIK pozyskał dane osobowe uczestniczka w zakresie wskazanego zapytania kredytowego od Banku, na podstawie art. 105 ust. 4, art. 105a ust. 1 p.b. oraz umowy zawartej między BIK i Bank, jak podał BIK, w celu: oceny zdolności kredytowej i analizy ryzyka kredytowego, przeciwdziałania przestępstwom oraz wykonywania obowiązków w zakresie określonym w przepisach o przeciwdziałaniu praniu pieniędzy oraz finansowaniu terroryzmu, statystycznym i analizy (w celu dostarczenia bankom analiz m.in. pozwalających ocenić jakość polityki kredytowej na tle rynku) przez okres nie dłuższy niż - jak wskazano 10 lat od dnia złożenia zapytania oraz rozpatrywania ewentualnych reklamacji lub roszczeń odszkodowawczych klientów.
Podstawy przetwarzania danych osobowych uczestnika wymieniony podmiot finansowy upatruje w przesłance legalizującej z art. 6 ust. 1 lit. f RODO, dodatkowo też w art. 6 ust. 1 lit. c RODO.
Dokonując oceny zgodności z prawem zaskarżonej decyzji w zakresie punktu 2, którą Prezes UODO nakazał BIK usunięcie danych osobowych uczestnika w zakresie wynikającym z zapytania kredytowego - przetwarzanych pomimo braku zawarcia z nim umowy o kredyt - wskazać na wstępie należy, że zgodnie z motywem 40 RODO, aby przetwarzanie danych było zgodne z prawem, powinno się odbywać na podstawie zgody osoby, której dane dotyczą, lub na innej uzasadnionej podstawie przewidzianej prawem: albo w niniejszym rozporządzeniu, albo w innym akcie prawnym Unii lub w prawie państwa członkowskiego, o których mowa w niniejszym rozporządzeniu, w tym musi się ono odbywać z poszanowaniem obowiązku prawnego, któremu podlega administrator, lub z poszanowaniem umowy, której stroną jest osoba, której dane dotyczą, lub w celu podjęcia działań na żądanie osoby, której dane dotyczą, przed zawarciem umowy.
Powyższe znalazło wyraz w art. 6 ust. 1 RODO określającym przesłanki legalności przetwarzania danych osobowych. Zgodnie z tym przepisem, przetwarzanie jest zgodne z prawem wyłącznie w przypadkach, gdy - i w takim zakresie, w jakim - spełniony jest co najmniej jeden z poniższych warunków:
a) osoba, której dane dotyczą wyraziła zgodę na przetwarzanie swoich danych osobowych w jednym lub większej liczbie określonych celów;
b) przetwarzanie jest niezbędne do wykonania umowy, której stroną jest osoba, której dane dotyczą, lub do podjęcia działań na żądanie osoby, której dane dotyczą, przed zawarciem umowy;
c) przetwarzanie jest niezbędne do wypełnienia obowiązku prawnego ciążącego na administratorze;
d) przetwarzanie jest niezbędne do ochrony żywotnych interesów osoby, której dane dotyczą, lub innej osoby fizycznej;
e) przetwarzanie jest niezbędne do wykonania zadania realizowanego w interesie publicznym lub w ramach sprawowania władzy publicznej powierzonej administratorowi;
f) przetwarzanie jest niezbędne do celów wynikających z prawnie uzasadnionych interesów realizowanych przez administratora lub przez stronę trzecią, z wyjątkiem sytuacji, w których nadrzędny charakter wobec tych interesów mają interesy lub podstawowe prawa i wolności osoby, której dane dotyczą, wymagające ochrony danych osobowych, w szczególności gdy osoba, której dane dotyczą, jest dzieckiem.
Akapit pierwszy lit. f nie ma zastosowania do przetwarzania, którego dokonują organy publiczne w ramach realizacji swoich zadań.
Zgodnie z art. 105a ust. 1 p.b. przetwarzanie przez banki, inne instytucje ustawowo upoważnione do udzielania kredytów, instytucje pożyczkowe oraz podmioty, o których mowa w art. 59d ustawy o kredycie konsumenckim, a także instytucje utworzone na podstawie art. 105 ust. 4, informacji stanowiących tajemnicę bankową i informacji udostępnionych przez instytucje pożyczkowe oraz podmioty, o których mowa w art. 59d ustawy o kredycie konsumenckim, w zakresie dotyczącym osób fizycznych może być wykonywane, z zastrzeżeniem art. 104, art. 105 i art. 106-106d, w celu oceny zdolności kredytowej i analizy ryzyka kredytowego. Zgodnie z art. 70 ust. 1 Prawa bankowego, bank uzależnia przyznanie kredytu od zdolności kredytowej kredytobiorcy. Przez zdolność kredytową rozumie się zdolność do spłaty zaciągniętego kredytu wraz z odsetkami w terminach określonych w umowie. Kredytobiorca jest obowiązany przedłożyć na żądanie banku dokumenty i informacje niezbędne do dokonania oceny tej zdolności.
Analiza powyższych przepisów wskazuje, że BIK, na podstawie art. 105a ust. 1 w zw. z art. 70 ust. 1 p.b., był uprawniony do przetwarzania danych osobowych uczestnika w celu oceny zdolności kredytowej i analizy ryzyka kredytowego.
Niemniej art. 105a ust. 2 p.b. stanowi, że instytucje, o których mowa w ust. 1, mogą przetwarzać informacje stanowiące tajemnicę bankową oraz informacje udostępnione przez instytucje pożyczkowe oraz podmioty, o których mowa w art. 59d ustawy o kredycie konsumenckim, w zakresie dotyczącym osób fizycznych po wygaśnięciu zobowiązania wynikającego z umowy zawartej z bankiem, inną instytucją ustawowo upoważnioną do udzielania kredytów, instytucją pożyczkową lub podmiotem, o którym mowa w art. 59d tej ustawy, pod warunkiem uzyskania pisemnej zgody osoby, której informacje te dotyczą, z zastrzeżeniem ust. 2a. Zgoda ta może być w każdym czasie odwołana. Ust. 3 zaś stanowi, że Banki, instytucje oraz podmioty, o których mowa w ust. 1, mogą przetwarzać informacje stanowiące tajemnicę bankową i informacje udostępnione przez instytucje pożyczkowe oraz podmioty, o których mowa w art. 59d ustawy o kredycie konsumenckim, dotyczące osób fizycznych po wygaśnięciu zobowiązania wynikającego z umowy zawartej z bankiem, inną instytucją ustawowo upoważnioną do udzielania kredytów, instytucją pożyczkową lub podmiotem, o którym mowa w art. 59d tej ustawy, bez zgody osoby, której informacje dotyczą, gdy osoba ta nie wykonała zobowiązania lub dopuściła się zwłoki powyżej 60 dni w spełnieniu świadczenia wynikającego z umowy zawartej z bankiem, inną instytucją ustawowo upoważnioną do udzielania kredytów, instytucją pożyczkową lub podmiotem, o którym mowa w art. 59d ustawy o kredycie konsumenckim, a po zaistnieniu tych okoliczności upłynęło co najmniej 30 dni od poinformowania tej osoby przez bank, inną instytucję ustawowo upoważnioną do udzielania kredytów, instytucję pożyczkową albo podmiot, o którym mowa w tym przepisie, o zamiarze przetwarzania dotyczących jej tych informacji, bez jej zgody. Kolejne przepisy wskazują, że banki oraz instytucje, o których mowa w art. 105 ust. 4, mogą przetwarzać stanowiące tajemnicę bankową informacje dotyczące osoby fizycznej po wygaśnięciu zobowiązania wynikającego z umowy zawartej z bankiem lub inną instytucją ustawowo upoważnioną do udzielania kredytów bez zgody osoby, której informacje dotyczą, do celów stosowania metod wewnętrznych oraz innych metod i modeli, o których mowa w części trzeciej rozporządzenia Parlamentu Europejskiego i Rady (UE) nr 575/2013 z dnia 26 czerwca 2013 r. w sprawie wymogów ostrożnościowych dla instytucji kredytowych i firm inwestycyjnych, zmieniające rozporządzenie (UE) nr 648/2012; dalej "rozporządzenie nr 575/2013" (ust. 4). Przetwarzanie informacji stanowiących tajemnicę bankową w przypadkach, o których mowa w ust. 3, może być wykonywane przez okres nie dłuższy niż 5 lat od dnia wygaśnięcia zobowiązania, a w przypadku, o którym mowa w ust. 4, przez okres 12 lat od dnia wygaśnięcia zobowiązania (ust. 5). Zakres przetwarzanych informacji, o których mowa w ust. 3 i 4, może obejmować dane dotyczące osoby fizycznej lub dane dotyczące zobowiązania (ust. 6).
W analizowanym przypadku nie doszło jednak do zawarcia umowy kredytowej pomiędzy uczestnikiem a Bankiem. Zgodzić się należy w związku z tym z Prezesem UODO, że odpadła przesłanka legalizująca dalsze przetwarzanie danych osobowych uczestnika przez BIK, które to przetwarzanie miało na celu - co wymaga podkreślenia - ocenę zdolności kredytowej i analizę ryzyka kredytowego (przed zawarciem umowy). Pomiędzy bankiem a uczestnikiem nie zawiązał się żaden stosunek zobowiązaniowy, który stosownie do art. 105a ust. 1-6 p.b. dawałby podstawę do dalszego przetwarzania jego danych osobowych zarówno przez BIK. Ustał cel przetwarzania, dla którego pozyskano dane osobowe i nie ma spełnionej przesłanki ich dalszego przetwarzania, co trafnie stwierdził organ właściwy do spraw ochrony danych osobowych.
Z przedstawionych wyżej przepisów wynika, że przesłanki zawarte w art. 105a p.b. dotyczą przetwarzania informacji objętych tajemnicą bankową w okresie przed powstaniem zobowiązania, w trakcie jego trwania oraz po wygaśnięciu zobowiązania. Natomiast w sytuacji, gdy w następstwie złożenia wniosku kredytowego nie dochodzi do zawarcia umowy kredytowej z Bankiem, jak miało to miejsce w niniejszej sprawie, brak jest ustawowych przesłanek legalizujących dalsze przetwarzanie danych osobowych wnioskującego o zawarcie i wykonanie umowy w zakresie zapytania kredytowego przez BIK.
Wobec braku zgody zainteresowanego produktem finansowym Banku na przetwarzanie jego danych osobowych po negatywnym rozpatrzeniu jego wniosku o kredyt (art. 6 ust. 1 lit. a RODO), odpadła przesłanka dopuszczalności przetwarzania przez BIK danych wnioskodawcy zawartych w zapytaniu kredytowym.
Nie może bowiem budzić wątpliwości, że ocena zdolności kredytowej i ryzyka kredytowego ma charakter czynności wstępnych przed zawarciem umowy przez bank. Dalsze przetwarzanie danych, uzyskanych pierwotnie wyłącznie w celu oceny zdolności kredytowej i analizy ryzyka kredytowego, w przypadku braku zawarcia stosownej umowy, pozostaje w oderwaniu od celu, dla którego dane zostały zebrane. Na gruncie RODO niedopuszczalne jest - w takim stanie faktycznym, jak w niniejszej sprawie, gdy nie zawarto umowy kredytowej - przetwarzanie danych osobowych "na przyszłość" w zupełnie innych celach niż je zebrano, w tym na potrzeby oceny zdolności kredytowej innych podmiotów, w sytuacji, gdy nie można zrekonstruować wyraźnej podstawy prawnej takich działań.
W sprawie niewątpliwie nie mamy do czynienia z sytuacją, w której nawiązano stosunek zobowiązaniowy i następnie dane przetwarzane są (w tym także udostępniane) przez administratora nie tylko w celu zasadniczym, tj. realizacji zawartej z klientem umowy, ale także w innych celach, które powstały w trakcie trwania stosunku zobowiązaniowego i które w ocenie administratora winny być, czy mogą być - w związku z trwającym stosunkiem prawnym - kwalifikowane jako jego "prawnie uzasadnione interesy" na gruncie RODO (art. 6 ust. 1 lit. f RODO). Przypadek taki nie zachodzi w niniejszej sprawie.
Rozpatrywana sprawa dotyczy przetwarzania danych osobowych wnioskodawcy, z którym bank nie zawarł umowy. Ustał tym samym cel przetwarzania jego danych osobowych wynikający z art. 105a ust. 1 w zw. z art. 70 ust. 1 p.b., albowiem po odmowie przyznania produktu finansowego osoba zainteresowana wniosła o zaprzestanie przetwarzania danych i ich usunięcie. Podstawy do dalszego przetwarzania danych osobowych uczestnika (na przyszłość i w innych wskazywanych obecnie przez BIK celach) nie stanowi w tej sprawie, w jej okolicznościach faktycznych, dla BIK żadna z przesłanek z art. 6 ust. 1 lit. b-f RODO.
W szczególności nie stanowi takiej przesłanki art. 6 ust. 1 lit. c RODO. Przepis ten dotyczy bowiem sytuacji, gdy przetwarzanie jest niezbędne do wypełnienia obowiązku prawnego administratora danych, a nie realizacji uprawnienia, o którym mowa w art. 105 ust. 4 p.b. Ponadto art. 105 ust. 4 p.b. nie stanowi o dopuszczalności przetwarzania danych osobowych dotyczących wniosków kredytowych w sytuacji, gdy nie doszło do zawarcia umowy z bankiem. W tym przypadku ustał cel oceny zdolności kredytowej i analizy ryzyka kredytowego. Przepis art. 105a ust. 1a, 1b, 1c p.b. dotyczy określenia warunków dopuszczalności zautomatyzowanego przetwarzania, w tym profilowania danych osobowych w celu oceny zdolności kredytowej i analizy ryzyka kredytowego. Powyższe przepisy w żaden sposób nie dają podstawy do przetwarzania "na przyszłość" danych osoby, z którą umowy nie zawarto, a cel, dla którego dane zebrano ustał. Brzmienie art. 105a p.b. nie daje podstaw do dalszego przetwarzania danych po zakończeniu oceny zdolności kredytowej i analizy ryzyka kredytowego, a także wówczas, gdy wnioskodawca zrezygnował z zaciągnięcia kredytu. Na podstawie powołanych przepisów BIK, nie tylko nie ma obowiązku ich dalszego przetwarzania, ale nie ma również uprawnienia w tym zakresie w sytuacji, gdy umowy nie zawarto i nie wykazano przesłanki legalizującej to działanie.
Powyższa konkluzja pozostaje w zgodzie z akceptowaną w pełni przez skład orzekający w niniejszej sprawie ugruntowaną linią orzeczniczą sądów administracyjnych, której przykładem jest m.in. wyrok NSA z dnia 27 sierpnia 2019 r., sygn. akt I OSK 2567/17, zgodnie z którym cyt.: "(...) cel oceny zdolności kredytowej stanowi ocena zdolności do spłaty zaciągniętego kredytu wraz z odsetkami, co ma charakter czynności wstępnej do zawarcia stosownej umowy. Dalsze przetwarzanie danych uzyskanych w celu oceny zdolności kredytowej, w przypadku nie zawarcia stosownej umowy pozostawałaby w oderwaniu od celu dla którego dane te uzyskano. (...) niedopuszczalne jest przetwarzanie danych osobowych na przyszłość, a także na potrzeby budowy oceny zdolności kredytowej innych podmiotów, jeżeli nie można zrekonstruować wyraźnej podstawy prawnej takich działań". Pogląd ten wyrażony został wprawdzie na gruncie poprzednio obowiązującej ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych i obowiązującej przed RODO Dyrektywy 95/46 WE, jednakże w ocenie Sądu nie stracił na aktualności. Przepisy RODO wzmacniają jeszcze w porównaniu z Dyrektywą 95/46 ochronę danych osób fizycznych. Aktualności tego poglądu nie zmienia także fakt, że BIK przyjął w swej praktyce określone terminy dalszego przetwarzania danych osobowych osoby, z którą nie zawarto umowy kredytu.
Zatem ustalenia Prezesa UODO odnośnie do braku dopuszczalności przetwarzania danych uczestniczka w zakresie zapytania kredytowego wskazanego w decyzji są prawidłowe. Nakaz zawarty w punkcie 2 decyzji jest przy tym jasny, nie ma wątpliwości co do jego zakresu i jest wykonalny. Zakres usunięcia danych osobowych obejmuje dane osobowe zgromadzone w celu rozpatrzenia wniosku kredytowego. Dane te zostały precyzyjnie wskazane przez BIK w piśmie wyjaśniającym złożonym do akt sprawy w postępowaniu administracyjnym.
Wymaga w tym miejscu podkreślenia, że zgodnie z art. 5 ust. 1 RODO, dane osobowe muszą być:
a) przetwarzane zgodnie z prawem, rzetelnie i w sposób przejrzysty dla osoby, której dane dotyczą ("zgodność z prawem, rzetelność i przejrzystość");
b) zbierane w konkretnych, wyraźnych i prawnie uzasadnionych celach i nieprzetwarzane dalej w sposób niezgodny z tymi celami; dalsze przetwarzanie do celów archiwalnych w interesie publicznym, do celów badań naukowych lub historycznych lub do celów statystycznych nie jest uznawane w myśl art. 89 ust. 1 za niezgodne z pierwotnymi celami ("ograniczenie celu");
c) adekwatne, stosowne oraz ograniczone do tego, co niezbędne do celów, w których są przetwarzane ("minimalizacja danych");
d) prawidłowe i w razie potrzeby uaktualniane; należy podjąć wszelkie rozsądne działania, aby dane osobowe, które są nieprawidłowe w świetle celów ich przetwarzania, zostały niezwłocznie usunięte lub sprostowane ("prawidłowość");
e) przechowywane w formie umożliwiającej identyfikację osoby, której dane dotyczą, przez okres nie dłuższy, niż jest to niezbędne do celów, w których dane te są przetwarzane; dane osobowe można przechowywać przez okres dłuższy, o ile będą one przetwarzane wyłącznie do celów archiwalnych w interesie publicznym, do celów badań naukowych lub historycznych lub do celów statystycznych na mocy art. 89 ust. 1, z zastrzeżeniem że wdrożone zostaną odpowiednie środki techniczne i organizacyjne wymagane na mocy niniejszego rozporządzenia w celu ochrony praw i wolności osób, których dane dotyczą ("ograniczenie przechowywania");
f) przetwarzane w sposób zapewniający odpowiednie bezpieczeństwo danych osobowych, w tym ochronę przed niedozwolonym lub niezgodnym z prawem przetwarzaniem oraz przypadkową utratą, zniszczeniem lub uszkodzeniem, za pomocą odpowiednich środków technicznych lub organizacyjnych ("integralność i poufność").
Przedstawione zasady przetwarzania danych nie pozwalają na arbitralne decydowanie przez administratora - w sytuacji braku do tego podstaw - o dalszym przetwarzaniu (a zatem ich m.in. ujawnianiu poprzez przesyłanie, udostępnianie, utrwalanie, organizowanie, adaptowanie, modyfikowanie) danych osobowych mimo ustania celu, dla którego dane w zapytaniu kredytowym były zebrane. Kwestia sposobu funkcjonowania w BIK systemu oceny zdolności kredytowej nie może stanowić sama w sobie podstawy do przetwarzania danych osobowych na przyszłość. Stanowiłoby to nieuprawnione rozszerzenie stosowania normy wskazanej w art. 105a ust. 1 p.]b. na sytuacje, w których nie dochodzi do zawarcia umowy, a dane osobowe osoby wnioskującej o kredyt są przetwarzane w celu oceny ryzyka kredytowego.
Nie sposób się również zgodzić, że BIK legitymuje się przesłanką przetwarzania danych wynikającą z art. 6 ust. 1 lit. f RODO w związku z rekomendacjami S, W i T Komisji Nadzoru Finansowego, które to nakładają na instytucje finansowe określone wymagania, które następnie podlegają egzekwowaniu przez Komisję Nadzoru Finansowego, na podstawie bezwzględnie obowiązujących przepisów.
Wskazać w tym miejscu należy, że źródłami powszechnie obowiązującego prawa w Rzeczypospolitej Polskiej są: Konstytucja, ustawy, ratyfikowane umowy międzynarodowe oraz rozporządzenia (art. 87 ust. 1 Konstytucji). Nie ulega zatem wątpliwości, że rekomendacje KNF nie są aktami prawa powszechnie obowiązującego. Nie mieszczą się bowiem w zamkniętym katalogu źródeł powszechnie obowiązującego prawa Rzeczypospolitej Polskiej, określonym w art. 87 Konstytucji. W świetle dychotomiczności i konstytucyjnego systemu źródeł prawa problem stanowi jednak również klasyfikacja rekomendacji jako przepisów prawa o charakterze wewnętrznym w rozumieniu art. 93 ust. 1 Konstytucji. Za uznaniem rekomendacji jako elementu systemu aktów prawa wewnętrznego opowiedział się SN w postanowieniu z 7 grudnia 1999 r., sygn. akt I CKN 796/99 (LEX nr 38875), odnoszącym się do Komisji Nadzoru Bankowego (poprzednika KNF). Jednakże duża część doktryny reprezentuje stanowisko, że rekomendacje KNF nie mają charakteru normatywnego (jako akty prawa wewnętrznego w rozumieniu art. 93 Konstytucji), lecz charakter nie władczych form działania administracji (Agnieszka Mikos-Sitek (red.), Zapadka Piotr (red.), Prawo bankowe. Komentarz, WKP 2022, teza 3 do art. 137).
Tym samym brak jest podstaw do przyjęcia, że rekomendacje mogą stanowić źródło obowiązku prawnego ciążącego na administratorze, o którym mowa w art. 6 ust. 1 lit. c RODO lub źródło prawnie uzasadnionych interesów realizowanych przez administratora w rozumieniu art. 6 ust. 1 lit. f RODO.
Za prawnie usprawiedliwiony cel w rozumieniu art. 6 ust. 1 lit. f RODO nie może zostać uznane przetwarzanie danych osobowych na wypadek ewentualnego dochodzenia lub obrony roszczeń. Zebrany w niniejszym postępowaniu materiał dowodowy nie wykazał, aby uczestnik wystąpił z jakimkolwiek roszczeniem wobec BIK, które uzasadniałoby uprawnienie tego podmiotu do zachowania i przetwarzania jego danych osobowych dla celów dowodowych w związku z dochodzonym roszczeniem. BIK nie wskazał także na istnienie roszczeń, których dochodzi od Uczestnika. Okolicznością usprawiedliwiającą przetwarzanie danych osobowych w celu dochodzenia roszczeń jest sam fakt istnienia roszczenia oraz rzeczywisty zamiar jego dochodzenia. Przyjęcie odmiennego poglądu skutkowałoby tym, że dane osobowe uczestniczka mogłyby być przetwarzane w nieskończoność, gdyż upływ terminu przedawnienia nie uniemożliwia dochodzenia roszczeń, skoro nie powoduje ich wygaśnięcia (wywołuje przecież wyłącznie zmianę w sferze zarzutów procesowych).
Nieuzasadnione są również zarzuty skarg dotyczące naruszenia przepisów prawa procesowego, tj. art. 7, art. 77 § 1 oraz art. 80 k.p.a., bowiem organ prawidłowo zebrał i ocenił zgromadzony w sprawie materiał dowodowy, opierając się na wyjaśnieniach BIK dotyczących przetwarzania danych osobowych uczestnika zawartych we wniosku kredytowym. Uzasadnienie decyzji odpowiada zaś wymogom określonym w art. 107 § 3 k.p.a.
Reasumując Sąd stwierdza, że decyzja Prezesa UODO w zaskarżonym punkcie 2 jest zgodna z prawem, zaś zarzuty skarg nie zasługiwały na uwzględnienie.
Mając na względzie powyższe Wojewódzki Sąd Administracyjny w Warszawie, na podstawie art. 151 p.p.s.a., orzekł jak w sentencji wyroku.