II SA/Wa 895/22

II SA/Wa 895/22 - Wyrok WSA w Warszawie
Data orzeczenia
2023-02-07
orzeczenie nieprawomocne
Data wpływu
2022-05-30
Sąd
Wojewódzki Sąd Administracyjny w Warszawie
Sędziowie
Andrzej Kołodziej
Joanna Kube /sprawozdawca/
Tomasz Szmydt /przewodniczący/
Symbol z opisem
647  Sprawy związane z ochroną danych osobowych
Sygn. powiązane
III OSK 1298/23 - Postanowienie NSA z 2023-06-21
Skarżony organ
Generalny Inspektor Ochrony Danych Osobowych
Treść wyniku
Oddalono skargi
Sentencja
Wojewódzki Sąd Administracyjny w Warszawie w składzie następującym: Przewodniczący Sędzia WSA Tomasz Szmydt, Sędzia WSA Joanna Kube (spr), Sędzia WSA Andrzej Kołodziej, , Protokolant referent Edyta Brzezicka, Ed, po rozpoznaniu na rozprawie w dniu 7 lutego 2023 r. sprawy ze skarg Banku [...] z siedzibą w W. oraz Biura [...] z siedzibą w W. na decyzję Prezesa Urzędu Ochrony Danych Osobowych z dnia [...] marca 2022 r. nr [...] w przedmiocie przetwarzania danych osobowych oddala skargi.
Uzasadnienie
Prezes Urzędu Ochrony Danych Osobowych, dalej: "Prezes UODO", decyzją
z dnia [...] marca 2022 r. nr [...], na podstawie art. 104 § 1 Kodeksu postępowania administracyjnego (Dz. U. z 2021 r., poz. 735 z późn. zm.), dalej: "k.p.a.", art. 7 ust. 1 i 2 ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych (Dz. U. z 2019 r. poz. 1781), art. 6 ust. 1 oraz art. 58 ust. 2 lit. c rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz. Urz. UE. L 119 z 04.05.2016 r., str. 1, ze zm.), dalej "RODO", po przeprowadzeniu postępowania administracyjnego w sprawie skargi M. S. na nieprawidłowości
w przetwarzaniu jego danych osobowych przez Bank [...] S.A. z siedzibą
w [...], dotyczących zapytania kredytowego z dnia [...] lipca 2020 r. bez podstawy prawnej, na niespełnieniu jego żądania zaprzestania przetwarzania danych osobowych dot. ww. zapytania kredytowego oraz udostępnieniu jego danych osobowych na rzecz [...] S.A. z siedzibą w [...]:
w pkt 1 nakazał [...] S.A. z siedzibą w [...], dalej: "[...]", usunięcie danych osobowych M. S. w zakresie zapytania kredytowego z dnia [...] lipca 2020 r. przekazanego przez Bank [...] S.A.
z siedzibą w [...],
w pkt 2 nakazał Bankowi [...] S.A. z siedzibą w [...], dalej: "Bank", usunięcie danych osobowych M. S. w związku z zapytaniem kredytowym z dnia [...] lipca 2020 r.
M. S., dalej: "uczestnik", skierował do Prezesa UODO skargę na nieprawidłowości w procesie przetwarzania jego danych osobowych przez Bank, polegające na przetwarzaniu jego danych osobowych dot. zapytania kredytowego
z dnia [...] lipca 2020 r. bez podstawy prawnej, na niespełnieniu jego żądania zaprzestania przetwarzania danych osobowych dot. ww. zapytania kredytowego oraz
udostępnieniu jego danych osobowych na rzecz [...].
W toku przeprowadzonego postępowania wyjaśniającego w niniejszej sprawie Prezes UODO ustalił następujący stan faktyczny:
1. M. S. podał, że Bank w dniu [...] lipca 2020 r. wysłał zapytanie kredytowe do [...] w wyniku czego w bazie [...] zaczęły być przetwarzane jego dane osobowe dotyczące tego zapytania. Wniosek ten nie zakończył się zawarciem umowy. W dniu [...] sierpnia 2020 r. uczestnik wniósł o usunięcie jego danych osobowych przetwarzanych bez podstawy prawnej oraz wycofał zgody marketingowe udzielone Bankowi. W odpowiedzi pismem z dnia [...] sierpnia 2020 r. Bank oświadczył, że nie przetwarza jego danych w celach marketingowych oraz odmówił spełnienia żądania usunięcia danych osobowych wskazując, że jest uprawniony do przetwarzania jego danych w oparciu o art. 6 ust. 1 lit. f RODO.
2. Bank pozyskał dane od uczestnika w związku ze złożonym w dniu [...] lipca 2020 r. wnioskiem kredytowym w następującym zakresie: 1) dane identyfikacyjne: imię, nazwisko, nr PESEL, NIP, data i miejsce urodzenia, seria i numer dowodu osobistego, obywatelstwo, 2) dane kontaktowe: numer telefonu, adres korespondencyjny, dane dotyczące zatrudnienia: miejsce pracy, pracodawca 3) dane finansowe: źródło dochodu, wysokość dochodu, dane o przyznanych/spłacanych kredytach/pożyczkach, wysokość opłat stałych; 5) dane socjodemograficzne: stan cywilny, ilość osób na utrzymaniu, nazwisko panieńskie matki, status mieszkania/domu; 6) dane pozyskane z [...] w dniu [...] lipca 2020 r. w związku
z zapytaniem dokonanym z uwagi na złożony wniosek kredytowy.
3. Bank wskazał w wyjaśnieniach z dnia [...] listopada 2021 r., że aktualnie przetwarza dane osobowe uczestnika w związku z zapytaniem kredytowym z dnia [...] lipca 2020 r. w celach:
1) analizy ryzyka kredytowego na podstawie art. 6 ust. 1 lit. c RODO, zgodnie z art. 105 ust. 4 oraz art. 105a ust. 1 ustawy z dnia 29 sierpnia 1997 r. Prawo bankowe (Dz. U. z 2020 r. poz.1896 ze zm.), dalej: "Prawo bankowe", w zw. z art. 145 ust. 1 rozporządzenia Parlamentu Europejskiego i Rady (UE) 575/2013 z dnia 26 czerwca 2013 r. w sprawie wymogów ostrożnościowych dla instytucji kredytowych i firm inwestycyjnych, zmieniającego rozporządzenie (UE) nr 648/2012 (Dziennik Urzędowy Unii Europejskiej, L 2013 z 27 czerwca 2013 r., str. 176), dalej: "rozporządzenie nr 575/2013",
2) archiwalnych i dowodowych, w szczególności w celu ustalenia, dochodzenia
i obrony roszczeń zgodnie z terminami przedawnienia roszczeń określonymi w art. 118 ustawy z dnia 23 kwietnia 1964 r. Kodeks cywilny (Dz. U. z 2020 r. poz. 1740 z późn. zm.), dalej: "Kodeks cywilny", w związku z wejściem w życie w dniu 9 lipca 2018 r. nowelizacji - tj. ustawy z dnia 13 kwietnia 2018 r. o zmianie ustawy Kodeks cywilny oraz niektórych innych ustaw (Dz. U. z 2018 r., poz. 1104) oraz w związku
z realizacją reklamacji na podstawie art. 6 ust. 1 lit. f RODO.
4. W piśmie z dnia [...] stycznia 2021 r. Bank wskazał, że przetwarza dane osobowe uczestnika pochodzące z wniosku kredytowego na podstawie art. 105a ust. 4 i 5 Prawa bankowego, art. 105a ust. 1 -1 c Prawa bankowego w zw. z art. 180 ust. 2 lit. e i art. 145 ust. 1 rozporządzenia nr 575/2013, na podstawie art. 70a Prawa bankowego oraz na podstawie art. 6 ust. 1 lit. f RODO, w związku ze złożoną reklamacją. Jednocześnie Bank podkreślił, że przetwarza dane dla celów archiwizacyjnych czy administracyjnych realizując uprawnienie, o którym mowa w art. 6 ust. 1 lit. f RODO w zw. z art. 118 Kodeksu cywilnego oraz obowiązek na podstawie art. 6 ust. 1 lit. c RODO w związku z art. 5 ustawy z dnia 5 sierpnia 2014 r. o rozpatrywaniu reklamacji przez podmioty rynku finansowego i o Rzeczniku Finansowym (Dz. z 2019 r., poz. 2279 z późn. zm.). Ponadto Bank wskazał, że zamierza przetwarzać dane osobowe uczestnika przez okres 3 lat liczony od dnia złożenia wniosku w oparciu o art. 145 ust. 1 rozporządzenia nr 575/2013.
5. Bank wskazał, że w dniu [...] lipca 2020 r. przekazał do [...] dane uczestnika
w zakresie imienia, nazwiska, numeru PESEL, rodzaju i numeru dokumentu tożsamości oraz informacje o wnioskowanym produkcie w związku ze złożonym przez uczestnika zapytaniem kredytowym, w celu wypełnienia obowiązku oceny zdolności kredytowej, o którym mowa w art. 70 ust. 1 Prawa bankowego, tj. obowiązku banku w zakresie zbadania i uzależnienia przyznania kredytu od zdolności kredytowej kredytobiorcy - zarówno w oparciu o dane własne Banku, jak
i dane zgromadzone w [...].
6. BIK pozyskał od Banku dane osobowe uczestnika w zakresie zapytania kredytowego z dnia [...] lipca 2020 r. w celu oceny zdolności kredytowej i analizy ryzyka kredytowego, na podstawie art. 6 ust. 1 lit. c RODO w zw. z art. 105 ust. 4 oraz 105a ust. 1 Prawa bankowego oraz na podstawie łączącej Bank i [...] umowy
w sprawie gromadzenia, przetwarzania i udostępniania informacji w bazie [...] [...] "[...]" z dnia [...] czerwca 2018 r. [...] wskazał, że będzie przetwarzał dane osobowe uczestnika pochodzące z zapytania kredytowego w celu oceny zdolności kredytowej i analizy ryzyka kredytowego przez okres 12 miesięcy od dnia złożenia zapytania (indywidualna ocena zdolności kredytowej) oraz przez okres 5 lat - w celu budowy modeli scoringowych, tj. narzędzi wykorzystywanych przez banki do oceny zdolności kredytowej i analizy ryzyka kredytowego (na podstawie art. 6 ust. 1 lit. c RODO w zw. z art. 105 ust. 4 oraz art. 105a ust. 1, 1a i 1b Prawa bankowego, na podstawie art. 70 ust. 1 Prawa bankowego i art. 6 ust. 1 lit. f RODO); w celach statystycznych oraz stosowania metod wewnętrznych oraz innych metod i modeli przez okres nie dłuższy niż 10 lat od dnia złożenia zapytania (na podstawie art. 6 ust. 1 lit. f RODO w zw. z art. 105 ust. 1 i art. 105a ust. 4 Prawa bankowego), w celach przeciwdziałania przestępstwom oraz wykonywania obowiązków w zakresie określonym w przepisach o przeciwdziałaniu praniu pieniędzy oraz finansowaniu terroryzmu przez okres 12 miesięcy od dnia złożenia zapytania (na podstawie art. 106d Prawa bankowego) oraz w celu rozpatrywania ewentualnych reklamacji lub roszczeń odszkodowawczych, których termin przedawnienia zgodnie z art. 118 Kodeksu cywilnego wynosi 6 lat (na podstawie art. 6 ust. 1 lit. f RODO) oraz w celu wypełnienia obowiązku wynikającego z art. 15 RODO, w przypadku wystąpienia przez osobę, której dane dotyczą z wnioskiem o udzielenie informacji.
7. Uczestnik zwrócił się do Banku o usunięcie jego danych osobowych przetwarzanych w związku ze złożonym wnioskiem kredytowym, jednakże Bank odmówił usunięcia danych osobowych uczestnika. Uczestnik nie zwracał się do [...]
o realizację jego praw z zakresu ochrony danych osobowych.
Prezes UODO podniósł, co następuje:
Skarżący w dniu [...] lipca 2020 r. wystąpił do Banku z wnioskiem o udzielenie kredytu. Wobec powyższego Bank oraz [...], na podstawie art. 105a ust. 1 Prawa bankowego w zw. z art. 70 ust. 1 tej ustawy, były uprawnione do przetwarzania danych osobowych uczestnika w celu oceny zdolności kredytowej. Nie doszło jednak do zawarcia umowy kredytu pomiędzy uczestnikiem a Bankiem. W związku z tym odpadła przesłanka legalizująca dalsze przetwarzanie danych osobowych uczestnika przez Bank oraz [...]. Przesłanki zawarte w art. 105a Prawa bankowego dotyczą bowiem przetwarzania informacji objętych tajemnicą bankową w okresie przed powstaniem zobowiązania, w trakcie jego trwania oraz po wygaśnięciu zobowiązania. Pomiędzy Bankiem a uczestnikiem nie zawiązał się żaden stosunek zobowiązaniowy, który stosownie do art. 105a ust. 1-6 Prawa bankowego dawałby podstawę do dalszego przetwarzania danych osobowych uczestnika. Celem przetwarzania danych osobowych uczestnika była ocena zdolności kredytowej
i analizy ryzyka kredytowego. W związku z dokonaniem przez Bank oceny zdolności kredytowej i analizy ryzyka kredytowego ww. cel przetwarzania danych osobowych uczestnika został zrealizowany i brak jest podstaw prawnych do kontynuowania tego procesu.
W ocenie organu, za podstawę przetwarzania danych osobowych uczestnika, nie mogą być również uznane wskazane przez [...] cele statystyczne i analizy, w tym cel stosowania metod wewnętrznych oraz innych metod i modeli, o których mowa
w części trzeciej rozporządzenia nr 575/2013. Przywołany zarówno przez Bank, jak
i przez [...], art. 105a ust. 4 Prawa bankowego daje podstawy do przetwarzania informacji dotyczących osoby fizycznej stanowiących tajemnicę bankową po wygaśnięciu zobowiązania wynikającego z umowy zawartej z bankiem lub inną instytucją ustawowo upoważnioną do udzielania kredytów bez zgody osoby, której te informacje dotyczą. W przedmiotowej sprawie nie doszło do zawarcia umowy kredytu pomiędzy uczestnikiem a Bankiem, a zatem nie powstał żaden stosunek zobowiązaniowy, o którym mowa w powyższym przepisie.
Zebrany w sprawie materiał dowodowy nie wykazał by [...] mógł przetwarzać dane osobowe uczestnika dotyczące zapytania kredytowego z dnia [...] lipca 2020 r. na podstawie art. 106d Prawa bankowego w celach przeciwdziałania przestępstwom oraz wykonywania obowiązków w zakresie określonym w przepisach
o przeciwdziałaniu praniu pieniędzy i finansowaniu terroryzmu, albowiem w toku prowadzonego postępowania nie wykazał, aby zaszła którakolwiek z przesłanek określonych w ww. przepisie. W szczególności nie wykazał, aby zaszły uzasadnione podejrzenia, o których mowa w art. 106d ust. 1 pkt 1-2, oraz nie wykazał, aby
w sprawie uczestnika zachodziły którekolwiek okoliczności określone w ustawie
z dnia 1 marca 2018 r. o przeciwdziałaniu praniu pieniędzy i finansowaniu terroryzmu (Dz. U. z 2020 r. poz. 971 z późn. zm.), o których mowa w art. 106d ust. 1 pkt 3 Prawa bankowego.
Odnosząc się natomiast do powołanego zarówno przez Bank, jak i przez [...], celu ustalenia, dochodzenia lub obrony roszczeń wskazał, że zebrany
w niniejszym postępowaniu materiał dowodowy nie wykazał, aby uczestnik wystąpił
z jakimkolwiek roszczeniem wobec Banku czy [...], które uzasadniałoby uprawnienie tych podmiotów do zachowania i przetwarzania jego danych osobowych dla celów dowodowych w związku z dochodzeniem przez uczestnika tego roszczenia. Bank
i [...] nie wskazały także na istnienie roszczeń, których dochodzą od uczestnika. Prezes UODO wskazał, że przesłanka z art. 6 ust. 1 lit. f RODO dotyczy sytuacji już istniejącej, w której celem wynikającym z prawnie uzasadnionych interesów realizowanych przez administratora jest konieczność udowodnienia, potrzeba dochodzenia lub obrony przed roszczeniem istniejącym, nie zaś sytuacji, gdy dane są przetwarzane w celu zabezpieczenia się przed ewentualnym roszczeniem.
Ponadto podkreślił, że brak jest uzasadnienia dla przyjęcia, że [...] jest uprawniony do przetwarzania danych osobowych w związku z koniecznością ewentualnego wypełnienia obowiązku wynikającego z art. 15 RODO. Skoro bowiem uczestnik zażądał od Banku usunięcia jego danych osobowych na podstawie art. 17 ust. 1 RODO, to należy przyjąć, że nie jest zainteresowany realizacją prawa do dostępu do przetwarzanych jego danych osobowych. Ponadto, usunięcie przez administratora danych osobowych nie uniemożliwia mu wykonania obowiązku uregulowanego w art. 15 RODO, gwarantującego osobie, której dane dotyczą, prawa do uzyskania od administratora informacji, czy jej dane są przetwarzane,
a w przypadku pozytywnej odpowiedzi na tak postawione pytanie - uprawnienie do dostępu do danych na swój temat oraz uzyskania informacji o okolicznościach przetwarzania danych. Jeśli bowiem, administrator nie przetwarza danych dotyczących osoby, która zwraca się z żądaniem udzielenia informacji, to działanie administratora ogranicza się do odpowiedzi przeczącej i nie ma on obowiązku podawać podmiotowi danych innych informacji (tak również: Paweł Fajgielski [w:] Ogólne rozporządzenie o ochronie danych. Ustawa o ochronie danych osobowych. Komentarz. Wolters Kluwer Polska, 2018).
Prezes UODO stwierdził, że o legalności przetwarzania danych osobowych uczestnika nie stanowią również przywołane przez Bank przepisy rozporządzenia nr 575/2013, tj. art. 145 ust. 1 i art. 180 ust. 2 lit. e tego rozporządzenia, które nie stanowią podstawy do przetwarzania danych osobowych osób niebędących klientami Banku, z którymi nie nawiązano stosunków gospodarczych.
Wobec powyższego, w ocenie Prezesa UODO, w niniejszej sprawie brak jest celu uzasadniającego dalsze przetwarzanie danych osobowych uczestnika zawartych w przedmiotowym zapytaniu kredytowym zarówno przez Bank, jak i przez [...].
W odniesieniu do kwestionowanego przez uczestnika przetwarzania jego danych osobowych przez Bank i [...] nie zaistniała żadna z wyrażonych w art. 6 ust. 1 RODO przesłanka, która stanowiłaby o legalności tego procesu. Dlatego też korzystając z uprawnienia przewidzianego w art. 58 ust. 2 lit. c RODO, Prezes UODO nakazał Bankowi i [...], będącymi administratorami, usunięcie danych osobowych uczestnika przetwarzanych w związku ze złożonym zapytaniem kredytowym z dnia [...] lipca 2020 r.
W skardze do Wojewódzkiego Sądu Administracyjnego w Warszawie z dnia 26 kwietnia 2022 r. Bank zaskarżył decyzję Prezesa UODO z dnia [...] marca 2022 r.
w części obejmującej punkt 2, zaś [...] zaskarżył tę decyzję w części dotyczącej punktu 1.
Bank zaskarżonej decyzji zarzucił:
1) naruszenie przepisów postępowania, które miało istotny wpływ na wynik sprawy, tj. art. 7 w związku z art. 77 i art. 80 k.p.a., polegające na niewyczerpującym zebraniu i rozpatrzeniu całego materiału dowodowego i niepodjęciu wszelkich kroków niezbędnych do dokładnego wyjaśnienia stanu faktycznego i załatwienia sprawy, co skutkowało nakazem usunięcia danych osobowych M. S. przez Bank oraz [...] w zakresie wskazanym w zaskarżonej decyzji;
2) naruszenie przepisów postępowania, które miało istotny wpływ na wynik sprawy, tj. art. 7b k.p.a., polegające na zaniechaniu zwrócenia się do Komisji Nadzoru Finansowego jako organu właściwego w sprawach związanych m.in. z badaniem zdolności kredytowej i analizą ryzyka kredytowego, a także budową modeli scoringowych w zakresie wykorzystywania do realizacji tych zadań danych, w tym danych osobowych o niezrealizowanych zapytaniach kredytowych;
3) naruszenie prawa materialnego, które miało wpływ na wynik sprawy, tj. art. 6 ust. 1 lit. c) RODO w związku z art. 5 ust. 1, art. 6 i art. 9 ustawy z dnia 5 sierpnia 2015 r. o rozpatrywaniu reklamacji przez podmioty rynku finansowego i o Rzeczniku Finansowym (t.j. Dz. U. z 2019 r., poz. 2279, polegające na jego niewłaściwym zastosowaniu i przyjęciu, że na Banku jako podmiocie rynku finansowego nie spoczywają określone obowiązki w zakresie rozpatrywania i udzielania odpowiedzi bez ograniczeń czasowych na reklamacje klientów, co uprawnia Bank do przetwarzania danych osobowych na podstawie art. 6 ust. 1 lit. c RODO w celu realizacji tych obowiązków;
4) naruszenie prawa materialnego, które miało wpływ na wynik sprawy, art. 6 ust. 1 lit. c RODO w zw. z art. 70a ust. 1 i 2 ustawy Prawo bankowe (t.j. Dz. U. z 2021 r., poz. 2439), polegające na jego niewłaściwym zastosowaniu i przyjęciu, że na Banku jako podmiocie rynku finansowego nie spoczywa obowiązek wyjaśnienia dokonanej oceny zdolności kredytowej wnioskującego, podczas gdy Bank wykazuje cel przetwarzania danych osobowych polegający na obowiązku prawnym wyjaśnienia dokonanej przez siebie oceny zdolności kredytowej, co uprawnia Bank do przetwarzania danych osobowych na podstawie art. 6 ust. lit. c RODO w celu realizacji tych obowiązków, niezależnie od tego czy doszło do zawarcia umowy kredytu;
5) naruszenie prawa materialnego, które miało wpływ na wynik sprawy, tj. art. 6 ust. 1 lit. c RODO w związku z art. 105 ust. 4 pkt 1, art. 5 ust. 1 pkt 3 oraz art. 70 ust. 1 Prawa bankowego, polegające na jego niewłaściwym zastosowaniu i przyjęciu, że Bank nie legitymuje się przesłanką przetwarzania danych wynikającą z art. 6 ust. 1 lit. c RODO w związku z art. 105 ust. 4 pkt 1 Prawa bankowego, podczas gdy Bank wykazuje cel przetwarzania danych osobowych polegający na dokonywaniu ocen zdolności kredytowej i dostarczaniu innym bankom informacji niezbędnych do wykonywania czynności bankowych (art. 5 ust. 1 pkt 3 Prawa bankowego), w tym udzielania kredytów, przy czym ocena zdolności kredytowej jest obowiązkiem banków (art. 70 ust. Prawa bankowego);
6) naruszenie prawa materialnego, które miało wpływ na wynik sprawy, tj. art. 6 ust. 1 lit. c RODO w związku z art. 105a ust. 1-1c Prawa bankowego, polegające na jego niewłaściwym zastosowaniu i przyjęciu, że Bank nie legitymuje się przesłanką przetwarzania danych wynikającą z art. 6 ust. 1 lit. c RODO w związku
z art. 105a ust. 1-1c Prawa bankowego, podczas gdy Bank wykazuje cel przetwarzania danych osobowych polegający na przetwarzaniu i przekazywaniu innym bankom, informacji niezbędnych do oceny zdolności kredytowej i analizy ryzyka kredytowego;
7) naruszenie prawa materialnego, które miało wpływ na wynik sprawy, tj. art. 6 ust. 1 lit. f RODO w związku z art. 117 § 2 i § 21, art. 118 i 119 ustawy z dnia 23 kwietnia 1964 r. Kodeks cywilny polegające na jego niewłaściwym zastosowaniu i przyjęciu, że przechowywanie danych przez okres przedawnienia roszczeń, również
w przypadku, gdy ani administrator, ani osoba, której dane dotyczą, nie zgłosiła jeszcze roszczenia, nie stanowi prawnie uzasadnionego interesu Banku
w rozumieniu art. 6 ust. 1 lit. f RODO, podczas gdy przepisy te uprawniają Bank do przetwarzania danych osobowych w celu ustalenia, dochodzenia i ochrony przed roszczeniami.
W świetle powyższych zarzutów, Bank wniósł o uchylenie zaskarżonej decyzji
w całości i zasądzenie zwrotu kosztów postępowania, w tym kosztów zastępstwa procesowego, według norm przepisanych.
W odpowiedzi na skargę Prezes UODO wniósł o jej oddalenie, podtrzymując stanowisko zaprezentowane w zaskarżonej decyzji. Dodatkowo podniósł, że pomimo, iż art. 105a ust. 1 Prawa bankowego, na tle pozostałych regulacji znajdujących się
w art. 105a Prawa bankowego, ma charakter autonomiczny, to jednak jego literalne brzmienie nie daje jakichkolwiek podstaw do dalszego przetwarzania danych osobowych po zakończeniu oceny zdolności kredytowej i analizy ryzyka kredytowego. Zauważył, że autonomiczność ww. przepisu nie stoi na przeszkodzie wykładni ww. przepisu w świetle kolejnych przepisów tym bardziej, że część z nich odwołuje się bezpośrednio do niego. Wobec tego stwierdzenia przez Bank, że z art. 105a ust. 1 Prawa bankowego wynika obowiązek przetwarzania danych osobowych pomimo nie zawarcia umowy na skutek złożonego zapytania kredytowego, może prowadzić do wniosku, że na potrzeby oceny zdolności kredytowej i analizy ryzyka kredytowego Bank (lub inne podmioty w tym przepisie wymienione) zgodnie
z przepisami Prawa bankowego jest uprawniony do nieograniczonego w czasie przetwarzania danych osobowych, jeżeli nie doszło do zawarcia umowy o kredyt, zaś prawo to doznaje ograniczenia, gdy doszło do zawarcia takiej umowy.
W ocenie Prezesa UODO, gdyby podzielić stanowisko Banku, że pozyskanie danych na etapie złożenia wniosku kredytowego uprawnia Bank do ich przechowywania po odmowie zawarcia umowy kredytowej, to regulacje zawarte w art. 105a ust. 2, ust. 3 i ust. 5 Prawa bankowego, ograniczające sposób przetwarzania danych klientów z umów kredytowych, byłyby pozbawione sensu.
Bank w piśmie procesowym z dnia 1 lutego 2022 r., stanowiącym replikę na odpowiedź na skargę, przedstawił dodatkową argumentację na poparcie zarzutów skargi.
[...] zarzucił zaskarżonej decyzji naruszenie:
I. prawa materialnego:
1) art. 6 ust. 1 lit. c) RODO w zw. z art. 105 ust. 1 pkt 1 c w zw. z art. 105 ust. 4
i w zw. z art. 105a w zw. z art. 70 i art. 5 ust. 1 pkt 3 ustawy Prawo bankowe poprzez jego niewłaściwe zastosowanie i w konsekwencji nieuzasadnione przyjęcie, że [...] nie posiada ww. podstawy prawnej do przetwarzania danych zawartych we wniosku kredytowym w przypadku niezawarcia umowy kredytowej, podczas gdy jest ustawowo zobowiązany do realizacji obowiązku prawnego wynikającego z ww. przepisów polegającego na gromadzeniu, przetwarzaniu i udostępnianiu bankom oraz podmiotom szczegółowo wskazanym w przepisie informacji stanowiących tajemnicę bankową w zakresie, w jakim informacje te są potrzebne w związku
z wykonywaniem czynności bankowych w postaci oceny zdolności kredytowej oraz analizy ryzyka kredytowego konkretnego klienta (indywidualna ocena zdolności kredytowej) oraz w związku ze stosowaniem metod wewnętrznych oraz innych metod i modeli, o których mowa w części trzeciej rozporządzenia Parlamentu Europejskiego i Rady (UE) nr 575/2013 z dnia 26 czerwca 2013 r. w sprawie wymogów ostrożnościowych dla instytucji kredytowych i firm inwestycyjnych, zmieniające rozporządzenie (UE) nr 648/2012;
ewentualnie, na wypadek nieuwzględnienia ww. zarzutu, naruszenie art. 6 ust. 1 lit. f) RODO poprzez jego niewłaściwą wykładnię i w konsekwencji niezastosowanie wskutek przyjęcia, że BIK nie posiada podstawy prawnej przetwarzania danych uczestnika postępowania opartej na prawnie uzasadnionym interesie administratora oraz podmiotów trzecich wskazanych w art. 105 ust. 4 pkt 1-5 Prawa bankowego,
w postaci realizacji obowiązku gromadzenia, przetwarzania oraz udostępnienia bankom oraz podmiotom wskazanym w ww. przepisie informacji stanowiących tajemnicę bankową w zakresie, w jakim informacje te są potrzebne w związku
z wykonywaniem czynności bankowych w postaci oceny zdolności kredytowej oraz analizy ryzyka kredytowego konkretnego klienta (indywidualna ocena zdolności kredytowej), w celu budowy i utrzymania modeli scoringowych, a więc narzędzi wykorzystywanych przez banki do oceny zdolności kredytowej i analizy ryzyka kredytowego oraz w związku ze stosowaniem metod wewnętrznych oraz innych metod i modeli, o których mowa w części trzeciej rozporządzenia nr 575/2013;
2) art. 6 ust. 1 lit. c RODO w zw. z art. 70a w zw. z art. 105 ust. 4 pkt 1 i 2 oraz
w zw. z art. 105a Prawa bankowego poprzez jego niezastosowanie wskutek uznania, że [...] nie posiada podstawy prawnej do przetwarzania danych uczestnika postępowania w sytuacji nie zawarcia umowy kredytowej, podczas gdy [...] posiada podstawę prawną przetwarzania z uwagi na niezbędność przetwarzania do wykonania obowiązku prawnego przez banki i [...], w postaci obowiązku przekazania osobie ubiegającej się o kredyt w formie pisemnej na jego wniosek wyjaśnień dotyczących dokonanej oceny zdolności kredytowej wnioskującego;
3) art. 6 ust. 1 lit. e RODO poprzez jego niezastosowanie wskutek uznania, że [...] nie posiada podstawy prawnej do przetwarzania danych uczestnika postępowania
w sytuacji nie zawarcia umowy kredytowej, podczas gdy [...] posiada podstawę prawną przetwarzania z uwagi na niezbędność przetwarzania dla realizacji zadania
w interesie publicznym przez banki i [...] w postaci zabezpieczenia ekonomiczno-gospodarczego sektora bankowego, w tym depozytariuszy i zapewnienia stabilności ekonomiczno-gospodarczej sektora bankowego, a w ujęciu makro zapobieganiu kryzysom gospodarczym;
4. art. 6 ust. 1 lit. f RODO poprzez jego niewłaściwe zastosowanie i w konsekwencji nieuzasadnione przyjęcie, że prawnie uzasadniony interes administratora danych nie może opierać się na przesłance ewentualnego zabezpieczenia roszczeń, podczas gdy istotą uzasadnionego interesu prawnego administratora jest możliwość przetwarzania danych przez okres przedawnienia roszczeń na wypadek konieczności obrony lub dochodzenia ewentualnych roszczeń, które mogą się pojawić
w określonym czasie po przeprowadzeniu stosownej analizy zdolności kredytowej oraz analizie ryzyka kredytowego, które to [...] zobowiązany jest gromadzić, przetwarzać i udostępniać bankom dla realizacji celów ustawowych badania zdolności kredytowej;
5. art. 6 ust. 1 lit. f RODO poprzez błędne uznanie, że wskutek braku zawarcia umowy kredytowej, [...] nie posiada prawnie uzasadnionego interesu
w przetwarzaniu danych uczestnika postepowania, podczas gdy istnieje prawnie uzasadniony interes [...] w przetwarzaniu tych informacji pomimo nie zawarcia umowy kredytowej, polegający na realizacji działań z zakresu opracowania, utrzymania aktualności i funkcjonalności zbudowanych modeli scoringowych
w zgodzie z treścią Rekomendacji W, S i T Komisji Nadzoru Finansowego w zakresie dobrych praktyk i zarządzania ryzykiem kredytowym;
6. art. 6 ust. 1 lit. f RODO poprzez jego niezastosowanie wskutek uznania, że [...] nie posiada podstawy prawnej do przetwarzania danych uczestnika postępowania, podczas gdy [...] posiada podstawę prawną przetwarzania z uwagi na konieczność zapewnienia rozliczalności działań [...] jako administratora danych osobowych na zasadzie art. 5 ust. 2 RODO w postaci wykazania przestrzegania przepisów dotyczących jakości danych;
II. naruszenie przepisów prawa procesowego, mającego istotny wpływ na wynik sprawy, tj.:
1) art. 7, art. 77 § 1, art. 80 k.p.a. w zw. z art. 7 UODO, poprzez niewyczerpujące zebranie, nierozpatrzenie i błędną ocenę całokształtu materiału dowodowego przejawiającego się w zaniechaniu dokonania wyczerpującej analizy charakteru, zakresu oraz celów gospodarczo-ekonomicznych dla jakich zostało powołane [...] S.A. oraz obowiązków prawnych i obowiązków wynikających
z zawartych przez [...] umów z bankami, skutkującą wadliwą i niepełną oceną stanu faktycznego sprawy oraz charakteru działania [...], co w konsekwencji skutkowało nieuzasadnionym wydaniem przez organ nakazu usunięcia danych osobowych uczestnika;
2) art. 7b k.p.a. w zw. z art. 7 k.p.a. w zw. z art. 77 k.p.a. w zw. z art. 7 UODO poprzez niedokładne wyjaśnienie stanu faktycznego i prawnego koniecznego do podjęcia przez organ stosownych czynności, a w szczególności niezwrócenie się do Komisji Nadzoru Finansowego w celu kompleksowego wyjaśniania stanu faktycznego sprawy oraz współdziałania w zakresie niezbędnym do dokładnego wyjaśnienia stanu prawnego, mając na względzie interes społeczny i słuszny interes obywateli w postaci ustalenia należytych zasad, celów i zakresu przetwarzania danych osobowych o niezrealizowanych zapytaniach kredytowych tak, by procesy przetwarzania danych czyniły zadość zarówno przepisom prawa o ochronie danych osobowych, jak i przepisom szeroko pojętego prawa bankowego, w szczególności dla zapewnienia ochrony wartości, których gwarancje ochrony wynikają z ww. przepisów zgodnie z zasadą proporcjonalności;
3) art. 7 k.p.a., art. 77 § 1 k.p.a. i art. 80 k.p.a. poprzez zaniechanie dokonania oceny Rekomendacji S, W i T Komisji Nadzoru Finansowego, jako organu właściwego do sprawowania nadzoru nad instytucjami krajowymi w rozumieniu przepisów UE (regulatora rynku finansowego), które to regulacje nakładają na banki,
a w konsekwencji na [...], jako instytucję gromadzącą dane służące do oceny zdolności kredytowej oraz budującą modele scoringowe służące bankom, określone wymagania, które podlegają nadzorowi i egzekwowaniu przez Komisję Nadzoru Finansowego na podstawie bezwzględnie obowiązujących przepisów prawa, co
w konsekwencji doprowadziło do zaniechania przez organ oceny podstaw prawnych
i celów dla jakich [...] oraz banki są upoważnione do przetwarzania danych
w zakresie zdolności kredytowej również w przypadku nie zawarcia umowy kredytowej dla zabezpieczenia interesów banków oraz stabilności rynku gospodarczo-finansowego;
4) art. 7 k.p.a., art. 77 k.p.a. w zw. z art. 80 k.p.a. poprzez zaniechanie wyczerpującego zebrania i rozpatrzenia materiału dowodowego, a w szczególności przejawiającego się brakiem analizy treści skargi złożonej do Prezesa UODO przez uczestnika postępowania pod kątem istnienia - po stronie banków, a w konsekwencji BIK jako instytucji gromadzącej dane służące do oceny zdolności kredytowej oraz budującej modele scoringowe służące bankom - oczywistego interesu prawnego przejawiającego się w odmowie udzielenia kredytu wynikającego z braku istnienia zdolności kredytowej po stronie uczestnika, co prowadzi do zabezpieczenia interesu banków przed nieodpowiedzialną polityką udzielania kredytów osobom, które nie mają szans na ich spłacenie oraz do zapewnienia stabilności gospodarczo-ekonomicznej sektora bankowego, a w ujęciu makro zapobieganiu kryzysom gospodarczym;
5) art. 7 k.p.a., art. 77 k.p.a. w zw. z art. 80 k.p.a. poprzez niezbadanie przez organ wszystkich podstaw prawnych dalszego przetwarzania danych o zapytaniach kredytowych, w sytuacji nieudzielenia kredytu, pomimo, iż przepisy prawa upoważniają [...] do przetwarzania tych danych, co w konsekwencji doprowadziło do błędnego nakazania [...] usunięcie danych osobowych wobec błędnego przyjęcia przez organ braku istnienia podstawy prawnej do przetwarzania danych;
6) art. 8 § 1 i 2 k.p.a. poprzez odstąpienie przez organ od utrwalonej praktyki rozstrzygania spraw w takim samym stanie faktycznym i prawnym, co z kolei narusza zasadę pogłębiania zaufania obywateli do władzy publicznej.
W świetle powyższych zarzutów, [...] wniósł o uchylenie zaskarżonej decyzji
w całości i zasądzenie zwrotu kosztów postępowania, w tym kosztów zastępstwa procesowego, według norm przepisanych.
Na posiedzeniu w dniu 7 lutego 2023 r. Wojewódzki Sąd Administracyjny
w Warszawie, na podstawie art. 111 § 1 p.p.s.a., połączył sprawy o sygn. akt II SA/Wa 895/22 ze skargi [...] S.A. z siedzibą w [...] oraz o sygn. akt II SA/Wa 933/22 ze skargi [...] S.A. z siedzibą
w [...], w celu ich łącznego rozpoznania i rozstrzygnięcia pod sygn. akt II SA/Wa 895/22.
Wojewódzki Sąd Administracyjny w Warszawie zważył, co następuje.
Zgodnie z art. 1 § 1 i § 2 ustawy z dnia 25 lipca 2002 r. - Prawo o ustroju sądów administracyjnych (Dz. U. z 2022 r., poz. 2492) oraz art. 3 § 1 p.p.s.a., sądy administracyjne sprawują wymiar sprawiedliwości przez kontrolę działalności administracji publicznej. Kontrola ta polega na ocenie zgodności zaskarżonego aktu z przepisami postępowania administracyjnego, a także prawidłowości zastosowania
i wykładni norm prawa materialnego. Kontrola ta jest dokonywana według stanu faktycznego i prawnego obowiązującego w dacie wydania zaskarżonego aktu.
W myśl art. 134 § 1 i 2 p.p.s.a., sąd rozstrzyga w granicach danej sprawy nie będąc związany zarzutami i wnioskami skargi oraz powołaną podstawą prawną,
z zastrzeżeniem art. 57a, przy czym sąd nie może wydać orzeczenia na niekorzyść skarżącego, chyba że stwierdzi naruszenie prawa skutkujące stwierdzeniem nieważności zaskarżonego aktu lub czynności.
Rozpatrując skargi Banku oraz [...] wedle powyższych kryteriów, Sąd uznał, że nie zasługują one na uwzględnienie.
Kontrolując zaskarżona decyzję Sąd zważył, że w świetle RODO przetwarzanie danych osobowych uważa się za legalne, jeśli ich administrator spełni co najmniej jedną z przesłanek wskazanych w art. 6 ust. 1 tego aktu, a mianowicie: a) osoba, której dane dotyczą wyraziła zgodę na przetwarzanie swoich danych osobowych w jednym lub większej liczbie określonych celów, b) przetwarzanie jest niezbędne do wykonania umowy, której stroną jest osoba, której dane dotyczą, lub do podjęcia działań na żądanie osoby, której dane dotyczą, przed zawarciem umowy, c) przetwarzanie jest niezbędne do wypełnienia obowiązku prawnego ciążącego na administratorze, d) przetwarzanie jest niezbędne do ochrony żywotnych interesów osoby, której dane dotyczą, lub innej osoby fizycznej, e) przetwarzanie jest niezbędne do wykonania zadania realizowanego w interesie publicznym lub
w ramach sprawowania władzy publicznej powierzonej administratorowi,
f) przetwarzanie jest niezbędne do celów wynikających z prawnie uzasadnionych interesów realizowanych przez administratora lub przez stronę trzecią, z wyjątkiem sytuacji, w których nadrzędny charakter wobec tych interesów mają interesy lub podstawowe prawa i wolności osoby, której dane dotyczą, wymagające ochrony danych osobowych, w szczególności gdy osoba, której dane dotyczą, jest dzieckiem.
W sprawie jest niesporne, że Bank oraz [...] pozyskały dane osobowe uczestnika postępowania w związku z zapytaniem kredytowym z dnia [...] lipca
2020 r. W przypadku tego zapytania nie doszło do zawarcia umowy między uczestnikiem postępowania a Bankiem. Niesporne jest, że zarówno Bank, jak i [...], były uprawnione do przetwarzania danych osobowych uczestnika w celu oceny zdolności kredytowej i analizy ryzyka kredytowego. Skoro jednak nie doszło do zawarcia umowy kredytu, to odpadła przesłanka legalizująca dalsze przetwarzanie danych osobowych uczestnika.
Znajduje to potwierdzenie w treści art. 105a Prawa bankowego, który w ust. 1 stanowi, że przetwarzanie przez banki, inne instytucje ustawowo upoważnione do udzielania kredytów oraz instytucje utworzone na podstawie art. 105 ust. 4, informacji stanowiących tajemnicę bankową w zakresie dotyczącym osób fizycznych może być wykonywane, z zastrzeżeniem art. 104, art. 105 i art. 106 - 106d ustawy, w celu oceny zdolności kredytowej i analizy ryzyka kredytowego.
Zwrócić należy też uwagę na treść art. 105a ust. 2 oraz ust. 3 – 6 Prawa bankowego.
Z zastrzeżeniem ust. 3, instytucje, o których mowa w ust. 1, mogą przetwarzać informacje stanowiące tajemnicę bankową oraz informacje udostępnione przez instytucje pożyczkowe oraz podmioty, o których mowa w art. 59d ustawy z dnia 12 maja 2011 r. o kredycie konsumenckim, w zakresie dotyczącym osób fizycznych po wygaśnięciu zobowiązania wynikającego z umowy zawartej z bankiem, inną instytucją ustawowo upoważnioną do udzielania kredytów, instytucją pożyczkową lub podmiotem, o którym mowa w art. 59d ustawy z dnia 12 maja 2011 r. o kredycie konsumenckim, pod warunkiem uzyskania pisemnej zgody osoby, której informacje te dotyczą, z zastrzeżeniem ust. 2a. Zgoda ta może być w każdym czasie odwołana (art. 105a ust. 2).
Banki, instytucje oraz podmioty, o których mowa w ust. 1, mogą przetwarzać informacje stanowiące tajemnicę bankową i informacje udostępnione przez instytucje pożyczkowe oraz podmioty, o których mowa w art. 59d ustawy z dnia 12 maja 2011 r. o kredycie konsumenckim, dotyczące osób fizycznych po wygaśnięciu zobowiązania wynikającego z umowy zawartej z bankiem, inną instytucją ustawowo upoważnioną do udzielania kredytów, instytucją pożyczkową lub podmiotem, o którym mowa w art. 59d ustawy z dnia 12 maja 2011 r. o kredycie konsumenckim, bez zgody osoby, której informacje dotyczą, gdy osoba ta nie wykonała zobowiązania lub dopuściła się zwłoki powyżej 60 dni w spełnieniu świadczenia wynikającego z umowy zawartej
z bankiem, inną instytucją ustawowo upoważnioną do udzielania kredytów, instytucją pożyczkową lub podmiotem, o którym mowa w art. 59d ustawy z dnia 12 maja
2011 r. o kredycie konsumenckim, a po zaistnieniu tych okoliczności upłynęło co najmniej 30 dni od poinformowania tej osoby przez bank, inną instytucję ustawowo upoważnioną do udzielania kredytów, instytucję pożyczkową albo podmiot, o którym mowa w art. 59d ustawy z dnia 12 maja 2011 r. o kredycie konsumenckim,
o zamiarze przetwarzania dotyczących jej tych informacji, bez jej zgody (art. 105a ust. 3).
Banki oraz instytucje, o których mowa w art. 105 ust. 4, mogą przetwarzać stanowiące tajemnicę bankową informacje dotyczące osoby fizycznej po wygaśnięciu zobowiązania wynikającego z umowy zawartej z bankiem lub inną instytucją ustawowo upoważnioną do udzielania kredytów bez zgody osoby, której informacje dotyczą, do celów stosowania metod wewnętrznych oraz innych metod i modeli,
o których mowa w części trzeciej rozporządzenia nr 575/2013 (art. 105a ust. 4).
Przetwarzanie informacji stanowiących tajemnicę bankową w przypadkach,
o których mowa w ust. 3, może być wykonywane przez okres nie dłuższy niż 5 lat od dnia wygaśnięcia zobowiązania, a w przypadku, o którym mowa w ust. 4, przez okres 12 lat od dnia wygaśnięcia zobowiązania (art. 105a ust. 5).
Zakres przetwarzanych informacji, o których mowa w ust. 3 i 4, może obejmować dane dotyczące osoby fizycznej lub dane dotyczące zobowiązania (art. 105a ust. 6).
Jak wynika z powyższego, przesłanki zawarte w art. 105a Prawa bankowego dotyczą przetwarzania informacji objętych tajemnicą bankową w okresie przed powstaniem zobowiązania, w trakcie jego trwania oraz po wygaśnięciu zobowiązania. Natomiast w sytuacji, gdy w następstwie złożenia wniosku kredytowego nie dochodzi do zawarcia umowy kredytowej z bankiem, brak jest ustawowych przesłanek legalizujących dalsze przetwarzanie przez Bank oraz [...] danych osobowych potencjalnego klienta.
Ocena zdolności kredytowej i ryzyka kredytowego ma charakter czynności wstępnych przed zawarciem umowy przez bank. Dalsze przetwarzanie danych, uzyskanych w celu oceny zdolności kredytowej, w przypadku braku zawarcia stosownej umowy, pozostawałoby w oderwaniu od celu, dla którego dane te uzyskano. Niedopuszczalne jest przetwarzanie danych osobowych na przyszłość,
a także na potrzeby budowy oceny zdolności kredytowej innych podmiotów, jeżeli nie można zrekonstruować wyraźnej podstawy prawnej takich działań.
W niniejszej sprawie celem przetwarzania danych osobowych uczestnika była ocena zdolności kredytowej i analizy ryzyka kredytowego. W związku z dokonaniem przez Bank oraz [...] tejże oceny powyższy cel przetwarzania danych osobowych skarżącego został zrealizowany i brak jest podstaw prawnych do kontynuowania tego procesu. Trafne jest zatem stanowisko organu, że nie wystąpiła przesłanka legalizująca proces przetwarzania danych określona w art. 6 ust. 1 lit. c i lit. f RODO.
W ocenie Sądu, Bank w sposób nieuprawniony próbuje rozszerzyć stosowanie normy wskazanej w art. 105a ust. 1 Prawa bankowego na sytuacje, w których nie dochodzi do zawarcia umowy, a dane osobowe osoby wnioskującej o kredyt są przetwarzane w celu oceny ryzyka kredytowego. Bank wskazuje bowiem, że do takiej oceny istotna jest informacja o składanych wcześniej przez daną osobę wnioskach kredytowych i fakcie nieudzielenia jej kredytu. Bank podkreśla przy tym, że analiza ryzyka kredytowego jest jego obowiązkiem.
Sąd nie neguje, że ocena ryzyka kredytowego jest obowiązkiem banku. Instrumenty służące dokonaniu takiej oceny przez banki muszą jednak być stosowane z poszanowaniem przepisów prawa normujących uprawnienie banków do przetwarzania danych osobowych potencjalnych klientów. Skoro ustawodawca w art. 105a ust. 1 ustawy Prawo bankowe nie wskazał okresu, przez jaki mogą być przetwarzane informacje stanowiące tajemnicę bankową, a w art. 105a ust. 5 wskazał takie okresy w odniesieniu do sytuacji, w których wygasło zobowiązanie, to nie oznacza to, że okres przetwarzania tych informacji, w sytuacji gdy nie doszło do zawarcia umowy, jest nieograniczony. Zatem przetwarzanie danych osobowych
w oparciu o art. 105a ust. 1 Prawa bankowego jest uprawnione
w odniesieniu do konkretnego zapytania kredytowego. Jeżeli nie dochodzi do zawarcia umowy, uprawnienie do przetwarzania danych osobowych w oparciu
o ten przepis wygasa.
Powyższe stanowisko znajduje potwierdzenie w wyroku Naczelnego Sądu Administracyjnego z dnia 27 lipca 2019 r. sygn. akt I OSK 2567/17 (publ. na stronie orzeczenia.nsa.gov.pl).
W wyroku tym NSA podniósł, że "Celem oceny zdolności kredytowej i analizy ryzyka kredytowego w odniesieniu do konkretnego klienta jest bowiem zawarcie umowy kredytowej na określonych warunkach. Skoro do niej nie dochodzi wskutek tej czynności banku to nie ma podstaw prawnych do dalszego ich przechowywania. Gdyby podzielić stanowisko skarżącego, że pozyskanie danych na etapie złożenia wniosku kredytowego uprawnia Bank do ich nieograniczonego w czasie przechowywania po odmowie zawarcia umowy kredytowej, to regulacje zawarte
w art. 105 a ust. 2 i 3 i ust. 5 Prawa bankowego, ograniczające w czasie przypadki przetwarzania danych klientów z umów kredytowych, pozbawione byłyby sensu. (...) Skoro celem przetwarzania była ocena zdolności kredytowej i analizy ryzyka kredytowego, to cel ten odpadł z momentem jej dokonania. W przypadku osób,
z którymi zawarto umowę kredytową istnieje podstawa do dalszego ich przetwarzania, a w stosunku do tych, z którymi nie zawarto umowy takiej podstawy nie sposób wywieść ani z przepisów obowiązującej wówczas ustawy, ani Prawa bankowego."
Niezasadne są zarzuty podniesione przez Bank dotyczące naruszenia przepisów prawa materialnego.
Na uwzględnienie nie zasługiwał zarzut Banku wskazujący na naruszenia art. 6 ust. 1 lit. f RODO w zw. z art. 117 § 2 i § 21, art. 118 oraz art. 119 Kodeksu cywilnego. Za prawnie usprawiedliwiony cel w rozumieniu art. 6 ust. 1 lit. f RODO nie może zostać uznane przetwarzanie danych osobowych na wypadek ewentualnego dochodzenia lub obrony roszczeń. Zebrany w niniejszym postępowaniu materiał dowodowy nie wykazał, aby uczestnik postępowania wystąpił z jakimkolwiek roszczeniem wobec Banku, które uzasadniałoby uprawnienie tych podmiotów do zachowania i przetwarzania jego danych osobowych dla celów dowodowych
w związku z dochodzeniem przez uczestnika tego roszczenia. Bank nie wskazał także na istnienie roszczeń, których dochodzi od uczestnika. Okolicznością usprawiedliwiającą przetwarzanie danych osobowych w celu dochodzenia roszczeń jest sam fakt istnienia roszczenia oraz rzeczywisty zamiar jego dochodzenia (por. wyrok NSA z dnia 6 marca 2019 r., sygn. akt I OSK 994/17, orzeczenia.nsa.gov.pl). Przyjęcie poglądu Banku skutkowałoby tym, że dane osobowe uczestnika postępowania mogłyby być przetwarzane w nieskończoność, gdyż upływ terminu przedawnienia nie uniemożliwia dochodzenia roszczeń, skoro nie powoduje ich wygaśnięcia (wywołuje wyłącznie zmianę w sferze zarzutów procesowych).
W ramach podniesionych zarzutów Bank wskazywał również na naruszenie art. 6 ust. 1 lit. c RODO w zw. z art. 39 ust. 1 w zw. z art. 34 ust. 1, art. 35 ust. 1 oraz art. 49 ust. 1 ustawy z dnia 1 marca 2018 r. o przeciwdziałaniu praniu pieniędzy
i finansowaniu terroryzmu. Ponadto, w odniesieniu do tego zarzutu w uzasadnieniu skargi Bank powołał się na obowiązki nałożone na niego przez art. 106d Prawa bankowego. Zarzut ten jest niezasadny.
Stosownie do treści art. 106d Prawa bankowego, instytucje utworzone na mocy art. 105 ust. 4 mogą przetwarzać i wzajemnie udostępniać informacje, w tym informacje objęte tajemnicą bankową, w przypadkach:
1) uzasadnionych podejrzeń, o których mowa w art. 106a ust. 3;
2) uzasadnionych podejrzeń popełnienia przestępstw dokonywanych na szkodę banków, innych instytucji ustawowo upoważnionych do udzielania kredytów, instytucji kredytowych, instytucji finansowych, instytucji pożyczkowych oraz podmiotów,
o których mowa w art. 59d ustawy z dnia 12 maja 2011 r. o kredycie konsumenckim,
i ich klientów, w celu i zakresie niezbędnym do zapobiegania tym przestępstwom;
3) wykonywania obowiązków w zakresie określonym w przepisach o przeciwdziałaniu praniu pieniędzy oraz finansowaniu terroryzmu.
Z materiału dowodowego sprawy, w tym z wyjaśnień stron udzielonych w toku postępowania administracyjnego, nie wynika, aby w sprawie niniejszej któryś
z powyższych przypadków miał miejsce, w szczególności, aby występowało "uzasadnione podejrzenie" co do okoliczności określonych w ww. przepisach.
Zgodnie zaś z art. 33 ust. 2 i 3 ustawy o przeciwdziałaniu praniu pieniędzy oraz finansowaniu terroryzmu, instytucje obowiązane rozpoznają ryzyko prania pieniędzy oraz finansowania terroryzmu związane ze stosunkami gospodarczymi lub z transakcją okazjonalną oraz oceniają poziom rozpoznanego ryzyka. Instytucje obowiązane dokumentują rozpoznane ryzyko prania pieniędzy oraz finansowania terroryzmu związane ze stosunkami gospodarczymi lub z transakcją okazjonalną oraz jego ocenę, uwzględniając w szczególności czynniki dotyczące: 1) rodzaju klienta, 2) obszaru geograficznego, 3) przeznaczenia rachunku, 4) rodzaju produktów, usług i sposobów ich dystrybucji, 5) poziomu wartości majątkowych deponowanych przez klienta lub wartości przeprowadzonych transakcji, 6) celu, regularności lub czasu trwania stosunków gospodarczych.
W myśl art. 34 ust. 1 ww. ustawy, środki bezpieczeństwa finansowego obejmują:
1) identyfikację klienta oraz weryfikację jego tożsamości;
2) identyfikację beneficjenta rzeczywistego oraz podejmowanie uzasadnionych czynności w celu:
a) weryfikacji jego tożsamości,
b) ustalenia struktury własności i kontroli - w przypadku klienta będącego osobą prawną, jednostką organizacyjną nieposiadającą osobowości prawnej lub trustem;
3) ocenę stosunków gospodarczych i, stosownie do sytuacji, uzyskanie informacji na temat ich celu i zamierzonego charakteru;
4) bieżące monitorowanie stosunków gospodarczych klienta, w tym:
a) analizę transakcji przeprowadzanych w ramach stosunków gospodarczych w celu zapewnienia, że transakcje te są zgodne z wiedzą instytucji obowiązanej o kliencie, rodzaju i zakresie prowadzonej przez niego działalności oraz zgodne z ryzykiem prania pieniędzy oraz finansowania terroryzmu związanym z tym klientem,
b) badanie źródła pochodzenia wartości majątkowych będących w dyspozycji klienta - w przypadkach uzasadnionych okolicznościami,
c) zapewnienie, że posiadane dokumenty, dane lub informacje dotyczące stosunków gospodarczych są na bieżąco aktualizowane.
Z kolei art. 35 ust. 1 ww. ustawy wskazuje, że instytucje obowiązane stosują środki bezpieczeństwa finansowego w przypadku:
1) nawiązywania stosunków gospodarczych;
2) przeprowadzania transakcji okazjonalnej:
a) o równowartości 15 000 euro lub większej, bez względu na to, czy transakcja jest przeprowadzana jako pojedyncza operacja, czy kilka operacji, które wydają się ze sobą powiązane, lub
b) która stanowi transfer środków pieniężnych na kwotę przekraczającą równowartość 1000 euro,
c) z wykorzystaniem waluty wirtualnej o równowartości 1000 euro lub większej -
w przypadku instytucji obowiązanych, o których mowa w art. 2 ust. 1 pkt 12;
3) przeprowadzania gotówkowej transakcji okazjonalnej o równowartości 10 000 euro lub większej, bez względu na to, czy transakcja jest przeprowadzana jako pojedyncza operacja, czy kilka operacji, które wydają się ze sobą powiązane -
w przypadku instytucji obowiązanych, o których mowa w art. 2 ust. 1 pkt 21-23;
4) obstawiania stawek oraz odbioru wygranych o równowartości 2000 euro lub większej, bez względu na to, czy transakcja jest przeprowadzana jako pojedyncza operacja, czy kilka operacji, które wydają się ze sobą powiązane - w przypadku instytucji obowiązanych, o których mowa w art. 2 ust. 1 pkt 20;
5) podejrzenia prania pieniędzy lub finansowania terroryzmu;
6) wątpliwości co do prawdziwości lub kompletności dotychczas uzyskanych danych identyfikacyjnych klienta.
Identyfikacja klienta, zgodnie z art. 36 ust. 1 ustawy, polega na ustaleniu
w przypadku osoby fizycznej: a) imienia i nazwiska, b) obywatelstwa, c) numeru PESEL lub daty urodzenia - w przypadku gdy nie nadano numeru PESEL, oraz państwa urodzenia, d) serii i numeru dokumentu stwierdzającego tożsamość osoby, e) adresu zamieszkania - w przypadku posiadania tej informacji przez instytucję obowiązaną, f) nazwy (firmy), NIP oraz adresu głównego miejsca wykonywania działalności gospodarczej - w przypadku osoby fizycznej prowadzącej działalność gospodarczą.
W myśl art. 49 ust. 1 i 2 ustawy, instytucje obowiązane przechowują przez okres 5 lat, licząc od dnia zakończenia stosunków gospodarczych z klientem lub od dnia przeprowadzenia transakcji okazjonalnej: 1) uzyskane w wyniku stosowania środków bezpieczeństwa finansowego kopie dokumentów i informacje, w tym informacje uzyskane za pomocą środków identyfikacji elektronicznej (...), 2) dowody potwierdzające przeprowadzone transakcje i ewidencje transakcji, obejmujące oryginalne dokumenty lub kopie dokumentów konieczne do identyfikacji transakcji. Instytucje obowiązane przechowują wyniki analiz, o których mowa w art. 34 ust. 3, przez okres 5 lat, licząc od dnia ich przeprowadzenia.
Wskazać należy, że powyższe przepisy dotyczą stosowania środków bezpieczeństwa finansowego wobec klientów instytucji (banków) w ramach prowadzonych stosunków gospodarczych, czy też transakcji okazjonalnej.
Zgodnie zaś z art. 2 ust. pkt 20 ustawy o przeciwdziałaniu praniu pieniędzy oraz finansowaniu terroryzmu, przez "stosunki gospodarcze" rozumie się stosunki instytucji obowiązanej z klientem związane z działalnością zawodową instytucji obowiązanej, które w chwili ich nawiązywania wykazują cechę trwałości. Transakcja okazjonalna to, wedle art. 2 ust. 2 pkt 22 tej ustawy, transakcja, która nie jest przeprowadzana w ramach stosunków gospodarczych. W przypadku zapytań kredytowych niezakończonych zawarciem umowy nie mamy do czynienia ze "stosunkiem gospodarczym" w myśl przywołanego wyżej przepisu. Tego rodzaju stosunek nie ma bowiem cech trwałości. Nie dochodzi też w tym przypadku do przeprowadzenia transakcji okazjonalnej. Wskazany zaś w art. 49 ust. 1 ustawy okres przechowywania dokumentacji należy liczyć od dnia zakończenia stosunków gospodarczych lub od dnia przeprowadzenia transakcji okazjonalnej.
Niezasadny jest również zarzut naruszenia art. 6 ust. 1 lit. c RODO w zw. z art. 105 ust. 4 i art. 105a ust. 1 Prawa bankowego.
Zgodnie z art. 105 ust. 4 Prawa bankowego banki mogą, wspólnie
z bankowymi izbami gospodarczymi, utworzyć instytucje upoważnione do gromadzenia, przetwarzania i udostępniania:
1) bankom - informacji stanowiących tajemnicę bankową w zakresie, w jakim informacje te są potrzebne w związku z wykonywaniem czynności bankowych oraz
w związku ze stosowaniem metod wewnętrznych oraz innych metod i modeli,
o których mowa w części trzeciej rozporządzenia nr 575/2013;
2) innym instytucjom ustawowo upoważnionym do udzielania kredytów - informacji stanowiących tajemnicę bankową w zakresie, w jakim informacje te są niezbędne
w związku z udzielaniem kredytów, pożyczek pieniężnych, gwarancji bankowych
i poręczeń;
3) instytucjom kredytowym - informacji stanowiących tajemnicę bankową w zakresie niezbędnym do oceny zdolności kredytowej konsumenta, o której mowa w art.
9 ustawy z dnia 12 maja 2011 r. o kredycie konsumenckim;
4) instytucjom pożyczkowym i podmiotom, o których mowa w art. 59d ustawy z dnia 12 maja 2011 r. o kredycie konsumenckim - na zasadzie wzajemności, informacji stanowiących odpowiednio tajemnicę bankową oraz informacje udostępnione przez instytucje pożyczkowe oraz podmioty, o których mowa w art. 59d ustawy z dnia 12 maja 2011 r. o kredycie konsumenckim, w zakresie niezbędnym do oceny zdolności kredytowej konsumenta, o której mowa w art. 9 tej ustawy, i analizy ryzyka kredytowego;
5) jednostce zarządzającej systemem ochrony lub bankowi zrzeszającemu - informacji stanowiących tajemnicę bankową w zakresie, w jakim są one niezbędne dla realizacji jej zadań określonych w art. 19 ust. 2, art. 22i ust. 1 i 3-5 oraz art. 22v ust. 2 ustawy o funkcjonowaniu banków spółdzielczych, ich zrzeszaniu się i bankach zrzeszających.
Przepis art. 105 ust. 4 Prawa bankowego jest przepisem o charakterze ogólnym, który stanowi o możliwości utworzenia wspólnie z bankowymi izbami gospodarczymi, instytucji upoważnionych do gromadzenia, przetwarzania
i udostępniania danych. Przepis ten nie daje jednak podstaw do nieograniczonego przetwarzania wszelkich danych osobowych przez utworzone instytucje. Zasady przetwarzania danych objętych tajemnicą bankową określa art. 105a Prawa bankowego, którego możliwość uznania za podstawę przetwarzania danych osobowych w niniejszej sprawie została omówiona powyżej. Na gruncie tego przepisu należy oceniać zatem dopuszczalność przetwarzania poszczególnych danych osobowych w określonych ściśle celach. Podstawy prawnej przetwarzania danych osobowych w niniejszej sprawie nie mógł stanowić zatem art. 105 ust. 4 Prawa bankowego samodzielnie ani też w powiązaniu z art. 105a tej ustawy.
W świetle powyższego, przesłanka z art. 6 ust. 1 lit. c RODO nie znajduje zastosowania w okolicznościach niniejszej sprawy. Przepis ten dotyczy bowiem sytuacji, gdy przetwarzanie jest niezbędne do wypełnienia obowiązku prawnego administratora danych, a nie realizacji uprawnienia, o którym mowa w art. 105 ust. 4 Prawa bankowego. Ponadto przepis art. 105 ust. 4 Prawa bankowego nie stanowi
o dopuszczalności przetwarzania danych osobowych dotyczących wniosków kredytowych w sytuacji, gdy nie doszło do zawarcia umowy z bankiem. Uznanie takiego procesu przetwarzania danych za legalny wymaga podstawy prawnej, której nie stanowią regulaminy ani umowy zawierane między poszczególnymi instytucjami
a bankami.
W ocenie Sądu, aktualny pozostaje pogląd wyrażony w wyroku NSA z dnia 14 września 2005 r., sygn. akt I OSK 39/05, wskazujący, że "Nie można zatem podzielić stanowiska, aby zezwalający na utworzenie instytucji zajmujących się szczególnym przetwarzaniem danych osobowych przepis stanowił zarazem podstawę do przetwarzania przez nie danych osobowych bez zgody osób, których dane dotyczą, gdyż nie tylko literalne brzmienie przepisu nie uzasadnia takiego przekazania, lecz
i argumenty logiki prawniczej nie prowadzą do takiego wniosku. Nie można bowiem dowodzić, że w utworzonej zgodnie z prawem instytucji wolno działać w sposób, który sama uzna za odpowiadający jej celom, gdyż zezwolenie na utworzenie nie jest równoznaczne z zezwoleniem na działanie bez ograniczeń."
Niezasadny jest postawiony przez Bank zarzut naruszenia art. 6 ust. 1 lit. c RODO w zw. z art. 70a Prawa bankowego.
Zgodnie z art. 70a ust. 1 Prawa bankowego, banki i inne instytucje ustawowo upoważnione do udzielania kredytów na wniosek osoby fizycznej, prawnej lub jednostki organizacyjnej niemającej osobowości prawnej, o ile posiada zdolność prawną, ubiegającej się o kredyt przekazują, w formie pisemnej, wyjaśnienie dotyczące dokonanej przez siebie oceny zdolności kredytowej wnioskującego. Wyjaśnienie, o którym mowa w ust. 1, obejmuje informacje na temat czynników,
w tym danych osobowych wnioskującego, które miały wpływ na dokonaną ocenę zdolności kredytowej (art. 70a ust. 2).
Przepis ten nie zakreśla żadnego terminu na wystąpienie z wnioskiem
o przekazanie wyjaśnień dotyczących dokonania zdolności kredytowej. Nie może to jednak oznaczać, jak słusznie organ podnosi w zaskarżonej decyzji, że przetwarzanie danych osobowych w oparciu o ten przepis byłoby bezterminowe. Uczestnik postępowania wykazał w sposób jednoznaczny wolę usunięcia danych, zatem przyjąć należy, że nie jest zainteresowany realizacją prawa do wyjaśnienia dotyczącego dokonanej oceny zdolności kredytowej, w myśl art. 70a ust. 1 i 2 Prawa bankowego. Brak jest zatem uzasadnienia dla przyjęcia, że Bank jest uprawniony do przetwarzania danych osobowych w związku z koniecznością ewentualnego wypełnienia obowiązku wynikającego z art. 70a ust. 1 i ust. 2 Prawa bankowego.
Nie jest trafny zarzut Banku, dotyczący naruszenia przez organ art. 6 ust. 1 lit. f RODO w związku z Rekomendacjami S, W i T Komisji Nadzoru Finansowego. Powołane Rekomendacje nie stanowią obowiązujących przepisów prawa, zatem nie mogły mieć znaczenia dla rozstrzygnięcia podjętego w niniejszej sprawie. Ponadto, Rekomendacje nie odnoszą się do kwestii przetwarzania danych osobowych
w zakresie zapytań kredytowych w sytuacji, gdy umowa pomiędzy bankiem
a potencjalnym klientem nie została zawarta.
Niezasadne okazały się również zarzuty naruszenia przepisów prawa materialnego sformułowane w skardze wywiedzionej przez [...].
[...] w swojej skardze zarzucił m. in. naruszenie art. 6 ust. 1 lit. c RODO w zw. z art. 105 ust. 1 pkt 1c w zw. z art. 105 ust. 4 oraz w zw. z art. 105a w zw. z art. 70
i art. 5 ust. 1 pkt 3 Prawa bankowego. Odnośnie tego zarzutu podnieść należy, że przedstawione wyżej stanowisko Sądu dotyczące art. 105 ust. 4 Prawa bankowego jest aktualne również wobec zarzutu postawionego przez [...].
Z kolei art. 105 ust. 1 pkt 1c Prawa bankowego stanowi, że bank ma obowiązek udzielenia informacji stanowiących tajemnicę bankową wyłącznie instytucjom, o których mowa w ust. 4, w zakresie niezbędnym do stosowania metod wewnętrznych oraz innych metod i modeli, o których mowa w przepisach części trzeciej rozporządzenia nr 575/2013.
Przepis ten stanowi o obowiązku udzielania przez banki informacji stanowiących tajemnicą bankową podmiotowi jakim jest [...]. Przepis ten nie odnosi się do przetwarzania danych przez [...] w zakresie niezbędnym do stosowania metod wewnętrznych oraz innych metod i modeli, o których mowa w przepisach części trzeciej rozporządzenia nr 575/2013. O przetwarzaniu danych przez [...] w tym celu stanowi powołany wyżej art. 105a ust. 4 Prawa bankowego, który, przypomnieć należy, uprawnia do tego [...] bez zgody osoby, której informacje dotyczą, ale "po wygaśnięciu zobowiązania wynikającego z umowy zawartej z bankiem lub inną instytucją ustawowo upoważnioną do udzielania kredytów".
Art. 70 Prawa bankowego stanowi natomiast wyłącznie o badaniu przez banki zdolności kredytowej i nie zawiera regulacji dotyczących przetwarzania danych osobowych. Z kolei art. 5 ust. 1 pkt 3 tej ustawy wskazuje, że czynnością bankową jest udzielanie kredytów.
Art. 105 ust. 4 ustawy Prawo bankowe nie mógł zatem stanowić w niniejszej sprawie podstawy przetwarzania danych osobowych uczestnika przez [...] zarówno samodzielnie, jak i w powiązaniu z art. 105 ust. 1 pkt 1c, art. 105a, art. 70 i art. 5 ust. 1 pkt 3 Prawa bankowego.
[...] w swoich zarzutach wskazywał też na naruszenie art. 6 ust. 1 lit. f RODO w zw. z art. 105 ust. 4 Prawa bankowego. Powyższa argumentacja, dotycząca art. 105 ust. 4 Prawa bankowego (przytoczona przy omawianiu zarzutów podniesionych przez Bank), wskazująca na charakter tego przepisu, nie pozwala też na uznanie, że przepis ten określa prawnie uzasadniony interes realizowany przez [...] lub przez stronę trzecią, a który mógłby być rozważny w kontekście art. 6 ust. 1 lit. f RODO. Tak jak już podniesiono wyżej, art. 105 ust. 4 Prawa bankowego sam w sobie nie może stanowić podstawy prawnej przetwarzania danych osoby ubiegającej się
o kredyt. W treści tego przepisu nie można zatem poszukiwać prawnie usprawiedliwionego interesu w przetwarzaniu danych osobowych w sytuacji, jak
w niniejszej sprawie. Postawiony w tym kontekście zarzut naruszenia art. 6 ust. 1 lit. f RODO jest niezasadny.
Na uwzględnienie nie zasługiwał również zarzut [...] dotyczący naruszenia art. 6 ust. 1 lit. c RODO w zw. z art. 70a w zw. z art. 105 ust. 4 pkt 1 i 2 Prawa bankowego.
Wyrażone wyżej stanowisko Sądu dotyczące art. 70a Prawa bankowego, jako podstawy przetwarzania danych osobowych uczestnika postępowania przez Bank, aktualne jest również w kontekście zarzutów sformułowanych przez [...]. Dodać jedynie należy, że art. 70a Prawa bankowego nakłada na banki i inne instytucje ustawowo upoważnione do udzielania kredytów obowiązek przekazywania osobie fizycznej ubiegającej się o kredyt wyjaśnień dotyczących dokonanej oceny zdolności kredytowej wnioskującego. Tego rodzaju obowiązku przepis ten nie nakłada na instytucje, o których mowa w art. 105 ust 4 Prawa bankowego.
[...] zarzucił w skardze również naruszenie art. 6 ust. 1 lit. e RODO.
Przepis ten przewiduje dwie przesłanki legalizujące przetwarzanie danych osobowych. Może być ono niezbędne do wykonania zadania realizowanego
w interesie publicznym lub niezbędne w ramach sprawowania władzy publicznej powierzonej administratorowi. W obu przypadkach zarówno zadanie, jak
i sprawowanie władzy publicznej muszą zostać sprecyzowane w przepisach,
o których mowa w art. 6 ust. 3 RODO. Art. 6 ust. 3 RODO stanowi bowiem, że podstawa przetwarzania, o którym mowa w ust. 1 lit. c i e, musi być określona:
a) w prawie Unii; lub
b) w prawie państwa członkowskiego, któremu podlega administrator.
Cel przetwarzania musi być określony w tej podstawie prawnej lub, w przypadku przetwarzania, o którym mowa w ust. 1 lit. e - musi być ono niezbędne do wykonania zadania realizowanego w interesie publicznym lub w ramach sprawowania władzy publicznej powierzonej administratorowi. Podstawa prawna może zawierać przepisy szczegółowe dostosowujące stosowanie przepisów niniejszego rozporządzenia,
w tym: ogólne warunki zgodności z prawem przetwarzania przez administratora; rodzaj danych podlegających przetwarzaniu; osoby, których dane dotyczą; podmioty, którym można ujawnić dane osobowe; cele, w których można je ujawnić; ograniczenia celu; okresy przechowywania; oraz operacje i procedury przetwarzania, w tym środki zapewniające zgodność z prawem i rzetelność przetwarzania, w tym
w innych szczególnych sytuacjach związanych z przetwarzaniem, o których mowa
w rozdziale IX. Prawo Unii lub prawo państwa członkowskiego muszą służyć realizacji celu leżącego w interesie publicznym, oraz być proporcjonalne do wyznaczonego, prawnie uzasadnionego celu.
Strona skarżąca powołała się w zakresie tej podstawy przetwarzania danych osobowych na jej rolę w zabezpieczeniu ekonomiczno-gospodarczego sektora bankowego, w tym depozytariuszy i zapewnienia stabilności ekonomiczno-gospodarczej sektora bankowego, a w ujęciu makro zapobieganiu kryzysom gospodarczym.
Podnieść należy, że w odróżnieniu od przesłanki z art. 6 ust. 1 lit. c – RODO
w art. 6 ust. 3 nie wymaga określenia w podstawie prawnej celu przetwarzania,
a jedynie takiej jej konstrukcji, z której wynika niezbędność przetwarzania do wykonania zadania realizowanego w interesie publicznym lub w ramach sprawowania władzy publicznej powierzonej administratorowi (zob. E. Bielak-Jomaa (red.), D. Lubasz (red.), "RODO. Ogólne rozporządzenie o ochronie danych. Komentarz", Lex).
Zdaniem Sądu, analizowane powyżej przepisy art. 70, art. 70a, art. 105 ust. 4
i art. 105a Prawa bankowego nie wskazują na niezbędność przetwarzania przez [...] danych osobowych osoby ubiegającej się o kredyt w sytuacji, gdy nie doszło do zawarcia umowy.
Zarzut naruszenia przez organ art. 6 ust. 1 lit. e RODO nie zasługiwał zatem na uwzględnienie.
[...] zarzucił również naruszenie art. 6 ust. 1 lit. f RODO poprzez:
- nieuzasadnione przyjęcie, że prawnie uzasadniony interes administratora danych nie może opierać się na przesłance ewentualnego zabezpieczenia roszczeń,
- poprzez błędne uznanie, że wskutek braku zawarcia umowy kredytowej, [...] nie posiada prawnie uzasadnionego interesu w przetwarzaniu danych uczestnika, podczas gdy istnieje prawnie uzasadniony interes [...] w przetwarzaniu tych informacji pomimo nie zawarcia umowy kredytowej, polegający na realizacji działań
z zakresu opracowania, utrzymania aktualności i funkcjonalności zbudowanych modeli scoringowych w zgodzie z treścią Rekomendacji W, S i T Komisji Nadzoru Finansowego w zakresie dobrych praktyk i zarządzania ryzykiem kredytowym.
Kwestia zabezpieczenia roszczeń i rekomendacji W, S i T Komisji Nadzoru Finansowego omówiona została już powyżej, w odniesieniu do zarzutów podniesionych przez Bank. Zbędne jest zatem powtarzane tej argumentacji
w odniesieniu do zarzutów sformułowanych przez [...].
Nie mógł być skuteczny również zarzut naruszenia prawa materialnego sformułowany w pkt 6 skargi. W ramach tego zarzutu [...] próbował wykazać, że zachodzi podstawa prawna do przetwarzania danych osobowych uczestnika postępowania z uwagi na konieczność zapewnienia rozliczalności działań [...], jako administratora danych osobowych, na zasadzie art. 5 ust. 2 RODO w postaci wykazania przestrzegania przepisów dotyczących jakości danych. Innymi słowy [...] chce wykazać, że przetwarza dane osobowe po to, aby móc wykazać, że są one przetwarzane zgodnie z prawem.
W ocenie Sądu, nie jest w takiej sytuacji spełniona przesłanka określona w art. 6 ust. 1 lit. f RODO. Przetwarzanie danych w celu udokumentowania prawidłowości ich przetwarzania nie stanowi celu, który wynika z prawnie uzasadnionego interesu.
Nieuzasadnione są również zarzuty skarg dotyczące naruszenia przepisów prawa procesowego, tj. art. 7, art. 77 § 1 oraz art. 80 k.p.a., bowiem organ prawidłowo zebrał i ocenił zgromadzony w sprawie materiał dowodowy opierając się na wyjaśnieniach Banku oraz [...] dotyczących przetwarzania danych osobowych uczestnika postępowania zawartych we wnioskach kredytowych. Uzasadnienie decyzji odpowiada zaś wymogom określonym w art. 107 § 3 k.p.a.
Nieuzasadniony jest także zarzut naruszenia art. 7b k.p.a. poprzez zaniechanie zwrócenia się do Komisji Nadzoru Finansowego w celu kompleksowego wyjaśnienia stanu faktycznego sprawy.
Zgodnie z art. 7b k.p.a., w toku postępowania organy administracji publicznej współdziałają ze sobą w zakresie niezbędnym do dokładnego wyjaśnienia stanu faktycznego i prawnego sprawy, mając na względzie interes społeczny i słuszny interes obywateli oraz sprawność postępowania, przy pomocy środków adekwatnych do charakteru, okoliczności i stopnia złożoności sprawy.
W ocenie Sądu, stan faktyczny i prawny sprawy został przez organ prawidłowo ustalony i należycie rozpatrzony w oparciu o zgromadzony materiał dowodowy,
w tym w oparciu o wyjaśnienia Banku oraz [...]. Nie zachodziły więc przesłanki do podjęcia przez Prezesa UODO współdziałania z innymi organami administracji publicznej w oparciu o ww. przepis w celu wydania rozstrzygnięcia w sprawie.
Sądowi znany jest z urzędu odmienny w tym względzie pogląd wyrażony przez Wojewódzki Sąd Administracyjny w Warszawie w nieprawomocnym wyroku
z dnia 29 października 2021 r. sygn. akt II SA/Wa 506/21, jednak poglądu tego Sąd, w składzie orzekającym w przedmiotowej sprawie, nie podziela.
Należy zwrócić uwagę, że Prezes UODO jest wyspecjalizowanym w sprawach dotyczących ochrony danych osobowych i niezależnym organem, który ma status
i kompetencje organu nadzorczego określone w przepisach RODO. Z tego względu jest uprawniony do samodzielnego dokonywania interpretacji przepisów prawa
w zakresie dotyczącym ochrony danych osobowych. Stanowisko to znajduje potwierdzenie w art. 51 oraz w motywach 117, 122 oraz 123 RODO.
Mając na względzie, że decyzja Prezesa UODO z dnia [...] marca 2022 r. nr [...] jest zgodna z prawem, Wojewódzki Sąd Administracyjny
w Warszawie na podstawie art. 151 p.p.s.a. orzekł jak w sentencji wyroku.
-----------------------
ra
Stra