II SA/Wa 949/22

II SA/Wa 949/22 - Wyrok WSA w Warszawie
Data orzeczenia
2022-12-14
orzeczenie nieprawomocne
Data wpływu
2022-06-06
Sąd
Wojewódzki Sąd Administracyjny w Warszawie
Sędziowie
Joanna Kube
Tomasz Szmydt /sprawozdawca/
Waldemar Śledzik /przewodniczący/
Symbol z opisem
647  Sprawy związane z ochroną danych osobowych
Hasła tematyczne
Ochrona danych osobowych
Skarżony organ
Generalny Inspektor Ochrony Danych Osobowych
Treść wyniku
Oddalono skargę
Powołane przepisy
Dz.U. 2021 poz 2439
art. 105 ust. 4, art. 105 ust. 2
Ustawa z dnia 29 sierpnia 1997 r. Prawo bankowe (t.j.)
Sentencja
Wojewódzki Sąd Administracyjny w Warszawie w składzie następującym: Przewodniczący Sędzia WSA Waldemar Śledzik, Sędzia WSA Joanna Kube, Sędzia WSA Tomasz Szmydt (spr.), Protokolant specjalista Monika Gieroń, po rozpoznaniu na rozprawie w dniu 14 grudnia 2022 r. sprawy ze skargi [...] Banku [...] z siedzibą w [...] na decyzję Prezesa Urzędu Ochrony Danych Osobowych z dnia [...] marca 2022 r. nr [...] w przedmiocie przetwarzania danych osobowych oddala skargę.
Uzasadnienie
Przedmiotem skargi [...] Banku [...]S.A. z siedzibą w [...] (dalej: "[...] Bank [...] S.A.", "Bank") do Wojewódzkiego Sądu Administracyjnego w Warszawie jest decyzja Prezesa Urzędu Ochrony Danych Osobowych (dalej: "organ", "PUODO"), z dnia [...] marca 2022 r. ([...]), którą to organ, działając na podstawie art. 104 § 1 ustawy z dnia 14 czerwca 1960 r. Kodeks postępowania administracyjnego (Dz. U. z 2021 r. poz. 735), w zw. z art. 7 ust. 1 i 2 ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych (Dz. U. z 2019 r. poz. 1781), art. 6 ust 1 oraz art. 58 ust. 2 lit. c rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (dalej: "RODO", "Rozporządzenie") (Dz. Urz. UE L 119 z 4.05.2016, str. 1, Dz. Urz. UE L 127 z 23 maja 2018, str. 2 oraz Dz. Urz. UE L 74 z 4.03.2021, str. 35):
- w pkt 1. decyzji nakazał [...] Bank [...] S.A. usunięcie danych osobowych G. K. (dalej: "Wnioskodawczyni"), w zakresie zapytania kredytowego z [...] lutego 2021 r., niezakończonego udzieleniem kredytu;
- w pkt 2. decyzji nakazał Biuru Informacji Kredytowej S.A. z siedzibą w [...] (dalej: "BIK S.A.") z siedzibą w [...] usunięcie danych osobowych G. K. w zakresie zapytania kredytowego z [...] lutego 2021 r., niezakończonego udzieleniem kredytu, przekazanych przez [...] Bank [...] S.A. z siedzibą w [...].
Z akt postępowania wynikało, że G. K. zainicjowała postępowanie w niniejszej sprawie skargą złożoną bezpośrednio do Prezesa UODO na nieprawidłowości w procesie przetwarzania jej danych osobowych przez [...] Bank [...] S.A. polegające na przetwarzaniu jej danych osobowych w zakresie zapytania kredytowego niezakończonego udzieleniem kredytu, bez podstawy prawnej, w tym w BIK S.A. oraz na odmowie spełnienia jej żądania w zakresie usunięcia przez Bank informacji o tym zapytaniu
W piśmie tym wskazała, że Bank przetwarza bez podstawy prawnej jej dane osobowe wynikające z zapytania kredytowego niezakończonego zawarciem umowy. Wyjaśniła, że cyt. "W korespondencji kierowanej do Banku została cofnięta zgoda na przetwarzanie moich danych osobowych w zakresie zapytania kredytowego. Jednocześnie zwróciłam się z prośbą o wykreślenie moich danych osobowych z bazy BIK. Istotnym pozostaje, iż w przedmiotowym Banku nie posiadam żadnego zobowiązania (w tym kredytowego), jak również nie posiadam rachunku osobistego ani innych produktów bankowych." Wobec powyższego Wnioskodawczyni wniosła o nakazanie Bankowi usunięcia jej danych osobowych.
W złożonych wyjaśnieniach Bank wskazał, że dane osobowe Wnioskodawczyni pozyskał bezpośrednio od niej w związku ze złożonym wnioskiem o udzielenie kredytu detalicznego nr [...] z [...] lutego 2021 r. Bank wskazał, że pozyskał dane Skarżące w zakresie: imię, nazwisko, PESEL, nazwisko rodowe matki, data urodzenia, płeć, kraj urodzenia, miejsce urodzenia, obywatelstwo, adres zamieszkania, adres korespondencyjny, numer telefonu komórkowego, seria i numer dowodu osobistego, data ważności dowodu osobistego, numer telefonu komórkowego, status podatkowy, status dewizowy, stan cywilny, wykształcenie, status mieszkaniowy, liczba osób w gospodarstwie, koszty gospodarstwa domowego, inne miesięczne obciążenia finansowe, reżim majątkowy małżonków, dane pracodawcy (nazwa zakładu pracy, NIP, branża, rodzaj miejsca pracy), zawód wykonywany, miesięczny dochód netto, okres osiągania dochodu, tytuł osiąganego dochodu.
Dalej wyjaśnił, że podstawę prawną przetwarzania danych osobowych pozyskanych w związku ze złożonym przez Skarżącą wnioskiem stanowił art. 6 ust. 1 lit. c) RODO w zw. z art. 70 ust. 1 ustawy z dnia 29 sierpnia 1997 r. Prawo bankowe (Dz.U. 2021 poz. 2439). W dacie złożenia wyjaśnień, przetwarzał dane Wnioskodawczyni w zakresie zapytania kredytowego z dnia [...] lutego 2021 r. na podstawie art. 6 ust. 1 lit. c RODO w zw. z art. 70a ust. 1 Prawa bankowego oraz art. 118 kodeksu cywilnego. Celem przetwarzania tych danych jest możliwość obrony swoich praw w przypadku zaskarżenia przez nią decyzji kredytowej na zasadach ogólnych sformułowanych w powszechnie obowiązujących przepisach prawa. Bank wskazał, że dane osobowe Wnioskodawczyni dotyczące ww. zapytania będzie przetwarzał przez okres 3 lat od wydania decyzji kredytowej tj. do [...] lutego 2024 roku. Bank wskazał również, że przetwarza dane osobowe w związku ze złożonymi reklamacjami oraz że dane te będą przetwarzane w celu archiwalnym, na podstawie art. 6 ust. 1 lit. c RODO w związku z art. 118 kodeksu cywilnego przez okres 6 lat, liczonym odpowiednio od daty rozpatrzenia reklamacji złożonych w dniach: [...] marca 2021 r. oraz [...] kwietnia 2021 r.
Bank wyjaśnił także, że przekazał do BIK dane osobowe Wnioskodawczyni (w zakresie: imię i nazwisko, nr PESEL, rodzaj dokumentu tożsamości) dotyczące zapytania kredytowego z [...] lutego 2021 r. w celu oceny jej wiarygodności kredytowej oraz analizy ryzyka kredytowego. Bank wskazał również, że podstawą prawną przekazania ww. danych do BIK był art. 6 ust 1 lit. c RODO w zw. z art. 70 ust. 1 Prawa bankowego oraz art. 6 ust. 1 lit. a RODO w związku z wyrażona zgodą na przygotowanie indywidulanej oferty kredytowej. Wyjaśnił również, że otrzymał od Wnioskodawczyni żądanie z [...] marca 2021 r. zaprzestania przetwarzania jej danych osobowych, w tym ich przetwarzania w BIK. Pismem z [...] marca 2021 r. Bank odmówił realizacji ww. żądania. Na żądanie Prezesa UODO Bank nie wskazał toczących się postępowań na skutek wzajemnych roszczeń Banku i Wnioskodawczyni.
Z kolei BIK S.A., w złożonych wyjaśnieniach wskazał, że pozyskał dane osobowe Wnioskodawczyni od Banku na podstawie art. 105 ust. 4, art. 105a ust. 1 Prawa bankowego oraz na podstawie łączącej Bank i BIK S.A. umowy. BIK S.A. wskazał, że przetwarza dane Skarżącej w zakresie zapytania kredytowego z [...] lutego 2021 r. Wskazał również, że przetwarza dane pochodzące z zapytań kredytowych przez okres 12 miesięcy od dnia złożenia zapytania w celu oceny zdolności kredytowej i analizy ryzyka kredytowego konkretnego klienta (indywidualna ocena zdolności kredytowej) oraz w celu przeciwdziałania przestępstwom oraz wykonywania obowiązków w zakresie określonym w przepisach o przeciwdziałaniu praniu pieniędzy oraz finansowaniu terroryzmu. BIK S.A. wyjaśnił, że będzie przetwarzał dane osobowe Skarżącej w związku ze złożonym zapytaniem kredytowym w celu budowy modeli scoringowych tj. narzędzi wykorzystywanych przez banki do oceny zdolności kredytowej i analizy ryzyka kredytowego przez okres 5 lat od dnia złożenia zapytania, w celu statystycznym i analiz przez okres nie dłuższy niż 10 lat od dnia przekazania zapytania do BIK oraz w celu rozpatrywania ewentualnych reklamacji i roszczeń odszkodowawczych — do momentu przedawnienia potencjalnych roszczeń wynikających z zapytania; oraz z uwagi na konieczność wypełnienia ustawowego obowiązku wynikającego z art. 15 RODO w przypadku wystąpienia przez osobę, której dane dotyczą z wnioskiem o udzielenie informacji. Jednocześnie BIK S.A. wskazał, że Skarżąca nie wystąpiła z żądaniem opartym o art. 15 RODO, ani nie wystąpiła do niego z żadnym konkretnym roszczeniem, jak również BIK S.A. nie wystąpił wobec Wnioskodawczyni i nie zamierza występować z takim roszczeniem.
Wydając zaskarżoną decyzję z [...] marca 2022 r. Prezes UODO wyjaśnił, że przepisem uprawniającym administratorów danych do przetwarzania zwykłych danych osób fizycznych jest art. 6 ust. 1 RODO. zgodnie z którym przetwarzanie danych jest dopuszczalne tylko wtedy, gdy spełniona jest jedna z przesłanek wskazanych w tym przepisie. Katalog przesłanek jest zamknięty, a każda z przesłanek legalizujących proces przetwarzania danych osobowych ma charakter autonomiczny i niezależny. Dodatkowo, proces przetwarzania danych osobowych musi być zgodny z zasadami ustanowionymi w art. 5 ust. 1 RODO. Do zasad tych zalicza się między innymi ograniczenie celu (art. 5 ust. 1 lit. b RODO) oraz minimalizację danych (art. 5 ust. 1 lit. c RODO). Wspomniane zasady wymagają, by dane osobowe były zbierane w konkretnych, wyraźnych i prawnie uzasadnionych celach i nieprzetwarzane dalej w sposób niezgodny z tymi celami, a proces przetwarzania danych osobowych był adekwatny, stosowny oraz ograniczony do tego, co niezbędne do celów, w których są przetwarzane.
Podstawą prawną przetwarzania danych osobowych klientów przez Bank i BIK S.A. może być obecnie art. 6 ust. 1 lit. f RODO, gdy przetwarzanie to jest niezbędne do celów wynikających z prawnie uzasadnionych interesów realizowanych przez administratora.
BIK S.A. jest instytucją utworzoną na podstawie art. 105 ust. 4 Prawa bankowego, który stanowi, że banki mogą, wspólnie z bankowymi izbami gospodarczymi, utworzyć instytucje upoważnione do gromadzenia, przetwarzania i udostępniania bankom informacji stanowiących tajemnicę bankową w zakresie, w jakim informacje te są potrzebne w związku z wykonywaniem czynności bankowych oraz w związku ze stosowaniem metod wewnętrznych oraz innych metod i modeli, o których mowa w części trzeciej rozporządzenia nr 575/2013, innym instytucjom ustawowo upoważnionym do udzielania kredytów informacji stanowiących tajemnicę bankową w zakresie, w jakim informacje te są niezbędne w związku z udzielaniem kredytów, pożyczek pieniężnych, gwarancji bankowych i poręczeń (pkt 2), instytucjom kredytowym informacji stanowiących tajemnicę bankową w zakresie niezbędnym do oceny zdolności kredytowej konsumenta, o której mowa w art. 9 ustawy z dnia 12 maja 2011 r. o kredycie konsumenckim (pkt 3), instytucjom pożyczkowym i podmiotom, o których mowa w art. 59d ustawy z dnia 12 maja 2011 r. o kredycie konsumenckim na zasadzie wzajemności, informacji stanowiących odpowiednio tajemnice bankową oraz informacje udostępnione przez instytucje pożyczkowe oraz podmioty, o których mowa w art. 59d ustawy z dnia 12 maja 2011 r. o kredycie konsumenckim, w zakresie niezbędnym do oceny zdolności kredytowej konsumenta, o której mowa w art. 9 tej ustawy, i analizy ryzyka kredytowego (pkt 4).
Zgodnie z art. 105a ust. 1 Prawa bankowego, przetwarzanie przez banki, inne instytucje ustawowo upoważnione do udzielania kredytów, instytucje pożyczkowe oraz podmioty, których mowa w art. 59d ustawy z dnia 12 maja 2011 r. o kredycie konsumenckim, a także instytucje utworzone na podstawie art, 105 ust. 4, informacji stanowiących tajemnicę bankową i informacji udostępnionych przez instytucje pożyczkowe oraz podmioty, o których mowa w art. 59d ustawy z dnia 12 maja 2011 r. o kredycie konsumenckim, w zakresie dotyczącym osób fizycznych może być wykonywane, z zastrzeżeniem art. 104, 105 i art. 106 – 106d Prawa bankowego w celu oceny zdolności kredytowej i analizy ryzyka kredytowego. Zgodnie zaś z art. 105a ust. 4 Prawa bankowego Banki oraz instytucje, o których mowa w art. 105 ust. 4, mogą przetwarzać stanowiące tajemnicę bankową informacje dotyczące osoby fizycznej po wygaśnięciu zobowiązania wynikającego z umowy zawartej z bankiem lub inną instytucją ustawowo upoważnioną do udzielania kredytów bez zgody osoby, której informacje dotyczą, do celów stosowania metod wewnętrznych oraz innych metod i modeli, o których mowa w części trzeciej rozporządzenia nr 575/2013. Stosownie zaś do art. 105a ust. 5 Prawa bankowego przetwarzanie informacji stanowiących tajemnicę bankową w przypadkach, o których mowa w ust. 3, może być wykonywane przez okres nie dłuższy niż 5 lat od dnia wygaśnięcia zobowiązania, a w przypadku, o którym mowa w ust. 4, przez okres 12 lat od dnia wygaśnięcia zobowiązania.
Ponadto stosownie do art. 70 ust. 1 Prawa bankowego, bank uzależnia przyznanie kredytu od zdolności kredytowej kredytobiorcy. Przez zdolność kredytową rozumie się zdolność do spłaty zaciągniętego kredytu wraz z odsetkami w terminach określonych w umowie.
Prezes UODO wskazał następnie, że Wnioskodawczyni wystąpiła do Banku z wnioskiem o udzielenie kredytu. Bank oraz BIK S.A., na podstawie art. 105a ust. 1 Prawa bankowego w zw. z art. 70 ust. 1 tej ustawy, były zatem uprawnione do przetwarzania jej danych osobowych w celu oceny zdolności kredytowej. Skoro jednak nie doszło do zawarcia umowy kredytu to odpadła przesłanka legalizująca dalsze przetwarzanie jej danych osobowych przez Bank oraz BIK S.A.. Przesłanki zawarte w art. 105a Prawa bankowego dotyczą bowiem przetwarzania informacji objętych tajemnicą bankową w okresie przed powstaniem zobowiązania, w trakcie jego trwania oraz po wygaśnięciu zobowiązania.
Pomiędzy Bankiem a Wnioskodawczynią nie zawiązał się żaden stosunek zobowiązaniowy, który stosownie do art. 105a ust. 1 -6 Prawa bankowego dawałby podstawę do dalszego przetwarzania jej danych osobowych. Podkreślenia również wymaga, że celem przetwarzania danych osobowych Skarżącej była ocena zdolności kredytowej i analizy ryzyka kredytowego. W związku z dokonaniem przez Bank oceny zdolności kredytowej i analizy ryzyka kredytowego ww. cel przetwarzania danych osobowych Wnioskodawczyni został zrealizowany i brak jest podstaw prawnych do kontunuowania tego procesu. W ocenie Prezesa UODO powyższe stanowisko organu znajduje oparcie w wyroku Naczelnego Sądu Administracyjnego z dnia 27 sierpnia 2019 r., sygn. akt I OSK 2567/17.
W ocenie organu za podstawę przetwarzania danych osobowych nie mogą być również uznane wskazane przez BIK S.A. cele statystyczne i analizy, w tym cel stosowania metod wewnętrznych oraz innych metod i modeli, o których mowa w części trzeciej rozporządzenia nr 575/2013. Podkreślił przy tym, że powołany art. 105a ust. 4 Prawa bankowego daje podstawy do przetwarzania informacji dotyczących osoby fizycznej stanowiących tajemnicę bankową po wygaśnięciu zobowiązania wynikającego z umowy zawartej z bankiem lub inną instytucją ustawowo upoważnioną do udzielania kredytów bez zgody osoby, której te informacje dotyczą. Ponownie wskazania wymaga, że w przedmiotowej sprawie nie doszło do zawarcia umowy kredytu pomiędzy Wnioskodawczynią a Bankiem, a zatem nie powstał żaden stosunek zobowiązaniowy, o którym mowa w powyższym przepisie.
Prezes UODO przytoczył treść art. 106d Prawa bankowego i wyjaśnił, że zebrany w sprawie materiał dowodowy nie wykazał, by BIK S.A. mógł przetwarzać dane osobowe Wnioskodawczyni dotyczące zapytania kredytowego z [...] lutego 2021 r. na podstawie art. 106d Prawa bankowego w celach przeciwdziałania przestępstwom oraz wykonywania obowiązków w zakresie określonym w przepisach AML, albowiem w toku prowadzonego postępowania nie wykazał, aby zaszła którakolwiek z przesłanek określonych w ww. przepisie. W szczególności nie wykazał, aby zaszły uzasadnione podejrzenia, o których mowa w art. 106d ust. 1 pkt 1-2, oraz nie wskazał także nałożonego na niego obowiązku określonego w przepisach o przeciwdziałaniu praniu pieniędzy oraz finansowaniu terroryzmu, o którym mowa w art. 106d ust. 1 pkt 3 tej ustawy.
Odnosząc się natomiast do powołanego zarówno przez Bank, jak i przez BIK celu ustalenia, dochodzenia lub obrony roszczeń - organ zebrany w niniejszym postępowaniu materiał dowodowy nie wykazał, aby Wnioskodawczyni wystąpiła z jakimkolwiek roszczeniem wobec tych podmiotów, które uzasadniałoby ich uprawnienie do zachowania i przetwarzania jej danych osobowych dla celów dowodowych w związku z dochodzeniem przez nią tego roszczenia. Podkreślił, że przesłanka z art. 6 ust. 1 lit. f RODO dotyczy sytuacji już istniejącej, w której celem wynikającym z prawnie uzasadnionych interesów realizowanych przez administratora jest konieczność udowodnienia, potrzeba dochodzenia lub obrony przed roszczeniem istniejącym, nie zaś sytuacji, gdy dane są przetwarzane w celu zabezpieczenia się przed ewentualnym roszczeniem. Przyjęcie odmiennej interpretacji w/w przepisów skutkowałoby pozbawieniem Wnioskodawczyni ochrony na gruncie RODO oraz ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych (Dz. U. z 2019 r., poz. 1781).
W ocenie Prezesa UODO brak jest podstaw dla przyjęcia, że terminy dotyczące przedawnienia roszczeń wynikających ze stosunków zobowiązaniowych określają jednocześnie ramy czasowe, w których dane osobowe mogą być przetwarzane przez Bank i BIK S.A. Przedawnienie roszczenia nie wywołuje skutków na gruncie ochrony danych osobowych, nie wpływa bowiem na fakt istnienia roszczenia, a powoduje jedynie zmianę w sferze zarzutów procesowych w postaci możliwość podniesienia okoliczności przedawnienia w sporze sądowym. Okolicznością usprawiedliwiającą przetwarzanie danych osobowych w celu dochodzenia roszczeń jest sam fakt istnienia roszczenia oraz zamiar jego dochodzenia, nie jest nią natomiast zmiana w uprawnieniach procesowych podmiotu pozwanego.
Za bezpodstawne organ uznał ponadto przyjęcie, że BIK S.A. jest uprawniony do przetwarzania danych osobowych pozyskanych w związku z zapytaniem złożonym przez Bank w dniu [...] lutego 2021 r., w związku, z koniecznością ewentualnego wypełnienia obowiązku wynikającego z art. 15 RODO. Skoro bowiem Wnioskodawczyni zażądała usunięcia jej danych osobowych na podstawie art. 17 ust. 1 RODO, należy przyjąć, że nie jest zainteresowana realizacją prawa dostępu do przetwarzanych jej danych osobowych. Jeśli bowiem, administrator nie przetwarza danych dotyczących osoby, która zwraca się z żądaniem udzielenia informacji, to działanie administratora ogranicza się do odpowiedzi przeczącej i nie ma on obowiązku podawać podmiotowi danych innych informacji.
Reasumując, w ocenie Prezesa UODO, w niniejszej sprawie brak jest celu uzasadniającego przetwarzanie danych osobowych Wnioskodawczyni zawartych w przedmiotowym zapytaniu kredytowym zarówno przez Bank, jak i przez BIK S.A. Wskazania w tym miejscu wymaga, że Bank w związku z pozyskaniem danych osobowych Wnioskodawczyni w celu oceny zdolności kredytowej stał się administratorem tych danych osobowych. Natomiast BIK S.A. stał się administratorem danych osobowych Wnioskodawczyni z uwagi na przekazanie tych danych przez Bank. W związku z powyższym należy stwierdzić, że Bank oraz BIK S.A. są odrębnymi administratorami. Każdy z tych podmiotów przetwarza bowiem dane osobowe Wnioskodawczyni we własnych celach i samodzielnie ustala sposoby ich przetwarzania.
Powyższa decyzja stała się przedmiotem dwóch skarg do Wojewódzkiego Sądu Administracyjnego w Warszawie. Niniejsza sprawa dotyczy sprawy ze skargi [...] Banku [...] S.A. z siedzibą w [...] z 5 maja 2022 r. Bank wniósł o uchylenie zaskarżonej decyzji w całości, przeprowadzenie rozprawy, zasądzenie kosztów postępowania, a także wstrzymanie jej wykonania w całości.
Skarżący zarzucił organowi naruszenie przepisów postępowania administracyjnego - ustawy z dnia 14 czerwca 1960 r, - Kodeks postępowania administracyjnego (Dz. U. z 2021 r. poz. 755 ze zm., dalej: "k.p.a."), które miało istotny wpływ na wynik sprawy:
1. Naruszenie art. 156 § 1 pkt 5 k.p.a. albowiem zaskarżona decyzja - co do jej rozstrzygnięcia w zakresie pkt.1 - była niewykonalna w dniu jej wydania i jej niewykonalność ma charakter trwały w tym znaczeniu, że:
a) w dniu wydania decyzji nie mógł być nałożony na Bank obowiązek "usunięcia danych w zakresie zapytania kredytowego" jeśli przez takie sformułowanie rozumieć usunięcie dokumentu "zapytania kredytowego", w którym te dane były zapisane, albowiem Bank usunął ten dokument już po upływie sześciu (6) miesięcy od dnia zapytania (tj. w dniu [...] sierpnia 2021 r.), przyjmując taką zasadę co do wszystkich zapytań kredytowych. Zaś BIK S.A. zaprzestaje udostępnienia zapytań dla innych banków po upływie 12 miesięcy;
b) wskutek (każdego) zapytania Bank (także w tym przypadku) otrzymał raport kredytowy i dane osobowe Wnioskodawczyni są w tym raporcie kredytowym, ale przyjmując, że przedmiotem decyzji jest "zapytanie kredytowe" i dane zawarte w zapytaniu, o którym mowa w rozstrzygnięciu decyzji, to raport kredytowy nie jest przedmiotem rozstrzygnięcia decyzji (art. 107 § 1 pkt. 5 k.p.a.), zatem decyzja nie zobowiązuje do usunięcia danych z tego raportu ani też samego raportu;
c) decyzja nakazuje "usunięcie danych" i uzasadnia ten nakaz tym, że Bank miał co prawda podstawę przetwarzania danych w chwili rozpatrywania wniosku kredytowego, ale następnie ta podstawa odpadła; podstawą taką nie są, zdaniem Prezesa UODO, ani przepisy art.105 ust. 4 ustawy Prawo bankowe, w związku z przepisami części trzeciej Rozporządzenia UE 575/2013, ani przepisy kodeksu cywilnego (art. 118 i nast.) i inne o przedawnieniu, ani przepisy ustawy o przeciwdziałaniu praniu pieniędzy - słowem żadne przepisy nie mogą być podstawą przetwarzania danych, bo przetwarzanie naruszałoby prawa Wnioskodawczyni, przy czym dokładnie nie wskazano, które prawa byłyby naruszone - to tak rozumiana decyzja jest sprzeczna z prawem, albowiem Bank jest i będzie zobowiązany przetwarzać dane Wnioskodawczyni w celach wyraźnie wskazanych przez, m.in. ww. przepisy prawa, a zarazem Bank jest uprawniony do przetwarzania danych w celu archiwalnym, także w związku z ustaleniem okresu przedawnienia roszczeń Wnioskodawczyni;
2. Naruszenie art. 107 ust. 1 pkt.4 w związku z naruszeniem art. 6 i art. 7 k.p.a. polegające na tym, że zaskarżona decyzja zawiera jedynie pozorne powołanie podstawy prawnej, a żaden z przepisów wskazanych w decyzji, jako jej podstawa prawna, nie mógł stanowić podstawy rozstrzygnięcia nakazującego usunięcie dokumentu w postaci zapytania kredytowego Skarżącego Banku albowiem art. 6 ust. 1 RODO - bez wskazania, któregokolwiek z podpunktów - jest ogólnym przepisem normującym dopuszczalne prawem podstawy przetwarzania danych osobowych. Przepis ten sam nie dotyczy usuwania danych, ale nawet gdyby Prezes UODO uznał, że przepis ten może stanowić podstawę prawną decyzji nakazującej usunięcie, to przede wszystkim decyzja musiałaby wskazywać konkretną normę prawną i wskazywać, że nie istnieje żadna z podstaw przetwarzania danych przewidziana art.6 ust.1 RODO;
3. Naruszenie przez zaskarżoną decyzję art. 107 § 1 pkt 4, 5 i 6 albowiem istotą decyzji jest nakaz usunięcia danych z określonego dokumentu (zapytania kredytowego) przy czym decyzja, zarówno w części rozstrzygnięcia jak i uzasadnienia faktycznego i prawnego (art. 107 § 1 pkt. 5 i 6 k.p.a.), pomija istnienie ustawowych podstaw przetwarzania danych wynikających z np. celów archiwalnych czy prawa bankowego art.105 ust.4 czy ustawy o przeciwdziałaniu praniu pieniędzy i finansowaniu terroryzmu - art. 49: innymi słowy, w obrocie prawnym nie mogą być utrzymane decyzje, których sensem jest właściwie nakaz zniszczenia dokumentu (danych zawartych w dokumencie, samych danych nie sposób usunąć z dokumentu), a zarazem decyzja nie wskazuje w jakim celu należy zaniechać przetwarzania danych zawartych w tym dokumencie;
4. Naruszenie art. 7, art. 7b w zw. z art. 77 k.p.a. polegające na niepodjęciu wszelkich niezbędnych czynności koniecznych do dokładnego wyjaśnienia i załatwienia sprawy, przede wszystkim poprzez zaniechanie zwrócenia się do Komisji Nadzoru Finansowego, jako organu nadzoru nad rynkiem finansowym, aby ustalić zasady wymiany informacji prowadzonej przez instytucję działającą w oparciu o art.105 ust.4 Prawa bankowego, przy czym – zdaniem Skarżącego - powinno być poza wszelką dyskusją, że wykładnia przepisu art.105 ust.4 pkt.1 Prawa bankowego, który przewiduje uprawnienie do gromadzenia, przetwarzania i udostępniania informacji innemu bankowi nie można doprowadzać do, jak się wydaje, wręcz absurdalnego rezultatu polegającego na tym, że w przypadku, gdy umowy kredytowej nie zawarto nakazuje się kasować zapytania kredytowe zaraz po ich przesłaniu do BIK, podczas gdy celem instytucji z art.105 ust.4 Prawo bankowe jest nie tylko poinformowanie banku, który rozpatruje wniosek kredytowy, ale i przetwarzanie takiego zapytania przez określony czas i tym samym umożliwienie innemu bankowi (w związku z innym wnioskiem tej samej osoby złożonym w innym banku) otrzymanie informacji o tym czy wnioskodawca ubiegał się już o kredyt i z jakim skutkiem, co ma znaczenie dla oceny zdolności i wiarygodności kredytowej klienta dokonywanej przez inny bank;
5. Naruszenie art. 7, art. 77, art. 80 k.p.a. poprzez rozstrzygnięcie nakazujące wykreślenie przez Skarżącego danych osobowych Wnioskodawczyni w zakresie zapytania kredytowego przesłanego BIK S.A. w dniu [...] lutego 2021 r. jako czynności sprzecznej z art.105 ust.4 Prawa bankowego, albowiem zapytanie takie było w pełni uzasadnione, a w dniu wydania decyzji ([...] marca 2022) dane Wnioskodawczyni nie były przetwarzane przez Skarżącego ani przez BIK S.A. w celu indywidulanej oceny zdolności kredytowej i analiz ryzyka kredytowego, natomiast w dniu wydania decyzji - według najlepszej wiedzy Skarżącego - dane Wnioskodawczyni były zgodnie z prawem przetwarzane przez Stronę w celu archiwalnym, a także mogły być przetwarzane w celu wykonywania obowiązków dotyczących metod wewnętrznych i modeli przewidzianych rozporządzeniem UE 575/2013;
6. Naruszenie art. 7b i art. 80 k.p.a., polegające na zaniechaniu zwrócenia się do Komisji Nadzoru Finansowego, jako organu właściwego w sprawach związanych m.in. z badaniem zdolności kredytowej i analizą ryzyka kredytowego, a także budową modeli statystycznych w zakresie wykorzystywania danych do realizacji tych zadań, w tym danych osobowych dotyczących zapytaniach kredytowych.
[...] Bank [...] S.A. podniósł także zarzuty naruszenia niżej wskazanych przepisów prawa materialnego, które miało wpływ na wynik sprawy:
1. Naruszenie art.6 ust. 1 lit. c RODO w zw. z art. 105 ust. 4 oraz art.70 Prawa bankowego polegające na jego niezastosowaniu i przyjęciu, że Skarżący nie legitymował się przesłanką przetwarzania danych wynikającą z art.6 ust. 1 lit. c RODO w związku z art.105 ust.4 Prawo bankowe, podczas, gdy przepisy te – a także ich wykładnia dokonana przez nadzór bankowy w drodze rekomendacji T - nakładają na Bank obowiązek korzystania z zewnętrznej bazy danych, o której mowa w art.105 ust. 4 Prawa bankowego do oceny zdolności kredytowej i analizy ryzyka kredytowego. Powyższe dotyczy zapytania kredytowego do chwili, gdy było ono przetwarzane przez Bank;
2. naruszenie art. 6 ust. 1 lit. f w związku z art. 5 ust.1 lit. e RODO w związku z art. 118 kodeksu cywilnego i innymi przepisami o przedawnieniu - poprzez przyjęcie, że dane osobowe, które są danymi archiwalnymi i przetwarzane są właśnie w celu archiwalnym (w literaturze przedmiotu mowa o retencji danych) nie mogą być przetwarzane w okresie archiwizacji i w tym celu, o ile kontrahent /klient Banku nie przedstawił określonego roszczenia bankowi. To rozumowanie nakazujące usunąć dane natychmiast, gdy zakończono daną czynność (tu: złożono zapytanie kredytowe) jest nie tylko sprzeczne z przepisami prawa nakazującymi archiwować dane/dokumenty - ale także zawiera błąd logiczny - bowiem Prezes PUODO twierdzi, że przetwarzanie w (różnym dla różnych dokumentów) okresie archiwizacji byłoby uzasadnione, o ile podmiot tych danych przedstawił roszczenie przed rozpoczęciem okresu archiwizacji; zatem gdy takie roszczenie zostałoby przedstawione w okresie archiwizacji to administrator już tymi danymi nie dysponowałby, choć wówczas dopiero zyskałby podstawę ich przetwarzania;
3. Naruszenie art. 6 ust.1 lit. f RODO w związku z Rekomendacjami S, W i T Komisji Nadzoru Finansowego, polegające na jego niewłaściwym zastosowaniu i przyjęciu, że Skarżący nie legitymuje się przesłanką przetwarzania danych wynikającą z art.6 ust. 1 lit. f RODO w związku z Rekomendacjami S, W i T Komisji Nadzoru Finansowego, podczas gdy przepisy te nakładają na banki oraz BIK S.A. (jako instytucję powołaną na mocy art.105 ust. 4 prawa bankowego) określone wymagania nie tylko w związku z oceną poszczególnego wniosku kredytowego ale także w związku z budową metod i modeli statystycznych (w tym scoringowych);
4. Naruszenie art. 6 ust. 1 lit. c RODO w związku z art.144 ust.1 lit. d, art. 145 ust. 1, art.170 ust. 3 lit. a, art. 171 ust. 2 i art.179 ust. 1 lit. a oraz art. 181 ust. 2 Rozporządzenia UE 575/2013 polegające na jego niestosowaniu i przyjęciu, że Skarżący nie legitymuje się przesłanką przetwarzania danych wynikającą z art. 6 ust. 1 lit. e RODO w związku z powyższymi przepisami CRR wskazującymi na określone obowiązki w zakresie wymogów ostrożnościowych;
5. Naruszenie art. 6 ust.1 lit. c RODO w związku z art. 33 ust. 2, art.33 ust. 3 pkt 6, art. 34 ust 1, art. 36, art. 46 oraz art. 49 ust. 1 i ust. 2 ustawy AML, polegające na jego niewłaściwym zastosowaniu i przyjęciu, że Skarżący nie legitymuje się przesłanką przetwarzania danych wynikającą z art. 6 ust. 1 lit. c RODO w związku z art. 33 ust. 2, art.33 ust. 3 pkt 6, art. 34 ust.1, art. 36, art. 46 oraz art. 49 ust. 1 i ust. 2 ustawy AML, podczas gdy przepisy te nakładają na Bank obowiązek przetwarzania informacji, w tym danych osobowych w celu zapewnienia bezpieczeństwa obrotu gospodarczego poprzez przeprowadzenie identyfikacji, weryfikacji tożsamości i szczegółowego badania dot. klientów, w tym przyszłych klientów, jak i badania powiązań kapitałowo-osobowych;
6. Naruszenie art. 6 ust. 1 lit. e RODO w związku z art. 70a ust 1 i ust. 2 Prawa bankowego, polegające na jego niewłaściwym zastosowaniu i przyjęciu, że Skarżący nie legitymuje się podstawą prawną przetwarzania danych osobowych po zakończeniu procesu oceny wniosku kredytowego, podczas gdy przepisy te nakładają na banki obowiązek wyjaśniania decyzji kredytowych, osobie (podmiotowi) ubiegającej się o kredyt, przy czym wyjaśnienie to musi obejmować dane przetwarzane i dostarczane przez Skarżącego, a w przypadku zapytania kredytowego znaczenie będą miały także informacje zawarte w zapytaniu i raporcie BIK S.A.
W obszernym uzasadnieniu skargi [...] Bank [...] S.A rozwinął przedstawione wyżej zrzuty przytaczając szereg poglądów doktryny i orzecznictwa.
Prezes Urzędu Ochrony Danych Osobowych wnosił o oddalenie skargi w całości.
Wojewódzki Sąd Administracyjny w Warszawie zważył, co następuje:
Zgodnie z art. 1 § 1 i 2 ustawy z dnia 25 lipca 2002 r. - Prawo o ustroju sądów administracyjnych (Dz. U. Nr 153, poz. 1269 ze zm.), sądy administracyjne sprawują wymiar sprawiedliwości przez kontrolę działalności administracji publicznej, sprawowaną pod względem zgodności z prawem, jeżeli ustawy nie stanowią inaczej. Na podstawie art. 134 § 1 ustawy z dnia 30 sierpnia 2002 r. - Prawo o postępowaniu przed sądami administracyjnymi (Dz. U. 2019r., poz.2325, zwanej dalej p.p.s.a.) Sąd przy rozstrzyganiu sprawy nie jest związany zarzutami i wnioskami skargi oraz powołaną podstawą prawną.
Sąd administracyjny, stosownie do art. 133 § 1 p.p.s.a. orzeka na podstawie akt sprawy. Oznacza to, że Sąd rozpoznaje sprawę na podstawie stanu faktycznego i prawnego istniejącego w dniu wydania kontrolowanej decyzji, na podstawie materiału dowodowego zgromadzonego przez organ administracji publicznej w toku całego postępowania administracyjnego. Warto też wyjaśnić, że Sąd administracyjny w postępowaniu sądowo-administracyjnym nie ustala stanu faktycznego sprawy, lecz bada czy w trakcie postępowania administracyjnego ujawniono wszelkie istotne okoliczności i czy były one uwzględnione przy wydawaniu decyzji i w jaki sposób zostały ocenione zebrane w sprawie dowody.
Skarga rozpoznawana w oparciu o powyższe kryteria nie zasługiwała na uwzględnienie.
Zgodnie z art. 105 ust. 4 ustawy z dnia 27 sierpnia 1997 r. - Prawo bankowe (t.j. Dz. U. z 2015 r. poz. 128 z późn. zm.). Banki mogą, wspólnie z bankowymi izbami gospodarczymi, utworzyć instytucje upoważnione do gromadzenia, przetwarzania i udostępniania:
1) bankom - informacji stanowiących tajemnicę bankową w zakresie, w jakim informacje te są potrzebne w związku z wykonywaniem czynności bankowych oraz w zw. ze stosowaniem metod statystycznych, o których mowa w art. 128 ust. 3 oraz w art. 128d ust. 1;
2) innym instytucjom ustawowo upoważnionym do udzielania kredytów - informacji stanowiących tajemnicę bankową w zakresie, w jakim informacje te są niezbędne w związku z udzielaniem kredytów pożyczek pieniężnych, gwarancji bankowych i poręczeń;
3) instytucjom kredytowym - informacji stanowiących tajemnicę bankową w zakresie niezbędnym do oceny zdolności kredytowej konsumenta, o której mowa w art. 9 ustawy z dnia 12 maja 2011 r. o kredycie konsumenckim.
Na podstawie art. 105a cytowanej ustawy, przetwarzanie przez banki, inne instytucje ustawowo upoważnione do udzielania kredytów oraz instytucje utworzone na podstawie art. 105 ust. 4, informacji stanowiących tajemnicę bankową w zakresie dotyczącym osób fizycznych może być wykonywane, z zastrzeżeniem art. 104, art. 105 i art. 106-106c, w celu oceny zdolności kredytowej i analizy ryzyka kredytowego (ust. 1). Instytucje, o których mowa w ust. 1, mogą przetwarzać informacje stanowiące tajemnicę bankową dotyczące osób fizycznych po wygaśnięciu zobowiązania wynikającego z umowy zawartej z bankiem lub inną instytucją ustawowo upoważnioną do udzielania kredytów, bez zgody osoby, której informacje dotyczą, gdy osoba ta nie wykonała zobowiązania lub dopuściła się zwłoki powyżej 60 dni w spełnieniu świadczenia wynikającego z umowy zawartej z bankiem lub inną instytucją ustawowo upoważnioną do udzielania kredytów, a po zaistnieniu tych okoliczności upłynęło co najmniej 30 dni od poinformowania tej osoby przez bank lub inną instytucję ustawowo upoważnioną do udzielania kredytów o zamiarze przetwarzania dotyczących jej informacji stanowiących tajemnicę bankową, bez jej zgody (ust. 3). Banki oraz instytucje, o których mowa w art. 105 ust. 4, mogą przetwarzać informacje stanowiące tajemnicę bankową dotyczące osób fizycznych po wygaśnięciu zobowiązania wynikającego z umowy zawartej z bankiem lub inną instytucją ustawowo upoważnioną do udzielania kredytów, bez zgody osoby, której informacje dotyczą, dla celów stosowania metod statystycznych, o których mowa w art. 128 ust. 3 (ust 4.).
Decyzja PUODO z dnia [...] marca 2022 r. w zaskarżonej części (pkt 1 decyzji) nakazuje [...] Bankowi [...] S.A. usunięcie danych osobowych G. K., w zakresie zapytania kredytowego z dnia [...] lutego 2021 r., niezakończonego udzieleniem kredytu.
W sprawie jest niesporne, że Bank pozyskał dane osobowe uczestnika G. K. w związku ze złożeniem zapytania kredytowego z dnia [...] lutego 2021r. W przypadku tym nie doszło do zawarcia umowy kredytu. Niesporne jest również, że Bank był uprawniony do przetwarzania danych osobowych w celu oceny zdolności kredytowej i analizy ryzyka kredytowego. Skoro jednak nie doszło do zawarcia umowy kredytu, to odpadła przesłanka legalizująca dalsze przetwarzanie danych osobowych.
Znajduje to potwierdzenie w treści art. 105a Prawa Bankowego, który w ust. 1 stanowi, że przetwarzanie przez banki, inne instytucje ustawowo upoważnione do udzielania kredytów oraz instytucje utworzone na podstawie art. 105 ust. 4, informacji stanowiących tajemnicę bankową w zakresie dotyczącym osób fizycznych może być wykonywane, z zastrzeżeniem art. 104, art. 105 i art. 106 - 106d ustawy, w celu oceny zdolności kredytowej i analizy ryzyka kredytowego.
Natomiast zgodnie z art. 105a ust. 2 oraz ust. 3 – 6 Prawa bankowego, z zastrzeżeniem ust. 3, instytucje, o których mowa w ust. 1, mogą przetwarzać informacje stanowiące tajemnicę bankową oraz informacje udostępnione przez instytucje pożyczkowe oraz podmioty, o których mowa w art. 59d ustawy z dnia 12 maja 2011 r. o kredycie konsumenckim, w zakresie dotyczącym osób fizycznych po wygaśnięciu zobowiązania wynikającego z umowy zawartej z bankiem, inną instytucją ustawowo upoważnioną do udzielania kredytów, instytucją pożyczkową lub podmiotem, o którym mowa w art. 59d ustawy z dnia 12 maja 2011 r. o kredycie konsumenckim, pod warunkiem uzyskania pisemnej zgody osoby, której informacje te dotyczą, z zastrzeżeniem ust. 2a. Zgoda ta może być w każdym czasie odwołana (art. 105a ust. 2).
Banki, instytucje oraz podmioty, o których mowa w ust. 1, mogą przetwarzać informacje stanowiące tajemnicę bankową i informacje udostępnione przez instytucje pożyczkowe oraz podmioty, o których mowa w art. 59d ustawy z dnia 12 maja 2011 r. o kredycie konsumenckim, dotyczące osób fizycznych po wygaśnięciu zobowiązania wynikającego z umowy zawartej z bankiem, inną instytucją ustawowo upoważnioną do udzielania kredytów, instytucją pożyczkową lub podmiotem, o którym mowa w art. 59d ustawy z dnia 12 maja 2011 r. o kredycie konsumenckim, bez zgody osoby, której informacje dotyczą, gdy osoba ta nie wykonała zobowiązania lub dopuściła się zwłoki powyżej 60 dni w spełnieniu świadczenia wynikającego z umowy zawartej z bankiem, inną instytucją ustawowo upoważnioną do udzielania kredytów, instytucją pożyczkową lub podmiotem, o którym mowa w art. 59d ustawy z dnia 12 maja 2011r. o kredycie konsumenckim, a po zaistnieniu tych okoliczności upłynęło co najmniej 30 dni od poinformowania tej osoby przez bank, inną instytucję ustawowo upoważnioną do udzielania kredytów, instytucję pożyczkową albo podmiot, o którym mowa w art. 59d ustawy z dnia 12 maja 2011 r. o kredycie konsumenckim, o zamiarze przetwarzania dotyczących jej tych informacji, bez jej zgody (art. 105a ust. 3).
Banki oraz instytucje, o których mowa w art. 105 ust. 4, mogą przetwarzać stanowiące tajemnicę bankową informacje dotyczące osoby fizycznej po wygaśnięciu zobowiązania wynikającego z umowy zawartej z bankiem lub inną instytucją ustawowo upoważnioną do udzielania kredytów bez zgody osoby, której informacje dotyczą, do celów stosowania metod wewnętrznych oraz innych metod i modeli, o których mowa w części trzeciej rozporządzenia nr 575/2013 (art. 105a ust. 4).
Przetwarzanie informacji stanowiących tajemnicę bankową w przypadkach, o których mowa w ust. 3, może być wykonywane przez okres nie dłuższy niż 5 lat od dnia wygaśnięcia zobowiązania, a w przypadku, o którym mowa w ust. 4, przez okres 12 lat od dnia wygaśnięcia zobowiązania (art. 105a ust. 5).
Zakres przetwarzanych informacji, o których mowa w ust. 3 i 4, może obejmować dane dotyczące osoby fizycznej lub dane dotyczące zobowiązania (art. 105a ust. 6).
Przesłanki zawarte w art. 105a Prawa bankowego dotyczą zatem przetwarzania informacji objętych tajemnicą bankową w okresie przed powstaniem zobowiązania, w trakcie jego trwania oraz po wygaśnięciu zobowiązania. Natomiast w sytuacji, gdy w następstwie złożenia wniosku kredytowego nie dochodzi do zawarcia umowy kredytowej z bankiem, brak jest ustawowych przesłanek legalizujących dalsze przetwarzanie przez BIK danych osobowych potencjalnego klienta. Ocena zdolności kredytowej i ryzyka kredytowego ma charakter czynności wstępnych przed zawarciem umowy przez bank. Dalsze przetwarzanie danych, uzyskanych w celu oceny zdolności kredytowej, w przypadku braku zawarcia stosownej umowy, pozostawałoby w oderwaniu od celu, dla którego dane te uzyskano. Niedopuszczalne jest przetwarzanie danych osobowych na przyszłość, a także na potrzeby budowy oceny zdolności kredytowej innych podmiotów, jeżeli nie można zrekonstruować wyraźnej podstawy prawnej takich działań.
W niniejszej sprawie celem przetwarzania danych osobowych była ocena zdolności kredytowej i analizy ryzyka kredytowego. W związku z dokonaniem przez Bank tejże oceny powyższy cel przetwarzania danych osobowych został zrealizowany i przy braku zawarcia stosownej umowy brak jest podstaw prawnych do kontynuowania tego procesu. Trafne jest zatem stanowisko organu, że nie wystąpiła przesłanka legalizująca proces przetwarzania danych określona w art. 6 ust. 1 lit. c i lit. f RODO.
Nieuzasadnione są podniesione w skardze zarzuty naruszenia przepisów prawa materialnego.
Niezasadny jest zarzut naruszenia art. 6 ust. 1 lit. c RODO w zw. z powołanymi w punktach 7, 10, 11 i 12 skargi przepisami.
Należy podkreślić, iż przepis art. 105 ust. 4 Prawa bankowego jest przepisem o charakterze ogólnym, który stanowi o możliwości utworzenia wspólnie z bankowymi izbami gospodarczymi, instytucji upoważnionych do gromadzenia, przetwarzania i udostępniania danych. Przepis ten nie daje jednak podstaw do nieograniczonego przetwarzania wszelkich danych osobowych przez utworzone instytucje. Zasady przetwarzania danych objętych tajemnicą bankową określa art. 105a Prawa bankowego i na gruncie tego przepisu należy oceniać dopuszczalność przetwarzania poszczególnych danych osobowych w określonych ściśle celach. Podstawy prawnej przetwarzania danych osobowych w niniejszej sprawie nie mógł stanowić zatem art. 105 ust. 4 Prawa bankowego samodzielnie, ani też w powiązaniu z art. 105a tej ustawy.
W świetle powyższego przesłanka z art. 6 ust. 1 lit. c RODO nie znajduje zastosowania w okolicznościach niniejszej sprawy. Przepis ten dotyczy bowiem sytuacji, gdy przetwarzanie jest niezbędne do wypełnienia obowiązku prawnego administratora danych, a nie realizacji uprawnienia, o którym mowa w art. 105 ust. 4 Prawa bankowego. Ponadto przepis art. 105 ust. 4 Prawa bankowego nie stanowi o dopuszczalności przetwarzania danych osobowych dotyczących wniosków kredytowych w sytuacji, gdy nie doszło do zawarcia umowy z bankiem. Uznanie takiego procesu przetwarzania danych za legalny wymaga podstawy prawnej, której nie stanowią regulaminy ani umowy zawierane między poszczególnymi instytucjami a bankami.
Z kolei art. 70 Prawa bankowego stanowi wyłącznie o badaniu przez banki zdolności kredytowej i nie zawiera regulacji dotyczących przetwarzania danych osobowych.
Powyższa argumentacja dotycząca art. 105 ust. 4 Prawa bankowego, wskazująca na charakter tego przepisu, nie pozwala też na uznanie, że przepis ten określa prawnie uzasadniony interes realizowany przez Bank lub przez stronę trzecią, a który mógłby być rozważny w kontekście art. 6 ust. 1 lit f RODO. Tak jak już podniesiono wyżej art. 105 ust. 4 Prawa bankowego sam w sobie nie może stanowić podstawy prawnej przetwarzania danych osoby ubiegającej się o kredyt. W treści tego przepisu nie można zatem poszukiwać prawnie usprawiedliwionego interesu w przetwarzaniu danych osobowych w sytuacji jak w niniejszej sprawie. Postawiony w tym kontekście zarzut naruszenia art. 6 ust. 1 lit f RODO jest zatem również niezasadny (pkt 1 zarzutów "ewentualnie na wypadek (...), str. 3 skargi).
Zgodnie z art. 70a ust. 1 Prawa bankowego banki i inne instytucje ustawowo upoważnione do udzielania kredytów na wniosek osoby fizycznej, prawnej lub jednostki organizacyjnej niemającej osobowości prawnej, o ile posiada zdolność prawną, ubiegającej się o kredyt przekazują, w formie pisemnej, wyjaśnienie dotyczące dokonanej przez siebie oceny zdolności kredytowej wnioskującego. Wyjaśnienie, o którym mowa w ust. 1, obejmuje informacje na temat czynników, w tym danych osobowych wnioskującego, które miały wpływ na dokonaną ocenę zdolności kredytowej (art. 70a ust. 2).
Przede wszystkim należy podnieść, że powyższy przepis nakłada na banki i inne instytucje ustawowo upoważnione do udzielania kredytów obowiązek przekazywania osobie fizycznej ubiegającej się o kredyt wyjaśnień dotyczących dokonanej oceny zdolności kredytowej wnioskującego. Tego rodzaju obowiązku przepis ten nie nakłada na instytucje, o których mowa w art. 105 ust 4 Prawa bankowego. Przepis ten nie zakreśla żadnego terminu na wystąpienie z wnioskiem o przekazanie wyjaśnień dotyczących dokonania zdolności kredytowej. Brak jest zatem uzasadnienia dla przyjęcia, że BIK jest uprawniony do przetwarzania danych osobowych w związku z koniecznością ewentualnego wypełnienia obowiązku wynikającego z art. 70a ust. 1 i ust. 2 Prawa bankowego. Uczestnik postępowania wykazał w sposób jednoznaczny wolę usunięcia danych, zatem przyjąć należy, że nie jest zainteresowany realizacją prawa do wyjaśnienia dotyczącego dokonanej oceny zdolności kredytowej, w myśl art. 70a ust. 1 i 2 Prawa bankowego.
Natomiast analizowane przepisy art. 70, art. 70a, art. 105 ust. 4, art. 105a Prawa bankowego nie wskazują na niezbędność przetwarzania przez danych osobowych osoby ubiegającej się o kredyt w sytuacji, gdy nie doszło do zawarcia umowy. Elementu tego nie można się również doszukać dyspozycji art. 9b Prawa bankowego oraz art. 2 ustawy z dnia 21 lipca 2006 r. o nadzorze nad rynkiem finansowym (Dz. U. z 2022 r. poz. 660).
Kolejno, zgodnie z art. 33 ust. 2 i 3 ustawy AML instytucje obowiązane rozpoznają ryzyko prania pieniędzy oraz finansowania terroryzmu związane ze stosunkami gospodarczymi lub z transakcją okazjonalną oraz oceniają poziom rozpoznanego ryzyka. Instytucje obowiązane dokumentują rozpoznane ryzyko prania pieniędzy oraz finansowania terroryzmu związane ze stosunkami gospodarczymi lub z transakcją okazjonalną oraz jego ocenę, uwzględniając w szczególności czynniki dotyczące: 1) rodzaju klienta, 2) obszaru geograficznego, 3) przeznaczenia rachunku, 4) rodzaju produktów, usług i sposobów ich dystrybucji, 5) poziomu wartości majątkowych deponowanych przez klienta lub wartości przeprowadzonych transakcji, 6) celu, regularności lub czasu trwania stosunków gospodarczych.
W myśl art. 34 ust. 1 pkt 4 ww. ustawy, środki bezpieczeństwa finansowego obejmują bieżące monitorowanie stosunków gospodarczych klienta, w tym: a) analizę transakcji przeprowadzanych w ramach stosunków gospodarczych w celu zapewnienia, że transakcje te są zgodne z wiedzą instytucji obowiązanej o kliencie, rodzaju i zakresie prowadzonej przez niego działalności oraz zgodne z ryzykiem prania pieniędzy oraz finansowania terroryzmu związanym z tym klientem, b) badanie źródła pochodzenia wartości majątkowych będących w dyspozycji klienta - w przypadkach uzasadnionych okolicznościami, c) zapewnienie, że posiadane dokumenty, dane lub informacje dotyczące stosunków gospodarczych są na bieżąco aktualizowane.
Identyfikacja klienta, zgodnie z art. 36 ust. 1 ustawy polega na ustaleniu w przypadku osoby fizycznej: a) imienia i nazwiska, b) obywatelstwa, c) numeru PESEL lub daty urodzenia - w przypadku gdy nie nadano numeru PESEL, oraz państwa urodzenia, d) serii i numeru dokumentu stwierdzającego tożsamość osoby, e) adresu zamieszkania - w przypadku posiadania tej informacji przez instytucję obowiązaną, f) nazwy (firmy), NIP oraz adresu głównego miejsca wykonywania działalności gospodarczej - w przypadku osoby fizycznej prowadzącej działalność gospodarczą.
W myśl art. 49 us.t 1 i 2 ustawy instytucje obowiązane przechowują przez okres 5 lat, licząc od dnia zakończenia stosunków gospodarczych z klientem lub od dnia przeprowadzenia transakcji okazjonalnej: 1) uzyskane w wyniku stosowania środków bezpieczeństwa finansowego kopie dokumentów i informacje, w tym informacje uzyskane za pomocą środków identyfikacji elektronicznej (...), 2) dowody potwierdzające przeprowadzone transakcje i ewidencje transakcji, obejmujące oryginalne dokumenty lub kopie dokumentów konieczne do identyfikacji transakcji. Instytucje obowiązane przechowują wyniki analiz, o których mowa w art. 34 ust. 3, przez okres 5 lat, licząc od dnia ich przeprowadzenia.
Wskazać należy, że powyższe przepisy dotyczą stosowania środków bezpieczeństwa finansowego wobec klientów instytucji (banków) w ramach prowadzonych stosunków gospodarczych. Nie odnoszą się natomiast do sytuacji, w której przetwarzane są dane z wniosków kredytowych, pomimo nienawiązania stosunku gospodarczego poprzez zawarcie umowy kredytowej.
Nie jest trafnym również zarzut naruszenia art. 6 ust. 1 lit. f RODO w powiązaniu ze wskazanymi w punktach 8 i 9 skargi przepisami.
Za prawnie usprawiedliwiony cel w rozumieniu art. 6 ust. 1 lit. f RODO nie może zostać uznane przetwarzanie danych osobowych na wypadek ewentualnego dochodzenia lub obrony roszczeń. Zebrany w niniejszym postępowaniu materiał dowodowy nie wykazał, aby uczestnik postępowania wystąpił z jakimkolwiek roszczeniem wobec Banku, które uzasadniałoby uprawnienie do zachowania i przetwarzania jego danych osobowych dla celów dowodowych w związku z dochodzeniem tego roszczenia. Bank nie wskazał także na istnienie roszczeń, których dochodzi od G. K. Okolicznością usprawiedliwiającą przetwarzanie danych osobowych w celu dochodzenia roszczeń jest sam fakt istnienia roszczenia oraz rzeczywisty zamiar jego dochodzenia. Przyjęcie innego poglądu skutkowałoby tym, że dane osobowe uczestnika postępowania mogłyby być przetwarzane w nieskończoność, gdyż upływ terminu przedawnienia nie uniemożliwia dochodzenia roszczeń skoro nie powoduje ich wygaśnięcia (wywołuje wyłącznie zmianę w sferze zarzutów procesowych).
Nie jest trafny zarzut skargi dotyczący naruszenia przez organ art. 6 ust. 1 lit. f RODO w związku z Rekomendacjami S, W i T Komisji Nadzoru Finansowego (pkt 5 skargi). Powołane Rekomendacje nie stanowią obowiązujących przepisów prawa, zatem nie mogły mieć znaczenia dla rozstrzygnięcia podjętego w niniejszej sprawie. Ponadto Rekomendacje nie odnoszą się do kwestii przetwarzania danych osobowych w zakresie zapytań kredytowych w sytuacji, gdy umowa pomiędzy bankiem a potencjalnym klientem nie została zawarta.
Nieuzasadnione są również zarzuty dotyczące naruszenia przepisów prawa procesowego, w tym art. 7, art. 77 § 1 oraz art. 80 k.p.a. bowiem organ prawidłowo zebrał i ocenił zgromadzony w sprawie materiał dowodowy opierając się na wyjaśnieniach Banku dotyczących przetwarzania danych osobowych zawartych w zapytaniu kredytowym (punkt 1 decyzji). Uzasadnienie decyzji w omawianym zakresie odpowiada natomiast wymogom określonym w art. 107 § 3 k.p.a. Nieuzasadniony jest również zarzut naruszenia art. 7b k.p.a. poprzez zaniechanie zwrócenia się do Komisji Nadzoru Finansowego w celu kompleksowego wyjaśnienia stanu faktycznego sprawy. Zgodnie z art. 7b k.p.a. w toku postępowania organy administracji publicznej współdziałają ze sobą w zakresie niezbędnym do dokładnego wyjaśnienia stanu faktycznego i prawnego sprawy, mając na względzie interes społeczny i słuszny interes obywateli oraz sprawność postępowania, przy pomocy środków adekwatnych do charakteru, okoliczności i stopnia złożoności sprawy. W ocenie Sądu stan faktyczny i prawny sprawy został przez organ prawidłowo ustalony i należycie rozpatrzony w oparciu o zgromadzony materiał dowodowy, w tym w oparciu o wyjaśnienia BIK. Nie zachodziły więc przesłanki do podjęcia przez Prezesa UODO współdziałania z innymi organami administracji publicznej w oparciu o ww. przepis w celu wydania rozstrzygnięcia w sprawie.
PUODO jest wyspecjalizowanym w sprawach dotyczących ochrony danych osobowych i niezależnym organem, który ma status i kompetencje organu nadzorczego określone w przepisach RODO. Z tego względu PUODO jest uprawniony do samodzielnego dokonywania interpretacji przepisów prawa w zakresie dotyczącym ochrony danych osobowych. Stanowisko to znajduje potwierdzenie w art. 51 oraz w motywach 117, 122 oraz 123 RODO.
Organ prawidłowo również nakazał usunięcie przez Bank danych osobowych uczestnika postępowania zawartych w zapytaniu kredytowym. Nie ma bowiem (jak wykazano wyżej) podstawy prawnej aby dane te znajdowały się w zbiorze danych Banku. Usunięcie danych osobowych przez Bank nie następuje automatycznie po 6 miesiącach od złożenia wniosku (zapytania kredytowego), dane "sporne" pozostają bowiem w raporcie kredytowym. Dane pozostają zatem nadal w zbiorze danych Banku. Przy czym Bank sam wskazał, iż dane te będzie przetwarzał przez okres 3 lat, tj. do dnia [...] lutego 2024r. Przyjmując nawet tezę, iż Bank samodzielnie nie ma możliwości przetwarzania ww. danych (po upływie 6 miesięcy), to zostają one zachowane w jego zbiorach. Natomiast samo przetwarzanie może się odbywać za pośrednictwem zapytania do BIK, który zaprzestaje udostępniania danych po 12 miesiącach od dnia złożenia wniosku (dane te pozostają jednak po tym czasie w zbiorze BIK).
Decyzja POUDO w zakresie pkt 1 była więc wykonalna i zasadna prawnie. Podsumowując Sąd stwierdza, że decyzja PUODO w zaskarżonej części jest zgodna z prawem, zaś zarzuty skargi nie zasługują na uwzględnienie.
Mając powyższe na uwadze, Wojewódzki Sąd Administracyjny w Warszawie, na podstawie art. 151 ustawy z dnia 30 sierpnia 2002 r. - Prawo o postępowaniu przed sądami administracyjnymi (tekst jedn.: Dz. U. z 2016 r. poz. 718 z późn. zm.), orzekł jak w sentencji.