III OSK 1552/22

III OSK 1552/22 - Wyrok NSA
Data orzeczenia
2025-10-01
orzeczenie prawomocne
Data wpływu
2022-06-23
Sąd
Naczelny Sąd Administracyjny
Sędziowie
Maciej Kobak /sprawozdawca/
Olga Żurawska - Matusiak
Przemysław Szustakiewicz /przewodniczący/
Symbol z opisem
647  Sprawy związane z ochroną danych osobowych
Hasła tematyczne
Ochrona danych osobowych
Sygn. powiązane
II SA/Wa 1128/21 - Wyrok WSA w Warszawie z 2022-02-23
Skarżony organ
Generalny Inspektor Ochrony Danych Osobowych
Treść wyniku
Oddalono skargę kasacyjną
Powołane przepisy
Dz.U. 2021 poz 2439
art. 105 ust. 4 oraz 105 a ust. 1-6 ustawy Prawo bankowe, art. 70 ust. 1 Prawa bankowego
Ustawa z dnia 29 sierpnia 1997 r. Prawo bankowe (t.j.)
Dz.U. 2021 poz 735
art. 7b k.p.a.
Ustawa z dnia 14 czerwca 1960 r. Kodeks postępowania administracyjnego - tekst jedn.
Dz.U.UE.L 2016 nr 119 poz 1 art. 5 ust. 1 i 2 RODO, art. 6 ust. 1 RODO
Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z  przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE
Sentencja
Naczelny Sąd Administracyjny w składzie: Przewodniczący: sędzia NSA Przemysław Szustakiewicz Sędziowie: sędzia NSA Olga Żurawska-Matusiak sędzia del. WSA Maciej Kobak (spr.) Protokolant: starszy asystent sędziego Joanna Ukalska po rozpoznaniu w dniu 1 października 2025 r. na rozprawie w Izbie Ogólnoadministracyjnej skargi kasacyjnej B. SA w W. od wyroku Wojewódzkiego Sądu Administracyjnego w Warszawie z dnia 23 lutego 2022 r. sygn. akt II SA/Wa 1128/21 w sprawie ze skarg: B. SA w W. i S. z siedzibą w G. na decyzję Prezesa Urzędu Ochrony Danych Osobowych z dnia 26 stycznia 2021 r. nr DS.523.541.2020.FT.MW/109062/109063/109064 w przedmiocie przetwarzania danych osobowych 1. oddala skargę kasacyjną; 2. zasądza od B. SA w W. na rzecz Prezesa Urzędu Ochrony Danych Osobowych kwotę 360 (trzysta sześćdziesiąt) złotych tytułem zwrotu kosztów postępowania kasacyjnego.
Uzasadnienie
Wyrokiem z dnia 23 lutego 2022 r. sygn. akt II SA/Wa 1128/21 Wojewódzki Sąd Administracyjny w Warszawie oddalił skargi B. S.A. z siedzibą w W. (dalej: "B.") i S. z siedzibą w G. (dalej: "S.") na decyzję Prezesa Urzędu Ochrony Danych Osobowych (dalej: "organ") z dnia 26 stycznia 2021 r. nr DS.523.541.2020.FT.MW/109062/109063/109064 w przedmiocie przetwarzania danych osobowych.
Powyższy wyrok został wydany w następujących okolicznościach faktycznych i prawnych sprawy.
M. U. (dalej: "wnioskodawczyni") w dniu 23 sierpnia 2019 r. złożyła wniosek o udzielenie kredytu. W związku z powyższym S. pozyskał jej dane osobowe w celu oceny zdolności kredytowej w zakresie: imię, nazwisko, imiona rodziców, nazwisko panieńskie matki, numer PESEL, data urodzenia, numer dowodu osobistego, data ważności dowodu osobistego, adres zamieszkania, adres korespondencyjny, stan cywilny, informacje o dochodzie i zatrudnieniu, obywatelstwo, płeć, wykształcenie. S. aktualnie przetwarza dane osobowe wnioskodawczyni, zawarte we wniosku kredytowym w ww. zakresie w celu ustalenia, dochodzenia lub obrony roszczeń, z zastosowaniem 3-letniego terminu przedawnienia (dowód: wyjaśnienia S. z dnia 19 marca 2020 r. i załącznik do ww. wyjaśnień).
W dniu 23 sierpnia 2019 r. S. zwróciła się z zapytaniem kredytowym dotyczącym wnioskodawczyni do B., w wyniku czego w bazie wyżej wskazanego podmiotu doszło do przetwarzania jej danych osobowych powiązanych z tym zapytaniem. Wnioskodawczyni podniosła, że nie doszło do zawarcia umowy pomiędzy nią a S., wobec powyższego wniosła o usunięcie jej danych osobowych przetwarzanych bez podstawy prawnej (dowód: skarga z dnia 21 stycznia 2020 r. i załącznik do ww. skargi).
Wnioskodawczyni zwróciła się do S. o usunięcie jej danych osobowych przetwarzanych w związku ze złożonym wnioskiem kredytowym. Powyższy podmiot odmówił usunięcia danych osobowych (dowód: wyjaśnienia S. z dnia 19 marca 2020 r. wraz załącznikami).
Po zapoznaniu się z całością zgromadzonego w sprawie materiału dowodowego, organ decyzją z dnia 26 stycznia 2021 r. nakazał B. usunięcie danych osobowych wnioskodawczyni w zakresie zapytania kredytowego z dnia 23 sierpnia 2019 r. przekazanych przez S. i nakazał usunięcie danych osobowych wnioskodawczyni, przetwarzanych w związku z zapytaniem kredytowym z dnia 23 sierpnia 2019 r.
Skargi od powyższej decyzji wywiodło do sądu administracyjnego B. oraz S. Ponieważ sprawy wywołane powyższymi skargami pozostawały ze sobą w związku, Sąd zarządził ich połączenie do wspólnego rozpoznania i rozstrzygnięcia.
W odpowiedzi na skargi organ wniósł o ich oddalenie.
Opisanym na wstępie wyrokiem Wojewódzki Sąd Administracyjny w Warszawie oddalił skargi. W ocenie Sądu pierwszej instancji B. i S. nie mogły przetwarzać danych osobowych osoby fizycznej, pozyskanych dla oceny zdolności kredytowej i analizy ryzyka kredytowego, po dokonaniu takiej oceny i analizy oraz w sytuacji, gdy nie doszło w ogóle do zawarcia umowy kredytowej z osobą fizyczną, której dane pozyskano dla dokonania omawianej oceny i analizy. Sąd uznał, że S. i B. były uprawnione do przetwarzania spornych danych wyłącznie w czasie, gdy dokonywano oceny zdolności kredytowej rzeczonej osoby fizycznej i analizy ryzyka udzielenia jej kredytu. W okresie po zakończeniu dokonywania owej analizy i oceny, wobec nie zawarcia umowy kredytu, odpadła przesłanka legalizująca przetwarzanie spornych danych osobowych.
W ocenie WSA organ postąpił prawidłowo, nie dopatrując się istnienia po stronie S. i B. przesłanki legalizującej przetwarzanie danych osobowych (art. 6 ust.1 Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (Dz. Urz. UE L 119 z 4.5.2016, str. 1, ze zm., dalej: "RODO") i w konsekwencji nakazując usunięcie danych, do których przetwarzania ani S. ani B. nie mają obecnie podstawy prawnej.
Skład orzekający stanął na stanowisku, że organ w sposób wyczerpujący zebrał pełny materiał dowodowy i poprawnie ustalił stan faktyczny sprawy (zarzut nr 1 B.). Uznano, że do zarzutu nr 2 skargi B. nie sposób było się odnieść w sytuacji, gdy pozostawał de facto w oderwaniu od regulacji prawnych obowiązujących w RP. Nawet sam skarżący nie przywołał przepisów, które w jego mniemaniu dawałyby organowi prawną możliwość zwracania się w badanej sprawie o opinię, do Komisji Nadzoru Finansowego. Sąd podkreślił, że instytucja ta (KNF) nie jest i nie była stroną niniejszego postępowania, nie posiada statusu np. biegłego sądowego a żadne przepisy prawa nie przewidują nadrzędności opinii KNF nad powszechnie obowiązującymi przepisami prawa.
Zdaniem WSA chybiony jest też zarzut nr 3 i 4 skargi B. gdyż brak jest prawnego związania organu wynikami kilka lat wcześniejszej kontroli przeprowadzanej przez inny organ tj. Generalnego Inspektora Ochrony Danych Osobowych i do tego w innym stanie prawnym. Podkreślono, że niniejsze postępowanie ma charakter odrębny od przywołanego w skardze postępowania kontrolnego GIODO. Nadto podniesiono iż WSA w niniejszym postępowaniu nie jest uprawniony do oceny merytorycznej przywołanych wyników kontroli GIODO, gdyż dokonując takiej oceny wyszedłby poza zakres przedmiotowy rozpoznawanej skargi.
Odnosząc się do zarzutu nr 5 skargi B. Sąd podkreślił pomijaną przez skarżącego okoliczność, ze w efekcie omawianego zapytania kredytowego, nie doszło do zawarcia umowy kredytowej. Stąd B. i S. utraciły prawo do przetwarzania danych po dokonaniu oceny zdolności kredytowej i analizy ryzyka.
Odnosząc się do zarzutu nr 6 skargi B. zauważono, że przywołane rekomendacje – choćby były nawet jak najbardziej słuszne – nie wyłączają obowiązku stosowania przepisów powszechnie obowiązującego prawa, regulujących materię ochrony danych osobowych, ani przepisów Prawa bankowego.
Formułując zarzut nr 7 autor skargi B. pominął zaś okoliczność, iż rekomendacje KNF nie przewidują możliwości czy konieczności przetwarzania danych osobowych w zakresie zapytań kredytowych dotyczących przypadku późniejszego niż zawierania umowy kredytowej z klientem, którego dotyczyło zapytanie.
Sąd wskazał, że w zarzucie nr 8 skargi B. strona po raz kolejny pominęła okoliczność nie zawarcia umowy kredytu z osobą, której dotyczyło sporne zapytanie i w wyniku tego nie zauważyła, że dane objęte skarżoną decyzją mogą co najwyżej obrazować hipotetyczną zdolność kredytową danej osoby fizycznej, a nie zdolność faktyczną.
Odpowiadając na zarzut nr 9 skargi B. Sąd ponownie przypomniał stronie, że możliwość przetwarzania danych ograniczona jest do okresu dokonywania analizy i oceny zdolności kredytowej i nie wykracza poza ten czas. Nadto w sytuacji gdy nie zawarto umowy kredytu, nie mogło dojść do potencjalnego przestępstwa o jakim mowa w art.106 d ustawy z dnia 29 sierpnia 1997 r. Prawo bankowe (Dz.U. z 2021 r. poz. 2439, z poźn. zm., dalej: "Prawo bankowe").
W realiach faktycznych sprawy, zarzut nr 10 skargi B. pozostawał w oderwaniu od tych realiów zwłaszcza w sytuacji, gdy sam skarżący nie udowodnił istnienia żadnej z przesłanek opisanych w przywołanych w niniejszym zarzucie przepisów Prawa bankowego czy ustawy o przeciwdziałaniu praniu pieniędzy oraz finansowaniu terroryzmu.
Przy zarzucie nr 11 skargi B. Sąd zwrócił uwagę na to, że przepisy RODO i ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych (Dz. U. z 2019 r. poz. 1781, dalej: "u.o.d.o.") nie zezwalają na przetwarzanie danych osobowych niejako "na zapas" z założeniem, że mogą one być ewentualnie przydatne w bliżej nieokreślonej przyszłości.
Zdaniem WSA sformułowanie zarzutu nr 12 skargi B. po raz kolejny budzi poważne wątpliwości co do znajomości przez autora skargi stanu faktycznego sprawy, skoro pomimo niekwestionowanego faktu, iż w wyniku zapytania kredytowego z 23 sierpnia 2019 r. nie doszło do zawarcia umowy kredytu, skarżący stara się usprawiedliwiać potrzebę przetwarzania spornych danych obowiązkiem wyjaśniania podstaw decyzji kredytowych.
Odnosząc się do zarzutu nr 13 skargi B. tut. Sąd przychylił się do stanowiska organu, iż przyjęcie poglądu B. skutkowałoby tym, że dane osobowe skarżącej mogłyby być przetwarzane w nieskończoność, gdyż upływ terminu przedawnienia nie uniemożliwia skutecznego dochodzenia roszczeń skoro nie powoduje ich wygaśnięcia (wywołuje przecież wyłącznie zmianę w sferze zarzutów procesowych).
Powyższy wyrok w całości zaskarżył B., zarzucając naruszenie:
1) przepisów postępowania, tj.:
a) art. 145 § 1 pkt 1 lit c) ustawy z dnia 30 sierpnia 2002 r. Prawo o postępowaniu przed sądami administracyjnymi (Dz. U. z 2022 r. poz. 329, dalej: "p.p.s.a.") w związku z art. 7b ustawy z dnia 14 czerwca 1960 r. Kodeks postępowania administracyjnego (Dz.U. z 2021 r. poz. 735 ze zm., dalej: "k.p.a.") poprzez uznanie przez WSA, że organ zasadnie zaniechał zwrócenia się do Komisji Nadzoru Finansowego jako organu właściwego w sprawach obowiązków B. i S. (dalej: "S.") związanych m.in. z badaniem zdolności kredytowej i analizy ryzyka kredytowego, w zakresie wykorzystywania do realizacji tych obowiązków danych, w tym danych osobowych o niezrealizowanych zapytaniach kredytowych. Wyjaśnienie z Komisją Nadzoru Finansowego zakresu obowiązków potwierdziłoby, że powyższe dane są niezbędne do ich realizacji;
2) prawa materialnego, tj.:
a) art. 6 ust. 1 lit. c RODO w zw. z art. 105 ust. 4 Prawo bankowe, polegające na jego błędnej wykładni przez WSA i przyjęciu, że Skarżący kasacyjnie nie legitymuje się przesłanką przetwarzania danych wynikającą z art. 6 ust. 1 lit. c RODO w związku z art. 105 ust. 4 Prawo bankowe, podczas gdy przepisy te nakładają na Skarżącego kasacyjnie obowiązek przetwarzania danych osobowych, w tym danych z zapytań kredytowych przekazanych przez banki i inne instytucje wymienione w art. 105 ust. 4 Prawa bankowego na zasadzie wzajemności i w zakresie, w jakim informacje te potrzebne są bankom i innym instytucjom ustawowo upoważnionym do udzielania kredytów, w tym spółdzielczym kasom oszczędnościowo-kredytowym do wykonywania czynności bankowych, w tym oceny zdolności kredytowej i analizy ryzyka kredytowego oraz innym instytucjom (instytucjom pożyczkowym) w zakresie niezbędnym do oceny zdolności kredytowej i analizy ryzyka kredytowego;
b) art. 6 ust. 1 lit. f RODO w zw. z art. 1 ust. 2 pkt 1 oraz art. 2 ustawy z dnia 21 lipca 2006 r. o nadzorze nad rynkiem finansowym (Dz.U. z 2022 r. poz. 660, dalej: "ustawa o nadzorze nad rynkiem finansowym") w związku z art. 137 ust. 1 pkt 5 Prawa Bankowego w związku z Rekomendacjami S, W i T Komisji Nadzoru Finansowego, polegające na jego niewłaściwym zastosowaniu i przyjęciu przez WSA, iż Skarżący kasacyjnie nie legitymuje się przesłanką przetwarzania danych wynikającą z art. 6 ust. 1 lit. f RODO w zw. z art. 1 ust. 2 pkt 1 oraz art. 2 ustawy o nadzorze nad rynkiem finansowym w związku z art. 137 ust. 1 pkt 5 Prawa Bankowego w związku z Rekomendacjami S, W i T Komisji Nadzoru Finansowego, podczas gdy przepisy te nakładają na banki i inne instytucje upoważnione do udzielania kredytów, a w konsekwencji na B., jako instytucję gromadzącą dane służące do oceny zdolności kredytowej oraz budującą modele scoringowe służące bankom, określone wymagania, które następnie podlegają egzekwowaniu przez Komisję Nadzoru Finansowego na podstawie bezwzględnie obowiązujących przepisów prawa;
c) art. 6 ust. 1 lit. c RODO w związku z art. 105 ust. 4 pkt 1, art. 5 ust. 1 pkt 3 oraz art. 70 ust. 1 Prawa bankowego, polegające na jego niewłaściwym zastosowaniu przez WSA i przyjęciu, że skarżący kasacyjnie nie legitymuje się przesłanką przetwarzania danych wynikającą z art. 6 ust. 1 lit. c RODO w związku z art. 105 ust. 4 pkt 1 Prawa bankowego, podczas gdy skarżący kasacyjnie wykazuje cel przetwarzania danych osobowych polegający na dostarczaniu bankom informacji (w tym ocen i modeli scoringowych) niezbędnych do wykonywania czynności bankowych (art. 5 ust. 1 pkt 3 Prawa bankowego), w tym udzielania kredytów, przy czym ocena zdolności kredytowej jest obowiązkiem banków (art. 70 ust. Prawa bankowego);
d) art. 6 ust. 1 lit. c RODO w związku z art. 105a ust. 1-1c Prawa bankowego, polegające na jego błędnej wykładni przez WSA i przyjęciu, że skarżący kasacyjnie nie legitymuje się przesłanką przetwarzania danych wynikającą z art. 6 ust. 1 lit. c RODO w związku z art. 105 a ust. 1-1c Prawa bankowego, podczas gdy Skarżący kasacyjnie wykazuje cel przetwarzania danych osobowych polegający na przekazywaniu bankom i innym instytucjom ustawowo upoważnionym do udzielania kredytów, w tym S. będącej stroną tego postępowania, informacji niezbędnych do oceny zdolności kredytowej i analizy ryzyka kredytowego;
e) art. 6 ust. 1 lit. c RODO w związku z art. 144 ust. 1 lit. d, art. 145 ust. 1, art. 170 ust. 3 lit a, art. 171 ust. 2 i art. 179 ust 1 lit. a Rozporządzenia Parlamentu Europejskiego i rady nr 575/2013 z dnia 26 czerwca 2013 r. w sprawie wymogów ostrożnościowych dla instytucji kredytowych i firm inwestycyjnych, zmieniające rozporządzenie (UE) nr 648/2012 (Dz. Urz. UE L 2013 Nr 176, str. 1, dalej jako: "CRR"), polegające na jego niewłaściwym zastosowaniu przez WSA i przyjęciu, że skarżący kasacyjnie nie legitymuje się przesłanką przetwarzania danych wynikającą z art. 6 ust. 1 lit. c RODO w związku z powyższymi przepisami CRR wskazującymi na określone obowiązki w zakresie wymogów ostrożnościowych;
f) art. 6 ust. 1 lit. c RODO w związku z art. 70a ust. 1 i 2 Prawa bankowego, polegające na jego niewłaściwym zastosowaniu przez WSA i przyjęciu, że skarżący kasacyjnie nie legitymuje się podstawą prawną przetwarzania danych osobowych, podczas gdy przepisy te nakładają na banki i inne instytucje ustawowo upoważnione do udzielania kredytów obowiązek wyjaśniania dokonanej oceny zdolności kredytowej, a wyjaśnienie to musi obejmować dane przetwarzane i dostarczane przez Skarżącego kasacyjnie;
g) art. 6 ust. 1 lit. c RODO w związku z art. 106d Prawa bankowego, polegające na jego niewłaściwym zastosowaniu przez WSA i przyjęciu, że skarżący kasacyjnie nie legitymuje się przesłanką przetwarzania danych wynikającą z art. 6 ust. 1 lit. c RODO w związku z art. 106d Prawa bankowego, podczas gdy skarżący kasacyjnie wykazuje cel przetwarzania danych osobowych polegający na analizie danych podanych we wnioskach kredytowych i analizie zapytań kredytowych złożonych w B. w określonym czasie w celu wykrycia nieścisłości oraz powzięcia informacji mogących stanowić o uzasadnionym podejrzeniu popełnienia przestępstw, o których mowa w art. 106d Prawa bankowego;
h) art. 6 ust. 1 lit. f RODO w związku z art. 117 § 2 i 21, 118 i 119 ustawy z dnia 23 kwietnia 1964 r. Kodeks cywilny (Dz.U. z 2020 r. poz. 1740, dalej: "Kodeks cywilny") polegające na jego błędnej wykładni przez WSA i przyjęciu, że przechowywanie danych przez okres przedawnienia roszczeń, również w przypadku, gdy ani administrator ani osoba, której dane dotyczą nie zgłosiła jeszcze roszczenia, nie stanowi prawnie uzasadnionego interesu skarżącego kasacyjnie oraz S. w rozumieniu art. 6 ust. 1 lit. f RODO, podczas gdy przepisy te uprawniają skarżącego kasacyjnie i S. do przetwarzania danych osobowych w celu ustalenia, dochodzenia i ochrony przed roszczeniami.
W związku z powyższym wniesiono o uchylenie zaskarżonego wyroku w całości, rozpoznanie skargi oraz uchylenie decyzji organu z 26 stycznia 2021 r.; względnie o uchylenie zaskarżonego wyroku w całości i przekazanie sprawy do ponownego rozpoznania Wojewódzkiemu Sądowi Administracyjnemu w Warszawie oraz zasądzenie na rzecz skarżącej kasacyjnie kosztów postępowania. Ponadto, wniesiono o rozpoznanie sprawy na rozprawie.
W odpowiedzi na skargę kasacyjną organ wniósł o jej oddalenie.
Naczelny Sąd Administracyjny zważył, co następuje:
Stosownie do art. 183 § 1 p.p.s.a., Naczelny Sąd Administracyjny rozpoznaje sprawę w granicach skargi kasacyjnej, biorąc pod rozwagę z urzędu jedynie nieważność postępowania. W rozpoznawanej sprawie nie zachodzi żadna
z okoliczności skutkujących nieważnością postępowania, o jakich mowa w art. 183 § 2 p.p.s.a. i nie zachodzi żadna z przesłanek, o których mowa w art. 189 p.p.s.a., które Naczelny Sąd Administracyjny rozważa z urzędu dokonując kontroli zaskarżonego skargą kasacyjną wyroku. W tych okolicznościach w sprawie badaniu podlegały wyłącznie zarzuty podniesione w skardze kasacyjnej na uzasadnienie przytoczonych podstaw kasacyjnych.
Skarga kasacyjna jest niezasadna i jako taka podlega oddaleniu. Przed przystąpieniem do merytorycznej oceny podniesionych w niej zarzutów należy podać, że zagadnienia prawne powstałe na analogicznych okolicznościach faktycznych były przedmiotem rozważań Naczelnego Sądu Administracyjnego w sprawie zakończonej wyrokiem z 10 lipca 2025 roku, sygn. III OSK 165/22. Sformułowane w uzasadnieniu tego wyroku oceny prawne skład orzekający w niniejszej sprawie w pełni podziela.
W kwestii układu faktycznego sprawy trzeba przypomnieć, że przedmiotem postępowania prowadzonego w niniejszej sprawie przez Prezesa UODO było przetwarzanie danych osobowych pozyskanych przez S. i B. w związku ze złożonymi przez uczestniczkę zapytaniami kredytowymi pomimo tego, że ostatecznie nie doszło do zawarcia umowy kredytowej. W związku ze złożonymi wnioskami
o zawarcie umów kredytowych dane osobowe zostały pozyskane bezpośrednio od uczestniczki i były za jej zgodą przetwarzane w celu ich analizy zarówno przez S., jak i na podstawie art. 105 ust. 4 oraz 105a ust. 1 ustawy Prawo bankowe przez B. Zakres przetwarzania danych osobowych osoby składającej wniosek o zawarcie umów kredytowych przez S. i B. nie jest sporny. Istota problemu w niniejszej sprawie odnosi się do pytania, czy pomimo tego, że do zawarcia umowy kredytowej nie doszło S. i B. mogły nadal przetwarzać dane osobowe wnioskodawcy. Wymaga to odpowiedzi na pytanie, czy administrator danych (S., B.) przetwarza pozyskane dane osobowe w sposób prawidłowy i zgodny z przepisami o ochronie danych osobowych. Zgodnie z art. 5 ust. 1 i 2 RODO dane osobowe muszą być:
a) przetwarzane zgodnie z prawem, rzetelnie i w sposób przejrzysty dla osoby, której dane dotyczą ("zgodność z prawem, rzetelność i przejrzystość");
b) zbierane w konkretnych, wyraźnych i prawnie uzasadnionych celach i nieprzetwarzane dalej w sposób niezgodny z tymi celami; dalsze przetwarzanie do celów archiwalnych w interesie publicznym, do celów badań naukowych lub historycznych lub do celów statystycznych nie jest uznawane w myśl art. 89 ust. 1 za niezgodne z pierwotnymi celami ("ograniczenie celu");
c) adekwatne, stosowne oraz ograniczone do tego, co niezbędne do celów, w których są przetwarzane ("minimalizacja danych");
d) prawidłowe i w razie potrzeby uaktualniane; należy podjąć wszelkie rozsądne działania, aby dane osobowe, które są nieprawidłowe w świetle celów ich przetwarzania, zostały niezwłocznie usunięte lub sprostowane ("prawidłowość");
e) przechowywane w formie umożliwiającej identyfikację osoby, której dane dotyczą, przez okres nie dłuższy, niż jest to niezbędne do celów, w których dane te są przetwarzane; dane osobowe można przechowywać przez okres dłuższy, o ile będą one przetwarzane wyłącznie do celów archiwalnych w interesie publicznym, do celów badań naukowych lub historycznych lub do celów statystycznych na mocy art. 89 ust. 1, z zastrzeżeniem że wdrożone zostaną odpowiednie środki techniczne i organizacyjne wymagane na mocy niniejszego rozporządzenia w celu ochrony praw i wolności osób, których dane dotyczą ("ograniczenie przechowywania");
f) przetwarzane w sposób zapewniający odpowiednie bezpieczeństwo danych osobowych, w tym ochronę przed niedozwolonym lub niezgodnym z prawem przetwarzaniem oraz przypadkową utratą, zniszczeniem lub uszkodzeniem, za pomocą odpowiednich środków technicznych lub organizacyjnych ("integralność i poufność").
2. Administrator jest odpowiedzialny za przestrzeganie przepisów ust. 1 i musi być w stanie wykazać ich przestrzeganie ("rozliczalność").
Zatem zgodnie z zasadą rozliczalności (art. 5 ust. 2 RODO) to na administratorze danych spoczywa obowiązek wykazania, że zarówno zakres, jak i sposób przetwarzania danych osobowych jest adekwatny do obranego przez niego celu i warunków jego realizacji - zasada ograniczonego celu przetwarzania (art. 5 ust. 1 lit. b RODO) i zasady minimalizacji przetwarzania danych (art. 5 ust. 1 lit. c RODO).
Podkreślić należy, że Prezes UODO jest wyspecjalizowanym organem
w sprawach ochrony danych osobowych, który ma status i kompetencje organu nadzorczego określone w przepisach RODO. Z tego względu Prezes UODO jest uprawniony do samodzielnego dokonywania interpretacji przepisów prawa w zakresie dotyczącym ochrony danych osobowych. W sprawie niniejszej Prezes UODO nie miał zatem obowiązku zwracania się do KNF ani w zakresie dokonywanych ustaleń stanu faktycznego, ani w zakresie wyjaśnień stanu prawnego. Jedynym zadaniem i celem Prezesa UODO jest kontrola, czy pozyskane przez administratora dane osobowe są przetwarzane w sposób prawidłowy i zgodny z przepisami o ich ochronie, tj. w sposób adekwatny do celu jakiemu mają one służyć oraz warunkom jego realizacji, a nie innym celom i potrzebom systemu bankowego. W tym stanie rzeczy nie można organowi zarzucać, że naruszyła art. 7b k.p.a., albowiem nie współdziałał z Komisją Nadzoru Finansowego w celu ustalenia normatywnego zakresu obowiązków nałożonych na B. Prezes UODO weryfikuje zgodność z prawem przetwarzania danych osobowych i w zakresie koniecznym do ustalenia wszystkich istotnych w sprawie okoliczności oraz ich kwalifikacji prawnej nie miał obowiązku współdziałać z jakimkolwiek innym organem.
Składając wniosek o zawarcie umowy kredytowej wnioskodawczyni upoważniła S. do przetwarzania jej danych osobowych w tym zakresie, a także do zasięgania informacji o ewentualnych jego zobowiązaniach w instytucjach utworzonych na podstawie art. 105 ust. 4 ustawy Prawo bankowe. Powyższe jest niezbędne do prawidłowej analizy takiego wniosku oraz określenia zdolności kredytowej ze względu na szereg związanych z tym zmiennych (np. wysokości osiąganych dochodów, już posiadanych kredytów i terminowości ich spłacania, rodzaju kredytu o jaki ubiega się wnioskodawca). Jak wynika bowiem z art. 70 ust. 1 Prawa bankowego bank uzależnia przyznanie kredytu od zdolności kredytowej kredytobiorcy. Przez zdolność kredytową rozumie się zdolność do spłaty zaciągniętego kredytu wraz z odsetkami w terminach określonych w umowie. Kredytobiorca jest obowiązany przedłożyć na żądanie banku dokumenty i informacje niezbędne do dokonania oceny tej zdolności. Co więcej banki i inne instytucje ustawowo upoważnione do udzielania kredytów na wniosek osoby fizycznej, prawnej lub jednostki organizacyjnej niemającej osobowości prawnej, o ile posiada zdolność prawną, ubiegającej się o kredyt przekazują, w formie pisemnej, wyjaśnienie dotyczące dokonanej przez siebie oceny zdolności kredytowej wnioskującego (art. 70a ust.1 Prawa bankowego).
Zgodnie z postanowieniami art. 6 ust. 1 RODO "[p]rzetwarzanie jest zgodne z prawem wyłącznie w przypadkach, gdy - i w takim zakresie, w jakim - spełniony jest co najmniej jeden z poniższych warunków:
- lit. c przetwarzanie jest niezbędne do wypełnienia obowiązku prawnego ciążącego na administratorze,
- lit. f - przetwarzanie jest niezbędne do celów wynikających z prawnie uzasadnionych interesów realizowanych przez administratora lub przez stronę trzecią, z wyjątkiem sytuacji, w których nadrzędny charakter wobec tych interesów mają interesy lub podstawowe prawa i wolności osoby, której dane dotyczą, wymagające ochrony danych osobowych, w szczególności gdy osoba, której dane dotyczą, jest dzieckiem".
Interpretacja użytego w art. 6 ust. 1 lit. c RODO wyrażenia językowego "obowiązku prawnego", który ciążył na administratorze, wymaga takiego przyjęcia jego rozumienia, zgodnie z którym obowiązkiem prawnym jest tylko taki obowiązek, który wynika wyraźnie z przepisów ustawy lub z przepisów do ustawy wykonawczych. Chodzić zatem musi o przepis prawa, który na gruncie rozumienia uzyskanego w drodze zastosowania dyrektyw wykładni językowej prowadzić będzie do rezultatu, zgodnie z którym określony przepis ustawowy lub wykonawczy nakładać będzie na konkretny podmiot prawo, a zarazem obowiązek przetwarzania sprecyzowanych danych osobowych, określając zakres, okoliczności, warunki i czas przetwarzania. Na gruncie rozpoznawanej sprawy wskazane wyżej przepisy prawa bankowego przewidują w art. 105 ust. 4 Prawa bankowego podmiot, który może przetwarzać dane osobowe uzyskiwane w trakcie świadczenia usług bankowych, zaś w art. 105a ust. 1-6 Prawa bankowego regulują szczegółowe warunki, zakres, okoliczności i czas przetwarzania tych danych osobowych. Przepisy ust. 1 i 1a wskazują cele, którym może służyć przetwarzanie danych osobowych, przepis ust. 1b kategorie danych osobowych, które mogą być przetwarzane, przepis ust. 2 – przesłankę legalizującą przetwarzanie danych w postaci zgody osoby fizycznej, przepis ust. 3 – warunki przetwarzania danych osobowych bez zgody osoby fizycznej, przepis ust. 4 – warunki i cele przetwarzania danych osobowych bez zgody osoby fizycznej po wygaśnięciu zobowiązania, przepis ust. 5 – czas przetwarzania danych osobowych, a przepis ust. 6 – zakres przetwarzanych danych obejmujący dane o osobie fizycznej oraz o treści zobowiązania.
Istotne jest podkreślenie, iż przepisy te odnoszą się wyłącznie do przetwarzania danych osobowych klientów banku, z którymi doszło do nawiązania relacji prawnej o charakterze zobowiązaniowym. Interpretacja tych przepisów z zastosowaniem reguł wykładni językowej prowadzić musi do wniosku, iż nie jest dopuszczalne przetwarzanie danych osobowych klientów banków, z którymi nie doszło do nawiązania przez bank stosunku zobowiązaniowego. Bank ani podmiot,
o którym mowa w art. 105 ust. 4 Prawa bankowego nie ma "obowiązku prawnego"
w rozumieniu art. 6 ust. 1 lit. c RODO przetwarzania danych osobowych klienta banku, z którym nie doszło do nawiązania relacji prawnej zobowiązaniowej, gdyż przepisy art. 105a ust. 1-6 Prawa bankowego nie zawierają upoważnienia dla administratora do przetwarzania danych osobowych takiego klienta, ograniczając swój zakres wyłącznie do klientów, którzy zawarli umowę z bankiem.
Natomiast zastosowanie art. 6 ust. 1 lit. f RODO jest uzasadnione, gdy łącznie spełnione są następujące przesłanki:
1) po stronie administratora istnieją cele, dla osiągnięcia których przetwarzanie danych osobowych jest niezbędne;
2) cele te wynikają z "prawnie uzasadnionych interesów" realizowanych przez administratora;
3) "prawnie uzasadnione interesy" realizowane przez administratora mają charakter nadrzędny wobec interesów lub podstawowych praw i wolności osoby, której dotyczą przetwarzane dane.
Jak podał Naczelny Sąd Administracyjny w wyroku z 20 lutego 2024 roku, III OSK 2700/212 poprzez cel, dla osiągnięcia którego przetwarzanie danych osobowych jest niezbędne, należy rozumieć stan rzeczy, układ rzeczywistości, do którego dąży administrator poprzez to przetwarzanie. "Niezbędność" przetwarzania danych osobowych do osiągnięcia obranego przez administratora celu sprowadza się do ustalenia, że bez tego przetwarzania nie da się go zrealizować. Chodzi więc o wykazanie logicznie uzasadnionego i weryfikowalnego związku przyczynowo-skutkowego pomiędzy przetwarzaniem danych osobowych a realizacją stanu rzeczy, do którego dąży administrator. Ustalenie "niezbędności" przetwarzania danych osobowych dla celów administratora musi opierać się na przesłankach konkretnych, uwzględniających możliwie najszersze spektrum uwarunkowań jego realizacji. Przetwarzanie danych osobowych na podstawie art. 6 ust. 1 lit. f RODO wymaga od administratora wykazania, że jest to konieczne z uwagi na charakter celu, okoliczności faktyczne i prawne jego realizacji oraz relacje podmiotowe pomiędzy administratorem a osobą, której te dane dotyczą. Zgodnie z zasadą rozliczalności (art. 5 ust. 2 RODO) administrator będzie zobowiązany wykazać, że zarówno zakres, jak i sposób przetwarzania danych osobowych jest adekwatny do obranego przez niego celu i warunków jego realizacji - zasada ograniczonego celu przetwarzania (art. 5 ust. 1 lit. b RODO) i zasada minimalizacji przetwarzanych danych (art. 5 ust. 1 lit. c RODO).
Kolejnym warunkiem przetwarzania danych osobowych na podstawie art. 6 ust. 1 lit. f RODO jest ustalenie, że cel, dla osiągnięcia którego przetwarzanie to jest niezbędne "wynika z prawnie uzasadnionych interesów realizowanych przez administratora (lub przez stronę trzecią)". Desygnatami "prawnie uzasadnionych interesów administratora" nie są przy tym wyłącznie te interesy, które ściśle wiążą się z realizacją praw i obowiązków wynikających z przepisów prawa. Takie wąskie rozumienie tego pojęcia prowadziłoby bowiem do częściowego zdublowania przesłanki przetwarzania danych osobowych z art. 6 ust. 1 lit. f z przesłanką określoną w art. 6 ust. 1 lit. c RODO; art. 6 ust. 1 lit. c RODO legitymizuje bowiem przetwarzanie danych osobowych, jeżeli "jest niezbędne do wypełnienia obowiązku prawnego ciążącego na administratorze". Prawnie uzasadniony interes administratora należy więc rozumieć jako interes prawnie dopuszczony, niesprzeczny z porządkiem prawnym.
Do prawnie uzasadnionych interesów administratora danych osobowych prawodawca unijny odwołał się w motywie 47 preambuły RODO, w którym stwierdził, że "[t]aki prawnie uzasadniony interes może istnieć na przykład w przypadkach, gdy zachodzi istotny i odpowiedni rodzaj powiązania między osobą, której dane dotyczą, a administratorem, na przykład gdy osoba, której dane dotyczą, jest klientem administratora lub działa na jego rzecz. Aby stwierdzić istnienie prawnie uzasadnionego interesu, należałoby w każdym przypadku przeprowadzić dokładną ocenę, w tym ocenę tego, czy w czasie i w kontekście, w którym zbierane są dane osobowe, osoba, której dane dotyczą, ma rozsądne przesłanki by spodziewać się, że może nastąpić przetwarzanie danych w tym celu".
Treść motywu 47 preambuły RODO nie wskazuje więc konkretnie, jakie warunki powinny zostać spełnione, aby można było stwierdzić, że administrator przetwarza dane osobowe zgodnie ze swoimi prawnie uzasadnionymi interesami. Podano jedynie przykładowo, iż może chodzić o szczególnego rodzaju relację pomiędzy administratorem a osobą, której dane są przetwarzane. W każdym konkretnym układzie należy rozstrzygnąć, czy treść i charakter tej relacji w sposób rozsądny uzasadnia takie przetwarzanie w określonym zakresie i czasie. Wyeksponować trzeba, że w motywie 47 prawodawca unijny w ogóle nie powiązał "prawnie uzasadnionych interesów" administratora z porządkiem prawnym. Akcent położył natomiast na charakter relacji łączącej administratora z osobą, której dane są przetwarzane, jej kontekstowość oraz wynikającą z jej indywidualnych uwarunkowań racjonalnie uzasadnioną potrzebę tego przetwarzania.
Motyw 47 preambuły RODO w kontekście rekonstrukcji zakresu stosowania
art. 6 ust. 1 lit. f RODO przesądza, że dopuszczalność przetwarzania danych osobowych na tej podstawie powinna być oceniana kauzalnie, z uwzględnieniem, że zasadnicze znaczenie w tym przedmiocie, powinny mieć uwarunkowania konkretnej relacji pomiędzy administratorem, a osobą której dotyczą przetwarzane dane. Porządek prawny - w tej przestrzeni formułowania ocen - należy traktować jako granicę dopuszczalności prawnie uzasadnionego interesu administratora, na którym opiera przetwarzanie danych osobowych. Porządek prawny może więc być przeszkodą do przetwarzania danych osobowych na podstawie art. 6 ust. 1 lit. f RODO, jeżeli interesu administratora nie da się z nim pogodzić - interes administratora będzie sprzeczny z porządkiem prawnym, a więc nie będzie prawnie uzasadniony. Porządek prawny nie stanowi ścisłej podstawy uzasadnionego interesu administratora do przetwarzania danych osobowych na podstawie art. 6 ust. 1 lit. f RODO, wyznacza natomiast granicę tego przetwarzania.
Odwołując się do przepisów ustawy Prawo bankowe, należy podnieść, że przedmiot regulacji – przetwarzanie objętych tajemnicą bankową danych osób fizycznych – sytuował art. 105a jako przepis szczególny w stosunku do przepisów RODO, choć z istotnymi zastrzeżeniami wynikającymi z charakteru prawnego RODO. Mianowicie ogólny zasięg i bezpośrednia stosowalność RODO wyłącza jego transpozycję do prawa krajowego z wyjątkiem zakresu, który wynika wprost z samego rozporządzenia. Ponadto z mocy art. 4 ust. 3 Traktatu o Unii Europejskiej wszelkie przepisy krajowe wyłączające bądź osłabiające moc uprawnień nadanych jednostkom w rozporządzeniu – także w relacjach horyzontalnych, tj. pomiędzy jednostkami – muszą być pomijane przez organy krajowe w procesie stosowania prawa. Zatem norma zawarta w art. 105a Prawa bankowego ma charakter semiimperatywny wobec norm RODO. Jeżeli zakresy normowania i obowiązywania RODO i art. 105a Prawa bankowego pokrywają się, art. 105a znajduje zastosowanie tylko wtedy, gdy jest korzystniejszy dla osoby fizycznej, niż RODO. Ponadto art. 105a Prawa bankowego znajduje zastosowanie także w kwestiach nieuregulowanych w RODO; jednak w takim wypadku warunkiem zastosowania art. 105a Prawa bankowego jest zachowanie spójności aksjologicznej i prakseologicznej z RODO (zob. w tej materii: Lechosław Kociucki [w:] J. M. Kondek, K. Królikowska, B. Bajor, Prawo bankowe. Komentarz do przepisów cywilnoprawnych, Warszawa 2020; komentarz do art. 105(a); System Informacji Prawnej LEX/el).
Zgodnie z art. 105a ust. 1 Prawa bankowego przetwarzanie przez banki, inne instytucje ustawowo upoważnione do udzielania kredytów oraz instytucje utworzone na podstawie art. 105 ust. 4, informacji stanowiących tajemnicę bankową w zakresie dotyczącym osób fizycznych może być wykonywane (...) w celu oceny zdolności kredytowej i analizy ryzyka kredytowego.
Stosownie zaś do art. 105a ust. 2 Prawa bankowego, z zastrzeżeniem ust. 3, instytucje, o których mowa w ust. 1, mogą przetwarzać informacje stanowiące tajemnicę bankową oraz informacje udostępnione przez instytucje pożyczkowe oraz podmioty, o których mowa w art. 59d ustawy z dnia 12 maja 2011 r. o kredycie konsumenckim, w zakresie dotyczącym osób fizycznych po wygaśnięciu zobowiązania wynikającego z umowy zawartej z bankiem, inną instytucją ustawowo upoważnioną do udzielania kredytów, instytucją pożyczkową lub podmiotem, o którym mowa w art. 59d ustawy z dnia 12 maja 2011 r. o kredycie konsumenckim, pod warunkiem uzyskania pisemnej zgody osoby, której informacje te dotyczą, z zastrzeżeniem ust. 2a. Zgoda ta może być w każdym czasie odwołana.
Artykuł 105a ust. 3 Prawa bankowego stanowi natomiast, że banki, instytucje oraz podmioty, o których mowa w ust. 1, mogą przetwarzać informacje stanowiące tajemnicę bankową i informacje udostępnione przez instytucje pożyczkowe oraz podmioty, o których mowa w art. 59d ustawy z dnia 12 maja 2011 r. o kredycie konsumenckim, dotyczące osób fizycznych po wygaśnięciu zobowiązania wynikającego z umowy zawartej z bankiem, inną instytucją ustawowo upoważnioną do udzielania kredytów, instytucją pożyczkową lub podmiotem, o którym mowa w art. 59d ustawy z dnia 12 maja 2011 r. o kredycie konsumenckim, bez zgody osoby, której informacje dotyczą, gdy osoba ta nie wykonała zobowiązania lub dopuściła się zwłoki powyżej 60 dni w spełnieniu świadczenia wynikającego z umowy zawartej z bankiem, inną instytucją ustawowo upoważnioną do udzielania kredytów, instytucją pożyczkową lub podmiotem, o którym mowa w art. 59d ustawy z dnia 12 maja 2011 r. o kredycie konsumenckim, a po zaistnieniu tych okoliczności upłynęło co najmniej 30 dni od poinformowania tej osoby przez bank, inną instytucję ustawowo upoważnioną do udzielania kredytów, instytucję pożyczkową albo podmiot, o którym mowa w art. 59d ustawy z dnia 12 maja 2011 r. o kredycie konsumenckim, o zamiarze przetwarzania dotyczących jej tych informacji, bez jej zgody.
Według art. 105a ust. 4 Prawa bankowego, banki oraz instytucje, o których mowa w art. 105 ust. 4, mogą przetwarzać stanowiące tajemnicę bankową informacje dotyczące osoby fizycznej po wygaśnięciu zobowiązania wynikającego z umowy zawartej z bankiem lub inną instytucją ustawowo upoważnioną do udzielania kredytów bez zgody osoby, której informacje dotyczą, do celów stosowania metod wewnętrznych oraz innych metod i modeli, o których mowa w części trzeciej rozporządzenia nr 575/2013. Natomiast ust. 5 art. 105a Prawa bankowego przewiduje, że przetwarzanie informacji stanowiących tajemnicę bankową w przypadkach, o których mowa w ust. 3, może być wykonywane przez okres nie dłuższy niż 5 lat od dnia wygaśnięcia zobowiązania, a w przypadku, o którym mowa w ust. 4, przez okres 12 lat od dnia wygaśnięcia zobowiązania. Zakres przetwarzanych informacji, o których mowa w ust. 3 i 4, może obejmować dane dotyczące osoby fizycznej lub dane dotyczące zobowiązania (art. 105a ust. 6).
Z cytowanych przepisów wynika, że przesłanki zawarte w art. 105a Prawa bankowego dotyczą przetwarzania informacji objętych tajemnicą bankową w okresie przed powstaniem zobowiązania, w trakcie jego trwania oraz po wygaśnięciu zobowiązania. Zdaniem Naczelnego Sądu Administracyjnego wszelkie regulacje znoszące ochronę danych osobowych muszą być odczytywane i wykładane ściśle, z uwzględnieniem funkcji jakiej mają służyć. Zatem w sytuacji, gdy w następstwie złożenia wniosku kredytowego nie dochodzi do zawarcia umowy kredytowej brak jest ustawowych przesłanek legalizujących dalsze przetwarzanie danych osobowych wnioskującego o zawarcie i wykonanie umowy produktowej w zakresie zapytania kredytowego przez S., a następczo B. Brak jest również uzasadnienia dla przyjęcia, że S. jest uprawniony do przetwarzania danych osobowych w związku z koniecznością ewentualnego wypełnienia obowiązku wynikającego z art. 70a ust. 1 i ust. 2 Prawa bankowego. Wnioskodawczyni w niniejszej sprawie wykazała w sposób jednoznaczny wolę usunięcia danych, a zatem przyjąć należy, że nie jest zainteresowana realizacją prawa do wyjaśnienia dotyczącego dokonanej oceny zdolności kredytowej, w myśl art. 70a ust. 1 i 2 Prawa bankowego.
Prawidłowe, co do zasady - zdaniem Naczelnego Sądu Administracyjnego - jest zatem stanowisko Prezesa UODO, że o ile samo pozyskanie danych osobowych wnioskodawczyni przez S., a następnie udostępnienie ich do B. w zakresie zapytania kredytowego spełnia warunki legalnego przetwarzania danych osobowych, o tyle już przetwarzanie tych danych osobowych przez S. lub B. po dokonaniu jej weryfikacji zdolności kredytowej i nie zawarciu umowy kredytowej (ze względu na brak zdolności kredytowej, przedstawione przez bank kredytobiorcy warunki takiego kredytu, czy też z jakichkolwiek innych powodów) nie ma podstaw prawnych, a tym samym narusza zasadę wynikającą z art. 5 ust.1 lit. e RODO, tj. zasadę ograniczonego przechowywania.
Zdaniem Naczelnego Sądu Administracyjnego skoro nie doszło do zawarcia umowy kredytowej nie może być wątpliwości, że ocena zdolności kredytowej i analiza ryzyka kredytowego zostały dokonane (zrealizowane). Cel przetwarzania danych, dla którego zostały one zgromadzone w zapytaniach kredytowych, został tym samym osiągnięty. Odpadła przesłanka legalizująca dalsze przetwarzanie danych osobowych wnioskodawczyni przez S. oraz B., które to przetwarzanie miało na celu ocenę zdolności kredytowej i analizę ryzyka kredytowego (przed zawarciem umowy). Pomiędzy S. a wnioskodawczynią nie nawiązał się żaden stosunek zobowiązaniowy, który stosownie do art. 105a ust. 1-5 Prawa bankowego dawałby podstawę do dalszego przetwarzania jej danych osobowych zarówno przez S., jak i B. Nie budzi wątpliwości, że ocena zdolności kredytowej i ryzyka kredytowego ma charakter czynności wstępnych przed zawarciem umowy przez S. Dalsze przetwarzanie danych (uzyskanych pierwotnie wyłącznie w celu oceny zdolności kredytowej i analizy ryzyka kredytowego) w przypadku braku zawarcia stosownej umowy, pozostaje w oderwaniu od celu, dla którego dane zostały zebrane.
Podkreślenia wymaga, że niewątpliwie nie mamy w sprawie do czynienia z sytuacją, w której nawiązano stosunek zobowiązaniowy i następnie dane przetwarzane są (w tym także udostępniane) przez administratora nie tylko w celu zasadniczym, tj. realizacji zawartej z klientem umowy, ale także w innych celach, które powstały w trakcie trwania stosunku zobowiązaniowego i które w ocenie administratora powinny być, czy mogą być – w związku z trwającym stosunkiem prawnym - kwalifikowane jako jego "prawnie uzasadnione interesy" na gruncie RODO (art. 6 ust. 1 lit. f RODO). Sprawa przedmiotowa dotyczy przetwarzania danych osoby fizycznej, z którą Bank - w danym momencie - nie zawarł umowy.
W ocenie Naczelnego Sądu Administracyjnego podstawy do dalszego przetwarzania danych osobowych wnioskodawczyni na przyszłość nie stanowią też inne cele wskazywane przez B. w skardze kasacyjnej. W okolicznościach faktycznych niniejszej sprawy dla S., jak też B. nie jest to żadna z przesłanek z art. 6 ust. 1 lit. a - f RODO. W szczególności nie stanowi takiej przesłanki art. 6 ust. 1 lit. c RODO. Przepis ten dotyczy bowiem sytuacji, gdy przetwarzanie jest niezbędne do wypełnienia obowiązku prawnego administratora danych, a nie realizacji uprawnienia, o którym mowa w art. 105 ust. 4 Prawa bankowego. Podkreślenia wymaga, że art. 105 ust. 4 Prawa bankowego jest przepisem o charakterze ogólnym, który stanowi o możliwości utworzenia wspólnie z bankowymi izbami gospodarczymi, instytucji upoważnionych do gromadzenia, przetwarzania i udostępniania danych. Przepis ten nie daje podstaw do nieograniczonego przetwarzania wszelkich danych osobowych przez utworzone instytucje. Ponadto przepis art. 105 ust. 4 Prawa bankowego nie stanowi o dopuszczalności przetwarzania danych osobowych dotyczących wniosków kredytowych w sytuacji, gdy nie doszło do zawarcia umowy z Bankiem - S. Zasady przetwarzania danych objętych tajemnicą bankową określa art. 105a Prawa bankowego. Na gruncie tego przepisu należy oceniać zatem dopuszczalność przetwarzania poszczególnych danych osobowych w określonych ściśle celach. Nadto przepis art. 105 ust. 4 ww. ustawy nie jest przepisem samodzielnie wprowadzającym kolejny podmiot, który ma dostęp do danych stanowiących tajemnicę bankową.
Wskazać również należy na okoliczności, w jakich doszło do nowelizacji art. 105 ustawy – Prawo bankowe dokonanej mocą ustawy z dnia 1 kwietnia 2004 r. o zmianie ustawy – Prawo bankowe oraz o zmianie innych ustaw (Dz. U. z 2004 r., Nr 91, poz. 870). Fundamentalne znaczenie ma tutaj druk nr 2513-A Sejmu Rzeczypospolitej Polskiej IV kadencji (2001 – 2005), będący dodatkowym sprawozdaniem Komisji Europejskiej o rządowym projekcie ustawy o zmianie ustawy - Prawo bankowe oraz o zmianie innych ustaw (druki nr 2116 i 2513). Druk ten zawiera poprawkę nr 17 przewidującą w art. 105 po ust. 4d dodanie ust. 4e oraz 4f. Proponowany przepis ust. 4e miał mieć następujące brzmienie "Instytucje, o których mowa w ust. 4 mogą przetwarzać dane osobowe klientów banków przez okres 5 lat od dnia wygaśnięcia zobowiązania". Z kolei proponowany ust. 4f miał otrzymać brzmienie "Instytucje o których mowa w ust. 4 mogą przetwarzać dane o zapytaniach banków o osoby, których wnioski o udzielenie kredytu zostały rozpatrzone negatywnie, przez okres jednego roku od dnia otrzymania zapytania". Komisja po rozpatrzeniu tej poprawki zaproponowała jej odrzucenie. Jednocześnie należy wskazać, że w piśmie Urzędu Komitetu Integracji Europejskiej nr Min. DH-856/04/tlk z dnia 4 marca 2004 r. dotyczącym druku nr 2513-A, skierowanym bezpośrednio do Przewodniczącego Komisji Europejskiej Sejmu wyrażono jednoznaczną opinię, że poprawka nr 17 jest niezgodna z art. 7 (f) Dyrektywy 1995/46/WE, ponieważ nie wypełnia warunków dotyczących przetwarzania danych osobowych w niej zawartych (warunek celowości przetwarzania danych). Sejm RP w dniu 4 marca 2004 r. przyjął w całości projekt w wersji zaproponowanej przez Komisję Europejską Sejmu RP (por. materiały sejmowe z 69 posiedzenia Sejmu RP w dniach 2, 3, 4 i 5 marca 2004 r; dostępność: www.sejm.gov.pl).
Ubocznie jedynie wskazać należy, że na podstawie ustawy z 16 sierpnia 2023 r. (Dz. U. 2023 r., poz.1723) wprowadzono z dniem 29 września 2023 r. (a więc już po wydaniu zaskarżonej decyzji Prezesa UODO będącej przedmiotem kontroli sądowej) zmiany w art. 70a Prawa bankowego. Z art. 70a ust. 1c wynika, że wnioskujący o kredyt ma rok od dnia otrzymania oceny zdolności kredytowej, aby złożyć wniosek by otrzymać taką ocenę w formie pisemnej. Tym samym banki i instytucje ustawowo upoważnione do udzielania kredytów mogą przez ten okres przetwarzać dane wnioskodawcy, w zakresie jaki jest niezbędny, dla udostępnienia mu w formie pisemnej oceny jego zdolności kredytowej.
Gdyby podzielić stanowisko zaprezentowane w skardze kasacyjnej B., że pozyskanie danych na etapie złożenia wniosku kredytowego uprawnia S. do ich dalszego (dosyć długiego w czasie) przechowywania po odmowie zawarcia umowy kredytowej (w celu budowy modeli scoringowych tj. narzędzi wykorzystywanych przez banki do oceny zdolności kredytowej i analizy ryzyka kredytowego przez okres 5 lat od dnia złożenia zapytania, a w celach statystycznych i analiz przez okres 10 lat od dnia przekazania zapytania do B., a nawet 12 lat), to regulacje zawarte w art. 105a Prawa bankowego ograniczające w czasie przypadki przetwarzania danych klientów z umów kredytowych pozbawione byłyby sensu. Powyższe stanowisko wpisuje się w zapatrywanie Naczelnego Sądu Administracyjnego wyrażone w sposób transparentny w wyroku z dnia 27 sierpnia 2019 r. (sygn. akt I OSK 2567/17), w którym stwierdzono, że cel oceny zdolności kredytowej stanowi ocena zdolności do spłaty zaciągniętego kredytu wraz z odsetkami, co ma charakter czynności wstępnej do zawarcia stosownej umowy. Celem oceny zdolności kredytowej i analizy ryzyka kredytowego w odniesieniu do konkretnego klienta jest bowiem zawarcie umowy kredytowej na określonych warunkach. Skoro do niej nie dochodzi wskutek tej czynności banku to nie ma podstaw prawnych do dalszego ich przechowywania. Dalsze przetwarzanie danych uzyskanych w celu oceny zdolności kredytowej, w przypadku nie zawarcia stosownej umowy pozostawałaby w oderwaniu od celu dla którego dane te uzyskano. (...) niedopuszczalne jest przetwarzanie danych osobowych na przyszłość, a także na potrzeby budowy oceny zdolności kredytowej innych podmiotów, jeżeli nie można zrekonstruować wyraźnej podstawy prawnej takich działań. Jakkolwiek pogląd ten wyrażony został na gruncie poprzednio obowiązującej ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych i obowiązującej przed RODO dyrektywy nr 95/46/WE, jednakże w ocenie Naczelnego Sądu Administracyjnego nie stracił na aktualności. Przepisy RODO wzmacniają bowiem w porównaniu z dyrektywą 95/46/WE ochronę danych osobowych osób fizycznych.
W ocenie Naczelnego Sądu Administracyjnego na gruncie RODO niedopuszczalne jest – w stanie faktycznym niniejszej sprawy, gdy nie zawarto umowy kredytowej – dalsze przetwarzanie danych osobowych wnioskodawcy "na przyszłość" w zupełnie innych celach niż je zebrano, gdy nie można zrekonstruować wyraźnej podstawy prawnej takich działań.
Należy również zwrócić uwagę, że z motywu 50 preambuły RODO wynika, że przetwarzanie danych osobowych do celów innych niż cele, w których dane te zostały pierwotnie zebrane, jest dozwolone wyłącznie w przypadkach, gdy jest zgodne z celami, w których dane osobowe zostały pierwotnie zebrane. Ustalenie, czy pomiędzy pierwotnym celem przetwarzania a wtórnym celem przetwarzania zachodzi zgodność, wymaga uwzględnienia między innymi: wszelkich powiązań pomiędzy tymi celami; kontekstu, w którym dane osobowe zostały zebrane, w szczególności rozsądne przesłanki pozwalające osobom, których dane dotyczą, oczekiwać dalszego wykorzystania danych oparte na rodzaju ich powiązania z administratorem; charakter danych osobowych; konsekwencje zamierzonego dalszego przetwarzania dla osób, których dane dotyczą; oraz istnienie odpowiednich zabezpieczeń zarówno podczas pierwotnej, jak i zamierzonej operacji dalszego przetwarzania.
Powołany motyw 50 preambuły RODO został rozwinięty w art. 6 ust. 4 RODO, w którym zastrzeżono, że przetwarzanie danych osobowych w celach innych niż ten, w którym dane osobowe zostały zebrane, jest dopuszczalne przy uwzględnieniu:
a) wszelkich związków między celami, w których zebrano dane osobowe, a celami zamierzonego dalszego przetwarzania;
b) kontekstu, w którym zebrano dane osobowe, w szczególności relację między osobami, których dane dotyczą, a administratorem;
c) charakteru danych osobowych, w szczególności czy przetwarzane są szczególne kategorie danych osobowych zgodnie z art. 9 lub dane osobowe dotyczące wyroków skazujących i czynów zabronionych zgodnie z art. 10;
d) ewentualnych konsekwencji zamierzonego dalszego przetwarzania dla osób, których dane dotyczą;
e) istnienia odpowiednich zabezpieczeń, w tym ewentualnie szyfrowania lub pseudonimizacji.
Uwzględnienie powołanych regulacji RODO potwierdza wniosek, że w sytuacji gdy
w następstwie złożenia wniosku kredytowego nie dochodzi do zawarcia umowy kredytowej z bankiem, brak jest przesłanek ustawowych legalizujących dalsze przetwarzanie danych osobowych niedoszłego klienta.
Za niezasadne uznać należy argumenty dotyczące naruszenia art. 6 ust. 1 lit. c RODO w związku z przepisami ustawy AML oraz przepisami rozporządzenia CRR. Naczelny Sąd Administracyjny przypomina, że przedmiotem oceny organu a następnie Sądu I instancji była zgodność z prawem przetwarzania danych osobowych w świetle uprawnień przyznanych skarżącym kasacyjnie przez ustawę - Prawo bankowe, a nie sposobu funkcjonowania mechanizmów kredytowych i ustalenia, jakie dane są potrzebne S. i B. dla zapewnienia prawidłowego działania tych mechanizmów. Również odwoływanie się do konieczności przetwarzania danych osobowych wnioskodawcy w zakresie pytań kredytowych po dokonaniu weryfikacji zdolności kredytowej dla potrzeb tworzenia modeli scoringowych jest nieuprawnione. Scoring kredytowy to metoda oceny wiarygodności podmiotu – zwykle osoby fizycznej lub przedsiębiorstwa – ubiegającego się o kredyt bankowy. Polega na określeniu wiarygodności kredytowej klienta na podstawie porównania jego profilu z profilem klientów, którzy już otrzymali kredyty i je spłacają. W niniejszej sprawie wnioskodawczyni po złożeniu zapytań kredytowych nie zawarła umowy kredytowej z Bankiem, a tym samym nie spłacała zaciągniętego kredytu, zatem jej dane zawarte w zapytaniu kredytowym (określające profil klienta) są nieprzydatne do tworzenia modeli scoringowych. Ponadto przedmiotem niniejszej sprawy i kompetencji Prezesa UODO nie jest ustalenie możliwego sposobu realizacji przez S. i B. obowiązków nakładanych na te podmioty przez instytucje nadzorcze w zakresie prowadzonej działalności. Naczelny Sąd Administracyjny nie neguje, że ocena ryzyka kredytowego jest obowiązkiem S. Instrumenty służące dokonaniu takiej oceny przez banki muszą jednak być stosowane z poszanowaniem przepisów prawa normujących uprawnienie banków do przetwarzania danych osobowych potencjalnych klientów przy uwzględnieniu generalnych zasad przetwarzania danych osobowych (art. 5 ust. 1 i ust. 2 RODO). Z kolei uprawnienia do monitorowania stosunków gospodarczych klienta i stosowania odpowiednich środków bezpieczeństwa finansowego nie mają odniesienia do rozpoznawanej sprawy, gdy nie zawarto umowy kredytowej i nie można mówić o transakcji.
Odnosząc się z kolei do zarzutów w zakresie naruszenia art. 6 ust. 1 lit. f) RODO w zw. z art. 1 ust. 2 pkt 1 oraz art. 2 ustawy o nadzorze nad rynkiem finansowym w związku z art. 137 ust. 1 pkt 5 Prawa bankowego w zw. z Rekomendacjami S, W i T Komisji Nadzoru Finansowego wyjaśnić należy, że źródłami powszechnie obowiązującego prawa w Rzeczypospolitej Polskiej są: Konstytucja, ustawy, ratyfikowane umowy międzynarodowe oraz rozporządzenia (art. 87 ust. 1 Konstytucji RP z dnia 2 kwietnia 1997 r.; Dz. U. Nr 78, poz. 483 ze zm.).
Nie ulega zatem wątpliwości, że rekomendacje KNF nie są aktami prawa powszechnie obowiązującego. Nie mieszczą się bowiem w zamkniętym katalogu źródeł powszechnie obowiązującego prawa Rzeczypospolitej Polskiej, określonym w art. 87 Konstytucji RP. Ponadto wydaje je organ, który nie ma stosownego umocowania konstytucyjnego.
Argumentem wzmacniającym przedstawioną ocenę prawną jest oczywisty fakt, że dane osobowe są wartością chronioną wprost przez Konstytucję RP. Jak stanowi art. 51 ust.1 i 2 Konstytucji, nikt nie może być obowiązany inaczej niż na podstawie ustawy do ujawniania informacji dotyczących jego osoby. Władze publiczne nie mogą pozyskiwać, gromadzić i udostępniać innych informacji o obywatelach niż niezbędne w demokratycznym państwie prawnym. Prawo do ochrony danych osobowych stanowi emanację prawa do autonomii informacyjnej, pozwalając jednostce w określonym zakresie kontrolować sposób i zakres udostępnianych informacji jej dotyczących. Prawo od ich ochrony - jak przyjmuje się w piśmiennictwie – stanowi swego rodzaju emanację ogólnego prawa gwarantowanego Konstytucją RP (art. 47). Spostrzeżenie to oparte jest na założeniu, że dane osobowe są niejako częścią życia prywatnego lub rodzinnego, względnie że posługiwanie się danymi dotyczącymi innej osoby wkracza w przyznaną jej kompetencję decydowania o swoim życiu osobistym (zob. J. Barta, P. Fajgielski, R. Markiewicz, Ustawa o ochronie danych osobowych. Komentarz, komentarz do art. 1; System Informacji Prawnej LEX/el). Zgodnie z treścią art. 51 ust. 4 Konstytucji każdy ma prawo do żądania sprostowania oraz usunięcia informacji nieprawdziwych, niepełnych lub zebranych w sposób sprzeczny z ustawą. Brzmienie przywołanego przepisu nie pozostawia wątpliwości co do tego, że z jednej strony norma ta przewiduje swoiste roszczenie o modyfikację lub usunięcie danych nieprawdziwych, niepełnych lub zgromadzonych niezgodnie z ustawą, z drugiej natomiast kreuje po stronie organów lub podmiotów administrujących bazami danych obowiązek uwzględnienia oczekiwań obywatela, jeżeli rzeczywiście informacje te są obarczone wskazanymi wyżej wadami. Wobec tego każda norma hierarchicznie niższego rzędu (ustawa, rozporządzenie, akt prawa miejscowego), regulująca tego rodzaju kwestie, musi być interpretowana zgodnie z treścią przywołanego przepisu Konstytucji.
Zdaniem Naczelnego Sądu Administracyjnego skoro wnioskodawczyni zażądała respektowania jej prawa do ochrony danych osobowych wynikających
z RODO i Konstytucji RP, a administrator danych nie wykazał innej podstawy legalizującej czynności przetwarzania, to Prezes UODO miał podstawę nakazać B. zaprzestania przetwarzania danych osobowych wnioskodawczyni w zakresie jej wniosku kredytowego z 23 sierpnia 2019 r. oraz ich usunięcia.
Naczelny Sąd Administracyjny docenia i rozumie kwestie związane
z bezpieczeństwem depozytów, stabilnością sektora bankowego, koniecznością prowadzenia analiz statystycznych, dokonaniem oceny zdolności kredytowej oraz ryzyka kredytowego, tworzenia baz danych (także korzystania z zewnętrznych baz danych np. B.), czy też budową modeli scoringowych. Elementy te nie są jednak wartościami nadrzędnymi wobec prawa osoby fizycznej do ochrony danych osobowych. Prawo do ochrony danych osobowych jest prawem gwarantowanym zarówno w krajowym, jak i unijnym porządku prawnym. Na płaszczyźnie krajowej regulacji prawo do ochrony danych osobowych znajduje oparcie w przepisie art. 51 Konstytucji RP. Przepis ten określa podstawowe uprawnienia składające się na prawo do ochrony danych osobowych, w kwestiach szczegółowych odsyłając do regulacji ustawowej.
W piśmiennictwie przedmiotu przyjmuje się, że prawo do ochrony danych osobowych stanowi refleks ogólnej zasady autonomii informacyjnej człowieka i swego rodzaju emanację ogólnego prawa do prywatności, gwarantowanego w art. 47 Konstytucji RP, ze względu na to, że dane osobowe są częścią życia prywatnego bądź posługiwanie się danymi dotyczącymi innej osoby wkracza w przyznaną jej kompetencję do decydowania o swoim życiu osobistym (por. J. Barta, P. Fajgielski, R. Markiewicz, Ochrona danych osobowych. Komentarz, Warszawa 2015, s. 260–261). W wyroku z 19 lutego 2002 r. (U 3/01, OTK-A 2002/1, poz. 3) Trybunał Konstytucyjny stwierdził, że tzw. autonomia informacyjna jednostki (gwarantowana w art. 51 Konstytucji RP), oznaczająca prawo do samodzielnego decydowania o ujawnianiu innym informacji dotyczących swojej osoby, a także prawo do sprawowania kontroli nad takimi informacjami znajdującymi się w posiadaniu innych podmiotów, są elementami składowymi prawa do ochrony prawnej życia prywatnego, gwarantowanego w art. 47 Konstytucji RP (na temat autonomii informacyjnej w orzecznictwie TK szerzej por. P. Litwiński, Zasada autonomii informacyjnej w orzecznictwie Trybunału Konstytucyjnego a stosowanie przepisów o ochronie danych osobowych [w:] Ochrona danych osobowych w Polsce z perspektywy dziesięciolecia, red. P. Fajgielski, Lublin 2008, s. 169–184). Zakres autonomii informacyjnej jednostki stale zmniejsza się, co jest spowodowane przesuwaniem ciężaru ochrony jednostki i jej prywatności w kierunku instytucjonalnych, publicznoprawnych instytucji i środków (M. Safjan, Prawo do prywatności i ochrona danych osobowych w społeczeństwie informatycznym, PiP 2002/6, s. 5). Nie znaczy to jednak, że zmniejszanie tej autonomii następować może bez podstawy prawnej.
W porządku prawnym UE prawo do ochrony danych osobowych jest jednym
z praw podstawowych, które zostało zagwarantowane w art. 8 ust. 1 Karty praw podstawowych UE oraz art. 16 ust. 1 TFUE, o czym przypomina motyw 1 preambuły. W myśl wskazanych powyżej przepisów każda osoba ma prawo do ochrony danych osobowych jej dotyczących. Zgodnie z art. 8 ust. 2 Karty praw podstawowych UE dane osobowe powinny być przetwarzane rzetelnie w określonych celach i za zgodą osoby zainteresowanej lub na innej uzasadnionej podstawie przewidzianej ustawą; każdy ma prawo dostępu do zebranych danych, które go dotyczą, i prawo do dokonania ich sprostowania, natomiast ust. 3 wskazanego tu artykułu stanowi, iż przestrzeganie tych zasad podlega kontroli niezależnego organu.
Przepis art. 16 ust. 2 TFUE uprawnia Parlament Europejski i Radę UE do tego, aby stanowiąc zgodnie ze zwykłą procedurą ustawodawczą, określiły zasady dotyczące ochrony osób fizycznych w zakresie przetwarzania danych osobowych przez instytucje, organy i jednostki organizacyjne Unii oraz przez państwa członkowskie w wykonywaniu działań wchodzących w zakres zastosowania prawa Unii, a także zasady dotyczące swobodnego przepływu takich danych. W odniesieniu do unijnych instytucji i organów zasady zostały określone w rozporządzeniu Parlamentu Europejskiego i Rady 2018/1725 z 23 października 2018 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych przez instytucje, organy i jednostki organizacyjne Unii i swobodnego przepływu takich danych oraz uchylenia rozporządzenia (WE) nr 45/2001 i decyzji nr 1247/2002/WE (Dz. Urz. UE L 295, s. 39 i n.), natomiast zasady ochrony danych przez państwa członkowskie regulowane są przepisami RODO.
Pamiętać należy, że kontrola sądu administracyjnego prowadzona jest na podstawie kryterium zgodności z prawem, a nie wedle kryterium skuteczności, celowości, zgodności z polityką sektora bankowego, czy z polityką samego banku. Sąd nie kwestionuje, że w kontekście konieczności zapewniania bezpieczeństwa depozytów i całego sektora instytucji udzielających kredytów, zachodzi potrzeba przetwarzania niezbędnych danych osobowych, ale zakres ten jest zróżnicowany i determinowany celem w jakim te dane są gromadzone. Za racjonalny uznać należy argument, że niezbędne są działania zmierzające do wykluczenia, a przynajmniej ograniczenia sytuacji związanych z próbą wyłudzenia kredytu przez daną osobę. Nie uzasadnia to jednak przetwarzania danych poza niezbędny zakres związany z analizą zdolności kredytowej i ryzyka kredytowego wnioskodawcy. Również przetwarzanie danych osobowych w celu uchylenia się od negatywnych skutków w przypadku zgłoszenia w przyszłości ewentualnego i nieokreślonego roszczenia (roszczenia o co?, w jakim zakresie? skoro nie została zawarta umowa kredytu) nie stanowi prawnie usprawiedliwionego celu w rozumieniu art. 6 ust. 1 lit. f RODO.
Według Naczelnego Sądu Administracyjnego przyjęcie interpretacji zaprezentowanej w skardze kasacyjnej prowadziłoby nadto do tego, że wobec osoby, której dane zawarto w zapytaniu kredytowym i z którą nie zawarto umowy kredytowej, istniałaby dowolność, tak co do zasad przetwarzania jej danych osobowych (także bez jej zgody – po zakończeniu procesu zapytania o możliwość uzyskania kredytu w banku), jak również co do przedstawienia innych celów przetwarzania, których nie ujawniono wprost przed pozyskaniem danych (innych niż ocena zdolności kredytowej i ryzyka kredytowego) oraz co do długotrwałego lub wręcz dowolnego ustalenia czasu przetwarzania danych z uwzględnieniem przyjmowanych celów, które służą określonym wymogom organu nadzoru nad rynkiem finansowym. W konsekwencji, sytuacja osoby, która zwróciła się z zapytaniami kredytowymi i z którą nie zawarto umów kredytowych, byłaby z punktu widzenia ochrony danych osobowych, biorąc pod uwagę przepisy Prawa bankowego, sytuacją "gorszą" niż sytuacja osoby, która zawarła umowę kredytową i jej zobowiązanie wygasło. W tym drugim bowiem przypadku dla dalszego przetwarzania danych w B. po wygaśnięciu zobowiązania wynikającego z danej umowy niezbędna jest zgoda osoby, której dane dotyczą. Zgodę taką można nadto w każdym czasie odwołać. Przesłanka z art. 6 ust. 1 lit. f RODO dotyczy zaś sytuacji istniejącej, a nie sytuacji przyszłej, hipotetycznej. Nadto gdyby przyjąć zapatrywania B. to prawo do bycia zapomnianym stanowiłoby fikcję (art. 17 RODO). Można przecież założyć układ, że sytuacja finansowa osoby fizycznej poprawi się i osoba ta już nigdy nie będzie występować o kredyt, albo uczyni to dopiero po kilku latach od wcześniejszego wnioskowania.
Zarzut naruszenia art. 106d Prawa bankowego został źle skonstruowany. Powołany przepis dzieli się na dalsze jednostki redakcyjne, tj. ustęp i punkty, co nie zostało uwzględnione w skardze kasacyjnej. Ponadto z treści tego przepisu wynika, że dopuszcza on przetwarzanie danych osobowych w przypadku uzasadnionego podejrzenia łamania prawa lub działania na szkodę banku. W niniejszej sprawie takie okoliczności nie wystąpiły.
Jak zostało wykazane, skarżący kasacyjnie nie posiada wobec wnioskodawczyni żadnego aktywnego roszczenia cywilnoprawnego stąd powoływanie się na przepisy regulujące jego przedawnienie - art. 117 § 2 i 21, 118 i 119 Kodeksu cywilnego - jest z założenia nie skuteczne.
Z wyłożonych względów działając na podstawie art. 184 p.p.s.a. Naczelny Sąd Administracyjny oddalił skargę kasacyjną.
O kosztach postępowania orzeczono na podstawie art. 209 i art. 204 pkt 1 w zw. Z art. 205 2 p.p.s.a.