III OSK 1640/22

III OSK 1640/22 - Wyrok NSA
Data orzeczenia
2025-09-09
orzeczenie prawomocne
Data wpływu
2022-07-06
Sąd
Naczelny Sąd Administracyjny
Sędziowie
Artur Kuś
Maciej Kobak /sprawozdawca/
Zbigniew Ślusarczyk /przewodniczący/
Symbol z opisem
647  Sprawy związane z ochroną danych osobowych
Hasła tematyczne
Ochrona danych osobowych
Sygn. powiązane
II SA/Wa 3224/21 - Wyrok WSA w Warszawie z 2022-03-03
Skarżony organ
Generalny Inspektor Ochrony Danych Osobowych
Treść wyniku
Oddalono skargę kasacyjną
Powołane przepisy
Dz.U. 2024 poz 1646
art.104 ust.1, art.105a ust.1
Ustawa z dnia 29 sierpnia 1997 r. Prawo bankowe
Dz.U. 2016 poz 1528
art.9a ust.5 pkt 2
Ustawa z dnia 12 maja 2011 r. o kredycie konsumenckim - tekst jedn.
Sentencja
Naczelny Sąd Administracyjny w składzie: Przewodniczący: sędzia NSA Zbigniew Ślusarczyk Sędziowie sędzia NSA Artur Kuś sędzia del. WSA Maciej Kobak (spr.) Protokolant asystent sędziego Anna Krupa po rozpoznaniu w dniu 9 września 2025 r. na rozprawie w Izbie Ogólnoadministracyjnej skargi kasacyjnej W. K. od wyroku Wojewódzkiego Sądu Administracyjnego w Warszawie z dnia 3 marca 2022 r. sygn. akt II SA/Wa 3224/21 w sprawie ze skargi W. K. na decyzję Prezesa Urzędu Ochrony Danych Osobowych z dnia 9 lipca 2021 r. nr DS.523.1995.2020.FT.MG (130861) (130863) (130864) w przedmiocie przetwarzania danych osobowych oddala skargę kasacyjną.
Uzasadnienie
Wyrokiem z dnia 3 marca 2022 r. sygn. akt II SA/Wa 3224/21 Wojewódzki Sąd Administracyjny w Warszawie oddalił skargę W. K. (dalej: "skarżący") na decyzję Prezesa Urzędu Ochrony Danych Osobowych (dalej: "organ") z dnia 9 lipca 2021 r. nr DS.523.1995.2020.FT.MG (130861) (130863) (130864) w przedmiocie przetwarzania danych osobowych.
Powyższy wyrok został wydany w następujących okolicznościach faktycznych i prawnych sprawy.
W dniu 4 marca 2005 r. w związku z zawarciem umowy o Kredyt i Elektroniczną Kartę Płatniczą [...], B. S.A. z siedzibą w W. (dalej: "Bank") pozyskał dane osobowe skarżącego.
Pismem z 30 stycznia 2020 r. skarżący zwrócił się do Banku o zaprzestanie przetwarzania jego danych osobowych w systemie BIK dotyczących zobowiązania kredytowego z 24 lutego 2009 r. (rachunek nr [...]) lub ograniczenie przetwarzania danych osobowych w zakresie w jakim obejmuje ono rozpowszechnianie ich i przesyłanie w raportach BIK.
W odpowiedzi Bank poinformował skarżącego, że jego dane będą przetwarzane w BIK między innymi do celów: oceny zdolności kredytowej i analizy ryzyka kredytowego, stosowania metod wewnętrznych oraz innych metod i modeli, o których mowa w art. 105a ust. 4 ustawy z dnia 29 sierpnia 1997 r. Prawo bankowe (Dz. U. z 2019 r. poz. 2357, dalej: "ustawa"), statystycznych i analitycznych. Bank wyjaśnił, że przetwarza dane osobowe skarżącego w związku z istniejącą wierzytelnością, w oparciu o art. 6 ust. 1 lit. b rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (Dz. Urz. UE L 119 z 4.05.2016, str. 1, Dz. Urz. UE L 127 z 23.05.2018, str. 2 oraz Dz. Urz. UE L 74 z 4.03.2021, str. 35, dalej: "RODO").
Na skutek powyższego do organu wpłynęła skarga na nieprawidłowości w procesie przetwarzania danych osobowych, polegające na przetwarzaniu danych osobowych skarżącego bez podstawy prawnej, w tym na udostępnieniu danych osobowych na rzecz Biura. Skarżący w treści skargi wskazał, że pomimo prawomocnego wyroku Sądu Rejonowego w Toruniu X Wydział Cywilny w przedmiocie uznania zobowiązania kredytowego za przedawnione (sygn. akt: X Cupr [...] z [...] r.) jego dane osobowe wynikające z tego zobowiązania przetwarzane są przez Bank w systemie BIK.
Organ decyzją z 9 lipca 2021 r. nr DS.523.1995.2020.FT.MG, na podstawie
art. 104 § 1 ustawy z dnia 14 czerwca 1960 r. Kodeks postępowania administracyjnego (Dz.U. z 2021 r. poz. 735, dalej: "k.p.a.") oraz art. 6 ust. 1 lit. a i lit. f RODO odmówił uwzględnienia wniosku.
Skarżący wywiódł skargę do sądu administracyjnego. W odpowiedzi na skargę organ wniósł o jej oddalenie.
Opisanym na wstępie wyrokiem Wojewódzki Sąd Administracyjny w Warszawie oddalił skargę. Zdaniem Sądu pierwszej instancji okoliczność, usunięcia przez Bank danych skarżącego, a następnie ponowne ich zamieszczenie nie ma jakiegokolwiek znaczenia dla legalności przetwarzania danych przez Bank w sposób określony w art. 105a ust. 1 ustawy. Sąd wyjaśnił, że samo przedawnienie zobowiązania nie oznacza wygaśnięcia zobowiązania. Fakt, że przedawnia się okres dochodzenia należności, nie znaczy, że należność ta nie istnieje, roszczenie przeradza się w tzw. roszczenie niezupełne (naturalne), którego istotą jest niemożność jego przymusowej realizacji. Podkreślono, że przedawnienie roszczenia nie wywołuje skutków na gruncie ochrony danych osobowych, nie wpływa bowiem na fakt istnienia roszczenia, a powoduje jedynie zmianę w sferze zarzutów procesowych w postaci możliwości podniesienia faktu przedawnienia w sporze sądowym.
W ocenie Sądu okolicznością usprawiedliwiającą przetwarzanie danych osobowych w celu oceny zdolności kredytowej i analizy ryzyka kredytowego jest sam fakt istnienia roszczenia, nie jest nią natomiast zmiana w uprawnieniach procesowych podmiotu pozwanego. Przedawnienie roszczenia nie oznacza, że przestaje ono istnieć, zatem nie oznacza także, że przestał istnieć cel przetwarzania jakim jest ocena zdolności kredytowej i analiza ryzyka w przypadku istniejącej wierzytelności.
W uzasadnieniu wyroku zaznaczono, że chociaż w przypadku przedawnienia roszczenia wierzyciel nie może dochodzić roszczenia na drodze sądowej, to dłużnik musi liczyć się z negatywnymi konsekwencjami, wynikającymi z niespłacenia wierzytelności. Informacja, że skarżący nie wywiązał się ze zobowiązań wobec Banku jest ponadto o tyle istotna z punktu widzenia oceny jego zdolności kredytowej oraz ryzyka, z jakim wiąże się udzielenie mu kredytu.
W konkluzji WSA stwierdził, że przedawnienie roszczeń nie wpływa na ważność umowy – zobowiązania łączącego Bank ze skarżącym, a w związku z tym rozstrzygnięcie Prezesa UODO odmawiające uwzględnienia wniosku w zakresie nieprawidłowości w procesie przetwarzania danych osobowych skarżącego uznać należało za prawidłowe i zwiększające bezpieczeństwo obrotu gospodarczego.
Odnosząc się do kwestii przetwarzania danych osobowych w systemie BIK wskazano, że do przetwarzania danych na podstawie art. 105a ust. 1 ustawy - zgoda osoby, której dane są przetwarzane, nie jest wymagana. Powołany przepis prawa nie ustanawia bowiem takiego wymogu. Nie można uznać, że w tym przypadku prawa i interesy skarżącego powinny być traktowane jako nadrzędne nad uzasadnionym interesem prawnym Banku. Przepis art. 105a ust. 1 nie zawęża prawa Banku do przetwarzania danych osobowych w celu oceny zdolności kredytowej i analizy ryzyka kredytowego tylko w przypadku, gdy istniejąca wierzytelność nie jest przedawniona, dotyczy zatem każdej istniejącej wierzytelności, także tej, która przekształciła się w zobowiązanie naturalne. Przez kolejne przepisy Prawa bankowego regulowana jest natomiast możliwość przetwarzania danych osobowych po wygaśnięciu roszczenia.
Skargę kasacyjną od powyższego wyroku wniósł skarżący, kwestionując go w całości i zarzucając mu naruszenie prawa materialnego tj.:
1) art. 6 ust. 1 lit. f: RODO w zw. z art. 151 ustawy z dnia 30 sierpnia 2002 r. Prawo o postępowaniu przed sądami administracyjnymi (Dz. U. z 2022 r. poz. 329, dalej: "p.p.s.a.") przez błędną wykładnię i stwierdzenie, że wierzytelność przedawniona Banku stanowi prawnie uzasadniony interes, który jest interesem nadrzędnym nad interesami lub prawami i wolnościami skarżącego kasacyjnie, podczas gdy prawidłowa wykładnia powinna sprowadzać się do stwierdzenia, że wierzytelność przedawniona nie może stanowić prawnie uzasadnionego interesu Banku, który byłby nadrzędny nad interesem lub prawami i wolnościami skarżącego kasacyjnie z uwagi na brak możliwości jej dochodzenia na drodze sądowej i pozasądowej (brak możliwości dochodzenia roszczenia wynikającego z zobowiązania naturalnego), a także ze względu na brak rozsądnych przesłanek po stronie skarżącego kasacyjnie co do dalszego przetwarzania danych osobowych jego w zakresie, w jakim dotyczą one wierzytelności przedawnionej (zobowiązania naturalnego);
2) art. 105a ust. 1 ustawy w zw. z art. 151 p.p.s.a. przez błędną wykładnię i stwierdzenie, że ocena zdolności kredytowej i analiza ryzyka kredytowego stanowi cel, którego realizacja usprawiedliwia przetwarzanie danych osobowych skarżącego kasacyjnie w zakresie, w jakim dotyczą one tej wierzytelności (zobowiązania naturalnego) w celu, podczas gdy prawidłowa wykładnia tego przepisu powinna sprowadzać się do stwierdzenia, że:
a) ocena zdolności kredytowej i analiza ryzyka nie wykazuje bezpośredniego związku z wierzytelnością (roszczeniem) przedawnioną, ani z jakimkolwiek prawnie uzasadnionym interesem Banku wobec czego nie może usprawiedliwiać przetwarzania danych osobowych Skarżącego w zakresie, w jakim dotyczą one tej wierzytelności;
b) cel przetwarzania danych osobowych, jakim była ocena zdolności kredytowej skarżącego kasacyjnie przed zawarciem umowy z Bankiem odpadł (został zrealizowany) z momentem dokonania tej oceny, a nie istnieje żadna inna podstawa prawna, która uzasadniałaby dalsze przetwarzanie danych osobowych skarżącego kasacyjnie w zakresie wierzytelności (roszczenia) przedawnionego;
c) hipotetyczna potrzeba dokonania oceny zdolności kredytowej i analiza ryzyka kredytowego do zawarcia umowy w przyszłości, z Bankiem bądź jakimkolwiek innym podmiotem, nie może być traktowana jako cel przetwarzania danych osobowych i nie może stanowić przyzwolenia na nieograniczone w czasie przetwarzania danych osobowych skarżącego kasacyjnie;
3) art. 6 ust. 1 lit. f RODO w zw. z art. 105a ust. 1 ustawy w zw. z art. 151 p.p.s.a. przez błędną wykładnię i stwierdzenie, że sam fakt istnienia roszczenia przedawnionego stanowi prawnie uzasadniony interes Banku i usprawiedliwia przetwarzanie danych osobowych skarżącego kasacyjnie w zakresie tego roszczenia (zobowiązania naturalnego) w celu oceny jego zdolności kredytowej i analizy ryzyka, podczas gdy prawidłowa wykładnia tych przepisów powinna sprowadzać się do stwierdzenia, że przetwarzanie danych osobowych skarżącego kasacyjnie w zakresie roszczenia przedawnionego nie jest niezbędne dla oceny zdolności kredytowej i analizy ryzyka (brak bezpośredniego związku pomiędzy oceną i analizą a roszczeniem przedawnionym), natomiast prawo skarżącego kasacyjnie do tego, by skutecznie odmówić zaspokojenia roszczenia Banku znajduje uzasadnienie w przepisach prawa regulujących instytucję przedawnienia i jako takie uchyla legalność przetwarzania jego danych osobowych w zakresie, w jakim dotyczą one zobowiązania kredytowego (roszczenia przedawnionego).
Na podstawie powyższych zarzutów wniesiono o uwzględnienie skargi kasacyjnej, uchylenie wyroku w całości oraz rozpoznanie skargi przez uchylenie decyzji organu i zasądzenie od organu na rzecz skarżącego kasacyjnie zwrotu kosztów postępowania przed Sądem I instancji, w tym kosztów zastępstwa procesowego i opłaty skarbowej od pełnomocnictwa według norm prawem przepisanych, ewentualnie uwzględnienie skargi kasacyjnej, uchylenie wyroku w całości i przekazanie sprawy do ponownego rozpoznania Sądowi I instancji, zasądzenie od organu na rzecz skarżącego kasacyjnie zwrotu kosztów postępowania przed Naczelnym Sądem Administracyjnym, w tym kosztów zastępstwa procesowego i opłaty skarbowej.
W odpowiedzi na skargę kasacyjną organ wniósł o jej oddalenie.
Naczelny Sąd Administracyjny zważył, co następuje:
Stosownie do art. 183 § 1 p.p.s.a., Naczelny Sąd Administracyjny rozpoznaje sprawę w granicach skargi kasacyjnej, biorąc pod rozwagę z urzędu jedynie nieważność postępowania. W rozpoznawanej sprawie nie zachodzi żadna
z okoliczności skutkujących nieważnością postępowania, o jakich mowa w art. 183 § 2 p.p.s.a. i nie zachodzi żadna z przesłanek, o których mowa w art. 189 p.p.s.a., które Naczelny Sąd Administracyjny rozważa z urzędu dokonując kontroli zaskarżonego skargą kasacyjną wyroku. W tych okolicznościach w sprawie badaniu podlegały wyłącznie zarzuty podniesione w skardze kasacyjnej na uzasadnienie przytoczonych podstaw kasacyjnych.
Skarga kasacyjna jest niezasadna i jako taka podlega oddaleniu. Wszystkie zarzuty kasacyjne, niezależnie od ich normatywnej stylizacji zmierzają do podważenia stanowiska Sądu pierwszej instancji o dopuszczalności przetwarzania danych osobowych skarżącego przez Bank, w tym przekazania ich do systemu BIK, w sytuacji, gdy zobowiązanie, w związku z którym Bank pozyskał te dane uległo przedawnieniu.
W sprawie nie ma sporu, że Bank pozyskał dane osobowe skarżącego w dniu 4 marca 2005 r. w związku z zawarciem umowy o Kredyt i Elektroniczną Kartę Płatniczą [...]. Nie jest również kwestionowane, że w dniu 24 lutego 2009 r. skarżący zaciągnął zobowiązanie kredytowe (rachunek nr [...]). Zobowiązanie to nie zostało spłacone i uległo przedawnieniu, co potwierdził Sąd Rejonowy w Toruniu X Wydział Cywilny wyrokiem z [...] roku, sygn. akt: [...].
Skarżący domagał się od organu nakazania bankowi zaprzestania przetwarzania jego danych osobowych, w tym udostępniania tych danych do systemu BIK.
Jak wynika z treści art. 105a ust. 1 ustawy – Prawo bankowe, banki są uprawione do przetwarzania informacji stanowiących tajemnicę bankową i informacji udostępnionych przez instytucje pożyczkowe oraz podmioty, o których mowa w art. 59d ustawy z dnia 12 maja 2011 r. o kredycie konsumenckim, w zakresie dotyczącym osób fizycznych - z zastrzeżeniem art. 104, art. 105 i art. 106-106d ustawy - w celu oceny zdolności kredytowej i analizy ryzyka kredytowego. Tajemnicę bankową stanowią wszelkie informacje dotyczące czynności bankowej, uzyskane w czasie negocjacji, w trakcie zawierania i realizacji umowy, na podstawie której bank tę czynność wykonuje – art. 104 ust. 1 ustawy – Prawo bankowe. Jest więc oczywiste, że dane osobowe skarżącego stanowią tajemnicę bankową, o której mowa w art. 105a ust. 1 ustawy – Prawo bankowe. Należy zgodzić się z WSA, że przetwarzanie informacji, o których mowa w powołanym przepisie odbywa się bez zgody osoby, której one dotyczą. Systematyka treści art. 105a ustawy – Prawo bankowe pozwala stwierdzić, że ustęp pierwszy tego artykułu dotyczy przetwarzania danych osobowych odnoszących się do osób fizycznych, które są stroną "aktywnego" stosunku prawnego z bankiem. Wymóg uzyskania zgody na przetwarzania danych osobowych dotyczy bowiem takich zobowiązań wynikających z umowy z bankiem, które wygasły, z wyłączeniem układów, w których zobowiązanie nie zostało wykonane, albo klient banku dopuścił się zwłoki powyżej 60 dni – art. 105a ust. 2 i ust. 3 ustawy – Prawo bankowe.
Na etapie całego postępowania nie jest kontestowane, że zobowiązanie łączące skarżącego z Bankiem nie wygasło, uległo natomiast przedawnieniu. Skutkiem przedawnienia nie jest zakończenie stosunku prawnego zobowiązaniowego, lecz wyłącznie możliwości domagania się przez wierzyciela, spełnienia świadczenia przez konsumenta – art. 117 § 21 ustawy z dnia 23 kwietnia 1964 r. - Kodeks cywilny (Dz. U. 2025 r. poz. 1071). Polski system prawny w sposób jednoznaczny odróżnia więc instytucję przedawnienia i wygaśnięcia zobowiązania, przypisując im odmienne skutki prawne; potwierdza to expressis verbis art. 87 ustawy – Prawo bankowe i art. 9a ust. 5 pkt 2 ustawy z dnia 12 maja 2011 r. o kredycie konsumenckim (Dz. U. 2024r. poz. 1497). W tym stanie rzeczy nie ulega wątpliwości, że przedawnienie zobowiązania kredytowego z dnia 24 lutego 2009 r. nie oznaczało jego wygaśnięcia i Bank był uprawniony utrzymywać rachunek kredytowy jako aktywny, tym bardziej – co kilkukrotnie podkreślono w skardze kasacyjnej – że skarżący systematycznie spłaca to przedawnione zobowiązanie. Księgowanie operacji wpłat na rachunek przedawnionego zobowiązania kredytowego bez jednoczesnego przetwarzania danych osobowych skarżącego jest niemożliwe. Skonkludować zatem należało, że Bank mógł przetwarzać dane osobowe skarżącego na podstawie art. 105a ust. 1 ustawy – Prawo bankowe.
Nie można zgodzić się ze skarżącym kasacyjnie, że przetwarzania jego danych osobowych przez Bank było możliwe jedynie na etapie zawierania umowy kredytowej, na potrzeby oceny zdolności kredytowej i analizy ryzyka kredytowego. Jak wyżej wspomniano dane osobowe skarżącego przetwarzane przez Bank stanowią tajemnice bankową, przez którą zgodnie z art. 104 ust. 1 ustawy – Prawo bankowe rozumie się wszelkie informacje dotyczące czynności bankowej, uzyskane w czasie negocjacji, w trakcie zawierania i realizacji umowy, na podstawie której bank tę czynność wykonuje. Przepisy prawa nie zawężają więc pojęcia tajemnicy bankowej wyłącznie do danych osobowych uzyskanych na etapie zawierania umowy z bankiem, ale również na etapie jej realizacji.
Biuro Informacji Kredytowej (BIK) jest instytucją utworzoną na podstawie
art. 105 ust. 4 ustawy – Prawo bankowe przez banki wspólnie z bankowymi izbami gospodarczymi, upoważnioną do gromadzenia, przetwarzania i udostępniania bankom informacji stanowiących tajemnicę bankową w zakresie, w jakim informacje te są potrzebne w związku z wykonywaniem czynności bankowych oraz w związku ze stosowaniem metod wewnętrznych oraz innych metod i modeli, o których mowa
w części trzeciej rozporządzenia nr 575/2013. BIK jest więc instytucją, która ma umożliwić wszystkim bankom podejmowanie czynności bankowych z obecnymi
i przyszłymi klientami, w tym w szczególności właściwą oceną zdolności kredytowej
i analizę ryzyka kredytowego. Odnotować w tym miejscu trzeba, że przez czynność bankową rozumie się między innymi udzielanie kredytów i pożyczek pieniężnych (art. 5 ust. 1 pkt 3 i ust. 2 pkt 1 ustawy – Prawo bankowe). Z tego względu użytego
w art. 105a ust. 1 ustawy – Prawo bankowe zastrzeżenia, że bank może przetwarzać informacje stanowiące tajemnice bankową "w celu oceny zdolności kredytowej i analizy ryzyka kredytowego" nie można zawężać wyłącznie do układów odnoszących się do okresu sprzed zawarcia umowy kredytowej. W takim układzie, wszelkie informacje dotyczące klienta banku odnoszące się do realizacji umowy kredytowej nie mogłyby być przetwarzane, co uniemożliwiałoby BIK realizację jego ustawowych kompetencji. Trafność przyjętych konkluzji potwierdza wprost § 1 pkt 1 rozporządzenia Ministra Finansów z dnia 23 czerwca 2016 r. w sprawie szczegółowego zakresu danych podlegających wymianie pomiędzy instytucjami utworzonymi na podstawie przepisów prawa bankowego a instytucjami pożyczkowymi i innymi podmiotami (Dz. U. 2016 r. poz. 971), który wprost wskazuje, że banki przekazują BIK (między innymi) informacje dotyczące przebiegu realizacji zobowiązania, stanu zadłużenia z tytułu zobowiązania, daty wygaśnięcia zobowiązania, przyczyn niewykonania zobowiązania lub dopuszczenia się zwłoki w jego wykonaniu. Przekazanie tych danych do BIK uzależnione jest - w sensie logicznym, nie tylko prawnym – od dopuszczenia możliwości ich przetwarzania przez bank.
Reasumując, dane osobowe klienta banku odnoszące się do etapu realizacji zawartej umowy kredytowej stanowią informacje będące tajemnicę bankową, które bank ma prawo przetwarzać i przekazać do systemu Biura Informacji Kredytowej na podstawie art. 105 ust. 1 pkt 1c i ust. 4 w zw. z art. 105a ust. 1 ustawy – Prawo bankowe.
Z podanych przyczyn zarzut błędnej wykładni art. 105a ust. 1 ustawy – Prawo bankowe nie mógł zostać uwzględniony.
Nie można również zgodzić się z tezami skargi kasacyjnej, że podstawą przetwarzania danych osobowych skarżącego nie mógł być art. 6 ust. 1 lit. f RODO.
W kwestii podstaw przetwarzania danych osobowych na podstawie tego przepisu szeroko wypowiedział się NSA w uzasadnieniu wyroku z dnia 20 lutego 2024 r., III OSK 2700/22. Wyrażone w nim oceny prawne skład orzekający w niniejszej sprawie w pełni podziela.
Zgodnie z postanowieniami art. 6 ust. 1 RODO "[p]rzetwarzanie jest zgodne
z prawem wyłącznie w przypadkach, gdy - i w takim zakresie, w jakim - spełniony jest co najmniej jeden z poniższych warunków - lit. f - przetwarzanie jest niezbędne do celów wynikających z prawnie uzasadnionych interesów realizowanych przez administratora lub przez stronę trzecią, z wyjątkiem sytuacji, w których nadrzędny charakter wobec tych interesów mają interesy lub podstawowe prawa i wolności osoby, której dane dotyczą, wymagające ochrony danych osobowych, w szczególności gdy osoba, której dane dotyczą, jest dzieckiem."
Zastosowanie art. 6 ust. 1 lit. f RODO jest więc uzasadnione, gdy łącznie spełnione są następujące przesłanki:
1) po stronie administratora istnieją cele, dla osiągnięcia których przetwarzanie danych osobowych jest niezbędne;
2) cele te wynikają z "prawnie uzasadnionych interesów" realizowanych przez administratora;
3) "prawnie uzasadnione interesy" realizowane przez administratora mają charakter nadrzędny wobec interesów lub podstawowych praw i wolności osoby, której dotyczą przetwarzane dane.
Poprzez cel, dla osiągnięcia którego przetwarzanie danych osobowych jest niezbędne, należy rozumieć stan rzeczy, układ rzeczywistości, do którego dąży administrator poprzez to przetwarzanie. "Niezbędność" przetwarzania danych osobowych do osiągnięcia obranego przez administratora celu sprowadza się do ustalenia, że bez tego przetwarzania nie da się go zrealizować. Chodzi więc o wykazanie logicznie uzasadnionego i weryfikowalnego związku przyczynowo-skutkowego pomiędzy przetwarzaniem danych osobowych a realizacją stanu rzeczy, do którego dąży administrator. Ustalenie "niezbędności" przetwarzania danych osobowych dla celów administratora musi opierać się na przesłankach konkretnych, uwzględniających możliwie najszersze spektrum uwarunkowań jego realizacji. Przetwarzanie danych osobowych na podstawie art. 6 ust. 1 lit. f RODO wymaga od administratora wykazania, że jest to konieczne z uwagi na charakter celu, okoliczności faktyczne i prawne jego realizacji oraz relacje podmiotowe pomiędzy administratorem a osobą, której te dane dotyczą. Zgodnie z zasadą rozliczalności (art. 5 ust. 2 RODO) administrator będzie zobowiązany wykazać, że zarówno zakres, jak i sposób przetwarzania danych osobowych jest adekwatny do obranego przez niego celu i warunków jego realizacji - zasada ograniczonego celu przetwarzania (art. 5 ust. 1 lit. b RODO) i zasada minimalizacji przetwarzanych danych (art. 5 ust. 1 lit. c RODO).
Kolejnym warunkiem przetwarzania danych osobowych na podstawie art. 6 ust. 1 lit. f RODO jest ustalenie, że cel, dla osiągnięcia którego przetwarzanie to jest niezbędne "wynika z prawnie uzasadnionych interesów realizowanych przez administratora (lub przez stronę trzecią)". Desygnatami "prawnie uzasadnionych interesów administratora" nie są wyłącznie te interesy, które ściśle wiążą się
z realizacją praw i obowiązków wynikających z przepisów prawa. Takie wąskie rozumienie tego pojęcia prowadziłoby bowiem do częściowego zdublowania przesłanki przetwarzania danych osobowych z art. 6 ust. 1 lit. f z przesłanką określoną w art. 6 ust. 1 lit. c RODO; art. 6 ust. 1 lit. c RODO legitymizuje przetwarzanie danych osobowych, jeżeli "jest niezbędne do wypełnienia obowiązku prawnego ciążącego na administratorze". Prawnie uzasadniony interes administratora należy więc rozumieć, jako interes prawnie dopuszczony, niesprzeczny z porządkiem prawnym.
Do prawnie uzasadnionych interesów administratora danych osobowych prawodawca unijny odwołał się w motywie 47 preambuły RODO, w którym stwierdził, że "[t]aki prawnie uzasadniony interes może istnieć na przykład w przypadkach, gdy zachodzi istotny i odpowiedni rodzaj powiązania między osobą, której dane dotyczą, a administratorem, na przykład gdy osoba, której dane dotyczą, jest klientem administratora lub działa na jego rzecz. Aby stwierdzić istnienie prawnie uzasadnionego interesu, należałoby w każdym przypadku przeprowadzić dokładną ocenę, w tym ocenę tego, czy w czasie i w kontekście, w którym zbierane są dane osobowe, osoba, której dane dotyczą, ma rozsądne przesłanki by spodziewać się, że może nastąpić przetwarzanie danych w tym celu."
Treść motywu 47 preambuły RODO nie wskazuje więc konkretnie, matrycowo, jakie warunki powinny zostać spełnione, aby można było stwierdzić, że administrator przetwarza dane osobowe zgodnie ze swoimi prawnie uzasadnionymi interesami. Podano jedynie przykładowo, iż może chodzić o szczególnego rodzaju relację pomiędzy administratorem a osobą, której dane są przetwarzane. W każdym, konkretnym układzie należy rozstrzygnąć, czy treść i charakter tej relacji w sposób rozsądny uzasadnia takie przetwarzanie w określonym zakresie i czasie. Wyeksponować trzeba, że w motywie 47 prawodawca unijny w ogóle nie powiązał "prawnie uzasadnionych interesów" administratora z porządkiem prawnym. Akcent położył natomiast na charakter relacji łączącej administratora z osobą, której dane są przetwarzane, jej kontekstowość oraz wynikającą z jej indywidualnych uwarunkowań racjonalnie uzasadnioną potrzebę tego przetwarzania. Motyw 47 preambuły RODO
w kontekście rekonstrukcji zakresu stosowania art. 6 ust. 1 lit. f RODO przesądza, że dopuszczalność przetwarzania danych osobowych na tej podstawie powinna być oceniana kauzalnie, z uwzględnieniem, że zasadnicze znaczenie w tym przedmiocie, powinny mieć uwarunkowania konkretnej relacji pomiędzy administratorem, a osobą której dotyczą przetwarzane dane. Porządek prawny - w tej przestrzeni formułowania ocen - należy traktować jako granicę dopuszczalności prawnie uzasadnionego interesu administratora, na którym opiera przetwarzanie danych osobowych. Porządek prawny może więc być przeszkodą do przetwarzania danych osobowych na podstawie art. 6 ust. 1 lit. f RODO, jeżeli interesu administratora nie da się z nim pogodzić - interes administratora będzie sprzeczny z porządkiem prawnym, a więc nie będzie prawnie uzasadniony. Porządek prawny nie stanowi ścisłej podstawy uzasadnionego interesu administratora do przetwarzania danych osobowych na podstawie art. 6 ust. 1 lit. f RODO, wyznacza natomiast granicę tego przetwarzania. Potwierdzeniem przyjętego założenia, jest zastrzeżenie uczynione in fine w art. 6 ust. 1 lit. f RODO, że przepis ten "nie ma zastosowania do przetwarzania, którego dokonują organy publiczne w ramach realizacji swoich zadań." Tłumacząc intencje uczynionego wyłączenia w motywie 47 preambuły RODO podano: "Ponieważ dla organów publicznych podstawę prawną przetwarzania danych osobowych powinien określić ustawodawca, prawnie uzasadniony interes administratora nie powinien mieć zastosowania jako podstawa prawna do przetwarzania, którego dokonują organy publiczne w ramach realizacji swoich zadań."
Dostrzegając, że zakres przedmiotowy stosowania art. 6 ust. 1 lit. f RODO nie obejmuje wyłącznie tych sytuacji, w których podstawa prawna przetwarzania danych osobowych jest wyraźnie określona, prawodawca unijny wyłączył z zakresu podmiotowego jego stosowania organy władzy publicznej, których podstawy i granice działania muszą być zawsze ściśle wyznaczone przez prawo. Uczynione wyłączenie potwierdza więc elastyczność przedmiotowego zakresu stosowania art. 6 ust. 1 lit. f RODO.
Argumentacyjnym wsparciem dla przedstawionych ocen prawnych jest fakt, że artykuł 6 ust. 1 lit. f RODO miał swój odpowiednik w przepisie art. 23 ust. 1 pkt 5 ustawy o ochronie danych osobowych z 1997 r. (dalej u.o.d.o.), który dopuszczał przetwarzanie danych osobowych, gdy było to "niezbędne dla wypełnienia prawnie usprawiedliwionych celów realizowanych przez administratorów danych albo odbiorców danych, a przetwarzanie nie naruszało praw i wolności podmiotu danych." Porównanie obu tych przepisów prowadzi do wniosku, że RODO nie przyniosło w tym zakresie zmian, które powodowałyby modyfikację sensu poprzedniej regulacji - D. Lubasz, W. Chomiczewski (w:) RODO. Ogólne rozporządzenie o ochronie danych. Komentarz, red. E. Bielak-Jomaa, Warszawa 2018, Lex/el, uwaga 1 do art. 6 ust. 1 lit. f RODO.
Z tego względu w przekonaniu Naczelnego Sądu Administracyjnego aktualny pozostaje pogląd wyrażony w wydanej na tle treści art. 23 ust. 1 pkt 5 u.o.d.o. uchwale 7 sędziów NSA z 6 czerwca 2005 r., sygn. I OPS 2/05, w której stwierdzono, że "prawnie usprawiedliwiony cel", o jakim mowa w art. 23 ust. 1 pkt 5 u.o.d.o. to cel "prawnie dopuszczalny". W ocenie Naczelnego Sądu Administracyjnego orzekającego w niniejszej sprawie nie ma żadnych racjonalnych przeszkód do uwzględnienia tego poglądu przy rekonstrukcji znaczenia użytego w art. 6 ust. 1 lit. f RODO pojęcia "prawnie uzasadnionych interesów". Kwantyfikatorem rozstrzygającym o dopuszczalności przetwarzania danych osobowych na podstawie art. 6 ust. 1 lit. f RODO jest charakter relacji istniejącej pomiędzy administratorem danych osobowych, a osobą, której dane podlegają przetwarzaniu. Jeżeli z charakteru tej relacji da się racjonalnie wywieść, że przetwarzanie danych osobowych jest niezbędne do zrealizowania przez administratora celu wynikającego z tej relacji i jest to cel przez prawo dopuszczony, to zastosowanie art. 6 ust. 1 lit. f RODO będzie uzasadnione, chyba że interesy lub podstawowe prawa i wolności osoby, której przetwarzane dane dotyczą będą nadrzędne wobec interesu administratora. Jak stwierdzono w motywie 47 preambuły RODO: "Interesy i prawa podstawowe osoby, której dane dotyczą, mogą być nadrzędne wobec interesu administratora danych w szczególności w przypadkach, gdy dane osobowe są przetwarzane w sytuacji, w której osoby, których dane dotyczą, nie mają rozsądnych przesłanek, by spodziewać się dalszego przetwarzania."
Rozważając przedstawione uwagi natury ogólnej w kontekście rozpoznawanej sprawy należy podać, że dane osobowe skarżącego zostały pozyskane i przetwarzane przez Bank w związku z zawarciem umowy kredytowej 24 lutego 2009 roku. Cel pozyskania i przetwarzania danych osobowych był więc jednoznaczny i prawnie dopuszczalny. Na dzień wydania decyzji przez organ zobowiązanie kredytowe skarżącego nie wygasło, uległo natomiast przedawnieniu. Stosunek prawny pomiędzy skarżącym a Bankiem nadal istniał, choć zmienił swą pierwotną treść, adekwatnie do skutków, jakie przepisy prawa wiążą z przedawnieniem zobowiązania. Skarżący – co sam przyznaje w skardze kasacyjnej – systematycznie spłaca zobowiązanie. W takim układzie należy przyjąć, że Bank posiada prawnie uzasadniony interes w przetwarzaniu danych osobowych skarżącego w rozumieniu art. 6 ust. 1 lit. f RODO. Przetwarzanie jego danych jest niezbędne do kontynuacji realizacji umowy zobowiązania kredytowego. W zakresie umocowania prawnego do przetwarzania danych osobowych skarżącego mieści się przekazanie ich do Biura Informacji Kredytowej. Jak zostało wyżej wykazane, w tym zakresie administrator – Bank – jest podmiotem obowiązków prawnych, które jest zobowiązany realizować – art. 105 ust. 1 pkt 1c i ust. 4 w zw. z art. 105a ust. 1 ustawy – Prawo bankowe.
Odnosząc się do argumentów wskazanych w skardze kasacyjnej trzeba podać, że kwestia poczucia pokrzywdzenia skarżącego w związku z zamieszczeniem w BIK informacji o nieuregulowaniu swoich zobowiązań wobec Banku nie ma w sprawie znaczenia. Jest niesporne, że skarżący kasacyjnie nie spłacił terminowo zobowiązania wobec Banku, wskutek czego uległo ono przedawnieniu. System bankowy został ukształtowany w taki sposób, aby wszystkie instytucje udzielające kredytów, czy pożyczek mogły pozyskać informacje o klientach, którzy w przeszłości nie spłacili swoich zobowiązań w ogóle, albo pozostają w tym zakresie w zwłoce. Informacje te po czasie są usuwane z BIK. Dostęp do takich informacji jest konieczny dla właściwej oceny zdolności kredytowej i ryzyka kredytowego. Logika wywodu skargi kasacyjnej, w której ujawnienie informacji w BIK postrzega się jako pozaprawny nacisk skierowany na wymuszenie wykonania zobowiązania wobec Banku jest zniekształcona. Wobec przedawnienia zobowiązania skarżący nie musi go realizować, ale nie może oczekiwać, że informacja dotycząca tej okoliczności pozostanie niejawna dla podmiotów funkcjonujących w sektorze bankowym. I nie chodzi tu o powołaną w skardze kasacyjnej stygmatyzację, ale o możliwość przeprowadzenia w stosunku do skarżącego rzetelnej oceny ryzyka kredytowego w przyszłości.
Prawnego znaczenia nie ma również fakt, że Bank wycofał dane osobowe skarżącego z BIK, a następnie ponownie je przekazał do prowadzonego przez tę instytucję systemu. Nie jest rolą Sądu oceniać dlaczego Bank tak postąpił. Istotne jest wyłącznie to, czy Bank w zgodzie z przepisami prawa przetwarza dane osobowe skarżącego, w tym i w zakresie obejmującym przekazanie ich do systemu BIK.
Naczelny Sąd Administracyjny nie może wchodzić w polemikę ze skarżącym kasacyjnie odnośnie do tego, które jego zobowiązania powinny być miarodajne przy ocenie jego zdolności kredytowej. Kwestia ta nie mieści się w granicach niniejszej sprawy.
Z wyłożonych względów Naczelny Sąd Administracyjny na podstawie art. 184 p.p.s.a. oddalił skargę kasacyjną.