III OSK 165/22

III OSK 165/22 - Wyrok NSA
Data orzeczenia
2025-07-10
orzeczenie prawomocne
Data wpływu
2022-01-18
Sąd
Naczelny Sąd Administracyjny
Sędziowie
Artur Kuś
Mariusz Kotulski /sprawozdawca/
Olga Żurawska - Matusiak /przewodniczący/
Symbol z opisem
647  Sprawy związane z ochroną danych osobowych
Sygn. powiązane
II SA/Wa 474/21 - Wyrok WSA w Warszawie z 2021-09-28
Skarżony organ
Generalny Inspektor Ochrony Danych Osobowych
Treść wyniku
Uchylono zaskarżony wyrok i oddalono skargi
Sentencja
Naczelny Sąd Administracyjny w składzie: Przewodniczący: Sędzia NSA Olga Żurawska-Matusiak Sędziowie: Sędzia NSA Artur Kuś Sędzia del. WSA Mariusz Kotulski (spr.) Protokolant: starszy asystent sędziego Justyna Skwarek-Światłoń po rozpoznaniu w dniu 10 lipca 2025 r. na rozprawie w Izbie Ogólnoadministracyjnej skargi kasacyjnej Prezesa Urzędu Ochrony Danych Osobowych od wyroku Wojewódzkiego Sądu Administracyjnego w Warszawie z dnia 28 września 2021 r. sygn. akt II SA/Wa 474/21 w sprawie ze skarg [...] S.A. z siedzibą w [...] oraz A. S.A. z siedzibą w [...] na decyzję Prezesa Urzędu Ochrony Danych Osobowych z dnia [...] grudnia 2020 r. nr [...] w przedmiocie przetwarzania danych osobowych 1. uchyla zaskarżony wyrok i oddala skargi, 2. zasądza od [...] S.A. z siedzibą w [...] oraz A. S.A. z siedzibą w [...] solidarnie na rzecz Prezesa Urzędu Ochrony Danych Osobowych kwotę 580 (pięćset osiemdziesiąt) złotych tytułem zwrotu kosztów postępowania kasacyjnego.
Uzasadnienie
Wojewódzki Sąd Administracyjny w Warszawie wyrokiem z dnia 28 września 2021 r. sygn. akt II SA/Wa 474/21, po rozpoznaniu sprawy ze skarg [...] S.A. z siedzibą w K. oraz [...] S.A. z siedzibą w W. na decyzję Prezesa Urzędu Ochrony Danych Osobowych z dnia [...] grudnia 2020 r. nr [...] w przedmiocie przetwarzania danych osobowych, uchylił zaskarżoną decyzję (pkt 1), zasądził od Prezesa Urzędu Ochrony Danych Osobowych na rzecz [...] S.A. z siedzibą w K. kwotę 200 zł, tytułem zwrotu kosztów postępowania (pkt 2), a także zasądził od Prezesa Urzędu Ochrony Danych Osobowych na rzecz [...] S.A. z siedzibą w W. kwotę 697 zł, tytułem zwrotu kosztów postępowania (pkt 3).
Wyrok zapadł na tle następującego stanu faktycznego i prawnego:
Do Prezesa Urzędu Ochrony Danych Osobowych (dalej: "Prezes UODO", "organ") wpłynęła skarga M. T. (dalej: "uczestnik") na nieprawidłowości w procesie przetwarzania jego danych osobowych przez [...] S.A. z siedzibą w W. (dalej: "[...]", "skarżący") i [...] S.A. z siedzibą w K. (dalej: "Bank", "skarżący") polegające na przetwarzaniu jego danych osobowych zawartych w zapytaniach kredytowych bez podstawy prawnej.
Prezes UODO ustalił, że:
1. Bank, jak podał uczestnik, w dniach 4 listopada 2018 r., 18 grudnia 2018 r., 31 stycznia 2019 r. i 16 marca 2019 r., wysłał zapytania kredytowe do [...], w wyniku czego w bazie [...] przetwarzane są dane osobowe uczestnika dotyczące tych zapytań. Pomiędzy uczestnikiem a Bankiem nie doszło do zawarcia umowy. Wobec powyższego uczestnik wniósł o usunięcie jego danych osobowych przetwarzanych bez podstawy prawnej (dowód: skarga z dnia 2 stycznia 2020 r.).
2. Bank pozyskał dane osobowe uczestnika bezpośrednio od niego w związku z zawarciem umów o świadczenie usług bankowych oraz złożonymi w dniach 4 listopada 2018 r., 18 grudnia 2018 r., 31 stycznia 2019 r. i 16 marca 2019 r. wnioskami kredytowymi. W związku z powyższym pozyskał dane osobowe uczestnika w zakresie: imię, nazwisko, PESEL, nazwisko rodowe matki, imiona rodziców, data urodzenia, płeć, kraj urodzenia, miejsce urodzenia, data urodzenia, status dewizowy, status podatkowy, obywatelstwo, adres zamieszkania, adres korespondencyjny, adres email, seria i numer dowodu osobistego, numer telefonu komórkowego, stan cywilny, status mieszkaniowy, wykształcenie, liczba osób w gospodarstwie, koszty gospodarstwa domowego, źródło dochodu, okres osiągania dochodu, dane pracodawcy, zawód wykonywany oraz wysokość dochodu (dowód: wyjaśnienia Banku z dnia 9 lipca 2020 r. wraz z załącznikami).
3. Bank wyjaśnił, że przetwarza obecnie dane osobowe uczestnika w związku z zapytaniami kredytowymi w celu oceny zdolności kredytowej na podstawie art. 70 ustawy z dnia 29 sierpnia 1997 r. Prawo bankowe (Dz. U. z 2020 r. poz. 1896, zwana dalej: "Prawo bankowe") w zakresie: imię, nazwisko, PESEL, data urodzenia, nazwisko rodowe matki, płeć, miejsce urodzenia, status dewizowy, seria i numer dowodu osobistego i data ważności dowodu osobistego, adres zamieszkania, numer telefonu, adres e-mail, stan cywilny, status mieszkaniowy, wykształcenie, liczba osób w gospodarstwie, koszty gospodarstwa domowego, oświadczenie o dochodach i zobowiązaniach, zawód wykonywany oraz status zatrudnienia. Powyższe dane osobowe będą przetwarzane przez Bank przez okres 3 lat na podstawie art. 118 ustawy z dnia 23 kwietnia 1964 r. Kodeks cywilny (Dz. U. z 2020 r. poz. 1740) (dowód: wyjaśnienia Banku z dnia 9 lipca 2020 r. wraz z załącznikami).
4. [...] wyjaśnił, że przetwarza obecnie dane osobowe uczestnika przekazane przez Bank w związku ze złożonymi zapytaniami kredytowymi w zakresie: imię, nazwisko, numer PESEL, numer i seria dokumentu tożsamości, data urodzenia, płeć, obywatelstwo, dane adresowe oraz dane z wniosku kredytowego dotyczące wnioskowanego kredytu. Powyższe dane osobowe uczestnika zostały przekazane do [...] przez Bank na podstawie art. 105 ust. 4 oraz 105a ust. 1 Prawa bankowego oraz na podstawie łączącej Bank i [...] umowy. [...] przetwarza dane pochodzące z zapytań kredytowych przez okres 12 miesięcy od dnia złożenia zapytania w celu oceny zdolności kredytowej i analizy ryzyka kredytowego konkretnego klienta (indywidualna ocena zdolności kredytowej) oraz w celu przeciwdziałania przestępstwom oraz wykonywania obowiązków w zakresie określonym w przepisach o przeciwdziałaniu praniu pieniędzy oraz finansowaniu terroryzmu. W przypadku uczestnika wyżej wymienione zapytania kredytowe nie są przetwarzane w celach opisanych wyżej, ze względu na upływ 12 miesięcy od dnia złożenia zapytań. [...] wskazał, że będzie przetwarzał dane osobowe uczestnika w związku ze złożonymi zapytaniami kredytowymi w celu budowy modeli scoringowych tj. narzędzi wykorzystywanych przez banki do oceny zdolności kredytowej i analizy ryzyka kredytowego przez okres 5 lat od dnia złożenia zapytania, w celu statystycznym i analiz przez okres nie dłuższy niż 10 lat od dnia przekazania zapytania do [...], w celu rozpatrywania ewentualnych reklamacji i roszczeń odszkodowawczych – do momentu przedawnienia potencjalnych roszczeń wynikających z zapytań oraz w celu wypełnienia obowiązku wynikającego z art. 15 Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (Dziennik Urzędowy Unii Europejskiej, L 119, 4 maja 2016, zwanego dalej: "RODO"), w przypadku wystąpienia przez osobę, której dane dotyczą z wnioskiem o udzielenie informacji (dowód: wyjaśnienia [...] z dnia 5 czerwca 2020 r.).
5. Uczestnik zwrócił się do Banku oraz [...] o usunięcie jego danych osobowych przetwarzanych w związku ze złożonymi wnioskami kredytowymi. Powyższe podmioty odmówiły usunięcia danych osobowych uczestnika (dowód: wyjaśnienia Banku z dnia 9 lipca 2020 r. wraz z załącznikami, wyjaśnienia [...] z dnia 5 czerwca 2020 r. wraz załącznikami).
Po rozpoznaniu skargi uczestnika, Prezes UODO decyzją z dnia [...] grudnia 2020 r. nr [...] na podstawie art. 104 § 1 ustawy z dnia 14 czerwca 1960 r. Kodeks postępowania administracyjnego (Dz. U. z 2020 r. poz. 256 z późn. zm., zwana dalej: "k.p.a."), art. 6 ust. 1 oraz art. 58 ust. 2 lit. c RODO, nakazał Bankowi i [...] usunięcie danych osobowych uczestnika.
Na powyższą decyzję skargę do Wojewódzkiego Sądu Administracyjnego w Warszawie wniosły [...] S.A. z siedzibą w K. oraz [...] S.A. z siedzibą w W.
W odpowiedzi na skargę Banku Prezes UODO wniósł o jej oddalenie oraz podtrzymał stanowisko.
Wojewódzki Sąd Administracyjny w Warszawie w powołanym wyżej wyroku uznał, że skarga była zasadna i zasługiwała na uwzględnienie, ponieważ Sąd dopatrzył się w działaniu organu rozstrzygającego w niniejszej sprawie nieprawidłowości, zarówno, gdy idzie o ustalenie stanu faktycznego sprawy, jak i o zastosowanie do jego oceny przepisów prawa. Zdaniem Sądu nie zostały wyjaśnione motywy podjętego rozstrzygnięcia, a przytoczona na ten temat argumentacja nie jest wyczerpująca.
Uzasadniając swoje stanowisko Sąd I instancji wskazał, że w niniejszym stanie faktycznym nie doszło do zawarcia umowy kredytowej, w tym też zakresie należy rozważyć czy odpadła przesłanka legalizująca dalsze przetwarzanie przez Bank i [...] danych osobowych uczestnika. Pomiędzy uczestnikiem a Bankiem nie zawiązał się, w następstwie złożenia wniosku kredytowego, żaden stosunek zobowiązaniowy. W związku z powyższym zasadne jest pytanie czy w świetle przepisów art. 105a ust. 1-6 Prawa bankowego nadal istniej podstawa do dalszego przetwarzania danych osobowych uczestnika przez skarżących – strony tego postępowania.
Zdaniem Sądu I instancji w tym stanie faktycznym przedmiot sporu ogranicza się do ustalenia: a) celu i okresu przetwarzania danych uczestnika o zapytaniach kredytowych przez [...] - gdy planowana umowa kredytowa nie doszła do skutku i odpowiednio wobec Banku, b) celu i okresu przetwarzania przez Bank danych osobowych uczestnika, które to dane zostały umieszczone w zapytaniach kredytowych.
W ocenie Sądu poza wyjaśnieniem skarżących, Prezes UODO nie ustalił z urzędu innych wymaganych przez prawo celów przetwarzania ww. danych, jak również nie uwzględnił w decyzji wszystkich okoliczności przetwarzania wskazywanych przez Bank. Organ nie wziął pod uwagę tych celów przetwarzania danych i podstaw prawnych ich przetwarzania w opisanym stanie rzeczy. W stanie faktycznym sprawy zasadne jest rozważenie zwrócenia się do Komisji Nadzoru Finansowego (dalej: "KNF") o zajęcie stanowiska w rozpatrywanej kwestii na podstawie art. 7b k.p.a., jako organu właściwego w sprawach związanych m.in. z badaniem zdolności kredytowej i analizą ryzyka kredytowego, a także budową modeli scoringowych w zakresie wykorzystywania do realizacji tych zadań danych, w tym danych osobowych o niezrealizowanych zapytaniach kredytowych. W tym postępowaniu istnieje zarówno i cel indywidualny osoby fizycznej w postaci ochrony danych osobowych, jak i cel opisany w art. 6 e) RODO, tj. przetwarzanie jest niezbędne do wykonania zadania realizowanego w interesie publicznym lub w ramach sprawowania władzy publicznej powierzonej administratorowi. Banki są instytucjami zaufania publicznego i działają w bardzo wrażliwym rynku finansowym. Wobec powyższego należy uznać, że nakaz ustawodawcy wynikający z art. 7b k.p.a. obliguje organy do współdziałania ze sobą w każdym przypadku, gdy przyczyni się to do szybszego załatwienia sprawy.
Sąd I instancji podkreślił, że z wyrażonej w przepisach m.in. zasady prawdy obiektywnej wynika zatem, że to na organie ciąży obowiązek podjęcia wszelkich czynności zmierzających do wyjaśnienia sprawy i wyczerpującego zbadania wszystkich okoliczności faktycznych związanych z określoną sprawą, aby w ten sposób stworzyć jej rzeczywisty obraz i uzyskać podstawę do trafnego zastosowania przepisu prawa. W ocenie Sądu z uwagi na stopień skomplikowania tej sprawy, która nie ogranicza się do prostej subsumcji przepisu, który literalnie wskazywałby prawo do przetwarzania danych przed nawiązaniem stosunku gospodarczego, specjalistyczny charakter wiedzy wynikających zarówno z przepisów Prawa bankowego, innych przepisów prawa w tym rozporządzenia CRR, jak i wymogów organu nadzoru rynku finansowego (i to nadzorów światowych czuwających nad całym rynkiem finansowym) - Komisji Nadzoru Finansowego, wymagał współdziałania Prezesa UODO z KNF. Słusznie zauważono, że to jest indywidualna sprawa, ale zasadne jest też twierdzenie, że przyjęcie takiego rozstrzygnięcia o konieczności wykasowania danych w Banku i [...] może powodować powstanie niepewności na rynku finansowym. W ocenie Sądu: a) obecnie przepisy prawa wymagają badania zdolności kredytowej w bazach zewnętrznych (np. art. 9 ust. 2 ustawy o kredycie konsumenckim), przepisom tym towarzyszą rekomendacje organów nadzoru (w Polsce KNF, w całej UE - EUNB); wykonanie tego obowiązku bank też musi umieć udowodnić, a więc nie można kasować informacji o fakcie pytania, b) nie jest możliwe wykonanie art. 105 ust. 4 Prawa bankowego (czyli powołania całej bazy [...] z natychmiastowo kasowaną informacją o tym, że ta sama osoba złożyła w innym banku wniosek o kredyt, ale do zawarcia umowy nie doszło; jeśli zamiast bazy [...] miałby powstać obowiązek zapytań kredytowych pomiędzy bankami to z punktu widzenia oszacowania ryzyka kredytowego taka wykładnia czyni bezsensownym art. 105 ust. 4 Prawa bankowego, a jest pewnym, że doprowadzi do szkód po stronie innych banków, bowiem chwila w której - zdaniem Prezesa UODO - dane należy usunąć - nie została precyzyjnie określona), c) w tej sprawie obydwa podmioty, tj. [...] i Bank wskazały okresy przechowywania danych z zapytań kredytowych, gdy do zawarcia umowy nie doszło i są to okresy stosunkowo krótkie (Bank wskazał na okres 3 letni), zatem w ocenie Sądu zasadny jest pogląd skarżących, że nie może się utrzymywać teza wypowiedziana przez NSA w wyroku I OSK 2567/17 - o przetwarzaniu takich danych ad infinitum. Te aspekty sprawy, nie zostały zbadane przez organ.
Wojewódzki Sad Administracyjny w Warszawie stwierdził, że ponownie rozpoznając sprawę organ uzyska stanowisko KNF i dopiero wtedy wyda decyzję. W ocenie Sądu kwestionowana decyzja jest przedwczesna. W ocenie Wojewódzkiego Sądu Administracyjnego w Warszawie organ rozstrzygając sprawę oparł się na materiale analizowanym wybiórczo.
Skargę kasacyjną od tego wyroku wniósł Prezes Urzędu Ochrony Danych Osobowych, zaskarżając wyrok w całości i zarzucając mu:
1) naruszenie przepisów postępowania mające istotny wpływ na wynik sprawy, tj. art. 145 § 1 pkt 1 lit. c ustawy z dnia 30 sierpnia 2002 r. Prawo o postępowaniu przed sądami administracyjnymi (Dz. U. z 2325 z późn. zm., zwana dalej: "p.p.s.a.") w zw. z art. 7, art. 7b, art. 8, art. 11 oraz art. 77 § 1 oraz art. 107 § 3 k.p.a., poprzez niezasadne uznanie, że Prezes Urzędu Ochrony Danych Osobowych wydając decyzję naruszył ww. przepisy postępowania, co w konsekwencji doprowadziło do uchylenia zaskarżonej decyzji,
2) naruszenie przepisów prawa materialnego, tj. art. 105 ust. 4 Prawa bankowego, poprzez jego błędną wykładnię polegającą na przyjęciu, że natychmiastowe kasowanie informacji o złożonym wniosku o kredyt, który nie doprowadził do zawarcia umowy z bankiem uniemożliwia wykonanie tego przepisu i będzie skutkowało powstaniem szkód po stronie banków.
Mając powyższe na uwadze skarżący kasacyjnie organ wniósł o uchylenie w całości zaskarżonego wyroku Wojewódzkiego Sądu Administracyjnego w Warszawie i oddalenie skarg w przypadku uznania, że istota sprawy jest dostatecznie wyjaśniona, ewentualnie uchylenie w całości zaskarżonego wyroku i przekazanie sprawy do ponownego rozpoznania Wojewódzkiemu Sądowi Administracyjnemu w Warszawie. Jednocześnie Prezes UODO wniósł o zasądzenie zwrotu kosztów postępowania według norm przepisanych, a także rozpoznanie przedstawionej skargi kasacyjnej na rozprawie.
Powyższe zarzuty rozwinięto w uzasadnieniu skargi kasacyjnej.
W niniejszej sprawie zostały wniesione dwie odpowiedzi na skargę kasacyjną.
W pierwszej odpowiedzi na skargę kasacyjną [...] S.A. z siedzibą w K. zarzucił skardze kasacyjnej:
1) naruszenie art. 174 pkt 2 p.p.s.a. w zakresie zarzutu naruszenia przepisów postępowania mającego istoty wpływ na wynik sprawy albowiem nie jest dopuszczalny zarzut naruszenia przepisów Kodeksu postępowania administracyjnego (k.p.a.) przez Wojewódzki Sąd Administracyjny (WSA) w toku postępowania toczonego na podstawie Prawa o postępowaniu przed sądami administracyjnymi,
2) naruszenie art. 174 pkt 1 p.p.s.a. albowiem zarzut naruszenia przez WSA w wyroku z dnia 28 września 2021 r. przepisu art. 105 ust. 4 Prawa bankowego jest w tym przypadku:
a) oczywiście bezzasadny i jako taki podlega odrzuceniu a limine, a nadto, zdaniem Banku
b) zarzutu, tak jak go sformułowano w skardze, nie ma oparcia w treści zaskarżonego wyroku WSA,
3) naruszenie art. 174 pkt 1 i pkt 2 p.p.s.a. albowiem w ostatnim zdaniu skargi kasacyjnej Prezes UODO twierdzi, że "...podniesione przez Sąd w uzasadnieniu jego wyroku (...) tezy, nie stanowiły podstawy do uchylenia decyzji z dnia 15 grudnia 2020 r. (...)". Wobec takiego twierdzenia skarżącego, zdaniem Banku, skarga kasacyjna nie zawiera zarzutów wymaganych art. 174 p.p.s.a., albowiem jeśli dobrze rozumiemy ten fragment skargi wyrok - zdaniem skarżącego - nie stanowi podstawy do uchylenia decyzji. Zatem skarga nie tyle formułuje zarzuty wobec osnowy wyroku, a raczej jest wyrazem niezgody czy polemiki z poglądami wyrażonymi w tym orzeczeniu. Takie pismo jednak nie zawiera podstaw kasacyjnych wymaganych art. 174 p.p.s.a.
4) nietrafność zarzutów Prezesa UODO wobec ustaleń Wojewódzkiego Sądu Administracyjnego w zakresie naruszenia przez Prezesa Urzędu przepisów k.p.a., w szczególności przepisów art. 7, art. 7b, art. 77, art. 8 i art. 11 k.p.a. albowiem uznanie za zasadne zarzutów Prezesa Urzędu skutkowałoby tym, aby strona była zobowiązana dostarczyć nawet te informacje, które z urzędu organ powinien znać, nawet te które są oczywiste, a w braku ich dostarczenia Prezes Urzędu mógłby wydać decyzje nakazujące skasowanie danych nawet wbrew wyraźnemu przepisowi ustawy, o ile tylko przepis ten nie zostałby wyraźnie powołany przez stronę w postępowaniu administracyjnym (!).
5) nietrafność zarzutów Prezesa UODO wobec ustaleń Wojewódzkiego Sądu Administracyjnego w zakresie naruszenia przez Prezesa Urzędu przepisów k.p.a., w szczególności przepisów art. 7, art. 7b, art. 77, art. 8 i art. 11 k.p.a. albowiem nie jest zgodne ze stanem rzeczywistym, aby prawidłowe stosowanie ww. przepisów k.p.a. miało w zaskarżonym wyroku oznaczać, że "organ nadzorczy wyręczy [...] i Bank w realizacji zasady rozliczalności" (str. 10 skargi), gdyż takiej tezy nie feruje ani Bank ani Wojewódzki Sąd Administracyjny w zaskarżonym wyroku.
6) nietrafność zarzutów Prezesa Urzędu wobec ustaleń Wojewódzkiego Sądu Administracyjnego w zakresie naruszenia przez Prezesa UODO przepisów k.p.a., w szczególności przepisów art. 7, art. 7b, art. 77, art. 8 i art. 11 k.p.a., albowiem nie jest zgodne ze stanem rzeczywistym, aby prawidłowe stosowanie ww. przepisów k.p.a. miało w zaskarżonym wyroku oznaczać, że organ prowadząc postępowanie musi ustalić hipotetyczne cele przetwarzania danych.
7) nietrafność zarzutów skargi kasacyjnej Prezesa UODO dotyczących naruszenia przez Wojewódzki Sąd Administracyjny art. 105 ust. 4 Prawa bankowego.
W odpowiedzi na skargę kasacyjną Bank wniósł o odrzucenie skargi kasacyjnej jako, że nie spełnia ona wymogów art. 174 w związku z art. 176 § 1 pkt 2 p.p.s.a., co zostało wykazane w zarzutach w pkt. 1-3, ewentualnie w przypadku oddalenia powyższego wniosku, oddalenie w całości skargi kasacyjnej Prezesa Urzędu, zwrot kosztów postępowania, w tym kosztów zastępstwa procesowego według norm przepisanych, a także rozpoznanie skargi kasacyjnej na rozprawie.
W drugiej odpowiedzi na skargę kasacyjną [...] S.A. wniosło o jej oddalenie, zasądzenie kosztów postępowania, w tym kosztów zastępstwa procesowego według norm przepisanych, a także rozpoznanie skargi kasacyjnej na rozprawie.
Naczelny Sąd Administracyjny zważył, co następuje:
Zgodnie z art. 183 § 1 p.p.s.a. Naczelny Sąd Administracyjny przy rozpatrywaniu sprawy na skutek wniesienia skargi kasacyjnej związany jest granicami tej skargi, a z urzędu bierze pod rozwagę tylko nieważność postępowania w wypadkach określonych w § 2, z których żaden w rozpoznawanej sprawie nie zachodzi. Oznacza to, że przytoczone w skardze kasacyjnej przyczyny wadliwości prawnej zaskarżonego orzeczenia determinują zakres kontroli dokonywanej przez Naczelny Sąd Administracyjny. Sąd ten, w odróżnieniu od wojewódzkiego sądu administracyjnego, nie bada całokształtu sprawy, lecz tylko weryfikuje zasadność zarzutów postawionych w skardze kasacyjnej.
Podstawy, na których można oprzeć skargę kasacyjną zostały określone w art. 174 p.p.s.a. Przepis art. 174 pkt 1 p.p.s.a. przewiduje dwie postacie naruszenia prawa materialnego, a mianowicie błędną jego wykładnię lub niewłaściwe zastosowanie. Przez błędną wykładnię należy rozumieć niewłaściwe zrekonstruowanie treści normy prawnej wynikającej z konkretnego przepisu, natomiast przez niewłaściwe zastosowanie, dokonanie wadliwej subsumcji przepisu do ustalonego stanu faktycznego. Również druga podstawa kasacyjna wymieniona w art. 174 pkt 2 p.p.s.a. – naruszenie przepisów postępowania – może przejawiać się w tych samych postaciach, co naruszenie prawa materialnego, przy czym w wypadku oparcia skargi kasacyjnej na tej podstawie skarżący powinien nadto wykazać istotny wpływ wytkniętego uchybienia na wynik sprawy. Jednocześnie podkreślić należy, że w sytuacji, gdy strona wnosząca skargę kasacyjną zarzuca wyrokowi Sądu I instancji naruszenie przepisów prawa materialnego, jak i naruszenie przepisów postępowania, w pierwszej kolejności trzeba odnieść się do zarzutu naruszenia przepisów postępowania, bowiem dopiero wówczas, gdy zostanie przesądzone, że stan faktyczny przyjęty przez Sąd I instancji za podstawę orzekania jest prawidłowy albo nie został dostatecznie podważony, można przejść do oceny zasadności zarzutów prawa materialnego.
W przypadku jednak sformułowania zarzutów w oparciu o art. 174 pkt 2 p.p.s.a., przedstawianych jako skutek przyjęcia przez sąd wojewódzki określonego poglądu w sferze prawa materialnego, z czym nie zgadza się autor skargi kasacyjnej, prezentujący inny pogląd w sferze prawa materialnego niż ten, który przyjęto za podstawę wyroku, właściwe jest rozpoznanie przez Naczelny Sąd Administracyjny w pierwszej kolejności zarzutu naruszenia prawa materialnego, skoro zasadność zarzutów natury procesowej może się okazać skuteczna jedynie wówczas, gdy przyjęcie przez sąd wojewódzki określonego poglądu w sferze prawa materialnego okazałoby się wadliwe.
Zarzut prawa materialnego odnosi się do naruszenia tj. art. 105 ust. 4 Prawa bankowego, poprzez jego błędną wykładnię.
Przypomnieć należy, że przedmiotem postępowania prowadzonego w niniejszej sprawie przez Prezesa UODO było przetwarzanie danych osobowych pozyskanych przez Bank i [...] w związku ze złożonymi przez uczestnika zapytaniami kredytowymi pomimo tego, że ostatecznie nie doszło do zawarcia umowy kredytowej.
Dodać także należy, że w związku ze złożonymi wnioskami o zawarcie umów kredytowych dane osobowe zostały pozyskane bezpośrednio od uczestnika i były za jego zgodą przetwarzane w celu ich analizy zarówno przez Bank, jak i na podstawie art. 105 ust. 4 oraz 105a ust. 1 ustawy Prawo bankowe przez [...]. Kwestie te oraz zakres przetwarzania danych osobowych osoby składającej wniosek o zawarcie umów kredytowych przez Bank i [...] nie budzi wątpliwości zarówno Prezesa UODO, jak Sądu. Istota problemu w niniejszej sprawie odnosi się do pytania, czy pomimo tego, że do zawarcia umowy kredytowej nie doszło Bank i [...] mogą nadal przetwarzać dane osobowe wnioskodawcy.
Wymaga to odpowiedzi na pytanie, czy administrator danych (Bank, [...]) przetwarza pozyskane dane osobowe w sposób prawidłowy i zgodny z przepisami o ochronie danych osobowych. Zgodnie z art. 5 ust. 1 i 2 RODO dane osobowe muszą być:
a) przetwarzane zgodnie z prawem, rzetelnie i w sposób przejrzysty dla osoby, której dane dotyczą ("zgodność z prawem, rzetelność i przejrzystość");
b) zbierane w konkretnych, wyraźnych i prawnie uzasadnionych celach i nieprzetwarzane dalej w sposób niezgodny z tymi celami; dalsze przetwarzanie do celów archiwalnych w interesie publicznym, do celów badań naukowych lub historycznych lub do celów statystycznych nie jest uznawane w myśl art. 89 ust. 1 za niezgodne z pierwotnymi celami ("ograniczenie celu");
c) adekwatne, stosowne oraz ograniczone do tego, co niezbędne do celów, w których są przetwarzane ("minimalizacja danych");
d) prawidłowe i w razie potrzeby uaktualniane; należy podjąć wszelkie rozsądne działania, aby dane osobowe, które są nieprawidłowe w świetle celów ich przetwarzania, zostały niezwłocznie usunięte lub sprostowane ("prawidłowość");
e) przechowywane w formie umożliwiającej identyfikację osoby, której dane dotyczą, przez okres nie dłuższy, niż jest to niezbędne do celów, w których dane te są przetwarzane; dane osobowe można przechowywać przez okres dłuższy, o ile będą one przetwarzane wyłącznie do celów archiwalnych w interesie publicznym, do celów badań naukowych lub historycznych lub do celów statystycznych na mocy art. 89 ust. 1, z zastrzeżeniem że wdrożone zostaną odpowiednie środki techniczne i organizacyjne wymagane na mocy niniejszego rozporządzenia w celu ochrony praw i wolności osób, których dane dotyczą ("ograniczenie przechowywania");
f) przetwarzane w sposób zapewniający odpowiednie bezpieczeństwo danych osobowych, w tym ochronę przed niedozwolonym lub niezgodnym z prawem przetwarzaniem oraz przypadkową utratą, zniszczeniem lub uszkodzeniem, za pomocą odpowiednich środków technicznych lub organizacyjnych ("integralność i poufność").
2. Administrator jest odpowiedzialny za przestrzeganie przepisów ust. 1 i musi być w stanie wykazać ich przestrzeganie ("rozliczalność").
Zatem zgodnie z zasadą rozliczalności (art. 5 ust. 2 RODO) to na administratorze danych spoczywa obowiązek wykazania, że zarówno zakres, jak i sposób przetwarzania danych osobowych jest adekwatny do obranego przez niego celu i warunków jego realizacji - zasada ograniczonego celu przetwarzania (art. 5 ust. 1 lit. b RODO) i zasady minimalizacji przetwarzania danych (art. 5 ust. 1 lit. c RODO).
W tym miejsce podkreślić należy, że Prezes UODO jest wyspecjalizowanym organem w sprawach ochrony danych osobowych, który ma status i kompetencje organu nadzorczego określone w przepisach RODO. Z tego względu Prezes UODO jest uprawniony do samodzielnego dokonywania interpretacji przepisów prawa w zakresie dotyczącym ochrony danych osobowych. W sprawie niniejszej Prezes UODO nie miał zatem obowiązku zwracania się do KNF ani w zakresie dokonywanych ustaleń stanu faktycznego, ani w zakresie wyjaśnień stanu prawnego. Jedynym zadaniem i celem Prezesa UODO jest kontrola, czy pozyskane przez administratora dane osobowe są przetwarzane w sposób prawidłowy i zgodny z przepisami o ich ochronie, t.j. w sposób adekwatny do celu jakiemu mają one służyć oraz warunkom jego realizacji, a nie innym celom i potrzebom systemu bankowego.
Wnioskodawca składając wniosek o zawarcie umów kredytowych upoważnił Bank do przetwarzania jego danych osobowych w tym zakresie, a także do zasięgania informacji o ewentualnych jego zobowiązaniach w instytucjach utworzonych na podstawie art. 105 ust. 4 ustawy Prawo bankowe. Powyższe jest niezbędne do prawidłowej analizy takiego wniosku oraz określenia zdolności kredytowej ze względu na szereg związanych z tym zmiennych (np. wysokości osiąganych dochodów, już posiadanych kredytów i terminowości ich spłacania, rodzaju kredytu o jaki ubiega się wnioskodawca). Jak wynika bowiem z art. 70 ust. 1 Prawa bankowego bank uzależnia przyznanie kredytu od zdolności kredytowej kredytobiorcy. Przez zdolność kredytową rozumie się zdolność do spłaty zaciągniętego kredytu wraz z odsetkami w terminach określonych w umowie. Kredytobiorca jest obowiązany przedłożyć na żądanie banku dokumenty i informacje niezbędne do dokonania oceny tej zdolności. Co więcej banki i inne instytucje ustawowo upoważnione do udzielania kredytów na wniosek osoby fizycznej, prawnej lub jednostki organizacyjnej niemającej osobowości prawnej, o ile posiada zdolność prawną, ubiegającej się o kredyt przekazują, w formie pisemnej, wyjaśnienie dotyczące dokonanej przez siebie oceny zdolności kredytowej wnioskującego (art. 70a ust.1 Prawa bankowego).
Zgodnie z postanowieniami art. 6 ust. 1 RODO "[p]rzetwarzanie jest zgodne z prawem wyłącznie w przypadkach, gdy - i w takim zakresie, w jakim - spełniony jest co najmniej jeden z poniższych warunków:
- lit. c przetwarzanie jest niezbędne do wypełnienia obowiązku prawnego ciążącego na administratorze,
- lit. f - przetwarzanie jest niezbędne do celów wynikających z prawnie uzasadnionych interesów realizowanych przez administratora lub przez stronę trzecią, z wyjątkiem sytuacji, w których nadrzędny charakter wobec tych interesów mają interesy lub podstawowe prawa i wolności osoby, której dane dotyczą, wymagające ochrony danych osobowych, w szczególności gdy osoba, której dane dotyczą, jest dzieckiem".
Interpretacja użytego w art. 6 ust. 1 lit. c RODO wyrażenia językowego "obowiązku prawnego", który ciążył na administratorze, wymaga takiego przyjęcia jego rozumienia, zgodnie z którym obowiązkiem prawnym jest tylko taki obowiązek, który wynika wyraźnie z przepisów ustawy lub z przepisów do ustawy wykonawczych. Chodzić zatem musi o przepis prawa, który na gruncie rozumienia uzyskanego w drodze zastosowania dyrektyw wykładni językowej prowadzić będzie do rezultatu, zgodnie z którym określony przepis ustawowy lub wykonawczy nakładać będzie na konkretny podmiot prawo, a zarazem obowiązek przetwarzania sprecyzowanych danych osobowych, określając zakres, okoliczności, warunki i czas przetwarzania. Na gruncie rozpoznawanej sprawy wskazane wyżej przepisy prawa bankowego przewidują w art. 105 ust. 4 Prawa bankowego podmiot, który może przetwarzać dane osobowe uzyskiwane w trakcie świadczenia usług bankowych, zaś w art. 105a ust. 1-6 Prawa bankowego regulują szczegółowe warunki, zakres, okoliczności i czas przetwarzania tych danych osobowych. Przepisy ust. 1 i 1a wskazują cele, którym może służyć przetwarzanie danych osobowych, przepis ust. 1b kategorie danych osobowych, które mogą być przetwarzane, przepis ust. 2 – przesłankę legalizującą przetwarzanie danych w postaci zgody osoby fizycznej, przepis ust. 3 – warunki przetwarzania danych osobowych bez zgody osoby fizycznej, przepis ust. 4 – warunki i cele przetwarzania danych osobowych bez zgody osoby fizycznej po wygaśnięciu zobowiązania, przepis ust. 5 – czas przetwarzania danych osobowych, a przepis ust. 6 – zakres przetwarzanych danych obejmujący dane o osobie fizycznej oraz o treści zobowiązania.
Istotne jest podkreślenie, iż przepisy te odnoszą się wyłącznie do przetwarzania danych osobowych klientów banku, z którymi doszło do nawiązania relacji prawnej o charakterze zobowiązaniowym. Interpretacja tych przepisów z zastosowaniem reguł wykładni językowej prowadzić musi do wniosku, iż nie jest dopuszczalne przetwarzanie danych osobowych klientów banków, z którymi nie doszło do nawiązania przez bank stosunku zobowiązaniowego. Bank, ani podmiot, o którym mowa w art. 105 ust. 4 Prawa bankowego nie ma "obowiązku prawnego" w rozumieniu art. 6 ust. 1 lit. c RODO przetwarzania danych osobowych klienta banku, z którym nie doszło do nawiązania relacji prawnej zobowiązaniowej, gdyż przepisy art. 105a ust. 1-6 Prawa bankowego nie zawierają upoważnienia dla administratora do przetwarzania danych osobowych takiego klienta, ograniczając swój zakres wyłącznie do klientów, którzy zawarli umowę z bankiem.
Natomiast zastosowanie art. 6 ust. 1 lit. f RODO jest uzasadnione, gdy łącznie spełnione są następujące przesłanki:
1) po stronie administratora istnieją cele, dla osiągnięcia których przetwarzanie danych osobowych jest niezbędne;
2) cele te wynikają z "prawnie uzasadnionych interesów" realizowanych przez administratora;
3) "prawnie uzasadnione interesy" realizowane przez administratora mają charakter nadrzędny wobec interesów lub podstawowych praw i wolności osoby, której dotyczą przetwarzane dane.
Poprzez cel, dla osiągnięcia którego przetwarzanie danych osobowych jest niezbędne, należy rozumieć stan rzeczy, układ rzeczywistości, do którego dąży administrator poprzez to przetwarzanie. "Niezbędność" przetwarzania danych osobowych do osiągnięcia obranego przez administratora celu sprowadza się do ustalenia, że bez tego przetwarzania nie da się go zrealizować. Chodzi więc o wykazanie logicznie uzasadnionego i weryfikowalnego związku przyczynowo-skutkowego pomiędzy przetwarzaniem danych osobowych a realizacją stanu rzeczy, do którego dąży administrator. Ustalenie "niezbędności" przetwarzania danych osobowych dla celów administratora musi opierać się na przesłankach konkretnych, uwzględniających możliwie najszersze spektrum uwarunkowań jego realizacji. Przetwarzanie danych osobowych na podstawie art. 6 ust. 1 lit. f RODO wymaga od administratora wykazania, że jest to konieczne z uwagi na charakter celu, okoliczności faktyczne i prawne jego realizacji oraz relacje podmiotowe pomiędzy administratorem a osobą, której te dane dotyczą. Zgodnie z zasadą rozliczalności (art. 5 ust. 2 RODO) administrator będzie zobowiązany wykazać, że zarówno zakres, jak i sposób przetwarzania danych osobowych jest adekwatny do obranego przez niego celu i warunków jego realizacji - zasada ograniczonego celu przetwarzania (art. 5 ust. 1 lit. b RODO) i zasada minimalizacji przetwarzanych danych (art. 5 ust. 1 lit. c RODO).
Kolejnym warunkiem przetwarzania danych osobowych na podstawie art. 6 ust. 1 lit. f RODO jest ustalenie, że cel, dla osiągnięcia którego przetwarzanie to jest niezbędne "wynika z prawnie uzasadnionych interesów realizowanych przez administratora (lub przez stronę trzecią)". Desygnatami "prawnie uzasadnionych interesów administratora" nie są przy tym wyłącznie te interesy, które ściśle wiążą się z realizacją praw i obowiązków wynikających z przepisów prawa. Takie wąskie rozumienie tego pojęcia prowadziłoby bowiem do częściowego zdublowania przesłanki przetwarzania danych osobowych z art. 6 ust. 1 lit. f z przesłanką określoną w art. 6 ust. 1 lit. c RODO; art. 6 ust. 1 lit. c RODO legitymizuje bowiem przetwarzanie danych osobowych, jeżeli "jest niezbędne do wypełnienia obowiązku prawnego ciążącego na administratorze". Prawnie uzasadniony interes administratora należy więc rozumieć jako interes prawnie dopuszczony, niesprzeczny z porządkiem prawnym.
Do prawnie uzasadnionych interesów administratora danych osobowych prawodawca unijny odwołał się w motywie 47 preambuły RODO, w którym stwierdził, że "[t]aki prawnie uzasadniony interes może istnieć na przykład w przypadkach, gdy zachodzi istotny i odpowiedni rodzaj powiązania między osobą, której dane dotyczą, a administratorem, na przykład gdy osoba, której dane dotyczą, jest klientem administratora lub działa na jego rzecz. Aby stwierdzić istnienie prawnie uzasadnionego interesu, należałoby w każdym przypadku przeprowadzić dokładną ocenę, w tym ocenę tego, czy w czasie i w kontekście, w którym zbierane są dane osobowe, osoba, której dane dotyczą, ma rozsądne przesłanki by spodziewać się, że może nastąpić przetwarzanie danych w tym celu".
Treść motywu 47 preambuły RODO nie wskazuje więc konkretnie, jakie warunki powinny zostać spełnione, aby można było stwierdzić, że administrator przetwarza dane osobowe zgodnie ze swoimi prawnie uzasadnionymi interesami. Podano jedynie przykładowo, iż może chodzić o szczególnego rodzaju relację pomiędzy administratorem a osobą, której dane są przetwarzane. W każdym konkretnym układzie należy rozstrzygnąć, czy treść i charakter tej relacji w sposób rozsądny uzasadnia takie przetwarzanie w określonym zakresie i czasie. Wyeksponować trzeba, że w motywie 47 prawodawca unijny w ogóle nie powiązał "prawnie uzasadnionych interesów" administratora z porządkiem prawnym. Akcent położył natomiast na charakter relacji łączącej administratora z osobą, której dane są przetwarzane, jej kontekstowość oraz wynikającą z jej indywidualnych uwarunkowań racjonalnie uzasadnioną potrzebę tego przetwarzania.
Motyw 47 preambuły RODO w kontekście rekonstrukcji zakresu stosowania art. 6 ust. 1 lit. f RODO przesądza, że dopuszczalność przetwarzania danych osobowych na tej podstawie powinna być oceniana kauzalnie, z uwzględnieniem, że zasadnicze znaczenie w tym przedmiocie, powinny mieć uwarunkowania konkretnej relacji pomiędzy administratorem, a osobą której dotyczą przetwarzane dane. Porządek prawny - w tej przestrzeni formułowania ocen - należy traktować jako granicę dopuszczalności prawnie uzasadnionego interesu administratora, na którym opiera przetwarzanie danych osobowych. Porządek prawny może więc być przeszkodą do przetwarzania danych osobowych na podstawie art. 6 ust. 1 lit. f RODO, jeżeli interesu administratora nie da się z nim pogodzić - interes administratora będzie sprzeczny z porządkiem prawnym, a więc nie będzie prawnie uzasadniony. Porządek prawny nie stanowi ścisłej podstawy uzasadnionego interesu administratora do przetwarzania danych osobowych na podstawie art. 6 ust. 1 lit. f RODO, wyznacza natomiast granicę tego przetwarzania (zob. w tej materii wyrok Naczelnego Sądu Administracyjnego z dnia 8 stycznia 2025 r., sygn. akt III OSK 4868/21 oraz wyrok NSA z 13 lutego 2025 r., sygn. akt III OSK 6563/21).
Odwołując się do regulacji ujętych w ustawie Prawo bankowe, należy podnieść, że przedmiot regulacji – przetwarzanie objętych tajemnicą bankową danych osób fizycznych – sytuował art. 105a jako przepis szczególny w stosunku do przepisów RODO, choć z istotnymi jednak zastrzeżeniami wynikającymi z charakteru prawnego RODO. Mianowicie ogólny zasięg i bezpośrednia stosowalność RODO wyłącza jego transpozycję do prawa krajowego z wyjątkiem zakresu, który wynika wprost z samego rozporządzenia. Ponadto z mocy art. 4 ust. 3 Traktatu o Unii Europejskiej wszelkie przepisy krajowe wyłączające bądź osłabiające moc uprawnień nadanych jednostkom w rozporządzeniu – także w relacjach horyzontalnych, tj. pomiędzy jednostkami – muszą być pomijane przez organy krajowe w procesie stosowania prawa. Zatem norma zawarta w art. 105a Prawa bankowego ma charakter semiimperatywny wobec norm RODO. Jeżeli zakresy normowania i obowiązywania RODO i art. 105a Prawa bankowego pokrywają się, art. 105a znajduje zastosowanie tylko wtedy, gdy jest korzystniejszy dla osoby fizycznej, niż RODO. Ponadto art. 105a Prawa bankowego znajduje zastosowanie także w kwestiach nieuregulowanych w RODO; jednak w takim wypadku warunkiem zastosowania art. 105a Prawa bankowego jest zachowanie spójności aksjologicznej i prakseologicznej z RODO (zob. w tej materii: Lechosław Kociucki [w:] J. M. Kondek, K. Królikowska, B. Bajor, Prawo bankowe. Komentarz do przepisów cywilnoprawnych, Warszawa 2020; komentarz do art. 105(a); System Informacji Prawnej LEX/el).
Z kolei zgodnie z art. 105a ust. 1 Prawa bankowego przetwarzanie przez banki, inne instytucje ustawowo upoważnione do udzielania kredytów oraz instytucje utworzone na podstawie art. 105 ust. 4, informacji stanowiących tajemnicę bankową w zakresie dotyczącym osób fizycznych może być wykonywane (...) w celu oceny zdolności kredytowej i analizy ryzyka kredytowego.
Stosownie zaś do art. 105a ust. 2 Prawa bankowego, z zastrzeżeniem ust. 3, instytucje, o których mowa w ust. 1, mogą przetwarzać informacje stanowiące tajemnicę bankową oraz informacje udostępnione przez instytucje pożyczkowe oraz podmioty, o których mowa w art. 59d ustawy z dnia 12 maja 2011 r. o kredycie konsumenckim, w zakresie dotyczącym osób fizycznych po wygaśnięciu zobowiązania wynikającego z umowy zawartej z bankiem, inną instytucją ustawowo upoważnioną do udzielania kredytów, instytucją pożyczkową lub podmiotem, o którym mowa w art. 59d ustawy z dnia 12 maja 2011 r. o kredycie konsumenckim, pod warunkiem uzyskania pisemnej zgody osoby, której informacje te dotyczą, z zastrzeżeniem ust. 2a. Zgoda ta może być w każdym czasie odwołana.
Natomiast art. 105a ust. 3 Prawa bankowego stanowi, że banki, instytucje oraz podmioty, o których mowa w ust. 1, mogą przetwarzać informacje stanowiące tajemnicę bankową i informacje udostępnione przez instytucje pożyczkowe oraz podmioty, o których mowa w art. 59d ustawy z dnia 12 maja 2011 r. o kredycie konsumenckim, dotyczące osób fizycznych po wygaśnięciu zobowiązania wynikającego z umowy zawartej z bankiem, inną instytucją ustawowo upoważnioną do udzielania kredytów, instytucją pożyczkową lub podmiotem, o którym mowa w art. 59d ustawy z dnia 12 maja 2011 r. o kredycie konsumenckim, bez zgody osoby, której informacje dotyczą, gdy osoba ta nie wykonała zobowiązania lub dopuściła się zwłoki powyżej 60 dni w spełnieniu świadczenia wynikającego z umowy zawartej z bankiem, inną instytucją ustawowo upoważnioną do udzielania kredytów, instytucją pożyczkową lub podmiotem, o którym mowa w art. 59d ustawy z dnia 12 maja 2011 r. o kredycie konsumenckim, a po zaistnieniu tych okoliczności upłynęło co najmniej 30 dni od poinformowania tej osoby przez bank, inną instytucję ustawowo upoważnioną do udzielania kredytów, instytucję pożyczkową albo podmiot, o którym mowa w art. 59d ustawy z dnia 12 maja 2011 r. o kredycie konsumenckim, o zamiarze przetwarzania dotyczących jej tych informacji, bez jej zgody.
Według art. 105a ust. 4 Prawa bankowego, banki oraz instytucje, o których mowa w art. 105 ust. 4, mogą przetwarzać stanowiące tajemnicę bankową informacje dotyczące osoby fizycznej po wygaśnięciu zobowiązania wynikającego z umowy zawartej z bankiem lub inną instytucją ustawowo upoważnioną do udzielania kredytów bez zgody osoby, której informacje dotyczą, do celów stosowania metod wewnętrznych oraz innych metod i modeli, o których mowa w części trzeciej rozporządzenia nr 575/2013.
Natomiast ust. 5 art. 105a Prawa bankowego przewiduje, że przetwarzanie informacji stanowiących tajemnicę bankową w przypadkach, o których mowa w ust. 3, może być wykonywane przez okres nie dłuższy niż 5 lat od dnia wygaśnięcia zobowiązania, a w przypadku, o którym mowa w ust. 4, przez okres 12 lat od dnia wygaśnięcia zobowiązania. Zakres przetwarzanych informacji, o których mowa w ust. 3 i 4, może obejmować dane dotyczące osoby fizycznej lub dane dotyczące zobowiązania (art. 105a ust. 6).
Z cytowanych przepisów wynika, że przesłanki zawarte w art. 105a Prawa bankowego dotyczą przetwarzania informacji objętych tajemnicą bankową w okresie przed powstaniem zobowiązania, w trakcie jego trwania oraz po wygaśnięciu zobowiązania. Zdaniem Naczelnego Sądu Administracyjnego wszelkie regulacje znoszące ochronę danych osobowych muszą być odczytywane i wykładane ściśle, z uwzględnieniem funkcji jakiej mają służyć. Zatem w sytuacji, gdy w następstwie złożenia wniosku kredytowego nie dochodzi do zawarcia umowy kredytowej z Bankiem brak jest ustawowych przesłanek legalizujących dalsze przetwarzanie danych osobowych wnioskującego o zawarcie i wykonanie umowy produktowej w zakresie zapytania kredytowego przez Bank, a następczo [...]. Brak jest również uzasadnienia dla przyjęcia, że Bank jest uprawniony do przetwarzania danych osobowych w związku z koniecznością ewentualnego wypełnienia obowiązku wynikającego z art. 70a ust. 1 i ust. 2 Prawa bankowego. Wnioskodawca w niniejszej sprawie wykazał w sposób jednoznaczny wolę usunięcia danych, a zatem przyjąć należy, że nie jest zainteresowany realizacją prawa do wyjaśnienia dotyczącego dokonanej oceny zdolności kredytowej, w myśl art. 70a ust. 1 i 2 Prawa bankowego.
Prawidłowe, co do zasady - zdaniem Naczelnego Sądu Administracyjnego - jest zatem stanowisko Prezesa UODO, że o ile samo pozyskanie danych osobowych wnioskodawcy przez Bank, a następnie udostępnienie ich do [...] w zakresie zapytania kredytowego spełnia warunki legalnego przetwarzania danych osobowych, o tyle już przetwarzanie tych danych osobowych przez Bank lub [...] po dokonaniu jego weryfikacji zdolności kredytowej i nie zawarciu umowy kredytowej (ze względu na brak zdolności kredytowej, przedstawione przez bank kredytobiorcy warunki takiego kredytu, czy też z jakichkolwiek innych powodów) nie ma podstaw prawnych, a tym samym narusza zasadę wynikającą z art. 5 ust.1 lit. e RODO, tj. zasadę ograniczonego przechowywania.
Zdaniem Naczelnego Sądu Administracyjnego skoro nie doszło do zawarcia umowy kredytowej nie może być wątpliwości, że ocena zdolności kredytowej i analiza ryzyka kredytowego zostały dokonane (zrealizowane). Cel przetwarzania danych, dla którego zostały one zgromadzone w zapytaniach kredytowych, został tym samym osiągnięty. Odpadła przesłanka legalizująca dalsze przetwarzanie danych osobowych wnioskodawcy przez Bank oraz [...], które to przetwarzanie miało na celu ocenę zdolności kredytowej i analizę ryzyka kredytowego (przed zawarciem umowy). Pomiędzy Bankiem a wnioskodawcą nie nawiązał się bowiem żaden stosunek zobowiązaniowy, który stosownie do art. 105a ust. 1-5 Prawa bankowego dawałby podstawę do dalszego przetwarzania jego danych osobowych zarówno przez Bank, jak i [...]. Nie budzi wątpliwości, że ocena zdolności kredytowej i ryzyka kredytowego ma charakter czynności wstępnych przed zawarciem umowy przez Bank. Dalsze przetwarzanie danych (uzyskanych pierwotnie wyłącznie w celu oceny zdolności kredytowej i analizy ryzyka kredytowego) w przypadku braku zawarcia stosownej umowy, pozostaje w oderwaniu od celu, dla którego dane zostały zebrane.
Podkreślenia wymaga, że niewątpliwie nie mamy w sprawie do czynienia z sytuacją, w której nawiązano stosunek zobowiązaniowy i następnie dane przetwarzane są (w tym także udostępniane) przez administratora nie tylko w celu zasadniczym, tj. realizacji zawartej z klientem umowy, ale także w innych celach, które powstały w trakcie trwania stosunku zobowiązaniowego i które w ocenie administratora powinny być, czy mogą być – w związku z trwającym stosunkiem prawnym - kwalifikowane jako jego "prawnie uzasadnione interesy" na gruncie RODO (art. 6 ust. 1 lit. f RODO). Sprawa przedmiotowa dotyczy przetwarzania danych osoby fizycznej, z którą Bank - w danym momencie - nie zawarł umowy.
W ocenie Naczelnego Sądu Administracyjnego podstawy do dalszego przetwarzania danych osobowych wnioskodawcy na przyszłość nie stanowią też inne cele wskazywane przez Bank i [...] w skargach oraz w odpowiedzi na skargę kasacyjną. W okolicznościach faktycznych niniejszej sprawy dla Banku, jak też [...] nie jest to żadna z przesłanek z art. 6 ust. 1 lit. a - f RODO. W szczególności nie stanowi takiej przesłanki art. 6 ust. 1 lit. c RODO. Przepis ten dotyczy bowiem sytuacji, gdy przetwarzanie jest niezbędne do wypełnienia obowiązku prawnego administratora danych, a nie realizacji uprawnienia, o którym mowa w art. 105 ust. 4 Prawa bankowego. Podkreślenia wymaga, że art. 105 ust. 4 Prawa bankowego jest przepisem o charakterze ogólnym, który stanowi o możliwości utworzenia wspólnie z bankowymi izbami gospodarczymi, instytucji upoważnionych do gromadzenia, przetwarzania i udostępniania danych. Przepis ten nie daje podstaw do nieograniczonego przetwarzania wszelkich danych osobowych przez utworzone instytucje. Ponadto przepis art. 105 ust. 4 Prawa bankowego nie stanowi o dopuszczalności przetwarzania danych osobowych dotyczących wniosków kredytowych w sytuacji, gdy nie doszło do zawarcia umowy z Bankiem. Zasady przetwarzania danych objętych tajemnicą bankową określa art. 105a Prawa bankowego. Na gruncie tego przepisu należy oceniać zatem dopuszczalność przetwarzania poszczególnych danych osobowych w określonych ściśle celach. Nadto przepis art. 105 ust. 4 ww. ustawy nie jest przepisem samodzielnie wprowadzającym kolejny podmiot, który ma dostęp do danych stanowiących tajemnicę bankową.
Wskazać również należy na okoliczności, w jakich doszło do nowelizacji art. 105 ustawy – Prawo bankowe dokonanej mocą ustawy z dnia 1 kwietnia 2004 r. o zmianie ustawy – Prawo bankowe oraz o zmianie innych ustaw (Dz. U. z 2004 r., Nr 91, poz. 870). Fundamentalne znaczenie ma tutaj druk nr 2513-A Sejmu Rzeczypospolitej Polskiej IV kadencji (2001 – 2005), będący dodatkowym sprawozdaniem Komisji Europejskiej o rządowym projekcie ustawy o zmianie ustawy - Prawo bankowe oraz o zmianie innych ustaw (druki nr 2116 i 2513). Druk ten zawiera poprawkę nr 17 przewidującą w art. 105 po ust. 4d dodanie ust. 4e oraz 4f. Proponowany przepis ust. 4e miał mieć następujące brzmienie "Instytucje, o których mowa w ust. 4 mogą przetwarzać dane osobowe klientów banków przez okres 5 lat od dnia wygaśnięcia zobowiązania". Z kolei proponowany ust. 4f miał otrzymać brzmienie "Instytucje o których mowa w ust. 4 mogą przetwarzać dane o zapytaniach banków o osoby, których wnioski o udzielenie kredytu zostały rozpatrzone negatywnie, przez okres jednego roku od dnia otrzymania zapytania". Komisja po rozpatrzeniu tej poprawki zaproponowała jej odrzucenie. Jednocześnie należy wskazać, że w piśmie Urzędu Komitetu Integracji Europejskiej nr Min. DH-856/04/tlk z dnia 4 marca 2004 r. dotyczącym druku nr 2513-A, skierowanym bezpośrednio do Przewodniczącego Komisji Europejskiej Sejmu wyrażono jednoznaczną opinię, że poprawka nr 17 jest niezgodna z art. 7 (f) Dyrektywy 1995/46/WE, ponieważ nie wypełnia warunków dotyczących przetwarzania danych osobowych w niej zawartych (warunek celowości przetwarzania danych). Sejm RP w dniu 4 marca 2004 r. przyjął w całości projekt w wersji zaproponowanej przez Komisję Europejską Sejmu RP (por. materiały sejmowe z 69 posiedzenia Sejmu RP w dniach 2, 3, 4 i 5 marca 2004 r; dostępność: www.sejm.gov.pl).
Ubocznie jedynie wskazać należy, że na podstawie ustawy z 16 sierpnia 2023 r. (Dz. U. 2023 r., poz.1723) wprowadzono z dniem 29 września 2023 r. (a więc już po wydaniu zaskarżonej decyzji Prezesa UODO będącej przedmiotem kontroli sądowej) zmiany w art. 70a Prawa Budowlanego. Z art. 70a ust. 1c wynika, że wnioskujący o kredyt ma rok od dnia otrzymania oceny zdolności kredytowej, aby złożyć wniosek by otrzymać taka ocenę w formie pisemnej. Tym samym banki i instytucje ustawowo upoważnione do udzielania kredytów mogą przez ten okres przetwarzać dane wnioskodawcy, w zakresie jaki jest niezbędny, dla udostępnienia mu w formie pisemnej oceny jego zdolności kredytowej.
Gdyby podzielić stanowisko zaprezentowane w skargach, oraz w odpowiedziach na skargę kasacyjną, że pozyskanie danych na etapie złożenia wniosku kredytowego uprawnia bank do ich dalszego (dosyć długiego w czasie) przechowywania po odmowie zawarcia umowy kredytowej (w celu budowy modeli scoringowych tj. narzędzi wykorzystywanych przez banki do oceny zdolności kredytowej i analizy ryzyka kredytowego przez okres 5 lat od dnia złożenia zapytania, a w celach statystycznych i analiz przez okres 10 lat od dnia przekazania zapytania do [...], a nawet 12 lat), to regulacje zawarte w art. 105a Prawa bankowego ograniczające w czasie przypadki przetwarzania danych klientów z umów kredytowych pozbawione byłyby sensu. Powyższe stanowisko wpisuje się w zapatrywanie Naczelnego Sądu Administracyjnego wyrażone w sposób transparentny w wyroku z dnia 27 sierpnia 2019 r. (sygn. akt I OSK 2567/17), w którym stwierdzono, że cel oceny zdolności kredytowej stanowi ocena zdolności do spłaty zaciągniętego kredytu wraz z odsetkami, co ma charakter czynności wstępnej do zawarcia stosownej umowy. Celem oceny zdolności kredytowej i analizy ryzyka kredytowego w odniesieniu do konkretnego klienta jest bowiem zawarcie umowy kredytowej na określonych warunkach. Skoro do niej nie dochodzi wskutek tej czynności banku to nie ma podstaw prawnych do dalszego ich przechowywania. Dalsze przetwarzanie danych uzyskanych w celu oceny zdolności kredytowej, w przypadku nie zawarcia stosownej umowy pozostawałaby w oderwaniu od celu dla którego dane te uzyskano. (...) niedopuszczalne jest przetwarzanie danych osobowych na przyszłość, a także na potrzeby budowy oceny zdolności kredytowej innych podmiotów, jeżeli nie można zrekonstruować wyraźnej podstawy prawnej takich działań. Jakkolwiek pogląd ten wyrażony został na gruncie poprzednio obowiązującej ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych i obowiązującej przed RODO dyrektywy nr 95/46/WE, jednakże w ocenie Naczelnego Sądu Administracyjnego nie stracił na aktualności. Przepisy RODO wzmacniają bowiem w porównaniu z dyrektywą 95/46/WE ochronę danych osobowych osób fizycznych.
W ocenie Naczelnego Sądu Administracyjnego na gruncie RODO niedopuszczalne jest – w stanie faktycznym niniejszej sprawy, gdy nie zawarto umowy kredytowej – dalsze przetwarzanie danych osobowych wnioskodawcy "na przyszłość" w zupełnie innych celach niż je zebrano, w tym na potrzeby oceny zdolności kredytowej innych osób, w sytuacji, gdy nie można zrekonstruować wyraźnej podstawy prawnej takich działań.
Należy również zwrócić uwagę, że z motywu 50 preambuły RODO wynika, że przetwarzanie danych osobowych do celów innych niż cele, w których dane te zostały pierwotnie zebrane, jest dozwolone wyłącznie w przypadkach, gdy jest zgodne z celami, w których dane osobowe zostały pierwotnie zebrane. Ustalenie, czy pomiędzy pierwotnym celem przetwarzania a wtórnym celem przetwarzania zachodzi zgodność, wymaga uwzględnienia między innymi: wszelkich powiązań pomiędzy tymi celami; kontekstu, w którym dane osobowe zostały zebrane, w szczególności rozsądne przesłanki pozwalające osobom, których dane dotyczą, oczekiwać dalszego wykorzystania danych oparte na rodzaju ich powiązania z administratorem; charakter danych osobowych; konsekwencje zamierzonego dalszego przetwarzania dla osób, których dane dotyczą; oraz istnienie odpowiednich zabezpieczeń zarówno podczas pierwotnej, jak i zamierzonej operacji dalszego przetwarzania.
Powołany motyw 50 preambuły RODO został rozwinięty w art. 6 ust. 4 RODO, w którym zastrzeżono, że przetwarzanie danych osobowych w celach innych niż ten, w którym dane osobowe zostały zebrane, jest dopuszczalne przy uwzględnieniu:
a) wszelkich związków między celami, w których zebrano dane osobowe, a celami zamierzonego dalszego przetwarzania;
b) kontekstu, w którym zebrano dane osobowe, w szczególności relację między osobami, których dane dotyczą, a administratorem;
c) charakteru danych osobowych, w szczególności czy przetwarzane są szczególne kategorie danych osobowych zgodnie z art. 9 lub dane osobowe dotyczące wyroków skazujących i czynów zabronionych zgodnie z art. 10;
d) ewentualnych konsekwencji zamierzonego dalszego przetwarzania dla osób, których dane dotyczą;
e) istnienia odpowiednich zabezpieczeń, w tym ewentualnie szyfrowania lub pseudonimizacji.
Uwzględnienie powołanych regulacji RODO potwierdza wniosek, że w sytuacji gdy w następstwie złożenia wniosku kredytowego nie dochodzi do zawarcia umowy kredytowej z bankiem, brak jest przesłanek ustawowych legalizujących dalsze przetwarzanie danych osobowych niedoszłego klienta.
Za niezasadne uznać należy argumenty dotyczące naruszenia art. 6 ust. 1 lit. c RODO w związku z przepisami ustawy AML oraz przepisami rozporządzenia CRR. Naczelny Sąd Administracyjny przypomina, że przedmiotem oceny organu a następnie Sądu I instancji była zgodność z prawem przetwarzania danych osobowych w świetle uprawnień przyznanych skarżącym kasacyjnie przez ustawę - Prawo bankowe, a nie sposobu funkcjonowania mechanizmów kredytowych i ustalenia, jakie dane są potrzebne Bankowi i [...] dla zapewnienia prawidłowego działania tych mechanizmów. Również odwoływanie się do konieczności przetwarzania danych osobowych wnioskodawcy w zakresie pytań kredytowych po dokonaniu weryfikacji zdolności kredytowej dla potrzeb tworzenia modeli scoringowych jest nieuprawnione. Scoring kredytowy to metoda oceny wiarygodności podmiotu – zwykle osoby fizycznej lub przedsiębiorstwa – ubiegającego się o kredyt bankowy. Polega na określeniu wiarygodności kredytowej klienta na podstawie porównania jego profilu z profilem klientów, którzy już otrzymali kredyty i je spłacają. W niniejszej sprawie wnioskodawca po złożeniu zapytań kredytowych nie zawarł umowy kredytowej z Bankiem, a tym samym nie spłacał zaciągniętego kredytu, zatem jego dane zawarte w zapytaniu kredytowym (określające profil klienta) są nieprzydatne do tworzenia modeli scoringowych. Ponadto przedmiotem niniejszej sprawy i kompetencji Prezesa UODO nie jest ustalenie możliwego sposobu realizacji przez Bank i [...] obowiązków nakładanych na te podmioty przez instytucje nadzorcze w zakresie prowadzonej działalności. Naczelny Sąd Administracyjny nie neguje, że ocena ryzyka kredytowego jest obowiązkiem Banku. Instrumenty służące dokonaniu takiej oceny przez banki muszą jednak być stosowane z poszanowaniem przepisów prawa normujących uprawnienie banków do przetwarzania danych osobowych potencjalnych klientów przy uwzględnieniu generalnych zasad przetwarzania danych osobowych (art. 5 ust. 1 i ust. 2 RODO). Z kolei uprawnienia do monitorowania stosunków gospodarczych klienta i stosowania odpowiednich środków bezpieczeństwa finansowego nie mają odniesienia do rozpoznawanej sprawy, gdy nie zawarto umowy kredytowej i nie można mówić o transakcji.
Odnosząc się z kolei do zarzutów w zakresie naruszenia art. 6 ust. 1 lit. f) RODO w zw. z Rekomendacjami S, W i T Komisji Nadzoru Finansowego wyjaśnić należy, że źródłami powszechnie obowiązującego prawa w Rzeczypospolitej Polskiej są: Konstytucja, ustawy, ratyfikowane umowy międzynarodowe oraz rozporządzenia (art. 87 ust. 1 Konstytucji RP z dnia 2 kwietnia 1997 r.; Dz. U. Nr 78, poz. 483 ze zm.). Nie ulega zatem wątpliwości, że rekomendacje KNF nie są aktami prawa powszechnie obowiązującego. Nie mieszczą się bowiem w zamkniętym katalogu źródeł powszechnie obowiązującego prawa Rzeczypospolitej Polskiej, określonym w art. 87 Konstytucji RP. Ponadto wydaje je organ, który nie ma stosownego umocowania konstytucyjnego.
Argumentem wzmacniającym przedstawioną ocenę prawną jest oczywisty fakt, że dane osobowe są wartością chronioną wprost przez Konstytucję RP. Jak stanowi art. 51 ust.1 i 2 Konstytucji, nikt nie może być obowiązany inaczej niż na podstawie ustawy do ujawniania informacji dotyczących jego osoby. Władze publiczne nie mogą pozyskiwać, gromadzić i udostępniać innych informacji o obywatelach niż niezbędne w demokratycznym państwie prawnym. Prawo do ochrony danych osobowych stanowi emanację prawa do autonomii informacyjnej, pozwalając jednostce w określonym zakresie kontrolować sposób i zakres udostępnianych informacji jej dotyczących. Prawo od ich ochrony - jak przyjmuje się w piśmiennictwie – stanowi swego rodzaju emanację ogólnego prawa gwarantowanego Konstytucją RP (art. 47). Spostrzeżenie to oparte jest na założeniu, że dane osobowe są niejako częścią życia prywatnego lub rodzinnego, względnie że posługiwanie się danymi dotyczącymi innej osoby wkracza w przyznaną jej kompetencję decydowania o swoim życiu osobistym (zob. J. Barta, P. Fajgielski, R. Markiewicz, Ustawa o ochronie danych osobowych. Komentarz, komentarz do art. 1; System Informacji Prawnej LEX/el). Zgodnie z treścią art. 51 ust. 4 Konstytucji każdy ma prawo do żądania sprostowania oraz usunięcia informacji nieprawdziwych, niepełnych lub zebranych w sposób sprzeczny z ustawą. Brzmienie przywołanego przepisu nie pozostawia wątpliwości co do tego, że z jednej strony norma ta przewiduje swoiste roszczenie o modyfikację lub usunięcie danych nieprawdziwych, niepełnych lub zgromadzonych niezgodnie z ustawą, z drugiej natomiast kreuje po stronie organów lub podmiotów administrujących bazami danych obowiązek uwzględnienia oczekiwań obywatela, jeżeli rzeczywiście informacje te są obarczone wskazanymi wyżej wadami. Wobec tego każda norma hierarchicznie niższego rzędu (ustawa, rozporządzenie, akt prawa miejscowego), regulująca tego rodzaju kwestie, musi być interpretowana zgodnie z treścią przywołanego przepisu Konstytucji.
Zdaniem Naczelnego Sądu Administracyjnego skoro wnioskodawca zażądał respektowania jego prawa do ochrony danych osobowych wynikających z RODO i Konstytucji RP, a administrator danych nie wykazał innej podstawy legalizującej czynności przetwarzania, to Prezes UODO miał podstawę nakazać Bankowi oraz [...] zaprzestania przetwarzania danych osobowych wnioskodawcy w zakresie jego wniosków kredytowych złożonych w dniach 4 listopada 2018 r., 18 grudnia 2018 r., 31 stycznia 2019 r. i 16 marca 2019 r. oraz ich usunięcia.
Naczelny Sąd Administracyjny docenia i rozumie kwestie związane z bezpieczeństwem depozytów, stabilnością sektora bankowego, koniecznością prowadzenia analiz statystycznych (są to zresztą różne metody i modele opracowywane odrębnie prze [...] i każdy z banków uczestniczących w systemie wymiany - jak przyznaje w odpowiedzi na skargę kasacyjną Bank), dokonaniem oceny zdolności kredytowej oraz ryzyka kredytowego, tworzenia baz danych (także korzystania z zewnętrznych baz danych np. [...]), czy też budową modeli scoringowych. Elementy te nie są jednak wartościami nadrzędnymi wobec prawa osoby fizycznej do ochrony danych osobowych. Prawo do ochrony danych osobowych jest prawem gwarantowanym zarówno w krajowym, jak i unijnym porządku prawnym. Na płaszczyźnie krajowej regulacji prawo do ochrony danych osobowych znajduje oparcie w przepisie art. 51 Konstytucji RP. Przepis ten określa podstawowe uprawnienia składające się na prawo do ochrony danych osobowych, w kwestiach szczegółowych odsyłając do regulacji ustawowej.
W piśmiennictwie przedmiotu przyjmuje się, że prawo do ochrony danych osobowych stanowi refleks ogólnej zasady autonomii informacyjnej człowieka i swego rodzaju emanację ogólnego prawa do prywatności, gwarantowanego w art. 47 Konstytucji RP, ze względu na to, że dane osobowe są częścią życia prywatnego bądź posługiwanie się danymi dotyczącymi innej osoby wkracza w przyznaną jej kompetencję do decydowania o swoim życiu osobistym (por. J. Barta, P. Fajgielski, R. Markiewicz, Ochrona danych osobowych. Komentarz, Warszawa 2015, s. 260–261). W wyroku z 19 lutego 2002 r. (U 3/01, OTK-A 2002/1, poz. 3) Trybunał Konstytucyjny stwierdził, że tzw. autonomia informacyjna jednostki (gwarantowana w art. 51 Konstytucji RP), oznaczająca prawo do samodzielnego decydowania o ujawnianiu innym informacji dotyczących swojej osoby, a także prawo do sprawowania kontroli nad takimi informacjami znajdującymi się w posiadaniu innych podmiotów, są elementami składowymi prawa do ochrony prawnej życia prywatnego, gwarantowanego w art. 47 Konstytucji RP (na temat autonomii informacyjnej w orzecznictwie TK szerzej por. P. Litwiński, Zasada autonomii informacyjnej w orzecznictwie Trybunału Konstytucyjnego a stosowanie przepisów o ochronie danych osobowych [w:] Ochrona danych osobowych w Polsce z perspektywy dziesięciolecia, red. P. Fajgielski, Lublin 2008, s. 169–184). Zakres autonomii informacyjnej jednostki stale zmniejsza się, co jest spowodowane przesuwaniem ciężaru ochrony jednostki i jej prywatności w kierunku instytucjonalnych, publicznoprawnych instytucji i środków (M. Safjan, Prawo do prywatności i ochrona danych osobowych w społeczeństwie informatycznym, PiP 2002/6, s. 5). Nie znaczy to jednak, że zmniejszanie tej autonomii następować może bez podstawy prawnej.
W porządku prawnym UE prawo do ochrony danych osobowych jest jednym z praw podstawowych, które zostało zagwarantowane w art. 8 ust. 1 Karty praw podstawowych UE oraz art. 16 ust. 1 TFUE, o czym przypomina motyw 1 preambuły. W myśl wskazanych powyżej przepisów każda osoba ma prawo do ochrony danych osobowych jej dotyczących. Zgodnie z art. 8 ust. 2 Karty praw podstawowych UE dane osobowe powinny być przetwarzane rzetelnie w określonych celach i za zgodą osoby zainteresowanej lub na innej uzasadnionej podstawie przewidzianej ustawą; każdy ma prawo dostępu do zebranych danych, które go dotyczą, i prawo do dokonania ich sprostowania, natomiast ust. 3 wskazanego tu artykułu stanowi, iż przestrzeganie tych zasad podlega kontroli niezależnego organu.
Przepis art. 16 ust. 2 TFUE uprawnia Parlament Europejski i Radę UE do tego, aby stanowiąc zgodnie ze zwykłą procedurą ustawodawczą, określiły zasady dotyczące ochrony osób fizycznych w zakresie przetwarzania danych osobowych przez instytucje, organy i jednostki organizacyjne Unii oraz przez państwa członkowskie w wykonywaniu działań wchodzących w zakres zastosowania prawa Unii, a także zasady dotyczące swobodnego przepływu takich danych. W odniesieniu do unijnych instytucji i organów zasady zostały określone w rozporządzeniu Parlamentu Europejskiego i Rady 2018/1725 z 23 października 2018 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych przez instytucje, organy i jednostki organizacyjne Unii i swobodnego przepływu takich danych oraz uchylenia rozporządzenia (WE) nr 45/2001 i decyzji nr 1247/2002/WE (Dz. Urz. UE L 295, s. 39 i n.), natomiast zasady ochrony danych przez państwa członkowskie regulowane są przepisami RODO.
Pamiętać należy, że kontrola sądu administracyjnego prowadzona jest na podstawie kryterium zgodności z prawem, a nie wedle kryterium skuteczności, celowości, zgodności z polityką sektora bankowego, czy z polityką samego banku. Sąd nie kwestionuje, że w kontekście konieczności zapewniania bezpieczeństwa depozytów i całego sektora instytucji udzielających kredytów, zachodzi potrzeba przetwarzania niezbędnych danych osobowych, ale zakres ten jest zróżnicowany i determinowany celem w jakim te dane są gromadzone. Za racjonalny uznać należy argument, że niezbędne są działania zmierzające do wykluczenia, a przynajmniej ograniczenia sytuacji związanych z próbą wyłudzenia kredytu przez daną osobę. Nie uzasadnia to jednak przetwarzania danych poza niezbędny zakres związany z analizą zdolności kredytowej i ryzyka kredytowego wnioskodawcy. Również przetwarzanie danych osobowych w celu uchylenia się od negatywnych skutków w przypadku zgłoszenia w przyszłości ewentualnego i nieokreślonego roszczenia (roszczenia o co?, w jaki zakresie? skoro nie została zawarta umowa kredytu) nie stanowi prawnie usprawiedliwionego celu w rozumieniu art. 6 ust. 1 lit. f RODO.
Według Naczelnego Sądu Administracyjnego przyjęcie interpretacji zaprezentowanej w skargach prowadziłoby nadto do tego, że wobec osoby, której dane zawarto w zapytaniu kredytowym i z którą nie zawarto umowy kredytowej, istniałaby dowolność, tak co do zasad przetwarzania jej danych osobowych (także bez jej zgody – po zakończeniu procesu zapytania o możliwość uzyskania kredytu w banku), jak również co do przedstawienia innych celów przetwarzania, których nie ujawniono wprost przed pozyskaniem danych (innych niż ocena zdolności kredytowej i ryzyka kredytowego) oraz co do długotrwałego lub wręcz dowolnego ustalenia czasu przetwarzania danych z uwzględnieniem przyjmowanych celów, które służą określonym wymogom organu nadzoru nad rynkiem finansowym. W konsekwencji, sytuacja osoby, która zwróciła się z zapytaniami kredytowymi i z którą nie zawarto umów kredytowych, byłaby z punktu widzenia ochrony danych osobowych, biorąc pod uwagę przepisy Prawa bankowego, sytuacją "gorszą" niż sytuacja osoby, która zawarła umowę kredytową i jej zobowiązanie wygasło. W tym drugim bowiem przypadku dla dalszego przetwarzania danych w [...] po wygaśnięciu zobowiązania wynikającego z danej umowy niezbędna jest zgoda osoby, której dane dotyczą. Zgodę taką można nadto w każdym czasie odwołać. Przesłanka z art. 6 ust. 1 lit. f RODO dotyczy zaś sytuacji istniejącej, a nie sytuacji przyszłej, hipotetycznej. Nadto gdyby przyjąć zapatrywania Banku i [...] to prawo do bycia zapomnianym stanowiłoby fikcję (art. 17 RODO). Można przecież założyć sytuację, że sytuacja finansowa osoby fizycznej poprawi się i osoba ta już nigdy nie będzie występować do Banku o kredyt, albo uczyni to dopiero po kilku latach od wcześniejszego wnioskowania.
W konsekwencji zasadny jest także zarzut naruszenie przepisów postępowania mające istotny wpływ na wynik sprawy, tj. art. 145 § 1 pkt 1 lit. c ustawy z dnia 30 sierpnia 2002 r. Prawo o postępowaniu przed sądami administracyjnymi (Dz. U. z 2325 z późn. zm., zwana dalej: "p.p.s.a.") w zw. z art. 7, art. 7b, art. 8, art. 11 oraz art. 77 § 1 oraz art. 107 § 3 k.p.a., poprzez niezasadne uznanie, że Prezes Urzędu Ochrony Danych Osobowych wydając decyzję naruszył ww. przepisy postępowania, co w konsekwencji doprowadziło do uchylenia zaskarżonej decyzji,
Wyjaśnić należy, że z art. 145 § 1 pkt 1 lit. c p.p.s.a. wynika, że sąd administracyjny uwzględnia skargę w sytuacji stwierdzenia naruszenia przepisów postępowania, które mogło mieć istotny wpływ na wynik sprawy. Wzruszenie zaskarżonego rozstrzygnięcia może mieć zatem miejsce w sytuacji, gdy sądowa kontrola wykaże naruszenie prawa procesowego, które mogło mieć istotny wpływ na wynik sprawy. Chodzi tu o naruszenie, które skutkuje przyjęciem, że bez jego popełnienia nie doszłoby do wydania rozstrzygnięcia określonej treści.
Nawiązując do przywołanych w skardze kasacyjnej Banku przepisów k.p.a. wskazać z kolei należy, że sąd administracyjny nie stosuje wprost przepisów regulujących postępowanie przed organami administracji publicznej, stąd też jego związanie tymi przepisami sprowadza się do obowiązku sformułowania oceny prawnej, czy proces podjęcia decyzji stosowania prawa przez organ administracji był prawidłowy. Nie budzi wątpliwości, że sformułowanie tej oceny wymaga odpowiedzi na szereg pytań, pytań takich samych jak te, na które musi odpowiedzieć organ administracji bezpośrednio stosujący te przepisy. To jednak nie wojewódzki sąd administracyjny stosuje te przepisy, lecz posługuje się nimi jedynie, jako swoistą matrycą porównawczą, w celu ustalenia, czy postępowanie organu w tym zakresie jest zgodne z ustalonym porządkiem prawnym (zob. w tej materii wyrok Naczelnego Sądu Administracyjnego z dnia 18 maja 2023 r.; sygn. akt III OSK 1251/21). Uchybienie przez sąd przepisom regulującym postępowanie organów administracji publicznej ma charakter pośredni i wynikać może jedynie z uchybienia przez sąd pierwszej instancji przepisom p.p.s.a.
Mając na uwadze warstwę opisową powyższych zarzutów stwierdzić należy, że autor skargi kasacyjnej Prezesa UODO naruszenia przepisów postępowania upatruje w tym, że Sąd I instancji uchylił decyzję, gdyż uznał, że zaskarżona decyzja Prezesa UODO została oparta na błędnie ustalonym (a w zasadzie nieustalonym) stanie faktycznym sprawy.
Należy wyjaśnić, że zgodnie z zasadą prawdy obiektywnej, która została skonstruowana w art. 7 k.p.a., w toku postępowania organy administracji publicznej z urzędu lub na wniosek stron podejmują wszelkie czynności niezbędne do dokładnego wyjaśnienia stanu faktycznego oraz do załatwienia sprawy. Organ administracji publicznej ma zatem obowiązek zebrania i rozpatrzenia materiału dowodowego w taki sposób, aby ustalić stan faktyczny sprawy zgodny z rzeczywistością. Zasada prawdy obiektywnej została skonkretyzowana w art. 77 § 1 k.p.a., zgodnie z którym organ administracji publicznej jest obowiązany w sposób wyczerpujący zebrać i rozpatrzyć cały materiał dowodowy.
Biorąc pod uwagę treść przytoczonych wyżej przepisów należy uznać, że w postępowaniu administracyjnym obowiązuje zasada oficjalności postępowania dowodowego. Okoliczność, w której strona również ma prawo wykazywania inicjatywy dowodowej, nie zwalnia organu administracji publicznej z obowiązku podejmowania z urzędu czynności zmierzających do pełnego wyjaśnienia stanu faktycznego oraz do załatwienia sprawy. Organ administracji publicznej jest zaś obowiązany z urzędu:
1. ustalić, jakie okoliczności faktyczne mają znaczenie dla rozstrzygnięcia sprawy;
2. ustalić, jakie dowody powinny zostać przeprowadzone w celu ustalenia powyższych okoliczności;
3. przeprowadzić dowody, które uznał za niezbędne dla dokonania prawidłowych ustaleń w zakresie stanu faktycznego sprawy;
4. dokonać oceny przeprowadzonych dowodów zgodnie z zasadą swobodnej oceny dowodów (zob. w tej materii m.in. wyrok Naczelnego Sądu Administracyjnego z dnia 23 lutego 2012 r.; sygn. akt II GSK 118/12).
Realizacja przez organ administracji publicznej powyższych obowiązków nie pozbawia oczywiście strony prawa do czynnego udziału w czynnościach postępowania dowodowego związanych z realizacją zasady czynnego udziału strony w postępowaniu. Prawo strony do czynnego udziału w każdym stadium postępowania jest realizowane w szczególności przez prawo do inicjatywy dowodowej, ukształtowanej w art. 78 k.p.a., prawo do brania czynnego udziału w czynnościach postępowania dowodowego (art. 79 k.p.a.), jak również prawo do wypowiedzenia się co do przeprowadzonych dowodów, wynikające z art. 10 § 1 i art. 81 k.p.a.
Z zasadą prawdy obiektywnej wiąże się kwestia rozłożenia ciężaru dowodu (onus probandi) w postępowaniu administracyjnym. Zasada prawdy obiektywnej przenosi ciężar dowodu w postępowaniu administracyjnym na organ administracji publicznej prowadzący postępowanie w sprawie. Co do zasady gospodarzem postępowania administracyjnego jest organ administracji publicznej, który powinien je prowadzić zgodnie z zasadą oficjalności, jednak strona ma prawo do czynnego uczestnictwa w postępowaniu wyjaśniającym, a w szczególności prawo inicjatywy dowodowej, z którego powinna korzystać, chcąc uniknąć negatywnych konsekwencji związanych z poczynionymi przez organ ustaleniami w zakresie stanu faktycznego sprawy na podstawie znanych organowi środków dowodowych. W takich przypadkach, jak w niniejszej sprawie administratorzy danych osobowych nie są zwolnieni z lojalnego współdziałania z organem prowadzącym postępowanie – Presem UODO i sposób pełny i maksymalnie dokładny udzielać informacji na zapytanie organu.
Powyższe stanowisko dobrze ilustruje wyrok z dnia 8 listopada 2013 r. (sygn. akt II OSK 1291/12), w którym Naczelny Sąd Administracyjny stwierdził, że organ jest wprawdzie zobowiązany do wyczerpującego zebrania i rozpatrzenia całego materiału dowodowego, jednakże strona nie jest zwolniona od lojalnego współdziałania w wyjaśnianiu okoliczności faktycznych. Powinna ona bowiem przedstawić wszystkie informacje niezbędne do ustalenia stanu faktycznego sprawy, jak również udostępnić dowody znajdujące się w jej posiadaniu lub które tylko ona może przedstawić, potwierdzające okoliczności wskazane w uzasadnieniu wniosku wszczynającego postępowanie. Obowiązki te w żaden sposób nie wyłączają wymogu dążenia przez organ administracji do wyjaśnienia prawdy materialnej (art. 7 i art. 77 § 1 k.p.a.), niemniej jednak oznaczają, że podmiot taki powinien aktywnie współdziałać z organem w celu ustalenia wszystkich okoliczności sprawy. Należy zatem uznać, że obowiązki organów administracji publicznej w zakresie przeprowadzenia dowodów z urzędu celem odtworzenia prawdy obiektywnej nie sięgają tak daleko, by zwalniały stronę ze współudziału w zebraniu materiału dowodowego (zob. w tej materii wyroki Naczelnego Sądu Administracyjnego: z 17 lutego 2011 r.; sygn. akt II GSK 273/10 oraz z dnia 7 grudnia 2010 r.; sygn. akt II OSK 1677/10). W szczególności wówczas, gdy organ administracji publicznej dokonał pewnych ustaleń w zakresie stanu faktycznego na podstawie przeprowadzonych dowodów, a strona kwestionuje te dowody i ustalenia, przeciwdowód może być przeprowadzony z jej inicjatywy, organ nie ma natomiast obowiązku poszukiwania dowodów dla wykazania słuszności stanowiska strony (zob. w tej materii wyrok Naczelnego Sądu Administracyjnego z dnia 10 grudnia 2009 r.; sygn. akt II OSK 1933/08). Zgodnie z zasadą rozliczalności (art. 5 ust. 2 RODO) to na administratorze danych spoczywa obowiązek wykazania, że zarówno zakres, jak i sposób przetwarzania danych osobowych jest adekwatny do obranego przez niego celu i warunków jego realizacji - zasada ograniczonego celu przetwarzania (art. 5 ust. 1 lit. b RODO) i zasady minimalizacji przetwarzania danych (art. 5 ust. 1 lit. c RODO). Powyższe przesądza o bezzasadności podniesionego zarzutu naruszenia przepisów postępowania poprzez nierozpatrzenie w całości stanu faktycznego sprawy.
Prezes UODO zastosował się do zasad ogólnych postępowania administracyjnego: zasady praworządności, zasady prawdy obiektywnej i pogłębiania zaufania do władzy publicznej oraz nie przekroczył granic swobodnej oceny dowodów.
Co do art. 7b k.p.a., to jak wskazano wyżej, nie było podstaw do zastosowania go w niniejszej sprawie.
W realiach rozpatrywanej sprawy nie było zatem podstaw do zastosowania środka prawnego uchylenia zaskarżonej decyzji na podstawie art. 145 § 1 pkt 1 lit. a i c. p.p.s.a. przez Sąd I instancji.
W tym stanie rzeczy stwierdzając, że skarga kasacyjna jest uzasadniona, a istota sprawy jest dostatecznie wyjaśniona, Naczelny Sąd Administracyjny miał podstawy do uchylenia zaskarżonego wyroku oraz do rozpoznania skarg w oparciu o art. 188 p.p.s.a., a w następstwie tego na podstawie art. 151 p.p.s.a. do oddalenia skarg [...] i S.A. z siedzibą w K. oraz [...] S.A. z siedzibą w W..
O kosztach postępowania sądowego orzeczono na podstawie art. 203 pkt 2 w zw. art. 205 § 2 p.p.s.a.