III OSK 1877/22

III OSK 1877/22 - Wyrok NSA
Data orzeczenia
2025-10-01
orzeczenie prawomocne
Data wpływu
2022-08-01
Sąd
Naczelny Sąd Administracyjny
Sędziowie
Maciej Kobak
Olga Żurawska - Matusiak
Przemysław Szustakiewicz /przewodniczący sprawozdawca/
Symbol z opisem
647  Sprawy związane z ochroną danych osobowych
Hasła tematyczne
Inne
Sygn. powiązane
II SA/Wa 3131/21 - Wyrok WSA w Warszawie z 2022-04-21
Skarżony organ
Generalny Inspektor Ochrony Danych Osobowych
Treść wyniku
Oddalono skargę kasacyjną
Powołane przepisy
Dz.U. 2022 poz 329
art. 184
Ustawa z dnia 30 sierpnia 2002 r. Prawo o postępowaniu przed sądami administracyjnymi  - t.j.
Sentencja
Naczelny Sąd Administracyjny w składzie: Przewodniczący: Sędzia NSA Przemysław Szustakiewicz (spr.) Sędziowie: Sędzia NSA Olga Żurawska-Matusiak Sędzia del. WSA Maciej Kobak Protokolant: starszy asystent sędziego Joanna Ukalska po rozpoznaniu w dniu 24 września 2025 r. na rozprawie w Izbie Ogólnoadministracyjnej skargi kasacyjnej [...] Bank S.A. od wyroku Wojewódzkiego Sądu Administracyjnego w Warszawie z dnia 21 kwietnia 2022 r., sygn. akt II SA/Wa 3131/21 w sprawie ze skarg [...] Bank S.A. [...] oraz Biura Informacji Kredytowej S.A. z siedzibą w Warszawie na decyzję Prezesa Urzędu Ochrony Danych Osobowych z dnia 29 czerwca 2021 r., nr DS.523.1166.2020.FT.AD128896, 128897, 128898 w przedmiocie przetwarzania danych osobowych 1. oddala skargę kasacyjną; 2. zasądza od [...] Bank S.A. na rzecz Prezesa Urzędu Ochrony Danych Osobowych kwotę 360 (trzysta sześćdziesiąt) złotych tytułem zwrotu kosztów postępowania kasacyjnego.
Uzasadnienie
Wojewódzki Sąd Administracyjny w Warszawie, wyrokiem z dnia 21 kwietnia 2022 r., sygn. akt II SA/Wa 3131/21, po rozpoznaniu sprawy ze skarg [...] Bank S.A. [...] oraz Biura Informacji Kredytowej S.A. z siedzibą w Warszawie, uchylił pkt 2 zaskarżonej decyzji Prezesa Urzędu Ochrony Danych Osobowych z dnia 29 czerwca 2021 r., nr DS.523.1166.2020.FT.AD.128896,128897,128898 w przedmiocie przetwarzania danych osobowych (pkt 1); oddalił skargę [...] Bank S.A. [...] w zakresie punktu 1 decyzji (pkt 2) oraz zasądził zwrot kosztów postępowania (pkt 3). W sprawie ustalono następujący stan faktyczny i prawny:
A.O. złożył do Prezesa Urzędu Ochrony Danych Osobowych skargę na Bank z uwagi na odmowę wycofania zgody na przetwarzanie jego danych osobowych przez Bank w BIK oraz nieuwzględnienie żądania zaprzestania przetwarzania jego danych osobowych w celach marketingowych oraz udostępnionych na rzecz BIK. Wnioskodawca, żądając usunięcia i zaprzestania przetwarzania danych osobowych zaznaczył, że nie posiada konta w Banku oraz żadnych zobowiązań czy umów wskazując jedynie, że wykonał zapytania kredytowe w celach informacyjnych.
Bank wskazał, że wnioskodawca wielokrotnie zwracał się do Banku z wnioskiem o udzielenie kredytu, jednak żaden z wniosków nie zakończył się zawarciem umowy. Zakres przetwarzanych przez Bank danych osobowych obejmuje: imiona, nazwisko, datę urodzenia, miejsce urodzenia, kraj pochodzenia, obywatelstwo, wykształcenie, stan cywilny, PESEL, NIP, serię i numer dowodu osobistego, datę wydania dowodu osobistego, datę ważności dowodu osobistego, wizerunek, adres zameldowania, zamieszkania oraz do korespondencji, status dewizowy, numer telefonu komórkowego, numer telefonu służbowego, adres e-mail, imiona rodziców, nazwisko panieńskie matki, miejsce zatrudnienia oraz osiągane dochody. Bank wyjaśnił, że do BIK skierowane zostały zapytania kredytowe o wnioskodawcę - osobę fizyczną - w dniu: 12 listopada 2018 r., 20 listopada 2018 r., 29 grudnia 2018 r., 11 kwietnia 2019 r., 14 maja 2019 r., 1 lipca 2019 r., 13 sierpnia 2019 r. oraz zapytania kredytowe w ramach prowadzonej działalności gospodarczej w dniu: 22 stycznia 2020 r., 12 marca 2020 r., 6 maja 2020 r., 12 czerwca 2020 r., 22 października 2020 r., 3 listopada 2020 r. Natomiast w związku z wielokrotnymi wnioskami dotyczącymi usunięcia z bazy BIK zapytań kredytowych, Bank podjął uznaniowe decyzje i dokonał korekty wcześniejszego ich usunięcia. Zapytania kredytowe skierowane do BIK w dniu: 12 listopada 2018 r., 20 listopada 2018 r., 29 grudnia 2018 r., 11 kwietnia 2019 r. oraz 14 maja 2019 r. - usunięte zostały z bazy BIK w dniu 25 września 2019 r., zaś zapytania z dnia: 1 lipca 2019 r. i 13 sierpnia 2019 r. - usunięte zostały w dniu 28 lutego 2020 r. na podstawie kolejnego wniosku wnioskodawcy. Zapytania kredytowe złożone w ramach prowadzonej działalności gospodarczej, tj. z dnia 22 stycznia 2020 r. - usunięto w dniu 17 lutego 2020 r., z dnia 12 marca 2020 r. - usunięto w dniu 11 maja 2020 r., z dnia 6 maja 2020 r. - usunięto w dniu 27 maja 2020 r.,
Zdaniem Banku, przetwarzanie informacji pochodzących z wniosków kredytowych, które nie zakończyły się zawarciem z Bankiem umowy kredytowej jest niezbędne do wypełnienia obowiązku wynikającego z art. 70 ustawy z dnia 29 sierpnia 1997 r. Prawo bankowe (Dz. U. z 2021 r., poz. 2439 ze zm., dalej "Prawo bankowe") i uprawnienia do pobrania w związku z tym danych z BIK w oparciu o art. 105 ust. 4 oraz art. 105a ust. 1 Prawo bankowe. Bank wskazał, że: "(...) powyższe przesłanki znajdują uzasadnienie w art. 6 ust. 1 lit. b rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (Dz. Urz. UE L 119 z dnia 4 maja 2016 r., s. 1 oraz Dz. Urz. UE L 127 z dnia 23 maja 2018 r., s. 2, dalej: "RODO"), a więc w związku z wykonywaniem czynności bankowej jest to niezbędne do realizacji umowy lub do podjęcia działań na żądanie osoby, której dane dotyczą przed zawarciem umowy. Kolejną podstawą przetwarzania danych osobowych w powiązaniu z wnioskami kredytowymi, które nie zakończyły się zawarciem umowy, jest art. 6 ust. 1 lit. f RODO, tj. prawnie uzasadniony interes realizowany przez administratora danych, jakim jest ewentualne dochodzenie roszczeń powstałych w związku z wykonywaniem czynności bankowych oraz innych wynikających z przepisów powszechnie obowiązujących. Z uwagi na składane przez wnioskodawcę wnioski i reklamacje Bank nie zaprzestał przetwarzania danych powiązanych z wnioskami w celu umożliwienia obrony przed roszczeniami (...)", Nadto wnioskodawca w dniu 17 lutego 2015 r. za pośrednictwem bankowości elektronicznej wyraził zgodę na przetwarzanie danych dla celów marketingowych Banku. W dniu 11 listopada 2016 r. na podstawie dyspozycji wnioskodawcy, informacja o cofnięciu zgody została odnotowana w systemie informatycznym przez pracownika Banku. Po tym terminie Bank nie przetwarzał danych do wspomnianych celów, ani nie inicjował komunikacji o charakterze marketingowym. Ponadto, na podstawie dyspozycji wnioskodawcy w dniu 24 października 2019 r. w systemie Banku został odnotowany sprzeciw na przetwarzanie danych dla celów marketingowych, który wnioskodawca zgłosił wraz z wnioskiem o usunięcie zapytań kredytowych z bazy BIK.
Z kolei BIK wyjaśnił, że nie przetwarza obecnie danych osobowych przekazanych przez Bank w zapytaniach kredytowych, czy też w zakresie umów kredytowych. Podniósł, jednakże, że przetwarza dane przekazane przez Bank w 9 zapytaniach zarządzanie klientem złożonych przez Bank w dniach: 3 listopada 2020 r., 22 października 2020 r., 12 czerwca 2020 r., 6 maja 2020 r., 1 kwietnia 2020 r., 16 września 2019 r., 7 sierpnia 2019 r., 24 czerwca 2019 r. i 14 marca 2019 r. Dane z zapytań zarządzanie klientem są przetwarzane w celu rozpatrywania ewentualnych reklamacji lub roszczeń odszkodowawczych klientów oraz w celu wypełnienia obowiązku z art. 15 ust. 1 lit. c w związku z art. 6 ust. 1 lit. f RODO.
Uwzględniając powyższe wyjaśnienia, Prezes UODO wskazał, że przepisem uprawniającym administratorów danych do przetwarzania zwykłych danych osób fizycznych jest art. 6 ust. 1 RODO, przy czym katalog przesłanek wymienionych w tym przepisie, jest zamknięty, a każda z przesłanek legalizujących proces przetwarzania danych osobowych ma charakter autonomiczny i niezależny. Proces przetwarzania danych osobowych musi być zgodny z zasadami ustanowionymi w art. 5 ust. 1 RODO, do których zalicza się m.in. ograniczenie celu (art. 5 ust. 1 lit. b RODO) oraz minimalizację danych (art. 5 ust. 1 lit. c RODO). Zasady te wymagają, by dane osobowe były zbierane w konkretnych, wyraźnych i prawnie uzasadnionych celach i nieprzetwarzane dalej w sposób niezgodny z tymi celami, a proces przetwarzania danych osobowych był adekwatny oraz ograniczony do tego, co niezbędne do celów, w których są przetwarzane.
Organ wskazał, że co do zasady podstawą prawną przetwarzania danych osobowych klientów przez Bank i BIK jest obecnie art. 6 ust. 1 lit. f RODO, tj. przetwarzanie jest niezbędne do celów wynikających z prawnie uzasadnionych interesów realizowanych przez administratora.
Uwzględniając powyższy organ ustalił, że wnioskodawca w dniach: 12 listopada 2018 r., 20 listopada 2018 r., 29 grudnia 2018 r., 11 kwietnia 2019 r., 14 maja 2019 r., 1 lipca 2019 r., 13 sierpnia 2019 r., 22 stycznia 2020 r., 12 marca 2020 r., 6 maja 2020 r., 12 czerwca 2020 r., 22 października 2020 r., 3 listopada 2020 r. wystąpił do Banku z wnioskami o udzielenie kredytu. Zatem Bank oraz BIK, na podstawie art. 105a ust. 1 w związku z art. 70 ust. 1 Prawa bankowego, były uprawnione do przetwarzania jego danych osobowych w celu oceny zdolności kredytowej. Nie doszło jednak do zawarcia umowy kredytu pomiędzy wnioskodawcą a Bankiem, a zatem odpadła przesłanka legalizująca dalsze przetwarzanie danych osobowych przez Bank oraz BIK. Przesłanki zawarte w art. 105a Prawa bankowego dotyczą bowiem przetwarzania informacji objętych tajemnicą bankową w okresie przed powstaniem zobowiązania, w trakcie jego trwania oraz po wygaśnięciu zobowiązania. Pomiędzy Bankiem a wnioskodawcą nie zawiązał się żaden stosunek zobowiązaniowy, który - stosownie do art. 105a ust. 1 - 6 Prawa bankowego - dawałby podstawę do dalszego przetwarzania danych osobowych. Organ zaznaczył przy tym, że celem przetwarzania danych osobowych była ocena zdolności kredytowej i analiza ryzyka kredytowego. W związku z dokonaniem przez Bank tejże oceny, powyższy cel przetwarzania danych osobowych został zrealizowany i brak jest podstaw prawnych do kontynuowania tego procesu.
Następnie organ wskazał, że w odniesieniu do danych osobowych pochodzących z zapytań kredytowych z dnia: 12 listopada 2018 r., 20 listopada 2018 r., 29 grudnia 2018 r., 11 kwietnia 2019 r. oraz 14 maja 2019 r. - Bank złożył dyspozycję ich usunięcia z baz BIK w dniu 25 września 2019 r. W przypadku zapytania z dnia: 1 lipca 2019 r. oraz 13 sierpnia 2019 r. - usunięcie nastąpiło w dniu 28 lutego 2020 r. W zakresie zapytań kredytowych złożonych w ramach prowadzonej działalności gospodarczej, tj.: z dnia 22 stycznia 2020 r. - zapytanie usunięto w dniu 11 maja 2020 r., a z dnia 6 maja 2020 r. - zapytanie usunięto w dniu 27 maja 2020 r.
Z materiału dowodowego zgromadzonego w sprawie wynika natomiast, że Bank w dalszym ciągu przetwarza dane osobowe wnioskodawcy pochodzące z zapytań kredytowych złożonych w dniach: 12 czerwca 2020 r., 22 października 2020 r. oraz 3 listopada 2020 r.
Odnosząc się do powołanego przez Bank oraz BIK celu ustalenia, dochodzenia lub obrony roszczeń, organ wskazał, że w niniejszym postępowaniu materiał dowodowy nie wykazał, aby wnioskodawca wystąpił z jakimkolwiek roszczeniem wobec Banku czy wobec BIK, które uzasadniałoby uprawnienie tych podmiotów do zachowania i przetwarzania jego danych osobowych dla celów dowodowych w związku z dochodzeniem przez niego tego roszczenia. Bank i BIK nie wskazały także na istnienie roszczeń, których dochodzą od wnioskodawcy.
Organ podkreślił przy tym, że przesłanka z art. 6 ust. 1 lit. f RODO dotyczy sytuacji już istniejącej, w której celem wynikającym z prawnie uzasadnionych interesów realizowanych przez administratora jest konieczność udowodnienia, potrzeba dochodzenia lub obrony przed roszczeniem istniejącym, nie zaś sytuacji, gdy dane są przetwarzane w celu zabezpieczenia się przed ewentualnym roszczeniem.
Zdaniem organu, brak jest uzasadnienia dla przyjęcia, że terminy dotyczące przedawnienia roszczeń wynikających ze stosunków zobowiązaniowych określają jednocześnie ramy czasowe, w których dane osobowe mogą być przetwarzane przez Bank i BIK. Przedawnienie roszczenia nie wywołuje skutków na gruncie ochrony danych osobowych, nie wpływa bowiem na fakt istnienia roszczenia, a powoduje jedynie zmianę w sferze zarzutów procesowych w postaci możliwości podniesienia okoliczności przedawnienia w sporze sądowym. Okolicznością usprawiedliwiającą przetwarzanie danych osobowych w celu dochodzenia roszczeń jest sam fakt istnienia roszczenia oraz zamiar jego dochodzenia, nie jest nią natomiast zmiana w uprawnieniach procesowych podmiotu pozwanego.
Brak jest również uzasadnienia dla przyjęcia, że BIK jest uprawniony do przetwarzania danych osobowych pozyskanych w związku z zapytaniami złożonymi przez Bank w dniach: 3 listopada 2020 r., 22 października 2020 r., 12 czerwca 2020 r., 6 maja 2020 r., 1 kwietnia 2020 r., 16 września 2019 r., 7 sierpnia 2019 r., 24 czerwca 2019 r. i 14 marca 2019 r. w związku z koniecznością ewentualnego wypełnienia obowiązku wynikającego z art. 15 RODO. Skoro bowiem wnioskodawca zażądał usunięcia jego danych osobowych na podstawie art. 17 ust. 1 RODO, należy przyjąć, że nie jest zainteresowany realizacją prawa do dostępu do przetwarzanych jego danych osobowych. Ponadto usunięcie przez administratora danych osobowych nie uniemożliwia mu wykonania obowiązku uregulowanego w art. 15 RODO, gwarantującego osobie, której dane dotyczą, prawa do uzyskania od administratora informacji, czy jej dane są przetwarzane, a w przypadku pozytywnej odpowiedzi na tak postawione pytanie - uprawnienia do dostępu do danych na swój temat oraz uzyskania informacji o okolicznościach przetwarzania danych. Jeśli bowiem, administrator nie przetwarza danych dotyczących osoby, która zwraca się z żądaniem udzielenia informacji, to działanie administratora ogranicza się do odpowiedzi przeczącej i nie ma on obowiązku podawać podmiotowi danych innych informacji.
W ocenie organu, w sprawie brak jest celu uzasadniającego dalsze przetwarzanie danych osobowych zawartych w zapytaniach kredytowych zarówno przez Bank, jak i przez BIK, przy czym Bank i BIK są odrębnymi administratorami danych osobowych. Bank stał się administratorem tych danych w związku z ich pozyskaniem w celu oceny zdolności kredytowej, natomiast BIK stał się administratorem danych z uwagi na ich przekazanie przez Bank. Każdy z tych podmiotów przetwarza dane osobowe we własnych celach i samodzielnie ustala sposoby ich przetwarzania. W odniesieniu do kwestionowanego przez wnioskodawcę przetwarzania jego danych osobowych przez powyższe podmioty nie zaistniała żadna z wyrażonych w art. 6 ust. 1 RODO przesłanka, która stanowiłaby o legalności tego procesu.
W związku z powyższym, korzystając z uprawnienia przewidzianego w art. 58 ust. 2 lit. c RODO, organ zobowiązał Bank oraz BIK do usunięcia danych osobowych wnioskodawcy przetwarzanych w związku z zapytaniami kredytowymi z dnia 3 listopada 2020 r., 22 października 2020 r., 12 czerwca 2020 r., 6 maja 2020 r., 1 kwietnia 2020 r., 16 września 2019 r., 7 sierpnia 2019 r., 24 czerwca 2019 r. i 14 marca 2019 r.
Dalej organ wskazał, iż ze zgromadzonego w sprawie materiału dowodowego wynika, że strona dwukrotnie cofała zgodę na przetwarzanie jej danych w celach marketingowych, tj. w dniach: 11 listopada 2016 r. i 24 października 2019 r. W obu przypadkach zgoda ta została odnotowana w systemie informatycznym Banku. Oba oświadczenia zostały złożone przed dniem 13 stycznia 2020 r., a więc przed wniesieniem do UODO skargi. Zaistniała zatem przesłanka umorzenia postępowania - w zakresie przetwarzania danych osobowych w celach marketingowych - ze względu na jego bezprzedmiotowość w rozumieniu art. 105 § 1 k.p.a.
Z powyższą decyzją nie zgodził się BIK, który wniósł skargę do Wojewódzkiego Sądu Administracyjnego w Warszawie na pkt 2 decyzji. Skargę wniósł również [...] Bank S.A. na pkt 1 decyzji Prezesa UODO z dnia 29 czerwca 2021 r.
W odpowiedzi na skargi organ wniósł o ich oddalenie.
Powołanym na wstępie wyrokiem, Wojewódzki Sąd Administracyjny w Warszawie, na podstawie art. 145 § 1 pkt 1 lit. c oraz art. 151 ustawy z dnia 30 sierpnia 2002 r. Prawo o postępowaniu przed sądami administracyjnymi (Dz. U. z 2022 r., poz. 329, dalej: "P.p.s.a.") uznał, że skarga BIK zasługuje na uwzględnienie natomiast skarga Banku jest niezasadna.
W uzasadnieniu rozstrzygnięcia Sąd pierwszej instancji przypomniał, że w punkcie 2 zaskarżonej decyzji organ nakazał BIK usunięcie danych osobowych A.O. w zakresie przekazanych przez Bank zapytań kredytowych z dnia: 3 listopada 2020 r., 22 października 2020 r., 12 czerwca 2020 r., 6 maja 2020 r., 1 kwietnia 2020 r., 16 września 2019 r., 7 sierpnia 2019 r., 24 czerwca 2019 r. i 14 marca 2019 r. Tymczasem jak wynika z wyjaśnień BIK, BIK "(...) nie przetwarza danych osobowych przekazanych przez Bank w zapytaniach kredytowych oraz w zakresie umów kredytowych. BIK przetwarza natomiast dane przekazane przez Bank w 9 zapytaniach zarządzanie klientem (...)". Daty tych zapytań pokrywają się z datami zapytań kredytowych wymienionych w punkcie 2 decyzji. W dalszej części wyjaśnień BIK wskazał, iż raport zarządzanie klientem jest udostępniany w związku z wykonywaniem czynności bankowych innych niż udzielanie nowego zobowiązania o charakterze kredytowym klientowi. Wskazał również szczegółowo inne sytuacje, w których bank składa zapytanie o przedsiębiorcę prowadzącego własną działalność gospodarczą/rolniczą (samodzielnie lub w ramach spółki osobowej) lub zapytanie zarządzaniem klientem indywidualnym. Z treści tych wyjaśnień wynika, że co do zasady zapytania zarządzanie klientem (przedsiębiorcom/klientem indywidualnym) mogą być pobierane przez bank w przypadku, gdy bank i klienta łączy stosunek umowny. BIK podkreślił przy tym, że "dane z zapytań zarządzanie klientem nie są udostępniane bankom oraz nie są wykorzystywane do oceny zdolności kredytowej i oceny ryzyka kredytowego (...)". Wskazał przy tym, że "Bank nie zwracał się do BIK o usunięcie danych w zakresie ww. zapytań", a "skarżący nie zwracał się do BIK o usunięcie jego danych osobowych przekazanych przez Bank".
Organ powyższych wyjaśnień należycie nie rozważył. Nie wyjaśnił z jakich powodów uznał, że podstawy prawne i cele przetwarzania danych osobowych dotyczących zapytań zarządzanie klientem i zapytań kredytowych są tożsame. Nie wyjaśnił też z jakich względów postawił znak równości pomiędzy "zapytaniem kredytowym" określonym w punkcie 2 decyzji, a zapytaniem "zarządzenie klientem", o którym mowa w wyjaśnieniach BIK powołanych w uzasadnieniu zaskarżonej decyzji. Nakaz sformułowany w punkcie 2 zaskarżonej decyzji nie jest możliwy do zrealizowania, bowiem organ "nakazał BIK usunięcie zapytań kredytowych złożonych przez Bank w określonych datach, których BIK faktycznie nie przetwarza w swoich zbiorach".
WSA w Warszawie nie znalazł podstaw do uwzględnienia skargi Banku w części dotyczącej punktu 1 zaskarżonej decyzji, w którym organ nakazał Bankowi zaprzestania przetwarzania danych osobowych A.O. dotyczących wniosków kredytowych z dnia 12 czerwca 2020 r., 22 października 2020 r. oraz 3 listopada 2020 r., niezakończonych udzieleniem kredytu.
Kontrolując decyzję w tym zakresie Sąd zauważył, że w świetle RODO przetwarzanie danych osobowych uważa się za legalne, jeśli ich administrator spełni co najmniej jedną z przesłanek wskazanych w art. 6 ust. 1 tego aktu, a mianowicie: a) osoba, której dane dotyczą wyraziła zgodę na przetwarzanie swoich danych osobowych w jednym lub większej liczbie określonych celów, b) przetwarzanie jest niezbędne do wykonania umowy, której stroną jest osoba, której dane dotyczą, lub do podjęcia działań na żądanie osoby, której dane dotyczą, przed zawarciem umowy, c) przetwarzanie jest niezbędne do wypełnienia obowiązku prawnego ciążącego na administratorze, d) przetwarzanie jest niezbędne do ochrony żywotnych interesów osoby, której dane dotyczą, lub innej osoby fizycznej, e) przetwarzanie jest niezbędne do wykonania zadania realizowanego w interesie publicznym lub w ramach sprawowania władzy publicznej powierzonej administratorowi, f) przetwarzanie jest niezbędne do celów wynikających z prawnie uzasadnionych interesów realizowanych przez administratora lub przez stronę trzecią, z wyjątkiem sytuacji, w których nadrzędny charakter wobec tych interesów mają interesy lub podstawowe prawa i wolności osoby, której dane dotyczą, wymagające ochrony danych osobowych, w szczególności gdy osoba, której dane dotyczą, jest dzieckiem.
W sprawie jest niesporne, że Bank pozyskał dane osobowe bezpośrednio od wnioskodawcy w związku ze złożeniem wniosków o udzielenie kredytu. Wnioski te nie zakończyły się zawarciem umów. Niesporne jest również, że Bank był uprawniony do przetwarzania danych osobowych w celu oceny zdolności kredytowej i analizy ryzyka kredytowego. Skoro jednak nie doszło do zawarcia umowy kredytu, to odpadła przesłanka legalizująca dalsze przetwarzanie danych osobowych wnioskodawcy przez Bank.
Znajduje to potwierdzenie w treści art. 105a Prawa bankowego, który w ust. 1 stanowi, że przetwarzanie przez banki, inne instytucje ustawowo upoważnione do udzielania kredytów oraz instytucje utworzone na podstawie art. 105 ust. 4, informacji stanowiących tajemnicę bankową w zakresie dotyczącym osób fizycznych może być wykonywane, z zastrzeżeniem art. 104, art. 105 i art. 106 - 106d ustawy, w celu oceny zdolności kredytowej i analizy ryzyka kredytowego. Z zastrzeżeniem ust. 3, instytucje, o których mowa w ust. 1, mogą przetwarzać informacje stanowiące tajemnicę bankową oraz informacje udostępnione przez instytucje pożyczkowe oraz podmioty, o których mowa w art. 59d ustawy z dnia 12 maja 2011 r. o kredycie konsumenckim, w zakresie dotyczącym osób fizycznych po wygaśnięciu zobowiązania wynikającego z umowy zawartej z bankiem, inną instytucją ustawowo upoważnioną do udzielania kredytów, instytucją pożyczkową lub podmiotem, o którym mowa w art. 59d ustawy o kredycie konsumenckim, pod warunkiem uzyskania pisemnej zgody osoby, której informacje te dotyczą, z zastrzeżeniem ust. 2a. Zgoda ta może być w każdym czasie odwołana (ust. 2). Banki, instytucje oraz podmioty, o których mowa w ust. 1, mogą przetwarzać informacje stanowiące tajemnicę bankową i informacje udostępnione przez instytucje pożyczkowe oraz podmioty, o których mowa w art. 59d ustawy o kredycie konsumenckim, dotyczące osób fizycznych po wygaśnięciu zobowiązania wynikającego z umowy zawartej z bankiem, inną instytucją ustawowo upoważnioną do udzielania kredytów, instytucją pożyczkową lub podmiotem, o którym mowa w art. 59d ustawy o kredycie konsumenckim, bez zgody osoby, której informacje dotyczą, gdy osoba ta nie wykonała zobowiązania lub dopuściła się zwłoki powyżej 60 dni w spełnieniu świadczenia wynikającego z umowy zawartej z bankiem, inną instytucją ustawowo upoważnioną do udzielania kredytów, instytucją pożyczkową lub podmiotem, o którym mowa w art. 59d ustawy o kredycie konsumenckim, a po zaistnieniu tych okoliczności upłynęło co najmniej 30 dni od poinformowania tej osoby przez bank, inną instytucję ustawowo upoważnioną do udzielania kredytów, instytucję pożyczkową albo podmiot, o którym mowa w art. 59d ustawy o kredycie konsumenckim, o zamiarze przetwarzania dotyczących jej tych informacji, bez jej zgody (ust. 3). Banki oraz instytucje, o których mowa w art. 105 ust. 4, mogą przetwarzać stanowiące tajemnicę bankową informacje dotyczące osoby fizycznej po wygaśnięciu zobowiązania wynikającego z umowy zawartej z bankiem lub inną instytucją ustawowo upoważnioną do udzielania kredytów bez zgody osoby, której informacje dotyczą, do celów stosowania metod wewnętrznych oraz innych metod i modeli, o których mowa w części trzeciej rozporządzenia nr 575/2013 (ust. 4). Przetwarzanie informacji stanowiących tajemnicę bankową w przypadkach, o których mowa w ust. 3, może być wykonywane przez okres nie dłuższy niż 5 lat od dnia wygaśnięcia zobowiązania, a w przypadku, o którym mowa w ust. 4, przez okres 12 lat od dnia wygaśnięcia zobowiązania (ust. 5). Zakres przetwarzanych informacji, o których mowa w ust. 3 i 4, może obejmować dane dotyczące osoby fizycznej lub dane dotyczące zobowiązania (ust. 6).
Jak wynika z powyższego, przesłanki zawarte w art. 105a Prawa bankowego dotyczą przetwarzania informacji objętych tajemnicą bankową w okresie przed powstaniem zobowiązania, w trakcie jego trwania oraz po wygaśnięciu zobowiązania. Natomiast w sytuacji, gdy w następstwie złożenia wniosku kredytowego nie dochodzi do zawarcia umowy kredytowej z bankiem, brak jest ustawowych przesłanek legalizujących dalsze przetwarzanie przez bank danych osobowych potencjalnego klienta. Ocena zdolności kredytowej i ryzyka kredytowego ma charakter czynności wstępnych przed zawarciem umowy przez bank. Dalsze przetwarzanie danych, uzyskanych w celu oceny zdolności kredytowej, w przypadku braku zawarcia stosownej umowy, pozostawałoby w oderwaniu od celu, dla którego dane te uzyskano. Niedopuszczalne jest przetwarzanie danych osobowych na przyszłość, a także na potrzeby budowy oceny zdolności kredytowej innych podmiotów, jeżeli nie można zrekonstruować wyraźnej podstawy prawnej takich działań.
Celem przetwarzania danych osobowych wnioskodawcy była ocena zdolności kredytowej i analizy ryzyka kredytowego. W związku z dokonaniem przez Bank tejże oceny powyższy cel przetwarzania danych osobowych został zrealizowany i brak jest podstaw prawnych do kontynuowania tego procesu. Trafne jest zatem stanowisko organu, że nie wystąpiła przesłanka legalizująca proces przetwarzania danych określona w art. 6 ust. 1 lit. c i lit. f RODO.
W sprawie nie doszło do naruszenia art. 6 ust. 1 lit. c RODO w związku z art. 105 ust. 4, art. 70 ust. 1 oraz art. 105a ust. 1 Prawa bankowego. Wbrew twierdzeniom skargi art. 105 ust. 4 nie nakłada na Bank obowiązku korzystania z zewnętrznej bazy zawierającej informacje o wnioskach z sektora bankowego oraz sektora pożyczkowego. Powołany przepis przyznaje bankom uprawnienie do tworzenia instytucji upoważnionych do gromadzenia, przetwarzania i udostępniania bankom informacji stanowiących tajemnicę bankową w zakresie, w jakim informacje te są potrzebne w związku z wykonywaniem czynności bankowych oraz w związku ze stosowaniem metod wewnętrznych oraz innych metod i modeli, o których mowa w części trzeciej rozporządzenia nr 575/2013 (pkt 1), innym instytucjom ustawowo upoważnionym do udzielania kredytów - informacji stanowiących tajemnicę bankową w zakresie, w jakim informacje te są niezbędne w związku z udzielaniem kredytów, pożyczek pieniężnych, gwarancji bankowych i poręczeń (pkt 2), instytucjom kredytowym informacji stanowiących tajemnicę bankową w zakresie niezbędnym do oceny zdolności kredytowej konsumenta, o której mowa w art. 9 ustawy o kredycie konsumenckim (pkt 3), instytucjom pożyczkowym i podmiotom, o których mowa w art. 59d ustawy o kredycie konsumenckim na zasadzie wzajemności, informacji stanowiących odpowiednio tajemnicę bankową oraz informacje udostępnione przez instytucje pożyczkowe oraz podmioty, o których mowa w art. 59d ustawy o kredycie konsumenckim, w zakresie niezbędnym do oceny zdolności kredytowej konsumenta, o której mowa w art. 9 tej ustawy, i analizy ryzyka kredytowego (pkt 4).
W świetle powyższego przesłanka z art. 6 ust. 1 lit. c RODO nie znajduje zastosowania w okolicznościach niniejszej sprawy. Przepis ten dotyczy bowiem sytuacji, gdy przetwarzanie jest niezbędne do wypełnienia obowiązku prawnego administratora danych, a nie realizacji uprawnienia, o którym mowa w art. 105 ust. 4 Prawa bankowego. Ponadto przepis art. 105 ust. 4 Prawa bankowego nie stanowi o dopuszczalności przetwarzania danych osobowych dotyczących wniosków kredytowych w sytuacji, gdy nie doszło do zawarcia umowy z Bankiem. Uznanie takiego procesu przetwarzania danych za legalny wymaga podstawy prawnej, której nie stanowią regulaminy ani umowy zawierane między poszczególnymi instytucjami a bankami.
Oceny dokonanej przez organ nie podważa również stanowisko Banku w kontekście przepisów rozporządzenia Parlamentu Europejskiego i Rady nr 575/2013 z dnia 26 czerwca 2013 r. w sprawie wymogów ostrożnościowych dla instytucji kredytowych i firm inwestycyjnych (CRR). Powołane w skardze przepisy, tj. art. 171 ust. 2 CRR (dotyczący klasyfikacji dłużników do klas i pul przy uwzględnieniu wszystkich istotnych informacji), art. 179 ust. 1a (dotyczący wymogu oszacowań własnych instytucji dotyczących parametrów ryzyka PD, LGD, współczynnika konwersji i EL przy uwzględnieniu wszelkich istotnych danych, informacji i metod), art. 144 ust. 1 lit. d (dotyczący spełnienia, przy ocenie wniosku o stosowanie metody IRB, normy dotyczącej gromadzenia i przechowywania wszystkich odpowiednich danych w celu zapewnienia skutecznego wsparcia procesów pomiaru ryzyka kredytowego oraz zarządzania ryzykiem kredytowym), a także art. 170 ust. 3 lit. a (dotyczący spełnienia, dla struktury systemów ratingowych dla ekspozycji detalicznych, wymogu dotyczącego odzwierciedlenia zarówno ryzyka dłużnika, jak i ryzyka transakcji oraz uwzględnienia wszystkich istotnych właściwości ryzyka dłużnika i ryzyka transakcji) i art. 170 ust. 4 lit. a (dotyczący uwzględniania, podczas klasyfikacji ekspozycji do odpowiednich kategorii lub pul, charakterystyki ryzyka dłużnika) dotyczą ogólnych zasad tworzenia modeli i metod służących ocenie ryzyka kredytowego, zatem żaden z tych przepisów nie stoi w sprzeczności z rozstrzygnięciem organu.
Nieuzasadniony jest również zarzut dotyczący naruszenia art. 6 ust. 1 lit. c RODO w związku z art. 106d Prawa bankowego, który stanowi, że banki (...) mogą przetwarzać i wzajemnie udostępniać informacje, w tym informacje objęte tajemnicą bankową, w przypadkach: uzasadnionych podejrzeń, o których mowa w art. 106a ust. 3 (pkt 1), uzasadnionych podejrzeń popełnienia przestępstw dokonywanych na szkodę banków (...) w celu i zakresie niezbędnym do zapobiegania tym przestępstwom (pkt 2), wykonywania obowiązków w zakresie określonym w przepisach o przeciwdziałaniu praniu pieniędzy oraz finansowaniu terroryzmu (pkt 3). W myśl art. 106a ust. 3 Prawa bankowego, w przypadku powzięcia uzasadnionego podejrzenia, że zgromadzone na rachunku bankowym środki, w całości lub w części pochodzą lub mają związek z przestępstwem skarbowym lub przestępstwem innym niż przestępstwo, o którym mowa w art. 165a lub art. 299 Kodeksu karnego, bank jest uprawniony do dokonania blokady środków na tym rachunku. Blokada może nastąpić wyłącznie do wysokości zgromadzonych na rachunku środków, co do których zachodzi takie podejrzenie.
Z materiału dowodowego sprawy, w tym z wyjaśnień Banku udzielonych w toku postępowania administracyjnego, nie wynika, aby w sprawie niniejszej któryś z powyższych przypadków miał miejsce, w szczególności, aby występowało "uzasadnione podejrzenie" Banku co do okoliczności określonych w ww. przepisach. Z argumentów skargi również nie wynika, aby przesłanka ta została spełniona. Ponadto art. 106d Prawa bankowego nie nakłada na banki obowiązku prawnego przetwarzania i wzajemnego udostępniania informacji w przypadkach, o których mowa w tym przepisie, a jedynie uprawnia do takich czynności (banki "mogą" przetwarzać). Argumentacja skargi nie podważa podjętego w sprawie rozstrzygnięcia oraz stanowiska organu, iż brak jest podstaw do uznania, że w sprawie wystąpiła przesłanka z art. 6 ust. 1 lit. c RODO.
Zgodnie art. 33 ust. 2 i 3 ustawy z dnia 1 marca 2018 r. o przeciwdziałaniu praniu pieniędzy oraz finansowaniu terroryzmu (Dz. U. z 2022 r., poz. 593, dalej "ustawa AML), instytucje obowiązane rozpoznają ryzyko prania pieniędzy oraz finansowania terroryzmu związane ze stosunkami gospodarczymi lub z transakcją okazjonalną oraz oceniają poziom rozpoznanego ryzyka. Instytucje obowiązane dokumentują rozpoznane ryzyko prania pieniędzy oraz finansowania terroryzmu związane ze stosunkami gospodarczymi lub z transakcją okazjonalną oraz jego ocenę, uwzględniając w szczególności czynniki dotyczące: 1) rodzaju klienta, 2) obszaru geograficznego, 3) przeznaczenia rachunku, 4) rodzaju produktów, usług i sposobów ich dystrybucji, 5) poziomu wartości majątkowych deponowanych przez klienta lub wartości przeprowadzonych transakcji, 6) celu, regularności lub czasu trwania stosunków gospodarczych. W myśl art. 34 ust. 1 pkt 4 ustawy AML, środki bezpieczeństwa finansowego obejmują bieżące monitorowanie stosunków gospodarczych klienta, w tym: a) analizę transakcji przeprowadzanych w ramach stosunków gospodarczych w celu zapewnienia, że transakcje te są zgodne z wiedzą instytucji obowiązanej o kliencie, rodzaju i zakresie prowadzonej przez niego działalności oraz zgodne z ryzykiem prania pieniędzy oraz finansowania terroryzmu związanym z tym klientem, b) badanie źródła pochodzenia wartości majątkowych będących w dyspozycji klienta - w przypadkach uzasadnionych okolicznościami, c) zapewnienie, że posiadane dokumenty, dane lub informacje dotyczące stosunków gospodarczych są na bieżąco aktualizowane. Identyfikacja klienta, zgodnie z art. 36 ust. 1 ustawy AML polega na ustaleniu w przypadku osoby fizycznej: a) imienia i nazwiska, b) obywatelstwa, c) numeru PESEL lub daty urodzenia - w przypadku gdy nie nadano numeru PESEL, oraz państwa urodzenia, d) serii i numeru dokumentu stwierdzającego tożsamość osoby, e) adresu zamieszkania - w przypadku posiadania tej informacji przez instytucję obowiązaną, f) nazwy (firmy), NIP oraz adresu głównego miejsca wykonywania działalności gospodarczej - w przypadku osoby fizycznej prowadzącej działalność gospodarczą. W myśl art. 49 us.t 1 i 2 ustawy AML, instytucje obowiązane przechowują przez okres 5 lat, licząc od dnia zakończenia stosunków gospodarczych z klientem lub od dnia przeprowadzenia transakcji okazjonalnej: 1) uzyskane w wyniku stosowania środków bezpieczeństwa finansowego kopie dokumentów i informacje, w tym informacje uzyskane za pomocą środków identyfikacji elektronicznej (...), 2) dowody potwierdzające przeprowadzone transakcje i ewidencje transakcji, obejmujące oryginalne dokumenty lub kopie dokumentów konieczne do identyfikacji transakcji. Instytucje obowiązane przechowują wyniki analiz, o których mowa w art. 34 ust. 3, przez okres 5 lat, licząc od dnia ich przeprowadzenia.
Powyższe przepisy dotyczą stosowania środków bezpieczeństwa finansowego wobec klientów instytucji (banków) w ramach prowadzonych stosunków gospodarczych. Nie odnoszą się natomiast do sytuacji, w której Bank przetwarza dane z wniosków kredytowych wnioskodawców, pomimo nienawiązania stosunku gospodarczego poprzez zawarcie umowy kredytowej. Ponadto Bank, oprócz powołania tych przepisów ustawy AML, nie przedstawił przekonującej argumentacji, która podważałaby stanowisko organu, a z której wynikałoby w szczególności, że w niniejszej sprawie zachodziła którakolwiek z przesłanek stosowania środków bezpieczeństwa finansowego określonych w art. 35 ust. 1 lub 2 ustawy AML.
Nie jest trafny zarzut dotyczący naruszenia przez organ art. 6 ust. 1 lit. f RODO w związku z Rekomendacjami S, W i T Komisji Nadzoru Finansowego. Powołane Rekomendacje nie stanowią obowiązujących przepisów prawa, zatem nie mogły mieć znaczenia dla rozstrzygnięcia podjętego w sprawie. Ponadto Rekomendacje nie odnoszą się do kwestii przetwarzania danych osobowych w zakresie zapytań kredytowych w sytuacji, gdy umowa pomiędzy bankiem a potencjalnym klientem nie została zawarta. Za prawnie usprawiedliwiony cel w rozumieniu art. 6 ust. 1 lit. f RODO nie może zostać uznane przetwarzanie danych osobowych na wypadek ewentualnego dochodzenia lub obrony roszczeń. Zebrany w niniejszym postępowaniu materiał dowodowy nie wykazał, aby wnioskodawca wystąpił z jakimkolwiek roszczeniem wobec Banku, które uzasadniałoby uprawnienie tych podmiotów do zachowania i przetwarzania jego danych osobowych dla celów dowodowych w związku z dochodzeniem przez niego roszczenia. Bank nie wskazał także na istnienie roszczeń, których dochodzi od strony. Okolicznością usprawiedliwiającą przetwarzanie danych osobowych w celu dochodzenia roszczeń jest sam fakt istnienia roszczenia oraz rzeczywisty zamiar jego dochodzenia, nie jest nią natomiast zmiana w uprawnieniach procesowych danego podmiotu, bowiem przedawnienie roszczenia nie wywołuje skutków procesowych na gruncie ochrony danych osobowych. Brak jest uzasadnienia dla przyjęcia, że Bank jest uprawniony do przetwarzania danych osobowych w związku z koniecznością ewentualnego wypełnienia obowiązku wynikającego z art. 70a ust. 1 i ust. 2 Prawa bankowego. Strona wykazała w sposób jednoznaczny wolę usunięcia danych, zatem przyjąć należy, że nie jest zainteresowana realizacją prawa do wyjaśnienia dotyczącego dokonanej przez Bank oceny zdolności kredytowej, w myśl art. 70a ust. 1 i 2 Prawa bankowego.
WSA w Warszawie zwrócił uwagę, że zgodnie z wyrażoną w art. 5 ust. 2 RODO zasadą rozliczalności na administratorze ciąży obowiązek wykazania, że proces przetwarzania danych osobowych prowadzony jest zgodnie z regułami określonymi w art. 5 ust. 1 RIODO. Administrator nie może oczekiwać, że to organ ochrony danych osobowych zastąpi go w realizacji obowiązków wynikających z zasady rozliczalności. Zatem to na Banku ciążył obowiązek wykazania na wezwanie organu, że przetwarza dane osobowe strony, wynikające z zapytań kredytowych, w sposób zgodny z prawem. To administrator określa cele i sposoby przetwarzania danych osobowych (art. 4 pkt 7 RODO), na administratorze ciąży również obowiązek wykazania, że procesy te prowadzone są zgodnie z zasadami określonymi w art. 5 ust. 1 RODO.
W ocenie Sądu pierwszej instancji, nieuzasadniony jest zarzut naruszenia art. 7b k.p.a. w związku z art. 52 ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych (Dz. U. z 2019 r., poz. 1781) poprzez zaniechanie zwrócenia się do Komisji Nadzoru Finansowego w celu ustalenia jakie obowiązki regulacyjne nałożone są na Bank w zakresie analizy ryzyka kredytowego, jak również w zakresie Rekomendacji S, W i T wydanych przez KNF, oraz jak wpływają one na zakres zbierania oraz okres przetwarzania danych osobowych osób wnioskujących o kredyt. Zgodnie z art. 7b k.p.a. w toku postępowania organy administracji publicznej współdziałają ze sobą w zakresie niezbędnym do dokładnego wyjaśnienia stanu faktycznego i prawnego sprawy, mając na względzie interes społeczny i słuszny interes obywateli oraz sprawność postępowania, przy pomocy środków adekwatnych do charakteru, okoliczności i stopnia złożoności sprawy. W ocenie Sądu stan faktyczny i prawny sprawy został przez organ prawidłowo ustalony i należycie rozpatrzony w oparciu o zgromadzony materiał dowodowy, w tym w oparciu o wyjaśnienia Banku. Nie zachodziły więc przesłanki do podjęcia przez Prezesa UODO współdziałania z innymi organami administracji publicznej w oparciu o ten przepis w celu wydania rozstrzygnięcia w sprawie.
W dniu 8 lipca 2022 r. skargę kasacyjną na powyższy wyrok wywiódł [...] Bank S.A. [...], zaskarżając go w części, tj. w punkcie drugim i wnosząc o uchylenie zaskarżonego wyroku w tej części oraz uchylenie decyzji Prezesa Urzędu Ochrony Danych Osobowych z 29 czerwca 2021 r., w punkcie pierwszym, tj. w zakresie w jakim nakazuje skarżącemu kasacyjnie zaprzestania przetwarzania danych osobowych A.O. dotyczących wniosku kredytowego z 12 czerwca 2020 r., 22 października 2020 r., 3 listopada 2020 r., niezakończonych udzieleniem kredytu, ewentualnie uchylenie zaskarżonego wyroku w części, tj. w punkcie drugim i przekazanie sprawy do ponownego rozpoznania Wojewódzkiemu Sądowi Administracyjnemu w Warszawie oraz o zasądzenie zwrotu kosztów postępowania według norm przepisanych, w tym kosztów zastępstwa procesowego oraz kwoty 51 zł uiszczonej tytułem opłaty skarbowej od pełnomocnictwa. Zaskarżonemu wyrokowi zarzucono naruszenie:
1. art. 145 § 1 pkt 1 lit. c) P.p.s.a. w związku z art. 7b k.p.a. w związku z art. 52 ustawy o ochronie danych osobowych poprzez uznanie, że organ zasadnie zaniechał zwrócenia się do Komisji Nadzoru Finansowego jako organu właściwego w sprawie i obowiązków Banku związanych m.in. z oceną zdolności kredytowej i analizą ryzyka kredytowego, w zakresie wykorzystywania do realizacji tych obowiązków danych, w tym danych osobowych o niezrealizowanych zapytaniach kredytowych. Wyjaśnienie z Komisją Nadzoru Finansowego zakresu obowiązków Banku, jak również wpływu Rekomendacji S, W i T wydanych przez Komisję Nadzoru Finansowego na ich zakres, potwierdziłoby, że powyższe dane są niezbędne do realizacji obowiązków Banku;
2. art. 134 P.p.s.a. w związku z art. 6 ust. 1 lit. f) RODO w związku z art. 1 ust. 2 pkt 1 oraz art. 2 ustawy z 21 lipca 2006 r. o nadzorze nad rynkiem finansowym (Dz. U. z 2022 r., poz. 660) w związku z art. 137 ust. 1 pkt 5 ustawy Prawo bankowe w związku z Rekomendacją S, W i T Komisji Nadzoru Finansowego poprzez niewyjście poza granice zarzutów skargi, niewzięcie pod uwagę z urzędu naruszeń w postępowaniu administracyjnym i jedynie ogólne odniesienie się do Rekomendacji Komisji Nadzoru Finansowego, pomimo, iż Sąd powinien był kompleksowo przeanalizować te przepisy i Rekomendacje w sytuacji, gdy organ w sposób oczywisty i istotny dokonał naruszenia art. 6 ust. 1 lit. f) RODO w związku z art. 1 ust. 2 pkt 1 oraz art. 2 ustawy o nadzorze nad rynkiem finansowym w związku z art. 137 ust. 1 pkt 5 Prawa bankowego w związku z Rekomendacją S, W i T Komisji Nadzoru Finansowego poprzez ich błędne zastosowanie i pominięcie, że przepisy te nakładają na banki, w tym skarżącego kasacyjnie, określone wymagania, które następnie podlegają egzekwowaniu przez Komisję Nadzoru Finansowego na podstawie bezwzględnie obowiązujących przepisów prawa przewidujących sankcje za ich nieprzestrzeganie, co skutkowało oddaleniem skargi;
3. art. 145 § 1 pkt 1 lit. a) P.p.s.a. w związku z art. 6 ust. 1 lit. f) RODO w związku z art. 117 § 2 i 2’, art. 118 i art. 119 Kodeks cywilny poprzez jedynie ogólne odniesienie się do przesłanki obrony przed ewentualnymi roszczeniami i przyjęcie, że nie uzasadnia ona przetwarzania danych osobowych A.O., w sytuacji, gdy Sąd wychodząc poza granice zarzutów skargi powinien był wszechstronnie przeanalizować przepisy regulujące przedawnienie roszczeń, tj. art. 117 § 2 i 2', art. 118 i art. 119 Kodeksu cywilnego i dostrzec oczywiste i istotne naruszenie organu polegające na błędnej wykładni wymienionych przepisów i przyjęciu, że przechowywanie danych przez okres przedawnienia roszczeń w przypadku, gdy ani administrator ani osoba, której dane dotyczą nie zgłosiła jeszcze roszczenia, nie stanowi prawnie uzasadnionego interesu skarżącego kasacyjnie w rozumieniu art. 6 ust. 1 lit. f) RODO, podczas gdy przepisy te uprawniają skarżącego kasacyjnie do przetwarzania danych osobowych w celu ustalenia, dochodzenia i ochrony przed roszczeniami, nawet jeśli takie roszczenie nie zostało jeszcze zgłoszone, co skutkowało oddaleniem skargi;
4. art. 6 ust. 1 lit. c) RODO w związku z art. 105 ust. 4, art. 105a ust. 1 oraz art. 70 ust. 1 Prawa bankowego, polegające na ich błędnej wykładni i przyjęciu, że skarżący kasacyjnie nie legitymuje się przesłanką przetwarzania danych wynikającą z art. 6 ust. 1 lit. c) RODO w związku z art. 105 ust. 4, art. 105a ust. 1 oraz art. 70 ust. 1 Prawa bankowego, podczas gdy przepisy te nakładają na skarżącego kasacyjnie określone obowiązki, w tym obowiązek wykonywania czynności bankowych takich jak udzielanie kredytów, obowiązek oceny zdolności kredytowej i analizy ryzyka kredytowego, z którymi wiąże się konieczność przetwarzania danych osobowych, w tym danych z zapytań kredytowych;
5. art. 6 ust. 1 lit. c) RODO w związku z art. 105a ust. 1-1c Prawa bankowego, polegające na ich błędnej wykładni i przyjęciu, że skarżący kasacyjnie nie legitymuje się przesłanką przetwarzania danych wynikającą z art. 6 ust. 1 lit. c) RODO w związku z art. 105a ust. 1-1c Prawa bankowego, podczas gdy skarżący kasacyjnie wykazuje cel przetwarzania danych osobowych polegający na dokonywaniu analizy ryzyka kredytowego oraz realizacji wymogów w związku ze stosowaniem metod wewnętrznych oraz innych metod i modeli, o których mowa w części trzeciej Rozporządzenia Parlamentu Europejskiego i Rady nr 575/2013 z dnia 26 czerwca 2013 r. w sprawie wymogów ostrożnościowych dla instytucji kredytowych i firm inwestycyjnych (dalej: "rozporządzenie CRR");
6. art. 6 ust. 1 lit. c) RODO w związku z art. 144 ust. 1 lit. d), art. 170 ust. 3 lit. a), art. 170 ust. 4 lit. a), art. 171 ust. 2 i art. 179 ust. 1 lit. a) rozporządzenia CRR polegające na ich niewłaściwym zastosowaniu i przyjęciu, że skarżący kasacyjnie nie legitymuje się przesłanką przetwarzania danych wynikającą z art. 6 ust. 1 lit. c) RODO w związku z powyższymi przepisami rozporządzenia CRR wskazującymi na określone obowiązki skarżącego kasacyjnie w zakresie wymogów ostrożnościowych i tworzenia modeli oraz metod służących ocenie ryzyka kredytowego;
7. art. 6 ust. 1 lit. c) RODO w związku z art. 106d Prawa bankowego w związku z art. 33 ust. 2, art. 33 ust. 3, art. 34 ust. 1 pkt 4, art. 36 oraz art. 49 ustawy AML, polegające na ich niewłaściwym zastosowaniu i przyjęciu, że skarżący kasacyjnie nie legitymuje się przesłanką przetwarzania danych wynikającą z tych przepisów, podczas gdy skarżący kasacyjnie wykazuje cel przetwarzania danych osobowych polegający na analizie danych podanych we wnioskach kredytowych i analizie zapytań kredytowych złożonych w BIK w określonym czasie w celu wykrycia nieścisłości oraz powzięcia informacji mogących stanowić o uzasadnionym podejrzeniu popełnienia przestępstw, o których mowa w art. 106d Prawa bankowego, a także wypełnianiu obowiązków zawartych w ustawie AML;
8. art. 6 ust. 1 lit. c) RODO w związku z art. 70a ust. 1 i 2 Prawa bankowego, polegające na ich niewłaściwym zastosowaniu i przyjęciu, że skarżący kasacyjnie nie legitymuje się podstawą prawną przetwarzania danych osobowych, podczas gdy przepisy te nakładają na banki, w tym skarżącego kasacyjnie obowiązek wyjaśniania dokonanej oceny zdolności kredytowej;
9. art. 7 k.p.a. w związku z art. 5 ust. 2 RODO poprzez ich błędną wykładnię polegającą na przyjęciu, że zasada rozliczalności wyrażona w art. 5 ust. 2 RODO oznacza, że to na administratorze danych spoczywa obowiązek wykazania na wezwanie organu nadzoru, że dane osobowe są przetwarzane zgodnie z prawem i skarżący kasacyjnie nie może oczekiwać, że organ ochrony danych osobowy zastąpi go w realizacji tego obowiązku, w sytuacji, gdy zasada rozliczalności przewidziana w RODO nie uchyla obowiązkom Prezesa Urzędu Ochrony Danych Osobowych w zakresie prowadzenia postępowania zgodnie z zasadą prawdy obiektywnej, o której mowa w art. 7 k.p.a.
W odpowiedzi na skargę kasacyjną organ wniósł jej o oddalenie jako niezasadnej.
Naczelny Sąd Administracyjny zważył, co następuje:
Zgodnie z art. 183 § 1 P.p.s.a. Naczelny Sąd Administracyjny rozpoznaje sprawę w granicach skargi kasacyjnej, bierze jednak z urzędu pod rozwagę nieważność postępowania, której przesłanki określone w § 2 art. 183 P.p.s.a. w rozpoznawanej sprawie nie występują.
Związanie Naczelnego Sądu Administracyjnego podstawami skargi kasacyjnej wymaga prawidłowego ich określenia w samej skardze. Należy zatem wskazać konkretne przepisy prawa, którym - zdaniem skarżącego - uchybił sąd i zamieścić uzasadnienie podstawy kasacyjnej, czyli uzasadnić uchybienia zarzucane sądowi. Uzasadnienie podstaw kasacyjnych polega na wykazaniu przez autora skargi kasacyjnej, że stawiane przez niego zarzuty mają usprawiedliwioną podstawę i zasługują na uwzględnienie. Uzasadniając zarzut naruszenia prawa materialnego przez jego błędną wykładnię wykazać należy, że sąd mylnie zrozumiał stosowany przepis prawa, natomiast uzasadniając zarzut niewłaściwego zastosowania przepisu prawa materialnego wykazać należy, iż sąd stosując przepis popełnił błąd w subsumcji czyli, że niewłaściwie uznał, iż stan faktyczny przyjęty w sprawie odpowiada stanowi faktycznemu zawartemu w hipotezie normy prawnej zawartej w przepisie prawa. W obu tych przypadkach autor skargi kasacyjnej wykazać musi ponadto w uzasadnieniu, jak w jego ocenie powinien być rozumiany stosowany przepis prawa, czyli jaka powinna być jego prawidłowa wykładnia bądź jak powinien być stosowany konkretny przepis prawa ze względu na stan faktyczny sprawy, a w przypadku zarzutu niezastosowania przepisu - dlaczego powinien być zastosowany. Uzasadniając zaś naruszenie przepisów postępowania wykazać należy, że uchybienie im mogło mieć istotny wpływ na wynik sprawy. Skarga kasacyjna nieodpowiadająca powyższym wymaganiom uniemożliwia sądowi ocenę jej zasadności.
W rozpoznawanej sprawie zarzuty skargi kasacyjnej obejmują zarówno naruszenie przepisów postępowania, jak i przepisów prawa materialnego, aczkolwiek nie określają formy naruszeń.
W pierwszej kolejności rozpoznaniu podlegały zarzuty naruszenia przepisów postępowania, ponieważ dopiero po przesądzeniu, że Sąd pierwszej instancji postępował w sposób prawidłowy, możliwe jest badanie zasadności zarzutów naruszenia prawa materialnego.
Zarzuty naruszenia art. 145 § 1 pkt 1 lit. c) P.p.s.a. w związku z art. 7b k.p.a. w związku z art. 52 ustawy o ochronie danych osobowych oraz art. 134 P.p.s.a. w związku z art. 6 ust. 1 lit. f RODO w związku z art. 1 ust. 2 pkt 1 oraz art. 2 ustawy o nadzorze nad rynkiem finansowym w związku z art. 137 ust. 1 pkt 5 ustawy Prawo bankowe sprowadzają się braku oceny postępowania Prezesa UODO w zakresie niepowołania rekomendacji Komisji Nadzoru Finansowego dotyczących, zdaniem skarżącego kasacyjnie, zakresu uprawnień do przechowywania przez niego danych osobowych wnioskodawcy. Należy jednak wskazać, że WSA w Warszawie wbrew zarzutom skargi odniósł się do tej kwestii (s. 26 uzasadnienia), a to, że ocena ta nie jest zgodna z oczekiwaniami skarżącego kasacyjnie Banku nie oznacza, że w tym zakresie Sąd naruszył przepisy prawa procesowego.
Nie może również odnieść zamierzonego skutku zarzut obrazy art. 145 § 1 pkt 1 lit. a) P.p.s.a. w związku z art. 6 ust. 1 lit. f) RODO w związku z art. 117 § 2 i 2’, art. 118 i art. 119 Kodeksu cywilnego - poprzez jedynie ogólne odniesienie się do argumentacji Banku. Przypomnieć należy, że warunkiem zastosowania dyspozycji art. 145 § 1 pkt 1 lit. a P.p.s.a. jest spełnienie hipotezy w postaci stwierdzenia przez Sąd naruszenia przepisów prawa materialnego przez organ administracji publicznej. Jeśli z wyroku wynika, że Sąd I instancji nie dopatrzył się naruszenia przepisów prawa materialnego, które miało wpływ na wynik sprawy, to Naczelny Sąd Administracyjny nie może zarzucić oddalającemu skargę Sądowi pierwszej instancji naruszenia omawianego przepisu, gdyż rozstrzygnięcie jest zgodne z dyspozycją stosowanej przez ten Sąd normy prawnej (por. wyrok NSA z dnia 25 stycznia 2021 r., sygn. akt I OSK 1893/20). Natomiast zarzut braków w uzasadnieniu zaskarżonego wyroku powinien odwoływać się do treści art. 141 § 4 P.p.s.a. – czego jednak w skardze kasacyjnej nie uczyniono.
Przechodząc do zarzutów naruszenia prawa materialnego wskazać należy, że sprowadzają się one w istocie do zakwestionowania stanowiska WSA w Warszawie, że brak jest podstaw prawnych wynikających z art. 6 ust. 1 lit. c RODO do przetwarzania danych osobowych wnioskodawcy przez skarżący kasacyjnie Bank w zakresie wynikającym z zapytań kredytowych.
W skardze kasacyjnej przyjęto, że w pierwszym rzędzie podstawą przetwarzania danych w takiej sytuacji jest przepis art. 6 ust. 1 lit. c RODO w zw. z art. 105 ust. 4, 10a ust. 1 -1c Prawa bankowego. Zgodnie z art. 105 ust. 4 Prawa bankowego, banki mogą, wspólnie z bankowymi izbami gospodarczymi, utworzyć instytucje upoważnione do gromadzenia, przetwarzania i udostępniania bankom - informacji stanowiących tajemnicę bankową w zakresie, w jakim informacje te są potrzebne w związku z wykonywaniem czynności bankowych oraz w związku ze stosowaniem metod wewnętrznych oraz innych metod i modeli, o których mowa w części trzeciej rozporządzenia nr 575/2013. Przepis ten stanowi podstawę kompetencyjną do założenia instytucji do gromadzenia, przetwarzania i udostępniania bankom informacji stanowiącej tajemnicę bankową. Nie wynika jednak z niego pełna, szczególna podstawa prawna przetwarzania danych osobowych, gdyż zakres upoważnienia do przetwarzania danych osobowych określony został dość ogólnie przez wskazanie, że chodzi o dane objęte tajemnicą bankową w zakresie, w jakim informacje te są potrzebne w związku z wykonywaniem czynności bankowych oraz w związku ze stosowaniem metod wewnętrznych oraz innych metod i modeli, o których mowa we wskazanym akcie normatywnym.
Dopiero z dalszych regulacji wynika szczegółowy zakres danych osobowych, które mogą być legalnie przetwarzane przez banki oraz inne podmioty rynku okołobankowego, w tym instytucje utworzone na podstawie art. 105 ust. 4 Prawa bankowego, jaką jest skarżący Bank. Zakres danych, które mogą być przetwarzane, zasady i czas przetwarzania wynikają z przepisów art. 105a Prawa bankowego. Przepisy tego artykułu odnoszą się do danych dotyczących osób, które nawiązały umowną więź prawną z bankiem. Przepisem, który określa zakres uprawnień do przetwarzania danych podmiotu, o którym mowa w art. 105 ust. 4 Prawa bankowego, jest przepis art. 105a ust. 4 Prawa bankowego, zgodnie z którym banki oraz instytucje, o których mowa w art. 105 ust. 4, mogą przetwarzać stanowiące tajemnicę bankową informacje dotyczące osoby fizycznej po wygaśnięciu zobowiązania wynikającego z umowy zawartej z bankiem lub inną instytucją ustawowo upoważnioną do udzielania kredytów bez zgody osoby, której informacje dotyczą, do celów stosowania metod wewnętrznych oraz innych metod i modeli, o których mowa w części trzeciej rozporządzenia nr 575/2013. W ustawie Prawo bankowe brak jest przepisu, który regulowałby uprawnienie do przetwarzania danych osoby fizycznej, która ubiegała się o nawiązanie stosunku zobowiązaniowego z bankiem, lecz z jakichś powodów do nawiązania tej więzi nie doszło. Takiej regulacji nie można wywieść z art. 70a ust. 1-2 Prawa bankowego, który dotyczy przekazywania wyjaśnienia dotyczącego dokonanej przez siebie oceny zdolności kredytowej wnioskującego - jakiego ma udzielić Bank podmiotowi ubiegającemu się o kredyt. Przepis ten w żaden sposób nie ma związku z przetwarzaniem danych osobowych i dotyczy tylko kwestii związanych z wzajemnymi relacjami bank - wnioskodawca podczas procedury udzielenia kredytu.
Przypomnieć należy, że prawo do ochrony danych osobowych jest prawem gwarantowanym zarówno w krajowym, jak i unijnym porządku prawnym. Na płaszczyźnie regulacji krajowej prawo do ochrony danych osobowych znajduje oparcie w art. 51 Konstytucji RP. Przepis ten określa podstawowe uprawnienia składające się na prawo do ochrony danych osobowych, w kwestiach szczegółowych odsyłając do regulacji ustawowej.
W piśmiennictwie przedmiotu przyjmuje się, że prawo do ochrony danych osobowych stanowi refleks ogólnej zasady autonomii informacyjnej człowieka i swego rodzaju emanację ogólnego prawa do prywatności, gwarantowanego w art. 47 Konstytucji RP, ze względu na to, że dane osobowe są częścią życia prywatnego bądź posługiwanie się danymi dotyczącymi innej osoby wkracza w przyznaną jej kompetencję do decydowania o swoim życiu osobistym (por. J. Barta, P. Fajgielski, R. Markiewicz, Ochrona danych osobowych. Komentarz, Warszawa 2015, s. 260-261). Wywodząca się z prawa niemieckiego koncepcja autonomii informacyjnej jednostki jest przyjmowana również na gruncie prawa polskiego, co dostrzec można zarówno w poglądach doktrynalnych, jak też w judykaturze. W wyroku z 19 lutego 2002 r. (U 3/01, OTK-A 2002/1, poz. 3) Trybunał Konstytucyjny stwierdził, że tzw. autonomia informacyjna jednostki (gwarantowana w art. 51 Konstytucji RP), oznaczająca prawo do samodzielnego decydowania o ujawnianiu innym informacji dotyczących swojej osoby, a także prawo do sprawowania kontroli nad takimi informacjami znajdującymi się w posiadaniu innych podmiotów, są elementami składowymi prawa do ochrony prawnej życia prywatnego, gwarantowanego w art. 47 Konstytucji RP (na temat autonomii informacyjnej w orzecznictwie TK szerzej por. P. Litwiński, Zasada autonomii informacyjnej w orzecznictwie Trybunału Konstytucyjnego a stosowanie przepisów o ochronie danych osobowych (w:) Ochrona danych osobowych w Polsce z perspektywy dziesięciolecia, red. P. Fajgielski, Lublin 2008, s. 169-184). Zakres autonomii informacyjnej jednostki stale zmniejsza się, co jest spowodowane przesuwaniem ciężaru ochrony jednostki i jej prywatności w kierunku instytucjonalnych, publicznoprawnych instytucji i środków (M. Safjan, Prawo do prywatności i ochrona danych osobowych w społeczeństwie informatycznym, PiP 2002/6, s. 5). Nie znaczy to jednak, że zmniejszanie tej autonomii następować może bez podstawy prawnej, o czym poniżej.
W porządku prawnym UE prawo do ochrony danych osobowych jest jednym z praw podstawowych, które zostało zagwarantowane w art. 8 ust. 1 Karty praw podstawowych UE oraz art. 16 ust. 1 TFUE, o czym przypomina motyw 1 preambuły. W myśl wskazanych powyżej przepisów każda osoba ma prawo do ochrony danych osobowych jej dotyczących. Zgodnie z art. 8 ust. 2 Karty praw podstawowych UE dane osobowe powinny być przetwarzane rzetelnie w określonych celach i za zgodą osoby zainteresowanej lub na innej uzasadnionej podstawie przewidzianej ustawą; każdy ma prawo dostępu do zebranych danych, które go dotyczą, i prawo do dokonania ich sprostowania, natomiast ust. 3 stanowi, iż przestrzeganie tych zasad podlega kontroli niezależnego organu.
Przepis art. 16 ust. 2 TFUE uprawnia Parlament Europejski i Radę UE do tego, aby stanowiąc zgodnie ze zwykłą procedurą ustawodawczą, określiły zasady dotyczące ochrony osób fizycznych w zakresie przetwarzania danych osobowych przez instytucje, organy i jednostki organizacyjne Unii oraz przez państwa członkowskie w wykonywaniu działań wchodzących w zakres zastosowania prawa Unii, a także zasady dotyczące swobodnego przepływu takich danych. W odniesieniu do unijnych instytucji i organów zasady zostały określone w rozporządzeniu Parlamentu Europejskiego i Rady 2018/1725 z 23 października 2018 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych przez instytucje, organy i jednostki organizacyjne Unii i swobodnego przepływu takich danych oraz uchylenia rozporządzenia (WE) nr 45/2001 i decyzji nr 1247/2002/WE (Dz.Urz.UE.L 295, s. 39 i n.), natomiast zasady ochrony danych przez państwa członkowskie regulowane są przepisami RODO.
Zmniejszanie się autonomii jednostki jest znakiem naszych czasów, jednak polski prawodawca nadal wymaga, aby następowało to w sposób określony w art. 31 ust. 3 Konstytucji RP.
Podkreślić należy, że dane osobowe są elementem konstytucyjnego prawa do prywatności. Zatem przepis art. 6 ust. 1 RODO należy postrzegać w kategoriach regulacji prawnej wprowadzającej ograniczenia w zakresie prawa do prywatności, co pociąga za sobą dwie konsekwencje. Pierwszą odnoszoną do stanowienia prawa, drugą do stosowania prawa. Gdy idzie o stanowienie prawa, ramy dalszego ograniczania prawa przez ustawodawcę zwykłego, poza przypadkami wskazanymi w przepisach art. 6 ust. 1 RODO, nakłada art. 31 ust. 3 Konstytucji RP. Dopuszcza on możliwość ograniczania praw uregulowanych w Konstytucji, pod warunkiem, że ograniczenia w zakresie korzystania z konstytucyjnych wolności i praw ustanawiane są w ustawach i tylko wtedy, gdy są konieczne w demokratycznym państwie dla jego bezpieczeństwa lub porządku publicznego, bądź dla ochrony środowiska, zdrowia i moralności publicznej, albo wolności i praw innych osób. Poza wymogami formalnymi i materialnym ograniczenia te nie mogą naruszać istoty wolności i praw.
Z punktu widzenia procesów stosowania prawa przepis art. 6 ust. 1 RODO jako wprowadzający ograniczenia w zakresie konstytucyjnego prawa do prywatności, należy interpretować wyłącznie w ramach tzw. wykładni literalnej, tj. wykładni ścisłej, takiej, której rezultat pokrywa się z wynikiem wykładni językowej (vide szerzej na ten temat TK w orzeczeniu z 28 czerwca 2000 r., K 25/99, OTK 2000, Nr 5, poz. 141). Wymóg zastosowania technik tej wykładni wynika z charakteru przepisów art. 6 ust. 1 RODO, które mają charakter ograniczający prawa lub wolności jednostki. Stanowisko co do obowiązku interpretowania wedle reguł wykładni literalnej przepisów tego rodzaju jest ugruntowane w orzecznictwie TK (vide: wyrok TK z 25 lutego 1999 r., K 23/98, OTK 1999, Nr 2, poz. 25), orzecznictwie SN (np. postanowienie SN z 14 stycznia 2009 r., IV CSK 344/08), a przede wszystkim orzecznictwie NSA, który prezentuje je konsekwentnie od początku swojej działalności (np. wyrok NSA z 15 czerwca 2000 r., I SA/Gd 606/98; wyrok NSA z 1 czerwca 2004 r., GSK 30/04 ), jak również w doktrynie (jako przykład wskazać można: L. Morawski, Zasady wykładni prawa, Toruń 2014, s. 191 i nast.). Przekładając te ustalenia na problem wykładni przepisu art. 6 ust. 1 lit. c RODO, interpretacja użytego w tym przepisie wyrażenia językowego "obowiązku prawnego", który ciążył na administratorze, wymagała przyjęcia takiego rozumienia tego wyrażenia, zgodnie z którym obowiązkiem prawnym jest tylko taki obowiązek, który wynika wyraźnie z przepisów ustawy lub z przepisów do ustawy wykonawczych. Chodzić zatem musi o przepis prawa, który na gruncie rozumienia uzyskanego w drodze zastosowania dyrektyw wykładni językowej prowadzić będzie do rezultatu, zgodnie z którym określony przepis ustawowy lub wykonawczy nakładać będzie na konkretny podmiot prawo, a zarazem obowiązek przetwarzania sprecyzowanych danych osobowych, określając zakres, okoliczności, warunki i czas przetwarzania. Na gruncie rozpoznawanej sprawy wskazane wyżej przepisy prawa bankowego przewidują w art. 105 ust. 4 Prawa bankowego podmiot, który może przetwarzać dane osobowe uzyskiwane w trakcie świadczenia usług bankowych, zaś w art. 105a ust. 1-6 Prawa bankowego regulują szczegółowe warunki, zakres, okoliczności i czas przetwarzania tych danych osobowych. Przepisy ust. 1 i 1a wskazują cele, którym może służyć przetwarzanie danych osobowych, przepis ust. 1b kategorie danych osobowych, które mogą być przetwarzane, przepis ust. 2 - przesłankę legalizującą przetwarzanie danych w postaci zgody osoby fizycznej, przepis ust. 3 - warunki przetwarzania danych osobowych bez zgody osoby fizycznej, przepis ust. 4 - warunki i cele przetwarzania danych osobowych bez zgody osoby fizycznej po wygaśnięciu zobowiązania, przepis ust. 5 - czas przetwarzania danych osobowych, a przepis ust. 6 - zakres przetwarzanych danych obejmujący dane o osobie fizycznej oraz o treści zobowiązania.
Istotne jest podkreślenie, iż przepisy te odnoszą się wyłącznie do przetwarzania danych osobowych klientów banku, z którymi doszło do nawiązania relacji prawnej o charakterze zobowiązaniowym. Interpretacja tych przepisów z zastosowaniem reguł wykładni językowej prowadzić musi do wniosku, iż nie jest dopuszczalne przetwarzanie danych osobowych klientów banków, z którymi nie doszło do nawiązania przez bank stosunku zobowiązaniowego. Bank ani podmiot, o którym mowa w art. 105 ust. 4 Prawa bankowego nie ma "obowiązku prawnego" w rozumieniu art. 6 ust. 1 lit. c RODO przetwarzania danych osobowych klienta banku, z którym nie doszło do nawiązania relacji prawnej zobowiązaniowej, gdyż przepisy art. 105a ust. 1-6 Prawa bankowego nie zawierają upoważnienia dla administratora do przetwarzania danych osobowych takiego klienta, ograniczając swój zakres wyłącznie do klientów, którzy zawarli umowę z bankiem. Prowadzić to musi to konkluzji, iż brak było możliwości przetwarzania danych osobowych w sytuacji, kiedy nie doszło do zawarcia umowy kredytowej, a wnioskodawca pytał tylko o możliwość zawarcia takiej umowy. Prowadziłoby to sytuacji, że każdy nawet niezobowiązujący kontakt osoby fizycznej z bankiem doprowadzałby do tego, że taka instytucja finansowa gromadziłaby jego dane osobowe niejako "na zapas" bez uzasadnienia wynikającego ze stosunku prawnego wiążącego taką osobę fizyczną z bankiem. Taka praktyka jest oczywiście sprzeczna ze wskazanymi przepisami konstytucyjnymi jak i statuowaną w art. 6 RODO zasadą legalizmu nakazującej wykazania konkretnej podstawy prawnej dla administratora w zakresie przetwarzania przez niego danych osobowych.
Za równie niezasadne należy uznać zarzuty naruszenia art. 6 ust. 1 lit. c RODO w związku z przepisami ustawy AML oraz przepisami rozporządzenia CRR.
Zgodnie z art. 106d ust. 1 Prawa bankowego, banki, inne instytucje ustawowo upoważnione do udzielania kredytów, izby rozliczeniowe utworzone na podstawie art. 67, instytucje utworzone na mocy art. 105 ust. 4, instytucje pożyczkowe, podmioty, których podstawowa działalność polega na udostępnianiu składników majątkowych na podstawie umowy leasingu, oraz podmioty, o których mowa w art. 59d ustawy o kredycie konsumenckim, mogą przetwarzać i wzajemnie udostępniać informacje, w tym informacje objęte tajemnicą bankową, w przypadkach: 1) uzasadnionych podejrzeń, o których mowa w art. 106a ust. 3; 2) uzasadnionych podejrzeń popełnienia przestępstw dokonywanych na szkodę banków, innych instytucji ustawowo upoważnionych do udzielania kredytów, instytucji kredytowych, instytucji finansowych, instytucji pożyczkowych oraz podmiotów, o których mowa w art. 59d ustawy o kredycie konsumenckim, i ich klientów, w celu i zakresie niezbędnym do zapobiegania tym przestępstwom; 3) wykonywania obowiązków w zakresie określonym w przepisach o przeciwdziałaniu praniu pieniędzy oraz finansowaniu terroryzmu.
Art. 106a ust. 3 Prawa bankowego, do którego odwołano się w art. 106d ust. 1 pkt 1 stanowi, że w przypadku powzięcia uzasadnionego podejrzenia, że zgromadzone na rachunku bankowym środki, w całości lub w części pochodzą lub mają związek z przestępstwem skarbowym lub przestępstwem innym niż przestępstwo, o którym mowa w art. 165a lub art. 229 Kodeksu karnego, bank jest uprawniony do dokonania blokady środków na tym rachunku. Blokada może nastąpić wyłącznie do wysokości zgromadzonych na rachunku środków, co do których zachodzi takie podejrzenie.
Należy zauważyć, że art. 33 ust. 1 ustawy AML nakłada na instytucje obowiązane obowiązek m.in. stosowania wobec swoich klientów środków bezpieczeństwa finansowego, których zakres (katalog) znajduje się w art. 34 ustawy AML. Artykuł 34 ust. 1 ustawy AML odnosi się m.in. do bieżącego monitorowania stosunków gospodarczych klienta (w tym analizę transakcji przeprowadzanych w ramach stosunków gospodarczych, badanie źródła pochodzenia wartości majątkowych będących w dyspozycji klienta - w przypadkach uzasadnionych okolicznościami, zapewnienie, że posiadane dokumenty, dane lub informacje dotyczące stosunków gospodarczych są na bieżąco aktualizowane). Art. 35 wskazuje sytuacje, w których bank jest obowiązany stosować środki bezpieczeństwa finansowego. Art. 36 ustawy AML dotyczy kwestii identyfikacji klienta. Na podstawie art. 49 ust. 1 tej ustawy kopie dokumentów i informacje uzyskane w wyniku stosowania środków bezpieczeństwa finansowego a także dowody potwierdzające przeprowadzone transakcje i ewidencje transakcji, obejmujące oryginalne dokumenty lub kopie dokumentów konieczne do identyfikacji transakcji, przechowuje się przez okres 5 lat licząc od pierwszego dnia roku następującego po roku, w którym zakończono stosunki gospodarcze z klientem lub w którym przeprowadzono transakcje okazjonalne. W przypadku dokonania analizy przeprowadzonej transakcji i udokumentowania jej analizy zgodnie z art. 34 ust. 3 ustawy AML, instytucja pożyczkowa na mocy art. 49 ust. 2 ustawy AML jest obowiązana do przechowywania jej wyników przez okres 5 lat, licząc od pierwszego dnia roku następującego po roku ich przeprowadzenia.
Z wymienionych wyżej przepisów prawa niewątpliwie wynika uprawnienie do monitorowania stosunków gospodarczych klienta i stosowania odpowiednich środków bezpieczeństwa finansowego, ale w żaden sposób nie dotyczy, po pierwsze, sytuacji, w której znalazł się wnioskodawca, tj. nie zwarł on umowy kredytu, a po drugie, z akt sprawy nie wynika, aby wnioskodawca w jakikolwiek sposób postępował wobec instytucji finansowej bezprawnie lub próbował oszukać skarżący kasacyjnie Bank.
Zdaniem Naczelnego Sądu Administracyjnego, rozszerzanie przez bank dopuszczalności przetwarzania danych (zawartych w zapytaniu kredytowym) osoby, z którą nie zawarto umowy kredytowej, z powołaniem się na "zapewnienie bezpieczeństwa finansowego w przypadku nawiązywania stosunków gospodarczych", a zatem szeroko rozumiane, ogólne cele, nie znajduje podstawy na gruncie RODO i jest wprost sprzeczne z zasadą ograniczenia celu (art. 5 ust. 1 lit. b RODO), w sytuacji, gdy nie ma mowy o nawiązaniu stosunku zobowiązaniowego.
Z kolei z powołanych przez Bank przepisów, tj. art. 144 ust. 1 lit. d, art. 145 ust. 1, art. 170 ust. 3 lit. a, art. 171 ust. 2 i art. 179 ust. 1 lit. a oraz art. 181 ust. 2 rozporządzenia CRR, także nie wynika podstawa prawna do dalszego przetwarzania danych osobowych wnioskodawcy przez bank. Zgodnie z art. 144 ust. 1 lit. d powołanego rozporządzenia, właściwy organ wydaje zezwolenie na mocy art. 143 na stosowanie przez instytucję metody IRB, w tym na stosowanie własnych oszacowań LGD i współczynników konwersji, wyłącznie wtedy, gdy właściwy organ stwierdzi, że wymogi przewidziane w niniejszym rozdziale są spełnione, w szczególności wymogi przewidziane w sekcji 6, oraz że posiadane przez instytucję systemy w zakresie zarządzania oraz oceny ekspozycji na ryzyko kredytowe są należyte i zostały spójnie wdrożone, w szczególności gdy instytucja wykazała w sposób zadowalający właściwym organom spełnienie następujących norm: (...) d) instytucja gromadzi i przechowuje wszystkie odpowiednie dane, aby zapewnić skuteczne wsparcie procesów pomiaru ryzyka kredytowego oraz zarządzania ryzykiem kredytowym. Stosownie do art. 145 ust. 1 rozporządzenia CRR, jest wymagane, aby instytucja ubiegająca się o możliwość stosowania metody IRB korzystała, w odniesieniu do omawianych kategorii ekspozycji IRB, co najmniej przez trzy lata poprzedzające zakwalifikowanie się do stosowania metody IRB, z systemów ratingowych, które odpowiadały w znacznym stopniu wymogom określonym w sekcji 6 dotyczącym wewnętrznego pomiaru ryzyka i zarządzania ryzykiem. Z kolei art. 170 ust. 3 lit. a rozporządzenia CRR, stanowi, że struktura systemów ratingowych dla ekspozycji detalicznych spełnia następujące wymogi: a) systemy ratingowe odzwierciedlają zarówno ryzyko dłużnika, jak i ryzyko transakcji oraz uwzględniają wszystkie istotne właściwości ryzyka dłużnika i ryzyka transakcji. Zgodnie z art. 171 ust. 2 klasyfikując dłużników i instrumenty do klas lub pul, instytucja uwzględnia wszystkie istotne informacje. Informacje te są aktualne i umożliwiają instytucji prognozowanie zachowania ekspozycji w późniejszym okresie. Im mniej informacji ma do dyspozycji instytucja, tym ostrożniej klasyfikuje ekspozycje do poszczególnych klas lub pul dłużników i instrumentów. Jeżeli instytucja stosuje rating zewnętrzny jako główny czynnik decydujący o przyznaniu wewnętrznego ratingu, instytucja ta zapewnia uwzględnienie innych istotnych informacji oraz stosownie do art. 179 ust. 1 lit. a, przy przeprowadzaniu kwantyfikacji parametrów ryzyka związanego z poszczególnymi klasami lub pulami ratingowymi instytucje stosują następujące wymogi: a) oszacowania własne instytucji dotyczące parametrów ryzyka PD, LGD, współczynnika konwersji i EL uwzględniają wszelkie istotne dane, informacje i metody. Oszacowań dokonuje się na podstawie zarówno doświadczeń z przeszłości, jak i dowodów empirycznych, nie zaś wyłącznie w oparciu o osąd własny. Oszacowania te są wiarygodne i intuicyjne oraz opierają się na istotnych czynnikach odpowiednich parametrów ryzyka. Im mniej danych ma do dyspozycji instytucja, tym ostrożniejsze są jej oszacowania. W myśl zaś art. 181 ust. 2 rozporządzenia CRR, w odniesieniu do ekspozycji detalicznych instytucje mogą podjąć następujące działania: a) przeprowadzić oszacowania wartości LGD na podstawie zrealizowanych strat i odpowiednich oszacowań PD; b) uwzględniać kwoty do wykorzystania w przyszłości w swoich współczynnikach konwersji lub oszacowaniach LGD; c) w przypadku nabytych wierzytelności detalicznych stosować zewnętrzne i wewnętrzne dane źródłowe do oszacowań LGD. W przypadku ekspozycji detalicznych oszacowania LGD opierają się na danych z okresu co najmniej pięciu lat. Instytucja nie musi przypisywać równej wagi do danych historycznych, jeżeli późniejsze dane stanowią lepszy predyktor wskaźników straty. Przy wdrażaniu metody IRB instytucje mogą, pod warunkiem uzyskania zezwolenia właściwych organów, korzystać z odpowiednich danych obejmujących okres dwóch lat. Okres ten ulega co roku wydłużeniu o jeden rok do momentu, gdy istotne dane będą obejmować okres pięciu lat.
Powołane przepisy rozporządzenia CRR w żaden sposób nie stanowią podstawy do przetwarzania danych osobowych zawartych w zapytaniach kredytowych osoby, z którą nie zawarto umowy kredytu. Obowiązek zbierania informacji przydatnych w zarządzaniu ryzykiem nie może opierać się na naruszeniu przez bank na gruncie RODO praw osoby fizycznej, która przekazała bankowi swoje dane osobowe wyłącznie w celu oceny zdolności kredytowej i analizy ryzyka kredytowego, która to czynność nie zakończyła się zawarciem umowy kredytowej. Przepisy powołanego rozporządzenia CRR nie stanowią podstawy do "dalszego" przetwarzania danych zawartych w zapytaniu kredytowym w sytuacji nienawiązania stosunku zobowiązaniowego. NSA podziela twierdzenie organu, że konstruowanie skutecznych i poprawnie działających modeli, o których mowa w rozporządzeniu CRR może następować wyłącznie w oparciu o dane osobowe pozyskane i przetwarzane w sposób legalny.
Całkowicie niezasadny jest zarzut obrazy zasady rozliczalności, o której mowa w art. 5 ust. 2 RODO poprzez uznanie, że na administratorze spoczywa obowiązek wykazania, że dane osobowe są przetwarzane zgodnie z prawem. Przypomnieć należy, że zasada rozliczalności jest skierowana do administratora i "oznacza odpowiedzialność za przestrzeganie przepisów rozporządzenia i możność wykazania ich przestrzegania" (P. Fajgielski [w:] Komentarz do rozporządzenia nr 2016/679 w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) [w:] Ogólne rozporządzenie o ochronie danych. Ustawa o ochronie danych osobowych. Komentarz, wyd. II, Warszawa 2022, art. 5). Z istoty zatem zasady rozliczalności wynika, że administrator ma obowiązek znać przepisy rozporządzenia i wykazywać zarówno wobec osób, których danych przechowuje jak i wobec organu kontroli, że działa zgodnie z prawem.
Mając powyższe na uwadze, Naczelny Sąd Administracyjny, na podstawie art. 184 P.p.s.a., oddalił skargę kasacyjną.
O kosztach postępowania orzeczono na podstawie art. 209 i art. 204 pkt 1 w zw. z art. 205 § 2 P.p.s.a.