II SA/Wa 1098/23
WyrokWSA w Warszawie2024-03-06
Skład orzekający: Joanna Kube, Iwona Maciejuk, Sławomir Antoniuk
Analiza orzeczenia
Sekcja wygenerowana przez AI na podstawie treści orzeczenia — nie stanowi cytatu.
Zagadnienie prawne
Czy bank i biuro informacji gospodarczej mogą przetwarzać dane osobowe osoby fizycznej w związku z zapytaniami kredytowymi, które nie zakończyły się zawarciem umowy, na podstawie art. 105a Prawa bankowego oraz art. 6 ust. 1 lit. c i f RODO?Ratio decidendi
Sąd uznał, że bank i biuro informacji gospodarczej nie mogą przetwarzać danych osobowych osoby fizycznej w związku z zapytaniami kredytowymi, które nie zakończyły się zawarciem umowy. Uzasadniono to tym, że cel przetwarzania danych (ocena zdolności kredytowej) został zrealizowany, a brak zawarcia umowy uniemożliwia dalsze przetwarzanie na podstawie przepisów Prawa bankowego i RODO. Rekomendacje KNF nie stanowią podstawy prawnej do przetwarzania danych, a przetwarzanie danych na przyszłość w celu obrony przed ewentualnymi roszczeniami nie jest prawnie uzasadnionym interesem.Stan faktyczny
Skargi dotyczyły decyzji Prezesa Urzędu Ochrony Danych Osobowych (UODO), która nakazała Bankowi [...] S.A. oraz [...] S.A. usunięcie danych osobowych D. K. związanych z zapytaniami kredytowymi z lipca 2021 r. i kwietnia 2022 r., które nie zakończyły się zawarciem umowy. Bank i [...] argumentowały, że posiadają podstawę prawną do przetwarzania tych danych na podstawie Prawa bankowego i RODO, powołując się m.in. na ocenę zdolności kredytowej, analizę ryzyka, cele statystyczne oraz możliwość obrony przed ewentualnymi roszczeniami. Prezes UODO uznał, że brak zawarcia umowy uniemożliwia dalsze przetwarzanie danych w tych celach.Rozstrzygnięcie
Wojewódzki Sąd Administracyjny w Warszawie oddalił skargi Banku [...] S.A. i [...] S.A.Pełny tekst orzeczenia
Wojewódzki Sąd Administracyjny w Warszawie w składzie następującym: Przewodniczący Sędzia WSA Joanna Kube, Sędzia WSA Iwona Maciejuk, Sędzia WSA Sławomir Antoniuk (spr.), Protokolant starszy sekretarz sądowy Marcin Rusinowicz-Borkowski po rozpoznaniu na rozprawie w dniu 6 marca 2024 r. sprawy ze skarg B. S.A. z siedzibą w [...] i [...] Bank [...] S.A. z siedzibą w [...] na decyzję Prezesa Urzędu Ochrony Danych Osobowych z dnia [...] marca 2023 r. nr [...] w przedmiocie przetwarzania danych osobowych oddala skargi.
Prezes Urzędu Ochrony Danych Osobowych (Prezes UODO) decyzją z [...] marca 2023 r. nr [...], na podstawie art. 104 § 1 ustawy z dnia 14 czerwca 1960 r. – Kodeks postępowania administracyjnego (Dz. U. z 2022 r. poz. 2000, z późn. zm.); zwanej dalej K.p.a., art. 7 ust. 1 i 2 ustawy z dnia i 10 maja 2018 r. o ochronie danych osobowych (Dz. U. z 2019 r. poz. 1781) oraz art. 6 ust. 1 oraz art. 58 ust. 2 lit. c rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz. Urz. UE L 119 z 4.05.2016, str. 1, Dz. Urz. UE L 127 z 23.05.2018, str. 2 oraz Dz. Urz. UE L 74 z 4.03.2021, str. 35); zwanego dalej RODO, po przeprowadzeniu postępowania administracyjnego w sprawie skargi D. K.; zwanego dalej skarżącym na nieprawidłowości w procesie przetwarzania jego danych osobowych przez [...] Bank [...] S.A. z siedzibą w [...] przy ul. [...], polegające na przetwarzaniu jego danych osobowych bez podstawy prawnej, w tym przetwarzanie jego danych osobowych w bazie [...] S.A. z siedzibą w [...] przy ul. [...] w związku z zapytaniami kredytowymi z [...] lipca 2021 r. i [...] kwietnia 2022 r., które nie zakończyły się zawarciem umów kredytowych:
1. nakazał [...] Bank [...] S.A., z siedzibą w [...] usunięcie danych osobowych skarżącego w zakresie wynikającym z zapytań kredytowych z [...] lipca 2021 r. oraz z [...] kwietnia 2022 r.,
2. nakazał [...] S.A. ([...]) z siedzibą w [...] usunięcie danych osobowych skarżącego w zakresie wynikającym z zapytań kredytowych z [...] lipca 2021 r. oraz z [...] kwietnia 2022 r., przekazanych przez [...] Bank [...] S.A., z siedzibą w [...].
W toku postępowania organ ustalił następujący stan faktyczny.
Do Prezesa UODO wpłynęła skarga D. K. na nieprawidłowości w procesie przetwarzania jego danych osobowych przez [...] Bank [...] S.A. z siedzibą w [...], zwana dalej Bankiem, polegające na przetwarzaniu jego danych osobowych bez podstawy prawnej, w tym przetwarzanie jego danych osobowych w bazie [...] S.A. z siedzibą w [...], zwaną dalej [...], w związku z zapytaniami kredytowymi z [...] lipca 2021 r. oraz [...] kwietnia 2022 r., które nie zakończyły się zawarciem umów kredytowych. Skarżący pismem z [...] czerwca 2022 r. zwrócił się do Banku z żądaniem usunięcia ww. danych przez Bank oraz usunięcia ich z [...]. Bank odmówił spełnienia jego żądania. Wobec tego skarżący wniósł do Prezesa UODO o nakazanie usunięcia jego danych osobowych dot. ww. zapytań kredytowych.
W złożonych wyjaśnieniach Bank wskazał, że dane osobowe skarżącego pozyskał od niego, w związku z zapytaniami kredytowymi z [...] lipca 2021 r. oraz z [...] kwietnia 2022 r. Bank wskazał, że przetwarza jego dane osobowe w następującym zakresie: imię, nazwisko, nazwisko rodowe matki, numer PESEL, data urodzenia, obywatelstwo, rodzaj, seria, numer, data wydania i data ważności dokumentu tożsamości, adres zameldowania, adres zamieszkania, numer telefonu, adres e-mail, status rezydencji podatkowej, stan cywilny, wykształcenie, informacje o rodzaju i wysokości dochodów, stanowisku oraz dane finansowe związane z wnioskowanym kredytem, w tym kwota i rodzaj produktu kredytowego, informacje o rodzaju i wysokości dochodów, stanowisku, okresie zatrudnienia oraz danych identyfikacyjnych i kontaktowych zakładu pracy. Bank podał również, że ww. dane są przetwarzane na podstawie art. 6 ust. 1 lit. c RODO w związku z art. 6 ust. 1 lit. f RODO, tj. z uwagi na konieczność spełniania przez Bank wymogów:
a) wynikających z art. 70 ust. 1 ustawy z 29 sierpnia 1997 r. – Prawo bankowe (t.j. Dz. U. z 2022 r. poz. 2324, z późn. zm.), zwanej dalej Prawem bankowym, w związku z którym Bank uzależnia przyznanie kredytu od zdolności kredytowej kredytobiorcy, a kredytobiorca jest obowiązany przedłożyć na żądanie banku dokumenty i informacje niezbędne do dokonania oceny tej zdolności,
b) w związku z art. 6 ust. 1 lit. f RODO, tj. z uwagi na konieczność spełniania przez Bank wymogów wynikających z art. 70a i 105a Prawa bankowego,
c) w zw. z art. 105 ust. 4 pkt 1 Prawa bankowego oraz art. 105a ust. 4 Prawa bankowego, tj. m.in. wymogów kapitałowych określonych w części III rozporządzenia Parlamentu Europejskiego i Rady (UE) nr 575/2013 z 26 czerwca 2013 r. w sprawie wymogów ostrożnościowych dla instytucji kredytowych i firm inwestycyjnych, zmieniającego rozporządzenie (UE) nr 648/2012 (Dz. Urz. UE L 176 z 27.06.2013, str. 1, z późn. zm.), zwanego dalej CRR, art. 147 ust. 5 w zw. z art. 147 ust. 2 lit. d (dotyczących metod klasyfikowania ekspozycji do poszczególnych kategorii ekspozycji) lub art. 171 (dot. klasyfikacji do klas lub pul),
d) w związku z wymogami określonymi przez Komisję Nadzoru Finansowego w Rekomendacji T dotyczącej dobrych praktyk w zakresie zarządzania ryzykiem detalicznych ekspozycji kredytowych, w szczególności rekomendacją 6 oraz rekomendacją 10,
e) oceny ryzyka kredytowego, w tym oceny globalnego ryzyka kredytowego, m.in. na podstawie art. 105a ust. 1-1c Prawa bankowego,
f) uwzględnienia możliwości dochodzenia przez skarżącego od Banku ewentualnych roszczeń związanych z przedmiotem niniejszego postępowania w zw. z art. 118 ustawy z 23 kwietnia 1964 r. Kodeks cywilny (t.j. Dz. U. z 2022 r. poz. 1360, z późn. zm.), dalej zwanej Kodeksem cywilnym, oraz związanej z tym konieczności umożliwienia Bankowi obrony przed ewentualnymi roszczeniami,
g) wynikających z przepisów ustawa z dnia 1 marca 2018 r. o przeciwdziałaniu praniu pieniędzy oraz finansowaniu terroryzmu (t.j. Dz. U z 2022 r. poz. 593, z późn. zm.), zwanej dalej ustawą AML, takich jak m.in. identyfikacja i ocena ryzyka związanego z praniem pieniędzy i finansowaniem terroryzmu (art. 33 ust. 2 ustawy AML) identyfikowanie klienta i beneficjenta rzeczywistego (art. 36 ustawy AML), identyfikowanie i ocenianie ryzyka związanego z praniem pieniędzy i finansowaniem terroryzmu (art. 33 ust. 2 ustawy AML), identyfikowanie powiązań z osobami na eksponowanych stanowiskach, tj. obowiązek identyfikacji wśród obecnych i potencjalnych klientów osób na eksponowanych stanowiskach politycznych, członków rodzin oraz osób z nimi blisko związanych (art. 46 ustawy AML), stosowanie procedur pozwalających na poznanie klienta przed świadczeniem mu usług szczególnie poprzez wzięcie pod uwagę celu, regularności lub czasu trwania stosunków gospodarczych (art. 33 ust. 6 pkt 6 ustawy AML),
h) zapewnienia Prezesowi UODO dostępu do informacji niezbędnych do przeprowadzenia postępowania w niniejszej sprawie, w związku z art. 58 ust. 1 lit. e RODO.
Bank wskazał, że przekazał dane osobowe skarżącego do [...] dot. skarżonych zapytań kredytowych odpowiednio w dniach: [...] lipca 2021 r. oraz [...] kwietnia 2022 r., a przekazanie danych do [...] było realizowane w celu oceny jego zdolności kredytowej. W związku z tym podstawą prawną złożenia przez Bank zapytań w [...] były przepisy: art. 5 ust. 1 pkt 3 w zw. z art. 70 ust. 1 w zw. z art. 105 ust. 4 w zw. z art. 105 ust. 1 pkt 1c Prawa bankowego, art. 9 ust. 2 i 4 ustawy z 12 maja 2011 r. o kredycie konsumenckim (t.j. Dz. U. z 2022 r. poz. 246, z późn. zm.), zwanej dalej u.k.k., oraz zawarta między Bankiem a [...] umowa [...] lipca 2016 r. w sprawie gromadzenia, przetwarzania i udostępniania informacji w bazie [...] [...] "[...]".
Bank wskazał również, że skarżący wystąpił do Banku z wnioskiem o realizację swych praw w zakresie usunięcia zapytań kredytowych w [...], ale Bank odmówił realizacji tego wniosku. Ponadto Bank wskazał, że otrzymał od skarżącego żądanie zaprzestania przetwarzania jego danych osobowych do celów marketingowych i przychylił się do tego żądania.
Bank podkreślił, że cyt. "Do dnia sporządzenia niniejszego pisma Bank nie posiada informacji, aby: 1) skarżący wystąpił w stosunku do Banku z roszczeniem, lub 2) Bank wystąpił w stosunku do skarżącego z roszczeniami". Ponadto Bank cyt. "nie otrzymał informacji o innych, nowych zgłoszeniach reklamacyjnych dokonanych przez skarżącego i dotyczących przedmiotu niniejszego postępowania, poza zgłoszeniami wskazanymi i dołączonymi do pisma Banku z [...] sierpnia 2022 r.".
W złożonych wyjaśnieniach [...] wskazał, że pozyskał od Banku dane osobowe skarżącego obejmujące: imię, nazwisko, PESEL, serię i numer dowodu osobistego, datę urodzenia, obywatelstwo, płeć, dane z wniosków kredytowych dotyczących wnioskowanych zobowiązań i adres zamieszkania, w zakresie zapytań kredytowych kolejno w dniach: [...] lipca 2021 r. oraz [...] kwietnia 2022 r. na podstawie art. 105 ust. 1 pkt 1c, art. 105 ust. 4 oraz art. 105a ust. 1 Prawa bankowego, a także łącznej Bank i [...] umowy.
[...] wskazał, że przetwarza dane pochodzące z zapytań kredytowych przez okres 12 miesięcy od dnia złożenia zapytania w celu oceny zdolności kredytowej i analizy ryzyka kredytowego konkretnego klienta, przy czym ze względu na upływ czasu nie są przetwarzane w tym celu dane o zapytaniu z [...] lipca 2021 r. [...] będzie przetwarzał dane osobowe skarżącego w związku ze złożonymi zapytaniami kredytowymi w celu budowy modeli scoringowych, tj. narzędzi wykorzystywanych przez banki do oceny zdolności kredytowej i analizy ryzyka kredytowego przez okres nie krócej niż 5 lat i nie dłużej niż 10 lat od dnia złożenia zapytania. Podstawą przetwarzania danych przez [...] w celu oceny zdolności kredytowej i analizy ryzyka kredytowego jest art. 6 ust. 1 lit. c RODO w zw. z art. art. 105 ust. 4 oraz art. 105a ust. 1, 1a i 1b ustawy Prawo bankowe, art. 171 ust. 2 CRR, 144 ust. 1 lit. d CRR, art. 145 ust. 1 CRR oraz art. 147 ust. 5 lit. b. CRR.
[...] podał, że dane dot. zapytań kredytowych z [...] lipca 2021 r. oraz z [...] kwietnia 2022 r. skarżącego będzie przetwarzał również w celach statystycznych oraz stosowania metod wewnętrznych oraz innych metod i modeli przez okres nie dłuższy niż 10 lat; w celu rozpatrywania ewentualnych reklamacji lub roszczeń odszkodowawczych klientów, których termin przedawnienia zgodnie z art. 118 Kodeksu cywilnego wynosi 6 lat oraz z uwagi na konieczność wypełnienia ustawowego obowiązku wynikającego z art. 15 RODO w przypadku wystąpienia przez osobę, której dane dotyczą z wnioskiem o udzielenie informacji. Natomiast [...] będzie przetwarzał wyłącznie dane dot. zapytania kredytowego z [...] kwietnia 2022 r. przez okres 12 miesięcy w celach przeciwdziałania przestępstwom oraz wykonywania obowiązków w zakresie określonym w przepisach o przeciwdziałaniu praniu pieniędzy oraz finansowaniu terroryzmu na podstawie art. 106d Prawa bankowego oraz art. 33 ust. 2, art. 34 ust. 1 pkt 4 ustawy AML oraz w celu realizacji wniosków klientów banków dotyczących wyjaśnień dokonanej oceny zdolności kredytowej na podstawie art. 70a ustawy Prawo bankowe.
[...] wyjaśnił również, że Bank nie zwracał się do [...] z żądaniem zaprzestania przetwarzania danych pochodzących z zapytań z [...] lipca 2021 r. oraz z [...] kwietnia 2022 r. [...] podkreślił, że skarżący nie zwracał się do [...] z wnioskiem o usunięcie danych pochodzących z ww. zapytań. Co więcej skarżący nie wystosował do [...] konkretnego roszczenia czy reklamacji, podobnie jak [...] nie wystosował do skarżącego konkretnego roszczenia związanego z zapytaniami kredytowymi.
Prezes UODO wskazał, że co do zasady podstawą prawną przetwarzania danych osobowych klientów przez Bank i [...] może być obecnie art. 6 ust. 1 lit. f RODO, gdy przetwarzanie to jest niezbędne do celów wynikających z prawnie uzasadnionych interesów realizowanych przez administratora.
[...] jest instytucją utworzoną na podstawie art. 105 ust. 4 Prawa bankowego. Zgodnie ż art. 105a ust. 1 tej ustawy, przetwarzanie przez banki, inne instytucje ustawowo upoważnione do udzielania kredytów, instytucje pożyczkowe oraz podmioty, o których mowa w art. 59d ustawy z dnia 12 maja 2011 r. o kredycie konsumenckim, a także instytucje utworzone na podstawie art. 105 ust. 4, informacji stanowiących tajemnicę bankową i informacji udostępnionych przez instytucje pożyczkowe oraz podmioty, o których mowa w art. 59d ustawy z dnia 12 maja 2011 r. o kredycie konsumenckim, w zakresie dotyczącym osób fizycznych może być wykonywane, z zastrzeżeniem art. 104, 105 i art. 106 - 106d Prawa bankowego w celu oceny zdolności kredytowej i analizy ryzyka kredytowego. Stosownie do treści art. 105a ust. 4 Prawa bankowego Banki oraz instytucje, o których mowa w art. 105 ust. 4, mogą przetwarzać stanowiące tajemnicę bankową informacje dotyczące osoby fizycznej po wygaśnięciu zobowiązania wynikającego z umowy zawartej z bankiem lub inną instytucja ustawowo upoważnioną do udzielania kredytów bez zgody osoby, której informacje dotyczą, do celów stosowania metod wewnętrznych oraz innych metod i modeli, o których mowa w części trzeciej CRR. W myśl zaś art. 105a ust. 5 Prawa bankowego przetwarzanie informacji stanowiących tajemnicę bankową w przypadkach, o których mowa w ust. 3, może być wykonywane przez okres nie dłuższy niż 5 lat od dnia wygaśnięcia zobowiązania, a w przypadku, o którym mowa w ust. 4, przez okres 12 lat od dnia wygaśnięcia zobowiązania. Ponadto zgodnie z art. 70 ust. 1 Prawa bankowego, bank uzależnia przyznanie kredytu od zdolności kredytowej kredytobiorcy.
Biorąc powyższe pod uwagę organ stwierdził, że skarżący w dniach: [...] lipca 2021 r. oraz [...] kwietnia 2022 r., wystąpił do Banku z wnioskami o kredyt ratalny oraz o kartę kredytową, a zatem Bank oraz [...], na podstawie art. 105a ust. 1 Prawa bankowego w zw. z art. 70 ust. 1 tej ustawy, były uprawnione do przetwarzania jego danych osobowych w celu oceny zdolności kredytowej. Nie doszło do zawarcia ww. umów pomiędzy skarżącym a Bankiem. W związku z tym odpadła przesłanka legalizująca dalsze przetwarzanie jego danych osobowych przez Bank oraz [...]. Przesłanki zawarte w art. 105a Prawa bankowego dotyczą bowiem przetwarzania informacji objętych tajemnicą bankową w okresie przed powstaniem zobowiązania, w trakcie jego trwania oraz po wygaśnięciu zobowiązania. Pomiędzy Bankiem a skarżącym nie zawiązał się żaden stosunek zobowiązaniowy, który stosownie do treści art. 105a ust. 1-6 Prawa bankowego dawałby podstawę do dalszego przetwarzania jego danych osobowych. Celem przetwarzania danych osobowych skarżącego była wyłącznie ocena zdolności kredytowej i analizy ryzyka kredytowego. W związku z dokonaniem przez Bank oceny zdolności kredytowej i analizy ryzyka kredytowego ww. cel przetwarzania jego danych osobowych został zrealizowany i brak jest podstaw prawnych do kontynuowania tego procesu, co potwierdza stanowisko zawarte w wyroku Naczelnego Sądu Administracyjnego z 27 sierpnia 2019 r., sygn. akt I OSK 2567/17.
W ocenie organu za podstawę przetwarzania danych osobowych skarżącego nie mogą być również uznane wskazane przez Bank i [...] cele statystyczne i analizy, w tym cel stosowania metod wewnętrznych oraz innych metod i modeli, o których mowa w części trzeciej rozporządzenia CRR. Podkreślić należy, że powołany przez Bank i [...] art. 105a ust. 4 Prawa bankowego daje podstawy do przetwarzania informacji dotyczących osoby fizycznej stanowiących tajemnicę bankową po wygaśnięciu zobowiązania wynikającego z umowy zawartej z bankiem lub inną instytucją ustawowo upoważnioną do udzielania kredytów bez zgody osoby, której te informacje dotyczą. W przedmiotowej sprawie nie doszło do zawarcia umowy kredytu pomiędzy skarżącym a Bankiem, a zatem nie powstał żaden stosunek zobowiązaniowy, o którym mowa w powyższym przepisie. Także powołane przepisy CRR nie wykazują konkretnej przesłanki uprawniającej [...] do wykorzystania danych w zakresie zapytań kredytowych niezakończonych zawarciem umowy do indywidualnej oceny zdolności kredytowej, ani tym bardziej do wykorzystania tego rodzaju danych osobowych do modeli scoringowych.
Odnosząc się do przywołanych rekomendacji Komisji Nadzoru Finansowego Prezes UODO wyjaśnił, że powoływane przez [...] oraz Bank rekomendacje Komisji Nadzoru Finansowego należą do nienormatywnych form działania administracji. Wydane przez Komisję Nadzoru Finansowego rekomendacje - podobnie jak inne uchwały ww. organu nadzoru - nie są źródłem ani powszechnie obowiązujących przepisów prawa, ani przepisów prawa o charakterze wewnętrznym. Przywołane rekomendacje nie stanowią zatem podstawy prawnej legalizującej przetwarzanie danych osobowych w zakresie zapytań kredytowych niezakończonych zawarciem umowy kredytu, zaś ich stosowanie nie może naruszać przepisów RODO.
Zarówno Bank, jak i [...], wskazały również jako cel przetwarzania danych osobowych skarżącego przeciwdziałanie przestępstwom oraz wykonywanie obowiązków w zakresie określonym w przepisach art. 106d prawa Bankowego i AML, przy czym jak wynika ze złożonych wyjaśnień, [...] przetwarza na powyższej podstawie wyłącznie dane osobowe pozyskane w zakresie zapytania kredytowego z [...] kwietnia 2022 r.
Zgodnie z art. 106d Prawa bankowego banki, inne instytucje ustawowo upoważnione do udzielania kredytów, izby rozliczeniowe utworzone na podstawie art. 67, instytucje utworzone na mocy art. 105 ust. 4, instytucje pożyczkowe, podmioty, których podstawowa działalność polega na udostępnianiu składników majątkowych na podstawie umowy leasingu, oraz podmioty, o których mowa w art. 59d ustawy z dnia 12 maja 2011 r. o kredycie konsumenckim, mogą przetwarzać i wzajemnie udostępniać informacje, w tym informacje objęte tajemnicą bankową, w przypadkach: 1) uzasadnionych podejrzeń, o których mowa w art. 106a ust. 3; 2) uzasadnionych podejrzeń popełnienia przestępstw dokonywanych na szkodę banków, innych instytucji ustawowo upoważnionych do udzielania kredytów, instytucji kredytowych, instytucji finansowych, instytucji pożyczkowych oraz podmiotów, o których mowa w art. 59d ustawy z dnia 12 maja 2011 r. o kredycie konsumenckim, i ich klientów, w celu i zakresie niezbędnym do zapobiegania tym przestępstwom; 3) wykonywania obowiązków w zakresie określonym w przepisach o przeciwdziałaniu praniu pieniędzy oraz finansowaniu terroryzmu (ust. 1). Podmioty określone w ust. 1 mogą przetwarzać i wzajemnie udostępniać informacje, w tym informacje objęte tajemnicą bankową oraz informacje dotyczące wyroków skazujących, w przypadkach przestępstw dokonywanych na szkodę banków, innych instytucji ustawowo upoważnionych do udzielania kredytów, instytucji kredytowych, instytucji finansowych, instytucji pożyczkowych oraz podmiotów, o których mowa w art. 59d u.k.k., i ich klientów, w celu i zakresie niezbędnym do zapobiegania tym przestępstwom (ust. 2).
Stosownie do treści art. 33 ust. 1 AML instytucje obowiązane stosują wobec swoich klientów środki bezpieczeństwa finansowego. Instytucje obowiązane rozpoznają ryzyko prania pieniędzy oraz finansowania terroryzmu związane ze stosunkami gospodarczymi lub z transakcją okazjonalną oraz oceniają poziom rozpoznanego ryzyka (art. 33 ust. 2 AML), natomiast środki te stosują w zakresie i z intensywnością uwzględniającymi rozpoznane ryzyko prania pieniędzy oraz finansowania terroryzmu związane ze stosunkami gospodarczymi lub z transakcją okazjonalną oraz jego ocenę (art. 33 ust. 4 AML). Na podstawie art. 35 ust. 2 AML instytucje obowiązane stosują środki bezpieczeństwa finansowego również w odniesieniu do klientów, z którymi utrzymują stosunki gospodarcze, z uwzględnieniem rozpoznanego ryzyka prania pieniędzy oraz finansowania terroryzmu, w szczególności gdy: 1) doszło do zmiany uprzednio ustalonego charakteru lub okoliczności stosunków gospodarczych; 2) doszło do zmiany uprzednio ustalonych danych dotyczących klienta lub beneficjenta rzeczywistego; 3) instytucja obowiązana była w ciągu danego roku kalendarzowego zobowiązana na podstawie przepisów prawa do skontaktowania się z klientem w celu weryfikacji informacji dotyczących beneficjentów rzeczywistych, w szczególności gdy obowiązek taki wynikał z przepisów ustawy z dnia 9 marca 2017 r. o wymianie informacji podatkowych z innymi państwami. Zgodnie z art. 34 ust. 3 AML instytucje obowiązane dokumentują zastosowane środki bezpieczeństwa finansowego oraz wyniki bieżącej analizy przeprowadzanych transakcji. Na żądanie organów, o których mowa w art. 130, instytucje obowiązane wykazują, że przy uwzględnieniu poziomu rozpoznanego ryzyka prania pieniędzy oraz finansowania terroryzmu związanego z danymi stosunkami gospodarczymi lub transakcją okazjonalną zastosowały odpowiednie środki bezpieczeństwa finansowego. Na podstawie art. 49 ust. 2 AML instytucje obowiązane przechowują wyniki analiz, o których mowa w art. 34 ust. 3 AML, przez okres 5 lat, licząc od dnia ich przeprowadzenia.
Organ podkreślił, że jak wynika z treści powyższych przepisów uprawnienie do przechowywania danych osobowych związanych z zastosowaniem środków bezpieczeństwa jest powiązane z przeprowadzeniem transakcji. W przypadku zapytań kredytowych niezakończonych zawarciem umowy nie dochodzi ostatecznie do przeprowadzenia transakcji. Dodatkowo nie dochodzi również do nawiązania stosunków gospodarczych. Zgodnie z art. 35 ust. 1 pkt 1 ustawy AML instytucje obowiązane, w tym banki, stosują środki bezpieczeństwa finansowego w przypadku nawiązywania stosunków gospodarczych. W przypadku gdy instytucja obowiązana nie może zastosować jednego ze środków bezpieczeństwa finansowego, o których mowa w art. 34 ust. 1: nie nawiązuje stosunków gospodarczych lub rozwiązuje stosunki gospodarcze (art. 41 u. 1 pkt 1 i pkt 4 ustawy AML). Zgodnie z ustawową definicją stosunków gospodarczych, rozumieć przez nie należy stosunki instytucji obowiązanej z klientem związane z działalnością zawodową instytucji obowiązanej, które w chwili ich nawiązywania wykazują cechę trwałości (art. 2 ust. 2 20 ustawy AML). W ocenie Prezesa UODO zapytania kredytowe, które spotkały się z decyzją odmowną w zakresie udzielenia kredytu nie posiadają cechy trwałości, które w aspekcie powyższych przepisów AML uzasadniałyby dalsze przetwarzanie powiązanych z nimi danych osobowych.
W związku z powyższym organ stwierdził, że zebrany w sprawie materiał dowodowy nie wykazał, aby Bank lub [...] mogły przetwarzać dane osobowe skarżącego dotyczące zapytań kredytowych z [...] lipca 2021 r. oraz [...] kwietnia 2022 r. na podstawie art. 106d Prawa bankowego w celach przeciwdziałania przestępstwom oraz wykonywania obowiązków w zakresie określonym w przepisach AML, gdyż w toku prowadzonego postępowania Bank ani [...] nie wykazały, aby zaszła którakolwiek z przesłanek określonych w ww. przepisach. W szczególności nie wykazały, aby zaszły uzasadnione podejrzenia, o których mowa w art. 106d ust. 1 pkt 1-2, oraz nie wskazały także nałożonego na nie obowiązku określonego w przepisach o przeciwdziałaniu praniu pieniędzy oraz finansowaniu terroryzmu, o którym mowa w art. 106d ust. 1 pkt 3 Prawa bankowego.
Zdaniem Prezesa UODO niezasadnie Bank powołał się również na art. 46 AML, zgodnie z którym w celu ustalenia, czy klient lub beneficjent rzeczywisty jest osobą zajmującą eksponowane stanowisko polityczne, instytucje obowiązane wdrażają procedury oparte na analizie ryzyka, w tym mogą przyjmować od klienta oświadczenie w formie pisemnej lub formie dokumentowej, że jest on albo nie jest osobą zajmującą takie stanowisko, składane pod rygorem odpowiedzialności karnej za złożenie fałszywego oświadczenia. Pomiędzy Bankiem i skarżącym nie doszło do nawiązania stosunków gospodarczych, ani do przeprowadzenia jakiejkolwiek transakcji, tym samym nie stał się klientem Banku ani beneficjentem rzeczywistym.
Odnosząc się do powołanego zarówno przez Bank, jak i przez [...], celu ustalenia, dochodzenia lub obrony roszczeń organ wyjaśnił, że zebrany w niniejszym postępowaniu materiał dowodowy nie wykazał, aby skarżący wystąpił z jakimkolwiek roszczeniem wobec Banku czy [...], które uzasadniałoby uprawnienie tych podmiotów do zachowania i przetwarzania jego danych osobowych dla celów dowodowych w związku z dochodzeniem tego roszczenia. Bank i [...] nie wskazały także na istnienie roszczeń, których dochodzą od skarżącego. Przesłanka z art. 6 ust. 1 lit. f RODO dotyczy sytuacji już istniejącej, w której celem wynikającym z prawnie uzasadnionych interesów realizowanych przez administratora jest konieczność udowodnienia, potrzeba dochodzenia lub obrony przed roszczeniem istniejącym, nie zaś sytuacji, gdy dane są przetwarzane w celu zabezpieczenia się przed ewentualnym roszczeniem.
Prezes UODO podzielił ponadto stanowisko Naczelnego Sądu Administracyjnego odnoszące się do analogicznej do art. 6 ust. 1 lit. f RODO przesłanki wynikającej z art. 23 ust. 1 pkt 5 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. 2016 r. poz. 922 ze zm.), zwanej dalej u.o.d.o., dotyczącej dopuszczalności przetwarzania danych osobowych dla wypełnienia prawnie usprawiedliwionych celów realizowanych przez administratorów danych albo odbiorców danych, gdy przetwarzanie nie narusza praw i wolności osoby, której dane dotyczą. Sąd ten w wyroku z dnia 6 marca 2019 r., sygn. akt I OSK 994/17 orzekł, że: "Przepis art. 23 ust. 1 pkt 5 u.o.d.o. zezwala na przetwarzanie danych gdy jest to niezbędne dla wypełnienia prawnie usprawiedliwionych celów realizowanych przez administratorów danych albo odbiorców danych, a przetwarzanie nie narusza praw i wolności osoby, której dane dotyczą Dokonując wykładni tego przepisu należy zatem zwrócić uwagę, że stosowanie ww. przepisu wymaga wykazania, że chodzi o realizowanie prawnie usprawiedliwionego celu, ale także dokonanie oceny czy dla realizacji tego celu niezbędne jest przekazanie danych, pomimo braku zgody osoby której dane te dotyczą. Ocena ta sprowadza się do wyważania racji i interesów osoby, której danych sprawa dotyczy, a która jest objęta ochroną prawną, a z drugiej administratora danych, również chronionego przez prawo w zakresie w jakim może realizować prawnie usprawiedliwione cele i uprawnienia."
Podkreślił, że przy przyjęciu odmiennej interpretacji ww. przepisów skarżący zostałby pozbawiony ochrony na kanwie RODO oraz ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych (Dz. U. z 2019 r., poz. 1781). Przyjęcie za prawidłowe stanowiska, że przetwarzanie danych osobowych w celu uchylenia się od negatywnych skutków w przypadku zgłoszenia w przyszłości ewentualnego i nieokreślonego roszczenia, stanowi prawnie usprawiedliwiony cel w rozumieniu art. 6 ust. 1 lit. f RODO oznaczałoby, że dane osobowe skarżącego mogą być przetwarzane przez Bank i [...] permanentnie, bez konieczności ich usunięcia. Teoretycznie możliwym jest przecież, by skarżący zwrócił się do Banku lub [...] z roszczeniem po upływie terminu przedawnienia roszczenia. Prowadziłoby to tym samym do uznania, że przetwarzanie jego danych osobowych przez Bank i [...] ma uzasadnienie w przesłance określonej w art. 6 ust. 1 lit. f RODO w celu realizacji prawa do obrony przed ewentualnym jego roszczeniem również po upływie ww. terminu.
W ocenie organu brak jest uzasadnienia dla przyjęcia, że terminy dotyczące przedawnienia roszczeń wynikających ze stosunków zobowiązaniowych określają jednocześnie ramy czasowe, w których dane osobowe mogą być przetwarzane przez Bank i [...]. Przedawnienie roszczenia nie wywołuje skutków na kanwie ochrony danych osobowych, nie wpływa bowiem na fakt istnienia roszczenia, a powoduje jedynie zmianę w sferze zarzutów procesowych w postaci możliwości podniesienia okoliczności przedawnienia w sporze sądowym. Podkreślił, że okolicznością usprawiedliwiającą przetwarzanie danych osobowych w celu dochodzenia roszczeń jest sam fakt istnienia roszczenia oraz zamiar jego dochodzenia, nie jest nią natomiast zmiana w uprawnieniach procesowych podmiotu pozwanego.
Brak jest ponadto uzasadnienia dla przyjęcia, że Bank jest uprawniony do przetwarzania danych osobowych w związku z koniecznością ewentualnego wypełnienia obowiązku wynikającego z art. 70a ust. 1 i ust. 2 Prawa bankowego. Stosownie do treści art. 70a ust. 1 Prawa bankowego banki i inne instytucje ustawowo upoważnione do udzielania kredytów na wniosek osoby fizycznej, prawnej lub jednostki organizacyjnej niemającej osobowości prawnej, o ile posiada zdolność prawną, ubiegającej się o kredyt przekazują, w formie pisemnej, wyjaśnienie dotyczące dokonanej przez siebie oceny zdolności kredytowej wnioskującego. Zgodnie z art. 70a ust. 2 Prawa bankowego wyjaśnienie, o którym mowa w ust. 1, obejmuje informacje na temat czynników, w tym danych osobowych wnioskującego, które miały wpływ na dokonaną ocenę zdolności kredytowej.
Prezes UODO podzielił wskazywane w doktrynie stanowisko, zgodnie z którym: "Jeśli zaś bank - w wyniku dokonanej oceny zdolności kredytowej (przeprowadzonej zgodnie z przyjętymi rekomendacjami KNF) - nie udzieli kredytu, zatem nie dojdzie do zawarcia umowy kredytu, stan taki nie rodzi po stronie ubiegającego się o kredyt żadnych roszczeń na drodze cywilnoprawnej. Ubiegającemu się o kredyt przysługuje tylko możliwość wnioskowania o przedstawienie na piśmie przyczyn odmowy". Podkreślił, że art. 70a Prawa bankowego nie przewiduje żadnego terminu na złożenie wniosku o udzielenie informacji dotyczących odmowy udzielenia kredytu. Powyższe nie oznacza jednak, że można dane osobowe skarżącego, wynikające z przedmiotowych zapytań kredytowych przetwarzać bezterminowo, gdyż byłoby to sprzeczne z zasadą ograniczenia przechowywania, określoną w art. 5 ust. 1 lit. e RODO.
Ponadto powstanie obowiązku, o którym mowa w art. 70a ust. 1 Prawa bankowego, uzależnione jest od złożenia stosownego wniosku przez osobę ubiegającą się o kredyt. W niniejszej sprawie ustalono, że skarżący w związku z zapytaniami kredytowymi z [...] lipca 2021 r. oraz z [...] kwietnia 2022 r. ubiegał się o zawarcie z Bankiem umów kredytowych, jednak jego wnioski nie zakończyły się zawarciem umowy z Bankiem. Następnie skarżący zwrócił się do Banku z żądaniem usunięcia jego danych przetwarzanych w związku z ww. zapytaniami oraz usunięcia ich z [...]. Proces przetwarzania danych osobowych związanych z ww. zapytaniami kredytowymi zakwestionował następnie w niniejszym postępowaniu, domagając się ochrony danych osobowych. Uwzględnienie żądania skarżącego usunięcia przedmiotowych danych skutkować będzie brakiem możliwości udzielenia informacji wskazanych w art. 70a ust. 1 i 2 Prawa bankowego, z czym skarżący, żądając usunięcia danych, musi się liczyć. Należy zatem uznać, że skarżący nie był i nie jest zainteresowany realizacją prawa do złożenia wniosku, o którym mowa w powyższym przepisie, a tym samym, aby stanowił on podstawę przetwarzania jego danych osobowych . Brak jest także uzasadnienia dla przyjęcia, że [...] jest uprawniony do przetwarzania danych osobowych pozyskanych w związku z zapytaniami złożonymi przez Bank w dniach: [...] lipca 2021 r. oraz [...] kwietnia 2022 r., w związku z koniecznością ewentualnego wypełnienia obowiązku wynikającego z art. 15 RODO. Usunięcie przez administratora danych osobowych nie uniemożliwia mu wykonania obowiązku uregulowanego w art. 15 RODO. Powyższy przepis gwarantuje osobie, której dane dotyczą, prawo do uzyskania od administratora informacji, czyjej dane są przetwarzane, a w przypadku pozytywnej odpowiedzi na tak postawione pytanie - uprawnienie do dostępu do danych na swój temat oraz uzyskania informacji o okolicznościach przetwarzania danych. Jeśli bowiem administrator nie przetwarza danych dotyczących osoby, która zwraca się z żądaniem udzielenia informacji, to działanie administratora ogranicza się do odpowiedzi przeczącej i nie ma on obowiązku podawać podmiotowi danych innych informacji.
Reasumując organ stwierdził, iż w niniejszej sprawie brak jest celu uzasadniającego dalsze przetwarzanie danych osobowych skarżącego zawartych w przedmiotowych zapytaniach kredytowych zarówno przez Bank, jak i przez [...]. W sprawie nie zaistniała żadna z wyrażonych w art. 6 ust. 1 RODO przesłanek, która stanowiłaby o legalności tego procesu.
W skardze do Wojewódzkiego Sądu Administracyjnego w Warszawie [...] S.A. z siedzibą w [...] zakwestionował decyzję Prezesa UODO z [...] marca 2023 r. w części dotyczącej pkt 2, tj. w zakresie w jakim organ nakazał [...] S.A. z siedzibą w [...] usunięcie danych osobowych D. K. (zwanego uczestnikiem) wynikającym z zapytań kredytowych z [...] lipca 2021 r. oraz [...] kwietnia 2022 r., przekazanych przez [...] Bank [...] S.A. z siedzibą w [...].
Zaskarżonemu rozstrzygnięciu zarzucił naruszenie:
1. przepisów prawa materialnego, tj.:
a) art. 6 ust. 1 lit. c RODO w zw. z art. 105 ust. 1 pkt. 1c w zw. z art. 105 ust. 4 i w zw. z art. 105a w zw. z art. 70 i art. 5 ust. 1 pkt. 3 ustawy z dnia 29 sierpnia 1997 r. - Prawo bankowe, poprzez jego niewłaściwe zastosowanie i w konsekwencji nieuzasadnione przyjęcie, że nie posiada ww. podstawy prawnej do przetwarzania danych zawartych we wniosku kredytowym w przypadku niezawarcia umowy kredytowej, podczas gdy [...] jest ustawowo zobowiązany do realizacji obowiązku prawnego wynikającego z ww. przepisów polegającego na gromadzeniu, przetwarzaniu i udostępnianiu bankom oraz podmiotom szczegółowo wskazanym w przepisie informacji stanowiących tajemnicę bankową w zakresie, w jakim informacje te są potrzebne w związku z wykonywaniem czynności bankowych w postaci oceny zdolności kredytowej oraz analizy ryzyka kredytowego konkretnego klienta (indywidualna ocena zdolności kredytowej) oraz w związku ze stosowaniem metod wewnętrznych oraz innych metod i modeli, o których mowa w części trzeciej rozporządzenia Parlamentu Europejskiego i Rady (UE) nr 575/2013 z dnia 26 czerwca 2013 r. w sprawie wymogów ostrożnościowych dla instytucji kredytowych i firm inwestycyjnych, zmieniające rozporządzenie (UE) nr 648/2012 (dalej jako: rozporządzenia nr 575/2013),
ewentualnie, na wypadek nieuwzględnienia ww. zarzutu, zarzucił naruszenie art. 6 ust. 1 lit. f RODO, poprzez jego niewłaściwą wykładnię i w konsekwencji niezastosowanie wskutek przyjęcia, że nie posiada podstawy prawnej przetwarzania danych uczestnika opartej na prawnie uzasadnionym interesie administratora oraz podmiotów trzecich wskazanych w art. 105 ust. 4 pkt 1-5 Prawa bankowego, w postaci realizacji obowiązku gromadzenia, przetwarzania oraz udostępnienia bankom oraz podmiotom wskazanym w ww. przepisie informacji stanowiących tajemnicę bankową w zakresie, w jakim informacje te są potrzebne w związku z wykonywaniem czynności bankowych w postaci oceny zdolności kredytowej oraz analizy ryzyka kredytowego konkretnego klienta (indywidualna ocena zdolności kredytowej), w celu budowy i utrzymania modeli scoringowych, a więc narzędzi wykorzystywanych przez banki do oceny zdolności kredytowej i analizy ryzyka kredytowego oraz w związku ze stosowaniem metod wewnętrznych oraz innych metod i modeli, o których mowa w części trzeciej rozporządzenia nr 575/2013,
b) art. 6 ust. 1 lit. c RODO w zw. z art. 70a w zw. z art. 105 ust. 4 pkt 1 i 2 oraz w zw. z art. 105a Prawa bankowego, poprzez jego niezastosowanie wskutek uznania, że nie posiada podstawy prawnej do przetwarzania danych uczestnika w sytuacji niezawarcia umowy kredytowej, podczas gdy posiada podstawę prawną przetwarzania z uwagi na niezbędność przetwarzania do wykonania obowiązku prawnego przez banki i [...], w postaci obowiązku przekazania osobie ubiegającej się o kredyt w formie pisemnej na jego wniosek wyjaśnień dotyczących dokonanej oceny zdolności kredytowej wnioskującego,
c) art. 6 ust. 1 lit. e RODO, poprzez jego niezastosowanie wskutek uznania, że nie posiada podstawy prawnej do przetwarzania danych uczestnika w sytuacji niezawarcia umowy kredytowej, podczas gdy posiada podstawę prawną przetwarzania z uwagi na niezbędność przetwarzania dla realizacji zadania w interesie publicznym przez banki i [...] w postaci zabezpieczenia ekonomiczno-gospodarczego sektora bankowego, w tym depozytariuszy i zapewnienia stabilności ekonomiczno-gospodarczej sektora bankowego, a w ujęciu makro zapobieganiu kryzysom gospodarczym,
d) art. 6 ust. 1 lit. f RODO, poprzez jego niezastosowanie wskutek uznania, że przetwarzanie danych osobowych dla realizacji prawnie uzasadnionych interesów administratora danych w celach zabezpieczenia roszczeń może dotyczyć wyłącznie roszczeń istniejących i aktualnie dochodzonych i w konsekwencji nieuzasadnione przyjęcie, że prawnie uzasadniony interes administratora danych nie istnieje w sytuacji konieczności przetwarzania danych osobowych do ochrony przed roszczeniami istniejącymi, ale nie dochodzonymi w chwili dokonywania oceny, podczas gdy istotą uzasadnionego interesu administratora jest możliwość przetwarzania danych na wypadek konieczności obrony przed roszczeniami istniejącymi lub dochodzenia w przyszłości roszczeń istniejących, które w warunkach niniejszej sprawy są związane z przetwarzaniem danych osobowych na potrzeby opracowania oceny scoringowej uczestnika niezbędnej do przeprowadzenia analizy zdolności kredytowej oraz analizy ryzyka kredytowego, które to zobowiązany jest gromadzić, przetwarzać i udostępniać bankom i instytucjom ustawowo upoważnionym do udzielania kredytów dla realizacji celów ustawowych badania zdolności kredytowej,
e) art. 6 ust. 1 lit. f RODO, poprzez jego niezastosowanie wskutek uznania, że w przypadku braku zawarcia umowy kredytowej, [...] nie posiada prawnie uzasadnionego interesu w przetwarzaniu danych uczestnika, podczas gdy istnieje jego prawnie uzasadniony interes w przetwarzaniu tych informacji pomimo niezawarcia umowy kredytowej, polegający na realizacji działań z zakresu opracowania, utrzymania aktualności i funkcjonalności zbudowanych modeli scoringowych w zgodzie z treścią Rekomendacji W, S i T Komisji Nadzoru Finansowego w zakresie dobrych praktyk i zarządzania ryzykiem kredytowym,
f) art. 6 ust. 1 lit. f RODO, poprzez jego niezastosowanie wskutek uznania, że nie posiada podstawy prawnej do przetwarzania danych uczestnika, podczas gdy posiada podstawę prawną przetwarzania z uwagi na konieczność zapewnienia rozliczalności jego działań jako administratora danych osobowych na zasadzie art. 5 ust. 2 RODO w postaci wykazania przestrzegania przepisów dotyczących jakości danych.
2. przepisów postępowania, mającego istotny wpływ na wynik postępowania, tj.
a) art. 7 w zw. z art. 77 § 1 w zw. z art. 80 K.p.a. w zw. z art. 7 ustawy o ochronie danych osobowych, poprzez niewyczerpujące zebranie, nierozpatrzenie i błędną ocenę całokształtu materiału dowodowego przejawiającego się w zaniechaniu dokonania wyczerpującej analizy charakteru, zakresu oraz celów gospodarczo-ekonomicznych dla jakich zostało powołane [...] S.A. oraz obowiązków prawnych i obowiązków wynikających z zawartych przez [...] umów z bankami, skutkującą wadliwą i niepełną oceną stanu faktycznego sprawy oraz charakteru jego działania, co w konsekwencji skutkowało nieuzasadnionym wydaniem przez organ nakazu usunięcia danych osobowych uczestnika,
b) art. 7b K.p.a. w zw. z art. 7 K.p.a. w zw. z art. 77 K.p.a. w zw. z art. 7 ustawy o ochronie danych osobowych, poprzez niedokładne wyjaśnienie stanu faktycznego i prawnego koniecznego do podjęcia przez organ stosownych czynności, a w szczególności niezwrócenie się do Komisji Nadzoru Finansowego w celu kompleksowego wyjaśniania stanu faktycznego sprawy oraz współdziałania w zakresie niezbędnym do dokładnego wyjaśnienia stanu prawnego, mając na względzie interes społeczny i słuszny interes obywateli w postaci ustalenia należytych zasad, celów i zakresu przetwarzania danych osobowych o niezrealizowanych zapytaniach kredytowych tak, by procesy przetwarzania danych czyniły zadość zarówno przepisom prawa o ochronie danych osobowych, jak i przepisom szeroko pojętego Prawa bankowego, w szczególności dla zapewnienia ochrony wartości, których gwarancje ochrony wynikają z ww. przepisów zgodnie z zasadą proporcjonalności,
c) art. 7 K.p.a., art. 77 § 1 K.p.a. i art. 80 K.p.a., poprzez zaniechanie dokonania oceny Rekomendacji S, W i T Komisji Nadzoru Finansowego jako organu właściwego do sprawowania nadzoru nad instytucjami krajowymi w rozumieniu przepisów UE (regulatora rynku finansowego), które to regulacje nakładają na banki, a w konsekwencji na [...], jako instytucję gromadzącą dane służące do oceny zdolności kredytowej oraz budującą modele scoringowe służące bankom, określone wymagania, które podlegają nadzorowi i egzekwowaniu przez Komisję Nadzoru Finansowego na podstawie bezwzględnie obowiązujących przepisów prawa, co w konsekwencji doprowadziło do zaniechania przez organ oceny podstaw prawnych i celów dla jakich [...] oraz banki są upoważnione do przetwarzania danych w zakresie zdolności kredytowej również w przypadku niezawarcia umowy kredytowej dla zabezpieczenia interesów banków oraz stabilności rynku gospodarczo-finansowego,
d) art. 7 K.p.a., art. 77 K.p.a. w zw. z art. 80 K.p.a., poprzez zaniechanie wyczerpującego zebrania i rozpatrzenia materiału dowodowego, a w szczególności przejawiającego się brakiem analizy treści skargi złożonej do PUODO przez uczestnika pod kątem istnienia - po stronie banków, a w konsekwencji [...] jako instytucji gromadzącej dane służące do oceny zdolności kredytowej oraz budującej modele scoringowe służące bankom - oczywistego interesu prawnego przejawiającego się w odmowie udzielenia kredytu wynikającego z braku istnienia zdolności kredytowej po stronie uczestnika, co prowadzi do zabezpieczenia interesu banków przed nieodpowiedzialną polityką udzielania kredytów osobom, które nie mają szans na ich spłacenie oraz do zapewnienia stabilności gospodarczo-ekonomicznej sektora bankowego, a w ujęciu makro zapobieganiu kryzysom gospodarczym,
e) art. 7 K.p.a., art. 77 K.p.a. w zw. z art. 80 K.p.a., poprzez niezbadanie przez organ wszystkich podstaw prawnych dalszego przetwarzania danych o zapytaniach kredytowych, w sytuacji nieudzielenia kredytu, pomimo, iż przepisy prawa upoważniają go do przetwarzania tych danych, co w konsekwencji doprowadziło do błędnego nakazania usunięcia przetwarzania danych osobowych wobec błędnego przyjęcia przez organ braku istnienia podstawy prawnej do przetwarzania danych.
W związku z powyższym skarżący wniósł o uchylenie decyzji z [...] marca 2023 r. w zaskarżonej części oraz zasądzenie kosztów postępowania według norm przepisanych, w tym kosztów zastępstwa procesowego.
Od decyzji Prezesa UODO z [...] marca 2023 r. w części, w jakiej organ nakazał usunięcie danych osobowych D. K. w zakresie wynikającym z zapytań kredytowych z [...] lipca 2021 r. oraz [...] kwietnia 2022 r. [...] Bank [...] S.A. z siedzibą w [...] złożył skargę do Wojewódzkiego Sądu Administracyjnego.
Zaskarżonemu rozstrzygnięciu zarzucił naruszenie:
1. przepisów postępowania, tj.
a) art. 107 § 1 pkt 5 w zw. z art. 104 ust. 2 K.p.a., poprzez sformułowanie rozstrzygnięcia w sposób nieprecyzyjny, wywołujący po stronie skarżącej wątpliwość co do zakresu jej powinności; w treści pkt 1 organ nakazał Spółce zaprzestanie przetwarzania danych osobowych nie wskazując przy tym szczegółowo zakresu danych objętych tym nakazem.; w konsekwencji przedmiotem nakazu jest niedookreślony zakres danych osobowych, który ma wynikać z zapytania kredytowego. W ten sposób organ niejako przeniósł na stronę skarżącą ciężar określenia faktycznego zakresu jej zobowiązania, powodując po jej stronie niepewność co do jego ram, podczas gdy rozstrzygnięcia formułowane przez organy administracji publicznej, powinny być jednoznaczne i zrozumiałe dla stron,
b) art. 7 i 7b w zw. z art. 77 K.p.a., poprzez niepodjęcie wszelkich niezbędnych czynności do dokładnego wyjaśnienia stanu faktycznego i prawnego sprawy oraz zaniechanie zwrócenia się przez organ do KNF jako instytucji wyspecjalizowanej, w celu ustalenia ram obowiązków ciążących na skarżącej wynikających z wydanych przez KNF Rekomendacji S, W i T w zakresie funkcjonowania podmiotów sektora finansowego, co w konsekwencji skutkowało błędnym przyjęciem, że skarżąca nie legitymuje się podstawą prawną przetwarzania danych osobowych wynikającą z konieczności stosowania wymagań stawianych podmiotom sektora finansowego.
2. przepisów prawa materialnego, tj.
a) art. 6 ust. 1 lit. c RODO w zw. z art. 105 ust. 4 oraz art. 70 ustawy Prawo bankowe,, poprzez jego niewłaściwe zastosowanie i przyjęcie, że Bank nie legitymuje się przesłanką przetwarzania, podczas gdy przepisy te - w tym także zgodnie z wykładnią KNF w Rekomendacji T - nakładają na Bank obowiązek badania zdolności kredytowej oraz korzystania do oceny zdolności kredytowej i analizy ryzyka kredytowego z zewnętrznej bazy danych, o której mowa w art. 105 ust. 4 PrBank,
b) art. 6 ust. 1 lit. c RODO w zw. z art. 70a ust. 1 i 2 Prawa bankowego oraz art. 105a Prawa bankowego, poprzez jego niewłaściwe zastosowanie i przyjęcie, że Bank nie legitymuje się podstawą prawną przetwarzania danych osobowych, podczas gdy przepisy te nakładają na banki obowiązek wyjaśniania decyzji kredytowych, osobie fizycznej wnioskującej o kredyt, przy czym wyjaśnienie musi obejmować dane osobowe Wnioskodawcy, które miały wpływ' na dokonaną oceną zdolności kredytowej, a więc w szczególności dane zawarte w rozpatrywanym zapytaniu kredytowym,
c) art. 6 ust. 1 lit. c RODO w zw. z art. 144 ust. 1 lit. d, art. 145 ust. 1, art. 170 ust. 3 lit. a, art. 171 ust. 2 i art. 179 ust. 1 lit. a oraz 181 ust. 2 Rozporządzenia Parlamentu Europejskiego i Rady nr 575/2013 z dnia 26 czerwca 2013 r. w zw. z art. 105 ust. 4 pkt 1 Prawa bankowego oraz art. 105a ust. 4 Prawa bankowego, poprzez ich niewłaściwe zastosowanie i przyjęcie, że Bank nie legitymuje się przesłanką przetwarzania danych, wynikającą z art. 6 ust. 1 lit. c RODO w związku z powyższymi przepisami, wskazującymi na określone obowiązki w zakresie wymogów ostrożnościowych, podczas gdy przepisy te m.in. nakładają na banki konieczność gromadzenia i przechowywania danych, aby zapewnić skuteczne wsparcie procesów pomiaru ryzyka kredytowego oraz zarządzania ryzykiem kredytowym,
d) art. 6 ust. 1 lit. f RODO w związku z Rekomendacjami S, W i T KNF, poprzez jego niewłaściwe zastosowanie i przyjęcie, że Bank nie legitymuje się przesłanką przetwarzania danych wynikającą z art. 6 ust. 1 lit. f RODO w związku z tymi Rekomendacjami, podczas gdy prawnie uzasadnionym interesem Banku jest stosowanie się do wytycznych nadzoru bankowego. Z Rekomendacji wynikają przepisy nakładające na banki określone wymagania nie tylko w związku z oceną poszczególnego wniosku kredytowego, ale także wobec budowy metod i modeli statystycznych (w tym scoringowych), które następnie podlegają egzekwowaniu przez Komisję Nadzoru Finansowego na podstawie bezwzględnie obowiązujących przepisów prawa art. 58 ust. 2 lit. c RODO w zw. z art. 17 ust. 1 RODO w zw. z art. 6 ust. 1 RODO, poprzez jego niewłaściwe zastosowanie i przyjęcie, że Bank powinien spełnić żądanie i usunąć dane osobowe wnioskodawcy, podczas gdy Bank przetwarza jego dane osobowe w innych celach w oparciu o przesłanki przetwarzania, wynikające z art. 6 ust. 1 RODO, w tym w związku z przepisami CRR,
e) art. 6 ust. 1 lit. f RODO w zw. z art. 117 § 2 i § 21 , art. 118 i 119 K.c., poprzez jego niewłaściwe zastosowanie i przyjęcie, że przechowywanie danych przez okres przedawnienia roszczeń - również, gdy ani administrator ani osoba, której dane dotyczą nie zgłosiła jeszcze roszczenia nie stanowi prawnie uzasadnionego interesu Banku w rozumieniu art. 6 ust. 1 lit. f RODO, podczas gdy przepisy te uprawniają do przetwarzania danych osobowych w celu rozpatrywania i dochodzenia ewentualnych reklamacji lub roszczeń.
W związku z powyższym wniósł o uchylenie decyzji w zaskarżonej części oraz zasądzenie kosztów postępowania według norm przepisanych.
W odpowiedzi na skargę organ wniósł o jej oddalenie, podtrzymując argumentację wyrażoną w zaskarżonej decyzji.
Na rozprawie w dniu 6 marca 2024 r., Sąd zarządził, na podstawie art. 111 § 1 ustawy z dnia 30 sierpnia 2002 r. – Prawo o postępowaniu przed sądami administracyjnymi (Dz. U. z 2023 r. poz. 1634, z późn. zm.); zwanej dalej P.p.s.a., sprawy o sygn. akt II SA/Wa 1098/23 ze skargi [...] S.A. z siedzibą w [...] oraz sygn. akt II SA/Wa 10992/23 ze skargi [...] S.A. z siedzibą w [...] połączyć do wspólnego rozpoznania i orzekania oraz prowadzić dalej pod sygn. akt II SA/Wa 1098/23.
Wojewódzki Sąd Administracyjny w Warszawie zważył, co następuje:
W świetle art. 1 § 1 ustawy z dnia 25 lipca 2002 r. – Prawo o ustroju sądów administracyjnych (t.j. Dz. U. z 2022 r. poz. 2492), sądy administracyjne sprawują wymiar sprawiedliwości przez kontrolę działalności administracji publicznej, przy czym stosownie do § 2 art. 1 powołanej ustawy kontrola ta sprawowana jest pod względem zgodności z prawem, jeżeli ustawy nie stanowią inaczej.
Skargi Banku i [...] oceniane według podanych kryteriów kontroli nie zasługują na uwzględnienie. Zaskarżona decyzja Prezesa UODO z [...] marca 2023 r. zarówno w części dotyczącej rozstrzygnięcia zawartego w punkcie 1 jak i 2, nie narusza prawa. Organ podjął w tej sprawie decyzję po dokonaniu wymaganych ustaleń stanu faktycznego niezbędnych do jej rozstrzygnięcia oraz swoje stanowisko należycie uzasadnił.
W sprawie jest bezsporne, że przetwarzanie danych osobowych D. K. przez Bank i [...] powinno odbywać się z poszanowaniem przepisów RODO. Wymieniony [...] lipca 2021 r. złożył do Banku wniosek o kredyt ratalny (zakup w sklepie) oraz [...] kwietnia 2022 r. wniosek o kartę kredytową, co jest bezsporne. Bank wskazał w toku postępowania, że pozyskał w ten sposób i przetwarza dane wymienionego w zakresie: imienia, nazwiska, daty urodzenia, nr PESEL, serii i nr dowodu osobistego, płci, danych z wniosków kredytowych dotyczących wnioskowanych zobowiązań i adresu zamieszkania. Niesporny jest też ustalony cel pozyskania danych wymienionej, tj. ocena zdolności kredytowej i ryzyka kredytowego. Cele dalszego przetwarzania przez Bank danych osobowych D. K., z którym Bank nie zawarł umowy, w zakresie zapytania kredytowego, organ przedstawił w ustaleniach faktycznych decyzji, opartych na wyjaśnieniach Banku, które to ustalenia są bezsporne. Wskazać należy, że obejmują one takie cele jak: realizacja prawa do wyjaśnienia oceny zdolności kredytowej, wykonywanie obowiązków związanych z przeciwdziałaniem praniu pieniędzy i finansowaniu terroryzmu, przeciwdziałanie popełnianiu innych przestępstw, w tym przestępstw na szkodę banków w zakresie obowiązku stosowania środków bezpieczeństwa finansowego, gromadzenia i przekazywania odpowiednim instytucjom informacji przewidzianych przez ustawę lub blokowania określonych transakcji, ocena ryzyka kredytowego, w tym ocena globalnego ryzyka kredytowego, realizacja wymogów ostrożnościowych na podstawie właściwych przepisów rozporządzenia nr 575/2013, ewentualne dochodzenie przez uczestnika postępowania roszczeń wobec Banku.
W sprawie jest także bezsporne, że [...] pozyskał dane osobowe D. K. w zakresie wskazanych zapytań kredytowych od Banku, na podstawie art. 105 ust. 4, art. 105a ust. 1 Prawa Bankowego oraz umowy zawartej między [...] i Bank, jak podał [...], w celu: oceny zdolności kredytowej i analizy ryzyka kredytowego (przed okres 12 lat), przeciwdziałania przestępstwom oraz wykonywania obowiązków w zakresie określonym w przepisach o przeciwdziałaniu praniu pieniędzy oraz finansowaniu terroryzmu, statystycznym i analizy (w celu dostarczenia bankom analiz m.in. pozwalających ocenić jakość polityki kredytowej na tle rynku) przez okres nie dłuższy niż – jak wskazano 10 lat od dnia złożenia zapytania oraz rozpatrywania ewentualnych reklamacji lub roszczeń odszkodowawczych klientów.
Podstawy przetwarzania danych osobowych D. K. wymienione podmioty finansowe upatrują w przesłance legalizującej z art. 6 ust. 1 lit. f RODO, dodatkowo też w art. 6 ust. 1 lit. c RODO.
Dokonując oceny zgodności z prawem zaskarżonej decyzji w zakresie punktu 1 i 2, którą Prezes UODO nakazał Bankowi i [...] usunięcie danych osobowych D. K. w zakresie wniosków kredytowych z [...] lipca 2021 r. i [...] kwietnia 2022 r., których rozpatrzenie nie zakończyło się udzieleniem kredytu i karty kredytowej, wskazać na wstępie należy, że zgodnie z motywem 40 RODO, aby przetwarzanie danych było zgodne z prawem, powinno się odbywać na podstawie zgody osoby, której dane dotyczą, lub na innej uzasadnionej podstawie przewidzianej prawem: albo w niniejszym rozporządzeniu, albo w innym akcie prawnym Unii lub w prawie państwa członkowskiego, o których mowa w niniejszym rozporządzeniu, w tym musi się ono odbywać z poszanowaniem obowiązku prawnego, któremu podlega administrator, lub z poszanowaniem umowy, której stroną jest osoba, której dane dotyczą, lub w celu podjęcia działań na żądanie osoby, której dane dotyczą, przed zawarciem umowy.
Powyższe znalazło wyraz w art. 6 ust. 1 RODO określającym przesłanki legalności przetwarzania danych osobowych. Zgodnie z tym przepisem, przetwarzanie jest zgodne z prawem wyłącznie w przypadkach, gdy - i w takim zakresie, w jakim - spełniony jest co najmniej jeden z poniższych warunków: a) osoba, której dane dotyczą wyraziła zgodę na przetwarzanie swoich danych osobowych w jednym lub większej liczbie określonych celów; b) przetwarzanie jest niezbędne do wykonania umowy, której stroną jest osoba, której dane dotyczą, lub do podjęcia działań na żądanie osoby, której dane dotyczą, przed zawarciem umowy; c) przetwarzanie jest niezbędne do wypełnienia obowiązku prawnego ciążącego na administratorze; d) przetwarzanie jest niezbędne do ochrony żywotnych interesów osoby, której dane dotyczą, lub innej osoby fizycznej; e) przetwarzanie jest niezbędne do wykonania zadania realizowanego w interesie publicznym lub w ramach sprawowania władzy publicznej powierzonej administratorowi; f) przetwarzanie jest niezbędne do celów wynikających z prawnie uzasadnionych interesów realizowanych przez administratora lub przez stronę trzecią, z wyjątkiem sytuacji, w których nadrzędny charakter wobec tych interesów mają interesy lub podstawowe prawa i wolności osoby, której dane dotyczą, wymagające ochrony danych osobowych, w szczególności gdy osoba, której dane dotyczą, jest dzieckiem. Akapit pierwszy lit. f) nie ma zastosowania do przetwarzania, którego dokonują organy publiczne w ramach realizacji swoich zadań.
Zgodnie z art. 105a ust. 1 Prawa bankowego, przetwarzanie przez banki, inne instytucje ustawowo upoważnione do udzielania kredytów, instytucje pożyczkowe oraz podmioty, o których mowa w art. 59d ustawy z dnia 12 maja 2011 r. o kredycie konsumenckim, a także instytucje utworzone na podstawie art. 105 ust. 4, informacji stanowiących tajemnicę bankową i informacji udostępnionych przez instytucje pożyczkowe oraz podmioty, o których mowa w art. 59d ustawy z dnia 12 maja 2011 r. o kredycie konsumenckim, w zakresie dotyczącym osób fizycznych może być wykonywane, z zastrzeżeniem art. 104, art. 105 i art. 106-106d, w celu oceny zdolności kredytowej i analizy ryzyka kredytowego. Zgodnie z art. 70 ust. 1 Prawa bankowego, bank uzależnia przyznanie kredytu od zdolności kredytowej kredytobiorcy. Przez zdolność kredytową rozumie się zdolność do spłaty zaciągniętego kredytu wraz z odsetkami w terminach określonych w umowie. Kredytobiorca jest obowiązany przedłożyć na żądanie banku dokumenty i informacje niezbędne do dokonania oceny tej zdolności.
Analiza powyższych przepisów wskazuje, że Bank oraz [...], na podstawie art. 105a ust. 1 Prawa bankowego w zw. z art. 70 ust. 1 tej ustawy, były uprawnione do przetwarzania danych osobowych D. K. w celu oceny zdolności kredytowej i analizy ryzyka kredytowego.
Niemniej art. 105a ust. 2 Prawa bankowego stanowi, że instytucje, o których mowa w ust. 1, mogą przetwarzać informacje stanowiące tajemnicę bankową oraz informacje udostępnione przez instytucje pożyczkowe oraz podmioty, o których mowa w art. 59d ustawy z dnia 12 maja 2011 r. o kredycie konsumenckim, w zakresie dotyczącym osób fizycznych po wygaśnięciu zobowiązania wynikającego z umowy zawartej z bankiem, inną instytucją ustawowo upoważnioną do udzielania kredytów, instytucją pożyczkową lub podmiotem, o którym mowa w art. 59d ustawy z dnia 12 maja 2011 r. o kredycie konsumenckim, pod warunkiem uzyskania pisemnej zgody osoby, której informacje te dotyczą, z zastrzeżeniem ust. 2a. Zgoda ta może być w każdym czasie odwołana. Ust. 3 zaś stanowi, że Banki, instytucje oraz podmioty, o których mowa w ust. 1, mogą przetwarzać informacje stanowiące tajemnicę bankową i informacje udostępnione przez instytucje pożyczkowe oraz podmioty, o których mowa w art. 59d ustawy z dnia 12 maja 2011 r. o kredycie konsumenckim, dotyczące osób fizycznych po wygaśnięciu zobowiązania wynikającego z umowy zawartej z bankiem, inną instytucją ustawowo upoważnioną do udzielania kredytów, instytucją pożyczkową lub podmiotem, o którym mowa w art. 59d ustawy z dnia 12 maja 2011 r. o kredycie konsumenckim, bez zgody osoby, której informacje dotyczą, gdy osoba ta nie wykonała zobowiązania lub dopuściła się zwłoki powyżej 60 dni w spełnieniu świadczenia wynikającego z umowy zawartej z bankiem, inną instytucją ustawowo upoważnioną do udzielania kredytów, instytucją pożyczkową lub podmiotem, o którym mowa w art. 59d ustawy z dnia 12 maja 2011 r. o kredycie konsumenckim, a po zaistnieniu tych okoliczności upłynęło co najmniej 30 dni od poinformowania tej osoby przez bank, inną instytucję ustawowo upoważnioną do udzielania kredytów, instytucję pożyczkową albo podmiot, o którym mowa w art. 59d ustawy z dnia 12 maja 2011 r. o kredycie konsumenckim, o zamiarze przetwarzania dotyczących jej tych informacji, bez jej zgody. Kolejne przepisy wskazują, że banki oraz instytucje, o których mowa w art. 105 ust. 4, mogą przetwarzać stanowiące tajemnicę bankową informacje dotyczące osoby fizycznej po wygaśnięciu zobowiązania wynikającego z umowy zawartej z bankiem lub inną instytucją ustawowo upoważnioną do udzielania kredytów bez zgody osoby, której informacje dotyczą, do celów stosowania metod wewnętrznych oraz innych metod i modeli, o których mowa w części trzeciej rozporządzenia nr 575/2013 (ust. 4). Przetwarzanie informacji stanowiących tajemnicę bankową w przypadkach, o których mowa w ust. 3, może być wykonywane przez okres nie dłuższy niż 5 lat od dnia wygaśnięcia zobowiązania, a w przypadku, o którym mowa w ust. 4, przez okres 12 lat od dnia wygaśnięcia zobowiązania (ust. 5). Zakres przetwarzanych informacji, o których mowa w ust. 3 i 4, może obejmować dane dotyczące osoby fizycznej lub dane dotyczące zobowiązania (ust. 6).
W analizowanym przypadku nie doszło jednak do zawarcia umowy kredytowej pomiędzy D. K. a Bankiem. Zgodzić się należy w związku z powyższym z Prezesem UODO, że odpadła przesłanka legalizująca dalsze przetwarzanie danych osobowych D. K. przez Bank oraz [...], które to przetwarzanie miało na celu – co wymaga podkreślenia – ocenę zdolności kredytowej i analizę ryzyka kredytowego (przed zawarciem umowy). Pomiędzy Bankiem a wymienioną osobą fizyczną nie zawiązał się żaden stosunek zobowiązaniowy, który stosownie do art. 105a ust. 1 - 6 Prawa bankowego dawałby podstawę do dalszego przetwarzania jej danych osobowych zarówno przez Bank jak i [...]. Ustał cel przetwarzania, dla którego pozyskano dane osobowe wymienionego i nie ma spełnionej przesłanki ich dalszego przetwarzania, co trafnie stwierdził organ do spraw ochrony danych osobowych.
Z przedstawionych wyżej przepisów wynika, że przesłanki zawarte w art. 105a Prawa bankowego dotyczą przetwarzania informacji objętych tajemnicą bankową w okresie przed powstaniem zobowiązania, w trakcie jego trwania oraz po wygaśnięciu zobowiązania. Natomiast w sytuacji, gdy w następstwie złożenia wniosku kredytowego nie dochodzi do zawarcia umowy kredytowej z Bankiem, jak miało to miejsce w niniejszej sprawie, brak jest ustawowych przesłanek legalizujących dalsze przetwarzanie danych osobowych wnioskującego o zawarcie i wykonanie umowy produktowej w zakresie zapytania kredytowego przez Bank, a następczo [...].
Wobec braku zgody osoby zainteresowanej produktem finansowym Banku na przetwarzanie jej danych osobowych po negatywnym rozpatrzeniu jej wniosku o kredyt i kartę kredytową (art. 6 ust. 1 lit. a RODO) odpadła przesłanka dopuszczalności przetwarzania przez Bank i [...] danych wymienionej osoby zawartych w zapytaniach kredytowych.
Nie może bowiem budzić wątpliwości, że ocena zdolności kredytowej i ryzyka kredytowego ma charakter czynności wstępnych przed zawarciem umowy przez bank. Dalsze przetwarzanie danych, uzyskanych pierwotnie wyłącznie w celu oceny zdolności kredytowej i analizy ryzyka kredytowego, w przypadku braku zawarcia stosownej umowy, pozostaje w oderwaniu od celu, dla którego dane zostały zebrane. Na gruncie RODO niedopuszczalne jest – w takim stanie faktycznym, jak w niniejszej sprawie, gdy nie zawarto umowy kredytowej – przetwarzanie danych osobowych "na przyszłość" w zupełnie innych celach niż je zebrano, w tym na potrzeby oceny zdolności kredytowej innych podmiotów, w sytuacji, gdy nie można zrekonstruować wyraźnej podstawy prawnej takich działań.
W sprawie niewątpliwie nie mamy do czynienia z sytuacją, w której nawiązano stosunek zobowiązaniowy i następnie dane przetwarzane są (w tym także udostępniane) przez administratora nie tylko w celu zasadniczym, tj. realizacji zawartej z klientem umowy, ale także w innych celach, które powstały w trakcie trwania stosunku zobowiązaniowego i które w ocenie administratora winny być, czy mogą być – w związku z trwającym stosunkiem prawnym - kwalifikowane jako jego "prawnie uzasadnione interesy" na gruncie RODO (art. 6 ust. 1 lit. f RODO). Przypadek taki nie zachodzi w niniejszej sprawie.
Sprawa przedmiotowa dotyczy – co wymaga raz jeszcze podkreślenia - przetwarzania danych osoby fizycznej, z którą Bank nie zawarł umowy. Ustał tym samym cel przetwarzania jej danych osobowych wynikający z art. 105a ust. 1 w zw. z art. 70 ust. 1 Prawa bankowego, albowiem po odmowie przyznania produktów finansowych osoba zainteresowana wniosła o zaprzestanie przetwarzania danych i ich usunięcie. Podstawy do dalszego przetwarzania danych osobowych D. K. (na przyszłość i w innych wskazywanych obecnie przez Bank i [...] celach) nie stanowi w tej sprawie, w jej okolicznościach faktycznych, dla Banku jak też [...] żadna z przesłanek z art. 6 ust. 1 lit. b - f RODO.
W szczególności nie stanowi takiej przesłanki art. 6 ust. 1 lit. c RODO. Przepis ten dotyczy bowiem sytuacji, gdy przetwarzanie jest niezbędne do wypełnienia obowiązku prawnego administratora danych, a nie realizacji uprawnienia, o którym mowa w art. 105 ust. 4 Prawa bankowego. Ponadto przepis art. 105 ust. 4 Prawa bankowego nie stanowi o dopuszczalności przetwarzania danych osobowych dotyczących wniosków kredytowych w sytuacji, gdy nie doszło do zawarcia umowy z Bankiem. W tym przypadku ustał cel oceny zdolności kredytowej i analizy ryzyka kredytowego. Przepis art. 105a ust. 1a, 1b, 1c Prawa bankowego, dotyczy określenia warunków dopuszczalności zautomatyzowanego przetwarzania, w tym profilowania danych osobowych w celu oceny zdolności kredytowej i analizy ryzyka kredytowego. Powyższe przepisy w żaden sposób nie dają podstawy do przetwarzania "na przyszłość" danych osoby, z którą umowy nie zawarto, a cel, dla którego dane zebrano ustał. Brzmienie art. 105a Prawa bankowego nie daje podstaw do dalszego przetwarzania danych po zakończeniu oceny zdolności kredytowej i analizy ryzyka kredytowego, a także wówczas, gdy wnioskodawca zrezygnował z zaciągnięcia kredytu. Na podstawie powołanych przepisów Bank, a także [...], nie tylko nie ma obowiązku ich dalszego przetwarzania, ale nie ma również uprawnienia w tym zakresie w sytuacji, gdy umowy nie zawarto i nie wykazano przesłanki legalizującej to działanie.
Powyższa konkluzja pozostaje w zgodzie z akceptowaną w pełni przez skład orzekający w niniejszej sprawie ugruntowaną linią orzeczniczą sądów administracyjnych, której przykładem jest m.in. wyrok Naczelnego Sądu Administracyjnego z dnia 27 sierpnia 2019 r., sygn. akt I OSK 2567/17, zgodnie z którym cyt.: "(...) cel oceny zdolności kredytowej stanowi ocena zdolności do spłaty zaciągniętego kredytu wraz z odsetkami, co ma charakter czynności wstępnej do zawarcia stosownej umowy. Dalsze przetwarzanie danych uzyskanych w celu oceny zdolności kredytowej, w przypadku nie zawarcia stosownej umowy pozostawałaby w oderwaniu od celu dla którego dane te uzyskano. (...) niedopuszczalne jest przetwarzanie danych osobowych na przyszłość, a także na potrzeby budowy oceny zdolności kredytowej innych podmiotów, jeżeli nie można zrekonstruować wyraźnej podstawy prawnej takich działań". Pogląd ten wyrażony został wprawdzie na gruncie poprzednio obowiązującej ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych i obowiązującej przed RODO Dyrektywy 95/46 WE, jednakże w ocenie Sądu nie stracił na aktualności. Przepisy RODO wzmacniają jeszcze w porównaniu z Dyrektywą 95/46 ochronę danych osób fizycznych. Aktualności tego poglądu Naczelnego Sądu Administracyjnego nie zmienia także fakt, że [...] i Bank, przyjęły w swej praktyce określone terminy dalszego przetwarzania danych osobowych osoby, z którą nie zawarto umowy kredytu.
Zatem ustalenia Prezesa UODO w zakresie braku dopuszczalności przetwarzania danych D. K. w zakresie zapytania kredytowego wskazanego w decyzji jest prawidłowe. Nakaz zawarty zarówno w punkcie 1, jak i 2 decyzji jest przy tym jasny, nie ma wątpliwości co do jego zakresu i jest wykonalny. Zakres usunięcia danych osobowych wymienionego obejmuje dane osobowe zgromadzone w celu rozpatrzenia wniosków kredytowych. Szczegółowo dane te zostały precyzyjnie wskazane przez Bank i [...] w pismach wyjaśniających złożonych do akt sprawy w postępowaniu administracyjnym.
Wymaga w tym miejscu podkreślenia, że zgodnie z art. 5 ust. 1 RODO, dane osobowe muszą być: a) przetwarzane zgodnie z prawem, rzetelnie i w sposób przejrzysty dla osoby, której dane dotyczą ("zgodność z prawem, rzetelność i przejrzystość"); b) zbierane w konkretnych, wyraźnych i prawnie uzasadnionych celach i nieprzetwarzane dalej w sposób niezgodny z tymi celami; dalsze przetwarzanie do celów archiwalnych w interesie publicznym, do celów badań naukowych lub historycznych lub do celów statystycznych nie jest uznawane w myśl art. 89 ust. 1 za niezgodne z pierwotnymi celami ("ograniczenie celu"); c) adekwatne, stosowne oraz ograniczone do tego, co niezbędne do celów, w których są przetwarzane ("minimalizacja danych"); d) prawidłowe i w razie potrzeby uaktualniane; należy podjąć wszelkie rozsądne działania, aby dane osobowe, które są nieprawidłowe w świetle celów ich przetwarzania, zostały niezwłocznie usunięte lub sprostowane ("prawidłowość"); e) przechowywane w formie umożliwiającej identyfikację osoby, której dane dotyczą, przez okres nie dłuższy, niż jest to niezbędne do celów, w których dane te są przetwarzane; dane osobowe można przechowywać przez okres dłuższy, o ile będą one przetwarzane wyłącznie do celów archiwalnych w interesie publicznym, do celów badań naukowych lub historycznych lub do celów statystycznych na mocy art. 89 ust. 1, z zastrzeżeniem że wdrożone zostaną odpowiednie środki techniczne i organizacyjne wymagane na mocy niniejszego rozporządzenia w celu ochrony praw i wolności osób, których dane dotyczą ("ograniczenie przechowywania"); f) przetwarzane w sposób zapewniający odpowiednie bezpieczeństwo danych osobowych, w tym ochronę przed niedozwolonym lub niezgodnym z prawem przetwarzaniem oraz przypadkową utratą, zniszczeniem lub uszkodzeniem, za pomocą odpowiednich środków technicznych lub organizacyjnych ("integralność i poufność").
Przedstawione zasady przetwarzania danych nie pozwalają na arbitralne decydowanie przez administratora – w sytuacji braku do tego podstaw – o dalszym przetwarzaniu (a zatem ich m.in. ujawnianiu poprzez przesyłanie, udostępnianie, utrwalanie, organizowanie, adaptowanie, modyfikowanie) danych osobowych mimo ustania celu, dla którego dane w zapytaniu kredytowym były zebrane. Kwestia sposobu funkcjonowania w Banku, czy w [...] systemu oceny zdolności kredytowej nie może stanowić sama w sobie podstawy do przetwarzania danych osobowych na przyszłość. Stanowiłoby to nieuprawnione rozszerzenie stosowania normy wskazanej w art. 105a ust. 1 Prawa bankowego na sytuacje, w których nie dochodzi do zawarcia umowy, a dane osobowe osoby wnioskującej o kredyt są przetwarzane w celu oceny ryzyka kredytowego. Bank wskazuje bowiem, że dla takiej oceny istotna jest informacja o składanych wcześniej przez daną osobę wnioskach kredytowych i fakcie nieudzielenie jej kredytu. Bank podkreśla przy tym, że analiza ryzyka kredytowego jest jego obowiązkiem. Sąd nie neguje, że ocena ryzyka kredytowego jest obowiązkiem Banku. Instrumenty służące dokonaniu takiej oceny przez banki muszą jednak być stosowane z poszanowaniem przepisów prawa normujących uprawnienie banków do przetwarzania danych osobowych potencjalnych klientów pry uwzględnieniu generalnych zasad przetwarzania danych osobowych (art. 5 RODO).
Odnosząc się do zarzutów i twierdzeń Banku i [...], iż legitymują się przesłanką przetwarzania danych wynikającą z art. 6 ust. 1 lit. f RODO w związku z Rekomendacjami S, W i T Komisji Nadzoru Finansowego, które to Rekomendacje nakładają na banki określone wymagania, które następnie podlegają egzekwowaniu przez Komisję Nadzoru Finansowego, na podstawie bezwzględnie obowiązujących przepisów, stwierdzić należy, iż zarzuty te nie zasługują – w ocenie Sądu – na uwzględnienie.
Wskazać w tym miejscu należy, iż źródłami powszechnie obowiązującego prawa w Rzeczypospolitej Polskiej są: Konstytucja, ustawy, ratyfikowane umowy międzynarodowe oraz rozporządzenia (art. 87 ust. 1 Konstytucji RP). Nie ulega zatem wątpliwości, że rekomendacje KNF nie są aktami prawa powszechnie obowiązującego. Nie mieszczą się bowiem w zamkniętym katalogu źródeł powszechnie obowiązującego prawa Rzeczypospolitej Polskiej, określonym w art. 87 Konstytucji RP. Ponadto wydaje je organ, który nie ma stosownego umocowania konstytucyjnego. W świetle dychotomiczności i konstytucyjnego systemu źródeł prawa problem stanowi jednak również klasyfikacja rekomendacji jako przepisów prawa o charakterze wewnętrznym w rozumieniu art. 93 ust. 1 Konstytucji RP. Za uznaniem rekomendacji jako elementu systemu aktów prawa wewnętrznego opowiedział się Sąd Najwyższy w postanowieniu z 7 grudnia 1999 r., sygn. akt I CKN 796/99, LEX nr 38875, odnoszącym się do Komisji Nadzoru Bankowego (poprzednika KNF). Jednakże duża część doktryny reprezentuje stanowisko, iż rekomendacje KNF nie mają charakteru normatywnego (jako akty prawa wewnętrznego w rozumieniu art. 93 Konstytucji RP), lecz – stanowiąc jedynie postulat pod adresem banków dotyczący prawidłowej organizacji banku i bezpiecznego – charakter nie władczych form działania administracji (Agnieszka Mikos-Sitek (red.), Zapadka Piotr (red.), "Prawo bankowe. Komentarz", WKP 2022, teza 3 do art. 137).
W świetle powyższego brak jest podstaw do przyjęcia, iż wskazane w skardze [...] i Banku Rekomendacje mogą stanowić źródło obowiązku prawnego ciążącego na administratorze, o którym mowa w art. 6 ust. 1 lit. c RODO lub źródło prawnie uzasadnionych interesów realizowanych przez administratora w rozumieniu art. 6 ust. 1 lit. f RODO. Z tego też względu za całkowicie chybiony uznać należy zarzut naruszenia art. 7b k.p.a., polegającego na zaniechaniu zwrócenia się przez Prezesa UODO do Komisji Nadzoru Finansowego jako organu właściwego w sprawach związanych z rynkiem finansowym i jego regulowaniem w celu kompleksowego wyjaśnienia stanu faktycznego sprawy oraz współdziałania w zakresie niezbędnym do dokładnego wyjaśnienia stanu prawnego.
Za prawnie usprawiedliwiony cel w rozumieniu art. 6 ust. 1 lit. f RODO nie może zostać uznane przetwarzanie danych osobowych na wypadek ewentualnego dochodzenia lub obrony roszczeń. Zebrany w niniejszym postępowaniu materiał dowodowy nie wykazał, aby uczestnik postępowania wystąpił z jakimkolwiek roszczeniem wobec Banku lub [...], które uzasadniałoby uprawnienie tych podmiotów do zachowania i przetwarzania jej danych osobowych dla celów dowodowych w związku z dochodzeniem przez uczestniczkę tego roszczenia. Bank nie wskazał także na istnienie roszczeń, których dochodzi od uczestnika. Okolicznością usprawiedliwiającą przetwarzanie danych osobowych w celu dochodzenia roszczeń jest sam fakt istnienia roszczenia oraz rzeczywisty zamiar jego dochodzenia. Przyjęcie poglądu Banku skutkowałoby tym, że dane osobowe uczestnika postępowania mogłyby być przetwarzane w nieskończoność, gdyż upływ terminu przedawnienia nie uniemożliwia dochodzenia roszczeń, skoro nie powoduje ich wygaśnięcia (wywołuje przecież wyłącznie zmianę w sferze zarzutów procesowych).
Na uwzględnienie nie zasługuje również zarzut Banku dotyczący naruszenia art. 6 ust. 1 lit. c RODO w zw. z art. 144 ust. 1 lit. d, art. 145 ust. 1, art. 170 ust. 3 lit. a, 171 ust. 2 oraz art. 179 ust. 1 lit. a oraz art. 180 ust. 2 rozporządzenia Parlamentu Europejskiego i rady nr 575/2013 ("CRR"). Zauważyć bowiem należy, że zgodnie z art. 105a ust. 4 banki oraz instytucje, o których mowa w art. 105 ust. 4, mogą przetwarzać stanowiące tajemnicę bankową informacje dotyczące osoby fizycznej po wygaśnięciu zobowiązania wynikającego z umowy zawartej z bankiem lub inną instytucją ustawowo upoważnioną do udzielania kredytów bez zgody osoby, której informacje dotyczą, do celów stosowania metod wewnętrznych oraz innych metod i modeli, o których mowa w części trzeciej rozporządzenia nr 575/2013. W niniejszej sprawie nie doszło zaś do powstania zobowiązania. Poszukiwanie zatem uprawnienia do przetwarzania danych osobowych w takiej sytuacji w przepisach rozporządzenia CRR jest nieuzasadnione.
[...] w swojej skardze zarzucił w pierwszej kolejności naruszenie art. 6 ust. 1 lit. c RODO w zw. z art. 105 ust. 1 pkt 1c w zw. z art. 105 ust. 4 oraz w zw. z art. 105a w zw. z art. 70 i art. 5 ust. 1 pkt 3 Prawa bankowego. Odnośnie tego zarzutu podnieść należy, że przedstawione wyżej stanowisko Sądu dotyczące art. 105a Prawa bankowego jest aktualne również wobec zarzutu postawionego przez [...]. Natomiast art. 105 ust. 1 pkt 1c Prawo bankowego stanowi, że bank ma obowiązek udzielenia informacji stanowiących tajemnicę bankową wyłącznie instytucjom, o których mowa w ust. 4, w zakresie niezbędnym do stosowania metod wewnętrznych oraz innych metod i modeli, o których mowa w przepisach części trzeciej rozporządzenia nr 575/2013. Przepis ten stanowi o obowiązku udzielania przez banki informacji stanowiących tajemnicą bankową podmiotowi, jakim jest [...]. Przepis ten nie odnosi się do przetwarzania danych przez [...] w zakresie niezbędnym do stosowania metod wewnętrznych oraz innych metod i modeli, o których mowa w przepisach części trzeciej rozporządzenia nr 575/2013. O przetwarzaniu danych przez [...] w tym celu stanowi powołany wyżej art. 105a ust. 4 Prawa bankowego, który, przypomnieć należy, uprawnia do tego [...] bez zgody osoby, której informacje dotyczą, ale "po wygaśnięciu zobowiązania wynikającego z umowy zawartej z bankiem lub inną instytucją ustawowo upoważnioną do udzielania kredytów".
Przepis art. 70 Prawa bankowego stanowi natomiast wyłącznie o badaniu przez banki zdolności kredytowej i nie zawiera regulacji dotyczących przetwarzania danych osobowych. Natomiast art. 5 ust. 1 pkt 3 tej ustawy wskazuje, że czynnością bankową jest udzielanie kredytów. Zaś art. 105 ust. 4 ustawy Prawo bankowe nie mógł zatem stanowić w niniejszej sprawie podstawy przetwarzania danych osobowych uczestnika przez [...] zarówno samodzielnie, jak i w powiązaniu z art. 105 ust. 1 pkt 1c, art. 105a, art. 70 i art. 5 ust. 1 pkt 3 Prawa bankowego.
[...] zarzucił w skardze również naruszenie art. 6 ust. 1 lit e RODO powołując się na niezbędność przetwarzania danych osobowych dla realizacji zadania w interesie publicznym wywodzonym z potrzeby zabezpieczenia ekonomiczno – gospodarczego sektora publicznego.
Przepis ten przewiduje dwie przesłanki legalizujące przetwarzanie danych osobowych. Może być ono niezbędne do wykonania zadania realizowanego w interesie publicznym lub niezbędne w ramach sprawowania władzy publicznej powierzonej administratorowi. W obu przypadkach zarówno zadanie, jak i sprawowanie władzy publicznej muszą zostać sprecyzowane w przepisach, o których mowa w art. 6 ust. 3 RODO. Art. 6 ust. 3 RODO stanowi bowiem, że podstawa przetwarzania, o którym mowa w ust. 1 lit. c) i e), musi być określona: a) w prawie Unii; lub b) w prawie państwa członkowskiego, któremu podlega administrator. Cel przetwarzania musi być określony w tej podstawie prawnej lub, w przypadku przetwarzania, o którym mowa w ust. 1 lit. e) - musi być ono niezbędne do wykonania zadania realizowanego w interesie publicznym lub w ramach sprawowania władzy publicznej powierzonej administratorowi. Podstawa prawna może zawierać przepisy szczegółowe dostosowujące stosowanie przepisów niniejszego rozporządzenia, w tym: ogólne warunki zgodności z prawem przetwarzania przez administratora; rodzaj danych podlegających przetwarzaniu; osoby, których dane dotyczą; podmioty, którym można ujawnić dane osobowe; cele, w których można je ujawnić; ograniczenia celu; okresy przechowywania; oraz operacje i procedury przetwarzania, w tym środki zapewniające zgodność z prawem i rzetelność przetwarzania, w tym w innych szczególnych sytuacjach związanych z przetwarzaniem, o których mowa w rozdziale IX. Prawo Unii lub prawo państwa członkowskiego muszą służyć realizacji celu leżącego w interesie publicznym, oraz być proporcjonalne do wyznaczonego, prawnie uzasadnionego celu.
Podnieść należy, że w odróżnieniu od przesłanki z art. 6 ust. 1 lit. c, RODO w art. 6 ust. 3 nie wymaga określenia w podstawie prawnej celu przetwarzania, a jedynie takiej jej konstrukcji, z której wynika niezbędność przetwarzania do wykonania zadania realizowanego w interesie publicznym lub w ramach sprawowania władzy publicznej powierzonej administratorowi (zob. E. Bielak-Jomaa (red.), D. Lubasz (red.), "RODO. Ogólne rozporządzenie o ochronie danych. Komentarz", Lex).
Zdaniem Sądu analizowane powyżej przepisy art. 70, art. 70a, art. 105 ust. 4 i art. 105a Prawa bankowego nie wskazują na niezbędność przetwarzania przez [...] danych osobowych osoby ubiegającej się o kredyt w sytuacji, gdy nie doszło do zawarcia umowy. Oznacza to, że zarzut naruszenia przez organ art. 6 ust. 1 lit. e RODO nie jest zasadny.
Wbrew twierdzeniom skarżących, samo przetwarzanie danych w celu udokumentowania prawidłowości ich przetwarzania nie stanowi celu, który wynika z prawnie uzasadnionego interesu.
Mając powyższe na uwadze, w ocenie Sądu, w niniejszej sprawie nie została spełniona żadna z przesłanek wskazanych w zarzutach skargi (art. 6 ust. 1 lit. c, e, f RODO), która legitymizowałaby przetwarzanie danych osobowych uczestnika postępowania po zakończeniu procesu rozpatrywania wniosku kredytowego i wydanie karty kredytowej.
Nieuzasadnione są również zarzuty skarg dotyczące naruszenia przepisów prawa procesowego, tj. art. 7, art. 77 § 1 oraz art. 80 k.p.a., bowiem organ prawidłowo zebrał i ocenił zgromadzony w sprawie materiał dowodowy, opierając się na wyjaśnieniach Banku oraz [...] dotyczących przetwarzania danych osobowych uczestnika postępowania zawartych we wnioskach kredytowych. Uzasadnienie decyzji odpowiada zaś wymogom określonym w art. 107 § 3 k.p.a.
W szczególności nieuzasadniony jest również, o czym wspomniano powyżej, zarzut naruszenia art. 7b k.p.a. poprzez zaniechanie zwrócenia się do Komisji Nadzoru Finansowego w celu kompleksowego wyjaśnienia stanu faktycznego sprawy. Zgodnie z art. 7b k.p.a. w toku postępowania organy administracji publicznej współdziałają ze sobą w zakresie niezbędnym do dokładnego wyjaśnienia stanu faktycznego i prawnego sprawy, mając na względzie interes społeczny i słuszny interes obywateli oraz sprawność postępowania, przy pomocy środków adekwatnych do charakteru, okoliczności i stopnia złożoności sprawy. W ocenie Sądu stan faktyczny i prawny sprawy został przez organ prawidłowo ustalony i należycie rozpatrzony w oparciu o zgromadzony materiał dowodowy, w tym w oparciu o wyjaśnienia Banku oraz [...]. Nie zachodziły więc przesłanki do podjęcia przez Prezesa UODO współdziałania z innymi organami administracji publicznej w oparciu o ww. przepis w celu wydania rozstrzygnięcia w sprawie.
Sądowi znany jest z urzędu odmienny w tym względzie pogląd wyrażony przez Wojewódzki Sąd Administracyjny w Warszawie w nieprawomocnym wyroku z dnia 29 października 2021 r. sygn. akt II SA/Wa 506/21, jednak stanowiska tego Sąd w składzie orzekającym w niniejszej sprawie nie podziela.
Sąd zauważa, że PUODO jest wyspecjalizowanym w sprawach dotyczących ochrony danych osobowych i niezależnym organem, który ma status i kompetencje organu nadzorczego określone w przepisach RODO. Z tego względu Prezes UODO jest uprawniony do samodzielnego dokonywania interpretacji przepisów prawa w zakresie dotyczącym ochrony danych osobowych. Stanowisko to znajduje potwierdzenie w art. 51 oraz w motywach 117, 122 oraz 123 RODO.
Reasumując Sąd stwierdza, że decyzja PUODO jest zgodna z prawem, zaś zarzuty skarg nie zasługiwały na uwzględnienie.
Mając na względzie powyższe, Wojewódzki Sąd Administracyjny w na podstawie art. 151 ustawy z dnia 30 sierpnia 2002 r. Prawo o postępowaniu przed sądami administracyjnymi (t.j. DZ. U. z 2023 r. poz. 1634 z późn. zm.) orzekł jak w sentencji wyroku.
Źródło: Centralna Baza Orzeczeń Sądów Administracyjnych (orzeczenia.nsa.gov.pl), pozyskano 13.07.2026. · Źródło