II SA/Wa 2097/23
WyrokWSA w Warszawie2024-06-07
Skład orzekający: Sławomir Antoniuk, Łukasz Krzycki, Anna Pośpiech-Kłak
Analiza orzeczenia
Sekcja wygenerowana przez AI na podstawie treści orzeczenia — nie stanowi cytatu.
Zagadnienie prawne
Czy przetwarzanie danych osobowych wnioskodawcy przez Bank i Biuro Informacji Kredytowej (BIK) w związku z wnioskiem kredytowym, który nie zakończył się zawarciem umowy, jest legalne na gruncie RODO i Prawa bankowego, zwłaszcza w kontekście celu oceny zdolności kredytowej, analizy ryzyka kredytowego oraz potencjalnych roszczeń?Ratio decidendi
Sąd uchylił zaskarżoną decyzję Prezesa Urzędu Ochrony Danych Osobowych, uznając, że organ błędnie zinterpretował przepisy Prawa bankowego dotyczące przetwarzania danych osobowych w przypadku niezawarcia umowy kredytowej. Sąd stwierdził, że przetwarzanie danych w celu oceny zdolności kredytowej i analizy ryzyka kredytowego, a także w celu ochrony przed potencjalnymi roszczeniami, może być uzasadnione nawet po nieudzieleniu kredytu, o ile istnieje ku temu podstawa prawna i jest to niezbędne. Organ nie zbadał wystarczająco tych aspektów, opierając się na zbyt wąskiej interpretacji przepisów.Stan faktyczny
Sprawa dotyczyła skarg Biura Informacji Kredytowej S.A. (BIK) oraz banku na decyzję Prezesa Urzędu Ochrony Danych Osobowych (UODO), która nakazała im usunięcie danych osobowych wnioskodawcy związanych z wnioskiem kredytowym, który nie zakończył się zawarciem umowy. Wnioskodawca domagał się usunięcia swoich danych z bazy BIK i banku, twierdząc, że bank odmówił ich usunięcia mimo braku zawartej umowy kredytowej. UODO uznał, że dalsze przetwarzanie danych nie miało podstawy prawnej. BIK i bank zarzuciły organowi naruszenie przepisów prawa materialnego i procesowego, wskazując na istnienie prawnie uzasadnionych interesów oraz obowiązków prawnych uzasadniających dalsze przetwarzanie danych.Rozstrzygnięcie
Wojewódzki Sąd Administracyjny w Warszawie uchylił zaskarżoną decyzję Prezesa Urzędu Ochrony Danych Osobowych i zasądził od Prezesa UODO na rzecz skarżących zwrot kosztów postępowania.Pełny tekst orzeczenia
Wojewódzki Sąd Administracyjny w Warszawie w składzie następującym: Przewodniczący Sędzia WSA Sławomir Antoniuk, Sędzia WSA Łukasz Krzycki (spr.), Asesor WSA Anna Pośpiech-Kłak, Protokolant specjalista Joanna Głowala po rozpoznaniu na rozprawie w dniu 7 czerwca 2024 r. sprawy ze skarg Biura Informacji Kredytowej S.A. z siedzibą w [...] oraz [...] Bank [...] S.A. z siedzibą w [...] na decyzję Prezesa Urzędu Ochrony Danych Osobowych z dnia [...] września 2023 r. nr [...] w przedmiocie przetwarzania danych osobowych 1. uchyla zaskarżoną decyzję; 2. zasądza od Prezesa Urzędu Ochrony Danych Osobowych na rzecz Biura Informacji Kredytowej S.A. z siedzibą w [...] kwotę 697 (słownie: sześćset dziewięćdziesiąt siedem) złotych tytułem zawrotu kosztów postępowania; 3. zasądza od Prezesa Urzędu Ochrony Danych Osobowych na rzecz [...] Bank [...] S.A. z siedzibą w [...] kwotę 697 (słownie: sześćset dziewięćdziesiąt siedem) złotych tytułem zawrotu kosztów postępowania.
Zaskarżoną decyzją - przywołując, art. 6 ust. 1 oraz art. 58 ust. 2 lit. c rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (Dz.Urz. UE L. nr 119. str. 1, ze zm.), zwanego dalej "RODO", wobec skargi p. K. L. (dalej "Wnioskodawca") na nieprawidłowości w procesie przetwarzania jego danych osobowych przez [...] Bank [...] S.A. (dalej "Bank"), polegające na przetwarzaniu danych osobowych dotyczących wniosku kredytowego bez podstawy prawnej, w tym w bazie Biura Informacji Kredytowej S.A. (dalej "BIK") – nakazano BIK (w pkt 1 orzeczenia) oraz Bankowi (w jego pkt 2): usunięcia danych osobowych Wnioskodawcy, w zakresie wynikającym z zapytania kredytowego z [...] marca 2021 r., zwanego dalej "Zapytaniem".
W uzasadnieniu decyzji przywołano następujące okoliczności faktyczne i prawne uwarunkowania sprawy:
- do organu wpłynęła skarga Wnioskodawcy,
- w toku postępowania ustalono następujący stan faktyczny:
- Wnioskodawca - w skardze inicjującej postępowanie - wskazał, że Bank przetwarza jego dane osobowe w związku z Zapytaniem - niezakończonym udzieleniem kredytu; [...] kwietnia 2021 r. Wnioskodawca zwrócił się do Banku o usunięcie jego danych osobowych wynikających z Zapytania - w tym przetwarzanych w BIK; Bank odmówił jednak usunięcia danych oraz wykreślenia ich z bazy BIK; wobec tego Wnioskodawca wniósł skargę do organu o nakazanie Bankowi zaprzestania przetwarzania jego danych, dotyczących Zapytania (tak: skarga z 11 października 2021 r. z załącznikiem);
- wedle stanowiska Banku pozyskał on dane osobowe bezpośrednio od Wnioskodawcy [...] marca 2021 r. - w związku ze złożeniem wniosku o zawarcie umowy kredytu "na zakup towarów/usług"; w związku z tym Bank pozyskał dane osobowe w zakresie: imię i nazwisko, PESEL, dane dokumentu tożsamości (data urodzenia, seria i numer dowodu osobistego, data wydania i ważności dowodu osobistego), dane teleadresowe Wnioskodawcy (adres zameldowania, adres korespondencyjny, numer telefonu, adres email), dane zakładu pracy, dane niezbędne do oceny zdolności kredytowej: stan cywilny, informacje o dochodzie i jego źródle, dane o obciążeniach gospodarstwa domowego Wnioskodawcy (tak: wyjaśnienia Banku z 21 czerwca 2021 r. z załącznikami);
- Bank wskazał, że obecnie przetwarza dane osobowe Wnioskodawcy, w związku z Zapytaniem w następujących celach:
rozpatrywania reklamacji oraz ustalania, obrony i dochodzenia roszczeń - podstawą prawną jest realizacja prawnie uzasadnionego interesu Banku, wobec art. 6 pkt 1. lit. f RODO,
analizy (indywidualnego i portfelowego) ryzyka kredytowego, wedle art. 105a ustawy z dnia 29 sierpnia 1997 r. - Prawo bankowe (Dz.U. 2021 poz. 2439), w zw. art. 6 pkt 1. lit. c RODO,
tworzenia modeli scoringowych i przetwarzania pochodzących z zapytań kredytowych danych dla oceny innych osób; podstawą jest prawnie uzasadniony interes Banku (art. 6 pkt 1. lit. c RODO), który znajduje potwierdzenie w treści: przepisów art. 70 ust. 1 i art. 105 ust. 4 ustawy - Prawo bankowe, Rekomendacji T Komisji Nadzoru Finansowego (dalej jako "KNF"), dotyczącej dobrych praktyk w zakresie zarządzania ryzykiem detalicznych ekspozycji kredytowych w związku z badaniem zdolności kredytowej, korzystania z zewnętrznych baz danych, posiadania narzędzi analitycznych wspierających pomiar poziomu ryzyka związanego z detalicznymi ekspozycjami kredytowymi,
realizacji wymogów ostrożnościowych - oceny ogólnej ekspozycji oraz ryzyka ekspozycji Banku, wynikających z rozporządzenia Parlamentu Europejskiego i Rady nr 575/2013 z dnia 26 czerwca 2013 r. w sprawie wymogów ostrożnościowych dla instytucji kredytowych i firm inwestycyjnych, zmieniające rozporządzenie (UE) nr 648/2012 (Dz.Urz. UE. L 176/1), zwanego dalej "rozporządzeniem CRR" – wedle art. 6 pkt 1. lit. c RODO,
wykonywania obowiązków związanych z przeciwdziałaniem praniu pieniędzy i finansowaniu terroryzmu, (art. 6 pkt 1. lit. c RODO) - Bank będzie przetwarzać dane w tym celu przez okres 5 lat - zgodnie z art. 49 ust. 2 ustawy z dnia 1 marca 2018 r. o przeciwdziałaniu praniu pieniędzy i finansowaniu terroryzmu (Dz.U. 2022 poz. 593), zwanej dalej "ustawą AML,
realizacji prawa do wyjaśnienia oceny zdolności kredytowej - na podstawie art. 70a ustawy - Prawo bankowe wobec art. 6 pkt 1. lit. c RODO
(tak: wyjaśnienia Banku z 27 października 2021 r.);
- Bank wskazał również: "(...) skierował zapytania kredytowe do Biura Informacji Kredytowej dotyczące Skarżącego, w celu i zakresie niezbędnym do realizacji obowiązku zbadania zdolności kredytowej kredytobiorcy oraz przeprowadzenia analizy ryzyka kredytowego na podstawie art. 105a Prawa bankowego i art. 70 ustawy z dnia 29 sierpnia 1997 r. Prawo Bankowe (...) Dane, które wynikają z zapytania przekazanego do BIK są w tym podmiocie przetwarzane przez okres nie dłuższy niż 5 lat od jego przekazania, a udostępniane bankom i innym instytucjom finansowym przez okres nie dłuższy niż 12 miesięcy od ich przekazania. Po upływie tego okresu informacje o zapytaniach są ujawniane wyłącznie w raporcie dostępnym dla Klienta, a dla banków są niewidoczne. BIK jest samodzielnym administratorem danych. Bank przekazuje dane do BIK, nie powierza ich, stąd też nie zawarł takiej umowy. Bank posiada umowę z BIK jako Klient."; Bank wskazał, że z BIK zawarto umowę w sprawie gromadzenia, przetwarzania i udostępniania informacji w bazie SI BIK "kredytobiorcy" – z [...] sierpnia 2016 r. (tak: wyjaśnienia Banku z 21 czerwca 2021 r. z załącznikami);
- Bank wskazał, że decyzję kredytową w sprawie Zapytania wydano [...] marca 2021 r.; Wnioskodawca zwrócił się do Banku - pismami z [...], [...] oraz [...] kwietnia 2021 r. - o zaprzestanie przetwarzania danych osobowych w BIK odnośnie zapytania kredytowego oraz o usunięcie jego danych osobowych; w odpowiedzi z [...] kwietnia 2021 r., Bank nie wyraził zgody na cofnięcie informacji o zapytaniach kredytowych; w odpowiedzi w zakresie wniosku o usunięcie danych z [...] maja 2021 r. Bank odmówił tego, wskazując podstawy prawne dalszego ich przetwarzania; potem Wnioskodawca nie składał dalszych wniosków lub reklamacji w Banku; Bank wskazał, że nie występował wobec Wnioskodawcy z roszczeniami i - na dzień złożenia odpowiedzi - nie zamierza tego robić; wskazał również, że nie może wykluczyć, że roszczenia powstaną w przyszłości, (tak: wyjaśnienia Banku z 21 czerwca 2021 r. oraz z 11 kwietnia 2022 r.);
- BIK wskazał, że przetwarza obecnie dane osobowe Wnioskodawcy - przekazane przez Bank - w związku ze złożonym Zapytaniem; pozyskał dane Wnioskodawcy w zakresie: imię, nazwisko, PESEL, seria i numer dowodu osobistego, data urodzenia, obywatelstwo, płeć, dane teleadresowe, dochód, forma zatrudnienia, dane z wniosku kredytowego dotyczące wnioskowanego zobowiązania; dane osobowe Wnioskodawcy Bank przekazał do BIK na podstawie art. 105 ust. 1 pkt 1c, art. 105 ust. 4 oraz art. 105a ust. 1 ustawy - Prawo bankowe oraz wobec łączącej Bank i BIK umowy; BIK będzie przetwarzał dane osobowe Wnioskodawcy:
w związku ze złożonymi zapytaniami kredytowymi - w celu budowy modeli scoringowych - narzędzi wykorzystywanych przez banki do oceny zdolności kredytowej i analizy ryzyka kredytowego - przez okres 5 lat od dnia złożenia zapytania,
w celach statystycznych oraz stosowania metod wewnętrznych oraz innych metod i modeli przez okres nie dłuższy niż 10 lat od dnia przekazania zapytania do BIK,
w celu rozpatrywania ewentualnych reklamacji i roszczeń odszkodowawczych do momentu, przedawnienia potencjalnych roszczeń, wynikających z zapytań oraz w celu wypełnienia obowiązku, wynikającego z art.15 RODO w przypadku wystąpienia przez osobę, której dane dotyczą o udzielenie informacji;
- BIK wskazał, że Wnioskodawca zwrócił się z żądaniem usunięcia jego danych osobowych, ale nie wykazał, by było ono oparte o art. 15 RODO; nie wystąpił też do BIK z żadnym konkretnym roszczeniem; BIK również nie wystąpił wobec Wnioskodawcy i nie zamierza występować z roszczeniami (tak: wyjaśnienia BIK z 12 listopada 2021 r. oraz 10 lutego 2022 r.),
- przepisem uprawniającym administratorów danych do przetwarzania zwykłych danych osób fizycznych, w tym ich udostępniania, jest art. 6 ust. 1 RODO; zgodnie z nim, przetwarzanie danych dopuszczono tylko przy spełnieniu jednej ze wskazanych w tym przepisie przesłanek; ich katalog - wymieniony w art. 6 ust. 1 RODO - jest zamknięty; każda z nich ma charakter autonomiczny i niezależny; proces przetwarzania danych osobowych musi być też zgodny z zasadami, ustanowionymi w art. 5 ust. 1 RODO; zalicza się do nich m.in. ograniczenie celu (lit. b) oraz minimalizację danych (lit. c),
- wedle wspomnianych zasad, dane osobowe mają być zbierane w konkretnych, wyraźnych i prawnie uzasadnionych celach; nie można dalej ich przetwarzać niezgodnie z tymi celami, zaś proces ten ma być adekwatny, stosowny oraz ograniczony do tego, co niezbędne - do celów przetwarzania,
- co do zasady, podstawą prawną przetwarzania danych osobowych klientów przez Bank i BIK może być obecnie art. 6 ust. 1 lit. f RODO - gdy przetwarzanie to jest niezbędne do celów, wynikających z realizowanych przez administratora prawnie uzasadnionych interesów,
- BIK jest instytucją, utworzoną na podstawie art. 105 ust. 4 ustawy - Prawo bankowe; stanowi on, że banki mogą - wspólnie z bankowymi izbami gospodarczymi - utworzyć instytucje upoważnione do gromadzenia, przetwarzania i udostępniania bankom informacji, stanowiących tajemnicę bankową - w zakresie, w jakim są one potrzebne w związku z wykonywaniem czynności bankowych oraz ze stosowaniem metod wewnętrznych oraz innych metod i modeli, o których mowa w części trzeciej rozporządzenia CRR, innym instytucjom ustawowo upoważnionym do udzielania kredytów informacji stanowiących tajemnicę bankową w zakresie, w jakim są niezbędne w związku z udzielaniem kredytów, pożyczek pieniężnych, gwarancji bankowych i poręczeń (pkt 2), instytucjom kredytowym stanowiących tajemnicę bankową informacji w zakresie niezbędnym do oceny zdolności kredytowej konsumenta, o której mowa w przepisach o kredycie konsumenckim (pkt 3), instytucjom pożyczkowym i podmiotom, o których mowa w przepisach o kredycie konsumenckim na zasadzie wzajemności, informacji stanowiących pożyczkowe oraz podmioty, o których mowa w przepisach o kredycie konsumenckim - w zakresie niezbędnym do oceny zdolności kredytowej konsumenta i analizy ryzyka kredytowego (pkt 4),
- zgodnie z art. 105a ust. 1 ustawy - Prawo bankowe, banki, a także instytucje utworzone na podstawie art. 105 ust. 4, mogą przetwarzać informacje stanowiące tajemnicę bankową, w zakresie dotyczącym osób fizycznych – z zastrzeżeniem art. 104, 105 i art. 106-106d danego aktu - w celu oceny zdolności kredytowej i analizy ryzyka kredytowego; zgodnie zaś z art. 105a ust. 4 wskazanej ustawy, banki oraz instytucje, o których mowa w art. 105 ust. 4, mogą przetwarzać stanowiące tajemnicę bankową informacje, dotyczące osoby fizycznej po wygaśnięciu zobowiązania, wynikającego z umowy zawartej z bankiem lub inną instytucją ustawowo upoważnioną do udzielania kredytów, bez zgody osoby, której informacje dotyczą, do celów stosowania metod wewnętrznych oraz innych metod i modeli, o których mowa w części trzeciej rozporządzenia CRR; stosownie zaś do art. 105a ust. 5 ustawy - Prawo bankowe, przetwarzanie stanowiących tajemnicę bankową informacji w przypadkach, o których mowa w ust. 3, może być wykonywane przez okres nie dłuższy niż 5 lat od wygaśnięcia zobowiązania zaś - przypadku, o którym mowa w ust. 4 - przez 12 lat od wygaśnięcia zobowiązania,
- wedle art. 70 ust. 1 ustawy - Prawo bankowe, bank uzależnia przyznanie kredytu od zdolności kredytowej kredytobiorcy; przez zdolność kredytową rozumie się możliwość spłaty zaciągniętego kredytu wraz z odsetkami w określonych w umowie terminach,
- 20 marca 2021 r. Wnioskodawca wystąpił do Banku o udzielenie kredytu; wobec tego Bank oraz BIK były uprawnione - na podstawie art. 105a ust. 1 w zw. z art. 70 ust. 1 ustawy - Prawo bankowe - do przetwarzania jego danych osobowych - w celu oceny zdolności kredytowej; ostatecznie nie doszło jednak do zawarcia żadnej umowy kredytowej między Wnioskodawcą a Bankiem; odpadła więc przesłanka legalizująca dalsze przetwarzanie danych osobowych Wnioskodawcy przez Bank oraz BIK; przesłanki zawarte w art. 105a ustawy - Prawo bankowe, dotyczą bowiem przetwarzania informacji objętych tajemnicą bankową w okresie przed powstaniem zobowiązania, w trakcie jego trwania oraz po wygaśnięciu zobowiązania; pomiędzy Bankiem a Wnioskodawcą nie zawiązał się żaden stosunek zobowiązaniowy, który - stosownie do art. 105a ust. 1-6 wskazanej ustawy - dawałby podstawę dalszego przetwarzania danych osobowych; celem przetwarzania danych osobowych Wnioskodawcy, była ocena zdolności kredytowej i analizy ryzyka kredytowego; w związku z dokonaniem przez Bank oceny zdolności kredytowej i analizy ryzyka kredytowego dany cel przetwarzania danych osobowych Wnioskodawcy zrealizowano; nie ma więc podstaw prawnych kontynuowania tego procesu,
"* - stanowisko takie znajduje oparcie w wyroku Naczelnego Sądu Administracyjnego z 27 sierpnia 2019 r. (sygn. akt I OSK 2567/17, dostępny na stronie internetowej orzeczenia.nsa.gov.pl/cbo/query - w Centralnej Bazie Orzeczeń Sądów Administracyjnych, zwanej dalej "CBOSA"); w jego uzasadnieniu wskazano: "(...) cel oceny zdolności kredytowej stanowi ocena zdolności do spłaty zaciągniętego kredytu wraz z odsetkami, co ma charakter czynności wstępnej do zawarcia stosownej umowy. Dalsze przetwarzanie danych uzyskanych w celu oceny zdolności kredytowej, w przypadku nie zawarcia stosownej umowy pozostawałaby w oderwaniu od celu dla którego dane te uzyskano. (...) niedopuszczalne jest przetwarzanie danych osobowych na przyszłość, a także na potrzeby budowy oceny zdolności kredytowej innych podmiotów, jeżeli nie można zrekonstruować wyraźnej podstawy prawnej takich działań.",
- podstawą przetwarzania danych osobowych Wnioskodawcy, nie mogą być również - wskazane przez Bank i BIK - cele statystyczne i analizy, w tym dostosowanie metod wewnętrznych oraz innych metod i modeli, o których mowa w części trzeciej rozporządzenia CRR; powołany przez BIK art. 105a ust. 4 ustawy - Prawo bankowe, daje podstawy do przetwarzania - dotyczących osoby fizycznej stanowiących tajemnicę bankową - informacji po wygaśnięciu zobowiązania, wynikającego z umowy zawartej z bankiem (lub inną instytucją, ustawowo upoważnioną do udzielania kredytów) bez zgody osoby, której te informacje dotyczą; w przedmiotowej sprawie nie doszło zaś do zawarcia umowy kredytu pomiędzy Wnioskodawcą a Bankiem; nie powstał zatem żaden stosunek zobowiązaniowy, o którym mowa w powyższym przepisie; zgodnie z brzmieniem art. 106d ustawy - Prawo bankowe, banki i instytucje utworzone na mocy art. 105 ust. 4 danej ustawy, mogą przetwarzać i wzajemnie udostępniać informacje, w tym informacje objęte tajemnicą bankową, w przypadkach:
1) uzasadnionych podejrzeń, o których mowa w art. 106a ust. 3,
2) uzasadnionych podejrzeń popełnienia przestępstw dokonywanych na szkodę banków, innych instytucji ustawowo upoważnionych do udzielania kredytów, instytucji kredytowych, instytucji finansowych, instytucji pożyczkowych oraz podmiotów, o których mowa w przepisach o kredycie konsumenckim, i ich klientów - w celu i zakresie niezbędnym do zapobiegania tym przestępstwom,
3) wykonywania obowiązków w zakresie określonym w przepisach o przeciwdziałaniu praniu pieniędzy oraz finansowaniu terroryzmu
(tak - ust. 1);
określone w ust. 1 podmioty mogą przetwarzać i wzajemnie udostępniać informacje, w tym objęte tajemnicą bankową oraz dotyczące wyroków skazujących, w przypadkach przestępstw dokonywanych na szkodę banków, innych instytucji ustawowo upoważnionych do udzielania kredytów, instytucji kredytowych, instytucji finansowych, instytucji pożyczkowych oraz podmiotów, o których mowa w przepisach o kredycie konsumenckim, i ich klientów, w celu i zakresie niezbędnym do zapobiegania tym przestępstwom (ust. 2),
- zgodnie z art. 33 ust. 1 ustawy AML, instytucje obowiązane stosują wobec swoich klientów środki bezpieczeństwa finansowego; instytucje obowiązane rozpoznają ryzyko prania pieniędzy oraz finansowania terroryzmu, związane ze stosunkami gospodarczymi lub z transakcją okazjonalną oraz, oceniają poziom rozpoznanego ryzyka (art, 33 ust. 2 powołanej ustawy); środki te stosują natomiast w zakresie i z intensywnością, uwzględniającymi rozpoznane ryzyko prania pieniędzy oraz finansowania terroryzmu - związane ze stosunkami gospodarczymi lub transakcją okazjonalną oraz jego ocenę (art. 33 ust. 4 wskazanej ustawy); na podstawie art. 35 ust. 2 ustawy AML, obowiązane instytucje stosują środki bezpieczeństwa finansowego również wobec klientów, z którymi utrzymują stosunki gospodarcze – z uwzględnieniem rozpoznanego ryzyka prania pieniędzy oraz finansowania terroryzmu, w szczególności gdy:
1) doszło do zmiany uprzednio ustalonego charakteru lub okoliczności stosunków gospodarczych,
2) doszło do zmiany uprzednio ustalonych dotyczących klienta danych lub beneficjenta rzeczywistego,
3) obowiązana instytucja była - w ciągu danego roku kalendarzowego - zobowiązana na podstawie przepisów prawa do skontaktowania się z klientem w celu weryfikacji dotyczących beneficjentów rzeczywistych informacji – w szczególności, gdy obowiązek taki wynikał z przepisów o wymianie informacji podatkowych z innymi państwami; zgodnie z art. 34 ust. 3 ustawy AML, obowiązane instytucje dokumentują zastosowane środki bezpieczeństwa finansowego oraz wyniki bieżącej analizy przeprowadzanych transakcji; na żądanie organów, o których mowa w art. 130, obowiązane instytucje wykazują, że - przy uwzględnieniu poziomu rozpoznanego ryzyka prania pieniędzy oraz finansowania terroryzmu, związanego z danymi stosunkami gospodarczymi lub transakcją okazjonalną - zastosowały odpowiednie środki bezpieczeństwa finansowego; na podstawie art. 49 ust. 2 ustawy AML, obowiązane instytucje przechowują wyniki analiz, o których mowa w art. 34 ust. 3, przez 5 lat - od ich przeprowadzenia,
- co wynika z treści powyższych przepisów, uprawnienie do przechowywania danych osobowych - związane z zastosowaniem środków bezpieczeństwa - powiązano z przeprowadzeniem transakcji; w przypadku zapytań kredytowych, niezakończonych zawarciem umowy, ostatecznie nie dochodzi do przeprowadzenia transakcji; nie dochodzi również do nawiązania stosunków gospodarczych; zgodnie z art. 35 ust 1 pkt 1 ustawy AML, obowiązane instytucje, w tym banki, stosują środki bezpieczeństwa finansowego w przypadku nawiązywania stosunków gospodarczych; gdy obowiązana instytucja nie może zastosować jednego ze środków bezpieczeństwa finansowego, o których mowa w art. 34 ust. 1, nie nawiązuje stosunków gospodarczych lub rozwiązuje stosunki gospodarcze (art. 41 ust. 1 pkt 1 i 4 ustawy AML); zgodnie z ustawową definicją stosunków gospodarczych, rozumieć przez nie należy stosunki instytucji obowiązanej z klientem związane z działalnością zawodową instytucji obowiązanej, które w chwili ich nawiązywania wykazują cechę trwałości (art. 2 ust. 2 pkt 20 ustawy AML); zapytania kredytowe, które spotkały się z decyzją odmowną w zakresie udzielenia kredytu, nie mają cech trwałości, które - w aspekcie powyższych przepisów - uzasadniałyby dalsze przetwarzanie powiązanych z nimi danych osobowych,
- zebrany w sprawie materiał dowodowy nie wykazał, aby Bank mógł przetwarzać dotyczące Zapytania dane osobowe Wnioskodawcy na podstawie art. 106d ustawy - Prawo bankowe - w celach przeciwdziałania przestępstwom oraz wykonywania obowiązków w zakresie określonym ustawą AML; w toku postępowania nie wykazano bowiem wystąpienia którakolwiek z określonych w tych przepisach przesłanek - w szczególności, aby zaszły uzasadnione podejrzenia, o których mowa w art. 106d ust. 1 pkt 1-2. oraz nałożenia nań obowiązku, określonego w przepisach o przeciwdziałaniu praniu pieniędzy oraz finansowaniu terroryzmu - o którym mowa w art. 106d ust. 1 pkt 3,
- odnosząc się do powołanego przez Bank i BIK celu rozpatrywania ewentualnych reklamacji lub obrony przed roszczeniami, wskazano: zebrany w postępowaniu materiał dowodowy nie wykazał, aby Wnioskodawca wystąpił z reklamacją lub jakimkolwiek roszczeniem wobec Banku lub BIK, które uzasadniałoby uprawnienie tych podmiotów do zachowania i przetwarzania jego danych osobowych dla celów dowodowych - w związku z dochodzeniem przez Wnioskodawcę roszczenia; przesłanka z art. 6 ust. 1 lit. f RODO dotyczy sytuacji już istniejącej, w której - wynikającym z prawnie uzasadnionych interesów realizowanych przez administratora - celem jest konieczność udowodnienia, potrzeba dochodzenia lub obrony przed roszczeniem istniejącym, nie zaś, gdy dane przetwarza się w celu zabezpieczenia się przed ewentualnym roszczeniem,
- organ podziela stanowisko Naczelnego Sądu Administracyjnego, odnoszące się do analogicznej do art. 6 ust. 1 lit. f RODO przesłanki, wynikającej z art. 23 ust. 1 pkt 5 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz.U. 2016 r. poz. 922 ze zm.), dotyczącej dopuszczalności przetwarzania danych osobowych dla wypełnienia prawnie usprawiedliwionych celów, realizowanych przez administratorów danych albo odbiorców danych, gdy przetwarzanie nie narusza praw i wolności osoby, której dane dotyczą; w wyroku z 6 marca 2019 r. (sygn. akt I OSK 994/17 – dostępny w CBOSA) wskazano: "(...) art. 23 ust. 1 pkt 5 u.o.d.o. zezwala na przetwarzanie danych gdy jest to niezbędne dla wypełnienia prawnie usprawiedliwionych celów realizowanych przez administratorów danych albo odbiorców danych, a przetwarzanie nie narusza praw i wolności osoby, której dane dotyczą. Dokonując wykładni tego przepisu należy zatem zwrócić uwagę, że stosowanie ww. przepisu wymaga wykazania, że chodzi o realizowanie prawnie usprawiedliwionego celu, ale także dokonanie oceny czy dla realizacji tego celu niezbędne jest przekazanie danych, pomimo braku zgody osoby której dane te dotyczą. Ocena ta sprowadza się do wyważania racji i interesów osoby, której danych sprawa dotyczy, a która jest objęta ochroną prawną, a z drugiej administratora danych, również chronionego przez prawo w zakresie w jakim może realizować prawnie usprawiedliwione cele i uprawnienia. Naczelny Sąd Administracyjny w wyroku z dnia 23 września 2005 r. (sygn. akt I OSK 712/05, CBOSA) już wskazywał, że rozstrzygając o legalności przetwarzania danych trzeba każdorazowo, ważąc interesy stron, znaleźć równowagę między prawami i wolnościami jednostki z jednej strony a prawnie usprawiedliwionym interesem osoby trzeciej z drugiej strony. Oznacza to obowiązek zapewnienia właściwej równowagi praw i interesów stron w tym praw podstawowych. Zdaniem Naczelnego Sądu Administracyjnego przetwarzanie danych osobowych (...), który cofnął zgodę na ich przetwarzanie, nie jest niezbędne dla wypełnienia prawnie usprawiedliwionych celów realizowanych przez (...), a którym jest prawo do podjęcia obrony przed ewentualnymi roszczeniami lub zarzutami dotyczącymi przetwarzania danych (...) w celu obsługi wniosku kredytowego. Wskazać, należy że przepis art. 23 ust. 1 pkt 5 ustawy na pierwszym miejscu wymienia warunek, że przetwarzanie danych winno być niezbędne dla wypełnienia prawnie usprawiedliwionych celów. Prawidłowe jest stanowisko Sądu pierwszej instancji, że niedopuszczalne jest przetwarzanie danych osobowych niejako "na zapas" z założeniem, że mogą być one ewentualnie przydatne w przyszłości. Zauważyć należy, że w rozpoznawanej sprawie znaczenie ma, a no co wskazał organ i Sąd pierwszej instancji, że (...) co prawda w 2012 r. złożył wniosek kredytowy ale strony nie zawarły umowy, a zatem nie powstał między stronami stosunek zobowiązaniowy. Pomiędzy stronami nie toczy się także żadne postępowanie reklamacyjne. Zatem przetwarzania danych strony, a więc na wszelki wypadek, nie można uznać za przetwarzanie niezbędne dla wypełnienia prawnie usprawiedliwionych celów. Zgodnie z art. 23 ust. 1 pkt 2 u.o.d.o. przetwarzanie danych osobowych jest dopuszczalne wtedy, gdy jest to niezbędne dla zrealizowania uprawnienia lub spełnienia obowiązku wynikającego z przepisu prawa. Przepis ten dopuszcza możliwość przetwarzania danych, uzależnia jednak legalność tego procesu od spełnienia dwóch istotnych wymogów, tj. istnienia odpowiedniego przepisu prawa, który przyznaje podmiotowi uprawnienie lub nakłada na niego obowiązek oraz niezbędności przetwarzania danych dla zrealizowania tego uprawnienia lub spełnienia obowiązku wynikającego z tego przepisu. Wymogi te powinny być spełnione łącznie.",
- przy przyjęciu odmiennej interpretacji wskazanych przepisów, pozbawionoby Wnioskodawcę ochrony na gruncie RODO; przyjęcie za prawidłowe stanowiska - jakoby przetwarzanie danych osobowych w celu uchylenia się od negatywnych skutków w przypadku zgłoszenia w przyszłości ewentualnego i nieokreślonego roszczenia, stanowiło prawnie usprawiedliwiony cel, w rozumieniu art. 6 ust. 1 lit. f RODO - oznaczałoby, że dane osobowe Bank może przetwarzać permanentnie - bez konieczności usunięcia; teoretycznie jest wszak możliwe, że Wnioskodawca zwróci się do Banku z roszczeniem po upływie terminu jego przedawnienia; prowadziłoby to do uznania, że przetwarzanie danych osobowych przez Bank ma uzasadnienie w przesłance określonej art. 6 ust. 1 lit f RODO - w celu realizacji prawa do obrony przed ewentualnym roszczeniem - również po upływie terminu przedawnienia; nie ma uzasadnienia dla przyjęcia, że - dotyczące przedawnienia wynikających ze stosunków zobowiązaniowych roszczeń - terminy określają jednocześnie ramy czasowe, w których Bank może przetwarzać dane osobowe; przedawnienie roszczenia nie wywołuje skutków na gruncie ochrony danych osobowych; nie wpływa bowiem na fakt istnienia roszczenia, a powoduje jedynie zmianę w sferze zarzutów procesowych – w postaci możliwości podniesienia okoliczności przedawnienia w sporze sądowym; okolicznością usprawiedliwiającą przetwarzanie danych osobowych w celu dochodzenia roszczeń jest sam fakt istnienia roszczenia oraz zamiar jego dochodzenia, nie jest nią natomiast zmiana w uprawnieniach procesowych podmiotu pozwanego,
- brak jest uzasadnienia dla przyjęcia, że BIK jest uprawnione do przetwarzania danych osobowych Wnioskodawcy w związku z koniecznością ewentualnego wypełnienia obowiązku wynikającego z art. 15 RODO; usunięcie przez administratora danych osobowych nie uniemożliwia mu wykonania obowiązku uregulowanego w tym przepisie - gwarantującego osobie, której dane dotyczą, prawa do uzyskania od administratora informacji, czy jej dane są przetwarzane, zaś - w razie pozytywnej odpowiedzi na to pytanie - uprawnienie dostępu do danych na swój temat oraz uzyskania informacji o okolicznościach przetwarzania danych; jeśli administrator nie przetwarza danych, dotyczących osoby, która zwraca się z żądaniem udzielenia informacji, to jego działanie ogranicza się do odpowiedzi przeczącej; nie ma on obowiązku podawać podmiotowi danych innych informacji (tak również: Paweł Fajgielski [w:] Ogólne rozporządzenie o ochronie danych. Ustawa o ochronie danych osobowych. Komentarz. Wolters Kluwer Polska, 2018),
- wobec powyższego w niniejszej sprawie nie ma celu, uzasadniającego dalsze przetwarzanie zawartych w Zapytaniu danych osobowych Wnioskodawcy - zarówno przez Bank, jak i BIK,
- Bank - w związku z pozyskaniem danych osobowych Wnioskodawcy w celu oceny zdolności kredytowej - stał się ich administratorem; BIK stał się natomiast administratorem danych osobowych Wnioskodawcy wobec ich przekazania przez Bank; w związku z tym Bank oraz BIK są odrębnymi administratorami; każdy z tych podmiotów przetwarza bowiem dane osobowe we własnych celach i samodzielnie ustala sposoby przetwarzania; w odniesieniu do kwestionowanego przez Wnioskodawcę przetwarzania jego danych osobowych przez Bank i BIK nie zaistniała żadna z wyrażonych w art. 6 ust. 1 RODO przesłanka, stanowiąca o legalności tego procesu,
- dlatego - korzystając z uprawnienia przewidzianego w art. 58 ust. 2 lit. c RODO, - organ skierował do Banku i BIK, będących administratorami danych osobowych Wnioskodawcy, przedmiotowe nakazy - dotyczące ich przetwarzania w związku z Zapytaniem.
BIK, reprezentowany przez pełnomocnika – adwokata, zarzucił wydanie skarżonej decyzji w pkt 1 z naruszeniem przepisów prawa:
- materialnego:
- art. 6 ust. 1 lit. c RODO, w zw. z art. 105 ust. 1 pkt. 1c, art. 105 ust. 4 i art. 105a wobec art. 70 i art. 5 ust. 1 pkt. 3 ustawy - Prawo bankowe, poprzez jego niezastosowanie; w konsekwencji niezasadne przyjęto, że BIK nie posiada wskazanej podstawy prawnej do przetwarzania danych zawartych w Zapytaniu w razie nie zawarcia umowy kredytowej; BIK jest tymczasem zobowiązany ustawowo realizować obowiązek prawny, wynikający z tych przepisów; polega on na gromadzeniu, przetwarzaniu i udostępnianiu bankom oraz szczegółowo wskazanym w przepisie podmiotom informacji, stanowiących tajemnicę bankową - w zakresie, w jakim są one potrzebne w związku z wykonywaniem czynności bankowych w postaci oceny zdolności kredytowej oraz analizy ryzyka kredytowego konkretnego klienta (indywidualna ocena zdolności kredytowej) oraz w związku ze stosowaniem metod wewnętrznych oraz innych metod i modeli, o których mowa w części trzeciej rozporządzenia CRR;
ewentualnie - na wypadek nieuwzględnienia tego zarzutu - naruszono art. 6 ust. 1 lit. f RODO, poprzez jego niezastosowanie; przyjęto bowiem, że BIK nie ma podstawy prawnej przetwarzania danych Wnioskodawcy na prawnie uzasadnionym interesie administratora oraz podmiotów trzecich, wskazanych w art. 105 ust. 4 pkt. 1-5 ustawy - Prawo bankowe - w postaci realizacji obowiązku gromadzenia, przetwarzania oraz udostępnienia bankom (oraz podmiotom wskazanym w tym przepisie) stanowiących tajemnicę bankową informacji - w zakresie, w jakim są one potrzebne do wykonywania czynności bankowych, w postaci oceny zdolności kredytowej oraz analizy ryzyka kredytowego konkretnego klienta (indywidualna ocena zdolności kredytowej), w celu budowy i utrzymania modeli scoringowych (narzędzi wykorzystywanych przez banki do oceny zdolności kredytowej) i analizy ryzyka kredytowego oraz w związku ze stosowaniem metod wewnętrznych oraz innych metod i modeli, o których mowa w części trzeciej rozporządzenia CRR;
art. 6 ust. 1 lit. c RODO, w zw. z art. 70a oraz art. 105 ust. 4 pkt. 1 i 2 wobec art. 105a ustawy - Prawo bankowe, poprzez jego niezastosowanie; uznano bowiem, że BIK nie ma podstawy prawnej przetwarzania danych Wnioskodawcy wobec nie zawarcia umowy kredytowej; BIK ma zaś podstawę prawną przetwarzania z uwagi na niezbędność dla wykonania obowiązku prawnego przez banki i BIK - w postaci przekazania ubiegającej się o kredyt osobie (w formie pisemnej) - na jej wniosek wyjaśnień, dotyczących dokonanej oceny zdolności kredytowej wnioskującego;
- art. 6 ust. 1 lit. c RODO w zw. z art. 106d ust. 1 pkt 3 ustawy - Prawo bankowe wobec art. 39 ust. 1 w zw. z art. 33 ust. 2, art. 33 ust. 3 pkt 6, art 34 ust. 1, art. 36 ust. 1 oraz art 49 ust. 1 ustawy AML, w zw. z 105 ust. 1 lit. 1c oraz art. 105 ust. 4 ustawy - Prawo bankowe, poprzez jego niezastosowanie; przyjęto bowiem, że na BIK nie ciążą obowiązki, związane z przeciwdziałaniem praniu pieniędzy oraz finansowaniu terroryzmu, gdy nie doszło do zawarcia umowy kredytowej pomiędzy Wnioskodawcą a Bankiem; przepisami tymi nałożono zaś na banki - jako instytucje obowiązane, a pośrednio na BIK, jako podmiot wspierający banki w realizacji obowiązków instytucji obowiązanej - obowiązek przetwarzania danych osobowych w celu zapewnienia bezpieczeństwa obrotu gospodarczego - poprzez przeprowadzenie szczegółowego badania na temat klientów, w tym przyszłych klientów, jak i badania powiązań kapitałowo-osobowych, w tym także gdy ostatecznie pomiędzy Wnioskodawcą a Bankiem nie zawarto umowy kredytowej;
- art. 6 ust. 1 lit. e RODO, poprzez jego niezastosowanie wskutek uznania, że BIK nie ma podstawy prawnej przetwarzania danych Wnioskodawcy wobec nie zawarcia umowy kredytowej; BIK ma tymczasem podstawę prawną przetwarzania z uwagi na niezbędność tego dla realizacji zadania w interesie publicznym przez banki i BIK - w postaci zabezpieczenia ekonomiczno-gospodarczego sektora bankowego, w tym depozytariuszy i zapewnienia stabilności ekonomiczno-gospodarczej sektora bankowego, a - w ujęciu makro - zapobieganiu kryzysom gospodarczym;
- art. 6 ust. 1 lit. f RODO, poprzez jego niezastosowanie wskutek uznania, że przetwarzanie danych osobowych dla realizacji prawnie uzasadnionych interesów administratora danych w celu zabezpieczenia roszczeń może dotyczyć wyłącznie istniejących i aktualnie dochodzonych; w konsekwencji bezzasadnie przyjęto, że prawnie uzasadniony interes administratora danych nie istnieje gdy konieczność przetwarzania danych osobowych dotyczy ochrony przed roszczeniami istniejącymi, ale nie dochodzonymi - w chwili dokonywania oceny; istotą uzasadnionego interesu administratora jest natomiast możliwość przetwarzania danych na wypadek konieczności obrony przed roszczeniami istniejącymi lub dochodzenia w przyszłości roszczeń istniejących, które są związane - w warunkach niniejszej sprawy - z przetwarzaniem danych osobowych na potrzeby opracowania oceny scoringowej Wnioskodawcy - niezbędnej do przeprowadzenia analizy zdolności kredytowej oraz analizy ryzyka kredytowego; BIK zobowiązany jest je gromadzić, przetwarzać i udostępniać bankom i instytucjom ustawowo upoważnionym do udzielania kredytów dla realizacji celów ustawowych - badania zdolności kredytowej;
art. 6 ust. 1 lit. f RODO, poprzez jego niezastosowanie wskutek uznania, że – w razie nie zawarcia umowy kredytowej - BIK nie ma prawnie uzasadnionego interesu w przetwarzaniu danych Wnioskodawcy; istnieje tymczasem prawnie uzasadniony interes BIK w przetwarzaniu tych informacji pomimo nie zawarcia umowy kredytowej; polega on na realizacji działań z zakresu opracowania, utrzymania aktualności i funkcjonalności zbudowanych modeli scoringowych – w zgodzie z treścią Rekomendacji W, S i T KNF, w zakresie dobrych praktyk i zarządzania ryzykiem kredytowym;
art. 6 ust. 1 lit. f RODO, poprzez jego niezastosowanie wskutek uznania, że BIK nie ma podstawy prawnej do przetwarzania danych Wnioskodawcy, gdy wynika ona z konieczności zapewnienia rozliczalności działań BIK, jako administratora danych osobowych - na zasadzie art. 5 ust. 2 RODO - w postaci wykazania przestrzegania przepisów, dotyczących jakości danych,
- procesowego:
- art. 107 § 1 w zw. z art. 8 § 1 i 2 ustawy z dnia 14 czerwca 1960 r. - Kodeksu postępowania administracyjnego (Dz. U. z 2023 r. poz. 775 ze zm.) zwanej dalej "K.p.a.), poprzez wydanie decyzji, którą nałożono na BIK nieprecyzyjnie określone w osnowie obowiązki; wykonanie ich nie jest obiektywnie możliwe bez podjęcia dalszych działań i prób sprecyzowania treści obowiązku - wynikającego z zawartego w osnowie wydanej decyzji nakazu; jest to sprzeczne z zasadą precyzyjnego określenia nałożonych na adresata decyzji administracyjnej obowiązków;
- art. 7 w zw. z art. 77 § 1 i art. 80 K.p.a., poprzez niewyczerpujące zebranie, nierozpatrzenie i błędną ocenę całokształtu materiału dowodowego; przejawiło się to w zaniechaniu wyczerpującej analizy charakteru, zakresu oraz celów gospodarczo - ekonomicznych dla jakich powołano BIK oraz obowiązków prawnych i wynikających z zawartych przez nie umów z bankami; skutkowało to wadliwą i niepełną oceną stanu faktycznego sprawy oraz charakteru działania BIK oraz bezasadnym wydaniem nakazu usunięcia danych osobowych Wnioskodawcy;
- art. 7b w zw. z art. 7 i 77 K.p.a., poprzez niedokładne wyjaśnienie stanu faktycznego i prawnego, koniecznego do podjęcia stosownych czynności; w szczególności nie zwrócono się do KNF w celu kompleksowego wyjaśniania stanu faktycznego sprawy oraz współdziałania w zakresie niezbędnym do dokładnego wyjaśnienia stanu prawnego - mając na względzie interes społeczny i słuszny interes obywateli, w postaci ustalenia należytych zasad, celów i zakresu przetwarzania danych osobowych o niezrealizowanych zapytaniach kredytowych - tak, aby procesy przetwarzania danych czyniły zadość zarówno przepisom prawa o ochronie danych osobowych, jak i szeroko pojętego prawa bankowego - w szczególności dla zapewnienia ochrony wartości, których gwarancje ochrony wynikają ze wskazanych przepisów - zgodnie z zasadą proporcjonalności;
- art. 7, 77 § 1 i art. 80 K.p.a., poprzez zaniechanie
oceny Rekomendacji KNF S, W i T, jako organu właściwego do sprawowania nadzoru nad instytucjami krajowymi w rozumieniu przepisów Unii Europejskiej (regulatora rynku finansowego); nakładają one na banki - w konsekwencji na BIK, jako instytucję gromadzącą służące do oceny zdolności kredytowej dane oraz budującą modele scoringowe dla banków - określone wymagania; podlegają one nadzorowi i egzekwowaniu przez KNF na podstawie bezwzględnie obowiązujących przepisów; prowadziło to do zaniechania oceny podstaw prawnych i celów dla jakich upoważniono BIK oraz banki do przetwarzania danych w zakresie zdolności kredytowej - również w razie nie zawarcia umowy kredytowej - dla zabezpieczenia interesów banków oraz stabilności rynku gospodarczo-finansowego;
wyczerpującego zebrania i rozpatrzenia materiału dowodowego; przejawiło się to w szczególności brakiem analizy podstawowych zasad funkcjonowania stabilnego sektora finansowego - w tym pod kątem istnienia po stronie banków, a w konsekwencji BIK jako instytucji gromadzącej dane, służące ocenie zdolności kredytowej oraz budującej modele scoringowe dla banków - oczywistego interesu prawnego; przejawia się on w odmowie udzielenia kredytu, wynikającej z braku istnienia zdolności kredytowej po stronie Wnioskodawcy; zabezpiecza to interesy banków przed nieodpowiedzialną polityką udzielania kredytów osobom, które nie mają szans na ich spłacenie oraz do zapewnienia stabilności gospodarczo-ekonomicznej sektora bankowego, a - w ujęciu makro - zapobiega kryzysom gospodarczym;
- art. 7. 77 w zw. z art. 80 i 107 § 3 K.p.a., poprzez niezbadanie aktualnych podstaw przetwarzania danych Wnioskodawcy przez BIK, niewystarczające wyjaśnienia podstaw prawnych decyzji oraz brak oceny istotnych okoliczności sprawy; doprowadziło to do błędnego nakazania BIK usunięcia przetwarzanych danych osobowych Wnioskodawcy oraz uniemożliwiło BIK zapoznanie się z powodami negatywnej oceny wskazanych przez nie podstaw przetwarzania.
W szerokim uzasadnieniu skargi rozwinięto przywołane wyżej zarzuty.
Wniesiono o uchylenie zaskarżonej decyzji w pkt 1 oraz zasądzenie zwrotu kosztów postępowania sądowego.
Bank, reprezentowany przez pełnomocnika – radcę prawnego, zarzucił wydanie skarżonej decyzji z naruszeniem przepisów:
- postępowania:
- art. 7, 77 § 1 i art. 80 K.p.a., polegające na niewyczerpującym rozpatrzeniu materiału dowodowego oraz na jego dowolnej ocenie wobec uznaniu, że Bank i BIK nie dysponują przesłankami legalizującymi przetwarzanie danych osobowych Wnioskodawcy, mimo że jest to niezbędne do realizacji ciążących na Banku i BIK obowiązków prawnych oraz ich prawnie uzasadnionych interesów;
- art. 7b K.p.a., polegające na nie zwróceniu się do KNF, jako organu właściwego w sprawach związanych m.in. z badaniem zdolności kredytowej i analizą ryzyka kredytowego, a także budową modeli scoringowych oraz do Generalnego Inspektora Informacji Finansowej, jako organu właściwego w sprawach związanych z m.in. z przeciwdziałaniem praniu pieniędzy i finansowaniu terroryzmu - w zakresie wykorzystywania do realizacji tych zadań danych, w tym danych osobowych o niezrealizowanych zapytaniach kredytowych;
- prawa materialnego,
- art. 6 ust. 1 lit. f RODO, w zw. z art. 117 § 2 i § 21, art. 118 oraz 119 ustawy z dnia 23 kwietnia 1964 r. - Kodeks cywilny (Dz. U. z 2023 r., poz. 1610), zwanej dalej "K.c.", poprzez ich niewłaściwe zastosowanie; polegało to na uznaniu, że obrona i dochodzenie roszczeń mogą dotyczyć wyłącznie tych już istniejących;
- art. 6 ust. 1 lit. c RODO, w zw. z art. 39 ust. 1 w zw. z art. 34 ust. 1, art. 35 ust. 1, art. 36 ust. 1, oraz 49 ustawy AML, poprzez ich niewłaściwe zastosowanie; polegało ono na przyjęciu, że na Banku nie ciążą obowiązki, związane z przeciwdziałaniem praniu pieniędzy oraz finansowaniu terroryzmu, gdy nie doszło do zawarcia umowy pomiędzy Bankiem a klientem; przepisami tymi nałożono tymczasem na banki i BIK obowiązek przetwarzania danych osobowych w celu zapewnienia bezpieczeństwa obrotu gospodarczego, poprzez przeprowadzenie szczegółowego badania na temat klientów – w tym przyszłych - jak i badania powiązań kapitałowo-osobowych, także w zakresie danych, dostarczanych przez Wnioskodawcę;
- art. 6 ust. 1 lit. c RODO w zw. z art. 105 ust 4 i art. 105a ust. 1 ustawy - Prawo bankowe, poprzez ich błędną wykładnię; przyjęto, że Bank jest jedynie obowiązany do oceny zdolności kredytowej klientów; z przepisu tego wynika także powinność analizy ryzyka kredytowego;
art. 6 ust. 1 lit. c RODO w zw. z art. 105 ust 4 ustawy - Prawo bankowe, poprzez ich błędną wykładnię; przyjęto, że Bank nie legitymuje się przesłanką do przetwarzania danych; z przepisu tego wynika tymczasem obowiązek przetwarzania danych - w tym z zapytań kredytowych - w zakresie, w jakim informacje te są potrzebne bankom do wykonywania czynności bankowych - w tym oceny zdolności kredytowej i analizy ryzyka kredytowego;
- art. 6 ust. 1 lit. c RODO w zw. z art. 144 ust. 1 lit. d, art. 145, art. 147 ust. 5 lit. b, art. 170 ust. 3 lit. a, ust. 4 lit. a, art. 171 ust. 2 oraz art. 179 ust. 1 lit. a rozporządzenia CRR, poprzez ich błędną wykładnię; przyjęto, że na Banku nie ciążą obowiązki związane z analizą ryzyka kredytowego, gdy nie doszło do zawarcia umowy pomiędzy Bankiem a klientem;
art. 6 ust. 1 lit. c RODO w zw. z art. 70a ustawy - Prawo bankowe, poprzez ich niewłaściwe zastosowanie; skutkowało to przyjęciem, że Bank może dokonać wyjaśnienia dokonanej oceny zdolności kredytowej wnioskującego bez otrzymanych i przetwarzanych danych osobowych klienta - tylko wtedy, gdy zawarł on umowę z bankiem;
art. 6 ust. 1 lit. c RODO w zw. z art. 106d ustawy - Prawo bankowe, poprzez ich niewłaściwe zastosowanie; skutkowało to przyjęciem, że Bank nie jest uprawniony do przetwarzania danych - w tym danych osobowych zawartych we wnioskach kredytowych – w celu wypełnienia wynikających z ustawy - Prawo bankowe obowiązków - gdy wykazuje on cel przetwarzania danych osobowych, polegający na analizie danych podanych we wnioskach kredytowych i analizie zapytań kredytowych złożonych w BIK w określonym czasie - w celu wykrycia nieścisłości oraz powzięcia informacji, mogących stanowić o uzasadnionym podejrzeniu popełnienia przestępstw, o których mowa w art. 106d ustawy - Prawo bankowe;
- art. 6 ust. 1 lit. f RODO w związku z Rekomendacjami KNF S, W i T, polegające na ich niewłaściwym zastosowaniu i przyjęciu, że Bank nie legitymują się przesłanką przetwarzania danych w związku z tymi rekomendacjami; nałożono nimi natomiast na banki - w konsekwencji także na BIK, jako instytucję gromadzącą dane służące do oceny zdolności kredytowej oraz budującą modele scoringowe służące bankom - określone wymagania; są one następnie egzekwowane przez KNF - na podstawie bezwzględnie obowiązujących przepisów.
W szerokim uzasadnieniu skargi rozwinięto przywołane wyżej zarzuty. Wskazano m.in.:
- dokonując interpretacji art. 105a w zw. z art. 70 ust. 1 ustawy - Prawo bankowe organ zupełnie pominął, że przetwarzanie informacji na ich podstawie odbywa się także w celu oceny ryzyka kredytowego; jasno wynika to z literalnego brzmienia 105a ust. 1 ustawy - Prawo bankowe: "(...) w celu oceny zdolności kredytowej i analizy ryzyka kredytowego."; przywołany przez organ fragment uzasadnienia wyroku o sygn. akt I OSK 2567/17 także wprost dotyczy wyłącznie oceny zdolności kredytowej,
- wysokie ryzyko może też potencjalnie wpłynąć na inne warunki kredytu; tak jak w przypadku ubezpieczeń, Bank może - mając na uwadze bezpieczeństwo depozytów swoich klientów - uznać niektóre kredyty za ryzykowne i zażądać wyższego oprocentowania; może także uznać ryzyko kredytowe za nieakceptowalnie wysokie - nawet pomimo wysokich dochodów ubiegającego się kredyt; na system zarządzania ryzykiem banku składają się identyfikacja, pomiar, kontrola oraz monitorowanie ryzyka, występującego w działalności banku - służące zapewnieniu prawidłowości jego działania (tak: art. 9b ust. 1 ustawy - Prawo bankowe) w oparciu o określone zasady akceptacji; odpowiednie monitorowanie ryzyka banku wymaga uwzględnienia informacji, które pozwalają na jego oszacowanie; z badań empirycznych wynika, że ilość złożonych zapytań kredytowych jest powiązana z ryzykiem niespłacenia terminowo zaciąganych zobowiązań,
- analogicznie, wiedza na temat wniosków, odrzuconych w innych bankach, pozwala rozróżnić, która wnioskująca osoba byłaby bardziej skłonna do jego spłaty - uwzględniając pochodzące z sektora bankowego informacje; umożliwia to ustalenie obiektywnych zasad akceptacji; co za tym idzie, wnioskująca osoba może liczyć na rzetelną ocenę swojej zdolności kredytowej; zgodnie bowiem z pkt 10.4 Rekomendacji T banki mogą - a banki istotnie zaangażowane powinny - gromadzić informacje o współpracy banków z klientami w zakresie przydatnym do zarządzania ryzykiem kredytowym i operacyjnym – w szczególności historii kredytowej; informacje te powinny wspomagać proces oceny i monitorowania zdolności kredytowej - m.in. poprzez rozwój i wykorzystanie modeli; innymi słowy, informacja na temat częstego ubiegania się o kredyt wnioskującej osoby, wskazuje na zwiększone ryzyka udzielenia finansowania danemu klientowi dla banku.
Wniesiono o uchylenie zaskarżonej decyzji oraz zasądzenie zwrotu kosztów postępowania sądowego.
W odpowiedzi na skargę organ wniósł o jej oddalenie, podtrzymując dotychczasową argumentację.
Sąd zważył, co następuje.
Chybiony jest najdalej idący zarzut skargi BIK – wadliwego skonstruowania osnowy decyzji – uniemożliwiającego identyfikację zakresu powinności podmiotów obowiązanych. W orzeczeniu - wbrew wywodom skargi - wystarczająco precyzyjnie określono zakres obowiązku. Z osnowy - w powiązaniu z uzasadnieniem decyzji - wynika powinność usunięcia z baz danych BIK i Banku, wszelkich informacji pozwalających zidentyfikować operację obsługi pochodzącego od Wnioskodawcy Zapytania.
W takich ramach Sąd ocenił legalność oskarżonej decyzji.
Skarga zasługuje na uwzględnienie, gdyż wydając orzeczenie naruszono przepisy prawa materialnego, zakreślające dopuszczalność przetwarzania danych osobowych wobec prawnie uzasadnionych interesów administratorów (tu BIK i Banku), oraz realizacji ciążącego na administratorze obowiązku prawnego, zaś – na skutek tego - regulacje, statuujące właściwość organu wyspecjalizowanego w sprawach ochrony danych osobowych - w zakresie stosowania przezeń przepisów naprawczych. Miało to istotny wpływ na wynik sprawy. W następstwie tego nie wyjaśniono bowiem jej okoliczności faktycznych w szeregu istotnych aspektów. Stanowi to z kolei o naruszeniu stosownych przepisów postępowanie, zaś mogło mieć istotny wpływ na wynik sprawy. Ocena orzeczenia w tym zakresie wymaga jednak wpierw prawidłowego ustalenia ram prawnych sprawy - reguł materialnoprawnych.
Organ właściwie wprawdzie opisał uwarunkowania prawne sprawy – w kontekście przytoczenia wynikających z RODO ogólnych reguł przetwarzania danych osobowych. Nie sporne są także fakty w zakresie ustalenia, że - na dzień wydania zaskarżonej decyzji - dane osobowe Wnioskodawcy w związku z Zapytaniem były w konkretnym zakresie nadal przetwarzane w pewnych celach przez Bank i BIK (tak stanowisko tychże w toku postepowania). Przywoływanie przez Sąd ponownie okoliczności sprawy w podanych kwestiach nie byłoby zasadne wobec uprzedniego przytoczenia istotnych faktów - przy referowaniu sprawy.
Skoro decyzją nakazano usunięcie danych osobowych Wnioskodawcy wobec konkretnego Zapytania - z wszelkich baz danych administratorów (BIK i Bank) - oznaczałoby to brak po ich stronie jakiejkolwiek dokumentacji poszczególnych zdarzeń, które - choćby dla zarchiwizowania - musiałyby być wszak oznaczone przez powiązanie z konkretną osobą.
Orzekając w sprawie organ błędnie wyłożył znaczenie normatywne przepisów, zakreślających granice uprawnienia do przetwarzania danych osobowych - zamieszczonych w art. 105a ustawy - Prawo bankowe. Przepis ten kreuje przy tym stosowne ramy prawne przetwarzania danych zarówno dla Banku jak i - wykonującego z jego poruczenia szereg zdań BIK (w kontekście reguły art. 105 ust. 4 ustawy - Prawo bankowe), a więc dla obu stron skarżących.
Otóż - wedle stanowiska organu - w razie nie zawarcia umowy kredytowej, granice możliwości przetwarzania danych osobowych wnioskodawców przez oba skarżące podmioty dla celów oceny zdolności kredytowej oraz ryzyka kredytowego –- wyczerpująco określa art. 105a ust. 3-7 ustawy - Prawo bankowe. Stanowisko to nie jest trafne, przy zastosowaniu prawidłowej wykładni przedmiotowych regulacji.
Otóż prawodawca - doprecyzowując w ust. 3-7 reguły przetwarzania danych osobowych dla celu zdolności kredytowej oraz ryzyka kredytowego zaś bez zgody zainteresowanych – odniósł to expressis verbis jedynie do przypadków, gdy doszło do zawarcia umowy kredytowej. Nie mógł mieć jednak woli generalnego wyłączenia tym możliwości przetwarzania danych - dla tych samych celów – w razie nie zawarcia takiej umowy. Wniosek taki potwierdza treść innych regulacji samej ustawy - Prawo bankowe - w tym jej art. 70a. W świetle tego przepisu, każdy klient banku jest uprawniony zwrócić się o wyjaśnienie przesłanek rozpoznania jego wniosku – dokonanej oceny zdolności kredytowej (tak ust. 1). Na dzień orzekania w danej sprawie, nie weszła w życie jeszcze regulacja, którą ograniczono czas, gdy uprawnienie to mogło być realizowane przez wnioskujących o kredyt (stosowna nowela ustawy - Prawo bankowe). Do urzeczywistnienia danego prawa po stronie klientów niezbędne jest oczywiście przetwarzanie danych osobowych przez Bank (bądź na jego rzecz w BIK) - w zakresie wykraczającym poza granice, przewidziane art. 105a ust. 3-7 dalej ustawy, także gdy umowy nie zawarto. Nie sposób natomiast przyjąć – co trafnie podniósł Bank - aby wolą prawodawcy – wyrażoną przez stosowne sformułowanie art. 105a ( wedle organu wąskie, w razie nie zawarcia umowy kredytowej) - było przypisanie takiego uprawnienia jedynie osobom, których wnioski rozpoznano pozytywnie i zawarto z nimi umowę kredytową (tylko dla nich istniałaby dokumentacja w Banku czy BIK). Przeczyłoby to racjonalności prawodawcy. Co oczywiste bowiem, najczęściej zainteresowanymi przyczynami konkretnej oceny, będą osoby, których wnioski rozpatrzono negatywnie.
Nie do zaakceptowania jest przy tym argumentacja organu - prezentowana w innych, analogicznych sprawach - jakoby wobec żądania Wnioskodawcy usunięcia jego danych osobowych Bank (bądź gromadzący na jego rzecz dane BIK), mógł się uważać zwolniony od realizacji ustanowionego na szczeblu ustawy obowiązku. Skoro uprawnienia do rezygnacji dla klientów nie przewidziano wprost w akcie stosownego rzędu, nie sposób domniemywać, aby każda żądająca usunięcia swoich danych (np. bezpośrednio po rozpatrzeniu wniosku) osoba miała świadomość utraty konkretnego, stanowionego ustawą uprawnienia. Prezentowana w danym zakresie przez organ interpretacja znaczenia reguły legalizującej przetwarzanie danych - wskazanej art 6 ust. 1 lit. C RODO - wypacza sens danej regulacji w przyjętym brzmieniu. Przy takim rozumieniu przepisu w każdym bowiem przypadku, gdzie normatywnie przewidziano podstawę przetwarzania danych, konieczne byłoby rozważanie, czy - wobec stanowiska zainteresowanej osoby (jej żądań) - należy konkretną, stanowioną prawem, powinność wymagającą przetwarzania danych nadal uwzględnić. Takie rozumienie danej regulacji jest sprzeczne z jej treścią normatywną. W danym zakresie zarzuty skarg – pominięcia przy wyłożeniu znaczenia art. 105a treści normatywnej art. 70a ustawy - Prawo bankowe - są oczywiście zasadne.
Równocześnie - na co słusznie zwrócono uwagę w skargach - wbrew stanowisku organu, z samego brzmienia art. 105a ust. 1 i 1a ustawy - Prawo bankowe, nie wynika, aby ustanowiono nim prawną podstawę przetwarzania danych tylko w okresie od złożenia konkretnego wniosku do jego rozpoznania. Zakreślono tam bowiem wyłącznie cel, gdy dopuszczono przetwarzanie danych osobowych - to ocena zdolności kredytowej i analizy ryzyka kredytowego. Gdyby - jak wywodzi to organ - warunki przetwarzania danych osobowych bez zgody zainteresowanego dla tego celu wyczerpująco określono w przywołanym art. 105a ust. 3-7 ustawy - Prawo bankowe, nie istniałaby żadna podstawa do przetwarzania danych na etapie rozpoznawania wniosków - w tym informowaniu nawzajem banków o złożeniu wniosków równoległych.
Uzasadnia to konstatację, że w początkowych przepisach art. 105a ustawy - Prawo bankowe, ustanowiono uprawnienie do przetwarzania danych osobowych w konkretnych celach - oceny zdolności kredytowej oraz ryzyka kredytowego, zaś w dalszych ustępach tej jednostki redakcyjnej określono warunki tego procesu - jednak tylko w pewnych - sprecyzowanych przez ustawodawcę - przypadkach.
Wobec wskazanych uwarunkowań - z woli prawodawcy - na szczeblu ustawowym uregulowano szczegółowo zasady przetwarzania danych osobowych klientów banków (innych instytucji kredytowych) dla potrzeb oceny zdolności kredytowej oraz ryzyka kredytowego (w tym okres przechowywania informacji), jedynie co do przypadków, gdy doszło do zawarcia umowy kredytowej. W pozostałych zaś sytuacjach, oceniając istnienie podstawy przetwarzania danych, należy odnieść się do reguł ogólnych tego rodzaju procesów - w tym powinności ważenia słusznego interesu osoby, której dane są przetwarzane oraz ich administratora. Trzeba mieć też na uwadze zakres ciążących na banku (instytucji bankowej), powinności z mocy regulacji szczególnych - w tym rozporządzenia CRR.
Reasumując, w art. 105a ust. 3-7 ustawy-Prawo bankowe nie ustanowiono zamkniętego katalogu przypadków, gdy można przetwarzać dane osobowe występującego o kredyt bez jego zgody - lecz jedynie warunki działań w tym zakresie, gdy kredytu udzielono.
Zasadne jest wobec tego przyjęcie, że podstawy przetwarzania takich danych mogą wynikać z reguł odrębnych – np. ochrony słusznych interesów Banku czy BIK w obrocie gospodarczym. W tym kontekście należy wskazać, że trafne są zarzuty skarg, gdzie podnoszono, że uzasadniony interes administratorów (Banku i BIK) przemawiał za dalszym przetwarzaniem danych osobowych Wnioskodawcy, będących niejako niezbędnym znacznikiem identyfikującym zdarzenie - skierowania konkretnego Zapytania i ewentualnego udzielenia nań odpowiedzi przez Bank, oraz udziału w tych czynnościach BIK.
Nie budzi wątpliwości trafność wywodów stron skarżących, gdzie wskazano, że informacje o określonym zdarzeniu mogą mieć istotne znaczenie zarówno w kontekście przywołanego już obowiązku informacyjnego (tak art. 70a ustawy – Prawo bankowe), jak i wobec ewentualnych roszczeń, z którymi mogą wobec Banku występować ich niedoszli klienci - w związku z domniemanymi nieprawidłowościami, w kontekście rozpatrywania ich wniosków kredytowych - oraz ewentualnie negatywnymi ich następstwami z perspektywy swoich interesów (nie udzielenie kredytu bądź zaproponowanie go na warunkach, nieakceptowalnych dla konkretnego klienta). Roszczenia mogą dotyczyć także domniemanych nieprawidłowości w zakresie przetwarzanie danych osobowych wnioskujących o kredyt - na etapie procedury rozpoznawania ich wniosków – a więc także obsługi konkretnego Zapytania przez Bank czy BIK. Wbrew stanowisku organu, nie może mieć kluczowego znaczenia, że pomiędzy Bankiem i Wnioskodawcą nie doszło do zawarcia umowy. Podstawą roszczeń może być bowiem zarówno odpowiedzialność kontraktowa jak i deliktowa.
Nie jest trafne stanowisko organu, jakoby możliwość przetwarzania danych osobowych - w kontekście potencjalnych przyszłych roszczeń - mogła być ograniczona wyłącznie do przypadków, gdy toczą się stosowne postępowania - kwestie w tym zakresie wyjaśniano w przedmiotowej sprawie i szczegółowo się do niej odnoszono – nawet, gdy taka teza bywa prezentowana w judykaturze. Sąd w tym składzie poglądu tego nie podziela. Nie sposób bowiem przyjąć, aby art. 105 ust. 3-7 ustawy - Prawo bankowe - gdzie wymieniono szereg szczegółowych przypadków i warunków przetwarzania danych osobowych klientów przez banki i inne instytucje finansowe - miał być rozumiany jako lex specialis – regulacja wyłączająca uprawnienia, wynikające z ogólnych reguł K.c., w kwestii przedawnienia roszczeń bądź je modyfikująca.
Intencji takiej nie sposób przypisać racjonalnemu prawodawcy na gruncie reguły ogólnej, wyrażonej art. 6 ust. 1 RODO, w szczególności w lit. f tego aktu – w kontekście ewentualnego realnego i drastycznego ograniczenia ochrony przed dochodzeniem potencjalnych roszczeń. Trafnie zauważa Bank, że uznanie, jakoby – wobec nie zawarcia umowy kredytu – jego obowiązkiem było usunięcie danych niedoszłego klienta, wyłączałoby w istocie możliwość ochrony przed jego
ewentualnymi roszczeniami jeszcze przed ich przedawnieniem. Mogłoby też prowadzić do istotnego ograniczenia praw samych klientów banków i innych instytucji finansowych – np. wobec braku stosownej dokumentacji po stronie wyspecjalizowanych podmiotów rynku finansowego. Inaczej mówiąc, prezentowane przez organ rozumienie przepisów, określających ramy przetwarzania danych osobowych niedoszłych klientów banków i innych instytucji finansowych, gdy nie zawarto umów, pozbawiałby obie strony praw, wynikających wprost z generalnych reguł prawa materialnego - K.c. Miałoby to wpływ na realia obrotu gospodarczego. Intencji wprowadzenia tak głębokiej modyfikacji w relacje między niedoszłymi kontrahentami - w kontekście sektora bankowego - nie sposób przypisać prawodawcy, wobec aktualnego brzmienia regulacji w danym zakresie (w szczególności, gdy ma być to efektem pewnej wykładni). Musiałby ją wyrazić wprost.
Nie jest trafna argumentacja organu, jakoby odnoszenie się do kwestii przedawnienia roszczeń - w kontekście podstaw prawnych przetwarzania danych osobowych - było niezasadne, gdyż upływ terminu nie powoduje wygaśnięcia roszczeń. Skoro po terminach przedawnienia możliwość dochodzenia roszczeń jest znacznie ograniczona (instytucja zarzutu przedawnienia), zaś oceny występowania podstaw przetwarzania danych osobowych, dokonuje się w kontekście niezbędności dla celów wynikających z prawnie uzasadnionych interesów realizowanych przez administratora to przetwarzanie danych - gdy realizacja potencjalnych roszczeń nie jest faktycznie prawdopodobna - nie znajduje racjonalnych podstaw. Istnieje więc obiektywna granica czasowa, gdy odpada podstawa do dalszego przetwarzania danych dla określonego celu.
Trafnie wprawdzie organ przywołuje fragmenty orzeczenia o sygn. akt I OSK 2567/17, gdzie ogólnie odnotowano brak podstaw przetwarzania danych, gdy nie doszło do zawarcia umowy. Pomija jednak część końcową cytowanego fragmentu. Wskazano tam wprost, że bezprawność ta dotyczy przypadków, gdy administrator nie może wskazać prawnie uzasadnionych celów przetwarzania. Przetwarzanie informacji dla celów archiwalnych - wobec powinności z art. 70a ustawy - Prawo bankowe, czy potencjalnego ryzyka roszczeń w celu zabezpieczenia przed nimi - stanowi taki cel, w myśl art. 6 ust. 1 lit. f RODO.
Organ nie odniósł się z kolei stosownie wyczerpująco do innych możliwych – a zdaniem Banku i BIK wymaganych - celów przetwarzania danych osobowych, wynikających m.in z rozporządzenia CRR – także w kontekście stosownych rekomendacji KNF. Nie można uznać za wystarczające stwierdzenie przez organ, że dalsze przetwarzanie danych o zapytaniach nie jest wymagane mimo powoływania przez strony reguł ostrożnościowych, stanowionych na szczeblu ustawodawstwa Unii Europejskiej (w rozporządzeniu CRR) skoro wadliwie – nazbyt wąsko - wyłożono przypadki przetwarzania danych osobowych przez banki (odpowiednio także BIK), jako wyczerpująco wymienionych w art. 105a ust. 3-7 ustawy - Prawo bankowe (tylko w razie zawarcia umowy). Z uzasadnienia zaskarżonej decyzji nie wynika, aby organ ogólnie kwestionował przydatność przetwarzania danych Wnioskodawcy, pozyskanych przy obsłudze operacji Zapytania, dla oceny zdolności kredytowej i ryzyka kredytowego - także w kontekście budowy tzw. modeli scoringowych. Wobec błędnego wyłożenia treści normatywnej przepisów prawa bankowego wywodził jedynie, że – po stronie Banku - nie występuje w danym zakresie obowiązek prawny bądź nie jest to niezbędne dla celów, wynikających z prawnie uzasadnionych interesów. Nie sposób przyjąć, jakoby problematyka ilości wniosków kredytowych konkretnej osoby, niezakończonych zawarciem umowy, nie miała znaczenia dla oceny zdolności kredytowej, bądź ryzyka kredytowego, gdy odmienne stanowisko prezentują tu podmioty rynku finansowego - zajmujące się profesjonalnie obsługą kredytów. Rozstrzygnięcie danej kwestii może wymagać wiedzy specjalnej. Zasadna jest tu ponowna analiza przy właściwym rozumieniu treści normatywnej stosownych regulacji.
Przedwczesne byłoby więc zajmowanie przez Sąd stanowiska, czy rozstrzygnięcie organu narusza również regułę art. 6 ust. 1 lit. c RODO oraz stosowne - powołane w skardze - regulacje prawa materialnego, z których miałby wynikać obowiązek dalszego przetwarzania danych Wnioskodawcy, w tym rekomendacje KNF. Musiałby w tej kwestii ewentualnie zająć wpierw wyczerpujące stanowisko organ, wydając orzeczenie w sprawie.
Wobec wadliwego wyłożenia treści normatywnej przepisów, zakreślających możliwość przetwarzania danych osobowych Wnioskodawcy, sprawy nie wyjaśniono także w innym, istotnym aspekcie.
Co wynika z uzasadnienia decyzji, na dzień orzekania w sprawie, Bank i BIK przetwarzały dane Wnioskodawcy w bardzo szerokim zakresie - m.in. dane identyfikacyjne, jak dane o dokumencie tożsamości, informacje o miejscu i warunkach zatrudnienia, wiele danych teleadresowych (w tym adres email) itd. W kontekście podstaw, legalizujących przetwarzania tych danych - powinności bądź uzasadnionego interesu prawnego - wymaga wyjaśnienia, czy:
- cały ich zakres jest w istocie niezbędny dla realizacji dopuszczalnych celów przetwarzania oraz
- są one gromadzone w sposób umożliwiający dostęp do nich tylko dla realizacji zadań, znajdujących oparcie w art. 6 ust. 1 lit. c lub f RODO.
Powinnością Banku i BIK jest bowiem minimalizacja przetwarzania danych osobowych wyłącznie do zakresu niezbędnych oraz stosowne ich zabezpieczenie - aby wykluczyć ich wykorzystanie w celach innych niż są nadal legalnie przetwarzane.
Jeżeli Bank lub BIK przetwarzają nadal dane Wnioskodawcy, w zakresie gdzie wykracza to poza uprawnione cele (np. w bazach gdzie możliwy jest do nich szeroki dostęp), organ jest uprawniony - wobec skargi Wnioskodawcy – wydać w stosownym zakresie decyzję naprawczą.
W danym zakresie nie można więc uznać sprawy za właściwie wyjaśnioną, także w kontekście sformułowania stosownego uzasadnienia, co czyni zasadnym zarzuty naruszenia art. 7, 77 § 1 i art. 80 oraz 107 § 3 wobec art. 8 ust. 1 i art. 11 K.p.a.
Chybiony są natomiast inne zarzuty skargi z następujących powodów:
- organ nie był obowiązany występować do innej wyspecjalizowanej instytucji - np. KNF - w celu ustalenia ram ciążących na Banku obowiązków, wobec stosownych reguł wewnętrznych, dotyczących funkcjonowania sektora bankowego; określają je bowiem także stosowne akty normatywne, z uwzględnieniem charakteru rekomendacji; może natomiast zasięgnąć stosownej opinii, o ile poweźmie określone wątpliwości; ostateczna ocena ram prawnych przetwarzania danych osobowych przez sektor bankowy pozostaje w indywidualnej kompetencji organu wyspecjalizowanego w sprawach ochrony danych osobowych; analogicznie ma się rzecz w kwestii powinności przetwarzania przez sektor bankowy danych w związku z przepisami ustawy AML; organ nie był obowiązany zasięgać opinii Generalnego Inspektora Informacji Finansowej; jedynie może to uczynić - w razie powzięcia uzasadnionych wątpliwości,
- także na etapie skargi, Bank ani BIK nie wykazały, aby - z przywoływanych przez nie reguł ogólnych, dotyczących bezpieczeństwa rynku finansowego - wynikała dla nich powinność przetwarzania akurat szerokich danych o klientach, z którymi nie nawiązano stosunków gospodarczych, ani nie będącymi jednostkami rynków finansowego pozostającymi z nimi w stałych relacjach gospodarczych; trafna jest tu argumentacja organu - szeroko ją uprzednio przywołano; nie wyklucza to możliwości przetwarzania pewnych rodzajów danych, o ile pozostaje to w bezpośrednim związku z powinnościami, wynikającymi z ustawy o AML; konkretnych podstaw w tym zakresie jednak dotąd nie przywołano; samodzielnej podstawy do gromadzenia danych o własnych klientach nie można doszukiwać się w brzmieniu art. 106d ustawy - Prawo bankowe; dane przepisy – poza zdarzeniami opisanymi jako wystąpienie tzw. "uzasadnionego podejrzenia" w myśl ust. 1 pkt 1 i 2 (przypadku takiego nie sygnalizowano w tej sprawie) - stanowią jedynie podstawę transferu danych pomiędzy bankami i innymi instytucjami, uprzednio zgromadzonymi w granicach normatywnie przewidzianych; przepisy te nie kreują samodzielnej podstawy zbierania danych - w celu późniejszego udostępnienia ze względu na potencjalną ich przydatność w przyszłości,
- nie jest zasadny zarzut BIK naruszenia art. 6 ust. 1 lit. e RODO; prawodawca nie przypisał bowiem wprost bankom (czy wykonującej w pewnym zakresie ich zadania instytucji) zadania publicznego (w tym kompetencji władczych), w postaci powinności "zabezpieczenia ekonomiczno-gospodarczego sektora bankowego", tak aby mogło to stanowić samodzielną podstawę do ingerencji w zakres swobód obywatelskich - np. w kontekście reguły ograniczania przetwarzania danych osobowych poza przypadkami, wynikającymi ze stosownych regulacji szczególnych; nie wyłącza to natomiast zasadności analizy istnienia podstaw przetwarzania danych przez Bank czy BIK wobec innych podstaw - np. "prawnie uzasadnionych interesów administratora", w rozumieniu art. 6 ust. 1 lit. f RODO,
- nie jest trafna argumentacja, jakoby samodzielną podstawę przetwarzania danych osobowych mogła stanowić realizacja zasady rozliczalności (art. 5 ust. 2 RODO); trafna jest tu zreferowana wcześniej argumentacja organu; przyjęcie za prawidłową wykładni sugerowanej przez BIK, oznaczałoby powinność permanentnego przetwarzania raz pozyskanych danych; trafnie wywodzi organ, że - po usunięcia danych w pełni - obowiązek rozliczalności obejmuje możliwość jednoznacznego wyjaśnienia, czy nie są przetwarzane dane konkretnej osoby; zachowanie informacji dla potrzeb szerszych ustaleń - np. co do terminu czy przyczyn usunięcia danych - nie jest możliwe do realizacji; identyfikacja takiego zdarzenia nie jest bowiem wykonalna bez dalszego przetwarzania jakichkolwiek danych identyfikujących osobę; inaczej ma się natomiast rzecz w razie zachowania – w prawnie uzasadnionych ramach - części danych identyfikujących osobę; w takim przypadku możliwe byłoby pozostawienie informacji o terminach, czy przyczynach usunięcia danych konkretnej osoby - bez dalszego przetwarzania ich treści; w rozpoznawanej sprawie przedmiotem sporu była jednak zasadność nakazu usunięcie całej informacji o zdarzeniu Zapytania, identyfikowalnym tylko danymi osobowymi Wnioskodawcy.
Nie może też mieć kluczowego znaczenia, że informacje o osobach wnoszących o kredyt, z którymi nie zawarto umowy, mogą być istotne z perspektywy oceny dla potrzeb banków i innych instytucji finansowych zdolności kredytowej czy ryzyka kredytowego. Oznacza to tyle, że - w interesie sektora bankowego - może pozostawać szerokie przetwarzanie takich danych, dla bieżącej oceny kolejnych wniosków (tych samych osób bądź innych - wobec budowy stosownych modeli) - np. przez znaczny czas. Sama użyteczność danych w tym kontekście nie przesądza jednak, że działania te są nakazane w ramach reguł ostrożnościowych, stanowionych w regulacjach szczególnych – co należy wyjaśnić. Jeżeli nie jest to wskazane wprost w stosownych, wiążących Bank aktach (w danej kwestii organ nie zajął dotąd wyczerpującego stanowiska), sama przydatność danych nie może determinować legalności przetwarzania. Przy ocenie, czy przetwarzanie danych Wnioskodawcy jest niezbędne do celów wynikających z prawnie uzasadnionych interesów (w myśl art. 6 ust. 1 lit. f RODO), należy mieć na uwadze, że - o ile przetwarzanie informacji o osobach, gdy kredytu nie udzielono, ma istotne znaczenie z perspektywy ograniczenia ryzyka kredytowego - działania to może dotyczyć nie tylko partykularnego interesu sektora bankowego lecz także publicznego - w kontekście ograniczenia kosztów kredytów, jako następstwa redukcji ryzyka – wyższej skuteczności narzędzi ostrożnościowych.
Jeżeli intencją Wnioskodawcy było jedynie zaprzestanie przetwarzania danych osobowych przez Bank i BIK w celu oceny jego dalszych wniosków kredytowych – w tym udostępnianie informacji o Zapytaniu podmiotom trzecim, w tym zakresie może koncentrować się dalsze postępowanie organu – wobec konkretnej skargi. Nie musi okazać się konieczna ocena wszelkich aspektów przetwarzania danych Wnioskodawcy przez Bank (czy BIK) – np. w celach archiwalnych (w tym ochrona przed roszczeniami, realizacji innych obowiązków), czy w celu tworzenie modeli ostrożnościowych (scoriningu).
Z przytoczonych wyżej przyczyn, na podstawie art. 145 § 1 pkt 1 lit. a i c ustawy z dnia 30 sierpnia 2002 r. - Prawo o postępowaniu przed sądami administracyjnymi (Dz.U. z 2023 r., poz. 1634 ze zm.), orzeczono jak w pkt 1 i 2 sentencji.
O zwrocie kosztów postępowania postanowiono:
- w pkt 3 § w myśl art. 200 w zw. z art. 205 § 2 powyższej ustawy oraz 14 ust. 1 pkt 1 lit. c rozporządzenia Ministra Sprawiedliwości z dnia 22 października 2015 r. w sprawie opłat za czynności adwokackie (Dz.U. z 2023 r. poz. 2631)
- w pkt 4 w myśl art. 200 w zw. z art. 205 § 2 powyższej ustawy oraz § 14 ust. 1 pkt 1 lit. c rozporządzenia Ministra Sprawiedliwości z dnia 22 października 2015 r. w sprawie opłat za czynności radców prawnych (Dz.U. z 2018 r., poz. 265).
Do kosztów zaliczono wynagrodzenie pełnomocnika w kwocie 480 zł, wpis sądowy od skargi - 200 zł oraz 17 zł tytułem opłaty skarbowej od pełnomocnictwa.
Rozpatrując ponownie sprawę organ administracji uwzględni ocenę prawną, sformułowaną w niniejszym uzasadnieniu.
-----------------------
19
Źródło: Centralna Baza Orzeczeń Sądów Administracyjnych (orzeczenia.nsa.gov.pl), pozyskano 13.07.2026. · Źródło