II SA/Wa 3224/21
WyrokWSA w Warszawie2022-03-03
Skład orzekający: Andrzej Góraj, Izabela Głowacka - Klimas, Andrzej Wieczorek
Analiza orzeczenia
Sekcja wygenerowana przez AI na podstawie treści orzeczenia — nie stanowi cytatu.
Zagadnienie prawne
Czy przetwarzanie danych osobowych dotyczących zobowiązania kredytowego, które zostało prawomocnie uznane za przedawnione, jest zgodne z RODO i Prawem bankowym, gdy dane te są udostępniane do Biura Informacji Kredytowej (BIK) w celu oceny zdolności kredytowej i analizy ryzyka kredytowego?Ratio decidendi
Sąd uznał, że przedawnienie zobowiązania nie oznacza jego wygaśnięcia, a jedynie przekształcenie w tzw. zobowiązanie naturalne (niezupełne), które nadal istnieje. Bank i BIK mają prawnie uzasadniony interes w przetwarzaniu tych danych w celu oceny zdolności kredytowej i analizy ryzyka, co jest zgodne z art. 6 ust. 1 lit. f RODO oraz art. 105a ust. 1 Prawa bankowego. Przedawnienie roszczenia nie wpływa na fakt istnienia zobowiązania ani na cel przetwarzania danych, jakim jest ocena ryzyka kredytowego.Stan faktyczny
Skarżący wniósł skargę na decyzję Prezesa Urzędu Ochrony Danych Osobowych (UODO), który odmówił uwzględnienia wniosku o usunięcie lub ograniczenie przetwarzania jego danych osobowych dotyczących zobowiązania kredytowego. Skarżący podniósł, że jego dane są przetwarzane przez Bank i udostępniane do BIK mimo prawomocnego wyroku stwierdzającego przedawnienie tego zobowiązania. Bank wyjaśnił, że przetwarza dane w związku z istniejącą wierzytelnością, a BIK przetwarza je w celu oceny zdolności kredytowej i analizy ryzyka na podstawie Prawa bankowego.Rozstrzygnięcie
Oddalono skargę.Pełny tekst orzeczenia
Wojewódzki Sąd Administracyjny w Warszawie w składzie następującym: Przewodniczący Sędzia WSA Andrzej Góraj, Sędzia WSA Izabela Głowacka - Klimas (spr.), Sędzia WSA Andrzej Wieczorek, Protokolant starszy referent Agnieszka Fidor po rozpoznaniu na rozprawie w dniu 3 marca 2022 r. sprawy ze skargi W. K. na decyzję Prezesa Urzędu Ochrony Danych Osobowych z dnia [...] lipca 2021 r. nr [...] w przedmiocie przetwarzania danych osobowych oddala skargę
Prezes Urzędu Ochrony Danych Osobowych (dalej: organ, Prezes UODO) decyzją z [...] lipca 2021 r. nr [...], na podstawie art. 104
§ 1 ustawy z dnia 14 czerwca 1960 r. Kodeks postępowania administracyjnego
(Dz.U. z 2021 r. poz. 735; dalej Kpa.) oraz art. 6 ust. 1 lit. a i lit. f rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r.
w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (Dz. Urz. UE L 119 z 4.05.2016, str. 1, Dz. Urz. UE L 127 z 23.05.2018, str. 2 oraz Dz. Urz. UE L 74 z 4.03.2021, str. 35), po przeprowadzeniu postępowania administracyjnego w sprawie skargi Pana W. K. (skarżący), zamieszkałego w T. przy ul. [...][...], na nieprawidłowości w procesie przetwarzania jego danych osobowych przez Bank Polska Kasa Opieki S.A.
z siedzibą w W. przy ul. [...] [...] (Bank), polegające
na przetwarzaniu danych osobowych skarżącego bez podstawy prawnej, w tym na udostępnieniu danych osobowych skarżącego na rzecz Biura Informacji Kredytowej S.A. z siedzibą w W. przy ul. [...] [...](Biuro), odmówił uwzględnienia wniosku.
Wydaniu powyższej decyzji towarzyszył następujący stan sprawy.
Do Prezesa UODO wpłynęła skarga skarżącego, reprezentowanego przez profesjonalnego pełnomocnika, na nieprawidłowości w procesie przetwarzania jego danych osobowych przez Bank, polegające na przetwarzaniu danych osobowych skarżącego bez podstawy prawnej, w tym na udostępnieniu danych osobowych skarżącego na rzecz Biura.
Skarżący w treści skargi wskazał, że pomimo prawomocnego wyroku Sądu Rejonowego w T. X Wydział [...] w przedmiocie uznania zobowiązania kredytowego za przedawnione (sygn. akt: X [...] z [...].09.2011 r.) jego dane osobowe wynikające z tego zobowiązania przetwarzane są przez Bank w systemie BIK. W związku z powyższym Skarżący wniósł o usunięcie jego danych osobowych dotyczących zobowiązania kredytowego z [...] lutego 2009 r. (rachunek
nr [...]) lub ograniczenie przetwarzania danych osobowych w zakresie w jakim obejmuje ono rozpowszechnianie ich i przesyłanie
w raportach BIK.
Bank pozyskał dane osobowe skarżącego w związku z zawarciem dnia
[...] marca 2005 r. umowy o Kredyt i Elektroniczną Kartę Płatniczą [...] nr [...](dowód: kopia umowy w załączeniu do wyjaśnień Banku z dnia [...] stycznia 2021 r.).
Jak wynika z wyjaśnień Banku z [...] lipca 2020 r., Bank przetwarza dane osobowe skarżącego w związku z niespłaconą przez niego wierzytelnością zaewidencjonowaną na rachunku o nr [...]. Rachunek ten jest zablokowany i ma status windykacyjny (data wprowadzenia blokady [...] stycznia 2019 r.). Bank w dniu [...] lipca 2019 r. przekazał dane osobowe skarżącego do bazy BIK odnośnie do zobowiązania zaewidencjonowanego na przedmiotowym rachunku w związku z niespłaconym istniejącym zobowiązaniem.
Bank przekazał dane do BIK na podstawie Umowy w sprawie gromadzenia, przetwarzania i udostępniania informacji w bazie SI BIK "Kredytobiorcy" wiążącej Bank z BIK (dowód: kopia umowy z dnia [...] września 2018 r. stanowiąca załącznik do wyjaśnień Banku z dnia [...] czerwca 2020 r.).
Jak podał Bank, pismem z [...] stycznia 2020 r. skarżący zwracał się do Banku o zaprzestanie przetwarzania jego danych osobowych w systemie BIK.
W odpowiedzi Bank poinformował skarżącego, że jego dane będą przetwarzane
w BIK między innymi do celów: oceny zdolności kredytowej i analizy ryzyka kredytowego, stosowania metod wewnętrznych oraz innych metod i modeli, o których mowa w art. 105a ust. 4 Prawa bankowego, statystycznych i analitycznych.
Bank wyjaśnił, że przetwarza dane osobowe skarżącego w związku
z istniejącą wierzytelnością, w oparciu o art. 6 ust. 1 lit. b rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (Dz. Urz. UE L 119 z 4.05.2016, str. 1, Dz. Urz. UE L 127 z 23.05.2018, str. 2 oraz Dz. Urz. UE L 74 z 4.03.2021, str. 35), zwanego dalej RODO.
Jak wynika z kolei z wyjaśnień BIK, obecnie BIK przetwarza dane osobowe skarżącego przekazane przez Bank w zakresie rachunku umowy karty kredytowej
z dnia [...] marca 2005 r. Rachunek ma status rachunku otwartego i przetwarzany jest w celu oceny zdolności kredytowej i analizy ryzyka kredytowego na podst. art. 105a ust. 1 w zw. z art. 105 ust. 4 ustawy z dnia 29 sierpnia 1997 r. Prawo bankowe
(t.j. Dz.U. z 2020 r. poz. 1896 ze zm.), zwanej dalej Prawem bankowym.
Po przeprowadzeniu postępowania administracyjnego w niniejszej sprawie, Prezes UODO wskazaną na wstępie decyzją z [...] lipca 2021 r. odmówił uwzględnienia wniosku skarżącego. W uzasadnieniu podał, że przepisem uprawniającym administratorów danych do przetwarzania zwykłych danych osób fizycznych jest art. 6 ust. 1 RODO, zgodnie z którym przetwarzanie danych jest dopuszczalne tylko wtedy, gdy spełniona jest jedna z przesłanek wskazanych w tym przepisie. Katalog przesłanek wymienionych w art. 6 ust. 1 RODO jest zamknięty. Każda z przesłanek legalizujących proces przetwarzania danych osobowych ma charakter autonomiczny i niezależny. Oznacza to, że przesłanki te co do zasady są równoprawne, a wobec tego spełnienie co najmniej jednej z nich stanowi o zgodnym z prawem przetwarzaniu danych osobowych. W konsekwencji zgoda osoby, której dane dotyczą nie jest jedyną podstawą przetwarzania danych osobowych, bowiem proces przetwarzania danych będzie zgodny z RODO również wówczas, gdy administrator danych wykaże spełnienie innej z wymienionych we wspomnianym przepisie przesłanek. Niezależnie od zgody osoby, której dane dotyczą (art. 6 ust. 1 lit. a RODO) przetwarzanie danych osobowych jest dopuszczalne między innymi wtedy, gdy jest niezbędne do celów wynikających z prawnie uzasadnionych interesów realizowanych przez administratora lub przez stronę trzecią, z wyjątkiem sytuacji, w których nadrzędny charakter wobec tych interesów mają interesy lub podstawowe prawa i wolności osoby, której dane dotyczą, wymagające ochrony danych osobowych, w szczególności gdy osoba, której dane dotyczą, jest dzieckiem (art. 6 ust. 1 lit. f RODO).
Prezes UODO wyjaśnił, że zgodnie z motywem 47 RODO podstawą prawną przetwarzania mogą być prawnie uzasadnione interesy administratora, w tym administratora, któremu mogą zostać ujawnione dane osobowe, lub strony trzeciej,
o ile w świetle rozsądnych oczekiwań osób, których dane dotyczą, opartych na ich powiązaniach z administratorem nadrzędne nie są interesy lub podstawowe prawa
i wolności osoby, której dane dotyczą. Taki prawnie uzasadniony interes może istnieć na przykład, gdy zachodzi istotny i odpowiedni rodzaj powiązania między osobą, której dane dotyczą, a administratorem, na przykład gdy osoba, której dane dotyczą, jest klientem administratora lub działa na jego rzecz. Organ uznał, że dochodzenie przez podmiot roszczeń finansowych jest prawnie uzasadnionym interesem i w tym sensie nadrzędnym nad prawami i wolnościami osoby, której dane dotyczą, gdyż dochodzenie roszczeń nie stanowi nieproporcjonalnego ograniczenia tych praw
i wolności.
Prezes UODO wskazał, że BIK jest instytucją utworzoną na podstawie art. 105 ust. 4 Prawa bankowego, który stanowi, że banki mogą, wspólnie z bankowymi izbami gospodarczymi, utworzyć instytucje upoważnione do gromadzenia, przetwarzania i udostępniania bankom informacji stanowiących tajemnicę bankową
w zakresie, w jakim informacje te są potrzebne w związku z wykonywaniem czynności bankowych oraz w związku ze stosowaniem metod wewnętrznych oraz innych metod i modeli, o których mowa w części trzeciej rozporządzenia Parlamentu Europejskiego i Rady (UE) nr 575/2013 z dnia 26 czerwca 2013 r. w sprawie wymogów ostrożnościowych dla instytucji kredytowych i firm inwestycyjnych, zmieniającego rozporządzenie (UE) nr 648/2012 (Dz. Urz. UEL 176 z27.06.2013, str. 1, z późn. zm.), zwanego dalej rozporządzeniem 575/2013, innym instytucjom ustawowo upoważnionym do udzielania kredytów informacji stanowiących tajemnicę bankową w zakresie, w jakim informacje te są niezbędne w związku z udzielaniem kredytów, pożyczek pieniężnych, gwarancji bankowych i poręczeń (pkt 2), instytucjom kredytowym informacji stanowiących tajemnicę bankową w zakresie niezbędnym do oceny zdolności kredytowej konsumenta, o której mowa w art. 9 ustawy z dnia 12 maja 2011 r. o kredycie konsumenckim (t.j. Dz. U. z 2019 r. poz. 1083 ze zm.), zwanej dalej ustawą o kredycie, (pkt 3), instytucjom pożyczkowym
i podmiotom, o których mowa w art. 59d ustawy o kredycie na zasadzie wzajemności, informacji stanowiących odpowiednio tajemnice bankową oraz informacje udostępnione przez instytucje pożyczkowe oraz podmioty, o których mowa w art. 59d ustawy o kredycie, w zakresie niezbędnym do oceny zdolności kredytowej konsumenta, o której mowa w art. 9 tej ustawy, i analizy ryzyka kredytowego (pkt 4). Zgodnie zaś z art. 105a ust. 1 Prawa bankowego, przetwarzanie przez banki, inne instytucje ustawowo upoważnione do udzielania kredytów, instytucje pożyczkowe oraz podmioty, o których mowa wart. 59d ustawy o kredycie, a także instytucje utworzone na podstawie art. 105 ust. 4, informacji stanowiących tajemnicę bankową
i informacji udostępnionych przez instytucje pożyczkowe oraz podmioty, o których mowa w art. 59d ustawy o kredycie, w zakresie dotyczącym osób fizycznych, może być wykonywane, z zastrzeżeniem art. 104, 105 i art. 106 - 106d Prawa bankowego w celu oceny zdolności kredytowej i analizy ryzyka kredytowego.
W tym miejscu organ wskazał, że brak jest uzasadnienia dla przyjęcia, iż terminy dotyczące przedawnienia roszczeń wynikających ze stosunków zobowiązaniowych określają jednocześnie ramy czasowe, w których dane osobowe mogą być przetwarzane przez Bank i BIK. Zdaniem organu koniecznym jest by podnieść, że przedawnienie roszczenia nie wywołuje skutków na gruncie ochrony danych osobowych, nie wpływa bowiem na fakt istnienia roszczenia, a powoduje jedynie zmianę w sferze zarzutów procesowych w postaci możliwości podniesienia okoliczności przedawnienia w sporze sądowym. Prezes UODO podkreślił, że okolicznością usprawiedliwiającą przetwarzanie danych osobowych w celu dochodzenia roszczeń jest sam fakt istnienia roszczenia oraz zamiar jego dochodzenia, nie jest nią natomiast zmiana w uprawnieniach procesowych podmiotu pozwanego.
Odnosząc się natomiast do kwestii przetwarzania danych osobowych
w systemie BIK, Prezes UODO wskazał, że do przetwarzania danych na podstawie art. 105a ust. 1 Prawa bankowego - zgoda osoby, której dane są przetwarzane, nie jest wymagana. Powołany przepis prawa nie ustanawia bowiem takiego wymogu.
O zgodzie na przetwarzanie danych stanowiących tajemnicę bankową przez instytucje wymienione w art. 105 ust. 4 ustawy, jest mowa dopiero w art. 105a ust. 2, tj. po wygaśnięciu zobowiązania wynikającego z umowy zawartej z bankiem lub inną instytucją ustawowo upoważnioną do udzielania kredytów. W związku z powyższym Bank przetwarza obecnie dane osobowe skarżącego w BIK na podstawie art. 105a ust. 1 Prawa bankowego, zaś przesłanką stanowiącą o legalności tego procesu jest art. 6 ust. 1 lit. f RODO. Organ podkreślił, że ustawodawca przewidując możliwość przetwarzania informacji, o których mowa w art. 105a ust. 1 Prawa bankowego dokonał wyważenia interesów BIK i osób fizycznych. Wobec powyższego proces ten nie może być postrzegany jako naruszający prawa i wolności osób fizycznych. Tym samym za bezpodstawny uznał zarzut skarżącego w zakresie braku legalności tego działania z punktu widzenia przepisów dotyczących ochrony danych osobowych.
Prezes UODO wyjaśnił, że ocena dokonywana przez organ w każdym przypadku służy zbadaniu zasadności skierowania pod adresem określonego podmiotu nakazu, odpowiadającego dyspozycji art. 58 ust. 2 RODO, służącego przywróceniu stanu zgodnego z prawem, w procesie przetwarzania danych - jest więc ona uzasadniona i potrzebna tylko o tyle, o ile nieprawidłowości w procesie przetwarzania danych osobowych istnieją. W ocenie Prezesa UODO nie ma podstaw do stwierdzenia, iż dane osobowe skarżącego są przetwarzane w sposób niezgodny z RODO, proces przetwarzania danych osobowych skarżącego znajduje bowiem uzasadnienie w art. 6 ust. 1 lit. f RODO.
W tym stanie sprawy Prezes UODO rozstrzygnął, jak w sentencji.
Skarżący, reprezentowany przez radcę prawnego, wywiódł skargę
do Wojewódzkiego Sądu Administracyjnego w Warszawie na decyzję Prezesa UODO z [...] lipca 2021 r. Wydanemu rozstrzygnięciu zarzucił:
1. naruszenie przepisów prawa materialnego w postaci art. 58 ust. 2 RODO, mające wpływ na wynik sprawy, polegające na jego niezastosowaniu i odmowie uwzględnienia wniosku skarżącego, obejmującego nakazanie administratorowi spełnienia żądania wynikającego z praw przysługujących mu na podstawie RODO, pomimo, że brak jest podstaw prawnych do dalszego przetwarzania danych osobowych skarżącego dotyczących zobowiązania kredytowego, skutkujące:
2. naruszeniem przepisów prawa materialnego w postaci art. 6 ust. 1 lit. f RODO, mające wpływ na wynik sprawy, polegające na jego niewłaściwym zastosowaniu
i stwierdzeniu, że przepis ten stanowi podstawę do ponownego przetwarzania danych osobowych skarżącego, pomimo, że nie istnieje jakikolwiek uzasadniony prawnie interes realizowany przez administratora, który miałby być nadrzędny
w stosunku do praw i wolności skarżącego.
Mając powyższe na uwadze skarżący wniósł o uchylenie, na podstawie
art. 145 § 1 ust. 1 pkt a p.p.s.a. w całości decyzji, zasądzenie, na podstawie art. 200 p.p.s.a. w zw. z art. 205 § 2 p.p.s.a., od organu na rzecz skarżącego kosztów postępowania według norm prawem przepisanych.
W uzasadnieniu skargi skarżący rozwinął powyższą argumentację.
Jak stwierdził skarżący, faktem, który ustalił organ w toku postępowania jest to, że dane osobowe skarżącego dotyczące zobowiązania kredytowego zostały przekazane do BIK dopiero w dniu [...] lipca 2019 r. Wynika więc z tego, że przed tą datą dane osobowe dotyczące zobowiązania kredytowego skarżącego nie były przetwarzane przez BIK. Na skutek bowiem wydania przez Sąd [...] w T. X Wydział [...] wyroku w dniu [...] września 2011 r., sygn. akt: X [...]
(w aktach sprawy) oddalającego powództwo Banku, Bank usunął dane osobowe skarżącego z bazy informacji przekazywanych do BIK.
Niewątpliwie więc, jak podał skarżący, nie miał on żadnych rozsądnych przesłanek by spodziewać się tego, że jego dane osobowe na nowo zaczną być przetwarzane i zostaną udostępnione w BIK. Wręcz przeciwnie - mając wiedzę
o prawomocnym oddaleniu powództwa i dobrowolnym usunięciu jego danych osobowych przez Bank na prawie 10 lat mógł i faktycznie był on przekonany, że dane te nie będą już przetwarzane. Przekonanie to w skarżącym wywołał sam Bank, który usunął dane, wzmacniający tym domniemanie o braku podstaw do ich dalszego przetwarzania.
W opinii skarżącego inaczej sytuacja mogłaby się kształtować wówczas, gdyby zobowiązanie kredytowe nie uległo jeszcze przedawnieniu i w tym czasie Bank przystąpiłby do (ponownego) przetwarzania danych osobowych skarżącego, które dotyczą tego zobowiązania. Jak podkreślił skarżący, z taką sytuacją jednak
w niniejszej sprawie nie mamy do czynienia. Bank przystąpił do ponownego przetwarzania danych osobowych skarżącego, dotyczących zobowiązania kredytowego, po kilkudziesięciu latach od daty jego przedawnienia i niemal takiego samego czasu od ich dobrowolnego usunięcia. Co za tym idzie - zgodnie z motywem 47 RODO - prawa i interesy skarżącego powinny być traktowane jako nadrzędne wobec interesu Banku, a ponowne przetwarzanie jego danych osobowych dotyczących zobowiązania kredytowego nie ma uzasadnienia w treści art. 6 ust. 1
lit. f RODO.
Zdaniem skarżącego niesłusznie organ nie uwzględnił również istoty przedawnienia w niniejszej sprawie oraz tego, że Bank nie ma już możliwości dochodzenia roszczeń finansowych odpowiadających zobowiązaniu kredytowemu. Możliwość dochodzenia roszczeń wobec skarżącego Bank już utracił i to wyłącznie na skutek swojej bierności. To on bowiem, jako wierzyciel – samodzielnie
i dobrowolnie – odstąpił od egzekwowania na drodze sądowej tego roszczenia
i uchybił terminom określonym przepisami prawa, czym doprowadził do jego przedawnienia. Bierność ta spowodowała natomiast powstanie po stronie skarżącego prawa do odmowy wykonania zobowiązania kredytowego, z którego może on skorzystać bez ponoszenia jakichkolwiek negatywnych konsekwencji. Mimo więc istnienia zobowiązania kredytowego, Bank nie dysponuje żadnym środkami prawnymi, przy użyciu których mógłby on zmusić skarżącego do zapłaty na jego rzecz jakiejkolwiek kwoty. Prawo skarżącego do powoływania się na zarzut przedawnienia, poparte prawomocnym wyrokiem Sądu [...] w T., okazuje się więc prawem nadrzędnym wobec prawa Banku do otrzymania świadczenia i wbrew temu, co stwierdził organ, przedawnienie roszczenia wywołuje skutki na gruncie ochrony danych osobowych. Stawia ono bowiem interes skarżącego (osoby, której dane dotyczą), który jest uzasadniony przepisami prawa regulującymi instytucję przedawnienia, ponad interes Banku (administratora), który przestaje być chroniony przepisami prawa, uchylając tym również legalność przetwarzania tych danych zgodnie z art. 6 ust. 1 lit. f RODO.
Ponadto skarżący zauważył, iż decyzja stanowi wyraz akceptacji ze strony organu dla działań podejmowanych przez Bank, prowadzących do nieograniczonej
w czasie stygmatyzacji skarżącego i wywieraniu presji windykacyjnej na nim. Nie mając możliwości dochodzenia roszczenia na drodze sądowej, Bank zastosował pozasądową metodę - przekazał do BIK informację dotyczącą zobowiązania kredytowego wiedząc, jakie będą tego skutki. Miał on pełną świadomość tego, że dane udostępnione w BIK okażą się podstawą dla niesłusznej oceny zdolności kredytowej skarżącego przez podmioty mające dostęp do tych danych. Pozbawione rzetelnej informacji o tym, że zobowiązanie kredytowe zostało prawomocnie uznane za przedawnione, podmioty te odmawiają skarżącemu udzielania kredytów bądź wyrażania zgody na sprzedaż ratalną. Traktują niesłusznie skarżącego na równi
z aktualnymi dłużnikami, którzy (niewykluczone, że nagminnie) nie spełniają (nierzadko ogromnych) świadczeń na rzecz swoich wierzycieli. Tymczasem skarżący, co wynika wprost z raportu BIK z dnia [...] października 2019 r., spłaca swoje zobowiązania regularnie.
Zdaniem skarżącego powyższe świadczy również o zasadności stwierdzenia, że Bank wręcz nadużył prawa przewidziane w ustawie z dnia 29 sierpnia 1997 r. Prawo bankowe. Organ całkowicie bowiem pominął, że w przywołanym przepisie
art. 105a ust. 1 tej ustawy przewidziano uprawnienie, a nie obowiązek, przetwarzania danych osobowych skarżącego. Z uprawnienia tego Bank może skorzystać, pod warunkiem, że będzie to zgodne z obowiązującymi przepisami prawa, w tym również przepisami RODO. Jeśli skorzystanie z uprawnienia natomiast okaże się sprzeczne
z tymi przepisami, Bank (administrator) musi odstąpić od wykonania tego uprawniania – na rzecz praw osoby, której dane dotyczą i obowiązków, które spoczywają na nim, jako administratorze.
W konkluzji skarżący stwierdził, że decyzja Prezesa UODO nie może się ostać w obrocie prawnym. W szczególności – wbrew ocenie organu – nie może być podstawą dla przetwarzania danych osobowych skarżącego przepis art. 6 ust. 1 lit. f RODO, albowiem Bank (administrator) nie dysponuje uzasadnionym prawnie interesem, który miałby być nadrzędny wobec interesów oraz praw i wolności skarżącego.
W odpowiedzi na skargę Prezes UODO wniósł o oddalenie skargi,
podtrzymując stanowisko zawarte w uzasadnieniu zaskarżonej decyzji.
Wojewódzki Sąd Administracyjny w Warszawie zważył, co następuje.
Zgodnie z art. 1 § 1 i 2 ustawy z dnia 25 lipca 2002 r. – Prawo o ustroju sądów administracyjnych (t.j. Dz.U. z 2021 r. poz. 137), sądy administracyjne sprawują wymiar sprawiedliwości przez kontrolę działalności administracji publicznej, przy czym kontrola ta sprawowana jest pod względem zgodności z prawem, jeżeli ustawy nie stanowią inaczej. Chodzi więc o kontrolę aktów lub czynności z zakresu administracji publicznej dokonywaną pod względem ich zgodności z prawem materialnym i przepisami procesowymi, nie zaś według kryteriów słuszności.
W myśl natomiast art. 134 ustawy z dnia 30 sierpnia 2002 r. – Prawo
o postępowaniu przed sądami administracyjnymi (t.j. Dz.U. z 2019 r. poz. 2325
ze zm.; dalej p.p.s.a.), Sąd rozstrzyga w granicach danej sprawy nie będąc jednak związany zarzutami i wnioskami skargi oraz powołaną podstawą prawną.
Skarga oceniana w świetle powyższych kryteriów nie zasługuje na uwzględnienie, gdyż zaskarżona decyzja Prezesa UODO z [...] lipca 2021 r. nie narusza prawa.
Skarżący w treści skargi skierowanej do organu wskazał, że pomimo prawomocnego wyroku Sądu [...] w T. X Wydział [...]
w przedmiocie uznania zobowiązania kredytowego za przedawnione (sygn. akt: X Cupr [...] r.) jego dane osobowe wynikające z tego zobowiązania przetwarzane są przez Bank w systemie BIK. W związku z powyższym skarżący wniósł o usunięcie jego danych osobowych dotyczących zobowiązania kredytowego z [...] lutego 2009 r. (rachunek nr [...]) lub ograniczenie przetwarzania danych osobowych w zakresie w jakim obejmuje ono rozpowszechnianie ich i przesyłanie w raportach BIK. Z kolei Bank wyjaśnił, że przetwarza dane osobowe skarżącego w związku z istniejącą wierzytelnością, w oparciu o art. 6 ust. 1 lit. b RODO. BIK natomiast podał, że obecnie przetwarza dane osobowe skarżącego przekazane przez Bank w zakresie rachunku umowy karty kredytowej z dnia [...] marca 2005 r., który to rachunek ma status rachunku otwartego i przetwarzany jest w celu oceny zdolności kredytowej i analizy ryzyka kredytowego na podstawie art. 105a ust. 1 w zw. z art. 105 ust. 4 Prawa bankowego.
Istota sporu w niniejszej sprawie sprowadza się zatem do rozstrzygnięcia, czy Bank oraz BIK uprawnieni są do przetwarzania danych osobowych skarżącego wynikających ze zobowiązania kredytowego z [...] lutego 2009 r., które prawomocnym wyrokiem Sądu [...] w T. X Wydział [...], sygn. akt X [...], zostało uznane za przedawnione.
W pierwszej kolejności należy wskazać, że przepisem uprawniającym administratorów danych do przetwarzania zwykłych danych osób fizycznych jest
art. 6 ust. 1 RODO, zgodnie z którym przetwarzanie danych jest dopuszczalne tylko wtedy, gdy spełniona jest jedna z przesłanek wskazanych w tym przepisie. Katalog przesłanek wymienionych w art. 6 ust. 1 RODO jest zamknięty. Każda z przesłanek legalizujących proces przetwarzania danych osobowych ma charakter autonomiczny i niezależny. Oznacza to, że przesłanki te co do zasady są równoprawne, a wobec tego spełnienie co najmniej jednej z nich stanowi o zgodnym z prawem przetwarzaniu danych osobowych. W konsekwencji zgoda osoby, której dane dotyczą nie jest jedyną podstawą przetwarzania danych osobowych, bowiem proces przetwarzania danych będzie zgodny z RODO również wówczas, gdy administrator danych wykaże spełnienie innej z wymienionych we wspomnianym przepisie przesłanek. Niezależnie od zgody osoby, której dane dotyczą (art. 6 ust. 1 lit. a RODO) przetwarzanie danych osobowych jest dopuszczalne między innymi wtedy, gdy jest niezbędne do celów wynikających z prawnie uzasadnionych interesów realizowanych przez administratora lub przez stronę trzecią, z wyjątkiem sytuacji,
w których nadrzędny charakter wobec tych interesów mają interesy lub podstawowe prawa i wolności osoby, której dane dotyczą, wymagające ochrony danych osobowych, w szczególności gdy osoba, której dane dotyczą, jest dzieckiem (art. 6 ust. 1 lit. f RODO).
Zgodnie z motywem 47 RODO podstawą prawną przetwarzania mogą być prawnie uzasadnione interesy administratora, w tym administratora, któremu mogą zostać ujawnione dane osobowe, lub strony trzeciej, o ile w świetle rozsądnych oczekiwań osób, których dane dotyczą, opartych na ich powiązaniach
z administratorem nadrzędne nie są interesy lub podstawowe prawa i wolności osoby, której dane dotyczą. Taki prawnie uzasadniony interes może istnieć
na przykład, gdy zachodzi istotny i odpowiedni rodzaj powiązania między osobą, której dane dotyczą, a administratorem, na przykład gdy osoba, której dane dotyczą, jest klientem administratora lub działa na jego rzecz. Dochodzenie przez podmiot roszczeń finansowych jest prawnie uzasadnionym interesem i w tym sensie nadrzędnym nad prawami i wolnościami osoby, której dane dotyczą, gdyż dochodzenie roszczeń nie stanowi nieproporcjonalnego ograniczenia tych praw
i wolności.
Zwrócić należy również uwagę na przepis art. 105a ust. 1 Prawa bankowego, zgodnie z którym przetwarzanie przez banki, inne instytucje ustawowo upoważnione do udzielania kredytów, instytucje pożyczkowe oraz podmioty, o których mowa
w art. 59d ustawy o kredycie, a także instytucje utworzone na podstawie art. 105
ust. 4, informacji stanowiących tajemnicę bankową i informacji udostępnionych przez instytucje pożyczkowe oraz podmioty, o których mowa w art. 59d ustawy o kredycie, w zakresie dotyczącym osób fizycznych może być wykonywane, z zastrzeżeniem
art. 104, 105 i art. 106 - 106d Prawa bankowego w celu oceny zdolności kredytowej
i analizy ryzyka kredytowego.
Skarżący wskazał, że na skutek prawomocnego wyroku (sygn. akt X [...]), oddalającego powództwo Banku, Bank usunął dane osobowe skarżącego
z bazy informacji przekazywanych do BIK. Skarżący uznał w związku z tym, że nie miał podstaw spodziewać się jakoby jego dane osobowe zaczęły być na nowo przetwarzane i udostępnione w BIK.
Zdaniem Sądu okoliczność, że Bank usunął dane skarżącego, a następnie ponownie je zamieścił nie ma jakiegokolwiek znaczenia dla legalności przetwarzania danych przez Bank w sposób określony w art. 105a ust. 1 Prawa bankowego.
Zgodnie z art. 4 pkt 2 RODO "przetwarzanie" oznacza operację lub zestaw operacji wykonywanych na danych osobowych lub zestawach danych osobowych
w sposób zautomatyzowany lub niezautomatyzowany, taką jak zbieranie, utrwalanie, organizowanie, porządkowanie, przechowywanie, adaptowanie lub modyfikowanie, pobieranie, przeglądanie, wykorzystywanie, ujawnianie poprzez przesianie, rozpowszechnianie lub innego rodzaju udostępnianie, dopasowywanie lub łączenie, ograniczanie, usuwanie lub niszczenie. Należy zaznaczyć, że przepis art. 105a ust. 1 Prawa bankowego nie ogranicza w żaden sposób możliwości usuwania, czy ponownego udostępniania danych, o ile spełnione są warunki określone w tym przepisie. Usunięcie danych przez Bank, a także ich ponowne udostępnienie, stanowiło procesy przetwarzania danych skarżącego. Sąd nie podziela poglądu, że usunięcie danych mogło wywołać domniemanie o braku podstaw do ich przetwarzania. Podstawy takie były, bowiem choć wierzytelność przysługująca Bankowi się przedawniła, ale nie wygasła. Bank w świetle art. 105a ust. 1 miał więc podstawy do przetwarzania danych osobowych skarżącego, który będąc dłużnikiem powinien był liczyć się z przetwarzaniem jego danych w sytuacji, gdy wierzytelność
w stosunku do Banku nie wygasła.
Sąd wyjaśnia, że samo przedawnienie zobowiązania nie oznacza wygaśnięcia zobowiązania. Fakt, że przedawnia się okres dochodzenia należności, nie znaczy, że należność ta nie istnieje, roszczenie przeradza się w tzw. roszczenie niezupełne (naturalne), którego istotą jest niemożność jego przymusowej realizacji.
W świetle polskiej nauki prawa zobowiązaniem naturalnym (niezupełnym) jest taki prawny stosunek zobowiązaniowy, w którym wierzyciel nie ma prawnej możliwości skutecznego wymuszenia na dłużniku realizacji jego obowiązku – zarówno przed sądem, a następnie w drodze postępowania egzekucyjnego, jak i przy wykorzystaniu pozasądowych środków przymusu (np. potrącenie, prawo zatrzymania). Tym samym kryteriami definicyjnymi zobowiązania niezupełnego, stanowiącymi jego cechy konstytutywne, są: i) niezaskarżalność, rozumiana jako brak możliwości wykorzystania wszelkiego przymusu (tzw. niewymuszalność) oraz ii) istnienie między stronami stosunku zobowiązaniowego w rozumieniu art. 353 § 1 Kodeksu cywilnego (Kc.). Jedną z cech zobowiązania naturalnego w ujęciu prawa polskiego stanowi to, że jest ono źródłem stosunku zobowiązaniowego między stronami.
Analiza przepisów pozwala na zidentyfikowanie następujących przypadków zobowiązań (roszczeń) naturalnych, odpowiadających sformułowanej wyżej definicji,
i tak, dla przykładu, zobowiązania z tzw. niekwalifikowanych gier lub zakładów
(art. 413 § 2 Kc.), roszczenia przedawnione przysługujące przeciwko konsumentom (art. 117 § 21 Kc.), czy inne roszczenia przedawnione, w stosunku do których skutecznie podniesiono zarzut przedawnienia (art. 117 § 2 Kc.).
Wojewódzki Sąd Administracyjny w Warszawie w wyroku z dnia 3 lutego
2009 r., sygn. akt II SA/Wa 1430/08, wskazał (cyt.): "Przedstawiona argumentacja zasadnie nie została podzielona przez Generalnego Inspektora Ochrony Danych Osobowych. Organ, wskazując na treść art. 117 Kodeksu cywilnego, prawidłowo przyjął, iż roszczenie Banku wobec skarżącej, choć przedawnione, nie wygasło, tylko zamieniło się w tzw. roszczenie niezupełne (naturalne), którego istotą jest niemożność jego przymusowej realizacji. Jakkolwiek mocą rozstrzygnięcia sądowego, Bank został pozbawiony możliwości przymusowego egzekwowania roszczenia wobec skarżącej, niemniej nie ma ono wpływu na istnienie zobowiązania łączącego Bank i skarżącą."
Podkreślenia wymaga, że przedawnienie roszczenia nie wywołuje skutków
na gruncie ochrony danych osobowych, nie wpływa bowiem na fakt istnienia roszczenia, a powoduje jedynie zmianę w sferze zarzutów procesowych w postaci możliwości podniesienia faktu przedawnienia w sporze sądowym. W ocenie Sądu okolicznością usprawiedliwiającą przetwarzanie danych osobowych w celu oceny zdolności kredytowej i analizy ryzyka kredytowego jest sam fakt istnienia roszczenia, nie jest nią natomiast zmiana w uprawnieniach procesowych podmiotu pozwanego. Jak już wskazano powyżej, przedawnienie roszczenia nie oznacza, że przestaje ono istnieć, zatem nie oznacza także, że przestał istnieć cel przetwarzania jakim jest ocena zdolności kredytowej i analiza ryzyka w przypadku istniejącej wierzytelności.
Zasadą jest, że zaciągane zobowiązania należy spłacać. I chociaż
w przypadku przedawnienia roszczenia wierzyciel nie może dochodzić roszczenia
na drodze sądowej, to dłużnik musi liczyć się z negatywnymi konsekwencjami, wynikającymi z niespłacenia wierzytelności. Informacja, że skarżący nie wywiązał się ze zobowiązań wobec Banku jest ponadto o tyle istotna z punktu widzenia oceny jego zdolności kredytowej oraz ryzyka, z jakim wiąże się udzielenie mu kredytu. Wyjaśnić należy, że BIK jest instytucją utworzoną na podstawie art. 105 ust. 4 Prawa bankowego, który stanowi, że banki mogą, wspólnie z bankowymi izbami gospodarczymi, utworzyć instytucje upoważnione do gromadzenia, przetwarzania
i udostępniania bankom informacji stanowiących tajemnicę bankową w zakresie,
w jakim informacje te są potrzebne w związku z wykonywaniem czynności bankowych oraz w związku ze stosowaniem metod wewnętrznych oraz innych metod i modeli, o których mowa w części trzeciej rozporządzenia Parlamentu Europejskiego i Rady (UE) nr 575/2013 z dnia 26 czerwca 2013 r. w sprawie wymogów ostrożnościowych dla instytucji kredytowych i firm inwestycyjnych, zmieniającego rozporządzenie (UE) nr 648/2012 (Dz. Urz. UE L 176 z 27.06.2013, str. z późn. zm.4), innym instytucjom ustawowo upoważnionym do udzielania kredytów informacji stanowiących tajemnicę bankową w zakresie, w jakim informacje te są niezbędne
w związku z udzielaniem kredytów, pożyczek pieniężnych, gwarancji bankowych
i poręczeń (pkt 2), instytucjom kredytowym informacji stanowiących tajemnicę bankową w zakresie niezbędnym do oceny zdolności kredytowej konsumenta,
o której mowa w art. 9 ustawy z dnia 12 maja 2011 r. o kredycie konsumenckim
(t.j. Dz.U. z 2019 r. poz. 1083 ze zm.; ustawa o kredycie), (pkt 3), instytucjom pożyczkowym i podmiotom, o których mowa w art. 59d ustawy o kredycie na zasadzie wzajemności, informacji stanowiących odpowiednio tajemnice bankową oraz informacje udostępnione przez instytucje pożyczkowe oraz podmioty, o których mowa w art. 59d ustawy o kredycie, w zakresie niezbędnym do oceny zdolności kredytowej konsumenta, o której mowa w art. 9 tej ustawy, i analizy ryzyka kredytowego (pkt 4).
W konkluzji stwierdzić należy, że przedawnienie roszczeń nie wpływa
na ważność umowy – zobowiązania łączącego Bank ze skarżącym, a w związku
z tym rozstrzygnięcie Prezesa UODO odmawiające uwzględnienia wniosku
w zakresie nieprawidłowości w procesie przetwarzania danych osobowych skarżącego uznać należy za prawidłowe i zwiększające bezpieczeństwo obrotu gospodarczego.
Odnosząc się natomiast do kwestii przetwarzania danych osobowych
w systemie BIK wskazania wymaga, że do przetwarzania danych na podstawie
art. 105a ust. 1 Prawa bankowego - zgoda osoby, której dane są przetwarzane,
nie jest wymagana. Powołany przepis prawa nie ustanawia bowiem takiego wymogu. O zgodzie na przetwarzanie danych stanowiących tajemnicę bankową przez instytucje wymienione w art. 105 ust. 4 ustawy, jest mowa dopiero w art. 105a ust. 2, tj. po wygaśnięciu zobowiązania wynikającego z umowy zawartej z bankiem lub inną instytucją ustawowo upoważnioną do udzielania kredytów. W związku z powyższym Bank przetwarza obecnie dane osobowe skarżącego w BIK na podstawie art. 105a ust. 1 Prawa bankowego, zaś przesłanką stanowiącą o legalności tego procesu jest art. 6 ust. 1 lit. f RODO.
Podkreślić należy, że ustawodawca przewidując możliwość przetwarzania informacji, o których mowa w art. 105a ust. 1 Prawa bankowego dokonał wyważenia interesów BIK i osób fizycznych. Ponadto, wbrew twierdzeniom skarżącego Prezes UODO w żaden sposób nie pominął, że z art. 105a ust. 1 Prawa bankowego wynika uprawnienie, nie zaś obowiązek, gdyż wyraźnie wskazał, że przesłanką legalizującą przetwarzanie danych skarżącego w przedmiotowej sprawie była ta wynikająca
z art. 6 ust. 1 lit. f RODO. Natomiast przetwarzanie w celu wykonania obowiązku nałożonego przez przepisy prawa legalizuje zupełnie inna przesłanka określona
w art. 6 ust. 1 lit. c RODO.
Przesłanka legalizująca przetwarzanie danych osobowych zawarta w przepisie art. 6 ust. 1 lit. f RODO przyjmuje charakter swoistej klauzuli generalnej, która zwiększa elastyczność katalogu zawartego w art. 6 ust. 1. Umożliwi to dopuszczenie przetwarzania danych osobowych w przypadkach, które pojawią się dopiero
w przyszłości, wraz z postępem technologicznym oraz rozwojem różnych modeli biznesowych. W kształtowaniu zakresu sytuacji objętych przepisem art. 6 ust. 1 lit. f główną rolę odegra orzecznictwo organu nadzorczego w rozumieniu art. 51 ust. 1, oraz sądów, które będą właściwe do sprawowania kontroli nad decyzjami wydawanym przez ten organ. (vide RODO Ogólne Rozporządzenie o Ochronie Danych Komentarz, red. Naukowa E. Bielak-Jomaa, D. Lubasz, Wolters Kluwer, Warszawa 2018, str. 389, 390).
W oparciu o zebrany w niniejszej sprawie materiał dowodowy nie można uznać, że w tym przypadku prawa i interesy skarżącego powinny być traktowane jako nadrzędne nad uzasadnionym interesem prawnym Banku. Sam skarżący zauważył, że zobowiązanie naturalne istnieje, choć nie może być dochodzone na drodze sądowej. Podlegające ocenie w niniejszym postępowaniu przetwarzanie danych skarżącego nie polegało na ich wykorzystaniu do dochodzenia roszczenia na drodze sądowej. Zauważyć należy, że przepis art. 105a ust. 1 nie zawęża prawa Banku
do przetwarzania danych osobowych w celu oceny zdolności kredytowej i analizy ryzyka kredytowego tylko w przypadku, gdy istniejąca wierzytelność nie jest przedawniona, dotyczy zatem każdej istniejącej wierzytelności, także tej, która przekształciła się w zobowiązanie naturalne. Przez kolejne przepisy Prawa bankowego regulowana jest natomiast możliwość przetwarzania danych osobowych po wygaśnięciu roszczenia.
Wobec powyższego proces przetwarzania danych opisany w części historycznej niniejszego uzasadnienia nie może być postrzegany jako naruszający prawa i wolności osób fizycznych. Tym samym za bezpodstawny uznać należy zarzut skarżącego braku legalności tego działania z punktu widzenia przepisów dotyczących ochrony danych osobowych, w tym przepisu art. 6 ust. 1 lit. f RODO.
Mając powyższe na uwadze, Sąd działając na podstawie art. 151 p.p.s.a, orzekł o oddaleniu skargi.
-----------------------
7
Źródło: Centralna Baza Orzeczeń Sądów Administracyjnych (orzeczenia.nsa.gov.pl), pozyskano 13.07.2026. · Źródło