II SA/Wa 891/25
WyrokWSA w Warszawie2025-12-01
Skład orzekający: Izabela Głowacka-Klimas, Sławomir Antoniuk, Arkadiusz Koziarski
Analiza orzeczenia
Sekcja wygenerowana przez AI na podstawie treści orzeczenia — nie stanowi cytatu.
Zagadnienie prawne
Czy bank może przetwarzać dane osobowe osoby fizycznej uzyskane w związku z zapytaniem kredytowym, które nie zakończyło się zawarciem umowy, w celach innych niż pierwotnie zebrane, w szczególności w celu analizy ryzyka kredytowego lub stosowania modeli statystycznych, po tym jak osoba ta zażądała usunięcia swoich danych?Ratio decidendi
Przetwarzanie danych osobowych uzyskanych w związku z zapytaniem kredytowym, które nie zakończyło się zawarciem umowy, w celach innych niż pierwotnie zebrane (ocena zdolności kredytowej i analiza ryzyka kredytowego) jest niezgodne z prawem, jeśli nie istnieje wyraźna podstawa prawna do takiego dalszego przetwarzania. Po zrealizowaniu pierwotnego celu przetwarzania danych i braku zawarcia umowy, dalsze przetwarzanie danych osobowych bez zgody osoby, której dane dotyczą, lub innej podstawy prawnej, narusza przepisy RODO i Prawa bankowego.Stan faktyczny
Sprawa dotyczyła skargi Banku na decyzję Prezesa Urzędu Ochrony Danych Osobowych (PUODO), który nakazał Bankowi i Biuru Informacji Kredytowej (BIK) usunięcie danych osobowych skarżącego, uzyskanych w związku z zapytaniem kredytowym, które nie zakończyło się zawarciem umowy. Bank argumentował, że dalsze przetwarzanie danych jest uzasadnione różnymi przepisami prawa bankowego, RODO, CRR oraz rekomendacjami KNF, w tym w celu analizy ryzyka kredytowego i stosowania modeli statystycznych. PUODO uznał, że po zrealizowaniu celu oceny zdolności kredytowej i braku zawarcia umowy, brak jest podstawy prawnej do dalszego przetwarzania danych.Rozstrzygnięcie
Oddalono skargę Banku na decyzję Prezesa Urzędu Ochrony Danych Osobowych.Pełny tekst orzeczenia
Wojewódzki Sąd Administracyjny w Warszawie w składzie następującym: Przewodniczący Sędzia WSA Izabela Głowacka-Klimas, Sędzia WSA Sławomir Antoniuk, Sędzia WSA Arkadiusz Koziarski (spr.), , Protokolant starszy referent Edyta Brzezicka, , po rozpoznaniu na rozprawie w dniu 1 grudnia 2025 r. sprawy ze skargi [...] S. A. z siedzibą w [...] na punkt 1. decyzji Prezesa Urzędu Ochrony Danych Osobowych z dnia [...] marca 2025 r. nr [...] w przedmiocie przetwarzania danych osobowych oddala skargę
Prezes Urzędu Ochrony Danych Osobowych, dalej "PUODO", decyzją z dnia [...] marca 2025 r. nr [...], wydaną na podstawie art. 104 § 1 ustawy
z dnia 14 czerwca 1960 r. Kodeks postępowania administracyjnego (Dz. U. z 2024 r., poz. 572), dalej "k.p.a.", w zw. z art. 7 ust. 1 i 2 ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych (Dz. U. z 2019 r. poz. 1781) oraz art. 6 ust. 1 oraz art. 58 ust. 2 lit. c rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia
2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (Dz. Urz. UE L 119 z 4.05.2016, str. 1, Dz. Urz. UE L 127 z 23.05.2018, str. 2 oraz Dz. Urz. UE L 74 z 4.03.2021, str. 35), dalej RODO, po przeprowadzeniu postępowania administracyjnego w sprawie skargi A. S. dalej "skarżący" lub "uczestnik postępowania", na nieprawidłowości w procesie przetwarzania jego danych osobowych przez [...] S.A. z siedzibą w [...], dalej "Bank", polegające na przetwarzaniu jego danych osobowych w zakresie wynikającym
z zapytania kredytowego z dnia [...] maja 2023 r., które nie zakończyło się zawarciem umowy kredytowej, w tym w Biurze Informacji Kredytowej S.A. z siedzibą w [...], dalej "BIK":
1. nakazał Bankowi, usunięcie danych osobowych skarżącego, w zakresie wynikającym z zapytania kredytowego z dnia [...] maja 2023 r. niezakończonego zawarciem umowy kredytowej;
2. nakazał BIK, usunięcie danych osobowych skarżącego, w zakresie wynikającym z zapytania kredytowego z dnia [...] maja 2023 r. niezakończonego zawarciem umowy kredytowej, przekazanych przez Bank.
W uzasadnieniu organ wyjaśnił, że do Urzędu wpłynęła skarga skarżącego, na nieprawidłowości w procesie przetwarzania jego danych osobowych Bank, polegające na przetwarzaniu danych osobowych w zakresie zapytania kredytowego z dnia [...] maja 2023 r., niezakończonego udzieleniem kredytu, bez podstawy prawnej, w tym w BIK.
PUODO wskazał, że ustalił następujący stan faktyczny:
1. W treści skargi inicjującej niniejsze postępowanie skarżący wskazał, że Bank oraz BIK przetwarzają jego dane osobowe bez podstawy prawnej w zakresie zapytania kredytowego z dnia [...] maja 2023 r., mimo że nie posiada zobowiązań z tytułu oferowanych usług kredytowych Banku. Skarżący załączył również pismo otrzymane
z Banku, w którym został poinformowany o powodach braku możliwości usunięcia danych osobowych skarżącego przez Bank i BIK. W związku z powyższym skarżący wniósł
o usunięcie jego danych osobowych w zakresie ww. zapytania;
2. Bank wyjaśnił, że pozyskał dane osobowe skarżącego w związku
z symulacją wniosku o udzielenie kredytu z dnia [...] maja 2023 r., który nie zakończył się zawarciem umowy o kredyt, w zakresie: dane identyfikacyjne (imię, nazwisko, numer PESEL, rodzaj, seria, numer, data ważności i data wydania dokumentu tożsamości), dane kontaktowe (adres zamieszkania, informacja o typie lokalu i rodzaju własności) oraz dane dotyczące sytuacji rodzinnej i finansowej (stan cywilny, liczba dzieci, wykształcenie, informacje o źródle i wysokości dochodów). W złożonych wyjaśnieniach Bank wskazał, że podstawą prawną przetwarzania danych osobowych skarżącego w celach zawarcia
i wykonania umowy produktowej, określenia ryzyka kredytowego i zdolności do spłaty zadłużenia oraz oszacowania możliwości zaoferowania skarżącemu produktów bankowych na określonych warunkach był art. 6 ust. 1 lit. b) RODO;
3. Bank wyjaśnił również, że dane osobowe skarżącego pozyskane przez Bank w ramach wniosku kredytowego z dnia [...] maja 2023 r. są aktualnie przetwarzane przez Bank na podstawie art. 6 ust. 1 lit. c) RODO w związku z koniecznością spełnienia przez Bank wymogów:
a. art. 70 ust. 1 ustawy z 29 sierpnia 1997 r. Prawo bankowe (Dz. U. z
2024 r., poz. 1646), w związku z którym Bank uzależnia przyznanie kredytu od zdolności kredytowej kredytobiorcy, a kredytobiorca jest obowiązany przedłożyć na żądanie banku dokumenty i informacje niezbędne do dokonania oceny tej zdolności przez okres 2 lat od daty wniosku kredytowego z dnia [...] maja 2023 r.,
b. w zakresie stosowania modeli wewnętrznych oraz innych metod i modeli,
o których mowa w części trzeciej RODO w zw. z art. 105 ust. 4 pkt 1) Prawa bankowego oraz art. 105a ust. 4 Prawa bankowego, tj. m.in. wymogów kapitałowych określonych
w Tytule II ww. rozporządzenia ("Wymogi kapitałowe z tytułu ryzyka kredytowego" - art. 107 i nast. ww. rozporządzenia) przez okres 2 lat od daty wniosku kredytowego z dnia [...] maja 2023 r.,
c. w związku z wymogami określonymi przez Komisję Nadzoru Finansowego w Rekomendacji T dotyczącej dobrych praktyk w zakresie zarządzania ryzykiem detalicznych ekspozycji kredytowych z lutego 2013 r. przez okres 2 lat od daty wniosku kredytowego z dnia [...] maja 2023 r.,
d. oceny ryzyka kredytowego, w tym oceny globalnego ryzyka kredytowego, m.in. na podstawie art. 105a ust. 1-1c i 105a ust. 4 Prawa bankowego w zw. powołanymi powyżej przepisami RODO, a także w związku z wymogami określonymi przez Komisję Nadzoru Finansowego w Rekomendacji T przez okres 2 lat od daty wniosku kredytowego z dnia [...] maja 2023 r.,
e. koniecznością zapewnienia PUODO dostępu do informacji niezbędnych do przeprowadzenia postępowania w niniejszej sprawie, w związku z art. 58 ust. 1 lit. e) RODO do prawomocnego zakończenia postępowania prowadzonego przed PUODO
w niniejszej sprawie,
f. zabezpieczenia udziału Banku w ewentualnych postępowaniach sądowo- administracyjnych prowadzonych w następstwie decyzji wydanej przez PUODO
w przedmiotowym postępowaniu, na podstawie art. 7 ust. 2 ustawy z 10 maja 2018 r.
o ochronie danych osobowych w związku z art. 3 § 2 pkt 1) ustawy z 30 sierpnia 2002 r. Prawo o postępowaniu przed sądami administracyjnymi (Dz. U. z 2024 r., poz. 935), dalej "p.p.s.a.", w związku z art. 13 § 2 p.p.s.a, w zw. z art. 53 § 1 p.p.s.a., w zw. z art. 54 § 1 p.p.s.a. do prawomocnego zakończenia postępowania prowadzonego przed PUODO
w niniejszej sprawie;
4. W zakresie zapytania kredytowego z dnia [...] maja 2023 r. Bank działając
w oparciu o art. 5 ust. 1 pkt. 3 w zw. z art. 70 ust. 1 w zw. z art. 105 ust. 4 w zw. z art. 105 ust. 1 pkt. 1c) Prawa bankowego oraz art. 9 ust. 2 i 4 ustawy z dnia 12 maja 2011 r. o kredycie konsumenckim (Dz. U. z 2024 r., poz. 1497 r.), dalej "u.k.k." oraz umowę Banku z BIK udostępnił do bazy BIK w dniu [...] maja 2023 r. dane osobowe skarżącego w zakresie: dane identyfikacyjne (numer PESEL, imię, nazwisko, dane dotyczące dokumentu tożsamości (rodzaj, seria i numer), data urodzenia, obywatelstwo, płeć), dane adresowe (kod kraju zamieszkania, kod pocztowy, miejscowość, ulica, numer domu) oraz dane socjodemograficzne (m.in. powód złożenia zapytania, liczba wnioskodawców, waluta wniosku, relacja skarżącego do wniosku, typ transakcji, kwota kredytu);
5. Bank wskazał, że prowadził ze skarżącym korespondencję w sprawie żądania usunięcia danych osobowych z BIK. Korespondencja ta była realizowana za pośrednictwem poczty elektronicznej między 2 maja 2024 r. a 6 maja 2024 r. Bank
w kierowanych do skarżącego wiadomościach informował o powodach braku możliwości usunięcia zapytania kredytowego z dnia [...] maja 2023 r.;
Dalej organ przytoczył wyjaśnienia BIK złożone w toku postępowania.
Następnie organ wskazał, że BIK jest instytucją utworzoną na podstawie art. 105 ust. 4 ustawy Prawo bankowe. Organ przytoczył treść art. 105 ust. 4 pkt 1-4 Prawa bankowego.
PUODO wyjaśnił, że zgodnie z art. 105a ust. 1 Prawa bankowego, przetwarzanie przez banki, inne instytucje ustawowo upoważnione do udzielania kredytów, instytucje pożyczkowe oraz podmioty, o których mowa w art. 59d u.k.k., a także instytucje utworzone na podstawie art. 105 ust. 4, informacji stanowiących tajemnicę bankową
i informacji udostępnionych przez instytucje pożyczkowe oraz podmioty, o których mowa w art. 59d u.k.k., w zakresie dotyczącym osób fizycznych może być wykonywane, z zastrzeżeniem art. 104, 105 i art. 106- 106d Prawa bankowego w celu oceny zdolności kredytowej i analizy ryzyka kredytowego. Zgodnie zaś z art. 105a ust. Prawa bankowego Banki oraz instytucje, o których mowa w art. 105 ust. 4, mogą przetwarzać stanowiące tajemnicę bankową informacje dotyczące osoby fizycznej po wygaśnięciu zobowiązania wynikającego z umowy zawartej z bankiem lub inną instytucją ustawowo upoważnioną do udzielania kredytów bez zgody osoby, której informacje dotyczą, do celów stosowania metod wewnętrznych oraz innych metod i modeli, o których mowa w części trzeciej rozporządzenia nr 575/2013. Stosownie zaś do art. 105a ust. 5 Prawa bankowego przetwarzanie informacji stanowiących tajemnicę bankową w przypadkach, o których mowa w ust. 3, może być wykonywane przez okres nie dłuższy niż 5 lat od dnia wygaśnięcia zobowiązania, a w przypadku, o którym mowa w ust. 4, przez okres 12 lat od dnia wygaśnięcia zobowiązania.
PUODO podał, że zgodnie z art. 70 ust. 1 Prawa bankowego, bank uzależnia przyznanie kredytu od zdolności kredytowej kredytobiorcy. Przez zdolność kredytową rozumie się zdolność do spłaty zaciągniętego kredytu wraz z odsetkami w terminach określonych w umowie.
Organ wskazał, że w dniu [...] maja 2023 r. skarżący wystąpił do Banku z wnioskiem o udzielenie kredytu, w wyniku czego Bank skierował do BIK zapytanie kredytowe.
W powyższych okolicznościach Bank oraz BIK, na podstawie art. 105a ust. 1 Prawa bankowego w zw. z art. 70 ust. 1 tej ustawy, były uprawnione do przetwarzania danych osobowych skarżącego w celu oceny zdolności kredytowej. Organ podkreślił, że ostatecznie nie doszło do zawarcia żadnej umowy kredytu pomiędzy skarżącym
a Bankiem. W ocenie PUODO w związku z powyższym odpadła przesłanka legalizująca dalsze przetwarzanie danych osobowych skarżącego przez Bank oraz BIK. Przesłanki zawarte w art. 105a Prawa bankowego dotyczą bowiem przetwarzania informacji objętych tajemnicą bankową w okresie przed powstaniem zobowiązania, w trakcie jego trwania oraz po wygaśnięciu zobowiązania. Pomiędzy Bankiem a skarżącym nie doszło do nawiązania żadnego stosunku zobowiązaniowego, który stosownie do art. 105a ust. 1-6 Prawa bankowego dawałby podstawę do dalszego przetwarzania danych osobowych skarżącego. PUODO podkreślił, że celem przetwarzania danych osobowych skarżącego była ocena zdolności kredytowej i analizy ryzyka kredytowego. W związku z dokonaniem przez Bank oceny zdolności kredytowej i analizy ryzyka kredytowego ww. cel przetwarzania danych osobowych skarżącego został zrealizowany i brak jest podstaw prawnych do kontynuowania tego procesu.
Zdaniem PUODO za podstawę przetwarzania danych osobowych skarżącego, nie mogą być również uznane wskazane przez Bank oraz BIK cele statystyczne i analizy,
w tym cel stosowania metod wewnętrznych oraz innych metod i modeli. Organ podkreślił, że powołany przez BIK oraz Bank art. 105a ust. 4 Prawa bankowego daje podstawy do przetwarzania informacji dotyczących osoby fizycznej stanowiących tajemnicę bankową po wygaśnięciu zobowiązania wynikającego z umowy zawartej z bankiem lub inną instytucją ustawowo upoważnioną do udzielania kredytów bez zgody osoby, której te informacje dotyczą. W przedmiotowej sprawie nie doszło zaś do zawarcia umowy kredytu pomiędzy skarżącym a Bankiem, a zatem nie powstał żaden stosunek zobowiązaniowy, o którym mowa w powyższym przepisie. Także powołane przepisy CRR nie wykazują konkretnej przesłanki uprawniającej BIK do wykorzystania danych w zakresie zapytań kredytowych niezakończonych zawarciem umowy do indywidualnej oceny zdolności kredytowej, ani tym bardziej do wykorzystania tego rodzaju danych osobowych do modeli scoringowych.
W odniesieniu do wskazanego przez BIK celu realizacji wymogów ostrożnościowych, tj. oceny ogólnej ekspozycji oraz ryzyka ekspozycji wynikających
z CRR, PUODO wskazał, że z przepisów tych nie wynika uprawnienie do przetwarzania danych osobowych w zakresie zapytań kredytowych niezakończonych zawarciem umowy. Artykuł 144 ust. 1 lit. d stanowi, że (cyt.): "Właściwy organ wydaje zezwolenie na mocy art. 143 na stosowanie przez instytucję metody IRB, w tym na stosowanie własnych oszacowań LGD i współczynników konwersji, wyłącznie wtedy, gdy właściwy organ stwierdzi, że wymogi przewidziane w niniejszym rozdziale są spełnione, w szczególności wymogi przewidziane w sekcji 6, oraz że posiadane przez instytucję systemy w zakresie zarządzania oraz oceny ekspozycji na ryzyko kredytowe są należyte i zostały spójnie wdrożone, w szczególności gdy instytucja wykazała w sposób zadowalający właściwym organom spełnienie następujących norm: (...) d) instytucja gromadzi i przechowuje wszystkie odpowiednie dane, aby zapewnić skuteczne wsparcie procesów pomiaru ryzyka kredytowego oraz zarządzania ryzykiem kredytowym". Kolejny przywołany przez BIK przepis, tj. art. 145 ust. 1 CRR stanowi zaś, iż "jest wymagane, aby instytucja ubiegająca się o możliwość stosowania metody IRB korzystała, w odniesieniu do omawianych kategorii ekspozycji IRB, co najmniej przez trzy lata poprzedzające zakwalifikowanie się do stosowania metody IRB, z systemów ratingowych, które odpowiadały w znacznym stopniu wymogom określonym w sekcji 6 dotyczącym wewnętrznego pomiaru ryzyka i zarządzania ryzykiem", natomiast art. 147 ust. 5 lit. b CRR stanowi, że "aby ekspozycje mogły kwalifikować się do kategorii ekspozycji detalicznych przewidzianej w ust. 2 lit. d), spełniają następujące kryteria: są traktowane przez instytucję w procesie zarządzania ryzykiem w sposób spójny w długim okresie". Obowiązku zastosowania powyższego rodzaju zapytań kredytowych nie przewiduje również art. 171 ust. 2 (cyt.) "Klasyfikując dłużników i instrumenty do klas lub pul, instytucja uwzględnia wszystkie istotne informacje. Informacje te są aktualne i umożliwiają instytucji prognozowanie zachowania ekspozycji w późniejszym okresie. Im mniej informacji ma do dyspozycji instytucja, tym ostrożniej klasyfikuje ekspozycje do poszczególnych klas lub pul dłużników i instrumentów. Jeżeli instytucja stosuje rating zewnętrzny jako główny czynnik decydujący o przyznaniu wewnętrznego ratingu, instytucja ta zapewnia uwzględnienie innych istotnych informacji".
Zdaniem PUODO z powyższych przepisów wynika, że instytucja kredytowa jest obowiązana do zbierania informacji przydatnych do skutecznego zarządzania ryzykiem. Nie oznacza to jednak, że gromadzenie danych w systemach ratingowych może odbywać się z naruszeniem innych przepisów regulujących kwestie ochrony danych osobowych. Inne przepisy rozporządzenia CRR zawierają konkretyzację danych, które mogą być użyte przez instytucje kredytowe oraz firmy inwestycyjne przy realizacji wymogów ostrożnościowych. W przedmiotowym rozporządzeniu wprost wskazano, że za elementy wskazujące na prawdopodobieństwo niedokonania płatności uznaje się sytuacje takie jak m. in. złożenie przez instytucję wniosku o postawienie dłużnika w stan upadłości lub podobnego wniosku w odniesieniu do zobowiązań kredytowych dłużnika wobec instytucji, jednostki dominującej lub którejkolwiek z jej jednostek zależnych (art. 178 ust. 3 lit. e) lub wystąpienie przez dłużnika o ogłoszenie upadłości lub o przyznanie podobnej ochrony lub postawienie dłużnika w stan upadłości bądź przyznanie mu podobnej ochrony, jeżeli umożliwiłoby mu to uniknięcie lub opóźnienie spłaty zobowiązań kredytowych wobec instytucji, jednostki dominującej lub którejkolwiek z jej jednostek zależnych (art. 178 ust. 3 lit. f). W CRR natomiast nie dokonano takiego konkretnego wskazania w przypadku zapytań kredytowych niezakończonych zawarciem umowy, tym samym nie sposób uznać, że przewiduje ono podstawy prawne do przetwarzania danych w nich zawartych.
Odnosząc się natomiast do przywołanych rekomendacji Komisji Nadzoru Finansowego organ podniósł, że powoływane przez BIK oraz Bank rekomendacje Komisji Nadzoru Finansowego należą do nienormatywnych form działania administracji. Wydane przez Komisję Nadzoru Finansowego rekomendacje - podobnie jak inne uchwały ww. organu nadzoru - nie są źródłem ani powszechnie obowiązujących przepisów prawa, ani przepisów prawa o charakterze wewnętrznym. W ocenie organu przywołane rekomendacje nie stanowią podstawy prawnej legalizującej przetwarzanie danych osobowych w zakresie zapytań kredytowych niezakończonych zawarciem umowy kredytu, zaś ich stosowanie nie może naruszać przepisów RODO.
W ocenie PUODO Bank oraz BIK niewłaściwie wskazują jako podstawę przetwarzania danych skarżącego Rekomendację T Komisji Nadzoru Finansowego dotyczącą dobrych praktyk w zakresie zarządzania ryzykiem detalicznych ekspozycji kredytowych w związku z badaniem zdolności kredytowej, korzystania z zewnętrznych baz danych, posiadania narzędzi analitycznych wspierających pomiar poziomu ryzyka związanego z detalicznymi ekspozycjami kredytowymi. Bank był uprawniony do przetwarzania danych osobowych skarżącego w celu oceny zdolności kredytowej. Nie doszło bowiem do zawarcia umowy pomiędzy skarżącym a Bankiem. W związku
z powyższym odpadła przesłanka legalizująca dalsze przetwarzanie danych osobowych skarżącego przez Bank. Celem przetwarzania danych osobowych skarżącego była ocena zdolności kredytowej i analiza ryzyka kredytowego. W związku z dokonaniem przez Bank oceny zdolności kredytowej i analizy ryzyka kredytowego ww. cel przetwarzania danych osobowych skarżącego został zrealizowany, wobec czego brak jest podstaw prawnych do kontynuowania tego procesu.
Odnosząc się natomiast do powołanego przez BIK celu ustalenia, dochodzenia lub obrony ewentualnych reklamacji lub roszczeń PUODO wyjaśnił, że zebrany w niniejszym postępowaniu materiał dowodowy nie wykazał, aby skarżący wystąpił z jakimkolwiek roszczeniem lub reklamacją wobec ww. podmiotu, które uzasadniałoby uprawnienie do zachowania i przetwarzania jego danych osobowych dla celów dowodowych w związku z dochodzeniem przez skarżącego tego roszczenia.
PUODO podkreślił, że przesłanka z art. 6 ust. 1 lit. f RODO dotyczy sytuacji już istniejącej, w której celem wynikającym z prawnie uzasadnionych interesów realizowanych przez administratora jest konieczność udowodnienia, potrzeba dochodzenia lub obrony przed roszczeniem istniejącym oraz rozpatrywania istniejącej reklamacji, nie zaś sytuacji, gdy dane są przetwarzane w celu zabezpieczenia się przed ewentualnym roszczeniem lub do rozpatrywania ewentualnych reklamacji.
Organ podzielił ponadto stanowisko Naczelnego Sądu Administracyjnego wyrażone w wyroku z dnia 6 marca 2019 r., sygn. akt I OSK 994/17, odnoszące się do przesłanki wynikającej z art. 23 ust. 1 pkt 5 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. 2016 r. poz. 922 ze zm.), dotyczącej dopuszczalności przetwarzania danych osobowych dla wypełnienia prawnie usprawiedliwionych celów realizowanych przez administratorów danych albo odbiorców danych, gdy przetwarzanie nie narusza praw i wolności osoby, której dane dotyczą. Organ przytoczył tezy z tego wyroku.
Organ również wskazał, że w ostatnim czasie Naczelny Sąd Administracyjny
w Warszawie podzielił powyższe stanowisko w wyroku wydanym w dniu 8 stycznia
2025 r. w sprawie o sygn. akt: III OSK 4868/21.
PUODO podkreślił, że przy przyjęciu odmiennej interpretacji ww. przepisów, skarżący zostałaby pozbawiony ochrony na gruncie RODO oraz ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych (Dz. U. z 2019 r. poz. 1781). Przyjęcie za prawidłowe stanowiska, iż przetwarzanie danych osobowych w celu uchylenia się od negatywnych skutków w przypadku zgłoszenia w przyszłości ewentualnego
i nieokreślonego roszczenia, stanowi prawnie usprawiedliwiony cel w rozumieniu art. 6 ust. 1 lit. f RODO oznaczałoby, że dane osobowe skarżącego mogą być przetwarzane przez BIK permanentnie, bez konieczności ich usunięcia. Zdaniem organu teoretycznie możliwym jest przecież, by skarżący zwrócił się do BIK z roszczeniem po upływie terminu przedawnienia roszczenia. Prowadziłoby to tym samym do uznania, że przetwarzanie danych osobowych skarżącego przez BIK ma uzasadnienie w przesłance określonej art. 6 ust. 1 lit. f RODO w celu realizacji prawa do obrony przed ewentualnym roszczeniem skarżącego również po upływie ww. terminu.
W ocenie PUODO brak jest uzasadnienia dla przyjęcia, iż terminy dotyczące przedawnienia roszczeń wynikających ze stosunków zobowiązaniowych określają jednocześnie ramy czasowe, w których dane osobowe mogą być przetwarzane przez BIK. Przedawnienie roszczenia nie wywołuje skutków na gruncie ochrony danych osobowych, nie wpływa bowiem na fakt istnienia roszczenia, a powoduje jedynie zmianę w sferze zarzutów procesowych w postaci możliwości podniesienia okoliczności przedawnienia w sporze sądowym. Organ podkreślił, że okolicznością usprawiedliwiającą przetwarzanie danych osobowych w celu dochodzenia roszczeń jest sam fakt istnienia roszczenia oraz zamiar jego dochodzenia, nie jest nią natomiast zmiana w uprawnieniach procesowych podmiotu pozwanego.
Zdaniem organu brak jest ponadto uzasadnienia dla przyjęcia, że Bank jest uprawniony do przetwarzania danych osobowych w związku z koniecznością ewentualnego wypełnienia obowiązku wynikającego z art. 70a ust 1 i ust. 2 Prawa bankowego w brzmieniu tych przepisów, obowiązującym w dacie pozyskania danych wynikających z przedmiotowego zapytania kredytowego. Stosownie do art. 70a ust. 1 prawa bankowego banki i inne instytucje ustawowo upoważnione do udzielania kredytów na wniosek osoby fizycznej, prawnej lub jednostki organizacyjnej niemającej osobowości prawnej, o ile posiada zdolność prawną, ubiegającej się o kredyt przekazują, w formie pisemnej, wyjaśnienie dotyczące dokonanej przez siebie oceny zdolności kredytowej wnioskującego. Stosownie zaś do art. 70a ust. 2 prawa bankowego wyjaśnienie, o którym mowa w ust. 1, obejmuje informacje na temat czynników, w tym danych osobowych wnioskującego, które miały wpływ na dokonaną ocenę zdolności kredytowej. Art. 70a Prawa bankowego w dacie pozyskania danych osobowych, wynikających
z przedmiotowego zapytania kredytowego, nie przewidywał żadnego terminu na złożenie wniosku o udzielenie informacji dotyczących odmowy udzielenia kredytu. Powyższe nie oznacza jednak w ocenie organu, że dane osobowe można było przetwarzać bezterminowo, gdyż byłoby to sprzeczne z zasadą ograniczenia przechowywania, określoną w art. 5 ust. 1 lit. e).
Ponadto powstanie obowiązku, o którym mowa w art. 70a ust. 1 Prawa bankowego w brzmieniu na dzień złożonych zapytań kredytowych, uzależnione było od złożenia stosownego wniosku przez osobę ubiegającą się o kredyt. W niniejszej sprawie ustalono, że skarżący w związku z przedmiotowym zapytaniem kredytowymi ubiegał się o zawarcie z Bankiem umowy kredytowej, jednak jego wniosek nie zakończył się jej zawarciem. Następnie skarżący skierował do Banku żądanie usunięcia jego danych osobowych przetwarzanych w BIK. Proces przetwarzania danych osobowych związanych z ww. zapytaniami kredytowymi zakwestionował następnie w niniejszym postępowaniu, domagając się ochrony danych osobowych. Uwzględnienie żądania skarżącego usunięcia przedmiotowych danych skutkować będzie brakiem możliwości udzielenia informacji wskazanych w art. 70a ust. 1 i 2 Prawa bankowego, z czym skarżący, żądając usunięcia danych, musi się liczyć. W ocenie organu należy uznać więc, że skarżący nie był i nie jest zainteresowany realizacją prawa do złożenia wniosku, o którym mowa
w powyższym przepisie, a tym samym nie można uznać, aby stanowił on podstawę przetwarzania danych osobowych skarżącego.
Organ wskazał, że jego stanowisko w powyższym zakresie również znalazło potwierdzenie w wyroku Naczelnego Sądu Administracyjnego w Warszawie z dnia 13 lutego 2025 r. w sprawie III OSK 6563/21.
Zdaniem PUODO brak jest także uzasadnienia dla przyjęcia, że BIK jest uprawniony do przetwarzania danych osobowych pozyskanych w związku z zapytaniem złożonymi przez Bank w dniu [...] maja 2023 r. w związku z koniecznością ewentualnego wypełnienia obowiązku wynikającego z art. 15 RODO. Usunięcie przez administratora danych osobowych nie uniemożliwia mu wykonania obowiązku uregulowanego w art. 15 RODO. Powyższy przepis gwarantuje osobie, której dane dotyczą, prawo do uzyskania od administratora informacji, czy jej dane są przetwarzane, a w przypadku pozytywnej odpowiedzi na tak postawione pytanie - uprawnienie do dostępu do danych na swój temat oraz uzyskania informacji o okolicznościach przetwarzania danych. Jeśli bowiem administrator nie przetwarza danych dotyczących osoby, która zwraca się z żądaniem udzielenia informacji, to działanie administratora ogranicza się do odpowiedzi przeczącej i nie ma on obowiązku podawać podmiotowi danych innych informacji. Organ stwierdził, że w związku ze wskazaniem przez Bank, że przetwarzanie danych osobowych skarżącego niezbędne jest aktualnie do celów wynikających z prawnie uzasadnionych interesów realizowanych przez administratora w związku z postępowaniem prowadzonym przez PUODO oraz w następstwie korespondencji prowadzonej ze skarżącym, należy wskazać, iż dane osobowe mogą być przetwarzane przez okres niezbędny do realizacji celu, zatem zakończenie postępowania administracyjnego powoduje wygaśnięcie tego celu przetwarzania.
Wobec powyższego, w ocenie PUODO, w niniejszej sprawie brak jest celu uzasadniającego dalsze przetwarzanie danych osobowych skarżącego zawartych
w przedmiotowym zapytaniu kredytowym przez Bank, jak i przez BIK. Bank w związku
z pozyskaniem danych osobowych skarżącego w celu oceny zdolności kredytowej stał się administratorem tych danych osobowych. Natomiast BIK stał się administratorem danych osobowych skarżącego z uwagi na przekazanie tych danych przez Bank. Bank oraz BIK są więc odrębnymi administratorami. Każdy z tych podmiotów przetwarza bowiem dane osobowe skarżącego we własnych celach i samodzielnie ustala sposoby ich przetwarzania.
Reasumując organ stwierdził, że w odniesieniu do kwestionowanego przez skarżącego przetwarzania jego danych osobowych przez Bank i BIK nie zaistniała żadna z wyrażonych w art. 6 ust. 1 RODO przesłanka, która stanowiłaby o legalności tego procesu. Dlatego też korzystając z uprawnienia przewidzianego w art. 58 ust. 2 lit. c RODO, PUODO nakazał Bankowi i BIK usunięcie danych osobowych skarżącego
w zakresie wynikającym z zapytania kredytowego z dnia [...] maja 2023 r.
Na powyższą decyzję Bank wniósł skargę do Wojewódzkiego Sądu Administracyjnego w Warszawie. Bank wskazał, że zaskarżą przedmiotową decyzję
w części, tj. w zakresie pkt 1.
Zaskarżonej decyzji Bank zarzucił:
I. naruszenie przepisów postępowania, mające istotny wpływ na wynik sprawy,
a to:
1.1. naruszenie art. 7 w zw. z art. 77 oraz art. 80 k.p.a., polegające na niepodjęciu wszystkich czynności niezbędnych do dokładnego wyjaśnienia oraz załatwienia sprawy, na niewyczerpującym zebraniu i rozpatrzeniu materiału dowodowego, a także na braku wszechstronnej i merytorycznej oceny zgromadzonego materiału dowodowego; powyższe skutkowało wydaniem przez organ niezasadnego nakazu usunięcia danych osobowych przez Bank danych osobowych skarżącego
w zakresie wynikającym z zapytania kredytowego z dnia [...] maja 2023 r.
W szczególności PUODO:
(i) nie ustalił, że po upływie 12 miesięcy od skierowania przez skarżącego do BIK w zakresie wynikającym z zapytania kredytowego z dnia [...] maja 2023 r. te zapytania zostały przekazane do tzw. części statystycznej BIK. Tym samym, w dniu wydania zaskarżonej decyzji ([...] marca 2025 r.) - zgodnie z wiedzą Banku - informacja o ww. zapytaniu kredytowym nie była już dostępna dla innych banków lub innych właściwych podmiotów czy instytucji w BIK oraz nie wpływała na ocenę zdolności kredytowej Wnioskodawcy;
(ii) nie ustalił wszystkich celów przetwarzania danych osobowych skarżącego, jak również nie uwzględnił w decyzji wszystkich okoliczności przetwarzania tych danych. W konsekwencji organ błędnie nie uwzględnił wszystkich podstaw prawnych dalszego przetwarzania danych skarżącego w sytuacji, gdy nie została zawarta umowa o kredyt;
(iii) bezzasadnie pominął, że o ile analiza zdolności kredytowej dotyczy rozpoznania oraz oceny ryzyka związanego z przyznaniem kredytu konkretnej osobie
w konkretnej wysokości, o tyle analiza ryzyka kredytowego wiąże się z koniecznością oszacowania ryzyka dla całego banku, związanego z danym portfelem zobowiązań.
W celu ustalenia obiektywnych zasad akceptacji, Bank przeprowadza analizę ryzyka kredytowego na podstawie wiedzy zgromadzonej na temat wszystkich osób, które wnioskowały o kredyt. Wyraźne rozróżnienie "zdolności kredytowej" oraz "ryzyka kredytowego" jest tym bardziej istotne w niniejszej sprawie, albowiem organ powołał się w decyzji przede wszystkim na wyrok z dnia 13 lutego 2025 r., III OSK 6563/21, a także na wyrok z dnia 27 sierpnia 2019 r., sygn. akt I OSK 2567/17 , podczas gdy
w orzeczeniach tych Naczelny Sad Administracyjny nie oceniał potrzeby wykorzystania danych pod kątem niezbędności do analizy ryzyka kredytowego , a ponadto - w zakresie drugiego z ww. wyroków - orzekał na podstawie nieobowiązujących już przepisów ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych i nie analizował przepisów RODO;
(iv) bezzasadnie pominął, że bazy danych tworzone przez podmioty, które prowadzą działalność bankową, mają rozbudowaną strukturę, w tym zawierają szereg funkcji wyszukiwania oraz udostępniania raportów. Zróżnicowane mogą być również uprawnienia dostępu do zasobów informacji dla poszczególnych grup pracowników (z perspektywy wykonywanych przez nich zadań). Dopiero w takim szerokim kontekście należy rozważyć reguły przetwarzania danych osobowych. W ocenie Banku jest on uprawniony do przetwarzania danych skarżącego, a PUODO powinien wyjaśnić co najwyżej, w jakim terminie i dla jakich celów takie przetwarzanie jest uprawnione oraz którzy pracownicy skarżącego powinni mieć dostęp do tych danych (w zakresie niezbędnym do wykonywania przez nich zadań);
(v) bezzasadnie założył, że skoro skarżący nie był dotychczas zainteresowany realizacją swojego prawa do domagania się od Banku wyjaśnień dotyczących oceny zdolności kredytowej, a jednocześnie zażądał usunięcia swoich danych osobowych związanych z zapytaniem kredytowym, to musi się liczyć z tym, że: "Uwzględnienie żądania skarżącego usunięcia przedmiotowych danych skutkować musi brakiem możliwości udzielenia informacji wskazanych w art. 70a ust. 1 i 2 prawa bankowego, z czym skarżący, żądając usunięcia danych, musi się liczyć. Należy uznać więc, że skarżący nie był zainteresowany realizacją prawa do złożenia wniosku, o którym mowa w powyższym przepisie, a tym samym nie można uznać, aby stanowił on podstawę przetwarzania danych osobowych skarżącego." Tymczasem z materiału dowodowego nie wynika, aby skarżący istotnie "liczył się" lub był świadomy takich skutków usunięcia swoich danych osobowych. Wobec tego sam fakt, że skarżący nie zażądał do tej pory od Banku wyjaśnień dotyczących oceny zdolności kredytowej, nie musiał przecież oznaczać, że skarżący nie zdecyduje się na skierowanie takiego wniosku w przyszłości;
1.2. naruszenie art. 7 oraz art. 7b w zw. z art. 8 i art. 77 k.p.a., polegające na zaniechaniu zwrócenia się przez PUODO do Komisji Nadzoru Finansowego (dalej "KNF") jako organu właściwego w sprawach związanych m.in. z badaniem zdolności kredytowej i analizą ryzyka kredytowego oraz budową modeli scoringowych w zakresie wykorzystywania do realizacji tych zadań danych, w tym danych osobowych
o niezrealizowanych zapytaniach kredytowych; tymczasem zwrócenie się przez organ do KNF pozwoliłoby na dokładne wyjaśnienie stanu faktycznego i prawnego sprawy, mając na względzie interes społeczny oraz słuszny interes obywateli w postaci ustalenia należytych zasad, celów oraz zakresu przetwarzania danych o niezrealizowanych zapytaniach kredytowych w taki sposób, aby - zgodnie z zasadą proporcjonalności - procesy przetwarzania danych czyniły zadość zarówno przepisom o ochronie danych osobowych, jak i przepisom szeroko pojętego prawa bankowego oraz zapewnieniu stabilności rynku gospodarczo-finansowego.
11.1. Naruszenie przepisów prawa materialnego, mające istotny wpływ na wynik sprawy, a to:
11.2. naruszenie art. 6 ust. 1 lit. c) RODO w zw. z art. 105 ust. 4 oraz art. 105a ust. 1-6 ustawy Prawo bankowe poprzez niewłaściwe zastosowanie, a w konsekwencji nieuzasadnione przyjęcie, że skoro nie doszło do zawarcia umowy kredytu, to Bank nie legitymuje się przesłanką przetwarzania danych osobowych skarżącego wynikającą z art. 6 ust. 1 lit. c) RODO w zw. z art. 105 ust. 4 oraz art. 105a ust. 1 - 6 Prawa bankowego , podczas gdy z tych przepisów wynika obowiązek przetwarzania danych (również danych z zapytań kredytowych) przez banki oraz inne instytucje wymienione w art. 105 ust. 4 Prawa bankowego, na zasadzie wzajemności i w zakresie, w jakim informacje te są potrzebne bankom do wykonywania czynności bankowych, w tym oceny zdolności kredytowej i analizy ryzyka kredytowego. Celem art. 105 ust. 4 Prawa bankowego jest zatem nie tylko poinformowanie banku, który rozpatruje wniosek kredytowy, ale
i przetwarzanie takiego zapytania przez określony czas i tym samym umożliwienie innemu bankowi (w związku z wnioskiem tej samej osoby złożonym w innym banku) otrzymanie informacji, czy wnioskodawca ubiegał się już o kredyt i z jakim skutkiem - co ma znaczenie dla oceny zdolności i wiarygodności kredytowej dla innego banku. Zdaniem Banku przyjęcie jako właściwego stanowiska prezentowanego przez PUODO może natomiast ostatecznie doprowadzić do zakwestionowania wymiany jakichkolwiek informacji między bankami i BIK. Ponadto, wbrew ocenie przedstawionej przez organ, również obowiązki wynikające z art. 105a ust. 1-6 Prawa bankowego nie przestają istnieć w sytuacji, gdy umowa kredytu nie zostaje zawarta - Bank w dalszym ciągu jest bowiem objęty obowiązkiem przetwarzania danych w celu analizy ryzyka kredytowego ;
11.3. naruszenie art. 6 ust. 1 lit. c) RODO w zw. z art. 105 ust. 1, art. 105 ust. 4 pkt. 1, art. 5 ust. 1 pkt. 3 oraz art. 70 ust. 1 Prawa bankowego w zw. z art. 9 ust. 2, 3 i 4 u.k.k. poprzez jego niewłaściwe zastosowanie oraz nieuzasadnione przyjęcie, że Bank nie legitymuje się przesłanką przetwarzania danych wynikającą z art. 6 ust. 1 lit. c) RODO w zw. z art. 105 ust. 1, art. 105 ust. 4 pkt. 1, art. 5 ust. 1 pkt. 3 oraz art. 70 ust. 1 Prawa bankowego w zw. z art. 9 ust. 2, 3 i 4 u.k.k., podczas gdy cel przetwarzania danych polega na dostarczaniu Bankowi przez BIK informacji (w tym ocen i modeli scoringowych) niezbędnych do wykonywania czynności bankowych (art. 5 ust. 1 pkt 3 Prawa bankowego), w tym udzielania kredytów, przy czym ocena zdolności kredytowej jest obowiązkiem banków (art. 70 Prawa bankowego w zw. z art. 9 ust. 2, 3 i 4 u.k.k.). Ponadto brak danych wynikających z decyzji kredytowych wpłynąłby negatywnie na funkcjonujące i przyszłe modele scoringowe;
11.4. naruszenie art. 6 ust. 1 lit. c) RODO w zw. z art. 144 ust. 1 lit. d), art. 145 ust. 1 , art. 170 ust 3 lit. a), art. 171 ust. 2, art. 179 ust. 1 lit. a) oraz art. 181 ust. 2 rozporządzenia Parlamentu Europejskiego i Rady nr 575/2013 z dnia 26 czerwca 2013 r. w sprawie wymogów ostrożnościowych dla instytucji kredytowych i firm inwestycyjnych, zmieniające rozporządzenie (UE) nr 648/2012 (Dz. Urz. UE. L 176/1 z dnia 27 czerwca 2013 r.; dalej "CRR") poprzez niewłaściwe zastosowanie oraz nieuzasadnione przyjęcie, że Bank nie legitymuje się przesłanką przetwarzania danych wynikającą z art. 6 ust. 1 lit. c) RODO w zw. z przepisami CRR, podczas gdy te przepisy wskazują na określone obowiązki banków w zakresie wymogów ostrożnościowych, a ponadto nakładają na Skarżącego obowiązek tworzenia zaawansowanych modeli statystycznych
z wykorzystaniem wszystkich istotnych i aktualnych informacji, natomiast Bank obowiązany jest do zachowania spójności modelu. Usunięcie danych osobowych skarżącego w trakcie trzyletniego okresu ich przetwarzania na podstawie przepisów CRR prowadziłoby zaś do naruszenia tego obowiązku;
11.5. naruszenie art. 6 ust. 1 lit. c) RODO w zw. z art. 106d ust. 3 Prawa bankowego, art. 33 ust. 1, art. 33 ust. 2, art. 33 ust. 4, art. 34 ust. 3, art. 34 ust. 3, art. 35 ust. 2, art. 46 oraz art. 49 ust. 1 i 2 ustawy z dnia 1 marca 2018 r. o przeciwdziałaniu praniu pieniędzy oraz finansowaniu terroryzmu (Dz. U. z 2023 r., poz. 1124; dalej "ustawa AML") poprzez brak zbadania powyższych przepisów jako podstawy przetwarzania danych skarżącego i nie odniesienie się do nich w decyzji, a konsekwencji uznanie, że Bank nie legitymuje się podstawą przetwarzania danych wynikającą z art. 6 ust. 1 lit. c) RODO w zw. z art. 106d ust. 3 Prawa bankowego, art. 33 ust. 1, art. 33 ust. 2, art. 33 ust. 4, art. 34 ust. 3, art. 34 ust. 3, art. 35 ust. 2, art. 46 oraz art. 49 ust. 1 i 2 ustawy AML, podczas gdy przywołane przepisy nakładają na Bank obowiązek przetwarzania informacji, w tym danych osobowych, w celu zapewnienia bezpieczeństwa obrotu gospodarczego, poprzez przeprowadzenie szczegółowego badania na temat klientów, w tym przyszłych klientów, jak i badania powiązań kapitałowo-osobowych;
11.6. naruszenie art. 6 ust 1 lit c) RODO w zw. z art. 70a ust. 1 i 2 Prawa bankowego poprzez niewłaściwe zastosowanie, a w konsekwencji nieuzasadnione przyjęcie, że art. 6 ust. 1 lit. c) RODO w zw. z art. 70a ust. 1 i 2 Prawa bankowego nie stanowi podstawy przetwarzania danych skarżącego, skoro dotychczas nie był on zainteresowany realizacją prawa do domagania się od Banku wyjaśnień dotyczących dokonanej przez Bank oceny zdolności kredytowej i musi liczyć się z tym, że po usunięciu jego danych realizacja tego prawa nie będzie możliwa11; tymczasem argumentacja przedstawiona w tym zakresie jest oparta na błędnym i nieuprawnionym założeniu, że usunięcie danych na żądanie skarżącego zwalnia Bank z obowiązku udzielenia wyjaśnień dotyczących oceny zdolności kredytowej. Taki wniosek nie wynika jednak z art. 70a ust. 1 i 2 Prawa bankowego. Natomiast jak zauważył sam organ w decyzji, wykonanie tego obowiązku i udzielenie skarżącemu informacji podanych w art. 70a ust. 1 i 2 Prawa bankowego nie będzie możliwe, jeżeli dane osobowe skarżącego zostaną usunięte;
11.7. naruszenie art. 6 ust. 1 lit. f) RODO w zw. z art. 117 § 2 i 21, art. 118 i art. 119 ustawy z dnia 23 kwietnia 1964 r. - Kodeks cywilny (Dz. U. z 2023 r., poz. 1610; dalej "k.c.") poprzez niewłaściwe zastosowanie, a w konsekwencji nieuzasadnione przyjęcie, że przechowywanie danych przez okres przedawnienia roszczeń nie stanowi prawnie uzasadnionego interesu Banku w rozumieniu art. 6 ust. 1 lit. f) RODO, skoro w momencie wydawania decyzji ani Bank, ani skarżący nie zgłosili jeszcze roszczeń tymczasem przepisy art. 6 ust. 1 lit. f) RODO w zw. z art. 117 § 2 i 21, art. 118 i art. 119 k.c. uprawniają Bank do przetwarzania danych osobowych w celu rozpatrywania oraz dochodzenia ewentualnych reklamacji lub roszczeń – również w sytuacji, gdy ani administrator danych osobowych (tu: Bank), ani osoba, której dane dotyczą (tu: skarżący), nie zgłosiła jeszcze reklamacji lub roszczenia ;
II. 7. naruszenie art. 6 ust. 1 lit. f) RODO w zw. z następującymi rekomendacjami wydanymi przez KNF: (i) Rekomendacją T z lutego 2013 r., dotyczącą dobrych praktyk w zakresie zarządzania ryzykiem detalicznych ekspozycji kredytowych (załącznik do uchwały KNF nr 59/2013 z dnia 26 lutego 2013 r. (Dz. Urz. KNF z 2013 r., poz. 11); dalej jako: "Rekomendacja T"); (ii) Rekomendacją W z lipca 2015 r., dotyczącą zarządzania ryzykiem modeli w bankach (załącznik do uchwały KNF nr 332/2015 z dnia 21 lipca 2015 r. (Dz. Urz. KNF z 2015 r., poz. 49); dalej jako: "Rekomendacja W"); (iii) Rekomendacją S z grudnia 2019 r., dotyczącą dobrych praktyk w zakresie zarządzania ekspozycjami kredytowymi zabezpieczonymi hipotecznie (załącznik do uchwały KNF nr 492/2019 z dnia 3 grudnia 2019 r. (Dz. Urz. KNF z 2019 r., poz. 39); dalej jako: "Rekomendacja S") - poprzez niewłaściwe zastosowanie oraz niezasadne przyjęcie, że Bank nie legitymuje się przesłanką przetwarzania wynikającą z art. 6 ust. 1 lit. f) RODO w zw. z ww. rekomendacjami KNF , podczas gdy ww. rekomendacje KNF nakładają na banki oraz BIK (jako instytucję powołaną na mocy art. 105 ust. 4 Prawa bankowego) określone wymagania nie tylko w związku z oceną danego, konkretnego wniosku kredytowego, ale także w odniesieniu do budowy metod i modeli statystycznych (w tym scoringowych); te wymagania podlegają następnie wyegzekwowaniu przez KNF na podstawie bezwzględnie obowiązujących przepisów prawa.
W oparciu o powyższe zarzuty Bank wniósł o uchylenie zaskarżonej decyzji
w zaskarżonej części, jak również o zasądzenie od PUODO na rzecz Banku kosztów postępowania, w tym kosztów zastępstwa prawnego według norm przepisanych oraz opłat skarbowych od pełnomocnictwa.
W odpowiedzi na skargę PUODO wniósł o oddalenie skargi oraz podtrzymał argumentację wyrażoną w zaskarżonej decyzji.
Organ podniósł również, że w postępowaniu, zainicjowanym skargą konkretnej osoby, której dane dotyczą, organ zobligowany jest zbadać proces przetwarzania jej danych osobowych i ustalić stan faktyczny sprawy zgodny z rzeczywistością, nie zaś ustalać, jakie hipotetyczne cele i podstawy przetwarzania danych osobowych tej osoby mogłyby zaistnieć po stronie administratora, z uwagi na istnienie przepisów, nakładających na niego określone obowiązki. Organ nie może też decydować za administratora, w jakim celu ten przetwarza dane osobowe. Wobec tego rozstrzygnięcie w niniejszej sprawie wydane zostało w oparciu o stan faktyczny ustalony m.in. w wyniku złożonych przez Bank wyjaśnień, nie budzących w dacie wydawania decyzji jakichkolwiek wątpliwości organu. PUODO odniósł się do wszystkich podniesionych przez Bank celów przetwarzania danych osobowych skarżącego, wynikających z przedmiotowych zapytań kredytowych i wyjaśnił dlaczego w jego ocenie wskazane przez Bank podstawy prawne nie legitymowały procesu przetwarzania danych osobowych skarżącego przez Bank.
Wojewódzki Sąd Administracyjny w Warszawie zważył, co następuje:
Zgodnie z art. 1 § 1 i § 2 ustawy z dnia 25 lipca 2002 r. - Prawo o ustroju sądów administracyjnych (Dz. U. z 2024 r., poz. 1267) oraz art. 3 § 1 ustawy z dnia 30 sierpnia 2002 r. prawo o postępowaniu przed sądami administracyjnymi (Dz. U. 2024 r. poz. 935, z późn. zm.) dalej "p.p.s.a.", sądy administracyjne sprawują wymiar sprawiedliwości przez kontrolę działalności administracji publicznej. Kontrola ta polega na ocenie zgodności zaskarżonego aktu z przepisami postępowania administracyjnego, a także prawidłowości zastosowania i wykładni norm prawa materialnego. Kontrola ta jest dokonywana według stanu faktycznego i prawnego obowiązującego w dacie wydania zaskarżonego aktu.
W myśl art. 134 § 1 i 2 p.p.s.a. sąd rozstrzyga w granicach danej sprawy nie będąc związany zarzutami i wnioskami skargi oraz powołaną podstawą prawną,
z zastrzeżeniem art. 57a, przy czym sąd nie może wydać orzeczenia na niekorzyść skarżącego, chyba że stwierdzi naruszenie prawa skutkujące stwierdzeniem nieważności zaskarżonego aktu lub czynności.
Rozpatrując skargę Banku wedle powyższych kryteriów Sąd uznał, że nie zasługuje ona na uwzględnienie.
W sprawie jest niesporne, że Bank pozyskał dane osobowe uczestnika postępowania w związku z zapytaniem kredytowym z [...] maja 2020 r. W przypadku tego zapytania nie doszło do zawarcia umowy między uczestnikiem postępowania a Bankiem. Niesporne jest, że Bank był uprawniony do przetwarzania danych osobowych uczestnika w celu oceny zdolności kredytowej i analizy ryzyka kredytowego.
Dokonując oceny zgodności z prawem zaskarżonej decyzji należy wskazać, że zgodnie z motywem 40 RODO, aby przetwarzanie danych było zgodne z prawem, powinno się odbywać na podstawie zgody osoby, której dane dotyczą, lub na innej uzasadnionej podstawie przewidzianej prawem: albo w niniejszym rozporządzeniu, albo w innym akcie prawnym Unii lub w prawie państwa członkowskiego, o których mowa w niniejszym rozporządzeniu, w tym musi się ono odbywać z poszanowaniem obowiązku prawnego, któremu podlega administrator, lub z poszanowaniem umowy, której stroną jest osoba, której dane dotyczą, lub w celu podjęcia działań na żądanie osoby, której dane dotyczą, przed zawarciem umowy.
Powyższe znalazło wyraz w art. 6 ust. 1 RODO, określającym przesłanki legalności przetwarzania danych osobowych. Zgodnie z tym przepisem, przetwarzanie jest zgodne z prawem wyłącznie w przypadkach, gdy - i w takim zakresie, w jakim - spełniony jest co najmniej jeden z poniższych warunków:
a) osoba, której dane dotyczą wyraziła zgodę na przetwarzanie swoich danych osobowych w jednym lub większej liczbie określonych celów;
b) przetwarzanie jest niezbędne do wykonania umowy, której stroną jest osoba, której dane dotyczą, lub do podjęcia działań na żądanie osoby, której dane dotyczą, przed zawarciem umowy;
c) przetwarzanie jest niezbędne do wypełnienia obowiązku prawnego ciążącego na administratorze;
d) przetwarzanie jest niezbędne do ochrony żywotnych interesów osoby, której dane dotyczą, lub innej osoby fizycznej;
e) przetwarzanie jest niezbędne do wykonania zadania realizowanego w interesie publicznym lub w ramach sprawowania władzy publicznej powierzonej administratorowi;
f) przetwarzanie jest niezbędne do celów wynikających z prawnie uzasadnionych interesów realizowanych przez administratora lub przez stronę trzecią, z wyjątkiem sytuacji, w których nadrzędny charakter wobec tych interesów mają interesy lub podstawowe prawa i wolności osoby, której dane dotyczą, wymagające ochrony danych osobowych, w szczególności gdy osoba, której dane dotyczą, jest dzieckiem. Akapit pierwszy lit. f) nie ma zastosowania do przetwarzania, którego dokonują organy publiczne w ramach realizacji swoich zadań.
Zgodnie z art. 105a ust. 1 Prawa bankowego przetwarzanie przez banki, inne instytucje ustawowo upoważnione do udzielania kredytów, instytucje pożyczkowe oraz podmioty, o których mowa w art. 59d u.k.k., a także instytucje utworzone na podstawie art. 105 ust. 4 Prawa bankowego, informacji stanowiących tajemnicę bankową i informacji udostępnionych przez instytucje pożyczkowe oraz podmioty, o których mowa w art. 59d u.k.k., w zakresie dotyczącym osób fizycznych może być wykonywane, z zastrzeżeniem art. 104, art. 105 i art. 106-106d Prawa bankowego, w celu oceny zdolności kredytowej
i analizy ryzyka kredytowego.
Wedle art. 105a ust. 2 Prawa bankowego, z zastrzeżeniem ust. 3, instytucje,
o których mowa w ust. 1, mogą przetwarzać informacje stanowiące tajemnicę bankową oraz informacje udostępnione przez instytucje pożyczkowe oraz podmioty, o których mowa w art. 59d u.k.k., w zakresie dotyczącym osób fizycznych po wygaśnięciu zobowiązania wynikającego z umowy zawartej z bankiem, inną instytucją ustawowo upoważnioną do udzielania kredytów, instytucją pożyczkową lub podmiotem, o którym mowa w art. 59d u.k.k., pod warunkiem uzyskania pisemnej zgody osoby, której informacje te dotyczą, z zastrzeżeniem ust. 2a. Zgoda ta może być w każdym czasie odwołana.
Stosownie do treści art. 105a ust. 3 Prawa bankowego banki, instytucje oraz podmioty, o których mowa w ust. 1, mogą przetwarzać informacje stanowiące tajemnicę bankową i informacje udostępnione przez instytucje pożyczkowe oraz podmioty,
o których mowa w art. 59d u.k.k., dotyczące osób fizycznych po wygaśnięciu zobowiązania wynikającego z umowy zawartej z bankiem, inną instytucją ustawowo upoważnioną do udzielania kredytów, instytucją pożyczkową lub podmiotem, o którym mowa w art. 59d u.k.k., bez zgody osoby, której informacje dotyczą, gdy osoba ta nie wykonała zobowiązania lub dopuściła się zwłoki powyżej 60 dni w spełnieniu świadczenia wynikającego z umowy zawartej z bankiem, inną instytucją ustawowo upoważnioną do udzielania kredytów, instytucją pożyczkową lub podmiotem, o którym mowa w art. 59d u.k.k., a po zaistnieniu tych okoliczności upłynęło co najmniej 30 dni od poinformowania tej osoby przez bank, inną instytucję ustawowo upoważnioną do udzielania kredytów, instytucję pożyczkową albo podmiot, o którym mowa w art. 59d u.k.k., o zamiarze przetwarzania dotyczących jej tych informacji, bez jej zgody.
Zgodnie zaś z art. 105a ust. 4 Prawa bankowego, banki oraz instytucje, o których mowa w art. 105 ust. 4 Prawa bankowego, mogą przetwarzać stanowiące tajemnicę bankową informacje dotyczące osoby fizycznej po wygaśnięciu zobowiązania wynikającego z umowy zawartej z bankiem lub inną instytucją ustawowo upoważnioną do udzielania kredytów bez zgody osoby, której informacje dotyczą, do celów stosowania metod wewnętrznych oraz innych metod i modeli, o których mowa w części trzeciej rozporządzenia nr 575/2013. Jednocześnie zgodnie z art. 105a ust. 5 Prawa bankowego, przetwarzanie informacji stanowiących tajemnicę bankową w przypadkach, o których mowa w ust. 3, może być wykonywane przez okres nie dłuższy niż 5 lat od dnia wygaśnięcia zobowiązania, a w przypadku, o którym mowa w ust. 4, przez okres 12 lat od dnia wygaśnięcia zobowiązania.
Art. 70 ust. 1 Prawa bankowego stanowi natomiast, że bank uzależnia przyznanie kredytu od zdolności kredytowej kredytobiorcy. Przez zdolność kredytową rozumie się zdolność do spłaty zaciągniętego kredytu wraz z odsetkami w terminach określonych
w umowie. Kredytobiorca jest obowiązany przedłożyć na żądanie banku dokumenty
i informacje niezbędne do dokonania oceny tej zdolności.
W świetle ww. przepisów, a w szczególności na podstawie art. 105a ust. 1 i art. 70 ust. 1 Prawa bankowego, uprawnione było przetwarzanie danych osobowych uczestnika postępowania przez Bank w celu oceny zdolności kredytowej i analizy ryzyka kredytowego. Warto jednak podkreślić, że w związku z ww. zapytaniem kredytowym uczestnika postępowania nie doszło do zawarcia umowy kredytowej. Nie może być wątpliwości, że ocena zdolności kredytowej i analiza ryzyka kredytowego zostały dokonane (zrealizowane). Cel przetwarzania danych, dla którego zostały one zgromadzone w zapytaniu kredytowym, został zatem osiągnięty, a uczestnik postępowania wniósł o usunięcie jego danych. Wobec tego należy zgodzić się z PUODO, że odpadła przesłanka legalizująca dalsze przetwarzanie danych osobowych uczestnika postępowania przez Bank. Skoro nie doszło do nawiązania stosunku zobowiązaniowego, który stosownie do art. 105a ust. 1-6 Prawa bankowego dawałby podstawę do dalszego przetwarzania danych osobowych uczestnika postępowania przez Bank, to należało uznać, tak jak prawidłowo przyjął PUODO, że ustał cel przetwarzania danych osobowych uczestnika postępowania pozyskanych tylko i wyłącznie w celu oceny zdolności kredytowej i analizy ryzyka kredytowego.
Przesłanki zawarte w art. 105a Prawa bankowego dotyczą przetwarzania informacji objętych tajemnicą bankową w okresie przed powstaniem zobowiązania,
w trakcie jego trwania oraz po wygaśnięciu zobowiązania. Natomiast w sytuacji, gdy
w następstwie złożenia wniosku kredytowego nie dochodzi do zawarcia umowy kredytowej z bankiem, jak miało to miejsce w sprawie, brak jest ustawowych przesłanek legalizujących przetwarzanie danych osobowych uczestnika postepowania, zawartych w ww. zapytaniu kredytowym (por. wyrok Naczelnego Sądu Administracyjnego z dnia 13 lutego 2025 r., sygn. akt III OSK 6563/21, orzeczenia.nsa.gov.pl). Przetwarzane są one bowiem bez podstawy prawnej, w celach innych niż te, w których zostały zebrane, tj. oceny zdolności kredytowej i analizy ryzyka kredytowego.
Nie budzi wątpliwości, że ocena zdolności kredytowej i ryzyka kredytowego ma charakter czynności wstępnych przed zawarciem umowy kredytowej. Dalsze przetwarzanie danych, uzyskanych wyłącznie w celu oceny zdolności kredytowej i analizy ryzyka kredytowego, w przypadku braku zawarcia stosownej umowy, pozostaje w oderwaniu od celu, dla którego dane zebrano. Na gruncie RODO niedopuszczalne jest – w takim stanie faktycznym, jak w sprawie, gdy nie zawarto umowy kredytowej – przetwarzanie danych osobowych "na przyszłość", w innych celach niż je zebrano, w tym na potrzeby oceny zdolności kredytowej innych osób, gdy nie można zrekonstruować wyraźnej podstawy prawnej takich działań w odniesieniu do uczestnika postępowania.
Skoro w sprawie nie mamy do czynienia z sytuacją, w której nawiązano stosunek zobowiązaniowy i dane te są przetwarzane (w tym także udostępniane) przez administratora nie tylko w celu zasadniczym (w celu realizacji umowy), ale także w innych celach, które powstały w trakcie trwania stosunku zobowiązaniowego i które w ocenie administratora winny być, czy mogą być uznane za związane ze stosunkiem prawnym
i tym samym kwalifikowane jako "prawnie uzasadnione interesy", to należało stwierdzić, że trafnie PUODO uznał, że brak jest podstaw do uznania, ie zachodzi przesłanka z art. 6 ust. 1 lit. f RODO. Dalsze przetwarzanie danych osobowych uczestnika postępowania na przyszłość, i w innych celach wskazywanych obecnie przez Bank nie stanowi przesłanek z art. 6 ust. 1 lit. a -f RODO w okolicznościach faktycznych sprawy.
Odnośnie zarzutu Banku z pkt II.1. skargi wyjaśnić należy, że art. 6 ust. 1 lit. c RODO dotyczy sytuacji, gdy przetwarzanie jest niezbędne do wypełnienia obowiązku prawnego administratora danych, a nie realizacji uprawnienia, o którym mowa w art. 105 ust. 4 Prawa bankowego. Podkreślenia wymaga, że art. 105 ust. 4 Prawa bankowego jest przepisem o charakterze ogólnym, który stanowi o możliwości utworzenia wspólnie
z bankowymi izbami gospodarczymi, instytucji upoważnionych do gromadzenia, przetwarzania i udostępniania danych. Przepis ten nie daje podstaw do nieograniczonego przetwarzania wszelkich danych osobowych przez utworzone instytucje czy też przez banki. Ponadto przepis art. 105 ust. 4 Prawa bankowego nie stanowi o dopuszczalności przetwarzania danych osobowych dotyczących wniosków kredytowych w sytuacji, gdy nie doszło do zawarcia umowy z bankiem. Zasady przetwarzania danych objętych tajemnicą bankową określa art. 105a Prawa bankowego. Na gruncie tego przepisu należy oceniać zatem dopuszczalność przetwarzania poszczególnych danych osobowych
w określonych ściśle celach.
Odnosząc się do dalszych zarzutów skargi wskazać należy, że z art. 144 ust. 1 lit. d), art. 145, art. 147 ust. 5 lit. b), art. 170 ust. 3 lit. a), ust. 4 lit. a), art. 171 ust. 2, art. 179 ust 1 lit. a), art. 181 ust. 2 CRR nie wynika podstawa prawna do dalszego przetwarzania przez Bank danych osobowych uczestnika postepowania.
Zgodnie z art. 144 ust. 1 lit. d) CRR, właściwy organ wydaje zezwolenie na mocy art. 143 na stosowanie przez instytucję metody IRB, w tym na stosowanie własnych oszacowań LGD i współczynników konwersji, wyłącznie wtedy, gdy właściwy organ stwierdzi, że wymogi przewidziane w niniejszym rozdziale są spełnione, w szczególności wymogi przewidziane w sekcji 6, oraz że posiadane przez instytucję systemy w zakresie zarządzania oraz oceny ekspozycji na ryzyko kredytowe są należyte i zostały spójnie wdrożone, w szczególności gdy instytucja wykazała w sposób zadowalający właściwym organom spełnienie następujących norm: (...) d) instytucja gromadzi i przechowuje wszystkie odpowiednie dane, aby zapewnić skuteczne wsparcie procesów pomiaru ryzyka kredytowego oraz zarządzania ryzykiem kredytowym. Stosownie do art. 145 ust. 1 CRR, jest wymagane, aby instytucja ubiegająca się o możliwość stosowania metody IRB korzystała, w odniesieniu do omawianych kategorii ekspozycji IRB, co najmniej przez trzy lata poprzedzające zakwalifikowanie się do stosowania metody IRB, z systemów ratingowych, które odpowiadały w znacznym stopniu wymogom określonym w sekcji 6 dotyczącym wewnętrznego pomiaru ryzyka i zarządzania ryzykiem.
Z kolei art. 170 ust. 3 lit. a CRR, stanowi, że struktura systemów ratingowych dla ekspozycji detalicznych spełnia następujące wymogi: systemy ratingowe odzwierciedlają zarówno ryzyko dłużnika, jak i ryzyko transakcji oraz uwzględniają wszystkie istotne właściwości ryzyka dłużnika i ryzyka transakcji.
Zgodnie z art. 171 ust. 2 CRR klasyfikując dłużników i instrumenty do klas lub pul, instytucja uwzględnia wszystkie istotne informacje. Informacje te są aktualne
i umożliwiają instytucji prognozowanie zachowania ekspozycji w późniejszym okresie. Im mniej informacji ma do dyspozycji instytucja, tym ostrożniej klasyfikuje ekspozycje do poszczególnych klas lub pul dłużników i instrumentów. Jeżeli instytucja stosuje rating zewnętrzny jako główny czynnik decydujący o przyznaniu wewnętrznego ratingu, instytucja ta zapewnia uwzględnienie innych istotnych informacji.
Stosownie zaś do treści art. 179 ust. 1 lit. a CRR, przy przeprowadzaniu kwantyfikacji parametrów ryzyka związanego z poszczególnymi klasami lub pulami ratingowymi instytucje stosują następujące wymogi: a) oszacowania własne instytucji dotyczące parametrów ryzyka PD, LGD, współczynnika konwersji i EL uwzględniają wszelkie istotne dane, informacje i metody. Oszacowań dokonuje się na podstawie zarówno doświadczeń z przeszłości, jak i dowodów empirycznych, nie zaś wyłącznie w oparciu o osąd własny. Oszacowania te są wiarygodne i intuicyjne oraz opierają się na istotnych czynnikach odpowiednich parametrów ryzyka. Im mniej danych ma do dyspozycji instytucja, tym ostrożniejsze są jej oszacowania.
Art. 181 ust. 2 CRR stanowi, że w odniesieniu do ekspozycji detalicznych instytucje mogą podjąć następujące działania:
a) przeprowadzić oszacowania wartości LGD na podstawie zrealizowanych strat i odpowiednich oszacowań PD;
b) uwzględniać kwoty do wykorzystania w przyszłości w swoich współczynnikach konwersji albo oszacowaniach LGD;
c) w przypadku nabytych wierzytelności detalicznych stosować zewnętrzne i wewnętrzne dane źródłowe do oszacowań LGD.
/lit
Do celów akapitu pierwszego lit. b), jeżeli instytucje uwzględniają dodatkowe kwoty do wykorzystania w przyszłości w swoich współczynnikach konwersji, należy je uwzględnić w LGD zarówno w liczniku, jak i w mianowniku. W przypadku gdy instytucje nie uwzględniają przyszłych dodatkowych kwot do wykorzystania w przyszłości w swoich współczynnikach konwersji, należy je uwzględnić wyłącznie w liczniku LGD;
W przypadku ekspozycji detalicznych oszacowania LGD opierają się na danych z okresu co najmniej pięciu lat. Przy wdrażaniu metody IRB instytucje mogą, pod warunkiem uzyskania zezwolenia właściwych organów, korzystać z odpowiednich danych obejmujących okres dwóch lat. Okres ten jest co roku wydłużany o jeden rok do chwili, gdy istotne dane będą obejmować co najmniej pięć lat.
Powołane przepisy CRR nie stanowią podstawy do przetwarzania danych osobowych zawartych w zapytaniach kredytowych osoby, z którą nie zawarto umowy kredytu. Zdaniem Sądu, obowiązek zbierania informacji przydatnych w zarządzaniu ryzykiem nie może opierać się na naruszeniu przez Bank na gruncie RODO praw osoby fizycznej, która przekazała Bankowi swoje dane osobowe wyłącznie w celu oceny zdolności kredytowej i analizy ryzyka kredytowego, gdy czynność ta nie zakończyła się zawarciem umowy kredytowej. Przepisy CRR nie stanowią podstawy do "dalszego" przetwarzania danych zawartych w zapytaniu kredytowym w sytuacji nienawiązania stosunku zobowiązaniowego. Konstruowanie skutecznych i poprawnie działających modeli, o których mowa w powołanym rozporządzeniu 575/2013 może następować wyłącznie w oparciu o dane osobowe pozyskane i przetwarzane w sposób legalny.
PUODO nie kwestionował stosowania CRR – w ramach oceny zdolności kredytowej i analizy ryzyka kredytowego – a zatem w związku z wykonywaniem czynności bankowych co do zasady. Nie wynika jednak z nich podstawa prawna do przetwarzania danych osobowych zawartych w ww. zapytaniach kredytowych, a zatem osoby, z którą umowy kredytowej nie zawarto. Prawo bankowe, o czym mowa wyżej, ściśle określa cele i zasady przetwarzania danych osobowych, w tym stanowi, w jakich przypadkach i dla jakich ściśle określonych celów jest dopuszczalne "dalsze" przetwarzanie danych bez zgody osoby fizycznej (po wygaśnięciu zobowiązania). W art. 105a ust. 4 Prawa bankowego wyraźnie wskazano na cele stosowania metod wewnętrznych oraz innych metod i modeli, o których mowa w części trzeciej Rozporządzenia 575/2013. Prawo bankowe określa też, przez jaki czas mogą być przetwarzane dane stanowiące tajemnicę bankową po wygaśnięciu zobowiązania. Rozciąganie uprawnienia Banku do dalszego przetwarzania danych osobowych zawartych w ww. zapytaniu kredytowym, gdy nie powstało zobowiązanie nie może spotkać się w świetle przepisów RODO i Prawa bankowego z akceptacją Sądu.
Niezasadne są też zarzuty Banku dotyczące naruszenia art. 6 ust. 1 lit. c) RODO w zw. z art. 106d ust. 3 Prawa bankowego w związku z przepisami AML. Podkreślenia przy tym wymaga, że w skierowanym do organu piśmie z dnia 5 września 2024 r., wskazującym aktualne w owym czasie cele i podstawy przetwarzania danych osobowych uczestnika postępowania, Bank nie powoływał się na to, że podstawa przetwarzania danych osobowych uczestnika postępowania stanowią przepisy AML. W związku z tym organ nie analizował tej kwestii w zaskarżonej decyzji.
Odnosząc się jednak to tej problematyki zauważyć należy, że zgodnie z art. 106d ust. 1 Prawa bankowego banki, inne instytucje ustawowo upoważnione do udzielania kredytów, izby rozliczeniowe utworzone na podstawie art. 67, instytucje utworzone na mocy art. 105 ust. 4, instytucje pożyczkowe, podmioty, których podstawowa działalność polega na udostępnianiu składników majątkowych na podstawie umowy leasingu, oraz podmioty, o których mowa w art. 59d u.k.k., mogą przetwarzać i wzajemnie udostępniać informacje, w tym informacje objęte tajemnicą bankową, w przypadkach: 1) uzasadnionych podejrzeń, o których mowa w art. 106a ust. 3; 2) uzasadnionych podejrzeń popełnienia przestępstw dokonywanych na szkodę banków, innych instytucji ustawowo upoważnionych do udzielania kredytów, instytucji kredytowych, instytucji finansowych, instytucji pożyczkowych oraz podmiotów, o których mowa w art. 59d u.k.k., i ich klientów, w celu i zakresie niezbędnym do zapobiegania tym przestępstwom; 3) wykonywania obowiązków w zakresie określonym w przepisach o przeciwdziałaniu praniu pieniędzy oraz finansowaniu terroryzmu.
Art. 106a ust. 3 Prawa bankowego, do którego odwołano się w art. 106d ust. 1 pkt 1 stanowi, że w przypadku powzięcia uzasadnionego podejrzenia, że zgromadzone na rachunku bankowym środki, w całości lub w części pochodzą lub mają związek z przestępstwem skarbowym lub przestępstwem innym niż przestępstwo, o którym mowa w art. 165a lub art. 229 Kodeksu karnego, bank jest uprawniony do dokonania blokady środków na tym rachunku. Blokada może nastąpić wyłącznie do wysokości zgromadzonych na rachunku środków, co do których zachodzi takie podejrzenie.
Należy zauważyć, że art. 33 ust. 1 AML nakłada na instytucje obowiązane obowiązek m.in. stosowania wobec swoich klientów środków bezpieczeństwa finansowego, których zakres (katalog) znajduje się w art. 34 AML. Art. 33 ust. 2 AML stanowi, że instytucje obowiązane rozpoznają ryzyko prania pieniędzy oraz finansowania terroryzmu związane ze stosunkami gospodarczymi lub z transakcją okazjonalną oraz oceniają poziom rozpoznanego ryzyka. Z kolei zgodnie z 33 ust. 4 AML instytucje obowiązane stosują środki bezpieczeństwa finansowego w zakresie i z intensywnością uwzględniającymi rozpoznane ryzyko prania pieniędzy oraz finansowania terroryzmu związane ze stosunkami gospodarczymi lub z transakcją okazjonalną oraz jego ocenę. Art. 34 ust. 3 stanowi, że instytucje obowiązane dokumentują zastosowane środki bezpieczeństwa finansowego oraz wyniki bieżącej analizy przeprowadzanych transakcji. Na żądanie organów, o których mowa w art. 130, instytucje obowiązane wykazują, że przy uwzględnieniu poziomu rozpoznanego ryzyka prania pieniędzy oraz finansowania terroryzmu związanego z danymi stosunkami gospodarczymi lub transakcją okazjonalną zastosowały odpowiednie środki bezpieczeństwa finansowego.
Art. 35 ust. 2 AML stanowi, że instytucje obowiązane stosują środki bezpieczeństwa finansowego również w odniesieniu do klientów, z którymi utrzymują stosunki gospodarcze, z uwzględnieniem rozpoznanego ryzyka prania pieniędzy oraz finansowania terroryzmu, w szczególności gdy:
1) doszło do zmiany uprzednio ustalonego charakteru lub okoliczności stosunków gospodarczych;
2) doszło do zmiany uprzednio ustalonych danych dotyczących klienta lub beneficjenta rzeczywistego;
3) instytucja obowiązana była w ciągu danego roku kalendarzowego zobowiązana na podstawie przepisów prawa do skontaktowania się z klientem w celu weryfikacji informacji dotyczących beneficjentów rzeczywistych, w szczególności gdy obowiązek taki wynikał z przepisów ustawy z dnia 9 marca 2017 r. o wymianie informacji podatkowych z innymi państwami (Dz. U. z 2024 r. poz. 1588 i 1685).
Art. 46 AML reguluje kwestie związane ze stosunkami gospodarczymi z osobą zajmującą eksponowane stanowisko polityczne.
Na podstawie art. 49 ust. 1 AML, kopie dokumentów i informacje uzyskane w wyniku stosowania środków bezpieczeństwa finansowego a także dowody potwierdzające przeprowadzone transakcje i ewidencje transakcji, obejmujące oryginalne dokumenty lub kopie dokumentów konieczne do identyfikacji transakcji, przechowuje się przez okres 5 lat licząc od pierwszego dnia roku następującego po roku, w którym zakończono stosunki gospodarcze z klientem lub w którym przeprowadzono transakcje okazjonalne.
W przypadku dokonania analizy przeprowadzonej transakcji i udokumentowania jej analizy, zgodnie z art. 34 ust. 3 AML, instytucja pożyczkowa, na mocy art. 49 ust. 2 AML, jest obowiązana do przechowywania jej wyników przez 5 lat, licząc od pierwszego dnia roku następującego po roku ich przeprowadzenia.
Z ww. przepisów wynika uprawnienie do monitorowania stosunków gospodarczych klienta i stosowania odpowiednich środków bezpieczeństwa finansowego. Nie ma to jednak odniesienia do rozpoznawanej sprawy, gdy nie zawarto umowy kredytowej i nie można mówić o transakcji. Ogólne twierdzenia o celu w postaci "zapewnienia bezpieczeństwa obrotu gospodarczego" nie mogą stanowić – w stanie faktycznym tej sprawy – podstawy legalizującej rozszerzanie podstaw i celów przetwarzania danych osobowych uczestnika postępowania. W art. 2 ust. 2 pkt 2 AML wskazano, że przez stosunki gospodarcze rozumie się stosunki instytucji obowiązanej z klientem związane z działalnością zawodową instytucji obowiązanej, które w chwili ich nawiązywania wykazują cechę trwałości.
Rozszerzanie zatem przez Bank dopuszczalności przetwarzania danych (zawartych w zapytaniu kredytowym) osoby, z którą nie zawarto umowy kredytowej, z powołaniem się na "zapewnienie bezpieczeństwa obrotu gospodarczego", a zatem szeroko rozumiane, ogólne cele, nie znajduje podstawy na gruncie RODO i jest wprost sprzeczne z zasadą ograniczenia celu (art. 5 ust. 1 lit. b RODO), w sytuacji, gdy nie ma mowy o nawiązaniu stosunku zobowiązaniowego.
Niezasadny jest również zarzut naruszenia art. 6 ust. 1 lit. c) RODO w zw. z art. 70a ust. 1 i ust. 2 Prawa Bankowego. Zgodnie z art. 70a ust. 1 Prawa bankowego, banki i inne instytucje ustawowo upoważnione do udzielania kredytów na wniosek osoby fizycznej, prawnej lub jednostki organizacyjnej niemającej osobowości prawnej, o ile posiada zdolność prawną, ubiegającej się o kredyt przekazują, w formie pisemnej, wyjaśnienie dotyczące dokonanej przez siebie oceny zdolności kredytowej wnioskującego. Zgodnie zaś z art. 70a ust. 2 Prawa bankowego, wyjaśnienie, o którym mowa w ust. 1, obejmuje informacje na temat czynników, w tym danych osobowych wnioskującego, które miały wpływ na dokonaną ocenę zdolności kredytowej.
Od dnia 29 września 2023 r. w art. 70a Prawa bankowego dodany został również ustęp 1c, który stanowi, że termin złożenia wniosku, o którym mowa w ust. 1, wynosi rok od dnia otrzymania przez wnioskującego oceny zdolności kredytowej, o której mowa w ust. 1.
Wyjaśnić należy, że powstanie obowiązku, o którym mowa w art. 70a ust. 1 Prawa bankowego, uzależnione jest od złożenia stosownego wniosku przez osobę ubiegającą się o kredyt. Wniosek taki nie został złożony, a uczestnik postępowania wniósł do Banku o usunięcie (zaprzestanie przetwarzania) swoich danych zawartych w zapytaniu kredytowym [...] maja 2023 r. W związku z odmową w tym zakresie podjął też działania przed PUODO. Z akt sprawy i całokształtu okoliczności nie wynika, aby uczestnika postępowania wystąpił do Banku o jakiekolwiek wyjaśnienie dotyczące dokonanej oceny zdolności kredytowej. Wynika zaś, że złożył do Banku żądanie usunięcia danych. Nie może być więc mowy o tym, aby w sprawie znajdował zastosowanie art. 70a ust. 1 i 2 Prawa bankowego. Kwestia zmiany brzmienia powołanego przepisu nie ma znaczenia dla rozstrzygnięcia niniejszej sprawy. Przepis art. 70a w brzmieniu wynikającym ze zmiany dokonanej art. 5 pkt 23 ustawy z dnia 16 sierpnia 2023 r. o zmianie niektórych ustaw w związku z zapewnieniem rozwoju rynku finansowego oraz ochrony inwestorów na tym rynku (Dz. U. z 2023 r., poz. 1723), nie miał zastosowania w niniejszej sprawie
i nie wpływa na jej wynik. Wynikający z nowego brzmienia przepisu terminu roku na złożenie wniosku w sprawie wyjaśnienia dotyczącego dokonanej oceny zdolności kredytowej powiązany jest ściśle przede wszystkim z momentem przekazania osobie fizycznej informacji o dokonanej ocenie zdolności kredytowej. W czasie, gdy uczestnika postępowania poinformowano o braku zdolności kredytowej, powołany przepis nie zakreślał terminu na udzielenie informacji wnioskodawcy.
Sąd, odnosząc się do zarzutów Banku naruszenia art. 6 ust. 1 lit. f) RODO w zw. z Rekomendacjami KNF S, W i T, uznaje go za niezasadny. Rekomendacje KNF nie są źródłem prawa powszechnie obowiązującego. Nie ma przy tym podstaw, aby w tym przypadku, w stanie faktycznym sprawy, wywodzić z Rekomendacji KNF – wobec osoby, z którą nie zawarto umowy kredytowej i która zażądała usunięcia danych – prawnie uzasadnione interesy Banku, o których jest mowa w art. 6 ust. 1 lit. f) RODO.
Należy podkreślić, że Rekomendacje KNF, które zawierają konkretne wymagania regulacyjne wobec narzędzi używanych przez banki, nie powinny być interpretowane
w sprzeczności z RODO w zakresie legalności przetwarzania danych (w zakresie zapytań kredytowych) osób, z którymi nie zawarto umów kredytowych, nie mogą być wykładane w sposób prowadzący do nieuprawnionego przetwarzania takich danych. Twierdzenie, że wypełnienie nakazu organu w postaci usunięcia danych osobowych uczestnika, przetwarzanych bez uzasadnionej podstawy prawnej prowadziłoby do uniemożliwienia realizacji ww. Rekomendacji KNF, nie daje podstaw do stwierdzenia o dopuszczalności "dalszego" przetwarzania na gruncie RODO danych zawartych w zapytaniu kredytowym osoby, z którą Bank nie zawarł umowy, a jednocześnie nie uzyskał zgody tej osoby na dalsze przetwarzanie jej danych osobowych, w celach innych niż te, w jakich je zgromadził. Także potrzeba realizacji działań z zakresu opracowania, utrzymania aktualności i funkcjonalności zbudowanych modeli scoringowych, nie stanowi w stanie faktycznym tej sprawy podstawy przetwarzania – w odniesieniu do danych osoby, z którą nie zawarto umowy kredytowej – w celu wynikającym z prawnie uzasadnionych interesów BIK.
Nietrafny jest przy tym zarzut Banku naruszenia art. 7, art. 7b k.p.a. w związku
z art. 8 i art. 77 k.p.a. - przez niezwrócenie się przez PUODO do KNF jako organu właściwego w sprawach związanych m.in. z badaniem zdolności kredytowej i analizy ryzyka kredytowego, a także budową modeli scoringowych, w celu wyjaśnienia stanu faktycznego oraz prawnego sprawy, mając na względzie interes społeczny
i słuszny interes obywateli, w postaci ustalenia m.in. należytych zasad, celów i zakresu przetwarzanych danych osobowych o niezrealizowanych zapytaniach kredytowych.
Zgodnie z art. 7b k.p.a., w toku postępowania organy administracji publicznej współdziałają ze sobą w zakresie niezbędnym do dokładnego wyjaśnienia stanu faktycznego i prawnego sprawy, mając na względzie interes społeczny i słuszny interes obywateli oraz sprawność postępowania, przy pomocy środków adekwatnych do charakteru, okoliczności i stopnia złożoności sprawy. W sprawie niniejszej PUODO nie miał obowiązku zwracania się do KNF ani w zakresie dokonywanych ustaleń stanu faktycznego ani w zakresie wyjaśnień stanu prawnego. PUODO jest wyspecjalizowanym organem ochrony danych osobowych, jedynym powołanym i uprawnionym do monitorowania i egzekwowania RODO, a nadto do upowszechniania wśród administratorów i podmiotów przetwarzających wiedzę o obowiązkach spoczywających na nich na mocy RODO (art. 51, art. 52, art. 57, motyw 123, motyw 129 RODO; wyroki WSA w Warszawie z 21 kwietnia 2022r. sygn. akt II SA/Wa 3131/21; 5 maja 2021r. sygn. akt II SA/Wa 1982/20 - orzeczenia.nsa.gov.pl).
Odnosząc się do zarzutu naruszenia art. 6 ust. 1 lit f. RODO, powiązany z art. 117 § 2 i § 2 1 , art. 118 i art. 119 k.c.) w nawiązaniu do wskazywanej przez Bank potrzeby przechowywania danych (zawartych w zapytaniu kredytowym z [...] maja 2023 r.) osoby, z którą nie zawarto umowy kredytowej w celu ustalenia, dochodzenia i ochrony przed roszczeniami, ewentualnego zabezpieczenia roszczeń, na wypadek konieczności obrony lub dochodzenia ewentualnych roszczeń, które mogą się pojawić w określonym czasie po przeprowadzeniu stosownej analizy zdolności kredytowej oraz analizie ryzyka kredytowego wskazania wymaga, że art. 6 ust. 1 lit. f RODO stanowi o uprawnieniu do przetwarzania, gdy jest ono niezbędne do celów wynikających z prawnie uzasadnionych interesów realizowanych przez administratora lub przez stronę trzecią, z wyjątkiem sytuacji, w których nadrzędny charakter wobec tych interesów mają interesy lub podstawowe prawa i wolności osoby, której dane dotyczą, wymagające ochrony danych osobowych, w szczególności gdy osoba, której dane dotyczą, jest dzieckiem. Za usprawiedliwiony cel w rozumieniu powołanego przepisu nie może zostać uznane przetwarzanie danych osobowych na wypadek ewentualnego dochodzenia lub obrony roszczeń. Z akt sprawy nie wynika, aby uczestnik postępowania, który zażądał usunięcia danych w zakresie zapytania kredytowego, miał jakiekolwiek roszczenie na drodze cywilnoprawnej do Banku. Uczestnik postępowania żądał natomiast usunięcia danych przetwarzanych bez podstawy prawnej. Z tego względu nie jest dopuszczalne przyjęcie, że to art. 6 ust. 1 lit. f RODO mógłby stanowić podstawę dla Banku "dalszego" przetwarzania jego danych na wypadek ewentualnego dochodzenia roszczeń. W toku postępowania administracyjnego nie wykazano, nie wynika też ze skargi, jakich ewentualnie roszczeń Bank chciałby dochodzić od osoby, która zażądała usunięcia swoich danych w zakresie tego zapytania kredytowego i z którą to osobą fizyczną nie zawarto umowy. Wskazania wymaga, że z art. 3531 k.c. wynika zasada swobody umów. Strony mogą zatem w ramach autonomii woli kształtować stosunki cywilnoprawne mocą własnych decyzji Przepis art. 3531 k.c. wskazuje na podstawowy element, jaki dla swobody umów obligacyjnych ma kompetencja stron w zakresie kształtowania treści zobowiązania. Umowy nie zawarto, zobowiązanie nie powstało. Bank nie wskazał, aby uczestnik postępowania kierował do niego jakiekolwiek roszczenia (zażądał jedynie usunięcia własnych danych osobowych, których jest wyłącznym dysponentem, w związku z tym, że ustał cel ich przetwarzania).
Ważąc interesy uczestnika postępowania, który żądał respektowania jego praw do ochrony danych osobowych wynikających z RODO i interesy Banku przedstawiane już wyżej, w sytuacji, gdy nie zawarto umowy kredytowej, brak jest podstaw do przyjęcia, że spełniona została przesłanka z art. 6 ust. 1 lit. f RODO. Sąd rozpoznający niniejszą sprawę podziela pogląd Naczelnego Sądu Administracyjnego, zgodnie z którym niedopuszczalne jest przetwarzanie danych osobowych niejako "na zapas" z założeniem, że mogą być one ewentualnie przydatne w przyszłości, na przykład z odwołaniem się do przepisów dotyczących przedawnienia roszczeń (v. wyrok NSA z dnia 27 marca 2018 r. sygn. akt I OSK 1459/16, orzeczenia.nsa.gov.pl). Wywodzenie zatem także z kwestii przedawnienia roszczeń samodzielnej podstawy do przetwarzania danych – w sytuacji, gdy mowa o danych osoby, z którą Bank nie zawarł umowy kredytowej, nie jest uprawnione i nie stanowi przesłanki do ich dalszego przetwarzania.
Celem RODO, tak, jak poprzednio Dyrektywy 95/46/WE, jest ochrona prywatności, która powinna być rozpatrywana także w świetle art. 8 Konwencji o Ochronie Praw Człowieka i Podstawowych Wolności. W sprawie tej nie istnieje tego rodzaju powiązanie pomiędzy osobą, której dane dotyczą a Bankiem, które pozwalałoby "wyprowadzić" istnienie prawnie uzasadnionego interesu po stronie Banku w "dalszym" przetwarzaniu danych tej osoby w zakresie wynikającym z zapytania kredytowego z dnia [...] maja
2023 r.
W doktrynie podkreśla się, iż "w motywie 47 preambuły do RODO wskazano, że interesy i prawa podstawowe osoby, której dane dotyczą mogą być nadrzędne wobec interesu administratora danych, w szczególności w przypadkach, gdy dane osobowe są przetwarzane, w sytuacji w której osoby, których dane dotyczą, nie mają rozsądnych przesłanek by spodziewać się dalszego przetwarzania" (v. P.Litwiński, P.Barta, M.Kawecki, Rozporządzenie UE w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i swobodnym przepływem takich danych. Komentarz, Warszawa 2018, str. 308).
W motywie 47 RODO wprost wskazuje się, że "Aby stwierdzić istnienie prawnie uzasadnionego interesu, należałoby w każdym przypadku przeprowadzić dokładną ocenę, w tym ocenę tego, czy w czasie i w kontekście, w którym zbierane są dane osobowe, osoba, której dane dotyczą, ma rozsądne przesłanki by spodziewać się, że może nastąpić przetwarzanie danych w tym celu. Interesy i prawa podstawowe osoby, której dane dotyczą, mogą być nadrzędne wobec interesu administratora danych
w szczególności w przypadkach, gdy dane osobowe są przetwarzane w sytuacji, w której osoby, których dane dotyczą, nie mają rozsądnych przesłanek, by spodziewać się dalszego przetwarzania".
Z okoliczności sprawy nie wynika, aby uczestnik postępowania mógł spodziewać się w czasie, gdy pozyskiwano od niego dane w celu oceny zdolności kredytowej i ryzyka kredytowego, że będą one "dalej" przetwarzane przez Bank, pomimo niezawarcia umowy kredytowej (v. motyw 47 RODO). Odnosząc kwestię pozyskania i przetwarzania przez Bank ściśle osobistych, dotykających prywatności danych uczestnika postępowania
w ramach zapytania kredytowego z dnia [...] maja 2023 r., nie sposób uznać za uprawnione ich dalsze przetwarzanie bez jego zgody, w sytuacji, gdy bezspornie żadne z powołanych przez Bank przepisów prawa nie dają podstaw do ich dalszego przetwarzania, i jak wynika z ustaleń faktycznych nie sposób mówić o tym, że uczestnik postępowania mógł się spodziewać ich dalszego przetwarzania.
Zdaniem Sądu, nie ma wątpliwości, że PUODO dokonał niezbędnych w sprawie ustaleń faktycznych i zebrał niezbędny materiał dowodowy, zwracał się też do Banku
o udzielenie stosownych wyjaśnień i je otrzymał. Organ rozpatrzył wszechstronnie
i należycie zgromadzony materiał dowodowy, a ocena tego materiału na gruncie przepisów RODO nie budzi - zdaniem Sądu – zastrzeżeń oraz jest prawidłowa. Odmienna ocena Banku w zakresie wykładni i zastosowania powołanych przez organ przepisów prawa nie stanowi o naruszeniu przepisów postępowania, w tym art. 7, art. 77 i art. 80 k.p.a. Zarzut naruszenia powołanych przepisów, podniesiony przez Bank nie jest więc zasadny. Organ zbadał istnienie interesu prawnego Banku do przetwarzania danych osobowych uczestnika postępowania i uznał, że w świetle obowiązujących przepisów prawa nie zachodził. PUODO nie kwestionował w zaskarżonej decyzji uprawnień instytucji finansowych do dokonywania ustaleń i ocen w zakresie zdolności kredytowej. Przedmiotem sprawy była ocena zgodności z prawem "dalszego" przetwarzania danych osobowych uczestnika postępowania zawartych w ww. zapytaniu kredytowym, bowiem to przetwarzanie danych było kwestionowane. PUODO bezspornie posiada uprawnienie do dokonania oceny w tym przedmiocie na gruncie RODO, jako organ wyspecjalizowany. Gromadząc materiał dowodowy organ ten nie był przy tym obowiązany do dokonania analizy funkcjonowania sektora finansowego pod kątem wskazywanym w skardze, bo aspekt uprawnienia Banku do oceny zdolności kredytowej i analizy ryzyka kredytowego nie budził wątpliwości.
Podkreślenia wymaga też, że niezależnie od zrozumienia dla argumentacji Banku, co do potrzeb, zamierzeń, czy celów, jakie chciałyby osiągnąć w działalności gospodarczej przez "dalsze" przetwarzanie danych osobowych zawartych w ww. zapytaniu kredytowym zaskarżona decyzja nie narusza prawa. Cel przetwarzania legalnie zebranych danych osobowych osoby fizycznej - ocena zdolności kredytowej i analizy ryzyka kredytowego - ustał. Tym samym każde inne przetwarzanie danych osobowych, w tym w innych celach niż pierwotnie przewidziane, musi mieć wyraźną podstawę prawną. PUODO wykazał natomiast, że takiej podstawy prawnej, stanowiącej przesłankę do "dalszego" przetwarzania danych osobowych uczestnika postępowania, z którym nie zawarto umowy kredytowej, nie wykazano. Podstawy tej nie stanowią też powoływane w skargach przepisy w art. 70a Prawa bankowego, AML, czy CRR, bo wynikających z nich przetworzeń danych osobowych dokonuje się w celach innych niż cele, w jakich ww. dane zebrano od uczestnika postępowania. W demokratycznym państwie prawnym nie jest dopuszczalne dowolne rozszerzanie uprawnień jakiegokolwiek podmiotu, ani organu władzy ani spółki prawa handlowego, ani żadnego innego podmiotu będącego administratorem w zakresie przetwarzania danych osobowych (art. 47, art. 51 Konstytucji RP). Dane osobowe mogą być przetwarzane co do zasady w celach, w jakich je zebrano. Cele te powinny być adekwatne i ograniczone do tego co niezbędne do ich osiągnięcia, w których zostały zebrane (art. 5 ust. 1 lit. c RODO). Przetwarzanie przez Bank "na przyszłość" danych zawartych w zapytaniu kredytowym uczestnika postępowania, w sytuacji, gdy nie zawarto umowy kredytowej z uczestnikiem postępowania, nie znajduje umocowania w żadnej przesłance z art. 6 ust. 1 RODO.
Przyjęcie natomiast interpretacji zaprezentowanej w skardze prowadziłoby do tego, że wobec osoby, której dane zawarto w zapytaniu kredytowym i z którą nie zawarto umowy kredytowej, istniałaby dowolność, tak co do zasad przetwarzania jej danych osobowych (bez jej zgody, jak można wnioskować ze stanowiska Banku zawartego w skardze), jak również co do przedstawienia innych celów przetwarzania, których nie ujawniono wprost przed pozyskaniem danych (innych niż ocena zdolności kredytowej i ryzyka kredytowego) oraz co do dowolnego ustalenia czasu przetwarzania danych z uwzględnieniem przyjmowanych celów, które służą określonym wymogom organu nadzoru nad rynkiem finansowym.
Zdaniem Sądu, gdyby PUODO nie wydał zaskarżonej decyzji, to sytuacja uczestnika postępowania – osoby fizycznej, która zwróciła się z zapytaniem kredytowym i z którą nie zawarto umowy kredytowej – byłaby gorsza z punktu widzenia ochrony danych osobowych przewidzianych w RODO i odczytywanych łącznie z ww. przepisami w art. 70a Prawa bankowego, niż sytuacja osoby, która zawarła umowę kredytową i jej zobowiązanie wygasło. W tym drugim bowiem przypadku, po wygaśnięciu zobowiązania wynikającego z danej umowy, do dalszego przetwarzania danych przez Bank niezbędna byłaby zgoda osoby, której dane dotyczą, odwołalna w każdym czasie. Uczestnik postepowania, który zażądał natomiast usunięcia swoich danych osobowych, byłby pozbawiony ochrony, choć przetwarzano jego dane w celu, który nie jest ściśle związany z konkretną czynnością, w związku z którą uzyskano i przetwarzano dane. Sąd w związku z tym uznaje, że Bank, chcąc realizować obowiązki nałożone przez instytucje nadzorcze, w zakresie prowadzonej działalności, a jednocześnie chcąc przetwarzać dane osobowe konkretnej osoby fizycznej w konkretnych okolicznościach faktycznych – uczestnika postepowania, który w związku z zapytaniem kredytowym stanowiącym podstawę do zebrania i przetwarzania danych, nie uzyskał kredytu - powinien przestrzegać przepisów RODO w zakresie "dalszego" przetwarzania, które nie wiąże się z oceną zdolności kredytowej i analizą ryzyka. Sąd podziela bowiem prezentowane w orzecznictwie poglądy, zgodnie z którymi dalsze przetwarzanie danych, uzyskanych w celu oceny zdolności kredytowej, w przypadku nie zawarcia tej umowy, pozostawałoby w oderwaniu od celu, dla którego uzyskano i przetwarzano dane osobowe uczestnika postępowania. Tym samym niedopuszczalne jest dalsze przetwarzanie danych osobowych na przyszłość, a także na potrzeby budowy oceny zdolności kredytowej innych podmiotów, jeżeli nie można zrekonstruować wyraźnej podstawy prawnej takich działań, jak miało to miejsce w sprawie (por. wyrok NSA z 27 sierpnia 2019 r. sygn. akt I OSK 2567/17, wyroki WSA w Warszawie z: 25 kwietnia 2023 r. sygn. akt II SA/Wa 1942/22 i 5 czerwca 2023 r. sygn. akt II SA/Wa 1736/22, orzeczenia.nsa.gov.pl).
Bank zarzucił w skardze również, że organ "nie ustalił, że po upływie 12 miesięcy od skierowania przez Skarżącego do Biura Informacji Kredytowej S.A. (dalej jako: "Biuro" lub "BIK") zapytania kredytowego z dnia [...] maja 2023 r. (dotyczącego wniosku o udzielnie kredytu, złożonego przez Wnioskodawcę w tym samym dniu) te zapytania zostały przekazane do tzw. części statystycznej BIK. Tym samym, w dniu wydania zaskarżonej Decyzji ([...] marca 2025 r.) - zgodnie z wiedzą Banku - informacja o ww. zapytaniu kredytowym nie była już dostępna dla innych banków lub innych właściwych podmiotów czy instytucji w BIK oraz nie wpływała na ocenę zdolności kredytowej Wnioskodawcy."
Odnośnie tego zarzutu należy zauważyć, że w odpowiedzi na skargę PUODO wyjaśnił, że pismem z dnia [...] marca 2025 r. BIK poinformował organ, iż dane osobowe uczestnika postępowania wynikające z zapytania kredytowego z dnia [...] maja 2023 r. skierowanego przez Bank, zostały usunięte przez BIK w dniu [...] marca 2025 r. BIK wykonał zatem decyzję PUODO. Zdaniem organu można z tego wywieźć, że BIK podzielił stanowisko organu, zgodnie z którym po dokonaniu oceny zdolności kredytowej i analizy ryzyka kredytowego zakończonej podjęciem decyzji o nieudzieleniu kredytu uczestnikowi postępowania, nie istniały żadne obowiązki prawne ani prawnie uzasadnione interesy, celem realizacji których niezbędne jest przetwarzanie danych przez BIK. Istotne jednak jest to, że, co słusznie zauważa PUODO w odpowiedzi na skargę, że zarzut ten dotyczy decyzji w zakresie, w jakim odnosi się ona do BIK, a nie do Banku. PUODO w zaskarżonej decyzji odniósł się natomiast do wszystkich podniesionych przez Bank celów przetwarzania danych osobowych uczestnika postępowania, wynikających z przedmiotowego zapytania kredytowego i wyjaśnił dlaczego w jego ocenie wskazane przez Bank podstawy prawne nie legitymowały procesu przetwarzania jego danych osobowych przez Bank. Dodatkowo, co również trafnie dostrzeżono w odpowiedzi na skargę, fakt przeniesienia danych do części statystycznej BIK nie zmienia oceny, że aby BIK mógł legalnie przetwarzać (w tym przechowywać) dane w. ww. części statystycznej, musiał legitymować się co najmniej jedną przesłanką, określoną w art. 6 ust. 1 RODO, przesądzająca o legalności tego procesu.
Wobec ustalenia, że Bank kontynuował proces przetwarzania danych osobowych uczestnika postępowania wynikających z ww. zapytania kredytowego, organ zasadnie skorzystał zatem z uprawnienia przewidzianego w art. 58 ust. 2 lit. c RODO i nakazał usunięcie jego danych osobowych w skarżonym zakresie.
Podsumowując Sąd stwierdza, że decyzja PUODO jest zgodna z prawem, zaś zarzuty skarg nie zasługiwały na uwzględnienie.
Mając na względzie powyższe Wojewódzki Sąd Administracyjny w na podstawie art. 151 p.p.s.a. orzekł jak w sentencji wyroku.
Źródło: Centralna Baza Orzeczeń Sądów Administracyjnych (orzeczenia.nsa.gov.pl), pozyskano 13.07.2026. · Źródło