II SA/Wa 535/25
WyrokWSA w Warszawie2025-12-02
Skład orzekający: Ewa Radziszewska-Krupa, Łukasz Krzycki, Anna Pośpiech-Kłak
Analiza orzeczenia
Sekcja wygenerowana przez AI na podstawie treści orzeczenia — nie stanowi cytatu.
Zagadnienie prawne
Czy bank i Biuro Informacji Kredytowej (BIK) mogą przetwarzać dane osobowe osoby fizycznej w zakresie zapytania kredytowego, które nie zakończyło się zawarciem umowy, w celach analizy ryzyka kredytowego, tworzenia modeli scoringowych, przeciwdziałania przestępstwom, czy dochodzenia roszczeń?Ratio decidendi
Sąd oddalił skargę banku, uznając, że Prezes UODO prawidłowo nakazał usunięcie danych osobowych, ponieważ po niezawarciu umowy kredytowej odpadła podstawa prawna do ich dalszego przetwarzania. Cele takie jak analiza ryzyka kredytowego, tworzenie modeli scoringowych, przeciwdziałanie przestępstwom czy dochodzenie roszczeń nie uzasadniają dalszego przetwarzania danych, gdy pierwotny cel (ocena zdolności kredytowej przed zawarciem umowy) został zrealizowany lub nie wystąpiły przesłanki do ich przetwarzania.Stan faktyczny
Sprawa dotyczyła skargi banku na decyzję Prezesa Urzędu Ochrony Danych Osobowych (UODO), który nakazał bankowi i Biuru Informacji Kredytowej (BIK) usunięcie danych osobowych uczestnika postępowania. Dane te zostały zebrane w związku z zapytaniem kredytowym, które nie zakończyło się zawarciem umowy. Bank i BIK argumentowały, że dalsze przetwarzanie danych jest uzasadnione celami analizy ryzyka, przeciwdziałania przestępstwom i dochodzenia roszczeń. Uczestnik postępowania domagał się usunięcia swoich danych.Rozstrzygnięcie
Oddalono skargę Banku.Pełny tekst orzeczenia
Wojewódzki Sąd Administracyjny w Warszawie w składzie następującym: Przewodniczący Sędzia WSA Ewa Radziszewska-Krupa (spr.), Sędzia WSA Łukasz Krzycki, Asesor WSA Anna Pośpiech-Kłak, , po rozpoznaniu w trybie uproszczonym w dniu 2 grudnia 2025 r. sprawy ze skargi [...]. z siedzibą we [...] na decyzję Prezesa Urzędu Ochrony Danych Osobowych z dnia [...] lutego 2025 r. [...] w przedmiocie przetwarzania danych osobowych oddala skargę
I. Stan sprawy przedstawia się następująco:
1. Prezes Urzędu Ochrony Danych Osobowych (zwany dalej "Prezesem UODO") zaskarżoną do Wojewódzkiego Sądu Administracyjnego w Warszawie decyzją wydaną [...] lutego 2025r., na mocy art. 104 § 1 ustawy z 14 czerwca 1960r. Kodeks postępowania administracyjnego (Dz.U. z 2024r., poz. 572, zwany dalej "k.p.a."), w związku z art. 7 ust. 1 i 2 ustawy z 10 maja 2018r. o ochronie danych osobowych (Dz.U. z 2019r., poz. 1781, zwana "u.o.d.o.") oraz art. 6 ust. 1 i art. 58 ust. 2 lit. c rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z 27 kwietnia 2016r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (Dz.Urz.UEL 74 z 4.03.2021, str. 35, zwane "RODO") nakazał:
1) [...] Bank [...] S.A. z siedzibą w [...] (zwany dalej "Bankiem"), usunięcie danych osobowych L. B. (zwany dalej "Uczestnikiem") w zakresie wynikającym z zapytania kredytowego z [...] grudnia 2020r.;
2) Biuru Informacji Kredytowej S.A. z siedzibą w [...] (zwany dalej "BIK") usunięcie danych osobowych Uczestnika, w zakresie wynikającym z zapytania kredytowego z [...] grudnia 2020r., przekazanego przez Bank.
W uzasadnieniu decyzji wskazano, że do organu wpłynęła skarga Uczestnika na nieprawidłowości w procesie przetwarzania jego danych osobowych Uczestnika przez Bank w zakresie zapytania kredytowego z [...] grudnia 2020r., które nie zakończyło się zawarciem umowy kredytowej, bez podstawy prawnej oraz ich udostępnieniu do BIK. Uczestnik wskazał, że po otrzymaniu negatywnej decyzji w przedmiocie udzielenia kredytu, mimo braku zawarcia umowy kredytu/pożyczki oraz braku jakiejkolwiek relacji z Bankiem, Bank bezprawnie przetwarza jego dane osobowe pozyskane w związku z ww. zapytaniem kredytowym i udostępnił je do BIK. W związku z tym Uczestnik wniósł o usunięcie ww. zapytania z baz Banku i BIK.
Bank wskazał, że pozyskał dane osobowe Uczestnika (imię i nazwisko, numer PESEL, dane dokumentu tożsamości (data urodzenia, seria i numer dowodu osobistego, data wydania i ważności dowodu osobistego), dane teleadresowe (adres zameldowania, adres korespondencyjny, numer telefonu, adres email), dane zakładu pracy, dane niezbędne do oceny zdolności kredytowej: stan cywilny, informacje o dochodzie i jego źródle, dane o obciążeniach gospodarstwa domowego) bezpośrednio od Niego w związku ze złożeniem wniosku o zawarcie umowy kredytu na zakup towarów/usług z [...] grudnia 2020r. Dane pozyskano na podstawie art. 6 ust. 1 lit. b RODO, w celu podjęcia działań na żądanie Uczestnika przed zawarciem umowy. Bank obecnie przetwarza ww. dane osobowe w celach:
a) analizy (indywidualnego i portfelowego) ryzyka kredytowego (art. 105a ust.1-1c ustawy z 29 sierpnia 1997r. Prawo bankowe (Dz.U. z 2024r., poz. 1646 ze zm.; zwana dalej "u.P.b.") w zw. z art. 6 pkt 1 lit. c RODO;
b) realizacji wymogów ostrożnościowych tj. oceny ogólnej ekspozycji i ryzyka ekspozycji Banku wynikających z rozporządzenia Parlamentu Europejskiego i Rady (UE) nr 575/2013 z 26 czerwca 2013r. w sprawie wymogów ostrożnościowych dla instytucji kredytowych oraz zmieniające rozporządzenie (UE) nr 648/2012 (Dz.U.UE.L.2013.176.1 z 2013.06.27, zwane dalej "CRR"), na podstawie art. 6 pkt 1 lit. c RODO;
c) realizacji prawa do wyjaśnienia oceny zdolności kredytowej na podstawie art. 70a u.P.b. w zw. z art. 6 pkt 1 lit. c RODO;
d) wykonywania obowiązków związanych z przeciwdziałaniem praniu pieniędzy i finansowaniu terroryzmu na podstawie art. 49 ust. 2 ustawy z 1 marca 2018r. o przeciwdziałaniu praniu pieniędzy oraz finansowaniu terroryzmu (Dz.U. z 2022r., poz. 593, zwanej dalej "AML"), w zw. z art. 6 pkt 1 lit. c RODO;
e) tworzenia modeli scoringowych i przetwarzania danych pochodzących z zapytań kredytowych dla oceny innych osób na podstawie art. 70 ust. 1 i art. 105 ust. 4 u.P.b. oraz rekomendacji T KNF, w zw. z art. 6 pkt 1 lit. c RODO;
f) rozpatrywania reklamacji oraz ustalania, obrony i dochodzenia roszczeń na podstawie art. 118 ustawy z 23 kwietnia 1964r. Kodeks cywilny (Dz.U. z 2022r., poz. 1360, zwanej dalej "k.c.") w zw. z art. 6 pkt 1 lit. f RODO.
Bank udostępnił dane osobowe Uczestnika w celu przeprowadzenia oceny zdolności kredytowej i analizy ryzyka kredytowego na podstawie art. 70 ust. 1 u.P.b. w związku z art. 105 ust. 4 oraz 105a ust. 1 u.P.b. i na podstawie umowy zawartej Bankiem a BIK. Bank udostępnił dane osobowe Uczestnika do BIK [...] grudnia 2020r. w związku z ww. zapytaniem w zakresie: imię i nazwisko, nr PESEL, dane z dokumentu tożsamości (data urodzenia, seria i nr dowodu osobistego, data wydania i ważności dowodu osobistego), dane teleadresowe (adres zameldowania i korespondencyjny, nr telefonu, adres email), dane zakładu pracy, dane niezbędne do oceny zdolności kredytowej (stan cywilny, informacje o dochodzie i jego źródle, dane o obciążeniach gospodarstwa domowego.
Zgodnie z wyjaśnieniami Banku Uczestnik zwrócił się do Banku pismem z 31 stycznia 2021r. o usunięcie ww. danych osobowych w zakresie ww. zapytania kredytowego z bazy BIK. Bank w odpowiedzi z 3 lutego 2021r. odmówił usunięcia, informując o braku podstaw. Uczestnik 13 sierpnia 2021r. ponowił żądania usunięcia danych osobowych w zakresie zapytania kredytowego z [...] grudnia 2020r. z bazy BIK. Bank w odpowiedzi z 8 września 2021r. potrzymał stanowisko i ponownie odmówił usunięcia ww. danych. Bank 7 września 2021r. otrzymał kolejny wniosek Uczestnika o analogicznej treści i w odpowiedzi z 28 września 2021r. poinformował, że usunie zapytanie kredytowe z [...] grudnia 2020r. z bazy BIK. Bank wskazał także, że nie występował wobec Uczestnika z roszczeniem i na dzień odpowiedzi nie zamierza tego robić. Bank nie może jednak wykluczyć, że takie roszczenie powstanie w przyszłości.
BIK wyjaśnił, że na podstawie art. 105 ust. 4 i art. 105 a ust. 1 u.P.b. i umowy z Bankiem pozyskał od Banku dane osobowe Uczestnika dotyczące ww. zapytania kredytowego z [....] grudnia 2020r. W związku z tym przetwarza ww. dane w celach:
1) oceny zdolności kredytowej i analizy ryzyka kredytowego:
a) konkretnego klienta (indywidualna ocena zdolności kredytowej Uczestnika),
b) w celu budowy modeli scoringowych - narzędzi wykorzystywanych przez banki do oceny zdolności kredytowej i analizy ryzyka kredytowego. BIK buduje te modele w oparciu o przetwarzane w zbiorze BIK dane, w tym dane o zapytaniach. Podstawą przetwarzania jest art. 6 ust. 1 lit. c) RODO w zw. z art. art. 105 ust. 4 i art. 105a ust. 1, 1a i 1b u.P.b., art. 171 ust. 2 i art. 144 ust. 1 lit. d, art. 145 ust. 1 i art. 147 ust. 5 lit. b CRR oraz Rekomendacja T KNF: 16.4, 1.4 a) tiret drugie, b)1.4 tiret drugie, 17.5 e) oraz wstęp do Rekomendacji);
2) przeciwdziałania przestępstwom i wykonywania obowiązków w zakresie określonym w przepisach AML na podstawie art. 106d u.P.b., art. 33 ust. 2 i art. 34 ust. 1 pkt 4 AML;
3) rozpatrywania ewentualnych reklamacji lub roszczeń odszkodowawczych klientów przez 6 lat, na podstawie art. 6 ust. 1 lit. f RODO w zw. z art. 118 k.c. w celu wypełnienia obowiązku wynikającego z art. 15 RODO w przypadku wystąpienia przez osobę, której dane dotyczą z wnioskiem o udzielenie informacji;
4) realizacji wniosków klientów banków dotyczących wyjaśnień co do oceny zdolności kredytowej, na podstawie art. 6 ust. 1 lit. f RODO w zw. z art. 70a u.P.b.
BIK wskazałam, że Bank zwrócił się do BIK o zablokowanie przetwarzania danych osobowych Uczestnika dotyczących ww. zapytania, a Uczestnik nie wystąpił o usunięcie jego danych dotyczących ww. zapytania kredytowego. Ani Uczestnik ani BIK nie wystąpili wobec siebie z roszczeniami.
Prezes UODO, wskazał w związku z tym, że przepisem uprawniającym administratorów danych do przetwarzania zwykłych danych osób fizycznych, w tym ich udostępniania, jest art. 6 ust. 1 RODO, zgodnie z którym, przetwarzanie danych jest dopuszczalne tylko wtedy, gdy spełniona jest jedna z przesłanek wskazanych w tym przepisie. Katalog przesłanek z art. 6 ust. 1 RODO, jest zamknięty. Każda z przesłanek legalizujących proces przetwarzania danych osobowych ma charakter autonomiczny i niezależny. Dodatkowo, proces przetwarzania danych osobowych musi być zgodny z zasadami ustanowionymi w art. 5 ust. 1 RODO, m.in. ograniczenie celu (art. 5 ust. 1 lit. b RODO) oraz minimalizację danych (art. 5 ust. 1 lit. c RODO). Zasady te wymagają, by dane osobowe były zbierane w konkretnych, wyraźnych i prawnie uzasadnionych celach i nieprzetwarzane dalej w sposób niezgodny z tymi celami, a proces przetwarzania danych osobowych był adekwatny, stosowny oraz ograniczony do tego, co niezbędne do celów, w których są przetwarzane. Co do zasady podstawą prawną przetwarzania przez Bank i BIK danych osobowych klientów może być art. 6 ust. 1 lit. f RODO, gdy przetwarzanie to jest niezbędne do celów wynikających z prawnie uzasadnionych interesów realizowanych przez administratora.
BIK jest instytucją utworzoną na podstawie art. 105 ust. 4 u.P.b., który stanowi, że banki mogą, wspólnie z bankowymi izbami gospodarczymi, utworzyć instytucje upoważnione do gromadzenia, przetwarzania i udostępniania bankom informacji stanowiących tajemnicę bankową w zakresie, w jakim informacje te są potrzebne w związku z wykonywaniem czynności bankowych i w związku ze stosowaniem metod wewnętrznych oraz innych metod i modeli, o których mowa w części trzeciej CRR, innym instytucjom ustawowo upoważnionym do udzielania kredytów informacji stanowiących tajemnicę bankową w zakresie, w jakim informacje te są niezbędne w związku z udzielaniem kredytów, pożyczek pieniężnych, gwarancji bankowych i poręczeń (pkt 2), instytucjom kredytowym informacji stanowiących tajemnicę bankową w zakresie niezbędnym do oceny zdolności kredytowej konsumenta, o której mowa w art. 9 ustawy z 12 maja 2011r. o kredycie konsumenckim (zwany dalej "u.k.k.") (pkt 3), instytucjom pożyczkowym i podmiotom, o których mowa w art. 59d u.k.k. na zasadzie wzajemności, informacji stanowiących odpowiednio tajemnice bankową oraz informacje udostępnione przez instytucje pożyczkowe oraz podmioty, o których mowa w art. 59d u.k.k., w zakresie niezbędnym do oceny zdolności kredytowej konsumenta, o której mowa w art. 9 u.k.k., i analizy ryzyka kredytowego (pkt 4), jednostce zarządzającej systemem ochrony lub bankowi zrzeszającemu - informacji stanowiących tajemnicę bankową w zakresie, w jakim są one niezbędne dla realizacji jej zadań określonych w art. 19 ust. 2, art. 22i ust. 1 i 3-5 oraz art. 22v ust. 2 ustawy o funkcjonowaniu banków spółdzielczych, ich zrzeszaniu się i bankach zrzeszających (pkt 5), krajowym instytucjom płatniczym, małym instytucjom płatniczym, krajowym instytucjom pieniądza elektronicznego, unijnym instytucjom płatniczym lub unijnym instytucjom pieniądza elektronicznego, w rozumieniu ustawy z 19 sierpnia 2011r. o usługach informacji stanowiących tajemnicę bankową, w zakresie niezbędnym do oceny zdolności kredytowej konsumenta, o której mowa w art. 9 u.k.k. (pkt 6).
Zgodnie z art. 105a ust. 1 u.P.b., przetwarzanie przez banki, inne instytucje ustawowo upoważnione do udzielania kredytów, instytucje pożyczkowe oraz podmioty, o których mowa w art. 59d u.k.k., a także instytucje utworzone na podstawie art. 105 ust. 4 u.P.b., informacji stanowiących tajemnicę bankową i informacji udostępnionych przez instytucje pożyczkowe oraz podmioty, o których mowa w art. 59d u.k.k., w zakresie dotyczącym osób fizycznych może być wykonywane, z zastrzeżeniem art. 104, 105 i art. 106 - 106d u.P.b., w celu oceny zdolności kredytowej i analizy ryzyka kredytowego. Zgodnie zaś z art. 105a ust. 4 u.P.b. Banki oraz instytucje, o których mowa w art. 105 ust. 4, mogą przetwarzać stanowiące tajemnicę bankową informacje dotyczące osoby fizycznej po wygaśnięciu zobowiązania wynikającego z umowy zawartej z bankiem lub inną instytucją ustawowo upoważnioną do udzielania kredytów bez zgody osoby, której informacje dotyczą, do celów stosowania metod wewnętrznych oraz innych metod i modeli, o których mowa w części trzeciej rozporządzenia nr 575/2013. Stosownie zaś do art. 105a ust. 5 u.P.b. przetwarzanie informacji stanowiących tajemnicę bankową w przypadkach, o których mowa w ust. 3, może być wykonywane przez okres nie dłuższy niż 5 lat od dnia wygaśnięcia zobowiązania, a w przypadku, o którym mowa w ust. 4, przez okres 12 lat od wygaśnięcia zobowiązania. Ponadto stosownie do art. 70 ust. 1 u.P.b. bank uzależnia przyznanie kredytu od zdolności kredytowej kredytobiorcy. Przez zdolność kredytową rozumie się zdolność do spłaty zaciągniętego kredytu wraz z odsetkami w terminach określonych w umowie.
Skoro Uczestnik [...] grudnia 2020r. wystąpił do Banku z wnioskiem o zawarcie umowy kredytu na zakup towarów/usług, to Bank i BIK, na podstawie art. 105a ust. 1 i art. 70 ust. 1 u.P.b., były uprawnione do przetwarzania Jego danych osobowych, w celu oceny zdolności kredytowej. Nie doszło jednak do zawarcia ww. umów, więc odpadła przesłanka legalizująca dalsze przetwarzanie danych osobowych Uczestnika przez Bank oraz BIK. Przesłanki z art. 105a u.P.b. dotyczą bowiem przetwarzania informacji objętych tajemnicą bankową w okresie przed powstaniem zobowiązania, w trakcie jego trwania oraz po wygaśnięciu zobowiązania. Skoro między Bankiem a Uczestnikiem nie zawiązał się stosunek zobowiązaniowy, który stosownie do art. 105a ust. 1-6 u.P.b. dawałby podstawę do dalszego przetwarzania danych osobowych, a celem przetwarzania ww. danych była wyłącznie ocena zdolności kredytowej i analizy ryzyka kredytowego, to w związku z dokonaniem przez Bank oceny zdolności kredytowej i analizy ryzyka kredytowego ww. cel przetwarzania danych osobowych został zrealizowany i brak jest podstaw prawnych do kontynuowania tego procesu.
Stanowisko Prezesa UODO ma potwierdzenie w wyroku NSA z 27 sierpnia 2019r. sygn. akt I OSK 2567/17, zgodnie z którym cel oceny zdolności kredytowej stanowi ocena zdolności do spłaty zaciągniętego kredytu wraz z odsetkami, co ma charakter czynności wstępnej do zawarcia stosownej umowy. Dalsze przetwarzanie danych uzyskanych w celu oceny zdolności kredytowej, w przypadku nie zawarcia umowy pozostawałoby w oderwaniu od celu, dla którego dane te uzyskano. Niedopuszczalne jest przetwarzanie danych osobowych na przyszłość, a także na potrzeby budowy oceny zdolności kredytowej innych podmiotów, jeżeli nie można zrekonstruować wyraźnej podstawy prawnej takich działań.
W ocenie Prezesa OUDO za podstawę przetwarzania danych osobowych Uczestnika nie mogą być uznane wskazane przez Bank i BIK cele statystyczne i analizy, w tym cel stosowania metod wewnętrznych oraz innych metod i modeli, o których mowa w części trzeciej rozporządzenia CRR. Art. 105a ust. 4 u.P.b. daje podstawy do przetwarzania informacji dotyczących osoby fizycznej stanowiących tajemnicę bankową po wygaśnięciu zobowiązania wynikającego z umowy zawartej z bankiem lub inną instytucją ustawowo upoważnioną do udzielania kredytów bez zgody osoby, której te informacje dotyczą. W sprawie nie doszło do zawarcia umowy kredytu, więc nie powstał stosunek zobowiązaniowy, o którym mowa w ww. przepisie.
Także powołane przepisy CRR nie wykazują konkretnej przesłanki uprawniającej BIK do dalszego wykorzystania danych w zakresie zapytań kredytowych niezakończonych zawarciem umowy do indywidualnej oceny zdolności kredytowej, ani do wykorzystania tego rodzaju danych osobowych do modeli scoringowych.
Prezes UODO, odnosząc się do rekomendacji KNF, wskazał, że należą one do nienormatywnych form działania administracji i podobnie, jak inne uchwały KNF, nie są źródłem ani powszechnie obowiązujących przepisów prawa, ani przepisów prawa o charakterze wewnętrznym. Ww. rekomendacje nie stanowią podstawy prawnej legalizującej przetwarzanie danych osobowych w zakresie zapytań kredytowych niezakończonych zawarciem umowy kredytu, zaś ich stosowanie nie może naruszać przepisów RODO.
Prezes UODO, odnosząc się do powoływanego celu przeciwdziałania przestępstwom i wykonywania obowiązków w zakresie określonym w art. 106d u.P.b. i AML, wskazał, że zgodnie z art. 106d u.P.b. banki, inne instytucje ustawowo upoważnione do udzielania kredytów, izby rozliczeniowe utworzone na podstawie art. 67, instytucje utworzone na mocy art. 105 ust. 4, instytucje pożyczkowe, podmioty, których podstawowa działalność polega na udostępnianiu składników majątkowych na podstawie umowy leasingu, oraz podmioty, o których mowa w art. 59d u.k.k., mogą przetwarzać i wzajemnie udostępniać informacje, w tym informacje objęte tajemnicą bankową, w przypadkach: 1) uzasadnionych podejrzeń, o których mowa w art. 106a ust. 3 u.P.b.; 2) uzasadnionych podejrzeń popełnienia przestępstw dokonywanych na szkodę banków, innych instytucji ustawowo upoważnionych do udzielania kredytów, instytucji kredytowych, instytucji finansowych, instytucji pożyczkowych oraz podmiotów, o których mowa w art. 59d u.k.k., i ich klientów, w celu i zakresie niezbędnym do zapobiegania tym przestępstwom; 3) wykonywania obowiązków w zakresie określonym w przepisach AML (ust. 1). Podmioty określone w ust. 1 mogą przetwarzać i wzajemnie udostępniać informacje, w tym informacje objęte tajemnicą bankową oraz informacje dotyczące wyroków skazujących, w przypadkach przestępstw dokonywanych na szkodę banków, innych instytucji ustawowo upoważnionych do udzielania kredytów, instytucji kredytowych, instytucji finansowych, instytucji pożyczkowych oraz podmiotów, o których mowa w art. 59d u.k.k., i ich klientów, w celu i zakresie niezbędnym do zapobiegania tym przestępstwom (ust. 2).
Zgodnie z art. 33 ust. 1 AML instytucje obowiązane stosują wobec swoich klientów środki bezpieczeństwa finansowego. Instytucje obowiązane rozpoznają ryzyko prania pieniędzy oraz finansowania terroryzmu związane ze stosunkami gospodarczymi lub z transakcją okazjonalną oraz oceniają poziom rozpoznanego ryzyka (art. 33 ust. 2 AML), natomiast środki te stosują w zakresie i z intensywnością uwzględniającymi rozpoznane ryzyko prania pieniędzy oraz finansowania terroryzmu związane ze stosunkami gospodarczymi lub z transakcją okazjonalną oraz jego ocenę (art. 33 ust. 4 AML). Na podstawie art. 35 ust. 2 AML instytucje obowiązane stosują środki bezpieczeństwa finansowego również w odniesieniu do klientów, z którymi utrzymują stosunki gospodarcze, z uwzględnieniem rozpoznanego ryzyka prania pieniędzy oraz finansowania terroryzmu, w szczególności gdy: 1) doszło do zmiany uprzednio ustalonego charakteru lub okoliczności stosunków gospodarczych; 2) doszło do zmiany uprzednio ustalonych danych dotyczących klienta lub beneficjenta rzeczywistego; 3) instytucja obowiązana była w ciągu danego roku kalendarzowego zobowiązana na podstawie przepisów prawa do skontaktowania się z klientem w celu weryfikacji informacji dotyczących beneficjentów rzeczywistych, w szczególności gdy obowiązek taki wynikał z przepisów ustawy z 9 marca 2017r. o wymianie informacji podatkowych z innymi państwami. Zgodnie z art. 34 ust. 3 AML instytucje obowiązane dokumentują zastosowane środki bezpieczeństwa finansowego oraz wyniki bieżącej analizy przeprowadzanych transakcji. Na żądanie organów, o których mowa w art. 130, instytucje obowiązane wykazują, że przy uwzględnieniu poziomu rozpoznanego ryzyka prania pieniędzy oraz finansowania terroryzmu związanego z danymi stosunkami gospodarczymi lub transakcją okazjonalną zastosowały odpowiednie środki bezpieczeństwa finansowego. Na podstawie art. 49 ust. 2 AML instytucje obowiązane przechowują wyniki analiz, o których mowa w art. 34 ust. 3 AML, przez okres 5 lat, licząc od dnia ich przeprowadzenia.
Z ww. przepisów wynika, że uprawnienie do przechowywania danych osobowych związanych z zastosowaniem środków bezpieczeństwa jest powiązane z przeprowadzeniem transakcji. W przypadku zapytań kredytowych niezakończonych zawarciem umowy nie dochodzi do przeprowadzenia transakcji. Dodatkowo nie dochodzi do nawiązania stosunków gospodarczych. Zgodnie z art. 35 ust. 1 pkt 1 AML instytucje obowiązane, w tym banki, stosują środki bezpieczeństwa finansowego w przypadku nawiązywania stosunków gospodarczych. W przypadku gdy instytucja obowiązana nie może zastosować jednego ze środków bezpieczeństwa finansowego, o których mowa w art. 34 ust. 1 AML, nie nawiązuje stosunków gospodarczych lub rozwiązuje stosunki gospodarcze (art. 41 ust. 1 pkt 1 i pkt 4 AML). Zgodnie z ustawową definicją stosunków gospodarczych, należy przez nie rozumieć stosunki instytucji obowiązanej z klientem związane z działalnością zawodową instytucji obowiązanej, które w chwili ich nawiązywania wykazują cechę trwałości (art. 2 ust. 2 pkt 20 AML).
W ocenie Prezesa UODO zapytania kredytowe, które spotkały się z decyzją odmowną w zakresie udzielenia kredytu nie posiadają cechy trwałości, które w aspekcie ww. przepisów AML uzasadniałyby dalsze przetwarzanie powiązanych z nimi danych osobowych. Zebrany w sprawie materiał dowodowy nie wykazał, aby Bank lub BIK mogły przetwarzać dane osobowe Uczestnika dotyczące ww. zapytania kredytowego, na podstawie art. 106d u.P.b. w celach przeciwdziałania przestępstwom oraz wykonywania obowiązków w zakresie określonym w przepisach AML, gdyż nie wykazały, aby zaszła którakolwiek z przesłanek określonych w ww. przepisach. W szczególności nie wykazały, aby zaszły uzasadnione podejrzenia, o których mowa w art. 106d ust. 1 pkt 1-2, oraz nie wskazały nałożonego na nie obowiązku określonego w przepisach AML, o którym mowa w art. 106d ust. 1 pkt 3 u.P.b.
Prezes UODO, odnosząc się do ustalenia, dochodzenia lub obrony roszczeń wskazał, że materiał dowodowy nie wykazał, aby Uczestnik wystąpił z roszczeniem wobec Banku i BIK, które uzasadniałoby uprawnienie tych podmiotów do zachowania i przetwarzania jego danych osobowych dla celów dowodowych w związku z dochodzeniem przez Uczestnika tego roszczenia. Bank i BIK nie wskazały także na istnienie roszczeń, których dochodzą od Uczestnika. Przesłanka z art. 6 ust. 1 lit. f RODO dotyczy sytuacji już istniejącej, w której celem wynikającym z prawnie uzasadnionych interesów realizowanych przez administratora jest konieczność udowodnienia, potrzeba dochodzenia lub obrony przed roszczeniem istniejącym, nie zaś sytuacji, gdy dane są przetwarzane w celu zabezpieczenia się przed ewentualnym roszczeniem. Prezes UODO podzielił ponadto stanowisko NSA wyrażone w wyroku z 6 marca 2019r. sygn. akt I OSK 994/17, odnoszące się do analogicznej do art. 6 ust 1 lit. f RODO przesłanki wynikającej z art. 23 ust. 1 pkt 5 u.o.d.o., dotyczącej dopuszczalności przetwarzania danych osobowych dla wypełnienia prawnie usprawiedliwionych celów realizowanych przez administratorów danych albo odbiorców danych, gdy przetwarzanie nie narusza praw i wolności osoby, której dane dotyczą. Sąd ten (LEX nr 2670498) orzekł, cyt.: "Przepis art. 23 ust. 1 pkt 5 u.o.d.o. zezwala na przetwarzanie danych gdy jest to niezbędne dla wypełnienia prawnie usprawiedliwionych celów realizowanych przez administratorów danych albo odbiorców danych, a przetwarzanie nie narusza praw i wolności osoby, której dane dotyczą. Dokonując wykładni tego przepisu zwrócił uwagę, że chodzi o realizowanie prawnie usprawiedliwionego celu, ale także dokonanie oceny czy dla realizacji tego celu niezbędne jest przekazanie danych, pomimo braku zgody osoby, której dane te dotyczą. Ocena ta sprowadza się do wyważania racji i interesów osoby, której danych sprawa dotyczy, a która jest objęta ochroną prawną, a z drugiej administratora danych, również chronionego przez prawo w zakresie w jakim może realizować prawnie usprawiedliwione cele i uprawnienia. NSA w wyroku z 23 września 2005r. sygn. akt I OSK 712/05 wskazywał też, że rozstrzygając o legalności przetwarzania danych trzeba każdorazowo, ważąc interesy stron, znaleźć równowagę między prawami i wolnościami jednostki z jednej strony a prawnie usprawiedliwionym interesem osoby trzeciej z drugiej strony. Oznacza to obowiązek zapewnienia właściwej równowagi praw i interesów stron, w tym praw podstawowych. Zdaniem NSA przetwarzanie danych osobowych osoby, która cofnęła zgodę na ich przetwarzanie, nie jest niezbędne dla wypełnienia prawnie usprawiedliwionych celów realizowanych, którym jest prawo do podjęcia obrony przed ewentualnymi roszczeniami lub zarzutami dotyczącymi przetwarzania danych, w celu obsługi wniosku kredytowego. Art. 23 ust. 1 pkt 5 u.o.d.o. na pierwszym miejscu wymienia warunek, że przetwarzanie danych winno być niezbędne dla wypełnienia prawnie usprawiedliwionych celów. Przetwarzanie danych osobowych niejako "na zapas" z założeniem, że mogą być one ewentualnie przydatne w przyszłości. Wprawdzie złożono wniosek kredytowy, ale strony nie zawarły umowy i nie powstał między stronami stosunek zobowiązaniowy. Pomiędzy stronami nie toczy się także żadne postępowanie reklamacyjne. Zatem przetwarzania danych strony, a więc na wszelki wypadek, nie można uznać za przetwarzanie niezbędne dla wypełnienia prawnie usprawiedliwionych celów. Zgodnie z art. 23 ust. 1 pkt 2 u.o.d.o. przetwarzanie danych osobowych jest dopuszczalne wtedy, gdy jest to niezbędne dla zrealizowania uprawnienia lub spełnienia obowiązku wynikającego z przepisu prawa. Przepis ten dopuszcza możliwość przetwarzania danych, uzależnia jednak legalność tego procesu od spełnienia dwóch istotnych wymogów, tj. istnienia odpowiedniego przepisu prawa, który przyznaje podmiotowi uprawnienie lub nakłada na niego obowiązek oraz niezbędności przetwarzania danych dla zrealizowania tego uprawnienia lub spełnienia obowiązku wynikającego z tego przepisu. Wymogi te powinny być spełnione łącznie.".
Zdaniem Prezesa UODO przyjęcie odmiennej interpretacji ww. przepisów, powodowałoby, że Uczestnik zostałby pozbawiony ochrony na gruncie RODO i u.o.d.o. Przyjęcie za prawidłowe stanowiska, że przetwarzanie danych osobowych, w celu uchylenia się od negatywnych skutków w przypadku zgłoszenia w przyszłości ewentualnego i nieokreślonego roszczenia, stanowi prawnie usprawiedliwiony cel w rozumieniu art. 6 ust. 1 lit. f RODO oznaczałoby, że dane osobowe Uczestnika mogą być przetwarzane przez Bank i BIK permanentnie, bez konieczności ich usunięcia. Teoretycznie możliwym jest, by Uczestnik zwrócił się do Banku lub BIK z roszczeniem po upływie terminu przedawnienia roszczenia. Prowadziłoby to do uznania, że przetwarzanie danych osobowych ma uzasadnienie w przesłance z art. 6 ust. 1 lit. f RODO, w celu realizacji prawa do obrony przed ewentualnym roszczeniem Uczestnika również po upływie ww. terminu.
Prezes UODO ocenił też, że brak jest uzasadnienia do przyjęcia, że terminy dotyczące przedawnienia roszczeń wynikających ze stosunków zobowiązaniowych określają ramy czasowe, w których dane osobowe mogą być przetwarzane przez Bank i BIK. Koniecznym jest by podnieść, że przedawnienie roszczenia nie wywołuje skutków na gruncie ochrony danych osobowych, nie wpływa bowiem na istnienie roszczenia, a powoduje jedynie zmianę w sferze zarzutów procesowych w postaci możliwości podniesienia okoliczności przedawnienia w sporze sądowym. Okolicznością usprawiedliwiającą przetwarzanie danych osobowych, w celu dochodzenia roszczeń jest istnienie roszczenia i zamiar jego dochodzenia, nie jest nią natomiast zmiana w uprawnieniach procesowych podmiotu pozwanego.
Obecnie brak jest uzasadnienia do przyjęcia, że Bank lub BIK są uprawnione do przetwarzania danych osobowych Uczestnika w związku z koniecznością ewentualnego wypełnienia obowiązku wynikającego z art. 70a ust. 1 i ust. 2 u.P.b. w brzmieniu tych przepisów, obowiązującym w dacie pozyskania danych wynikających z ww. zapytania kredytowego. Stosownie do art. 70a ust. 1 u.P.b., banki i inne instytucje ustawowo upoważnione do udzielania kredytów na wniosek osoby fizycznej, prawnej lub jednostki organizacyjnej niemającej osobowości prawnej, o ile posiada zdolność prawną, ubiegającej się o kredyt przekazują, w formie pisemnej, wyjaśnienie dotyczące dokonanej przez siebie oceny zdolności kredytowej wnioskującego. Stosownie zaś do art. 70a ust. 2 u.P.b. wyjaśnienie, o którym mowa w ust. 1, obejmuje informacje na temat czynników, w tym danych osobowych wnioskującego, które miały wpływ na dokonaną ocenę zdolności kredytowej.
Prezes UODO podzielił stanowisko doktryny, że jeśli zaś bank - w wyniku dokonanej oceny zdolności kredytowej (przeprowadzonej zgodnie z przyjętymi rekomendacjami KNF) - nie udzieli kredytu, nie dojdzie do zawarcia umowy kredytu, to stan taki nie rodzi po stronie ubiegającego się o kredyt żadnych roszczeń na drodze cywilnoprawnej. Ubiegającemu się o kredyt przysługuje tylko możliwość wnioskowania o przedstawienie na piśmie przyczyn odmowy" (B. Bajor [w:] L. Kociucki, J. M. Kondek, K. Królikowska, B. Bajor, Prawo bankowe. Komentarz do przepisów cywilnoprawnych, Warszawa 2020, art. 70(a)).
Art. 70a u.P.b. w dacie pozyskania danych osobowych, wynikających z ww. zapytania kredytowego, nie przewidywał terminu na złożenie wniosku o udzielenie informacji dotyczących odmowy udzielenia kredytu. Nie oznacza to, że dane osobowe można było przetwarzać bezterminowo, gdyż byłoby to sprzeczne z zasadą ograniczenia przechowywania, określoną w art. 5 ust. 1 lit. e). Obecnie, po nowelizacji, u.P.b., taki termin na złożenie wniosku został przewidziany. Powstanie obowiązku, o którym mowa w art. 70a ust. 1 u.P.b. uzależnione było od złożenia wniosku przez osobę ubiegającą się o kredyt. Uczestnik złożył do Banku wniosek kredytowy, w wyniku którego Bank skierował do BIK ww. zapytanie kredytowe, które ostatecznie nie zakończyło się zawarciem umowy z Bankiem. Uczestnik zwracał się do Banku o usunięcie ww. danych w zakresie dotyczącym ww. zapytania kredytowego. Proces przetwarzania danych osobowych związanych z ww. zapytaniem kredytowym zakwestionował następnie w postępowaniu, domagając się ochrony danych osobowych. Uwzględnienie żądania Uczestnika usunięcia ww. danych skutkować będzie brakiem możliwości udzielenia informacji wskazanych w art. 70a ust. 1 i 2 u.P.b., z czym Uczestnik, żądając usunięcia danych, musiał się liczyć. Uczestnik nie był i nie jest zainteresowany realizacją prawa do złożenia wniosku, o którym mowa w ww. przepisie. Ponadto art. 70a ust. 1 u.P.b. w brzmieniu obowiązującym w dacie pozyskania danych Uczestnika przez Bank, nie nakładał obowiązku na BIK, gdyż dotyczył wyłącznie banków i innych instytucji ustawowo upoważnionych do udzielania kredytów.
Zdaniem Prezesa UODO brak jest także uzasadnienia do przyjęcia, że BIK jest uprawniony do przetwarzania danych osobowych pozyskanych w związku z ww. zapytaniem, w związku z koniecznością ewentualnego wypełnienia obowiązku wynikającego żart. 15 RODO. Usunięcie przez administratora danych osobowych nie uniemożliwia mu wykonania obowiązku uregulowanego w art. 15 RODO. Przepis ten gwarantuje osobie, której dane dotyczą, prawo do uzyskania od administratora informacji, czy jej dane są przetwarzane, a w przypadku pozytywnej odpowiedzi - uprawnienie do dostępu do danych na swój temat i uzyskania informacji o okolicznościach przetwarzania danych. Jeśli administrator nie przetwarza danych dotyczących osoby, która zwraca się z żądaniem udzielenia informacji, to działanie administratora ogranicza się do odpowiedzi przeczącej i nie ma on obowiązku podawać podmiotowi danych innych informacji (tak: P. Fajgielski [w:] Ogólne rozporządzenie o ochronie danych. Ustawa o ochronie danych osobowych. Komentarz. Wolters Kluwer Polska, 2018).
W ocenie Prezesa UODO w sprawie brak jest celu uzasadniającego dalsze przetwarzanie danych osobowych Uczestnika zawartych w ww. zapytaniu kredytowym przez Bank i BIK. Bank w związku z pozyskaniem danych osobowych Uczestnika w celu oceny zdolności kredytowej stał się administratorem tych danych osobowych, a BIK stał się administratorem ww. danych osobowych, z uwagi na przekazanie ich przez Bank. W związku z tym Bank i BIK są odrębnymi administratorami, bo każdy z Nich przetwarza ww. dane osobowe samodzielnie i we własnych celach, ustalając sposoby ich przetwarzania. W odniesieniu do kwestionowanego przez Uczestnika przetwarzania jego danych osobowych przez Bank i BIK nie zaszła żadna z przesłanek wyrażonych w art. 6 ust. 1 RODO, która stanowiłaby o legalności tego procesu. Prezes UODO dlatego, korzystając z uprawnienia z art. 58 ust. 2 lit. c RODO, nakazał Bankowi i BIK usunięcie danych osobowych Uczestnika.
2. Bank w skardze do Wojewódzkiego Sądu Administracyjnego w Warszawie wniósł o uchylenie ww. decyzji Prezesa UODO w całości, zasądzenie na rzecz Banku kosztów postępowania sądowego, w tym kosztów zastępstwa procesowego, według norm przepisanych oraz opłaty skarbowej od pełnomocnictwa w wysokości 17 zł, zarzucając naruszenie:
- art. 7, art. 77 §1 i art. 80 k.p.a. - polegające na niewyczerpującym rozpatrzeniu materiału dowodowego i na jego dowolnej ocenie przejawiającej się w uznaniu, że Bank i BIK nie dysponują przestankami legalizującymi przetwarzanie danych osobowych Uczestnika, choć przetwarzanie Jego danych osobowych jest niezbędne do realizacji obowiązków prawnych ciążących na Banku i BIK;
- art. 7b k.p.a. - przez brak zwrócenia się do KNF, jako organu właściwego w sprawach związanych m.in. z badaniem zdolności kredytowej i analizą ryzyka kredytowego, a także budową modeli scoringowych oraz do Generalnego Inspektora Informacji Finansowej, jako organu właściwego w sprawach związanych m.in. z przeciwdziałaniem praniu pieniędzy i finansowaniu terroryzmu w zakresie wykorzystywania do realizacji tych zadań danych, w tym danych osobowych o niezrealizowanych zapytaniach kredytów;
- art. 6 ust. 1 lit. c RODO w zw. z art. 39 ust. 1 w zw. z art. 34 ust. 1, art. 35 ust. 1, 36 ust. 1, oraz 49 AML - przez ich niewłaściwe zastosowanie, polegające na przyjęciu, że na Banku nie ciążą obowiązki związane z przeciwdziałaniem praniu pieniędzy oraz finansowaniu terroryzmu, gdy nie doszło do zawarcia umowy pomiędzy Bankiem a klientem - gdy przepisy te nakładają na banki i BIK obowiązek przetwarzania danych osobowych w celu zapewnienia bezpieczeństwa obrotu gospodarczego przez przeprowadzenie szczegółowego badania na temat klientów, w tym przyszłych klientów, jak i badania powiązań kapitałowo-osobowych, w tym w zakresie danych dostarczanych przez Uczestnika, w tym także wtedy, gdy pomiędzy stronami nie została ostatecznie zawarta umowa;
- art. 6 ust. 1 lit. c RODO w zw. z art. 105 ust. 4 i 105a ust. 1 u.P.b. - przez ich błędną wykładnię i przyjęcie, że Bank jest jedynie obowiązany do dokonania oceny zdolności kredytowej klientów, gdy z tego przepisu wynika obowiązek dokonania także analizy ryzyka kredytowego;
- art. 6 ust. 1 lit. c RODO w zw. z art. 105 ust 4 u.P.b. - przez ich błędną wykładnię i przyjęcie, że Bank nie legitymuje się przesłanką do przetwarzania danych, gdy z tego przepisu wynika obowiązek przetwarzania danych, w tym danych z zapytań kredytowych, w zakresie, w jakim informacje te potrzebne są bankom do wykonywania czynności bankowych, w tym oceny zdolności kredytowej i analizy ryzyka kredytowego;
- art. 6 ust. 1 lit. c RODO w zw. z art. 144 ust. 1 lit. d, art. 145, art. 147 ust. 5 lit. b, art. 170 ust. 3 lit. a, ust. 4 lit. a, 171 ust. 2 oraz art. 179 ust. 1 lit. a CRR - przez ich błędną wykładnię i przyjęcie, że na Banku nie ciążą obowiązki związane z analizą ryzyka kredytowego, gdy nie doszło do zawarcia umowy przez Bank z klientem;
- art. 6 ust. 1 lit. c RODO w zw. z art. 70a u.P.b. - przez ich niewłaściwe zastosowanie, skutkujące przyjęciem, że Bank może dokonać wyjaśnienia dotyczącego dokonanej oceny zdolności kredytowej wnioskującego bez otrzymanych i przetwarzanych danych osobowych klienta, tylko wtedy, gdy zawarł on umowę z bankiem;
- art. 6 ust. 1 lit. c RODO w zw. z art. 106d u.P.b. - przez ich niewłaściwe zastosowanie skutkujące przyjęciem, że Bank nie jest uprawniony do przetwarzania danych, w tym danych osobowych zawartych w ww. wniosku kredytowym, celem wypełnienia obowiązków wynikających z u.P.b., gdy wykazuje on cel przetwarzania danych osobowych polegający na analizie danych z wniosku i analizie zapytania kredytowego w BIK w określonym czasie, w celu wykrycia nieścisłości oraz powzięcia informacji mogących stanowić o uzasadnionym podejrzeniu popełnienia przestępstw, o których mowa w art. 106d u.P.b.;
- art. 6 ust. 1 lit. c RODO w związku z Rekomendacjami S, W i T KNF, polegające na ich niewłaściwym zastosowaniu i przyjęciu, że Bank nie legitymuje się przesłanką przetwarzania danych wynikającą z art. 6 ust. 1 lit. c RODO w związku z Rekomendacjami S, W i T KNF, gdy rekomendacje te nakładają na banki, a w konsekwencji także na BIK, jako instytucję gromadzącą dane służące do oceny zdolności kredytowej oraz budującą modele scoringowe służące bankom, określone wymagania, które następnie podlegają egzekwowaniu przez KNF na podstawie bezwzględnie obowiązujących przepisów prawa.
W szerokim uzasadnieniu skargi rozwinięto przywołane wyżej zarzuty.
3. Prezes UODO w odpowiedzi na skargę wniósł o jej oddalenie, podtrzymując dotychczasową argumentację.
II. Wojewódzki Sąd Administracyjny w Warszawie zważył, co następuje.
1. Skarga nie zasługuje na uwzględnienie.
2. Należy też wyjaśnić, że Sądy administracyjne, zgodnie z art. 1 § 1 i 2 ustawy z 25 lipca 2002r. - Prawo o ustroju sądów administracyjnych (Dz.U. z 2023r., poz. 2492 ze zm.) oraz art. 3 § 1 ustawy z 30 sierpnia 2002r. Prawo o postępowaniu przed sądami administracyjnymi (Dz.U. z 2024r., poz. 935 ze zm., zwana dalej "P.p.s.a."), sprawują wymiar sprawiedliwości przez kontrolę działalności administracji publicznej. Kontrola ta polega na ocenie zgodności zaskarżonego aktu z przepisami postępowania administracyjnego, a także prawidłowości zastosowania i wykładni norm prawa materialnego.
Sąd, w myśl art. 134 § 1 P.p.s.a., rozstrzyga w granicach danej sprawy, nie będąc związany zarzutami i wnioskami skargi oraz powołaną podstawą prawną, z zastrzeżeniem art. 57a. Sąd nie może wydać orzeczenia na niekorzyść skarżącego, chyba że stwierdzi naruszenie prawa skutkujące stwierdzeniem nieważności zaskarżonego aktu lub czynności (§ 2).
3. Skarga oceniana w świetle ww. kryteriów nie zasługuje na uwzględnienie.
Po pierwsze należy zauważyć, że przesłanką oddalenia skargi, co do pkt 2 zaskarżonej decyzji był brak po stronie Banku interesu prawnego – w rozumieniu art. 50 § 1 P.p.s.a. co do możliwości zakwestionowania nałożonego na inny podmiot - BIK – obowiązku usunięcie danych osobowych Uczestnika, w zakresie wynikającym z zapytania kredytowego z [...] grudnia 2020r., przekazanego przez Bank. Wedle ustaleń Prezesa UODO, niekwestionowanych zresztą w skardze, BIK jest odrębnym administratorem danych osobowych Uczestnika, w rozumieniu art. 7 pkt 7 RODO i wykorzystuje je, według samodzielnie zdefiniowanych celów. Interes faktyczny Banku, wynikający z rzeczywistych korzyści, wiążących się z realizacją umowy pomiędzy Bankiem i BIK (stosunek obligacyjny) nie może stanowić przesłanki dla ochrony interesu Banku w postępowaniu przed Sądem administracyjnym – co do powinności, nałożonych decyzją na BIK. Uprawnienie do ochrony interesów Banku w danym zakresie przed sądem administracyjnym nie wynika także z odrębnych regulacji szczególnych. Tym samym skarga w tym zakresie podlegała oddaleniu, na mocy art. 151 P.p.s.a.
Po drugie należy wskazać, że zdaniem Sądu Prezes UODO, wydając pkt 1 zaskarżonej decyzji, nie naruszył ani przepisów postępowania w zakresie powinności właściwego wyjaśnienia stanu faktycznego sprawy (w tym uzyskania stanowisk właściwych organów), czy uzasadnienia zaskarżonej decyzji, ani też przepisów prawa materialnego, zakreślających ramy przetwarzania danych osobowych oraz zakres kompetencji wyspecjalizowanego organu administracji dla stosowania środków naprawczych - nakazu usunięcia danych osobowych przetwarzanych bez podstawy prawnej, na podstawie art. 58 ust. 2 lit. c RODO.
W sprawie bezsporne są jej istotne okoliczności faktyczne - w zakresie, gdzie skierowana do wyspecjalizowanego organu skarga dotyczyła przetwarzania przez Bank i BIK danych Uczestnika – osoby, z którą nie zawarto umowy kredytowej - zgromadzonych wobec rozpatrywania ww. wniosku kredytowego.
Spór w sprawie sprowadza się do tego, czy - w takim stanie faktycznym - istnieje podstawa formalnoprawna do przetwarzania danych osobowych - upatrywana przez Bank w przesłankach wymienionych w art. 6 ust. 1 lit. c bądź f RODO.
Zdaniem Sądu w uzasadnieniu zaskarżonej decyzji Prezes UODO trafnie wskazał oraz zaprezentował właściwą interpretację regulacji normatywnych, zakreślających ramy możliwości przetwarzania danych osobowych - gdy nie doszło do zawarcia umowy kredytowej, a wniosek kredytowy został złożony. Wobec szerokiego zreferowania argumentacji organu w części wstępnej niniejszego uzasadnienia jej powtarzanie jest bezzasadne. Sąd przyjmuje tę argumentację, uznając ją za prawidłową.
Sąd, odnosząc się do poszczególnych zarzutów skargi, wskazuje, że są one nieuzasadnione. Sąd podkreśla ponadto, że Naczelny Sąd Administracyjny w analogicznej sprawie - wobec w istocie tożsamych zarzutów oddalił - wyrokiem z 1 października 2025r. sygn. akt III OSK 1552/22 (dostępny na www.oczeczenia.nsa.gov.pl) - skargę kasacyjną. W uzasadnieniu orzeczenia zawarto m.in. następujące stwierdzenia i oceny:
- "[...] Prezes UODO jest wyspecjalizowanym organem w sprawach ochrony danych osobowych, który ma status i kompetencje organu nadzorczego określone w przepisach RODO. Z tego względu [...] jest uprawniony do samodzielnego dokonywania interpretacji przepisów prawa w zakresie dotyczącym ochrony danych osobowych. W sprawie niniejszej [...] nie miał zatem obowiązku zwracania się do KNF ani w zakresie dokonywanych ustaleń stanu faktycznego, ani w zakresie wyjaśnień stanu prawnego.",
- "[...] przepisy prawa bankowego przewidują w art. 105 ust. 4 Prawa bankowego podmiot, który może przetwarzać dane osobowe uzyskiwane w trakcie świadczenia usług bankowych, zaś w art. 105a ust. 1-6 Prawa bankowego regulują szczegółowe warunki, zakres, okoliczności i czas przetwarzania tych danych osobowych. [...] przepisy te odnoszą się wyłącznie do przetwarzania danych osobowych klientów banku, z którymi doszło do nawiązania relacji prawnej o charakterze zobowiązaniowym. Interpretacja tych przepisów z zastosowaniem reguł wykładni językowej prowadzić musi do wniosku, iż nie jest dopuszczalne przetwarzanie danych osobowych klientów banków, z którymi nie doszło do nawiązania przez bank stosunku zobowiązaniowego. Bank ani podmiot, o którym mowa w art. 105 ust. 4 Prawa bankowego nie ma "obowiązku prawnego" w rozumieniu art. 6 ust. 1 lit. c RODO przetwarzania danych osobowych klienta banku, z którym nie doszło do nawiązania relacji prawnej zobowiązaniowej, gdyż przepisy art. 105a ust. 1-6 Prawa bankowego nie zawierają upoważnienia dla administratora do przetwarzania danych osobowych takiego klienta, ograniczając swój zakres wyłącznie do klientów, którzy zawarli umowę z bankiem.",
- "[...] przesłanki zawarte w art. 105a Prawa bankowego dotyczą przetwarzania informacji objętych tajemnicą bankową w okresie przed powstaniem zobowiązania, w trakcie jego trwania oraz po wygaśnięciu zobowiązania. [...] wszelkie regulacje znoszące ochronę danych osobowych muszą być odczytywane i wykładane ściśle, z uwzględnieniem funkcji jakiej mają służyć. Zatem w sytuacji, gdy w następstwie złożenia wniosku kredytowego nie dochodzi do zawarcia umowy kredytowej brak jest ustawowych przesłanek legalizujących dalsze przetwarzanie danych osobowych wnioskującego o zawarcie i wykonanie umowy produktowej w zakresie zapytania kredytowego przez [...]., a następczo BIK. Brak jest również uzasadnienia dla przyjęcia, że [...]. jest uprawniony do przetwarzania danych osobowych w związku z koniecznością ewentualnego wypełnienia obowiązku wynikającego z art. 70a ust. 1 i ust. 2 Prawa bankowego. Wnioskodawczyni w niniejszej sprawie wykazała w sposób jednoznaczny wolę usunięcia danych, a zatem przyjąć należy, że nie jest zainteresowana realizacją prawa do wyjaśnienia dotyczącego dokonanej oceny zdolności kredytowej, w myśl art. 70a ust. 1 i 2 Prawa bankowego.",
- "[...] skoro nie doszło do zawarcia umowy kredytowej nie może być wątpliwości, że ocena zdolności kredytowej i analiza ryzyka kredytowego zostały dokonane (zrealizowane). Cel przetwarzania danych, dla którego zostały one zgromadzone w zapytaniach kredytowych, został tym samym osiągnięty. Odpadła przesłanka legalizująca dalsze przetwarzanie danych osobowych wnioskodawczyni przez [...]. oraz BIK., które to przetwarzanie miało na celu ocenę zdolności kredytowej i analizę ryzyka kredytowego (przed zawarciem umowy). Pomiędzy [...]. a wnioskodawczynią nie nawiązał się żaden stosunek zobowiązaniowy, który stosownie do art. 105a ust. 1-5 Prawa bankowego dawałby podstawę do dalszego przetwarzania jej danych osobowych [...] ocena zdolności kredytowej i ryzyka kredytowego ma charakter czynności wstępnych przed zawarciem umowy przez [...]. Dalsze przetwarzanie danych (uzyskanych pierwotnie wyłącznie w celu oceny zdolności kredytowej i analizy ryzyka kredytowego) w przypadku braku zawarcia stosownej umowy, pozostaje w oderwaniu od celu, dla którego dane zostały zebrane.",
- "[...] art. 105 ust. 4 Prawa bankowego jest przepisem o charakterze ogólnym, który stanowi o możliwości utworzenia wspólnie z bankowymi izbami gospodarczymi, instytucji upoważnionych do gromadzenia, przetwarzania i udostępniania danych. Przepis ten nie daje podstaw do nieograniczonego przetwarzania wszelkich danych osobowych przez utworzone instytucje. Ponadto przepis art. 105 ust. 4 Prawa bankowego nie stanowi o dopuszczalności przetwarzania danych osobowych dotyczących wniosków kredytowych w sytuacji, gdy nie doszło do zawarcia umowy z Bankiem [...]. Zasady przetwarzania danych objętych tajemnicą bankową określa art. 105a Prawa bankowego. Na gruncie tego przepisu należy oceniać zatem dopuszczalność przetwarzania poszczególnych danych osobowych w określonych ściśle celach. Nadto przepis art. 105 ust. 4 ww. ustawy nie jest przepisem samodzielnie wprowadzającym kolejny podmiot, który ma dostęp do danych stanowiących tajemnicę bankową.",
- "Z art. 70a ust. 1c [Prawa bankowego] wynika, że wnioskujący o kredyt ma rok od dnia otrzymania oceny zdolności kredytowej, aby złożyć wniosek by otrzymać taką ocenę w formie pisemnej. Tym samym banki i instytucje ustawowo upoważnione do udzielania kredytów mogą przez ten okres przetwarzać dane wnioskodawcy, w zakresie jaki jest niezbędny, dla udostępnienia mu w formie pisemnej oceny jego zdolności kredytowej.",
- "Za niezasadne uznać należy argumenty dotyczące naruszenia art. 6 ust. 1 lit. c RODO w związku z przepisami ustawy AML oraz przepisami rozporządzenia CRR. [...] przedmiotem oceny organu a następnie Sądu I instancji była zgodność z prawem przetwarzania danych osobowych w świetle uprawnień przyznanych skarżącym kasacyjnie przez ustawę - Prawo bankowe, a nie sposobu funkcjonowania mechanizmów kredytowych i ustalenia, jakie dane są potrzebne [...] i BIK dla zapewnienia prawidłowego działania tych mechanizmów. Również odwoływanie się do konieczności przetwarzania danych osobowych wnioskodawcy w zakresie pytań kredytowych po dokonaniu weryfikacji zdolności kredytowej dla potrzeb tworzenia modeli scoringowych jest nieuprawnione.",
- "Odnosząc się z kolei do zarzutów w zakresie naruszenia art. 6 ust. 1 lit. f ODO w zw. z art. 1 ust. 2 pkt 1 oraz art. 2 ustawy o nadzorze nad rynkiem finansowym w związku z art. 137 ust. 1 pkt 5 Prawa bankowego w zw. z Rekomendacjami S, W i T Komisji Nadzoru Finansowego wyjaśnić należy, że źródłami powszechnie obowiązującego prawa w Rzeczypospolitej Polskiej są: Konstytucja, ustawy, ratyfikowane umowy międzynarodowe oraz rozporządzenia (art. 87 ust. 1 Konstytucji RP z dnia 2 kwietnia 1997 r.; Dz.U. Nr 78, poz. 483 ze zm.). Nie ulega zatem wątpliwości, że rekomendacje KNF nie są aktami prawa powszechnie obowiązującego. Nie mieszczą się bowiem w zamkniętym katalogu źródeł powszechnie obowiązującego prawa Rzeczypospolitej Polskiej, określonym w art. 87 Konstytucji RP. Ponadto wydaje je organ, który nie ma stosownego umocowania konstytucyjnego.",
- "Naczelny Sąd Administracyjny docenia i rozumie kwestie związane z bezpieczeństwem depozytów, stabilnością sektora bankowego, koniecznością prowadzenia analiz statystycznych, dokonaniem oceny zdolności kredytowej oraz ryzyka kredytowego, tworzenia baz danych (także korzystania z zewnętrznych baz danych np. [...]), czy też budową modeli scoringowych. Elementy te nie są jednak wartościami nadrzędnymi wobec prawa osoby fizycznej do ochrony danych osobowych. Prawo do ochrony danych osobowych jest prawem gwarantowanym zarówno w krajowym, jak i unijnym porządku prawnym. Na płaszczyźnie krajowej regulacji prawo do ochrony danych osobowych znajduje oparcie w przepisie art. 51 Konstytucji RP. Przepis ten określa podstawowe uprawnienia składające się na prawo do ochrony danych osobowych, w kwestiach szczegółowych odsyłając do regulacji ustawowej.",
- "Zarzut naruszenia art. 106d Prawa bankowego [...] z treści tego przepisu wynika, że dopuszcza on przetwarzanie danych osobowych w przypadku uzasadnionego podejrzenia łamania prawa lub działania na szkodę banku. W niniejszej sprawie takie okoliczności nie wystąpiły.",
- "Jak zostało wykazane, skarżący kasacyjnie nie posiada wobec wnioskodawczyni żadnego aktywnego roszczenia cywilnoprawnego stąd powoływanie się na przepisy regulujące jego przedawnienie - art. 117 § 2 i 21, 118 i 119 Kodeksu cywilnego - jest z założenia nie skuteczne.".
Wojewódzki Sąd Administracyjny w Warszawie, rozpoznając skargę Banku na ww. decyzję Prezesa UODO z [...] lutego 2025r., w pełni podziela powyższe stanowisko Naczelnego Sądu Administracyjnego, uznając za własną przyjętą w ww. wyroku argumentację NSA, co do zarzutów podnoszonych przez Bank w niniejszej skardze. Sąd wskazuje ponadto, że w analogicznych stanach faktycznych (w zakresie zapytania kredytowego, które nie zakończyło się zawarciem umowy kredytowej) oraz w związku z analogicznymi zarzutami do podnoszonych w niniejszej skardze wypowiadały się inne składy Naczelnego Sądu Administracyjnego, a linia orzecznicza Sądu drugiej instancji jest jednolita (por. m.in. wyroki NSA w sprawach o sygn. akt III OSK 165/22, 984/22, III OSK 1522/22 oraz III OSK 1877/22 – dostępne na www.orzeczenia.nsa.gov.pl). Stanowisko to również należy podzielić i stwierdzić, że ma ono zastosowanie do podnoszonych w niniejszej skardze zarzutów, których z tego powodu nie można uznać za zasadne.
Sąd wydając w sprawie ze skargi Banku wyrok miał też na uwadze regułę pewności prawa, wyprowadzaną z konstytucyjnej zasady demokratycznego państwa prawa – z art. 2 Konstytucji RP - materializującej się m.in. w jednolitości orzecznictwa sądów w tożsamych sprawach. Stronami postępowań przed NSA były także osoby, żądające usunięcia swoich danych wobec nie zawarcia umowy kredytu, ale w związku z wystąpieniem z zapytaniem kredytowym.
Sąd podziela wobec tego w pełni sformułowane w uzasadnieniu ww. wyroku NSA z 1 października 2025r. sygn. akt III OSK 1552/22 oceny prawne. Czyni to zarzuty skargi – zarówno, co do naruszenia przepisów prawa materialnego, jak i postępowania - chybionymi. Sąd wskazuje ponadto, że wobec zarzutów skargi, ani też z urzędu, nie dopatrzył się w zaskarżonej decyzji wad, które przemawiałoby za jej wyeliminowaniem z obrotu prawnego. Przeszkodą dla dalszego przetwarzania danych osobowych klienta banku – Uczestnika - w sytuacji, gdy nie doszło do zawarcia umowy kredytowej - do oceny ryzyka kredytowego, w tym tworzenia modeli scoringowych, w kontekście doskonalenia metod ostrożnościowych - jest w istocie obecne brzmienie przepisów u.P.b. (w szczególności art. 105a), które należy wykładać zgodnie z wyrażonymi wprost w Konstytucji RP zasadami ochrony danych osobowych. Ewentualne więc poszerzenie zakresu przetwarzania tych danych, jeżeli faktycznie wynika to z potrzeby realizacji nadrzędnego interesu publicznego, jako dobra chronionego także ustawą zasadniczą, wymaga wobec tego stosownych zmian regulacji na szczeblu ustawowym. Jest więc wyłącznie postulatem do prawodawcy - de lege ferenda.
3. Sąd, z przytoczonych wyżej przyczyn - na podstawie art. 151 P.p.s.a. - orzekł, jak w sentencji.
Źródło: Centralna Baza Orzeczeń Sądów Administracyjnych (orzeczenia.nsa.gov.pl), pozyskano 14.07.2026. · Źródło