II SA/Wa 608/25
WyrokWSA w Warszawie2025-12-09
Skład orzekający: Ewa Radziszewska-Krupa, Izabela Głowacka-Klimas, Dorota Kozub-Marciniak
Analiza orzeczenia
Sekcja wygenerowana przez AI na podstawie treści orzeczenia — nie stanowi cytatu.
Zagadnienie prawne
Czy bank może przetwarzać dane osobowe osoby fizycznej w związku z zapytaniem kredytowym, które nie zakończyło się zawarciem umowy kredytowej, w celach innych niż pierwotnie zebrane, takich jak obrona przed ewentualnymi przyszłymi roszczeniami?Ratio decidendi
Przetwarzanie danych osobowych osoby fizycznej w związku z zapytaniem kredytowym, które nie zakończyło się zawarciem umowy, jest legalne jedynie w celu oceny zdolności kredytowej i analizy ryzyka kredytowego. Po zrealizowaniu tego celu i braku zawarcia umowy, dalsze przetwarzanie danych w innych celach, w tym na potrzeby obrony przed hipotetycznymi przyszłymi roszczeniami, nie znajduje podstawy prawnej w RODO ani w Prawie bankowym, a interes osoby, której dane dotyczą, jest nadrzędny.Stan faktyczny
Bank S.A. przetwarzał dane osobowe J.S. w związku z zapytaniem kredytowym, które nie zakończyło się zawarciem umowy. Prezes Urzędu Ochrony Danych Osobowych nakazał Bankowi usunięcie tych danych, uznając brak podstawy prawnej do ich dalszego przetwarzania. Bank zaskarżył decyzję, argumentując, że przetwarzanie danych jest niezbędne do celów obrony przed ewentualnymi roszczeniami oraz do wypełnienia obowiązku informacyjnego wynikającego z Prawa bankowego. Sąd administracyjny oddalił skargę Banku.Rozstrzygnięcie
Oddalił skargę Banku S.A. na punkt 1 decyzji Prezesa Urzędu Ochrony Danych Osobowych.Pełny tekst orzeczenia
Wojewódzki Sąd Administracyjny w Warszawie w składzie następującym: Przewodniczący Sędzia WSA Ewa Radziszewska-Krupa (spr.), Sędzia WSA Izabela Głowacka-Klimas, Asesor WSA Dorota Kozub-Marciniak, , Protokolant starszy specjalista Elwira Sipak, po rozpoznaniu na rozprawie w dniu 9 grudnia 2025 r. sprawy ze skargi Banku [...] S.A. z siedzibą w [...] na punkt 1 decyzji Prezesa Urzędu Ochrony Danych Osobowych z dnia [...] lutego 2025 r. nr [...] w przedmiocie przetwarzania danych osobowych oddala skargę
I. Stan sprawy przedstawia się następująco:
1. Prezes Urzędu Ochrony Danych Osobowych (zwany dalej "Prezesem UODO") decyzją z [...] lutego 2025r. nr [...]., działając m.in. na podstawie art. 7 ust. 1 i 2 ustawy z 10 maja 2018r. o ochronie danych osobowych (Dz.U. z 2019r., poz. 1781, zwanej dalej "u.o.d.o."), art. 6 ust. 1 i art. 58 ust. 2 lit. c) rozporządzenia Parlamentu Europejskiego i Rady (UE) nr 2016/679 z 27 kwietnia 2016r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz. Urz. UE L 119 z 4.05.2016, str. 1, zwane dalej "RODO") nakazał w punkcie 1) Bankowi [...] S.A. z siedzibą w [...] (zwany dalej "Bankiem") usunięcie danych osobowych J. S. (zwany dalej "Uczestnikiem") w zakresie wynikającym z zapytania kredytowego z [...] listopada 2021r.
Prezes UODO w uzasadnieniu decyzji podniósł, że Uczestnik w skardze z [...] grudnia 2021r. wskazał, że Bank przetwarza jego dane osobowe wynikające z ww. zapytania kredytowego, choć nie doszło do zawarcia umowy kredytowej. Bank udostępnia te dane w bazie BIK, pomimo wniosku o zaprzestanie przetwarzania danych w zakresie ww. wniosku. Wobec tego Uczestnik wniósł o nakazanie Bankowi usunięcia jego danych osobowych dotyczących ww. zapytania kredytowego.
Bank w wyjaśnieniach wskazał, że pozyskał dane osobowe Uczestnika w postaci: (1) imienia, nazwiska, nr PESEL, daty i miejsca urodzenia; serii i nr dokumentu tożsamości, obywatelstwa; 2) nr telefonu, adresu zamieszkania, adresu korespondencyjnego; 3) danych dotyczących zatrudnienia; 4) danych finansowych: źródło dochodu, wysokość dochodu, miesięczne koszty utrzymania i zobowiązania; 5) stanu cywilnego, imienia ojca, imienia matki, nazwiska panieńskiego matki, wykształcenia; 6) danych pozyskanych z BIK w związku z zapytaniem kredytowym (dane identyfikacyjne Uczestnika, podsumowanie kredytowe osoby fizycznej zawierające dane o zapytaniach kredytowych Uczestnika z ostatnich 12 miesięcy i dane dotyczące zobowiązań finansowych Uczestnika przetwarzane w BIK, zgodnie ze stanem na [...] listopada 2021r.) bezpośrednio od Uczestnika w związku ze złożeniem wniosku o pożyczkę nr [...] za pośrednictwem infolinii Banku. Negatywną decyzję kredytową podjęto [...] grudnia 2021r. Bank wyjaśnił, że aktualnie przetwarza ww. dane osobowe Uczestnika wynikające z zapytania kredytowego w celu i na podstawie:
a) analizy ryzyka kredytowego na podstawie art. 6 ust. 1 lit. c RODO, zgodnie z art. 105a ust. 1-1c ustawy z 29 sierpnia 1997r. Prawo bankowe (Dz.U. z 2024r., poz. 1646 ze zm.; zwana dalej "u.P.b.") w związku z art. 180 ust. 2 lit. e i art. 145 ust. 1 rozporządzenia Parlamentu Europejskiego i Rady (UE) nr 575/2013 z 26 czerwca 2013r. w sprawie wymogów ostrożnościowych dla instytucji kredytowych oraz zmieniające rozporządzenie (UE) nr 648/2012 (Dz.U.UE.L.2013.176.1 z 2013.06.27, zwane dalej "CRR"); Bank ma obowiązek przetwarzać dane przez 5 lat od ich zebrania.
b) informacyjnych - w celu wykonania obowiązku z art. 70a u.P.b.
c) archiwalnych i dowodowych, w szczególności w celu ustalenia, dochodzenia i obrony roszczeń zgodnie z terminami przedawnienia roszczeń określonymi w art. 118 ustawy z 23 kwietnia 1964r. Kodeks cywilny (Dz.U. z 2025r., poz. 1071; zwana dalej "k.c.") w związku z wejściem w życie 9 lipca 2018r. nowelizacji - tj. ustawy z 13 kwietnia 2018r. o zmianie ustawy - Kodeks cywilny oraz niektórych innych ustaw (art. 5) oraz w związku z realizacją reklamacji na podstawie art. 6 ust. 1 lit. f RODO. Do okresu retencji ma zastosowanie okres przedawnienia roszczeń, liczony w sprawie dla poszczególnych zapytań kredytowych od dnia ich złożenia.
Bank przekazał dane Uczestnika do BIK [...] listopada 2021r., w tym informację w zakresie imienia, nazwiska, nr PESEL, rodzaju i numeru dokumentu tożsamości, daty urodzenia, adresu zamieszkania oraz informacji o wnioskowanym produkcie w związku ze złożonym przez Skarżącego wnioskiem.
BIK przetwarza także dane dotyczące samego zapytania, w tym jego numer referencyjny, datę złożenia, ID operatora, itd. Pierwotnym celem przekazania do BIK i przetwarzania danych wskazanych we wnioskach kredytowych (złożenie zapytań kredytowych w BIK) jest wypełnienie obowiązku oceny zdolności kredytowej, o którym mowa w art. 70 ust. 1 u.P.b. (obowiązku Banku w zakresie zbadania i uzależnienia przyznania kredytu od zdolność kredytowej kredytobiorcy - zarówno w oparciu o dane własne Banku, jak i dane zgromadzone w BIK (art. 105 ust.4 P. b.). BIK wskazał, że przetwarza dane osobowe Uczestnika w zakresie zapytania kredytowego objętego skargą, które pozyskał od Banku na podstawie art. 105 ust. 4 u.P.b., art. 105a ust. 1 u.P.b. oraz na podstawie łączącej Bank i BIK umowy. BIK wskazał, że przetwarza dane osobowe Uczestnika w celach:
a) oceny zdolności kredytowej i analizy ryzyka kredytowego: przez 12 miesięcy od dnia złożenia zapytania w celu oceny zdolności kredytowej i analizy ryzyka kredytowego konkretnego klienta (indywidualna ocena zdolności kredytowej Skarżącego); nie krócej niż 5 lat i nie dłużej niż 10 lat od dnia złożenia zapytania, w celu budowy modeli scoringowych, a więc narzędzi wykorzystywanych przez banki do oceny zdolności kredytowej i analizy ryzyka kredytowego. BIK buduje modele w oparciu o przetwarzane w zbiorze BIK dane, w tym dane o złożonych zapytaniach. BIK wskazał, że na konieczność wykorzystania własnych i zewnętrznych baz danych przy ocenie zdolności kredytowej wskazuje również Komisja Nadzoru Finansowego (dalej: "KNF") w Rekomendacji T dotyczącej dobrych praktyk w zakresie zarządzania ryzykiem detalicznych ekspozycji kredytowych, powołując się na Rekomendacje 10,16.4,1.4 a) tiret drugie, 1.4 b) tiret drugie, 17.5 e) oraz wstęp do Rekomendacji); Podstawą przetwarzania danych przez BIK w celu oceny zdolności kredytowej i analizy ryzyka kredytowego jest art. 6 ust. 1 lit. c) RODO w zw. z art. art. 105 ust. 4 oraz art. 105a ust. 1, 1a i 1b u.P.b., art. 171 ust. 2 CRR, 144 ust. 1 lit. d CRR, art. 145 ust. 1 CRR oraz art. 147 ust. 5 lit. b CRR;
b) statystycznych i stosowania metod wewnętrznych oraz innych metod i modeli; dane w tych celach są przetwarzane maksymalnie przez okres 10 lat od dnia złożenia zapytania. Podstawą prawną przetwarzania danych osobowych jest prawnie uzasadniony interes administratora danych (art. 6 ust. 1 lit f RODO) wynikający z przepisów u.P.b. (w tym art. 105 ust. 1 i 105a ust. 4), polegający na dostarczaniu bankom analiz pozwalających ocenić w szczególności jakość polityki kredytowej na tle rynku, trendy występujące w sektorze bankowym oraz identyfikować zagrożenia płynące z zachowań kredytowych klientów w innych bankach, czy określić maksymalne kwoty kredytów i pożyczek, dla których bank może stosować uproszczone zasady oceny zdolności kredytowej;
c) przeciwdziałania przestępstwom oraz wykonywania obowiązków w zakresie określonym w przepisach o przeciwdziałaniu - praniu pieniędzy oraz finansowaniu terroryzmu na podstawie art. 106d u.P.b. oraz art. 33 ust. 2, art. 34 ust. 1 pkt 4 ustawy z 1 marca 2018r. o przeciwdziałaniu praniu pieniędzy oraz finansowaniu terroryzmu (Dz.U. 2024 r. poz. 850 ze zm., zwana dalej "AML). BIK wskazał, że aby móc zrealizować cele z art. 106d u.P.b., dane pochodzące z wszystkich wniosków kredytowych należy przetwarzać przez okres 12 miesięcy. Natomiast na podstawie przepisów ustawy AML przez okres 5 lat;
d) rozpatrywania ewentualnych reklamacji lub roszczeń odszkodowawczych klientów, których termin przedawnienia zgodnie z art. 118 k.c. wynosi 6 lat (cele dowodowe). BIK wskazał, że podstawę prawną stanowi w tym przypadku art. 6 ust. 1 lit. f RODO, a dodatkową przesłanką jest konieczność wypełnienia ustawowego obowiązku wynikającego żart. 15 RODO w przypadku wystąpienia przez osobę, której dane dotyczą z wnioskiem o udzielenie informacji;
e) realizacji wniosków klientów banków dotyczących wyjaśnień dokonanej oceny zdolności kredytowej na podstawie art. 70a u.P.b. Ani Bank ani Uczestnik nie zwracał się do BIK z wnioskiem o usunięcie danych o ww. zapytaniu. Uczestnik zwracał się do BIK wielokrotnie z różnymi zapytaniami i z wnioskami o realizację jego praw. W żadnym ze zgłoszeń nie zawarł żądania usunięcia danych ze wskazaniem na ww. zapytanie kredytowe, pochodzące z Banku.
Prezes UODO wskazał w związku z tym, że przepisem uprawniającym administratorów danych do przetwarzania zwykłych danych osób fizycznych jest art. 6 ust. 1 RODO, zgodnie z którym, przetwarzanie danych jest dopuszczalne tylko wtedy, gdy spełniona jest jedna z przesłanek wskazanych w tym przepisie. Katalog przesłanek wymienionych w art. 6 ust. 1 RODO, jest zamknięty. Każda z przesłanek legalizujących proces przetwarzania danych osobowych ma charakter autonomiczny i niezależny. Dodatkowo, proces przetwarzania danych osobowych musi być zgodny z zasadami ustanowionymi w art. 5 ust. 1 RODO. Do zasad tych zalicza się między innymi ograniczenie celu (art. 5 ust. 1 lit. b RODO) oraz minimalizację danych (art. 5 ust. 1 lit. c RODO). Wspomniane zasady wymagają, by dane osobowe były zbierane w konkretnych, wyraźnych i prawnie uzasadnionych celach i nieprzetwarzane dalej w sposób niezgodny z tymi celami, a proces przetwarzania danych osobowych był adekwatny, stosowny oraz ograniczony do tego, co niezbędne do celów, w których są przetwarzane. Podstawą prawną przetwarzania danych osobowych klientów przez Bank i BIK, co do zasady, jest art. 6 ust. 1 lit. f RODO - przetwarzanie jest niezbędne do celów wynikających z prawnie uzasadnionych interesów realizowanych przez administratora.
BIK jest instytucją utworzoną na podstawie art. 105 ust. 4 u.P.b., który stanowi, że banki mogą, wspólnie z bankowymi izbami gospodarczymi, utworzyć instytucje upoważnione do gromadzenia, przetwarzania i udostępniania bankom informacji stanowiących tajemnicę bankową w zakresie, w jakim informacje te są potrzebne w związku z wykonywaniem czynności bankowych oraz w związku ze stosowaniem metod wewnętrznych oraz innych metod i modeli, o których mowa w części trzeciej rozporządzenia nr 575/2013, innym instytucjom ustawowo upoważnionym do udzielania kredytów informacji stanowiących tajemnicę bankową w zakresie, w jakim informacje te są niezbędne w związku z udzielaniem kredytów, pożyczek pieniężnych, gwarancji bankowych i poręczeń (pkt 2), instytucjom kredytowym informacji stanowiących tajemnicę bankową w zakresie niezbędnym do oceny zdolności kredytowej konsumenta, o której mowa w art. 9 ustawy z 12 maja 2011r. o kredycie konsumenckim (zwany dalej "u.k.k.") (pkt 3), instytucjom pożyczkowym i podmiotom, o których mowa w art. 59d u.k.k. na zasadzie wzajemności, informacji stanowiących odpowiednio tajemnice bankową oraz informacje udostępnione przez instytucje pożyczkowe oraz podmioty, o których mowa w art. 59d u.k.k., w zakresie niezbędnym do oceny zdolności kredytowej konsumenta, o której mowa w art. 9 tej ustawy, i analizy ryzyka kredytowego (pkt 4).
Zgodnie z art. 105a ust. 1 u.P.b., przetwarzanie przez banki, inne instytucje ustawowo upoważnione do udzielania kredytów, instytucje pożyczkowe oraz podmioty, o których mowa w art. 59d u.k.k., a także instytucje utworzone na podstawie art. 105 ust. 4 u.k.k., informacji stanowiących tajemnicę bankową i informacji udostępnionych przez instytucje pożyczkowe oraz podmioty, o których mowa w art. 59d u.k.k., w zakresie dotyczącym osób fizycznych może być wykonywane, z zastrzeżeniem art. 104,105 i art. 106 - 106d u.P.b. w celu oceny zdolności kredytowej i analizy ryzyka kredytowego. Zgodnie zaś z art. 105a ust. 4 u.P.b. Banki oraz instytucje, o których mowa w art. 105 ust. 4, mogą przetwarzać stanowiące tajemnicę bankową informacje dotyczące osoby fizycznej po wygaśnięciu zobowiązania wynikającego z umowy zawartej z bankiem lub inną instytucją ustawowo upoważnioną do udzielania kredytów bez zgody osoby, której informacje dotyczą, do celów stosowania metod wewnętrznych oraz innych metod i modeli, o których mowa w części trzeciej rozporządzenia nr 575/2013. Stosownie zaś do art. 105a ust. 5 u.P.b. przetwarzanie informacji stanowiących tajemnicę bankową w przypadkach, o których mowa w ust. 3, może być wykonywane przez okres nie dłuższy niż 5 lat od dnia wygaśnięcia zobowiązania, a w przypadku, o którym mowa w ust 4, przez okres 12 lat od wygaśnięcia zobowiązania. Ponadto stosownie do art. 70 ust. 1 u.P.b., bank uzależnia przyznanie kredytu od zdolności kredytowej kredytobiorcy. Przez zdolność kredytową rozumie się zdolność do spłaty zaciągniętego kredytu wraz z odsetkami w terminach określonych w umowie.
Prezes UODO podniósł, że skoro Uczestnik [...] listopada 2021r. wystąpił do Banku z wnioskiem o udzielenie kredytu, to Bank i BIK, na podstawie art. 105a ust. 1 i art. 70 ust. 1 u.P.b., były uprawnione do przetwarzania danych osobowych Uczestnika w celu oceny zdolności kredytowej. Nie doszło jednak do zawarcia umowy kredytu pomiędzy Uczestnikiem a Bankiem. W związku z tym odpadła przesłanka legalizująca dalsze przetwarzanie danych osobowych Uczestnika przez Bank i BIK. Przesłanki zawarte w art. 105a u.P.b. dotyczą bowiem przetwarzania informacji objętych tajemnicą bankową w okresie przed powstaniem zobowiązania, w trakcie jego trwania oraz po wygaśnięciu zobowiązania. Pomiędzy Bankiem, a Skarżącym nie zawiązał się stosunek zobowiązaniowy, który stosownie do art. 105a ust. 1-6 u.P.b. dawałby podstawę do dalszego przetwarzania danych osobowych Uczestnika. Celem przetwarzania danych osobowych Uczestnika była ocena zdolności kredytowej i analizy ryzyka kredytowego. W związku z dokonaniem przez Bank oceny zdolności kredytowej i analizy ryzyka kredytowego ww. cel przetwarzania danych osobowych Uczestnika został zrealizowany i brak jest podstaw prawnych do kontunuowania tego procesu.
Art. 105 ust. 4 u.P.b. nie stanowi o dopuszczalności przetwarzania danych osobowych dotyczących zapytań kredytowych w sytuacji, gdy nie doszło do zawarcia umowy z Bankiem. Z tego przepisu nie wynika umocowanie do przetwarzania danych osobowych pozyskanych uprzednio w ramach zapytań kredytowych, po dokonaniu weryfikacji zdolności kredytowej osoby ubiegającej się o kredyt. Uznanie takiego procesu przetwarzania danych za legalny wymaga podstawy prawnej. Nie stanowią takiej podstawy regulaminy, umowy zawierane między poszczególnymi instytucjami a bankami, ponieważ powszechnie obowiązujące przepisy prawa mają charakter nadrzędny nad tego rodzaju umowami oraz regulaminami.
Zdaniem Prezesa UODO przytoczone przez Bank i BIK przepisy CRR też nie stanowią podstawy prawnej do dalszego przetwarzania danych osobowych Uczestnika, gdy w wyniku podjętych czynności sprawdzających nie doszło do zawarcia umowy kredytowej. Przepisy CRR zawierają bowiem ogólne zasady tworzenia modeli służących ocenie ryzyka kredytowego, zatem żaden z nich nie stoi w sprzeczności z rozstrzygnięciem organu. Prezes UODO nie kwestionuje zasadności tworzenia ww. modeli, ale stoi na stanowisku, że muszą być one tworzone w taki sposób, aby nie naruszało to prawa do ochrony danych osobowych osób, których dane dotyczą. Stanowisko to ma oparcie w wyroku NSA z 27 sierpnia 2019r. sygn. akt I OSK 2567/17, zgodnie z którym cel oceny zdolności kredytowej stanowi ocena zdolności do spłaty zaciągniętego kredytu wraz z odsetkami, co ma charakter czynności wstępnej do zawarcia stosownej umowy. Dalsze przetwarzanie danych uzyskanych w celu oceny zdolności kredytowej, w przypadku nie zawarcia stosownej umowy pozostawałaby w oderwaniu od celu, dla którego dane te uzyskano. Niedopuszczalne jest przetwarzanie danych osobowych na przyszłość, a także na potrzeby budowy oceny zdolności kredytowej innych podmiotów, jeżeli nie można zrekonstruować wyraźnej podstawy prawnej takich działań.
W ocenie Prezesa UODO za podstawę przetwarzania danych osobowych Uczestnika, nie mogą być również uznane wskazane przez Bank i BIK cele statystyczne i analizy, w tym cel stosowania metod wewnętrznych i innych metod oraz modeli, o których mowa w części trzeciej CRR. Powołany przez Bank i BIK art. 105a ust. 4 u.P.b. daje podstawy do przetwarzania informacji dotyczących osoby fizycznej stanowiących tajemnicę bankową po wygaśnięciu zobowiązania wynikającego z umowy zawartej z bankiem lub inną instytucją ustawowo upoważnioną do udzielania kredytów bez zgody osoby, której te informacje dotyczą. W sprawie nie doszło do zawarcia umowy kredytu pomiędzy Uczestnikiem a Bankiem, a zatem nie powstał stosunek zobowiązaniowy, o którym mowa w tym przepisie. Także powołane przepisy CRR nie wykazują konkretnej przesłanki uprawniającej BIK do wykorzystania danych w zakresie zapytań kredytowych niezakończonych zawarciem umowy do indywidualnej oceny zdolności kredytowej, ani tym bardziej do wykorzystania tego rodzaju danych osobowych do modeli scoringowych.
Prezes UODO, odnosząc się do przywołanych rekomendacji Komisji Nadzoru Finansowego (zwana dalej "KNF") wskazał, że powoływane przez BIK i Bank rekomendacje KNF należą do nienormatywnych form działania administracji. Wydane przez KNF rekomendacje - podobnie jak inne uchwały ww. organu nadzoru - nie są źródłem ani powszechnie obowiązujących przepisów prawa, ani przepisów prawa o charakterze wewnętrznym. Rekomendacje nie stanowią podstawy prawnej legalizującej przetwarzanie danych osobowych w zakresie zapytań kredytowych niezakończonych zawarciem umowy kredytu, zaś ich stosowanie nie może naruszać przepisów RODO.
Prezes UODO, odnosząc się do stanowiska Banku i BIK, że celem przetwarzania danych osobowych Uczestnika było przeciwdziałanie przestępstwom oraz wykonywanie obowiązków w zakresie określonym w art. 106d u.P.b. i AML, wyjaśnił, że zgodnie z art. 106d u.P.b. Banki, inne instytucje ustawowo upoważnione do udzielania kredytów, izby rozliczeniowe utworzone na podstawie art. 67, instytucje utworzone na mocy art. 105 ust. 4, instytucje pożyczkowe, podmioty, których podstawowa działalność polega na udostępnianiu składników majątkowych na podstawie umowy leasingu, oraz podmioty, o których mowa w art. 59d u.k.k., mogą przetwarzać i wzajemnie udostępniać informacje, w tym informacje objęte tajemnicą bankową, w przypadkach: 1) uzasadnionych podejrzeń, o których mowa w art. 106a ust. 3; 2) uzasadnionych podejrzeń popełnienia przestępstw dokonywanych na szkodę banków, innych instytucji ustawowo upoważnionych do udzielania kredytów, instytucji kredytowych, instytucji finansowych, instytucji pożyczkowych oraz podmiotów, o których mowa w art. 59d u.k.k., i ich klientów, w celu i zakresie niezbędnym do zapobiegania tym przestępstwom; 3) wykonywania obowiązków w zakresie określonym w przepisach o przeciwdziałaniu praniu pieniędzy oraz finansowaniu terroryzmu (ust. 1). Podmioty określone w ust. 1 mogą przetwarzać i wzajemnie udostępniać informacje, w tym informacje objęte tajemnicą bankową oraz informacje dotyczące wyroków skazujących, w przypadkach przestępstw dokonywanych na szkodę banków, innych instytucji ustawowo upoważnionych do udzielania kredytów, instytucji kredytowych, instytucji finansowych, instytucji pożyczkowych oraz podmiotów, o których mowa w art. 59d u.k.k., i ich klientów, w celu i zakresie niezbędnym do zapobiegania tym przestępstwom (ust. 2). Zgodnie z art. 33 ust. 1 AML instytucje obowiązane stosują wobec swoich klientów środki bezpieczeństwa finansowego. Instytucje obowiązane rozpoznają ryzyko prania pieniędzy oraz finansowania terroryzmu związane ze stosunkami gospodarczymi lub z transakcją okazjonalną oraz oceniają poziom rozpoznanego ryzyka (art. 33 ust. 2 AML), natomiast środki te stosują w zakresie i z intensywnością uwzględniającymi rozpoznane ryzyko prania pieniędzy oraz finansowania terroryzmu związane ze stosunkami gospodarczymi lub z transakcją okazjonalną oraz jego ocenę (art. 33 ust. 4 AML). Na podstawie art. 35 ust. 2 AML instytucje obowiązane stosują środki bezpieczeństwa finansowego również w odniesieniu do klientów, z którymi utrzymują stosunki gospodarcze, z uwzględnieniem rozpoznanego ryzyka prania pieniędzy oraz finansowania terroryzmu, w szczególności gdy: 1) doszło do zmiany uprzednio ustalonego charakteru lub okoliczności stosunków gospodarczych; 2) doszło do zmiany uprzednio ustalonych danych dotyczących klienta lub beneficjenta rzeczywistego; 3) instytucja obowiązana była w ciągu danego roku kalendarzowego zobowiązana na podstawie przepisów prawa do skontaktowania się z klientem w celu weryfikacji informacji dotyczących beneficjentów rzeczywistych, w szczególności gdy obowiązek taki wynikał z przepisów ustawy z dnia 9 marca 2017 r. o wymianie informacji podatkowych z innymi państwami. Zgodnie z art. 34 ust. 3 AML instytucje obowiązane dokumentują zastosowane środki bezpieczeństwa finansowego oraz wyniki bieżącej analizy przeprowadzanych transakcji. Na żądanie organów, o których mowa w art. 130, instytucje obowiązane wykazują, że przy uwzględnieniu poziomu rozpoznanego ryzyka prania pieniędzy oraz finansowania terroryzmu związanego z danymi stosunkami gospodarczymi lub transakcją okazjonalną zastosowały odpowiednie środki bezpieczeństwa finansowego. Na podstawie art. 49 ust. 2 AML instytucje obowiązane przechowują wyniki analiz, o których mowa w art. 34 ust. 3 AML, przez okres 5 lat, licząc od dnia ich przeprowadzenia.
Z ww. przepisów wynika uprawnienie do przechowywania danych osobowych związanych z zastosowaniem środków bezpieczeństwa jest powiązane z przeprowadzeniem transakcji. W przypadku zapytań kredytowych niezakończonych zawarciem umowy nie dochodzi ostatecznie do przeprowadzenia transakcji. Nie dochodzi też do nawiązania stosunków gospodarczych. Zgodnie z art. 35 ust. 1 pkt 1 AML banki, stosują środki bezpieczeństwa finansowego w przypadku nawiązywania stosunków gospodarczych. W przypadku gdy instytucja obowiązana nie może zastosować jednego ze środków bezpieczeństwa finansowego, o których mowa w art. 34 ust. 1: nie nawiązuje stosunków gospodarczych lub rozwiązuje stosunki gospodarcze (art. 41 u. 1 pkt 1 i pkt 4 AML). Zgodnie z ustawową definicją stosunków gospodarczych, rozumieć przez nie należy stosunki instytucji obowiązanej z klientem związane z działalnością zawodową instytucji obowiązanej, które w chwili ich nawiązywania wykazują cechę trwałości (art. 2 ust. 2 pkt 20 AML).
W ocenie Prezesa UODO zapytania kredytowe, które spotkały się z decyzją odmowną w zakresie udzielenia kredytu nie posiadają cechy trwałości, które w aspekcie ww. przepisów AML uzasadniałyby dalsze przetwarzanie powiązanych z nimi danych osobowych.
Zebrany w sprawie materiał dowodowy nie wykazał by BIK mógł przetwarzać dane osobowe Uczestnika dotyczące ww. zapytania kredytowego, na podstawie art. 106d u.P.b., w celach przeciwdziałania przestępstwom oraz wykonywania obowiązków w zakresie określonym w przepisach AML, bo w toku postępowania nie wykazał, aby zaszła którakolwiek z przesłanek określonych w ww. przepisie. W szczególności nie wykazał by zaszły uzasadnione podejrzenia, o których mowa w art. 106d ust. 1 pkt 1-2, oraz nie wskazał także nałożonego na niego obowiązku określonego w przepisach o przeciwdziałaniu praniu pieniędzy oraz finansowaniu terroryzmu, o którym mowa w art. 106d ust. 1 pkt 3.
Prezes UODO, odnosząc się do powołanego zarówno przez Bank i BIK celu ustalenia, dochodzenia lub obrony roszczeń, wskazał, że zebrany materiał dowodowy nie wykazał, aby Uczestnik wystąpił z roszczeniem wobec Banku lub BIK, które uzasadniałoby uprawnienie do zachowania i przetwarzania jego danych osobowych dla celów dowodowych w związku z dochodzeniem przez Uczestnika tego roszczenia. Przesłanka z art. 6 ust. 1 lit. f RODO dotyczy sytuacji już istniejącej, w której celem wynikającym z prawnie uzasadnionych interesów realizowanych przez administratora jest konieczność udowodnienia, że potrzeba dochodzenia lub obrony przed roszczeniem istniejącym, nie zaś sytuacji, gdy dane są przetwarzane w celu zabezpieczenia się przed ewentualnym roszczeniem. Prezes UODO podzielił stanowisko WSA w Warszawie w wyroku z 1 grudnia 2010r. sygn. akt II SA/Wa 1212/10, odnoszące się do przesłanki wynikającej z art. 23 ust. 1 pkt 5 u.o.d.o., analogicznej do art. 6 ust. 1 lit. f RODO, dotyczącej dopuszczalności przetwarzania danych osobowych dla wypełnienia prawnie usprawiedliwionych celów realizowanych przez administratorów danych albo odbiorców danych, gdy przetwarzanie nie narusza praw i wolności osoby, której dane dotyczą. Sąd przyjął w ww. orzeczeniu, że spółka uprawniona była do utrwalenia danych skarżącego i zachowania ich dla celów dowodowych na wypadek dochodzenia przez skarżącego ewentualnych roszczeń. Powyższe okoliczności nie wypełniają przesłanki prawnie usprawiedliwionych celów przetwarzania danych skarżącego. Należy bowiem zwrócić uwagę, iż przesłanka z art. 23 ust. 1 pkt 5 ustawy dotyczy sytuacji już istniejącej i pewnej, a więc przypadku, gdy istnieje potrzeba udowodnienia, potrzeba dochodzenia roszczenia z tytułu prowadzonej działalności gospodarczej, nie zaś sytuacji, gdy dane są przetwarzane na wypadek ewentualnego procesu i ewentualnej potrzeby udowodnienia, iż dane osobowe pozyskane bez zgody osoby, której dotyczą są przetwarzane zgodnie z prawem. Skarżący jedynie zapowiedział i nie zrealizował swoich zapowiedzi odnośnie skierowania sprawy na drogę sądową. Stąd też spółka nie może przetwarzać danych osobowych skarżącego tylko w celu zabezpieczenia się przed ewentualnym przyszłym i niepewnym roszczeniem skarżącego. W przeciwnym bowiem razie może pojawić się wątpliwość jak długo należy przetwarzać dane osobowe skarżącego jeżeli nie zrealizuje on swoich zapowiedzi. (LEX nr 755113).
Zdaniem Prezesa UODO przy przyjęciu odmiennej interpretacji ww. przepisów, Uczestnik zostałaby pozbawiony ochrony na gruncie RODO i u.o.d.o. Przyjęcie za prawidłowe stanowiska, że przetwarzanie danych osobowych w celu uchylenia się od negatywnych skutków w przypadku zgłoszenia w przyszłości ewentualnego i nieokreślonego roszczenia, stanowi prawnie usprawiedliwiony cel w rozumieniu art. 6 ust. 1 lit. f RODO oznaczałoby, że dane osobowe Uczestnika mogą być przetwarzane przez Bank i BIK permanentnie, bez konieczności ich usunięcia. Teoretycznie możliwym jest przecież by Uczestnik zwrócił się do Banku lub BIK z roszczeniem po upływie terminu przedawnienia roszczenia. Prowadziłoby to tym samym do uznania, że przetwarzanie danych osobowych Uczestnika przez Bank i BIK ma uzasadnienie w przesłance określonej art. 6 ust. 1 lit. f RODO, w celu realizacji prawa do obrony przed ewentualnym roszczeniem Uczestnika również po upływie ww. terminu.
Zdaniem Prezesa UODO brak jest uzasadnienia dla przyjęcia, że terminy dotyczące przedawnienia roszczeń wynikających ze stosunków zobowiązaniowych określają jednocześnie ramy czasowe, w których dane osobowe mogą być przetwarzane przez Bank i BIK. Przedawnienie roszczenia nie wywołuje skutków na gruncie ochrony danych osobowych, nie wpływa na istnienie roszczenia, a powoduje jedynie zmianę w sferze zarzutów procesowych w postaci możliwości podniesienia okoliczności przedawnienia w sporze sądowym. Okolicznością usprawiedliwiającą przetwarzanie danych osobowych, w celu dochodzenia roszczeń, jest sam fakt istnienia roszczenia i zamiar jego dochodzenia, nie jest nią natomiast zmiana w uprawnieniach procesowych podmiotu pozwanego.
Prezes UODO ocenił ponadto, że nie ma uzasadnienie stanowisko Banku, że jest on uprawniony do przetwarzania danych osobowych w związku z koniecznością ewentualnego wypełnienia obowiązku wynikającego z art. 70a ust. 1 i ust. 2 u.P.b. Stosownie do art. 70a ust. 1 u.P.b., obowiązującej w dacie pozyskania danych, wynikających z ww. zapytania kredytowego, banki i inne instytucje ustawowo upoważnione do udzielania kredytów na wniosek osoby fizycznej, prawnej lub jednostki organizacyjnej niemającej osobowości prawnej, o ile posiada zdolność prawną, ubiegającej się o kredyt przekazują, w formie pisemnej, wyjaśnienie dotyczące dokonanej przez siebie oceny zdolności kredytowej wnioskującego. Stosownie zaś do art. 70a ust. 2 u.P.b. obowiązującej w dacie pozyskania danych, wynikających z ww. zapytania kredytowego, wyjaśnienie, o którym mowa w ust. 1, obejmuje informacje na temat czynników, w tym danych osobowych wnioskującego, które miały wpływ na dokonaną ocenę zdolności kredytowej. Organ odwołał się do stanowiska doktryny, że "Jeśli zaś bank - w wyniku dokonanej oceny zdolności kredytowej (przeprowadzonej zgodnie z przyjętymi rekomendacjami KNF) - nie udzieli kredytu, zatem nie dojdzie do zawarcia umowy kredytu, stan taki nie rodzi po stronie ubiegającego się o kredyt żadnych roszczeń na drodze cywilnoprawnej. Ubiegającemu się o kredyt przysługuje tylko możliwość wnioskowania o przedstawienie na piśmie przyczyn odmowy" (B. Bajor [w:] L. Kociucki, J. M. Kondek, K. Królikowska, B. Bajor, Prawo bankowe. Komentarz do przepisów cywilnoprawnych, Warszawa 2020, art. 70(a)). Ponadto art. 70a u.P.b. nie przewiduje terminu na złożenie wniosku o udzielenie informacji dotyczących odmowy udzielenia kredytu. Nie oznacza to, że można dane osobowe takiej osoby przetwarzać bezterminowo, gdyż byłoby to sprzeczne z zasadą ograniczenia przechowywania, określoną w art. 5 ust. 1 lit. e).
Zdaniem Prezesa UODO powstanie obowiązku, o którym mowa w art. 70a ust. 1 u.P.b., uzależnione jest od złożenia stosownego wniosku przez osobę ubiegającą się o kredyt. W sprawie ustalono, że Uczestnik złożył zapytanie kredytowe do Banku, które ostatecznie nie zakończyło się zawarciem umowy z Bankiem. Uczestnik zwracał się też do Banku o usunięcie jego danych osobowych z BIK, w zakresie dotyczącym ww. zapytania kredytowego i zakwestionował proces przetwarzania danych osobowych związanych z ww. zapytaniem kredytowym, domagając się ochrony swoich danych osobowych. Uwzględnienie żądania Uczestnika o usunięcia danych skutkować będzie brakiem możliwości udzielenia informacji wskazanych w art. 70a ust. 1 i 2 u.P.b., z czym Uczestnik, żądając usunięcia danych, musi się liczyć. Prezes UODO uznał więc, że Uczestnik nie był i nie jest zainteresowany realizacją prawa do złożenia wniosku, o którym mowa w ww. przepisie, zatem nie można uznać, aby stanowił on podstawę przetwarzania danych osobowych Uczestnika.
W ocenie Prezesa UODO brak jest uzasadnienia do przyjęcia, że BIK jest uprawniony do przetwarzania danych osobowych pozyskanych w związku z ww. zapytaniem, w związku z koniecznością ewentualnego wypełnienia obowiązku wynikającego z art. 15 RODO. Usunięcie przez administratora danych osobowych nie uniemożliwia wykonania obowiązku uregulowanego w art. 15 RODO, gwarantującego osobie, której dane dotyczą, prawa do uzyskania od administratora informacji, czyjej dane są przetwarzane, a w przypadku pozytywnej odpowiedzi na tak postawione pytanie - uprawnienie do dostępu do danych na swój temat oraz uzyskania informacji o okolicznościach przetwarzania danych. Jeśli bowiem, administrator nie przetwarza danych dotyczących osoby, która zwraca się z żądaniem udzielenia informacji, to działanie administratora ogranicza się do odpowiedzi przeczącej i nie ma on obowiązku podawać podmiotowi danych innych informacji (tak również: Paweł Fajgielski [w:] Ogólne rozporządzenie o ochronie danych. Ustawa o ochronie danych osobowych. Komentarz. Wolters Kluwer Polska, 2018).
Argumentacja ta jest odnosi się także do obowiązku informacyjnego Bank z art. 70a u.P.b., z którego wynika, że Banki i inne instytucje ustawowo upoważnione do udzielania kredytów na wniosek osoby fizycznej, ubiegającej się o kredyt przekazują, w formie pisemnej, wyjaśnienie dotyczące dokonanej przez siebie oceny zdolności kredytowej wnioskującego (art. 70 ust. 1 u.P.b.). Z ww. przepisu nie wynika termin, w jakim osoba ubiegająca się o kredyt mogłaby żądać udzielenia jego takich wyjaśnień. Również Bank nie wskazał takiego terminu. Powyższe mogłoby prowadzić do niewłaściwego wniosku, że Bank na ww. podstawie prawnej mógłby przetwarzać dane takiej osoby w sposób nieograniczony czasowo. Tymczasem żądanie Skarżącego w zakresie usunięcia jego danych osobowych wynikających z zapytań kredytowych jest jednoznaczną deklaracją woli Uczestnika, który musi liczyć się z konsekwencjami usunięcia przez Bank jego danych oraz ograniczenia w ten sposób jego uprawnień informacyjnych.
Prezesa UODO na tej podstawie przyjął, że w sprawie brak jest celu uzasadniającego przetwarzanie przez Bank, jak i przez BIK danych osobowych Uczestnika zawartych w ww. zapytaniu kredytowym. Bank w związku z pozyskaniem danych osobowych Uczestnika, w celu oceny zdolności kredytowej, stał się administratorem tych danych osobowych, a BIK stał się administratorem danych osobowych Uczestnika, z uwagi na przekazanie tych danych przez Bank. W związku z tym Bank i BIK są odrębnymi administratorami i każdy z nich przetwarza dane osobowe Uczestnika we własnych celach i samodzielnie ustala sposoby ich przetwarzania. Zdaniem Prezesa UODO nie zaszła żadna z przesłanek z art. 6 ust. 1 RODO do przetwarzania danych osobowych Uczestnika przez Bank i BIK, która stanowiłaby o legalności tego procesu. Prezes UODO na mocy art. 58 ust. 2 lit. c RODO, nakazał Bankowi i BIK, będących administratorami, usunięcie danych osobowych Uczestnika przetwarzanych w związku z ww. zapytaniem kredytowym.
2. Bank, reprezentowany przez [...] Adw. G. S. oraz r.pr. B. Z., w skardze do Wojewódzkiego Sądu Administracyjnego w Warszawie z 10 marca 2025r. wniósł o uchylenie ww. decyzji Prezesa UODO z [...] lutego 2025r. w zakresie pkt 1 i przekazanie sprawy do ponownego rozpoznania oraz zasądzenie od Prezesa UODO na rzecz Banku zwrotu kosztów postępowania według norm przepisanych, w tym kosztów zastępstwa procesowego, zarzucając naruszenie:
- art. 7, art. 7b, art. 77 § 1 i art. 80 ustawy z dnia 14 czerwca 1960 r. Kodeks postępowania administracyjnego (Dz.U. z 2024r., poz. 572, zwana dalej "k.p.a.") polegające na nieustaleniu przez organ wpływu zatwierdzania przez KNF metodyki IRB stosowanej przez Bank na proces przetwarzania danych osobowych Uczestnika, co było konieczne do potwierdzenia niezbędności przetwarzania tych danych osobowych oraz na niezwróceniu się do KNF, w celu ustalenia i oceny niezbędności przechowywania informacji o ww. wniosku kredytowym, który nie zakończył się zawarciem umowy, jako koniecznego elementu metody IRB, która została zatwierdzona przez KNF - co miało istotny wpływ na wynik sprawy;
- art. 6 ust. 1 lit. f RODO w zw. z art. 117 i art. 118 k.c. - przez uznanie, że przetwarzanie danych osobowych Uczestnika przez Bank nie jest niezbędne do celów wynikających z prawnie uzasadnionych interesów Banku oraz nie ma oparcia w art. 6 ust. 1 lit. f RODO, gdy jest to niezbędne do celów obrony przed ewentualnymi roszczeniami i ma oparcie w art. 6 ust. 1 lit. f RODO;
- art. 6 ust. 1 lit. c RODO w zw. z 70a ust. 1 i 2 P.b. - przez ich błędną wykładnię polegającą na uznaniu, że Bank nie ma obowiązku przetwarzania danych osobowych Uczestnika, w celu wykonania obowiązku opisanego w art. 70a ust. 1 i 2 u.P.b., gdy Uczestnik żąda usunięcia danych osobowych i pośrednio informuje, że nie był i nie jest zainteresowany realizacją prawa do złożenia wniosku, o którym mowa w tym przepisie, gdy obowiązek przewidziany w art. 70a ust. 1 i 2 P.b. ma charakter obiektywny i Bank jest zobligowany do realizacji postanowień ww. przepisu niezależnie od tego, czy uprzednio Uczestnik zażądał usunięcia danych osobowych, co oznacza, że Bank zobligowany jest do przetwarzania danych osobowych Uczestnika, w celu wykonania art. 70a ust. 1 i 2 P.b.
W szerokim uzasadnieniu skargi rozwinięto przywołane wyżej zarzuty.
3. Prezes UODO w odpowiedzi na skargę z [...] kwietnia 2025 r. wniósł o oddalenie skargi, podtrzymując stanowisko wyrażone w zaskarżonej decyzji.
II. Wojewódzki Sąd Administracyjny w Warszawie zważył, co następuje:
1. Skarga jest nieuzasadniona, gdyż ww. decyzja Prezesa UODO w zaskarżonej części nie narusza prawa w stopniu umożliwiającym jej uchylenie.
2. Sąd, dokonując oceny zgodności z prawem punktu 1 zaskarżonej decyzji, wskazuje, że zgodnie z motywem 40 RODO, aby przetwarzanie danych było zgodne z prawem, powinno się odbywać na podstawie zgody osoby, której dane dotyczą, lub na innej uzasadnionej podstawie, prawem przewidzianej: albo w RODO, albo w innym akcie prawnym Unii lub w prawie państwa członkowskiego, o których mowa w RODO, w tym musi się ono odbywać z poszanowaniem obowiązku prawnego, któremu podlega administrator, lub z poszanowaniem umowy, której stroną jest osoba, której dane dotyczą, lub w celu podjęcia działań na żądanie osoby, której dane dotyczą, przed zawarciem umowy.
W świetle RODO, przetwarzanie danych osobowych uważa się za legalne, jeśli ich administrator spełni co najmniej jedną z przesłanek wskazanych w art. 6 ust. 1 tego aktu, a mianowicie: a) osoba, której dane dotyczą wyraziła zgodę na przetwarzanie swoich danych osobowych w jednym lub większej liczbie określonych celów, b) przetwarzanie jest niezbędne do wykonania umowy, której stroną jest osoba, której dane dotyczą lub do podjęcia działań na żądanie osoby, której dane dotyczą, przed zawarciem umowy, c) przetwarzanie jest niezbędne do wypełnienia obowiązku prawnego ciążącego na administratorze, d) przetwarzanie jest niezbędne do ochrony żywotnych interesów osoby, której dane dotyczą lub innej osoby fizycznej, e) przetwarzanie jest niezbędne do wykonania zadania realizowanego w interesie publicznym lub w ramach sprawowania władzy publicznej powierzonej administratorowi, f) przetwarzanie jest niezbędne do celów wynikających z prawnie uzasadnionych interesów realizowanych przez administratora lub przez stronę trzecią, z wyjątkiem sytuacji, w których nadrzędny charakter wobec tych interesów mają interesy lub podstawowe prawa i wolności osoby, której dane dotyczą, wymagające ochrony danych osobowych, w szczególności, gdy osoba, której dane dotyczą, jest dzieckiem.
W świetle dowodów wynikających z akt sprawy nie budzi wątpliwości oraz nie było kwestionowane przez Prezesa UODO w ww. decyzji, że Bank był uprawniony do przetwarzania danych osobowych ww. Uczestnika na podstawie art. 105a ust. 1 i art. 70 ust. 1 u.P.b., w celu oceny zdolności kredytowej i analizy ryzyka kredytowego.
Zgodnie z art. 105a ust. 1 u.P.b., przetwarzanie przez banki, inne instytucje ustawowo upoważnione do udzielania kredytów, instytucje pożyczkowe oraz podmioty, o których mowa w art. 59d u.k.k., a także instytucje utworzone na podstawie art. 105 ust. 4 u.P.b., informacji stanowiących tajemnicę bankową i informacji udostępnionych przez instytucje pożyczkowe oraz podmioty, o których mowa w art. 59d u.k.k., w zakresie dotyczącym osób fizycznych może być wykonywane, z zastrzeżeniem art. 104, art. 105 i art. 106-106d u.P.b., w celu oceny zdolności kredytowej i analizy ryzyka kredytowego.
Stosownie zaś do art. 70 ust. 1 u.P.b., bank uzależnia przyznanie kredytu od zdolności kredytowej kredytobiorcy. Przez zdolność kredytową rozumie się zdolność do spłaty zaciągniętego kredytu wraz z odsetkami w terminach określonych w umowie. Kredytobiorca jest obowiązany przedłożyć na żądanie banku dokumenty i informacje niezbędne do dokonania oceny tej zdolności.
Sąd, mając powyższe przepisy na względzie uznaje, że Prezes UODO trafnie przyjął, że Bank, na podstawie ww. przepisów, a w szczególności art. 105a ust. 1 u.P.b. w związku z art. 70 ust. 1 u.P.b., był uprawniony do przetwarzania danych osobowych Uczestnika, w celu oceny zdolności kredytowej i analizy ryzyka kredytowego.
Sąd stwierdza ponadto, że spór w sprawie sprowadza się natomiast do odpowiedzi na pytanie, czy w sytuacji, w której nie doszło do zawarcia umowy kredytu między Uczestniczką a Bankiem, istniała podstawa do przetwarzania przez Bank danych osobowych Uczestnika.
W związku z tym należy wskazać, że według art. 105a ust. 2 u.P.b., z zastrzeżeniem ust. 3, instytucje, o których mowa w ust. 1, mogą przetwarzać informacje stanowiące tajemnicę bankową oraz informacje udostępnione przez instytucje pożyczkowe oraz podmioty, o których mowa w art. 59d u.k.k., w zakresie dotyczącym osób fizycznych po wygaśnięciu zobowiązania wynikającego z umowy zawartej z bankiem, inną instytucją ustawowo upoważnioną do udzielania kredytów, instytucją pożyczkową lub podmiotem, o którym mowa w art. 59d u.k.k., pod warunkiem uzyskania pisemnej zgody osoby, której informacje te dotyczą, z zastrzeżeniem ust. 2a. Zgoda ta może być w każdym czasie odwołana.
Zgodnie zaś z art. 105a ust. 4 u.P.b., banki oraz instytucje, o których mowa w art. 105 ust. 4, mogą przetwarzać stanowiące tajemnicę bankową informacje dotyczące osoby fizycznej po wygaśnięciu zobowiązania wynikającego z umowy zawartej z bankiem lub inną instytucją ustawowo upoważnioną do udzielania kredytów bez zgody osoby, której informacje dotyczą, do celów stosowania metod wewnętrznych oraz innych metod i modeli, o których mowa w części trzeciej CRR.
Zgodnie z art. 105a ust. 5 u.P.b., przetwarzanie informacji stanowiących tajemnicę bankową w przypadkach, o których mowa w ust. 3, może być wykonywane przez okres nie dłuższy niż 5 lat od dnia wygaśnięcia zobowiązania, a w przypadku, o którym mowa w ust. 4, przez okres 12 lat od dnia wygaśnięcia zobowiązania.
W kontekście tych norm prawidłowe było przyjęcie przez Prezesa UODO w uzasadnieniu zaskarżonej decyzji, że w stanie faktycznym sprawy, w którym nie doszło do zawarcia umowy kredytowej z Uczestnikiem, art. 105a ust. 4 u.P.b. w związku z art. 105 ust. 4 u.P.b. nie stanowiły podstawy do przetwarzania danych osobowych ww. Uczestnika. Z przepisów tych nie wynika umocowanie do przetwarzania danych osobowych pozyskanych uprzednio w ramach zapytań kredytowych, po dokonaniu weryfikacji zdolności kredytowej osoby ubiegającej się o kredyt. Uznanie takiego procesu przetwarzania danych za legalny wymaga podstawy prawnej. Celem przetwarzania danych osobowych Uczestnika była ocena zdolności kredytowej i analizy ryzyka kredytowego. W związku z dokonaniem przez Bank oceny zdolności kredytowej i analizy ryzyka kredytowego ww. cel przetwarzania danych osobowych Uczestnika został zrealizowany i brak jest podstaw prawnych do kontunuowania tego procesu.
Zgodzić należało się w związku z tym z Prezesem UODO, że odpadła przesłanka legalizująca dalsze przetwarzanie danych osobowych Uczestnika przez Bank, które miało na celu – co wymaga podkreślenia i czego nie kwestionował organ – ocenę zdolności kredytowej i analizę ryzyka kredytowego (przed zawarciem umowy). Pomiędzy bankiem a wnioskodawcą nie nawiązał się żaden stosunek zobowiązaniowy związany z tym zapytaniem kredytowym, który stosownie do art. 105a ust. 1-6 u.P.b. dawałby podstawę do dalszego przetwarzania jego danych osobowych w tym zakresie przez Bank. Ustał cel przetwarzania, dla którego pozyskano dane osobowe Uczestnika i nie ma spełnionej przesłanki ich dalszego przetwarzania, co trafnie stwierdził Prezes UODO w zaskarżonej decyzji.
Z ww. przepisów wynika, że przesłanki zawarte w art. 105a u.P.b. dotyczą przetwarzania informacji objętych tajemnicą bankową w okresie przed powstaniem zobowiązania, w trakcie jego trwania oraz po wygaśnięciu zobowiązania. W sytuacji, gdy w następstwie złożenia wniosku kredytowego nie dochodzi do zawarcia umowy kredytowej z bankiem, jak miało to miejsce w sprawie, brak jest ustawowych przesłanek legalizujących dalsze przetwarzanie danych osobowych Uczestnika zawartych w ww. zapytaniu kredytowym. Przetwarzane są one bowiem w celach wskazanych przez Bank (innych niż cele, dla których zostały zebrane, tj. oceny zdolności kredytowej i analizy ryzyka kredytowego) bez podstawy prawnej.
Rację miał także Prezes UODO podnosząc w uzasadnieniu zaskarżonej decyzji, że takiej podstawy do przetwarzania danych osobowych Uczestnika (imię, nazwisko, nr PESEL, data i miejsce urodzenia; seria i nr dokumentu tożsamości, obywatelstwo; nr telefonu, adres zamieszkania, adres korespondencyjny; dane dotyczących zatrudnienia; dane finansowe: źródło dochodu, wysokość dochodu, miesięczne koszty utrzymania i zobowiązania; stanu cywilnego, imienia ojca, imienia matki, nazwiska panieńskiego matki, wykształcenia; dane pozyskane z BIK w związku z zapytaniem kredytowym: identyfikacyjne Uczestnika, podsumowanie kredytowe osoby fizycznej zawierające dane o zapytaniach kredytowych Uczestnika z ostatnich 12 miesięcy i dane dotyczące zobowiązań finansowych Uczestnika przetwarzane w BIK, zgodnie ze stanem na [...] listopada 2021r.) nie stanowiły regulaminy, umowy zawierane między poszczególnymi instytucjami a bankami, ponieważ powszechnie obowiązujące przepisy prawa mają charakter nadrzędny nad tego rodzaju umowami oraz regulaminami.
Sąd wskazuje ponadto, że Prezes UODO prawidłowo też wyjaśnił w uzasadnieniu zaskarżonej decyzji, że art. 6 ust. 1 RODO określa przesłanki legalności przetwarzania danych osobowych. Zgodnie z tym przepisem, przetwarzanie jest zgodne z prawem wyłącznie w przypadkach, gdy - i w takim zakresie, w jakim - spełniony jest co najmniej jeden z poniższych warunków: a) osoba, której dane dotyczą wyraziła zgodę na przetwarzanie swoich danych osobowych w jednym lub większej liczbie określonych celów; b) przetwarzanie jest niezbędne do wykonania umowy, której stroną jest osoba, której dane dotyczą, lub do podjęcia działań na żądanie osoby, której dane dotyczą, przed zawarciem umowy; c) przetwarzanie jest niezbędne do wypełnienia obowiązku prawnego ciążącego na administratorze; d) przetwarzanie jest niezbędne do ochrony żywotnych interesów osoby, której dane dotyczą, lub innej osoby fizycznej; e) przetwarzanie jest niezbędne do wykonania zadania realizowanego w interesie publicznym lub w ramach sprawowania władzy publicznej powierzonej administratorowi; f) przetwarzanie jest niezbędne do celów wynikających z prawnie uzasadnionych interesów realizowanych przez administratora lub przez stronę trzecią, z wyjątkiem sytuacji, w których nadrzędny charakter wobec tych interesów mają interesy lub podstawowe prawa i wolności osoby, której dane dotyczą, wymagające ochrony danych osobowych, w szczególności gdy osoba, której dane dotyczą, jest dzieckiem. Akapit pierwszy lit. f) nie ma zastosowania do przetwarzania, którego dokonują organy publiczne w ramach realizacji swoich zadań.
Nie budzi wątpliwości Sądu, że ocena zdolności kredytowej i ryzyka kredytowego ma charakter czynności wstępnych przed zawarciem umowy przez Bank. Dalsze przetwarzanie danych, uzyskanych pierwotnie wyłącznie w celu oceny zdolności kredytowej i analizy ryzyka kredytowego, w przypadku braku zawarcia stosownej umowy, pozostaje w oderwaniu od celu, dla którego dane zostały zebrane.
Sąd w związku z tym przyjmuje, że wbrew zarzutom i argumentacji podnoszonej w skardze, na gruncie ww. przepisów RODO niedopuszczalne jest – w stanie faktycznym rozpoznawanej sprawy, gdy nie zawarto umowy kredytowej – przetwarzanie danych osobowych Uczestnika "na przyszłość" w zupełnie innych celach niż je zebrano (np. na potrzeby oceny zdolności kredytowej innych osób, budowania modeli skoringowych), w sytuacji, gdy nie można zrekonstruować wyraźnej podstawy prawnej takich działań. W sprawie nie doszło ponadto do nawiązania stosunku zobowiązaniowego, więc nie można uznać, że możliwe było przetwarzanie ww. danych osobowych Uczestnika w innym celu niż ten, dla którego ww. dane osobowe zebrano (np. do realizacji niezawartej z klientem umowy, ale także w innych celach, które powstałyby w trakcie trwania niezawartego stosunku zobowiązaniowego).
W tym kontekście nie sposób uznać, że Prezes UODO naruszył art. 6 ust. 1 lit. f RODO, który odnosi się wyłącznie do "prawnie uzasadnionych interesów" w związku z trwającym stosunkiem prawnym, który w rozpoznawanej sprawie nie powstał. Sprawa dotyczy – co wymaga raz jeszcze podkreślenia – przetwarzania danych osoby fizycznej, z którą Bank nie zawarł umowy kredytowej na podstawie konkretnie wskazanego wniosku kredytowego. Prawidłowo Prezes UODO przyjął, że ustał cel przetwarzania danych Uczestnika w zakresie wynikającym z art. 105a ust. 1 w zw. z art. 70 ust. 1 u.P.b., gdy osoba ta wniosła o zaprzestanie przetwarzania danych i ich usunięcie.
Za niezasadny należy także uznać ponadto zarzut Banku odnośnie naruszenia w zaskarżonej decyzji art. 6 ust. 1 lit. f RODO w zw. z art. 117 oraz 118 k.c. - przez ich niewłaściwe zastosowanie, polegające na uznaniu, że obrona i dochodzenie roszczeń mogą dotyczyć wyłącznie już istniejących roszczeń. Warto bowiem podkreślić, że przetwarzanie danych w celu dochodzenia roszczeń oraz obrony przed roszczeniami, nie jest tożsame z przetwarzaniem na wypadek przyszłej i niepewnej ewentualności konieczności dochodzenia roszczeń lub obrony przed nimi. Przesłanka z art. 6 ust. 1 lit. f RODO dotyczy sytuacji już istniejącej, w której celem wynikającym z prawnie uzasadnionych interesów realizowanych przez administratora jest konieczność udowodnienia, potrzeba dochodzenia lub obrony przed roszczeniem istniejącym, nie zaś sytuacji, gdy dane są przetwarzane w celu zabezpieczenia się przed ewentualnym roszczeniem. NSA w wyroku z 27 marca 2018r. sygn. akt I OSK 1459/16 wskazał, że przepis art. 23 ust. 1 pkt 5 u.o.d.o. na pierwszym miejscu wymienia warunek, że przetwarzanie danych winno być niezbędne dla wypełnienia prawnie usprawiedliwionych celów. Niedopuszczalne jest więc przetwarzanie danych osobowych niejako "na zapas" z założeniem, że mogą być one ewentualnie przydatne w przyszłości, na przykład z odwołaniem się do przepisów dotyczących przedawnienia roszczeń cywilnoprawnych, czy postępowań administracyjnych bądź karnych. Ponadto NSA w wyroku z 13 lutego 2025r. sygn. akt III OSK 6563/23 wyjaśnił, że "przetwarzanie danych osobowych w celu uchylenia się od negatywnych skutków w przypadku zgłoszenia w przyszłości ewentualnego i nieokreślonego roszczenia nie stanowi prawnie usprawiedliwionego celu w rozumieniu art. 6 ust. 1 lit. f RODO. Przyjęcie przeciwnego zapatrywania oznaczałoby, że dane osobowe osoby fizycznej mogłyby być przetwarzane permanentnie, bez konieczności ich usunięcia. NSA w wyroku z 6 marca 2019r. sygn. akt I OSK 994/17 wskazał, że fakt, że poszczególne procedury zawierają przepisy dotyczące ciężaru dowodu nie może uzasadniać przetwarzania danych osobowych (..) skoro między stronami nie toczy się żadne postępowanie. Tego rodzaju działanie uznać należy także za sprzeczne z art. 26 ust. 1 u.o.d.o, który stanowi, że administrator danych, przetwarzający dane, powinien dołożyć szczególnej staranności w celu ochrony interesów osób, których dane dotyczą, a w szczególności jest obowiązany zapewnić, aby dane te były przetwarzane zgodnie z prawem, a także merytorycznie poprawne i adekwatne w stosunku do celów, w jakich są przetwarzane.
Sąd rozpoznający skargę na punkt 1 ww. decyzji Prezesa UODO podziela to stanowisko, wskazując, że Uczestnik w przypadku przyjęcia odmiennej interpretacji zostałby pozbawiony ochrony na gruncie RODO. Przyjęcie za prawidłowe stanowiska, że przetwarzanie danych osobowych w celu uchylenia się od negatywnych skutków w przypadku zgłoszenia w przyszłości ewentualnego i nieokreślonego roszczenia, stanowi prawnie usprawiedliwiony cel w rozumieniu art. 6 ust. 1 lit. f RODO oznaczałoby, że dane osobowe Uczestnika mogą być przetwarzane permanentnie, bez konieczności ich usunięcia. Teoretycznie możliwym jest przecież by Uczestnik zwrócił się do Banku z roszczeniem po upływie terminu przedawnienia roszczenia. Prowadziłoby to tym samym do uznania, że przetwarzanie danych osobowych przez Bank ma uzasadnienie w przesłance określonej art. 6 ust. 1 lit. f RODO w celu realizacji prawa do obrony przed ewentualnym roszczeniem Uczestnika, również po upływie ww. terminu. Okolicznością usprawiedliwiającą przetwarzanie danych osobowych w celu dochodzenia roszczeń jest sam fakt istnienia roszczenia oraz zamiar jego dochodzenia, nie jest nią natomiast zmiana w uprawnieniach procesowych podmiotu pozwanego. W sprawie nie doszło natomiast do zawarcia umowy kredytu, tym samym nie można mówić o powstaniu zobowiązania, do którego zastosowane mogą być wymienione w skardze przepisy k.c. Ze stanu faktycznego sprawy nie wynika też, aby Uczestnik, który złożył zapytanie kredytowe ok. cztery lata przed wydaniem zaskarżonego punktu 1 ww. decyzji wystąpił do Banku z jakimikolwiek roszczeniami, a Bank nie wskazał, na jakiej podstawie mógłby to uczynić. W doktrynie podkreśla się ponadto, że "Jeśli zaś bank - w wyniku dokonanej oceny zdolności kredytowej (przeprowadzonej zgodnie z przyjętymi rekomendacjami KNF) - nie udzieli kredytu, zatem nie dojdzie do zawarcia umowy kredytu, stan taki nie rodzi po stronie ubiegającego się o kredyt żadnych roszczeń na drodze cywilnoprawnej. Ubiegającemu się o kredyt przysługuje tylko możliwość wnioskowania o przedstawienie na piśmie przyczyn odmowy" (B. Bajor [w:] L. Kociucki, J. M. Kondek, K. Królikowska, B. Bajor, Prawo bankowe. Komentarz do przepisów cywilnoprawnych, Warszawa 2020, art. 70(a)).
Prezes UODO, wydając decyzję administracyjną, zobowiązany jest do rozstrzygania sprawy w oparciu o stan faktyczny istniejący w chwili wydania tej decyzji. Rozstrzyganie w postępowaniu administracyjnym polega na zastosowaniu obowiązującego prawa do ustalonego stanu faktycznego sprawy administracyjnej. W ten sposób organ administracji publicznej realizuje cel postępowania administracyjnego, jakim jest urzeczywistnienie obowiązującej normy prawnej w zakresie stosunków administracyjno-prawnych, gdy stosunki te tego wymagają" (M. Jaśkowska, A. Wróbel Komentarz do ustawy Kodeks postępowania administracyjnego, Lex.el/2012). W postępowaniu, zainicjowanym skargą konkretnej osoby, której dane dotyczą, organ zobligowany był, co uczynił, zbadać proces przetwarzania jej danych osobowych i ustalić stan faktyczny sprawy zgodny z rzeczywistością, nie zaś ustalać, jakie hipotetyczne cele i podstawy przetwarzania danych osobowych tej osoby mogłyby zaistnieć po stronie administratora w przyszłości w związku z pojawieniem się ewentualnych roszczeń od nieistniejących zobowiązań. Prawidłowe było zatem przyjęcie przez organ w uzasadnieniu zaskarżonej decyzji wykładni art. 6 ust. 1 lit. f RODO. Skoro odmowa udzielenia kredytu nie skutkuje powstaniem roszczeń cywilnoprawnym, nie sposób przyznać Bankowi racji, że koniecznym istniały podstawy faktyczne i prawne do przetwarzanie danych osobowych Uczestnika dotyczących ww. zapytania kredytowego, w celu ewentualnego dochodzenia roszczeń lub konieczności obrony przed ewentualnymi roszczeniami w przyszłości ze strony Uczestnika. Przepisy prawa nie przewidują bowiem roszczenia cywilnoprawnego, które przysługiwałoby Uczestnikowi w związku z nieudzieleniem kredytu przez Bank. Stosownie do motywu 47 RODO podstawą prawną przetwarzania mogą być prawnie uzasadnione interesy administratora, w tym administratora, któremu mogą zostać ujawnione dane osobowe, lub strony trzeciej, o ile w świetle rozsądnych oczekiwań osób, których dane dotyczą, opartych na ich powiązaniach z administratorem nadrzędne nie są interesy lub podstawowe prawa i wolności osoby, której dane dotyczą. Taki prawnie uzasadniony interes może istnieć na przykład w przypadkach, gdy zachodzi istotny i odpowiedni rodzaj powiązania między osobą, której dane dotyczą, a administratorem, na przykład gdy osoba, której dane dotyczą, jest klientem administratora lub działa na jego rzecz. Aby stwierdzić istnienie prawnie uzasadnionego interesu, należałoby w każdym przypadku przeprowadzić dokładną ocenę, w tym ocenę tego, czy w czasie i w kontekście, w którym zbierane są dane osobowe, osoba, której dane dotyczą, ma rozsądne przesłanki by spodziewać się, że może nastąpić przetwarzanie danych w tym celu. Interesy i prawa podstawowe osoby, której dane dotyczą, mogą być nadrzędne wobec interesu administratora danych w szczególności w przypadkach, gdy dane osobowe są przetwarzane w sytuacji, w której osoby, których dane dotyczą, nie mają rozsądnych przesłanek, by spodziewać się dalszego przetwarzania.
Zdaniem Sądu Bank niezasadnie skupia się na interesach gospodarczych, nie dostrzegając, że z punktu widzenia ochrony danych osobowych dane te mogą być przetwarzane do celów wynikających z prawnie uzasadnionych interesów realizowanych przez administratora lub przez stronę trzecią, ale wyłącznie wówczas, gdy są nadrzędne nad interesami i prawami osoby, której dane dotyczą. Tymczasem sytuacja taka w sprawie nie zachodziła, ponieważ Prezes UODO ważąc interesy i podstawowe prawa i wolności osoby, której dane dotyczyły, w tym prawo do prywatności, z interesem administratora, który dotyczy w tym wypadku zachowania w swych zasobach danych "na wszelki wypadek", do dochodzenia lub obrony ewentualnych roszczeń, które nie powstały, doszedł do trafnego wniosku, że to interesy i podstawowe prawa i wolności osoby, której dane dotyczą są nadrzędne. Przesłanka określona w art. 6 ust. 1 lit. f RODO nie jest ukierunkowana na ochronę interesów sektora bankowego, czy gospodarczego. Legalność przetwarzania danych osobowych w oparciu o tę przesłankę uzależniona jest od tego, czy przetwarzanie to jest niezbędne do celów wynikających z prawnie uzasadnionych interesów realizowanych przez administratora lub przez stronę trzecią, z wyjątkiem sytuacji, w których nadrzędny charakter wobec tych interesów mają interesy lub podstawowe prawa i wolności osoby, której dane dotyczą. Nie można ponadto mówić o zaistnieniu prawnie uzasadnionego interesu w przypadku, gdy dane osobowe przetwarzane są na zapas, na wypadek, gdyby taki prawnie uzasadniony interes pojawić się mógł dopiero w przyszłości.
W ocenie Sądu Prezes UODO w ww. decyzji, w okolicznościach faktycznych sprawy nie naruszył również art. 6 ust. 1 lit. c RODO w związku z art. 70a ust. 1 u.P.b. Przesłanka z art. 6 ust. 1 lit. c) RODO nie znajduje bowiem zastosowania w okolicznościach faktycznych sprawy. Przepis ten dotyczy bowiem sytuacji, gdy przetwarzanie jest niezbędne do wypełnienia obowiązku prawnego administratora danych, a nie realizacji uprawnienia, o którym mowa w art. 105 ust. 4 u.P.b.
W sprawie nie było kwestionowane, że udzielanie kredytów jest czynnością bankową. Warto jednak wskazać, że art. 105 ust. 4 u.P.b. nie nakłada na bank obowiązku korzystania z zewnętrznej bazy zawierającej informacje o wnioskach z sektora bankowego oraz sektora pożyczkowego. Przyznaje jedynie bankom uprawnienie do tworzenia instytucji upoważnionych do gromadzenia, przetwarzania i udostępniania bankom informacji stanowiących tajemnicę bankową we wskazanym zakresie. Ponadto przepis art. 105 ust. 4 u.P.b. nie stanowi o dopuszczalności przetwarzania danych osobowych dotyczących wniosków kredytowych w sytuacji, gdy nie doszło do zawarcia umowy z bankiem. Przepis art. 105a ust. 1a, 1b, 1c u.P.b. dotyczy określenia warunków dopuszczalności zautomatyzowanego przetwarzania, w tym profilowania danych osobowych w celu oceny zdolności kredytowej i analizy ryzyka kredytowego. Powyższe przepisy w żaden sposób nie dają podstawy do przetwarzania "na przyszłość" danych osoby, z którą umowy nie zawarto, a cel, dla którego dane zebrano ustał. Skoro art. 105a u.P.b. nie daje podstaw do dalszego przetwarzania danych Uczestnika po zakończeniu oceny zdolności kredytowej i analizy ryzyka kredytowego, gdy umowy nie zawarto, to niezasadne są podnoszone w skardze argumenty o możliwości przetwarzania tych danych niejako na przyszłość. Na podstawie powołanych przepisów Bank nie ma uprawnienia do dalszego przetwarzania tych danych, albowiem umowy nie zawarto i nie wykazano przesłanki legalizującej to działanie.
Warto też podkreślić, że stosownie do art. 70a ust. 1 u.P.b. banki i inne instytucje ustawowo upoważnione do udzielania kredytów na wniosek osoby fizycznej, prawnej lub jednostki organizacyjnej niemającej osobowości prawnej, o ile posiada zdolność prawną, ubiegającej się o kredyt przekazują, w formie pisemnej, wyjaśnienie dotyczące dokonanej przez siebie oceny zdolności kredytowej wnioskującego. Stosownie zaś do art. 70a ust. 2 u.P.b., w brzmieniu obowiązującym w dacie przedmiotowego zapytania kredytowego, wyjaśnienie, o którym mowa w ust. 1, obejmuje informacje na temat czynników, w tym danych osobowych wnioskującego, które miały wpływ na dokonaną ocenę zdolności kredytowej.
Powstanie obowiązku, o którym mowa w art. 70a ust. 1 u.P.b., uzależnione jest od złożenia stosownego wniosku przez osobę ubiegającą się o kredyt.
Art. 70a u.P.b. w dacie ww. zapytania kredytowego, nie przewidywał terminu na złożenie wniosku o udzielenie informacji dotyczących odmowy udzielenia kredytu. Oznacza to, że gdyby banki i inne instytucje uprawnione do udzielania kredytów miały obowiązek przetwarzania danych w celu ewentualnej realizacji obowiązku informacyjnego z art. 70a u.P.b., byłyby zobowiązane do przetwarzania permanentnego danych osób, które nawet nie zostały ich klientami. Ww. przepisu oraz wynikającego z niego obowiązku nie sposób uznać za podstawę prawną mogącą stanowić samodzielną przesłankę przetwarzania danych osobowych w zakresie dokonanych zapytań kredytowych oraz złożonych wniosków o udzielenie kredytu. Na mocy art. 70a ust. 1 u.P.b. (obowiązującego w dacie ww. zapytania kredytowego) powstanie po stronie Banku obowiązku uzależnione było od złożenia stosownego wniosku przez osobę ubiegającą się o kredyt.
Sąd podziela pogląd Naczelnego Sądu Administracyjnego wyrażony w wyroku z 27 sierpnia 2019r. sygn. akt I OSK 2567/17, zgodnie z którym, gdyby podzielić stanowisko Banku, że pozyskanie danych na etapie złożenia wniosku kredytowego uprawnia Bank do ich nieograniczonego w czasie przechowywania po odmowie zawarcia umowy kredytowej, to regulacje zawarte w art. 105a ust. 2 i 3 i ust. 5 u.P.b. ograniczające w czasie przypadki przetwarzania danych klientów z umów kredytowych pozbawione byłyby sensu. Pogląd ten wyrażony został wprawdzie na gruncie poprzednio obowiązującej u.o.d.o., która obowiązywała przed RODO, ale - w ocenie Sądu - nie stracił na aktualności. Przepisy RODO wzmacniają, w porównaniu z Dyrektywą 95/46, ochronę danych osób fizycznych. Aktualności tego poglądu Naczelnego Sądu Administracyjnego nie zmienia także fakt, że Bank przyjął w swej praktyce określone terminy dalszego przetwarzania danych osobowych osoby, z którą nie zawarto umowy kredytu. Zgodnie z art. 5 ust. 1 RODO, dane osobowe muszą być: a) przetwarzane zgodnie z prawem, rzetelnie i w sposób przejrzysty dla osoby, której dane dotyczą ("zgodność z prawem, rzetelność i przejrzystość"); b) zbierane w konkretnych, wyraźnych i prawnie uzasadnionych celach i nieprzetwarzane dalej w sposób niezgodny z tymi celami; dalsze przetwarzanie do celów archiwalnych w interesie publicznym, do celów badań naukowych lub historycznych lub do celów statystycznych nie jest uznawane w myśl art. 89 ust. 1 za niezgodne z pierwotnymi celami ("ograniczenie celu"); c) adekwatne, stosowne oraz ograniczone do tego, co niezbędne do celów, w których są przetwarzane ("minimalizacja danych"); d) prawidłowe i w razie potrzeby uaktualniane; należy podjąć wszelkie rozsądne działania, aby dane osobowe, które są nieprawidłowe w świetle celów ich przetwarzania, zostały niezwłocznie usunięte lub sprostowane ("prawidłowość"); e) przechowywane w formie umożliwiającej identyfikację osoby, której dane dotyczą, przez okres nie dłuższy, niż jest to niezbędne do celów, w których dane te są przetwarzane; dane osobowe można przechowywać przez okres dłuższy, o ile będą one przetwarzane wyłącznie do celów archiwalnych w interesie publicznym, do celów badań naukowych lub historycznych lub do celów statystycznych na mocy art. 89 ust. 1, z zastrzeżeniem że wdrożone zostaną odpowiednie środki techniczne i organizacyjne wymagane na mocy niniejszego rozporządzenia w celu ochrony praw i wolności osób, których dane dotyczą ("ograniczenie przechowywania"); f) przetwarzane w sposób zapewniający odpowiednie bezpieczeństwo danych osobowych, w tym ochronę przed niedozwolonym lub niezgodnym z prawem przetwarzaniem oraz przypadkową utratą, zniszczeniem lub uszkodzeniem, za pomocą odpowiednich środków technicznych lub organizacyjnych ("integralność i poufność").
Ww. zasady przetwarzania danych nie pozwalają na arbitralne decydowanie przez administratora – w sytuacji braku do tego podstaw – o dalszym przetwarzaniu (a zatem ich m.in. ujawnianiu przez przesyłanie, udostępnianie, utrwalanie, organizowanie, adaptowanie, modyfikowanie) danych osobowych mimo ustania celu, dla którego dane w zapytaniu kredytowym były zebrane. Stwierdzić też należy, że art. 5 ust. 2 RODO stanowi, że administrator jest odpowiedzialny za przestrzeganie ust. 1 i musi być w stanie wykazać ich przestrzeganie ("rozliczalność"). Skoro jednak Bank nie dysponuje przesłanką legalności przetwarzania danych zawartych w zapytaniu kredytowym Uczestnika, po tym, gdy wniósł on o usunięcie tych danych, co zasadnie stwierdził Prezes UODO w ww. decyzji z [...] lutego 2025r., to nie można przyjąć, aby ww. zasady określone w RODO mogły wykreować (stanowić) przesłankę legalności przetwarzania danych.
Nie można tracić z pola widzenia - co Sąd podkreślał już wcześniej - że u.P.b. ściśle określa cele i zasady przetwarzania danych osobowych, w tym stanowi, w jakich przypadkach i dla jakich ściśle określonych celów jest dopuszczalne "dalsze" przetwarzanie danych bez zgody osoby fizycznej (po wygaśnięciu zobowiązania). W art. 105a ust. 4 u.P.b. ustawodawca wyraźnie wskazał na cele stosowania metod wewnętrznych oraz innych metod i modeli, o których mowa w części trzeciej CRR. Prawo bankowe określa też, przez jaki czas mogą być przetwarzane dane stanowiące tajemnicę bankową po wygaśnięciu zobowiązania. Niezasadne były w związku z tym zarzuty naruszenia art. 6 ust. 1 lit. c) RODO w związku z art. 70a ust. 1 u.P.b. Powstanie obowiązku, o którym mowa w art. 70a ust. 1 u.P.b., uzależnione jest od złożenia stosownego wniosku przez osobę ubiegającą się o kredyt. Skoro w rozpoznawanej sprawie wniosek taki nie został złożony, a ponadto Uczestnik wniósł o usunięcie swoich danych osobowych związanych z ww. zapytaniem kredytowy, to należało uznać, że nie może być mowy o tym, aby w sprawie znajdował zastosowanie art. 70a ust. 1 i 2 u.P.b.
Warto też wskazać, że wbrew argumentacji prezentowanej w skardze Prezes UODO nakazał usunięcie danych osobowych Uczestnika w zakresie wynikającym z ww. zapytania kredytowego, a nie w innym zakresie. Tym samym nie ma istotnego znaczenia w sprawie podnoszona w skardze okoliczność, że Uczestnik pozostaje klientem Banku i posiadał w nim aktywne produkty bankowe w dacie wydania decyzji, jak również posiada je obecnie. Prezes UODO badał legalność przetwarzania danych osobowych Uczestnika w związku z ww. zapytaniem kredytowym, które nie zakończyło się zawarciem stosunku umownego z Bankiem. Tym samym organ nie pominął – wbrew argumentom skargi – okoliczności wynikających ze stanu faktycznego sprawy, w tym z wyjaśnień Banku, i w tym zakresie wszystkie podnoszone w skardze zarzuty nie mogły być uznane za zasadne.
Zdaniem Sądu Prezes UODO, prowadząc postępowanie podjął – wbrew zarzutom podnoszonym w skardze - niezbędne i wystarczające w sprawie działania, konieczne dla wyjaśnienia stanu faktycznego sprawy, czyniąc tym samym zadość przepisom art. 7 i art. 77 § 1 k.p.a. Organ, w celu zweryfikowania zarzutów Uczestnika względem Banku, korzystając z instrumentów prawnych określonych w art. 58 ust. 1 lit. a i e RODO, zwrócił się do Banku o złożenie pisemnych wyjaśnień i potwierdzających je dowodów, w celu ustalenia podstaw przetwarzania danych osobowych Uczestnika. Na administratorze i podmiocie przetwarzającym spoczywa bowiem, na mocy art. 31 RODO, obowiązek dostarczenia wszelkich informacji potrzebnych organowi nadzorczemu do realizacji swoich zadań. Podmioty te powinny zatem współpracować z organem i udzielać wyczerpujących wyjaśnień na wezwanie organu, realizującego swe zadania zgodnie z art. 58 ust. 1 lit. a i e RODO. Prezes UODO nie musiał natomiast ustalać istnienia celów, w których Bank hipotetycznie mógłby przetwarzać dane osobowe Uczestnika i przepisów, na podstawie których mogłoby to nastąpić. Organ nie może też decydować za administratora, w jakim celu ten przetwarza dane osobowe, albo czy będzie możliwe w przyszłości przetwarzanie tych danych.
Zdaniem Sądu, akta sprawy i zgromadzony w nich materiał dowodowy wskazuje, że nie doszło do naruszenia powołanych w skardze norm prawa procesowego przez Prezesa UODO. Organ ten zbadał bowiem proces przetwarzania danych osobowych Uczestnika przez Bank i ustalił stan faktyczny sprawy, zgodny z rzeczywistością, na podstawie dowodów i okoliczności podnoszonych w sprawie przez podmioty uczestniczące w postępowaniu. Prezes UODO nie był natomiast zobowiązany ustalać, jakie hipotetyczne cele i podstawy przetwarzania danych osobowych Uczestnika mogłyby zaistnieć po stronie administratora, z uwagi na istnienie powołanych wyżej przepisów, nakładających na niego określone obowiązki. Ww. decyzję wydano więc na podstawie stanu faktycznego ustalonego m.in. na podstawie złożonych przez Bank wyjaśnień, które nie budzą wątpliwości. Podkreślenia wymaga, że oświadczenia stron postępowania stanowią dowód równoprawny innym dowodom. Dowód taki podlega zatem swobodnej ocenie organu, której dokonano w sprawie, więc niemożliwe było za zasadne uznanie naruszenia art. 80 k.p.a. przez organ. Dokonanie odmiennej od prezentowanej przez Bank w skardze oceny dowodów nie stanowi samo w sobie o wadliwości rozstrzygnięcia organu. Prezes UODO odniósł się do procesów przetwarzania danych osobowych Uczestnika i wyjaśnił dlaczego wskazane przez Bank podstawy prawne nie legitymują procesu przetwarzania danych osobowych Uczestnika, odnosząc się do poszczególnych zagadnień. Oceny Prezesa UODO są spójne i zgodne z zasadami logiki. Możliwość przedstawienia przez stronę odmiennej oceny materiału dowodowego nie oznacza, że ocena, której dokonał organ jest oceną błędną. Tym samym zaprezentowanie przez Bank odmiennej oceny materiału dowodowego zebranego w sprawie nie może prowadzić do uznania zasadności zarzutów naruszenia art. 7, art. 77 oraz art. 80 k.p.a.
W ocenie Sądu niezasadny był też zarzut naruszenia przez Prezesa UODO art. 7b k.p.a. Zgodnie z tym przepisem w toku postępowania organy administracji publicznej współdziałają ze sobą w zakresie niezbędnym do dokładnego wyjaśnienia stanu faktycznego i prawnego sprawy, mając na względzie interes społeczny i słuszny interes obywateli oraz sprawność postępowania, przy pomocy środków adekwatnych do charakteru, okoliczności i stopnia złożoności sprawy.
Zdaniem Sądu, wbrew stanowisku prezentowanemu w skardze, Prezes UODO w okolicznościach faktycznych sprawy, nie był zobowiązany na podstawie art. 7b k.p.a. ustalać wpływu zatwierdzenia przez KNF metodyki IRB, stosowanej przez Bank w procesie przetwarzania danych osobowych Uczestnika. Prezes UODO jest wyspecjalizowanym organem w sprawach ochrony danych osobowych, który ma status i kompetencje organu nadzorczego określone w przepisach RODO. Z tego względu Prezes UODO jest uprawniony do samodzielnego dokonywania interpretacji przepisów prawa w zakresie dotyczącym ochrony danych osobowych. Prezes UODO nie miał zatem obowiązku zwracania się do KNF ani w zakresie dokonywanych ustaleń stanu faktycznego ani w zakresie wyjaśnień stanu prawnego. Warto też podkreślić, że rekomendacje KNF nie są źródłem prawa powszechnie obowiązującego. Nie ma przy tym podstaw, aby w tym przypadku, w stanie faktycznym tej sprawy, wywodzić z Rekomendacji KNF – wobec osoby, z którą nie zawarto umowy kredytowej i która zażądała usunięcia danych – prawnie uzasadnione interesy Banku, o których jest mowa w art. 6 ust. 1 lit. f) RODO. Rekomendacje KNF, które zawierają konkretne wymagania regulacyjne wobec narzędzi używanych przez banki, nie powinny być interpretowane w sprzeczności z RODO w zakresie legalności przetwarzania danych (w zakresie zapytań kredytowych) osób, z którymi nie zawarto umów kredytowych. Nie mogą być też wykładane w sposób prowadzący do nieuprawnionego przetwarzania takich danych. Z okoliczności faktycznych sprawy wynika bowiem, że ocena zdolności kredytowej i analiza ryzyka kredytowego Uczestnika zostały dokonane (zrealizowane). Cel przetwarzania danych, dla którego zostały one zgromadzone w zapytaniu kredytowym, został tym samym osiągnięty. Odpadła zatem przesłanka legalizująca dalsze przetwarzanie danych osobowych Uczestnika przez Bank, które to przetwarzanie miało na celu ocenę zdolności kredytowej i analizę ryzyka kredytowego (przed zawarciem umowy). W demokratycznym państwie prawnym nie jest dopuszczalne dowolne rozszerzanie uprawnień jakiegokolwiek podmiotu, ani organu władzy ani spółki prawa handlowego, ani żadnego innego podmiotu będącego administratorem w zakresie przetwarzania danych osobowych (art. 47, art. 51 Konstytucji RP). Dane osobowe mogą być przetwarzane co do zasady w celach, w jakich zostały zebrane. Powinny być adekwatne, stosowne oraz ograniczone do tego co niezbędne do osiągnięcia celów, w których zostały zebrane, są przetwarzane (art. 5 ust. 1 lit. c RODO). Przetwarzanie przez Bank "na przyszłość" danych zawartych w zapytaniu kredytowym, w sytuacji, gdy nie zawarto umowy, nie znajduje umocowania w żadnej przesłance z art. 6 ust. 1 RODO.
3. Sąd, mając powyższe okoliczności na względzie na mocy art. 151 P.p.s.a., oddalił skargę.
Źródło: Centralna Baza Orzeczeń Sądów Administracyjnych (orzeczenia.nsa.gov.pl), pozyskano 15.07.2026. · Źródło