Nie trzeba usuwać danych po zakończeniu usługi

Wielokrotnie na łamach Judydkatura.pl poruszaliśmy temat przetwarzania danych osobowych “na zapas”. Z zebranych orzeczeń WSA w Warszawie kształtowała się już pewna linia orzecznicza:

Prawnie usprawiedliwiony interes nie może prowadzić do przetwarzania na zapas

Kolejny wyrok w sprawie przetwarzania danych “na zapas”

Tym razem mamy uzasadnienie wyroku wskazującego na światełko w tunelu – brak nawiązania stosunku zobowiązaniowego między administratorem danych, a osobą, której dane są przetwarzane nie zobowiązuję tego administratora do usunięcia zebranych danych. Nawet w przypadku nawiązania takiego stosunku i jego zakończenia uzasadnionym jest, zdaniem WSA w Warszawie, przetwarzanie danych osobowych zgodnie z obowiązującymi przepisami np. w zakresie okresu przedawnienia roszczeń.

Orzeczenie WSA w Warszawie, o którym dziś mowa, zostało wydane w październiku 2021 r., a wczoraj opublikowano bardzo obszerne uzasadnienie. Poruszono w nim następujące kwestie:

W ocenie Wojewódzkiego Sądu Administracyjnego w Warszawie, analizowana pod tym kątem skarga Biura Informacji Kredytowej S.A. z siedzibą w […] zasługuje na uwzględnienie, albowiem zaskarżona decyzja Prezesa Urzędu Ochrony Danych Osobowych z dnia […] grudnia 2020 r., w zaskarżonej części, a więc w zakresie, w którym organ nadzorczy nakazał skarżącemu BIK usunięcie danych osobowych M.T. przetwarzanych w związku z zapytaniem kredytowym z dnia […] marca 2019 r. przekazanych przez Bank […] z siedzibą w […] (pkt 1 zaskarżonej decyzji) narusza w sposób istotny obowiązujące przepisy prawa.

Niemniej, według składu Sądu orzekającego w niniejszej sprawie, uznać należy, że niezależnie od wskazanych powyżej uchybień proceduralnych, Prezes UODO dopuścił się przede wszystkim istotnego naruszenia przepisów prawa materialnego, w tym w szczególności naruszenia art. 6 ust. 1 lit. c RODO w zw. z art. 105 ust. 4 ustawy z dnia 29 sierpnia 1997 r. – Prawo bankowe, które polegało na ich niewłaściwym zastosowaniu i w konsekwencji nieuzasadnionym przyjęciu w zaskarżonej decyzji, że skarżący BIK nie legitymuje się przesłanką przetwarzania danych wynikającą z art. 6 ust. 1 lit. c RODO w związku z art. 105 ust. 4 Prawa bankowego, gdy tymczasem, z przepisu tego wynika obowiązek przetwarzania przez stronę skarżącą danych osobowych, w tym danych z zapytań kredytowych przekazanych przez banki i inne instytucje wymienione w art. 105 ust. 4 Prawa bankowego w zakresie, w jakim informacje te potrzebne są bankom do wykonywania czynności bankowych, w tym oceny zdolności kredytowej i analizy ryzyka kredytowego oraz innym instytucjom (instytucjom pożyczkowym) w zakresie niezbędnym do oceny zdolności kredytowej i analizy ryzyka kredytowego.

Jednocześnie, Sąd stwierdził, że Prezes UODO, wydając zaskarżoną decyzję z dnia […] grudnia 2020 r., dopuścił się istotnego naruszenia art. 6 ust. 1 lit. c RODO również w ten sposób, że niezasadnie przyjął, że strona skarżąca nie legitymuje się przesłanką przetwarzania danych wynikającą z tego przepisu, gdy tymczasem skarżący BIK zasadnie wykazał w toku postępowania, powołując się na przepisy art. 105a ust. 1-1c ustawy z dnia 29 sierpnia 1997 r. – Prawo bankowe, że w jego przypadku cel przetwarzania danych osobowych polega na przekazywaniu bankom, w tym Bankowi […]., który był stroną postępowania przed organem nadzorczym, informacji niezbędnych do oceny zdolności kredytowej i analizy ryzyka kredytowego.

Według Sądu, Prezes UODO nie zbadał wszystkich podstaw prawnych dalszego przetwarzania danych o zapytaniach kredytowych, pomimo, iż przepisy prawa upoważniają skarżący BIK, a także Bank do przetwarzania tych danych również w sytuacji, gdy kredytu nie udzielono.

Otóż, Sąd uznał, że organ nadzorczy naruszył przepisy art. 6 ust. 1 lit. c RODO w zw. z art. 105 ust. 4 ustawy z dnia 29 sierpnia 1997 r. – Prawo bankowe, z uwagi na ich niewłaściwe zastosowanie i w konsekwencji nieuzasadnione przyjęcie w zaskarżonej decyzji, że skarżący BIK nie legitymuje się przesłanką przetwarzania danych wynikającą z art. 6 ust. 1 lit. c RODO w związku z art. 105 ust. 4 Prawa bankowego, gdy tymczasem, jak zasadnie wykazała strona skarżąca, z przepisu tego wynika obowiązek przetwarzania przez Biuro Informacji Kredytowej danych osobowych, w tym danych z zapytań kredytowych przekazanych przez banki i inne instytucje wymienione w art. 105 ust. 4 Prawa bankowego w zakresie, w jakim informacje te potrzebne są bankom do wykonywania czynności bankowych, w tym oceny zdolności kredytowej i analizy ryzyka kredytowego oraz innym instytucjom (instytucjom pożyczkowym) w zakresie niezbędnym do oceny zdolności kredytowej i analizy ryzyka kredytowego.

Ponadto, Wojewódzki Sąd Administracyjny w Warszawie uznał, że Prezes UODO, nakładając na skarżący BIK obowiązek usunięcia danych osobowych M.T. przekazanych przez Bank, dopuścił się naruszenia art. 6 ust. 1 lit. f RODO w związku z art. 117 § 2 i § 21 , art. 118 i art. 119 ustawy z dnia 23 kwietnia 1964 r. – Kodeks cywilny, które to naruszenie polegało na niewłaściwym zastosowaniu wspomnianych przepisów i w konsekwencji nieuzasadnionym przyjęciu, że przechowywanie wspomnianych danych przez okres przedawnienia roszczeń, również w przypadku, gdy ani administrator ani osoba, której dane dotyczą, nie zgłosiła jeszcze roszczenia, nie stanowi prawnie uzasadnionego interesu skarżącego BIK oraz Banku, w rozumieniu art. 6 ust. 1 lit. f RODO, gdy tymczasem przepisy te – w ocenie Sądu – uprawniają zarówno stronę skarżącą, jak i Bank do przetwarzania danych osobowych w celu ustalenia, dochodzenia i ochrony przed roszczeniami.

 

i co również ważne:

 

Ponadto, w wyniku analizy legalności spornej decyzji organu nadzorczego, Wojewódzki Sąd Administracyjny w Warszawie uznał, że Prezes UODO, nakładając na skarżący BIK obowiązek usunięcia danych osobowych M.T. przekazanych przez Bank, dopuścił się naruszenia art. 6 ust. 1 lit. f RODO w związku z art. 117 § 2 i § 21 , art. 118 i art. 119 ustawy z dnia 23 kwietnia 1964 r. – Kodeks cywilny, które to naruszenie polegało na niewłaściwym zastosowaniu wspomnianych przepisów i w konsekwencji nieuzasadnionym przyjęciu, że przechowywanie wspomnianych danych przez okres przedawnienia roszczeń, również w przypadku, gdy ani administrator ani osoba, której dane dotyczą, nie zgłosiła jeszcze roszczenia, nie stanowi prawnie uzasadnionego interesu skarżącego BIK oraz Banku, w rozumieniu art. 6 ust. 1 lit. f RODO, gdy tymczasem przepisy te – w ocenie Sądu – uprawniają zarówno stronę skarżącą, jak i Bank do przetwarzania danych osobowych w celu ustalenia, dochodzenia i ochrony przed roszczeniami.

Stosowanie tego przepisu następuje dwuetapowo. Przede wszystkim oparcie przetwarzania danych osobowych na przepisie art. 6 ust. 1 lit. f RODO wymaga kumulatywnego spełnienia dwóch przesłanek. Po pierwsze, musi występować prawnie uzasadniony interes, który jest realizowany przez administratora lub przez stronę trzecią. Po drugie, niezbędna jest weryfikacja, czy przetwarzanie danych osobowych jest niezbędne dla realizacji celu wynikającego z powyższego interesu. W drugim etapie trzeba natomiast ocenić, czy nie jest spełniona przesłanka o charakterze negatywnym w postaci występowania w danym stanie faktycznym interesów lub podstawowych praw i wolności podmiotu danych, które mają charakter nadrzędny wobec prawnie uzasadnionych interesów administratora lub strony trzeciej. W przypadku spełnienia tego warunku nie będzie można powołać się na przepis art. 6 ust. 1 lit. f, jako uzasadnienie dla przetwarzania danych osobowych. Stosowanie tej negatywnej przesłanki polega w istocie na wyważeniu dwóch dóbr chronionych prawem, tj. prawnie uzasadnionego interesu administratora lub strony trzeciej z jednej strony i interesów, podstawowych praw oraz wolności podmiotu danych z drugiej.

Prawnie uzasadniony interes trzeba rozumieć nie jako interes wynikający z przepisów prawa, lecz jako interes, który jest zgodny z prawem. Owa zgodność z prawem stanowi ograniczenie pojęcia interesu administratora lub strony trzeciej jako potencjalnej podstawy do przetwarzania danych osobowych.

Tak rozumiany prawnie uzasadniony interes musi być realizowany przez administratora lub przez stronę trzecią. Podkreślić przy tym trzeba, że może to być interes nie tylko administratora, który przetwarza już dane osobowe, lecz również administratora, któremu dane te mogą dopiero zostać ujawnione.

Pojęcie niezbędności oznacza z kolei, że przetwarzanie danych dla realizacji prawnie uzasadnionego interesu administratora lub strony trzeciej musi być, rozsądnie oceniając, potrzebne, a więc musi występować bezpośredni związek pomiędzy realizacją prawnie uzasadnionego interesu a potrzebą przetwarzania danych osobowych.

Zdaniem Sądu, nie można zgodzić się z zarzutem Prezesa UODO, iż konieczność usunięcia przez stronę skarżącą danych osobowych wynikała z tego, iż skarżący BIK nie wykazał, aby wnioskodawca M.T. wystąpił z jakimkolwiek roszczeniem wobec Banku lub BIK, które uzasadniałoby uprawnienie tych podmiotów do zachowania i przetwarzania jego danych osobowych dla celów dowodowych w związku z dochodzeniem przez wnioskodawcę tego roszczenia. W ocenie Sądu, nie sposób uznać bowiem – jak sugeruje organ nadzorczy – że przesłanka z art. 6 ust. 1 lit. f RODO dotyczy sytuacji już istniejącej, w której celem wynikającym z prawnie uzasadnionych interesów realizowanych przez administratora jest konieczność udowodnienia, potrzeba dochodzenia lub obrony przed roszczeniem istniejącym, nie zaś sytuacji, gdy dane są przetwarzane w celu zabezpieczenia się przed ewentualnym roszczeniem.