WSA: nakaz zaprzestania przetwarzania danych dla Banku narusza przepisy prawa materialnego

W tym orzeczeniu WSA w Warszawie z maja 2024 r. przedstawiony został bardzo szeroki wachlarz argumentów przemawiających za tym, że Bank nie ma obowiązku usunięcia danych osobowych w przypadku rozpatrzenia wniosku kredytowego, które nie zakończyło się udzieleniem kredytu.

W tej sprawie Prezes UODO we wrześniu 2023 r. nakazał pewnemu Bankowi:

zaprzestania przetwarzania danych osobowych Wnioskodawcy, w zakresie wynikającym z zapytania kredytowego z […] grudnia 2021 r., zwanego dalej “Zapytaniem”

Odchodząc od tego czy sentencja decyzji jest wykonalna, bo usunięcie danych jest ich przetwarzaniem, a zaprzestanie przetwarzania oznacza usunięcie danych skupię się na innym elemencie sprawy.

Prezes UODO uznał, że:

zebrany w postępowaniu materiał dowodowy nie wykazał, aby Wnioskodawca wystąpił z reklamacją lub jakimkolwiek roszczeniem wobec Banku, które uzasadniałoby uprawnienie tego podmiotu do zachowania i przetwarzania danych osobowych dla celów dowodowych w związku z dochodzeniem roszczenia; przesłanka z art. 6 ust. 1 lit. f RODO dotyczy sytuacji już istniejącej, gdy wynikającym z prawnie uzasadnionych interesów realizowanych przez administratora celem jest konieczność udowodnienia, potrzeba dochodzenia lub obrony przed roszczeniem istniejącym; nie dotyczy to sytuacji, gdy dane są przetwarzane w celu zabezpieczenia się przed ewentualnym roszczeniem

nie ma w niniejszej sprawie celu, uzasadniającego dalsze przetwarzanie przez Bank danych osobowych Wnioskodawcy, zawartych w Zapytaniu; w odniesieniu do kwestionowanego przezeń przetwarzania danych osobowych przez Bank, nie zaistniała żadna z wyrażonych w art. 6 ust. 1 RODO przesłanek, które stanowiłyby o legalności tego procesu; dlatego też – korzystając z uprawnienia przewidzianego w art. 58 ust. 2 lit c RODO – skierowano do Banku, będącego administratorem danych osobowych Wnioskodawcy, nakaz dotyczący danych osobowych przetwarzanych w związku z Zapytaniem

Wyszukiwarka 30 dni
Przez 30 dni masz dostęp do zaawansowanej wyszukiwarki:
249
 PLN z VAT
  • Aktualizowanej Bazy Orzeczeń Sądów i Trybunałów
  • Eksperckich tez wybranych orzeczeń
  • Decyzji Polskiego Organu Nadzorczego
  • Decyzji Europejskich Organów Nadzorczych
  • Wytycznych i Opinii EDPB oraz EDPS
  • Konkretnych argumentów w postępowaniu administracyjnym
Wybieram
Wyszukiwarka 360 dni
Przez 360 dni masz dostęp do wszystkich funkcjonalności Wyszukiwarka 30 dni
2365
 PLN z VAT
2988
  • Dedykowany newsletter zawierający najważniejsze wyroki opublikowane w danym miesiącu wraz z tezami
  • Indywidualnych konsultacji z założycielem serwisu Judykatura.pl w kwestiach związanych z RODO (3 konsultacje w ramach obowiązującej subskrypcji)
Wybieram
Aktualności Plus 30 dni
Przez 30 dni masz dostęp do najnowszych aktualności z RODO
49.99
 PLN z VAT
  • Pierwszy zapoznasz się z argumentacją Urzędu, Sądu czy Trybunału – nie czekaj na podsumowania miesiąca, które wpada do spamu
  • Każda aktualność to fachowe i czytelne podsumowanie omawianego orzeczenia, decyzji czy wytycznych wraz z dostępem do jego treści w serwisie Judykatura.pl
  • Jedno miejsce, w którym zapoznasz się z najważniejszymi argumentami orzeczenia oraz z jego treścią niezależnie od tego, z jakiego źródła ono pochodzi
  • Utrzymaj zgodność z RODO dzięki byciu na bieżąco z orzecznictwem RODO
Wybieram

Zamów dostęp do funkcjonalności Judykatura.pl bez podawania danych karty.

WSA w Warszawie szeroko przedstawił swój – odmienny pogląd:

skarga zasługuje na uwzględnienie, gdyż wydając orzeczenie naruszono przepisy prawa materialnego, zakreślające możliwość przetwarzania danych osobowych wobec prawnie uzasadnionych interesów administratorów (tu Banku), oraz realizacji ciążącego na administratorze obowiązku prawnego, a także regulacji, statuujących właściwość organu, wyspecjalizowanego w sprawach ochrony danych osobowych – w zakresie stosowania przezeń przepisów naprawczych. Miało to istotny wpływ na wynik sprawy.

Otóż – wedle stanowiska organu – w razie nie zawarcia umowy kredytowej, granice możliwości przetwarzania danych osobowych wnioskodawców dla celów oceny zdolności kredytowej oraz ryzyka kredytowego wyczerpująco określa art. 105a ust. 3-7 ustawy – Prawo bankowe. Stanowisko to nie jest trafne, przy zastosowaniu prawidłowej metody wykładni przedmiotowych regulacji.

Aktualności Plus 30 dni
Przez 30 dni masz dostęp do najnowszych aktualności z RODO
49.99
 PLN z VAT
  • Pierwszy zapoznasz się z argumentacją Urzędu, Sądu czy Trybunału – nie czekaj na podsumowania miesiąca, które wpada do spamu
  • Każda aktualność to fachowe i czytelne podsumowanie omawianego orzeczenia, decyzji czy wytycznych wraz z dostępem do jego treści w serwisie Judykatura.pl
  • Jedno miejsce, w którym zapoznasz się z najważniejszymi argumentami orzeczenia oraz z jego treścią niezależnie od tego, z jakiego źródła ono pochodzi
  • Utrzymaj zgodność z RODO dzięki byciu na bieżąco z orzecznictwem RODO
Wybieram

WSA w Warszawie szeroko przedstawił swój – odmienny pogląd:

Otóż prawodawca – doprecyzowując w ust. 3-7 reguły przetwarzania danych osobowych dla celu zdolności kredytowej oraz ryzyka kredytowego bez zgody zainteresowanych – odniósł to expressis verbis jedynie do przypadków, gdy doszło do zawarcia umowy kredytowej. Nie miał jednak woli wyłączenia tym możliwości przetwarzania danych dla tych samych celów wobec nie zawarcia umowy. Wniosek taki potwierdza brzmienie innych regulacji samej ustawy – Prawo bankowe – w tym art. 70a. W świetle tego przepisu, każdy klient banku jest uprawniony zwrócić się o wyjaśnienie przesłanek rozpoznania jego wniosku – dokonanej oceny zdolności kredytowej (tak ust. 1). Na dzień orzekania w danej sprawie, nie weszła w życie jeszcze regulacja, którą ograniczono czas, gdy uprawnienie to mogło być realizowane przez wnioskujących o kredyt (stosowna nowela ustawy – Prawo bankowe). Do urzeczywistnienia danego prawa po stronie klientów niezbędne jest oczywiście przetwarzanie danych osobowych przez Banku – w zakresie wykraczającym poza granice przewidziane art. 105a ust. 3-7 dalej ustawy.

Chybiona jest przy tym argumentacja organu jakoby – wobec żądania Wnioskodawcy usunięcia jego danych osobowych – Bank mógł się uważać za zwolniony od realizacji stanowionego na szczeblu ustawy obowiązku.

Skoro uprawnienia do rezygnacji dla klientów nie przewidziano wprost, nie sposób domniemywać, aby każda żądająca usunięcia swoich danych (np. bezpośrednio po rozpatrzeniu wniosku) osoba miała świadomość utraty konkretnego stanowionego ustawową uprawnienia.

Przyjęta w danym przypadku przez organ interpretacja znaczenia reguły legalizującej przetwarzanie danych – wskazanej art 6 ust. 1 lit. C RODO, wypacza sens danej regulacji w przyjętym brzmieniu. Przy takim rozumieniu przepisu, w każdym bowiem przypadku, gdzie przepisy nakazują przetwarzanie danych, konieczne byłoby rozważanie, czy – wobec stanowiska zainteresowanej osoby (jej żądań) – należy konkretną stanowioną prawem powinność przetwarzania danych nadal realizować. Takie rozumienie danej regulacji jest sprzeczne z jej treścią normatywną. W danym zakresie zarzuty skargi są oczywiście zasadne.

Wyszukiwarka 30 dni
Przez 30 dni masz dostęp do zaawansowanej wyszukiwarki:
249
 PLN z VAT
  • Aktualizowanej Bazy Orzeczeń Sądów i Trybunałów
  • Eksperckich tez wybranych orzeczeń
  • Decyzji Polskiego Organu Nadzorczego
  • Decyzji Europejskich Organów Nadzorczych
  • Wytycznych i Opinii EDPB oraz EDPS
  • Konkretnych argumentów w postępowaniu administracyjnym
Wybieram
Wyszukiwarka 360 dni
Przez 360 dni masz dostęp do wszystkich funkcjonalności Wyszukiwarka 30 dni
2365
 PLN z VAT
2988
  • Dedykowany newsletter zawierający najważniejsze wyroki opublikowane w danym miesiącu wraz z tezami
  • Indywidualnych konsultacji z założycielem serwisu Judykatura.pl w kwestiach związanych z RODO (3 konsultacje w ramach obowiązującej subskrypcji)
Wybieram
Aktualności Plus 30 dni
Przez 30 dni masz dostęp do najnowszych aktualności z RODO
49.99
 PLN z VAT
  • Pierwszy zapoznasz się z argumentacją Urzędu, Sądu czy Trybunału – nie czekaj na podsumowania miesiąca, które wpada do spamu
  • Każda aktualność to fachowe i czytelne podsumowanie omawianego orzeczenia, decyzji czy wytycznych wraz z dostępem do jego treści w serwisie Judykatura.pl
  • Jedno miejsce, w którym zapoznasz się z najważniejszymi argumentami orzeczenia oraz z jego treścią niezależnie od tego, z jakiego źródła ono pochodzi
  • Utrzymaj zgodność z RODO dzięki byciu na bieżąco z orzecznictwem RODO
Wybieram

Zamów dostęp do funkcjonalności Judykatura.pl bez podawania danych karty.

Sąd podniósł, że:

równocześnie – na co słusznie zwrócono uwagę w skardze – wbrew stanowisku organu, z samego brzmienia art. 105a ust. 1 i 1a ustawy – Prawo bankowe, nie wynika, aby ustanowiono nim prawną podstawę przetwarzania danych tylko w okresie od złożenia konkretnego wniosku do jego rozpoznania. Zakreślono tam bowiem wyłącznie cel, gdy dopuszczono przetwarzanie danych osobowych – to ocena zdolności kredytowej i analizy ryzyka kredytowego. Gdyby – jak wywodzi to organ – warunki przetwarzania danych osobowych bez zgody zainteresowanego dla tego celu wyczerpująco określono w przywołanym art. 105a ust. 3-7 ustawy – Prawo bankowe, nie istniałaby żadna podstawa do przetwarzania danych na etapie rozpoznawania wniosków – w tym informowaniu nawzajem banków o złożeniu równoległych wniosków.

zasadne jest wobec tego przyjęcie, że podstawy przetwarzania takich danych mogą wynikać z reguł odrębnych – np. ochrony słusznych interesów banku w obrocie gospodarczym. W tym kontekście należy wskazać, że trafne są zarzuty skargi, gdzie podniesiono, że uzasadniony interes administratora przemawiał za dalszym przetwarzaniem danych osobowych Wnioskodawcy, będących niejako niezbędnym znacznikiem identyfikującym zdarzenie – skierowania konkretnego Zapytania i ewentualnego udzielenia nań odpowiedzi przez Bank.

nie budzi wątpliwości trafność wywodów Banku, gdzie wskazano, że informacje o określonym zdarzeniu mogą mieć istotne znaczenie zarówno w kontekście przywołanego już obowiązku informacyjnego, zakreślonego art. 70a ustawy – Prawo bankowe, jak i wobec ewentualnych roszczeń, z którymi mogą wobec Banku występować ich niedoszli klienci – w związku z domniemanymi nieprawidłowościami, w kontekście rozpatrywanie ich wniosków kredytowych oraz ewentualnie negatywnymi ich następstwami z perspektywy swoich interesów (nie udzielenie kredytu bądź zaproponowanie go na warunkach, nieakceptowalnych dla konkretnego klienta). Roszczenia mogą dotyczyć także domniemanych nieprawidłowości w zakresie przetwarzanie danych osobowych wnioskujących o kredyt – na etapie procedury rozpoznawanie ich wniosków – a więc także obsługi konkretnego Zapytania przez Bank.

nie jest trafne stanowisko organu, jakoby możliwość przetwarzania danych osobowych – w kontekście potencjalnych przyszłych roszczeń – mogła być ograniczona wyłącznie do przypadków, gdy toczą się stosowne postępowania – kwestie w tym zakresie wyjaśniano w przedmiotowej sprawie i szczegółowo się do niej odnoszono – nawet, gdy teza taką bywa prezentowana w judykaturze. Sąd w tym składzie poglądu tego nie podziela.

intencji takiej nie sposób przypisać racjonalnemu prawodawcy na gruncie reguły ogólnej, wyrażonej art. 6 ust. 1 RODO, w szczególności w lit. f tego aktu – w kontekście ewentualnego realnego i drastycznego ograniczenia ochrony przed dochodzeniem potencjalnych roszczeń. Trafnie zauważa Bank, że uznanie, jakoby – wobec nie zawarcia umowy kredytu – jego obowiązkiem było usunięcie danych niedoszłego klienta, wyłączałoby w istocie możliwość ochrony przed jego roszczeniami jeszcze przed ich przedawnieniem. Mogłoby też prowadzić do istotnego ograniczenia praw samych klientów banków i innych instytucji finansowych – np. wobec braku stosownej dokumentacji po stronie wyspecjalizowanych podmiotów rynku finansowego.

inaczej mówiąc, prezentowane przez organ rozumienie przepisów, określających ramy przetwarzania danych osobowych niedoszłych klientów banków i innych instytucji finansowych, gdy nie zawarto umów, pozbawiałoby obie strony praw, wynikających wprost z generalnych reguł prawa materialnego – K.c. Miałoby to wpływ na realia obrotu gospodarczego. Intencji wprowadzenia tak głębokiej modyfikacji w relacje między niedoszłymi kontrahentami – w kontekście sektora bankowego – nie sposób przypisać prawodawcy, wobec aktualnego brzmienia regulacji w danym zakresie. Musiałby ją wyrazić wprost.

nie jest trafna argumentacja organu, jakoby odnoszenie się do kwestii przedawnienia roszczeń – w kontekście podstaw prawnych przetwarzania danych osobowych – było niezasadne, skoro upływ terminu nie powoduje ich wygaśnięcia. Skoro po terminach przedawnienia możliwość dochodzenia roszczeń jest znacznie ograniczona (instytucja zarzutu przedawnienia), zaś oceny występowania podstaw przetwarzania danych osobowych, dokonuje się w kontekście niezbędności dla celów wynikających z prawnie uzasadnionych interesów realizowanych przez administratora przetwarzanie danych – gdy realizacja potencjalnych roszczeń nie jest faktycznie możliwa – przetwarzanie nie znajduje już racjonalnych podstaw. Istnieje więc obiektywna granica czasowa, gdy nie ma przesłanek legalizujących dalsze przetwarzania danych dla określonego celu.

Aktualności Plus 30 dni
Przez 30 dni masz dostęp do najnowszych aktualności z RODO
49.99
 PLN z VAT
  • Pierwszy zapoznasz się z argumentacją Urzędu, Sądu czy Trybunału – nie czekaj na podsumowania miesiąca, które wpada do spamu
  • Każda aktualność to fachowe i czytelne podsumowanie omawianego orzeczenia, decyzji czy wytycznych wraz z dostępem do jego treści w serwisie Judykatura.pl
  • Jedno miejsce, w którym zapoznasz się z najważniejszymi argumentami orzeczenia oraz z jego treścią niezależnie od tego, z jakiego źródła ono pochodzi
  • Utrzymaj zgodność z RODO dzięki byciu na bieżąco z orzecznictwem RODO
Wybieram

WSA w Warszawie koncówo wskazał, że:

co wynika z uzasadnienia decyzji, na dzień orzekania w sprawie, Bank przetwarzał dane Wnioskodawcy w bardzo szerokim zakresie – m.in. dane identyfikacyjne – jak nazwisko panieńskie matki, dane o dokumencie tożsamości – informacje o miejscu i warunkach zatrudnienia, wiele danych teleadresowych (w tym adres email oraz dane kontaktowe miejsca zatrudnienia) itd.

w kontekście podstaw, legalizujących przetwarzania tych danych – powinności czy też uzasadnionego interesu prawnego – wymaga wyjaśnienia, czy cały zakres danych jest w istocie niezbędny dla realizacji dopuszczalnych celów przetwarzania, oraz czy dane są gromadzone w sposób umożliwiający dostęp do nich tylko dla realizacji zadań, znajdujących oparcie w art. 6 ust. 1 lit. c lub f RODO. Powinnością Banku jest bowiem minimalizacja przetwarzania danych osobowych wyłącznie do zakresu niezbędnych oraz stosowne ich zabezpieczenie, aby wykluczyć ich wykorzystanie w celach innych niż są nadal legalnie przetwarzane.

przy ocenie, czy przetwarzanie danych Wnioskodawcy jest niezbędne do celów wynikających z prawie uzasadnionych interesów (w myśl art. 6 ust. 1 lit. f RODO), należy mieć na uwadze, że – o ile przetwarzanie informacji o nieprzyznanych kredytach ma istotne znaczenie z perspektywy ograniczenia ryzyka kredytowego – działanie to może dotyczyć nie tylko partykularnego interesu sektora bankowego lecz także publicznego – w kontekście ograniczenia kosztów kredytów, jako następstwa redukcji ryzyka.

Zapisz się do newslettera
X

Podając swój adres e-mail oraz zatwierdzając zapis do newslettera wyrażasz zgodę na otrzymywanie od Piotra Liwszica informacji marketingowych. Zgodę możesz wycofać w każdym czasie wysyłając e-mail na adres kontakt@judykatura.pl. Administratorem danych jest Piotr Liwszic prowadzący działalność gospodarczą jawneprzezpoufne Piotr Liwszic z siedzibą przy ul. Grzybowskiej 43, 00-855 Warszawa, NIP- 521-332-36-17. Dane osobowe przetwarzane są w celu przesyłania informacji marketingowych. Więcej informacji o przetwarzaniu danych osobowych, w tym o przysługujących Państwu prawach, znajduje się w Polityce prywatności