W tej sprawie Prezes UODO we wrześniu 2023 r. nakazał pewnemu Bankowi:
zaprzestania przetwarzania danych osobowych Wnioskodawcy, w zakresie wynikającym z zapytania kredytowego z […] grudnia 2021 r., zwanego dalej “Zapytaniem”
Odchodząc od tego czy sentencja decyzji jest wykonalna, bo usunięcie danych jest ich przetwarzaniem, a zaprzestanie przetwarzania oznacza usunięcie danych skupię się na innym elemencie sprawy.
zebrany w postępowaniu materiał dowodowy nie wykazał, aby Wnioskodawca wystąpił z reklamacją lub jakimkolwiek roszczeniem wobec Banku, które uzasadniałoby uprawnienie tego podmiotu do zachowania i przetwarzania danych osobowych dla celów dowodowych w związku z dochodzeniem roszczenia; przesłanka z art. 6 ust. 1 lit. f RODO dotyczy sytuacji już istniejącej, gdy wynikającym z prawnie uzasadnionych interesów realizowanych przez administratora celem jest konieczność udowodnienia, potrzeba dochodzenia lub obrony przed roszczeniem istniejącym; nie dotyczy to sytuacji, gdy dane są przetwarzane w celu zabezpieczenia się przed ewentualnym roszczeniem
nie ma w niniejszej sprawie celu, uzasadniającego dalsze przetwarzanie przez Bank danych osobowych Wnioskodawcy, zawartych w Zapytaniu; w odniesieniu do kwestionowanego przezeń przetwarzania danych osobowych przez Bank, nie zaistniała żadna z wyrażonych w art. 6 ust. 1 RODO przesłanek, które stanowiłyby o legalności tego procesu; dlatego też – korzystając z uprawnienia przewidzianego w art. 58 ust. 2 lit c RODO – skierowano do Banku, będącego administratorem danych osobowych Wnioskodawcy, nakaz dotyczący danych osobowych przetwarzanych w związku z Zapytaniem
Aktualności Plus 360 dni
599
PLN z VAT
Zapoznaj się z argumentacją Urzędu, Sądu czy Trybunału
Fachowe i czytelne podsumowanie omawianego orzeczenia
Ponad 2000 orzeczeń o Ochronie Danych Osobowych (RODO). Codzienna aktualizacja bazy orzeczeń.
Teraz zamawiasz Szkolenie RODO - Inspektor Ochrony Danych. Nie musisz podawać karty płatniczej. Wystarczy, że wypełnisz formularz a na podany adres e-mail otrzymasz fakturę VAT do opłacenia.Ważne: Dopiero po zaksięgowaniu płatności – system utworzy konto użytkownika oraz uruchomi subskrypcję. Dopiero od tego momentu rozpoczyna się okres Subskrypcji.
skarga zasługuje na uwzględnienie, gdyż wydając orzeczenie naruszono przepisy prawa materialnego, zakreślające możliwość przetwarzania danych osobowych wobec prawnie uzasadnionych interesów administratorów (tu Banku), oraz realizacji ciążącego na administratorze obowiązku prawnego, a także regulacji, statuujących właściwość organu, wyspecjalizowanego w sprawach ochrony danych osobowych – w zakresie stosowania przezeń przepisów naprawczych. Miało to istotny wpływ na wynik sprawy.
Otóż – wedle stanowiska organu – w razie nie zawarcia umowy kredytowej, granice możliwości przetwarzania danych osobowych wnioskodawców dla celów oceny zdolności kredytowej oraz ryzyka kredytowego wyczerpująco określa art. 105a ust. 3-7 ustawy – Prawo bankowe. Stanowisko to nie jest trafne, przy zastosowaniu prawidłowej metody wykładni przedmiotowych regulacji.
Aktualności Plus 360 dni
599
PLN z VAT
Zapoznaj się z argumentacją Urzędu, Sądu czy Trybunału
Fachowe i czytelne podsumowanie omawianego orzeczenia
Przez 30 dni masz dostęp do najnowszych aktualności z RODO
49.99
PLN z VAT
Pierwszy zapoznasz się z argumentacją Urzędu, Sądu czy Trybunału – nie czekaj na podsumowania miesiąca, które wpada do spamu
Każda aktualność to fachowe i czytelne podsumowanie omawianego orzeczenia, decyzji czy wytycznych wraz z dostępem do jego treści w serwisie Judykatura.pl
Jedno miejsce, w którym zapoznasz się z najważniejszymi argumentami orzeczenia oraz z jego treścią niezależnie od tego, z jakiego źródła ono pochodzi
Utrzymaj zgodność z RODO dzięki byciu na bieżąco z orzecznictwem RODO
Otóż prawodawca – doprecyzowując w ust. 3-7 reguły przetwarzania danych osobowych dla celu zdolności kredytowej oraz ryzyka kredytowego bez zgody zainteresowanych – odniósł to expressis verbis jedynie do przypadków, gdy doszło do zawarcia umowy kredytowej. Nie miał jednak woli wyłączenia tym możliwości przetwarzania danych dla tych samych celów wobec nie zawarcia umowy. Wniosek taki potwierdza brzmienie innych regulacji samej ustawy – Prawo bankowe – w tym art. 70a. W świetle tego przepisu, każdy klient banku jest uprawniony zwrócić się o wyjaśnienie przesłanek rozpoznania jego wniosku – dokonanej oceny zdolności kredytowej (tak ust. 1). Na dzień orzekania w danej sprawie, nie weszła w życie jeszcze regulacja, którą ograniczono czas, gdy uprawnienie to mogło być realizowane przez wnioskujących o kredyt (stosowna nowela ustawy – Prawo bankowe). Do urzeczywistnienia danego prawa po stronie klientów niezbędne jest oczywiście przetwarzanie danych osobowych przez Banku – w zakresie wykraczającym poza granice przewidziane art. 105a ust. 3-7 dalej ustawy.
Chybiona jest przy tym argumentacja organu jakoby – wobec żądania Wnioskodawcy usunięcia jego danych osobowych – Bank mógł się uważać za zwolniony od realizacji stanowionego na szczeblu ustawy obowiązku.
Skoro uprawnienia do rezygnacji dla klientów nie przewidziano wprost, nie sposób domniemywać, aby każda żądająca usunięcia swoich danych (np. bezpośrednio po rozpatrzeniu wniosku) osoba miała świadomość utraty konkretnego stanowionego ustawową uprawnienia.
Przyjęta w danym przypadku przez organ interpretacja znaczenia reguły legalizującej przetwarzanie danych – wskazanej art 6 ust. 1 lit. C RODO, wypacza sens danej regulacji w przyjętym brzmieniu. Przy takim rozumieniu przepisu, w każdym bowiem przypadku, gdzie przepisy nakazują przetwarzanie danych, konieczne byłoby rozważanie, czy – wobec stanowiska zainteresowanej osoby (jej żądań) – należy konkretną stanowioną prawem powinność przetwarzania danych nadal realizować. Takie rozumienie danej regulacji jest sprzeczne z jej treścią normatywną. W danym zakresie zarzuty skargi są oczywiście zasadne.
Aktualności Plus 360 dni
599
PLN z VAT
Zapoznaj się z argumentacją Urzędu, Sądu czy Trybunału
Fachowe i czytelne podsumowanie omawianego orzeczenia
Ponad 2000 orzeczeń o Ochronie Danych Osobowych (RODO). Codzienna aktualizacja bazy orzeczeń.
Teraz zamawiasz Szkolenie RODO - Inspektor Ochrony Danych. Nie musisz podawać karty płatniczej. Wystarczy, że wypełnisz formularz a na podany adres e-mail otrzymasz fakturę VAT do opłacenia.Ważne: Dopiero po zaksięgowaniu płatności – system utworzy konto użytkownika oraz uruchomi subskrypcję. Dopiero od tego momentu rozpoczyna się okres Subskrypcji.
równocześnie – na co słusznie zwrócono uwagę w skardze – wbrew stanowisku organu, z samego brzmienia art. 105a ust. 1 i 1a ustawy – Prawo bankowe, nie wynika, aby ustanowiono nim prawną podstawę przetwarzania danych tylko w okresie od złożenia konkretnego wniosku do jego rozpoznania. Zakreślono tam bowiem wyłącznie cel, gdy dopuszczono przetwarzanie danych osobowych – to ocena zdolności kredytowej i analizy ryzyka kredytowego. Gdyby – jak wywodzi to organ – warunki przetwarzania danych osobowych bez zgody zainteresowanego dla tego celu wyczerpująco określono w przywołanym art. 105a ust. 3-7 ustawy – Prawo bankowe, nie istniałaby żadna podstawa do przetwarzania danych na etapie rozpoznawania wniosków – w tym informowaniu nawzajem banków o złożeniu równoległych wniosków.
zasadne jest wobec tego przyjęcie, że podstawy przetwarzania takich danych mogą wynikać z reguł odrębnych – np. ochrony słusznych interesów banku w obrocie gospodarczym. W tym kontekście należy wskazać, że trafne są zarzuty skargi, gdzie podniesiono, że uzasadniony interes administratora przemawiał za dalszym przetwarzaniem danych osobowych Wnioskodawcy, będących niejako niezbędnym znacznikiem identyfikującym zdarzenie – skierowania konkretnego Zapytania i ewentualnego udzielenia nań odpowiedzi przez Bank.
nie budzi wątpliwości trafność wywodów Banku, gdzie wskazano, że informacje o określonym zdarzeniu mogą mieć istotne znaczenie zarówno w kontekście przywołanego już obowiązku informacyjnego, zakreślonego art. 70a ustawy – Prawo bankowe, jak i wobec ewentualnych roszczeń, z którymi mogą wobec Banku występować ich niedoszli klienci – w związku z domniemanymi nieprawidłowościami, w kontekście rozpatrywanie ich wniosków kredytowych oraz ewentualnie negatywnymi ich następstwami z perspektywy swoich interesów (nie udzielenie kredytu bądź zaproponowanie go na warunkach, nieakceptowalnych dla konkretnego klienta). Roszczenia mogą dotyczyć także domniemanych nieprawidłowości w zakresie przetwarzanie danych osobowych wnioskujących o kredyt – na etapie procedury rozpoznawanie ich wniosków – a więc także obsługi konkretnego Zapytania przez Bank.
nie jest trafne stanowisko organu, jakoby możliwość przetwarzania danych osobowych – w kontekście potencjalnych przyszłych roszczeń – mogła być ograniczona wyłącznie do przypadków, gdy toczą się stosowne postępowania – kwestie w tym zakresie wyjaśniano w przedmiotowej sprawie i szczegółowo się do niej odnoszono – nawet, gdy teza taką bywa prezentowana w judykaturze. Sąd w tym składzie poglądu tego nie podziela.
intencji takiej nie sposób przypisać racjonalnemu prawodawcy na gruncie reguły ogólnej, wyrażonej art. 6 ust. 1 RODO, w szczególności w lit. f tego aktu – w kontekście ewentualnego realnego i drastycznego ograniczenia ochrony przed dochodzeniem potencjalnych roszczeń. Trafnie zauważa Bank, że uznanie, jakoby – wobec nie zawarcia umowy kredytu – jego obowiązkiem było usunięcie danych niedoszłego klienta, wyłączałoby w istocie możliwość ochrony przed jego roszczeniami jeszcze przed ich przedawnieniem. Mogłoby też prowadzić do istotnego ograniczenia praw samych klientów banków i innych instytucji finansowych – np. wobec braku stosownej dokumentacji po stronie wyspecjalizowanych podmiotów rynku finansowego.
inaczej mówiąc, prezentowane przez organ rozumienie przepisów, określających ramy przetwarzania danych osobowych niedoszłych klientów banków i innych instytucji finansowych, gdy nie zawarto umów, pozbawiałoby obie strony praw, wynikających wprost z generalnych reguł prawa materialnego – K.c. Miałoby to wpływ na realia obrotu gospodarczego. Intencji wprowadzenia tak głębokiej modyfikacji w relacje między niedoszłymi kontrahentami – w kontekście sektora bankowego – nie sposób przypisać prawodawcy, wobec aktualnego brzmienia regulacji w danym zakresie. Musiałby ją wyrazić wprost.
nie jest trafna argumentacja organu, jakoby odnoszenie się do kwestii przedawnienia roszczeń – w kontekście podstaw prawnych przetwarzania danych osobowych – było niezasadne, skoro upływ terminu nie powoduje ich wygaśnięcia. Skoro po terminach przedawnienia możliwość dochodzenia roszczeń jest znacznie ograniczona (instytucja zarzutu przedawnienia), zaś oceny występowania podstaw przetwarzania danych osobowych, dokonuje się w kontekście niezbędności dla celów wynikających z prawnie uzasadnionych interesów realizowanych przez administratora przetwarzanie danych – gdy realizacja potencjalnych roszczeń nie jest faktycznie możliwa – przetwarzanie nie znajduje już racjonalnych podstaw.Istnieje więc obiektywna granica czasowa, gdy nie ma przesłanek legalizujących dalsze przetwarzania danych dla określonego celu.
Aktualności Plus 360 dni
599
PLN z VAT
Zapoznaj się z argumentacją Urzędu, Sądu czy Trybunału
Fachowe i czytelne podsumowanie omawianego orzeczenia
Przez 30 dni masz dostęp do najnowszych aktualności z RODO
49.99
PLN z VAT
Pierwszy zapoznasz się z argumentacją Urzędu, Sądu czy Trybunału – nie czekaj na podsumowania miesiąca, które wpada do spamu
Każda aktualność to fachowe i czytelne podsumowanie omawianego orzeczenia, decyzji czy wytycznych wraz z dostępem do jego treści w serwisie Judykatura.pl
Jedno miejsce, w którym zapoznasz się z najważniejszymi argumentami orzeczenia oraz z jego treścią niezależnie od tego, z jakiego źródła ono pochodzi
Utrzymaj zgodność z RODO dzięki byciu na bieżąco z orzecznictwem RODO
co wynika z uzasadnienia decyzji, na dzień orzekania w sprawie, Bank przetwarzał dane Wnioskodawcy w bardzo szerokim zakresie – m.in. dane identyfikacyjne – jak nazwisko panieńskie matki, dane o dokumencie tożsamości – informacje o miejscu i warunkach zatrudnienia, wiele danych teleadresowych (w tym adres email oraz dane kontaktowe miejsca zatrudnienia) itd.
w kontekście podstaw, legalizujących przetwarzania tych danych – powinności czy też uzasadnionego interesu prawnego – wymaga wyjaśnienia, czy cały zakres danych jest w istocie niezbędny dla realizacji dopuszczalnych celów przetwarzania, oraz czy dane są gromadzone w sposób umożliwiający dostęp do nich tylko dla realizacji zadań, znajdujących oparcie w art. 6 ust. 1 lit. c lub f RODO. Powinnością Banku jest bowiem minimalizacja przetwarzania danych osobowych wyłącznie do zakresu niezbędnych oraz stosowne ich zabezpieczenie, aby wykluczyć ich wykorzystanie w celach innych niż są nadal legalnie przetwarzane.
przy ocenie, czy przetwarzanie danych Wnioskodawcy jest niezbędne do celów wynikających z prawie uzasadnionych interesów (w myśl art. 6 ust. 1 lit. f RODO), należy mieć na uwadze, że – o ile przetwarzanie informacji o nieprzyznanych kredytach ma istotne znaczenie z perspektywy ograniczenia ryzyka kredytowego – działanie to może dotyczyć nie tylko partykularnego interesu sektora bankowego lecz także publicznego – w kontekście ograniczenia kosztów kredytów, jako następstwa redukcji ryzyka.
Judykatura.pl wykorzystuje jedynie niezbędne pliki cookies, gdyż jest to konieczne do dostarczenia usług świadczonych drogą elektroniczną, których od Nas żądasz.
W razie jakichkolwiek pytań czy wątpliwości w zakresie wykorzystywania plików cookies możesz się z nami skontaktować pod adresem e-mail: kontakt@judykatura.pl
Administratorem danych osobowych jest Piotr Liwszic prowadzący działalność gospodarczą jawneprzezpoufne Piotr Liwszic z siedzibą przy ul. Grzybowskiej 43, 00-855 Warszawa, NIP: 521-332-36-17. Dane osobowe będą przetwarzane w celu świadczenia usług na żądanie użytkownika serwisu. Każdej osobie przysługują odpowiednie prawa wynikające z RODO oraz prawo wniesienia skargi do Prezesa Urzędu Ochrony Danych Osobowych. Więcej informacji na temat przetwarzania danych osobowych znajduje się w Polityce prywatności.
Wykorzystujemy poniższe pliki cookies, gdyż jest to konieczne do dostarczenia usług świadczonych drogą elektroniczną, których od Nas żądasz.
Cele wykorzystywania tych rodzajów plików zostały wskazane obok ich nazwy:
woocommerce_cart_hash
woocommerce_items_in_cart
wp_woocommerce_session_
_ga_1WDWPC51SQ
Jeśli wyłączysz ten plik cookie, nie będziemy mogli zapisać twoich preferencji. Oznacza to, że za każdym razem, gdy odwiedzasz tę witrynę, będziesz musiał ponownie włączyć lub wyłączyć pliki cookie.
Polityka plików cookies
Ze wszystkich niezbędnym informacjami dotyczącymi wykorzystywania przez serwis Judykatura.pl plików cookies można zapoznać się w Polityce Prywatności.
