WSA: prawidłowy nakaz Prezesa UODO w zakresie usunięcia danych przez Bank i BIK

To kolejny z serii wyrok WSA w Warszawie w sprawie związanej ze skargą osoby, która otrzymała negatywną decyzję kredytową.

Na podstawie skargi Prezes UODO nakazał – w czerwcu 2023 r. – usunięcie danych osobowych w zakresie wynikającym z zapytań kredytowych z listopada 2021 oraz z sierpnia 2022 r.

Prezes UODO stwierdził, że doszło do:

nieprawidłowości w procesie przetwarzania jej danych osobowych przez […] S.A. z siedzibą w […], polegające na przetwarzaniu jej danych osobowych w zakresie zapytań kredytowych z dnia […] listopada 2021 r. oraz […] sierpnia 2022 r., które nie zakończyły się zawarciem umów kredytowych

Przed wydaniem decyzji Prezes UODO uzyskał stanowisko obydwu podmiotów, z których wynikało, że dane są przetwarzane na podstawie:

1) art. 70 ust. 1 ustawy z 29 sierpnia 1997 r. – Prawo bankowe (t.j. Dz. U. z 2022 r. poz. 2324), dalej: “Prawo bankowe”, w związku z którym Bank uzależnia przyznanie kredytu od zdolności kredytowej kredytobiorcy, a kredytobiorca jest obowiązany przedłożyć na żądanie banku dokumenty i informacje niezbędne do dokonania oceny tej zdolności,

2) art. 70a i 105a Prawa bankowego, w związku z koniecznością zagwarantowania możliwości uzyskania wyjaśnień dotyczących dokonanej przez bank oceny zdolności kredytowej lub w związku z koniecznością zapewnienia prawa do otrzymania stosownych wyjaśnień banku co do podstaw decyzji podejmowanych w trybie art. 105a ust. 1 Prawa bankowego,

3) w zakresie stosowania modeli wewnętrznych oraz innych metod i modeli, o których mowa w części trzeciej rozporządzenia Parlamentu Europejskiego i Rady (UE) nr 575/2013 z 26 czerwca 2013 r. w sprawie wymogów ostrożnościowych dla instytucji kredytowych i firm inwestycyjnych, zmieniającego rozporządzenie (UE) nr 648/2012 (Dz. Urz. UE L 176 z 27.06.2013, str. 1, ze zm.) w zw. z art. 105 ust. 4 pkt 1 Prawa bankowego oraz art. 105a ust. 4 Prawa bankowego, tj. m.in. wymogów kapitałowych określonych w część III ww. rozporządzenia – art. 147 ust. 5 w zw. z art. 147 ust. 2 lit. d) (dotyczących metod klasyfikowania ekspozycji do poszczególnych kategorii ekspozycji) lub art. 171 (dot. klasyfikacji do klas lub pul),

4) w związku z wymogami określonymi przez Komisję Nadzoru Finansowego w Rekomendacji T dotyczącej dobrych praktyk w zakresie zarządzania ryzykiem detalicznych ekspozycji kredytowych,

5) oceny ryzyka kredytowego, w tym oceny globalnego ryzyka kredytowego, m.in. na podstawie art. 105a ust. 1 -1 c i 105a ust. 4 Prawa bankowego w zw. z powołanymi powyżej przepisami rozporządzenia Parlamentu Europejskiego i Rady (UE) nr 575/2013 z 26 czerwca 2013 r. w sprawie wymogów ostrożnościowych dla instytucji kredytowych zmieniającego rozporządzenie (UE) nr 648/2012, a także w związku z wymogami określonymi przez Komisję Nadzoru Finansowego w Rekomendacji T, określonymi powyżej,

6) koniecznością uwzględnienia możliwości dochodzenia przez skarżącą od Banku ewentualnych roszczeń związanych z przedmiotem niniejszego postępowania, tj. na podstawie art. 6 ust. 1 lit. f RODO w zw. z art. 118 ustawy z 23 kwietnia 1964 r. Kodeks cywilny (t.j. Dz. U. z 2022 r. poz. 1360), dalej: “Kodeks cywilny” w zw. z art. 82 RODO oraz związanej z tym konieczności umożliwienia Bankowi obrony przed ewentualnymi roszczeniami (art. 6 ust. lit. f RODO), oraz związanej z tym konieczności umożliwienia Bankowi obrony przed ewentualnymi roszczeniami,

7) koniecznością zapewnienia Prezesowi UODO dostępu do informacji niezbędnych do przeprowadzenia postępowania w niniejszej sprawie, w związku z art. 58 ust. 1 lit. e RODO.

WSA w Warszawie wyrokiem z kwietnia 2024 r. stwierdził, że żadna z powyższych podstaw nie występuje w przedmiotowej sprawie.

Sąd wskazał, że w rozpatrywanej sprawie spór sprowadza się natomiast do odpowiedzi na pytanie, czy w sytuacji, w której nie doszło do zawarcia umowy kredytu między skarżącą a Bankiem, istnieje podstawa do przetwarzania przez Bank oraz […] jej danych osobowych.

Sąd podziela stanowisko organu, wyrażone w zaskarżonej decyzji, że:

skoro nie doszło do zawarcia umowy kredytu, to odpadła przesłanka legalizująca dalsze przetwarzanie danych osobowych skarżącej. Wbrew zarzutom obu skarg, art. 105a Prawa bankowego, w tym powołany w skargach art. 105a ust. 1, 1a, 1b, 1c Prawa bankowego, który określa warunki dopuszczalności zautomatyzowanego przetwarzania, w tym profilowania danych osobowych w celu oceny zdolności kredytowej i analizy ryzyka kredytowego, nie daje podstaw do dalszego przetwarzania danych skarżącej po zakończeniu oceny zdolności kredytowej i analizy ryzyka kredytowego, gdy umowy nie zawarto. Na podstawie powołanych przepisów Bank, a także […] nie ma uprawnienia do dalszego przetwarzania tych danych, albowiem umowy nie zawarto i nie wykazano przesłanki legalizującej to działanie.

W zakresie prawnie uzasadnionego interesu Sąd przedstawił pogląd, iż:

przepis art. 6 ust. 1 lit. f RODO stanowi o uprawnieniu do przetwarzania danych, gdy jest ono niezbędne do celów wynikających z prawnie uzasadnionych interesów realizowanych przez administratora lub przez stronę trzecią, z wyjątkiem sytuacji, w których nadrzędny charakter wobec tych interesów mają interesy lub podstawowe prawa i wolności osoby, której dane dotyczą, wymagające ochrony danych osobowych, w szczególności, gdy osoba, której dane dotyczą, jest dzieckiem. Za usprawiedliwiony cel w rozumieniu powołanego przepisu nie może zostać uznane przetwarzanie danych osobowych na wypadek ewentualnego dochodzenia lub obrony roszczeń. Z akt sprawy nie wynika, aby skarżąca, która zażądała usunięcia danych w zakresie zapytań kredytowych, miała jakiekolwiek roszczenia na drodze cywilnoprawnej do Banku lub […]. Z akt sprawy i wyjaśnień Banku nie wynika, aby wymieniona posiadała w Banku zobowiązania (w tym także kredytowe), czy była posiadaczem rachunku osobistego lub innych produktów bankowych. Jednoznacznie żądała natomiast usunięcia danych przetwarzanych bez podstawy prawnej. Z tego względu nie jest dopuszczalne przyjęcie, że to art. 6 ust. 1 lit. f RODO mógłby stanowić podstawę dla Banku, czy […] do dalszego przetwarzania jej danych na wypadek ewentualnego dochodzenia roszczeń.

Odnosząc się do argumentacji […] w zakresie wykładni art. 6 ust. 1 lit. f RODO i możliwości jego zastosowania, w kontekście obowiązującej wcześniej przesłanki z art. 23 ust. 1 pkt 5 nieobowiązującej już ustawy o ochronie danych osobowych z 1997 r., z powołaniem się na prezentowane w skardze poglądy doktryny, można się zgodzić, że użyte w art. 6 ust. 1 lit. f RODO pojęcie “interesu” jest pojęciem szerszym od pojęcia “celu” z art. 23 ust. 1 pkt 5 ustawy o ochronie danych osobowych z 1997 r. Nie zmienia to jednak tego, że jako prawnie uzasadniony interes administratora, na gruncie art. 6 ust. 1 lit. f RODO, nie może być rozumiana każda potrzeba wygenerowana przez danego administratora w związku z prowadzoną działalnością gospodarczą. Przyjęcie takiej koncepcji poddawałoby w wątpliwość funkcjonowanie wszystkich pozostałych przesłanek legalności przetwarzania danych ujętych w RODO, skoro sama potrzeba, pojawiająca się dynamicznie w ramach prowadzonej działalności gospodarczej (handlowej), czyniłaby dopuszczalnym przetwarzanie danych osobowych. Niewątpliwie zaś ten prawnie uzasadniony interes administratora nie może pozbawiać jednostki prawa do dysponowania własnymi danymi osobowymi i ochrony prywatności.

Co do przepisów AML Sąd wskazał, że:

w przypadku braku nawiązaniu stosunków gospodarczych pomiędzy Bankiem a wymienioną wyżej osobą fizyczną brak jest zaistnienia zdarzeń wymienionych w art. 49 ust. 1 AML, tj. zakończenia stosunków gospodarczego z klientem lub przeprowadzenia transakcji okazjonalnej, od wystąpienia których można dopiero liczyć wskazany w ww. przepisie termin przetwarzania danych osobowych.

W ocenie Sądu, niedopuszczalna jest taka interpretacja powołanych w skargach przepisów Prawa bankowego, AML, kodeksu cywilnego, czy rozporządzenia 575/2013, która czyniłaby uprawnionym na gruncie RODO dalsze przetwarzanie danych osobowych zawartych w zapytaniu kredytowym osoby, z którą nie zawarto umowy (a zatem w celach innych niż cele, w jakich je zebrano), w sytuacji, gdy Prawo bankowe wyraźnie reguluje dopuszczalność przetwarzania danych osobowych przed powstaniem zobowiązania, w trakcie jego trwania i po wygaśnięciu.

W zakresie prawa do uzyskania informacji o przyczynie negatywnej decyzji kredytowej Sąd podkreślił, że:

W świetle powyższego, powstanie obowiązku, o którym mowa w art. 70a ust. 1 Prawa bankowego, uzależnione jest od złożenia stosownego wniosku przez osobę ubiegającą się o kredyt. Wniosek taki nie został złożony, a skarżąca po kolejnej odmownej decyzji kredytowej, wniosła o usunięcie swoich danych. W związku z odmową w tym zakresie, podjęła też działania przed Prezesem UODO. Z akt sprawy i całokształtu okoliczności nie wynika, aby wymieniona osoba wystąpiła do Banku, czy […] o jakiekolwiek wyjaśnienie dotyczące dokonanej oceny zdolności kredytowej. Wynika natomiast, że złożyła żądanie usunięcia danych. Nie może być więc mowy o tym, aby w sprawie znajdował zastosowanie art. 70a ust. 1 i 2 Prawa bankowego, uprawniający Bank do przetwarzania danych osobowych skarżącej w związku z koniecznością ewentualnego wypełnienia obowiązku wynikającego z art. 70a ust. 1 i ust. 2 Prawa bankowego.

Ustaleń Sądu w tym zakresie nie zmienia analiza treści umowy zawartej między wskazanymi spółkami prawa handlowego ([…] i Bankiem). Umowa ta nie stanowi samoistnej podstawy legalności przetwarzania danych osobowych skarżącej, w celach wskazywanych obecnie przez wymienione podmioty. Stosowanie RODO nie może zostać wyłączone poprzez zapis umowy.

Sąd końcowo wskazał, że:

Ustalenie Prezesa UODO, w zakresie braku dopuszczalności przetwarzania danych skarżącej zawartych w zapytaniach kredytowych wskazanych w decyzji, jest prawidłowe.

Nakaz, zawarty zarówno w punkcie 1, jak i 2 decyzji, jest przy tym jasny, nie ma wątpliwości co do jego zakresu i jest wykonalny.