Centralna Baza Orzeczeń Sądów Administracyjnych

Wojewódzki Sąd Administracyjny w Warszawie w składzie następującym: Przewodniczący Sędzia WSA Przemysław Szustakiewicz, Sędziowie WSA Maria Werpachowska (spr.), Janusz Walawski, Protokolant specjalista Maria Zawada, po rozpoznaniu na rozprawie w dniu 12 lipca 2017 r. sprawy ze skargi I. S.A. na decyzję Generalnego Inspektora Ochrony Danych Osobowych z dnia [...] października 2016 r. nr [...] w przedmiocie przetwarzania danych osobowych oddala skargę

Generalny Inspektor Ochrony Danych Osobowych (dalej "GIODO") decyzją z dnia [...] października 2016 r. nr [...] działając na podstawie art. 138 § 1 pkt 1 k.p.a. oraz art. 12 pkt 2 i art. 18 ust. 1 pkt 6, art. 22 oraz art. 23 ust. 1 pkt 2, art. 26 ust.1 pkt 4 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (t. j. Dz. U. z 2016 r., poz. 922), dalej ustawa, utrzymał w mocy swoją wcześniejszą decyzję z dnia [...] lutego 2016 r. nr [...] nakazującą I. S.A. z siedzibą w [...] usunięcie danych osobowych M. S. w zakresie pytań kredytowych z dnia [...] października 2013 r., [...] stycznia 2014 r., [...] maja 2014 r. przetwarzanych przez Biuro [...] S.A. z siedzibą w [...].

Do wydania powyższych decyzji doszło w następującym stanie faktycznym i prawnym:

M. S. wniósł do Biura GIODO skargę na odmowę usunięcia jego danych osobowych przetwarzanych przez I. S.A. z siedzibą w [...], zwany dalej Bankiem w Biurze [...] S.A. z siedzibą w [...], zwany dalej B [...] w zakresie zapytań kredytowych z dnia [...] października 2013 r., [...] stycznia 2014 r., [...] maja 2014 r. W treści skargi wskazał, że żąda usunięcia archiwalnych zapytań Banku oraz przetwarzania danych osobowych niezwiązanych z produktem finansowym, który posiada w tym Banku.

W uzasadnieniu decyzji organ wskazał, że ustalił następujący stan faktyczny:

W dniu [...] stycznia 2014 r. wnioskodawca za pośrednictwem strony internetowej www.[...].pl złożył wniosek kredytowy. W dniu [...] października 2013 r. i [...] maja 2014 r. Bank dokonał weryfikacji wiarygodności zdolności kredytowej w B[...] na podstawie złożonych przez M. S. pisemnych upoważnień - "Zgoda na weryfikację (w B[...]i innych bazach)", udostępniając jednocześnie dane osobowe wymienionego do B[...].

Z wyjaśnień przedłożonych przez Bank wynika, że w dniach [...] maja 2014 r. (osobiście w oddziale Banku) oraz [...] lipca 2014 r., (telefonicznie za pośrednictwem infolinii Banku) M. S. złożył wniosek o usunięcie zapytań kredytowych dokonanych przez Bank w Biurze [...]. W odpowiedzi Bank stwierdził, iż zapytań kredytowych dokonano w związku z zamiarem ubiegania się o kredyt i miały one charakter jednorazowy. Jednocześnie Bank uznał, że nie ma podstaw prawnych do usunięcia wskazanych zapytań, gdyż zostały dokonane zasadnie i poprawnie, zgodnie z wolą M. S..

B[...] w złożonych w dniu [...] września 2014 r. wyjaśnieniach wskazał, iż przetwarza dane M. S. przekazane przez Bank w związku ze złożeniem 3 zapytań kredytowych oraz 2 zapytań zarządzanie klientem. Zapytania kredytowe złożone zostały odpowiednio w dniach [...] października 2013 r., [...] stycznia 2014 r. i [...] maja 2014 r. Przetwarzanie danych pochodzących z zapytań, na podstawie art. 105 ust. 4 ustawy prawo bankowe w celu oceny zdolności kredytowej i analizy kredytowej jest realizowane w ramach wykonania czynności bankowych. Informacja o liczbie i częstotliwości składanych wniosków przez klienta jest istotną informacją w procesie oceny zdolności i analizy ryzyka kredytowego dokonywanej przed udzieleniem kredytu danej osobie. Zgodnie z wyśnieniami B[...] dane z zapytań przetwarzane są w Bazie Informacji o Zapytaniach (BIOZ), która stanowi część bazy SI B[...] "Kredytobiorcy".

Na podstawie tak ustalonego stanu faktycznego GIODO wydał decyzję administracyjną z dnia [...] lutego 2016 r. (znak: [...], dot. [...]), w której nakazano I. S.A. usunięcie danych osobowych M. S. w zakresie zapytań kredytowych z dnia [...] października 2013 r., [...] stycznia 2014 r., [...] maja 2014 r., przetwarzanych przez Biuro [...] S.A.

W dniu 7 marca 2016 r do Biura Generalnego Inspektora Ochrony Danych Osobowych wpłynął wniosek I. S.A. o ponowne rozpatrzenie sprawy i uchylenie decyzji z dnia [...] lutego 2016 r.

We wniosku Bank zarzucił zaskarżonej decyzji naruszenie art. 105 ust. 4 i art. 105a ustawy z dnia 29 sierpnia 1997 r. Prawo bankowe (Dz. U. z 2015 r., poz.128 ze zm.) oraz art. 26 ust. 1 pkt 4 w związku z art. 23 ust. 1 pkt 2, 3 i 5 ustawy, poprzez uznanie, iż Bank i B[...] na mocy ww. przepisów nie są umocowani do przetwarzania danych skarżącego przekazanych przez Bank w zakresie zapytań kredytowych oraz przetwarzania tych zapytań przez B[...] po dokonaniu weryfikacji zdolności kredytowej M. S..

W treści wniosku Bank podniósł, iż takie przetwarzanie wiąże się z potrzebą uzyskania informacji związanej z wykonywaniem czynności bankowych, w tym zapytaniami które nie zakończyły się przyznaniem kredytu. Potrzeba ta wynika z konieczności bezpośredniej oceny indywidualnego klienta banku, jak też z faktu, że dla zarządzania ryzykiem kredytowym istotne są również analizy statystyczno-ekonomiczne, które wymagają dysponowania danymi w długich szeregach czasowych. Zdolność kredytowa jest bowiem dokonywaniem pewnej projekcji na przyszłość, związanej z oceną możliwości spłaty kredytu wraz z odsetkami, która jest przeprowadzana zarówno na bazie analizy bieżącej sytuacji finansowej kredytobiorcy, jak również na podstawie badania jego dotychczasowego zachowania kredytowego, w skład którego wchodzi jego aktywność w ubieganiu się o przyznanie zobowiązania. Brak takich danych wpłynąłby negatywnie na funkcjonujące i przyszłe modele scoringowe.

Bank podniósł też, że przetwarza dane osobowe skarżącego również w celu rozpatrywania ewentualnych reklamacji lub roszczeń odszkodowawczych. Ponadto wskazał, iż przez cele statystyczne należy rozumieć również cele statystyczne przewidziane w art. 26 ust. 2 pkt 1 ustawy bowiem B[...] oferuje bankom różnego rodzaju analizy statystyczne służące badaniu zachowań klientów na rynku bankowym, wysokości wnioskowanych kredytów, częstotliwości składanych wniosków oraz produkty kredytowe.

Przy ponownym rozpoznaniu sprawy GIODO wskazał, że zgodnie z art. 7 pkt 2 ustawy o ochronie danych osobowych, przetwarzanie danych to operacje wykonywane na danych osobowych, takie jak zbieranie, utrwalanie, przechowywanie, opracowywanie, zmienianie, udostępnianie i usuwanie, a zwłaszcza te które wykonuje się w systemach informatycznych.

Dalej organ stwierdził, że przepisem uprawniającym administratorów danych do przetwarzania danych osób fizycznych, w tym ich udostępniania, jest art. 23 ust. 1 ustawy, zgodnie z którym przetwarzanie danych jest dopuszczalne tylko wtedy, gdy spełniona jest jedna z przesłanek taksatywnie wskazanych w tym przepisie. Każda z przesłanek legalizujących proces przetwarzania danych osobowych ma charakter autonomiczny i niezależny. Oznacza to, że przesłanki te co do zasady są równoprawne, a wobec tego spełnienie co najmniej jednej z nich stanowi o zgodnym z prawem przetwarzaniu danych osobowych. W konsekwencji zgoda osoby, której dane dotyczą nie jest jedyną podstawą przetwarzania danych osobowych, bowiem proces przetwarzania danych będzie zgodny z ustawą również wówczas, gdy administrator danych wykaże spełnienie innej z wyżej wymienionych przesłanek. Zwrócił też uwagę, że ustawa w art. 26 ust. 1 pkt 4 nakłada na administratora danych osobowych obowiązek przechowywania danych osobowych w postaci umożliwiającej identyfikację osób których dotyczą, nie dłużej niż jest to niezbędne do osiągnięcia celu przetwarzania.

Natomiast aktem prawnym zawierającym szczegółowe regulacje dotyczące procesu przetwarzania danych osobowych klientów banków jest przede wszystkim ustawa Prawo bankowe. Tym samym ocena legalności udostępnienia danych osobowych skarżącego przez Bank, na rzecz B[...] musi być dokonywana w powiązaniu z przepisami tego aktu prawnego.

Odnosząc się do kwestii udostępnienia danych osobowych skarżącego przez Bank na rzecz B[...] GIODO wskazał, iż zgodnie z art. 105a ust. 1 Prawa bankowego, przetwarzanie przez banki, inne instytucje ustawowo upoważnione do udzielania kredytów, instytucje pożyczkowe oraz a także instytucje utworzone na podstawie art. 105 ust. 4, informacji stanowiących tajemnicę bankową i informacji udostępnionych przez instytucje pożyczkowe oraz podmioty, o których mowa w art. 59d ustawy z dnia 12 maja 2011 r. o kredycie konsumenckim, w zakresie dotyczącym osób fizycznych może być wykonywane, z zastrzeżeniem art. 104, art. 105 i art. 106-106d, w celu oceny zdolności kredytowej i analizy ryzyka kredytowego. Informacje zawarte w B[...] służyć mają wypełnianiu przez banki jako instytucje zaufania publicznego ich ustawowych obowiązków związanych z koniecznością dokładania szczególnej staranności w zakresie zapewnienia bezpieczeństwa przechowywanych środków pieniężnych, czyli w zakresie ochrony depozytów (art. 50 ust. 2 Prawa bankowego), a także z koniecznością należytego badania zdolności kredytowej, od której istnienia (zgodnie z art. 70 ust. 1 Prawa bankowego), bank uzależnia udzielenie kredytu.

B[...] zostało utworzone właśnie w celu zmniejszenia dla banków i instytucji kredytowych ryzyka udzielania trudnych kredytów, przyśpieszenia i uproszczenia procedur kredytowych, wspomagania decyzji banków dotyczących udzielania kredytu.

Dalej GIODO wskazał, że przekazanie danych osobowych przez Bank do B[...] nastąpiło w związku z art. 105 ust. 4 Prawa bankowego, a dla legalności tego udostępnienia (na mocy art. 105 ust. 4 Prawa bankowego) zgoda M. S. nie była wymagana.

Przechodząc do kwestii aktualnego przetwarzania danych osobowych M. S. organ stwierdził, że podstawa prawna, na którą powołuje się B[...] w swoich wyjaśnieniach, tj. art. 105 ust. 4 Prawa bankowego, jedynie ogólnie reguluje prawo banków do oceny zdolności kredytowej i oceny ryzyka kredytowego i nie stanowi o dopuszczalności przetwarzania danych osobowych dotyczących zapytań kredytowych. Z powyższego przepisu nie wynika umocowanie instytucji jaką jest B[...] do przetwarzania danych osobowych pozyskanych uprzednio w ramach zapytań kredytowych, po dokonaniu weryfikacji zdolności kredytowej osoby ubiegającej się o kredyt. Podkreślił, iż uznanie takiego procesu przetwarzania danych za legalny wymaga podstawy prawnej. Nie stanowią takiej podstawy regulaminy ani umowy zawierane między poszczególnymi instytucjami a bankami, ponieważ powszechnie obowiązujące przepisy prawa mają charakter nadrzędny nad tego rodzaju umowami oraz regulaminami.

Odnosząc się do argumentów zawartych we wniosku - twierdzenia, iż przez cele statystyczne, dla których przetwarzane są dane osobowe wnioskodawcy, należy rozumieć cele statystyczne przewidziane w art. 26 ust. 2 pkt. 1 ustawy, GIODO podkreślił, iż godnie z treścią tego przepisu przetwarzanie danych w celu innym niż ten, dla którego zostały zebrane, jest dopuszczalne, jeżeli nie narusza praw i wolności osoby, której dane dotyczą, oraz następuje w celach badań naukowych, dydaktycznych, historycznych lub statystycznych. Z wyjaśnień Banku wynika jednak, iż cele, do których dane te są wykorzystywane przez B[...] - analizy statystyczne wykorzystywane przy sporządzaniu raportów, służą przygotowaniu i realizacji oferty proponowanej przez B[...], związane są więc z celem głównym gromadzenia danych przez B[...], nie zaś Bank, i są związane z jego działalnością podstawową, dla której dane te są pozyskiwane, a ponadto wpływającą na sytuację wnioskodawcy (jego zdolność kredytową), Nie są to więc cele jedynie statystyczne.

Zdaniem GIODO przetwarzanie danych osobowych związanych z zapytaniami, które nie zakończyły się przyznaniem kredytu, dla celów realizacji działań banków, w tym oceny zdolności kredytowej oraz użyteczności tych danych w modelach scoringowych, nie może mieć miejsca w oparciu o art. 23 ust. 1 pkt 5 ustawy. Takie działanie prowadziłoby bowiem do rozszerzającej wykładni art. 23 ust. 1 pkt 5 kontrastującej z dyspozycją art. 26 ust. 1 pkt 4 ustawy, który stanowi iż administrator jest zobowiązany zapewnić aby dane przechowywane były w postaci umożliwiającej identyfikację osób, których dotyczą, nie dłużej niż jest to niezbędne do osiągnięcia celu przetwarzania. W przedmiotowej sprawie celem była weryfikacja danych wnioskodawcy w B[...] w kontekście jego zdolności kredytowej. Cel taki uznać należy za osiągnięty, niezależnie od faktu czy proces taki zakończył się zawarciem umowy o udzielenie kredytu. Gromadzenie takich danych w wieloletniej perspektywie "na przyszłość" nie znajduje oparcia w przepisach ustawy o ochronie danych osobowych. Po osiągnięciu celu (np. wykonaniu zawartej umowy, realizacji danego zadania) dane powinny zostać usunięte, zanonimizowane lub też przekazane podmiotowi uprawnionemu ustawowo do ich przejęcia od administratora. W tym celu administrator danych jest zobowiązany do stałego nadzorowania zawartości swoich zbiorów pod kątem konieczności usuwania danych zbędnych, albo do których przetwarzania przestał być upoważniony ustawowo lub w drodze umowy.

Podsumowując GIODO wskazał, o ile samo pozyskanie danych osobowych M. S. przez Bank, a następnie udostępnienie ich do B[...] spełnia warunki legalnego przetwarzania danych osobowych, tak już przetwarzanie tych danych osobowych w B[...] po dokonaniu jego weryfikacji zdolności kredytowej nie ma podstaw prawnych, w tym narusza zasadę wynikającą z art. 26 ust 1 pkt 4 ustawy.

Na powyższą decyzję I. S.A. wniósł skargę do Wojewódzkiego Sądu Administracyjnego w Warszawie. Zaskarżonej decyzji zarzucił naruszenie przez GIODO przepisów art. 8 i art. 77 § 1 ustawy z dnia 14 czerwca 1960 r. Kodeks postępowania administracyjnego (tekst jedn. Dz. U. z 2016 r., poz. 23 ze zm.), dalej k.p.a., art. 50 i 70 oraz art. 105 ust. 4 ustawy Prawo bankowe oraz art. 23 ust. 1 pkt 2 i 5, a także art. 26 ust. 1 pkt 4 ustawy o ochronie danych osobowych poprzez brak rozpatrzenia całości materiału dowodowego oraz argumentacji Banku podniesionej we wniosku o ponowne rozpatrzenie sprawy i uznanie, iż Bank oraz Biuro [...] S.A. z siedzibą w [...] na mocy ww. przepisów nie są uprawieni do przetwarzania danych wnioskodawcy przekazanych przez I. S.A. w zakresie zapytań kredytowych oraz przetwarzania tych zapytań przez B[...] po dokonaniu weryfikacji zdolności kredytowej ww. osoby i nakazanie, w drodze przedmiotowej decyzji, usunięcia tych zapytań. W konkluzji wniósł o uchylenie zaskarżonej decyzji GIODO.

W motywach skargi Bank podniósł, iż na podstawie art. 105 ust. 4 w zw. z art. 105a ustawy Prawo bankowe, banki mogą przekazywać do B[...] dane, w tym dane stanowiące tajemnicę bankową w związku z wykonywaniem czynności bankowych. Dane pochodzące z zapytań kredytowych przetwarzane są przez B[...] od dnia złożenia zapytania w celu oceny zdolności kredytowej i analizy ryzyka kredytowego, ponieważ dane te są zawsze przetwarzane w związku z wykonywaniem przez banki czynności bankowych. Prawo bankowe nie precyzuje zakresu informacji pozostających "w związku z wykonywaniem czynności bankowych". Istotny jest natomiast sam związek tej informacji z czynnością bankową, tj. potrzebą uzyskania informacji związanej z wykonaniem tej czynności. Potrzeba ta wynika z konieczności bezpośredniej oceny indywidualnego klienta banku, jak też z faktu, iż dla zarządzania ryzykiem kredytowym istotne są również analizy statystyczno- ekonomiczne, które wymagają dysponowania danymi w długich szeregach czasowych. Dla określenia wymogów kapitałowych banków, wymagane jest posiadanie danych z okresu minimum 3 lat w przypadku metody podstawowej oraz 5-7 lat w metodzie zaawansowanej. Zdolność kredytowa jest bowiem dokonywaniem pewnej projekcji na przyszłość, związanej z oceną możliwości spłaty kredytu wraz z odsetkami, która jest przeprowadzana zarówno na bazie analizy bieżącej sytuacji finansowej kredytobiorcy, jak również na podstawie badania jego dotychczasowego zachowania kredytowego, w skład którego wchodzi m.in. jego aktywność w ubieganiu się o przyznanie zobowiązania - co wyrażone jest w historii zapytań kredytowych.

W ocenie Banku GIODO nie przeprowadził postępowania dowodowego, co do czasu przetwarzania danych dopuszczalnego na podstawie art. 105 ust. 4 Prawa bankowego, lecz arbitralnie, bez wyczerpującego uzasadnienia określił czas, w jakim przetwarzanie jest dopuszczalne - co stanowi naruszenie art. 77 § 1 k.p.a.

Dalej Bank wskazał, że podstawą prawną gromadzenia, przetwarzania i udostępniania danych przez B[...] stanowi art. 105 ust. 4 ustawy Prawo bankowe, który nie określa expressis verbis czasu gromadzenia, udostępniania i przetwarzania danych, przyjmuje jednak, że czynności te winny mieć miejsce "w zakresie, w jakim informacje te są niezbędne w związku z wykonywaniem czynności bankowych". Dla ustalenia, czy przetwarzanie danych jest niezbędne dla powyższego celu, zgodnie z art. 105 ust. 4 Prawa bankowego, GIODO powinien przeprowadzić postępowanie dowodowe, które pozwoliłoby na ustalenie, w jakim okresie czasu przetwarzanie jest niezbędne. Takiego postępowania dowodowego nie przeprowadzono.

Bank wskazał też, że w 2014 r. GIODO przeprowadził zarówno w I. S.A., jak i B[...] S.A. kontrolę zgodności przetwarzania danych osobowych z przepisami ustawy o ochronie danych osobowych oraz wydanych na jej podstawie aktów wykonawczych. Zakresem kontroli objęto, przetwarzanie danych osobowych pochodzących z zapytań kredytowych. W obu kontrolach Generalny Inspektor nie zakwestionował sposobu przetwarzania danych pochodzących z zapytań kredytowych oraz nie stwierdził naruszeń obowiązujących przepisów prawa w tym zakresie. W związku z tym, skarżona decyzja stoi w całkowitej sprzeczności z poprzednimi rozstrzygnięciami GIODO w tym zakresie, co stanowi naruszenie zasady pogłębiania zaufania wyrażonej w art. 8 k.p.a.

Bez danych na temat złożonych przez klienta wniosków kredytowych w innych bankach (czyli zapytaniach kredytowych) bank udzielający kredytu nie będzie mógł w pełni ocenić wiarygodności kredytowej klienta i tym samym zrealizować obowiązku wynikającego z przepisu prawa, tj. art. 70 ust. 1 ustawy Prawo bankowe.

Bank podniósł też, że GIODO nie odniósł się do kwestii jaką jest konieczność przetwarzania informacji o zapytaniach kredytowych oraz wpływ tych informacji na potrzeby tworzenia modeli scoringowych. Brak możliwości gromadzenia przez B [...] danych o zapytaniach kredytowych, w szczególności danych o zapytaniach, na podstawie których nie został udzielony kredyt lub ustalenie zbyt krótkiego okresu ich przechowywania, ma istotne negatywne konsekwencje, które dotyczą zarówno obecnie funkcjonujących modeli scoringowych, jak i przyszłych, a także wpływa bezpośrednio na szacowanie ryzyka kredytowego. Tym samym GIODO naruszył art. 23 ust. 1 pkt 2 i 5 poprzez uznanie, że skarżący nie ma prawa przetwarzania danych osobowych, gdzie z przytoczonej argumentacji wynika, że jest to niezbędne dla zrealizowania uprawnienia lub spełnienia obowiązku wynikającego z przepisu prawa oraz niezbędne dla wypełnienia prawnie usprawiedliwionych celów realizowanych przez administratora danych a dodatkowo GIODO nie wskazał, że przetwarzanie w jakikolwiek sposób narusza prawa i wolności osoby, której dane dotyczą.

W piśmie procesowym z dnia 20 czerwca 2017 r. pełnomocnik uczestnika Biura [...] z siedzibą w [...] poparł skargę I. S.A. z siedzibą w [...] i wniósł o uchylenie zaskarżonej decyzji i poprzedzającej ją decyzji GIODO z dnia [...] lutego 2016 r.

Pełnomocnik wskazał, że na podstawie art. 105 ust. 4 pkt 1 Prawa bankowego w zw. z art. 23 ust. 1 pkt 2 ustawy B[...] jest uprawniony do przetwarzania danych osobowych o zapytaniach kredytowych, ponieważ informacja o samym zapytaniu jest ważna dla oceny zdolności kredytowej wnioskodawcy. Definicja zdolności kredytowej jako zdolność do spłaty kredytu jest celowo skonstruowana w sposób ogólny, aby można było brać pod uwagę wszelkie istotne czynniki dotyczące wnioskodawcy. Organ nie odniósł się do zagadnienia czy i dlaczego zapytanie kredytowe jego zdaniem nie ma wpływu na ocenę zdolności kredytowej. W ocenie B[...] informacja o ilości i częstotliwości występowania o kredyt w ciągu ostatnich kilku lat, ma istotne znaczenie dla tej oceny.

Dalej podkreślono, że podczas kontroli w dniach 18 - 22 sierpnia 2014 r. przeprowadzonej w B[...] GIODO nie miał wątpliwości co do zasadności przechowywania danych o zapytaniach. Zdaniem B[...] utrzymanie decyzji GIODO w mocy stanowiłoby naruszenie zasady pogłębiania zaufania obywateli do władzy publicznej, wyrażonej w art. 8 k.p.a. Do pisma dołączono protokół kontroli dokonanej przez GIODO.

W odpowiedzi na skargę GIODO wniósł o jej oddalenie, podtrzymując stanowisko wyrażone w uzasadnieniu zaskarżonej decyzji.

Wojewódzki Sąd Administracyjny w Warszawie, zważył co następuje:

Zgodnie z art. 1 § 1 ustawy z dnia 25 lipca 2002 r. Prawo o ustroju sądów administracyjnych (Dz. U. Z 2016 r., poz. 1066) sądy administracyjne sprawują wymiar sprawiedliwości przez kontrolę działalności administracji publicznej, przy czym w świetle § 2 powołanego wyżej artykułu kontrola ta sprawowana jest pod względem zgodności z prawem, jeżeli ustawy nie stanowią inaczej. Innymi słowy, wchodzi tutaj w grę kontrola aktów lub czynności z zakresu administracji publicznej dokonywana pod względem ich zgodności z prawem materialnym i przepisami procesowymi, nie zaś według kryteriów słusznościowych.

Ponadto Sąd rozstrzyga w granicach danej sprawy nie będąc jednak związany zarzutami i wnioskami skargi oraz powołaną podstawą prawną - art. 134 § 1 ustawy z dnia 30 sierpnia 2002 r. – Prawo o postępowaniu przed sądami administracyjnymi (Dz. U. z 2016 r., poz. 718).

Oceniając zasadność skargi w świetle wskazanych wyżej kryteriów Sąd stwierdził, iż skarga nie zasługuje na uwzględnienie, albowiem zaskarżona decyzja Generalnego Inspektora Ochrony Danych Osobowych z dnia [...] października 2016 r. oraz poprzedzająca ją decyzja z dnia [...] lutego 2016 r. nie naruszają prawa.

Odnosząc się do meritum sprawy wskazać należy, iż zadaniem ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (tj.: Dz. U. z 2016 r., poz. 922) nie jest jedynie stanie na straży interesów tych, których przetwarzane dane osobowe dotyczą. Naczelną zasadą ustawy nie jest też zakaz przetwarzania danych osobowych, lecz przestrzeganie zakresu i trybu ich przetwarzania. W art. 1 ustawy stwierdza się bowiem, że przetwarzanie danych osobowych może mieć miejsce jeżeli służy to dobru publicznemu, dobru osoby, której dane dotyczą lub dobru osób trzecich. Ochrona danych osobowych, na podstawie przepisów powołanej ustawy, nie powinna być oderwana od przepisów służących ochronie innych wartości.

Stosownie do treści art. 7 pkt 2 ustawy przez przetwarzanie danych osobowych rozumie się jakiekolwiek operacje wykonywane na danych osobowych, takie jak zbieranie, utrwalanie, przechowywanie, opracowywanie, zmienianie, udostępnianie i usuwanie, a zwłaszcza te, które wykonuje się w systemach informatycznych.

Z kolei w art. 23 § 1 ustawy zostały wymienione przesłanki legalizujące przetwarzanie danych osobowych. Zgodnie z treścią tego przepisu przetwarzanie danych jest dopuszczalne tylko wtedy, gdy: (1) osoba, której dane dotyczą, wyrazi na to zgodę, chyba że chodzi o usunięcie dotyczących jej danych, (2) jest to niezbędne dla zrealizowania uprawnienia lub spełnienia obowiązku wynikającego z przepisu prawa, (3) jest to konieczne do realizacji umowy, gdy osoba, której dane dotyczą, jest jej stroną lub gdy jest to niezbędne do podjęcia działań przed zawarciem umowy na żądanie osoby, której dane dotyczą, (4) jest niezbędne do wykonania określonych prawem zadań realizowanych dla dobra publicznego, (5) jest to niezbędne dla wypełnienia prawnie usprawiedliwionych celów realizowanych przez administratorów danych albo odbiorców danych, a przetwarzanie nie narusza praw i wolności osoby, której dane dotyczą.

Powołany powyżej przepis ustawy określa ogólne materialne przesłanki przetwarzania danych osobowych. Przesłanki te mają charakter generalny, odnoszą się do wszelkich form przetwarzania danych, w tym zarówno do przetwarzania "na własne potrzeby" administratora, jak i "na zewnątrz". Są one co do zasady równoprawne, mają charakter autonomiczny i niezależny, co oznacza, że wystarczy wystąpienie jednej z nich, by przetwarzanie danych mogło być uznane za usprawiedliwione. Oznacza to także, że zgoda osoby, której dane dotyczą, nie jest wyłączną przesłanką przetwarzania danych osobowych (por. J. Barta, P. Fajgielski, R. Markiewicz, System Informacji Prawnej LEX, Komentarz 2015).

Natomiast aktem prawnym zawierającym szczegółowe regulacje dotyczące procesu przetwarzania danych osobowych klientów banków jest ustawa z dnia 29 sierpnia 1997r. - Prawo bankowe (tekst jedn. Dz. U. z 2015 r., poz. 128). Zgodnie z art. 105 ust. 4 tejże ustawy Banki mogą, wspólnie z bankowymi izbami gospodarczymi, utworzyć instytucje upoważnione do gromadzenia, przetwarzania i udostępniania: (1) bankom - informacji stanowiących tajemnicę bankową w zakresie, w jakim informacje te są potrzebne w związku z wykonywaniem czynności bankowych oraz w związku ze stosowaniem metod wewnętrznych oraz innych metod i modeli, o których mowa w części trzeciej rozporządzenia nr 575/2013; (2) innym instytucjom ustawowo upoważnionym do udzielania kredytów - informacji stanowiących tajemnicę bankową w zakresie, w jakim informacje te są niezbędne w związku udzielaniem kredytów, pożyczek pieniężnych, gwarancji bankowych i poręczeń; (3) instytucjom kredytowym - informacji stanowiących tajemnicę bankową w zakresie niezbędnym do oceny zdolności kredytowej konsumenta, o której mowa w art. 9 ustawy z dnia 12 maja 2011 r. o kredycie konsumenckim.

Stosownie zaś do art. 105a cytowanej ustawy przetwarzanie przez banki, inne instytucje ustawowo upoważnione do udzielania kredytów, instytucje pożyczkowe oraz podmioty, o których mowa w art. 59d ustawy z dnia 12 maja 2011 r. o kredycie konsumenckim, a także instytucje utworzone na podstawie art. 105 ust. 4, informacji stanowiących tajemnicę bankową i informacji udostępnionych przez instytucje pożyczkowe oraz podmioty, o których mowa w art. 59d ustawy z dnia 12 maja 2011 r. o kredycie konsumenckim, w zakresie dotyczącym osób fizycznych może być wykonywane, z zastrzeżeniem art. 104, art. 105 i art. 106-106d, w celu oceny zdolności kredytowej i analizy ryzyka kredytowego (ust. 1). Instytucje, o których mowa w ust. 1, mogą, z zastrzeżeniem ust. 3, przetwarzać informacje stanowiące tajemnicę bankową w zakresie dotyczącym osób fizycznych po wygaśnięciu zobowiązania wynikającego z umowy zawartej z bankiem lub inną instytucją ustawowo upoważnioną do udzielania kredytów, pod warunkiem uzyskania pisemnej zgody osoby, której informacje te dotyczą. Zgoda ta może być w każdym czasie odwołana (ust. 2). Instytucje, o których mowa w ust. 1, mogą przetwarzać informacje stanowiące tajemnicę bankową dotyczące osób fizycznych po wygaśnięciu zobowiązania wynikającego z umowy zawartej z bankiem lub inną instytucją ustawowo upoważnioną do udzielania kredytów, bez zgody osoby, której informacje dotyczą, gdy osoba ta nie wykonała zobowiązania lub dopuściła się zwłoki powyżej 60 dni w spełnieniu świadczenia wynikającego z umowy zawartej z bankiem lub inną instytucją ustawowo upoważnioną do udzielania kredytów, a po zaistnieniu tych okoliczności upłynęło co najmniej 30 dni od poinformowania tej osoby przez bank lub inną instytucję ustawowo upoważnioną do udzielania kredytów o zamiarze przetwarzania dotyczących jej informacji stanowiących tajemnicę bankową, bez jej zgody (ust. 3). Banki oraz instytucje, o których mowa w art. 105 ust. 4, mogą przetwarzać informacje stanowiące tajemnicę bankową dotyczące osoby fizycznej po wygaśnięciu zobowiązania wynikającego z umowy zawartej z bankiem lub inną instytucją ustawowo upoważnioną do udzielania kredytów, bez zgody osoby, której informacje dotyczą, dla celów stosowania metod wewnętrznych oraz innych metod i modeli, o których mowa w części trzeciej rozporządzenia nr 575/2013 (ust. 4). Przetwarzanie informacji stanowiących tajemnicę bankową w przypadkach, o których mowa w ust. 3, może być wykonywane przez okres nie dłuższy niż 5 lat od dnia wygaśnięcia zobowiązania, a w przypadku, o którym mowa w ust. 4, przez okres 12 lat od dnia wygaśnięcia zobowiązania (ust. 5). Zakres przetwarzanych informacji, o których mowa w ust. 3 i 4, może obejmować dane dotyczące osoby fizycznej lub dane dotyczące zobowiązania (ust. 6).

W świetle powyższych uregulowań uzasadnione jest w ocenie Sądu stanowisko GIODO, iż w sytuacji, gdy w następstwie złożenia wniosku kredytowego nie dochodzi do zawarcia umowy kredytowej z bankiem brak przesłanek ustawowych legalizujących dalsze przetwarzanie przez bank danych osobowych niedoszłego klienta.

W sprawie jest niesporne, że M. S. [...] października 2013 r., [...] stycznia 2014 r. oraz [...]maja 2014 r. wystąpił do I. S.A. z wnioskiem o udzielenie kredytu. W następstwie złożenia tych wniosków Bank oraz B[...] byli uprawnieni w świetle art. 105a ust. 1 Prawa bankowego do przetwarzania danych osobowych wnioskodawcy w celu oceny jego zdolności kredytowej. Postanowienia art. 105a ust. 1 Prawa bankowego dotyczą bowiem przetwarzania informacji objętych tajemnicą bankową zarówno w okresie przed powstaniem, jak i w okresie istnienia zobowiązania osoby fizycznej. W sytuacji jednak, gdy w wyniku podjętych czynności sprawdzających nie doszło w efekcie do zawarcia umowy kredytowej, odpadła przesłanka legalizująca dalsze przetwarzanie przez Bank i B[...] danych osobowych wnioskodawcy. Pomiędzy M. S. a Bankiem nie zawiązał się bowiem, w następstwie złożenia wniosku kredytowego, żaden stosunek zobowiązaniowy, który w świetle przepisów art. 105a ust. 1-6 Prawa bankowego dawałby podstawę do dalszego przetwarzania jego danych osobowych przez Bank. Przetwarzanie przez I. S.A. danych osobowych wnioskodawcy nie znajduje zatem obecnie podstawy w przepisach prawa.

Przetwarzanie danych osobowych M. S. nie jest też obecnie niezbędne dla wypełnienia prawnie usprawiedliwionych celów realizowanych przez Bank, a w szczególności celu, jakim jest prawo do podjęcia obrony przed ewentualnymi reklamacjami lub roszczeniami odszkodowawczymi, co podnoszono we wniosku o ponowne rozpatrzenie sprawy Należy zwrócić uwagę, że przepis art. 23 ust. 1 pkt 5 ustawy na pierwszym miejscu wymienia warunek, że przetwarzanie danych winno być niezbędne dla wypełnienia prawnie usprawiedliwionych celów. Niedopuszczalne jest więc przetwarzanie danych osobowych niejako "na zapas" z założeniem, że mogą być one ewentualnie przydatne w przyszłości oraz z odwołaniem się przy tym do przepisów dotyczących przedawnienia roszczeń cywilnoprawnych. Gdyby uznać za zasadną argumentację Banku to mogłoby to prowadzić do błędnych wniosków, że banki są uprawnione dłużej przetwarzać dane osób, z którymi nie łączył je nigdy żaden stosunek prawny, niż dane osób z którymi doszło do zawarcia umowy kredytowej, a w stosunku do których mają zastosowanie ograniczenia wynikające z przepisów art. 105a Prawa bankowego. Odwoływanie się w tym wypadku do celów dowodowych na potrzeby ewentualnych postępowań cywilnych, karnych, czy też administracyjnych na tle nieistniejącego między stronami stosunku zobowiązaniowego nie znajduje żadnego logicznego, ani prawnego uzasadnienia. Gdyby Bank zaprzestał przetwarzać dane osobowe wnioskodawcy w momencie, gdy nie doszło do zawarcia między stronami umowy kredytowej to M. S. nie musiałby domagać się usunięcia tych danych a także kierować skargi do GIODO na nieuprawnione przetwarzanie jego danych osobowych przez Bank.

Również odwoływanie się do konieczności przetwarzania danych osobowych wnioskodawcy w zakresie pytań kredytowych po dokonaniu weryfikacji zdolności kredytowej dla potrzeb tworzenia modeli scoringowych jest nieuprawnione. Sąd zauważa, że scoring kredytowy to metoda oceny wiarygodności podmiotu – zwykle osoby fizycznej lub przedsiębiorstwa - ubiegającego się o kredyt bankowy. Polega on na określeniu wiarygodności kredytowej klienta na podstawie porównania jego profilu z profilem klientów, którzy już otrzymali kredyty i je spłacają. W niniejszej sprawie M. S. po złożeniu zapytań kredytowych nie zawarł umowy kredytowej z Bankiem, a tym samym nie spłacał zaciągniętego kredytu, zatem jego dane zawarte w zapytaniu kredytowym (określające profil klienta) są nieprzydatne do tworzenia modeli scoringowych. Jak już wcześniej wskazano istotą metody scoringu jest wnioskowanie o wiarygodności potencjalnego kredytobiorcy na podstawie porównania jego profilu z profilem klientów, którzy już otrzymali kredyt i terminowo go spłacają.

Oceny legalności zaskarżonej decyzji nie może zmienić złożony do akt protokół z kontroli przeprowadzonej przez GIODO w dniach 18 – 22 sierpnia 2014 r. w Banku i B[...] obejmujący zgodność przetwarzania danych osobowych z przepisami ustawy o ochronie danych osobowych i wydanych na jej podstawie aktów wykonawczych. Nawet jeżeli kontrola ta poświęcona był w części danym pochodzącym z zapytań kredytowych to nie oznacza to, że organ a tym bardziej Sąd jest nią związany. Kontrola ta służyła innym celom, natomiast Sąd ocenia konkretną, indywidualną sprawę w zakresie legalności stosowania przepisów ustawy oraz ustawy Prawo bankowe.

Reasumując Sąd stwierdza, iż w świetle zebranego w sprawie materiału dowodowego organ prawidłowo ustalił, że niniejszej sprawie nie wystąpiła żadna z przesłanek legalizujących przetwarzanie danych osobowych M. S., określonych w przepisach art. 23 ust. 1 ustawy o ochronie danych osobowych. Skoro brak było podstawy prawnej przetwarzania danych wnioskodawcy to organ nie był zobligowany do prowadzenia postępowania dowodowego co do czasu ich przetwarzania na podstawie art. 104 Prawa bankowego. Nie został zatem naruszony art. 77 § 1 i 8 k.p.a. oraz 26 ust. 1 pkt 4 ustawy, bowiem cel przetwarzania został osiągnięty z chwilą odstąpienia przez strony od zawarcia umowy kredytowej.

Powyższe rozważania prowadzą do wniosku, ze zarówno zaskarżona decyzja GIODO, jak również poprzedzająca ją decyzja z dnia [...] lutego 2016 r. odpowiadają prawu.

Mając powyższe na uwadze, Wojewódzki Sąd Administracyjny w Warszawie, na podstawie art. 151 ustawy Prawo o postępowaniu administracyjnym orzekł jak w sentencji wyroku.