Centralna Baza Orzeczeń Sądów Administracyjnych

Wojewódzki Sąd Administracyjny w Warszawie w składzie następującym: Przewodniczący: Sędzia WSA Piotr Borowiecki (spr.), Sędzia WSA Izabela Głowacka-Klimas, Sędzia WSA Andrzej Wieczorek, Protokolant: specjalista Elwira Sipak po rozpoznaniu na rozprawie w dniu 11 października 2021 r. sprawy ze skargi Biura Informacji Kredytowej S.A z siedzibą w [...] na decyzję Prezesa Urzędu Ochrony Danych Osobowych z dnia [...] grudnia 2020 r. nr [...] w przedmiocie nakazania usunięcia danych osobowych 1. uchyla zaskarżoną decyzję; 2. zasądza od Prezesa Urzędu Ochrony Danych Osobowych na rzecz skarżącego Biura Informacji Kredytowej S.A. z siedzibą w [...] kwotę 697 (sześćset dziewięćdziesiąt siedem) złotych tytułem zwrotu kosztów postępowania sądowego.

Zaskarżoną decyzją z dnia [...] grudnia 2020 r., nr [...], Prezes Urzędu Ochrony Danych Osobowych (dalej także: "Prezes UODO" lub "organ nadzorczy"), działając na podstawie art. 104 § 1 pkt 1 ustawy z dnia 14 czerwca 1960 r. - Kodeks postępowania administracyjnego (tekst jednolity Dz. U. z 2020 r., poz. 256 ze zm. - dalej: "k.p.a.") oraz art. 6 ust. 1 oraz art. 58 ust. 2 lit. c rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (Dziennik Urzędowy Unii Europejskiej, L119 z dnia 4 maja 2016 r. - dalej także: "RODO"), po przeprowadzeniu postępowania administracyjnego zainicjowanego skargą M.T. (dalej także: "wnioskodawca" lub "uczestnik postępowania"), na nieprawidłowości w procesie przetwarzania jego danych osobowych przez Bank [...] z siedzibą w [...] (dalej także: "Bank"), polegające na przetwarzaniu jego danych osobowych zawartych w zapytaniach kredytowych bez podstawy prawnej, w tym w Biurze Informacji Kredytowej S.A. z siedzibą w [...] (dalej także: "BIK", "skarżący BIK" lub "strona skarżąca"):

1. nakazał Biuru Informacji Kredytowej S.A. z siedzibą w [...] usunięcie danych osobowych M.T., w zakresie zapytania kredytowego z dnia [...] marca 2019 r., przekazanych przez Bank [...] z siedzibą w [...] (pkt 1 zaskarżonej decyzji);

2. nakazał Bankowi [...] z siedzibą w [...] usunięcie danych osobowych M.T. przetwarzanych w związku z zapytaniem kredytowym z dnia [...] marca 2019 r. (pkt 2 zaskarżonej decyzji).

Zaskarżona decyzja Prezesa UODO została wydana w następującym stanie faktycznym.

W dniu [...] stycznia 2020 r. do Urzędu Ochrony Danych Osobowych wpłynęła skarga M.T., w której zarzucił on nieprawidłowości w procesie przetwarzania jego danych osobowych przez Bank [...] z siedzibą w [...], co polegać miało na przetwarzaniu danych osobowych skarżącego zawartych w zapytaniach kredytowych bez podstawy prawnej, w tym w Biurze Informacji Kredytowej S.A. z siedzibą w [...].

W uzasadnieniu skargi wnioskodawca M.T. wskazał, że w dniu [...] marca 2019 r. Bank wysłał zapytanie kredytowe do BIK, w wyniku czego w bazie BIK przetwarzane są jego dane osobowe dotyczące tego zapytania. Wnioskodawca podniósł, że nie doszło do zawarcia umowy pomiędzy skarżącym a Bankiem. Wobec powyższego, wnioskodawca wniósł o usunięcie jego danych osobowych przetwarzanych bez podstawy prawnej.

W toku prowadzonego postępowania administracyjnego, Prezes Urzędu Ochrony Danych Osobowych zwrócił się o stosowne wyjaśnienia zarówno do Banku, jak i do BIK.

Na podstawie zebranych wyjaśnień organ nadzorczy ustalił, iż wnioskodawca w dniu [...] marca 2019 r., działając za pośrednictwem Systemu [...], złożył wniosek o Kartę Kredytową [...]. W związku z powyższym, Bank pozyskał dane osobowe wnioskodawcy w celu oceny zdolności kredytowej w zakresie: numer PESEL, numer CIS, seria i numer dowodu osobistego, data ważności dokumentu tożsamości, adres email, numer telefonu, stan cywilny, liczba dzieci na utrzymaniu, ulica, numer domu, kod pocztowy, miejscowość, województwo, kraj, mieszkanie, nazwisko rodowe matki, kwota zobowiązań pozakredytowych, kwota wydatków gospodarstwa domowego, rodzaj dochodu, miesięczna wysokość emerytury/renty, waluta wynagrodzenia/emerytury/renty, wiek, miesięczny dochód netto, miesięczne zobowiązania.

Organ nadzorczy ustalił, że Bank aktualnie przetwarza dane osobowe wnioskodawcy zawarte we wniosku kredytowym (we wskazanym powyżej zakresie) w celu ustalenia, dochodzenia lub obrony roszczeń, z zastosowaniem 6-letniego terminu przedawnienia, którego koniec przypada na ostatni dzień roku kalendarzowego, licznego od daty podjęcia decyzji kredytowej, tj. od dnia [...] marca 2019 r. Wobec powyższego, Bank poinformował, że dane osobowe wnioskodawcy w oparciu o wskazany cel i podstawę będą przetwarzane przez Bank do dnia [...] grudnia 2025 r. (dowód: wyjaśnienia Banku z dnia [...] czerwca 2020 r. wraz z załącznikami).

Z kolei na podstawie wyjaśnień Biura Informacji Kredytowej S.A. z dnia [...] czerwca 2020 r. organ nadzorczy ustalił, że BIK przetwarza obecnie dane osobowe wnioskodawcy przekazane przez Bank w związku ze złożonym w dniu [...] marca 2019 r. zapytaniem kredytowym w zakresie: imię, nazwisko, numer PESEL, numer i serię dokumentu tożsamości, datę urodzenia, płeć, obywatelstwo, dane adresowe oraz dane z wniosku kredytowego dotyczące wnioskowanego kredytu. Powyższe dane osobowe wnioskodawcy zostały przekazane do BIK przez Bank na podstawie art. 105 ust. 4 oraz 105a ust. 1 ustawy z dnia 29 sierpnia 1997 r. - Prawo bankowe (tekst jednolity Dz. U. z 2021 r., poz. 2439 ze zm.) oraz na podstawie łączącej Bank i BIK umowy.

Z wyjaśnień BIK wynika, że strona skarżąca przetwarza dane pochodzące z zapytań kredytowych przez okres 12 miesięcy od dnia złożenia zapytania w celu oceny zdolności kredytowej i analizy ryzyka kredytowego konkretnego klienta (indywidualna ocena zdolności kredytowej) oraz w celu przeciwdziałania przestępstwom oraz wykonywania obowiązków w zakresie określonym w przepisach o przeciwdziałaniu praniu pieniędzy oraz finansowaniu terroryzmu. W przypadku wnioskodawcy wyżej wymienione zapytanie kredytowe nie jest przetwarzane w tych celach, ze względu na upływ 12 miesięcy od dnia złożenia zapytania.

Ponadto, BIK poinformował organ nadzorczy, że będzie przetwarzał dane osobowe wnioskodawcy w związku ze złożonym zapytaniem kredytowym w celu budowy modeli scoringowych tj. narzędzi wykorzystywanych przez banki do oceny zdolności kredytowej i analizy ryzyka kredytowego przez okres 5 lat od dnia złożenia zapytania, w celu statystycznym i analiz przez okres nie dłuższy niż 10 lat od dnia przekazania zapytania do BIK oraz w celu rozpatrywania ewentualnych reklamacji i roszczeń odszkodowawczych do momentu przedawnienia potencjalnych roszczeń wynikających z zapytania.

Jednocześnie, na podstawie wyjaśnień Banku z dnia [...] czerwca 2020 r. oraz wyjaśnienia BIK z dnia [...] czerwca 2020 r., organ nadzorczy ustalił, że wnioskodawca zwrócił się do Banku oraz BIK o usunięcie jego danych osobowych przetwarzanych w związku ze złożonym wnioskiem kredytowym, jednakże - jak wynikało z powyższych wyjaśnień - oba podmioty odmówiły usunięcia danych osobowych wnioskodawcy.

W wyniku analizy zgromadzonego materiału dowodowego, Prezes Urzędu Ochrony Danych Osobowych, działając na podstawie art. 104 § 1 pkt 1 k.p.a. oraz art. 6 ust. 1 i art. 58 ust. 2 lit. c RODO, wydał w dniu [...] grudnia 2020 r. decyzję, na podstawie której:

1. nakazał Biuru Informacji Kredytowej S.A. z siedzibą w [...] usunięcie danych osobowych M.T., w zakresie zapytania kredytowego z dnia [...] marca 2019 r., przekazanych przez Bank [...] z siedzibą w [...] (pkt 1 decyzji);

2. nakazał Bankowi [...]. z siedzibą w [...] usunięcie danych osobowych M.T. przetwarzanych w związku z zapytaniem kredytowym z dnia [...] marca 2019 r. (pkt 2 decyzji).

W uzasadnieniu decyzji Prezes UODO zauważył na wstępie, że przepisem uprawniającym administratorów danych do przetwarzania zwykłych danych osób fizycznych jest art. 6 ust. 1 RODO, zgodnie z którym, przetwarzanie danych jest dopuszczalne tylko wtedy, gdy spełniona jest jedna z przesłanek wskazanych w tym przepisie. Organ nadzorczy dodał jednocześnie, że katalog przesłanek wymienionych w art. 6 ust. 1 RODO, jest zamknięty, a każda z przesłanek legalizujących proces przetwarzania danych osobowych ma charakter autonomiczny i niezależny. Organ nadzorczy podniósł także, że proces przetwarzania danych osobowych musi być zgodny z zasadami ustanowionymi w art. 5 ust. 1 RODO, w szczególności z zasadą ograniczenia celu (art. 5 ust. 1 lit. b RODO) oraz zasadą minimalizacji danych (art. 5 ust. 1 lit. c RODO). Prezes UODO zauważył, że wspomniane zasady wymagają, by dane osobowe były zbierane w konkretnych, wyraźnych i prawnie uzasadnionych celach i nieprzetwarzane dalej w sposób niezgodny z tymi celami, a proces przetwarzania danych osobowych był adekwatny, stosowny oraz ograniczony do tego, co niezbędne do celów, w których są przetwarzane.

Prezes UODO podniósł, że - co do zasady - podstawą prawną przetwarzania danych osobowych klientów przez Bank i BIK jest obecnie art. 6 ust. 1 lit. f RODO, tj. przetwarzanie jest niezbędne do celów wynikających z prawnie uzasadnionych interesów realizowanych przez administratora.

Organ zauważył, że BIK jest instytucją utworzoną na podstawie art. 105 ust. 4 Prawa bankowego, który stanowi m.in., że banki mogą, wspólnie z bankowymi izbami gospodarczymi, utworzyć instytucje upoważnione do gromadzenia, przetwarzania i udostępniania bankom informacji stanowiących tajemnicę bankową w zakresie, w jakim informacje te są potrzebne w związku z wykonywaniem czynności bankowych oraz w związku ze stosowaniem metod wewnętrznych oraz innych metod i modeli, a także w zakresie niezbędnym do oceny zdolności kredytowej konsumenta i analizy ryzyka kredytowego.

Powołując się z kolei na art. 105a ust. 1 Prawa bankowego, organ nadzorczy wskazał, że przetwarzanie przez banki, inne instytucje ustawowo upoważnione do udzielania kredytów, instytucje pożyczkowe oraz podmioty, o których mowa w art. 59d ustawy z dnia 12 maja 2011 r. o kredycie konsumenckim, a także instytucje utworzone na podstawie art. 105 ust. 4, informacji stanowiących tajemnicę bankową i informacji udostępnionych przez instytucje pożyczkowe oraz podmioty, o których mowa w art. 59d ustawy z dnia 12 maja 2011 r. o kredycie konsumenckim, w zakresie dotyczącym osób fizycznych może być wykonywane, z zastrzeżeniem art. 104, 105 i art. 106 - 106d Prawa bankowego w celu oceny zdolności kredytowej i analizy ryzyka kredytowego.

Prezes UODO zauważył także, że zgodnie zaś z art. 105a ust. 4 Prawa bankowego, Banki oraz instytucje, o których mowa w art. 105 ust. 4 tej ustawy, mogą przetwarzać stanowiące tajemnicę bankową informacje dotyczące osoby fizycznej po wygaśnięciu zobowiązania wynikającego z umowy zawartej z bankiem lub inną instytucją ustawowo upoważnioną do udzielania kredytów bez zgody osoby, której informacje dotyczą, do celów stosowania metod wewnętrznych oraz innych metod i modeli, o których mowa w części trzeciej rozporządzenia nr 575/2013. Powołując się na brzmienie art. 105a ust. 5 Prawa bankowego, organ nadzorczy wskazał, że przetwarzanie informacji stanowiących tajemnicę bankową w przypadkach, o których mowa w ust. 3, może być wykonywane przez okres nie dłuższy niż 5 lat od dnia wygaśnięcia zobowiązania, a w przypadku, o którym mowa w ust. 4, przez okres 12 lat od dnia wygaśnięcia zobowiązania.

Organ wskazał także na art. 70 ust. 1 Prawa bankowego, zgodnie z którym bank uzależnia przyznanie kredytu od zdolności kredytowej kredytobiorcy.

Mając powyższe na uwadze, Prezes UODO podniósł, że wnioskodawca w dniu [...] marca 2019 r. wystąpił do Banku z wnioskiem o udzielenie kredytu, wobec czego Bank oraz BIK, na podstawie art. 105a ust. 1 Prawa bankowego w zw. z art. 70 ust. 1 tej ustawy, były uprawnione do przetwarzania danych osobowych wnioskodawcy w celu oceny zdolności kredytowej.

Organ nadzorczy podkreślił, że nie doszło do zawarcia umowy kredytu pomiędzy wnioskodawcą a Bankiem, co - zdaniem organu nadzorczego - powoduje, iż odpadła przesłanka legalizująca dalsze przetwarzanie danych osobowych wnioskodawcy przez Bank oraz BIK. Organ nadzorczy wskazał bowiem, że przesłanki zawarte w art. 105a Prawa bankowego dotyczą przetwarzania informacji objętych tajemnicą bankową w okresie przed powstaniem zobowiązania, w trakcie jego trwania oraz po wygaśnięciu zobowiązania.

Prezes UODO zauważył ponadto, że pomiędzy Bankiem a wnioskodawcą nie zawiązał się żaden stosunek zobowiązaniowy, który - stosownie do art. 105a ust. 1-6 Prawa bankowego - dawałby podstawę do dalszego przetwarzania danych osobowych wnioskodawcy. Organ nadzorczy podkreślił, że celem przetwarzania danych osobowych wnioskodawcy była ocena zdolności kredytowej i analizy ryzyka kredytowego. W tej sytuacji, jak wskazał organ nadzorczy, uznać należy, że w związku z dokonaniem przez Bank oceny zdolności kredytowej i analizy ryzyka kredytowego wspomniany wyżej cel przetwarzania danych osobowych wnioskodawcy został zrealizowany i brak jest podstaw prawnych do kontunuowania tego procesu.

Prezes UODO stwierdził, że powyższe stanowisko organu nadzorczego znajduje oparcie w wyroku Naczelnego Sądu Administracyjnego z dnia 27 sierpnia 2019 r., sygn. akt I OSK 2567/17, w którym NSA uznał, że "(...) cel oceny zdolności kredytowej stanowi ocena zdolności do spłaty zaciągniętego kredytu wraz z odsetkami, co ma charakter czynności wstępnej do zawarcia stosownej umowy. Dalsze przetwarzanie danych uzyskanych w celu oceny zdolności kredytowej, w przypadku nie zawarcia stosownej umowy pozostawałaby w oderwaniu od celu dla którego dane te uzyskano. (...) niedopuszczalne jest przetwarzanie danych osobowych na przyszłość, a także na potrzeby budowy oceny zdolności kredytowej innych podmiotów, jeżeli nie można zrekonstruować wyraźnej podstawy prawnej takich działań".

Ponadto, organ nadzorczy wskazał, że za podstawę przetwarzania danych osobowych wnioskodawcy, nie mogą być również uznane wskazane przez BIK cele statystyczne i analizy, w tym cel stosowania metod wewnętrznych oraz innych metod i modeli, o których mowa w części trzeciej rozporządzenia nr 575/2013.

Organ nadzorczy podkreślił, że przywołany przez BIK przepis art. 105a ust. 4 Prawa bankowego daje podstawy do przetwarzania informacji dotyczących osoby fizycznej stanowiących tajemnicę bankową po wygaśnięciu zobowiązania wynikającego z umowy zawartej z bankiem lub inną instytucją ustawowo upoważnioną do udzielania kredytów bez zgody osoby, której te informacje dotyczą. Organ nadzorczy stwierdził jednak, że w przedmiotowej sprawie nie doszło do zawarcia umowy kredytu pomiędzy wnioskodawcą a Bankiem, a zatem nie powstał żaden stosunek zobowiązaniowy, o którym mowa w powyższym przepisie.

Odnosząc się natomiast do powołanego zarówno przez Bank, jak i przez BIK celu ustalenia, dochodzenia lub obrony roszczeń, Prezes UODO stwierdził, że zebrany w niniejszym postępowaniu materiał dowodowy nie wykazał, aby wnioskodawca wystąpił z jakimkolwiek roszczeniem wobec Banku lub BIK, które uzasadniałoby uprawnienie tych podmiotów do zachowania i przetwarzania jego danych osobowych dla celów dowodowych w związku z dochodzeniem przez wnioskodawcę tego roszczenia. Organ nadzorczy podkreślił, że przesłanka z art. 6 ust. 1 lit. f RODO dotyczy sytuacji już istniejącej, w której celem wynikającym z prawnie uzasadnionych interesów realizowanych przez administratora jest konieczność udowodnienia, potrzeba dochodzenia lub obrony przed roszczeniem istniejącym, nie zaś sytuacji, gdy dane są przetwarzane w celu zabezpieczenia się przed ewentualnym roszczeniem.

W tym miejscu, organ nadzorczy zauważył, że powyższe stanowisko znajduje również potwierdzenie w orzecznictwie Wojewódzkiego Sądu Administracyjnego w Warszawie, które zapadło na analogicznej do art. 6 ust. 1 lit. f RODO podstawie prawnej wynikającej z art. 23 ust. 1 pkt 5 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (tekst jednolity Dz. U. 2016 r., poz. 922 ze zm.), dotyczącej dopuszczalności przetwarzania danych osobowych dla wypełnienia prawnie usprawiedliwionych celów realizowanych przez administratorów danych albo odbiorców danych, gdy przetwarzanie nie narusza praw i wolności osoby, której dane dotyczą. Prezes UODO, jako przykład wskazał na wyrok Wojewódzkiego Sądu Administracyjnego w Warszawie z dnia 1 grudnia 2010 r., wydany w sprawie o sygn. akt II SA/Wa 1212/10 (LEX nr 755113), w którym zwrócono uwagę, że "(...) przesłanka z art. 23 ust. 1 pkt 5 ustawy dotyczy sytuacji już istniejącej i pewnej, a więc przypadku, gdy istnieje potrzeba udowodnienia, potrzeba dochodzenia roszczenia z tytułu prowadzonej działalności gospodarczej, nie zaś sytuacji, gdy dane są przetwarzane na wypadek ewentualnego procesu i ewentualnej potrzeby udowodnienia, iż dane osobowe pozyskane bez zgody osoby, której dotyczą, są przetwarzane zgodnie z prawem".

Organ nadzorczy zaznaczył, że przyjęcie za prawidłowe stanowiska, iż przetwarzanie danych osobowych w celu uchylenia się od negatywnych skutków w przypadku zgłoszenia w przyszłości ewentualnego i nieokreślonego roszczenia, stanowi prawnie usprawiedliwiony cel, w rozumieniu art. 6 ust. 1 lit. f RODO, oznaczałoby, że dane osobowe wnioskodawcy mogą być przetwarzane przez Bank i BIK permanentnie, bez konieczności ich usunięcia.

Prezes UODO uznał ponadto, że brak jest uzasadnienia dla przyjęcia, iż terminy dotyczące przedawnienia roszczeń wynikających ze stosunków zobowiązaniowych określają jednocześnie ramy czasowe, w których dane osobowe mogą być przetwarzane przez Bank i BIK. Organ nadzorczy podkreślił, że przedawnienie roszczenia nie wywołuje skutków na gruncie ochrony danych osobowych, nie wpływa bowiem na fakt istnienia roszczenia, a powoduje jedynie zmianę w sferze zarzutów procesowych w postaci możliwości podniesienia okoliczności przedawnienia w sporze sądowym, jak też, że okolicznością usprawiedliwiającą przetwarzanie danych osobowych w celu dochodzenia roszczeń jest sam fakt istnienia roszczenia oraz zamiar jego dochodzenia, nie jest nią natomiast zmiana w uprawnieniach procesowych podmiotu pozwanego.

Wobec powyższego, Prezes Urzędu Ochrony Danych Osobowych uznał, że w niniejszej sprawie brak jest celu uzasadniającego przetwarzanie danych osobowych wnioskodawcy zawartych w przedmiotowym zapytaniu kredytowym zarówno przez Bank, jak i przez BIK.

Organ nadzorczy wskazał, że Bank w związku z pozyskaniem danych osobowych wnioskodawcy w celu oceny zdolności kredytowej stał się administratorem tych danych osobowych. Ponadto, organ nadzorczy dodał, że BIK stał się administratorem danych osobowych wnioskodawcy z uwagi na przekazanie tych danych przez Bank.

W związku z powyższym, organ nadzorczy stwierdził, że Bank oraz BIK są odrębnymi administratorami, gdyż każdy z tych podmiotów przetwarza bowiem dane osobowe wnioskodawcy we własnych celach i samodzielnie ustala sposoby ich przetwarzania.

Mając na względzie całość zgromadzonego materiału dowodowego, Prezes UODO uznał, że nie zaistniała żadna z wyrażonych w art. 6 ust. 1 RODO przesłanka, która stanowiłaby o legalności procesu przetwarzania danych osobowych wnioskodawcy przez Bank i BIK. W tej sytuacji, Prezes UODO stwierdził, że zaszły podstawy do skorzystania przez organ nadzorczy z uprawnienia przewidzianego w art. 58 ust. 2 lit. c RODO i w konsekwencji do nakazania zarówno Bankowi, jak i BIK, jako podmiotom będącym administratorami danych, usunięcia danych osobowych wnioskodawcy przetwarzanych w związku ze złożonym zapytaniem kredytowym z dnia [...] marca 2019 r.

W piśmie z dnia [...] stycznia 2021 r. Biuro Informacji Kredytowej S.A., reprezentowane przez radcę prawnego, działając za pośrednictwem organu nadzorczego, wniosło do Wojewódzkiego Sądu Administracyjnego w Warszawie skargę na powyższą decyzję Prezesa Urzędu Ochrony Danych Osobowych z dnia [...] grudnia 2020 r.

Wnosząc w petitum skargi o uchylenie zaskarżonej decyzji Prezesa UODO z dnia [...] stycznia 2021 r., a także o zasądzenie od organu nadzorczego na rzecz strony skarżącej zwrotu kosztów postępowania sądowego, w tym kosztów zastępstwa procesowego, skarżące Biuro Informacji Kredytowej S.A. zarzuciło organowi nadzorczemu:

1) naruszenie przepisów postępowania, które miało istotny wpływ na wynik sprawy, tj. art. 7 w związku z art. 77 i art. 80 k.p.a. - polegające na niewyczerpującym zebraniu i rozpatrzeniu całego materiału dowodowego i niepodjęciu wszelkich kroków niezbędnych do dokładnego wyjaśnienia stanu faktycznego i załatwienia sprawy, co skutkowało nakazem usunięcia danych osobowych M.T. przez stronę skarżącą oraz Bank [...] w zakresie wskazanym w zaskarżonej decyzji;

2) naruszenie przepisów postępowania, które miało istotny wpływ na wynik sprawy, tj. art. 7b k.p.a. - polegające na zaniechaniu zwrócenia się do Komisji Nadzoru Finansowego, jako organu właściwego w sprawach związanych m.in. z badaniem zdolności kredytowej i analizą ryzyka kredytowego, a także budową modeli scoringowych w zakresie wykorzystywania do realizacji tych zadań danych, w tym danych osobowych o niezrealizowanych zapytaniach kredytowych;

3) naruszenie przepisów postępowania, które miało istotny wpływ na wynik sprawy, tj. art. 8 k.p.a. - polegające na odstąpieniu przez organ nadzorczy bez uzasadnionej przyczyny od utrwalonej praktyki rozstrzygania spraw w takim samym stanie faktycznym i prawnym, co z kolei narusza zasadę pogłębiania zaufania obywateli do władzy publicznej;

4) naruszenie prawa materialnego, które miało wpływ na wynik sprawy, tj. art. 6 ust. 1 lit. c RODO w zw. z art. 105 ust. 4 ustawy - Prawo bankowe - polegające na jego niewłaściwym zastosowaniu i przyjęciu, że skarżący BIK nie legitymuje się przesłanką przetwarzania danych wynikającą z art. 6 ust. 1 lit. c RODO w związku z art. 105 ust. 4 Prawa bankowego, podczas gdy przepisy te nakładają na stronę skarżącą obowiązek przetwarzania danych osobowych, w tym danych z zapytań kredytowych przekazanych przez banki i inne instytucje wymienione w art. 105 ust. 4 Prawa bankowego na zasadzie wzajemności i w zakresie, w jakim informacje te potrzebne są bankom do wykonywania czynności bankowych, w tym oceny zdolności kredytowej i analizy ryzyka kredytowego oraz innym instytucjom (instytucjom pożyczkowym) w zakresie niezbędnym do oceny zdolności kredytowej i analizy ryzyka kredytowego;

5) naruszenie prawa materialnego, które miało wpływ na wynik sprawy, tj. art. 6 ust. 1 lit. f RODO w związku z Rekomendacjami S, W i T Komisji Nadzoru Finansowego - polegające na jego niewłaściwym zastosowaniu i przyjęciu, że strona skarżąca nie legitymuje się przesłanką przetwarzania danych wynikającą z art. 6 ust. 1 lit. f RODO w związku z Rekomendacjami S, W i T Komisji Nadzoru Finansowego, podczas gdy przepisy te nakładają na banki, a w konsekwencji na BIK, jako instytucję gromadzącą dane służące do oceny zdolności kredytowej oraz budującą modele scoringowe służące bankom, określone wymagania, które następnie podlegają egzekwowaniu przez Komisję Nadzoru Finansowego na podstawie bezwzględnie obowiązujących przepisów prawa,

6) naruszenie prawa materialnego, które miało wpływ na wynik sprawy, tj. art. 6 ust. 1 lit. c RODO w związku z art. 105 ust. 4 pkt 1, art. 5 ust. 1 pkt 3 oraz art. 70 ust. 1 Prawa bankowego - polegające na jego niewłaściwym zastosowaniu i przyjęciu, że skarżący BIK nie legitymuje się przesłanką przetwarzania danych wynikającą z art. 6 ust. 1 lit. c RODO w związku z art. 105 ust. 4 pkt 1 Prawa bankowego, podczas gdy strona skarżąca wykazuje cel przetwarzania danych osobowych polegający na dostarczaniu bankom informacji (w tym ocen i modeli scoringowych) niezbędnych do wykonywania czynności bankowych (art. 5 ust. 1 pkt 3 Prawa bankowego), w tym udzielania kredytów, przy czym ocena zdolności kredytowej jest obowiązkiem banków (art. 70 ust. 1 Prawa bankowego);

7) naruszenie prawa materialnego, które miało wpływ na wynik sprawy, tj. art. 6 ust. 1 lit. c RODO w związku z art. 105a ust. 1-1c Prawa bankowego - polegające na jego niewłaściwym zastosowaniu i przyjęciu, że skarżący BIK nie legitymuje się przesłanką przetwarzania danych wynikającą z art. 6 ust. 1 lit. c RODO w związku z art. 105a ust. 1-1c Prawa bankowego, podczas gdy strona skarżąca wykazuje cel przetwarzania danych osobowych polegający na przekazywaniu bankom, w tym Bankowi [...] będącemu stroną tego postępowania, informacji niezbędnych do oceny zdolności kredytowej i analizy ryzyka kredytowego;

8) naruszenie prawa materialnego, które miało wpływ na wynik sprawy, tj. art. 6 ust. 1 lit. c RODO w związku z art. 106d Prawa bankowego - polegające na jego niewłaściwym zastosowaniu i przyjęciu, że skarżący BIK nie legitymuje się przesłanką przetwarzania danych wynikającą z art. 6 ust. 1 lit. c RODO w związku z art. 106d Prawa bankowego, podczas gdy strona skarżąca wykazuje cel przetwarzania danych osobowych polegający na analizie danych podanych we wnioskach kredytowych i analizie zapytań kredytowych złożonych w BIK w określonym czasie w celu wykrycia nieścisłości oraz powzięcia informacji mogących stanowić o uzasadnionym podejrzeniu popełnienia przestępstw, o których mowa w art. 106d Prawa bankowego;

9) naruszenie prawa materialnego, które miało wpływ na wynik sprawy, tj. art. 6 ust. 1 lit. c RODO w związku z art. 106d ust. 1 pkt 3 Prawa bankowego, art. 33 ust. 2, art. 33 ust. 3 pkt 6, art. 34 ust. 1 pkt 4, art. 36, art. 46 oraz art. 49 ust. 1 ustawy z dnia 1 marca 2018 o przeciwdziałaniu praniu pieniędzy oraz finansowaniu terroryzmu (tekst jednolity Dz. U. z 2020 r., poz. 971 - dalej także: "ustawa AML") - polegające na jego niewłaściwym zastosowaniu i przyjęciu, że skarżący nie legitymuje się przesłanką przetwarzania danych wynikającą z art. 6 ust. 1 lit. c RODO w związku z art. 106d ust. 1 pkt 3 Prawa bankowego, art. 33 ust. 2, art. 33 ust. 3 pkt 6, art. 34 ust. 1 pkt 4, art. 36, art. 46 oraz art. 49 ust. 1 ustawy AML, podczas gdy przepisy te nakładają na banki i BIK obowiązek przetwarzania danych osobowych w celu zapewnienia bezpieczeństwa obrotu gospodarczego poprzez przeprowadzenie szczegółowego badania na temat klientów, w tym przyszłych klientów, jak i badania powiązań kapitałowo-osobowych, w tym w zakresie danych dostarczanych przez skarżącego;

10) naruszenie prawa materialnego, które miało wpływ na wynik sprawy, tj. art. 6 ust. 1 lit. c RODO w związku z art. 144 ust. 1 lit. d, art. 145 ust. 1, art. 170 ust. 3 lit. a, art. 171 ust. 2 i art. 179 ust 1 lit. a rozporządzenia Parlamentu Europejskiego i Rady nr 575/2013 z dnia 26 czerwca 2013 r. w sprawie wymogów ostrożnościowych dla instytucji kredytowych i firm inwestycyjnych, zmieniające rozporządzenie (UE) nr 648/2012 (Dz. Urz. UE L 2013 Nr 176, str. 1, dalej także: "CRR") - polegające na jego niewłaściwym zastosowaniu i przyjęciu, że skarżący BIK nie legitymuje się przesłanką przetwarzania danych wynikającą z art. 6 ust. 1 lit. c RODO w związku z powyższymi przepisami CRR wskazującymi na określone obowiązki w zakresie wymogów ostrożnościowych;

11) naruszenie prawa materialnego, które miało wpływ na wynik sprawy, tj. art. 6 ust. 1 lit. c RODO w związku z art. 70a ust. 1 i 2 Prawa bankowego - polegające na jego niewłaściwym zastosowaniu i przyjęciu, że skarżący BIK nie legitymuje się podstawą prawną przetwarzania danych osobowych, podczas gdy przepisy te nakładają na banki obowiązek wyjaśniania decyzji kredytowych, a wyjaśnienie to musi obejmować dane przetwarzane i dostarczane przez skarżącego;

12) naruszenie prawa materialnego, które miało wpływ na wynik sprawy, tj. art. 6 ust. 1 lit. f RODO w związku z art. 117 § 2 i § 21 , art. 118 i art. 119 ustawy z dnia 23 kwietnia 1964 r. - Kodeks cywilny (tekst jednolity Dz. U. z 2020 r., poz. 1740 - dalej także: "k.c.") - polegające na jego niewłaściwym zastosowaniu i przyjęciu, że przechowywanie danych przez okres przedawnienia roszczeń, również w przypadku, gdy ani administrator ani osoba, której dane dotyczą nie zgłosiła jeszcze roszczenia, nie stanowi prawnie uzasadnionego interesu skarżącego BIK oraz Banku, w rozumieniu art. 6 ust. 1 lit. f RODO, podczas gdy przepisy te uprawniają zarówno stronę skarżącą, jak i Bank do przetwarzania danych osobowych w celu ustalenia, dochodzenia i ochrony przed roszczeniami.

W uzasadnieniu skargi strona skarżąca zauważyła na wstępie, że wydając zaskarżoną decyzję, organ nadzorczy przede wszystkim nie wyjaśnił w sposób dokładny stanu sprawy i opierając się na nieprawidłowych przesłankach, nakazał Bankowi i skarżącemu BIK usunięcie danych osobowych M.T., mylnie uznając, że brak jest podstawy prawnej do ich przetwarzania w sytuacji, gdy nie udzielono kredytu.

Według strony skarżącej, Prezes UODO nie zbadał wszystkich podstaw prawnych dalszego przetwarzania danych o zapytaniach kredytowych, pomimo, iż przepisy prawa upoważniają BIK, a także Bank do przetwarzania tych danych również w sytuacji, gdy kredytu nie udzielono.

Mając na uwadze powyższe, strona skarżąca zarzuciła, że zaskarżona decyzja została wydana przez organ nadzorczy z naruszeniem obowiązku podjęcia wszelkich czynności niezbędnych do dokładnego wyjaśnienia stanu faktycznego oraz do załatwienia sprawy, o którym mowa w art. 7 k.p.a., jak również obowiązku, by w sposób wyczerpujący zebrać i rozpatrzyć cały materiał dowodowy, o którym mowa w art. 77 § 1 k.p.a., co w konsekwencji doprowadziło do niesłusznego nakazania stronie skarżącej usunięcia danych osobowych wobec braku podstawy prawnej do ich dalszego przetwarzania.

Uzasadniając zarzut naruszenia art. 7b k.p.a., strona skarżąca zauważyła, że w niniejszej sprawie wymagana jest znajomość obowiązków spoczywających na bankach i Biurze Informacji Kredytowej, wynikających zarówno z przepisów Prawa bankowego, jak i działań oraz oczekiwań organów nadzorczych, w tym w szczególności Komisji Nadzoru Finansowego (dalej także: "KNF") oraz wydawanych przez ten organ Rekomendacji dla sektora bankowego. W tej sytuacji, skarżący BIK uznał, że Prezes UODO powinien był, badając cele przetwarzania danych po stronie banku i BIK, zwrócić się do KNF o wyjaśnienia w zakresie obowiązków regulacyjnych tych podmiotów, czego jednak nie uczynił wypowiadając się arbitralnie w materii merytorycznie właściwej innemu organowi, w tym wypadku Komisji Nadzoru Finansowego. Tymczasem, w ocenie strony skarżącej, organ nadzorczy - uwzględniając interes społeczny oraz słuszny interes obywateli, o którym mowa w art. 7b k.p.a. - powinien był wziąć pod uwagę to, iż poprawne działanie modeli służących ocenie osób wnioskujących o kredyt służy w pierwszej kolejności ochronie interesów depozytariuszy, a więc obywateli, którzy powierzyli swoje środki bankom. BIK wskazał, że banki - udzielając kredytów osobom, które nie są w stanie ich spłacić - działają bezpośrednio na szkodę depozytariuszy. W konsekwencji, strona skarżąca stwierdziła, że udzielanie kredytów bez dokładnego sprawdzenia zdolności osoby do ich spłacenia może doprowadzić do kryzysu gospodarczego, czego przykładem był kryzys gospodarczy w Stanach Zjednoczonych w latach 2007-2009, który w znacznej mierze był skutkiem nieodpowiedzialnej polityki udzielania kredytów osobom, które nie miały szans ich spłacenia. W tej sytuacji, BIK uznał, że brak możliwości weryfikacji osoby w oparciu o wszystkie dane niezbędne do tego celu godzi niewątpliwie w interes społeczny.

Uzasadniając z kolei zarzut naruszenia art. 8 § 2 k.p.a., skarżący BIK zauważył na wstępie, że organ nadzorczy dotychczas w sposób jednolity dokonywał wskazania adresatów rozstrzygnięć w analogicznych sprawach, kierując je wyłącznie do banków. BIK podkreślił, że jego rola jest służebna wobec banków i to one decydują o przekazaniu danych konkretnej osoby do BIK, a następnie o ich zmianie lub usunięciu. Skarżący BIK podniósł, że organ nadzorczy był wielokrotnie informowany w tym w innych postępowaniach, iż banki i BIK wiążą w tym zakresie stosowne umowy, z których jasno wynika, że BIK nie jest uprawniony do zmiany lub usuwania danych przekazanych przez banki. W tej sytuacji, BIK wskazał, że nie jest mu znany powód zmiany dotychczasowego stanowiska Prezesa UODO, pomimo, że w niniejszej sprawie mamy do czynienia z tym samym stanem prawnym, jak we wcześniejszych analogicznych sprawach. W konsekwencji, zdaniem strony skarżącej, doszło do naruszenia art. 8 § 2 k.p.a., albowiem organ nadzorczy bez uzasadnionej przyczyny odstąpił od utrwalonej praktyki rozstrzygania spraw w takim samym stanie faktycznym i prawnym.

Uzasadniając zarzut naruszenia art. 6 ust. 1 lit. c RODO w zw. z art. 105 ust. 4 ustawy - Prawo bankowe, strona skarżąca wskazała, że w sprawie dotyczącej danych osobowych M.T. zastosowanie znajduje przesłanka obowiązku prawnego, który spoczywa zarówno na Banku, jak i BIK. Strona skarżąca zauważyła bowiem, że banki są zobowiązane do udostępniania informacji objętych tajemnicą bankową, w tym danych osobowych, podmiotom wskazanym w art. 105 ust. 1 Prawa bankowego. BIK podkreślił, że jest instytucją powołaną na podstawie art. 105 ust. 4 Prawa bankowego, zaś jego powołanie miało służyć przede wszystkim sprawnej wymianie informacji w sektorze bankowym. Strona skarżąca wskazała, że BIK jest organizacyjnym i technologicznym ramieniem banków, instytucją służebną, a jednocześnie elementem integralnym sektora bankowego, który umożliwia bankom realizację obowiązku wymiany informacji wynikającego wprost z powołanego powyżej art. 105 ust 1 Prawa bankowego. W tej sytuacji, związku z powołaniem BIK na podstawie art. 105 ust. 4 Prawa bankowego, wymiana informacji za pośrednictwem BIK przyczynia się do tego, że banki realizując wspomniane obowiązki, dysponują nie tylko własnymi informacjami, ale również informacjami z całego sektora. Strona skarżąca zauważył więc, że wymiana informacji bez BIK znajduje odrębną podstawę w art. 105 ust. 4 Prawa bankowego, który stanowi podstawę prawną do gromadzenia, przetwarzania i udostępniania danych innym instytucjom, w tym bankom. Mając powyższe na względzie, strona skarżąca wskazała, że zapytania kredytowe mają ogromne znaczenie dla realizacji celów, o których mowa w powołanym wyżej przepisie art. 105 ust. 4 Prawa bankowego. W tej sytuacji, strona skarżąca uznała, że - biorąc pod uwagę, że przepis ten nie zawiera katalogu danych podlegających wymianie - należy stwierdzić, iż zaskarżona decyzja Prezesa UODO jest arbitralna, albowiem jej logika może prowadzić do zakwestionowania wymiany jakichkolwiek informacji, gdy tymczasem - według strony skarżącej - przepisy dotyczące wymiany informacji w sprawach, o których mówi art. 105 ust. 4 Prawa bankowego nie mogą mieć kazuistycznego charakteru, albowiem niezbędność danych zależy od szeregu czynników i nie ma powodu dla arbitralnego wykluczenia zapytań kredytowych z listy danych niezbędnych do realizacji zadań, o których mowa w art. 105 ust. 4 Prawa bankowego. Strona skarżąca zauważyła na marginesie, iż Prezes UODO w swojej dotychczasowej praktyce potwierdził, że właściwą podstawą przetwarzania danych dla wypełnienia obowiązków wynikających z przepisów Prawa bankowego jest przepis art. 6 ust. 1 lit c RODO w związku z art. 105 ust. 4 Prawa bankowego.

Odnosząc się do zarzutu naruszenia art. 6 ust. 1 lit. f RODO w zw. z Rekomendacjami S, W i T Komisji Nadzoru Finansowego, strona skarżąca wskazała, że organ nadzorczy błędnie przyjął w uzasadnieniu zaskarżonej decyzji, iż nie może mieć miejsca przetwarzanie danych związanych z zapytaniami kredytowymi, które nie zakończyły się przyznaniem kredytu w oparciu o wskazany art. 6 ust. 1 lit. f RODO. Skarżący BIK stwierdził, że nie podziela stanowiska organu nadzorczego, albowiem przesłanka prawnie uzasadnionego interesu administratora (art. 6 ust. 1 lit. f RODO) ma zastosowanie wobec szczegółowych obowiązków w zakresie stosowania metod statystycznych, czy też oceny ryzyka i zdolności kredytowej, które wynikają z Rekomendacji S, W i T Komisji Nadzoru Finansowego. Skarżący BIK podniósł, że rekomendacje KNF zawierają konkretne wymagania regulacyjne wobec narzędzi używanych przez banki. Skarżący zauważył, że zapytanie kredytowe, w tym również to, które nie zakończyło się udzieleniem kredytu, należy w sposób oczywisty do wskazanych cech stanowiących przedmiot analizy cech jakościowych klienta detalicznego, albowiem liczba zapytań może wskazywać na sytuację finansową wnioskującego. Skarżący BIK zaznaczył, że dane z zapytań są także elementem kontroli wiarygodności wnioskodawcy, ponieważ - jak pokazuje doświadczenie - niektórzy wnioskujący podają w kolejnych wnioskach różne dane, choć ich sytuacja w tym zakresie nie powinna była ulec zmianie (np. kolejny wniosek zawiera mniejszą liczbę dzieci na utrzymaniu). Skarżący zauważył, że - według ekspertów - informacje o ilości zapytań kredytowych należą, obok danych osobowych oraz danych dotyczących bankructwa i niewypłacalności, do głównych danych gromadzonych przez europejskie biura informacji kredytowej. W tej sytuacji, strona skarżąca zarzuciła, że zakwestionowanie prawnie uzasadnionego interesu, jako przesłanki przetwarzania danych przez BIK, spowodowałoby daleko idące negatywne skutki dla rynku finansowego, m.in. doprowadziłoby do zakwestionowania sensu Rekomendacji KNF. Tymczasem, zdaniem strony skarżącej, Prezes UODO w wydanej przez siebie decyzji nie próbował nawet wykazać, dlaczego i na podstawie jakich przepisów, czy też praktyki uznał, że skarżący BIK nie potrzebuje do wspomnianych wyżej celów danych przekazywanych przez banki w zapytaniach kredytowych. Podsumowując, skarżący BIK stwierdził, że przetwarzanie danych pochodzących z wniosków i zapytań kredytowych przez sektor bankowy jest niezbędne, aby w praktyce wykonać zalecenia KNF, co powoduje w konsekwencji, że przetwarzanie tych danych na podstawie wskazanych rekomendacji powinno zostać uznane za prawnie uzasadniony interes administratora.

Odnosząc się do zarzutu naruszenia art. 6 ust. 1 lit. c RODO w zw. z art. 105 ust. 4 pkt 1, art. 5 ust. 1 pkt 3 oraz art. 70 ust. 1 Prawa bankowego, skarżący BIK wskazał, że głównym, choć nie jedynym celem przekazania do BIK i przetwarzania danych wskazanych we wniosku kredytowym (złożenie zapytania kredytowego w BIK) jest wypełnienie obowiązku oceny zdolności kredytowej, o którym mowa w przepisie art. 70 ust. 1 Prawa bankowego, tj. obowiązku banku w zakresie zbadania i uzależnienia przyznania kredytu od zdolności kredytowej kredytobiorcy - zarówno w oparciu o dane własne banku, jak i dane zgromadzone w BIK. Strona skarżąca zauważyła, że taki jest również w niniejszej sprawie cel przetwarzania danych M.T. przez skarżący BIK. Strona skarżąca dodał, że ocena zdolności kredytowej, przed przygotowaniem oferty kredytu, wymaga przetwarzania danych osobowych dla oceny indywidualnej sytuacji finansowej wnioskującego, zaś pomocnym w procesie oceny zdolności kredytowej są wspomniane już modele scoringowe, w tym modele tworzone przez BIK dla potrzeb banków. Zdaniem strony skarżącej, ocena zdolności kredytowej ma zatem na celu oszacowanie lub w miarę możliwości precyzyjne wyliczenie, jakiego typu oferty i na jakich warunkach można przedstawić osobie wnioskującej o kredyt i uzależniona jest od szeregu czynników i opiera się o przetwarzanie m.in. danych wymienionych w przepisie 105a ust.1 Prawa bankowego.

Ustosunkowując się z kolei do zarzutu naruszenia art. 6 ust. 1 lit. c RODO w zw. z art. 105a ust. 1-1c Prawa bankowego, skarżący BIK wskazał, że wśród celów przetwarzania danych przez banki i BIK należy wyraźnie rozróżnić cel, jakim jest ocena dolności kredytowej i analiza ryzyka kredytowego. Skarżący stwierdził bowiem, że ten drugi cel polega na rozpoznaniu i ocenie ryzyka związanego z przyznaniem kredytu konkretnej osobie w konkretnej wysokości oraz oszacowanie ryzyka dla banku związanego z danym portfelem zobowiązań, np. kredytem we frankach szwajcarskich. Skarżący BIK wskazał, że podobnie jak ocena zdolności kredytowej, nie jest to uprawnienie, lecz obowiązek banku wynikający z art. 105a ust. 1 Prawa bankowego. Strona skarżąca stwierdziła, że analiza ryzyka kredytowego jest jednym z publiczno-prawnych obowiązków, dla których niezbędne jest wykorzystanie danych pochodzących z wniosków kredytowych, a także danych o historii zapytań kredytowych kierowanych przez banki do BIK. Skarżący podkreślił, że historia zapytań kredytowych zgromadzonych w rejestrze wyraźnie wskazuje, poprzez podane we wniosku dane, jakie możliwości finansowe ma klient i w związku z tym wpływa ona na dalszą ocenę dokonywaną przez bank, zaś brak takiej historii powoduje, że bank traci wiedzę na temat klienta i nie jest w stanie precyzyjnie ocenić ryzyka udzielenia mu kredytu. Skarżący zaznaczył, że informacja na temat częstego ubiegania się o kredyt osoby wnioskującej wskazuje na zwiększone ryzyka udzielenia finansowania danemu klientowi dla banku. Skarżący stwierdził, że ocena zdolności kredytowej i analiza ryzyka uzupełniają się wzajemnie, i są procesami silnie związanymi. Podsumowując, skarżący BIK wskazał, że obowiązek wynikający z przepisów art. 105a ust. 1-1c Prawa bankowego dotyczy przetwarzania danych przed przyznaniem kredytu, w trakcie jego spłaty i przetwarzania danych przez minimalny okres w przypadku nieudzielenia kredytu - dla celu oszacowania ryzyka spłaty innych kredytów. Skarżący BIK zauważył, że dopiero kolejne obowiązki wynikające z przepisu art. 105a ust. 2 i 3 Prawa bankowego regulują kwestie przetwarzania danych po wygaśnięciu zobowiązania, a więc odnoszą się do powstałych zobowiązań, zaś przepis ten nie jest jedynym źródłem obowiązków w zakresie oceny zdolności kredytowej, gdyż osobną podstawą przetwarzania danych w tym wypadku są przepisy CRR, a zgodnie z treścią art. 105a ust. 1 i ust. 1a Prawa bankowego, powyższy obowiązek dotyczy również skarżącego BIK.

Odnosząc się do zarzutu naruszenia art. 6 ust. 1 lit. c RODO w zw. z art. 106d Prawa bankowego, strona skarżąca wskazała, że nieodpowiedzialne przyznawanie finansowania, w sytuacji, w której bank nie dochował, zgodnie ze swoim obowiązkami, należytej staranności (m.in. w zakresie analizy zdolności i ryzyka kredytowego), mogłoby zakończyć się przyznaniem wielu kredytów, których spłacenie byłoby dla klientów trudne lub niemożliwe, bowiem przewyższałoby ich możliwości finansowe. To z kolei, jak wskazał skarżący BIK, mogłoby doprowadzić do tego, że udzielenie kredytów przy jednoczesnym ich braku zwrotu, spowodowałoby znaczące uszczuplenie rezerw, co w konsekwencji, w najgorszym wypadku, mogłoby doprowadzić do braku środków na pokrycie depozytów.

Uzasadniając zarzutu naruszenia art. 6 ust. 1 lit. c RODO w zw. z art. 106d ust. 1 pkt pkt 3 Prawa bankowego, art. 33 ust. 2, art. 33 ust. 3 pkt 6, art. 34 ust. 1 pkt 4, art. 36, art. 46 oraz 49 ust. 1 ustawy AML, strona skarżąca wskazała na dodatkowe obowiązki wymagające przetwarzania danych osobowych w związku z przeciwdziałaniem praniu pieniędzy oraz przeciwdziałaniu terroryzmowi. Strona skarżąca stwierdziła, że z uwagi na fakt, iż informacje na temat danych podanych na poprzednich wnioskach kredytowych mogą wskazywać na próbę manipulacji mającą na celu pranie pieniędzy lub finansowanie terroryzmu, czy też ukrycie określonych powiązań osobowych, BIK pozyskuje dane na temat wniosków kredytowych w celu wykluczenia takich prób.

Odnosząc się do zarzutu naruszenia art. 6 ust. 1 lit. c RODO w zw. z art. 144 ust. 1 lit. d, 145 ust. 1, 170 ust. 3 lit. a, 171 ust. 2 i 179 ust 1 lit. a CRR, strona skarżąca wskazała, że odrębne cele przetwarzania informacji o niezrealizowanych wnioskach kredytowych i złożonych na ich podstawie zapytaniach kredytowych w zakresie analizy ryzyka kredytowego określają przepisy CRR. W tej sytuacji, jak zauważył skarżący BIK, dla badania portfelowego ryzyka kredytowego potrzebne jest korzystanie z zaawansowanych metod statystycznych, czyli tzw. metod scoringowych, które pozwalają na stałe monitorowanie ryzyka kredytowego dla banku czy nawet całej grupy kapitałowej w oparciu z jednej strony o dane na temat konkretnych zobowiązań, z drugiej o dane makroekonomiczne. BIK wskazał, że ogólne zasady tworzenia modeli służących tym celom określa m.in. CRR oraz rekomendacje KNF. W konsekwencji, strona skarżąca uznała, że z powołanych wyżej przepisów CRR wynika obowiązek wykorzystania danych o wnioskach i zapytaniach kredytowych w celu zachowania wymogów ostrożnościowych wynikających z CRR.

Uzasadniając z kolei zarzut naruszenia art. 6 ust. 1 lit c RODO w związku z art. 70a ust. 1 i 2 Prawa bankowego, skarżący BIK wskazał, że usunięcie danych o zapytaniu kredytowym spowoduje, że bank nie będzie mógł zrealizować obowiązku wyjaśnienia decyzji kredytowej (obowiązek ten dotyczy zarówno decyzji pozytywnej, jak i negatywnej). BIK podniósł, że dane zawarte w zapytaniu kredytowym, a także sama liczba zapytań, mogą być istotną informacją wpływającą na ocenę zdolności kredytowej. Dane te, jak zauważyła strona skarżąca, pochodzą tylko z wewnętrznych źródeł Banku, ale również z raportów BIK. W tej sytuacji, strona skarżąca podkreśliła, że obowiązek przechowywania przez BIK danych, które mogły mieć wpływ na dotychczasowe i przyszłe decyzje kredytowe dotyczące M.T., wynika zatem bezpośrednio z art. 70a ust. 1 i 2 Prawa bankowego.

Przechodząc do uzasadnienia zarzutu naruszenia art. 6 ust. 1 lit. f RODO w związku z art. 117 § 2 i 21, art. 118 i art. 119 kodeksu cywilnego, skarżący BIK wskazał, że przechowywanie danych przez okres przedawnienia roszczeń, które mogą wynikać z relacji łączącej klientów lub potencjalnych klientów z Bankiem, odpowiada przesłance, o której mowa w przepisie art. 6 ust. 1 lit. f RODO. Strona skarżąca, powołując się na brzmienie art. 6 ust. 1 lit. f RODO - stwierdziła, że nie tylko umowa łącząca Bank z klientem, ale również czynności podejmowane przez strony przed zawarciem takiej umowy, w tym związane z oceną zdolności kredytowej i obsługą wniosku kredytowego, mogą być źródłem roszczeń zarówno jednej jak i drugiej strony, nawet w sytuacji, w której do zawarcia umowy ostatecznie nie doszło. Strona skarżąca, zwracając w tej sytuacji uwagę na rolę BIK w powyższych czynnościach - uznała, że również udział BIK we wskazanych czynnościach może być kwestionowany, a także stanowić przedmiot roszczenia osoby, której Bank odmówił zawarcia umowy, np. co do legalności udostępnienia jego danych pomiędzy skarżącym a Bankiem. Skarżący BIK wskazał, że celem dalszego przetwarzania danych osobowych M.T. jest ustalenie, dochodzenie lub obrona przed ewentualnymi roszczeniami i nie ma znaczenia, czy roszczenie już zostało zgłoszone lub zasygnalizowane. Zdaniem strony skarżącej, konieczność usunięcia danych uniemożliwiłaby rozpatrzenie, w tym ocenę zasadności roszczenia. W tej sytuacji, strona skarżąca zarzuciła, że stanowisko Prezesa UODO jest błędne, gdyż przechowywanie danych przez okres przedawnienia roszczeń, które mogą wynikać z relacji łączącej Bank z osobą wnioskującą o udzielenie kredytu, jest uzasadnione na gruncie art. 6 ust. 1 lit. f RODO. Tymczasem, jak zauważyła strona skarżąca, brak danych uniemożliwiłby analizę zasadności roszczenia, albowiem trudno byłoby uznać, że skarżący BIK lub Bank miałyby rozpatrywać zasadność roszczenia, nie mając "swoich" danych o osobie, a tylko w oparciu o dane dostarczone przy okazji zgłoszenia roszczenia. Strona skarżąca stwierdziła jednocześnie, że całkowicie nieuzasadnione są obawy Prezesa UODO, jakoby oznaczać to miało, że dane osobowe M.T. mogą być przetwarzane przez Bank i BIK permanentnie, bez konieczności ich usunięcia, skoro okres retencji jest ograniczony do okresu przedawnienia roszczenia, zaś te są określone w przepisach prawa, które nie dopuszczają nieograniczonego okresu przedawnienia. BIK podkreślił ponadto, że warto zauważyć, iż zgodnie z treścią art. 117 § 21 k.c., po upływie terminu przedawnienia nie można domagać się zaspokojenia roszczenia przysługującego przeciwko konsumentowi. W tej sytuacji, strona skarżąca zauważyła, że w razie sporu sąd z urzędu bierze tę okoliczność pod uwagę, a więc - wbrew temu, co twierdzi Prezes UODO - po upływie terminu przedawnienia Bank lub BIK nie mogłyby zgłosić żadnych roszczeń wobec osoby będącej konsumentem, a w konsekwencji, nie ma podstaw do tego, aby Bank lub BIK przechowywały dane M.T. "permanentnie". Mając powyższe na względzie, strona skarżąca stwierdziła zatem, że wraz z Bankiem posiadają podstawę prawną do przetwarzania danych w okresie przedawnienia roszczeń, które mogą wynikać z relacji łączącej M.T. z Bankiem. Jednocześnie, strona skarżąca uznała, że nie musi ona w tym celu wykazywać istnienia konkretnego roszczenia którejkolwiek ze stron. Według skarżącego BIK, pogląd organu nadzorczego mógłby zresztą doprowadzić w wielu sytuacjach do sztucznego kreowania roszczeń przez administratorów, tylko po to, żeby uzasadnić dalsze przechowywanie danych osobowych. Tymczasem, jak zauważył skarżący BIK, sama możliwość zgłoszenia roszczeń w okresie do upływu terminu przedawnienia jest już wystarczającą podstawą do stwierdzenia istnienia prawnie uzasadnionego interesu skarżącego BIK oraz Banku, przy jednoczesnej ochronie interesów podmiotu danych wynikającej właśnie z faktu przechowania tych danych.

W odpowiedzi na skargę Prezes Urzędu Ochrony Danych Osobowych wniósł o jej oddalenie, podtrzymując swoje dotychczasowe stanowisko wyrażone w uzasadnieniu zaskarżonej decyzji.

Odnosząc się do zarzutów strony skarżącej, organ nadzorczy nie zgodził się przede wszystkim z zarzutami rzekomego naruszenia przepisów postępowania, w tym art. 7 w zw. z art. 77, art. 7b oraz art. 80 k.p.a., podkreślając, że są one nieuzasadnione i nie znajdują potwierdzenia w zgromadzonym w toku postępowania wyjaśniającego materiale dowodowym.

Odnosząc się do z kolei do zarzutu naruszenia art. 8 § 2 k.p.a., organ nadzorczy wskazał, że każda sprawa, która została zainicjowana przed organem administracji publicznej ma swój indywidualny charakter i jest analizowana w kontekście ustaleń faktycznych i prawnych czynionych przez organ na potrzeby tej konkretnej sprawy. Prezes UODO stwierdził, że każda sprawa jest rozpatrywana przez organ indywidualnie, zaś każdy stan faktyczny i prawny weryfikowany osobno. Organ nadzorczy zauważył ponadto, że zgodnie z zasadą praworządności wyrażoną w art. 7 k.p.a., organy administracji publicznej powinny wydawać decyzję zgodnie z brzmieniem przepisów prawa. W tej sytuacji, organ nadzorczy podkreślił, że zmiana poglądu organu uzasadniona względami praworządności i zgodności rozstrzygnięć z prawem nie stanowi naruszenia art. 8 § 2 k.p.a. Prezes UODO uznał ponadto, że chybiony jest także zarzut skierowania decyzji również do BIK, podczas gdy dotychczas organ nadzorczy miał kierować decyzje wyłącznie do banków. Organ nadzorczy uznał bowiem, że skoro BIK jest niezależnym od Banku administratorem danych, tym samym zasadne było skierowanie rozstrzygnięcia także w stosunku do BIK w zakresie, w jakim skarga dotyczyła nieuprawnionego przetwarzania danych w bazie BIK. Jednocześnie, organ nadzorczy zauważył, że zarówno z wyjaśnień BIK udzielonych w toku postępowania, jak i ze skargi wniesionej przez BIK do Sądu wynika, że strona skarżąca uznaje się za odrębnego od Banku administratora danych.

Prezes UODO uznał ponadto, że niezasadny jest również zarzut naruszenia przez organ art. 6 ust. 1 lit. f RODO w związku z Rekomendacjami S, W i T Komisji Nadzoru Finansowego, a także zarzut naruszenia art. 6 ust. 1 lit. c RODO. Uzasadniając swoje stanowisko, organ nadzorczy podkreślił, że nie doszło do zawarcia umowy kredytu pomiędzy wnioskodawcą a Bankiem, co w konsekwencji oznacza, że odpadła przesłanka legalizująca dalsze przetwarzanie danych osobowych wnioskodawcy przez Bank oraz BIK. Prezes UODO zauważył bowiem, że przesłanki zawarte w art. 105a Prawa bankowego dotyczą przetwarzania informacji objętych tajemnicą bankową w okresie przed powstaniem zobowiązania, w trakcie jego trwania oraz po wygaśnięciu zobowiązania. Tymczasem, jak wskazał organ nadzorczy, pomiędzy Bankiem a wnioskodawcą nie zawiązał się żaden stosunek zobowiązaniowy, który stosownie do art. 105a ust. 1-6 Prawa bankowego dawałby podstawę do dalszego przetwarzania jego danych osobowych. Ponadto, organ nadzorczy podkreślił, że celem przetwarzania danych osobowych osoby wnioskującej o kredyt była ocena zdolności kredytowej i analizy ryzyka kredytowego. W tej sytuacji, jak podniósł organ nadzorczy, w związku z dokonaniem przez Bank oceny zdolności kredytowej i analizy ryzyka kredytowego wskazany powyżej cel przetwarzania danych osobowych M.T. został zrealizowany, co oznacza, że brak jest podstaw prawnych do kontynuowania tego procesu.

Prezes UODO stwierdził ponadto, że za prawnie usprawiedliwiony cel, w rozumieniu art. 6 ust. 1 lit. f RODO, nie może zostać uznane przetwarzanie danych osobowych do ustalenia, dochodzenia lub obrony roszczeń. Tymczasem, jak wskazał organ nadzorczy, zebrany w niniejszym postępowaniu materiał dowodowy nie wykazał, aby wnioskodawca wystąpił z jakimkolwiek roszczeniem wobec Banku, czy też skarżącego BIK, które uzasadniałoby uprawnienie tych podmiotów do zachowania i przetwarzania jego danych osobowych dla celów dowodowych w związku z dochodzeniem przez wnioskodawcę tego roszczenia. Prezes UODO uznał ponadto, że zarówno Bank, jak i skarżący BIK nie wskazali także na istnienie roszczeń, których dochodzą od wnioskodawcy. Organ nadzorczy podkreślił, że przesłanka z art. 6 ust. 1 lit. f RODO dotyczy sytuacji już istniejącej, w której celem wynikającym z prawnie uzasadnionych interesów realizowanych przez administratora jest konieczność udowodnienia, potrzeba dochodzenia lub obrony przed roszczeniem istniejącym, nie zaś sytuacji, gdy dane są przetwarzane w celu zabezpieczenia się przed ewentualnym roszczeniem.

Prezes UODO nie zgodził się również z twierdzeniem strony skarżącej, jakoby terminy dotyczące przedawnienia roszczeń wynikających ze stosunków zobowiązaniowych określały jednoznaczne ramy czasowe, w których dane osobowe mogą być przetwarzane przez Bank i BIK. Organ nadzorczy za konieczne uznał bowiem podkreślenie, że przedawnienie roszczenia nie wywołuje skutków na gruncie ochrony danych osobowych, albowiem nie wpływa na fakt istnienia roszczenia, a powoduje jedynie zmianę w sferze zarzutów procesowych w postaci możliwości podniesienia okoliczności przedawnienia w sporze sądowym. Tymczasem, jak zauważył organ nadzorczy, okolicznością usprawiedliwiającą przetwarzanie danych osobowych w celu dochodzenia roszczeń jest sam fakt istnienia roszczenia oraz zamiar jego dochodzenia, nie jest nią natomiast zmiana w uprawnieniach procesowych podmiotu pozwanego.

Odnosząc się z kolei do powołanej przez stronę skarżącą konieczności przetwarzania danych osobowych wnioskodawcy w zakresie zapytania kredytowego po dokonaniu weryfikacji zdolności kredytowej dla potrzeb tworzenia modeli scoringowych, Prezes UODO wskazał, że nie znajduje ona uzasadnienia. Organ nadzorczy podniósł, iż podzielić w tym miejscu stanowisko Wojewódzkiego Sądu Administracyjnego w Warszawie, który w wyroku z dnia 27 sierpnia 2017 r., sygn. akt II SA/Wa 2221/16 stwierdził, że "scoring kredytowy to metoda oceny wiarygodności podmiotu - zwykle osoby fizycznej lub przedsiębiorstwa - ubiegającego się o kredyt bankowy. Polega na określeniu wiarygodności kredytowej klienta na podstawie porównania jego profilu z profilem klientów, którzy już otrzymali kredyty i je spłacają". Tymczasem, jak wskazywał organ nadzorczy, w przedmiotowej sprawie wnioskodawca po złożeniu zapytań kredytowych nie zawarł umowy kredytowej z Bankiem, a tym samym nie spłacał zaciągniętego kredytu, zatem jego dane zawarte w zapytaniach kredytowych nie mogą być wykorzystywane do tworzenia modeli scoringowych, gdyż brak jest podstawy prawnej do powyższego.

Ponadto, organ nadzorczy podkreślił również, że powoływane przez skarżący BIK Rekomendacje Komisji Nadzoru Finansowego należą do nienormatywnych form działania administracji, co oznacza, że wydane przez Komisję Nadzoru Finansowego rekomendacje – podobnie, jak inne uchwały tego organu nadzoru - nie są źródłem ani powszechnie obowiązujących przepisów prawa, ani przepisów prawa o charakterze wewnętrznym. Jednocześnie, organ nadzorczy zauważył, że w Polsce jedynym właściwym i wyspecjalizowanym w sprawach dotyczących ochrony danych osobowych organem jest Prezes UODO, który ma status i kompetencje organu nadzorczego określone w RODO. Z tego względu, Prezes UODO uznał, że uprawniony jest do samodzielnego dokonywania interpretacji przepisów prawa w zakresie dotyczącym ochrony danych osobowych. Z tych względów, organ nadzorczy stwierdził, że - wbrew twierdzeniom skarżącego BIK - w niniejszym postępowaniu nie doszło do naruszenia art. 7b k.p.a., albowiem zgodnie z tym przepisem współdziałanie organów administracji publicznej w toku postępowania następuje w zakresie, w jakim jest to niezbędne do dokładnego wyjaśnienia stanu faktycznego i prawnego sprawy. Tymczasem, jak zauważył organ nadzorczy, w niniejszym postępowaniu stan faktyczny, jak i prawny został ustalony i wyczerpująco wyjaśniony w oparciu o zgromadzony materiał dowodowy, w tym w oparciu o wyjaśnienia BIK i nie zachodziły co do niego jakiekolwiek wątpliwości, które mogłyby przesądzić o konieczności podjęcia współdziałania z innymi organami administracji publicznej. Na marginesie, organ nadzorczy wskazał, że rekomendacje KNF, na które powołuje się strona skarżąca, nie przewidują możliwości lub konieczności przetwarzania danych osobowych w zakresie zapytań kredytowych w przypadku odmowy zawarcia umowy z potencjalnym klientem.

Ustosunkowując się do powołanego w skardze zarzutu naruszenia art. 106d Prawa bankowego, organ nadzorczy wskazał, że stosownie do tego przepisu m.in. banki oraz BIK mogą przetwarzać i wzajemnie udostępniać informacje, w tym informacje objęte tajemnicą bankową, w przypadkach: powzięcia uzasadnionego podejrzenia, że zgromadzone na rachunku bankowym środki, w całości lub w części pochodzą lub mają związek z przestępstwem skarbowym lub przestępstwem innym niż przestępstwo, o którym mowa w art. 165a lub art. 299 Kodeksu karnego, uzasadnionych podejrzeń popełnienia przestępstw dokonywanych na szkodę banków, innych instytucji ustawowo upoważnionych do udzielania kredytów, instytucji kredytowych, instytucji finansowych, instytucji pożyczkowych oraz podmiotów, o których mowa w art. 59d ustawy z dnia 12 maja 2011 r. o kredycie konsumenckim, i ich klientów, w celu i zakresie niezbędnym do zapobiegania tym przestępstwom oraz wykonywania obowiązków w zakresie określonym w przepisach o przeciwdziałaniu praniu pieniędzy oraz finansowaniu terroryzmu. Tymczasem, jak podkreślił organ nadzorczy, zgromadzony materiał dowodowy w niniejszej sprawie nie wykazał, żeby któryś z powyższych przypadków miał miejsce. Organ nadzorczy zauważył w tym miejscu, że w myśl zasady rozliczalności, to na skarżącym BIK, jako administratorze danych, spoczywał obowiązek wykazania, że przetwarza dane w sposób zgodny z prawem i w prawnie usprawiedliwionym celu.

Ustosunkowując się do powołanych w skardze przepisów ustawy o przeciwdziałaniu praniu pieniędzy oraz finansowaniu terroryzmu, organ nadzorczy stwierdził, że skarżący BIK nie wykazał obowiązku przetwarzania danych osobowych wnioskodawcy w celu stosowania środków bezpieczeństwa. Organ nadzorczy uznał, że BIK nie wykazał przede wszystkim, aby w przedmiotowej sprawie zachodziła którakolwiek z przesłanek, która - w świetle przepisów cyt. ustawy - pozwalałaby zastosować stronie skarżącej środki bezpieczeństwa finansowego przewidziane w tej ustawie.

Organ nadzorczy uznał ponadto, że brak jest uzasadnienia dla przyjęcia, iż Bank, czy też skarżący BIK, byli uprawnieni do przetwarzania spornych danych osobowych w związku z koniecznością ewentualnego wypełnienia obowiązku wynikającego z art. 70a ust. 1 i ust. 2 Prawa bankowego. Prezes UODO wskazał, że skoro wnioskodawca zażądał usunięcia jego danych osobowych na podstawie art. 17 ust. 1 RODO, to dane należało usunąć, a konsekwencją złożenia wspomnianego żądania jest to, że udzielenie informacji, określonej w art. 70a ust. 1 i 2 Prawa bankowego, nie będzie możliwe, z czym osoba składająca do administratora danych wniosek o usunięcie tych danych musi się liczyć. W tej sytuacji, organ nadzorczy uznał zatem, że należało przyjąć, iż wnioskodawca nie jest zainteresowany realizacją prawa do wyjaśnienia dotyczącego dokonanej przez Bank oceny zdolności kredytowej, w myśl art. 70a ust. 1 i 2 Prawa bankowego, po usunięciu tych danych. Organ nadzorczy zauważył ponadto, że w niniejszej sprawie Bank w piśmie z dnia [...] stycznia 2021 r. poinformował Prezesa UODO o wykonaniu decyzji nakazującej Bankowi usunięcie danych osobowych wnioskodawcy przetwarzanych w związku z zapytaniem kredytowym z dnia [...] marca 2019 r.

Mając powyższe na względzie, Prezes UODO uznał, że w niniejszej sprawie brak jest celu uzasadniającego dalsze przetwarzanie zarówno przez Bank, jak i przez BIK danych osobowych wnioskodawcy zawartych w jego zapytaniach kredytowych.

Prezesa UODO stwierdził, że nie może mieć miejsca przetwarzanie danych osobowych związanych z zapytaniami kredytowymi, które nie zakończyły się przyznaniem kredytu, w oparciu o wskazany przez Bank i skarżący BIK przepis art. 6 ust. 1 lit. f RODO. Organ nadzorczy uznał bowiem, że takie działanie prowadziłoby do rozszerzającej wykładni art. 6 ust. 1 lit. f RODO w związku z art. 5 lit. e RODO., który stanowi, iż dane osobowe muszą być przechowywane w formie umożliwiającej identyfikację osoby, której dane dotyczą, przez okres nie dłuższy, niż jest to niezbędne do celów, w których dane te są przetwarzane.

Ponadto organ nadzorczy uznał, że zarówno Bank, jak i skarżący BIK, nie wskazały podstawy prawnej uprawniającej do przetwarzania danych osobowych wnioskodawcy w związku z zapytaniami kredytowymi, które nie zakończyły się przyznaniem kredytu, w oparciu o art. 6 ust. 1 lit. c RODO.

W piśmie procesowym z dnia [...] maja 2021 r. skarżący BIK, reprezentowany przez radcę prawnego, przedstawił replikę na odpowiedź Prezesa UODO na skargę udzieloną w piśmie z dnia [...] lutego 2021 r.

Z kolei w piśmie procesowym z dnia [...] czerwca 2021 r. Prezes Urzędu Ochrony Danych Osobowych, podtrzymując swoje dotychczasowe stanowisko wyrażone zarówno w zaskarżonej decyzji z dnia [...] grudnia 2020 r., jak i w odpowiedzi na skargę z dnia [...] lutego 2021 r., przedstawił duplikę na replikę strony skarżącej zawartą w piśmie procesowym z dnia [...] maja 2021 r. Organ nadzorczy podkreślił przede wszystkim, że w niniejszej sprawie brak jest celu uzasadniającego dalsze przetwarzanie danych osobowych wnioskodawcy zawartych w zapytaniach kredytowych. Według organu nadzorczego, w następstwie złożenia wniosków kredytowych przez wnioskodawcę, zarówno Bank, jak i skarżący BIK byli uprawnieni - w świetle art. 105a ust. 1 w zw. z art. 70 Prawa bankowego - do przetwarzania danych osobowych M.T. w celu oceny jego zdolności kredytowej. Niemniej, organ ponownie wskazał, że podziela stanowisko Naczelnego Sądu Administracyjnego wyrażone w wyroku z dnia 27 sierpnia 2019 r., sygn. akt I OSK 2567/17, w którym NSA uznał, że wątpliwości budzi dalsze przetwarzanie danych osobowych wnioskodawcy po dokonaniu oceny zdolności kredytowej i analizie ryzyka kredytowego w sytuacji, gdy ocena ta i analiza nie spowodowały zawarcia umowy kredytowej. Organ nadzorczy zauważył, że według NSA, zasadniczy problem dotyczy zatem wyłącznie dalszego okresu ich przetwarzania po odmowie udzielenia kredytu, albowiem celem oceny zdolności kredytowej i analizy ryzyka kredytowego w odniesieniu do konkretnego klienta jest zawarcie umowy kredytowej na określonych warunkach. Organ nadzorczy wskazał, że NSA uznał w konsekwencji, że skoro do niej nie dochodzi wskutek tej czynności banku, to nie ma podstaw prawnych do dalszego ich przechowywania. NSA miał stwierdzić jednocześnie, że skoro celem przetwarzania była ocena zdolności kredytowej i analizy ryzyka kredytowego, to cel ten odpadł z momentem jej dokonania. Prezes UODO zauważył ponadto, że NSA stwierdził we wskazanym orzeczeniu, iż w przypadku osób, z którymi zawarto umowę kredytową istnieje podstawa do dalszego ich przetwarzania, a w stosunku do tych, z którymi nie zawarto umowy takiej podstawy nie sposób wywieść ani z przepisów obowiązującej wówczas ustawy, ani z Prawa bankowego.

Organ nadzorczy uznał, że stanowisko powyższe jest aktualne w świetle przepisów RODO, które obligują administratora do wykazania tak podstawy prawnej, jak i celu przetwarzania danych osobowych.

Prezes UODO stwierdził, że nie może mieć miejsca przetwarzanie danych osobowych związanych z zapytaniami kredytowymi, które nie zakończyły się przyznaniem kredytu, w oparciu o wskazany przez Bank oraz skarżący BIK przepis art. 6 ust. 1 lit. f RODO. Takie działanie, zdaniem organu nadzorczego, prowadziłoby bowiem do rozszerzającej wykładni art. 6 ust. 1 lit. f RODO w związku z art. 5 ust. 1 lit. e RODO, który stanowi, iż dane osobowe muszą być przechowywane w formie umożliwiającej identyfikację osoby, której dane dotyczą, przez okres nie dłuższy, niż jest to niezbędne do celów, w których dane te są przetwarzane.

Ponadto, organ nadzorczy podtrzymał stanowisko, że zarówno Bank, jak i skarżący BIK, nie wskazały podstawy prawnej uprawniającej do przetwarzania danych osobowych wnioskodawcy w związku z zapytaniami kredytowymi, które nie zakończyły się przyznaniem kredytu, w oparciu o art. 6 ust. 1 lit. c RODO.

Wojewódzki Sąd Administracyjny w Warszawie zważył, co następuje.

Zgodnie z art. 1 § 1 i 2 ustawy z dnia 25 lipca 2002 r. - Prawo o ustroju sądów administracyjnych (tekst jednolity Dz. U. z 2021 r., poz. 137), sądy administracyjne sprawują wymiar sprawiedliwości przez kontrolę działalności administracji publicznej, przy czym kontrola ta sprawowana jest pod względem zgodności z prawem, jeżeli ustawy nie stanowią inaczej.

W świetle powołanych przepisów cyt. ustawy, Wojewódzki Sąd Administracyjny w Warszawie, w zakresie swojej właściwości, ocenia zaskarżoną decyzję administracyjną, postanowienie, czy też inny akt lub czynność z zakresu administracji publicznej dotyczącą uprawnień lub obowiązków wynikających z przepisów prawa, z punktu widzenia ich zgodności z prawem materialnym i przepisami postępowania administracyjnego, według stanu faktycznego i prawnego obowiązującego w dacie wydania tego aktu lub podjęcia spornej czynności. Chodzi więc o kontrolę aktów lub czynności z zakresu administracji publicznej dokonywaną wyłącznie pod względem ich zgodności z prawem materialnym i przepisami procesowymi, nie zaś według kryteriów słuszności, czy też zgodności z zasadami współżycia społecznego.

Ponadto, co wymaga podkreślenia, Sąd rozstrzyga w granicach danej sprawy, nie będąc jednak związany zarzutami i wnioskami skargi oraz powołaną podstawą prawną (vide: art. 134 § 1 ustawy z dnia 30 sierpnia 2002 r. - Prawo o postępowaniu przed sądami administracyjnymi - tekst jednolity Dz. U. z 2019 r., poz. 2325 ze zm. - dalej także: "P.p.s.a.").

Należy jednocześnie wyraźnie zaznaczyć, że od dnia wejścia w życie Traktatu Akcesyjnego z dnia 16 kwietnia 2003 r. (Dz. U. z 2004 r. Nr 90, poz. 864), na mocy którego Polska stała się państwem członkowskim Unii Europejskiej, kontrola sądu administracyjnego obejmuje również zgodność rozstrzygnięć organów administracji publicznej z prawem europejskim (prawem Unii Europejskiej), rozumianym, jako całokształt dorobku prawnego Unii Europejskiej (acquis communautaire), w tym zasad ogólnych prawa europejskiego, interpretowanych oraz stosowanych w sposób jednolity na całym obszarze Unii Europejskiej.

Należy zauważyć, że w tej sytuacji, Wojewódzki Sąd Administracyjny w Warszawie, dokonując oceny legalności zaskarżonej decyzji Prezesa Urzędu Ochrony Danych Osobowych, zobowiązany był - co do zasady - zbadać jej zgodność przede wszystkim z przepisami prawa europejskiego, w tym w szczególności z regulacjami zawartymi w rozporządzeniu Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych - zwane także: "RODO").

W ocenie Wojewódzkiego Sądu Administracyjnego w Warszawie, analizowana pod tym kątem skarga Biura Informacji Kredytowej S.A. z siedzibą w [...] zasługuje na uwzględnienie, albowiem zaskarżona decyzja Prezesa Urzędu Ochrony Danych Osobowych z dnia [...] grudnia 2020 r., w zaskarżonej części, a więc w zakresie, w którym organ nadzorczy nakazał skarżącemu BIK usunięcie danych osobowych M.T. przetwarzanych w związku z zapytaniem kredytowym z dnia [...] marca 2019 r. przekazanych przez Bank [...] z siedzibą w [...] (pkt 1 zaskarżonej decyzji) narusza w sposób istotny obowiązujące przepisy prawa.

Analizując niniejszą sprawę, Sąd doszedł bowiem do wniosku, że organ nadzorczy, wydając sporną decyzję administracyjną, dopuścił się - mogącego mieć zasadniczy wpływ na wynik sprawy - naruszenia przepisów procedury administracyjnej, w szczególności art. 7 k.p.a., art. 77 § 1 k.p.a. i art. 80 k.p.a. w zw. z art. 7 ust. 1 ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych (tekst jednolity Dz. U. z 2019 r., poz. 1781), które to naruszenie polegało przede wszystkim na niewyczerpującym zebraniu i rozpatrzeniu całego materiału dowodowego i niepodjęciu wszelkich kroków niezbędnych do dokładnego wyjaśnienia stanu faktycznego i załatwienia sprawy, co w konsekwencji skutkowało nieuzasadnionym wydaniem przez organ nadzorczy nakazu usunięcia przez stronę skarżącą danych osobowych M.T. w zakresie zapytania kredytowego z dnia [...] marca 2019 r., przekazanych przez Bank [...] z siedzibą w [...].

Ponadto, w ocenie Sądu, organ nadzorczy w toku postępowania wyjaśniającego zaniechał współdziałania z Komisją Nadzoru Finansowego, jako organem właściwym w sprawach związanych m.in. z badaniem zdolności kredytowej i analizą ryzyka kredytowego, a także budową modeli scoringowych w zakresie wykorzystywania do realizacji tych zadań danych, w tym danych osobowych o niezrealizowanych zapytaniach kredytowych, co w konsekwencji doprowadziło do naruszenia przepisu art. 7b k.p.a. w zw. z art. 7 ust. 1 ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych, a tym samym niedokładnego wyjaśnienia stanu faktycznego i prawnego koniecznego do podjęcia przez Prezesa UODO stosownych czynności nadzorczych na podstawie wyczerpująco zebranego i rozpatrzonego materiału dowodowego. Według Sądu, naruszenie to mogło mieć o tyle istotny wpływ na wynik sprawy, o ile weźmie się pod uwagę fakt, iż - wbrew wyraźnym zastrzeżeniom zgłaszanym przez stronę skarżącą - organ nadzorczy nie przeprowadził, w ramach stosownej konsultacji z Komisją Nadzoru Finansowego, jakiejkolwiek analizy, czy rekomendacje KNF, na które powoływała się strona skarżąca, a które nakładają na banki, a w konsekwencji również na skarżący BIK, określone wymagania, mogą świadczyć o legitymowaniu się przez skarżący BIK przesłanką przetwarzania danych wynikającą z art. 6 ust. 1 lit. f RODO.

Niemniej, według składu Sądu orzekającego w niniejszej sprawie, uznać należy, że niezależnie od wskazanych powyżej uchybień proceduralnych, Prezes UODO dopuścił się przede wszystkim istotnego naruszenia przepisów prawa materialnego, w tym w szczególności naruszenia art. 6 ust. 1 lit. c RODO w zw. z art. 105 ust. 4 ustawy z dnia 29 sierpnia 1997 r. - Prawo bankowe, które polegało na ich niewłaściwym zastosowaniu i w konsekwencji nieuzasadnionym przyjęciu w zaskarżonej decyzji, że skarżący BIK nie legitymuje się przesłanką przetwarzania danych wynikającą z art. 6 ust. 1 lit. c RODO w związku z art. 105 ust. 4 Prawa bankowego, gdy tymczasem, z przepisu tego wynika obowiązek przetwarzania przez stronę skarżącą danych osobowych, w tym danych z zapytań kredytowych przekazanych przez banki i inne instytucje wymienione w art. 105 ust. 4 Prawa bankowego w zakresie, w jakim informacje te potrzebne są bankom do wykonywania czynności bankowych, w tym oceny zdolności kredytowej i analizy ryzyka kredytowego oraz innym instytucjom (instytucjom pożyczkowym) w zakresie niezbędnym do oceny zdolności kredytowej i analizy ryzyka kredytowego.

Jednocześnie, Sąd stwierdził, że Prezes UODO, wydając zaskarżoną decyzję z dnia [...] grudnia 2020 r., dopuścił się istotnego naruszenia art. 6 ust. 1 lit. c RODO również w ten sposób, że niezasadnie przyjął, że strona skarżąca nie legitymuje się przesłanką przetwarzania danych wynikającą z tego przepisu, gdy tymczasem skarżący BIK zasadnie wykazał w toku postępowania, powołując się na przepisy art. 105a ust. 1-1c ustawy z dnia 29 sierpnia 1997 r. - Prawo bankowe, że w jego przypadku cel przetwarzania danych osobowych polega na przekazywaniu bankom, w tym Bankowi [...]., który był stroną postępowania przed organem nadzorczym, informacji niezbędnych do oceny zdolności kredytowej i analizy ryzyka kredytowego.

Ponadto, w wyniku analizy legalności spornej decyzji organu nadzorczego, Wojewódzki Sąd Administracyjny w Warszawie uznał, że Prezes UODO, nakładając na skarżący BIK obowiązek usunięcia danych osobowych M.T. przekazanych przez Bank, dopuścił się naruszenia art. 6 ust. 1 lit. f RODO w związku z art. 117 § 2 i § 21 , art. 118 i art. 119 ustawy z dnia 23 kwietnia 1964 r. - Kodeks cywilny, które to naruszenie polegało na niewłaściwym zastosowaniu wspomnianych przepisów i w konsekwencji nieuzasadnionym przyjęciu, że przechowywanie wspomnianych danych przez okres przedawnienia roszczeń, również w przypadku, gdy ani administrator ani osoba, której dane dotyczą, nie zgłosiła jeszcze roszczenia, nie stanowi prawnie uzasadnionego interesu skarżącego BIK oraz Banku, w rozumieniu art. 6 ust. 1 lit. f RODO, gdy tymczasem przepisy te - w ocenie Sądu - uprawniają zarówno stronę skarżącą, jak i Bank do przetwarzania danych osobowych w celu ustalenia, dochodzenia i ochrony przed roszczeniami.

Tym samym, Sąd uznał, że Prezes Urzędu Ochrony Danych Osobowych, wydając sporną decyzję administracyjną - dopuścił się w powyższym zakresie istotnego naruszenia zasady praworządności wyrażonej w przepisach art. 6 k.p.a. i art. 7 in principio k.p.a. w zw. z art. 7 ust. 1 ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych oraz art. 7 Konstytucji RP.

Przechodząc do oceny legalności spornej decyzji Prezesa UODO, należy zauważyć na wstępie, że przedmiotem sporu w niniejszej sprawie była kwestia prawidłowości ustaleń organu nadzorczego w zakresie legitymowania się przez skarżący BIK, jako administratora danych, przesłanką uprawniającą - w świetle przepisów RODO - do przetwarzania danych osobowych M.T., które przekazane zostały stronie skarżącej przez Bank [...] z siedzibą w [...] w związku z zapytaniem kredytowym z dnia [...] marca 2019 r., a w konsekwencji ocena zasadności podjęcia wobec strony skarżącej prawnie wiążącego środka naprawczego, o którym mowa w art. 58 ust. 2 lit. c RODO.

W niniejszej sprawie Prezes UODO, wydając zaskarżoną decyzję, stwierdził, iż w trakcie prowadzonego postępowania ustalono, że skarżący BIK, będąc administratorem danych, nie legitymował się ważną przesłanką legalizującą dalsze przetwarzanie danych osobowych M.T.. Organ nadzorczy uznał w konsekwencji, że skoro strona skarżąca przetwarza wspomniane dane osobowe z naruszeniem przepisów RODO, to tym samym w przedmiotowej sprawie zachodzi podstawa prawna do spełnienia żądania wnoszącego skargę w zakresie wydania wobec administratora danych nakazu, o którym mowa w art. 58 ust. 2 lit. c RODO, czyli nakazu usunięcia danych osobowych.

W ocenie Sądu, uznać należy jednak, iż dokonując powyższych ustaleń, organ nadzorczy dopuścił się istotnego naruszenia prawa.

Należy wyraźnie wskazać, że Prezes Urzędu Ochrony Danych Osobowych jest organem właściwym w sprawie ochrony danych osobowych (art. 34 ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych) i jednocześnie organem nadzorczym, w rozumieniu rozporządzenia 2016/679 (art. 34 ust. 2 u.o.d.o.).

Jak stanowi art. 57 ust. 1 lit. a i lit. f RODO, bez uszczerbku dla innych zadań określonych na mocy niniejszego rozporządzenia, każdy organ nadzorczy na swoim terytorium monitoruje i egzekwuje stosowanie niniejszego rozporządzenia, a także rozpatruje skargi wniesione przez osobę, której dane dotyczą.

Nie ulega wątpliwości, że rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) stanowi kompleksową regulację dotyczącą ochrony danych osobowych, która nie wymaga implementacji ustawą krajową, aby mogła być stosowana w danym państwie.

Jednocześnie, państwom członkowskim Unii Europejskiej pozostawiono jednak pewien zakres swobody w zakresie regulacji na poziomie krajowym, aby niektóre zagadnienia doprecyzować (np. w przypadku organu nadzorczego, czy odpowiedzialności za naruszenie zasad ochrony danych osobowych), czy też dostosować zasady wprowadzone przez RODO do innych obowiązujących w danym porządku prawnym zasad.

Ze wskazanych wyżej przepisów art. 57 ust. 1 lit. a i lit. f RODO wynika m.in., iż procedura, w ramach której prowadzone są postępowania zainicjowane skargą wniesioną przez osobę, której dane dotyczą, określana jest przez poszczególne państwa członkowskie Unii Europejskiej. Pozostawienie w tym zakresie państwom członkowskim autonomii jest wyrazem realizacji zasady autonomii proceduralnej państw członkowskich. W tej sytuacji, skargi są wnoszone i rozpatrywane na podstawie przepisów proceduralnych obowiązujących w danym państwie członkowskim UE.

Art. 60 ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych stanowi, że postępowanie w sprawie naruszenia przepisów o ochronie danych osobowych, zwane dalej "postępowaniem", jest prowadzone przez Prezesa Urzędu.

Nie ulega wątpliwości, że postępowanie w sprawie naruszenia przepisów o ochronie danych jest jednym z postępowań administracyjnych przed Prezesem Urzędu Ochrony Danych Osobowych. O takim jego charakterze rozstrzyga art. 7 ust. 1 ustawy o ochronie danych osobowych, który postępowanie z rozdziału 7 kwalifikuje jako administracyjne i przewiduje w sprawach w niej nieuregulowanych stosowanie do tego postępowania Kodeksu postępowania administracyjnego. Warto przy tym zauważyć, że ustawodawca w art. 7 ust. 1 cyt. ustawy nie przewiduje stosowania odpowiedniego, oznacza to zatem stosowanie przepisów ogólnej procedury administracyjnej wprost, z modyfikacjami wynikającymi z regulacji ustawy o ochronie danych osobowych.

Użyte w art. 60 u.o.d.o. określenie "naruszenie przepisów o ochronie danych osobowych" ma zakres szeroki i obejmuje naruszenia wszystkich przepisów o ochronie danych, zarówno zawartych w unijnym rozporządzeniu, jak i w przepisach krajowych, które uzupełniają lub modyfikują regulacje unijne.

Zgodnie z art. 7 ust. 1 u.o.d.o., w sprawach nieuregulowanych w ustawie do postępowań administracyjnych przed Prezesem Urzędu Ochrony Danych Osobowych, o których mowa w rozdziale 4-7 i 11 (a więc również w rozdziale 7 dotyczącym postępowania w sprawie naruszenia przepisów o ochronie danych osobowych), stosuje się przepisy Kodeksu postępowania administracyjnego.

Zdaniem Sądu, nie ulega wątpliwości, że związanie rygorami procedury administracyjnej oznacza, iż Prezes UODO jest obowiązany m.in. do przestrzegania zasady pogłębiania zaufania obywateli do organów praworządnego Państwa (art. 8 § 1 k.p.a.). W tej sytuacji, organ nadzorczy, uwzględniając powyższą zasadę, zobowiązany jest przede wszystkim dokładnie wyjaśnić okoliczności sprawy, konkretnie ustosunkować się do żądań i twierdzeń strony skarżącej oraz uwzględnić w decyzji zarówno interes społeczny, jak i słuszny interes strony skarżącej. Organ nadzorczy jest ponadto obowiązany w sposób wyczerpujący zebrać i ocenić cały materiał dowodowy (art. 7, art. 77 § 1 i art. 80 k.p.a.) oraz uzasadnić swoje rozstrzygnięcie według wymagań określonych w przepisie art. 107 § 3 k.p.a.

Jeżeli zatem określona osoba zgłasza Prezesowi Urzędu Ochrony Danych Osobowych nieprawidłowości w zakresie przetwarzania swoich danych osobowych, organ ten jest zobligowany do wszczęcia postępowania wyjaśniającego, którego zadaniem jest ustalenie, czy dane osobowe są w istocie przetwarzane, a jeżeli tak, to w jakim celu i czy proces ten następuje z poszanowaniem przepisów zarówno RODO, jak i ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych.

Taka sytuacja miała miejsce w rozpoznawanej sprawie.

Otóż, Prezes Urzędu Ochrony Danych Osobowych, rozpatrując skargę M.T. z dnia [...] stycznia 2020 r., zobowiązany był dokonać oceny, czy w sprawie doszło w ogóle do przetwarzania danych osobowych wnoszącego skargę, a w konsekwencji, czy ewentualnie sporne przetwarzanie - o ile do niego rzeczywiście doszło - było zgodne z prawem, przy jednoczesnym uwzględnieniu okoliczności przetwarzania tych danych, jeśli miało ono miejsce, a także przy uwzględnieniu całokształtu zgromadzonego w sprawie materiału dowodowego oraz w kontekście odpowiednio zastosowanych przepisów prawa, w tym przede wszystkim przepisów RODO oraz ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych.

Należy zauważyć, iż w świetle przepisu art. 4 pkt 2 RODO, przez "przetwarzanie" rozumie się operację lub zestaw operacji wykonywanych na danych osobowych lub zestawach danych osobowych w sposób zautomatyzowany lub niezautomatyzowany, takie jak zbieranie, utrwalanie, organizowanie, porządkowanie, przechowywanie, adaptowanie lub modyfikowanie, pobieranie, przeglądanie, wykorzystywanie, ujawnianie poprzez przesłanie, rozpowszechnianie lub innego rodzaju udostępnianie, dopasowywanie lub łączenie, ograniczanie, usuwanie lub niszczenie.

W tej sytuacji, mając na względzie powyższą definicję przetwarzania, Prezes Urzędu Ochrony Danych Osobowych, jako organ nadzorczy, zobowiązany był, analizując wniesioną w dniu [...] stycznia 2020 r. skargę, przeprowadzić stosowne postępowanie wyjaśniające i na podstawie całokształtu zgromadzonego materiału dowodowego ustalić, czy powoływane przez wnoszącego skargę naruszenia praw wynikających z RODO zostały udowodnione.

Z uwagi na fakt, iż zarówno RODO, jak i ustawa o ochronie danych osobowych nie regulują kwestii postępowania dowodowego i powinności organu nadzorczego związanych z czynieniem ustaleń faktycznych, zastosowanie w tym zakresie znajdują reguły i zasady określone w Kodeksie postępowania administracyjnego.

Organ nadzorczy, rozstrzygając sprawę zainicjowaną wspomnianą skargą M.T., zobowiązany był więc uwzględnić fakt, iż dowodami w postępowaniu mogą być w szczególności dokumenty, zeznania świadków, opinie biegłych oraz oględziny (art. 75 § 1 k.p.a.).

Celem postępowania administracyjnego jest rozstrzygnięcie sprawy administracyjnej dotyczącej konkretnie wskazanego adresata. Jednym ze stadiów postępowania jest stadium wyjaśniające - pozwalające ustalić dokładny stan faktyczny w danej sprawie. W wyniku postępowania wyjaśniającego organ administracji publicznej ma dojść do wskazanej w art. 7 k.p.a. prawdy obiektywnej, co czyni za pomocą środków dowodowych.

Warto przy tym zauważyć, że Kodeks postępowania administracyjnego nie wskazuje dowodów "mocniejszych" oraz "słabszych", przyjmując zasadę równej mocy środków dowodowych.

Kodeks postępowania administracyjnego nie określa również zamkniętego katalogu środków dowodowych, jakie mogą być stosowane w toku postępowania administracyjnego. Ustawodawca posłużył się jedynie przykładowym wyliczeniem, wskazując, że w szczególności mogą nimi być dokumenty, zeznania świadków, opinie biegłych oraz oględziny. Jako dowód może natomiast posłużyć wszystko, co jest zgodne z prawem i może przyczynić się do wyjaśnienia sprawy. Należy podkreślić, że chodzi tu o sprzeczność zarówno z prawem materialnym, jak i proceduralnym. Przyjęta w art. 75 § 1 k.p.a. koncepcja wskazuje, że wymienione przykładowo w tym przepisie dowody powinny zostać uznane za podstawowe i najczęściej stosowane w postępowaniu administracyjnym.

Warto jednocześnie zauważyć, że o ile postępowanie w sprawie naruszenia przepisów o ochronie danych osobowych, którego dotyczy rozdział 7 ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych, jest postępowaniem administracyjnym, do którego na podstawie art. 7 ust. 1 u.o.d.o. znajdują zastosowanie przepisy Kodeksu postępowania administracyjnego i w ramach którego to postępowania prowadzący je organ jest związany kodeksowymi standardami prowadzenia postępowania wyjaśniającego, o tyle Prezes UODO, jako organ nadzorczy, może ponadto skorzystać z możliwość posłużenia się w procesie gromadzenia dowodów takim instrumentem, jakim jest przeprowadzenie kontroli przestrzegania przepisów, o której mowa w art. 68 ust. 1 u.o.d.o.

Zgodnie z art. 68 ust. 1 u.o.d.o., jeżeli w toku postępowania zajdzie konieczność uzupełnienia dowodów, Prezes Urzędu może przeprowadzić postępowanie kontrolne.

Wspomniany przepis art. 68 ust. 1 u.o.d.o. pozwala organowi nadzorczemu dopuścić, jako dowód, materiały uzyskane w rezultacie przeprowadzonej kontroli. W ramach tego postępowania, kontrolujący ustala stan faktyczny na podstawie dowodów zabranych w postępowaniu kontrolnym, a w szczególności dokumentów, przedmiotów, oględzin oraz ustnych lub pisemnych wyjaśnień i oświadczeń (art. 87 u.o.d.o.). Kontrolujący może także przesłuchać w charakterze świadka pracownika kontrolowanego (art. 86 ust. 1 u.o.d.o.).

W tym miejscu, należy oczywiście wyraźnie zauważyć, że postępowanie kontrolne jest postępowaniem odrębnie uregulowanym w ustawie, nie mają do niego zastosowania przepisy Kodeksu postępowania administracyjnego, albowiem art. 7 ust. 1 u.o.d.o. nie wymienia postępowania uregulowanego w rozdziale 9 cyt. ustawy. Niemniej jednak, wskazać trzeba, że zebrany w toku kontroli materiał dowodowy będzie materiałem podlegającym ocenie w postępowaniu, dla potrzeb którego został zebrany, czyli postępowaniu o charakterze administracyjnym, do którego zastosowanie znajdują przepisy Kodeksu postępowania administracyjnego i zgodnie z kodeksowymi zasadami oceny materiału dowodowego (tak również: Iwona Bogucka /w:/ Ustawa o ochronie danych osobowych. Komentarz, pod red. dr. Dominika Lubasza, WKP 2019, teza 4 komentarza do art. 68 u.o.d.o.).

Mając na względzie powyższe, należy zauważyć, że Prezes UODO, przeprowadzając sporne postępowanie wyjaśniające bez wykorzystania wszelkich możliwych instrumentów prawnych, jakie dawała mu ustawa o ochronie danych osobowych, uzasadniając swoje stanowisko w decyzji z dnia [...] grudnia 2020 r., przyjął, że strona skarżąca nie legitymuje się przesłanką przetwarzania danych wynikającą z art. 6 ust. 1 RODO.

Tymczasem, skarżący BIK wskazał wyraźnie w skierowanej do Sądu skardze, że organ nadzorczy pominął szereg okoliczności istotnych dla prawidłowego rozpatrzenia sprawy zainicjowanej w dniu [...] stycznia 2020 r. skargą M.T..

Według Sądu, Prezes UODO nie zbadał wszystkich podstaw prawnych dalszego przetwarzania danych o zapytaniach kredytowych, pomimo, iż przepisy prawa upoważniają skarżący BIK, a także Bank do przetwarzania tych danych również w sytuacji, gdy kredytu nie udzielono.

Mając na uwadze powyższe, należy zgodzić się ze stroną skarżącą, że zaskarżona decyzja została wydana przez organ nadzorczy z naruszeniem obowiązku podjęcia wszelkich czynności niezbędnych do dokładnego wyjaśnienia stanu faktycznego oraz do załatwienia sprawy, o którym mowa w art. 7 k.p.a., jak również obowiązku, by w sposób wyczerpujący zebrać i rozpatrzyć cały materiał dowodowy, o którym mowa w art. 77 § 1 k.p.a., co w konsekwencji doprowadziło do niesłusznego nakazania stronie skarżącej usunięcia danych osobowych wobec braku podstawy prawnej do ich dalszego przetwarzania.

Ponadto, należy - w ocenie Sądu - zauważyć, że w świetle art. 7b k.p.a., organy administracji publicznej są obowiązane do współdziałania w celu "dokładnego wyjaśnienia stanu faktycznego i prawnego sprawy" w niezbędnym do tego zakresie. Chodzi tu zatem o współdziałanie organu prowadzącego postępowanie administracyjne z innymi organami administracji publicznej, które mają informacje lub środki mogące przyczynić się do "wyjaśnienia stanu faktycznego i prawnego sprawy" administracyjnej. Ciężar wyjaśnienia stanu faktycznego i prawnego sprawy ciąży niewątpliwie na organie prowadzącym postępowanie, i to ten organ jest obowiązany podejmować inicjatywę współdziałania, zwracając się do odpowiednich organów administracji publicznej o udostępnienie posiadanych przez nie informacji, danych itd., które przyczynią się do dokładnego wyjaśnienia stanu faktycznego i prawnego sprawy. Udostępnianie danych, przekazywanie informacji i wyjaśnień oraz podejmowanie innych czynności w ramach współdziałania jest obowiązkiem organów administracji publicznej, chyba że stoją temu na przeszkodzie wyraźne przepisy prawa. Należy również przyjąć, że organ prowadzący postępowanie jest obowiązany zwracać się w tym celu do właściwych organów administracji publicznej z odpowiednimi wnioskami i żądaniami, jeżeli poweźmie przypuszczenie, że posiadane przez te organy dane i informacje lub inne środki mogą przyczynić się do "dokładnego wyjaśnienia stanu faktycznego i prawnego sprawy" (por. m.in. A. Wróbel /w:/ M. Jaśkowska, M. Wilbrandt-Gotowicz, A. Wróbel, Komentarz aktualizowany do Kodeksu postępowania administracyjnego, LEX/el. 2021, komentarz do art. 7b k.p.a.).

Mając powyższe na uwadze, a także uwzględniając fakt, iż w niniejszej sprawie wymagana była również znajomość obowiązków spoczywających na bankach i Biurze Informacji Kredytowej, wynikających zarówno z przepisów Prawa bankowego, jak i działań oraz oczekiwań organu nadzorczego, jakim jest Komisja Nadzoru Finansowego, które wyartykułowane zostały m.in. w powołanych przez stronę skarżącą rekomendacjach wydawanych przez KNF dla sektora bankowego, uznać należy, że Prezes UODO powinien był, badając cele przetwarzania danych po stronie Banku i skarżącego BIK, zwrócić się do KNF o wyjaśnienia w zakresie obowiązków regulacyjnych tych podmiotów, czego jednak nie uczynił, wypowiadając się arbitralnie w materii merytorycznie właściwej innemu organowi nadzorczemu, w tym wypadku Komisji Nadzoru Finansowego. Tymczasem, jak słusznie zauważyła strona skarżąca, organ nadzorczy - uwzględniając interes społeczny oraz słuszny interes obywateli, o którym mowa w art. 7b k.p.a. - powinien był wziąć pod uwagę to, iż poprawne działanie modeli służących ocenie osób wnioskujących o kredyt służy w pierwszej kolejności ochronie interesów depozytariuszy, a więc obywateli, którzy powierzyli swoje środki bankom. W tej sytuacji, zdaniem Sądu, uznać należy, że brak współdziałania Prezesa UODO z KNF, mogło mieć istotny wpływ na wynik sprawy, doprowadzając w konsekwencji - poprzez zastosowanie środka nadzorczego, o którym mowa w art. 58 ust. 2 lit. c RODO - do sytuacji, w której brak możliwości weryfikacji osoby w oparciu o wszystkie dane niezbędne do tego celu godziłoby niewątpliwie w interes społeczny.

W tej sytuacji, Sąd uznał, iż uzasadnione są zarzuty naruszenia przez organ nadzorczy wskazanych wyżej przepisów art. 7, art. 77 § 1 i art. 80 7 k.p.a., a także art. 7b k.p.a. w związku z art. 7 ust. 1 ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych, albowiem sporna decyzja wydana została na podstawie niewystarczającego materiału dowodowego zebranego w sprawie w sposób niepozwalający na dokładne wyjaśnienie stanu faktycznego i w konsekwencji prawidłowe rozpoznanie złożonej w dniu [...] stycznia 2020 r. skargi M.T..

Wojewódzki Sąd Administracyjny w Warszawie uznał tym samym, że Prezes UODO, wydając sporną decyzję, dopuścił się naruszenia polegającego na przekroczeniu granic swobodnej oceny dowodów i w konsekwencji - błędnym przyjęciu, że z zebranego w sprawie materiału dowodowego wynika jednoznacznie, iż skarżący BIK, jako administrator danych, nie dysponował podstawą prawną do dalszego przetwarzania danych osobowych M.T..

Jednakże, należy wyraźnie podkreślić, iż niezależnie od powyższych uchybień, Sąd uznał, że wydając zaskarżoną decyzję administracyjną z dnia [...] grudnia 2020 r., Prezes UODO w sposób nieprawidłowy zastosował przede wszystkim przepisy prawa materialnego.

Otóż, Sąd uznał, że organ nadzorczy naruszył przepisy art. 6 ust. 1 lit. c RODO w zw. z art. 105 ust. 4 ustawy z dnia 29 sierpnia 1997 r. - Prawo bankowe, z uwagi na ich niewłaściwe zastosowanie i w konsekwencji nieuzasadnione przyjęcie w zaskarżonej decyzji, że skarżący BIK nie legitymuje się przesłanką przetwarzania danych wynikającą z art. 6 ust. 1 lit. c RODO w związku z art. 105 ust. 4 Prawa bankowego, gdy tymczasem, jak zasadnie wykazała strona skarżąca, z przepisu tego wynika obowiązek przetwarzania przez Biuro Informacji Kredytowej danych osobowych, w tym danych z zapytań kredytowych przekazanych przez banki i inne instytucje wymienione w art. 105 ust. 4 Prawa bankowego w zakresie, w jakim informacje te potrzebne są bankom do wykonywania czynności bankowych, w tym oceny zdolności kredytowej i analizy ryzyka kredytowego oraz innym instytucjom (instytucjom pożyczkowym) w zakresie niezbędnym do oceny zdolności kredytowej i analizy ryzyka kredytowego.

Art. 6 ust. 1 lit. c RODO stanowi, że przetwarzanie jest zgodne z prawem w przypadku, gdy jest niezbędne do wypełnienia obowiązku prawnego ciążącego na administratorze.

Przepis art. 6 ust. 1 lit. c RODO samodzielnie nie stanowi podstawy legalizacyjnej przetwarzania, należy bowiem go odnieść do odpowiedniego przepisu prawa, któremu podlega administrator. Zazwyczaj będzie to przepis prawa krajowego, choć w rachubę mogą tu wchodzić także przepisy prawa unijnego, a nawet przepisy RODO.

Zgodnie z tym przepisem, przetwarzanie powinno być niezbędne do wypełnienia obowiązku prawnego ciążącego na administratorze.

RODO nie nakłada wymogu, aby dla każdego indywidualnego przetwarzania istniało szczegółowe uregulowanie prawne. Wystarczyć może to, że dane uregulowanie prawne stanowi podstawę różnych operacji przetwarzania wynikających z obowiązku prawnego, któremu podlega administrator, lub że przetwarzanie jest niezbędne do wykonania zadania realizowanego w interesie publicznym (tak m.in. /w:/ Ogólne rozporządzenie o ochronie danych osobowych. Komentarz, pod red. M. Sakowskiej-Baryła, wyd. 1, Wydawnictwo C.H. Beck, Warszawa 2018).

Jak słusznie zauważyła strona skarżąca, art. 105 ust. 4 ustawy z dnia 29 sierpnia 1997 r. - Prawo bankowe stanowi nie tylko upoważnienie do stworzenia takiego podmiotu, jak BIK, ale jest również podstawą do przetwarzania informacji objętych tajemnicą bankową, w tym danych osobowych przez sam BIK.

Uznać należy, że art. 105 ust. 4 cyt. ustawy wyznacza w istocie cele dalszego przetwarzania danych o klientach banków i osobach chcących skorzystać z produktów bankowych. Nie ulega jednocześnie wątpliwości, że skarżący BIK, jako instytucja powołana na podstawie tego przepisu, służy realizacji tych celów. Przepis ten stanowi prostą konsekwencję nałożonego na banki w art. 105 ust. 1 Prawa bankowego obowiązku wymiany między nimi informacji stanowiących tajemnicę bankową w zakresie, w jakim informacje te są niezbędne w związku z wykonywaniem czynności bankowych oraz nabywaniem i zbywaniem wierzytelności. W tym właśnie celu banki - w oparciu o art. 105 ust. 4 cyt. ustawy - powołały instytucję taką jak BIK, aby za pośrednictwem stworzonego przez BIK systemu wymiany danych móc "centralnie" takie dane wymieniać, co miało się przyczynić do przyspieszenia procedur kredytowych i obsługi klienta w tym zakresie. Tymczasem, jak słusznie zauważyła strona skarżąca, przyjęcie jako właściwego stanowiska organu nadzorczego mogłoby doprowadzić do zakwestionowania wymiany jakichkolwiek informacji.

W tej sytuacji, należy uznać, że właściwą podstawą przetwarzania danych dla wypełnienia obowiązków wynikających z przepisów Prawa bankowego jest przepis art. 6 ust. 1 lit c RODO w związku z art. 105 ust. 4 Prawa bankowego.

Jednocześnie, Sąd stwierdził, że Prezes UODO, wydając zaskarżoną decyzję z dnia [...] grudnia 2020 r., dopuścił się istotnego naruszenia art. 6 ust. 1 lit. c RODO również w ten sposób, że niezasadnie przyjął, że strona skarżąca nie legitymuje się przesłanką przetwarzania danych wynikającą z tego przepisu, gdy tymczasem skarżący BIK zasadnie wykazał w toku postępowania, powołując się na przepisy art. 105a ust. 1-1c Prawa bankowego, że w jego przypadku cel przetwarzania danych osobowych polega na przekazywaniu bankom, w tym Bankowi [...]., który był stroną postępowania przed organem nadzorczym, informacji niezbędnych do oceny zdolności kredytowej i analizy ryzyka kredytowego.

Według Sądu, nieuzasadnione jest kwestionowanie przedstawionej przez skarżący BIK podstawy przetwarzania danych poprzez wskazanie na fakt, iż umowa kredytowa nie została zawarta. Nie można zgodzić się z organem nadzorczym, że okoliczność ta jest równoznaczna z wygaśnięciem podstawy do przetwarzania danych, o której mowa w art. 6 ust. 1 lit. c RODO w zw. z art. 105a ust. 1-1c Prawa bankowego. Prezes UODO nie wziął pod uwagę podnoszonego przez stronę skarżącą sposobu funkcjonowania systemu oceny zdolności kredytowej i analizy ryzyka kredytowego, pomimo, iż skarżący BIK wyraźnie wskazał, w jaki sposób wykonywanie oceny i analizy wiąże się z koniecznością przetwarzania danych również po otrzymaniu przez wnioskodawcę decyzji odmownej. Zdaniem Sądu, uznać należy w konsekwencji, że - wbrew stanowisku organu nadzorczego - obowiązki wynikające z art. 105a ust. 1-1c Prawa bankowego nie przestają istnieć wraz z wydaniem decyzji odmownej osobie wnioskującej o kredyt, a co za tym idzie są w dalszym ciągu objęte obowiązkiem przetwarzania danych w celu oceny zdolności kredytowej i analizy ryzyka kredytowego.

Ponadto, Wojewódzki Sąd Administracyjny w Warszawie uznał, że Prezes UODO, nakładając na skarżący BIK obowiązek usunięcia danych osobowych M.T. przekazanych przez Bank, dopuścił się naruszenia art. 6 ust. 1 lit. f RODO w związku z art. 117 § 2 i § 21 , art. 118 i art. 119 ustawy z dnia 23 kwietnia 1964 r. - Kodeks cywilny, które to naruszenie polegało na niewłaściwym zastosowaniu wspomnianych przepisów i w konsekwencji nieuzasadnionym przyjęciu, że przechowywanie wspomnianych danych przez okres przedawnienia roszczeń, również w przypadku, gdy ani administrator ani osoba, której dane dotyczą, nie zgłosiła jeszcze roszczenia, nie stanowi prawnie uzasadnionego interesu skarżącego BIK oraz Banku, w rozumieniu art. 6 ust. 1 lit. f RODO, gdy tymczasem przepisy te - w ocenie Sądu - uprawniają zarówno stronę skarżącą, jak i Bank do przetwarzania danych osobowych w celu ustalenia, dochodzenia i ochrony przed roszczeniami.

Art. 6 ust. 1 lit. f RODO stanowi, że przetwarzanie jest zgodne z prawem w przypadku, gdy jest niezbędne do celów wynikających z prawnie uzasadnionych interesów realizowanych przez administratora lub przez stronę trzecią, z wyjątkiem sytuacji, w których nadrzędny charakter wobec tych interesów mają interesy lub podstawowe prawa i wolności osoby, której dane dotyczą, wymagające ochrony danych osobowych, w szczególności, gdy osoba, której dane dotyczą, jest dzieckiem.

Przyjmuje się w doktrynie, że przesłanka legalizująca przetwarzanie danych osobowych zawarta w tym przepisie przyjmuje charakter swoistej klauzuli generalnej, która zwiększa elastyczność katalogu zawartego w art. 6 ust. 1 RODO.

Stosowanie tego przepisu następuje dwuetapowo. Przede wszystkim oparcie przetwarzania danych osobowych na przepisie art. 6 ust. 1 lit. f RODO wymaga kumulatywnego spełnienia dwóch przesłanek. Po pierwsze, musi występować prawnie uzasadniony interes, który jest realizowany przez administratora lub przez stronę trzecią. Po drugie, niezbędna jest weryfikacja, czy przetwarzanie danych osobowych jest niezbędne dla realizacji celu wynikającego z powyższego interesu. W drugim etapie trzeba natomiast ocenić, czy nie jest spełniona przesłanka o charakterze negatywnym w postaci występowania w danym stanie faktycznym interesów lub podstawowych praw i wolności podmiotu danych, które mają charakter nadrzędny wobec prawnie uzasadnionych interesów administratora lub strony trzeciej. W przypadku spełnienia tego warunku nie będzie można powołać się na przepis art. 6 ust. 1 lit. f, jako uzasadnienie dla przetwarzania danych osobowych. Stosowanie tej negatywnej przesłanki polega w istocie na wyważeniu dwóch dóbr chronionych prawem, tj. prawnie uzasadnionego interesu administratora lub strony trzeciej z jednej strony i interesów, podstawowych praw oraz wolności podmiotu danych z drugiej.

Prawnie uzasadniony interes trzeba rozumieć nie jako interes wynikający z przepisów prawa, lecz jako interes, który jest zgodny z prawem. Owa zgodność z prawem stanowi ograniczenie pojęcia interesu administratora lub strony trzeciej jako potencjalnej podstawy do przetwarzania danych osobowych.

W doktrynie przyjmuje się, że wykładnia pojęcia prawnie uzasadnionego interesu powinna być szeroka i obejmować interesy gospodarcze, faktyczne, czy też prawne (por. m.in. D. Lubasz i W. Chomiczewski /w:/ E. Bielak-Jomaa (red.), D. Lubasz (red.), RODO. Ogólne rozporządzenie o ochronie danych. Komentarz, WKP 2018 i powołane tam poglądy).

Tak rozumiany prawnie uzasadniony interes musi być realizowany przez administratora lub przez stronę trzecią. Podkreślić przy tym trzeba, że może to być interes nie tylko administratora, który przetwarza już dane osobowe, lecz również administratora, któremu dane te mogą dopiero zostać ujawnione.

Pojęcie niezbędności oznacza z kolei, że przetwarzanie danych dla realizacji prawnie uzasadnionego interesu administratora lub strony trzeciej musi być, rozsądnie oceniając, potrzebne, a więc musi występować bezpośredni związek pomiędzy realizacją prawnie uzasadnionego interesu a potrzebą przetwarzania danych osobowych.

Zdaniem Sądu, nie można zgodzić się z zarzutem Prezesa UODO, iż konieczność usunięcia przez stronę skarżącą danych osobowych wynikała z tego, iż skarżący BIK nie wykazał, aby wnioskodawca M.T. wystąpił z jakimkolwiek roszczeniem wobec Banku lub BIK, które uzasadniałoby uprawnienie tych podmiotów do zachowania i przetwarzania jego danych osobowych dla celów dowodowych w związku z dochodzeniem przez wnioskodawcę tego roszczenia. W ocenie Sądu, nie sposób uznać bowiem - jak sugeruje organ nadzorczy - że przesłanka z art. 6 ust. 1 lit. f RODO dotyczy sytuacji już istniejącej, w której celem wynikającym z prawnie uzasadnionych interesów realizowanych przez administratora jest konieczność udowodnienia, potrzeba dochodzenia lub obrony przed roszczeniem istniejącym, nie zaś sytuacji, gdy dane są przetwarzane w celu zabezpieczenia się przed ewentualnym roszczeniem.

Według Sądu, takie stanowisko organu nadzorczego prowadziłoby do tego, iż nie byłyby uznawane za uzasadnione interesy skarżącego BIK, które w rzeczywistości istnieją przez cały okres przedawnienia roszczeń. W konsekwencji przyjęcia takiego stanowiska organu nadzorczego, skarżący BIK zostałby zmuszony do usunięcia danych osobowych, które wciąż mogą okazać się niezbędne do realizacji prawa do obrony strony skarżącej przed sądem, w przypadku wystąpienia przez M.T. z roszczeniami przed terminem przedawnienia, tj. przed dniem [...] grudnia 2025 r. To z kolei, mogłoby spowodować osłabienie pozycji BIK w ewentualnym sporze sądowym.

Zdaniem Sądu, uznać należy jednocześnie, że uzależnienie legalności podstawy do przetwarzania danych osobowych od wystąpienia z roszczeniem, jest postulatem niesprawiedliwym i dającym duże możliwości nadużyć na szkodę przedsiębiorców i klientów, co wyjaśniła w toku postępowania strona skarżąca.

Warto również podkreślić, że całkowicie nieuzasadnione są obawy organu nadzorczego dotyczące rzekomego permanentnego przetwarzania danych przez BIK, skoro strona skarżąca wielokrotnie wskazywała w toku postępowania, że przetwarza dane osobowe M.T. zawarte we wniosku kredytowym w celu ustalenia, dochodzenia lub obrony roszczeń, z zastosowaniem 6-letniego terminu przedawnienia, którego koniec przypada na ostatni dzień roku kalendarzowego liczonego od daty podjęcia decyzji kredytowej. W tej sytuacji, uznać trzeba, że - wbrew obawom Prezesa UODO - po upływie terminu przedawnienia roszczeń nie będzie można mówić już o uzasadnionym interesie do dalszego przetwarzania danych osobowych przesłanych stronie skarżącej przez Bank w związku z zapytaniem kredytowym z dnia [...] marca 2019 r.

W tej sytuacji, Sąd uznał, że Prezes Urzędu Ochrony Danych Osobowych, wydając sporną decyzję administracyjną - dopuścił się w powyższym zakresie istotnego naruszenia zasady praworządności wyrażonej w przepisach art. 6 k.p.a. i art. 7 in principio k.p.a. oraz art. 7 Konstytucji RP.

Analizowane działanie Prezesa UODO w sposób istotny naruszało także zasadę zaufania obywateli do organów praworządnego państwa i stosowanego przez nie prawa, wyrażoną w art. 8 § 1 k.p.a. Nie ulega bowiem wątpliwości, że zasada zaufania wyrażona w przepisie art. 8 § 1 k.p.a. ma kontekst konstytucyjny i unijny, zaś organy administracji publicznej są obowiązane, w ramach wykładni zgodnej z prawem UE i Konstytucją RP, uwzględniać, że zasada zaufania, również w aspekcie procesowym, jest zasadniczym elementem zasady demokratycznego państwa prawa i jako taka ma swoje umocowanie i źródło w art. 2 Konstytucji RP.

W związku z powyższym, skoro działanie organu nadzorczego nie spełniało w sposób ewidentny powyższych warunków, stanowiło to podstawę do wyeliminowania z obrotu prawnego zaskarżonej decyzji Prezesa UODO z dnia [...] grudnia 2020 r.

Biorąc powyższe pod uwagę, Wojewódzki Sad Administracyjny w Warszawie - działając na podstawie art. 145 § 1 pkt 1 lit. a i c P.p.s.a. - orzekł, jak w pkt. 1 sentencji wyroku.

Zasądzając jednocześnie od Prezesa Urzędu Ochrony Danych Osobowych na rzecz skarżącego BIK kwotę 697 (sześćset dziewięćdziesiąt siedem) złotych tytułem zwrotu kosztów postępowania sądowego, w tym kosztów zastępstwa procesowego, Sąd działał na podstawie przepisów art. 200 i art. 205 § 2 w związku z art. 209 P.p.s.a.[pic][pic]