Centralna Baza Orzeczeń Sądów Administracyjnych

Naczelny Sąd Administracyjny w składzie: Przewodniczący: sędzia NSA Rafał Stasikowski (spr.) Sędziowie sędzia NSA Sławomir Wojciechowski sędzia del. WSA Hanna Knysiak-Sudyka protokolant starszy asystent sędziego Łukasz Sielanko po rozpoznaniu w dniu 29 maja 2025 r. na rozprawie w Izbie Ogólnoadministracyjnej skargi kasacyjnej Prezesa Urzędu Ochrony Danych Osobowych od wyroku Wojewódzkiego Sądu Administracyjnego w Warszawie z dnia 29 października 2021 r. sygn. akt II SA/Wa 506/21 w sprawie ze skargi B. S.A. z siedzibą w W. na decyzję Prezesa Urzędu Ochrony Danych Osobowych z dnia 15 grudnia 2020 r., nr DS.523.71.2020.FT.MPI/103954, 103953, 103949 w przedmiocie nakazania usunięcia danych osobowych 1. uchyla zaskarżony wyrok i oddala skargę; 2. zasądza od B. S.A. z siedzibą w W. na rzecz Prezesa Urzędu Ochrony Danych Osobowych kwotę 580 (pięćset osiemdziesiąt) złotych tytułem zwrotu kosztów postępowania kasacyjnego.

Wyrokiem z 29 października 2021 r., II SA/Wa 506/21, Wojewódzki Sąd Administracyjny w Warszawie, po rozpoznaniu skargi B. S.A

w W. na decyzję Prezesa Urzędu Ochrony Danych Osobowych z 15 grudnia 2020 r., nr DS.523.71.2020.FT.MPI/103954, 103953, 103949 w przedmiocie nakazania usunięcia danych osobowych: 1. uchylił zaskarżoną decyzję; 2. zasądził od Prezesa UODO na rzecz skarżącego kwotę 697 zł tytułem zwrotu kosztów postępowania sądowego.

Wyrok zapadł w następujących okolicznościach faktycznych i prawnych.

Decyzją z 15 grudnia 2020 r., Prezes UODO, działając na podstawie art. 104 § 1 pkt 1 ustawy z dnia 14 czerwca 1960 r. - Kodeks postępowania administracyjnego (tj. Dz. U. z 2020 r., poz. 256 ze zm.; dalej: "k.p.a.") oraz art. 6 ust. 1 oraz art. 58 ust. 2 lit. c rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (Dziennik Urzędowy Unii Europejskiej, L119 z dnia 4 maja 2016 r.; dalej: "RODO"), po przeprowadzeniu postępowania administracyjnego zainicjowanego skargą M. T. na nieprawidłowości w procesie przetwarzania jego danych osobowych przez Bank [...] S.A. w W. polegające na przetwarzaniu jego danych osobowych zawartych w zapytaniach kredytowych bez podstawy prawnej, w tym w B. S.A. w W:

1. nakazał B. S.A. w W. usunięcie danych osobowych M. T., w zakresie zapytania kredytowego z 4 marca 2019 r., przekazanych przez Bank [...] S.A. w W. (pkt 1 zaskarżonej decyzji);

2. nakazał ww. Bankowi usunięcie danych osobowych wnioskodawcy przetwarzanych w związku z zapytaniem kredytowym z 4 marca 2019 r. (pkt 2 zaskarżonej decyzji).

Organ wskazał, że 2 stycznia 2020 r. do Urzędu Ochrony Danych Osobowych wpłynęła skarga wnioskodawcy, w której zarzucił on nieprawidłowości w procesie przetwarzania jego danych osobowych przez Bank, co polegać miało na przetwarzaniu danych osobowych wnioskodawcy zawartych w zapytaniach kredytowych bez podstawy prawnej, w tym w B. S.A. w W.. Na podstawie zebranych wyjaśnień organ nadzorczy ustalił, iż wnioskodawca 4 marca 2019 r., działając za pośrednictwem Systemu [...], złożył wniosek o Kartę Kredytową [...]. W związku z powyższym Bank pozyskał dane osobowe wnioskodawcy w celu oceny zdolności kredytowej w zakresie: numer PESEL, numer CIS, seria i numer dowodu osobistego, data ważności dokumentu tożsamości, adres email, numer telefonu, stan cywilny, liczba dzieci na utrzymaniu, ulica, numer domu, kod pocztowy, miejscowość, województwo, kraj, mieszkanie, nazwisko rodowe matki, kwota zobowiązań pozakredytowych, kwota wydatków gospodarstwa domowego, rodzaj dochodu, miesięczna wysokość emerytury/renty, waluta wynagrodzenia/emerytury/renty, wiek, miesięczny dochód netto, miesięczne zobowiązania. Organ ustalił, że Bank aktualnie przetwarza dane osobowe wnioskodawcy zawarte we wniosku kredytowym (we wskazanym powyżej zakresie) w celu ustalenia, dochodzenia lub obrony roszczeń, z zastosowaniem 6 letniego terminu przedawnienia, którego koniec przypada na ostatni dzień roku kalendarzowego, licznego od daty podjęcia decyzji kredytowej, tj. od 4 marca 2019 r. Bank poinformował, że dane osobowe wnioskodawcy w oparciu o wskazany cel i podstawę będą przetwarzane przez Bank do 31 grudnia 2025 r.

Z kolei B. przetwarza obecnie dane osobowe wnioskodawcy przekazane przez Bank w związku ze złożonym 4 marca 2019 r. zapytaniem kredytowym w zakresie: imię, nazwisko, numer PESEL, numer i serię dokumentu tożsamości, datę urodzenia, płeć, obywatelstwo, dane adresowe oraz dane z wniosku kredytowego dotyczące wnioskowanego kredytu. Powyższe dane osobowe wnioskodawcy zostały przekazane do B. przez Bank na podstawie art. 105 ust. 4 oraz 105a ust. 1 ustawy z dnia 29 sierpnia 1997 r. - Prawo bankowe (tekst jednolity Dz. U. z 2021 r., poz. 2439 ze zm.) oraz na podstawie łączącej Bank i B. umowy. Z wyjaśnień wynika, że B. przetwarza dane pochodzące z zapytań kredytowych przez okres 12 miesięcy od dnia złożenia zapytania w celu oceny zdolności kredytowej i analizy ryzyka kredytowego konkretnego klienta (indywidualna ocena zdolności kredytowej) oraz w celu przeciwdziałania przestępstwom oraz wykonywania obowiązków w zakresie określonym w przepisach o przeciwdziałaniu praniu pieniędzy oraz finansowaniu terroryzmu. W przypadku wnioskodawcy wyżej wymienione zapytanie kredytowe nie jest przetwarzane w tych celach ze względu na upływ 12 miesięcy od dnia złożenia zapytania. B. poinformował, że będzie przetwarzał dane osobowe wnioskodawcy w związku ze złożonym zapytaniem kredytowym w celu budowy modeli scoringowych tj. narzędzi wykorzystywanych przez banki do oceny zdolności kredytowej i analizy ryzyka kredytowego przez okres 5 lat od dnia złożenia zapytania, w celu statystycznym i analiz przez okres nie dłuższy niż 10 lat od dnia przekazania zapytania do B. oraz w celu rozpatrywania ewentualnych reklamacji i roszczeń odszkodowawczych do momentu przedawnienia potencjalnych roszczeń wynikających z zapytania.

Wnioskodawca zwrócił się do Banku oraz B. o usunięcie jego danych osobowych przetwarzanych w związku ze złożonym wnioskiem kredytowym, jednakże oba podmioty odmówiły ich usunięcia.

Prezes UODO podniósł, że - co do zasady - podstawą prawną przetwarzania danych osobowych klientów przez Bank i B. jest obecnie art. 6 ust. 1 lit. f RODO, tj. przetwarzanie jest niezbędne do celów wynikających z prawnie uzasadnionych interesów realizowanych przez administratora. Wskazał, że wnioskodawca 4 marca 2019 r. wystąpił do Banku z wnioskiem o udzielenie kredytu, wobec czego Bank oraz B., na podstawie art. 105a ust. 1 ustawy z dnia 29 sierpnia 1997 r. Prawo bankowe (Dz. U. z 2020 r., poz. 1896 ze zm.) w zw. z art. 70 ust. 1 tej ustawy, były uprawnione do przetwarzania danych osobowych wnioskodawcy w celu oceny zdolności kredytowej. Nie doszło do zawarcia umowy kredytu pomiędzy wnioskodawcą a Bankiem, co - zdaniem organu nadzorczego - powoduje, iż odpadła przesłanka legalizująca dalsze przetwarzanie danych osobowych wnioskodawcy przez Bank oraz B..

Zdaniem Prezesa UODO pomiędzy Bankiem a wnioskodawcą nie zawiązał się żaden stosunek zobowiązaniowy, który - stosownie do art. 105a ust. 1-6 Prawa bankowego - dawałby podstawę do dalszego przetwarzania danych osobowych wnioskodawcy. Organ nadzorczy podkreślił, że celem przetwarzania danych osobowych wnioskodawcy była ocena zdolności kredytowej i analizy ryzyka kredytowego.

W związku z dokonaniem przez Bank oceny zdolności kredytowej i analizy ryzyka kredytowego wspomniany wyżej cel przetwarzania danych osobowych wnioskodawcy został zrealizowany i brak jest podstaw prawnych do kontunuowania tego procesu. Ponadto organ nadzorczy wskazał, że za podstawę przetwarzania danych osobowych wnioskodawcy, nie mogą być również uznane wskazane przez B. cele statystyczne i analizy, w tym cel stosowania metod wewnętrznych oraz innych metod i modeli, o których mowa w części trzeciej rozporządzenia nr 575/2013. Organ nadzorczy podkreślił, że przywołany przez B. przepis art. 105a ust. 4 Prawa bankowego daje podstawy do przetwarzania informacji dotyczących osoby fizycznej stanowiących tajemnicę bankową po wygaśnięciu zobowiązania wynikającego z umowy zawartej z bankiem lub inną instytucją ustawowo upoważnioną do udzielania kredytów bez zgody osoby, której te informacje dotyczą. Stwierdził jednak, że w przedmiotowej sprawie nie doszło do zawarcia umowy kredytu pomiędzy wnioskodawcą a Bankiem, a zatem nie powstał żaden stosunek zobowiązaniowy, o którym mowa w powyższym przepisie.

Odnosząc się do powołanego zarówno przez Bank, jak i przez B. celu ustalenia, dochodzenia lub obrony roszczeń, Prezes UODO stwierdził, że zebrany w niniejszym postępowaniu materiał dowodowy nie wykazał, aby wnioskodawca wystąpił z jakimkolwiek roszczeniem wobec Banku lub B., które uzasadniałoby uprawnienie tych podmiotów do zachowania i przetwarzania jego danych osobowych dla celów dowodowych w związku z dochodzeniem przez wnioskodawcę tego roszczenia. Organ nadzorczy podkreślił, że przesłanka z art. 6 ust. 1 lit. f RODO dotyczy sytuacji już istniejącej, w której celem wynikającym z prawnie uzasadnionych interesów realizowanych przez administratora jest konieczność udowodnienia, potrzeba dochodzenia lub obrony przed roszczeniem istniejącym, nie zaś sytuacji, gdy dane są przetwarzane w celu zabezpieczenia się przed ewentualnym roszczeniem. Prezes UODO uznał, że brak jest uzasadnienia dla przyjęcia, iż terminy dotyczące przedawnienia roszczeń wynikających ze stosunków zobowiązaniowych określają jednocześnie ramy czasowe, w których dane osobowe mogą być przetwarzane przez Bank i B.. Organ nadzorczy podkreślił, że przedawnienie roszczenia nie wywołuje skutków na gruncie ochrony danych osobowych, nie wpływa bowiem na fakt istnienia roszczenia, a powoduje jedynie zmianę w sferze zarzutów procesowych w postaci możliwości podniesienia okoliczności przedawnienia w sporze sądowym, jak też, że okolicznością usprawiedliwiającą przetwarzanie danych osobowych w celu dochodzenia roszczeń jest sam fakt istnienia roszczenia oraz zamiar jego dochodzenia, nie jest nią natomiast zmiana w uprawnieniach procesowych podmiotu pozwanego.

Organ nadzorczy wskazał, że Bank w związku z pozyskaniem danych osobowych wnioskodawcy w celu oceny zdolności kredytowej stał się administratorem tych danych osobowych. Dodał, że B. stał się administratorem danych osobowych wnioskodawcy z uwagi na przekazanie tych danych przez Bank. W związku z powyższym stwierdził, że Bank oraz B. są odrębnymi administratorami, gdyż każdy z tych podmiotów przetwarza bowiem dane osobowe wnioskodawcy we własnych celach i samodzielnie ustala sposoby ich przetwarzania. Mając na względzie całość zgromadzonego materiału dowodowego, Prezes UODO uznał, że nie zaistniała żadna z wyrażonych w art. 6 ust. 1 RODO przesłanka, która stanowiłaby o legalności procesu przetwarzania danych osobowych wnioskodawcy przez Bank i B.. W tej sytuacji, Prezes UODO stwierdził, że zaszły podstawy do skorzystania przez organ nadzorczy z uprawnienia przewidzianego w art. 58 ust. 2 lit. c RODO i w konsekwencji do nakazania zarówno Bankowi, jak i B., jako podmiotom będącym administratorami danych, usunięcia danych osobowych wnioskodawcy przetwarzanych w związku ze złożonym zapytaniem kredytowym z dnia 4 marca 2019 r.

Skargę na powyższą decyzję do Wojewódzkiego Sądu Administracyjnego

w W. wniosło B. S.A. w W.

W odpowiedzi na skargę organ wniósł o jej oddalenie.

Uwzględniając skargę, sąd I instancji wskazał, że organ nadzorczy, wydając sporną decyzję administracyjną, dopuścił się - mogącego mieć zasadniczy wpływ na wynik sprawy - naruszenia przepisów procedury administracyjnej, w szczególności art. 7 k.p.a., art. 77 § 1 k.p.a. i art. 80 k.p.a. w zw. z art. 7 ust. 1 ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych (tj. Dz. U. z 2019 r., poz. 1781; dalej "u.o.d.o."), które to naruszenie polegało przede wszystkim na niewyczerpującym zebraniu i rozpatrzeniu całego materiału dowodowego i niepodjęciu wszelkich kroków niezbędnych do dokładnego wyjaśnienia stanu faktycznego i załatwienia sprawy, co w konsekwencji skutkowało nieuzasadnionym wydaniem przez organ nadzorczy nakazu usunięcia przez stronę skarżącą danych osobowych wnioskodawcy w zakresie zapytania kredytowego z 4 marca 2019 r. przekazanych przez Bank [...] S.A. w W.

Ponadto w ocenie sądu I instancji organ nadzorczy w toku postępowania wyjaśniającego zaniechał współdziałania z Komisją Nadzoru Finansowego, jako organem właściwym w sprawach związanych m.in. z badaniem zdolności kredytowej i analizą ryzyka kredytowego, a także budową modeli scoringowych w zakresie wykorzystywania do realizacji tych zadań danych, w tym danych osobowych o niezrealizowanych zapytaniach kredytowych, co w konsekwencji doprowadziło do naruszenia przepisu art. 7b k.p.a. w zw. z art. 7 ust. 1 u.o.d.o., a tym samym niedokładnego wyjaśnienia stanu faktycznego i prawnego koniecznego do podjęcia przez Prezesa UODO stosownych czynności nadzorczych na podstawie wyczerpująco zebranego i rozpatrzonego materiału dowodowego. Według sądu naruszenie to mogło mieć o tyle istotny wpływ na wynik sprawy, o ile weźmie się pod uwagę fakt, iż - wbrew wyraźnym zastrzeżeniom zgłaszanym przez stronę skarżącą - organ nadzorczy nie przeprowadził, w ramach stosownej konsultacji z KNF, jakiejkolwiek analizy, czy rekomendacje KNF, na które powoływała się strona skarżąca, a które nakładają na banki, a w konsekwencji również na skarżący B., określone wymagania, mogą świadczyć o legitymowaniu się przez skarżący B. przesłanką przetwarzania danych wynikającą z art. 6 ust. 1 lit. f RODO.

Sąd I instancji zauważył, że Prezes UODO, przeprowadzając sporne postępowanie wyjaśniające bez wykorzystania wszelkich możliwych instrumentów prawnych, jakie dawała mu ustawa o ochronie danych osobowych, uzasadniając swoje stanowisko w decyzji z 15 grudnia 2020 r., przyjął, że strona skarżąca nie legitymuje się przesłanką przetwarzania danych wynikającą z art. 6 ust. 1 RODO. Tymczasem skarżący B. wskazał wyraźnie w skardze, że organ nadzorczy pominął szereg okoliczności istotnych dla prawidłowego rozpatrzenia sprawy zainicjowanej 2 stycznia 2020 r. przez wnioskodawcę. Według sądu Prezes UODO nie zbadał wszystkich podstaw prawnych dalszego przetwarzania danych o zapytaniach kredytowych, pomimo iż przepisy prawa upoważniają skarżący B., a także Bank do przetwarzania tych danych również w sytuacji, gdy kredytu nie udzielono.

Sąd zgodził się ze stroną skarżącą, że zaskarżona decyzja została wydana przez organ nadzorczy z naruszeniem obowiązku podjęcia wszelkich czynności niezbędnych do dokładnego wyjaśnienia stanu faktycznego oraz do załatwienia sprawy, o którym mowa w art. 7 k.p.a., jak również obowiązku, by w sposób wyczerpujący zebrać i rozpatrzyć cały materiał dowodowy, o którym mowa w art. 77 § 1 k.p.a., co w konsekwencji doprowadziło do niesłusznego nakazania stronie skarżącej usunięcia danych osobowych wobec braku podstawy prawnej do ich dalszego przetwarzania. Zdaniem sądu I instancji Prezes UODO powinien był w okolicznościach niniejszej sprawy, badając cele przetwarzania danych po stronie Banku i skarżącego B., zwrócić się do KNF o wyjaśnienia w zakresie obowiązków regulacyjnych tych podmiotów, czego jednak nie uczynił, wypowiadając się arbitralnie w materii merytorycznie właściwej innemu organowi nadzorczemu, w tym wypadku KNF. Tymczasem organ nadzorczy - uwzględniając interes społeczny oraz słuszny interes obywateli, o którym mowa w art. 7b k.p.a. - powinien był wziąć pod uwagę to, iż poprawne działanie modeli służących ocenie osób wnioskujących o kredyt służy w pierwszej kolejności ochronie interesów depozytariuszy, a więc obywateli, którzy powierzyli swoje środki bankom. W tej sytuacji brak współdziałania Prezesa UODO z KNF mógł mieć istotny wpływ na wynik sprawy, doprowadzając w konsekwencji - poprzez zastosowanie środka nadzorczego, o którym mowa w art. 58 ust. 2 lit. c RODO - do sytuacji, w której brak możliwości weryfikacji osoby w oparciu o wszystkie dane niezbędne do tego celu godziłoby niewątpliwie w interes społeczny.

Sąd ten uznał, iż uzasadnione są zarzuty naruszenia przez organ nadzorczy art. 7, art. 77 § 1 i art. 80 k.p.a., a także art. 7b k.p.a. w związku z art. 7 ust. 1 u.o.d.o., albowiem sporna decyzja wydana została na podstawie niewystarczającego materiału dowodowego zebranego w sprawie, w sposób niepozwalający na dokładne wyjaśnienie stanu faktycznego i w konsekwencji prawidłowe rozpoznanie złożonej 2 stycznia 2020 r. skargi wnioskodawcy. Sąd uznał tym samym, że Prezes UODO, wydając sporną decyzję, dopuścił się naruszenia polegającego na przekroczeniu granic swobodnej oceny dowodów i w konsekwencji - błędnym przyjęciu, że z zebranego w sprawie materiału dowodowego wynika jednoznacznie, iż skarżący B., jako administrator danych, nie dysponował podstawą prawną do dalszego przetwarzania danych osobowych wnioskodawcy.

Zdaniem sądu I instancji niezależnie od powyższych uchybień, wydając zaskarżoną decyzję, Prezes UODO w sposób nieprawidłowy zastosował przede wszystkim przepisy prawa materialnego. Sąd podniósł, że art. 105 ust. 4 Prawa bankowego stanowi nie tylko upoważnienie do stworzenia takiego podmiotu, jak B., ale jest również podstawą do przetwarzania informacji objętych tajemnicą bankową, w tym danych osobowych przez sam B.. Uznał, że art. 105 ust. 4 ww. ustawy wyznacza w istocie cele dalszego przetwarzania danych o klientach banków i osobach chcących skorzystać z produktów bankowych. Nie ulega jednocześnie wątpliwości, że skarżący B., jako instytucja powołana na podstawie tego przepisu, służy realizacji tych celów. Przepis ten stanowi prostą konsekwencję nałożonego na banki w art. 105 ust. 1 Prawa bankowego obowiązku wymiany między nimi informacji stanowiących tajemnicę bankową w zakresie, w jakim informacje te są niezbędne w związku z wykonywaniem czynności bankowych oraz nabywaniem i zbywaniem wierzytelności. W tym właśnie celu banki - w oparciu o art. 105 ust. 4 ww. ustawy - powołały instytucję taką jak B., aby za pośrednictwem stworzonego przez B. systemu wymiany danych móc "centralnie" takie dane wymieniać, co miało się przyczynić do przyspieszenia procedur kredytowych i obsługi klienta w tym zakresie. Tymczasem przyjęcie jako właściwego stanowiska organu nadzorczego mogłoby doprowadzić do zakwestionowania wymiany jakichkolwiek informacji. W tej sytuacji sąd I instancji uznał, że właściwą podstawą przetwarzania danych dla wypełnienia obowiązków wynikających z przepisów Prawa bankowego jest przepis art. 6 ust. 1 lit c RODO w związku z art. 105 ust. 4 Prawa bankowego.

Sąd stwierdził, że Prezes UODO dopuścił się istotnego naruszenia art. 6 ust. 1 lit. c RODO również w ten sposób, że niezasadnie przyjął, że strona skarżąca nie legitymuje się przesłanką przetwarzania danych wynikającą z tego przepisu, gdy tymczasem skarżący B. zasadnie wykazał w toku postępowania, powołując się na przepisy art. 105a ust. 1-1c Prawa bankowego, że w jego przypadku cel przetwarzania danych osobowych polega na przekazywaniu bankom, w tym Bankowi, który był stroną postępowania przed organem nadzorczym, informacji niezbędnych do oceny zdolności kredytowej i analizy ryzyka kredytowego. Zdaniem sądu nieuzasadnione jest kwestionowanie przedstawionej przez skarżący B. podstawy przetwarzania danych poprzez wskazanie na fakt, iż umowa kredytowa nie została zawarta. Nie można zgodzić się z organem nadzorczym, że okoliczność ta jest równoznaczna z wygaśnięciem podstawy do przetwarzania danych, o której mowa w art. 6 ust. 1 lit. c RODO w zw. z art. 105a ust. 1-1c Prawa bankowego. Zdaniem sądu Prezes UODO nie wziął pod uwagę podnoszonego przez stronę skarżącą sposobu funkcjonowania systemu oceny zdolności kredytowej i analizy ryzyka kredytowego, pomimo iż skarżący B. wyraźnie wskazał, w jaki sposób wykonywanie oceny i analizy wiąże się z koniecznością przetwarzania danych również po otrzymaniu przez wnioskodawcę decyzji odmownej. W ocenie sądu I instancji obowiązki wynikające z art. 105a ust. 1-1c Prawa bankowego nie przestają istnieć wraz z wydaniem decyzji odmownej osobie wnioskującej o kredyt, a co za tym idzie są w dalszym ciągu objęte obowiązkiem przetwarzania danych w celu oceny zdolności kredytowej i analizy ryzyka kredytowego.

Sąd I instancji uznał również, że Prezes UODO, nakładając na skarżący B. obowiązek usunięcia danych osobowych wnioskodawcy przekazanych przez Bank, dopuścił się naruszenia art. 6 ust. 1 lit. f RODO w związku z art. 117 § 2 i § 21 , art. 118 i art. 119 k.c., które to naruszenie polegało na niewłaściwym zastosowaniu wspomnianych przepisów i w konsekwencji nieuzasadnionym przyjęciu, że przechowywanie wspomnianych danych przez okres przedawnienia roszczeń, również w przypadku, gdy ani administrator ani osoba, której dane dotyczą, nie zgłosiła jeszcze roszczenia, nie stanowi prawnie uzasadnionego interesu skarżącego B. oraz Banku, w rozumieniu art. 6 ust. 1 lit. f RODO, gdy tymczasem przepisy te - w ocenie sądu - uprawniają zarówno stronę skarżącą, jak i Bank do przetwarzania danych osobowych w celu ustalenia, dochodzenia i ochrony przed roszczeniami. Zdaniem sądu nie można zgodzić się z zarzutem Prezesa UODO, iż konieczność usunięcia przez stronę skarżącą danych osobowych wynikała z tego, iż skarżący B. nie wykazał, aby wnioskodawca wystąpił z jakimkolwiek roszczeniem wobec Banku lub B., które uzasadniałoby uprawnienie tych podmiotów do zachowania i przetwarzania jego danych osobowych dla celów dowodowych w związku z dochodzeniem przez wnioskodawcę tego roszczenia. Nie sposób uznać bowiem - jak sugeruje organ nadzorczy - że przesłanka z art. 6 ust. 1 lit. f RODO dotyczy sytuacji już istniejącej, w której celem wynikającym z prawnie uzasadnionych interesów realizowanych przez administratora jest konieczność udowodnienia, potrzeba dochodzenia lub obrony przed roszczeniem istniejącym, nie zaś sytuacji, gdy dane są przetwarzane w celu zabezpieczenia się przed ewentualnym roszczeniem. Według sądu takie stanowisko organu nadzorczego prowadziłoby do tego, iż nie byłyby uznawane za uzasadnione interesy skarżącego B., które w rzeczywistości istnieją przez cały okres przedawnienia roszczeń. W konsekwencji przyjęcia takiego stanowiska organu nadzorczego, skarżący B. zostałby zmuszony do usunięcia danych osobowych, które wciąż mogą okazać się niezbędne do realizacji prawa do obrony strony skarżącej przed sądem, w przypadku wystąpienia przez wnioskodawcę z roszczeniami przed terminem przedawnienia, tj. przed 31 grudnia 2025 r. To z kolei, mogłoby spowodować osłabienie pozycji B. w ewentualnym sporze sądowym.

Zdaniem sądu uzależnienie legalności podstawy do przetwarzania danych osobowych od wystąpienia z roszczeniem jest postulatem niesprawiedliwym i dającym duże możliwości nadużyć na szkodę przedsiębiorców i klientów, co wyjaśniła w toku postępowania strona skarżąca. W ocenie sądu całkowicie nieuzasadnione są obawy organu nadzorczego dotyczące rzekomego permanentnego przetwarzania danych przez B., skoro strona skarżąca wielokrotnie wskazywała w toku postępowania, że przetwarza dane osobowe zawarte we wniosku kredytowym w celu ustalenia, dochodzenia lub obrony roszczeń, z zastosowaniem 6 letniego terminu przedawnienia, którego koniec przypada na ostatni dzień roku kalendarzowego liczonego od daty podjęcia decyzji kredytowej. W tej sytuacji wbrew obawom Prezesa UODO po upływie terminu przedawnienia roszczeń nie będzie można mówić już o uzasadnionym interesie do dalszego przetwarzania danych osobowych przesłanych stronie skarżącej przez Bank w związku z zapytaniem kredytowym z 4 marca 2019 r.

Sąd I instancji uznał, że Prezes UODO, wydając sporną decyzję administracyjną, dopuścił się w powyższym zakresie istotnego naruszenia zasady praworządności wyrażonej w przepisach art. 6 k.p.a. i art. 7 in principio k.p.a. oraz art. 7 Konstytucji RP. Analizowane działanie Prezesa UODO w sposób istotny naruszało także zasadę zaufania obywateli do organów praworządnego państwa i stosowanego przez nie prawa, wyrażoną w art. 8 § 1 k.p.a. Nie ulega bowiem wątpliwości, że zasada zaufania wyrażona w przepisie art. 8 § 1 k.p.a. ma kontekst konstytucyjny i unijny, zaś organy administracji publicznej są obowiązane, w ramach wykładni zgodnej z prawem UE i Konstytucją RP, uwzględniać, że zasada zaufania, również w aspekcie procesowym, jest zasadniczym elementem zasady demokratycznego państwa prawa i jako taka ma swoje umocowanie i źródło w art. 2 Konstytucji RP.

Sąd I instancji wskazał, że skoro działanie organu nadzorczego nie spełniało w sposób ewidentny powyższych warunków, stanowiło to podstawę do wyeliminowania z obrotu prawnego zaskarżonej decyzji Prezesa UODO z 15 grudnia 2020 r.

Biorąc powyższe pod uwagę, Wojewódzki Sad Administracyjny w Warszawie, działając na podstawie art. 145 § 1 pkt 1 lit. a i c ustawy z dnia 30 sierpnia 2002 r. – Prawo o postępowaniu przed sądami administracyjnymi (Dz. U. z 2019 r., poz. 2325; dalej "p.p.s.a.") uchylił zaskarżoną decyzję. O kosztach postępowania orzekł na podstawie art. 200 i art. 205 § 2 p.p.s.a.

Skargę kasacyjną od powyższego wyroku wywiódł Prezes UODO, zaskarżając wyrok w całości. Wniósł o uchylenie zaskarżonego wyroku w całości i oddalenie skargi, ewentualnie o uchylenie zaskarżonego wyroku w całości i przekazanie sprawy do ponownego rozpoznania sądowi I instancji. Nadto wniósł o rozpoznanie sprawy na rozprawie i zasądzenie zwrotu kosztów postępowania. Zaskarżonemu wyrokowi zarzucił:

1) naruszenie przepisów postępowania mające istotny wpływ na wynik sprawy, tj. art. 145 § 1 pkt 1 lit. c p.p.s.a. w zw. z art. 7, art. 77 § 1 oraz art. 80 k.p.a. poprzez niezasadne uznanie, że Prezes UODO w sposób niewyczerpujący zebrał i rozpatrzył materiał dowodowy oraz nie podjął wszelkich kroków niezbędnych do dokładnego wyjaśnienia stanu faktycznego i załatwienia sprawy, co w konsekwencji doprowadziło do uchylenia zaskarżonej decyzji;

2) naruszenie przepisów postępowania mające istotny wpływ na wynik sprawy, tj. art. 145 § 1 pkt 1 lit. c p.p.s.a. w zw. art. 7b k.p.a. poprzez niezasadne uznanie, że Prezes UODO zaniechał współdziałania z Komisją Nadzoru Finansowego, w rezultacie czego dokonał niedokładnego wyjaśnienia stanu faktycznego i prawnego koniecznego do podjęcia przez Prezesa UODO prawidłowych czynności nadzorczych, co w konsekwencji doprowadziło do uchylenia zaskarżonej decyzji;

3) naruszenie przepisów postępowania mające istotny wpływ na wynik sprawy, tj. art. 145 § 1 pkt 1 lit. c p.p.s.a. w zw. z art. 8 § 1 k.p.a. poprzez niezasadne uznanie, że działanie Prezesa UODO naruszało zasadę zaufania obywateli do organów praworządnego państwa i stosowanego przez nie prawa, co w konsekwencji doprowadziło do uchylenia zaskarżonej decyzji;

4) naruszenie przepisów prawa materialnego, tj. 6 ust. 1 lit. c RODO polegające na jego nieprawidłowej wykładni poprzez uznanie, że B. jest zobowiązane do przetwarzania danych osobowych dotyczących zapytań kredytowych niezakończonych zawarciem umowy na podstawie art. 105 ust. 4 oraz art. 105a ust. 1-1c Prawa bankowego, co w konsekwencji doprowadziło do uchylenia zaskarżonej decyzji;

5) naruszenie przepisów prawa materialnego, tj. 6 ust. 1 lit. f RODO polegające na jego nieprawidłowej wykładni poprzez uznanie, że przetwarzanie danych osobowych na wypadek ewentualnych, przyszłych i niepewnych roszczeń stanowi prawnie uzasadniony interes prawny administratora wynikający z art. 117 § 2 i 21 art. 118 i art. 119 k.c., w sytuacji gdy ani administrator ani osoba, której dane dotyczą, nie zgłosiła jeszcze roszczenia, co w konsekwencji doprowadziło do uchylenia zaskarżonej decyzji.

W odpowiedzi na skargę kasacyjną skarżący wniósł o jej oddalenie oraz o zasądzenie zwrotu kosztów postępowania.

Naczelny Sąd Administracyjny zważył, co następuje.

Stosownie do art. 183 § 1 p.p.s.a. Naczelny Sąd Administracyjny rozpoznaje sprawę w granicach skargi kasacyjnej, biorąc pod rozwagę z urzędu jedynie nieważność postępowania. W rozpoznawanej sprawie nie zachodzi żadna z okoliczności skutkujących nieważnością postępowania, o jakich mowa w art. 183 § 2 p.p.s.a., i nie zachodzi żadna z przesłanek, o których mowa w art. 189 p.p.s.a., które Naczelny Sąd Administracyjny rozważa z urzędu, dokonując kontroli zaskarżonego skargą kasacyjną wyroku. W tych okolicznościach w sprawie badaniu podlegały wyłącznie zarzuty podniesione w skardze kasacyjnej na uzasadnienie przytoczonych podstaw kasacyjnych.

Skarga kasacyjna jest uzasadniona.

Skarżący kasacyjnie zarzucił zaskarżonemu orzeczeniu naruszenie zarówno przepisów prawa materialnego, jak też przepisów postępowania. W takiej sytuacji, co do zasady, jako pierwsze podlegają rozpatrzeniu zarzuty naruszenia przepisów postępowania, gdyż weryfikacja prawidłowości wykładni przepisów prawa materialnego, dokonanej przez sąd I instancji, jest możliwa jedynie w przypadku stwierdzenia braku uchybień natury procesowej, mogących mieć istotny wpływ na treść rozstrzygnięcia.

W rozpoznawanej sprawie kolejność ta musi zostać odwrócona, gdyż zarzut naruszenia prawa procesowego został sformułowany w skardze kasacyjnej w taki sposób, iż jego zasadność bądź bezzasadność będzie konsekwencją zasadności bądź bezzasadności zarzutu naruszenia prawa materialnego.

Istota zarzutów materialnych skargi kasacyjnej sprowadza się do zakwestionowania stanowiska sądu I instancji co do uznania podstaw prawnych wynikających z art. 6 ust. 1 lit. c i f RODO przetwarzania danych osobowych M. T. przez B. S.A. w W. w zakresie wynikającym z zapytania kredytowego niezakończonego zawarciem umowy kredytowej. Sąd I instancji stanął na stanowisko, że w pierwszym rzędzie podstawą przetwarzania danych w takiej sytuacji jest przepis art. 6 ust. 1 lit. c RODO w zw. z art. 105 ust. 4 Prawa bankowego. Zgodnie z art. 105 ust. 4 ww. ustawy banki mogą, wspólnie z bankowymi izbami gospodarczymi, utworzyć instytucje upoważnione do gromadzenia, przetwarzania i udostępniania bankom - informacji stanowiących tajemnicę bankową w zakresie, w jakim informacje te są potrzebne w związku z wykonywaniem czynności bankowych oraz w związku ze stosowaniem metod wewnętrznych oraz innych metod i modeli, o których mowa w części trzeciej rozporządzenia nr 575/2013.

Przepis ten stanowi podstawę kompetencyjną do założenia instytucji do gromadzenia, przetwarzania i udostępniania bankom informacji stanowiącej tajemnicę bankową. Nie wynika jednak z niego pełna, szczególna podstawa prawna przetwarzania danych osobowych, gdyż zakres upoważnienia do przetwarzania danych osobowych określony został dość ogólnie przez wskazanie, że chodzi o dane objęte tajemnicą bankową w zakresie, w jakim informacje te są potrzebne w związku z wykonywaniem czynności bankowych oraz w związku ze stosowaniem metod wewnętrznych oraz innych metod i modeli, o których mowa we wskazanym akcie normatywnym.

Dopiero z dalszych regulacji wynika szczegółowy zakres danych osobowych, które mogą być legalnie przetwarzane przez banki oraz inne podmiotu rynku okołobankowego, w tym instytucje utworzone na podstawie art. 105 ust. 4 Prawa bankowego, jaką jest B. S.A. Zakres danych, które mogą być przetwarzane, zasady i czas przetwarzania wynikają z przepisów art. 105a Prawa bankowego. Przepisy tego artykułu odnoszą się do danych dotyczących osób, które nawiązały umowną więź prawną z bankiem. Przepisem, który określa zakres uprawnień do przetwarzania danych podmiotu, o którym mowa w art. 105 ust. 4 Prawa bankowego, jest przepis art. 105a ust. 4 Prawa bankowego, zgodnie z którym banki oraz instytucje, o których mowa w art. 105 ust. 4, mogą przetwarzać stanowiące tajemnicę bankową informacje dotyczące osoby fizycznej po wygaśnięciu zobowiązania wynikającego z umowy zawartej z bankiem lub inną instytucją ustawowo upoważnioną do udzielania kredytów bez zgody osoby, której informacje dotyczą, do celów stosowania metod wewnętrznych oraz innych metod i modeli, o których mowa w części trzeciej rozporządzenia nr 575/2013. W ustawie Prawo bankowe brak jest przepisu, który regulowałby uprawnienie do przetwarzania danych osoby fizycznej, która ubiegała się o nawiązanie stosunku zobowiązaniowego z bankiem, lecz z jakichś powodu do nawiązania tej więzi nie doszło.

Przypomnieć należy, że prawo do ochrony danych osobowych jest prawem gwarantowanym zarówno w krajowym, jak i unijnym porządku prawnym. Na płaszczyźnie krajowej regulacji prawo do ochrony danych osobowych znajduje oparcie w przepisie art. 51 Konstytucji RP. Przepis ten określa podstawowe uprawnienia składające się na prawo do ochrony danych osobowych, w kwestiach szczegółowych odsyłając do regulacji ustawowej.

W piśmiennictwie przedmiotu przyjmuje się, że prawo do ochrony danych osobowych stanowi refleks ogólnej zasady autonomii informacyjnej człowieka i swego rodzaju emanację ogólnego prawa do prywatności, gwarantowanego w art. 47 Konstytucji RP, ze względu na to, że dane osobowe są częścią życia prywatnego bądź posługiwanie się danymi dotyczącymi innej osoby wkracza w przyznaną jej kompetencję do decydowania o swoim życiu osobistym (por. J. Barta, P. Fajgielski, R. Markiewicz, Ochrona danych osobowych. Komentarz, Warszawa 2015, s. 260–261).

Wywodząca się z prawa niemieckiego koncepcja autonomii informacyjnej jednostki jest przyjmowana również na gruncie prawa polskiego, co dostrzec można zarówno w poglądach doktrynalnych, jak też w judykaturze. W wyroku z 19 lutego 2002 r. (U 3/01, OTK-A 2002/1, poz. 3) Trybunał Konstytucyjny stwierdził, że tzw. autonomia informacyjna jednostki (gwarantowana w art. 51 Konstytucji RP), oznaczająca prawo do samodzielnego decydowania o ujawnianiu innym informacji dotyczących swojej osoby, a także prawo do sprawowania kontroli nad takimi informacjami znajdującymi się w posiadaniu innych podmiotów, są elementami składowymi prawa do ochrony prawnej życia prywatnego, gwarantowanego w art. 47 Konstytucji RP (na temat autonomii informacyjnej w orzecznictwie TK szerzej por. P. Litwiński, Zasada autonomii informacyjnej w orzecznictwie Trybunału Konstytucyjnego a stosowanie przepisów o ochronie danych osobowych [w:] Ochrona danych osobowych w Polsce z perspektywy dziesięciolecia, red. P. Fajgielski, Lublin 2008, s. 169–184). Zakres autonomii informacyjnej jednostki stale zmniejsza się, co jest spowodowane przesuwaniem ciężaru ochrony jednostki i jej prywatności w kierunku instytucjonalnych, publicznoprawnych instytucji i środków (M. Safjan, Prawo do prywatności i ochrona danych osobowych w społeczeństwie informatycznym, PiP 2002/6, s. 5). Nie znaczy to jednak, że zmniejszanie tej autonomii następować może bez podstawy prawnej, o czym poniżej.

W porządku prawnym UE prawo do ochrony danych osobowych jest jednym z praw podstawowych, które zostało zagwarantowane w art. 8 ust. 1 Karty praw podstawowych UE oraz art. 16 ust. 1 TFUE, o czym przypomina motyw 1 preambuły. W myśl wskazanych powyżej przepisów każda osoba ma prawo do ochrony danych osobowych jej dotyczących. Zgodnie z art. 8 ust. 2 Karty praw podstawowych UE dane osobowe powinny być przetwarzane rzetelnie w określonych celach i za zgodą osoby zainteresowanej lub na innej uzasadnionej podstawie przewidzianej ustawą; każdy ma prawo dostępu do zebranych danych, które go dotyczą, i prawo do dokonania ich sprostowania, natomiast ust. 3 wskazanego tu artykułu stanowi, iż przestrzeganie tych zasad podlega kontroli niezależnego organu.

Przepis art. 16 ust. 2 TFUE uprawnia Parlament Europejski i Radę UE do tego, aby stanowiąc zgodnie ze zwykłą procedurą ustawodawczą, określiły zasady dotyczące ochrony osób fizycznych w zakresie przetwarzania danych osobowych przez instytucje, organy i jednostki organizacyjne Unii oraz przez państwa członkowskie w wykonywaniu działań wchodzących w zakres zastosowania prawa Unii, a także zasady dotyczące swobodnego przepływu takich danych. W odniesieniu do unijnych instytucji i organów zasady zostały określone w rozporządzeniu Parlamentu Europejskiego i Rady 2018/1725 z 23 października 2018 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych przez instytucje, organy i jednostki organizacyjne Unii i swobodnego przepływu takich danych oraz uchylenia rozporządzenia (WE) nr 45/2001 i decyzji nr 1247/2002/WE (Dz. Urz. UE L 295, s. 39 i n.), natomiast zasady ochrony danych przez państwa członkowskie regulowane są przepisami RODO.

Zmniejszanie się autonomii jednostki jest znakiem naszych czasów, jednak polski ustawodawca konstytucyjny wymaga, aby następowało to w sposób określony w art. 31 ust. 3 Konstytucji RP.

Podkreślić należy, że dane osobowe są elementem konstytucyjnego prawa do prywatności. Zatem przepis art. 6 ust. 1 RODO należy postrzegać w kategoriach regulacji prawnej wprowadzającej ograniczenia w zakresie prawa do prywatności, co pociąga za sobą dwie konsekwencje. Pierwszą odnoszoną do stanowienia prawa, drugą do stosowania prawa. Gdy idzie o stanowienie prawa, ramy dalszego ograniczania prawa przez ustawodawcę zwykłego, poza przypadkami wskazanymi w przepisach art. 6 ust. 1 RODO, nakłada przepis art. 31 ust. 3 Konstytucji RP. Dopuszcza on możliwość ograniczania praw uregulowanych w Konstytucji, pod warunkiem, że ograniczenia w zakresie korzystania z konstytucyjnych wolności i praw ustanawiane są w ustawach i tylko wtedy, gdy są konieczne w demokratycznym państwie dla jego bezpieczeństwa lub porządku publicznego, bądź dla ochrony środowiska, zdrowia i moralności publicznej, albo wolności i praw innych osób. Poza wymogami formalnymi i materialnym ograniczenia te nie mogą naruszać istoty wolności i praw.

Z punktu widzenia procesów stosowania prawa przepis art. 6 ust. 1 RODO, jako wprowadzający ograniczenia w zakresie konstytucyjnego prawa do prywatności, należy interpretować wyłącznie w ramach tzw. wykładni literalnej, tj. wykładni ścisłej, takiej, której rezultat pokrywa się z wynikiem wykładni językowej (vide szerzej na ten temat TK w orzeczeniu z 28.06.2000 r., K 25/99, OTK 2000, nr 5, poz. 141). Wymóg zastosowania technik tej wykładni wynika z charakteru przepisów art. 6 ust. 1 RODO, które mają charakter ograniczający prawa lub wolności jednostki. Stanowisko co do obowiązku interpretowania wedle reguł wykładni literalnej przepisów tego rodzaju jest ugruntowane w orzecznictwie TK (vide: wyrok TK z 25 lutego 1999 r., K 23/98, OTK 1999, nr 2, poz. 25), orzecznictwie SN (np. postanowienie SN z 14 stycznia 2009 r., IV CSK 344/08), a przede wszystkim orzecznictwie NSA, który prezentuje je konsekwentnie od początku swojej działalności (np. wyrok NSA z 15 czerwca 2000 r., I SA/Gd 606/98; wyrok NSA z 1 czerwca 2004 r., GSK 30/04 – publik. CBOSA), jak również w doktrynie (jako przykład wskazać można: L. Morawski, Zasady wykładni prawa, Toruń 2014, s. 191 i nast.).

Przekładając te ustalenia na problem wykładni przepisu art. 6 ust. 1 lit. c RODO, interpretacja użytego w tym przepisie wyrażenia językowego "obowiązku prawnego", który ciążył na administratorze, wymagała przyjęcia takiego rozumienia tego wyrażenia, zgodnie z którym obowiązkiem prawnym jest tylko taki obowiązek, który wynika wyraźnie z przepisów ustawy lub z przepisów do ustawy wykonawczych. Chodzić zatem musi o przepis prawa, który na gruncie rozumienia uzyskanego w drodze zastosowania dyrektyw wykładni językowej prowadzić będzie do rezultatu, zgodnie z którym określony przepis ustawowy lub wykonawczy nakładać będzie na konkretny podmiot prawo, a zarazem obowiązek przetwarzania sprecyzowanych danych osobowych, określając zakres, okoliczności, warunki i czas przetwarzania. Na gruncie rozpoznawanej sprawy wskazane wyżej przepisy prawa bankowego przewidują w art. 105 ust. 4 Prawa bankowego podmiot, który może przetwarzać dane osobowe uzyskiwane w trakcie świadczenia usług bankowych, zaś w art. 105a ust. 1-6 Prawa bankowego regulują szczegółowe warunki, zakres, okoliczności i czas przetwarzania tych danych osobowych. Przepisy ust. 1 i 1a wskazują cele, którym może służyć przetwarzanie danych osobowych, przepis ust. 1b kategorie danych osobowych, które mogą być przetwarzane, przepis ust. 2 – przesłankę legalizującą przetwarzanie danych w postaci zgody osoby fizycznej, przepis ust. 3 – warunki przetwarzania danych osobowych bez zgody osoby fizycznej, przepis ust. 4 – warunki i cele przetwarzania danych osobowych bez zgody osoby fizycznej po wygaśnięciu zobowiązania, przepis ust. 5 – czas przetwarzania danych osobowych, a przepis ust. 6 – zakres przetwarzanych danych obejmujący dane o osobie fizycznej oraz o treści zobowiązania.

Istotne jest podkreślenie, iż przepisy te odnoszą się wyłącznie do przetwarzania danych osobowych klientów banku, z którymi doszło do nawiązania relacji prawnej o charakterze zobowiązaniowym. Interpretacja tych przepisów z zastosowaniem reguł wykładni językowej prowadzić musi do wniosku, iż nie jest dopuszczalne przetwarzanie danych osobowych klientów banków, z którymi nie doszło do nawiązania przez bank stosunku zobowiązaniowego. Bank, ani podmiot, o którym mowa w art. 105 ust. 4 Prawa bankowego nie ma "obowiązku prawnego" w rozumieniu art. 6 ust. 1 lit. c RODO przetwarzania danych osobowych klienta banku, z którym nie doszło do nawiązania relacji prawnej zobowiązaniowej, gdyż przepisy art. 105a ust. 1-6 Prawa bankowego nie zawierają upoważnienia dla administratora do przetwarzania danych osobowych takiego klienta, ograniczając swój zakres wyłącznie do klientów, którzy zawarli umowę z bankiem. Prowadzić to musi to konkluzji, iż brak było możliwości przetwarzania danych osobowych M. T. przez B. S.A. W., gdyż osoba ta nie zawarła umowy z Bankiem [...] S.A. w W.

Naczelny Sąd Administracyjny uznał także, iż podstawą przetwarzania danych osobowych klienta banku, z którym nie nawiązano stosunku zobowiązaniowego, nie mógł być również przepis art. 6 ust. 1 lit. f RODO. Punktem spornym była interpretacja tego przepisu, a w szczególności wyrażenia "prawnie uzasadnionych interesów". Skład Naczelnego Sądu Administracyjnego nie podzielił rozszerzającej wykładni tego wyrażenia językowego dokonanej przez sąd I instancji. Prawnie uzasadniony interes to interes wynikający z przepisu prawa. Jest to zatem interes obiektywnie istniejący i mający swoje umocowanie w skonkretyzowanym przepisie obowiązującego prawa (tak J. Zimmermann, Prawo administracyjne, Warszawa 2018, s. 367; A. Duda, Interes prawny w polskim prawie administracyjnym, Warszawa 2008, passim). Przyjęcie rozumienia, zgodnie z którym prawnie uzasadniony interes to każdy interes, który jest zgodny z prawem, prowadziłoby w konsekwencji do legalizacji przetwarzania danych osobowych we wszystkich sytuacjach, które są objęte regulacją ustawową i dotyczących interesów, które są z nią zgodne. W swej istocie doszłoby w ten sposób do drastycznego ograniczenia prawa do prywatności w zakres danych osobowych z naruszeniem wymogów wynikających z przepisu art. 31 ust. 3 Konstytucji RP. Przyjęta interpretacja przepisu art. 6 ust. 1 lit f RODO jest zatem sprzeczna z Konstytucją i prowadzi do pogwałcenia konstytucyjnych wymogów ograniczania praw lub wolności konstytucyjnych. Podkreślić należy, że do przepisów art. 6 ust. 1 RODO, jako ograniczających konstytucyjne prawo do prywatności, znaleźć mogą zastosowanie wyłącznie dyrektywy językowe prowadzące do rezultatów wykładni literalnej.

Zasadność zarzutów 4. i 5. związana z błędną wykładnią przepisów prawa materialnego prowadzi w swych konsekwencjach do całkowitej bezzasadności zarzutów naruszenia prawa procesowego sformułowanych w punktach 1.-3., jako że ich istota opierała się na założeniu przez sąd I instancji, że przyjęta przez niego interpretacja norm materialnych jest prawidłowa. Zdaniem Naczelnego Sądu Administracyjnego organ nadzoru przeprowadził wyczerpujące postępowanie wyjaśniające, ustalił wszystkie istotne z punktu widzenia prawnie relewantnej normy prawa materialnego okoliczności faktyczne, dokonał ich oceny odpowiadającej wymogom z art. 80 k.p.a., a czynności procesowe przeprowadził w zgodzie z zasadami postępowania jurysdykcyjnego, w tym zasadami wynikającymi z przepisów art. 7, art. 7b i art. 8 § 1 k.p.a.. Istotne w sprawie było ustalenie, że z klientem banku M. T. nie doszło do zawarcia umowy. Organ prawidłowo zinterpretował stosowaną normę materialną, a następnie przeprowadził poprawny proces jej zastosowania do tak ustalonego stanu faktycznego, skutkiem czego prawidłowo zastosował w kolejnym kroku normę sankcjonującą. Szczególną dezaprobatę należy wyrazić względem stanowiska procesowego sądu I instancji nakazującego organowi nadzoru współpracę z Komisją Nadzoru Finansowego w zakresie w gruncie rzeczy ustalania treści normy materialnej znajdującej zastosowanie w sprawie. Sąd ten bowiem oczekiwał, iż przez realizację procesowego obowiązku współdziałania z KNF prowadzonego w oparciu o przepis art. 7b k.p.a. i ustalenia treści jej działalności regulacyjnej wykonywanej względem banków i innych instytucji rynku finansowego dojdzie w istocie do ustalenia treści normy materialnej w postaci treści przesłanki legalizującej przetwarzanie danych osobowych. Ustalenie znaczenia normy materialnej następuje w oparciu o obowiązujące prawo przy użyciu właściwych dla danej dziedziny lub specyfiki stosowanej normy dyrektyw wykładni, zaś obowiązek procesowy współdziałania wynikający z art. 7b k.p.a. odnoszony może być do wyjaśnienia stanu faktycznego i prawnego sprawy, lecz nie w zakresie jego wykładni, która jest zastrzeżona do wyłącznej kognicji organu stosującego prawo i nie jest ustalana w drodze współdziałania z innym organem administrującym. W konsekwencji powyższego żaden z zarzutów określonych w punktach 1-3 nie mógł okazać się uzasadniony.

Rozpoznanie zarzutów skargi kasacyjnej prowadzi do automatycznego rozpoznania zarzutów podniesionych w skardze, jaką wniosło B. S.A. do sądu I instancji. Podniesione w skardze zarzuty zogniskowane było wokół tych samych problemów, które zostały wyrażone w zarzutach skargi kasacyjnej. W konsekwencji tego uwzględniając skargę kasacyjną w całości Naczelny Sąd Administracyjny, działając na podstawie art. 188 p.p.s.a., uchylił zaskarżony wyrok, uznał skargę za pozbawioną podstaw i na podstawie art. 151 p.p.s.a. ją oddalił. O zwrocie kosztów postępowania orzeczono na podstawie 203 pkt 2 p.p.s.a.