Centralna Baza Orzeczeń Sądów Administracyjnych

Wojewódzki Sąd Administracyjny w Warszawie w składzie następującym: Przewodniczący Sędzia WSA Tomasz Szmydt (spr.), Sędzia WSA Andrzej Góraj, Asesor WSA Mateusz Rogala, , Protokolant specjalista Joanna Głowala, , po rozpoznaniu na rozprawie w dniu 30 stycznia 2024 r. sprawy ze skargi Banku [...] S. A. z siedzibą w [...] na decyzję Prezesa Urzędu Ochrony Danych Osobowych z dnia [...] września 2022 r. nr [...] w przedmiocie przetwarzania danych osobowych oddala skargę

Bank [...] złożył skargę na decyzję Prezesa Urzędu Ochrony Danych Osobowych z dnia [...] września 2022 r., wydaną w przedmiocie przetwarzania danych osobowych.

Do Prezesa Urzędu Ochrony Danych Osobowych wpłynęła skarga A. B. oraz B. B. (zwanych dalej Skarżącymi), na nieprawidłowości w procesie przetwarzania ich danych osobowych przez Bank [...] z siedzibą w [...] (zwaną dalej Bankiem), polegające na udostępnieniu danych osobowych Skarżących, dotyczących opóźnień w spłacie umowy nr [...] na rzecz Biura Informacji Kredytowej Spółki Akcyjnej z siedzibą w [...] (zwaną dalej BIK).

W toku prowadzonego postępowania administracyjnego, Prezes Urzędu Ochrony Danych Osobowych ustalił następujący stan faktyczny:

1. Skarżący wskazali, że łączy ich z Bankiem umowa nr [...] o kredyt indeksowany do waluty [...] z dnia [...] sierpnia 2005 roku. Skarżący zainicjowali postępowanie sądowe w przedmiocie stwierdzenia przez sąd powszechny nieważności powyższej umowy żądając udzielenia im zabezpieczenia poprzez wstrzymanie obowiązku zapłaty rat wynikających z tejże umowy. Postanowieniem z dnia [...] września 2020 roku Sąd Okręgowy w [...] udzielił Skarżącym zabezpieczenia poprzez wstrzymanie obowiązku dokonywania spłat rat kredytu wynikających z umowy nr [...] do czasu uprawomocnienia się orzeczenia kończącego ww. postępowanie sądowe. Postanowienie to jest wykonalne z dniem wydania oraz zostało z urzędu zaopatrzone w klauzulę wykonalności. Skarżący w związku z tym, pismem z dnia [...] września 2020 roku powiadomili Bank o zaprzestaniu spłaty rat kredytu, stosownie do postanowienia Sądu. Pismo to zostało doręczone Bankowi w dniu 21 września 2020 roku, co wynika z potwierdzenia odbioru przesyłki listowej poleconej. W dniu 29 października 2020 roku Skarżący uzyskali informację o przekazaniu przez Bank do BIK informacji odnośnie opóźnienia Skarżących w spłacie zobowiązań rat wynikających z umowy nr [...]. W związku z powyższym, w skardze wniesionej do Prezesa Urzędu Ochrony Danych Osobowych Skarżący wnieśli o pociągnięcie Banku do odpowiedzialności finansowej w związku z dokonanym naruszeniem (dowód: skarga z dnia 1 listopada 2020 roku wraz z załącznikami).

2. Bank wskazał, że pozyskał dane osobowe Skarżących po raz pierwszy w lipcu 2005 roku w celu zawarcia umowy o prowadzenie rachunku bankowego, następnie Skarżący zawarli z Bankiem umowy na inne produkty, w tym kredyt hipoteczny nr [...]. Bank oświadczył, że w każdym przypadku dane pozyskano w celu zawarcia umowy na podstawie art. 6 ust. 1 lit. b i rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz. Urz. UE L 119 z 4.05.2016, str. 1, Dz. Urz. UE L 127 z 23.05.2018, str. 2 oraz Dz. Urz. UE L 74 z 4.03.2021, str. 35), dalej RODO (dowód: wyjaśnienia Banku z dnia [...] grudnia 2020 roku oraz z dnia [...] grudnia 2021 roku).

3. Bank wyjaśnił, że dane o opóźnieniach w spłacie rat kredytu wynikających z umowy nr [...] były przekazywane do BIK do dnia [...] listopada 2020 roku, to jest do daty wykonaniu pisemnego wezwania do zaprzestania naruszeń ochrony danych osobowych skierowanego do Banku przez pełnomocnika Skarżących w dniu [...] października 2020 roku (dowód: wyjaśnienia Banku z dnia [...] grudnia 2021 roku).

4. Z wyjaśnień złożonych przez BIK i Bank wynika, że informacja o opóźnieniach w spłacie rat kredytu wynikających z umowy nr [...] została usunięta z baz BIK przez Bank w dniu [...] listopada 2020 roku (dowód: wyjaśnienia BIK datowane na dzień [...] maja 2021 roku oraz wyjaśnienia Banku z dnia [...] grudnia 2021 roku wraz z załącznikami).

Po zapoznaniu się z całością zgromadzonego w sprawie materiału dowodowego. Prezes Urzędu Ochrony Danych Osobowych, zwany dalej Prezesem Urzędu, zważył co następuje. W pierwszej kolejności wskazał, że przepisem regulującym przesłanki przetwarzania danych osób fizycznych jest art. 6 ust. 1 RODO, zgodnie z którym, przetwarzanie danych jest dopuszczalne tylko wtedy, gdy spełniona jest jedna z przesłanek wskazanych w tym przepisie. Katalog przesłanek wymienionych w art. 6 ust. 1 RODO, jest zamknięty. Każda z przesłanek legalizujących proces przetwarzania danych osobowych ma charakter autonomiczny i niezależny.

Co do zasady podstawą prawną przetwarzania danych osobowych klientów przez Bank w BIK może być obecnie art. 6 ust. 1 lit. f RODO, gdy przetwarzanie to jest niezbędne do celów wynikających z prawnie uzasadnionych interesów realizowanych przez administratora. Wskazał, że BIK jest instytucją utworzoną na podstawie art. 105 ust. 4 ustawy z dnia 29 sierpnia 1997 r. Prawo bankowe (t.j. Dz. U. z 2021 r. poz. 2439), dalej Prawo bankowe, który stanowi, że banki mogą, wspólnie z bankowymi izbami gospodarczymi, utworzyć instytucje upoważnione do gromadzenia, przetwarzania i udostępniania bankom informacji stanowiących tajemnicę bankową w zakresie, w jakim informacje te są potrzebne w związku z wykonywaniem czynności bankowych oraz w związku ze stosowaniem metod wewnętrznych oraz innych metod i modeli, o których mowa w części trzeciej rozporządzenia nr 575/2013, innym instytucjom ustawowo upoważnionym do udzielania kredytów informacji stanowiących tajemnicę bankową w zakresie, w jakim informacje te są niezbędne w związku z udzielaniem kredytów, pożyczek pieniężnych, gwarancji bankowych i poręczeń (pkt 2), instytucjom kredytowym informacji stanowiących tajemnicę bankową w zakresie niezbędnym do oceny zdolności kredytowej konsumenta, o której mowa wart. 9 ustawy z dnia 12 maja 2011r. o kredycie konsumenckim (pkt 3), instytucjom pożyczkowym i podmiotom, o których mowa wart. 59d ustawy z dnia 12 maja 2011 r. o kredycie konsumenckim na zasadzie wzajemności, informacji stanowiących odpowiednio tajemnice bankową oraz informacje udostępnione przez instytucje pożyczkowe oraz podmioty, o których mowa w art. 59d ustawy z dnia 12 maja 2011 r. o kredycie konsumenckim, w zakresie niezbędnym do oceny zdolności kredytowej konsumenta, o której mowa w art. 9 tej ustawy, i analizy ryzyka kredytowego (pkt 4).

Zgodnie z art. 105a ust 1 Prawa bankowego, przetwarzanie przez banki, inne instytucje ustawowo upoważnione do udzielania kredytów, instytucje pożyczkowe oraz podmioty, o których mowa w art. 59d ustawy z dnia 12 maja 2011 r. o kredycie konsumenckim, a także instytucje utworzone na podstawie art. 105 ust. 4, informacji stanowiących tajemnicę bankową i informacji udostępnionych przez instytucje pożyczkowe oraz podmioty, o których mowa w art. 59d ustawy z dnia 12 maja 2011 r. o kredycie konsumenckim, w zakresie dotyczącym osób fizycznych może być wykonywane, z zastrzeżeniem art. 104, 105 i art. 106 - 106d Prawa bankowego w celu oceny zdolności kredytowej i analizy ryzyka kredytowego.

Jak stanowi natomiast art. 105 ust. 4i Prawa bankowego, banki i instytucje, o których mowa w ust. 4 pkt 2 i 3, obowiązane są do informowania instytucji utworzonych na podstawie ust. 4 o całkowitej spłacie zobowiązań, ich wygaśnięciu, stwierdzeniu nieistnienia zobowiązania, korekcie jego wysokości oraz o nowo powstałych zobowiązaniach i ich aktualizacji, w terminie 7 dni od wystąpienia okoliczności uzasadniających przekazanie informacji. Instytucja utworzona na podstawie ust. 4 obowiązana jest wprowadzić informacje, o których mowa w zdaniu poprzedzającym, do zbioru, w którym są one przetwarzane, w terminie nie dłuższym niż 7 dni od dnia ich otrzymania.

W toku postępowania ustalono, iż przed Sądem Okręgowym w [...] [...] Wydział [...] z powództwa Skarżących, toczy się postępowanie sądowe w przedmiocie stwierdzenia przez sąd powszechny nieważności umowy nr [...] z dnia [...] sierpnia 2005 roku. Postanowieniem z dnia [...] września 2020 roku Sąd Okręgowy w [...] udzielił Skarżącym zabezpieczenia poprzez wstrzymanie obowiązku dokonywania spłat rat kredytu do czasu uprawomocnienia się orzeczenia kończącego ww. postępowanie sądowe. Postanowienie to jest wykonalne z dniem wydania oraz zostało z urzędu zaopatrzone w klauzulę wykonalności. Skarżący pismem z dnia 14 września 2020 roku powiadomili Bank o zaprzestaniu spłaty rat kredytu, stosownie do postanowienia Sądu. Pismo zostało odebrane przez Bank w dniu 21 września 2020 roku, a zatem termin 7 dniowy wskazany w art. 105 ust. 4i Prawa bankowego upłynął w dniu 28 września 2020 roku.

Prezes UODO wskazał, iż podzielić należy stanowisko, zgodnie z którym dane gromadzone przez Biuro Informacji Kredytowej powinny odzwierciedlać rzeczywisty stan zobowiązań kredytowych. Powyższe stanowisko organu znajduje oparcie w Postanowieniu Sądu Okręgowego w [...] z dnia [...] września 2021 r., sygn. akt [...] (jak również Postanowieniu SO w [...] z [...] września 2021 r., [...]; Postanowieniu SO w [...] z [...] września 2021 r., [...]), zgodnie z którym cyt.: "W kwestii zakazania pozwanemu przekazywania informacji do Biura Informacji Kredytowej, w Systemie Bankowym Rejestru oraz innych podobnych podmiotów na temat stanu realizacji kredytu i niedokonywaniu spłat rat kredytu, Sąd również nie mógł uwzględnić wniosku powodów. Byłoby to sprzeczne z treścią art. 105 ust. 4i ustawy z dnia 29 sierpnia 1997 r. - Prawo bankowe (tj. Dz. U. z 2020 r. poz. 1896 z późn. zm.). Z treści pkt 1 postanowienia wynika wręcz obowiązek pozwanego przekazania do podmiotów wskazanych w art. 105 ust. 4 ww. ustawy danych o tym, że splata ww. kredytu uległa zawieszeniu na mocy niniejszego postanowienia Sądu."

W ocenie Prezesa Urzędu Ochrony Danych Osobowych, w niniejszej sprawie, w okresie od dnia 28 września 2020 r. do dnia 24 listopada 2020 roku Bank nie miał

podstaw prawnych do przetwarzania danych osobowych Skarżących dotyczących opóźnień W spłacie umowy nr [...] o kredyt indeksowany do waluty [...] z dnia [...] sierpnia 2005 roku w systemie BIK. W odniesieniu do powyższego przetwarzania danych osobowych Skarżących nie zaistniała żadna, z wyrażonych w art. 6 ust. 1 RODO przesłanek, która stanowiłaby o legalności tego procesu.

Postępowanie administracyjne prowadzone przez Prezesa Urzędu Ochrony Danych Osobowych służy kontroli zgodności przetwarzania danych osobowych z przepisami o ochronie danych osobowych i jest ukierunkowane na wydanie decyzji administracyjnej na podstawie art. 58 ust. 2 RODO. Z uwagi na to, że Bank od dnia 28 września 2020 r. do dnia 24 listopada 2020 roku przetwarzał dane osobowe Skarżących, w zakresie informacji o opóźnieniach w spłacie umowy nr [...] w systemie BIK bez podstawy prawnej, Prezes Urzędu Ochrony Danych Osobowych, korzystając z uprawnienia przewidzianego w art. 58 ust. 2 lit. b RODO udzielił Bankowi upomnienia za ww. naruszenie.

Bank [...] złożył skargę na decyzję Prezesa Urzędu Ochrony Danych Osobowych z dnia [...] września 2022 r., wydaną w przedmiocie przetwarzania danych osobowych.

Zaskarżonej decyzji zarzucał:

1. naruszenie przepisów postępowania, tj. art. 28 k.p.a., poprzez skierowanie decyzji do podmiotu niebędącego stronę w sprawie, tj. do Skarżącego podczas gdy z sentencji decyzji wynika, że dotyczy ona przetwarzania danych osobowych A. B. oraz B. B., (dalej: "Klientów") w BIK, co stanowi podstawę do stwierdzenia nieważności decyzji w całości w oparciu art. 156 § 1 pkt 4 k.p.a.;

Ponadto, z ostrożności procesowej, w przypadku nieuznania przez Sąd istnienia podstaw do stwierdzenia nieważności Decyzji na podstawie art. 156 § 1 pkt 4 k.p.a. zaskarżonej decyzji zarzucał:

2. naruszenie prawa materialnego, które miało wpływ na wynik sprawy, tj. art. 12 ust. 3 i art. 19 Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych, dalej: "RODO", Rozporządzenie") polegające na ich niezastosowaniu w przedmiotowej sprawie przez Prezesa Urzędu Ochrony Danych Osobowych (dalej: "Organ", "PUODO"), podczas gdy Skarżący po otrzymaniu od Klientów wniosku dotyczącego przetwarzania ich danych osobowych (zawartego w piśmie z dnia [...] października 2020 r. złożonym przez pełnomocnika Klientów), rozpatrzył ww. wniosek w terminie wynikającym z art. 12 ust. 3 RODO, a następnie zgodnie z dyspozycją art. 19 RODO przekazał wymagane informacje do BIK jako odbiorcy, któremu ujawniono dane osobowe;

3. naruszenie prawa materialnego, które miało wpływ na wynik sprawy, tj. art. 6 ust. 1 lit. c RODO w zw. z art. 105 ust. 4i ustawy z dnia 29 sierpnia 1997r. - Prawo bankowe (t.j. Dz.U.2021.2439, dalej: "Prawo bankowe") w zw. z art. 16 RODO polegające na ich niezastosowaniu w przedmiotowej sprawie przez PUODO i w efekcie przyjęciu, że Bank nie miał podstawy prawnej do udostępnienia danych osobowych Klientów w zakresie informacji o opóźnieniach w spłacie Umowy BIK w okresie od dnia 28 września 2020 r. do dnia 24 listopada 2020 r, w sytuacji gdy zgodnie z art. 105 ust 41 Prawa bankowego Skarżący jako bank obowiązany jest do przekazywanie do BIK informacji o zobowiązaniach, tym samym dysponował jedną z przesłanek wynikających z art. 6 ust. 1 RODO, tj. art. 6 ust. 1 lit. c RODO, jak również Bank udostępniał ww. dane w ww. okresie zgodnie z danymi posiadanymi w swoich bazach do czasu rozpatrzenia wniosku Klientów o sprostowanie danych złożonego na podstawie art. 16 RODO w piśmie z dnia [...] października 2020 r.;

4. naruszenie przepisów postępowania, które mogło mieć istotny wpływ na wynik sprawy, tj. naruszenie art. 7, art. 77 5 1 k.p.a. polegającej na nie wyczerpującym zebraniu oraz rozpatrzeniu materiału dowodowego, skutkujące pominięciem istotnych w sprawie (i wskazywanych w toku postępowania) podstaw prawnych regulujących obsługę praw podmiotów danych, terminy materialnoprawne obsługi żądań podmiotów danych jak również brakiem ustalenia, że BIK jest odrębnym, niezależnym od Skarżącego administratorem danych Klientów, co skutkowało błędnym uznaniem przez PUODO, że Bank powinien wykazać istnienie podstawy prawnej wynikającej z art. 6 ust. 1 RODO dla legalności przetwarzania danych Klientów przez BIK, w bazach administrowanych przez BIK, a w konsekwencji błędnym uznaniem, że informacja o opóźnieniach w spłacie rat kredytu wynikających z Umowy została usunięta z baz BIK przez Bank w dniu 24 listopada 2020 r., podczas gdy Skarżący nie ma możliwości ingerowania w bazy danych administrowane przez BIK w roli odrębnego administratora, a ww. informacje zostały usunięte przez BIK z baz danych administrowanych przez BIK na podstawie informacji przekazanej przez Skarżącego do BIK.

W świetle powyższego na podstawie art. 145 § 1 pkt 2 p.p.s.a. Skarżący wnosił o stwierdzenie nieważności skarżonej w całości decyzji, zaś w przypadku nieuznania przez Sąd istnienia podstaw do stwierdzenia nieważności decyzji na podstawie art. 145 § 1 pkt 1 lit. a i c p.p.s.a. wnosił o uchylenie zaskarżonej decyzji w całości.

Bank [...] wskazywał, że BIK formalnoprawnie jest odrębnym od Skarżącego podmiotem, a co za tym idzie niezależnym administratorem danych przetwarzanych w bazach administrowanych przez BIK. Dlatego też, decyzja dotycząca podstaw przetwarzania danych w bazach BIK powinna być skierowana do BIK, a nie do Skarżącego. Na występowanie BIK w roli odrębnego od Banku administratora, Organ wskazywał m.in. w decyzji z dnia [...] lipca 2020 r. wydanej w sprawie o sygn. [...], gdzie stwierdził, iż: "Istotne dla rozstrzygnięcia w przedmiotowej sprawie jest jednak to, że w chwili obecnej to BIK jest administratorem zbioru, w którym przetwarzane są dane osobowe Skarżącej z zapytań kredytowych. Wobec powyższego Skarżąca wniosek o usunięcie jej danych osobowych przetwarzanych w systemie BIK dotyczących zapytań kredytowych powinna skierować do BIK, a nie do Banku. Prezes Urzędu nie mógł więc nakazać Bankowi usunięcia danych osobowych Skarżącej zawartych w zapytaniu kredytowym nr [...]. Dane osobowe Skarżącej nie są w chwili obecnej przetwarzane w sposób kwestionowany przez Skarżącą przez Bank lecz przez BIK, który jest ich niezależnym administratorem.".

Powyższe znajduje swoje odzwierciedlenie w umowie łączącej Skarżącego z BIK, na podstawie której przekazywane są dane dotyczące zobowiązań kredytowych. Zgodnie z umową oba podmioty są odrębnymi administratorami.

Mając na uwadze powyższe, jak również przesłankę stanowiącą podstawę do stwierdzenia nieważności decyzji określoną w art. 156 § 1 pkt 4 k.p.a., w ocenie Skarżącego decyzja została wydana wobec podmiotu niebędącego stroną w sprawie, a zatem powinna zostać uznana za nieważną.

Skarżący wskazywał, iż zgodnie z art. 12 ust. 3 RODO administrator bez zbędnej zwłoki - a w każdym razie w terminie miesiąca od otrzymania żądania - udziela osobie, której dane dotyczą, informacji o działaniach podjętych w związku z żądaniem na podstawie art. 15-22 RODO. Pełnomocnik Klientów w piśmie z dnia [...] października 2020 r. wezwał Skarżącego m.in. do usunięcia danych z rejestrów BIK, co wprost wynika już z samego tytułu pisma. Ww. pismo, z uwagi na tytuł, jak również fakt przygotowania przez profesjonalnego pełnomocnika, zostało zakwalifikowane jako wniosek złożony na podstawie przepisów RODO. Skarżący zaznacza, że z uwagi na brak podstaw do usunięcia danych Klientów przez Bank, Bank w zw. ze złożonym wnioskiem dokonał sprostowania danych Klientów. Mając na uwadze powyższe, w ocenie Skarżącego, obowiązany on był do realizacji ww. żądania Klientów zgodnie z terminem określonym w art. 12 ust. 3 RODO, tj. co do zasady w terminie miesiąca od otrzymania żądania. Wniosek Klientów w zakresie usunięcie ich danych z baz BIK, tym bardziej że wniosek złożony został przez profesjonalnego pełnomocnika Klientów, powinien być złożony bezpośrednio do BIK, jako odrębnego administratora danych Klientów - tak zresztą działa w BIK w oparciu o utartą praktykę rynkową (tego typu żądania są obsługiwane w BIK na co dzień). Niemniej Bank po analizie i rozpatrzenie ww. wniosku Klientów na podstawie art. 19 RODO poinformował BIK o konieczności dokonania aktualizacji informacji o Klientach przetwarzanych w bazach BIK.

W ocenie Skarżącego w przypadku zastosowania przez PUODO ww. przepisów w sprawie, winien on uznać skargę złożoną przez Klientów jako bezzasadną.

Skarżący wskazał, iż organ w wydanej decyzji stwierdził, że Bank naruszył art. 6 ust. 1 RODO poprzez przetwarzanie danych osobowych Klientów w zakresie informacji o opóźnieniach w spłacie Umowy w BIK. w okresie od dnia 28 września 2020 r. do dnia 24 listopada 2020 r., bez podstawy prawnej.

Natomiast, Bank jest podmiotem dysponującym właściwą podstawą prawną udostępniania danych o zobowiązaniach Klientów do BIK, tj. art. 6 ust. 1 lit. c RODO w związku z art. 105 ust. 4i Prawa bankowego - niezbędnością przetwarzania do wypełnienia ciążącego na Banku obowiązku prawnego wynikającego z przepisów Prawa bankowego. Tym samym Bank jest podmiotem zobowiązanym na podstawie przepisów Prawa bankowego do przekazywania informacji o zobowiązaniach Klientów do BIK. Zobowiązanie takie potwierdza również par. 5 ust. 1 Umowy w sprawie gromadzenia, przetwarzania i udostępniania informacji w Bazie SI BIK "Kredytobiorcy" zawartej pomiędzy Bankiem a BIK z dnia [...] czerwca 2018 r. (dalej: "Umowa z BIK"). Dane rachunku Klientów zgodnie z ww. przepisami prawa były i są (zobowiązanie nadal istnieje) przekazywane do BIK, obecnie jednak z uwagi na aktualizację danych nie są przekazywane informacje o opóźnieniach (salda należności wymagalnych oraz liczba dni opóźnienia wynoszą zero i tak jest od 24 listopada 2020 r.). Innymi słowy na podstawie postanowienia sądu, po jego dokładnym przeanalizowaniu, dokonano sprostowania danych w oparciu m.in. o art. 16 RODO, pomimo błędnego wskazania przez Klientów żądania usunięcia danych.

W historii rachunku nr [...] tj. rachunku Klientów, dane o opóźnieniach były przekazywane do 20 listopada 2020 r., tj. do daty realizacji wezwania z dnia [...] października 2020 r., przestanego przez pełnomocnika Skarżących. Przekazywane dane były zgodnie z danymi znajdującymi się w systemach Banku dot. ww. rachunku.

Jednocześnie Bank podkreśla, że przedmiotem zabezpieczenia wydanego przez Sąd

Okręgowy w [...] w dniu [...] września 2020 r. w sprawie o sygn. akt [...] nie jest przekazywanie danych do BIK.

Bank zarzucił pominięcie istotnych w sprawie (i wskazywanych w toku postępowania) podstaw prawnych regulujących obsługę praw podmiotów danych, terminy materialnoprawne obsługi żądań podmiotów danych oraz występowania w sprawie innego administratora, stanowi w ocenie Skarżącego naruszenie przepisu art. 7 oraz 77 § 1 k.p.a.

W ocenie Skarżącego, Organ zignorował podstawowe przepisy rozdziału III RODO, treść żądania Klientów przygotowaną przez profesjonalnego pełnomocnika, ale także przepisy regulujące przetwarzanie danych w BIK (w tym w szczególności art. 105 ust. 4 Prawa bankowego, na podstawie którego BIK przetwarza dane jako odrębny administrator) oraz treść umowy z BIK.

Zdaniem Skarżącego, Organ natomiast ustalił nawet niewłaściwą podstawę prawną przetwarzania danych przez samego Skarżącego (co ciekawe sprzeczną przede wszystkimi z innymi decyzjami samego Organu w sprawach BIK): Co do zasady podstawą prawną przetwarzania danych osobowych klientów przez Bank w BIK może być obecnie art. 6 ust. 1 lit. f RODO, gdy przetwarzanie to jest niezbędne do celów wynikających z prawnie uzasadnionych interesów realizowanych przez administratora. Zgodnie bowiem z utrwaloną linią orzeczniczą samego Organu (por. m.in. decyzje o sygn. [...], [...]), podstawą prawną przetwarzania danych w BIK (przez BIK) jest art. 6 ust. 1 lit. c RODO.

Ponadto nieprawdą jest, aby "Bank przetwarzał dane osobowe w BIK", skoro Bank i BIK to odrębne podmioty i w tym wypadku - dwaj odrębni administratorzy. Tego typu konkluzja nie znajduje poparcia w materiale dowodowym, stanie faktycznym czy w obowiązujących przepisach. Organ w tym zakresie dopuścił się oczywistego uchybienia wynikającego z pominięcia wspomnianej umowy z BIK, której treść jest znana Organowi (Bank przekazał przez ostanie dwa lata kilkadziesiąt kopii umowy z BIK na potrzeby rożnych postępowań, w tym również postępowania, na skutek którego została wydana decyzja). Na skutek ww. uchybień. Organ błędnie uznał, że informacja o opóźnieniach w spłacie rat kredytu wynikających z Umowy została usunięta z baz BIK przez Bank w dniu 24 listopada 2020 r.

Prezes Urzędu Ochrony Danych Osobowych wnosił o oddalenie skargi w całości.

Wojewódzki Sąd Administracyjny w Warszawie zważył, co następuje:

Zgodnie z art. 1 § 1 i 2 ustawy z dnia 25 lipca 2002 r. - Prawo o ustroju sądów administracyjnych (Dz. U. Nr 153, poz. 1269 ze zm.), sądy administracyjne sprawują wymiar sprawiedliwości przez kontrolę działalności administracji publicznej, sprawowaną pod względem zgodności z prawem, jeżeli ustawy nie stanowią inaczej. Na podstawie art. 134 § 1 ustawy z dnia 30 sierpnia 2002 r. - Prawo o postępowaniu przed sądami administracyjnymi (Dz. U. 2019.2325, zwanej dalej p.p.s.a.) Sąd przy rozstrzyganiu sprawy nie jest związany zarzutami i wnioskami skargi oraz powołaną podstawą prawną.

Oceniając zaskarżoną decyzję według powyższych kryteriów, uznać należy, iż była ona zgodna z prawem.

Prezes UODO na podstawie art. 104 § 1 ustawy z dnia 14 czerwca 1960 r. Kodeks postępowania administracyjnego (t. j. Dz. U. z 2021 r. poz. 735) w zw. z art. 7 ust. 1 i 2 ustawy z 10 maja 2018 r. o ochronie danych osobowych (t. j. Dz. U. z 2019 r. poz. 1781) oraz na podstawie art. 6 ust. 1 i art. 58 ust. 2 lit. b rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz. Urz. UE L 119 z 04.05.2016, str. 1 oraz Dz. Urz. UE L 127 z 23.05.2018, str. 2 oraz Dz. Urz. UE L 74 z 4.03.2021, str. 35), po przeprowadzeniu postępowania administracyjnego w sprawie skargi Pani A. B. oraz Pana B. B., na nieprawidłowości w procesie przetwarzania ich danych osobowych przez Bank [...] z siedzibą w [...], polegające na udostępnieniu ich danych osobowych, dotyczących opóźnień w spłacie umowy nr [...] na rzecz Biura Informacji Kredytowej Spółki Akcyjnej z siedzibą w [...], bez podstawy prawnej, Prezes Urzędu Ochrony Danych Osobowych udzielił Bankowi [...] z siedzibą w [...], upomnienia za naruszenie art. 6 ust. 1 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz. Urz. UE L 119 z 04.05.2016, str. 1 oraz Dz. Urz. UE L 127 z 23.05.2018, str. 2 oraz Dz. Urz. UE L 74 z 4.03.2021, str. 35), polegające na przetwarzaniu danych osobowych A. B., oraz Pana B. B., w zakresie informacji o opóźnieniach w spłacie umowy nr [...] w Biurze Informacji Kredytowej Spółki Akcyjnej z siedzibą w [...], w okresie od dnia 28 września 2020 roku do dnia 24 listopada 2020 roku, bez podstawy prawnej.

Należy przyznać rację Prezesowi UODO, iż przedmiotem niniejszego postępowania była ocena legalności (prawidłowości) procesu przetwarzania danych osobowych przez Bank w zakresie udostępnienia informacji o opóźnieniach w spłacie zobowiązania wynikającego z umowy nr [...] na rzecz BIK. Przedmiotem oceny w niniejszym postępowaniu nie była realizacja przez Bank wniosku o sprostowanie lub usunięcia danych osobowych. Niezasadny jest tym samum zarzut naruszenia art. 12 ust. 3 i 19 RODO, polegający na ich niezastosowaniu w przedmiotowej sprawie. Obowiązek Banku przekazania informacji o wydanym przez Sąd Okręgowy w [...] postanowieniu z dnia [...] września 2020 roku, który skutkował wstrzymaniem obowiązku Klientów Banku w dokonywania spłat rat kredytu nr [...] wynikał z przepisów Prawa bankowego, tj. art. 105 ust. 4i, zgodnie z którym Bank był zobowiązany do poinformowania BIK o aktualizacji zobowiązania. Jak wynika z materiału dowodowego zebranego w niniejszej sprawie Klienci powiadomili Bank o zaprzestaniu spłat rat kredytu, stosownie do postanowienia Sądu, pismem z dnia 14 września 2020 r., odebranym przez Bank w dniu 21 września 2020 r. Termin 7-dniowy wskazany w art. 105 ust. 4i Prawa bankowego upłynął zatem w dniu 28 września 2020 r.

Bank był zobowiązany do poinformowania BIK o udzielonym zabezpieczeniu na podstawie przepisu prawa. Opóźnienie Banku w przekazaniu informacji o zabezpieczeniu udzielonym przez Sąd skutkowało nieprawidłowym procesem przetwarzania danych w BIK, tj. danych w postaci informacji o zaległościach w spłacie zobowiązania.

Jak wskazuje Bank, w historii rachunku nr [...] tj. rachunku Klientów, dane o opóźnieniach były przekazywane do 20 listopada 2020 r., tj. do daty realizacji wezwania z dnia [...] października 2020 r., przestanego przez pełnomocnika Skarżących. Przekazywane dane były zgodnie z danymi znajdującymi się w systemach Banku dot. ww. rachunku. Należy jednak dodać, że dane z systemu Banku nie zostały zaktualizowane o informacje dotyczące udzielonego przez Sąd zabezpieczenia. Jednocześnie Bank podkreśla, że przedmiotem zabezpieczenia wydanego przez Sąd Okręgowy w [...] w dniu [...] września 2020 r. w sprawie o sygn. akt [...] nie jest przekazywanie danych do BIK. Tym nie mniej dane przekazywane do BIK powinny uwzględniać tego typu informacje, złożone przez Klientów Banku. BIK opera się bowiem na zasobie informacji przekazanym przez Bank, nie prowadzi w tym zakresie samodzielnych ustaleń czy weryfikacji danych.

Jak słusznie wskazał Prezes UODO, przedmiotem skargi w niniejszej sprawie nie była kwestia realizacji żądania Skarżących zgłoszonego we wniosku z dnia [...] października 2020 r. Skarżący nie zarzucili nieprawidłowości w zakresie realizacji przez Bank powyższego wniosku. Rozstrzygnięcie w niniejszej sprawie w żaden sposób nie odnosi się do sposobu realizacji przez Bank wniosku Skarżących z dnia [...] października 2020 r.

Organ w odpowiedzi na zarzut naruszenia prawa materialnego, tj. art. 6 ust. 1 lit. c RODO w zw. z art. 105 ust. 4i Prawa bankowego w zw. z art. 16 RODO, polegające na ich niezastosowaniu, prawidłowo wskazał, że Prezes UODO nie kwestionował w toku niniejszego postępowania istnienia podstaw prawnych do przetwarzania przez Bank danych osobowych Skarżących w zakresie istnienia zaległości w spłacie kredytu. Przedmiotem oceny Organu było udostępnienie ww. danych na rzecz BIK. Zachowanie Banku spowodowało, że dane Skarżących w okresie od dnia 28 września 2020 roku do dnia 24 listopada 2020 rok były przetwarzane nieprawidłowo. Nie nastąpiło bowiem zaktualizowanie danych w terminie wskazanym w art. 12 ust. 3 RODO.

Prezes UODO słusznie uznał, że to Bank nieprawidłowo przetwarzał dane osobowe Klientów, gdyż nie przekazał do BIK, w terminie wynikającym z przepisów prawa, informacji o postanowieniu Sądu o zabezpieczeniu i tym samym nie dokonał aktualizacji informacji o opóźnieniach w spłacie rat kredytu. Jednocześnie wskazać należy, że BIK nie dokonuje samodzielnie aktualizacji danych o zobowiązaniach, ale przetwarza te informacje zgodnie z treścią otrzymaną od banków, gdyż to Banki dysponują takimi informacjami, zatem to od działania lub zaniechania Banku uzależniona jest prawidłowość danych przetwarzanych w BIK. To Bank decydował o tym czy udostępnia do BIK dane osobowe, czy też nie, a jeżeli tak, to w jakim terminie. To Bank decydował ponadto jaki zakres danych podlega udostępnieniu i odpowiadał za sprawdzenie ich poprawności. Bez przekazania danych osobowych przez Bank, BIK nie dokonuje samodzielnie zmian dotyczących danych osobowych klienta Banku.

Podstawę prawną przetwarzania danych osobowych klientów przez Bank w systemie BIK stanowi m.in. art. 6 ust. 1 lit. f RODO, gdy przetwarzanie to jest niezbędne do celów wynikających z prawnie uzasadnionych interesów realizowanych przez administratora. Stosownie zaś do treści art. 6 ust. 3 RODO podstawa przetwarzania, o którym mowa w art. 6 ust. 1 lit. c) RODO musi być określona w prawie Unii lub w prawie państwa członkowskiego, któremu podlega administrator. Uznanie, iż co do zasady przetwarzanie danych osobowych klientów przez Bank w BIK następuje w oparciu o przesłankę z art. 6 ust. 1 lit. f RODO nie zmienia jednak faktu, że w związku z tym przetwarzaniem przepisy Prawa bankowego nakładają na Bank pewne obowiązki, m. in. obowiązek wynikający z art. 105 ust. 4i. W tym zakresie stanowisko Prezesa UODO również należy uznać za zasadne.

Wobec powyższego Prezes UODO uznając, że Bank nie wykonał obowiązku wynikającego z przepisów prawa w zakreślonym terminie, wydał decyzję mocą której udzielił Bankowi upomnienia za naruszenie art. 6 ust. 1 RODO. Decyzja ta skierowania była wyłącznie do Banku jako podmiotu decyzyjnego i odpowiedzialnego za aktualizację wpisów umieszczonych w systemie BIK.

Mając na uwadze przesłanki merytoryczne i formalne Sąd uznał, tą decyzję za zgodną z obowiązującymi przepisami.

Rozpoznając skargę wniesioną w niniejszej sprawie w ramach przysługującej kognicji, Sąd uznał zatem, że skarga nie jest zasadna, gdyż zaskarżona decyzja nie narusza norm prawa materialnego czy procesowego, postępowanie administracyjne zostało bowiem przeprowadzone zgodnie z zasadami ogólnymi k.p.a., a w szczególności art. 7, art. 8, art. 11 k.p.a., a także innymi normami, zwłaszcza art. 77 i art. 80 k.p.a., a zaskarżone rozstrzygnięcie zostało oparte na prawidłowej interpretacji norm prawa materialnego.

Mając powyższe na względzie Sąd na podstawie art. 151 p.p.s.a. oddalił skargę.